協作系統�、其協作方法以及信息處理系統的制作方法
【專利摘要】本發明提供協作系統、其協作方法以及信息處理系統��?���?蛻舳私浻勺鳛閰f作源的信息處理系統來發送開始使用服務的請求����,獲取表示已基于針對用戶所屬的組而設置的組認證信息成功進行了認證的標識信息�,然后將該標識信息發送到作為協作目的地的信息處理系統。
【專利說明】協作系統�����、其協作方法以及信息處理系統
【技術領域】
[0001]本發明涉及通過單點登錄使多個信息處理系統相互協作的協作系統����、其協作方法以及其中的信息處理系統�。
【背景技術】
[0002]用于在云平臺上管理業務數據并進行各種處理操作的結構配置已日益普及����。用戶從客戶端個人計算機(PC)的瀏覽器經由因特網訪問由云平臺提供的Web頁,并且把要查看的業務數據顯示在該Web頁上。例如��,當用戶經由PC的畫面給出文檔生成指令時�����,客戶端PC訪問文檔生成服務器����。隨后,文檔生成服務器在云平臺上獲取業務數據���,生成文檔�,然后將所生成的文檔發送到客戶端PC�。云平臺的典型示例包括Salesforce.com的SalesforceCRM (注冊商標)。
[0003]云平臺和文檔生成服務器以多租戶(mult1-tenant)方式操作��。租戶是指簽訂使用云平臺和文檔生成服務器的合同的公司或組織的單位�,以及用戶所屬的組�����。在以多租戶方式操作的服務中�����,一個信息處理系統管理多個租戶的數據����,并且分開管理各租戶的數據��,使得租戶的數據不能被另一租戶參照。為了使租戶僅參照自身的數據,云平臺和文檔生成服務器對用戶進行認證并且檢查租戶。使用用于識別用戶的用戶標識(ID)以及作為保密信息的密碼來對用戶進行認證��,并且根據用戶輸入的租戶是否存在來檢查租戶���。
[0004]當云平臺和文檔生成服務器相互協作時��,不需要通過各服務器對用戶進行認證����,而是能夠在信息處理系統之間進行認證以互相協作���。傳統上,用于在多個信息處理系統之間進行認證以相互協作的技術包括利用安全斷言標記語言(SAML, security assertionmarkup language)的單點登錄(SSO, single sign-on)結構�。在利用 SAML 的 SSO 中��,用戶既保留提供認證服務的信息處理系統(身份提供方(IdP, identity provider))的用戶ID����,又保留在IdP的認證結果被信賴的情況下提供服務的信息處理系統(服務提供方(SP�����,service provider))的用戶ID���。當用戶通過IdP接收到用戶認證時,SP信賴該認證結果�����,并且將用戶的訪問認證為在SP中管理的用戶ID (IdP在先)。此外�,當尚未通過IdP被認證的用戶訪問SP時,SP將該未認證的用戶引導到適當的IdP,并且使用戶通過該IdP被認證(SP在先)�����。利用任何方法��,用戶都能夠僅通過在IdP中輸入用戶認證信息來接收由SP提供的服務���,并且減少在SP中的用戶認證處理���,從而提高便利性。
[0005]當執行利用SAML的SSO時��,由IdP保留的用戶ID和由SP保留的用戶ID彼此關聯(在下文中稱為“用戶映射”)以便管理��。特別是�����,當始終要求識別用戶的服務與文檔生成服務器相關聯時���,需要利用用戶映射來管理ID���。用于針對各用戶來管理和打印文檔的打印服務始終要求識別用戶。
[0006]此外����,傳統上已知有用于將多個信息處理系統中的各個保留的ID彼此關聯的方法���。日本專利申請特開2011-221729號公報討論了如下的方法��,即服務提供服務器引導用戶訪問認證服務器,并登記認證服務器與用戶之間的認證信息,以進行認證處理����。
[0007]然而�����,該傳統方法具有如下所述的問題。為了使多個信息處理系統執行SS0,必須利用如下的用戶映射��,該用戶映射將協作源的信息處理系統中的多個用戶ID與協作目的地的信息處理系統中的多個用戶ID相關聯。
[0008]用戶映射給用戶帶來了很大的工作負擔���。當用戶ID的數量增加時,用戶的工作負擔相應地增大���。
【發明內容】
[0009]本發明致力于提供一種協作系統,在該協作系統中�,針對多個用戶所屬的組來設置組認證信息����,并且使用所述組認證信息來實現SS0,從而減輕用戶映射帶來的工作負擔���。
[0010]根據本發明的一個方面����,提供一種協作系統����,該協作系統包括第一信息處理系統及第二信息處理系統���,所述第一信息處理系統用于針對各個組來管理關于多個用戶的用戶認證信息����,并且所述第二信息處理系統用于從所述第一信息處理系統獲取數據,并使用所獲取的數據來提供服務。所述第一信息處理系統包括:第一認證單元���,其用于從操作客戶端的用戶來接收用戶認證信息���,并且基于所接收到的用戶認證信息對所述用戶進行認證����;以及第一發送單元�����,其用于在所述用戶被成功認證之后�����,響應于對開始使用所述服務的請求的接收�����,將針對所述用戶所屬的組而設置的組認證信息發送到所述第二信息處理系統,并且����,所述第二信息處理系統包括:第二認證單元�,其用于接收所發送的組認證信息��,并且基于所接收到的組認證信息進行認證���;以及第二發送單元,其用于在已基于所述組認證信息成功進行了認證之后����,將表示已成功進行了所述認證的標識信息發送到所述第一信息處理系統,其中��,所述第一信息處理系統還包括:指示單元��,其用于將所發送的標識信息發送到所述客戶端����,并且指示所述客戶端訪問所述第二信息處理系統��,并且����,其中��,所述第二信息處理系統還包括:驗證單元����,其用于驗證從根據所述指示進行訪問的所述客戶端發送的所述標識信息;以及提供單元����,其用于響應于所述標識信息的成功驗證�����,在不對操作所述客戶端的所述用戶進行認證的情況下向操作所述客戶端的所述用戶提供所述服務。
[0011]通過以下參照附圖對示例性實施例的描述�,本發明的其他特征和方面將變得清
λ.Μ
/E.ο
【專利附圖】
【附圖說明】
[0012]被并入說明書并構成說明書的一部分的附圖,例示了本發明的示例性實施例、特征及方面���,并與文字描述一起用來說明本發明的原理。
[0013]圖1例示了根據本發明的第一示例性實施例的系統配置。
[0014]圖2例示了根據本發明的第一示例性實施例的硬件配置����。
[0015]圖3例示了根據本發明的第一示例性實施例的服務提供服務器A的模塊配置��。
[0016]圖4例示了根據本發明的第一示例性實施例的服務提供服務器B的模塊配置。
[0017]圖5例示了由根據本發明的第一示例性實施例的無保護資源管理模塊管理的信肩���、O
[0018]圖6例示了根據本發明的第一示例性實施例的服務提供服務器B的業務數據的畫面�。
[0019]圖7是例示由根據本發明的第一示例性實施例的服務提供服務器B執行的流程的流程圖。[0020]圖8是例示由根據本發明的第一示例性實施例的服務提供服務器A執行的流程的流程圖��。
[0021]圖9例示了根據本發明的第一示例性實施例的按鈕設置的示例�。
[0022]圖10是例示由根據本發明的第一示例性實施例的服務提供服務器A執行的流程的流程圖。
