JP4897503B2 - Account linking system, account linking method, linkage server device - Google Patents
Account linking system, account linking method, linkage server device Download PDFInfo
- Publication number
- JP4897503B2 JP4897503B2 JP2007020677A JP2007020677A JP4897503B2 JP 4897503 B2 JP4897503 B2 JP 4897503B2 JP 2007020677 A JP2007020677 A JP 2007020677A JP 2007020677 A JP2007020677 A JP 2007020677A JP 4897503 B2 JP4897503 B2 JP 4897503B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- server device
- cooperation
- cooperation server
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、異なる複数のサーバ装置が同一ユーザに対してそれぞれのIDを払い出している場合に、それらのIDを連携する技術に関する。より詳しくは、アカウントリンキングに関する。 The present invention relates to a technique for linking IDs when a plurality of different server devices pay out their IDs to the same user. More specifically, it relates to account linking.
ネットバンキングなどの様々なサービスがオンライン化される中、フィッシングやID盗難などのセキュリティ被害も増加傾向にある。特に現状では、固定網経由で認証を必要とするサービスを利用する場合には、パスワードによるユーザ認証が一般的である。パスワードによるユーザ認証は、導入コストが安価で済むことなどから比較的容易に導入できる一方、なりすましや盗聴などの脅威に晒される。
一方で移動網においては、耐タンパなSIMカードによる認証方法やPKIなど安全強度の高い認証のフレームワークが整備されつつある。
While various services such as net banking are online, security damage such as phishing and ID theft is also increasing. In particular, when using a service that requires authentication via a fixed network, user authentication using a password is generally used. User authentication based on passwords can be introduced relatively easily because the introduction cost is low, but it is exposed to threats such as impersonation and eavesdropping.
On the other hand, in the mobile network, a highly secure authentication framework such as an authentication method using a tamper-resistant SIM card and PKI is being prepared.
このような背景から、サービスを利用するチャネルと、そのサービスを利用するために必要な認証のチャネルを分離し、認証をより信頼できる方法で行うことが可能なマルチチャネル認証技術が注目されている。例えば特許文献1では、移動網経由の携帯端末を利用した認証によって固定網におけるオンラインサービスを利用するための技術が示されている。この技術では、電子証明書などの認証情報を持たない通信端末が、他の通信端末の認証情報を利用して認証(認証連携)を行っている。
このような認証連携を実現するためには、異なる通信端末に割り当てられた各別のユーザアカウント〔以下、IDと云うこともある。〕の連携(ID連携)が必要となる。ID連携のライフサイクルは、(1)アカウントリンキング、(2)SSO(Single Sign-On)、(3)連携情報変更、(4)SLO(Single Log-Out)、(5)アカウントリンキング解除、となる。前述のマルチチャネル認証技術は、所望のサービスを受けるためのユーザ認証に例えば携帯電話など携帯端末を用いた認証を利用することで、所望のサービスを利用できるようにする部分、つまりSSOに関する技術であり、予め必要となるアカウントリンキング(ID連携によってSingle Sign-Onできる環境を作る)方式は検討されていないのが現状である。 In order to realize such authentication cooperation, different user accounts assigned to different communication terminals (hereinafter also referred to as IDs). ] (ID collaboration) is required. The life cycle of ID linkage is (1) account linking, (2) SSO (Single Sign-On), (3) linkage information change, (4) SLO (Single Log-Out), (5) account linking cancellation, and so on. Become. The aforementioned multi-channel authentication technology is a technology related to SSO, that is, a portion that makes it possible to use a desired service by using authentication using a mobile terminal such as a mobile phone for user authentication for receiving a desired service. There are currently no account linking (creating an environment where Single Sign-On can be performed by ID linkage) system that is required in advance.
要するに、マルチチャネル認証技術は、サービスを利用するチャネル(サービスチャネル)とそのサービスを利用するために必要な認証を行うチャネル(認証チャネル)を分けているため、実際にサービスを提供するには認証された結果とサービス要求者とを結びつける必要があるが、マルチチャネル認証を実行するにあたって前提となる条件、つまりアカウントリンキングを実現するための方法が未検討である。 In short, multi-channel authentication technology separates the channel that uses the service (service channel) and the channel that performs the authentication necessary to use the service (authentication channel), so authentication is required to actually provide the service. However, the preconditions for performing multi-channel authentication, that is, a method for realizing account linking has not been studied.
なお、ID連携に関する標準技術としてSAML v2.0(参考文献1参照)があるが、この方式は同一のWebブラウザを介してサーバ装置間での情報伝達を行なうため、異なるサーバ装置間でのID連携処理は同一のWebブラウザを経由して行われる必要がある。このため、異なる通信端末(クライアント装置)からそれぞれの通信網経由でサーバ装置にアクセスする必要がある場合には、標準のSAML技術をそのまま適用してID連携することができない。
(参考文献)
OASIS (Organization for the Advancement of Structured Information Standards), "Security Assertion Markup Language(SAML) v2.0", [平成19年1月19日検索], インターネット <URL : http://www.oasis-open.org/specs/index.php#samlv2.0>
Note that SAML v2.0 (see Reference 1) is a standard technology related to ID linkage, but this method transmits information between server devices via the same Web browser. Cooperation processing needs to be performed via the same Web browser. For this reason, when it is necessary to access the server device from the different communication terminals (client devices) via the respective communication networks, the standard SAML technology cannot be applied as it is to perform ID linkage.
(References)
OASIS (Organization for the Advancement of Structured Information Standards), "Security Assertion Markup Language (SAML) v2.0", [Searched on January 19, 2007], Internet <URL: http: //www.oasis-open. org / specs / index.php # samlv2.0>
SAMLのアカウントリンキング方式では、ユーザはサービスプロバイダ(SP)とアイデンティティプロバイダ(IDP)にそれぞれのIDで認証されている状態で、SPからIDPへアカウントリンキングが要求される。このとき、これら一連の処理は同一のWebブラウザを経由して行われるため、例えば、Webブラウザのクッキー機能によって要求を受けたIDPはどの(認証された)IDに対する要求なのかがわかる。従って、SPとIDPとの間で実IDを交換することなくアカウントリンキングができる。つまりSAMLを利用するアカウントリンキングの方式は、SPとIDPとが同一のブラウザ経由で通信するという前提の下で成立する。一方で、マルチチャネル認証は固定網と移動網という異なるネットワーク間での認証経路をも予定しており、認証処理の際にそれぞれの認証サーバ装置へアクセスする際の通信端末が異なることから、上記の一連の処理を同一のWebブラウザを経由して行うことはできない。つまり、マルチチャネル認証を実現するためのモデルに、ID連携の標準技術であるSAMLをそのまま適用できない。 In the SAML account linking method, the user is authenticated by the service provider (SP) and the identity provider (IDP) with their respective IDs, and the account linking is requested from the SP to the IDP. At this time, since these series of processes are performed via the same Web browser, for example, the IDP requested by the cookie function of the Web browser can be identified to which (authenticated) ID. Accordingly, account linking can be performed without exchanging the real ID between the SP and the IDP. That is, the account linking method using SAML is established on the assumption that the SP and the IDP communicate via the same browser. On the other hand, multi-channel authentication also plans an authentication path between different networks, a fixed network and a mobile network, and the communication terminals for accessing each authentication server device during authentication processing are different. The series of processes cannot be performed via the same Web browser. That is, SAML, which is a standard technology for ID collaboration, cannot be applied as it is to a model for realizing multi-channel authentication.
ところで、仮名(Pseudonyms)によるID連携を築く方法として、通信装置間で仮名識別子を流通させる方法が考えられる。しかし、仮名識別子はデータベース内に長期間管理される情報であるため、この仮名識別子が漏洩することは望ましくない。従って、仮名識別子よりもテンポラリな情報を通信装置間で送受信する方式が望ましい。 By the way, as a method for establishing ID linkage by pseudonyms, a method of distributing a pseudonym identifier between communication devices is conceivable. However, since the kana identifier is information managed in the database for a long time, it is not desirable that this kana identifier is leaked. Therefore, a method of transmitting / receiving information that is more temporary than the kana identifier between communication devices is desirable.
そこで本発明は、上記問題点を見出したことにより、ID連携を実現するためのアカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置を提供することを目的とする。 The present invention, by the discovery of the problem, and an object account linking system for implementing the ID federation, account linking process, to provide a link server equipment.
上記課題を解決するため、本発明では、アカウントリンキングシステムは、少なくとも、第1連携サーバ装置と、第2連携サーバ装置と、第1クライアント装置と、第2クライアント装置とで構成されるものであって、少なくとも上記第1連携サーバ装置または上記第2連携サーバ装置のいずれかは、上記第1クライアント装置のアカウント(第1ユーザ情報)および上記第2クライアント装置のアカウント(第2ユーザ情報)に共通の情報である連携情報を生成する連携情報生成手段と当該連携情報を自身の連携サーバ装置の外部に提供可能な送信手段A1とを備えるとともに、上記連携情報生成手段および上記送信手段A1とを備えた連携サーバ装置(供給側装置)の相手方の連携サーバ装置(受給側装置)は、上記連携情報を取得する受信手段R1を備える。そして、上記第1連携サーバ装置は、上記連携情報に対応する情報である参照情報を生成する参照情報生成手段と、当該参照情報を上記第1連携サーバ装置の外部に提供可能な送信手段A2と、第1ユーザ情報管理データベースと、上記第1ユーザ情報管理データベースに少なくとも上記連携情報を登録可能な第1DB管理手段とを備える。また、上記第1クライアント装置は、上記参照情報を取得可能な受信手段R2と、取得した上記参照情報を少なくとも上記第2クライアント装置に提供可能な提供手段A3とを備え、上記第2クライアント装置は、上記参照情報を取得可能な取得手段R3と、取得した上記参照情報を少なくとも上記第2連携サーバ装置に提供可能な送信手段A4とを備える。さらに、上記第2連携サーバ装置は、上記参照情報を取得可能な受信手段R4と、第2ユーザ情報管理データベースと、上記第2ユーザ情報管理データベースに少なくとも上記連携情報を登録可能な第2DB管理手段とを備える。このシステムでは、上記受給側装置は、上記供給側装置で生成された、上記参照情報に対応する上記連携情報を取得し、上記第1DB管理手段は、上記連携情報を、上記第1ユーザ情報管理データベースに、上記第1ユーザ情報に対応付けて登録し、上記第2DB管理手段は、上記連携情報を、上記第2ユーザ情報管理データベースに、上記第2ユーザ情報に対応付けて登録する。 In order to solve the above-described problem, in the present invention, the account linking system includes at least a first cooperation server device, a second cooperation server device, a first client device, and a second client device. Thus, at least one of the first cooperation server device and the second cooperation server device is common to the account of the first client device (first user information) and the account of the second client device (second user information). And a transmission means A1 capable of providing the cooperation information to the outside of its own cooperation server device, as well as the cooperation information generation means and the transmission means A1. The cooperation server device (receiving device) of the other party of the cooperation server device (supplying device) acquires the cooperation information. Comprises signal means R1. The first cooperation server device includes reference information generation means for generating reference information that is information corresponding to the cooperation information, and transmission means A2 capable of providing the reference information to the outside of the first cooperation server device. , A first user information management database, and a first DB management means capable of registering at least the linkage information in the first user information management database. The first client device includes a receiving unit R2 capable of acquiring the reference information and a providing unit A3 capable of providing the acquired reference information to at least the second client device. The second client device includes: The acquisition means R3 capable of acquiring the reference information and the transmission means A4 capable of providing the acquired reference information to at least the second cooperation server device. Further, the second cooperation server device includes a receiving means R4 capable of acquiring the reference information, a second user information management database, and a second DB management means capable of registering at least the cooperation information in the second user information management database. With. In this system, the receiving side device acquires the cooperation information corresponding to the reference information generated by the supply side device, and the first DB management means stores the cooperation information in the first user information management. The second DB management means registers the linkage information in the second user information management database in association with the second user information in association with the first user information.
そして、本発明のアカウントリンキング方法は、上述のアカウントリンキングシステムにおいて、上記連携情報生成手段が、上記連携情報を生成する連携情報生成ステップと、上記送信手段A1が、上記連携情報を上記供給側装置の外部に提供する送信ステップA1と、上記受信手段R1が、上記連携情報を取得する受信ステップR1と、上記第1連携サーバ装置の参照情報生成手段が、上記連携情報に対応する情報である参照情報を生成する参照情報生成ステップと、上記第1連携サーバ装置の送信手段A2が、上記参照情報を上記第1連携サーバ装置の外部に提供する送信ステップA2と、上記第1クライアント装置の受信手段R2が、上記参照情報を取得する受信ステップR2と、上記第1クライアント装置の提供手段A3が、取得した上記参照情報を少なくとも上記第2クライアント装置に提供する提供ステップA3と、上記第2クライアント装置の取得手段R3が、上記参照情報を取得する取得ステップR3と、上記第2クライアント装置の送信手段A4が、取得した上記参照情報を少なくとも上記第2連携サーバ装置に提供する送信ステップA4と、上記第2連携サーバ装置の受信手段R4が、上記参照情報を取得する受信ステップR4と、上記第1連携サーバ装置の第1DB管理手段が、上記連携情報を、上記第1連携サーバ装置の第1ユーザ情報管理データベースに、上記第1ユーザ情報に対応付けて登録する第1登録ステップと、上記第2連携サーバ装置の第2DB管理手段が、上記連携情報を、上記第2連携サーバ装置の第2ユーザ情報管理データベースに、上記第2ユーザ情報に対応付けて登録する第2登録ステップとを有するアカウントリンキング方法(以下、基本方法と云う。)とされる。 In the account linking method of the present invention, in the above-described account linking system, the cooperation information generation unit generates the cooperation information generation step, and the transmission unit A1 transmits the cooperation information to the supply side device. A reference to the transmission step A1 provided to the outside, the reception step R1 in which the reception means R1 acquires the cooperation information, and the reference information generation means of the first cooperation server device is information corresponding to the cooperation information A reference information generation step for generating information; a transmission step A2 for providing the reference information to the outside of the first cooperation server device; and a reception means for the first client device. R2 receives the reference information R2 and the first client device providing means A3 acquires the reference information. The providing step A3 for providing the reference information to at least the second client device, the obtaining step R3 for obtaining the reference information by the obtaining means R3 for the second client device, and the transmitting means A4 for the second client device A transmission step A4 for providing the acquired reference information to at least the second cooperation server device; a reception step R4 for the reception means R4 of the second cooperation server device to acquire the reference information; and the first cooperation server. A first registration step in which the first DB management means of the device registers the linkage information in the first user information management database of the first linkage server device in association with the first user information; and the second linkage server The second DB management means of the device transfers the linkage information to the second user information management database of the second linkage server device. Account linking method and a second registration step of registering in association with the serial second user information are (hereinafter referred to as the basic method.).
本発明では、要するに、第1クライアント装置と第2クライアント装置を適宜に経由して、アカウントリンキングシステムを構成する各装置間で参照情報を流通させ、参照情報を手掛かりに、一方の連携サーバ装置が生成した連携情報を、他方の連携サーバ装置に渡すものとなっている。そこで、第1連携サーバ装置では、連携情報を第1クライアント装置のアカウント(第1ユーザ情報)に対応付けて登録し、第2連携サーバ装置では、連携情報を第2クライアント装置のアカウント(第2ユーザ情報)に対応付けて登録することができる。つまり、第1連携サーバ装置と第2連携サーバ装置との間は、連携情報を鎹として連携されていることになる。なお、いずれの連携サーバ装置と連携されているかは、連携先サーバ情報(連携先の連携サーバ装置を示す情報)で判別するようにしてもよい。 In short, according to the present invention, the reference information is distributed among the devices constituting the account linking system via the first client device and the second client device as appropriate, and one linked server device uses the reference information as a clue. The generated linkage information is passed to the other linkage server device. Therefore, the first cooperation server device registers the cooperation information in association with the account of the first client device (first user information), and the second cooperation server device stores the cooperation information as the account of the second client device (second User information). That is, the first linkage server device and the second linkage server device are linked using linkage information as a trap. In addition, you may make it discriminate | determine which cooperation server apparatus is cooperated by cooperation destination server information (information which shows the cooperation server apparatus of a cooperation destination).
上述の基本方法について、上記供給側装置を、上記第1連携サーバ装置であるとし、上記受給側装置を、上記第2連携サーバ装置であるとして、上記送信ステップA4は、上記第2クライアント装置の上記送信手段A4が、上記参照情報を含む情報である要求情報を送信することで上記第2連携サーバ装置に上記参照情報を提供するものであり、上記受信ステップR4は、上記第2連携サーバ装置の上記受信手段R4が、上記要求情報を受信することで上記参照情報を取得するものであり、さらに、上記第2連携サーバ装置の送信手段A5が、上記要求情報を上記第1連携サーバ装置に送信する送信ステップA5と、上記第1連携サーバ装置の受信手段R5が、上記第2連携サーバ装置から上記要求情報を受信する受信ステップR5と、を有し、上記送信ステップA1は、上記第1連携サーバ装置の上記送信手段A1が、上記要求情報を受信すると、当該要求情報に含まれる参照情報に対応する上記連携情報を上記第2連携サーバ装置に提供するものであり、上記受信ステップR1は、上記第2連携サーバ装置の上記受信手段R1は、上記第1連携サーバ装置から上記連携情報を取得するものであることを特徴としたアカウントリンキング方法としてもよい。
これは、上記第2連携サーバ装置が、上記第1クライアント装置および上記第2クライアント装置を介することなく、上記連携情報を上記第1連携サーバ装置から取得する方法である。つまり、第1連携サーバ装置と第2連携サーバ装置の二者通信構造の下、連携情報の遣り取りが行なわれるものであり、従来的な通信プロトコル、例えばSAMLを利用できる。
Regarding the above basic method, assuming that the supply side device is the first cooperation server device, the reception side device is the second cooperation server device, the transmission step A4 is performed by the second client device. The transmission means A4 provides the reference information to the second cooperation server device by transmitting request information that is information including the reference information, and the reception step R4 includes the second cooperation server device. The receiving means R4 receives the request information to acquire the reference information, and the transmission means A5 of the second cooperation server device sends the request information to the first cooperation server device. A transmitting step A5 for transmitting, and a receiving step R5 for receiving the request information from the second cooperative server device by the receiving means R5 of the first cooperative server device. In the transmission step A1, when the transmission unit A1 of the first cooperation server device receives the request information, the cooperation information corresponding to the reference information included in the request information is provided to the second cooperation server device. The receiving step R1 is an account linking method characterized in that the receiving means R1 of the second linkage server device acquires the linkage information from the first linkage server device. Good.
This is a method in which the second cooperation server device acquires the cooperation information from the first cooperation server device without passing through the first client device and the second client device. That is, exchange of linkage information is performed under a two-party communication structure of the first linkage server device and the second linkage server device, and a conventional communication protocol such as SAML can be used.
