JP6412140B2 - リモートリソースへのアクセスを確実に許可すること - Google Patents

リモートリソースへのアクセスを確実に許可すること Download PDF

Info

Publication number
JP6412140B2
JP6412140B2 JP2016543940A JP2016543940A JP6412140B2 JP 6412140 B2 JP6412140 B2 JP 6412140B2 JP 2016543940 A JP2016543940 A JP 2016543940A JP 2016543940 A JP2016543940 A JP 2016543940A JP 6412140 B2 JP6412140 B2 JP 6412140B2
Authority
JP
Japan
Prior art keywords
user device
resource server
resource
communicatively coupled
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016543940A
Other languages
English (en)
Other versions
JP2016540321A (ja
Inventor
ブレイク ブラノン、ジョナサン
ブレイク ブラノン、ジョナサン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airwatch LLC
Original Assignee
Airwatch LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Airwatch LLC filed Critical Airwatch LLC
Publication of JP2016540321A publication Critical patent/JP2016540321A/ja
Application granted granted Critical
Publication of JP6412140B2 publication Critical patent/JP6412140B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • User Interface Of Digital Computer (AREA)

Description

本開示の実施形態は、概して、アプリケーション管理に関し、より具体的には、確実に許可されたリモートリソースへのアクセスを提供するための方法および装置に関する。
ソフトウェアアプリケーション(「アプリケーション」)使用の許可を管理することは、機密リソースが無許可のアクセスから保護されることを保証するために重要なことである。所定のアプリケーションの機密性に応じて、一連の許可規則は、リソースが適切に保護されることを保証するために必要であり得る。いくつかのアプリケーションは、許可ユーザがリソースを要求していることを保証することのみ必要とし得る。他のアプリケーションは、アプリケーションを実行しているユーザデバイスが安全なユーザデバイスかどうかを判断するなど、より厳格な許可規則の順守を必要とし得る。個人に関し得るならびに機密および/または個人情報を含み得る診療記録、財務記録または他のリソースにアクセスするアプリケーションを取り扱う際は、アプリケーション使用上のさらに一層高度な制御が望ましくあり得る。今日まで、アプリケーション管理ソリューションは、リモートリソースへのアプリケーションアクセスを許可するためのユニークなセキュリティ上の問題に対処していない。
この概要は、以下の詳細な説明でさらに説明されるいろいろな概念を簡略化された形で取り入れるために提供される。この概要は、特許請求される対象物の主要な特徴または本質的な特徴を特定することを意図しない。また、この概要は、特許請求される対象物の範囲を制限するために使用することも意図しない。
例示的な一実施形態によれば、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断するという要求を受信するステップと、リソースサーバと通信可能に結合されたユーザデバイスに管理識別子が発行されているかどうかに少なくとも部分的に基づいて、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断するステップとを含む方法が提供される。方法は、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていることを示す応答を提供するステップをさらに含む。方法は、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないことを示す応答を提供するステップをさらに含む。
別の例示的な実施形態によれば、少なくとも1つのプロセッサと、プログラムコード命令を格納する少なくとも1つのメモリとを含むシステムが提供される。例示的な実施形態の少なくとも1つのメモリおよびプログラムコード命令は、少なくとも1つのプロセッサによって、少なくとも1つのプロセッサによって実行されているサービスから管理動作を実行するという要求を受信すること、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断するという要求を受信すること、および、リソースサーバと通信可能に結合されたユーザデバイスに管理識別子が発行されているかどうかに少なくとも部分的に基づいて、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断することを少なくとも行うようにシステムに指示するように構成される。システムは、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていることを示す応答を提供することを少なくとも行うようにさらに指示され得る。システムは、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないことを示す応答を提供するようにさらに指示され得る。
さらなる別の例示的な実施形態によれば、自身において具体化されるプログラムコード部分を有する非一時的なコンピュータ可読記憶媒体を含むコンピュータプログラム製品が提供される。具体的には、プログラムコード部分は、実行され次第、装置によって実行されているサービスから管理動作を実行するという要求を受信すること、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断するという要求を受信すること、および、リソースサーバと通信可能に結合されたユーザデバイスに管理識別子が発行されているかどうかに少なくとも部分的に基づいて、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断することを少なくとも行うように装置に指示するように構成することができる。装置は、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていることを示す応答を提供することを少なくとも行うようにさらに指示され得る。装置は、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないことを示す応答を提供するようにさらに指示され得る。
別の例示的な実施形態によれば、装置によって実行されているサービスから管理動作を実行するという要求を受信するための手段と、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断するという要求を受信するための手段と、リソースサーバと通信可能に結合されたユーザデバイスに管理識別子が発行されているかどうかに少なくとも部分的に基づいて、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているかどうかを判断するための手段とを含む装置が提供される。装置は、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されているという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていることを示す応答を提供するための手段をさらに含む。装置は、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないという判断に応答して、リソースサーバと通信可能に結合されたユーザデバイスがリソースサーバによってホストされている少なくとも1つのリソースへのアクセスを許可されていないことを示す応答を提供するための手段をさらに含む。
前述の一般的な説明や以下の詳細な説明は両方とも例であり、例示のみを目的とし、説明されるおよび特許請求されるような本開示の範囲を制限するものと解釈すべきではないことを理解されたい。さらに、本明細書に記載されるものに加えて、特徴および/または変形形態を提供することができる。例えば、本開示の実施形態は、詳細な説明で説明される様々な特徴の組合せおよび副組合せを対象とし得る。
本開示の多くの態様は、以下の図面を参照して、より良く理解することができる。図面は、必ずしも原寸に比例するとは限らない。代わりに、本開示のある特徴を明確に示すことに重点が置かれる。その上、図面では、同様の参照番号は、いくつかの図全体を通じて、対応する部分を指定する。
本開示の例示的な実施形態に従って構成することができる例示的なシステムの概略図である。 本開示の例示的な実施形態に従って構成することができる例示的なユーザデバイスの概略図である。 1つもしくは複数の電子デバイスによって具体化することができるかまたはそうでなければ1つもしくは複数の電子デバイスと関連付けることができ、本開示の例示的な実施形態を実装するように構成することができる例示的な装置の概略図である。 本開示の例示的な実施形態に従って実行することができる動作を示すフローチャートである。 本開示の例示的な実施形態に従って実行することができる動作を示すフローチャートである。 本開示の例示的な実施形態に従って実行することができる動作を示すフローチャートである。 本開示の例示的な実施形態に従って実行することができる動作を示すフローチャートである。 本開示の例示的な実施形態に従って実行することができる動作を示すフローチャートである。 本開示の例示的な実施形態に従って実行することができる動作を示すフローチャートである。
ここでは、添付の図面を参照して、以下でさらに十分に本開示を説明し、添付の図面には、本開示の実施形態のすべてではないが、そのいくつかが示されている。可能な限り、図面および以下の説明では、同じ参照番号を使用して、同じまたは同様の要素について言及する。本開示の実施形態を説明することができるが、変更形態、適合形態および他の実装形態が可能である。例えば、いくつかの事例において破線によって示されるように、図面に示される要素に対する代用、追加、除去および/または変更を行うことができ、本明細書で説明される方法は、開示される方法に段階を代用すること、並べ替えることまたは追加することによって変更することができる。実際には、本開示は、多くの異なる形態で具体化することができ、本明細書に記載される実施形態に限定されると解釈すべきではない。むしろ、これらの実施形態は、本開示が適用可能な法的要件を満たすように提供される。それに従って、以下の詳細な説明は、本開示を制限しない。代わりに、本開示の適切な範囲は、添付の請求項によって定義される。
本明細書で使用されるように、「リソース」、「コンテンツ」、「データ」という用語および同様の用語は、本発明の実施形態に従って、送信、受信、処理および/または格納が可能なデータを指すために交換可能に使用することができる。従って、そのような用語の使用は、本開示の実施形態の精神および範囲を制限するものと受け入れるべきではない。
それに加えて、本明細書で用語が使用されるように、「回路」は、ハードウェアのみの回路の実装形態(例えば、アナログ回路および/またはデジタル回路の実装形態)や、回路と、協働してシステムおよび/または装置に本明細書で説明される1つまたは複数の機能を実行させる1つまたは複数の(すなわち、少なくとも1つの)コンピュータ可読メモリ上に格納されたソフトウェアおよび/またはファームウェア命令を含むコンピュータプログラム製品との組合せや、例えば、ソフトウェアまたはファームウェアが物理的に存在しない場合でさえも、動作のためにソフトウェアまたはファームウェアを必要とする1つもしくは複数のマイクロプロセッサまたは1つもしくは複数のマイクロプロセッサの部分などの回路を指し得る。この「回路」の定義は、任意の請求項における使用も含めて、この用語のすべての使用に適用可能である。別の例として、「回路」という用語は、1つまたは複数のプロセッサおよび/またはその部分ならびに付属のソフトウェアおよび/またはファームウェアを備える実装形態も含み得る。別の例として、「回路」という用語は、例えば、ポータブルな通信デバイス用の集積回路またはアプリケーションプロセッサ集積回路、あるいは、サーバ、ネットワークデバイスおよび/または他のコンピューティングデバイスにおける同様の集積回路も含み得る。
本明細書で定義されるように、「コンピュータ可読記憶媒体」は、非一時的な物理的な記憶媒体(例えば、揮発性または不揮発性メモリデバイス)を指し、電磁信号を指す「コンピュータ可読伝送媒体」と区別することができる。その上、「少なくとも1つの」および「1つまたは複数の」は両方とも、本明細書で使用されるように、いかなる非ゼロの数量も指し、本明細書で交換可能に使用される。
本開示は、概して、アプリケーション管理を対象とし、より具体的には、リモートリソースへのアクセスを確実に許可するためのシステム、方法、装置およびコンピュータプログラム製品を対象とする。本明細書で使用されるように、アプリケーションは、ユーザデバイスのオペレーティングシステムによって解釈および実行することができるプログラミングコードのパッケージまたはソフトウェアプログラムを指す。アプリケーションは、そのようなユーザデバイスと通信可能に結合されたリソースサーバ上に格納されたリソースへのアクセスなど、ユーザデバイスのユーザに対する特定のタスクを実行するように設計される。リモートリソースへのアクセスを求めるアプリケーションの一般的な例は、生産性/ビジネスツールとして使用されるアプリケーション、グラフィックスおよびマルチメディアプロジェクトを支援するアプリケーション、ホーム、個人および教育活動をサポートするアプリケーション、ならびに、他のユーザデバイスとの通信を容易にするアプリケーションを含む。
そのようなユーザデバイス管理システム、方法、装置およびコンピュータプログラム製品の例示的な実施形態は、少なくとも1人の個人および/または少なくとも1つの企業に関する電子記録または他のタイプのコンテンツなどのリモートリソースへのアクセスを確実に許可するように構成することができる。例えば、実施形態は、管理識別子が発行されているユーザデバイスへのアクセスを制限することによって、リモートリソースへのアクセスを制御するように構成することができる。それに加えて、実施形態は、少なくとも1つの順守規則を満たすユーザデバイスへのアクセスをさらに制限することによって、リモートリソースへのアクセスを制御するように構成することができる。また、例示的な実施形態に従って、他の多くのそのような例も可能であり、そのうちのいくつかを以下で説明する。
従って、いくつかの例示的な実施形態に従って提供することができる特徴および/または機能性の概要を提供したが、ここでは、ある例示的な実施形態をより詳細に説明できるように、図に注意を向ける。
図1は、アプリケーション使用およびリモートリソースへのアクセスを許可するための例示的なシステムのブロック図を示す。図1はそのようなシステムの1つの例示的な構成を示しているが、本発明の例示的な実施形態に従って、他の多くの構成を使用することができる。しかし、図1を参照すると、アプリケーション使用およびリモートリソースへのアクセスを許可するためのシステムは、少なくとも1つのリソースサーバ110、少なくとも1つの企業移動性管理サーバ130および少なくとも1つのユーザデバイス150を含み得る。
ユーザデバイス150は、図1で描写されるネットワーク140などの1つまたは複数のネットワーク上で通信するように構成されたいかなる電子デバイスも含み得る。例えば、ユーザデバイス150は、携帯電話、スマートフォン、タブレットコンピュータ、PDA、ポケベル、デスクトップもしくはラップトップコンピュータ、セットトップボックス、音楽プレーヤ、ゲームコンソール、または、他の多くの固定式もしくはポータブル式の通信デバイス、演算デバイス、コンテンツ生成デバイス、コンテンツ消費デバイスのいずれか、あるいは、それらの組合せなどの1つまたは複数の電子デバイスを含み得る。ユーザデバイス150は、エージェントアプリケーション152およびリソースアクセスアプリケーション154などの少なくとも1つの実行可能アプリケーション(すなわち、ソフトウェアプログラム)を含み得る。エージェントアプリケーション152および/またはリソースアクセスアプリケーション154は、ユーザデバイス150のメモリ210(図2で描写される)に格納することができ、それぞれのアプリケーションの各々と関連付けられたある機能性を実行するために、ユーザデバイス150のオペレーティングシステム215(図2で描写される)によって実行することができる。
具体的には、エージェントアプリケーション152は、管理者によって構成および/または入力されたユーザデバイス150の管理コマンドなど、管理サービス132によってエージェントアプリケーション152に送信された命令をローカルで実施するために、本明細書で説明されるように、管理サーバ130によって実行される管理サービス132と通信可能に結合することができる。同様に、エージェントアプリケーション152は、リソースストア114を介してリソースサーバ110によってホストされているあるリソース258をダウンロードするという命令など、リソースサービス112によってエージェントアプリケーション152に送信された命令をローカルで実施するために、本明細書で説明されるように、リソースサーバ110によって実行されるリソースサービス112と通信可能に結合することができる。リソースアクセスアプリケーション154は、例えば、リソースサーバ110によってホストされているリソース258(例えば、ネットワーク140を介してユーザデバイス150に対して出されるリソースストア114内に格納されたリソース258)にアクセスすることができる。具体的には、リソースアクセスアプリケーション154は、リソースサーバ110によってホストされているものなどのリソース258のダウンロード、受信、アップロード、送信、閲覧、実行、変更またはそうでなければ操作を行うことができる。
リソースサーバ110は、例えば、描写されるリソースストア114などのストレージのコンテンツへのアクセスを容易にする、描写されるリソースサービス112などのサービスを含む、いかなるタイプのネットワークアクセス可能電子デバイスまたはシステムも含み得る。リソースサーバ110は、例示的な一実施形態に従って、ネットワーク140などのネットワーク上でそれに接続する誰もがアクセス可能であり得るパブリックサーバを含み得る。別の例示的な実施形態によれば、リソースサーバ110は、ネットワーク140などのプライベートネットワーク上でのみアクセス可能なプライベートサーバであり得る、および/または、ファイアウォールの後ろに位置し得る。リソースサーバ110の一般的な例は、クラウドベースのセールスフォースドットコム(Salesforce.com)、ドロップボックス(Dropbox)、ボックス(Box)、イグナイト(Egnyte)、ネットスイート(NetSuite)、シトリックスシェアファイル(Citrix ShareFile)、ラックスペース(Rackspace)、アマゾンウェブサービス(Amazon Web Services)、グーグルドライブ(Google Drive)、バックアップ魔神(BackupGenie)、シュガーシンク(SugarSync)、モズィー(Mozy)、ビットカーサインフィニットドライブ(Bitcasa Infinite Drive)、メディアファイア(MediaFire)、メガ(Mega)、ウブントゥワン(Ubunto One)、ハドル(Huddle)、エバーノート(Evernote)、マイクロソフトシェアポイント(Microsoft SharePoint)、マイクロソフトオフィス365(Microsoft Office365)、マイクロソフトスカイドライブ(Microsoft SkyDrive)およびアップルアイクラウド(Apple iCloud)を含み得る。
別の例示的な実施形態によれば、リソースサーバ110は、ユーザ登録を必要とし得る、および/または、それにアクセスするための管理されたユーザデバイス150の使用を必要とし得る。より具体的には、管理されたユーザデバイス150は、管理サーバ130と通信可能に結合されたユーザデバイス150、管理サービス132に加入および/または登録しているユーザデバイス150、管理サービス132に対するサービス契約と関連付けられたユーザデバイス150、ならびに/あるいは、管理サービス132と関連付けられた少なくとも1つの順守規則260(図2で描写される)を満たしているユーザデバイス150などの許可ユーザデバイス150を含み得る。
いずれの場合でも、リソースサービス112は、ユーザデバイス150がリソースサーバ110との通信および/またはリソースストア114のコンテンツへのアクセスを許可されているかどうかを判断することができる。ユーザデバイス150が許可されているとリソースサービス112が判断した場合は、リソースサービス112は、ユーザデバイス150によるリソースサーバ110との通信および/またはリソースストア114のコンテンツへのアクセスを容認することができる。ユーザデバイス150が許可されていないとリソースサービス112が判断した場合は、リソースサービス112は、ユーザデバイス150によるリソースサーバ110との通信および/またはリソースストア114のコンテンツへのアクセスを禁止することができる。リソースサーバ110は、様々なタイプの一般的な、個人特有のまたは企業特有のコンテンツ、アプリケーション、記録および/または他の任意のデータなど、いかなるタイプのデータもリソースストア114に格納することができる。リソースサーバ110によってリソースストア114に格納することができるリソース258(図2で描写される)の一般的な例は、ビジネスに一般的に使用される文書および/またはワードプロセッサファイル、写真および/またはグラフィックファイル、プレゼンテーションおよび/またはスライドショーファイル、スプレッドシートおよび/または他のコンピュータファイルならびに他の電子ファイルを含む。