[0023]圖11是例示由根據本發明的第一示例性實施例的客戶端PC的瀏覽器執行的流程的流程圖����。
[0024]圖12是例示由根據本發明的第二示例性實施例的客戶端PC的瀏覽器執行的流程的流程圖��。
[0025]圖13是例示由根據本發明的第二示例性實施例的服務提供服務器A執行的流程的流程圖。
[0026]圖14例示了根據本發明的第三示例性實施例的按鈕設置的示例。
【具體實施方式】
[0027]現在,將參照附圖詳細描述本發明的各種示例性實施例、特征及方面。
[0028]本發明致力于通過針對多個用戶所屬的組來設置組認證信息并且使用該組認證信息來實現SSO。
[0029]更具體來說�����,由用于針對各個組管理與多個用戶中的各用戶相對應的用戶認證信息的協作源的信息處理系統����,接收開始使用協作目的地的信息處理系統的服務的用戶請求�。響應于用戶請求,協作源的信息處理系統把針對多個用戶所屬的組而設置的組認證信息����,發送到協作目的地的信息處理系統��,并且接收認證。協作目的地的信息處理系統把表示已經成功進行了認證的標識信息,發送到協作源的信息處理系統����。該標識信息從協作源的信息處理系統����,被發送到由請求開始使用服務的用戶操作的客戶端�。協作目的地的信息處理系統驗證從該客戶端發送來的標識信息,然后根據正確標識信息的驗證��,來提供服務而不對操作客戶端的用戶進行認證�。
[0030]在傳統技術中,需要在協作源的信息處理系統中的用戶ID與協作目的地的信息處理系統中的用戶ID之間,進行用戶映射。然而,根據本發明,能夠使用在組所屬的所有用戶之間共用的組認證信息��,來實現SS0。結果�����,用戶不需要進行用戶映射���,而是可以僅針對多個用戶所屬的組來設置組認證信息���,從而大大減少繁瑣的處理����。
[0031]圖1是例示根據第一示例性實施例的協作系統的系統配置的框圖。
[0032]根據本示例性實施例,利用萬維網(WWW)系統建立廣域網(WAN)IOO。局域網(LAN)101將各構成要素相互連接���。LANlOl經由WAN100使裝置能夠相互通信�����。
[0033]客戶端PC200是由用戶操作的信息處理裝置。根據用戶的請求,客戶端PC200發出對后述的服務提供服務器A500和服務提供服務器B550的請求,并且將該請求發送給這兩個服務器。
[0034]認證服務確定服務器300引導客戶端PC200訪問適當的IdP��。認證服務器A400和認證服務器B450進行認證�,并且作為IdP中的認證設備�����。認證服務不局限于上述兩個�����。哪個IdP對用戶進行實際認證依據訪問的用戶而變化。
[0035]服務提供服務器A500和服務提供服務器B550向通過認證的用戶提供服務�����。服務提供服務器A500接收來自客戶端PC200的請求���,然后提供用于生成文檔數據的文檔生成服務��。例如����,從服務提供服務器B550�,來獲取生成文檔數據時所需的原始數據。服務提供服務器B550根據來自客戶端PC200或服務提供服務器A500的請求��,來提供用于顯示和更新所保留的數據的服務�����。服務提供服務器A500和服務提供服務器B550不局限于文檔生成服務和云平臺���,并且可以是其他服務���。
[0036]此外���,客戶端PC200�����、認證服務確定服務器300��、認證服務器A400����、認證服務器B450����、服務提供服務器A500和服務提供服務器B550經由WAN100或LANlOl相互連接。上述信息處理裝置能夠相互通信�?�?蛻舳薖C200和各服務器可以各自位于單獨的LAN上,也可以全部位于同一 LAN上?���?蛻舳薖C200和各服務器也可以全部位于同一 PC上���。
[0037]認證服務器B450和服務提供服務器B550被構建為同一網絡中(內聯網中)的服務器組��,并且認證服務確定服務器300����、認證服務器A400和服務提供服務器A500被構建為同一網絡中(內聯網中)的服務器組����。前一服務器組稱為“第一信息處理系統”,后一服務器組稱為“第二信息處理系統”。構成各信息處理系統的服務器不局限于第一示例性實施例中討論的服務器�����?����?梢源嬖谔峁┢渌盏姆掌鳌?br>
[0038]接下來�����,將描述通過用戶認證來識別用戶、并且當用戶被成功識別時該用戶接收服務的情況。通過經由進行用戶映射的利用SAML的SSO的協作��,來進行上述操作����。
[0039]客戶端PC200訪問服務提供服務器B550。當服務提供服務器B550接收未被認證的用戶的訪問時��,服務提供服務器B550顯示認證畫面(未例示),以對用戶進行認證��。當用戶被成功認證時�,顯示業務數據���。
[0040]圖6例示了由根據第一示例性實施例的服務提供服務器B550顯示的業務數據的畫面601的示例。業務數據的畫面601包括諸如“商務會議”和“顧客”等的標簽(tab)��。標簽“商務會議”被顯示為活動的����,并且����,顯示了關于商務會議記錄的詳細信息以及商品�����。此夕卜�,還顯示了按鈕602,針對該按鈕602��,設置對服務提供服務器A500的訪問����。例如租戶的管理者等的用戶,能夠任意地設置按下按鈕602時的動作�����。當按鈕602被按下時�����,客戶端PC200訪問服務提供服務器A500。
[0041]當服務提供服務器A500接收到未認證的用戶的訪問時��,服務提供服務器A500使客戶端PC200訪問認證服務確定服務器300����。認證服務確定服務器300使客戶端PC200訪問適當的認證服務器A400或者認證服務器B450��。當認證服務器A400或認證服務器B450對用戶進行認證時�,認證服務器A400或者認證服務器B450使客戶端PC200再次訪問服務提供服務器A500。服務提供服務器A500向操作客戶端PC200的用戶提供服務。
[0042]認證服務確定服務器300將作為用于確定對用戶進行認證的認證服務器的密鑰的信息�,例如用于識別租戶的租戶信息�����,與認證服務器信息相互關聯地存儲�����。當認證服務確定服務器300接收到未認證的用戶的訪問時,認證服務確定服務器300從用戶訪問認證服務確定服務器300時提供的信息中,檢索作為用于確定認證服務器的密鑰的信息����,然后獲取認證服務器信息。接下來��,認證服務確定服務器300根據檢索的認證服務器信息,引導用戶訪問適當的認證服務器。
[0043]當認證服務器A400接收到從認證服務確定服務器300重定向的未認證的訪問時,認證服務器A400顯示用戶認證畫面(未例示)���,并且提示用戶輸入用戶ID和密碼,以對用戶進行認證����。當認證服務器A400接收到認證完成之后的訪問目的地信息時,基于該信息�����,用戶的訪問被重定向�����。例如����,當服務提供服務器A500已被指定作為認證完成之后的重定向目的地時,客戶端PC200被重定向以訪問服務提供服務器A500����。此時,作為表示用戶已被認證過的信息,發出斷言�,然后�����,客戶端PC200被重定向以訪問被添加了斷言的服務提供服務器A500��。服務提供服務器A500請求認證服務器A400驗證斷言�����。認證服務器A400驗證斷言是否正確���,并且當驗證斷言正確時,認證服務器A400響應于正確斷言的驗證����,指定由此管理的用戶ID�����。所指定的用戶ID事先通過用戶映射與認證服務器B450中的用戶ID相關聯。