また、上述の基本方法について、上記供給側装置を、上記第1連携サーバ装置であるとし、上記受給側装置を、上記第2連携サーバ装置であるとして、上記送信ステップA4は、上記第2クライアント装置の上記送信手段A4が、上記参照情報を含む情報である第1要求情報を送信することで上記第2連携サーバ装置に上記参照情報を提供するものであり、上記受信ステップR4は、上記第2連携サーバ装置の上記受信手段R4が、上記第1要求情報を受信することで上記参照情報を取得するものであり、さらに、上記第2連携サーバ装置の送信手段A6が、上記参照情報を含む情報である第2要求情報を上記第2クライアント装置に送信する送信ステップA6と、上記第2クライアント装置の転送手段T1が、上記第2連携サーバ装置から送信された上記第2要求情報を上記第1連携サーバ装置に転送する転送ステップT1と、上記第2クライアント装置の転送手段T2が、上記第1連携サーバ装置から提供された上記連携情報を上記第2連携サーバ装置に転送する転送ステップT2と、上記第1連携サーバ装置の受信手段R6が、上記第2クライアント装置から上記第2要求情報を受信する受信ステップR6と、を有し、上記送信ステップA1は、上記第1連携サーバ装置の上記送信手段A1が、上記第2クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第2クライアント装置に提供するものであり、上記受信ステップR1は、上記第2連携サーバ装置の上記受信手段R1が、上記第2クライアント装置から上記連携情報を取得するものであることを特徴としたアカウントリンキング方法としてもよい。
これは、上記第2連携サーバ装置が、上記第2クライアント装置を介して、上記連携情報を上記第1連携サーバ装置から取得する方法である。つまり、第2クライアント装置を媒介とした第1連携サーバ装置と第2連携サーバ装置の三者通信構造の下、連携情報の遣り取りが行なわれるものであり、従来的な通信プロトコル、例えばSAMLを利用できる。
In addition, regarding the above-described basic method, assuming that the supply side device is the first cooperation server device, the reception side device is the second cooperation server device, and the transmission step A4 is performed by the second client. The transmission means A4 of the device provides the reference information to the second cooperation server device by transmitting first request information that is information including the reference information, and the reception step R4 includes the first request information. The receiving means R4 of the two cooperation server devices acquires the reference information by receiving the first request information, and the transmission means A6 of the second cooperation server device includes the reference information. The transmission step A6 for transmitting the second request information, which is information, to the second client device and the transfer means T1 of the second client device from the second cooperative server device The transfer step T1 for transferring the received second request information to the first cooperation server device, and the transfer means T2 of the second client device use the first cooperation server device for the cooperation information provided by the first cooperation server device. A transfer step T2 for transferring to the two cooperative server devices, and a receiving step R6 for receiving the second request information from the second client device by the receiving means R6 of the first cooperative server device, and the transmitting step When the transmission unit A1 of the first cooperation server device receives the second request information from the second client device, A1 sends the cooperation information corresponding to the reference information included in the second request information to the first information. The receiving step R1 is performed by the receiving means R1 of the second cooperation server device in the second client device. May account linking method, wherein a from and acquires the cooperation information.
This is a method in which the second cooperation server device acquires the cooperation information from the first cooperation server device via the second client device. That is, the exchange of cooperation information is performed under the three-party communication structure of the first cooperation server apparatus and the second cooperation server apparatus through the second client apparatus, and a conventional communication protocol such as SAML is used. it can.
また、上述の基本方法について、上記供給側装置を、上記第2連携サーバ装置であるとし、上記受給側装置を、上記第1連携サーバ装置であるとして、さらに、上記第1クライアント装置の送信手段A7が、上記第1連携サーバ装置に上記参照情報を含む情報である第1要求情報を送信する送信ステップA7と、上記第1連携サーバ装置の受信手段R7が、上記第1クライアント装置から上記第1要求情報を受信する受信ステップR7と、上記第1連携サーバ装置の送信手段A8が、上記参照情報を含む情報である第2要求情報を上記第1クライアント装置に送信する送信ステップA8と、上記第1クライアント装置の転送手段T3が、上記第1連携サーバ装置から送信された上記第2要求情報を上記第2連携サーバ装置に転送する転送ステップT3と、上記第1クライアント装置の転送手段T4が、上記第2連携サーバ装置から提供された上記連携情報を上記第1連携サーバ装置に転送する転送ステップT4と、上記第2連携サーバ装置の受信手段R7が、上記第1クライアント装置から上記第2要求情報を受信する受信ステップR7と、を有し、上記送信ステップA1は、上記第2連携サーバ装置の上記送信手段A1が、上記第1クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第1クライアント装置に提供するものであり、上記受信ステップR1は、上記第1連携サーバ装置の上記受信手段R1が、上記第1クライアント装置から上記連携情報を取得するものであることを特徴としたアカウントリンキング方法(以下、方法3と云う。)としてもよい。
これは、上記第1連携サーバ装置が、上記第1クライアント装置を介して、上記連携情報を上記第2連携サーバ装置から取得する方法である。つまり、第1クライアント装置を媒介とした第1連携サーバ装置と第2連携サーバ装置の三者通信構造の下、連携情報の遣り取りが行なわれるものであり、従来的な通信プロトコル、例えばSAMLを利用できる。
Further, in the above basic method, the supply side device is the second cooperation server device, the reception side device is the first cooperation server device, and further the transmission means of the first client device A7 transmits the first request information which is information including the reference information to the first cooperation server device, and the reception means R7 of the first cooperation server device receives the first request from the first client device. Receiving step R7 for receiving 1 request information, transmitting step A8 for transmitting the second request information, which is information including the reference information, by the transmitting means A8 of the first cooperation server device, A transfer unit T3 of the first client device transfers the second request information transmitted from the first cooperation server device to the second cooperation server device. Transfer step T4 in which the transfer means T4 of the first client device transfers the cooperation information provided from the second cooperation server device to the first cooperation server device, and the second cooperation server device. The receiving means R7 has a receiving step R7 for receiving the second request information from the first client device, and the transmitting step A1 is performed by the transmitting means A1 of the second cooperative server device. When the second request information is received from the client device, the cooperation information corresponding to the reference information included in the second request information is provided to the first client device, and the reception step R1 includes the first request information. The account link characterized in that the receiving means R1 of the cooperation server device acquires the cooperation information from the first client device. Ring method (hereinafter, referred to as method 3.) It may be.
This is a method in which the first cooperation server device acquires the cooperation information from the second cooperation server device via the first client device. That is, exchange of linkage information is performed under a three-party communication structure of the first linkage server device and the second linkage server device via the first client device, and a conventional communication protocol such as SAML is used. it can.
また、上述の基本方法について、上記供給側装置を、上記第2連携サーバ装置であるとし、上記受給側装置を、上記第1連携サーバ装置であるとして、上記送信ステップA2は、上記第1連携サーバ装置の上記送信手段A2が、第1クライアント装置に上記参照情報を含む情報である第1要求情報を送信するものであり、さらに、上記第1クライアント装置の転送手段T5が、上記第1連携サーバ装置から送信された上記第1要求情報を上記第2連携サーバ装置に転送する転送ステップT5と、上記第1クライアント装置の転送手段T6が、上記第2連携サーバ装置から提供された上記連携情報を上記第1連携サーバ装置に転送する転送ステップT6と、上記第2連携サーバ装置の受信手段R8が、上記第1要求情報を受信する受信ステップR8と、上記第2連携サーバ装置の送信手段A9が、受信した上記第1要求情報に含まれる上記参照情報を上記第1クライアント装置に提供する送信ステップA9と、を有し、上記受信ステップR2は、上記第1クライアント装置の受信手段R2が、上記第2連携サーバ装置から上記参照情報を取得するものであり、さらに、上記第1クライアント装置の送信手段A10が、上記参照情報を含む情報である第2要求情報を上記第2連携サーバ装置に送信する送信ステップA10と、上記第2連携サーバ装置の受信手段R9が、上記第2要求情報を受信する受信ステップR9と、を有し、上記送信ステップA1は、上記第2連携サーバ装置の上記送信手段A1が、上記第1クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第1クライアント装置に提供するものであり、上記受信ステップR1は、上記第1連携サーバ装置の上記受信手段R1が、上記第1クライアント装置から上記連携情報を取得するものであることを特徴としたアカウントリンキング方法(以下、方法4と云う。)としてもよい。
これは、上記第1連携サーバ装置が、上記第1クライアント装置を介して、上記連携情報を上記第2連携サーバ装置から取得する方法である。つまり、第1クライアント装置を媒介とした第1連携サーバ装置と第2連携サーバ装置の三者通信構造の下、連携情報の遣り取りが行なわれるものであり、従来的な通信プロトコル、例えばSAMLを利用できる。なお、方法4は、アカウントリンキングのイニシアチブを、第1クライアント装置が行なうか、第1連携サーバ装置が行なうかで方法3と相違する。
In addition, regarding the basic method described above, assuming that the supply side device is the second linkage server device, the receiving side device is the first linkage server device, and the transmission step A2 is the first linkage server. The transmission unit A2 of the server device transmits first request information that is information including the reference information to the first client device, and the transfer unit T5 of the first client device further includes the first cooperation. Transfer step T5 for transferring the first request information transmitted from the server device to the second cooperation server device, and transfer means T6 of the first client device include the cooperation information provided from the second cooperation server device. Is transferred to the first cooperation server device, and the reception step R6 of the second cooperation server device receives the first request information. 8 and transmission step A9 in which the transmission means A9 of the second cooperation server device provides the first client device with the reference information included in the received first request information, and the reception step R2 The receiving means R2 of the first client device acquires the reference information from the second cooperation server device, and the transmission means A10 of the first client device is information including the reference information. A transmission step A10 for transmitting certain second request information to the second cooperation server device, and a reception step R9 for receiving the second request information by the receiving means R9 of the second cooperation server device, When the transmission means A1 of the second cooperation server device receives the second request information from the first client device, the transmission step A1 is performed when the second request information is received. The cooperation information corresponding to the reference information included in the first client device is provided to the first client device. In the reception step R1, the reception unit R1 of the first cooperation server device receives the first client device from the first client device. An account linking method (hereinafter referred to as “
This is a method in which the first cooperation server device acquires the cooperation information from the second cooperation server device via the first client device. That is, exchange of linkage information is performed under a three-party communication structure of the first linkage server device and the second linkage server device via the first client device, and a conventional communication protocol such as SAML is used. it can. The
なお、上記いずれの方法についても、上記第1登録ステップは、上記第1連携サーバ装置の第1DB管理手段が、上記連携情報を、上記第1連携サーバ装置の第1ユーザ情報管理データベースに、上記第1連携サーバ装置の連携先の連携サーバ装置を示す情報である連携先サーバ情報にも対応付けて登録するステップであり、上記第2登録ステップは、上記第2連携サーバ装置の第2DB管理手段が、上記連携情報を、上記第2連携サーバ装置の第2ユーザ情報管理データベースに、上記第2連携サーバ装置の連携先の連携サーバ装置を示す情報である連携先サーバ情報にも対応付けて登録するステップであることを特徴としたアカウントリンキング方法とすることができる。 In any of the above methods, in the first registration step, the first DB management unit of the first cooperation server device stores the cooperation information in the first user information management database of the first cooperation server device. It is a step of registering in association with cooperation destination server information, which is information indicating the cooperation server device of the first cooperation server device, and the second registration step is a second DB management means of the second cooperation server device However, the cooperation information is also registered in the second user information management database of the second cooperation server device in association with the cooperation destination server information that is information indicating the cooperation server device of the second cooperation server device. It is possible to provide an account linking method characterized by the step of
本発明のアカウントリンキングシステムは、次のような連携サーバ装置、クライアント装置から構成される。
まず、本発明のアカウントリンキングシステムの構成要素たりえる連携サーバ装置としては、クライアント装置(クライアント装置a)のアカウント(ユーザ情報a)およびクライアント装置aとは異なるクライアント装置(クライアント装置b)のアカウント(ユーザ情報b)に共通の情報である連携情報を生成する連携情報生成手段と、上記連携情報を外部に提供可能な送信手段A1と、上記連携情報に対応する情報である参照情報を生成する参照情報生成手段と、上記参照情報を外部に提供可能な送信手段A2と、少なくとも上記ユーザ情報aが登録されたユーザ情報管理データベースaと、上記ユーザ情報管理データベースaに、上記ユーザ情報aに上記連携情報を対応付けて登録可能なDB管理手段aとを備えた連携サーバ装置がある。
The account linking system of the present invention includes the following cooperative server device and client device.
First, as a linkage server device that can be a component of the account linking system of the present invention, an account (user information a) of a client device (client device a) and an account of a client device (client device b) different from the client device a ( Cooperation information generation means for generating cooperation information that is common information to user information b), transmission means A1 that can provide the cooperation information to the outside, and reference for generating reference information that is information corresponding to the cooperation information Information generating means, transmitting means A2 capable of providing the reference information to the outside, user information management database a in which at least the user information a is registered, the user information management database a, and the cooperation with the user information a A linkage server device provided with DB management means a capable of registering information in association with each other That.
あるいは、クライアント装置(クライアント装置a)のアカウント(ユーザ情報a)およびクライアント装置aとは異なるクライアント装置(クライアント装置b)のアカウント(ユーザ情報b)に共通の情報である連携情報を取得する受信手段R1と、上記連携情報に対応する情報である参照情報を生成する参照情報生成手段と、上記参照情報を外部に提供可能な送信手段A2と、少なくとも上記ユーザ情報aが登録されたユーザ情報管理データベースaと、上記ユーザ情報管理データベースaに、上記ユーザ情報aに上記連携情報を対応付けて登録可能なDB管理手段aとを備えた連携サーバ装置がある。 Alternatively, receiving means for acquiring cooperation information that is information common to an account (user information a) of a client device (client device a) and an account (user information b) of a client device (client device b) different from the client device a R1, reference information generating means for generating reference information that is information corresponding to the linkage information, transmission means A2 capable of providing the reference information to the outside, and a user information management database in which at least the user information a is registered There is a cooperation server device provided with a and DB management means a capable of registering the cooperation information in association with the user information a in the user information management database a.
あるいは、クライアント装置(クライアント装置a)のアカウント(ユーザ情報a)およびクライアント装置aとは異なるクライアント装置(クライアント装置b)のアカウント(ユーザ情報b)に共通の情報である連携情報を生成する連携情報生成手段と、上記連携情報を外部に提供可能な送信手段A1と、他の連携サーバ装置で生成された、上記連携情報に対応する情報である参照情報を取得可能な受信手段R4と、少なくとも上記ユーザ情報bが登録されたユーザ情報管理データベースbと、上記ユーザ情報管理データベースbに、上記ユーザ情報bに上記連携情報を対応付けて登録可能なDB管理手段bとを備えた連携サーバ装置がある。 Alternatively, linkage information for generating linkage information that is information common to an account (user information a) of a client device (client device a) and an account (user information b) of a client device (client device b) different from the client device a A generating unit; a transmitting unit A1 that can provide the cooperation information to the outside; a receiving unit R4 that is able to acquire reference information that is generated by another cooperation server device and corresponds to the cooperation information; There is a cooperation server device provided with a user information management database b in which user information b is registered, a DB management means b capable of registering the user information b in association with the user information b in the user information management database b. .
あるいは、クライアント装置(クライアント装置a)のアカウント(ユーザ情報a)およびクライアント装置aとは異なるクライアント装置(クライアント装置b)のアカウント(ユーザ情報b)に共通の情報である連携情報を取得する受信手段R1と、他の連携サーバ装置で生成された、上記連携情報に対応する情報である参照情報を取得可能な受信手段R4と、少なくとも上記ユーザ情報bが登録されたユーザ情報管理データベースbと、上記ユーザ情報管理データベースbに、上記ユーザ情報bに上記連携情報を対応付けて登録可能なDB管理手段bとを備えた連携サーバ装置がある。 Alternatively, receiving means for acquiring cooperation information that is information common to an account (user information a) of a client device (client device a) and an account (user information b) of a client device (client device b) different from the client device a R1, a receiving means R4 that is generated by another cooperation server device and can acquire reference information that is information corresponding to the cooperation information, a user information management database b in which at least the user information b is registered, and the above In the user information management database b, there is a cooperation server device provided with DB management means b capable of registering the cooperation information in association with the user information b.
次に、本発明のアカウントリンキングシステムの構成要素たりえるクライアント装置としては、連携サーバ装置間で共通の情報である連携情報に対応する情報である参照情報を取得可能な受信手段R2と、取得した上記参照情報を少なくとも他のクライアント装置に提供可能な提供手段A3とを備えたクライアント装置がある。
さらに、連携サーバ装置間で共通の情報である連携情報に対応する情報である参照情報を取得可能な取得手段R3と、取得した上記参照情報を少なくとも連携サーバ装置に提供可能な送信手段A4とを備えたクライアント装置がある。
Next, as a client device that can be a component of the account linking system of the present invention, a receiving unit R2 that can acquire reference information that is information corresponding to cooperation information that is common information among the cooperation server devices, There is a client device provided with providing means A3 capable of providing the reference information to at least another client device.
Furthermore, acquisition means R3 that can acquire reference information that is information corresponding to cooperation information that is common information among the cooperation server apparatuses, and transmission means A4 that can provide the acquired reference information to at least the cooperation server apparatus. There is a client device provided.
なお、上記の各装置では、送信手段および受信手段を送受信する情報によって分けて表現したが、各別の物理的手段としてそれぞれを実現することに限定する趣旨ではない。ハードウェア資源としてこれら手段を実現する場合は、各装置において同じ通信手段によって実現することもできる。 In each of the above-described devices, the transmitting unit and the receiving unit are separately represented according to information to be transmitted / received, but the present invention is not limited to realizing each of the different physical units. When these means are realized as hardware resources, each device can be realized by the same communication means.
本発明によれば、アカウントリンキングシステムを構成する各装置間で参照情報を流通させ、参照情報を手掛かりに、一方の連携サーバ装置が生成した連携情報を、他方の連携サーバ装置に渡すことを可能にしており、第1連携サーバ装置では、連携情報を第1クライアント装置のアカウント(第1ユーザ情報)に対応付けて登録し、第2連携サーバ装置では、連携情報を第2クライアント装置のアカウント(第2ユーザ情報)に対応付けて登録する。従って、第1ユーザ情報および第2ユーザ情報に共通の連携情報を鎹とすることで、第1ユーザ情報に対応するユーザと第2ユーザ情報に対応するユーザが同じであることが分かり、第1連携サーバ装置と第2連携サーバ装置との間でID連携が実現する。 According to the present invention, it is possible to distribute reference information among the devices constituting the account linking system, and to pass the link information generated by one link server device to the other link server device using the reference information as a clue. The first cooperation server device registers the cooperation information in association with the account of the first client device (first user information), and the second cooperation server device stores the cooperation information as the account of the second client device ( Registered in association with the second user information). Therefore, it is understood that the user corresponding to the first user information and the user corresponding to the second user information are the same by setting the common information common to the first user information and the second user information as the first user information. ID linkage is realized between the linkage server device and the second linkage server device.