便宜上、リソースサーバ110は、本明細書では単数形で言及されるが、多数のサーバを本明細書で説明されるような配列で使用できることが理解されよう。その上、いくつかの実施形態では、複数のリソースサーバ110は、同じサーバコンピュータ上で動作することができる。リソースサーバ110上で実行されるコンポーネントは、例えば、本明細書では詳細に開示されない様々なアプリケーション、サービス、プロセス、システム、エンジンまたは機能性を含み得る。
管理サーバ130は、描写される管理サービス132などのサービスや、描写される管理記録ストア134、管理識別子ストア136および順守規則ストア138などのストレージを含む、いかなるタイプのネットワークアクセス可能電子デバイスまたはシステムでもあり得る。便宜上、管理識別子ストア136は、管理記録ストア134内に描写されており、ある実施形態にあるように、管理識別子ストア136内に格納される管理識別子256(図2で描写される)は、管理記録ストア134内に格納される管理記録に関連するおよび/または管理記録と関連付けることができる。管理サーバ130は、ユーザデバイス150に管理能力を提供するために、描写されるネットワーク140などの1つまたは複数のネットワーク上でユーザデバイス150および/またはリソースサーバ110と通信するように構成することができる。例えば、管理サーバ130は、ユーザデバイス150に管理能力を提供するクラウドベースのソリューション、サーバコンピュータおよび/または他の任意のシステムを含み得る。
いずれの場合でも、管理サービス132は、管理記録ストア134内に格納された少なくとも1つの管理記録、管理識別子ストア136内に格納された少なくとも1つの管理識別子256および/または順守規則ストア138内に格納された少なくとも1つの順守規則260に少なくとも部分的に基づいて、ユーザデバイス150がリソースサーバ110のリソースストア114内に格納されたリソース258へのアクセスなどのある機能性の実行を許可されているかどうかを判断することができる。例えば、管理サービス132は、管理記録がある機能性の実行を求めているユーザデバイス150と関連付けられているかどうかを判断するために、管理記録ストア134へのクエリを実行することができ、ユーザデバイス150は、機能性の実行の許可を得る必要があり得る。また、管理サービス132は、ユーザデバイス150に管理識別子が発行されているかどうかを判断するために、管理識別子ストア136へのクエリを実行することもでき、ユーザデバイス150は、その代替としてまたはそれに加えて機能性の実行の許可を得る必要があり得る。また、管理サービス132は、ユーザデバイス150が満たされなければならない少なくとも1つの順守規則260を特定するために、順守規則ストア138へのクエリを実行することもでき、ユーザデバイス150は、その代替としてまたはそれに加えて機能性の実行の許可を得る必要があり得る。
便宜上、管理サーバ130は、本明細書では単数形で言及されるが、多数のサーバを本明細書で説明されるような配列で使用できることが理解されよう。その上、いくつかの実施形態では、複数の管理サーバ130は、同じサーバコンピュータ上で動作することができる。管理サーバ130上で実行されるコンポーネントは、例えば、本明細書では詳細に開示されない様々なアプリケーション、サービス、プロセス、システム、エンジンまたは機能性を含み得る。管理サーバ120によって実行される管理サービス132は、いくつかの例示的な実施形態に従って、少なくとも1つのユーザデバイス150がリソースサーバ110によってリソースストア114内に格納されたリソース258へのアクセスを許可されていることをリソースサーバ110によって実行されるリソースサービス112に通知するように構成することができる。
本明細書で説明されるように、管理サーバ130は、管理サービス132と、ユーザデバイス150に適用可能であり得る1つまたは複数の順守規則(例えば、順守ポリシ)を格納する順守規則ストア138とを備え得る。管理サービス132は管理サーバ130内のものとして示されているが、管理サービス132は、それに加えてまたはその代替として、ユーザデバイス150内に位置することおよび/またはリソースサーバ110上にリモートに位置することができ、いくつもの適切な無線(OTA)更新方法に従って、管理サーバ130を介して、定期的になど、リモート操作で更新することができる。いくつかの実施形態では、例えば、ユーザデバイス150によって実行されるエージェントアプリケーション152は、管理サービス132に等しいおよび/または管理サービス132の代わりに機能性を提供することができる。
リソース258のアクセス、ダウンロード、アップロード、閲覧および/または変更など、ある機能性を実行するというユーザデバイス150による試みは、ユーザデバイス150が順守規則260のうちの1つまたは複数を順守することを必要とし得る。所定のリソース258の機密性および/または性質に応じて、異なる順守規則260は、リソース258が適切に制限されることを保証するために必要であり得る。いくつかのリソース258は、管理サービス132によって管理識別子256が発行されているユーザなどの適切なユーザが機能性を要求していることを保証することのみを必要とし得る。他のリソース258は、ある一定の時間窓の間または地理的地域にリソース258が制限されているかどうかを判断するなど、より厳格な許可規則の順守を必要とし得る。それに従って、ユーザデバイス150および/または管理サーバ130は、ユーザデバイス150のユーザがそのようなリソース258へのアクセスを要求する際に、ユーザデバイス150のユーザがリソース258へのアクセスを許可されているかどうかを判断するように動作可能であり得る。
管理サーバ130は、例えば、順守規則260を使用して、特定のユーザデバイス150および/または特定のユーザデバイス150の特徴(例えば、カメラ、ブルートゥース(Bluetooth)、IRDA、テザリング、外部記憶装置、モバイルアクセスポイントおよび/または他のハードウェア制限など)の使用に関するハードウェア制限を課すことができる。順守規則260は、それに加えてまたはその代替として、特定のユーザデバイス150のオペレーティングシステムもしくはアプリケーションの使用などのソフトウェア制限、インターネットブラウザ制限、スクリーンキャプチャ機能性および/または他のソフトウェア制限を課すことができる。モバイルデバイス管理制限は、それに加えてまたはその代替として、順守規則260に含めることができ、暗号化要件、ファームウェアバージョン、リモートロックおよび消去機能性、ロギングおよび報告特徴、GPS追跡、ならびに/あるいは、他のユーザデバイス150の管理特徴を含み得る。
管理サーバ130は、要求側のユーザデバイス150のうちの1つまたは複数の特性が順守規則260に列挙される制限のうちの1つまたは複数を満たしているかどうかを判断することができる。例えば、管理サーバ130は、カメラ、ブルートゥース(Bluetooth)能力を有する、オペレーティングシステムの指定されたバージョンを実行している要求側のユーザデバイス150は順守規則260を満たしていると判断することができる。別の例として、管理サーバ130は、外部記憶装置ユニットと関連付けられている、スクリーンキャプチャ機能性が使用可能な要求側のユーザデバイス150は順守規則260を満たしていないと判断することができる。
いくつかの実施形態では、ユーザデバイス150によって実行されるエージェントアプリケーション152は、ユーザデバイス150について説明するデバイスプロファイル252(図2で描写される)ならびに/あるいはユーザ認証情報および/またはユーザの好みを含み得るユーザデバイス150のユーザについて説明するユーザデータ254(図2で描写される)に基づいて、順守判断を行うことができる。例えば、エージェントアプリケーション152は、ユーザデバイス150が上記で説明される順守規則260のうちの1つおよび/または複数と関連付けられた機能性(リソース258の閲覧、変更、送信および/または受信など)の実行を求めているかどうかを判断するため、ユーザデバイス150のオペレーティングシステム215への、リソースアクセスアプリケーション154、生産性アプリケーション、ウェブブラウザ、Eメールクライアントおよび/または他の任意のアプリケーションなどのユーザデバイス150上のアプリケーションによる呼び出しをモニタすることができる。それに加えて、ユーザデバイス150上で実行されたエージェントアプリケーション152は、関連付けられた機能性の要求を承認および/または拒否することができる。例えば、エージェントアプリケーション152は、順守規則260が満たされていないという判断に応答して、ユーザデバイス150によるリソース258の閲覧、変更、送信および/または受信を阻止するようにユーザデバイス150のオペレーティングシステム215に指示することができ、それは、ユーザデバイス150がリソース258へのアクセスを許可されていないということをリソースサービス112および/または管理サービス132に通知することによって達成することができる。
いくつかの実施形態では、ユーザデバイス150上で実行されたエージェントアプリケーション152は、管理サーバ130に依存して、デバイスの所定の機能性(リソース258の閲覧、変更、送信および/または受信)が順守規則260に従って許可されているかどうかを判断することができる。例えば、エージェントアプリケーション152は、ユーザデバイス150が機能性の実行を許可されているかどうかを管理サーバ130が判断できるように、デバイスプロファイル252および/またはユーザデータ254などの情報を管理サーバ130に送信することができる。それに加えて、管理サーバ130は、関連付けられた機能性の要求を承認および/または拒否することができる。例えば、管理サーバ130は、ユーザデバイス150がリソースストア114内に格納されたリソース258へのアクセスを許可されているかどうかをリソースサービス112に通知することができる。他の事例では、管理サーバ130は、リソース258へのアクセスを許可しない(リソース258のダウンロード、閲覧、変更および/または送信の阻止など)ようにユーザデバイス150上のエージェントアプリケーション152に指示することができる。
いくつかの実施形態では、順守規則260は、どの機能性がユーザデバイス150のオペレーティングシステム215による実行を許可されているかを定義するユーザデバイス150設定および/または実行可能命令を含み得る。その上、順守規則260は、保護されたユーザデバイス150の機能として扱うことができるオペレーティングシステム215および/またはプラットフォームライブラリ240(図2で描写される)と関連付けられたアプリケーションプログラミングインタフェース(API)によって提供されるものなど、ユーザデバイス150の機能のリストを含み得る。リソースサーバによってホストされているリソース258(例えば、リソースサーバ110によってリソースストア114に格納されたリソース258)へのアクセスは、保護されたユーザデバイス150の機能のこれらの機能のうちの1つまたは複数を含むかあるいはそうでなければ保護されたユーザデバイス150の機能のこれらの機能のうちの1つまたは複数と関連付けることができる。リソース258へのアクセスの試み(例えば、リソース258のダウンロード、受信、送信、アップロードまたは変更)などのこれらの機能への呼び出しは、ユーザデバイス150が適用可能な順守規則260を満たしているかどうかを判断するためのユーザデバイス150(例えば、エージェントアプリケーション152を介して)および/または管理サーバ130(例えば、管理サービス112を介して)によるチェックにつながり得る。
いくつかの実施形態では、エージェントアプリケーション152は、要求されたユーザデバイス150の機能を遂行するために、命令された動作セットを実行することができる。これらの動作セットは、ユーザデバイス150および/または管理サーバ130上で定義する(例えば、それらのメモリに格納する)ことができ、ユーザデバイスが順守規則260(例えば、管理サーバ130の順守規則ストア260内に格納されたもの)を順守しているかどうかを判断するための1つまたは複数の動作を含み得る。エージェントアプリケーション152は、ユーザデバイス150のそれぞれのコンピューティングリソースの少なくとも1つを制御することができる。動作は、エージェントアプリケーション152および/または管理サービス132によって管理されるリソースサーバ110によってホストされている少なくとも1つのリソース258へのアクセスを制限することなど、ユーザデバイスのそれぞれのコンピューティングリソース258の少なくとも1つを構成することを含み得る。
図1に示されるように、ユーザデバイス150、管理サーバ130および/またはリソースサーバ110は、互いに直接および/またはネットワーク140を介して通信することができる。ユーザデバイス150、管理サーバ130および/またはリソースサーバ110は、1つまたは複数の中間ネットワークを介してなど、有線または無線手段を介してネットワーク140に接続することができる。例えば、ユーザデバイス、管理サーバ130および/またはリソースサーバ110は、有線手段(イーサネット(Ethernet)、USB(ユニバーサルシリアルバス)または同様のものなど)を介してまたは無線手段(例えば、ワイファイ(WI−FI)、ブルートゥース(Bluetooth)または同様のものなど)を介して、あるいは、ワイヤレスセルラネットワーク(ロングタームエボリューション(LTE:Long Term Evolution)ネットワーク、LTEアドバンスト(LTE−A)ネットワーク、モバイル通信用グローバルシステム(GSM:global system for mobile communications)ネットワーク、符号分割多重アクセス(CDMA:code division multiple access)ネットワーク、ワイドバンドCDMA(WCDMA)ネットワーク、CDMA2000ネットワークもしくは同様のもの、汎用パケット無線システム(GPRS:general packet radio service)ネットワークまたは他のタイプのネットワーク140など)と接続することによって、ネットワーク140と接続することができる。
それに従って、ネットワーク140は、例えば、1つまたは複数のワイヤレスローカルエリアネットワーク(WLAN)、ワイヤレスワイドエリアネットワーク(WWAN)、イーサネット(Ethernet)ネットワーク、光ファイバネットワーク、ならびに/あるいは、現在知られているかまたは後に開発される他の任意のタイプの有線および/または無線ネットワーク140など、1つまたは複数の有線および/または無線ネットワーク140を含み得る。それに加えて、ネットワーク140は、インターネットおよび/または1つもしくは複数のイントラネット、エクストラネット、マイクロ回線、衛星通信ネットワーク、セルラネットワーク、赤外線通信ネットワーク、グローバルエリアネットワーク、他の適切なネットワークなど、または、そのようなネットワーク140の任意の組合せを含み得る。
ここで図2に切り替えると、例示的なユーザデバイス150の図が描写されている。図2はそのようなユーザデバイス150の1つの例示的な構成を示しているが、いくつかの例示的な実施形態に従って、他の多くの構成を使用することができる。しかし、図2を参照すると、ユーザデバイス150は、プロセッサ205(例えば、少なくとも1つのプロセッサ、コプロセッサおよび/または処理回路)と、少なくとも1つのメモリ210とを備え得る。デバイスの構成およびタイプに応じて、メモリ210は、これらに限定されないが、揮発性(例えば、ランダムアクセスメモリ(RAM))、不揮発性(例えば、読み取り専用メモリ(ROM))、フラッシュメモリまたはそれらの任意の組合せを含み得る。メモリ210は、エージェントアプリケーション152および/またはリソースアクセスアプリケーション154など、実行可能プログラム(例えば、プログラムコード命令、ならびに、プロセッサ205によって実行するための様々なアプリケーションおよびモジュールの関連データ構成要素)を格納することができる。少なくとも1つのメモリ210は、その間でデータを転送するための1つまたは複数のシステムバスを介してなど、少なくとも1つのプロセッサ205と通信可能に結合することができる。
ユーザデバイス150の基本的な機能性は、少なくとも1つのメモリ210に含まれるオペレーティングシステム215によって提供し、少なくとも1つのプロセッサ205を介して実行することができる。1つまたは複数のプログラムされたソフトウェアアプリケーションは、ユーザデバイス150のコンピューティングリソース258を利用することによって実行することができる。例えば、ウェブ閲覧アプリケーション、Eメールアプリケーション、インスタントメッセージアプリケーション、リソース258を閲覧および/または操作するように構成されたアプリケーション、ならびに/あるいは、リソース258の受信および/または提供が可能な他のアプリケーションなど、メモリ210に格納されたアプリケーションは、オペレーティングシステム215の保護の下でプロセッサ205によって実行することができる。
アプリケーションへの入力として提供されたデータおよび/またはアプリケーションからの出力として生成されたデータは、メモリ210に格納し、アプリケーションプログラム実行の過程において必要に応じてプロセッサ205によってメモリ210から読み取ることができる。入力データは、ユーザデバイス150の内部または外部にある、二次アプリケーションまたは他のソースによってメモリ210に格納されたデータ、あるいは、アプリケーションのインストールの間に提供されたデータであり得る。
ユーザデバイス150は、図2で描写される通信ポート220(A)〜(C)などの1つまたは複数の通信ポートを含み得る。図2で描写される例示的なユーザデバイス150では3つの通信ポートが描写されているが、ユーザデバイス150の他の例示的な構成に従って、いくつものそのようなポートが存在し得ることが理解されよう。そのような通信ポート220(A)〜(C)は、ユーザデバイス150が他のデバイス(他のユーザデバイス150、管理サーバ130および/またはリソースサーバ110など)と通信できるようにすることができ、ワイヤレスネットワーク接続性インタフェース、イーサネット(Ethernet)ネットワークアダプタおよび/またはモデムなどのコンポーネントを備え得る。例えば、ワイヤレスネットワーク接続性インタフェースは、無線トランシーバ、周辺コンポーネント相互接続(PCI:Peripheral Component Interconnect)カード、USB(ユニバーサルシリアルバス)インタフェース、パーソナルコンピュータメモリカード国際協会(PCMCIA:Personal Computer Memory Card International Association)カード、セキュアデジタル入出力(SDIO:Secure Digital Input−Output)カード、ニューカード(NewCard)、カードバス(Cardbus)、モデムおよび/または同様のもののうちの1つおよび/または複数を含み得る。いくつかの実施形態によれば、通信ポート220(A)〜(C)は、それに加えてまたはその代替として、1つまたは複数のアンテナ、支援ハードウェアおよび/またはソフトウェア、ならびに/あるいは、任意の短距離通信プロトコルおよび/または規格に従って信号を受信および/または送信するように構成された支援回路(例えば、近距離無線通信(NFC)、ブルートゥース(Bluetooth)および/またはブルートゥースローエネルギー(BLE:Bluetooth Low Energy)など)を含み得る。いくつかの実施形態によれば、通信ポート220(A)〜(C)は、それに加えてまたはその代替として、1つまたは複数のアンテナ、支援ハードウェアおよび/またはソフトウェア、ならびに/あるいは、GPS衛星から送信された信号を受信するように構成された支援回路など、位置情報サービスを提供するように構成された1つまたは複数のインタフェースを含み得る。
また、ユーザデバイス150は、キーボード、マウス、ペン、スタイラス、音声入力デバイス、タッチ入力デバイス、バイオメトリックデバイス、キャプチャデバイス、脳コンピュータインタフェース(BCI)などのうちの1つまたは複数などの入力インタフェース225を介してユーザ入力としてデータを受信することができる。入力インタフェース225は、それに加えてまたはその代替として、視覚刺激、聴覚刺激、物理的刺激および/または他のタイプの刺激(話し言葉、モーション、ジェスチャおよび/または同様のものなど)をキャプチャするように構成することができる1つまたは複数のカメラ、マイクロフォン、動作検出器、近接センサおよび/または同様のものなどの1つまたは複数の検知デバイスを含み得る。
アプリケーションによって生成されたデータは、アプリケーションプログラム実行の過程において、プロセッサ205によって、メモリ210に格納させることができる。データは、出力インタフェース230によって、アプリケーションプログラム実行の間に、ユーザデバイス150のユーザに提供することができる。出力インタフェース230は、1つまたは複数の表示デバイス、スピーカ、力フィードバック、振動フィードバックおよび/または触覚フィードバック生成デバイス、埋め込まれたおよび/または生理学的に統合された出力デバイス、ならびに/あるいは、同様のものなど、情報および/または刺激をユーザに提供するように構成された1つまたは複数のデバイスを含み得る。入力および出力インタフェース225、230は図2では異なるコンポーネントとして描写されているが、それらは、例示的な実施形態によれば、入力と出力の両方の機能性を備える1つまたは複数のコンポーネントによって具体化できることが理解されよう。例えば、入力および出力インタフェース225、230は、例えば、タッチ検出インタフェースを介してなど、情報の表示とユーザ入力の受信の両方を行うように構成された表示デバイスなどのタッチスクリーンデバイスを含み得る。