[0044]認證服務器A400發出表示訪問來自可信用戶的認證會話ID。認證會話ID包括任意的唯一字符串�����,并且認證服務器A400將用戶ID和認證會話ID相互關聯地存儲。接下來�����,認證服務器A400基于用戶訪問認證服務器A400時提供的認證會話ID����,來指定用戶ID。認證會話ID被添加到由服務提供服務器A500返回給客戶端PC200的瀏覽器的響應頁面����,并且被存儲在客戶端PC200的瀏覽器中����。接下來,當用戶經由客戶端PC200的瀏覽器訪問服務提供服務器A500時�,認證會話ID被發送到服務提供服務器A500��。認證會話ID在預定時間內有效���,并且由認證服務器A400來管理有效期限。根據第一示例性實施例���,認證會話ID的有效期限(閑置時間)被設置為30分鐘。認證會話ID被發送到服務提供服務器A500,使得該用戶能夠在不經認證服務器A400認證的情況下,接收由服務提供服務器A500提供的服務��。如上所述,單點登錄具有用戶不需要輸入用戶認證信息的優點���。
[0045]當服務提供服務器A500接收到從認證服務器A400重定向的訪問時��,由于用戶已經被認證過,所以用戶能夠接收由服務提供服務器A500提供的服務��。根據第一示例性實施例,認證會話ID可以被添加到由客戶端存儲的Cookie “AUTH_SESSION_ID”項目����?�?梢杂肅ookie以外的方法來添加認證會話ID。
[0046]此外�����,認證服務器A400包括用于在接收到用戶ID和密碼時對用戶進行認證的應用編程接口(API)。用戶認證API是用于在自身對用戶進行認證時將認證會話ID返回到調用程序的接口�。此外����,認證服務器A400包括如下的API,這些API用于接收斷言和認證會話ID,以驗證各數據的合理性��。用于驗證認證會話的合理性的API將驗證結果返回到調用程序���。
[0047]當認證服務器B450接收到從認證服務確定服務器300重定向的未認證的訪問時����,認證服務器B450顯示用戶認證畫面(未例示)��,并且提示用戶輸入用戶ID和密碼�,以對用戶進行認證。換句話說,認證服務器B450還包括用于對用戶進行認證的API。當認證服務器B450對用戶認證成功時�,認證服務器B450生成成功的證明以及斷言����,然后重定向客戶端PC200以訪問能夠驗證斷言的認證服務器。
[0048]如上所述���,通過用戶認證來識別用戶����,然后�����,用戶接收根據該識別而提供的服務�����。根據第一示例性實施例的協作系統能夠執行SS0��,稍后����,將在另一示例性實施例中詳細描述如何執行SSO�。
[0049]圖2例示了根據第一示例性實施例的客戶端PC200的配置。另外�,提供認證服務確定服務器300���、認證服務器A400、認證服務器B450���、服務提供服務器A500和服務提供服務器B550的服務器計算機具有類似的配置�。如上所述����,一般的信息處理裝置的硬件配置能夠應用于根據第一示例性實施例的客戶端PC200和各服務器�����。
[0050]如圖2中所示,中央處理單元(CPU) 201執行存儲在R0M203的程序只讀存儲器(ROM)中或者從硬盤(HDD) 211加載到隨機訪問存儲器(RAM) 202中的程序���,諸如操作系統
(OS)和應用程序�。此處的“OS”是在計算機上運行的操作系統的縮寫,并且在下文中稱為“OS”�。在OS上執行用于實現后述各流程圖的處理的程序��。RAM202充當CPU201的主存儲器和工作區�����。鍵盤控制器(KBC)205控制鍵盤(KB)209以及經由指示設備(未例示)的鍵輸入。陰極射線管(CRT)控制器(CRTC) 206控制CRT顯示器210的顯示。盤控制器(DKC) 207控制對存儲各種數據的硬盤(HD) 211和軟盤(FD)的數據訪問���。網絡控制器(NC) 212連接到網絡�����,以進行與連接到的其他設備的通信控制處理。在下面的全部描述中���,除非另外指出��,否則�,硬件上的主體是CPU201�����,并且軟件上的主體是安裝在HD211中的各軟件模塊��。
[0051]圖3例示了根據第一示例性實施例的服務提供服務器A500的軟件模塊配置。月艮務提供服務器A500包括訪問拒絕模塊501�����、數據獲取模塊502���、文檔生成模塊503���、頁面生成模塊504、無保護資源管理模塊505、認證信息獲取模塊506、認證信息驗證模塊507和認證信息添加模塊508���。當存儲在服務提供服務器A500的HDD211中的各軟件模塊被加載到RAM202中并且由CPU201執行時,能夠實現上述模塊����。
[0052]當服務提供服務器A500接收到來自客戶端PC200的訪問時�����,訪問拒絕模塊501確定被訪問的統一資源定位符(URL)是否被登記到無保護資源管理模塊505。
[0053]圖5例示了登記到無保護資源管理模塊505的URL (在下文中稱為“無保護資源”)的示例��。如圖5中所示�,圖像文件���、JavaScript (注冊商標)文件、層疊樣式表單(CSS���,cascading style sheets)文件以及以 “http://service_a/unprotected/” 開始的 URL 被登記為無保護資源。當客戶端PC200訪問未被登記到無保護資源管理模塊505的URL (在下文中稱為“受保護資源”)時����,進行上述處理���。換句話說�,當用戶未被認證時(請求不包括Cookie “AUTH_SESSION_ID”����,或者添加的認證會話ID無效)�����,服務提供服務器A500顯示用戶認證畫面�����。當作為無保護資源的�、以“http://service_a/unprotected/”開始的URL被訪問時����,不顯示用戶認證畫面��,并且驗證認證會話ID是否正確。稍后將進行詳細描述。當包括在來自外部設備的訪問中的認證會話ID正確時����,服務提供服務器A500提供服務,當該認證會話ID不正確時��,返回錯誤。
[0054]當被訪問的URL是無保護資源時�����,訪問拒絕模塊501驗證認證會話ID�,并且當認證會話ID正確時�,訪問拒絕模塊501指示客戶端PC200訪問受保護資源����,然后向操作客戶端PC200的用戶提供服務����。另外,當URL是受保護資源時����,訪問拒絕模塊501確定用戶的訪問是否已被認證過,并且未認證的客戶端PC200被重定向以訪問認證服務確定服務器300��。當用戶的訪問已被認證過時,后述的文檔生成模塊503將所生成的文檔發送到客戶端PC200,以向操作客戶端PC200的用戶提供服務�。
[0055]訪問拒絕模塊501基于請求是否包括Cookie “AUTH_SESS10N_ID”以及包括在Cookie“AUTH_SESS10N_ID”中的認證會話ID是否有效����,來確定操作客戶端PC200的用戶是否已被認證過��。