図を参照しながら、本発明の実施形態について説明する。
なお、本発明で広く「情報」とは、コンピュータによって扱うことが可能なデータとする。
Embodiments of the present invention will be described with reference to the drawings.
In the present invention, “information” is data that can be handled by a computer.
本発明のアカウントリンキングシステム(1)は、少なくとも、第1連携サーバ装置(100)と、第2連携サーバ装置(200)と、第1クライアント装置(10)と、第2クライアント装置(20)とで構成される(図1参照)。 The account linking system (1) of the present invention includes at least a first cooperation server device (100), a second cooperation server device (200), a first client device (10), and a second client device (20). (See FIG. 1).
これらの装置間のうち少なくとも、第1連携サーバ装置(100)と第1クライアント装置(10)との間、第2連携サーバ装置(200)と第2クライアント装置(20)との間、第1クライアント装置(10)と第2クライアント装置(20)との間は、相互に通信可能であるとする。これらの装置間での通信方法は従来方法に拠ればよい。 Among these devices, at least between the first cooperation server device (100) and the first client device (10), between the second cooperation server device (200) and the second client device (20), the first It is assumed that the client device (10) and the second client device (20) can communicate with each other. A communication method between these devices may be based on a conventional method.
例えば固定網である第1アクセスネットワーク(31)に通信可能に接続された第1連携サーバ装置(100)へは、第1アクセスネットワーク(31)に通信可能に接続される第1クライアント装置(10)からアクセス可能とする。そして、第1クライアント装置(10)から例えばユーザアカウント(ID)を表すユーザ情報(IDに対応するパスワードなどを含むとしてよい。)を第1連携サーバ装置(100)に送信することで認証処理などが行われる。 For example, a first client device (10) that is communicably connected to the first access network (31) is connected to a first cooperative server device (100) that is communicably connected to a first access network (31) that is a fixed network. ). Then, the user information (which may include a password corresponding to the ID, for example) representing a user account (ID) is transmitted from the first client device (10) to the first cooperation server device (100), for example, for authentication processing. Is done.
同様に、例えば移動網である第2アクセスネットワーク(32)に通信可能に接続された第2連携サーバ装置(200)へは、第2アクセスネットワーク(32)に通信可能に接続される第2クライアント装置(20)からアクセス可能とする。そして、第2クライアント装置(20)から例えばユーザアカウント(ID)を表すユーザ情報(IDに対応するパスワードなどを含むとしてもよい。)を第2認証サーバ装置(200)に送信することで認証処理などが行われる。 Similarly, the second client connected to the second access network (32) so as to be communicable with the second cooperation server device (200) connected to the second access network (32), which is a mobile network, for example. Accessible from the device (20). Then, for example, user information (which may include a password corresponding to the ID) representing the user account (ID) is transmitted from the second client device (20) to the second authentication server device (200), thereby performing an authentication process. Etc. are performed.
また、第1クライアント装置(10)と第2クライアント装置(20)との間は、図1には示していないが、例えば無線通信や赤外線通信などによって相互に通信可能である。なお、第1クライアント装置(10)および第2クライアント装置(20)は、同一ユーザXに所有ないし占有されている。 Further, although not shown in FIG. 1, the first client device (10) and the second client device (20) can communicate with each other by, for example, wireless communication or infrared communication. The first client device (10) and the second client device (20) are owned or occupied by the same user X.
第1認証サーバ装置(100)と第2認証サーバ装置(200)は、それぞれ独立してユーザXに対してユーザ情報を発行している。具体的には、第1連携サーバ装置(100)にアクセス可能な第1クライアント装置(10)のユーザアカウント(ID)は例えばJoeであり、第2連携サーバ装置(200)にアクセス可能な第2クライアント装置(20)のユーザアカウント(ID)は例えばJosephとする。
そして、第1認証サーバ装置(100)は第1ユーザ情報管理データベース(101)を保持しており、第1認証サーバ装置(100)が発行したユーザ情報を第1ユーザ情報管理データベース(101)に登録している。同様に、第2認証サーバ装置(200)は第2ユーザ情報管理データベース(201)を保持しており、第2認証サーバ装置(200)が発行したユーザ情報を第2ユーザ情報管理データベース(201)に登録している。
このためユーザXは、認証ドメインごとに独立したユーザアカウント(ID)を保持している状態にある。なお、以下の説明では、第1ユーザ情報管理データベース(101)に登録されているユーザ情報を第1ユーザ情報と云う。同様に、第2ユーザ情報管理データベース(201)に登録されているユーザ情報を第2ユーザ情報と云う。
The first authentication server device (100) and the second authentication server device (200) issue user information to the user X independently of each other. Specifically, the user account (ID) of the first client device (10) that can access the first cooperation server device (100) is, for example, Joe, and the second account that can access the second cooperation server device (200). The user account (ID) of the client device (20) is, for example, Joseph.
The first authentication server device (100) holds the first user information management database (101), and the user information issued by the first authentication server device (100) is stored in the first user information management database (101). Registered. Similarly, the second authentication server device (200) holds a second user information management database (201), and user information issued by the second authentication server device (200) is stored in the second user information management database (201). Is registered with.
For this reason, the user X is in a state of holding an independent user account (ID) for each authentication domain. In the following description, user information registered in the first user information management database (101) is referred to as first user information. Similarly, user information registered in the second user information management database (201) is referred to as second user information.
このような状況にあってID連携を構築するためには、認証ドメインごとに独立したユーザアカウント(ID)の相互で関連付けがなされる必要がある。具体的には、第1連携サーバ装置(100)と第2連携サーバ装置(200)との間で、第1ユーザ情報と第2ユーザ情報が同一ユーザに関するものとして関連付けされればよい。本発明では、第1ユーザ情報および第2ユーザ情報に共通の情報である連携情報を生成して、この連携情報を鎹とする。つまり、第1ユーザ情報管理データベース(101)では第1ユーザ情報に対応付けて連携情報を登録するとし、第2ユーザ情報管理データベース(201)では第2ユーザ情報に対応付けて同じ連携情報を登録するとすれば、この連携情報が鎹となって、第1連携サーバ装置(100)と第2連携サーバ装置(200)との間で、第1ユーザ情報と第2ユーザ情報が同一ユーザに関するものとして関連付けされる。 In order to construct an ID linkage in such a situation, it is necessary to associate user accounts (IDs) independent for each authentication domain. Specifically, the first user information and the second user information may be associated with each other as being related to the same user between the first cooperation server device (100) and the second cooperation server device (200). In the present invention, cooperation information that is information common to the first user information and the second user information is generated, and the cooperation information is assumed to be a trap. That is, in the first user information management database (101), cooperation information is registered in association with the first user information, and in the second user information management database (201), the same cooperation information is registered in association with the second user information. Then, this cooperation information becomes a trap, and the first user information and the second user information are related to the same user between the first cooperation server device (100) and the second cooperation server device (200). Associated.
そこで、いかにして連携情報を第1連携サーバ装置(100)と第2連携サーバ装置(200)とで共有するとするかが問題となる。本発明では、連携情報に対応付けられた情報である参照情報を第1連携サーバ装置(100)と、第2連携サーバ装置(200)と、第1クライアント装置(10)と、第2クライアント装置(20)との間に流通させて、この参照情報を手がかりに、連携情報を第1連携サーバ装置(100)と第2連携サーバ装置(200)とで共有する。このアカウントリンキング方法は、本発明のアカウントリンキングシステムの詳細と併せて後述の各実施形態で明らかにする。 Therefore, how to share the cooperation information between the first cooperation server device (100) and the second cooperation server device (200) becomes a problem. In the present invention, reference information, which is information associated with cooperation information, is used as a first cooperation server device (100), a second cooperation server device (200), a first client device (10), and a second client device. The link information is shared between the first link server device (100) and the second link server device (200) using the reference information as a clue. This account linking method will be clarified in each embodiment described later together with details of the account linking system of the present invention.
なお、各実施形態では連携サーバ装置を2つとするが、連携候補となる連携サーバ装置が3以上ある場合には、連携情報だけでは足りず、或る連携サーバ装置が、どの連携サーバ装置と連携するかを識別するためのインデックスが必要になる。そこで、このようなインデックスとして、連携先の連携サーバ装置を示す情報である連携先サーバ情報を用いればよい。この場合には、第1ユーザ情報管理データベース(101)では第1ユーザ情報に対応付けて連携情報および連携先サーバ情報を登録するとし、同様に、第2ユーザ情報管理データベース(201)では第2ユーザ情報に対応付けて連携情報および連携先サーバ情報を登録する。 In each embodiment, there are two linked server devices. However, when there are three or more linked server devices that are linked candidates, linked information alone is not sufficient, and a linked server device is linked to which linked server device. An index is needed to identify what to do. Therefore, as such an index, it is only necessary to use cooperation destination server information that is information indicating a cooperation destination cooperation server device. In this case, it is assumed that cooperation information and cooperation destination server information are registered in association with the first user information in the first user information management database (101). Similarly, in the second user information management database (201), the second information The link information and link destination server information are registered in association with the user information.
各実施形態の説明に先立ち、本発明のアカウントリンキング方法を実行することによって実現する、各ユーザ情報管理データベースのデータベース構成の一例を示す。
図2(a)は、本発明のアカウントリンキング方法を実行することによって実現する、第1認証サーバ装置(100)が保持する第1ユーザ情報管理データベース(101)のデータベース構成の一例を示している。また、図2(b)は、本発明のアカウントリンキング方法を実行することによって実現する、第2認証サーバ装置(200)が保持する第2ユーザ情報管理データベース(201)のデータベース構成の一例を示している。
Prior to the description of each embodiment, an example of a database configuration of each user information management database realized by executing the account linking method of the present invention will be shown.
FIG. 2A shows an example of the database configuration of the first user information management database (101) held by the first authentication server device (100) realized by executing the account linking method of the present invention. . FIG. 2B shows an example of the database configuration of the second user information management database (201) held by the second authentication server device (200), which is realized by executing the account linking method of the present invention. ing.
第1ユーザ情報管理データベース(101)では、ユーザ情報と関連情報と連携先サーバ情報が対応付けられて登録されている。図2(a)に示す例では、ユーザ情報であるアカウント(ID)がJoeに対して、連携情報abc123および連携先サーバ情報IDP2が対応付けられて登録されている。 In the first user information management database (101), user information, related information, and cooperation destination server information are registered in association with each other. In the example illustrated in FIG. 2A, the account information (ID), which is user information, is registered in association with Joe in association information abc123 and cooperation destination server information IDP2.
一方、第2ユーザ情報管理データベース(201)では、ユーザ情報と関連情報と連携先サーバ情報が対応付けられて登録されている。図2(b)に示す例では、ユーザ情報であるアカウント(ID)がJosephに対して、連携情報abc123および連携先サーバ情報IDP1が対応付けられて登録されている。 On the other hand, in the second user information management database (201), user information, related information, and cooperation destination server information are registered in association with each other. In the example shown in FIG. 2B, the account (ID), which is user information, is registered in association with Joseph in association information abc123 and cooperation destination server information IDP1.
ここで、各アカウントは同一ユーザXのものであり、異なるアクセスネットワークに接続されるクライアント装置ごとにアカウントを使い分けている例を示した。もちろん、同じアカウントとすることを妨げるものではない。また、アカウントとしてのIDをアルファベットに限定する趣旨でもなく、数字、平仮名などの記号・文字を用いることもできるし、それらの組み合わせでもよい。言うまでも無いが、IDはコンピュータに認識可能な情報(データ)として記録される。 Here, an example is shown in which each account is for the same user X, and the account is properly used for each client device connected to a different access network. Of course, this does not prevent you from having the same account. The account ID is not intended to be limited to alphabets, and symbols and characters such as numbers and hiragana can be used, or a combination thereof. Needless to say, the ID is recorded as information (data) recognizable by the computer.
本発明のアカウントリンキング方法は、如何なる通信プロトコルにも適用できるものである。後述する各実施形態では、標準技術であるSAML v2.0に準拠して本発明のアカウントリンキング方法を実現する場合として説明を行う。 The account linking method of the present invention can be applied to any communication protocol. In each embodiment to be described later, description will be made assuming that the account linking method of the present invention is realized in accordance with SAML v2.0 which is a standard technology.
各実施形態は、ID連携を構築するための実行シーケンスである。下記のいずれかの実施形態に則り実行すると、第1連携サーバ装置(100)または第2連携サーバ装置(200)は、連携情報を発行して、第1ユーザ情報または第2ユーザ情報に連携情報および連携先サーバ情報を対応付けて登録し、他方の連携サーバ装置に連携情報を送信する。他方の連携サーバ装置は、連携情報を受信すると、他方の連携サーバ装置におけるユーザ情報に連携情報および連携先サーバ情報を対応付けて登録する。 Each embodiment is an execution sequence for constructing ID federation. When executed in accordance with any of the following embodiments, the first cooperation server device (100) or the second cooperation server device (200) issues the cooperation information to the first user information or the second user information. And the link destination server information are registered in association with each other, and the link information is transmitted to the other link server device. Upon receiving the cooperation information, the other cooperation server device registers the cooperation information and the cooperation destination server information in association with the user information in the other cooperation server device.
このような仕組みによれば、第1連携サーバ装置および第2連携サーバ装置は、それぞれ独立してユーザ情報管理データベースを保持し、さらに各連携サーバ装置が独自にユーザ情報を発行しているという前提で、実アカウント(実ID)そのものを交換することなく(それぞれの連携サーバ装置でプライバシを保ったまま)、SSOが可能なID連携を構築することが可能となる。 According to such a mechanism, it is assumed that the first linkage server device and the second linkage server device each independently hold a user information management database, and that each linkage server device independently issues user information. Thus, it is possible to construct an ID linkage capable of SSO without exchanging the actual account (real ID) itself (while maintaining the privacy of each linkage server device).
各実施形態の説明において「認証情報」は、SAML v2.0のAssertionとする。「参照情報」は、第1実施形態ではSAML v2.0のArtifactであり、第2、3、4の各実施形態ではSAML v2.0のRelayStateやAuthenRequestなどのリクエストIDである。なお、参照情報としては、ここに例示した情報に限定されず、当事者間のセッションを示す情報(セッション情報)であれば特に限定はない。「連携情報」は、図2に示すように、ID連携を構築する連携サーバ装置間で共有するランダムな文字列・記号列とする。「参照情報を含むメッセージ」は、ID連携を構築するために各装置間で送受信される情報であって、その具体的な形態はメッセージ伝達手段により異なるものとすることができる。一般的には、テキストなどの文字列・記号列を表す情報(データ)とすることでよいが、例えば2次元コードなどの画像情報とすることもできる。この場合には、参照情報を含めた2次元コードをディスプレイなどの表示装置に表示してメッセージの提供を行なう。そして、例えばカメラなどの2次元コード読取手段によって、表示された2次元コードを読み取り、2次元コードに含まれるメッセージを取得する。 In the description of each embodiment, “authentication information” is SAML v2.0 Assertion. The “reference information” is SAML v2.0 Artifact in the first embodiment, and is a request ID such as SAML v2.0 RelayState and AuthenRequest in the second, third, and fourth embodiments. The reference information is not limited to the information exemplified here, and is not particularly limited as long as it is information (session information) indicating a session between parties. As shown in FIG. 2, “cooperation information” is a random character string / symbol string that is shared between cooperation server apparatuses that establish ID cooperation. The “message including reference information” is information that is transmitted and received between devices in order to establish an ID linkage, and a specific form thereof can be different depending on message transmission means. Generally, information (data) representing a character string / symbol string such as text may be used, but image information such as a two-dimensional code may also be used. In this case, a message is provided by displaying a two-dimensional code including reference information on a display device such as a display. Then, the displayed two-dimensional code is read by a two-dimensional code reading means such as a camera, for example, and a message included in the two-dimensional code is acquired.
《第1実施形態》
第1実施形態では、第1連携サーバ装置(100)および第2連携サーバ装置(200)は、第1アクセスネットワーク(31)、第2アクセスネットワーク(32)、インターネット(33)を介して、相互に通信可能であるとする。
<< First Embodiment >>
In the first embodiment, the first cooperation server device (100) and the second cooperation server device (200) are mutually connected via the first access network (31), the second access network (32), and the Internet (33). It is assumed that communication is possible.
図3は、本発明の第1実施形態における実行シーケンスの一例を示している。図4は、この実行シーケンスを実行するためのシステム構成と各装置に必要な機能構成の一例を示している。図5は、この実行シーケンスを実行する際に、第1連携サーバ装置(100)および第2連携サーバ装置(200)が各自で保持するユーザ情報管理データベースで管理する情報とそのデータベース構成を示している。認証情報および参照情報は少なくともこの実行シーケンスを実行する際に一時的にユーザ情報管理データベースで管理する必要がある情報であり、それ以外は長期的にユーザ情報管理データベースに保存される情報を示す。第1実施形態では、第1連携サーバ装置(100)が連携情報を発行する。 FIG. 3 shows an example of an execution sequence in the first embodiment of the present invention. FIG. 4 shows an example of a system configuration for executing this execution sequence and a functional configuration necessary for each apparatus. FIG. 5 shows information managed by the user information management database held by each of the first linkage server device (100) and the second linkage server device (200) and the database configuration when executing this execution sequence. Yes. The authentication information and the reference information are information that needs to be managed temporarily in the user information management database at least when executing this execution sequence, and other information indicates information stored in the user information management database for a long time. In the first embodiment, the first cooperation server device (100) issues cooperation information.
まず、ユーザXは、第1クライアント装置(10)のキーボードなどに例示される入力手段(11)によって、ユーザアカウント(ID)およびパスワードを入力する。このユーザアカウントは第1クライアント装置(10)に固有のものとする。そして、第1クライアント装置(10)の通信部(13)が、第1クライアント装置(10)の制御部(12)による制御を受けて、入力されたユーザアカウント(ID)およびパスワードを第1連携サーバ装置(100)に送信する(ステップS101)。 First, the user X inputs a user account (ID) and a password by the input means (11) exemplified by the keyboard of the first client device (10). This user account is specific to the first client device (10). The communication unit (13) of the first client device (10) is controlled by the control unit (12) of the first client device (10), and the input user account (ID) and password are first linked. It transmits to the server apparatus (100) (step S101).
