特許ウォッチ

公開番号2025011883
公報種別公開特許公報(A)
公開日2025-01-24
出願番号2023114280
出願日2023-07-12
発明の名称情報処理システムおよびプログラム
出願人富士フイルムビジネスイノベーション株式会社
代理人個人,個人
主分類G06F 21/33 20130101AFI20250117BHJP(計算;計数)
要約【課題】外部装置からの要求に応じ、認可サーバからアクセストークンを取得して外部装置に提供する情報処理システムにおいて、特定のサービスにてアクセストークンの有効期限が過剰となることの抑制と、他のサービスにて有効期限が不足することの抑制との両立を図る。
【解決手段】情報処理システムは、1または複数のプロセッサを備え、外部装置の要求に応じて、指定のサービスへのアクセスを可能とするアクセストークンを認可サーバから取得し、外部装置に提供する情報処理システムであって、1または複数のプロセッサは、第1のサービスを指定する要求を受け付けた場合には、第1の有効期限が設定された第1のアクセストークンを認可サーバから取得して、外部装置に提供し、第2のサービスを指定する要求を受け付けた場合には、第1の有効期限よりも短い第2の有効期限が設定された第2のアクセストークンを認可サーバから取得して、外部装置に提供する。
【選択図】図1
特許請求の範囲【請求項１】
１または複数のプロセッサを備え、外部装置の要求に応じて、指定のサービスへのアクセスを可能とするアクセストークンを認可サーバから取得し、当該外部装置に提供する情報処理システムであって、
前記１または複数のプロセッサは、
第１のサービスを指定する前記要求を受け付けた場合には、第１の有効期限が設定された第１のアクセストークンを前記認可サーバから取得して、前記外部装置に提供し、
第２のサービスを指定する前記要求を受け付けた場合には、前記第１の有効期限よりも短い第２の有効期限が設定された第２のアクセストークンを前記認可サーバから取得して、前記外部装置に提供する
ことを特徴とする情報処理システム。
続きを表示（約 1,300 文字）【請求項２】
前記１または複数のプロセッサは、
自システムにより前記認可サーバに対して行われた前記第１の有効期限の設定を含む第１の認証設定を利用して、前記第１のアクセストークンを取得し、
自システムにより前記認可サーバに対して行われた前記第２の有効期限の設定を含む第２の認証設定を利用して、前記第２のアクセストークンを取得する
ことを特徴とする、請求項１に記載の情報処理システム。
【請求項３】
前記１または複数のプロセッサは、
前記外部装置から自システムに対して行われたログインと、前記第１の認証設定および前記第２の認証設定とを紐づけ、
前記ログインに応じて、前記第１の認証設定および前記第２の認証設定を利用可能とする
ことを特徴とする、請求項２に記載の情報処理システム。
【請求項４】
前記第２の有効期限は、自システムから前記認可サーバに対して指定されることを特徴とする、請求項１に記載の情報処理システム。
【請求項５】
前記指定は、過去に前記第２のサービスが利用された際の利用時間の情報に基づいて行われることを特徴とする、請求項４に記載の情報処理システム。
【請求項６】
前記第２のサービスは、前記外部装置から取得したデータを利用するサービスであり、
前記指定は、前記データの容量に係る情報に基づいて行われる
ことを特徴とする、請求項４に記載の情報処理システム。
【請求項７】
前記１または複数のプロセッサは、
前記外部装置からの前記要求に応じて前記第２のアクセストークンを提供し、かつ、当該外部装置から前記第２の有効期限を過ぎたことにより前記第２のサービスにアクセスできない旨を示す情報を受け付けた場合に、前記第２の有効期限よりも長い第３の有効期限が設定された第３のアクセストークンを前記認可サーバから取得して、当該外部装置に提供する
ことを特徴とする、請求項１乃至６の何れか一項に記載の情報処理システム。
【請求項８】
前記第３の有効期限は、前記第１の有効期限よりも短いことを特徴とする、請求項７に記載の情報処理システム。
【請求項９】
前記第２のサービスは、前記外部装置の保有するデータを、電子メールにより送信するサービスであることを特徴とする、請求項１に記載の情報処理システム。
【請求項１０】
外部装置の要求に応じて、指定のサービスへのアクセスを可能とするアクセストークンを認可サーバから取得し、当該外部装置に提供するコンピュータに、
第１のサービスを指定する前記要求を受け付けた場合には、第１の有効期限が設定された第１のアクセストークンを前記認可サーバから取得して、前記外部装置に提供する機能と、
第２のサービスを指定する前記要求を受け付けた場合には、前記第１の有効期限よりも短い第２の有効期限が設定された第２のアクセストークンを前記認可サーバから取得して、前記外部装置に提供する機能と、
