协作系统、其协作方法以及信息处理系统的制作方法

协作系统、其协作方法以及信息处理系统的制作方法
【专利摘要】本发明提供协作系统、其协作方法以及信息处理系统。客户端经由作为协作源的信息处理系统来发送开始使用服务的请求，获取表示已基于针对用户所属的组而设置的组认证信息成功进行了认证的标识信息，然后将该标识信息发送到作为协作目的地的信息处理系统。
【专利说明】协作系统、其协作方法以及信息处理系统
【技术领域】
[0001]本发明涉及通过单点登录使多个信息处理系统相互协作的协作系统、其协作方法以及其中的信息处理系统。
【背景技术】
[0002]用于在云平台上管理业务数据并进行各种处理操作的结构配置已日益普及。用户从客户端个人计算机(PC)的浏览器经由因特网访问由云平台提供的Web页，并且把要查看的业务数据显示在该Web页上。例如，当用户经由PC的画面给出文档生成指令时，客户端PC访问文档生成服务器。随后，文档生成服务器在云平台上获取业务数据，生成文档，然后将所生成的文档发送到客户端PC。云平台的典型示例包括Salesforce.com的SalesforceCRM (注册商标)。
[0003]云平台和文档生成服务器以多租户(mult1-tenant)方式操作。租户是指签订使用云平台和文档生成服务器的合同的公司或组织的单位，以及用户所属的组。在以多租户方式操作的服务中，一个信息处理系统管理多个租户的数据，并且分开管理各租户的数据，使得租户的数据不能被另一租户参照。为了使租户仅参照自身的数据，云平台和文档生成服务器对用户进行认证并且检查租户。使用用于识别用户的用户标识(ID)以及作为保密信息的密码来对用户进行认证，并且根据用户输入的租户是否存在来检查租户。
[0004]当云平台和文档生成服务器相互协作时，不需要通过各服务器对用户进行认证，而是能够在信息处理系统之间进行认证以互相协作。传统上，用于在多个信息处理系统之间进行认证以相互协作的技术包括利用安全断言标记语言(SAML, security assertionmarkup language)的单点登录(SSO, single sign-on)结构。在利用 SAML 的 SSO 中，用户既保留提供认证服务的信息处理系统(身份提供方(IdP, identity provider))的用户ID，又保留在IdP的认证结果被信赖的情况下提供服务的信息处理系统(服务提供方(SP，service provider))的用户ID。当用户通过IdP接收到用户认证时,SP信赖该认证结果，并且将用户的访问认证为在SP中管理的用户ID (IdP在先)。此外，当尚未通过IdP被认证的用户访问SP时，SP将该未认证的用户引导到适当的IdP，并且使用户通过该IdP被认证(SP在先)。利用任何方法，用户都能够仅通过在IdP中输入用户认证信息来接收由SP提供的服务，并且减少在SP中的用户认证处理，从而提高便利性。
[0005]当执行利用SAML的SSO时，由IdP保留的用户ID和由SP保留的用户ID彼此关联(在下文中称为“用户映射”)以便管理。特别是，当始终要求识别用户的服务与文档生成服务器相关联时，需要利用用户映射来管理ID。用于针对各用户来管理和打印文档的打印服务始终要求识别用户。
[0006]此外，传统上已知有用于将多个信息处理系统中的各个保留的ID彼此关联的方法。日本专利申请特开2011-221729号公报讨论了如下的方法，即服务提供服务器引导用户访问认证服务器，并登记认证服务器与用户之间的认证信息，以进行认证处理。
[0007]然而，该传统方法具有如下所述的问题。为了使多个信息处理系统执行SS0，必须利用如下的用户映射，该用户映射将协作源的信息处理系统中的多个用户ID与协作目的地的信息处理系统中的多个用户ID相关联。
[0008]用户映射给用户带来了很大的工作负担。当用户ID的数量增加时，用户的工作负担相应地增大。

【发明内容】

[0009]本发明致力于提供一种协作系统，在该协作系统中，针对多个用户所属的组来设置组认证信息，并且使用所述组认证信息来实现SS0，从而减轻用户映射带来的工作负担。
[0010]根据本发明的一个方面，提供一种协作系统，该协作系统包括第一信息处理系统及第二信息处理系统，所述第一信息处理系统用于针对各个组来管理关于多个用户的用户认证信息，并且所述第二信息处理系统用于从所述第一信息处理系统获取数据，并使用所获取的数据来提供服务。所述第一信息处理系统包括:第一认证单元，其用于从操作客户端的用户来接收用户认证信息，并且基于所接收到的用户认证信息对所述用户进行认证；以及第一发送单元，其用于在所述用户被成功认证之后，响应于对开始使用所述服务的请求的接收，将针对所述用户所属的组而设置的组认证信息发送到所述第二信息处理系统，并且，所述第二信息处理系统包括:第二认证单元，其用于接收所发送的组认证信息，并且基于所接收到的组认证信息进行认证；以及第二发送单元，其用于在已基于所述组认证信息成功进行了认证之后，将表示已成功进行了所述认证的标识信息发送到所述第一信息处理系统，其中，所述第一信息处理系统还包括:指示单元，其用于将所发送的标识信息发送到所述客户端，并且指示所述客户端访问所述第二信息处理系统，并且，其中，所述第二信息处理系统还包括:验证单元，其用于验证从根据所述指示进行访问的所述客户端发送的所述标识信息；以及提供单元，其用于响应于所述标识信息的成功验证，在不对操作所述客户端的所述用户进行认证的情况下向操作所述客户端的所述用户提供所述服务。
[0011]通过以下参照附图对示例性实施例的描述，本发明的其他特征和方面将变得清
λ.Μ
/E.ο
【专利附图】

【附图说明】
[0012]被并入说明书并构成说明书的一部分的附图，例示了本发明的示例性实施例、特征及方面，并与文字描述一起用来说明本发明的原理。
[0013]图1例示了根据本发明的第一示例性实施例的系统配置。
[0014]图2例示了根据本发明的第一示例性实施例的硬件配置。
[0015]图3例示了根据本发明的第一示例性实施例的服务提供服务器A的模块配置。
[0016]图4例示了根据本发明的第一示例性实施例的服务提供服务器B的模块配置。
[0017]图5例示了由根据本发明的第一示例性实施例的无保护资源管理模块管理的信肩、O
[0018]图6例示了根据本发明的第一示例性实施例的服务提供服务器B的业务数据的画面。
[0019]图7是例示由根据本发明的第一示例性实施例的服务提供服务器B执行的流程的流程图。[0020]图8是例示由根据本发明的第一示例性实施例的服务提供服务器A执行的流程的流程图。
[0021]图9例示了根据本发明的第一示例性实施例的按钮设置的示例。
