本发明专利技术提供一种授权服务器和认证协作系统。从已经从客户端设备连同第二授权令牌一起接收到处理请求的应用服务器,接收包括第二授权令牌的授权令牌验证请求,并且,在基于接收到的第二授权令牌和授权令牌信息而成功地验证授权令牌的情况下,将包括在授权令牌信息中的本地用户信息回应给应用服务器。
【技术实现步骤摘要】
授权服务器和认证协作系统
本专利技术涉及例如云服务的服务与本地服务之间的授权服务器和认证协作系统。
技术介绍
近年来,使服务器向因特网开放以向客户端提供服务的云计算服务(或云服务)已经引起了注意。基本上,云计算服务可以通过使用许多计算资源来分布和执行数据转换和数据处理,并且通过执行分布式并行处理来并行地处理来自许多客户端的请求。目前,存在如此多的供应商,各供应商在云计算服务环境上实施Web服务以实现如上所述的云计算服务,这导致在Web上提供了各种服务。在开发云服务时,可以有效地使用已经在Web上提供的许多服务来提供新的功能,从而能够在开发速度和开发成本上获得优势。另一方面,在过去,例如,运营商可以拥有自己的服务器等等,并且操作许多预置(ON-premise)系统。将所有的内部系统一起转移到云服务可能很困难。因此,可以以逐步的方式将部分预置系统转移到云服务。结果,越来越多的用户可以利用彼此协作的预置服务和云服务两者。当使用协作的预置服务和云服务时,强烈要求单点登录(SingleSignOn,以下也称为SSO),因为在传统的预置系统中的本地认证(例如LDAP)和云认证是不同的。根据传统技术,预置系统的本地认证可以与在云服务中构建的本地认证服务同步,使得对云服务和预置系统两者的登录服务的登录能够开始用户ID配置。例如,这可以开始包括关于用户帐户(例如用户ID)的信息的生成和维护的管理。此后,当用户使用VPN来登录云服务的本地认证服务时,用户能够使用与用户相关联的凭证信息登录云服务。参见PCT日文译文专利公开第2015-518198号公报。
技术实现思路
针对本地认证与云服务认证之间的协作,可能需要所有用户的ID配置。因为每当用户数量增加或减少时都需要维护ID配置,所以用户管理的操作成本可能会不利地增加。鉴于上述的传统示例而做出了本专利技术,本专利技术的各方面提供一种能够消除对本地认证与云服务认证之间的用户ID配置的需要的授权服务器、认证协作系统以及存储程序的存储介质。由于不需要本地认证与云服务认证之间的ID配置,因此本专利技术还能够降低操作负荷。本专利技术具有以下构造。本专利技术的第一方面提供一种授权服务器,所述授权服务器包括:用于从客户端设备连同代表授权令牌信息和本地用户信息一起接收授权令牌生成请求的单元,所述客户端设备接收基于用户执行的授权操作而对用于使用应用服务器的权限的转移,所述客户端设备登记基于所述转移而发出的第一授权令牌作为代表授权令牌信息,用于在基于连同授权令牌生成请求一起接收到的代表授权令牌信息而成功地认证所述客户端设备的情况下,将第二授权令牌回应给所述客户端设备,并且通过将连同授权令牌生成请求一起接收到的本地用户信息与第二授权令牌相关联,来生成和存储授权令牌信息的单元;以及响应单元,其用于从已经从所述客户端设备连同第二授权令牌一起接收到处理请求的应用服务器,接收包括第二授权令牌的授权令牌验证请求,并且在基于接收到的第二授权令牌和授权令牌信息而成功地验证授权令牌的情况下,将包括在授权令牌信息中的本地用户信息回应给应用服务器。本专利技术的第二方面提供一种认证协作系统,所述认证协作系统包括授权服务器、应用服务器和客户端设备,其中,所述客户端设备包括:存储单元,用于存储第一授权令牌作为代表授权令牌信息,所述第一授权令牌是基于用于使用所述应用服务器的权限的转移而发出的,所述转移是基于由用户执行的授权操作;发送单元,用于将授权令牌生成请求连同登录用户的本地用户信息和代表授权令牌信息一起发送到所述授权服务器;并且其中,在连同授权令牌生成请求一起接收到第二授权令牌的情况下,发送单元将处理请求连同第二授权令牌一起发送到所述应用服务器,以及其中,所述应用服务器包括:发送单元,用于在所述应用服务器从所述客户端设备连同第二授权令牌一起接收到处理请求时,将授权令牌验证请求发送到所述授权服务器,并且,作为对授权令牌验证请求的成功的响应而接收包括与第二授权令牌相关联的本地用户信息的授权令牌信息;并且处理单元,用于处理针对在本地用户信息中描述的用户或针对所述客户端设备的处理请求。根据下面参照附图对实施例的描述,本专利技术的其他特征将变得清楚。附图说明图1是系统构造图。图2A和图2B是装置的硬件构造图。图3示出打印机授权流程。图4A和图4B示出用户授权画面。图5示出经认证的打印流程。图6示出用于发出授权令牌的流程。图7示出用于使用授权令牌的流程。图8是装置的软件构造图。图9A示出在本地认证服务器中管理的表结构,图9B和图9C示出在打印机中管理的表结构,图9D和图9E示出在授权服务器中管理的表结构。图10A至图10C示出在数据转换服务器中管理的表结构。图11示出在存储服务器中管理的表结构。具体实施方式下面将参照附图描述本专利技术的实施例。