[0056]數據獲取模塊502從服務提供服務器B550獲取業務數據�����。文檔生成模塊503獲取由表單管理模塊(未例示)管理的表單�����,并且將數據獲取模塊502獲取的業務數據插入到表單中,以生成文檔數據���。文檔數據將是諸如一般的居留證件和賬目文件等的記錄文件數據,然而也可以是其他數據����。響應于來自客戶端PC200的請求���,頁面生成模塊504生成響應頁面�,并且將該響應頁面返回到客戶端PC200。響應頁面是例如用于輸入用戶認證信息(未例示)和顯示文檔數據的畫面(未例示)����。
[0057]當服務提供服務器B550訪問作為用于獲取認證會話ID的無保護資源的URL時,訪問拒絕模塊501從請求中檢索組ID和密碼�。認證信息獲取模塊506指定檢索的組ID和密碼�,以調用認證服務器A400的用戶認證API�。當客戶端PC200訪問作為用于驗證認證會話ID的無保護資源的URL時,訪問拒絕模塊501從URL的參數部分中檢索認證會話ID。認證信息驗證模塊507指定檢索的認證會話ID,以調用認證服務器A400的認證會話合理性驗證API����。如上所述���,由服務提供服務器A500的軟件模塊提供該功能。
[0058]圖4例示了根據本示例性實施例的服務提供服務器B550的模塊配置�。服務提供服務器B550包括訪問拒絕模塊551�、組ID管理模塊5531和5541��、認證信息獲取模塊5532和5542、業務數據管理模塊5533和5543以及設置管理模塊5534和5544��。當存儲在服務提供服務器B550的HDD211中的各軟件模塊被加載到RAM202中并且由CPU201執行時�,能夠實現上述模塊�。
[0059]當服務提供服務器B550從客戶端PC200接收到訪問時,訪問拒絕模塊551確定用戶是否已被認證過,當用戶尚未被認證時��,頁面生成模塊552顯示用戶認證畫面。當用戶已被認證過時����,服務提供服務器B550提供服務��。當服務提供服務器B550接收到顯示業務數據的請求時���,業務數據管理模塊5533或5543獲取業務數據。當用于顯示業務數據的畫面包括按鈕時���,設置管理模塊5534或5544獲取按鈕設置�����。頁面生成模塊552生成響應頁面���,然后將該響應頁面返回到客戶端PC200����。稍后��,將詳細描述根據第一示例性實施例的按鈕設置�。
[0060]由組ID管理模塊5531或5541管理的用戶ID和密碼是用于識別訪問服務提供服務器A500的租戶的帳戶信息,并且包括組ID和密碼���。組ID管理模塊5531或5541管理最大一對的組ID和密碼����。組ID和密碼由用戶(管理者)預先通過某種方法發出和獲取,然后經由設置畫面(未例示)而被登記。
[0061]從安全性的觀點來看����,期望僅經由ID設置畫面(未例示)���,來登記和更新組ID管理模塊5531或5541的組ID和密碼。另外����,期望在ID設置畫面(未例示)上����,不顯示由組ID管理模塊5531或5541管理的密碼�。此外,期望僅能夠從認證信息獲取模塊5532或5542,來獲取由組ID管理模塊5531或5541管理的組ID和密碼。應當不能從服務提供服務器B550的外部,來獲取和參照由組ID管理模塊5531或5541管理的組ID和密碼。
[0062]組認證信息是指上述的組ID和密碼�����。根據第一示例性實施例,向一個租戶分配一個組認證信息。結果���,屬于指定租戶的所有用戶共用組認證信息����。組認證信息不局限于組ID和密碼���。組認證信息可以具有任何格式���,只要組認證信息被唯一地分配給一個租戶�����、并且能夠經由認證服務器A400的用戶認證API使用組認證信息的數據即可�。對于從一個租戶起進一步細分的組�,也能夠應用本發明��。
[0063]當服務提供服務器B550從客戶端PC200接收到獲取認證會話ID的請求時�����,認證信息獲取模塊5532或5542從組ID管理模塊5531或5541,來獲取組ID和密碼�����。認證信息獲取模塊5532或5542將所獲取的組ID和密碼設置為參數�,并且訪問用于獲取服務提供服務器A500的認證會話ID的無保護資源的URL。認證信息獲取模塊5532或5542例如被公布為Web服務API,以從客戶端PC200的瀏覽器接收認證會話ID獲取請求����。
[0064]另外�,針對各租戶�����,來管理組ID管理模塊5531或5541�、認證信息獲取模塊5532或5542、業務數據管理模塊5533或5543以及設置管理模塊5534或5544���。為了進行管理�,可以將針對每個租戶管理的模塊存儲到同一 HDD211中��,并且可以將各租戶的數據在邏輯上分開���,或者可以分隔HDD211以在物理上分開管理模塊�����。
[0065]圖9例示了根據第一示例性實施例的按鈕602的按鈕設置的示例���,并且按鈕602被布置在業務數據的畫面601上��。按鈕602的顯示名稱901被設置為“文檔生成”����,并且把在客戶端PC200的瀏覽器上執行JavaScript (注冊商標)��,定義作為按鈕602被按下時的動作902。另外�,把要執行的JavaScript (注冊商標)的內容903���,定義作為按鈕602的設置����。如圖9中所示,被定義為獲取認證信息的部分從認證信息獲取模塊5532或5542��,來獲取服務提供服務器B550中的認證會話ID�。作為用于獲取認證會話ID的方法����,例如,可以使用認證信息獲取模塊5532或5542公布Web服務API并調用該Web服務API的方法���。
[0066]如圖9中所示�����,被定義為獲取或存儲Cookie “LOGIN”的部分表示進行用于將Cookie “LOGIN”從客戶端PC200的瀏覽器發送到服務提供服務器A500以被獲取的處理�����,或者表示進行用于將Cookie “LOGIN”存儲到客戶端PC200的瀏覽器中的處理。Cookie被客戶端作為數據臨時存儲在服務器中���。與信息處理系統和客戶端之間的通信及認證狀態有關的數據,被存儲在客戶端PC的HDD211中作為Cookie。
[0067]可以在存儲Cookie時設置Cookie的有效期限,并且當有效期限過去時�,可以由客戶端PC200的瀏覽器刪除Cookie�。Cookie “LOGIN”是如下的標志�����,該標志用于確定服務提供服務器B550是否使用組認證信息從服務提供服務器A500獲取認證會話ID���。當Cookie “LOGIN”不存在時�����,或者當客戶端PC200確定在Cookie “LOGIN”一度被存儲時設置的有效期限已經過去時�,服務提供服務器B550獲取服務提供服務器A500的認證會話ID�����。客戶端PC200的瀏覽器將所獲取的認證會話ID設置為無保護資源的URL的參數,并且訪問服務提供服務器A500的無保護資源的文檔生成處理URL。當Cookie “LOGIN”在有效期限內時,客戶端PC200的瀏覽器訪問服務提供服務器A500的受保護資源的文檔生成處理URL。