また、少なくとも1つのメモリ210は、プラットフォームライブラリ240も含み得る。プラットフォームライブラリ240は、アプリケーションプログラミングインタフェース(API)によってソフトウェア開発キット(SDK)に提供できるものなど、複数のアプリケーションに役立つ機能性の1つまたは複数の収集体(例えば、ユーティリティ)を含み得る。これらのユーティリティは、必要に応じてアプリケーションがアクセスすることができ、その結果、各アプリケーションは、これらのユーティリティを含む必要はなく、従って、メモリ消費節約および一貫したユーザ経験が可能になる。
その上、この開示の実施形態は、グラフィックスライブラリ、他のオペレーティングシステムまたは他の任意のアプリケーションプログラムと併せて実践することができ、特定のアプリケーションまたはシステムに限定されない。図に関して説明されたデバイスは、追加の特徴または機能性を有し得る。例えば、ユーザデバイス150は、例えば、磁気ディスク、光ディスクまたはテープ(図示せず)などの追加のデータ記憶装置(着脱可能および/または着脱不能)も含み得る。
ユーザデバイス150は、デバイスプロファイル252およびユーザデータ254をメモリ210に(例えば、データストア250に)格納することができる。デバイスプロファイル252は、例えば、ユーザデバイス150の現在位置の表示、ならびに/あるいは、ユーザデバイス150に関する様々なハードウェア、ソフトウェアおよび/またはセキュリティ属性の表示など、情報を含み得る。例えば、デバイスプロファイル252は、ユーザデバイス150のハードウェア仕様、ユーザデバイス150にインストールされた様々なソフトウェアプログラムおよび/またはハードウェアコンポーネントのバージョンおよび/または構成情報、ユーザデバイス150上で使用可能なデータ送信プロトコル、ユーザデバイス150上に格納された様々なリソース258のバージョンおよび使用情報、ならびに/あるいは、ユーザデバイス150の状態と関連付けられた他の任意の属性を表し得る。デバイスプロファイル252は、それに加えてまたはその代替として、ユーザデバイス150で検出されたエラーまたは故障に関する情報、デバイス温度に関する情報、リソースレベル(バッテリレベル、フリーストレージスペースおよび/または信号強度など)に関する情報および/または同様のものなどの動作ステータス情報を含み得る。デバイスプロファイル252は、それに加えてまたはその代替として、ユーザデバイス150の最後のウイルススキャン日、IT担当者によるユーザデバイス150への最後のアクセス日、IT担当者によるユーザデバイス150の最後のサービス日を示すデータ、ならびに/あるいは、ユーザデバイス150の保守および/または使用を示す他の任意のデータを含み得る。デバイスプロファイル252は、それに加えてまたはその代替として、アクセスされたリソース258、リソース258アクセス料金および/またはそのようなリソース258からアクセスされた在庫などの関連ユーザの過去の挙動の表示を含み得る。
ユーザデータ254は、ユーザデバイス150の1人または複数のユーザに関する情報を含み得る。例えば、ユーザデータ254は、リソースサーバ110のリソースサービス112によってホストされているリソース258へのアクセスの許可を得るために必要とされるユーザ名およびパスワードなどの1つまたは複数のユーザ認証情報を含み得る。その上、ユーザデータ254は、1つまたは複数のユーザの好み(例えば、ユーザの経験に影響し得る1つまたは複数のパラメータ)を含み得る。それに加えてまたはその代替として、ユーザデータ254は、ユーザデバイス150のユーザの年齢、性別、身体的な特色、好ましいリソース258タイプの表示および/または他の任意のタイプのユーザに関連する情報、あるいは、そのような情報の組合せを含み得る。それに加えてまたはその代替として、ユーザデータ254は、リソースサーバ110のリソースサービス112によってホストされているリソース258へのアクセスの許可を得るために必要とされ得るユーザデバイス150のユーザの1つまたは複数のアクセスレベル、役割、ポリシグループまたは同様のものの表示を含み得る。
また、ユーザデバイス150は、少なくとも1つの管理識別子256をデータストア250に格納することもできる。ある実施形態では、管理識別子256は、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを示す、ユーザデバイス150について一意的に説明する、数値、ストリング、単語、証明書、トークン、プロファイル、それらの組合せおよび/または他の電子データを含み得る。例えば、管理識別子256は、管理サーバ130によって実行される管理サービス132によってユーザデバイス150が管理されるという表示を提供することができ、管理識別子256は、リソースサーバ110によってホストされているリソース258へのアクセスに対する許可を提供することができる。いくつかの実施形態では、管理識別子256は、管理識別子256が有効であるという判断および/またはユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているという判断を行うことができるサーバへの通信可能な接続を確立するための手段を提供するサーバアドレスおよび/またはサーバ認証情報を含み得る。例えば、管理識別子256は、管理サーバ130のためのサーバアドレスおよび/または管理サーバ130のためのサーバ認証情報を含み得、それにより、管理識別子256および/またはリソースサーバ110によってホストされているリソース256へのアクセスに対するユーザデバイス150の許可の有効性確認を行う目的で、管理サーバ130によって実行される管理サービス132への通信可能な接続の確立を可能にすることができる。
ある実施形態では、管理識別子256は、管理サーバ130の管理サービス132がユーザデバイス150におよび/またはユーザデバイス150のために発行することができる。ユーザデバイス150が管理サービス132に加入している際および/または1つもしくは複数の順守規則260を満たしている際になど、管理識別子256は、ネットワーク140を介して、管理サービス132から受信すること、管理サービス132からダウンロードすること、および/または、管理サービス132が提供することができる。ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを求めている際になど、管理識別子256は、リソースサービス112に送信、アップロードおよび/またはそうでなければ提供することができ、管理識別子256は、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかの判断根拠として使用することができる。言い換えれば、管理識別子256は、ユーザデバイス150が信頼できるユーザデバイス150であることの保証根拠を提供することができる。
ある実施形態では、管理識別子256は、管理識別子256の発行元の援助なしではユーザデバイス150は管理識別子256を複製できないことを保証するために、ユーザデバイス150と異なり得る。より具体的には、管理識別子256は、ユーザデバイス150とは異なる要素に基づいて、完全にまたは部分的に生成することができる。例えば、管理識別子256は、管理識別子256の発行元が管理識別子256に含めるためにランダムな数値、ランダムな文字またはランダムなシンボルを選んだことが原因で管理識別子256の発行元しか知らない、ランダムな数値、ランダムな文字および/またはランダムなシンボルのうちの1つまたは複数を含み得る。それに加えて、管理識別子256は、ユーザデバイス150またはユーザデバイス150によって実行されるアプリケーションが管理識別子256を複製することを阻止するために、ユーザデバイス150に知られている1つまたは複数の要素を除外することができる。例えば、管理識別子256は、ユーザデバイス150に知られているハードウェアおよび/またはソフトウェア識別子を除外することおよび/または含まないことができる。管理識別子256への含有から除外できるハードウェアおよび/またはソフトウェア識別子の一般的な例は、ユーザデバイス150と関連付けられたシリアル番号、ワイファイ(Wi−Fi)アドレス、ブルートゥース(Bluetooth)アドレス、IMEI番号、ICCID番号またはMEID番号を含む。
ユーザデバイス150は、少なくとも1つのリソース258をデータストア250にさらに格納することができる。リソース258は、例えば、データベース、アプリケーション、オーディオ/ビデオコンテンツ、電子記録、アプリケーションおよび/またはアプリケーションファイル、ならびに/あるいは、同様のものなどのいかなるデータまたはコンテンツも含み得る。より具体的には、リソース256は、次のファイルタイプ、すなわち、データファイル、オーディオファイル、ビデオファイル、三次元画像ファイル、ラスタ画像ファイル、ベクトル画像ファイル、ページレイアウトファイル、テキストファイル、ワードプロセッサファイル、スプレッドシートファイル、プレゼンテーションファイル、グラフィックファイル、オーディオファイル、写真ファイル、ビデオファイル、データベースファイル、実行可能ファイル、CADファイル、ウェブファイル、プラグインファイル、フォントファイル、システムファイル、設定ファイル、符号化ファイル、圧縮ファイル、ディスク画像ファイル、開発者ファイル、バックアップファイルおよび/または他の任意のファイルの少なくとも1つを含み得る。ある実施形態では、リソース258は、リソースサービス112を介してリソースサーバ110から受信し、その後、ある機能性および/またはアプリケーションのその実行の際のユーザデバイス150による使用のためにユーザデバイス150のデータストア250に格納することができる。いくつかの実施形態では、リソース258は、リソースサーバ110からのリソース258の送信および/またはダウンロードのために、リソースアクセスアプリケーション154による要求に応答して、リソースサーバ110から受信することができる。リソースサーバ110からリソース258が受信され次第、ユーザデバイス150は、リソースアクセスアプリケーション154の実行の間、リソース258からの読み取りおよび/またはリソース258への書き込みを行うことができる。
それに加えて、ユーザデバイス150は、少なくとも1つの順守規則260を格納することができる。本明細書で説明されるように、順守規則260は、ユーザデバイス150のある機能性を実行するためにユーザデバイス150が満たさなければならない要件を含み得る。例えば、ユーザデバイス150は、リソースサーバ110によってホストされているリソース258へのアクセスの許可を得るため、1つまたは複数の順守規則260を満たす必要があり得る。それに加えて、本明細書で説明されるように、ユーザデバイス150は、エージェントアプリケーション152を介してなど、順守規則260が満たされているかどうかの判断を行うことができ、リソースサービス112は、順守規則260が満たされているかどうかの判断を行い、および/または、管理サービス132は、順守規則260が満たされているかどうかの判断を行う。従って、データストア250内に格納されるものとして描写されているが、順守規則260は、それに加えてまたはその代替として、リソースサービス112および/または管理サービス132のそれぞれが実行できるようにリソースサーバ110および/または管理サーバ130内に格納することができる。
ここでは、図3を参照して、本発明の例示的な実施形態について説明し、図3では、本発明の様々な機能性を実装するための装置300のある要素が描写されている。そのような機能性を実装するため、図3の装置300は、例えば、図1で描写されるユーザデバイス150、管理サーバ130および/またはリソースサーバ110のうちの1つまたは複数と併せて使用することができる。しかし、図3の装置300は、本発明の様々な機能性を実装するために、モバイル式と固定式の両方の種々の他のデバイスと併せて使用することもでき、従って、本発明の実施形態は、描写されるものに限定されるべきではないことに留意すべきである。また、図3は本発明の機能性を実装するための装置300の構成の一例を示すが、それに加えてまたはその代替として、本発明の実施形態を実装するために他の多くの構成を使用できることにも留意すべきである。それに従って、互いに連通しているものとして描写および/または説明されている様々なデバイス、コンポーネントおよび/または要素は、例えば、単一のデバイス内でまたは複数のデバイスにわたって分散して、具体化できることが理解されよう。
ここで図3を参照すると、本発明のいくつかの例示的な実施形態による個々の特定のコンテンツ管理を提供するための装置300は、プロセッサ302、通信インタフェース306およびメモリデバイス304を含み得るかそうでなければそれらと連通することができる。以下で説明されるように、および、図3の破線で示されるように、装置300は、装置300がユーザデバイス150によって具体化されるかまたはそうでなければユーザデバイス150と関連付けられる際など、ユーザインタフェース308も含み得る。いくつかの実施形態では、プロセッサ302(および/またはコプロセッサ、あるいは、プロセッサ302を援助するかまたはそうでなければプロセッサ302と関連付けられる他の処理回路)は、装置300のコンポーネント間で情報を渡すように構成されたバスを介して、メモリデバイス304と通信することができる。メモリデバイス304は、例えば、1つまたは複数の揮発性および/または不揮発性メモリを含み得る。メモリデバイス304は、装置300が本発明の例示的な実施形態に従って様々な機能を実行できるようにするため、情報、データ、コンテンツ、アプリケーション、命令または同様のものを格納するように構成することができる。例えば、メモリデバイス304は、プロセッサ302によって実行されると様々な動作を装置300に実行させるプログラムコード命令などの命令を格納するように構成することができる。
プロセッサ302は、多くの異なる方法で具体化することができる。例えば、プロセッサ302は、コプロセッサ、マイクロプロセッサ、コントローラ、デジタル信号プロセッサ(DSP)、付属のDSPを有するまたはDSPなしの処理要素、あるいは、集積回路(例えば、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラマブルゲートアレイ)、マイクロコントローラユニット(MCU)、ハードウェアアクセラレータ、専用コンピュータチップまたは同様のものなど)を含む他の様々な処理回路などの種々のハードウェア処理手段のうちの1つまたは複数として具体化することができる。従って、いくつかの実施形態では、プロセッサ302は、独立して実行するように構成された1つまたは複数の処理コアを含み得る。マルチコアプロセッサは、単一の物理的なパッケージ内での多重処理を可能にすることができる。それに加えてまたはその代替として、プロセッサ302は、独立した命令実行、パイプライン処理および/またはマルチスレッディングを可能にするために、バスを介して縦列に構成された1つまたは複数のプロセッサを含み得る。
例示的な実施形態では、プロセッサ302は、メモリデバイス304に格納されるかまたはそうでなければプロセッサ302がアクセス可能な命令を実行するように構成することができる。その代替としてまたはそれに加えて、プロセッサ302は、ハードコードされた機能性を実行するように構成することができる。従って、ハードウェア方法もしくはソフトウェア方法またはそれらの組合せによって構成されるかどうかにかかわらず、プロセッサ302は、相応に構成される一方で、本発明の実施形態に従って動作の実行が可能な実体(例えば、回路で物理的に具体化される)を表し得る。従って、例えば、プロセッサ302が、ASIC、FPGAまたは同様のものとして具体化される際は、プロセッサ302は、本明細書で説明される動作を行うために特別に構成されたハードウェアであり得る。あるいは、別の例として、プロセッサ302がソフトウェア命令の実行者として具体化される際は、命令は、命令が実行される際に本明細書で説明されるアルゴリズムおよび/または動作を実行するようにプロセッサ302を特別に構成することができる。しかし、いくつかの事例では、プロセッサ302は、本明細書で説明されるアルゴリズムおよび/または動作を実行するための命令によってプロセッサ302のさらなる構成によって本発明の実施形態を使用するように構成された特定のデバイス(例えば、ユーザデバイス150、管理サーバ130および/またはリソースサーバ110)のプロセッサであり得る。プロセッサ302は、特に、プロセッサ302の動作をサポートするように構成されたクロック、算術論理演算ユニット(ALU)および論理ゲートを含み得る。
通信インタフェース306は、ネットワーク140などのネットワークから/ネットワークにデータを受信および/または送信するように構成されたハードウェアまたはハードウェアとソフトウェアの組合せで具体化されたデバイスまたは回路、ならびに/あるいは、装置300と連通する他の任意のデバイスまたはモジュールなど、いかなる手段でもあり得る。この点に関して、通信インタフェース306は、例えば、ワイヤレス通信ネットワークとの通信を可能にするためのアンテナ(または複数のアンテナ)ならびに支援ハードウェアおよび/またはソフトウェアを含み得る。それに加えてまたはその代替として、通信インタフェース306は、アンテナを介した信号の送信またはアンテナを介して受信される信号の受信の取り扱いをもたらすためにアンテナと相互作用するための回路を含み得る。それに加えてまたはその代替として、通信インタフェース306は、短距離通信プロトコルおよび/または規格(例えば、NFC、ブルートゥース(Bluetooth)および/またはBLEなど)に従って信号の受信および/または送信を行うための、1つまたは複数のアンテナ、支援ハードウェアおよび/またはソフトウェア、ならびに/あるいは、支援回路を含み得る。いくつかの環境では、通信インタフェース306は、その代替として有線通信をサポートするか、または、それに加えて有線通信をサポートすることもあり得る。従って、例えば、通信インタフェース306は、ケーブル、デジタル加入者回線(DSL)、ユニバーサルシリアルバス(USB)または他のメカニズムを介して通信をサポートするための通信モデムおよび/または他のハードウェア/ソフトウェアを含み得る。
いくつかの実施形態では、装置300がユーザデバイス150によって具体化されるかまたはそうでなければユーザデバイス150と関連付けられる例など、装置300は、ユーザ入力の表示を受信するためおよび/または可聴、視覚、力学的もしくは他の出力をユーザに提供させるために、プロセッサ302と通信するユーザインタフェース308を含み得る。従って、ユーザインタフェース308は、例えば、図2で描写される入力/出力インタフェース225、230の文脈において上記で論じられるもののいずれかなど、キーボード、マウス、ジョイスティック、ディスプレイ、タッチスクリーン、タッチエリア、ソフトキー、マイクロフォン、スピーカ、BCI、あるいは、他の入力/出力メカニズムおよび/またはデバイスを含み得る。プロセッサ302は、プロセッサ302がアクセス可能なメモリ(例えば、メモリデバイス304)上に格納されたコンピュータプログラム命令(例えば、ソフトウェアおよび/またはファームウェア)を通じて1つまたは複数のユーザインタフェース要素の1つまたは複数の機能を制御するように構成することができる。しかし、他の実施形態では、装置300が管理サーバ130および/またはリソースサーバ110によって具体化される例など、装置300は、ユーザインタフェース308を含まない場合がある。
装置300がユーザデバイス150によって具体化されるかまたはそうでなければユーザデバイス150と関連付けられる実施形態では、メモリデバイス304は、例えば、図2で描写されるメモリ210によって具体化することができ、プロセッサ302は、例えば、図2で描写されるプロセッサ205によって具体化することができ、ユーザインタフェース308は、例えば、図2で描写される入力および/または出力インタフェース225、230によって具体化することができ、ならびに/あるいは、通信インタフェース306は、例えば、図2で描写される通信ポート220A〜Cのうちの1つまたは複数によって具体化することができることがさらに理解されよう。
ここで図4、5、6、7、8および9を参照すると、本発明の例示的な実施形態の様々な動作が描写されている。以下で論じられるように、図4、5、6、7、8および/または9の動作は、リモートリソース258へのアクセスを確実に許可することなど、ユーザデバイス150に管理能力を提供するため、図1で描写されるユーザデバイス150、管理サーバ130および/またはリソースサーバ110のうちの1つまたは複数によって具体化されるかあるいはそうでなければユーザデバイス150、管理サーバ130および/またはリソースサーバ110のうちの1つまたは複数と関連付けられる、図3で描写される装置300などの1つまたは複数の装置によって実行することができる。
この点に関して、最初に図4に切り替えると、管理サーバ130、リソースサーバ110および/またはユーザデバイス150によって具体化されるかあるいはそうでなければ管理サーバ130、リソースサーバ110および/またはユーザデバイス150と関連付けられる装置300は、いくつかの例示的な実施形態に従って、図4の動作(「段階」)、すなわち、段階405、410、415、420、425、430および435を実行するための、プロセッサ302、メモリ304、通信インタフェース306および/または同様のものなどの手段を含み得る。ある実施形態では、図4の少なくとも1つの段階は、管理サーバ130によって実行される管理サービス132を介してなど、管理サーバ130によって実行することができる。それに加えてまたはその代替として、図4の少なくとも1つの段階は、ユーザデバイス150によって実行されるエージェントアプリケーション152を介してなど、ユーザデバイス150によって実行することができる。