次に、第1連携サーバ装置(100)の通信部(102)が、ステップS101の処理で送信されたユーザアカウント(ID)およびパスワードを受信すると、第1連携サーバ装置(100)の制御部(103)による制御を受けて、第1連携サーバ装置(100)の認証部(104)が、受信したユーザアカウント(ID)およびパスワードによる認証を行う(ステップS102)。ここでの認証は、いわゆる本人認証(資格認証)である。 Next, when the communication unit (102) of the first cooperation server device (100) receives the user account (ID) and password transmitted in the process of step S101, the control unit (100) of the first cooperation server device (100) ( 103), the authentication unit (104) of the first cooperation server device (100) performs authentication using the received user account (ID) and password (step S102). The authentication here is so-called identity authentication (qualification authentication).
続いて、ユーザXは、第1クライアント装置(10)の入力手段(11)によって、希望するID連携先の連携サーバ装置、この場合はユーザXのもう一つの第2クライアント装置(20)がアクセス可能な第2連携サーバ装置(200)のIPアドレスあるいはドメイン名など(以下、連携先サーバ情報という。)を入力してID連携先を指定する。第1クライアント装置(10)の制御部(12)は、第1クライアント装置(10)の通信部(13)を制御して、指定されたID連携先とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS103)。この要求プロトコルでは、入力された連携先サーバ情報が第1連携サーバ装置(100)に送信される。 Subsequently, the user X accesses the desired ID linkage destination linkage server device, in this case, another second client device (20) of the user X, by the input means (11) of the first client device (10). The ID link destination is specified by inputting the IP address or domain name of the possible second link server device (200) (hereinafter referred to as link destination server information). The control unit (12) of the first client device (10) controls the communication unit (13) of the first client device (10) to request ID linkage with the designated ID linkage destination <SAML request protocol < Request> is executed (step S103). In this request protocol, the input cooperation destination server information is transmitted to the first cooperation server device (100).
次に、第1連携サーバ装置(100)の通信部(102)が、ステップS103の処理で送信された連携先サーバ情報を受信すると、第1連携サーバ装置(100)の制御部(103)による制御を受けて、第1連携サーバ装置(100)の連携情報生成部(105)が、連携情報を生成する(ステップS104)。 Next, when the communication unit (102) of the first cooperation server device (100) receives the cooperation destination server information transmitted in the process of step S103, the control unit (103) of the first cooperation server device (100) Under the control, the cooperation information generation unit (105) of the first cooperation server device (100) generates the cooperation information (step S104).
次いで、第1連携サーバ装置(100)の認証情報生成部(106)が、認証情報(SAML v2.0のAssertion)を生成する(ステップS105)。ここで認証情報は、ステップS104の処理で生成された連携情報を含む。 Next, the authentication information generation unit (106) of the first cooperation server device (100) generates authentication information (Assertion of SAML v2.0) (step S105). Here, the authentication information includes the cooperation information generated in the process of step S104.
さらに、第1連携サーバ装置(100)の参照情報生成部(107)が、ステップS104の処理で生成された連携情報に対応する情報である参照情報(SAML v2.0のArtifact)を生成する(ステップS106)。連携情報は認証情報に含まれるから、参照情報は認証情報に対応する情報と云うことができる。なお、参照情報はアカウントリンキングシステム(1)で転々流通する情報であるから、連携情報よりは容量の小さい情報とする。 Further, the reference information generation unit (107) of the first cooperation server device (100) generates reference information (Artifact of SAML v2.0) that is information corresponding to the cooperation information generated in the process of step S104 ( Step S106). Since the linkage information is included in the authentication information, the reference information can be said to be information corresponding to the authentication information. Note that the reference information is information that circulates frequently in the account linking system (1), so that the information is smaller in capacity than the linkage information.
そして、第1連携サーバ装置(100)のメッセージ生成部(108)が、ステップS106の処理で生成された参照情報を含むメッセージを生成する(ステップS107)。 And the message production | generation part (108) of a 1st cooperation server apparatus (100) produces | generates the message containing the reference information produced | generated by the process of step S106 (step S107).
この段階を経ると、第1連携サーバ装置(100)のDB管理部(109)が、第1ユーザ情報管理データベース(101)に、図5(a)に示すように、本人認証された第1ユーザ情報(ID)、連携情報、連携先サーバ情報(IDP2)、認証情報および参照情報を相互に対応付けて登録する(ステップS107a)。なお、認証情報および参照情報はテンポラリな情報として登録されている。 After this stage, the DB management unit (109) of the first cooperation server device (100) is authenticated in the first user information management database (101) as shown in FIG. 5 (a). User information (ID), linkage information, linkage destination server information (IDP2), authentication information, and reference information are registered in association with each other (step S107a). The authentication information and reference information are registered as temporary information.
第1連携サーバ装置(100)の通信部(102)が、第1連携サーバ装置(100)の制御部(103)による制御を受けて、ステップS107の処理で生成されたメッセージを第1クライアント装置(10)に送信する(ステップS108)。これは、SAML要求プロトコル<Request>に対するSAML応答プロトコル<Response>である。 The communication unit (102) of the first linkage server device (100) receives control of the control unit (103) of the first linkage server device (100), and sends the message generated in the process of step S107 to the first client device. (10) (step S108). This is a SAML response protocol <Response> to the SAML request protocol <Request>.
そして、第1クライアント装置(10)の通信部(13)がステップS108の処理で送信されたメッセージを受信すると、第1クライアント装置(10)の制御部(12)による制御を受けて、第1クライアント装置(10)の通信部(13)は、ステップS108の処理で受信したメッセージを、第2クライアント装置(20)に送信する(ステップS109)。第2クライアント装置(20)の通信部(23)は、このメッセージを受信する。
第1クライアント装置(10)は、第2クライアント装置(20)に対して、メッセージを2次元コードとして提供することもできる。この場合、第1クライアント装置(10)の2次元コード生成手段(図示しない。)は、第1連携サーバ装置(100)から受信したメッセージを表す2次元コードを生成し、当該2次元コードを第1クライアント装置(10)の出力手段(液晶ディスプレイなど)に表示する。そして、第2クライアント装置(20)のカメラなどの入力手段(21)によって2次元コードを撮影することで、第1クライアント装置(10)に保存されるメッセージが第2クライアント装置(20)に送信される。この観点からは、通信部(13)および通信部(23)は、上記のような出力手段、入力手段を含むものとして理解される。また、第1クライアント装置(10)から第2クライアント装置(20)への上記メッセージの提供は、第1クライアント装置(10)から第2クライアント装置(20)に対して、例えば送信処理の如く能動的に実行される場合に限定されず、2次元コードという画像情報を介してメッセージを提供する例からも分かるように、受動的に実行される場合も含まれる。なお、2次元コードを利用する形態は一例に過ぎず、これに限らず赤外線通信や無線通信など別の通信方式を用いて実装しても構わない。
Then, when the communication unit (13) of the first client device (10) receives the message transmitted in the process of step S108, the first client device (10) receives the control by the control unit (12) of the first client device (10), and first The communication unit (13) of the client device (10) transmits the message received in step S108 to the second client device (20) (step S109). The communication unit (23) of the second client device (20) receives this message.
The first client device (10) can also provide a message as a two-dimensional code to the second client device (20). In this case, the two-dimensional code generation means (not shown) of the first client device (10) generates a two-dimensional code representing the message received from the first cooperation server device (100), and the two-dimensional code is 1 Displayed on output means (liquid crystal display or the like) of the client device (10). A message stored in the first client device (10) is transmitted to the second client device (20) by photographing the two-dimensional code by the input means (21) such as a camera of the second client device (20). Is done. From this point of view, the communication unit (13) and the communication unit (23) are understood to include the output unit and the input unit as described above. Further, the provision of the message from the first client device (10) to the second client device (20) is active from the first client device (10) to the second client device (20), for example, as a transmission process. However, the present invention is not limited to a case where the message is executed in a passive manner, and includes a case where the message is executed passively as can be seen from an example in which a message is provided via image information called a two-dimensional code. Note that the form using the two-dimensional code is merely an example, and is not limited to this, and may be implemented using another communication method such as infrared communication or wireless communication.
続いて、第2クライアント装置(20)の通信部(23)が、ステップS109の処理で送信されたメッセージを受信すると、第2クライアント装置(20)の制御部(22)は、第2クライアント装置(20)の通信部(23)を制御して、ID連携要求元(この場合は、第1連携サーバ装置である。ID連携要求元が第1連携サーバ装置であることは、受信したメッセージに含まれる参照情報がSAML v2.0のArtifactであることから判別可能である。SAML v2.0のArtifactにはArtifactの作成元を示す情報が含まれている。)とのID連携を要求するSAML要求プロトコル<Request>を、第2クライアント装置(20)がアクセス可能な第2連携サーバ装置(200)に対して実施する(ステップS110)。この要求プロトコルでは、ステップS109の処理で受信したメッセージから取り出した参照情報が第2連携サーバ装置(200)に送信される。Requestは、第2連携サーバ装置(200)の通信部(202)で受信される。 Subsequently, when the communication unit (23) of the second client device (20) receives the message transmitted in step S109, the control unit (22) of the second client device (20) The communication unit (23) of (20) is controlled, and the ID linkage request source (in this case, the first linkage server device. The fact that the ID linkage request source is the first linkage server device indicates in the received message The reference information included is SAML v2.0 Artifact, which can be discriminated.The SAML v2.0 Artifact includes information indicating the creation source of the Artifact). The request protocol <Request> is executed for the second cooperation server device (200) accessible by the second client device (20) (step S110). In this request protocol, reference information extracted from the message received in step S109 is transmitted to the second cooperation server device (200). The Request is received by the communication unit (202) of the second cooperation server device (200).
次に、ユーザXは、第2クライアント装置(20)の入力手段(21)によって、ユーザアカウント(ID)およびパスワードを入力する。このユーザアカウントは第2クライアント装置(20)に固有のものとする。そして、第2クライアント装置(20)の通信部(23)が、第2クライアント装置(20)の制御部(22)による制御を受けて、入力されたユーザアカウント(ID)およびパスワードを第2連携サーバ装置(200)に送信する(ステップS111)。 Next, the user X inputs a user account (ID) and a password by the input means (21) of the second client device (20). This user account is specific to the second client device (20). The communication unit (23) of the second client device (20) is controlled by the control unit (22) of the second client device (20), and the input user account (ID) and password are second linked. It transmits to the server apparatus (200) (step S111).
次に、第2連携サーバ装置(200)の通信部(202)が、ステップS111の処理で送信されたユーザアカウント(ID)およびパスワードを受信すると、第2連携サーバ装置(200)の制御部(203)による制御を受けて、第2連携サーバ装置(200)の認証部(204)が、受信したユーザアカウント(ID)およびパスワードによる認証を行う(ステップS112)。ここでの認証は、いわゆる本人認証(資格認証)である。 Next, when the communication unit (202) of the second linkage server device (200) receives the user account (ID) and password transmitted in the process of step S111, the control unit (200) of the second linkage server device (200) ( 203), the authentication unit (204) of the second cooperation server device (200) performs authentication using the received user account (ID) and password (step S112). The authentication here is so-called identity authentication (qualification authentication).
次いで(ステップS112の認証が成功した場合)、第2連携サーバ装置(200)の制御部(203)は、第2連携サーバ装置(200)の通信部(202)を制御して、ステップS110の処理で受信した参照情報の作成元であるID連携先(この場合は、第1連携サーバ装置である。)とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS113)。この要求プロトコルでは、ステップS110の処理で受信した参照情報がRequest(連携要求を示す情報である要求情報に相当する。)に含まれて第1連携サーバ装置(100)に送信される。つまり、参照情報を、第1連携サーバ装置(100)に直接(第1クライアント装置あるいは第2クライアント装置を経由することなく)送信する。 Next (when the authentication in step S112 is successful), the control unit (203) of the second cooperation server device (200) controls the communication unit (202) of the second cooperation server device (200), so that The SAML request protocol <Request> for requesting ID linkage with the ID linkage destination (in this case, the first linkage server device) that is the creation source of the reference information received in the process is executed (step S113). In this request protocol, the reference information received in the process of step S110 is included in Request (corresponding to request information that is information indicating a cooperation request) and transmitted to the first cooperation server device (100). That is, the reference information is transmitted directly (without going through the first client device or the second client device) to the first cooperation server device (100).
そして、第1連携サーバ装置(100)の通信部(102)がステップS113の処理で実施されたSAML要求プロトコル<Request>を受けると、第1連携サーバ装置(100)の制御部(103)による制御を受けて、第1連携サーバ装置(100)の通信部(102)は、連携情報を含む認証情報(受信した参照情報に対応する。)を、第2連携サーバ装置(200)に直接送信する(ステップS114)。これは、SAML要求プロトコル<Request>に対するSAML応答プロトコル<Response>である。 And if the communication part (102) of a 1st cooperation server apparatus (100) receives SAML request protocol <Request> implemented by the process of step S113, it will be by the control part (103) of a 1st cooperation server apparatus (100). Under control, the communication unit (102) of the first cooperation server device (100) directly transmits the authentication information including the cooperation information (corresponding to the received reference information) to the second cooperation server device (200). (Step S114). This is a SAML response protocol <Response> to the SAML request protocol <Request>.
次に、第2連携サーバ装置(200)の通信部(202)が、ステップS114の処理で送信された認証情報を受信すると、第2連携サーバ装置(200)の制御部(203)による制御を受けて、第2連携サーバ装置(200)のDB管理部(205)が、第2ユーザ情報管理データベース(201)に、図5(b)に示すように、本人認証された第2ユーザ情報(ID)、認証情報から取り出した連携情報、参照情報で判別するID連携先を示す連携先サーバ情報(IDP1)を対応付けて登録する(ステップS115)。 Next, when the communication unit (202) of the second cooperation server device (200) receives the authentication information transmitted in the process of step S114, the control unit (203) of the second cooperation server device (200) performs control. In response, the DB management unit (205) of the second cooperation server device (200) stores the second user information (authenticated) in the second user information management database (201) as shown in FIG. ID), linkage information extracted from the authentication information, and linkage destination server information (IDP1) indicating the ID linkage destination determined by the reference information are registered in association with each other (step S115).
そして、第2連携サーバ装置(200)の制御部(203)は、第2連携サーバ装置(200)の通信部(202)を制御して、第2クライアント装置(20)に対して、ID連携が完了したことを通知するSAML応答プロトコル<Response>を実施する(ステップS116)。 And the control part (203) of a 2nd cooperation server apparatus (200) controls the communication part (202) of a 2nd cooperation server apparatus (200), ID cooperation is carried out with respect to a 2nd client apparatus (20). The SAML response protocol <Response> for notifying that the process has been completed is executed (step S116).
第1実施形態では、マルチチャネル認証技術とのマッチングの観点から、認証フェーズを含むものとしてアカウントリンキング方法を説明したが、アカウントリンキング自体では認証フェーズは必須でない。つまり、ステップS101、S102、S111、S112の各処理は、アカウントリンキングに付随して行うことができる任意の処理である。ステップS101、S102、S111、S112の各処理を不要とする形態だけで無く、例えば、ステップS101、S102、S111、S112の各処理を、アカウントリンキングのプリプロセスとして予め行なっておくという形態が考えられる。 In the first embodiment, the account linking method is described as including the authentication phase from the viewpoint of matching with the multi-channel authentication technology, but the authentication phase is not essential in the account linking itself. That is, the processes in steps S101, S102, S111, and S112 are arbitrary processes that can be performed in association with account linking. In addition to a form that does not require the processes of steps S101, S102, S111, and S112, for example, a form in which the processes of steps S101, S102, S111, and S112 are performed in advance as a preprocess for account linking is conceivable. .
第1実施形態では、SAMLに準拠してアカウントリンキング方法を説明したので、連携先の連携サーバ装置は参照情報(SAML v2.0のArtifact)から判別できた。しかし、参照情報が、参照情報の作成元を示すものでない場合には、別途に連携先サーバ情報を生成して参照情報に添付するか、参照情報を連携先サーバ情報を含むものとして生成すればよい。 In the first embodiment, since the account linking method has been described in conformity with SAML, the cooperation server device of the cooperation destination can be determined from the reference information (Artifact of SAML v2.0). However, if the reference information does not indicate the creation source of the reference information, it is necessary to separately generate the linkage destination server information and attach it to the reference information, or generate the reference information as including the linkage destination server information. Good.
《第2実施形態》
第1実施形態では、第1連携サーバ装置(100)と第2連携サーバ装置(200)とが相互に通信可能な通信環境を想定していた。第2実施形態では、第1連携サーバ装置(100)と第2連携サーバ装置(200)とが相互に通信可能ではない通信環境を想定する。但し、両者が相互に通信可能ではない場合にのみ、この第2実施形態が適用しえる趣旨ではない。両者が相互に通信可能な環境であっても、この第2実施形態を適用しえる。
第2実施形態では、第1連携サーバ装置(100)と第2連携サーバ装置(200)とは相互に通信可能であることが保証されないものの、第2クライアント装置(20)は、第2アクセスネットワーク(32)、インターネット(33)、第1アクセスネットワーク(31)を経由して第1連携サーバ装置(100)にアクセスすることは可能とする。
<< Second Embodiment >>
In the first embodiment, a communication environment is assumed in which the first linkage server device (100) and the second linkage server device (200) can communicate with each other. In the second embodiment, a communication environment is assumed in which the first cooperation server device (100) and the second cooperation server device (200) cannot communicate with each other. However, this does not mean that the second embodiment can be applied only when the two cannot communicate with each other. Even in an environment where both can communicate with each other, the second embodiment can be applied.
In the second embodiment, although it is not guaranteed that the first cooperation server device (100) and the second cooperation server device (200) can communicate with each other, the second client device (20) (32) It is possible to access the first linkage server device (100) via the Internet (33) and the first access network (31).
図6は、本発明の第2実施形態における実行シーケンスの一例を示している。この実行シーケンスを実行するためのシステム構成と各装置に必要な機能構成の一例は、図4に示す機能構成例と同じとする。図11(a)および図11(b)は、この実行シーケンスを実行する際に、第1連携サーバ装置(100)および第2連携サーバ装置(200)が各自で保持するユーザ情報管理データベースで管理する情報とそのデータベース構成を示している。参照情報は少なくともこの実行シーケンスを実行する際に一時的にユーザ情報管理データベースで管理する必要がある情報であり、それ以外は長期的にユーザ情報管理データベースに保存される情報を示す。第2実施形態では、第1連携サーバ装置(100)が連携情報を発行する。 FIG. 6 shows an example of an execution sequence in the second embodiment of the present invention. An example of the system configuration for executing this execution sequence and the functional configuration necessary for each apparatus are the same as the functional configuration example shown in FIG. FIG. 11A and FIG. 11B are managed by the user information management database held by each of the first cooperation server device (100) and the second cooperation server device (200) when executing this execution sequence. Information and its database configuration. The reference information is information that needs to be temporarily managed in the user information management database at least when executing this execution sequence, and other information indicates information stored in the user information management database for a long time. In the second embodiment, the first cooperation server device (100) issues cooperation information.