[0068]根據第一示例性實施例的Cookie “LOGIN”的有效期限被設置為短于由認證服務器A400管理的認證會話ID的有效期限(閑置時間)。這樣����,當Cookie “LOGIN”在有效期限內時,Cookie “AUTH-SESS10N-ID”中包括的認證會話ID總是有效的�����。因此��,即使客戶端PC200訪問受保護資源的URL�����,也不顯示用于輸入對用戶進行認證所需的用戶認證信息的認證畫面�����。Cookie “AUTH-SESS10N-ID”用于當客戶端PC200訪問受保護資源的文檔生成處理URL時的認證,并且不同于Cookie “LOGIN”��。利用Cookie “AUTH-SESS10N-ID”來操作客戶端PC200的用戶能夠在不經服務提供服務器A500認證的情況下接收服務。提供Cookie “LOGIN”��,并且將 Cookie “LOGIN” 的有效期限設置為短于 Cookie “AUTH-SESS10N-ID ”的有效期限,使得當客戶端PC200訪問服務提供服務器A500時���,用戶從不經服務提供服務器A500認證�。因此,能夠提高用戶的便利性����。
[0069]根據第一示例性實施例����,認證會話ID被設置為Cookie “LOGIN”的值。然而����,如上所述���,僅確定Cookie “LOGIN”是否在有效期限內����,而不驗證Cookie “LOGIN”本身�。因此,可以將認證會話ID以外的值設置為Cookie “LOGIN”的值�。如圖9中所示���,{!$Ap1.Session,ID}意味著從服務提供服務器B550的會話管理模塊(未例示),獲取服務提供服務器B550的被認證的用戶的認證會話ID。
[0070]如圖9中所示,{!$Ap1.Server-URL}意味著服務提供服務器A500獲取用于訪問服務提供服務器B550的URL。如圖9中所示�����,{!Opportunity.1d}意味著獲取在畫面上顯示的商務會議記錄的記錄ID�。當用戶按下如圖9中所示而設置的按鈕時����,在客戶端PC200的瀏覽器上執行JavaScript (注冊商標)。在客戶端PC200的瀏覽器上顯示另一窗口���,并且客戶端PC200被重定向以訪問作為無保護資源的“http://service_a/unp;rotected/service”���。作為用于訪問的URL參數��,參數“AUTH_ID”包括由服務提供服務器A500基于組認證信息而發出的認證會話ID,參數“sessionid”包括服務提供服務器B550的被認證的用戶的會話ID���,參數“serverurl”包括用于訪問服務提供服務器B550的URL參數�,并且參數“recordid”包括商務會議記錄的記錄ID�����。
[0071]圖11例示了根據第一示例性實施例的����、由客戶端PC200的瀏覽器執行的流程。當檢測到在客戶端PC200的瀏覽器上顯示的用于業務數據的畫面601上��、用戶按下用于生成文檔的按鈕602時�����,該流程開始�,并且當瀏覽器執行JavaScript (注冊商標)時���,該流程被執行��。
[0072]在步驟SI 101中�,客戶端PC200的瀏覽器從客戶端PC200的HDD211中獲取Cookie “LOGIN”。在步驟SI 102中�����,客戶端PC200的瀏覽器確定Cookie “LOGIN”是否存在����,換句話說,確定是否已獲取了 Cookie “LOGIN”。當Cookie “LOGIN”存在時(步驟S1102中的“是”)��,該處理前進到步驟SI 103��,而當Cookie “LOGIN”不存在時(步驟SI 102中的“否”)����,該處理前進到步驟SI 106。
[0073]當在步驟S1102中Cookie “LOGIN”存在時,在步驟S1103中�����,客戶端PC200的瀏覽器確定Cookie “LOGIN”是否在有效期限內��。當Cookie “LOGIN”在有效期限內時(步驟SI 103中的“是”),該處 理前進到步驟SI 104�����,而當Cookie “LOGIN”不在有效期限內時(步驟S1103中的“否”),該處理前進到步驟S1106����。
[0074]當在步驟S1103中確定Cookie “LOGIN”在有效期限內時����,在步驟S1104中,客戶端PC200的瀏覽器更新Cookie “LOGIN”的有效期限��。在步驟S1105中,客戶端PC200的瀏覽器設置用于訪問作為受保護資源的“http://service_a/service”的URL,然后在步驟S1113中��,客戶端PC200的瀏覽器訪問服務提供服務器A500。通過更新Cookie “LOGIN”的有效期限���,能夠減少執行用于發出新的Cookie “AUTH_SESS10N_ID”的流程的次數�。
[0075]當Cookie “LOGIN”不存在時(步驟S1102中的“否”)��,或者當Cookie “LOGIN”不在有效期限內時(步驟S1103中的“否”)��,在步驟S1106中��,客戶端PC200的瀏覽器請求服務提供服務器B500獲取認證會話ID。在步驟SI 107中����,客戶端PC200的瀏覽器確定是否已成功獲取了認證會話ID。當已成功獲取了認證會話ID時(步驟S1107中的“是”),該處理前進到步驟S1108�����,而當返回錯誤時(步驟S1107中的“否”),該處理前進到步驟S1112?���?梢曰趤碜苑仗峁┓掌鰾550的響應�����,來進行步驟S1107中的確定。
[0076]當在步驟S1107中已成功獲取了認證會話ID時,在步驟S1108中,客戶端PC200的瀏覽器檢索所獲取的認證會話ID����。在步驟S1109中��,將所獲取的認證會話ID設置為URL參數“AUTH_ID”。接下來,將所獲取的認證會話ID存儲在Cookie “LOGIN”中����。此時��,將Cookie “LOGIN”的有效期限設置為20分鐘����。Cookie “LOGIN”的有效期限并非必須是20分鐘���,只要該有效期限短于由認證服務器A400管理的認證會話ID的有效期限(30分鐘)即可��。然而����,有效期限越短�����,則進行步驟S1106中的處理的可能性越高����。接下來�����,在步驟S1108中��,客戶端PC200的瀏覽器設置用于訪問作為無保護資源的“http://serviCe_a/unprotected/service”的URL,然后在步驟S1113中���,客戶端PC200的瀏覽器訪問服務提供服務器A500。
[0077]當在步驟S1107中返回錯誤時�,在步驟S1112中,重新加載畫面。當返回錯誤時�,例如由服務提供服務器B550認證過的用戶的會話可以終止�����。作為另一選擇����,服務提供服務器B550可能未能獲取到認證會話ID�����。在此類情況下��,通過重新加載畫面,在客戶端PC200的瀏覽器上再次顯示認證畫面�,并且在用戶被成功認證之后,畫面可以返回剛好在之前顯示的畫面�。在步驟S1112中,可以顯示錯誤畫面而不重新加載畫面。如上所述�,由客戶端PC200的瀏覽器執行的流程結束�����。
[0078]圖7例示了根據第一示例性實施例的、由服務提供服務器B550執行的流程。在步驟S1106中,當客戶端PC200的瀏覽器請求服務提供服務器B550獲取認證會話ID時�����,該流程開始��。