任意選択により、段階405から始めると、ユーザデバイス150が通信可能に結合されるリソースサーバ110との通信可能な結合を確立することができる。より具体的には、段階405に先立って、ユーザデバイス150によって実行されるリソースアクセスアプリケーション154は、リソースサーバ110のリソースストア114内に格納されたリソース258など、リソースサーバ110によってホストされているリソース258にアクセスする試みにおいて、リソースサーバ110によって実行されるリソースサービス112との通信可能な結合を確立する場合がある。その後、段階405において、例えば、動作環境100のリソースサーバ110と別の要素との間で、通信可能な結合を確立することができる。ある実施形態では、段階405において確立される通信可能な結合は、管理サーバ130によって実行される管理サービス132と、リソースサーバ110によって実行されるリソースサービス112との間で確立することができる。いくつかの実施形態では、段階405において確立される通信可能な結合は、ユーザデバイス150によって実行されるエージェントアプリケーション152と、リソースサーバ110によって実行されるリソースサービス112との間で確立することができる。
いずれの場合でも、通信可能な結合は、HTTPSおよび/または同様のものなどのネットワーク140上の安全な通信チャネルを介してユーザデバイス150が通信可能に結合されたリソースサーバ110と確立することができる。通信可能な結合は、管理サービス132および/またはエージェントアプリケーション152がリソースサービス112と通信することならびに/あるいはリソースサービス112に命令を送信することができるように、リソースサービス112に特有のAPIを介して確立することができる。それに加えておよび/またはその代替として、通信可能な結合は、リソースサービス112が管理サービス132および/またはエージェントアプリケーション152と通信することならびに/あるいは管理サービス132および/またはエージェントアプリケーション152に命令を送信することができるように、管理サービス132および/またはエージェントアプリケーション152に特有のAPIを介して確立することができる。通信可能な結合を介して送信されるデータは、通信可能な結合上で送信中のデータが悪意のあるアプリケーションおよび/またはデバイスによって傍受および解読できないことを保証するために、例えば、AES−256暗号化を使用して、暗号化することができる。
任意選択により、次いで段階410では、リソースサーバ110と通信可能に結合されたユーザデバイス150の初期の管理を提供することができる。段階410は図5および6に関してさらに詳細に説明されるが、リソースサーバ110と通信可能に結合されたユーザデバイス150の初期の管理は、一般に、ユーザデバイス150に管理識別子256を発行することに関連する。ある実施形態では、ユーザデバイス150への管理識別子256の発行は、ユーザデバイス150が管理識別子256の発行を許可されているかどうかに基づくことができ、その発行は、管理サーバ130によって実行される管理サービス132によってなど、ユーザデバイス150が管理されているかどうか、および/または、ユーザデバイス150がある順守規則260を満たしているかどうかに基づき得る。
次いで、段階415では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされている少なくとも1つのリソース258へのアクセスを許可されているかどうかを判断するという要求が受信される。ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかを判断するというそのような要求は、例えば、リソースサーバ110がユーザデバイス150のアイデンティティおよび/または特性を知らない結果として受信することができ、その要求は、ユーザデバイス150が許可されているかどうかの判断の要素に入れることができる。それに加えてまたはその代替として、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかを判断するというそのような要求は、例えば、動作環境100の別の関連体および/または要素がユーザデバイス150のアイデンティティおよび/または特性に関するさらなる情報を有し得ることをリソースサーバ110が知っている結果として受信することができる。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかを判断するという要求は、リソースサーバ110によって実行されるリソースサービス112から受信することができる。いくつかの実施形態では、要求は、管理サーバ130によって実行される管理サービス132によってリソースサービス112から受信することができる。それに加えてまたはその代替として、要求は、ユーザデバイス150によって実行されるエージェントアプリケーション152によってリソースサービス112から受信することができる。いずれの場合でも、要求は、段階405で確立されている可能性がある、ユーザデバイス150が通信可能に結合されるリソースサーバ110で確立された通信可能な結合を介して受信することができる。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかを判断するという要求は、管理識別子256を含み得、管理識別子256は、段階410の動作の間にユーザデバイス150に発行されている可能性がある。それに加えて、要求は、ユーザデバイス150と関連付けられたデバイスプロファイル252を含み得る。その上、要求は、ユーザデバイス150のユーザと関連付けられたユーザデータ254を含み得る。いずれの場合でも、要求および/またはその中に含まれるデータは、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかの判断根拠を少なくとも部分的に提供することができる。
次いで、段階420では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかの判断が行われる。段階420は図7に関してさらに詳細に説明されるが、ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかの判断は、ユーザデバイス150に管理識別子256が発行されているかどうかに基づくことができる。それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかの判断は、ユーザデバイス150がある順守規則260を満たしているかどうかに基づいて断定することができる。
段階420における、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているという判断に応答して、プロセスは、段階425に進むことができる。段階425では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを示す応答を提供することができる。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを示す応答は、リソースサーバ110によって実行されるリソースサービス112に提供することができる。いくつかの実施形態では、応答は、管理サーバ130によって実行される管理サービス132によってリソースサービス112に提供することができる。それに加えてまたはその代替として、応答は、ユーザデバイス150によって実行されるエージェントアプリケーション152によってリソースサービス112に提供することができる。いずれの場合でも、応答は、段階405で確立されている可能性がある、ユーザデバイス150が通信可能に結合されるリソースサーバ110で確立された通信可能な結合を介して提供することができる。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを示す応答は、ユーザデバイス150に管理識別子256が発行されているという表示を含み得る。それに加えてまたはその代替として、応答は、ユーザデバイス150に発行された管理識別子256が有効なおよび/または認証済みの管理識別子256であるという表示を含み得る。いくつかの実施形態では、応答は、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを要求するある順守規則260をユーザデバイス150が満たしていることをさらに示し得る。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを示す応答により、ユーザデバイス150がアクセスを許可されているあるリソース258を特定することができる。例えば、応答により、ユーザデバイス150がユーザデバイス150と関連付けられた企業に特有のあるリソース258へのアクセスを許可されていることを特定することができる。いくつかの実施形態では、応答により、ユーザデバイスがアクセスを許可されていないあるリソース258をさらに特定することができる。例えば、応答により、ユーザデバイス150がユーザデバイス150と関連付けられた企業に特有のあるリソース258へのアクセスのみを許可されており、ユーザデバイス150と関連付けられていない企業と関連付けられたあるリソース258へのアクセスは許可されていないことを特定することができる。それに加えて、ある実施形態では、応答は、なぜユーザデバイス150があるリソース258へのアクセスを許可されているかの根拠および/またはなぜユーザデバイス150があるリソース258へのアクセスを許可されていないかの根拠を示すことができる。例えば、応答により、ユーザデバイス150には有効な管理識別子256が発行されたが、ユーザデバイス150はある順守規則260を順守していないために、ユーザデバイス150があるリソース258へのアクセスを許可されていないことを特定することができる。従って、応答は、ユーザデバイス150がどのリソース258へのアクセスを許可されているかの粒度の細かい表示、ならびに、なぜユーザデバイス150があるリソース258へのアクセスを許可されているかおよび/または許可されていないかの粒度の細かい表示を含み得る。リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを示す応答が提供された時点で、図4の段階を終了することができる。
段階420に戻ると、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていないという段階420における判断に応答して、プロセスは、段階430に進むことができる。段階430では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていないことを示す応答を提供することができる。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていないことを示す応答は、リソースサーバ110によって実行されるリソースサービス112に提供することができる。いくつかの実施形態では、応答は、管理サーバ130によって実行される管理サービス132によってリソースサービス112に提供することができる。それに加えてまたはその代替として、応答は、ユーザデバイス150によって実行されるエージェントアプリケーション152によってリソースサービス112に提供することができる。いずれの場合でも、応答は、段階405で確立されている可能性がある、ユーザデバイス150が通信可能に結合されるリソースサーバ110で確立された通信可能な結合を介して提供することができる。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていないことを示す応答は、ユーザデバイス150に管理識別子256が発行されていないという表示を含み得る。それに加えてまたはその代替として、応答は、ユーザデバイス150に発行された管理識別子256が有効なおよび/または認証済みの管理識別子256ではないという表示を含み得る。いくつかの実施形態では、応答は、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていることを要求するある順守規則260をユーザデバイス150が満たしていないことをさらに示し得る。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていないことを示す応答により、ユーザデバイス150がアクセスを許可されていないあるリソース258を特定することができる。例えば、応答により、ユーザデバイス150がユーザデバイス150と関連付けられていない企業に特有のあるリソース258へのアクセスを許可されていないことを特定することができる。いくつかの実施形態では、応答により、ユーザデバイスがアクセスを許可されているあるリソース258をさらに特定することができる。例えば、応答により、ユーザデバイス150がユーザデバイス150と関連付けられた企業に特有のあるリソース258へのアクセスのみを許可されており、ユーザデバイス150と関連付けられていない企業と関連付けられたあるリソース258へのアクセスは許可されていないことを特定することができる。それに加えて、ある実施形態では、応答は、なぜユーザデバイス150があるリソース258へのアクセスを許可されていないかの根拠および/またはなぜユーザデバイス150があるリソース258へのアクセスを許可されているかの根拠を示すことができる。例えば、応答により、ユーザデバイス150には有効な管理識別子256が発行されていないが、ユーザデバイス150はある順守規則260を順守しているために、ユーザデバイス150があるリソース258へのアクセスを許可されていないことを特定することができる。従って、応答は、ユーザデバイス150がどのリソース258へのアクセスを許可されていないかの細かい指示(granular indication)、ならびに、なぜユーザデバイス150があるリソース258へのアクセスを許可されていないかおよび/または許可されているかの細かい指示を含み得る。リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていないことを示す応答が提供された時点で、図4の段階を終了することができる。
任意選択により、段階435では、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていないという指示の提供に続いて、少なくとも1つの是正措置を実行させることができる。ある実施形態では、是正措置を実行させることは、ユーザデバイス150上で措置を実行する構成プロファイルをユーザデバイス150にプッシュすることによってなど、是正措置を実行することを含み得る。いくつかの実施形態では、是正措置を実行させることは、ユーザデバイス150上である措置を実行するようにユーザデバイス150によって実行されるエージェントアプリケーション152に指示することによってなど、是正措置を実行するように動作環境100の別の関連体および/または要素に指示することを含み得る。
いずれの場合でも、ある実施形態では、是正措置は、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスの許可を得るようにすることを含み得る。リソースサーバ110によってホストされているリソース258へのアクセスの許可を得るために必要とされる条件に応じて、1つまたは複数の是正措置は、ユーザデバイス150を許可された状態に置く必要があり得る。例えば、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ユーザデバイス150を管理サービス132に加入させることによってなど、管理サーバ130によって実行される管理サービス132によって管理されるようになり得る。それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150には、管理サービス132へのユーザデバイス150の加入を通じてなど、管理識別子256を発行することができる。
さらに、それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ユーザデバイス150がある順守規則260を満たすように変更することができる。より具体的には、ユーザデバイス150は、ユーザデバイス150のオペレーティングシステム215へのAPI呼び出しおよび/またはユーザデバイス150によって実行されるエージェントアプリケーション152を介してなど、順守規則260の条件が満たされるようになるように構成および/または無線で指示することができる。一例として、位置情報サービス設定などのあるハードウェア設定は、位置情報サービスを使用可能にすることを禁止する順守規則260などの順守規則260を満たしている状態にユーザデバイス150を置く構成プロファイルを管理サービス132からユーザデバイス150に送信することによって、位置情報サービスを使用不能にトグリングするなど、変更することができる。是正措置が実行された時点で、図4の段階を終了することができる。
リモートリソースへのアクセス確実に許可することを伴う現実世界の例は、上記の概念を理解する上で役立てることができる。企業の従業員には、仕事内での使用のためのスマートフォンが提供され得る。企業のITポリシは、企業目的のために使用されるスマートフォンが企業のITチームによって管理される管理サービス132によって管理されることを必要とし得る。スマートフォンが従業員に提供される際は、ITチームは、ITポリシを満たすために、スマートフォンを管理サービス132に加入させることができる。企業目的のためにスマートフォンを使用することの一環として、従業員は、クラウドベースのリソースサーバ110によってホストされているあるリソース258に依存するリソースアクセスアプリケーション154を利用する必要があり得る。クラウドベースのリソースサーバ110は、ホストされているリソース258へのアクセスをスマートフォンが許可されているかどうかについて知らない場合、および/または、ホストされているリソース258へのアクセスをスマートフォンが許可されているかどうかについての管理サービス132の判断に依存するように指示されている場合がある。
それに従って、クラウドベースのリソースサーバ110は、ホストされているリソース258へのアクセスをスマートフォンが許可されているかどうかについての判断を管理サービス132が行うことを要求することができる。管理サービス132は、スマートフォンに管理識別子256が発行されているかどうかを判断することができ、その判断は、管理サービス132へのスマートフォンの加入の間に起こった可能性がある。より具体的には、管理サービス132は、スマートフォンと関連付けられた管理記録を特定し、管理記録が管理識別子を含んでいるかどうかを判断するために、その管理記録ストア134へのクエリを実行することができる。それに加えてまたはその代替として、ホストされているリソース258へのアクセスを要求する際にスマートフォンがクラウドベースのリソースサーバ110に管理識別子を提供した場合は、管理サービス132は、有効性確認のために、クラウドベースのリソースサーバ110が管理サービス132に管理識別子を提供するように要求することができる。管理サービス132を管理しているITチームによって構成された許可に対する要件に応じて、管理サービス132は、管理サービス132を管理しているITチームによって構成された順守規則260をスマートフォンが満たしているかどうかについての判断をさらに行うことができる。
ホストされているリソース258へのアクセスをスマートフォンが許可されていることを管理サービス132が承認することに応答して、管理サービス132は、スマートフォンが許可されていることをクラウドベースのリソースサーバ110に通知することができる。そのようなシナリオでは、クラウドベースのリソースサーバ110は、リソースアクセスアプリケーション154のその実行における使用のためにスマートフォンへのホストされているリソース258の送信を進める際に、管理サービス132によって提供された許可の承認に依存し得る。それどころか、ホストされているリソース258へのアクセスをスマートフォンが許可されていないと管理サービス132が決定することに応答して、管理サービス132は、スマートフォンが許可されていないことをクラウドベースのリソースサーバ110に通知することができる。そのようなシナリオでは、クラウドベースのリソースサーバ110は、スマートフォンへのホストされているリソース258の送信を拒否する際に、管理サービス132によって提供された許可の拒否に依存し得る。それに加えて、管理サービス132は、スマートフォンが許可されるようにスマートフォンを変更する構成ポリシおよび/または命令をスマートフォンに送信することによって、スマートフォンを再構成することができ、その時点で、クラウドベースのリソースサーバ110は、スマートフォンが許可されたことについてさらなる通知を受ける場合があり、その通知は、リソースアクセスアプリケーション154のその実行における使用のためにクラウドベースのリソースサーバ110からスマートフォンへのホストされているリソース258の送信をトリガし得る。
従って、管理サーバ130および/またはリソースサーバ110と関連付けて提供することができる様々な機能性を説明したが、ユーザデバイス150と関連付けて提供することができる対応する機能性について論じるために図5に注意を向ける。この点に関して、管理サーバ130、リソースサーバ110および/またはユーザデバイス150によって具体化されるかあるいはそうでなければ管理サーバ130、リソースサーバ110および/またはユーザデバイス150と関連付けられる装置300は、いくつかの例示的な実施形態に従って、図5の動作(「段階」)、すなわち、段階410A、410B、410C、410Dおよび410Eを実行するための、プロセッサ302、メモリ304、通信インタフェース306および/または同様のものなどの手段を含み得る。ある実施形態では、図5の少なくとも1つの段階は、管理サーバ130によって実行される管理サービス132を介してなど、管理サーバ130によって実行することができる。それに加えてまたはその代替として、図5の少なくとも1つの段階は、ユーザデバイス150によって実行されるエージェントアプリケーション152を介してなど、ユーザデバイス150によって実行することができる。