まず、ステップS201、ステップS202、ステップS203の各処理を順次に行うが、ステップS201はステップS101、ステップS202はステップS102、ステップS203はステップS103に同じであるから、説明を略する。 First, each process of step S201, step S202, and step S203 is sequentially performed. However, step S201 is the same as step S101, step S202 is the same as step S102, and step S203 is the same as step S103, and thus the description thereof is omitted.
ステップS203の処理に続いて、第1連携サーバ装置(100)の通信部(102)が、ステップS203の処理で送信された連携先サーバ情報(IDP2)を受信すると、第1連携サーバ装置(100)の制御部(103)による制御を受けて、第1連携サーバ装置(100)の参照情報生成部(107)が、参照情報(SAML v2.0のRelayStateなど)を生成する(ステップS204)。 Following the processing in step S203, when the communication unit (102) of the first cooperation server device (100) receives the cooperation destination server information (IDP2) transmitted in the processing in step S203, the first cooperation server device (100 ), The reference information generation unit (107) of the first linkage server device (100) generates reference information (such as RelayState of SAML v2.0) (step S204).
続いて、第1連携サーバ装置(100)のメッセージ生成部(108)が、ステップS204の処理で生成された参照情報を含むメッセージを生成する(ステップS205)。
この段階を経ると、第1連携サーバ装置(100)のDB管理部(109)が、第1ユーザ情報管理データベース(101)に、図11(a)に示すように、本人認証された第1ユーザ情報(ID)、連携先サーバ情報および参照情報を相互に対応付けて登録している。なお、参照情報はテンポラリな情報として登録される。
Subsequently, the message generator (108) of the first cooperation server device (100) generates a message including the reference information generated in the process of step S204 (step S205).
After this stage, the DB management unit (109) of the first linkage server device (100) is authenticated in the first user information management database (101) as shown in FIG. 11 (a). User information (ID), cooperation destination server information, and reference information are registered in association with each other. The reference information is registered as temporary information.
ステップS205の処理に続いてステップS206およびステップS207の処理を順次に行うが、ステップS206はステップS108、ステップS207はステップS109に同じであるから、説明を略する。 Subsequent to the process of step S205, the processes of step S206 and step S207 are sequentially performed. Since step S206 is the same as step S108 and step S207 is the same as step S109, the description thereof is omitted.
第2クライアント装置(20)の通信部(23)が、ステップS207の処理で送信されたメッセージを受信すると、ユーザXは、第2クライアント装置(20)の入力手段(21)によって、ユーザアカウント(ID)およびパスワードを入力する。このユーザアカウントは第2クライアント装置(20)に固有のものとする。そして、第2クライアント装置(20)の通信部(23)が、第2クライアント装置(20)の制御部(22)による制御を受けて、入力されたユーザアカウント(ID)、パスワードおよびステップS207の処理で送信されたメッセージから取り出した参照情報を第2連携サーバ装置(200)に送信する(ステップS208)。 When the communication unit (23) of the second client device (20) receives the message transmitted in the process of step S207, the user X uses a user account (21) by the input means (21) of the second client device (20). ID) and password. This user account is specific to the second client device (20). Then, the communication unit (23) of the second client device (20) is controlled by the control unit (22) of the second client device (20) to input the user account (ID), password, and step S207. The reference information extracted from the message transmitted in the process is transmitted to the second cooperation server device (200) (step S208).
次に、第2連携サーバ装置(200)の通信部(202)が、ステップS208の処理で送信されたユーザアカウント(ID)、パスワードおよび参照情報を受信すると、第2連携サーバ装置(200)の制御部(203)による制御を受けて、第2連携サーバ装置(200)の認証部(204)が、受信したユーザアカウント(ID)およびパスワードによる認証を行う(ステップS209)。ここでの認証は、いわゆる本人認証(資格認証)である。 Next, when the communication unit (202) of the second cooperative server device (200) receives the user account (ID), password, and reference information transmitted in the process of step S208, the second cooperative server device (200) Under the control of the control unit (203), the authentication unit (204) of the second cooperation server device (200) performs authentication using the received user account (ID) and password (step S209). The authentication here is so-called identity authentication (qualification authentication).
続いて、第2クライアント装置(20)の制御部(22)は、第2クライアント装置(20)の通信部(23)を制御して、第2クライアント装置(20)がアクセス可能な第2連携サーバ装置(200)に対して、ID連携要求元(この場合は、第1連携サーバ装置である。)とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS210)。この要求プロトコルでは、ステップS207の処理で受信したメッセージから取り出した参照情報が第2連携サーバ装置(200)に送信される。
この段階を経ると、第2連携サーバ装置(200)のDB管理部(205)が、第2ユーザ情報管理データベース(201)に、図11(b)に示すように、本人認証された第2ユーザ情報(ID)、参照情報で判別するID連携先を示す連携先サーバ情報、および参照情報を対応付けて登録している。なお、参照情報はテンポラリな情報として登録される。
Subsequently, the control unit (22) of the second client device (20) controls the communication unit (23) of the second client device (20) so that the second client device (20) can access the second cooperation. A SAML request protocol <Request> for requesting ID linkage with the ID linkage request source (in this case, the first linkage server device) is executed for the server device (200) (step S210). In this request protocol, the reference information extracted from the message received in the process of step S207 is transmitted to the second cooperation server device (200).
After this stage, the DB management unit (205) of the second cooperation server device (200) is authenticated in the second user information management database (201) as shown in FIG. User information (ID), cooperation destination server information indicating an ID cooperation destination determined by reference information, and reference information are registered in association with each other. The reference information is registered as temporary information.
第2連携サーバ装置(200)の通信部(202)が、ステップS210の処理で実施されたRequestを受信すると、第2連携サーバ装置(200)の制御部(203)は、第2連携サーバ装置(200)の通信部(202)を制御して、ID連携要求元(この場合は、第2連携サーバ装置である。)とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS211)。このSAML要求プロトコル<Request>は、第2連携サーバ装置(200)から第2クライアント装置(20)のWebブラウザをリダイレクトして第1連携サーバ装置(100)へID連携を要求することで行なう。リダイレクトは、HTTP Redirectや、GET、POSTメソッドを利用して第2クライアント装置(20)のWebブラウザ経由で行う。このときRequestには参照情報を含む。 When the communication unit (202) of the second cooperation server device (200) receives the Request executed in the process of step S210, the control unit (203) of the second cooperation server device (200) The communication unit (202) of (200) is controlled to execute the SAML request protocol <Request> for requesting ID cooperation with the ID cooperation request source (in this case, the second cooperation server device) (step) S211). This SAML request protocol <Request> is performed by redirecting the Web browser of the second client device (20) from the second cooperation server device (200) and requesting ID cooperation from the first cooperation server device (100). The redirection is performed via the Web browser of the second client device (20) using HTTP Redirect, GET, or POST method. At this time, the Request includes reference information.
次に、第1連携サーバ装置(100)の通信部(102)が、ステップS211の処理で送信されたRequestを受信すると、第1連携サーバ装置(100)の制御部(103)による制御を受けて、第1連携サーバ装置(100)の連携情報生成部(105)が、ステップS211の処理で受信した参照情報に対応する認証されたID(第1ユーザ情報)に対して連携情報を生成する(ステップS212)。 Next, when the communication unit (102) of the first cooperation server device (100) receives the Request transmitted in the process of step S211, the control unit (103) of the first cooperation server device (100) receives control. Then, the cooperation information generation unit (105) of the first cooperation server device (100) generates the cooperation information for the authenticated ID (first user information) corresponding to the reference information received in the process of step S211. (Step S212).
次いで、第1連携サーバ装置(100)の認証情報生成部(106)が、認証情報を生成する(ステップS213)。ここで認証情報はSAML v2.0のAssertionであり、ステップS212の処理で生成された連携情報を含む。 Next, the authentication information generation unit (106) of the first cooperation server device (100) generates authentication information (step S213). Here, the authentication information is SAML v2.0 Assertion, and includes the cooperation information generated in the process of step S212.
この段階を経ると、第1連携サーバ装置(100)のDB管理部(109)が、第1ユーザ情報管理データベース(101)に、図11(a)に示すように、本人認証された第1ユーザ情報(ID)、連携情報、連携先サーバ情報(IDP2)、認証情報および参照情報を相互に対応付けて登録する(ステップS213a)。なお、認証情報はテンポラリな情報として登録されている。 After this stage, the DB management unit (109) of the first linkage server device (100) is authenticated in the first user information management database (101) as shown in FIG. 11 (a). User information (ID), linkage information, linkage destination server information (IDP2), authentication information, and reference information are registered in association with each other (step S213a). The authentication information is registered as temporary information.
次に、第1連携サーバ装置(100)の制御部(103)は、第1連携サーバ装置(100)の通信部(102)を制御して、ステップS213の処理で生成した認証情報を、第2クライアント装置(20)のWebブラウザをリダイレクトして第2連携サーバ装置(200)へ送信する(ステップS214)。 Next, the control unit (103) of the first linkage server device (100) controls the communication unit (102) of the first linkage server device (100), and the authentication information generated in the process of step S213 is 2. The Web browser of the client device (20) is redirected and transmitted to the second cooperation server device (200) (step S214).
次に、第2連携サーバ装置(200)の通信部(202)が、ステップS214の処理で送信された認証情報を受信すると、第2連携サーバ装置(200)の制御部(203)による制御を受けて、第2連携サーバ装置(200)のDB管理部(205)が、第2ユーザ情報管理データベース(201)に、図11(b)に示すように、本人認証された第2ユーザ情報(ID)、連携情報、連携先サーバ情報を相互に対応付けて登録する。(ステップS215)。 Next, when the communication unit (202) of the second cooperation server device (200) receives the authentication information transmitted in the process of step S214, the control unit (203) of the second cooperation server device (200) performs control. In response, the DB management unit (205) of the second cooperation server device (200) stores the second user information (authenticated) in the second user information management database (201) as shown in FIG. ID), linkage information, and linkage destination server information are registered in association with each other. (Step S215).
そして、第2連携サーバ装置(200)の制御部(203)は、第2連携サーバ装置(200)の通信部(202)を制御して、第1クライアント装置(10)に対して、ID連携が完了したことを通知するSAML応答プロトコル<Response>を実施する(ステップS216)。 And the control part (203) of a 2nd cooperation server apparatus (200) controls the communication part (202) of a 2nd cooperation server apparatus (200), ID cooperation is carried out with respect to a 1st client apparatus (10). The SAML response protocol <Response> for notifying that the process has been completed is executed (step S216).
第1実施形態のステップS111の処理では、第2実施形態のステップS208と同様の処理でありながら参照情報を送っておらず、一方、ステップS208の処理では参照情報も併せて送っている。参照情報が、第1連携サーバ装置(100)と第2連携サーバ装置(200)との間で連携情報を手掛かりに共有されることに留意すると、同じ参照情報が第1ユーザ情報と第2ユーザ情報のそれぞれに対応付けられる必要がある。第1連携サーバ装置(100)が第1クライアント装置(10)からID連携要求を受けて参照情報を生成するから、第1ユーザ情報と参照情報との対応付けには齟齬が生じない。しかし、第2連携サーバ装置(200)にとって参照情報は外部から入手される情報であるから、参照情報と第2ユーザ情報との対応付けに齟齬が生じないようにする必要がある。従って、一般的には、第2実施形態のステップS208の処理のように、第2クライアント装置(20)を用いたユーザ認証の際に、第2連携サーバ装置(200)に参照情報を提供することで、第2ユーザ情報と参照情報との対応付けに齟齬が生じないようにする。勿論、参照情報と第2ユーザ情報との対応付けに齟齬を生じない方法であればよいから、第2クライアント装置(20)を用いたユーザ認証の際に、第2連携サーバ装置(200)に参照情報を提供することに限定するものではない。ここで述べたことは、後述する第3実施形態、第4実施形態も同様である。 In the process of step S111 of the first embodiment, the reference information is not sent although it is the same process as step S208 of the second embodiment, while the reference information is also sent together in the process of step S208. When it is noted that the reference information is shared between the first cooperation server device (100) and the second cooperation server device (200), the same reference information is the first user information and the second user. It needs to be associated with each piece of information. Since the first cooperation server device (100) receives the ID cooperation request from the first client device (10) and generates the reference information, there is no wrinkle in the association between the first user information and the reference information. However, since the reference information is information obtained from the outside for the second linkage server apparatus (200), it is necessary to prevent wrinkles in the association between the reference information and the second user information. Therefore, generally, reference information is provided to the second cooperative server device (200) during user authentication using the second client device (20) as in the process of step S208 of the second embodiment. Thus, no wrinkles occur in the association between the second user information and the reference information. Of course, any method can be used as long as the reference information and the second user information are not associated with each other. Therefore, when the user authentication using the second client device (20) is performed, the second cooperation server device (200) It is not limited to providing reference information. What has been described here is the same in the third and fourth embodiments described later.
この点、第1実施形態においても、参照情報の提供を伴うステップS111、次にステップS112、続いてステップS110の順番で各処理を行うことが考えられる。勿論、このような方法でもよいのであるが、第1実施形態では、第2クライアント装置(20)から参照情報を第2連携サーバ装置(200)に送信するステップS110の処理を先行させることで、ステップS111の処理では参照情報の提供が不要となっている。
逆に云えば、第2実施形態でも、参照情報の提供を伴うステップS210、次に参照情報の提供を伴わないステップS208、続いてステップS209の順番で各処理を行うことが考えられる(後述する第3実施形態、第4実施形態も同様である。)。
In this regard, also in the first embodiment, it is conceivable to perform each processing in the order of step S111 accompanied by provision of reference information, then step S112, and then step S110. Of course, such a method may be used, but in the first embodiment, the process of step S110 for transmitting the reference information from the second client device (20) to the second cooperation server device (200) is preceded. In the process of step S111, provision of reference information is unnecessary.
Conversely, in the second embodiment as well, it is conceivable to perform each processing in the order of step S210 with provision of reference information, next step S208 without provision of reference information, and then step S209 (described later). The same applies to the third embodiment and the fourth embodiment.)
第2実施形態では、第1実施形態と同様に、マルチチャネル認証技術とのマッチングの観点から、認証フェーズを含むものとしてアカウントリンキング方法を説明したが、アカウントリンキング自体では認証フェーズは必須でない。つまり、ステップS201、S202、S208、S209の各処理は、アカウントリンキングに付随して行うことができる任意の処理である。ステップS201、S202、S208、S209の各処理を不要とする形態だけで無く、例えば、ステップS201、S202、S208、S209の各処理を、アカウントリンキングのプリプロセスとして予め行なっておくという形態が考えられる。但し、第2連携サーバ装置(200)では、第2クライアント装置(20)から参照情報の提供を受けたときに、第2ユーザ情報管理データベース(201)で、第2ユーザ情報に参照情報を対応付けておく。ここで述べたことは、後述する第3実施形態、第4実施形態も同様である。 In the second embodiment, as in the first embodiment, the account linking method is described as including the authentication phase from the viewpoint of matching with the multi-channel authentication technique, but the authentication phase is not essential in the account linking itself. That is, the processes in steps S201, S202, S208, and S209 are arbitrary processes that can be performed in association with account linking. In addition to a mode that does not require the processing of steps S201, S202, S208, and S209, for example, a mode in which the processing of steps S201, S202, S208, and S209 is performed in advance as a preprocess for account linking is conceivable. . However, in the second cooperation server device (200), when the reference information is provided from the second client device (20), the second user information management database (201) corresponds the reference information to the second user information. I'll add it. What has been described here is the same in the third and fourth embodiments described later.
第2実施形態では、SAMLに準拠してアカウントリンキング方法を説明したので、連携先の連携サーバ装置は参照情報(SAML v2.0のRelayStateなど)から判別できた。しかし、参照情報が、参照情報の作成元を示すものでない場合には、別途に連携先サーバ情報を生成して参照情報に添付するか、参照情報を連携先サーバ情報を含むものとして生成すればよい(後述する第3実施形態、第4実施形態も同様である。)。 In the second embodiment, since the account linking method has been described in conformity with SAML, the cooperation server device of the cooperation destination can be determined from the reference information (such as RelayState of SAML v2.0). However, if the reference information does not indicate the creation source of the reference information, it is necessary to separately generate the linkage destination server information and attach it to the reference information, or generate the reference information as including the linkage destination server information. Good (the same applies to the third and fourth embodiments described later).
《第3実施形態》
第3実施形態では、第2実施形態と同様、第1連携サーバ装置(100)と第2連携サーバ装置(200)とが相互に通信可能ではない通信環境を想定する。但し、両者が相互に通信可能ではない場合にのみ、この第3実施形態が適用しえる趣旨ではない。両者が相互に通信可能な環境であっても、この第3実施形態を適用しえる。
第3実施形態では、第1連携サーバ装置(100)と第2連携サーバ装置(200)とは相互に通信可能であることが保証されないものの、第1クライアント装置(10)は、第1アクセスネットワーク(31)、インターネット(33)、第2アクセスネットワーク(32)を経由して第2連携サーバ装置(200)にアクセスすることは可能とする。
<< Third Embodiment >>
In the third embodiment, as in the second embodiment, a communication environment is assumed in which the first cooperation server device (100) and the second cooperation server device (200) are not communicable with each other. However, this third embodiment is not intended to be applied only when both cannot communicate with each other. Even in an environment where both can communicate with each other, the third embodiment can be applied.
In the third embodiment, although it is not guaranteed that the first cooperation server device (100) and the second cooperation server device (200) can communicate with each other, the first client device (10) (31) It is possible to access the second linkage server device (200) via the Internet (33) and the second access network (32).
図7は、本発明の第3実施形態における実行シーケンスの一例を示している。図8は、この実行シーケンスを実行するためのシステム構成と各装置に必要な機能の一例を示している。図11は、この実行シーケンスを実行する際に、第1連携サーバ装置(100)および第2連携サーバ装置(200)が各自で保持するユーザ情報管理データベースで管理する情報とそのデータベース構成を示している。参照情報は少なくともこの実行シーケンスを実行する際に一時的にユーザ情報管理データベースで管理する必要がある情報であり、それ以外は長期的にユーザ情報管理データベースに保存される情報を示す。第2実施形態では、第2連携サーバ装置(200)が連携情報を発行する。 FIG. 7 shows an example of an execution sequence in the third embodiment of the present invention. FIG. 8 shows an example of a system configuration for executing this execution sequence and functions necessary for each device. FIG. 11 shows the information managed by the user information management database held by the first cooperation server device (100) and the second cooperation server device (200) and the database configuration when executing this execution sequence. Yes. The reference information is information that needs to be temporarily managed in the user information management database at least when executing this execution sequence, and other information indicates information stored in the user information management database for a long time. In the second embodiment, the second cooperation server device (200) issues cooperation information.