[0022]图10是例示由根据本发明的第一示例性实施例的服务提供服务器A执行的流程的流程图。
[0023]图11是例示由根据本发明的第一示例性实施例的客户端PC的浏览器执行的流程的流程图。
[0024]图12是例示由根据本发明的第二示例性实施例的客户端PC的浏览器执行的流程的流程图。
[0025]图13是例示由根据本发明的第二示例性实施例的服务提供服务器A执行的流程的流程图。
[0026]图14例示了根据本发明的第三示例性实施例的按钮设置的示例。
【具体实施方式】
[0027]现在，将参照附图详细描述本发明的各种示例性实施例、特征及方面。
[0028]本发明致力于通过针对多个用户所属的组来设置组认证信息并且使用该组认证信息来实现SSO。
[0029]更具体来说，由用于针对各个组管理与多个用户中的各用户相对应的用户认证信息的协作源的信息处理系统，接收开始使用协作目的地的信息处理系统的服务的用户请求。响应于用户请求，协作源的信息处理系统把针对多个用户所属的组而设置的组认证信息，发送到协作目的地的信息处理系统，并且接收认证。协作目的地的信息处理系统把表示已经成功进行了认证的标识信息，发送到协作源的信息处理系统。该标识信息从协作源的信息处理系统，被发送到由请求开始使用服务的用户操作的客户端。协作目的地的信息处理系统验证从该客户端发送来的标识信息，然后根据正确标识信息的验证，来提供服务而不对操作客户端的用户进行认证。
[0030]在传统技术中，需要在协作源的信息处理系统中的用户ID与协作目的地的信息处理系统中的用户ID之间，进行用户映射。然而，根据本发明，能够使用在组所属的所有用户之间共用的组认证信息，来实现SS0。结果，用户不需要进行用户映射，而是可以仅针对多个用户所属的组来设置组认证信息，从而大大减少繁琐的处理。
[0031]图1是例示根据第一示例性实施例的协作系统的系统配置的框图。
[0032]根据本示例性实施例，利用万维网(WWW)系统建立广域网(WAN)IOO。局域网(LAN)101将各构成要素相互连接。LANlOl经由WAN100使装置能够相互通信。
[0033]客户端PC200是由用户操作的信息处理装置。根据用户的请求，客户端PC200发出对后述的服务提供服务器A500和服务提供服务器B550的请求，并且将该请求发送给这两个服务器。
[0034]认证服务确定服务器300引导客户端PC200访问适当的IdP。认证服务器A400和认证服务器B450进行认证，并且作为IdP中的认证设备。认证服务不局限于上述两个。哪个IdP对用户进行实际认证依据访问的用户而变化。
[0035]服务提供服务器A500和服务提供服务器B550向通过认证的用户提供服务。服务提供服务器A500接收来自客户端PC200的请求，然后提供用于生成文档数据的文档生成服务。例如，从服务提供服务器B550，来获取生成文档数据时所需的原始数据。服务提供服务器B550根据来自客户端PC200或服务提供服务器A500的请求，来提供用于显示和更新所保留的数据的服务。服务提供服务器A500和服务提供服务器B550不局限于文档生成服务和云平台，并且可以是其他服务。
[0036]此外，客户端PC200、认证服务确定服务器300、认证服务器A400、认证服务器B450、服务提供服务器A500和服务提供服务器B550经由WAN100或LANlOl相互连接。上述信息处理装置能够相互通信。客户端PC200和各服务器可以各自位于单独的LAN上，也可以全部位于同一 LAN上。客户端PC200和各服务器也可以全部位于同一 PC上。
[0037]认证服务器B450和服务提供服务器B550被构建为同一网络中(内联网中)的服务器组，并且认证服务确定服务器300、认证服务器A400和服务提供服务器A500被构建为同一网络中(内联网中)的服务器组。前一服务器组称为“第一信息处理系统”，后一服务器组称为“第二信息处理系统”。构成各信息处理系统的服务器不局限于第一示例性实施例中讨论的服务器。可以存在提供其他服务的服务器。
[0038]接下来，将描述通过用户认证来识别用户、并且当用户被成功识别时该用户接收服务的情况。通过经由进行用户映射的利用SAML的SSO的协作，来进行上述操作。
[0039]客户端PC200访问服务提供服务器B550。当服务提供服务器B550接收未被认证的用户的访问时，服务提供服务器B550显示认证画面(未例示)，以对用户进行认证。当用户被成功认证时，显示业务数据。
[0040]图6例示了由根据第一示例性实施例的服务提供服务器B550显示的业务数据的画面601的示例。业务数据的画面601包括诸如“商务会议”和“顾客”等的标签(tab)。标签“商务会议”被显示为活动的，并且，显示了关于商务会议记录的详细信息以及商品。此夕卜，还显示了按钮602，针对该按钮602，设置对服务提供服务器A500的访问。例如租户的管理者等的用户，能够任意地设置按下按钮602时的动作。当按钮602被按下时，客户端PC200访问服务提供服务器A500。
[0041]当服务提供服务器A500接收到未认证的用户的访问时，服务提供服务器A500使客户端PC200访问认证服务确定服务器300。认证服务确定服务器300使客户端PC200访问适当的认证服务器A400或者认证服务器B450。当认证服务器A400或认证服务器B450对用户进行认证时，认证服务器A400或者认证服务器B450使客户端PC200再次访问服务提供服务器A500。服务提供服务器A500向操作客户端PC200的用户提供服务。
[0042]认证服务确定服务器300将作为用于确定对用户进行认证的认证服务器的密钥的信息，例如用于识别租户的租户信息，与认证服务器信息相互关联地存储。当认证服务确定服务器300接收到未认证的用户的访问时，认证服务确定服务器300从用户访问认证服务确定服务器300时提供的信息中，检索作为用于确定认证服务器的密钥的信息，然后获取认证服务器信息。接下来，认证服务确定服务器300根据检索的认证服务器信息，引导用户访问适当的认证服务器。
[0043]当认证服务器A400接收到从认证服务确定服务器300重定向的未认证的访问时，认证服务器A400显示用户认证画面(未例示)，并且提示用户输入用户ID和密码，以对用户进行认证。当认证服务器A400接收到认证完成之后的访问目的地信息时，基于该信息，用户的访问被重定向。例如，当服务提供服务器A500已被指定作为认证完成之后的重定向目的地时，客户端PC200被重定向以访问服务提供服务器A500。此时，作为表示用户已被认证过的信息，发出断言，然后，客户端PC200被重定向以访问被添加了断言的服务提供服务器A500。服务提供服务器A500请求认证服务器A400验证断言。认证服务器A400验证断言是否正确，并且当验证断言正确时，认证服务器A400响应于正确断言的验证，指定由此管理的用户ID。所指定的用户ID事先通过用户映射与认证服务器B450中的用户ID相关联。