[0079]在步驟S701中�,服務提供服務器B550接收認證會話ID獲取請求。在步驟S702中,認證信息獲取模塊5532或5542從組ID管理模塊5531或5541����,來獲取組ID和密碼��。在步驟S703中�,為了利用所獲取的組ID和密碼來請求認證�,認證信息獲取模塊5532或5542將所獲取的組ID和密碼設置為URL參數,并且訪問作為無保護資源的URL“http://serviCe_a/unprotected/login”。在步驟S704中,認證信息獲取模塊5532或5542作為響應,返回認證結果包括中的認證會話ID。該流程的進行如上所述,并且在此結束。
[0080]圖8例示了根據第一示例性實施例的、由服務提供服務器A500執行的流程。在圖7中所示的步驟S703中�����,當服務提供服務器B550訪問服務提供服務器A500時����,該流程開始。
[0081]在步驟S801中����,服務提供服務器A500接收認證請求。在步驟S802中,訪問拒絕模塊501從參數中獲取組ID和密碼����。在步驟S803中�,認證信息獲取模塊506指定所獲取的組ID和密碼,調用認證服務器A400的用戶認證API�,然后獲取認證會話ID�。在步驟S804中�����,認證信息獲取模塊506作為響應,將所獲取的認證會話ID返回到客戶端PC200。該流程的進行如上所述�����,并且在此結束。所獲取的認證會話ID的有效期限(閑置時間)是30分鐘��。
[0082]圖10例示了根據第一示例性實施例的����、由服務提供服務器A500執行的流程�����。當進行步驟S1113時,該流程開始��。作為另一選擇��,該流程甚至從客戶端PC200的正常訪問開始��。
[0083]在步驟S1001中,服務提供服務器A500接收客戶端PC200的訪問���。在步驟S1002中����,訪問拒絕模塊501確定來自客戶端PC200的訪問目的地的URL是否是無保護資源。當被訪問的URL不是無保護資源時(步驟S1002中的“否”),該處理前進到步驟S1003�,而當被訪問的URL是無保護資源時(步驟S1002中的“是”)���,該處理前進到步驟S1006。
[0084]在步驟S1003中�����,訪問拒絕模塊501確定該訪問是否被認證過。當該訪問已被認證過時(步驟S1003中的“是”),該處理前進到步驟S1005�,而當該訪問沒有被認證時(步驟S1003中的“否”)�����,該處理前進到步驟S1004�。
[0085]在步驟S1006中���,訪問拒絕模塊501確定URL參數是否包括參數“AUTH_ID”。當包括參數“AUTH_ID”時(步驟S1006中的“是”),該處理前進到步驟S1007��。當不包括參數“AUTH_ID”時(步驟S1006中的“否”)��,在步驟S1012中�����,頁面生成模塊504返回錯誤畫面,然后該流程結束�。
[0086]在步驟S1007中,認證信息驗證模塊507從URL參數“AUTH_ID”中獲取認證會話ID�����。在步驟S1008中�����,認證信息驗證模塊507指定所獲取的認證會話ID�,調用認證服務器A400的認證會話合理性驗證API��,然后驗證認證會話ID是否合理。在步驟S1009中����,認證信息驗證模塊507獲取認證會話合理性驗證API的驗證結果�����,并且驗證該結果是否合理��。當所獲取的認證會話ID合理時(步驟S1009中的“是”)�,該處理前進到步驟S1010���。當所獲取的認證會話ID不合理時(步驟S1009中的“否”)�����,在步驟S1012中�,頁面生成模塊504返回錯誤畫面��,然后該流程結束�����。
[0087]在步驟S1010中,認證信息添加模塊508將所獲取的認證會話ID添加到Cookie “AUTH_SESSION_ID”�����。在步驟SlOll中���,頁面生成模塊504將請求轉發到作為受保護資源的文檔生成處理URL “http://service_a/service”�。換句話說����,服務提供服務器A500指示客戶端PC200訪問該受保護資源�����。利用該配置�,再次執行圖10中所示的流程,并且由于已進行過認證����,所以該處理前進到步驟S1005����。結果,操作客戶端PC200的用戶能夠在不經服務提供服務器A500認證的情況下接收服務。在步驟SlOll中,可以將響應返回到客戶端PC200的瀏覽器��,并且客戶端PC200的瀏覽器可以訪問文檔生成處理URL “http://service_a/service,,。
[0088]在步驟S1005中�,數據獲取模塊502從參數中獲取“recordid”���,并且對服務提供服務器B550進行用于獲取業務數據的詢問����。響應于用于獲取業務數據的詢問�,服務提供服務器B550將業務數據發送到服務提供服務器A500。接下來�,文檔生成模塊503獲取由表單管理模塊(未例示)管理的表單���,以基于所獲取的業務數據和表單來生成文檔數據�。步驟S1005中的文檔生成處理是公知的,因此不進行描述�����。頁面生成模塊504生成用于通知已生成文檔數據并且顯示該文檔數據的響應頁面�����,然后將該響應頁面返回到客戶端PC200。結果��,操作客戶端PC200的用戶能夠接收服務�。一旦接收到響應頁面,客戶端PC200的瀏覽器即從該響應頁面獲取 Cookie “AUTH_SESS10N_ID”���,并且將 Cookie “AUTH_SESS10N_ID”存儲在客戶端PC200的HDD211中。接下來,當客戶端PC200的瀏覽器訪問服務提供服務器A500時,客戶端 PC200 的瀏覽器從 HDD211 中檢索 Cookie “AUTH_SESS10N_ID”�����,并且將 Cookie “AUTH_SESS10N_ID”添加到請求中��。
[0089]根據第一示例性實施例���,利用一個帳戶(例如���,組認證信息)�����,來進行從服務提供服務器B550到服務提供服務器A550的認證�����,并且���,客戶端PC200的瀏覽器利用所獲取的認證會話ID�����,來訪問服務提供服務器A500的無保護資源(不顯示認證畫面)���。另外,所獲取的認證會話ID被存儲在瀏覽器的Cookie中����,并且在Cookie有效期間��,客戶端PC200訪問服務提供服務器A500的受保護資源�。由于在Cookie有效期間認證始終有效(認證會話ID始終有效)����,所以不顯示認證畫面�。如上所述,能夠通過服務提供服務器A500的一個帳戶來使用服務提供服務器A500��,而與服務提供服務器B550的用戶帳戶的數量無關,因此���,盡管不進行用戶映射�����,也能夠在不顯示認證畫面的情況下執行SS0����。
[0090]當根據本示例性實施例來生成文檔時���,還能夠進行控制,以不向始終要求識別用戶的服務發送文檔。
[0091]接下來,將描述本發明的第二示例性實施例�。以下不再描述與第一示例性實施例類似的構成要素,而僅描述不同之處。根據第二示例性實施例�,將描述如下的示例����,在該示例中�����,不針對按鈕602設置訪問受保護資源的命令��。按鈕602的腳本描述能夠被減少�����。另夕卜���,即使當客戶端PC200總是訪問無保護資源時,通過省去對Cookie “Auth_ID”的驗證��,也能夠減少認證服務器A400對認證會話ID的驗證處理��。