以前に述べられるように、図5は、リソースサーバ110と通信可能に結合されたユーザデバイス150の初期の管理を提供した、図4の段階410の下位の動作の詳細な説明を提供する。段階410Aから始めると、リソースサーバ110と通信可能に結合されたユーザデバイス150に管理識別子256が発行されていないという表示を受信することができる。ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150に管理識別子256が発行されていないという表示は、リソースサーバ110によって実行されるリソースサービス112から受信することができる。いくつかの実施形態では、要求は、管理サーバ130によって実行される管理サービス132によってリソースサービス112から受信することができる。例えば、リソースサービス112は、リソース258へのアクセスのためにユーザデバイス150によって送信される要求は管理識別子256を含まないと判断することができ、ユーザデバイス150に管理識別子256を発行すべきかどうかを管理サービス132が判断できるように、管理サービス132にそのような情報を提供することができる。それに加えてまたはその代替として、要求は、ユーザデバイス150によって実行されるエージェントアプリケーション152によってリソースサービス112から受信することができる。いずれの場合でも、要求は、図4の段階405で確立されている可能性がある、ユーザデバイス150が通信可能に結合されるリソースサーバ110で確立された通信可能な結合を介して受信することができる。
ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150に管理識別子256が発行されていないという表示は、ユーザデバイス150と関連付けられたデバイスプロファイル252を含み得る。その上、表示は、ユーザデバイス150のユーザと関連付けられたユーザデータ254を含み得る。いずれの場合でも、表示および/またはその中に含まれるデータは、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているかどうかの判断根拠を少なくとも部分的に提供することができる。
次いで、段階410Bでは、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているかどうかの判断が行われる。段階410Bは図6に関してさらに詳細に説明されるが、ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているかどうかの判断は、管理サーバ130によって実行される管理サービス132によってなど、ユーザデバイス150が管理されているかどうかに基づくことができる。それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているかどうかの判断は、ユーザデバイス150がある順守規則260を満たしているかどうかに基づくことができる。
段階410Bにおける、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているという判断に応答して、プロセスは、段階410Cに進むことができる。段階410Cでは、リソースサーバ110と通信可能に結合されたユーザデバイス150に管理識別子256が発行される。ある実施形態では、ユーザデバイス150への管理識別子256の発行は、管理識別子256の生成を含み得る。以前に説明されるように、管理識別子256は、管理識別子256の発行元の援助なしではユーザデバイス150が管理識別子256を複製できないように、ランダムな数値などのユーザデバイス150とは異なる要素に少なくとも部分的に基づいて生成することができる。いくつかの実施形態では、管理サーバ130によって実行される管理サービス132は、ユーザデバイス150のための管理識別子256を生成することができる。例えば、管理識別子256は、管理サービス132へのユーザデバイス150の加入の間に、ユーザデバイス150に発行することおよび/またはユーザデバイス150のために生成することができる。いくつかの実施形態では、ユーザデバイス150によって実行されるエージェントアプリケーション152は、ユーザデバイス150のための管理識別子256を生成することができる。
ある実施形態では、ユーザデバイス150に発行された管理識別子256は、管理サーバ130の管理識別子ストア136に格納および/または記録することができる。それに加えてまたはその代替として、ユーザデバイス150への管理識別子256の発行は、管理記録ストア134内でなど、ユーザデバイス150と関連付けられた管理記録への管理識別子256の追加を含み得る。さらに、それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150には、ユーザデバイス150に発行された管理識別子256へのアクセスを提供することができる。例えば、管理識別子256は、リソースアクセスアプリケーション154がリソースサーバ110によってホストされているリソース258へのアクセスに対する要求に管理識別子256を含み得るように、ユーザデバイス150によって実行されるリソースアクセスアプリケーション154に提供することができる。リソースサーバ110と通信可能に結合されたユーザデバイス150に管理識別子256が発行された時点で、段階415に進むことによってなど、図5の段階を終了することができる。
任意選択により、次いで段階410Dでは、リソースサーバ110と通信可能に結合されたユーザデバイス150に、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションを提供することができる。ある実施形態では、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションは、リソースアクセスアプリケーション154を含み得る。いくつかの実施形態では、ユーザデバイス150には、アプリケーションストアからのダウンロードを介して、リソースアクセスアプリケーション154を提供することができる。それに加えてまたはその代替として、リソースアクセスアプリケーション154は、リソースサーバ110によってホストされているリソース258にアクセスするように構成することができる。例えば、アプリケーション構成プロファイルは、リソースアクセスアプリケーション154がリソースサーバ110によって実行されるリソースサービス112との通信可能な結合を確立できるようにするユーザデバイス150に提供することができる。いくつかの例では、アプリケーション構成プロファイルは、アップルiOS7(Apple iOS7)によってサポートされるアプリケーション構成チャネルを介して送信することができる。リソースサーバ110と通信可能に結合されたユーザデバイス150にリソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションが提供された時点で、段階415に進むことによってなど、図5の段階を終了することができる。
段階410Bに戻ると、段階410Bにおける、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されていないという判断に応答して、プロセスは、段階410Eに進むことができる。段階410Eでは、少なくとも1つの是正措置(remedial action)を実行させることができる。ある実施形態では、是正措置を実行させることは、ユーザデバイス150上で措置を実行する構成プロファイルをユーザデバイス150にプッシュすることによってなど、是正措置を実行することを含み得る。いくつかの実施形態では、是正措置を実行させることは、ユーザデバイス150上である措置を実行するようにユーザデバイス150によって実行されるエージェントアプリケーション152に指示することによってなど、是正措置を実行するように動作環境100の別の関連体および/または要素に指示することを含み得る。
いずれの場合でも、ある実施形態では、是正措置は、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスの許可を得るようにすることを含み得る。リソースサーバ110によってホストされているリソース258へのアクセスの許可を得るために必要とされる条件に応じて、1つまたは複数の是正措置は、ユーザデバイス150を許可された状態に置く必要があり得る。例えば、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ユーザデバイス150を管理サービス132に加入させることによってなど、管理サーバ130によって実行される管理サービス132によって管理されるようになり得る。それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150には、管理サービス132へのユーザデバイス150の加入を通じてなど、管理識別子256を発行することができる。
さらに、それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ユーザデバイス150がある順守規則260を満たすように変更することができる。より具体的には、ユーザデバイス150は、ユーザデバイス150のオペレーティングシステム215へのAPI呼び出しおよび/またはユーザデバイス150によって実行されるエージェントアプリケーション152を介してなど、順守規則260の条件が満たされるように構成および/または無線で指示することができる。一例として、暗号化設定などのあるソフトウェア設定は、暗号化を使用可能にすることを要求する順守規則260などの順守規則260を満たしている状態にユーザデバイス150を置く構成プロファイルを管理サービス132からユーザデバイス150に送信することによって、暗号化を使用可能にトグリングするなど、変更することができる。是正措置が実行された時点で、段階415に進むことによってなど、図5の段階を終了することができる。
従って、順守サーバ130および/またはリソースサーバ110と関連付けて提供することができる様々な機能性を説明したが、ユーザデバイス150と関連付けて提供することができる対応する機能性について論じるために図6に注意を向ける。この点に関して、管理サーバ130、リソースサーバ110および/またはユーザデバイス150によって具体化されるかあるいはそうでなければ管理サーバ130、リソースサーバ110および/またはユーザデバイス150と関連付けられる装置300は、いくつかの例示的な実施形態に従って、図6の動作(「段階」)、すなわち、段階410B1および410B2を実行するための、プロセッサ302、メモリ304、通信インタフェース306および/または同様のものなどの手段を含み得る。ある実施形態では、図6の少なくとも1つの段階は、管理サーバ130によって実行される管理サービス132を介してなど、管理サーバ130によって実行することができる。それに加えてまたはその代替として、図6の少なくとも1つの段階は、ユーザデバイス150によって実行されるエージェントアプリケーション152を介してなど、ユーザデバイス150によって実行することができる。
以前に述べられるように、図6は、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているかどうかについて判断された、図5の段階410Bの下位の動作の詳細な説明を提供する。段階410B1から始めると、リソースサーバ110と通信可能に結合されたユーザデバイス150が管理されているかどうかの判断が行われる。ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150は、管理サーバ130によって実行される管理サービス132によって管理することができる。いくつかの実施形態では、ユーザデバイス150が管理サービス132に加入している場合は、ユーザデバイス150は、管理サービス132によって管理することができる。それに加えてまたはその代替として、ユーザデバイス150によって実行されるエージェントアプリケーション152が管理サービス132と通信可能に結合される場合は、ユーザデバイス150は、管理サービス132によって管理することができる。リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているかどうかの判断が行われた時点で、ユーザデバイス150が管理識別子256の発行を許可されている場合には段階410Cに進むことによって、または、ユーザデバイス150が管理識別子256の発行を許可されていない場合には段階410Eに進むことによってなど、図6の段階を終了することができる。
任意選択により、次に段階410B2では、リソースサーバ110と通信可能に結合されたユーザデバイス150がある順守規則260を満たすかどうかの判断が行われる。ある実施形態では、管理サーバ130によって実行される管理サービス132は、ユーザデバイス150が順守規則260を満たすかどうかを判断することができる。いくつかの実施形態では、ユーザデバイス150によって実行されるエージェントアプリケーション152は、ユーザデバイス150が順守規則260を満たすかどうかを判断することができる。いずれの場合でも、ユーザデバイス150が順守規則260を満たすかどうかの判断は、ユーザデバイス150が順守規則260を満たすために必要とされる条件を満たすことをユーザデバイス150と関連付けられたデバイスプロファイル252が示すかどうかに少なくとも部分的に基づいて行うことができる。それに加えてまたはその代替として、ユーザデバイス150が順守規則260を満たすかどうかの判断は、ユーザデバイス150のユーザが順守規則260を満たすために必要とされる条件を満たすことをユーザデバイス150のユーザと関連付けられたユーザデータ254が示すかどうかに少なくとも部分的に基づいて行うことができる。リソースサーバ110と通信可能に結合されたユーザデバイス150が管理識別子256の発行を許可されているかどうかの判断が行われた時点で、ユーザデバイス150が管理識別子256の発行を許可されている場合には段階410Cに進むことによって、または、ユーザデバイス150が管理識別子256の発行を許可されていない場合には段階410Eに進むことによってなど、図6の段階を終了することができる。
従って、順守サーバ130および/またはリソースサーバ110と関連付けて提供することができる様々な機能性を説明したが、ユーザデバイス150と関連付けて提供することができる対応する機能性について論じるために図7に注意を向ける。この点に関して、管理サーバ130、リソースサーバ110および/またはユーザデバイス150によって具体化されるかあるいはそうでなければ管理サーバ130、リソースサーバ110および/またはユーザデバイス150と関連付けられる装置300は、いくつかの例示的な実施形態に従って、図7の動作(「段階」)、すなわち、段階420Aおよび420Bを実行するための、プロセッサ302、メモリ304、通信インタフェース306および/または同様のものなどの手段を含み得る。ある実施形態では、図7の少なくとも1つの段階は、管理サーバ130によって実行される管理サービス132を介してなど、管理サーバ130によって実行することができる。それに加えてまたはその代替として、図7の少なくとも1つの段階は、ユーザデバイス150によって実行されるエージェントアプリケーション152を介してなど、ユーザデバイス150によって実行することができる。
以前に述べられるように、図7は、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかについて判断された、図4の段階420の下位の動作の詳細な説明を提供する。段階420Aから始めると、リソースサーバ110と通信可能に結合されたユーザデバイス150に管理識別子256が発行されているかどうかの判断が行われる。ある実施形態では、管理識別子256は管理サービス132への加入の間にユーザデバイス150に発行されている可能性があるため、管理サーバ130によって実行される管理サービス132にユーザデバイス150が加入している場合は、リソースサーバ110と通信可能に結合されたユーザデバイス150には、管理識別子256が発行されている可能性がある。いくつかの実施形態では、管理サーバ130の管理識別子ストア136には、ユーザデバイス150と関連付けられた管理識別子256がその中に格納されているかどうかを判断するために、クエリを実行することができる。それに加えてまたはその代替として、管理サーバ130の管理記録ストア134には、管理識別子256がその中に格納されたユーザデバイス150と関連付けられた管理記録に含まれるかどうかを判断するために、クエリを実行することができる。リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかの判断が行われた時点で、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されている場合には段階425に進むことによって、または、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていない場合には段階430に進むことによってなど、図7の段階を終了することができる。
任意選択により、次に段階420Bでは、リソースサーバ110と通信可能に結合されたユーザデバイス150がある順守規則260を満たすかどうかの判断が行われる。ある実施形態では、管理サーバ130によって実行される管理サービス132は、ユーザデバイス150が順守規則260を満たすかどうかを判断することができる。いくつかの実施形態では、ユーザデバイス150によって実行されるエージェントアプリケーション152は、ユーザデバイス150が順守規則260を満たすかどうかを判断することができる。いずれの場合でも、ユーザデバイス150が順守規則260を満たすかどうかの判断は、ユーザデバイス150が順守規則260を満たすために必要とされる条件を満たすことをユーザデバイス150と関連付けられたデバイスプロファイル252が示すかどうかに少なくとも部分的に基づいて行うことができる。それに加えてまたはその代替として、ユーザデバイス150が順守規則260を満たすかどうかの判断は、ユーザデバイス150のユーザが順守規則260を満たすために必要とされる条件を満たすことをユーザデバイス1509のユーザと関連付けられたユーザデータ254が示すかどうかに少なくとも部分的に基づいて行うことができる。リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されているかどうかの判断が行われた時点で、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されている場合には段階425に進むことによって、または、ユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスを許可されていない場合には段階430に進むことによってなど、図7の段階を終了することができる。
従って、順守サーバ130および/またはリソースサーバ110と関連付けて提供することができる様々な機能性を説明したが、ユーザデバイス150と関連付けて提供することができる対応する機能性について論じるために図8に注意を向ける。この点に関して、管理サーバ130、リソースサーバ110および/またはユーザデバイス150によって具体化されるかあるいはそうでなければ管理サーバ130、リソースサーバ110および/またはユーザデバイス150と関連付けられる装置300は、いくつかの例示的な実施形態に従って、図8の動作(「段階」)、すなわち、段階805、810、815、820、825、830および835を実行するための、プロセッサ302、メモリ304、通信インタフェース306および/または同様のものなどの手段を含み得る。ある実施形態では、図8の少なくとも1つの段階は、リソースサーバ110によって実行されるリソースサービス112を介してなど、リソースサーバ110によって実行することができる。
任意選択により、段階805から始めると、管理サーバ130によって実行される管理サービス132との通信可能な結合を確立することができる。それに加えてまたはその代替として、ユーザデバイス150によって実行されるエージェントアプリケーション152との通信可能な結合を確立することができる。いずれの場合でも、通信可能な結合は、HTTPSおよび/または同様のものなどのネットワーク140上の安全な通信チャネルを介して確立することができる。通信可能な結合は、管理サービス132および/またはエージェントアプリケーション152がリソースサービス112と通信することならびに/あるいはリソースサービス112に命令を送信することができるように、リソースサービス112に特有のAPIを介して確立することができる。それに加えておよび/またはその代替として、通信可能な結合は、リソースサービス112が管理サービス132および/またはエージェントアプリケーション152と通信することならびに/あるいは管理サービス132および/またはエージェントアプリケーション152に命令を送信することができるように、管理サービス132および/またはエージェントアプリケーション152に特有のAPIを介して確立することができる。通信可能な結合を介して送信されるデータは、通信可能な結合上で送信中のデータが悪意のあるアプリケーションおよび/またはデバイスによって傍受および解読できないことを保証するために、例えば、AES−256暗号化を使用して、暗号化することができる。