[0044]认证服务器A400发出表示访问来自可信用户的认证会话ID。认证会话ID包括任意的唯一字符串，并且认证服务器A400将用户ID和认证会话ID相互关联地存储。接下来，认证服务器A400基于用户访问认证服务器A400时提供的认证会话ID，来指定用户ID。认证会话ID被添加到由服务提供服务器A500返回给客户端PC200的浏览器的响应页面，并且被存储在客户端PC200的浏览器中。接下来，当用户经由客户端PC200的浏览器访问服务提供服务器A500时，认证会话ID被发送到服务提供服务器A500。认证会话ID在预定时间内有效，并且由认证服务器A400来管理有效期限。根据第一示例性实施例，认证会话ID的有效期限(闲置时间)被设置为30分钟。认证会话ID被发送到服务提供服务器A500，使得该用户能够在不经认证服务器A400认证的情况下，接收由服务提供服务器A500提供的服务。如上所述，单点登录具有用户不需要输入用户认证信息的优点。
[0045]当服务提供服务器A500接收到从认证服务器A400重定向的访问时，由于用户已经被认证过，所以用户能够接收由服务提供服务器A500提供的服务。根据第一示例性实施例，认证会话ID可以被添加到由客户端存储的Cookie “AUTH_SESSION_ID”项目。可以用Cookie以外的方法来添加认证会话ID。
[0046]此外，认证服务器A400包括用于在接收到用户ID和密码时对用户进行认证的应用编程接口(API)。用户认证API是用于在自身对用户进行认证时将认证会话ID返回到调用程序的接口。此外，认证服务器A400包括如下的API，这些API用于接收断言和认证会话ID,以验证各数据的合理性。用于验证认证会话的合理性的API将验证结果返回到调用程序。
[0047]当认证服务器B450接收到从认证服务确定服务器300重定向的未认证的访问时，认证服务器B450显示用户认证画面(未例示)，并且提示用户输入用户ID和密码，以对用户进行认证。换句话说，认证服务器B450还包括用于对用户进行认证的API。当认证服务器B450对用户认证成功时，认证服务器B450生成成功的证明以及断言，然后重定向客户端PC200以访问能够验证断言的认证服务器。
[0048]如上所述，通过用户认证来识别用户，然后，用户接收根据该识别而提供的服务。根据第一示例性实施例的协作系统能够执行SS0，稍后，将在另一示例性实施例中详细描述如何执行SSO。
[0049]图2例示了根据第一示例性实施例的客户端PC200的配置。另外，提供认证服务确定服务器300、认证服务器A400、认证服务器B450、服务提供服务器A500和服务提供服务器B550的服务器计算机具有类似的配置。如上所述，一般的信息处理装置的硬件配置能够应用于根据第一示例性实施例的客户端PC200和各服务器。
[0050]如图2中所示，中央处理单元(CPU) 201执行存储在R0M203的程序只读存储器(ROM)中或者从硬盘(HDD) 211加载到随机访问存储器(RAM) 202中的程序，诸如操作系统
(OS)和应用程序。此处的“OS”是在计算机上运行的操作系统的缩写，并且在下文中称为“OS”。在OS上执行用于实现后述各流程图的处理的程序。RAM202充当CPU201的主存储器和工作区。键盘控制器(KBC)205控制键盘(KB)209以及经由指示设备(未例示)的键输入。阴极射线管(CRT)控制器(CRTC) 206控制CRT显示器210的显示。盘控制器(DKC) 207控制对存储各种数据的硬盘(HD) 211和软盘(FD)的数据访问。网络控制器(NC) 212连接到网络，以进行与连接到的其他设备的通信控制处理。在下面的全部描述中，除非另外指出，否则，硬件上的主体是CPU201，并且软件上的主体是安装在HD211中的各软件模块。
[0051]图3例示了根据第一示例性实施例的服务提供服务器A500的软件模块配置。月艮务提供服务器A500包括访问拒绝模块501、数据获取模块502、文档生成模块503、页面生成模块504、无保护资源管理模块505、认证信息获取模块506、认证信息验证模块507和认证信息添加模块508。当存储在服务提供服务器A500的HDD211中的各软件模块被加载到RAM202中并且由CPU201执行时，能够实现上述模块。
[0052]当服务提供服务器A500接收到来自客户端PC200的访问时，访问拒绝模块501确定被访问的统一资源定位符(URL)是否被登记到无保护资源管理模块505。
[0053]图5例示了登记到无保护资源管理模块505的URL (在下文中称为“无保护资源”)的示例。如图5中所示，图像文件、JavaScript (注册商标)文件、层叠样式表单(CSS，cascading style sheets)文件以及以 “http://service_a/unprotected/” 开始的 URL 被登记为无保护资源。当客户端PC200访问未被登记到无保护资源管理模块505的URL (在下文中称为“受保护资源”)时，进行上述处理。换句话说，当用户未被认证时(请求不包括Cookie “AUTH_SESSION_ID”，或者添加的认证会话ID无效)，服务提供服务器A500显示用户认证画面。当作为无保护资源的、以“http://service_a/unprotected/”开始的URL被访问时，不显示用户认证画面，并且验证认证会话ID是否正确。稍后将进行详细描述。当包括在来自外部设备的访问中的认证会话ID正确时，服务提供服务器A500提供服务，当该认证会话ID不正确时，返回错误。
[0054]当被访问的URL是无保护资源时，访问拒绝模块501验证认证会话ID，并且当认证会话ID正确时，访问拒绝模块501指示客户端PC200访问受保护资源，然后向操作客户端PC200的用户提供服务。另外，当URL是受保护资源时，访问拒绝模块501确定用户的访问是否已被认证过，并且未认证的客户端PC200被重定向以访问认证服务确定服务器300。当用户的访问已被认证过时，后述的文档生成模块503将所生成的文档发送到客户端PC200，以向操作客户端PC200的用户提供服务。
[0055]访问拒绝模块501基于请求是否包括Cookie “AUTH_SESS10N_ID”以及包括在Cookie“AUTH_SESS10N_ID”中的认证会话ID是否有效，来确定操作客户端PC200的用户是否已被认证过。