[0092]圖12例示了根據第二示例性實施例的、由客戶端PC200的瀏覽器執行的流程�。在與圖11中類似的流程中�����,使用了與圖11中相同的附圖標記,并且下面僅描述不同之處��。在步驟S1103中��,當確定Cookie “LOGIN”在有效期限內時(步驟S1103中的“是”)���,在步驟S1104中���,客戶端PC200的瀏覽器更新Cookie “LOGIN”的有效期限。另外�����,在步驟S1201中�,客戶端PC200的瀏覽器針對參數“check”設置“false”,然后針對URL參數來設置參數“check”���。
[0093]當成功獲取了認證會話ID時(步驟S1107中的“是”),客戶端PC200的瀏覽器進行步驟S1108�、S1109和S1110��。另外��,在步驟S1202中,客戶端PC200的瀏覽器針對參數“check”設置“true”����,然后針對URL參數來設置參數“check”。當進行了步驟S1201或S1202時,客戶端PC200的瀏覽器針對要在步驟S1203中訪問的URL�,設置作為無保護資源的 “http://service_a/unprotected/service”�。在步驟 S1113 中�,客戶端 PC200 的瀏覽器訪問服務提供服務器A500��。
[0094]圖13例示了根據第二示例性實施例的�、由服務提供服務器A500執行的流程���。在與圖10中類似的流程中,使用了與圖10中相同的附圖標記�,并且下面僅描述不同之處。在步驟S1002中����,訪問拒絕模塊501確定被訪問的URL是否是無保護資源。當被訪問的URL是無保護資源時(步驟S1002中的“是”),在步驟S1301中�,訪問拒絕模塊501確定是否針對URL參數的參數“check”設置了 “true”����。當設置了 “true”時(步驟S1301中的“是”),該處理前進到步驟S1006����,而當沒有設置“true”時(步驟S1301中的“否”)���,該處理前進到步驟SlOll0結果,即使當客戶端PC200訪問無保護資源時����,認證服務器A400也能夠減少認證會話ID的驗證處理���。
[0095]根據第一或第二示例性實施例,描述了利用在租戶中的多個用戶之間共用的組認證信息來訪問服務提供服務器A500的示例。由于組ID不指定用戶,所以在與服務提供服務器B550協作的另一服務提供服務器A500中�,始終要求識別用戶的服務可能無法被使用。在此情況下,對于僅具有第一或第二示例性實施例的流程的協作系統���,不具體描述與提供這種類型的服務的服務提供服務器的協作�����。本發明的第三示例性實施例將描述用于實現如下協作系統的具體方法,所述協作系統用于在不使用要求識別用戶的服務時��,執行根據第一或第二示例性實施例的SS0�����,并且在使用要求識別用戶的服務時�����,執行進行了用戶映射的利用SAML的SSO。
[0096]圖14例示了根據第三示例性實施例的按鈕設置的示例。當執行進行了用戶映射的利用SAML的SSO時����,使用如圖14中所示而設置的按鈕。在與圖9中類似的流程中,使用了與圖9中相同的附圖標記�,并且下面僅描述不同之處����。該按鈕設置定義要執行的JavaScript (注冊商標)的內容1403。當如圖14中所示而設置的按鈕被按下時,在客戶端PC200的瀏覽器上執行JavaScript (注冊商標)�����,并且顯示另一窗口以訪問作為受保護資源的“http://service_a/service”。針對訪問的URL參數包括公司ID�。公司ID用于識別服務提供服務器A500的租戶�。如上所述���,通過上述方式執行了進行了用戶映射的利用SAML的SSO的協作。[0097]在服務提供服務器B550的業務數據的畫面601上�,布置了圖9和圖14中所示的按鈕中的至少一個��。當在畫面601上布置了兩個按鈕時��,例如�����,可以在按鈕602的右側��,相鄰地布置具有圖14中所示的按鈕設置的按鈕。當不使用要求識別用戶的服務時,使用按鈕602根據第一或第二示例性實施例來執行SS0��。當使用要求識別用戶的服務時,使用與圖14中所示的按鈕設置相對應的按鈕���,來執行進行了用戶映射的利用SAML的SS0。
[0098]根據第三示例性實施例的不要求識別用戶的服務包括在第一和第二示例性實施例中描述的文檔生成服務�。文檔生成服務不要求對誰生成了文檔進行管理�����。另外,要求識別用戶的服務包括打印服務����,該打印服務用于基于所生成的文檔數據來生成打印數據����,并且使打印機打印該打印數據��。由于打印數據被打印機實際打印,所以需要對成本進行管理。這樣��,由于用戶需要被識別����,所以對哪個用戶使用了打印服務進行管理。
[0099]根據第三示例性實施例,依據要使用的服務適當地使用按鈕�,并且當使用要求識別用戶的服務時�,能夠執行進行了用戶映射的利用SMAL的SS0���。
[0100]另外����,還可以通過讀出并執行記錄在存儲介質(例如,非臨時性計算機可讀存儲介質)上的計算機可執行指令、以執行本發明的上述實施例中的一個或更多實施例的功能的系統或裝置的計算機�,來實現本發明的各實施例���,并且����,可以利用由通過例如讀出并執行來自存儲介質的計算機可執行指令�、以執行上述實施例中的一個或更多實施例的功能的系統或裝置的計算機來執行的方法�,來實現本發明的各實施例���。所述計算機可以包括中央處理單元(CPU)、微處理單元(MPU)或其他電路中的一者或更多���,并且可以包括分開的計算機或分開的計算機處理器的網絡。所述計算機可執行指令可以例如從網絡或存儲介質被提供給計算機����。所述存儲介質可以包括例如硬盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)���、分布式計算系統的存儲器、光盤(諸如壓縮盤(⑶)��、數字多用途盤(DVD)或藍光盤(BD) ?)、閃存設備����、存儲卡等中的一者或更多。
[0101]根據上述實施例��,針對多個用戶所屬的組來設置組認證信息,并且使用該組認證信息來實現SS0����,從而能夠減少用戶映射給用戶帶來的工作負擔�。
[0102]雖然參照示例性實施例對本發明進行了描述����,但是應當理解����,本發明并不限于所公開的示例性實施例。應當對所附權利要求的范圍給予最寬的解釋����,以使其涵蓋所有這些變型例以及等同的結構和功能���。
【權利要求】