第一实施例系统构造图1示出包括根据本专利技术实施例的认证协作系统的移动打印系统的整体构造。参照图1,一个或多个移动终端102连接到本地网络101。移动终端102能够通过本地网络101访问因特网100以访问服务器104至109。移动终端102通过有线或无线LAN连接到网络。安全域110到112中的各个指示用户可访问、认证和授权的范围,并且不允许经过认证和授权的用户或授权令牌在这种安全域之外使用。本地认证安全域110指示由本地认证服务器104认证的用户可访问范围,并且业务服务器105属于本地认证安全域110。业务表单服务安全域111指示通过使用由授权服务器106发出的授权令牌可访问的范围,并且,表单服务器107和数据转换服务器108属于业务表单服务安全域111。存储服务安全域112指示通过使用由未示出的存储服务安全域授权服务器发出的授权令牌可访问的范围,并且,存储服务器109属于存储服务安全域112。参照图1,本地认证安全域110对应于预置系统,而表单服务安全域111和存储服务安全域112对应于云系统。本地认证服务器104是用于执行用于访问业务服务器105的用户认证的服务器。如果用户被本地认证服务器104认证,则允许该用户访问业务服务器105。LDAP通常可以用作本地认证方法,但是,根据本实施例,可以使用仅包括用户名、密码和域的匹配的确认的简单认证方法。然而,这仅仅是为了说明的目的而给出。根据本实施例的本专利技术还可应用于通过使用用户的唯一认证信息来执行用户认证的其他认证方法。业务服务器105是被构造为管理用户工作信息的服务器。该实施例假设如下使用情况:在业务服务器105中逐个客户端地管理销售产品,使得业务服务器105中的信息可以由销售人员用于销售工作。业务服务器105响应于来自移动终端102的请求而提供用于显示和编辑用户工作信息的画面。授权服务器106是用于实现Oauth(针对授权的开放标准)的服务器,并且被构造为管理客户端信息并发出和管理授权令牌。表单服务器107是被构造为从业务服务器105接收用户工作信息的服务器,并管理通过将用户工作信息反映到表单模板而生成的业务表单PDF。表单服务器107请求数据转换服务器108存储生成的业务表单PDF。数据转换服务器108从表单服务器107接收针对业务表单PDF存储的请求,存储和管理业务表单PDF数据,从打印机103接收打印数据转换请求,并生成和管理打印数据。存储服务器109是被构造为本文档来自技高网...
【技术保护点】
一种授权服务器,所述授权服务器包括:用于从客户端设备连同代表授权令牌信息和本地用户信息一起接收授权令牌生成请求的单元,所述客户端设备接收基于用户执行的授权操作而对用于使用应用服务器的权限的转移,所述客户端设备登记基于所述转移而发出的第一授权令牌作为代表授权令牌信息;用于在基于连同授权令牌生成请求一起接收到的代表授权令牌信息而成功地认证所述客户端设备的情况下,将第二授权令牌回应给所述客户端设备,并且通过将连同授权令牌生成请求一起接收到的本地用户信息与第二授权令牌相关联,来生成和存储授权令牌信息的单元;以及响应单元,其用于从已经从所述客户端设备连同第二授权令牌一起接收到处理请求的应用服务器,接收包括第二授权令牌的授权令牌验证请求,并且在基于接收到的第二授权令牌和授权令牌信息而成功地验证授权令牌的情况下,将包括在授权令牌信息中的本地用户信息回应给应用服务器。
【技术特征摘要】
2015.12.08 JP JP2015-2397501.一种授权服务器,所述授权服务器包括:用于从客户端设备连同代表授权令牌信息和本地用户信息一起接收授权令牌生成请求的单元,所述客户端设备接收基于用户执行的授权操作而对用于使用应用服务器的权限的转移,所述客户端设备登记基于所述转移而发出的第一授权令牌作为代表授权令牌信息;用于在基于连同授权令牌生成请求一起接收到的代表授权令牌信息而成功地认证所述客户端设备的情况下,将第二授权令牌回应给所述客户端设备,并且通过将连同授权令牌生成请求一起接收到的本地用户信息与第二授权令牌相关联,来生成和存储授权令牌信息的单元;以及响应单元,其用于从已经从所述客户端设备连同第二授权令牌一起接收到处理请求的应用服务器,接收包括第二授权令牌的授权令牌验证请求,并且在基于接收到的第二授权令牌和授权令牌信息而成功地验证授权令牌的情况下,将包括在授权令牌信息中的本地用户信息回应给应用服务器。2.根据权利要求1所述的授权服务器,其中,所述代表授权令牌信息包括客户端的标识信息和代表客户端的租户的标识信息;并且其中,所述响应单元将客户端设备的租户的标识信息作为授权令牌信息的一部分来进行回应。3.根据权利要求1或2所述的授权服务器,其中,所述本地用户信息包括描述由本地认证服务器认证的用户可访问的域的信息、以及该域中的用户标识信息。4.根据权利要求3所述的授权服务器,其中,从已经从所述客户端设备连同第二授权令牌一起接收到处理请求的应用服务器,接收授...
【专利技术属性】
技术研发人员:西田贵彦,
申请(专利权)人:佳能株式会社,
类型:发明
国别省市:日本,JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。