次いで、段階810では、ホストされているリソース258へのアクセスに対する要求を通信可能に結合されたユーザデバイス150から受信することができる。ある実施形態では、ホストされているリソース258へのアクセスに対する要求は、リソースサービス110がユーザデバイス150に適切であると判断するリソース258へのアクセスをユーザデバイス150が求めるような、リソース258に対する一般的な要求であり得る。いくつかの実施形態では、ホストされているリソース258へのアクセスに対する要求は、どのリソース258へのアクセスをユーザデバイス150が求めるかという要求が明記されるような、リソース258に対する特定の要求であり得る。いずれの場合でも、要求は、ユーザデバイス150に発行された管理識別子256を含み得る。それに加えてまたはその代替として、要求は、ユーザデバイス150と関連付けられたデバイスプロファイル252および/またはユーザデバイス150のユーザと関連付けられたユーザデータ254を含み得、それに依存して、ユーザデバイス150がある順守規則260を満たしているかどうかを判断することができる。
次に、段階815では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されているかどうかを判断するという要求を送信することができる。ある実施形態では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されているかどうかを判断するという要求は、管理サーバ130によって実行される管理サービス132に送信することができる。いくつかの実施形態では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されているかどうかを判断するという要求は、ユーザデバイス150によって実行されるエージェントアプリケーション152に送信することができる。いずれの場合でも、要求は、ユーザデバイス150に発行された管理識別子256を含み得る。それに加えてまたはその代替として、要求は、ユーザデバイス150と関連付けられたデバイスプロファイル252および/またはユーザデバイス150のユーザと関連付けられたユーザデータ254を含み得、それに依存して、ユーザデバイス150がある順守規則260を満たしているかどうかを判断することができる。
リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可されているかどうかの判断の結果に応じて、プロセスは、段落815から段階820または段落830のうちの1つに進むことができる。ユーザデバイス150がホストされているリソース258へのアクセスを許可されていると判断された場合は、プロセスは、段階820に進むことができる。それどころか、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていないと判断された場合は、プロセスは、段階830に進むことができる。
リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可されていると判断される実施形態では、プロセスは、段階820に進むことができ、段階820では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていることを示す応答を受信することができる。ある実施形態では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていることを示す応答は、管理サーバー130によって実行される管理サービス132から受信することができる。いくつかの実施形態では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていることを示す応答は、ユーザデバイス150によって実行されるエージェントアプリケーション152から受信することができる。いずれの場合でも、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていることを示す応答は、ユーザデバイス150が許可されている理由の表示を含み得る。例えば、表示により、ユーザデバイス150に管理識別子256が発行されていたことを特定することができる。それに加えてまたはその代替として、表示により、ユーザデバイス150の状態がある順守規則260を満たしていることを特定することができる。リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可されていることを示す応答が受信された時点で、図8の段階を終了することができる。
任意選択により、その後、リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可されていると判断される実施形態では、プロセスは、段階825に進むことができ、段階825では、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ホストされているリソース258へのアクセスの許可を得ることができる。ある実施形態では、リソースサーバ110と通信可能に結合されたユーザデバイス150にホストされているリソース258へのアクセスを提供することによって、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ホストされているリソース258へのアクセスの許可を得ることができる。例えば、ホストされているリソース258は、ネットワーク140上で、リソースサーバ110と通信可能に結合されたユーザデバイス150に送信することができる。いくつかの実施形態では、リソースサーバ110からホストされているリソース258をダウンロードするようにユーザデバイス150上のエージェントアプリケーション152に指示することによって、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ホストされているリソース258へのアクセスの許可を得ることができる。リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可された時点で、図8の段階を終了することができる。
段階815に戻ると、リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可されていないと判断される実施形態では、プロセスは、段階830に進むことができ、段階820では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていないことを示す応答を受信することができる。ある実施形態では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていないことを示す応答は、管理サービス130によって実行される管理サービス132から受信することができる。いくつかの実施形態では、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていないことを示す応答は、ユーザデバイス150によって実行されるエージェントアプリケーション152から受信することができる。いずれの場合でも、ユーザデバイス150がホストされているリソース258へのアクセスを許可されていないことを示す応答は、ユーザデバイス150が許可されていない理由の表示を含み得る。例えば、表示により、ユーザデバイス150に管理識別子256が発行されていなかったことを特定することができる。それに加えてまたはその代替として、表示により、ユーザデバイス150の状態がある順守規則260を満たしていないことを特定することができる。リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可されていないことを示す応答が受信された時点で、図8の段階を終了することができる。
任意選択により、その後、リソースサーバ110と通信可能に結合されたユーザデバイス150がホストされているリソース258へのアクセスを許可されていないと判断される実施形態では、プロセスは、段階835に進むことができ、段階835では、ある是正措置を実行させることができる。ある実施形態では、是正措置を実行させることは、ユーザデバイス150上で措置を実行する構成プロファイルをユーザデバイス150にプッシュすることによってなど、是正措置を実行することを含み得る。いくつかの実施形態では、是正措置を実行させることは、ユーザデバイス150上である措置を実行するようにユーザデバイス150によって実行されるエージェントアプリケーション152に指示することによってなど、是正措置を実行するように動作環境100の別の関連体および/または要素に指示することを含み得る。
いずれの場合でも、ある実施形態では、是正措置は、リソースサーバ110と通信可能に結合されたユーザデバイス150がリソースサーバ110によってホストされているリソース258へのアクセスの許可を得るようにすることを含み得る。リソースサーバ110によってホストされているリソース258へのアクセスの許可を得るために必要とされる条件に応じて、1つまたは複数の是正措置は、ユーザデバイス150を許可された状態に置く必要があり得る。例えば、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ユーザデバイス150を管理サービス132に加入させることによってなど、管理サーバ130によって実行される管理サービス132によって管理されるようになり得る。それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150には、管理サービス132へのユーザデバイス150の加入を通じてなど、管理識別子256を発行することができる。
さらに、それに加えてまたはその代替として、リソースサーバ110と通信可能に結合されたユーザデバイス150は、ユーザデバイス150がある順守規則260を満たすように変更することができる。より具体的には、ユーザデバイス150は、ユーザデバイス150のオペレーティングシステム215へのAPI呼び出しおよび/またはユーザデバイス150によって実行されるエージェントアプリケーション152を介してなど、順守規則260の条件が満たされるように構成および/または無線で指示することができる。一例として、コンテナリゼーション設定(containerization setting)などのあるアプリケーション設定は、リソース258のコンテナリゼーションを使用可能にすることを要求する順守規則260などの順守規則260を満たしている状態にユーザデバイス150を置く構成プロファイルを管理サービス132からユーザデバイス150に送信することによって、コンテナリゼーションを使用可能にトグリングする(toggling)など、変更することができる。いくつかの実施形態では、是正措置が実行された時点で、プロセスは、段階825に進むことができ、段階825では、ユーザデバイス150は、ホストされているリソース258へのアクセスの許可を得ることができる。あるいは、是正措置が実行された時点で、図8の段階を終了することができる。
従って、順守サーバ130および/またはリソースサーバ110と関連付けて提供することができる様々な機能性を説明したが、ユーザデバイス150と関連付けて提供することができる対応する機能性について論じるために図9に注意を向ける。この点に関して、管理サーバ130、リソースサーバ110および/またはユーザデバイス150によって具体化されるかあるいはそうでなければ管理サーバ130、リソースサーバ110および/またはユーザデバイス150と関連付けられる装置300は、いくつかの例示的な実施形態に従って、図9の動作(「段階」)、すなわち、段階905、910、915、920および925を実行するための、プロセッサ302、メモリ304、通信インタフェース306および/または同様のものなどの手段を含み得る。ある実施形態では、図9の少なくとも1つの段階は、ユーザデバイス150によって実行することができる。いくつかの実施形態では、図9の少なくとも1つの段階は、ユーザデバイス150によって実行されるエージェントアプリケーション152を介して実行することができる。それに加えてまたはその代替として、図9の少なくとも1つの段階は、ユーザデバイス150によって実行されるリソースアクセスアプリケーション154を介して実行することができる。
任意選択により、段階905から始めると、リソースサーバ110によってホストされているリソース258へのアクセスの許可を得るという要求を送信することができる。ある実施形態では、要求は、リソースサーバ110によって実行されるリソースサービス112になど、リソースサーバ110に送信することができる。いくつかの実施形態では、要求は、管理サーバ130によって実行される管理サービス132になど、管理サーバ130に送信することができる。いずれの場合でも、要求は、ユーザデバイス150と関連付けられたデバイスプロファイル252および/またはユーザデバイス150のユーザと関連付けられたユーザデータ254を含み得、それに依存して、ユーザデバイス150がある順守規則260を満たしているかどうかを判断することができる。それに加えてまたはその代替として、要求は、管理サーバ130によって実行される管理サービス132によって管理されるようになるという要求を含み得る。
任意選択により、次いで段階910では、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションを受信することができる。ある実施形態では、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションは、リソースアクセスアプリケーション154を含み得る。いくつかの実施形態では、アプリケーションストアからのダウンロードを介して、リソースアクセスアプリケーション154を受信することができる。それに加えてまたはその代替として、リソースアクセスアプリケーション154は、リソースサーバ110によってホストされているリソース258にアクセスするように構成することができる。例えば、アプリケーション構成プロファイルは、リソースアクセスアプリケーション154がリソースサーバ110によって実行されるリソースサービス112との通信可能な結合を確立できるようにするように提供することができる。いくつかの例では、アプリケーション構成プロファイルは、アップルiOS7(Apple iOS7)によってサポートされるアプリケーション構成チャネルを介して送信することができる。
次に、段階915では、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションを実行することができる。本明細書で説明されるように、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションは、リソースアクセスアプリケーション154を含み得る。ある実施形態では、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションは、段階910においてアプリケーションが受信された時点でなど、アプリケーションをインストールすることによって実行することができる。いくつかの実施形態では、リソースサーバ110によってホストされているリソース258にアクセスするように構成されたアプリケーションは、アプリケーションを立ち上げることおよび/またはアプリケーションを起動することによって実行することができ、そのアプリケーションは、アプリケーションが格納されているメモリからプロセッサが読み取ることを介して遂行することができる。
次いで、段階920では、リソースサーバ110によってホストされているリソース258にアクセスするという要求を送信することができる。ある実施形態では、リソースサーバ110によってホストされているリソース258にアクセスするという要求は、リソースサーバ110によって実行されるリソースサービス112になど、リソースサーバ110に送信することができる。いくつかの実施形態では、リソースサーバ110によってホストされているリソース258にアクセスするという要求は、管理サーバ130によって実行される管理サーバ132になど、管理サーバ130に送信することができる。
ある実施形態では、ホストされているリソース258へのアクセスに対する要求は、リソースサービス110が適切であると判断するリソース258へのアクセスを求めることができるような、リソース258に対する一般的な要求であり得る。いくつかの実施形態では、ホストされているリソース258へのアクセスに対する要求は、リソースサーバ110によってホストされている特定のリソース258へのアクセスを要求できる、リソース258に対する特定の要求であり得る。いずれの場合でも、要求は、要求の送信者が要求されたリソース258へのアクセスを許可されていることを示す管理識別子256を含み得る。それに加えてまたはその代替として、要求は、ユーザデバイス150と関連付けられたデバイスプロファイル252および/またはユーザデバイス150のユーザと関連付けられたユーザデータ254を含み得、それに依存して、要求の送信者がある順守規則260を満たしているかどうかを判断することができる。リソースサーバ110によってホストされているリソース258へのアクセスに対する要求が送信された時点で、図9の段階を終了することができる。
任意選択により、次いで段階925では、リソースサーバ925によってホストされているリソース258へのアクセスを受信することができる。ある実施形態では、リソースサーバ925によってホストされているリソース258へのアクセスは、リソースサーバ110によって実行されるリソースサービス112によるリソース258の送信など、ネットワーク140上でのリソース258の送信を介して受信することができる。いくつかの実施形態では、リソースサーバ925によってホストされているリソース258へのアクセスは、リソースサーバ110によって実行されるリソースサービス112からリソース258のダウンロードを開始するようにオペレーティングシステムに指示するAPI呼び出しなど、リソースサーバ110からリソース258がダウンロードされるべきであることを示す命令を介して受信することができる。リソースサーバ110によってホストされているリソース258へのアクセスが受信された時点で、図9の段階を終了することができる。
上記で説明されるように、図4、5、6、7、8および9は、本開示の例示的な実施形態による例示的な装置300、方法およびコンピュータプログラム製品のフローチャートを示す。フローチャートの各ブロックおよびフローチャートのブロックの組合せは、1つまたは複数のコンピュータプログラム命令を含むソフトウェアの実行と関連付けられたハードウェア、ファームウェア、プロセッサ、回路および/または他のデバイスなどの様々な手段によって実装できることが理解されよう。例えば、上記で説明される手順のうちの1つまたは複数は、コンピュータプログラム命令によって具体化することができる。
この点に関して、上記で説明される手順を具体化するコンピュータプログラム命令は、本発明の実施形態を使用する装置300のメモリデバイス304によって格納し、装置300のプロセッサ302によって実行することができる。理解されるように、そのような任意のコンピュータプログラム命令は、結果として得られるコンピュータまたは他のプログラム可能な装置がフローチャートブロックで指定された機能を実装するようにマシンを生成するために、コンピュータまたは他のプログラム可能な装置(例えば、ハードウェア)にロードすることができる。また、これらのコンピュータプログラム命令は、その実行がフローチャートブロックで指定された機能を実装する、コンピュータ可読メモリに格納された命令が製造品を生成するように、特定の方法で機能するようにコンピュータまたは他のプログラム可能な装置を導くコンピュータ可読メモリに格納することもできる。また、コンピュータプログラム命令は、コンピュータまたは他のプログラム可能な装置上で実行される命令がフローチャートブロックで指定された機能を実装するための動作を提供するように、コンピュータ実装プロセスを生成するために、コンピュータまたは他のプログラム可能な装置上で一連の動作を実行させるために、コンピュータまたは他のプログラム可能な装置にロードすることもできる。
それに従って、フローチャートのブロックは、指定された機能を実行するための手段の組合せ、および、指定された機能を実行するための指定された機能を実行するための動作の組合せをサポートする。また、フローチャートの1つまたは複数のブロックおよびフローチャートのブロックの組合せは、指定された機能を実行する専用のハードウェアベースのコンピュータシステム、または、専用ハードウェアとコンピュータ命令との組合せによって実装できることも理解されよう。
本明細書に記載される本発明の多くの変更形態および他の実施形態は、前述の説明および関連図面で教示の利益が提示されるこれらの発明が関連する当業者であれば思い浮かぶであろう。従って、本発明は開示される特定の実施形態に限定されないことや、変更形態および他の実施形態は添付の請求項の範囲内に含まれることを意図することを理解されたい。その上、前述の説明および関連図面は要素および/または機能のある例示的な組合せの文脈における例示的な実施形態を説明するが、添付の請求項の範囲から逸脱することなく、代替の実施形態によって要素および/または機能の異なる組合せを提供できることを理解すべきである。例えば、いくつかの実施形態では、上記で説明される動作のうちのある1つを変更または強化することができる。その上、いくつかの実施形態では、追加の任意選択の動作を含めることができる。上記の動作への変更、追加または強化は、任意の順番でおよび任意の組合せで実行することができる。
それに従って、添付の請求項のいくつかで記載できるように、上記で明示的に説明されるものとは異なる要素および/または機能の組合せも企図される。本明細書では特定の用語が使用されているが、それらは、一般的な記述的な意味でのみ使用され、制限を目的とするものではない。
本明細書に含まれる規約における著作権を含むすべての権利は、出願人に帰属し、出願人の所有物である。出願人は、本明細書に含まれる規約におけるすべての権利を保持および留保し、他の目的ではなく、取得された特許の複製との関連でのみ、対象物の複製を許可する。
本明細書は諸例を含むが、本開示の範囲は以下の請求項によって示される。その上、本明細書は構造上の特徴および/または方法論的な行為に特有の言語で説明してきたが、請求項は上記で説明される特徴または行為に限定されない。むしろ、上記で説明される特定の特徴および行為は本開示の実施形態の例として開示される。