[0056]数据获取模块502从服务提供服务器B550获取业务数据。文档生成模块503获取由表单管理模块(未例示)管理的表单，并且将数据获取模块502获取的业务数据插入到表单中，以生成文档数据。文档数据将是诸如一般的居留证件和账目文件等的记录文件数据，然而也可以是其他数据。响应于来自客户端PC200的请求，页面生成模块504生成响应页面，并且将该响应页面返回到客户端PC200。响应页面是例如用于输入用户认证信息(未例示)和显示文档数据的画面(未例示)。
[0057]当服务提供服务器B550访问作为用于获取认证会话ID的无保护资源的URL时，访问拒绝模块501从请求中检索组ID和密码。认证信息获取模块506指定检索的组ID和密码，以调用认证服务器A400的用户认证API。当客户端PC200访问作为用于验证认证会话ID的无保护资源的URL时，访问拒绝模块501从URL的参数部分中检索认证会话ID。认证信息验证模块507指定检索的认证会话ID，以调用认证服务器A400的认证会话合理性验证API。如上所述，由服务提供服务器A500的软件模块提供该功能。
[0058]图4例示了根据本示例性实施例的服务提供服务器B550的模块配置。服务提供服务器B550包括访问拒绝模块551、组ID管理模块5531和5541、认证信息获取模块5532和5542、业务数据管理模块5533和5543以及设置管理模块5534和5544。当存储在服务提供服务器B550的HDD211中的各软件模块被加载到RAM202中并且由CPU201执行时，能够实现上述模块。
[0059]当服务提供服务器B550从客户端PC200接收到访问时，访问拒绝模块551确定用户是否已被认证过，当用户尚未被认证时，页面生成模块552显示用户认证画面。当用户已被认证过时，服务提供服务器B550提供服务。当服务提供服务器B550接收到显示业务数据的请求时，业务数据管理模块5533或5543获取业务数据。当用于显示业务数据的画面包括按钮时，设置管理模块5534或5544获取按钮设置。页面生成模块552生成响应页面，然后将该响应页面返回到客户端PC200。稍后，将详细描述根据第一示例性实施例的按钮设置。
[0060]由组ID管理模块5531或5541管理的用户ID和密码是用于识别访问服务提供服务器A500的租户的帐户信息，并且包括组ID和密码。组ID管理模块5531或5541管理最大一对的组ID和密码。组ID和密码由用户(管理者)预先通过某种方法发出和获取，然后经由设置画面(未例示)而被登记。
[0061]从安全性的观点来看，期望仅经由ID设置画面(未例示)，来登记和更新组ID管理模块5531或5541的组ID和密码。另外，期望在ID设置画面(未例示)上，不显示由组ID管理模块5531或5541管理的密码。此外，期望仅能够从认证信息获取模块5532或5542，来获取由组ID管理模块5531或5541管理的组ID和密码。应当不能从服务提供服务器B550的外部，来获取和参照由组ID管理模块5531或5541管理的组ID和密码。
[0062]组认证信息是指上述的组ID和密码。根据第一示例性实施例，向一个租户分配一个组认证信息。结果，属于指定租户的所有用户共用组认证信息。组认证信息不局限于组ID和密码。组认证信息可以具有任何格式，只要组认证信息被唯一地分配给一个租户、并且能够经由认证服务器A400的用户认证API使用组认证信息的数据即可。对于从一个租户起进一步细分的组，也能够应用本发明。
[0063]当服务提供服务器B550从客户端PC200接收到获取认证会话ID的请求时，认证信息获取模块5532或5542从组ID管理模块5531或5541，来获取组ID和密码。认证信息获取模块5532或5542将所获取的组ID和密码设置为参数，并且访问用于获取服务提供服务器A500的认证会话ID的无保护资源的URL。认证信息获取模块5532或5542例如被公布为Web服务API，以从客户端PC200的浏览器接收认证会话ID获取请求。
[0064]另外，针对各租户，来管理组ID管理模块5531或5541、认证信息获取模块5532或5542、业务数据管理模块5533或5543以及设置管理模块5534或5544。为了进行管理，可以将针对每个租户管理的模块存储到同一 HDD211中，并且可以将各租户的数据在逻辑上分开，或者可以分隔HDD211以在物理上分开管理模块。
[0065]图9例示了根据第一示例性实施例的按钮602的按钮设置的示例，并且按钮602被布置在业务数据的画面601上。按钮602的显示名称901被设置为“文档生成”，并且把在客户端PC200的浏览器上执行JavaScript (注册商标)，定义作为按钮602被按下时的动作902。另外，把要执行的JavaScript (注册商标)的内容903，定义作为按钮602的设置。如图9中所示，被定义为获取认证信息的部分从认证信息获取模块5532或5542，来获取服务提供服务器B550中的认证会话ID。作为用于获取认证会话ID的方法，例如，可以使用认证信息获取模块5532或5542公布Web服务API并调用该Web服务API的方法。
[0066]如图9中所示，被定义为获取或存储Cookie “LOGIN”的部分表示进行用于将Cookie “LOGIN”从客户端PC200的浏览器发送到服务提供服务器A500以被获取的处理，或者表示进行用于将Cookie “LOGIN”存储到客户端PC200的浏览器中的处理。Cookie被客户端作为数据临时存储在服务器中。与信息处理系统和客户端之间的通信及认证状态有关的数据，被存储在客户端PC的HDD211中作为Cookie。
[0067]可以在存储Cookie时设置Cookie的有效期限，并且当有效期限过去时，可以由客户端PC200的浏览器删除Cookie。Cookie “LOGIN”是如下的标志，该标志用于确定服务提供服务器B550是否使用组认证信息从服务提供服务器A500获取认证会话ID。当Cookie “LOGIN”不存在时，或者当客户端PC200确定在Cookie “LOGIN”一度被存储时设置的有效期限已经过去时，服务提供服务器B550获取服务提供服务器A500的认证会话ID。客户端PC200的浏览器将所获取的认证会话ID设置为无保护资源的URL的参数，并且访问服务提供服务器A500的无保护资源的文档生成处理URL。当Cookie “LOGIN”在有效期限内时，客户端PC200的浏览器访问服务提供服务器A500的受保护资源的文档生成处理URL。