を実現させるプログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、情報処理システムおよびプログラムに関する。
続きを表示（約 4,400 文字）【背景技術】
【０００２】
例えばシングルサインオン（ＳＳＯ：Single Sign On）の実現やセキュリティ向上の観点から、ＯＡｕｔｈ認可を利用した認証（以下、「ＯＡｕｔｈ認証」と呼ぶ場合がある。）等、いわゆる先進認証の導入が進められている。
特許文献１には、認可トークンを用いてサービスにアクセスするアプリケーションが、サービス情報を保持し、アプリケーションへの要求に含まれるサービス情報と照合して正しいサービスの場合にのみ認可トークンを用いてサービスにアクセスすることで、認可トークン漏えいを防止することが記載されている。
【先行技術文献】
【特許文献】
【０００３】
特開２０１４－１４２７３２号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
ＯＡｕｔｈ認証等の先進認証では、外部装置が、認可サーバに対する認証設定に基づいて取得されたアクセストークンを、サービス側に提示する。そして、提示したアクセストークンが有効期限内である場合に、外部装置によるサービスへのアクセスが可能となる。
ところで、クラウド等の情報処理システムが認証設定を保持し、外部装置の要求に応じて認可サーバからアクセストークンを取得して、外部装置に提供する態様がある。かかる態様において、外部装置に対し、サービスに関わらず一律に長い有効期限のアクセストークンを提供すると、利用時間が比較的短いサービスでは有効期限が過剰となり、アクセストークンが漏洩した場合に不正利用による被害が大きくなる恐れがある。一方で、サービスに関わらず一律に短い有効期限のアクセストークンを提供すると、利用時間が比較的長いサービスでは有効期限が不足となり、アクセストークンの円滑な利用の妨げとなる恐れがある。
本発明は、外部装置からの要求に応じ、認可サーバからアクセストークンを取得して外部装置に提供する情報処理システムにおいて、特定のサービスにてアクセストークンの有効期限が過剰となることの抑制と、他のサービスにて有効期限が不足することの抑制との両立を図る。
【課題を解決するための手段】
【０００５】
請求項１に記載の発明は、１または複数のプロセッサを備え、外部装置の要求に応じて、指定のサービスへのアクセスを可能とするアクセストークンを認可サーバから取得し、当該外部装置に提供する情報処理システムであって、前記１または複数のプロセッサは、第１のサービスを指定する前記要求を受け付けた場合には、第１の有効期限が設定された第１のアクセストークンを前記認可サーバから取得して、前記外部装置に提供し、第２のサービスを指定する前記要求を受け付けた場合には、前記第１の有効期限よりも短い第２の有効期限が設定された第２のアクセストークンを前記認可サーバから取得して、前記外部装置に提供することを特徴とする情報処理システムである。
請求項２に記載の発明は、前記１または複数のプロセッサは、自システムにより前記認可サーバに対して行われた前記第１の有効期限の設定を含む第１の認証設定を利用して、前記第１のアクセストークンを取得し、自システムにより前記認可サーバに対して行われた前記第２の有効期限の設定を含む第２の認証設定を利用して、前記第２のアクセストークンを取得することを特徴とする、請求項１に記載の情報処理システムである。
請求項３に記載の発明は、前記１または複数のプロセッサは、前記外部装置から自システムに対して行われたログインと、前記第１の認証設定および前記第２の認証設定とを紐づけ、前記ログインに応じて、前記第１の認証設定および前記第２の認証設定を利用可能とすることを特徴とする、請求項２に記載の情報処理システムである。
請求項４に記載の発明は、前記第２の有効期限は、自システムから前記認可サーバに対して指定されることを特徴とする、請求項１に記載の情報処理システムである。
請求項５に記載の発明は、前記指定は、過去に前記第２のサービスが利用された際の利用時間の情報に基づいて行われることを特徴とする、請求項４に記載の情報処理システムである。
請求項６に記載の発明は、前記第２のサービスは、前記外部装置から取得したデータを利用するサービスであり、前記指定は、前記データの容量に係る情報に基づいて行われることを特徴とする、請求項４に記載の情報処理システムである。
請求項７に記載の発明は、前記１または複数のプロセッサは、前記外部装置からの前記要求に応じて前記第２のアクセストークンを提供し、かつ、当該外部装置から前記第２の有効期限を過ぎたことにより前記第２のサービスにアクセスできない旨を示す情報を受け付けた場合に、前記第２の有効期限よりも長い第３の有効期限が設定された第３のアクセストークンを前記認可サーバから取得して、当該外部装置に提供することを特徴とする、請求項１乃至６の何れか一項に記載の情報処理システムである。