まず、ステップS301〜ステップS309の各処理を順次に行うが、ステップS301はステップS201、ステップS302はステップS202、ステップS303はステップS203、ステップS304はステップS204、ステップS305はステップS205、ステップS306はステップS206、ステップS307はステップS207、ステップS308はステップS208、ステップS309はステップS209に同じであるから、説明を略する。 First, each process of step S301 to step S309 is sequentially performed. Step S301 is step S201, step S302 is step S202, step S303 is step S203, step S304 is step S204, step S305 is step S205, and step S306 is step. Steps S206 and S307 are the same as step S207, step S308 is the same as step S208, and step S309 is the same as step S209.
第1クライアント装置(10)の制御部(12)は、第1クライアント装置(10)の通信部(13)を制御して、第1クライアント装置(10)がアクセス可能な第1連携サーバ装置(100)に対して、ID連携要求先(この場合は、第2連携サーバ装置である。)とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS310)。この要求プロトコルでは、ステップS306の処理で受信したメッセージから取り出した参照情報が第1連携サーバ装置(100)に送信される。 The control unit (12) of the first client device (10) controls the communication unit (13) of the first client device (10) so that the first client device (10) can access the first cooperation server device ( 100), the SAML request protocol <Request> for requesting ID cooperation with the ID cooperation request destination (in this case, the second cooperation server device) is executed (step S310). In this request protocol, reference information extracted from the message received in step S306 is transmitted to the first cooperation server device (100).
ステップS310の処理の後、第1連携サーバ装置(100)の制御部(103)は、第1連携サーバ装置(100)の通信部(102)を制御して、ID連携要求元(この場合は、第1連携サーバ装置である。)とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS311)。このSAML要求プロトコル<Request>は、第1連携サーバ装置(100)から第1クライアント装置(10)のWebブラウザをリダイレクトして第2連携サーバ装置(200)へID連携を要求することで行なう。リダイレクトは、HTTP Redirectや、GET、POSTメソッドを利用して第1クライアント装置(10)のWebブラウザ経由で行う。このときRequestには参照情報を含む。 After the process of step S310, the control unit (103) of the first linkage server device (100) controls the communication unit (102) of the first linkage server device (100) to obtain the ID linkage request source (in this case). The SAML request protocol <Request> for requesting ID cooperation with the first cooperation server apparatus is implemented (step S311). This SAML request protocol <Request> is performed by redirecting the Web browser of the first client device (10) from the first cooperation server device (100) and requesting ID cooperation from the second cooperation server device (200). Redirection is performed via the Web browser of the first client device (10) using HTTP Redirect, GET, and POST methods. At this time, the Request includes reference information.
次に、第2連携サーバ装置(100)の通信部(202)が、ステップS311の処理で送信されたRequestを受信すると、第2連携サーバ装置(200)の制御部(203)による制御を受けて、第2連携サーバ装置(200)の連携情報生成部(206)が、ステップS311の処理で受信した参照情報に対応する認証されたID(第2ユーザ情報)に対して連携情報を生成する(ステップS312)。 Next, when the communication unit (202) of the second cooperation server device (100) receives the Request transmitted in the process of step S311, the control unit (203) of the second cooperation server device (200) receives control. Then, the cooperation information generation unit (206) of the second cooperation server device (200) generates the cooperation information for the authenticated ID (second user information) corresponding to the reference information received in the process of step S311. (Step S312).
この段階を経ると、第2連携サーバ装置(200)のDB管理部(205)が、第2ユーザ情報管理データベース(201)に、図11(b)に示すように、本人認証された第2ユーザ情報(ID)、連携情報、必要に応じて連携先サーバ情報および参照情報を相互に対応付けて登録する(ステップS312a)。なお、参照情報は削除されても構わない。 After this stage, the DB management unit (205) of the second cooperation server device (200) is authenticated in the second user information management database (201) as shown in FIG. User information (ID), linkage information, and linkage destination server information and reference information as necessary are registered in association with each other (step S312a). Note that the reference information may be deleted.
次いで、第2連携サーバ装置(200)の認証情報生成部(207)が、認証情報を生成する(ステップS313)。ここで認証情報はSAML v2.0のAssertionであり、ステップS312の処理で生成された連携情報を含む。 Next, the authentication information generation unit (207) of the second cooperation server device (200) generates authentication information (step S313). Here, the authentication information is SAML v2.0 Assertion and includes the cooperation information generated in the process of step S312.
次に、第2連携サーバ装置(200)の制御部(203)は、第2連携サーバ装置(200)の通信部(202)を制御して、ステップS313の処理で生成した認証情報を第1クライアント装置(10)のWebブラウザをリダイレクトして第1連携サーバ装置(100)へ送信する(ステップS314)。 Next, the control unit (203) of the second cooperation server device (200) controls the communication unit (202) of the second cooperation server device (200), and the authentication information generated in the process of step S313 is the first. The Web browser of the client device (10) is redirected and transmitted to the first cooperation server device (100) (step S314).
次に、第1連携サーバ装置(100)の通信部(102)が、ステップS314の処理で送信された認証情報を受信すると、第1連携サーバ装置(100)の制御部(103)による制御を受けて、第1連携サーバ装置(100)のDB管理部(105)が、第1ユーザ情報管理データベース(101)に、図11(a)に示すように、本人認証された第1ユーザ情報(ID)、連携情報、連携先サーバ情報を相互に対応付けて登録する(ステップS315)。 Next, when the communication unit (102) of the first cooperation server device (100) receives the authentication information transmitted in the process of step S314, the control unit (103) of the first cooperation server device (100) performs control. In response to this, the DB management unit (105) of the first cooperation server device (100) stores the first user information (FIG. 11A) in which the user is authenticated as shown in FIG. ID), linkage information, and linkage destination server information are registered in association with each other (step S315).
そして、第1連携サーバ装置(200)の制御部(203)は、第2連携サーバ装置(200)の通信部(202)を制御して、第1クライアント装置(10)に対して、ID連携が完了したことを通知するSAML応答プロトコル<Response>を実施する(ステップS316)。 And the control part (203) of a 1st cooperation server apparatus (200) controls the communication part (202) of a 2nd cooperation server apparatus (200), and is ID cooperation with respect to a 1st client apparatus (10). The SAML response protocol <Response> for notifying that the process has been completed is executed (step S316).
《第4実施形態》
第4実施形態では、第3実施形態と同様の通信環境を想定する。第4実施形態は、第3実施形態の変形的な形態である。
<< 4th Embodiment >>
In the fourth embodiment, a communication environment similar to that in the third embodiment is assumed. The fourth embodiment is a modified form of the third embodiment.
図9は、本発明の第4実施形態における実行シーケンスの一例を示している。図10は、この実行シーケンスを実行するためのシステム構成と各装置に必要な機能の一例を示している。図11は、この実行シーケンスを実行する際に、第1連携サーバ装置(100)および第2連携サーバ装置(200)が各自で保持するユーザ情報管理データベースで管理する情報とそのデータベース構成を示している。参照情報は少なくともこの実行シーケンスを実行する際に一時的にユーザ情報管理データベースで管理する必要がある情報であり、それ以外は長期的にユーザ情報管理データベースに保存される情報を示す。第2実施形態では、第2連携サーバ装置(200)が連携情報を発行する。 FIG. 9 shows an example of an execution sequence in the fourth embodiment of the present invention. FIG. 10 shows an example of a system configuration for executing this execution sequence and functions necessary for each device. FIG. 11 shows the information managed by the user information management database held by the first cooperation server device (100) and the second cooperation server device (200) and the database configuration when executing this execution sequence. Yes. The reference information is information that needs to be temporarily managed in the user information management database at least when executing this execution sequence, and other information indicates information stored in the user information management database for a long time. In the second embodiment, the second cooperation server device (200) issues cooperation information.
まず、ステップS401〜ステップS404の各処理を順次に行うが、ステップS401はステップS301、ステップS402はステップS302、ステップS403はステップS303、ステップS404はステップS304に同じであるから、説明を略する。 First, each process of step S401 to step S404 is sequentially performed. However, step S401 is the same as step S301, step S402 is the same as step S302, step S403 is the same as step S303, and step S404 is the same as step S304, and thus description thereof is omitted.
ステップS404の処理に続いて、第1連携サーバ装置(100)の制御部(103)は、第1連携サーバ装置(100)の通信部(102)を制御して、ID連携要求元(この場合は、第1連携サーバ装置である。)とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS405)。このSAML要求プロトコル<Request>は、第1連携サーバ装置(100)から第1クライアント装置(10)のWebブラウザをリダイレクトして第2連携サーバ装置(200)へID連携を要求することで行なう。リダイレクトは、HTTP Redirectや、GET、POSTメソッドを利用して第1クライアント装置(10)のWebブラウザ経由で行う。このときRequestには参照情報を含む。 Subsequent to the processing in step S404, the control unit (103) of the first linkage server device (100) controls the communication unit (102) of the first linkage server device (100) to obtain an ID linkage request source (in this case). Is the first cooperation server device), and executes the SAML request protocol <Request> for requesting the ID cooperation (step S405). This SAML request protocol <Request> is performed by redirecting the Web browser of the first client device (10) from the first cooperation server device (100) and requesting ID cooperation from the second cooperation server device (200). Redirection is performed via the Web browser of the first client device (10) using HTTP Redirect, GET, and POST methods. At this time, the Request includes reference information.
次に、第2連携サーバ装置(200)の通信部(202)が、ステップS405の処理で送信されたRequestを受信すると、第2連携サーバ装置(200)の制御部(203)による制御を受けて、第2連携サーバ装置(200)のメッセージ生成部(208)が、受信したRequestに含まれる参照情報を含むメッセージを生成する(ステップS406)。 Next, when the communication unit (202) of the second cooperation server device (200) receives the Request transmitted in the process of step S405, the control unit (203) of the second cooperation server device (200) receives control. Then, the message generation unit (208) of the second cooperation server device (200) generates a message including the reference information included in the received Request (Step S406).
次に、第2連携サーバ装置(200)の通信部(202)が、第2連携サーバ装置(200)の制御部(203)による制御を受けて、ステップS406の処理で生成されたメッセージを第1クライアント装置(10)に送信する(ステップS407)。 Next, the communication unit (202) of the second cooperation server device (200) receives the control generated by the process of step S406 in response to the control by the control unit (203) of the second cooperation server device (200). 1 is transmitted to the client device (10) (step S407).
そして、ステップS408〜ステップS410の各処理を順次に行うが、ステップS408はステップS307、ステップS409はステップS308、ステップS410はステップS309に同じであるから、説明を略する。 Steps S408 to S410 are sequentially performed. Step S408 is the same as step S307, step S409 is the same as step S308, and step S410 is the same as step S309.
ステップS410の処理の後、第1クライアント装置(10)の制御部(12)は、第1クライアント装置(10)の通信部(13)を制御して、第2連携サーバ装置(200)に対して、ID連携要求元(この場合は、第1連携サーバ装置である。)とのID連携を要求するSAML要求プロトコル<Request>を実施する(ステップS411)。このとき、RequestにはステップS404の処理で生成された参照情報を含む。 After the process of step S410, the control unit (12) of the first client device (10) controls the communication unit (13) of the first client device (10) to the second cooperation server device (200). Then, the SAML request protocol <Request> for requesting ID cooperation with the ID cooperation request source (in this case, the first cooperation server device) is executed (step S411). At this time, the Request includes the reference information generated in step S404.
ステップS411の処理に続いて、ステップS412〜ステップS416の各処理を順次に行うが、ステップS412はステップS311、ステップS413はステップS312、ステップS414はステップS313、ステップS415はステップS314、ステップS416はステップS315に同じであるから、説明を略する。 Subsequent to step S411, steps S412 to S416 are sequentially performed. Step S412 is step S311, step S413 is step S312, step S414 is step S313, step S415 is step S314, and step S416 is step. Since it is the same as S315, description is abbreviate | omitted.
本発明では、アクセスネットワークとして、固定網や移動網に限定されるものではなく、例えば、無線ネットワークとすることもできる。 In the present invention, the access network is not limited to a fixed network or a mobile network, and may be a wireless network, for example.
上記各実施形態では、2つの連携サーバ装置間でID連携を行なう形態として説明したが、複数の連携サーバ装置間でも、異なる2つの連携サーバ装置間でID連携を行なうことを繰り返すことで、複数の連携サーバ装置間のID連携が実現する。この場合、各連携サーバ装置に保持されるユーザ情報管理データベースでは、各連携サーバ装置に対応するクライアント装置のアカウント(ユーザ情報)に、全ての連携サーバ装置で共通の連携情報と、自身の連携サーバ装置を除く各連携サーバ装置を示す連携先サーバ情報を対応付けて管理すればよい。 In each of the embodiments described above, the ID linkage is performed between the two linkage server devices. However, by repeating the ID linkage between two different linkage server devices, a plurality of linkage server devices can be obtained. ID linkage between the linked server devices is realized. In this case, in the user information management database held in each cooperation server device, the client device account (user information) corresponding to each cooperation server device includes cooperation information common to all cooperation server devices and its own cooperation server. The link destination server information indicating each link server device excluding the device may be managed in association with each other.
各実施形態で述べたように、本発明は、相異なる第1連携サーバ装置と第2連携サーバ装置との間でID連携が実現するものでありながら、標準技術SAMLを利用可能であることも特徴の一つとなっている。 As described in each of the embodiments, the present invention can realize the ID collaboration between the different first cooperation server device and the second cooperation server device, and can use the standard technology SAML. It is one of the features.
さらに、本発明では、各連携サーバ装置が払い出しているIDを連携サーバ装置間で交換することなく、連携サーバ装置間では匿名を保ったままID連携を実現でき、ユーザのプライバシが保たれる。 Furthermore, in the present invention, ID linkage can be realized while maintaining anonymity between the linked server devices without exchanging the IDs paid out by each linked server device between the linked server devices, and the privacy of the user is maintained.
以上の実施形態の他、本発明であるアカウントリンキングシステム・方法は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、各実施形態で説明したアカウントリンキング方法の処理手順は、説明したとおりの順序に限定されるものではない。処理内容から処理の前後を入れ替えることができないものの他は、適宜に処理手順を入れ替えてもよいし、可能であれば並列処理を行ってもよい。 In addition to the above embodiments, the account linking system / method according to the present invention is not limited to the above-described embodiments, and can be appropriately changed without departing from the spirit of the present invention. Further, the processing procedure of the account linking method described in each embodiment is not limited to the order as described. The processing procedure may be switched as appropriate in addition to the processing contents that cannot be switched before and after the processing, and parallel processing may be performed if possible.
また、クライアント装置としては、パソコン、情報家電端末、携帯電話、モバイルPCやPDAなどを用いることができる。これらに例示されるように、クライアント装置は、要するに記憶装置(例えば揮発性メモリ、不揮発性メモリ、ハードディスク)、演算処理装置(例えばCPU)、入力・出力装置(例えばキーボード、ポインティングデバイス、ディスプレイ)、通信装置(例えばLANカード、モデム、通信ケーブル、赤外線通信機、無線通信機)などを備えたコンピュータ(一例として図12参照)によって実現することができる。また、第1連携サーバ装置および第2連携サーバ装置も、上記のようなコンピュータによって実現することができる。 As the client device, a personal computer, an information home appliance terminal, a mobile phone, a mobile PC, a PDA, or the like can be used. As exemplified in these, the client device is basically a storage device (for example, volatile memory, nonvolatile memory, hard disk), an arithmetic processing device (for example, CPU), an input / output device (for example, a keyboard, a pointing device, a display), It can be realized by a computer (see FIG. 12 as an example) provided with a communication device (for example, a LAN card, a modem, a communication cable, an infrared communication device, a wireless communication device). Further, the first cooperation server device and the second cooperation server device can also be realized by the computer as described above.
この場合、コンピュータは、プログラムおよびプログラムの処理に必要なデータを記憶装置に記憶しておき、必要に応じて演算処理装置がプログラムを読み込んで解釈実行することで、上述した各部・各手段(制御部、認証部、連携情報生成部、認証情報生成部、参照情報生成部、メッセージ生成部、DB管理部)の機能を実現する。つまり、例えば、第1クライアント装置(10)としてコンピュータを機能させる場合には、制御部(12)などの機能を実現するに必要なプログラムを演算処理装置が解釈実行することで、これらのうち必要な機能が実現する。このことは第2クライアント装置(20)でも同様である。なお、上記各実施形態で説明したように、標準技術SAML v2.0を用いる場合には、Webブラウザ機能が必要になるから、第1クライアント装置(10)および第2クライアント装置(20)は、Webブラウザ機能を実現するに必要なプログラムを演算処理装置が解釈実行することで、Webブラウザ機能が実現するようにする。さらに云えば、上記各実施形態で説明した第1クライアント装置(10)の各部・各手段の機能の少なくとも一部は、Webブラウザ機能によって実現されるものとしてもよい。以上のことは、第2クライアント装置(20)でも同様である。
また、例えば、第1連携サーバ装置(100)としてコンピュータを機能させる場合には、認証部(104)、参照情報生成部(107)などの機能を実現するに必要なプログラムを演算処理装置が解釈実行することで、上述した機能が実現する。このことは第2連携サーバ装置(200)でも同様である。なお、ユーザ情報管理データベースは、連携サーバ装置の記憶装置に保存される。
In this case, the computer stores the program and data necessary for the processing of the program in a storage device, and the arithmetic processing unit reads the program and interprets and executes the program as necessary, so that each unit and each means (control) Function of the authentication unit, authentication unit, linkage information generation unit, authentication information generation unit, reference information generation unit, message generation unit, DB management unit). In other words, for example, when a computer is caused to function as the first client device (10), the arithmetic processing device interprets and executes a program necessary for realizing the function of the control unit (12), etc. Functions are realized. The same applies to the second client device (20). As described in the above embodiments, when the standard technology SAML v2.0 is used, a Web browser function is required. Therefore, the first client device (10) and the second client device (20) The arithmetic processing unit interprets and executes a program necessary for realizing the Web browser function, thereby realizing the Web browser function. Furthermore, at least a part of the functions of the units and units of the first client device (10) described in the above embodiments may be realized by a Web browser function. The same applies to the second client device (20).
Further, for example, when the computer is caused to function as the first cooperation server device (100), the arithmetic processing device interprets programs necessary for realizing the functions such as the authentication unit (104) and the reference information generation unit (107). By executing, the above-described functions are realized. The same applies to the second cooperation server device (200). Note that the user information management database is stored in the storage device of the cooperation server device.
アカウントリンキングシステムを構成する各装置における処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
When the processing function of each device constituting the account linking system is realized by a computer, the processing content of the function that each device should have is described by a program.
The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used. Specifically, for example, as a magnetic recording device, a hard disk device, a flexible disk, a magnetic tape or the like, and as an optical disk, a DVD (Digital Versatile Disc), a DVD-RAM (Random Access Memory), a CD-ROM (Compact Disc Read Only). Memory), CD-R (Recordable) / RW (ReWritable), etc., magneto-optical recording medium, MO (Magneto-Optical disc), etc., semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory), etc. Can be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
また、コンピュータ上で所定のプログラムを実行させることにより、上記各装置を構成するとしてもよいが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 Each of the above devices may be configured by executing a predetermined program on a computer, but at least a part of the processing contents may be realized in hardware.