[0068]根据第一示例性实施例的Cookie “LOGIN”的有效期限被设置为短于由认证服务器A400管理的认证会话ID的有效期限(闲置时间)。这样，当Cookie “LOGIN”在有效期限内时，Cookie “AUTH-SESS10N-ID”中包括的认证会话ID总是有效的。因此，即使客户端PC200访问受保护资源的URL，也不显示用于输入对用户进行认证所需的用户认证信息的认证画面。Cookie “AUTH-SESS10N-ID”用于当客户端PC200访问受保护资源的文档生成处理URL时的认证，并且不同于Cookie “LOGIN”。利用Cookie “AUTH-SESS10N-ID”来操作客户端PC200的用户能够在不经服务提供服务器A500认证的情况下接收服务。提供Cookie “LOGIN”，并且将 Cookie “LOGIN” 的有效期限设置为短于 Cookie “AUTH-SESS10N-ID ”的有效期限，使得当客户端PC200访问服务提供服务器A500时，用户从不经服务提供服务器A500认证。因此，能够提高用户的便利性。
[0069]根据第一示例性实施例，认证会话ID被设置为Cookie “LOGIN”的值。然而，如上所述，仅确定Cookie “LOGIN”是否在有效期限内，而不验证Cookie “LOGIN”本身。因此，可以将认证会话ID以外的值设置为Cookie “LOGIN”的值。如图9中所示，{!$Ap1.Session,ID}意味着从服务提供服务器B550的会话管理模块(未例示)，获取服务提供服务器B550的被认证的用户的认证会话ID。
[0070]如图9中所示，{!$Ap1.Server-URL}意味着服务提供服务器A500获取用于访问服务提供服务器B550的URL。如图9中所示，{!Opportunity.1d}意味着获取在画面上显示的商务会议记录的记录ID。当用户按下如图9中所示而设置的按钮时，在客户端PC200的浏览器上执行JavaScript (注册商标)。在客户端PC200的浏览器上显示另一窗口，并且客户端PC200被重定向以访问作为无保护资源的“http://service_a/unp;rotected/service”。作为用于访问的URL参数，参数“AUTH_ID”包括由服务提供服务器A500基于组认证信息而发出的认证会话ID，参数“sessionid”包括服务提供服务器B550的被认证的用户的会话ID，参数“serverurl”包括用于访问服务提供服务器B550的URL参数，并且参数“recordid”包括商务会议记录的记录ID。
[0071]图11例示了根据第一示例性实施例的、由客户端PC200的浏览器执行的流程。当检测到在客户端PC200的浏览器上显示的用于业务数据的画面601上、用户按下用于生成文档的按钮602时，该流程开始，并且当浏览器执行JavaScript (注册商标)时，该流程被执行。
[0072]在步骤SI 101中，客户端PC200的浏览器从客户端PC200的HDD211中获取Cookie “LOGIN”。在步骤SI 102中，客户端PC200的浏览器确定Cookie “LOGIN”是否存在，换句话说，确定是否已获取了 Cookie “LOGIN”。当Cookie “LOGIN”存在时(步骤S1102中的“是”)，该处理前进到步骤SI 103，而当Cookie “LOGIN”不存在时(步骤SI 102中的“否”)，该处理前进到步骤SI 106。
[0073]当在步骤S1102中Cookie “LOGIN”存在时，在步骤S1103中，客户端PC200的浏览器确定Cookie “LOGIN”是否在有效期限内。当Cookie “LOGIN”在有效期限内时(步骤SI 103中的“是”)，该处 理前进到步骤SI 104，而当Cookie “LOGIN”不在有效期限内时(步骤S1103中的“否”)，该处理前进到步骤S1106。
[0074]当在步骤S1103中确定Cookie “LOGIN”在有效期限内时，在步骤S1104中，客户端PC200的浏览器更新Cookie “LOGIN”的有效期限。在步骤S1105中，客户端PC200的浏览器设置用于访问作为受保护资源的“http://service_a/service”的URL，然后在步骤S1113中，客户端PC200的浏览器访问服务提供服务器A500。通过更新Cookie “LOGIN”的有效期限，能够减少执行用于发出新的Cookie “AUTH_SESS10N_ID”的流程的次数。
[0075]当Cookie “LOGIN”不存在时(步骤S1102中的“否”)，或者当Cookie “LOGIN”不在有效期限内时(步骤S1103中的“否”)，在步骤S1106中，客户端PC200的浏览器请求服务提供服务器B500获取认证会话ID。在步骤SI 107中，客户端PC200的浏览器确定是否已成功获取了认证会话ID。当已成功获取了认证会话ID时(步骤S1107中的“是”)，该处理前进到步骤S1108，而当返回错误时(步骤S1107中的“否”)，该处理前进到步骤S1112。可以基于来自服务提供服务器B550的响应，来进行步骤S1107中的确定。
[0076]当在步骤S1107中已成功获取了认证会话ID时，在步骤S1108中，客户端PC200的浏览器检索所获取的认证会话ID。在步骤S1109中，将所获取的认证会话ID设置为URL参数“AUTH_ID”。接下来，将所获取的认证会话ID存储在Cookie “LOGIN”中。此时，将Cookie “LOGIN”的有效期限设置为20分钟。Cookie “LOGIN”的有效期限并非必须是20分钟，只要该有效期限短于由认证服务器A400管理的认证会话ID的有效期限(30分钟)即可。然而，有效期限越短，则进行步骤S1106中的处理的可能性越高。接下来，在步骤S1108中，客户端PC200的浏览器设置用于访问作为无保护资源的“http://serviCe_a/unprotected/service”的URL,然后在步骤S1113中，客户端PC200的浏览器访问服务提供服务器A500。
[0077]当在步骤S1107中返回错误时，在步骤S1112中，重新加载画面。当返回错误时，例如由服务提供服务器B550认证过的用户的会话可以终止。作为另一选择，服务提供服务器B550可能未能获取到认证会话ID。在此类情况下，通过重新加载画面，在客户端PC200的浏览器上再次显示认证画面，并且在用户被成功认证之后，画面可以返回刚好在之前显示的画面。在步骤S1112中，可以显示错误画面而不重新加载画面。如上所述，由客户端PC200的浏览器执行的流程结束。
[0078]图7例示了根据第一示例性实施例的、由服务提供服务器B550执行的流程。在步骤S1106中，当客户端PC200的浏览器请求服务提供服务器B550获取认证会话ID时，该流程开始。