1.一種協作系統,該協作系統包括第一信息處理系統及第二信息處理系統���,所述第一信息處理系統用于針對各個組來管理關于多個用戶的用戶認證信息�����,并且所述第二信息處理系統用于從所述第一信息處理系統獲取數據,并使用所獲取的數據來提供服務�, 所述第一信息處理系統包括: 第一認證單元,其用于從操作客戶端的用戶來接收用戶認證信息,并且基于所接收到的用戶認證信息對所述用戶進行認證;以及 第一發送單元,其用于在所述用戶被成功認證之后����,響應于對開始使用所述服務的請求的接收,將針對所述用戶所屬的組而設置的組認證信息發送到所述第二信息處理系統,并且��, 所述第二信息處理系統包括: 第二認證單元,其用于接收所發送的組認證信息��,并且基于所接收到的組認證信息進行認證;以及 第二發送單元��,其用于在已基于所述組認證信息成功進行了認證之后���,將表示已成功進行了所述認證的標識信息發送到所述第一信息處理系統, 其中����,所述第一信息處理系統還包括: 指示單元,其用于將所發送的標識信息發送到所述客戶端����,并且指示所述客戶端訪問所述第二信息處理系統��,并且���, 其中���,所述第二信息處理系統還包括: 驗證單元,其用于驗證從根據所述指示進行訪問的所述客戶端發送的所述標識信息���; 以及 提供單元���,其用于響應于所述標識信息的成功驗證����,在不對操作所述客戶端的所述用戶進行認證的情況下向操作所述客戶端的所述用戶提供所述服務����。
2.—種用于與第一信息處理系統協作提供服務的第二信息處理系統,所述第一信息處理系統用于針對各個組來管理關于多個用戶的用戶認證信息,所述第二信息處理系統包括: 接收單元���,其用于從所述第一信息處理系統來接收針對用戶所屬的組而設置的組認證信息���; 發送單元,其用于在已基于所接收到的組認證信息成功進行了認證之后��,將表示已成功進行了所述認證的標識信息發送到所述第一信息處理系統�;以及 提供單元�,其用于在被經由所述第一信息處理系統而接收到所述標識信息的客戶端訪問時��,在不對操作所述客戶端的所述用戶進行認證的情況下提供所述服務��。
3.根據權利要求2所述的第二信息處理系統���,其中��,所述接收單元從所述第一信息處理系統,來接收響應于對如下請求的接收而發送的所述組認證信息,其中����,所述請求是已輸入所述用戶認證信息并且已被認證的所述用戶的���、開始使用所述服務的請求��。
4.根據權利要求2所述的第二信息處理系統�����,其中���,所述第一信息處理系統在受保護資源被訪問時提供所述服務,并且在無保護資源被訪問時指示客戶端訪問所述受保護資源�, 其中�,所述第二信息處理系統還包括驗證單元���,該驗證單元用于從根據所述第一信息處理系統的指示訪問所述無保護資源的所述客戶端來接收所述標識信息,并驗證所接收到的標識信息,并且, 其中��,所述提供單元響應于所述標識信息的成功驗證,指示所述客戶端訪問所述受保護資源,并且在不對操作根據所述指示進行過訪問的所述客戶端的所述用戶進行認證的情況下提供所述服務����。
5.根據權利要求4所述的第二信息處理系統�����,其中���,所述提供單元指示所述客戶端訪問所述受保護資源��,并且指示所述客戶端存儲所述標識信息�。
6.根據權利要求4所述的第二信息處理系統,其中���,所述提供單元指示所述客戶端訪問所述受保護資源�����,并且指示所述客戶端存儲標識信息���,在該標識信息中�,有效期限被設置為短于由所述客戶端經由所述第一信息處理系統接收并存儲的標識信息的有效期限��。
7.根據權利要求4所述的第二信息處理系統,該第二信息處理系統還包括指示單元,該指示單元用于在所述客戶端在未被認證的情況下訪問所述受保護資源時����,基于操作所述客戶端的所述用戶所屬的組來指定用于對所述用戶進行認證的信息處理系統��,并且使所述客戶端訪問所述信息處理系統�����。
8.根據權利要求2所述的第二信息處理系統����,其中��,所述服務從所述第一信息處理系統來獲取數據�,通過將所述數據插入到表單中來生成文檔數據��,并且將生成的數據提供給所述客戶端。
9.一種用于針對各個組來管理關于多個用戶的用戶認證信息的第一信息處理系統����,所述第一信息處理系統包括: 認證單元���,其用于接收關于操作客戶端的用戶的用戶認證信息�,并且基于所接收到的用戶認證信息對所述用戶進行認證; 發送單元,其用于在所述用戶被成功認證之后��,將針對所述用戶所屬的組而設置的組認證信息發送到第二信息 處理系統,從所述第二信息處理系統接收表示基于所述組認證信息成功進行了認證的標識信息,并且將所接收到的標識信息發送到所述客戶端��;以及 數據發送單元�����,其用于響應于來自接收到過所述標識信息的所述客戶端的訪問,在不對操作所述客戶端的所述用戶進行認證的情況下����,向用于請求數據的所述第二信息處理系統發送所述數據。
10.根據權利要求9所述的第一信息處理系統,該第一信息處理系統還包括提供單元�����,該提供單元用于提供包括如下的項目及按鈕的畫面,所述項目用于顯示由用戶經由所述客戶端輸入的數據���,并且所述按鈕用于接收開始使用由所述第二信息處理系統使用所述數據而提供的服務的請求��。
11.根據權利要求9所述的第一信息處理系統����,其中,所述發送單元向所述客戶端,發送設置了有效期限的所述標識信息以及存儲所述標識信息的指示���。
12.根據權利要求10所述的第一信息處理系統,其中�,在接收到開始使用由所述第二信息處理系統使用所述數據而提供的所述服務的所述請求之后,所述第一信息處理系統從所述客戶端來接收設置了有效期限的所述標識信息����,并且如果所接收到的標識信息在有效期限內,則所述第一信息處理系統指示所述客戶端訪問所述第二信息處理系統��,而如果獲取的所述標識信息不在有效期限內,則所述第一信息處理系統將所述組認證信息發送到所述第二信息處理系統,接收新標識信息�,并且將所接收到的新標識信息發送到所述客戶端����。
13.根據權利要求10所述的第一信息處理系統�,其中�,所述服務不要求使用所述用戶認證信息的用戶認證,并且所述第二信息處理系統提供要求使用所述用戶認證信息的用戶認證的另一服務���,并且���, 其中����,由所述提供單元提供的所述畫面還包括用于接收開始使用所述另一服務的請求的按鈕�。
14.一種協作系統的協作方法���,所述協作系統包括第一信息處理系統及第二信息處理系統,所述第一信息處理系統用于針對各個組來管理關于多個用戶的用戶認證信息,并且所述第二信息處理系統用于從所述第一信息處理系統獲取數據�����,并使用所獲取的數據來提供服務�����,所述協作方法包括以下步驟: 經由所述第一信息處理系統,從操作客戶端的用戶來接收用戶認證信息���,并且基于所接收到的用戶認證信息對所述用戶進行認證; 經由所述第一信息處理系統,在所述用戶已被成功認證之后,響應于對開始使用所述服務的請求的接收��,將針對所述用戶所屬的組而設置的組認證信息發送到所述第二信息處理系統����; 經由所述第二信息處理系統��,接收所發送的組認證信息�����,并且基于所接收到的組認證信息進行認證; 經由所述第二信息處理系統��,在已基于所述組認證信息成功進行了認證之后����,將表示已成功進行了所述認證的標識信息發送到所述第一信息處理系統��; 經由所述第一信息處理系統,將所發送的標識信息發送到所述客戶端,并且指示所述客戶端訪問所述第二信息處理系統 ����; 經由所述第二信息處理系統,驗證從根據所述指示進行了訪問的所述客戶端發送的所述標識信息�;以及 經由所述第二信息處理系統����,響應于所述標識信息的成功驗證,在不對操作所述客戶端的所述用戶進行認證的情況下向操作所述客戶端的所述用戶提供所述服務。
【文檔編號】H04L29/08GK103455749SQ201310206601
【公開日】2013年12月18日 申請日期:2013年5月29日 優先權日:2012年5月30日
【發明者】內田貴之 申請人:佳能株式會社