[发明专利]信息处理系统及信息处理系统的控制方法

说明书

技术领域

本发明涉及一种遵循单点登录(single sign-on)的信息处理系统及该信息处理系统的控制方法。

背景技术

传统上，作为多个服务之间协作验证的技术，提供了使用安全断言标记语言(SAML，Security Assertion Markup Language)的单点登录(以下，称为SSO)系统。在使用SAML的SSO系统中，用户具有两个标识(ID)，即一个在验证服务提供方侧(身份提供方，以下称为IdP)，而另一个在基于验证服务的验证结果来提供服务的一侧(服务提供方，以下称为SP)。

当通过IdP来验证用户时，SP信赖验证结果，并且SP将IdP作为用于管理用户在SP中的访问的ID来验证。该流程被称为IdP-initiated SSO(启动IdP的SSO)。当未通过IdP验证的未验证用户访问SP时，SP将未验证用户引导至适当的IdP，并通过IdP对未验证的用户进行验证。该流程被称为SP-initiated SSO(启动SP的SSO)。

在未验证用户访问SP时，无法指定将用户引导至哪一个IdP来进行验证。为了解决这个问题，传统的SP-initiated SSO提供了一种显示用于使用户能够选择IdP的IdP列表的方法。日本特开2010-128719号公报讨论了如下一种方法：根据用户访问的SP请求的期望验证等级以及用户属性，来确定满足来自SP的请求的IdP并将用户重定向(redirect)到该IdP。

发明内容

根据本发明的一个方面，提供一种信息处理系统，其提供Web服务并能够与客户端以及用于提供验证处理服务的至少一个验证设备通信，所述验证处理服务用于请求输入验证信息并进行验证处理，所述信息处理系统包括：提供单元，其被配置为通过依赖于由所述验证处理服务进行的所述验证处理的成功，来提供所述Web服务，而不请求输入信息处理装置中的验证处理所需的验证信息；存储单元，其被配置为通过将用于确定在接收任意验证服务时所需的验证设备的密钥信息与所述验证设备的地址信息相互关联，来存储所述密钥信息和所述地址信息；以及指示单元，其被配置为在来自所述客户端的访问是未接收所述验证处理服务的未验证访问的情况下，指定与作为访问结果获取的密钥信息一致并由所述存储单元存储的密钥信息，向所述客户端发送通过与所指定的密钥信息相关联而存储的所述验证设备的地址信息，并向所述客户端发出使得所述客户端访问所述验证设备以接收所述验证处理服务的重定向指示。

通过以下参照附图对示例性实施例的详细描述，本发明的其他特征及方面将变得清楚。

附图说明

包含在说明书中并构成说明书的一部分的附图例示了本发明的示例性实施例、特征和方面，并且与文字说明一起用来解释本发明的原理。

图1示出了网络配置。

图2A至图2D示出了根据本发明的示例性实施例的模块配置。

图3示出了根据本发明的示例性实施例的验证服务确定服务的模块配置。

图4示出了根据本发明的示例性实施例的第二管理模块管理的信息。

图5示出了根据本发明的示例性实施例的服务提供服务器中的处理的流程。

图6示出了根据本发明的示例性实施例的验证服务确定服务中的处理的流程。

图7示出了根据本发明的示例性实施例的用于实现SSO的验证服务B中的处理的流程。

图8示出了根据本发明的示例性实施例的用于实现SSO的验证服务A中的处理的流程。

图9示出了根据本发明的示例性实施例的在未实现SSO的情况下验证服务A中的处理的流程。

图10A和图10B示出了根据本发明的示例性实施例的用于输入验证信息的画面的示例。

图11示出了根据本发明的第二示例性实施例的验证服务确定服务的模块配置。

图12示出了根据本发明的第二示例性实施例的第三管理模块管理的信息。

图13示出了根据本发明的第二示例性实施例的验证服务确定服务中的处理的流程。

图14示出了根据本发明的第三示例性实施例的验证服务确定服务的模块配置。

图15示出了根据本发明的第三示例性实施例的验证服务确定服务中的处理的流程。

图16示出了根据本发明的第三示例性实施例的用于输入公司ID的画面的示例。

图17示出了根据本发明的第四示例性实施例的验证服务确定服务的模块配置。

图18示出了根据本发明的第四示例性实施例的验证服务确定服务中的处理的流程。