[0079]在步骤S701中，服务提供服务器B550接收认证会话ID获取请求。在步骤S702中，认证信息获取模块5532或5542从组ID管理模块5531或5541，来获取组ID和密码。在步骤S703中，为了利用所获取的组ID和密码来请求认证，认证信息获取模块5532或5542将所获取的组ID和密码设置为URL参数，并且访问作为无保护资源的URL“http://serviCe_a/unprotected/login”。在步骤S704中，认证信息获取模块5532或5542作为响应，返回认证结果包括中的认证会话ID。该流程的进行如上所述，并且在此结束。
[0080]图8例示了根据第一示例性实施例的、由服务提供服务器A500执行的流程。在图7中所示的步骤S703中，当服务提供服务器B550访问服务提供服务器A500时，该流程开始。
[0081]在步骤S801中，服务提供服务器A500接收认证请求。在步骤S802中，访问拒绝模块501从参数中获取组ID和密码。在步骤S803中，认证信息获取模块506指定所获取的组ID和密码，调用认证服务器A400的用户认证API，然后获取认证会话ID。在步骤S804中，认证信息获取模块506作为响应，将所获取的认证会话ID返回到客户端PC200。该流程的进行如上所述，并且在此结束。所获取的认证会话ID的有效期限(闲置时间)是30分钟。
[0082]图10例示了根据第一示例性实施例的、由服务提供服务器A500执行的流程。当进行步骤S1113时，该流程开始。作为另一选择，该流程甚至从客户端PC200的正常访问开始。
[0083]在步骤S1001中，服务提供服务器A500接收客户端PC200的访问。在步骤S1002中，访问拒绝模块501确定来自客户端PC200的访问目的地的URL是否是无保护资源。当被访问的URL不是无保护资源时(步骤S1002中的“否”)，该处理前进到步骤S1003，而当被访问的URL是无保护资源时(步骤S1002中的“是”)，该处理前进到步骤S1006。
[0084]在步骤S1003中，访问拒绝模块501确定该访问是否被认证过。当该访问已被认证过时(步骤S1003中的“是”)，该处理前进到步骤S1005，而当该访问没有被认证时(步骤S1003中的“否”)，该处理前进到步骤S1004。
[0085]在步骤S1006中，访问拒绝模块501确定URL参数是否包括参数“AUTH_ID”。当包括参数“AUTH_ID”时(步骤S1006中的“是”)，该处理前进到步骤S1007。当不包括参数“AUTH_ID”时(步骤S1006中的“否”)，在步骤S1012中，页面生成模块504返回错误画面，然后该流程结束。
[0086]在步骤S1007中，认证信息验证模块507从URL参数“AUTH_ID”中获取认证会话ID。在步骤S1008中，认证信息验证模块507指定所获取的认证会话ID，调用认证服务器A400的认证会话合理性验证API，然后验证认证会话ID是否合理。在步骤S1009中，认证信息验证模块507获取认证会话合理性验证API的验证结果，并且验证该结果是否合理。当所获取的认证会话ID合理时(步骤S1009中的“是”)，该处理前进到步骤S1010。当所获取的认证会话ID不合理时(步骤S1009中的“否”)，在步骤S1012中，页面生成模块504返回错误画面，然后该流程结束。
[0087]在步骤S1010中，认证信息添加模块508将所获取的认证会话ID添加到Cookie “AUTH_SESSION_ID”。在步骤SlOll中，页面生成模块504将请求转发到作为受保护资源的文档生成处理URL “http://service_a/service”。换句话说，服务提供服务器A500指示客户端PC200访问该受保护资源。利用该配置，再次执行图10中所示的流程，并且由于已进行过认证，所以该处理前进到步骤S1005。结果，操作客户端PC200的用户能够在不经服务提供服务器A500认证的情况下接收服务。在步骤SlOll中，可以将响应返回到客户端PC200的浏览器，并且客户端PC200的浏览器可以访问文档生成处理URL “http://service_a/service，，。
[0088]在步骤S1005中，数据获取模块502从参数中获取“recordid”，并且对服务提供服务器B550进行用于获取业务数据的询问。响应于用于获取业务数据的询问，服务提供服务器B550将业务数据发送到服务提供服务器A500。接下来，文档生成模块503获取由表单管理模块(未例示)管理的表单，以基于所获取的业务数据和表单来生成文档数据。步骤S1005中的文档生成处理是公知的，因此不进行描述。页面生成模块504生成用于通知已生成文档数据并且显示该文档数据的响应页面，然后将该响应页面返回到客户端PC200。结果，操作客户端PC200的用户能够接收服务。一旦接收到响应页面，客户端PC200的浏览器即从该响应页面获取 Cookie “AUTH_SESS10N_ID”，并且将 Cookie “AUTH_SESS10N_ID”存储在客户端PC200的HDD211中。接下来，当客户端PC200的浏览器访问服务提供服务器A500时，客户端 PC200 的浏览器从 HDD211 中检索 Cookie “AUTH_SESS10N_ID”，并且将 Cookie “AUTH_SESS10N_ID”添加到请求中。
[0089]根据第一示例性实施例，利用一个帐户(例如，组认证信息)，来进行从服务提供服务器B550到服务提供服务器A550的认证，并且，客户端PC200的浏览器利用所获取的认证会话ID，来访问服务提供服务器A500的无保护资源(不显示认证画面)。另外，所获取的认证会话ID被存储在浏览器的Cookie中，并且在Cookie有效期间，客户端PC200访问服务提供服务器A500的受保护资源。由于在Cookie有效期间认证始终有效(认证会话ID始终有效)，所以不显示认证画面。如上所述，能够通过服务提供服务器A500的一个帐户来使用服务提供服务器A500，而与服务提供服务器B550的用户帐户的数量无关，因此，尽管不进行用户映射，也能够在不显示认证画面的情况下执行SS0。
[0090]当根据本示例性实施例来生成文档时，还能够进行控制，以不向始终要求识别用户的服务发送文档。
[0091]接下来，将描述本发明的第二示例性实施例。以下不再描述与第一示例性实施例类似的构成要素，而仅描述不同之处。根据第二示例性实施例，将描述如下的示例，在该示例中，不针对按钮602设置访问受保护资源的命令。按钮602的脚本描述能够被减少。另夕卜，即使当客户端PC200总是访问无保护资源时，通过省去对Cookie “Auth_ID”的验证，也能够减少认证服务器A400对认证会话ID的验证处理。