Claims (19)

  1. 方法であって、
    管理サーバによって実行される管理サービスにユーザデバイスを登録するステップであって、前記管理サービスが前記ユーザデバイスに管理識別子を発行して、前記ユーザデバイスが前記管理サービスによって管理されることを含む前記ユーザデバイスを登録するステップと、
    リソースサーバが、前記リソースサーバに通信可能に結合された前記ユーザデバイスから第1の要求を受信するステップであって、前記第1の要求は、前記リソースサーバによってホストされる複数のリソースへのアクセスのための全体的な要求である、前記第1の要求を受信するステップと、
    前記リソースサーバから前記管理サーバが、リソースサーバと通信可能に結合されたユーザデバイスが前記リソースサーバによってホストされている複数のリソースへのアクセスを許可されているかどうかを判断するという第2の要求を受信するステップと、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子が発行されているかどうかおよび前記ユーザデバイスが少なくとも1つの順守規則を満たしているかどうかに基づいて、前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている前記複数のリソースへのアクセスを許可されているかどうかを判断するステップと、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている特定の複数のリソースへのアクセスを許可されているという判断に応答して、前記リソースサーバと通信可能に結合された前記ユーザデバイスがアクセスすることを許可されている前記リソースサーバによってホストされている複数のリソースを示す応答を前記リソースサーバに提供するステップと、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている特定の複数のリソースへのアクセスを許可されていないという判断に応答して、前記リソースサーバと通信可能に結合された前記ユーザデバイスがアクセスすることを許可されていない前記リソースサーバによってホストされている複数のリソースを示す応答を前記リソースサーバに提供するステップと、を備える方法。
  2. 前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子が発行されていないという指示を受信するステップをさらに備える、請求項1に記載の方法。
  3. 前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記管理識別子の発行を許可されているかどうかを判断するステップと、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記管理識別子の発行を許可されているという判断に応答して、前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子を発行するステップと、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記管理識別子の発行を許可されていないという判断に応答して、少なくとも1つの是正措置を実行させるステップと、をさらに備える、請求項1に記載の方法。
  4. 前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記管理識別子の発行を許可されているかどうかを判断するステップが、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが管理サービスを介して管理されるステップを含む、請求項3に記載の方法。
  5. 前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記管理識別子の発行を許可されているかどうかを判断するステップが、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが少なくとも1つの順守規則を満たしているかどうかを判断するステップを含む、請求項3に記載の方法。
  6. 前記少なくとも1つの是正措置を実行させるステップが、
    管理サービスを介して前記リソースサーバと通信可能に結合された前記ユーザデバイスを管理させるステップを含む、請求項3に記載の方法。
  7. 前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子を発行するステップが、
    前記管理識別子を生成するステップを含む、請求項3に記載の方法。
  8. 前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子を発行するステップが、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスと関連付けられた管理記録に前記管理識別子を追加するステップを含む、請求項3に記載の方法。
  9. 前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子を発行するステップが、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子へのアクセスを提供するステップを含む、請求項3に記載の方法。
  10. 前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記リソースサーバによってホストされている前記複数のリソースにアクセスするように構成されたアプリケーションを提供するステップをさらに備える請求項1に記載の方法。
  11. 前記ユーザデバイスが通信可能に結合される前記リソースサーバとの通信可能な結合を確立するステップをさらに備える請求項1に記載の方法。
  12. 方法の少なくとも1つの段階が、管理サーバによって実行される管理サービスによって実行される、請求項1に記載の方法。
  13. 方法の少なくとも1つの段階が、前記リソースサーバと通信可能に結合された前記ユーザデバイスによって実行されるエージェントアプリケーションによって実行される、請求項1に記載の方法。
  14. 少なくとも1つのプロセッサと、プログラムコード命令を格納する少なくとも1つのメモリとを備えるシステムであって、前記少なくとも1つのメモリおよびプログラムコード命令は、前記少なくとも1つのプロセッサによって、
    管理サーバによって実行される管理サービスにユーザデバイスを登録し、前記ユーザデバイスに管理識別子を発行して前記管理サービスを用いて前記ユーザデバイスを管理すること
    ソースサーバに通信可能に結合された前記ユーザデバイスから第1の要求を受信することであって、前記第1の要求は、前記リソースサーバによってホストされる複数のリソースへのアクセスのための全体的な要求である、前記第1の要求を受信すること
    前記リソースサーバから、リソースサーバと通信可能に結合されたユーザデバイスが前記リソースサーバによってホストされている複数のリソースへのアクセスを許可されているかどうかを判断するという第2の要求を受信すること、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子が発行されているかどうかおよび前記ユーザデバイスが少なくとも1つの順守規則を満たしているかどうかに基づいて、前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている前記複数のリソースへのアクセスを許可されているかどうかを判断すること、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている特定の複数のリソースへのアクセスを許可されているという判断に応答して、前記リソースサーバと通信可能に結合された前記ユーザデバイスがアクセスを許可されている前記リソースサーバによってホストされている複数のリソースを示す応答を前記リソースサーバに提供すること、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている特定の複数のリソースへのアクセスを許可されていないという判断に応答して、前記リソースサーバと通信可能に結合された前記ユーザデバイスがアクセスすることを許可されていない前記リソースサーバによってホストされている複数のリソースを示す応答を前記リソースサーバに提供すること、を少なくとも実行するようにシステムに指示するように構成される、システム。
  15. 前記管理識別子が、前記リソースサーバと通信可能に結合された前記ユーザデバイスとは異なる要素に少なくとも部分的に基づいて生成される、請求項14に記載のシステム。
  16. 前記リソースサーバと通信可能に結合された前記ユーザデバイスとは異なる要素が、
    ランダムな数値、ランダムな文字またはランダムなシンボルの少なくとも1つを含む、請求項15に記載のシステム。
  17. 前記リソースサーバと通信可能に結合された前記ユーザデバイスとは異なる要素が、
    シリアル番号、ワイファイ(Wi−Fi)アドレス、ブルートゥース(Bluetooth)(登録商標)アドレス、IMEI番号、ICCID番号またはMEID番号のうちの少なくとも1つを除外する、請求項15に記載のシステム。
  18. その中で具体化されるプログラムコード部分を有する非一時的なコンピュータ可読記憶媒体であって、
    前記プログラムコード部分は、実行されると、
    管理サーバによって実行される管理サービスにユーザデバイスを登録することであって、前記管理サービスが前記ユーザデバイスに管理識別子を発行して、前記ユーザデバイスが前記管理サービスによって管理されることを含む前記ユーザデバイスを登録すること、
    リソースサーバが、前記リソースサーバに通信可能に結合された前記ユーザデバイスから第1の要求を受信することであって、前記第1の要求は、前記リソースサーバによってホストされる複数のリソースへのアクセスのための全体的な要求である、前記第1の要求を受信すること
    前記リソースサーバから前記管理サーバが、リソースサーバと通信可能に結合されたユーザデバイスが前記リソースサーバによってホストされている複数のリソースへのアクセスを許可されているかどうかを判断するという第2の要求を受信すること、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスに前記管理識別子が発行されているかどうかおよび前記ユーザデバイスが少なくとも1つの順守規則を満たしているかどうかに基づいて、前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている前記複数のリソースへのアクセスを許可されているかどうかを判断すること、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている特定の複数のリソースへのアクセスを許可されているという判断に応答して、前記リソースサーバと通信可能に結合された前記ユーザデバイスがアクセスすることを許可されている前記リソースサーバによってホストされている複数のリソースを示す応答を前記リソースサーバに提供すること、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている特定の複数のリソースへのアクセスを許可されていないという判断に応答して、前記リソースサーバと通信可能に結合された前記ユーザデバイスがアクセスすることを許可されていない前記リソースサーバによってホストされている複数のリソースを示す応答を前記リソースサーバに提供すること、を少なくとも実行するように管理サーバ、リソースサーバ、およびユーザデバイスのうちの少なくとも1つに命令するように構成される、非一時的なコンピュータ可読記憶媒体。
  19. 前記管理サーバ、リソースサーバ、およびユーザデバイスのうちの少なくとも1つが、
    前記リソースサーバと通信可能に結合された前記ユーザデバイスが前記リソースサーバによってホストされている特定の複数のリソースへのアクセスを許可されていないという判断に応答して、少なくとも1つの是正措置を実行させること、を少なくとも行うように命令される、請求項18に記載の非一時的なコンピュータ可読記憶媒体。
JP2016543940A 2013-09-23 2014-09-15 リモートリソースへのアクセスを確実に許可すること Active JP6412140B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/033,682 US9185099B2 (en) 2013-09-23 2013-09-23 Securely authorizing access to remote resources
US14/033,682 2013-09-23
PCT/US2014/055546 WO2015041964A1 (en) 2013-09-23 2014-09-15 Securely authorizing access to remote resources