本発明によれば、SSOを行なうための前提であるID連携が実現するから、例えば、マルチチャネル認証によるサービス利用(例えば、携帯電話の認証機能を固定網のサービス利用時の認証手段として利用する。)に有用である。
一例を挙げると、所望のオンラインサービスを受けるためのクライアント装置W1と認証を行うためのクライアント装置W2が異なる場合で、クライアント装置W1はサーバ装置Z1に対してアクセス可能であり、クライアント装置W2はサーバ装置Z2に対してアクセス可能である環境下でのマルチチャネル認証によるサービス利用であれば、クライアント装置W1を上記第1クライアント装置、クライアント装置W2を上記第2クライアント装置、サーバ装置Z1を上記第1連携サーバ装置、サーバ装置Z2を上記第2連携サーバ装置に見立てることで、マルチチャネル認証の前提となるアカウントリンキングが本発明によって実現する。
According to the present invention, since ID linkage which is a premise for performing SSO is realized, for example, service use by multi-channel authentication (for example, an authentication function of a mobile phone is used as an authentication means when using a service of a fixed network) .) Is useful.
For example, when the client device W1 for receiving a desired online service is different from the client device W2 for authentication, the client device W1 can access the server device Z1, and the client device W2 is a server. If the service is to be used by multi-channel authentication in an environment where access to the device Z2 is possible, the client device W1 is the first client device, the client device W2 is the second client device, and the server device Z1 is the first device. Account linking which is a precondition for multi-channel authentication is realized by the present invention by regarding the linked server device and the server device Z2 as the second linked server device.
1 第1アクセスネットワーク
2 第2アクセスネットワーク
3 インターネット
10 第1クライアント装置
20 第2クライアント装置
100 第1連携サーバ装置
200 第2連携サーバ装置
101 第1ユーザ情報管理データベース
201 第2ユーザ情報管理データベース
DESCRIPTION OF SYMBOLS 1 1st access network 2 2nd access network 3
Claims (16)
上記アカウントリンキングシステムは、少なくとも、第1連携サーバ装置と、第2連携サーバ装置と、第1クライアント装置と、第2クライアント装置とで構成され、
少なくとも上記第1連携サーバ装置または上記第2連携サーバ装置のいずれかは、上記第1クライアント装置のアカウント(第1ユーザ情報)および上記第2クライアント装置のアカウント(第2ユーザ情報)に共通の情報である連携情報を生成する連携情報生成手段と当該連携情報を自身の連携サーバ装置の外部に提供可能な送信手段A1とを備えるとともに、上記連携情報生成手段および上記送信手段A1とを備えた連携サーバ装置(供給側装置)の相手方の連携サーバ装置(受給側装置)は、上記連携情報を取得する受信手段R1を備えるとし、
上記第1連携サーバ装置は、上記連携情報に対応する情報である参照情報を生成する参照情報生成手段と、当該参照情報を上記第1連携サーバ装置の外部に提供可能な送信手段A2と、第1ユーザ情報管理データベースと、上記第1ユーザ情報管理データベースに少なくとも上記連携情報を登録可能な第1DB管理手段とを備え、
上記第1クライアント装置は、上記参照情報を取得可能な受信手段R2と、取得した上記参照情報を少なくとも上記第2クライアント装置に提供可能な提供手段A3とを備え、
上記第2クライアント装置は、上記参照情報を取得可能な取得手段R3と、取得した上記参照情報を少なくとも上記第2連携サーバ装置に提供可能な送信手段A4とを備え、
上記第2連携サーバ装置は、上記参照情報を取得可能な受信手段R4と、第2ユーザ情報管理データベースと、上記第2ユーザ情報管理データベースに少なくとも上記連携情報を登録可能な第2DB管理手段とを備え、
上記受給側装置は、上記供給側装置で生成された、上記参照情報に対応する上記連携情報を取得し、
上記第1DB管理手段は、上記連携情報を、上記第1ユーザ情報管理データベースに、上記第1ユーザ情報に対応付けて登録し、
上記第2DB管理手段は、上記連携情報を、上記第2ユーザ情報管理データベースに、上記第2ユーザ情報に対応付けて登録する
アカウントリンキングシステム。 An account linking system,
The account linking system includes at least a first cooperation server device, a second cooperation server device, a first client device, and a second client device,
At least one of the first cooperation server device and the second cooperation server device is information common to the account of the first client device (first user information) and the account of the second client device (second user information). A link information generating unit that generates link information and a transmission unit A1 that can provide the link information to the outside of the link server device, and a link that includes the link information generation unit and the transmission unit A1. The partner server device (receiver device) of the other party of the server device (supply device) is provided with a receiving means R1 for acquiring the link information,
The first cooperation server device includes reference information generation means for generating reference information that is information corresponding to the cooperation information, transmission means A2 capable of providing the reference information to the outside of the first cooperation server device, 1 user information management database, and a first DB management means capable of registering at least the linkage information in the first user information management database,
The first client device comprises receiving means R2 capable of acquiring the reference information, and providing means A3 capable of providing the acquired reference information to at least the second client device,
The second client device includes an acquisition unit R3 that can acquire the reference information, and a transmission unit A4 that can provide the acquired reference information to at least the second cooperation server device.
The second cooperation server device includes a receiving means R4 capable of acquiring the reference information, a second user information management database, and a second DB management means capable of registering at least the cooperation information in the second user information management database. Prepared,
The receiving device acquires the cooperation information corresponding to the reference information generated by the supplying device,
The first DB management means registers the linkage information in the first user information management database in association with the first user information,
The account linking system, wherein the second DB management means registers the linkage information in the second user information management database in association with the second user information.
上記受給側装置を、上記第2連携サーバ装置であるとして、
上記第2クライアント装置の上記送信手段A4は、上記参照情報を含む情報である要求情報を送信することで上記第2連携サーバ装置に上記参照情報を提供するものであり、
上記第2連携サーバ装置の上記受信手段R4は、上記要求情報を受信することで上記参照情報を取得するものであり、
上記第2連携サーバ装置は、さらに、上記要求情報を上記第1連携サーバ装置に送信する送信手段A5を備え、
上記第1連携サーバ装置は、さらに、上記第2連携サーバ装置から上記要求情報を受信する受信手段R5を備え、
上記第1連携サーバ装置の上記送信手段A1は、上記要求情報を受信すると、当該要求情報に含まれる参照情報に対応する上記連携情報を上記第2連携サーバ装置に提供するものであり、
上記第2連携サーバ装置の上記受信手段R1は、上記第1連携サーバ装置から上記連携情報を取得するものである
ことを特徴とする請求項1に記載のアカウントリンキングシステム。 The supply side device is the first cooperation server device,
Assuming that the receiving side device is the second cooperative server device,
The transmission means A4 of the second client device provides the reference information to the second cooperative server device by transmitting request information that is information including the reference information.
The receiving means R4 of the second cooperation server device acquires the reference information by receiving the request information,
The second cooperation server device further includes transmission means A5 for transmitting the request information to the first cooperation server device,
The first cooperation server device further includes receiving means R5 for receiving the request information from the second cooperation server device,
Upon receiving the request information, the transmission means A1 of the first linkage server device provides the linkage information corresponding to the reference information included in the request information to the second linkage server device.
2. The account linking system according to claim 1, wherein the receiving unit R <b> 1 of the second linkage server device acquires the linkage information from the first linkage server device.
上記受給側装置を、上記第2連携サーバ装置であるとして、
上記第2クライアント装置の上記送信手段A4は、上記参照情報を含む情報である第1要求情報を送信することで上記第2連携サーバ装置に上記参照情報を提供するものであり、
上記第2連携サーバ装置の上記受信手段R4は、上記第1要求情報を受信することで上記参照情報を取得するものであり、
上記第2連携サーバ装置は、さらに、上記参照情報を含む情報である第2要求情報を上記第2クライアント装置に送信する送信手段A6を備え、
上記第2クライアント装置は、さらに、上記第2連携サーバ装置から送信された上記第2要求情報を上記第1連携サーバ装置に転送する転送手段T1と、上記第1連携サーバ装置から提供された上記連携情報を上記第2連携サーバ装置に転送する転送手段T2と、を備え、
上記第1連携サーバ装置は、さらに、上記第2クライアント装置から上記第2要求情報を受信する受信手段R6を備え、
上記第1連携サーバ装置の上記送信手段A1は、上記第2クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第2クライアント装置に提供するものであり、
上記第2連携サーバ装置の上記受信手段R1は、上記第2クライアント装置から上記連携情報を取得するものである
ことを特徴とする請求項1に記載のアカウントリンキングシステム。 The supply side device is the first cooperation server device,
Assuming that the receiving side device is the second cooperative server device,
The transmission means A4 of the second client device provides the reference information to the second cooperation server device by transmitting first request information that is information including the reference information.
The receiving means R4 of the second cooperation server device acquires the reference information by receiving the first request information,
The second cooperation server device further includes transmission means A6 for transmitting second request information, which is information including the reference information, to the second client device,
The second client device further includes transfer means T1 for transferring the second request information transmitted from the second cooperative server device to the first cooperative server device, and the above-mentioned provided from the first cooperative server device. Transfer means T2 for transferring cooperation information to the second cooperation server device,
The first cooperation server device further includes receiving means R6 for receiving the second request information from the second client device,
When the transmission means A1 of the first cooperation server device receives the second request information from the second client device, the transmission means A1 sends the cooperation information corresponding to the reference information included in the second request information to the second client device. Is to provide
2. The account linking system according to claim 1, wherein the receiving unit R <b> 1 of the second linkage server device acquires the linkage information from the second client device.
上記受給側装置を、上記第1連携サーバ装置であるとして、
上記第1クライアント装置は、さらに、上記第1連携サーバ装置に上記参照情報を含む情報である第1要求情報を送信する送信手段A7を備え、
上記第1連携サーバ装置は、さらに、上記第1クライアント装置から上記第1要求情報を受信する受信手段R7と、上記参照情報を含む情報である第2要求情報を上記第1クライアント装置に送信する送信手段A8を備え、
上記第1クライアント装置は、さらに、上記第1連携サーバ装置から送信された上記第2要求情報を上記第2連携サーバ装置に転送する転送手段T3と、上記第2連携サーバ装置から提供された上記連携情報を上記第1連携サーバ装置に転送する転送手段T4と、を備え、
上記第2連携サーバ装置は、さらに、上記第1クライアント装置から上記第2要求情報を受信する受信手段R7を備え、
上記第2連携サーバ装置の上記送信手段A1は、上記第1クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第1クライアント装置に提供するものであり、
上記第1連携サーバ装置の上記受信手段R1は、上記第1クライアント装置から上記連携情報を取得するものである
ことを特徴とする請求項1に記載のアカウントリンキングシステム。 The supply side device is the second cooperation server device,
Assuming that the receiving device is the first cooperation server device,
The first client device further includes transmission means A7 for transmitting first request information that is information including the reference information to the first cooperation server device,
The first cooperation server device further transmits, to the first client device, receiving means R7 that receives the first request information from the first client device, and second request information that is information including the reference information. A transmission means A8,
The first client device further includes transfer means T3 for transferring the second request information transmitted from the first cooperation server device to the second cooperation server device, and the above-mentioned provided from the second cooperation server device. Transfer means T4 for transferring cooperation information to the first cooperation server device,
The second cooperation server device further includes receiving means R7 for receiving the second request information from the first client device,
When the transmission means A1 of the second cooperation server device receives the second request information from the first client device, the transmission means A1 sends the cooperation information corresponding to the reference information included in the second request information to the first client device. Is to provide
2. The account linking system according to claim 1, wherein the receiving unit R <b> 1 of the first linkage server device acquires the linkage information from the first client device.
上記受給側装置を、上記第1連携サーバ装置であるとして、
上記第1連携サーバ装置の上記送信手段A2は、第1クライアント装置に上記参照情報を含む情報である第1要求情報を送信するものであり、
上記第1クライアント装置は、さらに、上記第1連携サーバ装置から送信された上記第1要求情報を上記第2連携サーバ装置に転送する転送手段T5と、上記第2連携サーバ装置から提供された上記連携情報を上記第1連携サーバ装置に転送する転送手段T6と、を備え、
上記第2連携サーバ装置は、さらに、上記第1要求情報を受信する受信手段R8と、受信した上記第1要求情報に含まれる上記参照情報を上記第1クライアント装置に提供する送信手段A9と、を備え、
上記第1クライアント装置の受信手段R2は、上記第2連携サーバ装置から上記参照情報を取得するものであり、
上記第1クライアント装置は、さらに、上記参照情報を含む情報である第2要求情報を上記第2連携サーバ装置に送信する送信手段A10を備え、
上記第2連携サーバ装置は、さらに、上記第2要求情報を受信する受信手段R9を備え、
上記第2連携サーバ装置の上記送信手段A1は、上記第1クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第1クライアント装置に提供するものであり、
上記第1連携サーバ装置の上記受信手段R1は、上記第1クライアント装置から上記連携情報を取得するものである
ことを特徴とする請求項1に記載のアカウントリンキングシステム。 The supply side device is the second cooperation server device,
Assuming that the receiving device is the first cooperation server device,
The transmission means A2 of the first cooperation server device transmits first request information that is information including the reference information to the first client device,
The first client device further includes transfer means T5 for transferring the first request information transmitted from the first cooperation server device to the second cooperation server device, and the above-mentioned provided from the second cooperation server device. Transfer means T6 for transferring cooperation information to the first cooperation server device,
The second cooperation server device further includes a receiving unit R8 for receiving the first request information, a transmitting unit A9 for providing the reference information included in the received first request information to the first client device, With
The receiving means R2 of the first client device acquires the reference information from the second cooperation server device,
The first client device further includes transmission means A10 for transmitting second request information, which is information including the reference information, to the second cooperation server device,
The second cooperation server device further includes receiving means R9 for receiving the second request information,
When the transmission means A1 of the second cooperation server device receives the second request information from the first client device, the transmission means A1 sends the cooperation information corresponding to the reference information included in the second request information to the first client device. Is to provide
2. The account linking system according to claim 1, wherein the receiving unit R <b> 1 of the first linkage server device acquires the linkage information from the first client device.
上記第2DB管理手段は、上記連携情報を、上記第2ユーザ情報管理データベースに、上記第2連携サーバ装置の連携先の連携サーバ装置を示す情報である連携先サーバ情報にも対応付けて登録する
ことを特徴とする請求項1から請求項5のいずれかに記載のアカウントリンキングシステム。 The first DB management means registers the cooperation information in the first user information management database in association with the cooperation destination server information that is information indicating the cooperation server device of the first cooperation server device. ,
The second DB management unit registers the cooperation information in the second user information management database in association with the cooperation destination server information that is information indicating the cooperation server device of the second cooperation server device. The account linking system according to any one of claims 1 to 5, characterized in that:
上記アカウントリンキングシステムは、少なくとも、第1連携サーバ装置と、第2連携サーバ装置と、第1クライアント装置と、第2クライアント装置とで構成されるとし、
少なくとも上記第1連携サーバ装置または上記第2連携サーバ装置のいずれかは、上記第1クライアント装置のアカウント(第1ユーザ情報)および上記第2クライアント装置のアカウント(第2ユーザ情報)に共通の情報である連携情報を生成する連携情報生成手段と当該連携情報を自身の連携サーバ装置の外部に提供可能な送信手段A1とを備えるとともに、上記連携情報生成手段および上記送信手段A1とを備えた連携サーバ装置(供給側装置)の相手方の連携サーバ装置(受給側装置)は、上記連携情報を取得する受信手段R1を備えるとし、
上記連携情報生成手段が、上記連携情報を生成する連携情報生成ステップと、
上記送信手段A1が、上記連携情報を上記供給側装置の外部に提供する送信ステップA1と、
上記受信手段R1が、上記連携情報を取得する受信ステップR1と、
上記第1連携サーバ装置の参照情報生成手段が、上記連携情報に対応する情報である参照情報を生成する参照情報生成ステップと、
上記第1連携サーバ装置の送信手段A2が、上記参照情報を上記第1連携サーバ装置の外部に提供する送信ステップA2と、
上記第1クライアント装置の受信手段R2が、上記参照情報を取得する受信ステップR2と、
上記第1クライアント装置の提供手段A3が、取得した上記参照情報を少なくとも上記第2クライアント装置に提供する提供ステップA3と、
上記第2クライアント装置の取得手段R3が、上記参照情報を取得する取得ステップR3と、
上記第2クライアント装置の送信手段A4が、取得した上記参照情報を少なくとも上記第2連携サーバ装置に提供する送信ステップA4と、
上記第2連携サーバ装置の受信手段R4が、上記参照情報を取得する受信ステップR4と、
上記第1連携サーバ装置の第1DB管理手段が、上記連携情報を、上記第1連携サーバ装置の第1ユーザ情報管理データベースに、上記第1ユーザ情報に対応付けて登録する第1登録ステップと、
上記第2連携サーバ装置の第2DB管理手段が、上記連携情報を、上記第2連携サーバ装置の第2ユーザ情報管理データベースに、上記第2ユーザ情報に対応付けて登録する第2登録ステップと
を有するアカウントリンキング方法。 An account linking method in an account linking system,
The account linking system includes at least a first cooperation server device, a second cooperation server device, a first client device, and a second client device,
At least one of the first cooperation server device and the second cooperation server device is information common to the account of the first client device (first user information) and the account of the second client device (second user information). A link information generating unit that generates link information and a transmission unit A1 that can provide the link information to the outside of the link server device, and a link that includes the link information generation unit and the transmission unit A1. The partner server device (receiver device) of the other party of the server device (supply device) is provided with a receiving means R1 for acquiring the link information,
A linkage information generating step in which the linkage information generating means generates the linkage information;
The transmission unit A1 provides the cooperation information to the outside of the supply side device, a transmission step A1;
A receiving step R1 in which the receiving means R1 acquires the cooperation information;
A reference information generating step in which the reference information generating means of the first link server device generates reference information that is information corresponding to the link information;
A transmission step A2 in which the transmission means A2 of the first cooperation server device provides the reference information to the outside of the first cooperation server device;
A receiving step R2 in which the receiving means R2 of the first client device acquires the reference information;
A providing step A3 in which the providing means A3 of the first client device provides the acquired reference information to at least the second client device;
An acquisition step R3 in which the acquisition means R3 of the second client device acquires the reference information;
A transmission step A4 in which the transmission means A4 of the second client device provides the acquired reference information to at least the second cooperation server device;
A receiving step R4 in which the receiving means R4 of the second cooperative server device acquires the reference information;
A first registration step in which the first DB management means of the first linkage server device registers the linkage information in the first user information management database of the first linkage server device in association with the first user information;
A second registration step in which the second DB management means of the second linkage server device registers the linkage information in the second user information management database of the second linkage server device in association with the second user information; Have account linking method.