[0092]图12例示了根据第二示例性实施例的、由客户端PC200的浏览器执行的流程。在与图11中类似的流程中，使用了与图11中相同的附图标记，并且下面仅描述不同之处。在步骤S1103中，当确定Cookie “LOGIN”在有效期限内时(步骤S1103中的“是”)，在步骤S1104中，客户端PC200的浏览器更新Cookie “LOGIN”的有效期限。另外，在步骤S1201中，客户端PC200的浏览器针对参数“check”设置“false”，然后针对URL参数来设置参数“check”。
[0093]当成功获取了认证会话ID时(步骤S1107中的“是”)，客户端PC200的浏览器进行步骤S1108、S1109和S1110。另外，在步骤S1202中，客户端PC200的浏览器针对参数“check”设置“true”，然后针对URL参数来设置参数“check”。当进行了步骤S1201或S1202时，客户端PC200的浏览器针对要在步骤S1203中访问的URL，设置作为无保护资源的 “http://service_a/unprotected/service”。在步骤 S1113 中，客户端 PC200 的浏览器访问服务提供服务器A500。
[0094]图13例示了根据第二示例性实施例的、由服务提供服务器A500执行的流程。在与图10中类似的流程中，使用了与图10中相同的附图标记，并且下面仅描述不同之处。在步骤S1002中，访问拒绝模块501确定被访问的URL是否是无保护资源。当被访问的URL是无保护资源时(步骤S1002中的“是”)，在步骤S1301中，访问拒绝模块501确定是否针对URL参数的参数“check”设置了 “true”。当设置了 “true”时(步骤S1301中的“是”)，该处理前进到步骤S1006，而当没有设置“true”时(步骤S1301中的“否”)，该处理前进到步骤SlOll0结果，即使当客户端PC200访问无保护资源时，认证服务器A400也能够减少认证会话ID的验证处理。
[0095]根据第一或第二示例性实施例，描述了利用在租户中的多个用户之间共用的组认证信息来访问服务提供服务器A500的示例。由于组ID不指定用户，所以在与服务提供服务器B550协作的另一服务提供服务器A500中，始终要求识别用户的服务可能无法被使用。在此情况下，对于仅具有第一或第二示例性实施例的流程的协作系统，不具体描述与提供这种类型的服务的服务提供服务器的协作。本发明的第三示例性实施例将描述用于实现如下协作系统的具体方法，所述协作系统用于在不使用要求识别用户的服务时，执行根据第一或第二示例性实施例的SS0，并且在使用要求识别用户的服务时，执行进行了用户映射的利用SAML的SSO。
[0096]图14例示了根据第三示例性实施例的按钮设置的示例。当执行进行了用户映射的利用SAML的SSO时，使用如图14中所示而设置的按钮。在与图9中类似的流程中，使用了与图9中相同的附图标记，并且下面仅描述不同之处。该按钮设置定义要执行的JavaScript (注册商标)的内容1403。当如图14中所示而设置的按钮被按下时，在客户端PC200的浏览器上执行JavaScript (注册商标)，并且显示另一窗口以访问作为受保护资源的“http://service_a/service”。针对访问的URL参数包括公司ID。公司ID用于识别服务提供服务器A500的租户。如上所述，通过上述方式执行了进行了用户映射的利用SAML的SSO的协作。[0097]在服务提供服务器B550的业务数据的画面601上，布置了图9和图14中所示的按钮中的至少一个。当在画面601上布置了两个按钮时，例如，可以在按钮602的右侧，相邻地布置具有图14中所示的按钮设置的按钮。当不使用要求识别用户的服务时，使用按钮602根据第一或第二示例性实施例来执行SS0。当使用要求识别用户的服务时，使用与图14中所示的按钮设置相对应的按钮，来执行进行了用户映射的利用SAML的SS0。
[0098]根据第三示例性实施例的不要求识别用户的服务包括在第一和第二示例性实施例中描述的文档生成服务。文档生成服务不要求对谁生成了文档进行管理。另外，要求识别用户的服务包括打印服务，该打印服务用于基于所生成的文档数据来生成打印数据，并且使打印机打印该打印数据。由于打印数据被打印机实际打印，所以需要对成本进行管理。这样，由于用户需要被识别，所以对哪个用户使用了打印服务进行管理。
[0099]根据第三示例性实施例，依据要使用的服务适当地使用按钮，并且当使用要求识别用户的服务时，能够执行进行了用户映射的利用SMAL的SS0。
[0100]另外，还可以通过读出并执行记录在存储介质(例如，非临时性计算机可读存储介质)上的计算机可执行指令、以执行本发明的上述实施例中的一个或更多实施例的功能的系统或装置的计算机，来实现本发明的各实施例，并且，可以利用由通过例如读出并执行来自存储介质的计算机可执行指令、以执行上述实施例中的一个或更多实施例的功能的系统或装置的计算机来执行的方法，来实现本发明的各实施例。所述计算机可以包括中央处理单元(CPU)、微处理单元(MPU)或其他电路中的一者或更多，并且可以包括分开的计算机或分开的计算机处理器的网络。所述计算机可执行指令可以例如从网络或存储介质被提供给计算机。所述存储介质可以包括例如硬盘、随机存取存储器(RAM)、只读存储器(ROM)、分布式计算系统的存储器、光盘(诸如压缩盘(⑶)、数字多用途盘(DVD)或蓝光盘(BD) ?)、闪存设备、存储卡等中的一者或更多。
[0101]根据上述实施例，针对多个用户所属的组来设置组认证信息，并且使用该组认证信息来实现SS0，从而能够减少用户映射给用户带来的工作负担。
[0102]虽然参照示例性实施例对本发明进行了描述，但是应当理解，本发明并不限于所公开的示例性实施例。应当对所附权利要求的范围给予最宽的解释，以使其涵盖所有这些变型例以及等同的结构和功能。
【权利要求】
1.一种协作系统，该协作系统包括第一信息处理系统及第二信息处理系统，所述第一信息处理系统用于针对各个组来管理关于多个用户的用户认证信息，并且所述第二信息处理系统用于从所述第一信息处理系统获取数据，并使用所获取的数据来提供服务， 所述第一信息处理系统包括: 第一认证单元，其用于从操作客户端的用户来接收用户认证信息，并且基于所接收到的用户认证信息对所述用户进行认证；以及 第一发送单元，其用于在所述用户被成功认证之后，响应于对开始使用所述服务的请求的接收，将针对所述用户所属的组而设置的组认证信息发送到所述第二信息处理系统，并且， 所述第二信息处理系统包括: 第二认证单元，其用于接收所发送的组认证信息，并且基于所接收到的组认证信息进行认证；以及 第二发送单元，其用于在已基于所述组认证信息成功进行了认证之后，将表示已成功进行了所述认证的标识信息发送到所述第一信息处理系统， 其中，所述第一信息处理系统还包括: 指示单元，其用于将所发送的标识信息发送到所述客户端，并且指示所述客户端访问所述第二信息处理系统，并且， 其中，所述第二信息处理系统还包括: 验证单元，其用于验证从根据所述指示进行访问的所述客户端发送的所述标识信息； 以及 提供单元，其用于响应于所述标识信息的成功验证，在不对操作所述客户端的所述用户进行认证的情况下向操作所述客户端的所述用户提供所述服务。