Publications (2)

Publication Number Publication Date
JP2016540321A JP2016540321A (ja) 2016-12-22
JP6412140B2 true JP6412140B2 (ja) 2018-10-24

Family

ID=51166347

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016543940A Active JP6412140B2 (ja) 2013-09-23 2014-09-15 リモートリソースへのアクセスを確実に許可すること

Country Status (5)

Country Link
US (5) US9185099B2 (ja)
EP (1) EP3050276B1 (ja)
JP (1) JP6412140B2 (ja)
AU (1) AU2014321579B2 (ja)
WO (1) WO2015041964A1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8528059B1 (en) * 2008-10-06 2013-09-03 Goldman, Sachs & Co. Apparatuses, methods and systems for a secure resource access and placement platform
US9185099B2 (en) * 2013-09-23 2015-11-10 Airwatch Llc Securely authorizing access to remote resources
US9756047B1 (en) 2013-10-17 2017-09-05 Mobile Iron, Inc. Embedding security posture in network traffic
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US9921819B2 (en) * 2014-12-29 2018-03-20 Airwatch Llc Persistent mobile device enrollment
US10757216B1 (en) 2015-02-20 2020-08-25 Amazon Technologies, Inc. Group profiles for group item recommendations
US11363460B1 (en) * 2015-03-03 2022-06-14 Amazon Technologies, Inc. Device-based identification for automated user detection
US11057431B2 (en) * 2016-09-22 2021-07-06 Vmware, Inc. Methods and apparatus to provide resource security
US10505983B2 (en) * 2016-11-09 2019-12-10 Airwatch Llc Enforcing enterprise requirements for devices registered with a registration service
US10620965B2 (en) 2017-03-22 2020-04-14 Vmware, Inc. Internet recovery of a windows configuration
US10445106B2 (en) 2017-03-22 2019-10-15 Vmware, Inc. Persistent enrollment of a computing device using a BIOS
US10740109B2 (en) 2017-03-22 2020-08-11 Vmware, Inc. Configuring a computing device using managed operating system images
US10635819B2 (en) 2017-03-22 2020-04-28 Vmware, Inc. Persistent enrollment of a computing device based on a temporary user
US10409619B2 (en) 2017-03-22 2019-09-10 Vmware, Inc. Persistent enrollment of a computing device using vendor autodsicovery
US10623389B2 (en) * 2017-05-11 2020-04-14 International Business Machines Corporation Authenticating a device based on communication patterns in a group of devices
US10887306B2 (en) 2017-05-11 2021-01-05 International Business Machines Corporation Authenticating an unknown device based on relationships with other devices in a group of devices
US11636416B2 (en) 2017-11-13 2023-04-25 Tracker Networks Inc. Methods and systems for risk data generation and management
US10866963B2 (en) 2017-12-28 2020-12-15 Dropbox, Inc. File system authentication
US10919700B2 (en) 2018-02-21 2021-02-16 Spacesaver Corporation Mobile storage system with direct wireless connectivity
JP7166765B2 (ja) * 2018-02-28 2022-11-08 富士フイルム株式会社 アプリケーション提供装置、アプリケーション提供方法、およびアプリケーション提供プログラム
US10799704B2 (en) 2018-05-17 2020-10-13 At&T Intellectual Property I, L.P. Proximity-based security for implanted medical devices
US10977353B2 (en) 2018-09-18 2021-04-13 International Business Machines Corporation Validating authorized activities approved by a guardian
US11068566B2 (en) 2019-06-19 2021-07-20 International Business Machines Corporation Temporal access authorization and notification

Family Cites Families (83)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5666530A (en) 1992-12-02 1997-09-09 Compaq Computer Corporation System for automatic synchronization of common file between portable computer and host computer via communication channel selected from a plurality of usable channels there between
US5864683A (en) 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
JP3366143B2 (ja) * 1995-01-10 2003-01-14 富士通株式会社 ソフトウェア流通システムにおける識別子管理装置および方法ならびにソフトウェア流通管理装置および方法
US5974238A (en) 1996-08-07 1999-10-26 Compaq Computer Corporation Automatic data synchronization between a handheld and a host computer using pseudo cache including tags and logical data elements
US20060195595A1 (en) 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
US6708221B1 (en) 1996-12-13 2004-03-16 Visto Corporation System and method for globally and securely accessing unified information in a computer network
US6023708A (en) 1997-05-29 2000-02-08 Visto Corporation System and method for using a global translator to synchronize workspace elements across a network
US5961590A (en) 1997-04-11 1999-10-05 Roampage, Inc. System and method for synchronizing electronic mail between a client site and a central site
US6606662B2 (en) 1997-06-11 2003-08-12 Canon Kabushiki Kaisha Portable terminal apparatus and communication method thereof
US6269369B1 (en) 1997-11-02 2001-07-31 Amazon.Com Holdings, Inc. Networked personal contact manager
US6463470B1 (en) 1998-10-26 2002-10-08 Cisco Technology, Inc. Method and apparatus of storing policies for policy-based management of quality of service treatments of network data traffic flows
US7363361B2 (en) 2000-08-18 2008-04-22 Akamai Technologies, Inc. Secure content delivery system
US7739334B1 (en) 2000-03-17 2010-06-15 Visto Corporation System and method for automatically forwarding email and email events via a computer network to a server computer
US7225231B2 (en) 2000-09-20 2007-05-29 Visto Corporation System and method for transmitting workspace elements across a network
US20020055967A1 (en) 2000-11-08 2002-05-09 Coussement Stefaan Valere Albert System for reporting client status information to communications-center agents
US7660902B2 (en) 2000-11-20 2010-02-09 Rsa Security, Inc. Dynamic file access control and management
US7702785B2 (en) 2001-01-31 2010-04-20 International Business Machines Corporation Methods, systems and computer program products for selectively allowing users of a multi-user system access to network resources
US7284045B1 (en) 2001-06-01 2007-10-16 Visto Corporation Method and system for determining information to access an electronic mail account
US7444375B2 (en) 2001-06-19 2008-10-28 Visto Corporation Interactive voice and text message system
US8244837B2 (en) * 2001-11-05 2012-08-14 Accenture Global Services Limited Central administration of one or more resources
CA2467404A1 (en) 2001-11-15 2003-05-30 Visto Corporation System and methods for asychronous synchronization
US7458098B2 (en) 2002-03-08 2008-11-25 Secure Computing Corporation Systems and methods for enhancing electronic communication security
US7788382B1 (en) 2002-03-26 2010-08-31 Good Technology, Inc. Server initiated synchronization
US7447799B2 (en) 2002-04-24 2008-11-04 Good Technology, Inc. System and method for automatically updating a wireless device
US7092942B2 (en) * 2002-05-31 2006-08-15 Bea Systems, Inc. Managing secure resources in web resources that are accessed by multiple portals
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
ES2409936T3 (es) 2003-01-31 2013-06-28 Good Technology Corporation Recuperación asíncrona de datos en tiempo real
GB0308991D0 (en) 2003-04-17 2003-05-28 Psion Digital Ltd A data access replication or communication system comprising a distributed software application
US7840631B2 (en) 2003-05-09 2010-11-23 Good Technology, Inc. Multimedia control with one-click device selection
US7882546B2 (en) * 2004-03-04 2011-02-01 International Business Machines Corporation Controlling access of a client system to an access protected remote resource
US7539862B2 (en) * 2004-04-08 2009-05-26 Ipass Inc. Method and system for verifying and updating the configuration of an access device during authentication
JP2005346183A (ja) * 2004-05-31 2005-12-15 Quality Kk ネットワーク接続制御システムおよびネットワーク接続制御プログラム
US9436820B1 (en) * 2004-08-02 2016-09-06 Cisco Technology, Inc. Controlling access to resources in a network
US7475152B2 (en) 2004-09-20 2009-01-06 International Business Machines Corporation Approach to provide self-protection function to web content at client side
US7500269B2 (en) * 2005-01-07 2009-03-03 Cisco Technology, Inc. Remote access to local content using transcryption of digital rights management schemes
US8565726B2 (en) * 2008-11-06 2013-10-22 Mcafee, Inc. System, method and device for mediating connections between policy source servers, corporate repositories, and mobile devices
US20110167470A1 (en) * 2005-02-28 2011-07-07 Trust Digital, Llc Mobile data security system and methods
US7970386B2 (en) 2005-06-03 2011-06-28 Good Technology, Inc. System and method for monitoring and maintaining a wireless device
US8010997B2 (en) * 2005-06-30 2011-08-30 Microsoft Corporation Enforcing device settings for mobile devices
JP4729365B2 (ja) * 2005-08-12 2011-07-20 株式会社野村総合研究所 アクセス制御システム、認証サーバ、アクセス制御方法およびアクセス制御プログラム
WO2007053848A1 (en) * 2005-11-01 2007-05-10 Mobile Armor, Llc Centralized dynamic security control for a mobile device network
EP2650749A1 (en) * 2005-11-17 2013-10-16 Koninklijke Philips N.V. System for Managing Access Control
US20070136492A1 (en) 2005-12-08 2007-06-14 Good Technology, Inc. Method and system for compressing/decompressing data for communication with wireless devices
US8621549B2 (en) 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
US7917641B2 (en) 2006-03-14 2011-03-29 Tangoe, Inc. Apparatus and method for provisioning wireless data communication devices
US20070220009A1 (en) * 2006-03-15 2007-09-20 Morris Robert P Methods, systems, and computer program products for controlling access to application data
US8745227B2 (en) 2006-06-07 2014-06-03 Apple Inc. Distributed secure content delivery
US8259568B2 (en) * 2006-10-23 2012-09-04 Mcafee, Inc. System and method for controlling mobile device access to a network
WO2008103608A2 (en) 2007-02-19 2008-08-28 Ondeego, Inc. Methods and system to create applications and distribute applications to a remote device
US9185554B2 (en) 2008-02-15 2015-11-10 Appcentral, Inc. System and methods to store, retrieve, manage, augment and monitor applications on appliances
US7966650B2 (en) * 2008-02-22 2011-06-21 Sophos Plc Dynamic internet address assignment based on user identity and policy compliance
US8365271B2 (en) * 2008-02-27 2013-01-29 International Business Machines Corporation Controlling access of a client system to access protected remote resources supporting relative URLs
JP5383335B2 (ja) 2008-07-03 2014-01-08 キヤノン株式会社 データ送信装置、送信制御方法及びプログラム
US20100242097A1 (en) * 2009-03-20 2010-09-23 Wavemarket, Inc. System and method for managing application program access to a protected resource residing on a mobile device
US20110167479A1 (en) * 2010-01-07 2011-07-07 Oracle International Corporation Enforcement of policies on context-based authorization
US20130036455A1 (en) * 2010-01-25 2013-02-07 Nokia Siemens Networks Oy Method for controlling acess to resources
US8443427B2 (en) * 2010-01-27 2013-05-14 Hewlett-Packard Development Company, L.P. Method and apparatus for controlling access to a network resource
EP2537102A4 (en) 2010-02-15 2017-08-23 Unwired Planet International Limited Scripting/proxy systems, methods and circuit arrangements
US8166106B2 (en) 2010-04-15 2012-04-24 Microsoft Corporation Targeting applications based on mobile operator
JP4951092B2 (ja) * 2010-06-03 2012-06-13 株式会社東芝 アクセス制御プログラム及び装置
US8726348B2 (en) * 2010-12-15 2014-05-13 The Boeing Company Collaborative rules based security
DE112011105393T5 (de) * 2011-06-30 2014-05-22 Intel Corp. Systen und Verfahren zum Steuern des Zugriffs auf geschützte Inhalte
US10129211B2 (en) * 2011-09-15 2018-11-13 Stephan HEATH Methods and/or systems for an online and/or mobile privacy and/or security encryption technologies used in cloud computing with the combination of data mining and/or encryption of user's personal data and/or location data for marketing of internet posted promotions, social messaging or offers using multiple devices, browsers, operating systems, networks, fiber optic communications, multichannel platforms
US8756651B2 (en) * 2011-09-27 2014-06-17 Amazon Technologies, Inc. Policy compliance-based secure data access
US9043886B2 (en) * 2011-09-29 2015-05-26 Oracle International Corporation Relying party platform/framework for access management infrastructures
US9183380B2 (en) * 2011-10-11 2015-11-10 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US8959572B2 (en) * 2011-10-28 2015-02-17 Google Inc. Policy enforcement of client devices
US9787655B2 (en) * 2011-12-09 2017-10-10 Airwatch Llc Controlling access to resources on a network
US8863298B2 (en) * 2012-01-06 2014-10-14 Mobile Iron, Inc. Secure virtual file management system
US9705813B2 (en) * 2012-02-14 2017-07-11 Airwatch, Llc Controlling distribution of resources on a network
US9146975B2 (en) * 2012-02-17 2015-09-29 Oracle International Corporation Systems and methods for integration of business applications with enterprise content management systems
US8392712B1 (en) * 2012-04-04 2013-03-05 Aruba Networks, Inc. System and method for provisioning a unique device credential
WO2014160479A1 (en) * 2013-03-13 2014-10-02 Arizona Board Of Regents, A Body Corporate Of The State Of Arizona, Acting For And On Behalf Of Arizone State University Systems and apparatuses for a secure mobile cloud framework for mobile computing and communication
US8819772B2 (en) * 2012-06-25 2014-08-26 Appthority, Inc. In-line filtering of insecure or unwanted mobile device software components or communications
US9247432B2 (en) * 2012-10-19 2016-01-26 Airwatch Llc Systems and methods for controlling network access
US9639594B2 (en) * 2012-12-20 2017-05-02 Bank Of America Corporation Common data model for identity access management data
US9469222B2 (en) * 2013-03-05 2016-10-18 Wonderland Nurserygoods Company Limited Child safety seat assembly
US20140280955A1 (en) * 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9819682B2 (en) * 2013-03-15 2017-11-14 Airwatch Llc Certificate based profile confirmation
US9998969B2 (en) * 2013-03-15 2018-06-12 Facebook, Inc. Portable platform for networked computing
US9203820B2 (en) * 2013-03-15 2015-12-01 Airwatch Llc Application program as key for authorizing access to resources
US9185099B2 (en) * 2013-09-23 2015-11-10 Airwatch Llc Securely authorizing access to remote resources
US9444849B2 (en) * 2014-10-06 2016-09-13 The Boeing Company Enforcing policy compliance on a device

Also Published As

Publication number Publication date
US10257180B2 (en) 2019-04-09
WO2015041964A1 (en) 2015-03-26
EP3050276B1 (en) 2021-04-21
JP2016540321A (ja) 2016-12-22
US10798076B2 (en) 2020-10-06
AU2014321579B2 (en) 2017-04-06
US20140201816A1 (en) 2014-07-17
AU2014321579A1 (en) 2016-05-05
US9769141B2 (en) 2017-09-19
US20160205100A1 (en) 2016-07-14
US9185099B2 (en) 2015-11-10
EP3050276A1 (en) 2016-08-03
US20210014208A1 (en) 2021-01-14
US20190238526A1 (en) 2019-08-01
US11570160B2 (en) 2023-01-31
US20180026957A1 (en) 2018-01-25

Similar Documents

Publication Publication Date Title
JP6412140B2 (ja) リモートリソースへのアクセスを確実に許可すること
US9923902B2 (en) Remote processsing of mobile applications
US20210360037A1 (en) System and method for geofencing
KR102403480B1 (ko) 장치 정책 관리자
US9058495B2 (en) Rights management services integration with mobile device management
US10505983B2 (en) Enforcing enterprise requirements for devices registered with a registration service
US9866569B2 (en) Individual-specific content management
US11741245B2 (en) Self-management of devices using personal mobile device management
US10841342B2 (en) Data driven user interfaces for device management
US20180157457A1 (en) Enforcing display sharing profiles on a client device sharing display activity with a display sharing application
WO2019139855A1 (en) Data driven user interfaces for device management
WO2015152894A1 (en) Device-type based content management
US10303343B1 (en) Data driven user interfaces for device management
JPWO2014155498A1 (ja) 電子機器
US10091233B2 (en) Method and apparatus for controlling functionality using codes

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180130

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20180427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180531

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180828

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180927

R150 Certificate of patent or registration of utility model

Ref document number: 6412140

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250