請求項８に記載の発明は、前記第３の有効期限は、前記第１の有効期限よりも短いことを特徴とする、請求項７に記載の情報処理システムである。
請求項９に記載の発明は、前記第２のサービスは、前記外部装置の保有するデータを、電子メールにより送信するサービスであることを特徴とする、請求項１に記載の情報処理システムである。
請求項１０に記載の発明は、外部装置の要求に応じて、指定のサービスへのアクセスを可能とするアクセストークンを認可サーバから取得し、当該外部装置に提供するコンピュータに、第１のサービスを指定する前記要求を受け付けた場合には、第１の有効期限が設定された第１のアクセストークンを前記認可サーバから取得して、前記外部装置に提供する機能と、第２のサービスを指定する前記要求を受け付けた場合には、前記第１の有効期限よりも短い第２の有効期限が設定された第２のアクセストークンを前記認可サーバから取得して、前記外部装置に提供する機能と、を実現させるプログラムである。
【発明の効果】
【０００６】
請求項１、１０に記載の発明によれば、外部装置からの要求に応じ、認可サーバからアクセストークンを取得して外部装置に提供する情報処理システムにおいて、特定のサービスにてアクセストークンの有効期限が過剰となることの抑制と、他のサービスにて有効期限が不足することの抑制とが両立される。
請求項２に記載の発明によれば、認可サーバが、認証設定毎に予め定められた有効期限のアクセストークンを発行する構成であっても、第１のアクセストークンと第２のアクセストークンとを取得可能となる。
請求項３に記載の発明によれば、外部装置において、認可サーバの認証設定毎のログインの情報を保持することが不要となる。
請求項４に記載の発明によれば、有効期限毎の認証設定を行う場合と比較して、認証設定に係る手間が削減される。
請求項５に記載の発明によれば、予め定められた固定値を用いる場合に比べ、サービスの利用時間の状況を反映した有効期限が設定される。
請求項６に記載の発明によれば、予め定められた固定値を用いる場合に比べ、サービスに利用するデータの状況を反映した有効期限が設定される。
請求項７に記載の発明によれば、第２の有効期限では不足となる状況であっても、第２のサービスへのアクセスを可能とする。
請求項８に記載の発明によれば、第３の有効期限が第１の有効期限よりも長く設定される場合と比較して、アクセストークンの不正利用を抑制する。
請求項９に記載の発明によれば、外部装置のデータを電子メールにより送信するサービスにおいて、アクセストークンの有効期限が過剰になることを抑制する。
【図面の簡単な説明】
【０００７】
サービス利用システムの構成の一例を示す図である。
トークン提供サーバのハードウェア構成の一例を示すブロック図である。
外部装置のハードウェア構成の一例を示す図である。
第１の実施形態が適用されるトークン提供サーバの機能構成の一例を示すブロック図である。
外部装置の機能構成の一例を示すブロック図である。
サービス利用システムの動作の一例を示すシーケンス図である。
第１の実施形態が適用されるトークン提供サーバにおける、アクセストークンの提供に係る動作の一例を示すフローチャートである。
第２の実施形態が適用されるトークン提供サーバの機能構成の一例を示すブロック図である。
第２の実施形態が適用されるトークン提供サーバにおける、アクセストークンの提供に係る動作の一例を示すフローチャートである。
【発明を実施するための形態】
【０００８】
以下、添付図面を参照し、本発明の実施の形態として、第１の実施形態および第２の実施形態について詳細に説明する。また、第１の実施形態と第２の実施形態とで共通の構成について説明する場合など、両者を特に区別しない場合には、「本実施形態」と表記することがある。
まず始めに、図１～図７を参照して、第１の実施形態について説明する。
【０００９】
＜第１の実施形態＞
［サービス利用システム１０００］
図１は、サービス利用システム１０００の構成の一例を示す図である。
図示するように、サービス利用システム１０００は、トークン提供サーバ１と、外部装置２と、認可サーバ３と、サービスサーバ４（４ａ，４ｂ，…）と、を備える。なお、各装置は、ネットワークを介して接続されている。ネットワークは、装置間のデータ通信に利用できるものであれば、特に限定されない。
【００１０】
サービス利用システム１０００は、サービスサーバ４の提供するサービスを、外部装置２にて利用可能にするコンピュータシステムである。より詳しくは、サービス利用システム１０００における外部装置２は、サービスサーバ４のサービスの利用（アクセス）を要求する際に、認可サーバ３に対する認証設定に基づいて取得されたアクセストークンを、サービスサーバ４に提示する。サービスサーバ４は、提示されたアクセストークンが有効である場合に、外部装置２に対してサービスを提供する。
（【００１１】以降は省略されています）

関連特許