2.—种用于与第一信息处理系统协作提供服务的第二信息处理系统，所述第一信息处理系统用于针对各个组来管理关于多个用户的用户认证信息，所述第二信息处理系统包括: 接收单元，其用于从所述第一信息处理系统来接收针对用户所属的组而设置的组认证信息； 发送单元，其用于在已基于所接收到的组认证信息成功进行了认证之后，将表示已成功进行了所述认证的标识信息发送到所述第一信息处理系统；以及 提供单元，其用于在被经由所述第一信息处理系统而接收到所述标识信息的客户端访问时，在不对操作所述客户端的所述用户进行认证的情况下提供所述服务。
3.根据权利要求2所述的第二信息处理系统，其中，所述接收单元从所述第一信息处理系统，来接收响应于对如下请求的接收而发送的所述组认证信息，其中，所述请求是已输入所述用户认证信息并且已被认证的所述用户的、开始使用所述服务的请求。
4.根据权利要求2所述的第二信息处理系统，其中，所述第一信息处理系统在受保护资源被访问时提供所述服务，并且在无保护资源被访问时指示客户端访问所述受保护资源， 其中，所述第二信息处理系统还包括验证单元，该验证单元用于从根据所述第一信息处理系统的指示访问所述无保护资源的所述客户端来接收所述标识信息，并验证所接收到的标识信息，并且， 其中，所述提供单元响应于所述标识信息的成功验证，指示所述客户端访问所述受保护资源，并且在不对操作根据所述指示进行过访问的所述客户端的所述用户进行认证的情况下提供所述服务。
5.根据权利要求4所述的第二信息处理系统，其中，所述提供单元指示所述客户端访问所述受保护资源，并且指示所述客户端存储所述标识信息。
6.根据权利要求4所述的第二信息处理系统，其中，所述提供单元指示所述客户端访问所述受保护资源，并且指示所述客户端存储标识信息，在该标识信息中，有效期限被设置为短于由所述客户端经由所述第一信息处理系统接收并存储的标识信息的有效期限。
7.根据权利要求4所述的第二信息处理系统，该第二信息处理系统还包括指示单元，该指示单元用于在所述客户端在未被认证的情况下访问所述受保护资源时，基于操作所述客户端的所述用户所属的组来指定用于对所述用户进行认证的信息处理系统，并且使所述客户端访问所述信息处理系统。
8.根据权利要求2所述的第二信息处理系统，其中，所述服务从所述第一信息处理系统来获取数据，通过将所述数据插入到表单中来生成文档数据，并且将生成的数据提供给所述客户端。
9.一种用于针对各个组来管理关于多个用户的用户认证信息的第一信息处理系统，所述第一信息处理系统包括: 认证单元，其用于接收关于操作客户端的用户的用户认证信息，并且基于所接收到的用户认证信息对所述用户进行认证； 发送单元，其用于在所述用户被成功认证之后，将针对所述用户所属的组而设置的组认证信息发送到第二信息 处理系统，从所述第二信息处理系统接收表示基于所述组认证信息成功进行了认证的标识信息，并且将所接收到的标识信息发送到所述客户端；以及 数据发送单元，其用于响应于来自接收到过所述标识信息的所述客户端的访问，在不对操作所述客户端的所述用户进行认证的情况下，向用于请求数据的所述第二信息处理系统发送所述数据。
10.根据权利要求9所述的第一信息处理系统，该第一信息处理系统还包括提供单元，该提供单元用于提供包括如下的项目及按钮的画面，所述项目用于显示由用户经由所述客户端输入的数据，并且所述按钮用于接收开始使用由所述第二信息处理系统使用所述数据而提供的服务的请求。
11.根据权利要求9所述的第一信息处理系统，其中，所述发送单元向所述客户端，发送设置了有效期限的所述标识信息以及存储所述标识信息的指示。
12.根据权利要求10所述的第一信息处理系统，其中，在接收到开始使用由所述第二信息处理系统使用所述数据而提供的所述服务的所述请求之后，所述第一信息处理系统从所述客户端来接收设置了有效期限的所述标识信息，并且如果所接收到的标识信息在有效期限内，则所述第一信息处理系统指示所述客户端访问所述第二信息处理系统，而如果获取的所述标识信息不在有效期限内，则所述第一信息处理系统将所述组认证信息发送到所述第二信息处理系统，接收新标识信息，并且将所接收到的新标识信息发送到所述客户端。
13.根据权利要求10所述的第一信息处理系统，其中，所述服务不要求使用所述用户认证信息的用户认证，并且所述第二信息处理系统提供要求使用所述用户认证信息的用户认证的另一服务，并且， 其中，由所述提供单元提供的所述画面还包括用于接收开始使用所述另一服务的请求的按钮。
14.一种协作系统的协作方法，所述协作系统包括第一信息处理系统及第二信息处理系统，所述第一信息处理系统用于针对各个组来管理关于多个用户的用户认证信息，并且所述第二信息处理系统用于从所述第一信息处理系统获取数据，并使用所获取的数据来提供服务，所述协作方法包括以下步骤: 经由所述第一信息处理系统，从操作客户端的用户来接收用户认证信息，并且基于所接收到的用户认证信息对所述用户进行认证； 经由所述第一信息处理系统，在所述用户已被成功认证之后，响应于对开始使用所述服务的请求的接收，将针对所述用户所属的组而设置的组认证信息发送到所述第二信息处理系统； 经由所述第二信息处理系统，接收所发送的组认证信息，并且基于所接收到的组认证信息进行认证； 经由所述第二信息处理系统，在已基于所述组认证信息成功进行了认证之后，将表示已成功进行了所述认证的标识信息发送到所述第一信息处理系统； 经由所述第一信息处理系统，将所发送的标识信息发送到所述客户端，并且指示所述客户端访问所述第二信息处理系统 ； 经由所述第二信息处理系统，验证从根据所述指示进行了访问的所述客户端发送的所述标识信息；以及 经由所述第二信息处理系统，响应于所述标识信息的成功验证，在不对操作所述客户端的所述用户进行认证的情况下向操作所述客户端的所述用户提供所述服务。
【文档编号】H04L29/08GK103455749SQ201310206601
【公开日】2013年12月18日 申请日期:2013年5月29日 优先权日:2012年5月30日
【发明者】内田贵之 申请人:佳能株式会社