上記受給側装置を、上記第2連携サーバ装置であるとして、
上記送信ステップA4は、上記第2クライアント装置の上記送信手段A4が、上記参照情報を含む情報である要求情報を送信することで上記第2連携サーバ装置に上記参照情報を提供するものであり、
上記受信ステップR4は、上記第2連携サーバ装置の上記受信手段R4が、上記要求情報を受信することで上記参照情報を取得するものであり、
さらに、上記第2連携サーバ装置の送信手段A5が、上記要求情報を上記第1連携サーバ装置に送信する送信ステップA5と、
上記第1連携サーバ装置の受信手段R5が、上記第2連携サーバ装置から上記要求情報を受信する受信ステップR5と、を有し、
上記送信ステップA1は、上記第1連携サーバ装置の上記送信手段A1が、上記要求情報を受信すると、当該要求情報に含まれる参照情報に対応する上記連携情報を上記第2連携サーバ装置に提供するものであり、
上記受信ステップR1は、上記第2連携サーバ装置の上記受信手段R1が、上記第1連携サーバ装置から上記連携情報を取得するものである
ことを特徴とする請求項7に記載のアカウントリンキング方法。 The supply side device is the first cooperation server device,
Assuming that the receiving side device is the second cooperative server device,
In the transmission step A4, the transmission means A4 of the second client device provides the reference information to the second cooperation server device by transmitting request information that is information including the reference information.
In the receiving step R4, the receiving means R4 of the second cooperation server device acquires the reference information by receiving the request information,
Further, a transmission step A5 in which the transmission means A5 of the second cooperation server device transmits the request information to the first cooperation server device;
The receiving means R5 of the first cooperation server device has a reception step R5 for receiving the request information from the second cooperation server device,
In the transmission step A1, when the transmission unit A1 of the first cooperation server device receives the request information, the transmission step A1 provides the cooperation information corresponding to the reference information included in the request information to the second cooperation server device. Is,
8. The account linking method according to claim 7, wherein in the reception step R1, the reception unit R1 of the second cooperation server device acquires the cooperation information from the first cooperation server device.
上記受給側装置を、上記第2連携サーバ装置であるとして、
上記送信ステップA4は、上記第2クライアント装置の上記送信手段A4が、上記参照情報を含む情報である第1要求情報を送信することで上記第2連携サーバ装置に上記参照情報を提供するものであり、
上記受信ステップR4は、上記第2連携サーバ装置の上記受信手段R4が、上記第1要求情報を受信することで上記参照情報を取得するものであり、
さらに、上記第2連携サーバ装置の送信手段A6が、上記参照情報を含む情報である第2要求情報を上記第2クライアント装置に送信する送信ステップA6と、
上記第2クライアント装置の転送手段T1が、上記第2連携サーバ装置から送信された上記第2要求情報を上記第1連携サーバ装置に転送する転送ステップT1と、
上記第2クライアント装置の転送手段T2が、上記第1連携サーバ装置から提供された上記連携情報を上記第2連携サーバ装置に転送する転送ステップT2と、
上記第1連携サーバ装置の受信手段R6が、上記第2クライアント装置から上記第2要求情報を受信する受信ステップR6と、を有し、
上記送信ステップA1は、上記第1連携サーバ装置の上記送信手段A1が、上記第2クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第2クライアント装置に提供するものであり、
上記受信ステップR1は、上記第2連携サーバ装置の上記受信手段R1が、上記第2クライアント装置から上記連携情報を取得するものである
ことを特徴とする請求項7に記載のアカウントリンキング方法。 The supply side device is the first cooperation server device,
Assuming that the receiving side device is the second cooperative server device,
In the transmission step A4, the transmission means A4 of the second client device provides the reference information to the second cooperation server device by transmitting first request information that is information including the reference information. Yes,
In the receiving step R4, the receiving means R4 of the second cooperation server device acquires the reference information by receiving the first request information.
Further, a transmission step A6 in which the transmission means A6 of the second cooperation server device transmits second request information, which is information including the reference information, to the second client device;
A transfer step T1 in which the transfer means T1 of the second client device transfers the second request information transmitted from the second cooperative server device to the first cooperative server device;
A transfer step T2 in which the transfer means T2 of the second client device transfers the link information provided from the first link server device to the second link server device;
The receiving means R6 of the first cooperation server device has a receiving step R6 for receiving the second request information from the second client device,
In the transmission step A1, when the transmission unit A1 of the first cooperation server device receives the second request information from the second client device, the cooperation information corresponding to the reference information included in the second request information Is provided to the second client device,
8. The account linking method according to claim 7, wherein in the reception step R1, the reception unit R1 of the second cooperation server device acquires the cooperation information from the second client device.
上記受給側装置を、上記第1連携サーバ装置であるとして、
さらに、上記第1クライアント装置の送信手段A7が、上記第1連携サーバ装置に上記参照情報を含む情報である第1要求情報を送信する送信ステップA7と、
上記第1連携サーバ装置の受信手段R7が、上記第1クライアント装置から上記第1要求情報を受信する受信ステップR7と、
上記第1連携サーバ装置の送信手段A8が、上記参照情報を含む情報である第2要求情報を上記第1クライアント装置に送信する送信ステップA8と、
上記第1クライアント装置の転送手段T3が、上記第1連携サーバ装置から送信された上記第2要求情報を上記第2連携サーバ装置に転送する転送ステップT3と、
上記第1クライアント装置の転送手段T4が、上記第2連携サーバ装置から提供された上記連携情報を上記第1連携サーバ装置に転送する転送ステップT4と、
上記第2連携サーバ装置の受信手段R7が、上記第1クライアント装置から上記第2要求情報を受信する受信ステップR7と、を有し、
上記送信ステップA1は、上記第2連携サーバ装置の上記送信手段A1が、上記第1クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第1クライアント装置に提供するものであり、
上記受信ステップR1は、上記第1連携サーバ装置の上記受信手段R1が、上記第1クライアント装置から上記連携情報を取得するものである
ことを特徴とする請求項7に記載のアカウントリンキング方法。 The supply side device is the second cooperation server device,
Assuming that the receiving device is the first cooperation server device,
Further, a transmission step A7 in which the transmission means A7 of the first client device transmits first request information that is information including the reference information to the first cooperation server device;
A receiving step R7 in which the receiving means R7 of the first cooperation server device receives the first request information from the first client device;
A transmission step A8 in which the transmission means A8 of the first cooperation server device transmits second request information, which is information including the reference information, to the first client device;
A transfer step T3 in which the transfer means T3 of the first client device transfers the second request information transmitted from the first cooperation server device to the second cooperation server device;
A transfer step T4 in which the transfer means T4 of the first client device transfers the cooperation information provided from the second cooperation server device to the first cooperation server device;
The receiving means R7 of the second cooperation server device has a receiving step R7 for receiving the second request information from the first client device,
In the transmission step A1, when the transmission unit A1 of the second cooperation server device receives the second request information from the first client device, the cooperation information corresponding to the reference information included in the second request information To the first client device,
8. The account linking method according to claim 7, wherein in the reception step R1, the reception unit R1 of the first cooperation server device acquires the cooperation information from the first client device.
上記受給側装置を、上記第1連携サーバ装置であるとして、
上記送信ステップA2は、上記第1連携サーバ装置の上記送信手段A2が、第1クライアント装置に上記参照情報を含む情報である第1要求情報を送信するものであり、
さらに、上記第1クライアント装置の転送手段T5が、上記第1連携サーバ装置から送信された上記第1要求情報を上記第2連携サーバ装置に転送する転送ステップT5と、
上記第1クライアント装置の転送手段T6が、上記第2連携サーバ装置から提供された上記連携情報を上記第1連携サーバ装置に転送する転送ステップT6と、
上記第2連携サーバ装置の受信手段R8が、上記第1要求情報を受信する受信ステップR8と、
上記第2連携サーバ装置の送信手段A9が、受信した上記第1要求情報に含まれる上記参照情報を上記第1クライアント装置に提供する送信ステップA9と、を有し、
上記受信ステップR2は、上記第1クライアント装置の受信手段R2が、上記第2連携サーバ装置から上記参照情報を取得するものであり、
さらに、上記第1クライアント装置の送信手段A10が、上記参照情報を含む情報である第2要求情報を上記第2連携サーバ装置に送信する送信ステップA10と、
上記第2連携サーバ装置の受信手段R9が、上記第2要求情報を受信する受信ステップR9と、を有し、
上記送信ステップA1は、上記第2連携サーバ装置の上記送信手段A1が、上記第1クライアント装置から上記第2要求情報を受信すると、当該第2要求情報に含まれる参照情報に対応する上記連携情報を上記第1クライアント装置に提供するものであり、
上記受信ステップR1は、上記第1連携サーバ装置の上記受信手段R1が、上記第1クライアント装置から上記連携情報を取得するものである
ことを特徴とする請求項7に記載のアカウントリンキング方法。 The supply side device is the second cooperation server device,
Assuming that the receiving device is the first cooperation server device,
In the transmission step A2, the transmission means A2 of the first cooperation server device transmits first request information that is information including the reference information to the first client device,
Furthermore, the transfer means T5 of the first client device transfers the first request information transmitted from the first cooperation server device to the second cooperation server device;
A transfer step T6 in which the transfer means T6 of the first client device transfers the linkage information provided from the second linkage server device to the first linkage server device;
A receiving step R8 in which the receiving means R8 of the second cooperative server device receives the first request information;
The transmission means A9 of the second cooperation server device includes a transmission step A9 for providing the first client device with the reference information included in the received first request information,
In the receiving step R2, the receiving means R2 of the first client device acquires the reference information from the second cooperation server device,
Further, a transmission step A10 in which the transmission means A10 of the first client device transmits second request information that is information including the reference information to the second cooperation server device;
The receiving means R9 of the second cooperation server device has a receiving step R9 for receiving the second request information,
In the transmission step A1, when the transmission unit A1 of the second cooperation server device receives the second request information from the first client device, the cooperation information corresponding to the reference information included in the second request information To the first client device,
8. The account linking method according to claim 7, wherein in the reception step R1, the reception unit R1 of the first cooperation server device acquires the cooperation information from the first client device.
上記第2登録ステップは、上記第2連携サーバ装置の第2DB管理手段が、上記連携情報を、上記第2連携サーバ装置の第2ユーザ情報管理データベースに、上記第2連携サーバ装置の連携先の連携サーバ装置を示す情報である連携先サーバ情報にも対応付けて登録するステップである
ことを特徴とする請求項7から請求項11のいずれかに記載のアカウントリンキング方法。 In the first registration step, the first DB management unit of the first cooperation server device stores the cooperation information in the first user information management database of the first cooperation server device and the cooperation destination of the first cooperation server device. It is a step of registering in association with cooperation destination server information that is information indicating the cooperation server device,
In the second registration step, the second DB management means of the second cooperation server device stores the cooperation information in the second user information management database of the second cooperation server device and the cooperation destination of the second cooperation server device. The account linking method according to any one of claims 7 to 11, wherein the account linking method is a step of registering in association with cooperation destination server information which is information indicating the cooperation server device.
上記連携情報を外部に提供可能な送信手段A1と、
上記連携情報に対応する情報である参照情報を生成する参照情報生成手段と、
上記参照情報を外部に提供可能な送信手段A2と、
少なくとも上記ユーザ情報aが登録されたユーザ情報管理データベースaと、
上記ユーザ情報管理データベースaに、上記ユーザ情報aに上記連携情報を対応付けて登録可能なDB管理手段aと
を備えた連携サーバ装置。 Cooperation information generating means for generating cooperation information that is information common to an account (user information a) of a client apparatus (client apparatus a) and an account (user information b) of a client apparatus (client apparatus b) different from the client apparatus a When,
A transmission means A1 capable of providing the cooperation information to the outside;
Reference information generating means for generating reference information which is information corresponding to the linkage information;
A transmission means A2 capable of providing the reference information to the outside;
A user information management database a in which at least the user information a is registered;
A linkage server apparatus comprising DB management means a capable of registering the user information management database a in association with the linkage information in association with the user information a.
上記連携情報に対応する情報である参照情報を生成する参照情報生成手段と、
上記参照情報を外部に提供可能な送信手段A2と、
少なくとも上記ユーザ情報aが登録されたユーザ情報管理データベースaと、
上記ユーザ情報管理データベースaに、上記ユーザ情報aに上記連携情報を対応付けて登録可能なDB管理手段aと
を備えた連携サーバ装置。 Receiving means R1 for acquiring cooperative information which is information common to an account (user information a) of a client device (client device a) and an account (user information b) of a client device (client device b) different from the client device a; ,
Reference information generating means for generating reference information which is information corresponding to the linkage information;
A transmission means A2 capable of providing the reference information to the outside;
A user information management database a in which at least the user information a is registered;
A linkage server apparatus comprising DB management means a capable of registering the user information management database a in association with the linkage information in association with the user information a.
上記連携情報を外部に提供可能な送信手段A1と、
他の連携サーバ装置で生成された、上記連携情報に対応する情報である参照情報を取得可能な受信手段R4と、
少なくとも上記ユーザ情報bが登録されたユーザ情報管理データベースbと、
上記ユーザ情報管理データベースbに、上記ユーザ情報bに上記連携情報を対応付けて登録可能なDB管理手段bと
を備えた連携サーバ装置。 Cooperation information generating means for generating cooperation information that is information common to an account (user information a) of a client apparatus (client apparatus a) and an account (user information b) of a client apparatus (client apparatus b) different from the client apparatus a When,
A transmission means A1 capable of providing the cooperation information to the outside;
Receiving means R4 that can acquire reference information that is information corresponding to the cooperation information generated by another cooperation server device;
A user information management database b in which at least the user information b is registered;
A cooperation server device comprising DB management means b capable of registering the user information management database b in association with the cooperation information in association with the user information b.
他の連携サーバ装置で生成された、上記連携情報に対応する情報である参照情報を取得可能な受信手段R4と、
少なくとも上記ユーザ情報bが登録されたユーザ情報管理データベースbと、
上記ユーザ情報管理データベースbに、上記ユーザ情報bに上記連携情報を対応付けて登録可能なDB管理手段bと
を備えた連携サーバ装置。 Receiving means R1 for acquiring cooperative information which is information common to an account (user information a) of a client device (client device a) and an account (user information b) of a client device (client device b) different from the client device a; ,
Receiving means R4 that can acquire reference information that is information corresponding to the cooperation information generated by another cooperation server device;
A user information management database b in which at least the user information b is registered;
A cooperation server device comprising DB management means b capable of registering the user information management database b in association with the cooperation information in association with the user information b.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007020677A JP4897503B2 (en) | 2007-01-31 | 2007-01-31 | Account linking system, account linking method, linkage server device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007020677A JP4897503B2 (en) | 2007-01-31 | 2007-01-31 | Account linking system, account linking method, linkage server device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008186338A JP2008186338A (en) | 2008-08-14 |
JP4897503B2 true JP4897503B2 (en) | 2012-03-14 |
Family
ID=39729315
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007020677A Expired - Fee Related JP4897503B2 (en) | 2007-01-31 | 2007-01-31 | Account linking system, account linking method, linkage server device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4897503B2 (en) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4848407B2 (en) * | 2008-09-29 | 2011-12-28 | 日本電信電話株式会社 | Distributed information linkage system and distributed information linkage method |
JP5734087B2 (en) * | 2011-05-18 | 2015-06-10 | キヤノン株式会社 | Information processing system, control method for controlling the information processing system, and program thereof |
JP5790474B2 (en) * | 2011-12-14 | 2015-10-07 | 富士通株式会社 | Authentication processing program, authentication processing method, and authentication processing apparatus |
JP5761256B2 (en) | 2013-05-31 | 2015-08-12 | コニカミノルタ株式会社 | Shared data management system, shared data management device, shared data management method, and computer program |
JP6394371B2 (en) * | 2014-12-25 | 2018-09-26 | 沖電気工業株式会社 | Information processing apparatus and program |
KR101712774B1 (en) * | 2016-05-09 | 2017-03-06 | 라인 비즈플러스 피티이. 엘티디. | Method and system for interworking between servers identifying user registered in each servers using different user identification system |
US11146657B2 (en) * | 2018-08-31 | 2021-10-12 | Latticework, Inc. | Binding a public cloud user account and a personal cloud user account for a hybrid cloud environment |
JP7099198B2 (en) * | 2018-09-03 | 2022-07-12 | 富士フイルムビジネスイノベーション株式会社 | Management equipment, management systems and programs |
JP7338360B2 (en) * | 2019-09-25 | 2023-09-05 | 富士フイルムビジネスイノベーション株式会社 | Information processing device and program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4612438B2 (en) * | 2005-03-07 | 2011-01-12 | 日本電信電話株式会社 | Service providing system and service providing apparatus |
-
2007
- 2007-01-31 JP JP2007020677A patent/JP4897503B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008186338A (en) | 2008-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4897503B2 (en) | Account linking system, account linking method, linkage server device | |
JP4742903B2 (en) | Distributed authentication system and distributed authentication method | |
CN104205891B (en) | Virtual SIM card cloud platform | |
US8335925B2 (en) | Method and arrangement for secure authentication | |
CN105718782B (en) | For obtaining the method and system of identification information on the mobile apparatus | |
KR20100021818A (en) | Method for authentication using one-time identification information and system | |
CN105706416B (en) | User equipment and computer-readable medium for network insertion | |
CN107070843A (en) | A kind of user equipment and method in a user device | |
JP2009211632A (en) | Service system | |
Beltran | Characterization of web single sign-on protocols | |
EP3285456B1 (en) | Information processing apparatus, non-transitory computer-readable storage medium, information processing method, and information processing system | |
CN110278084A (en) | EID method for building up, relevant device and system | |
JP6430689B2 (en) | Authentication method, terminal and program | |
JP2009118110A (en) | Method and system for provisioning meta data of authentication system, its program and recording medium | |
JP6166937B2 (en) | Authentication method and authentication system | |
CN109428725A (en) | Information processing equipment, control method and storage medium | |
US11050722B2 (en) | Information processing device, program, and information processing method | |
CN104541488A (en) | Authentication system preserving secret data confidentiality | |
Ruiz-Martínez et al. | A mobile network operator-independent mobile signature service | |
KR100993333B1 (en) | Method for enrollment and authentication using private internet access devices and system | |
JP4750765B2 (en) | Authentication processing system, authentication device, authentication processing method, and authentication processing program | |
KR101190057B1 (en) | System for user authentication using trust third party and method thereof | |
JP2002259254A (en) | System and method for authenticating terminal, information providing device and program | |
TWI768307B (en) | Open source software integration approach | |
JP5108082B2 (en) | Authentication processing system, authentication processing method, and authentication processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090105 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110712 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110713 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110927 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111117 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111213 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111222 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4897503 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150106 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |