CN103109298B - 认证协作系统以及id提供商装置 - Google Patents
认证协作系统以及id提供商装置 Download PDFInfo
- Publication number
- CN103109298B CN103109298B CN201180044620.XA CN201180044620A CN103109298B CN 103109298 B CN103109298 B CN 103109298B CN 201180044620 A CN201180044620 A CN 201180044620A CN 103109298 B CN103109298 B CN 103109298B
- Authority
- CN
- China
- Prior art keywords
- user
- certification
- service provider
- request
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
根据实施方式,所述ID提供商装置的策略存储单元针对每个所述服务提供商ID存储表示允许发送服务数据的用户的所属以及职务的多个策略信息。所述ID提供商装置在所述登录处理成功时,发出包含用于该登录处理的用户ID和所述认证协作请求内的服务提供商ID的策略评价请求。所述ID提供商装置根据策略评价请求从所述策略存储单元读出策略信息。所述ID提供商装置的发送允许判定单元根据用户属性信息内的所属以及职务是否适合于策略信息所示的所属以及职务,来对是否允许发送所述服务数据进行判定。
Description
技术领域
本发明的实施方式涉及认证协作系统(authenticationcollaborationsystem)以及ID提供商装置。
背景技术
以社会、经济、生活对在线服务的依存度增加的趋势为背景,对与个人或组织相关的信息进行管理的身份(identity)管理的重要性高涨。所谓身份管理为如下技术:在各种各样的服务和系统中,谋求与个人或组织相关的信息的安全性与便利性,对从登录到变更、删除的身份生命周期整体进行管理。
这里,所谓身份为某种状况下用于确定个人、集团、组织和企业的信息总体,包含有标识符、证书(credential)和属性。所谓标识符为用于识别身份的信息,相当于账户和职员编号等。所谓证书为用于表示某个信息内容的合法性的信息,具有密码等。所谓属性为对身份附加特征的信息,指名字、住址和出生年月日等。
作为利用了这样的身份管理技术的代表例,存在单点登录(SingleSign-On,以后简称为SSO)。SSO为能够通过一次认证手续来利用多个应用和服务的技术。在像在一个企业的内联网(intranet)那样的单域(singledomain)中,SSO使多个应用具有的认证统一的情况较多。这种情况,SSO一般将认证结果包含在HTTPCookie中,通过在应用间以使认证结果共享的方式来实现。另外,SI(SystemIntegration:系统集成)厂商或中间件厂商有个别地还将这样的SSO方式作为访问管理产品来制造。
近年,要求超越单域的不同域间(以下,称为交叉域)的SSO。作为理由,列举基于企业统合与合并、海外发展等的活跃化、以及崛起了的云计算(cloudcomputing)的SaaS(SoftwareasaService:软件即服务)等的外包(outsourcing)。例如,SaaS等的优点之一是在想使用时能够快速使用。
但是,在实现交叉域的SSO时,在共享认证结果中产生了较大的麻烦。作为主要原因有2点。第1点是因为HTTPCookie的利用限于单域,所以在域间不能利用HTTPCookie来共享认证结果。第2点是因为每个域中采用的访问管理产品的SSO方式在厂商间不同,所以不能简单地导入,需要准备其它途径、对策。
为了消除这样的原因,SSO的标准化的需求变得高涨。作为一个与这样的需求相对应的代表性的标准技术,有非营利团体OASIS(OrganizationfortheAdvancementofStructuredInformationStandards:结构化信息标准促进组织)制定的SAML(SecurityAssertionMarkupLanguage:安全断言标记语言)。
SAML是定义了与认证/认可/属性相关的信息的表现形式以及收发过程的标准,系统性地规定了能够与目的相对应的各种实际安装方式。主体结构为身份提供者(IdentityProvider,以后简写为IdP,称为ID提供商)、服务提供者(ServiceProvider,以后简写为SP,称为服务提供商)和用户这3者,通过服务提供商信任ID提供商发行的认证结果来实现SSO。
在开始基于SAML的SSO时,一般需要针对以下2点在事先进行准备。第1点是在服务提供商与ID提供商之间通过商业和技术面的信息交换和达成共识来构筑信任关系。第2点是一个用户针对每个服务提供商持有专用账户,事先使这些专用SP账户与ID提供商的账户协作。在这些信任关系的构筑以及事先账户协作这样的事先准备没有结束的状态下就不能开始SSO。
在这样的事先准备结束后,按以下那样的过程(1)~(6)实现SSO。这里,对经Web浏览器的SSO的过程进行说明。
(1)用户请求服务提供商提供服务。
(2)因为服务提供商还没有对用户进行认证,所以经用户侧的Web浏览器将认证请求发送到ID提供商。
(3)ID提供商以某种手段对用户进行认证,并制作认证声明(assertion)。另外,SAML不规定认证手段,而规定了将认证声明传递给服务提供商的架构。所谓认证声明为了服务提供商判断能否信任认证结果而包含认证手段的种类和如何制作证书等信息。
(4)ID提供商经用户侧的Web浏览器将包含所制作的认证声明的认证结果返回给服务提供商。
(5)服务提供商根据ID提供商的认证结果决定是否提供服务。
(6)用户从服务提供商接受提供服务。
这样,在基于SAML的SSO中,通过用户仅对ID提供商进行一次认证手续,不用实行更进一步的认证手续就可使用多个服务。目前,实际安装了专用SSO方式的中间件厂商为了确保交叉域的相互应用性,而销售实际安装了SAML的ID提供商/服务提供商功能的访问管理产品,执行向实际安装了SAML的服务提供商功能的商用Web服务的导入。
但是,基于SAML的SSO仅是身份生命周期整体中身份的“利用”这一部分。如上所述,在开始SSO时需要进行账户协作,为了进行账户协作,要求在服务提供商与ID提供商之间使身份的登录、变更、删除、再发行、暂时停止等管理全面协作的技术。
作为使身份的登录、变更、删除、再发行、暂时停止等自动化的技术有账户开通,作为其标准技术有SPML(ServiceProvisioningMarkupLanguage:服务开通标记语言)。
还已知有如下数据处理系统:从没有结束所述的账户协作的事先准备的状态,将账户协作作为SSO的一部分来动态执行的数据处理系统。通常,在服务提供商侧没有登录用户账户的状态,即,在没有进行账户协作的状态下要开始SSO时会产生错误。
但是,通过该数据处理系统,即使在所述的状态下也能够将账户协作作为SSO的一部分来动态地执行。具体来说,服务提供商收到了来自用户的服务请求后,服务提供商确认是否保持有用于登录用户账户的足够的信息。确认后,服务提供商向ID提供商请求用户属性,ID提供商将所希望的用户属性提供给服务提供商。由此,数据处理系统在SSO的过程中执行账户登录以及协作。
现有技术文献
专利文献
专利文献1:日本特表2008-538247号公报。
非专利文献
非专利文献1:“AssertionsandProtocolsfortheOASISSecurityAssertionMarkupLanguage(SAML)V2.0”,OASISStandard,15March2005,http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf
非专利文献2:“OASISServiceProvisioningMarkupLanguage(SPML)Version2”,OASISStandard,1April2006,http://www.oasis-open.org/committees/provision/docs/pstc-spml2-os.pdf
发明内容
发明要解决的课题
以上说明的数据处理系统能够通过请求以及提供每个用户的账户登录所需要的用户属性这样轻量的处理来实现,不需要针对多个用户的大量事先处理,因此通常没有问题。
但是,根据本发明人的研究,有如下这样的改良余地。
通常,在企业中利用服务提供商提供的服务时,IS(InformationSystem:信息系统)部门对服务提供商进行账户登录以及协作。
IS部门对属于企业的多个用户所对应的大量事先处理进行统一处理,或者在经过了用户于任意时刻通过了一连串的承认流程的手续后,进行针对该用户的账户登录以及协作。
这里,在进行前者的事先处理时,由于在SSO过程中不需要执行账户登录以及协作,所以与所述数据处理系统没有关系。
另一方面,当通过后者的承认过程时,不但经用户,还要经用户所属的每个组织阶层的上级和采购部门、IS部门等诸多人力,需要大量的时间精力。并且,IS部门不统一进行事先处理,所以产生人力导致的工作,负担大以外效率和便利性也变差。例如无法产生在SaaS等中快速使用的优点。
因此,在SSO过程中,执行账户登录以及协作的系统优选具备不经人力就能决定可否利用服务的无缝结构。
本发明要解决的课题是提供一种认证协作系统以及ID提供商装置,其在SSO过程中执行账户登录以及协作时,不经人力就能决定可否利用服务。
用于解决课题的手段
实施方式的认证协作系统具有ID提供商装置,其具有第1存储器并能够对用户操作的用户终端执行登录处理;多个服务提供商装置,其具有第2存储器并能够在所述登录处理成功了的情况下将服务数据发送到所述用户终端。
所述ID提供商装置的用户属性信息存储单元,存储多个将用于确定所述用户的用户属性的项目名与所述用户属性的项目值关联起来的用户属性信息,所述用户属性信息在所述项目名中至少包含用于识别所述用户的用户ID。
所述ID提供商装置的服务利用状况存储单元,其将所述用户ID、用于识别所述各服务提供商装置的服务提供商ID、以及表示服务利用中或服务未利用两者中的某一个的服务利用状况关联起来进行存储,该服务利用中表示允许发送所述服务数据的情况,该服务未利用表示没有允许发送所述服务数据的情况。
所述ID提供商装置的策略存储单元,其针对每个所述服务提供商ID存储多个策略信息,该策略信息表示允许用该服务提供商ID来识别的服务提供商装置发送服务数据的对象用户。
所述ID提供商装置的部分项目名存储单元,其将所述服务提供商ID、与所述用户属性信息内的用户属性的项目名中的部分项目名关联起来进行存储。
所述ID提供商装置的密钥存储单元,其对本装置的签名生成密钥进行存储。
所述ID提供商装置当接收从某一所述服务提供商装置发送的认证协作请求时,发出用户认证请求,其中,所述认证协作请求包含该服务提供商装置的服务提供商ID和所述用户终端的地址信息,所述用户认证请求包含该认证协作请求内的用户终端的地址信息;。
所述ID提供商装置根据所述发出的用户认证请求内的用户终端的地址信息将登录请求发送到该用户终端,并根据所述用户属性信息存储单元内的用户ID以及参照信息来执行对从该用户终端所接受的用户ID以及用户认证信息进行认证的登录处理。
所述ID提供商装置当所述登录处理成功时发出策略评价请求,该策略评价请求包含用于该登录处理的用户ID和所述认证协作请求内的服务提供商ID。
所述ID提供商装置根据所述发出的策略评价请求内的用户ID,从所述用户属性存储单元读出用户属性信息。
所述ID提供商装置根据所述发出的策略评价请求内的服务提供商ID,从所述策略存储单元读出策略信息。
所述ID提供商装置的发送允许判定单元,针对所述读出的策略信息,根据是否适合于所述读出的用户属性信息、用户想利用的服务种类、对用户想进行的服务的操作、当执行服务时用户的环境条件,来判定是否允许发送所述服务数据。
所述ID提供商装置将包含该判定结果的策略评价响应发到所述策略评价请求的发送源。
所述ID提供商装置当所述策略评价响应内的判定结果表示允许时发出账户协作请求,该账户协作请求包含所述策略评价请求内的用户ID和服务提供商ID。
所述ID提供商装置根据所述发出的账户协作请求内的服务提供商ID,从所述部分项目名存储单元读出用户属性的部分项目名。
所述ID提供商装置根据该读出的部分项目名和所述账户协作请求内的用户ID,获得在所述用户属性存储单元内包含与该用户ID一致的用户ID的用户属性信息中的用户属性部分信息,其中,该用户属性部分信息由与该部分项目名一致的项目名以及与该项目名关联起来的项目值构成。
所述ID提供商装置将账户登录指示附加到所述获得的用户属性部分信息中来制作账户协作请求消息。
所述ID提供商装置将所述账户协作请求消息发送到所述认证协作请求的发送源服务提供商装置。
所述ID提供商装置当从所述账户协作请求消息的发送目的地服务提供商装置通知包含该服务提供商装置的服务提供商ID和所述用户属性部分信息内的用户ID的登录完成时,发出表示该登录完成的账户协作响应。
所述ID提供商装置根据在所述发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID,将所述服务利用状况存储单元内的服务利用状况从服务未利用更新为服务利用中。
所述ID提供商装置发出认证协作执行请求,该认证协作执行请求包含在所述发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID。
所述ID提供商装置在接受所述认证协作执行请求时,发行在用该认证协作执行请求内的服务提供商ID来识别的服务提供商装置与本装置之间共享的认证协作ID,并将该认证协作ID与该认证协作执行请求内的用户ID关联起来写入所述第1存储器。
所述ID提供商装置针对包含所述发行了的认证协作ID和所述登录处理的认证方式名的声明正文,生成基于所述签名生成密钥的数字签名,并制作包含该声明正文和该数字签名的认证声明。
所述ID提供商装置将包含所述制作出的认证声明的认证协作响应,发送到所述认证协作请求的发送源服务提供商装置。
所述各服务提供商装置的用户属性部分信息存储单元,将用户属性部分信息与在本装置内用于识别用户的SP侧用户ID关联起来进行存储,其中,所述用户属性部分信息是将所述用户属性信息存储单元内的用户属性信息内的用户属性的项目名以及项目值中的部分项目名与项目值关联起来的信息。
所述各服务提供商装置的验证策略存储单元,存储认证声明验证策略,该认证声明验证策略包含在所述登录处理成功时允许发送服务数据的登录处理的认证方式名、以及与所述签名生成密钥对应的签名验证密钥。
所述各服务提供商装置的服务数据存储单元,存储所述服务数据。
所述各服务提供商装置在从所述用户终端接受服务请求时,对该服务请求是否包含认证令牌进行判定,在包含所述认证令牌时将该认证令牌和所述服务数据存储单元内的服务数据发送到该用户终端,在不包含所述认证令牌时将包含本装置的服务提供商ID和该用户终端的地址信息的认证协作请求发送到所述ID提供商装置。
所述各服务提供商装置在接收所述账户协作请求消息时,发行新的所述SP侧用户ID,并将该发行的SP侧用户ID与该账户协作请求消息内的用户属性部分信息关联起来登录到所述用户属性部分信息存储单元。
所述各服务提供商装置在该登录后,将包含所登录的用户属性部分信息内的用户ID和本装置的服务提供商ID的登录完成,通知给所述账户协作请求消息的发送源ID提供商装置。
所述各服务提供商装置在从所述ID提供商装置接受认证协作响应时,从该认证协作响应内的认证声明提取认证协作ID,并将该提取出的认证协作ID与所述登录的用户属性部分信息内的用户ID关联起来写入所述第2存储器。
所述各服务提供商装置根据所述认证声明验证策略内的认证方式名和签名验证密钥,分别对所述认证声明内的认证方式名和数字签名进行验证。
所述各服务提供商装置当所述验证的结果均合法时,发行认证令牌,并将该认证令牌与所述认证协作ID关联起来写入所述第2存储器。
所述各服务提供商装置发出服务执行请求,该服务执行请求包含所述写入的认证令牌、和经所述认证协作ID在所述第2存储器内与该认证令牌关联起来的用户ID。
所述各服务提供商装置根据所述发出的服务执行请求,将该服务执行请求内的认证令牌和所述服务数据存储单元内的服务数据发送到所述用户终端。
附图说明
图1为表示第1实施方式的认证协作系统及其周边结构的示意图。
图2为用于对同一实施方式中的IdP用户存储库进行说明的示意图。
图3为用于对同一实施方式中的服务利用状况数据库进行说明的示意图。
图4为用于对在同一实施方式中的认证协作策略库进行说明的示意图。
图5为用于对在同一实施方式中的SP用户设定规则库进行说明的示意图。
图6为用于对在同一实施方式中的暂时存储部进行说明的示意图。
图7为用于对在同一实施方式中的认证声明进行说明的示意图。
图8为用于对在同一实施方式中的信任IdP库进行说明的示意图。
图9为用于对在同一实施方式中的SP用户存储库进行说明的示意图。
图10为用于对在同一实施方式中的服务数据库进行说明的示意图。
图11为用于对在同一实施方式中的利用状况库进行说明的示意图。
图12为用于对在同一实施方式中的暂时存储部进行说明的示意图。
图13为用于对在同一实施方式中的验证策略库进行说明的示意图。
图14为表示在同一实施方式中的整体动作概要的示意图。
图15为表示在同一实施方式中的用户认证处理流程的时序图。
图16为表示在同一实施方式中的用户认证处理所需要的构成要素的一例的方框图。
图17为表示在同一实施方式中的认证协作策略评价处理流程的时序图。
图18为表示在同一实施方式中的认证协作策略评价处理所需要的构成要素的一例的方框图。
图19为表示在同一实施方式中的账户协作处理流程的时序图。
图20为表示在同一实施方式中的账户协作处理所需要的构成要素的一例的方框图。
图21为表示在同一实施方式中的认证协作处理流程的时序图。
图22为表示在同一实施方式中的认证协作处理所需要的构成要素的一例的方框图。
图23为用于对在第2实施方式中的利用状况库进行说明的示意图。
图24为用于对在同一实施方式中的服务利用状况库进行说明的示意图。
图25为用于对在第3实施方式中的利用状况库进行说明的示意图。
图26为用于对在同一实施方式中的服务利用状况库进行说明的示意图。
具体实施方式
以下,使用附图来对各实施方式进行说明。另外,在各实施方式中,在ID提供商与服务提供商之间已经建立了信任关系的状态下,用户属于ID提供商侧的组织的状态下,认证协作策略以事先定义完成为前提条件。另外,各装置可通过硬件结构、或者硬件资源与软件的组合结构均可以实施。作为组合结构的软件可预先从网络或媒介安装到对应装置的计算机中,使用用于实现对应装置功能的程序。
<第1实施方式>
图1为表示第1实施方式的认证协作系统及其周边结构的示意图,图2至图13为用于对在同一实施方式中的存储库(repository)、库(store)或存储部等进行说明的示意图。该认证协作系统具有:ID提供商装置200,其能够对用户进行操作的用户终端100执行登录处理;服务提供商装置300,其能够在登录处理成功的情况下将服务数据发送到用户终端100。另外,服务提供商装置300有多台,但是这里只图示了1台。
这里,用户终端100为具有通常的计算机功能,并能够与ID提供商装置200和各服务提供商装置300进行通信的装置,用户终端100例如具有以下功能:根据用户的操作将服务请求发送到服务提供商装置300的功能、与ID提供商装置200之间执行登录处理的功能、从服务提供商装置300接收服务数据的功能、以及通过CPU执行预先存储于存储器的服务利用应用程序来再现该接收到的服务数据的功能。
ID提供商装置200是对用户的身份进行管理的装置,具有:IdP用户存储库(userrepository)201、服务利用状况库202、认证协作策略库203、SP用户设定规则库204、暂时存储部205、密钥存储部206、IdP认证协作部207、认证协作处理(handling)部208、认证协作策略评价部209以及IdP账户开通(accountprovisioning)部210。
这里,IdP用户存储库201存储与配置有ID提供商装置200的组织的用户相关的身份信息(以下,称为“用户属性信息”)。具体来说,如图2所示,IdP用户存储库(用户属性信息存储单元)201存储将用于确定用户的用户属性的项目名和用户属性的项目值关联起来的多个用户属性信息201a,该用户属性信息201a包括:用于识别用户的用户ID、用户的姓名、用户的所属、用户的职务、用户终端的地址信息、以及用户登录处理时参照的参照信息。
另外,用户属性信息201a是对个人信息附加特征的信息集合体,作为用户属性信息201a的例子,列举有用户的姓名、用户的所属、用户的职务、用户终端的地址信息、以及在用户登录处理时参照的参照信息等。但是,不局限于此,例如还可以包含电话号码或出勤状态这样任意的项目名和项目地。另外,在本实施方式中,用户登录处理时参照的参照信息使用了密码,但是,不局限于此,例如还可以是用户的指纹等活体认证信息。
服务利用状况库202被认证协作策略评价部209参照,并对服务的利用状况进行存储。具体来说,如图3所示,服务利用状况库(服务利用状况存储单元)202存储有用户利用管理表202a和利用数管理表202b。用户利用管理表202a将用户ID、识别各服务提供商装置300的服务提供商ID(SP(1)~SP(N))、以及表示服务利用中或服务未利用的某一服务利用状况关联起来进行写入。该服务利用中表示允许发送服务数据的情况,该服务未利用表示不允许发送服务数据的情况。另外,服务利用状况不限于服务利用中以及服务未利用,也可以包含例如基于从用户终端100收到的暂时停止请求的服务暂时停止中、以及/或者基于从用户终端100收到的利用结束请求的服务利用结束。另外,服务利用结束也可以包含当前利用数超过了上限值时ID提供商装置200使闲置用户的利用无效化的情况。另外,如图3所示,利用数管理表202b将表示用户利用管理表202a内的服务利用状况所示的服务利用中的个数的利用数、与利用数的上限值关联起来进行写入。
认证协作策略库203被认证协作策略评价部209参照,认证协作策略库203存储认证协作策略。具体来说,如图4所示,认证协作策略库(策略存储单元)203针对每个服务提供商ID存储多个认证协作策略(策略信息)203a(203aA、203aB、203aC…),该认证协作策略203a表示允许用该服务提供商ID来识别的服务提供商装置300发送服务数据的用户的所属和职务。
另外,认证协作策略203a也可以在用户的所属以及职务这样的静态策略(例如,图4中A~C的[1]~[3])之外还包含服务的利用数、按量收费的合计这样的动态策略(例如,图4中C的[4])。
这里所谓策略一般地是指定义了是否能够(即,允许或拒绝)由谁(主体)对哪个系统资源(资源)进行怎样的操作(动作)的访问可否条件的集合体。还可以是用选项针对环境条件和责任条件而定义的。
例如,针对上述策略的各要素,“主体”对应于名称、职务和所属等,“资源”对应于服务提供商ID和URL等,“动作”对应于利用开始和利用再开始等,“环境条件”对应于进行某些请求的用户的IP地址、可访问的期间和时刻等。另外,“责任条件”为收到策略(访问可否条件)评价的结果之后认证协作处理部208执行认证协作时强加的作业。例如为‘允许“登录新利用者”的请求,但代替其真正要执行“删除闲置者的ID”’这样的指示。(例如图4中的B的[4]的[责任条件])
如图5所示,SP用户设定规则库(部分项目名存储单元)204对用户设定规则204a进行存储。用户设定规则204a将服务提供商ID、与存储于IdP用户存储库201的用户属性信息201a内的用户属性的项目名中的部分项目名关联起来进行写入。
如图6所示,暂时存储部(第1存储器)205为像RAM等那样的暂时存储器,并将例如认证协作ID与用户ID关联起来进行存储。
密钥存储部206对本装置200的签名生成密钥进行存储。作为签名生成密钥能够使用例如在公开密钥加密方式中的公钥与私钥的密钥对中的私钥。
IdP认证协作部207具有单点登录的ID提供商功能。具体来说例如,IdP认证协作部207具有以下功能(f207-1)~(f207-4)。
(f207-1)功能:根据从认证协作处理部208所发出的用户认证请求内的用户终端100的地址信息,将登录请求发送到该用户终端100,并根据IdP用户存储库201内的用户ID以及参照信息来执行对从该用户终端100收到的用户ID和用户认证信息进行认证的登录处理。
(f207-2)功能:在从认证协作处理部208收到认证协作执行请求时,发行在用该认证协作请求内的服务提供商ID来识别的服务提供商装置300与本装置200之间共享的认证协作ID,并将该认证协作ID与该认证协作执行请求内的用户ID关联起来写入暂时存储部205。
(f207-4)功能:针对包含所发行的认证协作ID和登录处理的认证方式名的声明正文,生成基于密钥存储部206内的签名生成密钥的数字签名,并如图7所示,制作包含该声明正文和该数字签名的认证声明207a。
(f207-4)功能:将包含所制作的认证声明207a的认证协作响应发送到认证协作请求的发送源服务提供商装置300。
认证协作处理部208在接收来自服务提供商装置300的认证协作请求后,对由策略评价处理、账户协作处理以及ID提供商认证协作处理构成的一连串处理进行处理。具体来说,认证协作处理部208具有例如以下功能(f208-1)~(f208-5)
(f208-1)功能:当收到从某一服务提供商装置300发送的、包含该服务提供商装置300的服务提供商ID和用户终端100的地址信息的、认证协作请求时,将包含该认证协作请求内的用户终端100的地址信息的用户认证请求发到IdP认证协作部207。
(f208-2)功能:在IdP认证协作部207进行的登录处理成功时,将包含用于该登录处理的用户ID和认证协作请求内的服务提供商ID的策略评价请求发到认证协作策略评价部209。
(f208-3)功能:在从认证协作策略评价部209收到的策略评价响应内的判定结果表示允许的情况下,将包含策略评价请求内的用户ID和服务提供商ID的账户协作请求发到IdP账户开通部210。
(f208-4)功能:根据包含于所发出的账户协作响应内的登录完成的服务提供商ID以及用户ID,将服务利用状况库202内的服务利用状况从服务未利用更新为服务利用中。
(f208-5)功能:将包含服务提供商ID以及用户ID的认证协作执行请求发到IdP认证协作部207,该服务提供商ID以及用户ID包含在从IdP账户开通部210所发出的账户协作响应内的登录完成中。
认证协作策略评价部209收到来自认证协作处理部208的策略评价请求,并根据事先所定义的认证协作策略203a与服务利用状况来进行策略评价。具体来说,例如认证协作策略评价部209具有以下功能(f209-1)~(f209-4)。
(f209-1)功能:根据从认证协作处理部208所发出的策略评价请求内的用户ID,从IdP用户存储库201读出用户属性信息201a。
(f209-2)功能:根据从认证协作处理部208所发出的策略评价请求内的服务提供商ID,从认证协作策略库203读出认证协作策略(策略信息)203a。
(f209-3)发送允许判定功能:根据该读出的用户属性信息201a内的所属以及职务是否适合于在所读出的认证协作策略203a所示的所属以及职务,来对是否允许发送服务数据进行判定。
(f209-4)功能:将包含该判定结果的策略评价响应发到策略评价请求的发送源认证协作处理部208。
IdP账户开通部210收到来自认证协作处理部208的账户协作请求,并对服务提供商装置300执行账户开通。具体来说,IdP账户开通部210例如具有以下功能(f210-1)~(f210-5)。
(f210-1)功能:根据所发出的账户协作请求内的服务提供商ID,从SP用户设定规则库204读出用户属性的部分项目名。
(f210-2)功能:根据该所读出的部分项目名和账户协作请求内的用户ID,获得用户属性部分信息。该用户属性部分信息由在IdP用户存储库201内包含与该用户ID一致的用户ID的用户属性信息201a中的,与该部分项目名一致的项目名以及与该项目名关联起来的项目值构成。
(f210-3)功能:将账户登录指示附加到所获得的用户属性部分信息中,来制作账户协作请求消息。
(f210-4)功能:将账户协作请求消息发送到认证协作请求的发送源服务提供商装置300。
(f210-5)功能:若从账户协作请求消息的发送目的地服务提供商装置300通知包含该服务提供商装置的服务提供商ID和用户属性部分信息内的用户ID的登录完成时,将表示该登录完成的账户协作响应发到认证协作处理部208。
另一方面,服务提供商装置300为提供用户利用的服务的装置,并具有:信任IdP库301、SP用户存储库302、服务数据库303、利用状况库304、暂时存储部305、验证策略库306、SP认证协作部307、利用状况提供部308、SP账户开通部309以及服务数据通信部310。
如图8所示,信任IdP库301对由用于识别ID提供商装置200的ID提供商ID的列表构成的IdP列表(ID提供商列表)301a进行存储。
SP用户存储库302对利用服务数据通信部310发送的服务数据的用户的身份信息进行存储。具体来说,如图9所示,SP用户存储库(用户属性部分信息存储单元)302将用户属性部分信息302a与在本装置300内用于识别用户的SP侧用户ID关联起来进行写入。该用户属性部分信息302a是将在IdP用户存储库201内的用户属性信息201a内的用户属性的项目名以及项目值中的部分项目名与项目值关联起来而得的。
如图10所示,服务数据库303对服务数据303a进行存储。服务数据303a作为由服务提供商装置300进行的服务提供(服务数据发送)的对象,是发送到用户终端100的任意数据。
如图11所示,利用状况库304对用户利用管理表304a和利用数管理表304b进行存储。用户利用管理表304a将用户ID与表示服务利用中或服务未利用中某一个的服务利用状况关联起来进行写入,该服务利用中表示允许发送服务数据303a的情况,该服务未利用表示不允许发送服务数据303a的情况。利用数管理表304b将表示用户管理表内的服务利用状况所示的服务利用中的个数的利用数、与利用数的上限值关联起来进行写入。
如图12所示,暂时存储部(第2存储器)305为像RAM等那样的暂时存储器,将例如从认证声明207a所提取的认证协作ID、所登录的用户属性部分信息302a内的用户ID、以及所发行的认证令牌(token)关联起来进行存储。
如图13所示,验证策略库306对认证声明验证策略进行存储,该认证声明验证策略包含在登录处理成功的情况下允许发送服务数据303a的登录处理的认证方式名、和与ID提供商装置200的签名生成密钥对应的签名验证密钥。作为签名验证密钥例如能使用在公开密钥加密方式中的公钥与私钥的密钥对中的公钥。
SP认证协作部307具有单点登录的服务提供商功能。具体来说例如,SP认证协作部307具有以下功能(f307-1)~(f307-5)。
(f307-1)功能:从用户终端100收到服务请求时,对该服务请求是否包含认证令牌进行判定,并在包含认证令牌的情况下将该认证令牌与服务数据库303内的服务数据303a发送到该用户终端100,在不包含的情况下将包含本装置300的服务提供商ID和该用户终端100的地址信息的认证协作请求发送到ID提供商装置200。
(f307-2)功能:从ID提供商装置200收到认证协作响应时,从该认证协作响应内的认证声明207a提取认证协作ID,并将该所提取的认证协作ID与所登录的用户属性部分信息302a内的用户ID关联起来写入到暂时存储部305。
(f307-3)验证功能:根据验证策略库306内的认证声明验证策略内的认证方式名和签名验证密钥,来分别对该认证声明207a内的认证方式名和数字签名进行验证。
(f307-4)功能:当所验证的结果都合法时,发行认证令牌,并将该认证令牌与认证协作ID关联起来写入暂时存储部305。
(f307-5)功能:将包含所写入的认证令牌、以及在暂时存储部305内经认证协作ID与该认证令牌关联起来的用户ID的服务执行请求发到服务数据通信部310。
利用状况提供部308具有以下功能:从ID提供商装置200的认证协作策略评价部209收到利用状况发送请求时,根据包含于该利用状况发送请求中的用户ID来对利用状况库304进行检索,并发送通过该检索得到的服务利用状况。
SP账户开通部309根据从ID提供商装置200的IdP账户开通部210收到的账户开通请求(账户协作请求消息),针对SP用户存储库302进行账户开通。具体来说,SP账户开通部309例如具有以下功能(f309-1)~(f309-2)。
(f309-1)功能:从ID提供商装置200的IdP账户开通部210接收账户协作请求消息时,发行新SP侧用户ID,并将该所发行的SP侧用户ID与该账户协作请求消息内的用户属性部分信息302a关联起来登录到SP用户存储库302。
(f309-2)功能:该登录后,将包含所登录的用户属性部分信息302a内的用户ID和本装置300的服务提供商ID的登录完成,通知给账户协作请求消息的发送源ID提供商装置200。
服务数据通信部310具有根据从SP认证协作部307所发出的服务执行请求,将该服务执行请求内的认证令牌和服务数据库303内的服务数据303a发送到用户终端100的功能。
接着,参照图14到图22对如以上那样构成的认证协作系统的动作进行说明。关于以下的说明,在ID提供商装置200与服务提供商装置300间SSO处于可能的系统环境中,且从属于ID提供商侧组织的用户没有在该服务提供商装置300登录账户的状态开始。另外,在该状态下,在用户进行了服务请求时,对ID提供商装置200是否满足认证协作策略203a进行判定,在满足的情况下进行服务提供商装置300侧的用户的账户登录,由此执行在ID提供商装置200与服务提供商装置300间的SSO,以从服务提供商装置300发送服务数据303a的典型处理为例来进行描述。
以后,如图14所示,分别对步骤ST10的用户认证(ST11~ST18)、步骤ST20的认证协作策略评价(ST21~ST27)、步骤ST30的账户协作(ST31~ST37)以及步骤ST40的认证协作(ST41~ST49)进行说明。
在步骤ST10的用户认证处理中,在用户的账户未登录于服务提供商装置300的状态下,属于ID提供商侧组织的用户将服务请求从用户终端100发送到服务提供商装置300,ID提供商装置200代替服务提供商装置300来进行用户的认证。以下,使用图15的时序图以及图16的示意图来进行叙述。
在步骤ST11中,用户为了利用服务提供商装置300侧的服务而对用户终端100进行操作。用户终端100通过用户的操作而将服务请求发送到服务提供商装置300。服务提供商装置300捕捉承担访问管理的SP认证协作部307的服务请求。
在步骤ST12中,当SP认证协作部307收到来自用户的服务请求时,判定该用户请求是否包含认证令牌。例如,当来自用户的服务请求为HTTP请求方式时,确认服务提供商装置300所发行的认证令牌存在于在该HTTP请求中包含的Cookie中。
能够确认认证令牌存在的话,服务提供商装置300针对用户提供通过服务请求而请求的服务。即,SP认证协作部307判定为服务请求包含认证令牌时,利用服务数据通信部310将该认证令牌和服务数据存储部303内的服务数据303a发送到用户终端100。具体来说,SP认证协作部307将包含服务请求内的认证令牌和经认证协作ID在暂时存储部305内与该认证令牌关联起来的用户ID的服务执行请求发到服务数据通信部310。
另一方面,在判定结果为服务请求没有包含认证令牌的情况下,执行步骤ST13。另外,如后述一样在省略步骤ST13、ST14的情况下执行步骤ST15。
在步骤ST13中,由于SP认证协作部307使用户选择该用户所属的ID提供商,所以从信任IdP库301读出列举了ID提供商ID的IdP列表301a并发送到用户终端100,该ID提供商ID表示在事先建立了信任关系的ID提供商。另外,IdP列表301a也可以称为ID提供商列表。
在步骤ST14中,用户终端100显示从服务提供商装置300收到的IdP列表301a,并提醒用户选择自身所属的ID提供商。然后,用户终端100根据用户的操作将选择出的ID提供商ID发送到服务提供商装置300。另外,在如服务请求包含ID提供商的指定的情况、服务提供商装置300仅与一个ID提供商的ID提供商装置200协作的情况等情况下,在不需要选择ID提供商时,省略步骤ST13~ST14。
在步骤ST15中,服务提供商装置300根据从用户终端100接收的ID提供商ID,将认证协作请求委托给用该ID提供商ID来识别的ID提供商装置200。此时,认证协作请求可以从服务提供商装置300直接向ID提供商装置200发送,也可以临时经由用户终端100以重定向形式进行发送。认证协作请求包含有本装置300的服务提供商ID和终端100的地址信息。
在步骤ST16中,ID提供商装置200的认证协作处理部208对发往ID提供商装置200的消息进行拦截。认证协作处理部208对消息进行解析,在确认了该消息为认证协作请求的情况下,开始认证协作的处理,并将包含认证协作请求内的用户终端100的地址信息的用户认证请求发送到IdP认证协作部207。另外,在确认了是认证协作请求以外的消息的情况下,以经由认证协作处理部208的形式向服务提供商装置300所期望的收件人进行再发送。
在步骤ST17中,IdP认证协作部207收到用户认证请求时,根据该用户认证请求,执行用于用户的识别和认证的登录处理。在该登录处理中,IdP认证协作部207根据发出的用户认证请求内的用户终端100的地址信息,将登录请求发送到该用户终端100,并根据IdP用户存储库201内的用户ID以及参照信息来对从该用户终端100收到的用户ID以及用户认证信息进行认证。
在步骤ST18中,当步骤ST17的登录处理成功时,IdP认证协作部207将包含用于登录处理的用户ID和认证成功的意思的用户认证完成消息通知给认证协作处理部208。
通过以上步骤,步骤ST10的用户认证(ST11~ST18)结束。
在步骤ST20的认证协作策略评价中,用户认证结束后,将服务利用状况、用户属性信息201a、以及认证协作策略203a作为输入值,进行认证协作策略评价,针对用户的服务请求做出允许。以下,使用图17的时序图以及图18的示意图来进行叙述。
在步骤ST21中,认证协作处理部208对在步骤ST18接收到的用户认证完成的消息进行解析,并对登录处理成功进行确认。在登录处理成功时,认证协作处理部208将与用户的服务请求相对的策略评价请求发到认证协作策略评价部209。策略评价请求包含在步骤ST17的过程中所获得的用户ID即用户的IdP账户和认证协作请求内的服务提供商ID。
以后,认证协作处理部208通过步骤ST22~ST25对评价认证协作策略203a所需的信息进行收集。
在步骤ST22中,认证协作策略评价部209根据策略评价请求内的用户ID和服务提供商ID从服务利用状况库202读出用户的服务利用状况。但是,如后述一样在执行静态策略评价时省略步骤ST22。这与步骤ST23一样。
这里,服务利用状况库202对如图3所示的2个信息组进行管理。例如,如图3的上段所示,以用户为单位存储有与ID提供商装置200进行协作的单一或多个服务提供商装置300相关的利用状况信息。例如,关于图10的用户ID为user_0020的记录,SP(1)表示服务未利用的状态,SP(2)表示服务利用中,SP(3)表示服务暂时停止中,SP(N)表示服务利用结束的状态。另外,如图3的下段所示,以服务提供商装置300为单位,存储有利用各自的服务提供商装置300的用户数以及能够利用该服务提供商装置300的用户数的上限值。
以后,在本实施方式中,使用图3,假定用户ID为user_0001,用户请求的服务提供商装置300为SP(1)。
在步骤ST23中,认证协作策略评价部209根据策略评价请求内的用户ID从利用状况提供部308获得服务提供商装置300管理的用户利用状况。
但是,除用户希望的服务提供商装置300以外,在如本实施方式一样的其他全部服务提供商装置300的利用状况为服务未利用的情况下不执行步骤ST23。对图3而言,用户ID为user_0001的记录与此相对应。
执行步骤ST23的情况是图3的用户ID为user_0020和user_1000。引发这种情况的情形是:作为认证协作策略203a的评价指标,还想要包含不是在ID提供商侧而是在其他的服务提供商装置300侧管理的信息的时候。作为在其他服务提供商装置300侧管理的信息的一个例子,有用户利用服务时被征收的费用,即按量收费。像这样,通过还包含与时间对应变化的信息作为认证协作策略203a的评价指标,对于用户的服务利用能够实现动态的访问控制(动态策略评价)。此外,在执行动态的接入控制时,不局限于上述的按量收费,还可以管理例如服务的当前利用数和其上限值。
在步骤ST24中,认证协作策略评价部209根据策略评价请求内的用户ID从IdP用户存储库201读出用户属性信息201a。在本实施方式中为图2所示那样的用户的属性信息。
在步骤ST25中,认证协作策略评价部209根据策略评价请求内的服务提供商ID从认证协作策略库203读出认证协作策略203a。在本实施方式中,将图4的各认证协作策略203a中的、与图中A关联起来的第1认证协作策略(SP(1)利用时的策略)203aA作为检索结果而被读出。
在步骤ST26中,当认证协作策略评价部209执行静态的策略评价时,根据在步骤ST24中所读出的用户属性信息201a内的所属以及职务是否适合于在步骤ST25中所读出的认证协作策略203aA表示的所属以及职务,来判定是否允许发送服务数据303a。
但是,在执行还使用了步骤ST22的服务利用状况的动态策略评价时,根据通过步骤ST22、ST24、ST25而获得的服务利用状况、用户属性信息201a以及认证协作策略203aA来执行策略评价。
例如,以与认证协作策略203aA所示的SP(1)的利用相关的策略评价为例进行说明。在认证协作策略203aA中,事先定义[1]~[4]的服务利用条件(静态的策略评价情况下[4]未定义),并如以下那样对收集到的服务利用状况、用户属性信息201a满足所有这些服务利用条件进行确认。作为该结果,针对用户的服务请求做出允许。
认证协作策略203aA的[1]:认证协作策略203a表示用户所属的部为X。对此,如图2所示,在用户属性中的该用户所属的部为[X部门]。因此,满足认证协作策略203a中的[1]条件。
认证协作策略203aA的[2]:认证协作策略203a表示用户的所属的课为Y。对此,如图2所示,用户属性中的该用户所属的课为[Y课]。因此,满足认证协作策略203a中的[2]条件。
认证协作策略203aA的[3]:认证协作策略203a表示用户的职务为Z以上的职务。对此,如图2所示,用户属性中的该用户的职务为[Z职]。因此,满足认证协作策略203a中的[3]条件。
认证协作策略203aA的[4]:认证协作策略203a表示利用中的账户数没有超过上限值。对此,如图3所示,该用户的利用数为10,没有超过上限值100。因此,满足认证协作策略203a中的[4]条件。
如上所述,根据事先所定义的认证协作策略203a,使用收集到的服务利用状况与用户属性信息201a来进行针对用户的服务请求的认证协作策略评价。另外,在所述的条件中,若能够确认有一个不满足条件,则认证协作策略评价结果为拒绝。
在步骤ST27中,认证协作策略评价部209将由步骤ST26的判定结果构成的策略评价结果作为策略评价响应,发到认证协作处理部208。
通过以上步骤,步骤ST20的认证协作策略评价(ST21~ST27)结束。
在步骤ST30的账户协作中,根据通过认证协作策略评价而得到的策略评价响应(表示允许发送服务数据时),对服务提供商装置300的SP用户存储库302制作用户的账户,由此实现作为SSO事先准备所需要的ID提供商装置200与服务提供商装置300间的账户协作。以下,使用图19的时序图以及图20的示意图来进行描述。
在步骤ST31中,认证协作处理部208对包含于由步骤ST27所发出的策略评价响应的策略评价结果进行确认,并在允许服务请求的情况下,将包含策略评价请求内的用户ID和服务提供商ID的账户协作请求委托给IdP账户开通部210。另外,在策略评价结果表示拒绝服务利用的情况下,将服务利用拒绝的旨意通知给用户终端100。这里,列举策略评价结果为允许的情况为例,对以后的步骤ST32~37进行说明。
在步骤ST32中,IdP账户开通部210根据发出的账户协作内的服务提供商ID(例,SP(1)),从SP用户设定规则库204读出用户设定规则204a。例如,在针对服务提供商装置300进行账户登录时,用户设定规则204a有每个服务提供商装置300要求的所需要的用户属性的项目名(用户属性部分的项目名)等。这里,设IdP账户开通部210是读出用户属性的部分项目名作为用户设定规则204a。
在步骤ST33中,IdP账户开通部210根据在步骤ST32中读出的部分项目名与账户协作请求内的用户ID,获得由用户属性信息201a中的、与该部分的项目名一致的项目名以及与该项目名关联起来的项目值构成的所需的用户属性信息(用户属性部分信息),该用户属性信息201a包含在IdP用户存储库201内与该用户ID一致的用户ID。
在步骤ST34中,IdP账户开通部210将账户登录指示附加到所获得的用户属性部分信息来制作账户协作请求消息。例如,IdP账户开通部210根据SP账户开通部309公开的操作界面,将SP用户存储库302的操作种类与以该操作为对象的步骤ST33所获得的用户属性部分信息对应起来,来制作SP账户协作请求消息。另外,在本实施方式中,由于在服务提供商装置300侧没有登录用户的账户,所以指定账户登录作为操作种类。
在步骤ST35中,IdP账户开通部210将所制作的SP账户协作请求消息发送到认证协作请求的发送源服务提供商装置300。在服务提供商装置300内的SP账户开通部309接收SP账户协作请求消息。
在步骤ST36中,SP账户开通部309根据所接收的SP账户协作请求消息新发行SP侧用户ID(服务提供商装置300侧的用户ID),并将该SP侧用户ID与账户协作请求消息内的用户属性部分信息302a关联起来登录到SP用户存储库302。登录后,SP账户开通部309将包含所登录的用户属性部分信息302a内的用户ID和本装置的服务提供商ID的登录完成通知给账户协作请求消息的发送源ID提供商装置200。具体来说,将登录完成通知给ID提供商装置200内的IdP账户开通部210。
在步骤ST37中,当通知了登录完成时,IdP账户开通部210将表示该登录完成的账户协作响应发到认证协作处理部208。
通过以上步骤,步骤ST30的账户协作(ST31~ST37)结束。
在步骤ST40的认证协作中,账户协作结束后,在ID提供商装置200与服务提供商装置300之间进行认证协作,即SSO。以下使用图21的时序图以及图22的示意图来进行叙述。
在步骤ST41中,认证协作处理部208对在步骤ST37中所通知的账户协作响应中包含的结果进行解析。如果该结果有问题,那么认证协作处理部208根据在所发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID,将服务利用状况库202内的服务利用状况从服务未利用更新为服务利用中。由此,在服务利用状况库202中该用户所请求的服务提供商装置300的利用状况从服务未利用的状态变更为服务利用中的状态。
在步骤ST42中,认证协作处理部208将包含服务提供商ID以及用户ID的认证协作执行请求发到IdP认证协作部207。该服务提供商ID以及用户ID包含在账户协作响应内的登录完成中。
在步骤ST43中,当IdP认证协作部207收到认证协作执行请求时,发行在用该认证协作执行请求内的服务提供商ID来识别的服务提供商装置300与本装置200之间共享的认证协作ID,并将该认证协作ID与该认证协作执行请求内的用户ID关联起来写入暂时存储部205。
在步骤ST44中,IdP认证协作部207制作包含所发行的认证协作ID和在步骤ST17进行的登录处理的认证方式名的声明正文。另外,IdP认证协作部207针对声明正文生成基于密钥存储部206内的签名生成密钥的数字签名。并且,IdP认证协作部207制作包含该声明正文和该数字签名的认证声明207a。
在步骤ST45中,IdP认证协作部207将包含所制作的认证声明207a的认证协作响应发送到认证协作请求的发送源服务提供商装置300。在该服务提供商装置300的SP认证协作部307接收该认证协作响应。
在步骤ST46中,当SP认证协作部307收到认证协作响应时,从该认证协作响应内的认证声明207a提取认证协作ID,并将该提取出的认证协作ID与在步骤ST36中登录于SP用户存储库302的用户属性部分信息302a内的用户ID关联起来写入暂时存储部305。
在步骤ST47中,SP认证协作部307根据认证声明验证策略内的认证方式名和签名验证密钥来分别对认证声明207a内的认证方式名和数字签名进行验证。由此,SP认证协作部307根据ID提供商装置200所发行的认证声明207a,对能否信任ID提供商装置200的认证结果进行判断,决定是否对用户发送服务数据(服务提供)。在本实施方式中,所验证的结果均为合法,决定为允许发送服务数据。
在步骤ST48中,当在步骤ST47中决定为允许时,SP认证协作部307发行认证令牌,并将该认证令牌与认证协作ID关联起来写入暂时存储部305。
在步骤ST49中,SP认证协作部307将包含所写入的认证令牌和在暂时存储部305内经认证协作ID与该认证令牌关联起来的用户ID的服务执行请求发到服务数据通信部310。服务数据通信部310根据所发出的服务执行请求,将该服务执行请求内的认证令牌和服务数据库303内的服务数据303a发送到用户终端100。
如上所述,根据本实施方式,对于来自用户的向服务提供商装置300的服务请求,配备于ID提供商装置200内的认证协作处理部208截获来自服务提供商装置300的认证协作请求,根据事先所定义的认证协作策略203a对能否发送服务数据303a进行判定。然后,在判定结果为允许时,使用在ID提供商装置200内被管理的该用户属性信息201a针对在服务提供商装置300内被管理的SP用户存储库302制作该用户的账户。然后,ID提供商装置200和各个服务提供商装置300进行现有的认证协作处理,并从服务提供商装置300对该用户提供所希望的服务。
因此,即使在服务提供商装置300侧没有登录该用户的账户的状态下,在该用户的服务请求即SSO的实施时刻,根据在ID提供商装置200侧事先所定义的认证协作策略203a,自动判定能否发送服务数据303a,由此能够不经人力且不需要时间地对该用户提供无缝的服务利用。
另外,在互联网等分散环境下提供的服务利用中,根据事先所定义的服务利用的策略和服务的利用状况,能够使从服务的利用申请到单点登录为止的一连串处理自动化,能够实现开始用户顺利服务利用。
<第2实施方式>
接着,一边参照所述的附图一边对第2实施方式进行说明。
第2实施方式为执行第1实施方式的步骤ST23的情况的具体例子。这里,以发送了服务请求的用户终端100的用户已经利用了其他的各种的服务提供商的情况下,新利用其他的服务提供商的情况为例来进行描述。
这种情况下,在第1实施方式的步骤ST23中,将用户利用中的各服务提供商的使用费用作认证协作策略评价的指标,通过对认证协作策略203a事先定义使用费的上限值(例,图4C的[4]),能够拒绝其他的服务提供商的新利用。
伴随这些,如图23所示,服务提供商装置300的利用状况库304在用户利用管理表304a中将用户ID与针对服务利用中的状态而累积的使用费关联起来进行存储。
另外,利用状况提供部308具有以下功能:从ID提供商装置200收到包含用户ID的使用费发送请求时,根据该使用费发送请求内的用户ID对利用状况库304进行检索,并将包含通过该检索而得到的使用费以及该用户ID的使用费响应发送到该ID提供商装置200。
另一方面,在ID提供商装置200中,认证协作策略库203内的各认证协作策略203a中的任一认证协作策略203a与服务提供商ID关联起来表示:允许用该服务提供商ID来识别的服务提供商装置300发送服务数据303a的用户的所属以及职务、该用户的使用费的上限值(例,图4的C的[4])。
另外,认证协作策略评价部209还具有如下功能:根据从认证协作处理部208所发出的策略评价请求内的用户ID和服务提供商ID,针对用该服务提供商ID来识别的服务提供商装置300发送包含该用户ID的使用费发送请求,并从该服务提供商装置300接收包含该用户ID以及使用费的使用费响应。另外,如图24所示,也可以将接收到的使用费与用户ID和服务提供商ID关联起来写入服务状况库202内的用户利用管理表202a,但是也可以不写入。
另外,认证协作策略评价部209的所述发送允许判定功能为以下功能:在从认证协作策略库203读出的认证协作策略203a包含有用户的所属以及职务和使用费的上限值时,根据从IdP用户存储库201读出的用户属性信息201a内的所属以及职务是否适合于读出的策略信息所示的所属以及职务,根据从服务提供商装置300接收到的使用费响应内的使用费是否适合于该读出的策略信息所示的使用费的上限值,来判定是否允许发送服务数据303a。
这里,在本说明书中,不限于如上所述的读出的策略信息所示的所属以及职务,也可以根据读出的用户属性信息、用户想利用的服务种类、对用户想进行的服务的操作、当执行服务时用户的环境条件是否适合于读出的策略信息,根据接收到的使用费响应内的使用费是否适合于该读出的策略信息所示的使用费的上限值,来对是否允许发送服务数据303a进行判定。
接着,主要参照所述的图17来对如上所述构成的认证协作系统的动作进行说明。
现在,如上所述地执行步骤ST10的用户认证(ST11~ST18)。
接着,在步骤ST20的认证协作策略评价中,如上所述地执行步骤ST21(策略评价请求)以及ST22(检索服务利用状况)。
在步骤ST23中,认证协作策略评价部209根据从认证协作处理部208发出的策略评价请求内的用户ID和服务提供商ID,对用该服务提供商ID来识别的服务提供商装置300,发送包含该用户ID的使用费发送请求。
服务提供商装置300的利用状况提供部308根据该使用费发送请求内的用户ID来检索利用状况库304,并将包含通过该检索而得到的使用费以及该用户ID的使用费响应发送到该ID提供商装置200。
ID提供商装置200的认证协作策略评价部209接收该使用费响应。
接着,与上述一样地执行步骤ST24(检索用户属性信息201a)以及步骤ST25(检索认证协作策略203a)。其中,设认证协作策略203a包含使用费的上限值。
在步骤ST26中,当从认证协作策略库203读出的认证协作策略203a包含有用户的所属以及职务和使用费的上限值时,认证协作策略评价部209根据从IdP用户存储库201读出的用户属性信息201a内的所属以及职务是否适合于读出的策略信息所示的所属以及职务,根据从服务提供商装置300接收到的使用费响应内的使用费是否适合于该读出的策略信息所示的使用费的上限值,来判定是否允许发送服务数据303a。
如上所述地执行以后的步骤ST27(策略评价响应)、步骤ST30的账户协作(ST31~ST37)以及步骤ST40的认证协作(ST41~ST49)的处理。
如上所述,根据本实施方式,除第1实施方式的效果之外,能够根据用户的使用费来判定能否发送服务数据。
因此,导入认证协作策略203a,还能不以用户为单位而以ID提供商为单位处理在ID提供商装置200和服务提供商300侧进行管理的动态变化的服务利用状况,由此能够控制严格的认证协作处理以及服务利用。
补充来说,在第1实施方式中能够进行顺利的服务利用从而提高便利性,与之相对,对企业等营利组织来说无谓的服务利用不是优选的。因此,根据用户和组织级别的服务利用状况,优选具有动态且灵活地控制利用管理的结构。本实施方式以及第3实施方式能够实现具有这样的结构的认证协作系统。
<第3实施方式>
接着,一边参照所述的附图一边对第3实施方式进行说明。
第3实施方式为执行第1实施方式的步骤ST23的情况的其他具体例。这里,在服务提供商装置300中,以在利用服务的用户数为上限值的状况下新收到服务请求的情况为例进行描述。
即,将服务提供商的利用数用作认证协作策略评价的指标,对认证协作策略203a事先定义超过了利用数上限值时的追加条件(图4B的[4])。在事先定义的追加条件中,如果存在在ID提供商装置200内进行管理的闲置状态的用户,则删除在服务提供商装置300内管理的闲置状态的用户的账户或使其无效化,定义新用户账户登录的责任条件(图4B的[4]的[责任条件])。像这样,当利用数超过上限时,通过具有使闲置用户的账户无效化且将空白框分配给申请用户账户的宗旨的责任条件的认证协作策略203a,即使利用数超过了上限,也能开始与ID提供商内的利用状况相符地、与所需对应的快速的服务利用。
即,认证协作策略库203内的各认证协作策略203a中的任一认证协作策略203a与服务提供商ID对应起来表示:允许用该服务提供商ID来识别的服务提供商装置300发送服务数据303a的用户的所属以及职务、在该用户的人数超过了上限值的情况下在该用户中存在从最终利用日到当前为止的期间为预定期间以上的用户、使该存在的用户的用户属性部分信息302a无效化(例如图4的B的[4])。另外,这里说的“用户人数”是指与服务利用状况库202内的“当前利用数”相等的值。
与之相伴,服务提供商装置300的利用状况库304如图25所示,在用户利用管理表304a中,除了所述的存储内容之外,还存储包含用户ID和表示发送了服务数据303a的最终日期的最终利用日的最终利用日信息。
另外,利用状况提供部308具有如下功能:从ID提供商装置200收到最终利用日发送请求时,将利用状况库304内的最终利用日信息发送到该ID提供商装置200。
另一方面,ID提供商装置200的认证协作策略评价部209除了所述的功能外,具有以下功能:根据从认证协作处理部208发出的策略评价请求内的服务提供商ID,从服务利用状况库202读出利用数以及上限值;根据该发出的策略评价请求内的服务提供商ID,对用该服务提供商ID来识别的服务提供商装置300发送最终利用日发送请求,并从该服务提供商装置300接收最终利用日信息。另外,如图26所示,接收到的最终利用日信息也可以与用户ID以及服务提供商ID关联起来写入服务状况库202内的用户利用管理表202a,但是也可以不写入。
另外,认证协作策略评价部209的所述发送允许判定功能为以下功能:在从认证协作策略库203读出的认证协作策略203a中包含用户所属以及职务超过了利用数的上限值时存在预定期间以上的用户、使该存在的用户的用户属性部分信息302a无效化两种情况时,根据从IdP用户存储库201读出的用户属性信息201a内的所属以及职务是否适合于该读出的认证协作策略203a所示的所属以及职务,根据在从服务利用状况库202读出的利用数超过了从该服务利用状况库202读出的上限值时,将最终利用日发送请求发送到服务提供商装置200而从该服务提供商装置200收到的最终利用日信息内的最终利用日是否适合于读出的认证协作策略203a内的预定期间以上,来对是否允许发送服务数据303a进行判定。
接着,主要参所述的照图17对如上所述构成的认证协作系统的动作进行说明。
现在,如上所述地执行步骤ST10的用户认证(ST11~ST18)。
接着,在步骤ST20的认证协作策略评价中,与上述一样地执行步骤ST21(策略评价请求)以及步骤ST22(检索服务利用状况)。在该步骤ST22中,根据策略评价请求内的服务提供商ID,从服务利用状况库202读出利用数以及上限值。
在步骤ST23中,认证协作策略评价部209根据从认证协作处理部208发出的策略评价请求内的用户ID和服务提供商ID,对用该服务提供商ID来识别的服务提供商装置300发送最终利用日发送请求。
服务提供商装置300的利用状况提供部308收到该最终利用日发送请求时,将利用状况库304内的最终利用日信息发送到ID提供商装置200。
ID提供商装置200的认证协作策略评价部209接收该最终利用日信息。
接着,与上述一样地执行步骤ST24(检索用户属性信息201a)以及步骤ST25(检索认证协作策略203a)。其中,设认证协作策略203a与服务提供商ID关联起来表示:允许用该服务提供商ID来识别的服务提供商装置300发送服务数据303a的用户所属以及职务;在该用户的人数超过了上限值的情况下,在该用户中存在从最终利用日到当前为止的期间为预定期间以上的用户;使该存在的用户的用户属性部分信息302a无效化(例,图4的B的[4])。
在步骤ST26中,认证协作策略评价部209根据图4的203aB所示的认证协作策略,来决定可否协作。在从认证协作策略库203读出的认证协作策略203a包含在用户所属以及职务和超过了利用数的上限值的情况下存在预定期间以上的用户、使该存在的用户的用户属性部分信息302a无效化这两种情况时,根据从IdP用户存储库201读出的用户属性信息201a内的所属以及职务是否适合于该读出的认证协作策略203a所示的所属以及职务,根据在从服务利用状况库202读出的利用数超过了从该服务利用状况库202读出的上限值时,将最终利用日发送请求发送到服务提供商装置200而从该服务提供商装置200收到的最终利用日信息内的最终利用日是否适合于读出的认证协作策略203a内的预定期间以上,来对是否允许发送服务数据303a进行判定。
在步骤ST27(策略评价响应)中,在认证协作策略评价部209做出允许的基础上,将来自图4的认证协作策略203a中的B[4]的“使半年以上未使用服务的用户的SP账户无效化”的带责任条件的评价结果返回给认证协作处理部208。此时,还对无效化对象用户的用户ID赋予该评价结果。
如上所述地执行以后的步骤ST30的账户协作(ST31~ST37)以及步骤ST40的认证协作(ST41~ST49)的处理。另外,在本实施方式中,由于包含条件作为认证协作策略的评价结果,所以在步骤ST33(检索用户属性信息)和步骤ST34(发送SP账户协作请求消息)中加入如下处理。
首先,在步骤ST33中,除了该用户的属性信息之外,IdP账户开通部210还检索对使无效化对象用户的账户无效化而需要的属性信息。另外,在步骤ST34中,除了该用户的用户属性部分信息和账户登录指示之外,IdP账户开通部210还附加进一步使无效化对象用户的账户无效化的账户更新指示,来制作账户协作请求消息。
如上所述,根据本实施方式,除第1实施方式的效果外还能够实现:在利用数超过上限的情况下,通过将使闲置用户的账户无效化并将空白框分配给申请用户的账户的宗旨的责任条件追加到认证协作策略203a的结构,即使在利用数超过了上限的情况下,也能与ID提供商内的利用状况相符地快速开始服务利用。
根据以上所说明的至少一个实施方式,通过具有认证协作策略库203和认证协作策略评价部209的结构,当在SSO过程中执行账户登录以及协作时不经人力就能决定可否利用服务,其中,该认证协作策略库203针对每个服务提供商ID存储表示允许发送服务数据303a的用户的所述以及职务的多个认证协作策略203a,该认证协作策略评价部209根据读出的用户属性信息201a内的所属以及职务是否适合于读出的认证协作策略203a所示的所属以及职务,来判定是否允许发送服务数据303a。
补充来说,在现有的数据处理系统中,在确认没有保持用于登录服务提供商账户的充足信息、对ID提供商请求不足的用户属性的方面花费时间精力,在这样的确认和请求中要经人力。
而在至少一个实施方式中,通过上述的预先存储认证协作策略203a的结构,不会如现有那样在确认和请求中经人力。
另外,关于记载于所述的各实施方式中的方法,作为能够使计算机执行的程序,可以存储到磁盘(软(注册商标)磁盘、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等存储介质并发布。
另外,作为该存储介质,只要是能够存储程序,且计算机能够读取的存储介质,则该存储形式可以是任何形态。
另外,也可以根据从存储介质安装到计算机的程序的指示,而由在计算机上运行的OS(操作系统)、数据库管理软件、以及网络软件等MW(中间件)等来执行用于实现所述实施方式的各处理的一部分。
并且,各实施方式中的存储介质不限于与计算机独立的介质,也包括下载通过LAN或互联网等传送的程序并进行了存储或临时存储的存储介质。
另外,存储介质不限于1个,在从多个介质来执行所述的各实施方式中的处理的情况也包含于本发明中的存储介质,介质结构可以为任何结构。
另外,各实施方式中的计算机根据存储于存储介质的程序,执行所述各实施方式中的各处理,其可以是由个人计算机等之一构成的装置、网络连接多个装置的系统等任何结构。
另外,所谓各实施方式中的计算机不限于个人计算机,也包括包含于信息处理设备的运算处理装置、微型计算机等,是能够通过程序而实现本发明的功能的机器、装置的总称。
另外,对本发明的一些实施方式进行了说明,但是这些实施方式是作为示例而示出的,其目的不在于限定发明范围。这些新实施方式能够以其它各种各样的形态被实施,在不脱离发明宗旨的范围内,可以进行各种省略、置换、变更。这些实施方式及其变形包含于发明的范围和宗旨,并且包含于专利权利要求书所记载的发明及与其等同的范围。
Claims (4)
1.一种认证协作系统,特征在于,具有:ID提供商装置,其具有第1存储器并能够对用户操作的用户终端执行登录处理;多个服务提供商装置,其具有第2存储器并能够在所述登录处理成功了的情况下将服务数据发送到所述用户终端,
所述ID提供商装置具有:
用户属性信息存储单元,其存储多个将用于确定所述用户的用户属性的项目名与所述用户属性的项目值关联起来的用户属性信息,所述用户属性信息在所述项目名中至少包含用于识别所述用户的用户ID;
服务利用状况存储单元,其将所述用户ID、用于识别各服务提供商装置的各个服务提供商ID、以及表示服务利用中或服务未利用两者中的某一个的服务利用状况关联起来进行存储,该服务利用中表示允许发送所述服务数据的情况,该服务未利用表示没有允许发送所述服务数据的情况;
策略存储单元,其针对每个所述服务提供商ID存储多个策略信息,该策略信息表示允许用该服务提供商ID来识别的服务提供商装置发送服务数据的对象用户;
部分项目名存储单元,其将所述服务提供商ID、与所述用户属性信息内的用户属性的项目名中的部分项目名关联起来进行存储;
密钥存储单元,其对本装置的签名生成密钥进行存储;
当接收从某一所述服务提供商装置发送的认证协作请求时,发出用户认证请求的单元,其中,所述认证协作请求包含该服务提供商装置的服务提供商ID和所述用户终端的地址信息,所述用户认证请求包含该认证协作请求内的用户终端的地址信息;
根据所述发出的用户认证请求内的用户终端的地址信息将登录请求发送到该用户终端,并根据所述用户属性信息存储单元内的用户ID以及参照信息来执行对从该用户终端所接受的用户ID以及用户认证信息进行认证的登录处理的单元;
当所述登录处理成功时发出策略评价请求的单元,该策略评价请求包含用于该登录处理的用户ID和所述认证协作请求内的服务提供商ID;
根据所述发出的策略评价请求内的用户ID,从所述用户属性信息存储单元读出用户属性信息的单元;
根据所述发出的策略评价请求内的服务提供商ID,从所述策略存储单元读出策略信息的单元;
发送允许判定单元,其针对读出的所述策略信息,根据是否适合于读出的所述用户属性信息、用户想利用的服务种类、对用户想进行的服务的操作、当执行服务时用户的环境条件,来判定是否允许发送所述服务数据;
将包含该判定结果的策略评价响应发到所述策略评价请求的发送源的单元;
当所述策略评价响应内的判定结果表示允许时发出账户协作请求的单元,该账户协作请求包含所述策略评价请求内的用户ID和服务提供商ID;
根据所述发出的账户协作请求内的服务提供商ID,从所述部分项目名存储单元读出用户属性的部分项目名的单元;
根据该读出的部分项目名和所述账户协作请求内的用户ID,获得在所述用户属性信息存储单元内包含与该用户ID一致的用户ID的用户属性信息中的用户属性部分信息的单元,其中,该用户属性部分信息由与该部分项目名一致的项目名以及与该项目名关联起来的项目值构成;
将账户登录指示附加到所述获得的用户属性部分信息中来制作账户协作请求消息的单元;
将所述账户协作请求消息发送到所述认证协作请求的发送源服务提供商装置的单元;
当从所述账户协作请求消息的发送目的地服务提供商装置通知包含该服务提供商装置的服务提供商ID和所述用户属性部分信息内的用户ID的登录完成时,发出表示该登录完成的账户协作响应的单元;
根据在所述发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID,将所述服务利用状况存储单元内的服务利用状况从服务未利用更新为服务利用中的单元;
发出认证协作执行请求的单元,该认证协作执行请求包含在所述发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID;
在接受所述认证协作执行请求时,发行在用该认证协作执行请求内的服务提供商ID来识别的服务提供商装置与本装置之间共享的认证协作ID,并将该认证协作ID与该认证协作执行请求内的用户ID关联起来写入所述第1存储器的单元;
针对包含所述发行了的认证协作ID和所述登录处理的认证方式名的声明正文,生成基于所述签名生成密钥的数字签名,并制作包含该声明正文和该数字签名的认证声明的单元;以及
将包含所述制作出的认证声明的认证协作响应,发送到所述认证协作请求的发送源服务提供商装置的单元,
所述各服务提供商装置具有:
用户属性部分信息存储单元,其将用户属性部分信息与在本装置内用于识别用户的服务提供商侧用户ID关联起来进行存储,其中,所述用户属性部分信息是将所述用户属性信息存储单元内的用户属性信息内的用户属性的项目名以及项目值中的部分项目名与项目值关联起来的信息;
存储认证声明验证策略的验证策略存储单元,该认证声明验证策略包含在所述登录处理成功时允许发送服务数据的登录处理的认证方式名、以及与所述签名生成密钥对应的签名验证密钥;
存储所述服务数据的服务数据存储单元;
在从所述用户终端接受服务请求时,对该服务请求是否包含认证令牌进行判定,在包含所述认证令牌时将该认证令牌和所述服务数据存储单元内的服务数据发送到该用户终端,在不包含所述认证令牌时将包含本装置的服务提供商ID和该用户终端的地址信息的认证协作请求发送到所述ID提供商装置的单元;
在接收所述账户协作请求消息时,发行新的所述服务提供商侧用户ID,并将该发行的服务提供商侧用户ID与该账户协作请求消息内的用户属性部分信息关联起来登录到所述用户属性部分信息存储单元的单元;
在该登录后,将包含所登录的用户属性部分信息内的用户ID和本装置的服务提供商ID的登录完成,通知给所述账户协作请求消息的发送源ID提供商装置的单元;
在从所述ID提供商装置接受认证协作响应时,从该认证协作响应内的认证声明提取认证协作ID,并将该提取出的认证协作ID与所述登录的用户属性部分信息内的用户ID关联起来写入所述第2存储器的单元;
验证单元,其根据所述认证声明验证策略内的认证方式名和签名验证密钥,分别对所述认证声明内的认证方式名和数字签名进行验证;
当所述验证的结果均合法时,发行认证令牌,并将该认证令牌与所述认证协作ID关联起来写入所述第2存储器的单元;
发出服务执行请求的单元,该服务执行请求包含写入的所述认证令牌、和经所述认证协作ID在所述第2存储器内与该认证令牌关联起来的用户ID;以及
根据所述发出的服务执行请求,将该服务执行请求内的认证令牌和所述服务数据存储单元内的服务数据发送到所述用户终端的单元。
2.根据权利要求1所述的认证协作系统,其特征在于,
所述各服务提供商装置还具有:
使用费存储单元,其将所述用户ID、与针对所述服务利用中状态而累积的使用费关联起来进行存储;以及
从所述ID提供商装置接受包含用户ID的使用费发送请求时,根据该使用费发送请求内的用户ID对所述使用费存储单元进行检索,并将包含通过该检索而得到使用费以及该用户ID的使用费响应发送到该ID提供商装置的单元,
各策略信息中的任一策略信息与所述服务提供商ID关联起来表示:允许用该服务提供商ID来识别的服务提供商装置发送服务数据的对象用户的环境条件、以及该用户的使用费的上限值,
所述ID提供商装置还具有:
根据所述发出的策略评价请求内的用户ID和服务提供商ID,针对用该服务提供商ID来识别的服务提供商装置,发送包含该用户ID的使用费发送请求,并从该服务提供商装置接收包含该用户ID以及使用费的使用费响应的单元,
所述发送允许判定单元,根据读出的所述策略信息是否适合于读出的所述用户属性信息、用户想利用的服务种类、对用户想进行的服务的操作、在执行服务时的用户环境条件,根据所述接收到的使用费响应内的使用费是否适合于该读出的策略信息所示的使用费的上限值,来对是否允许发送所述服务数据进行判定。
3.根据权利要求1所述的认证协作系统,其特征在于,
各策略信息中的任一策略信息与所述服务提供商ID关联起来表示:允许用该服务提供商ID来识别的服务提供商装置发送服务数据的对象用户的环境条件、在该用户的人数超过了上限值时在该用户中存在从最终利用日到当前为止的期间为预定期间以上的用户、以及使该存在的用户的用户属性部分信息无效化,
所述各服务提供商装置还具有:
存储最终利用日信息的最终利用日存储单元,该最终利用日信息包含所述用户ID和表示发送了所述服务数据的最终日期的最终利用日;以及
从所述ID提供商装置接受最终利用日发送请求时,将所述最终利用日存储单元内的最终利用日信息发送到该ID提供商装置的单元,
所述ID提供商装置还具有:
服务利用数存储单元,其将所述服务提供商ID、表示与该服务提供商ID关联起来的所述服务利用状况所示的所述服务利用中的个数且等于所述用户的人数的利用数、以及所述利用数的上限值关联起来进行存储;
根据所述发出的策略评价请求内的服务提供商ID,从所述服务利用数存储单元读出利用数以及上限值的单元;以及
根据所述发出的策略评价请求内的服务提供商ID,针对用该服务提供商ID来识别的服务提供商装置发送所述最终利用日发送请求,并从该服务提供商装置接收所述最终利用日信息的单元,
所述发送允许判定单元具有:
当读出的所述策略信息中包含在超过了用户的利用数的上限值时存在为所述预定期间以上的用户、以及使该存在的用户的用户属性部分信息无效化时,根据读出的所述策略信息是否适合于读出的所述用户属性信息、用户想利用的服务种类、对用户想进行的服务的操作、在执行服务时的用户环境条件,根据在从所述服务利用数存储单元读出的利用数超过了从该服务利用数存储单元读出的上限值时、将所述最终利用日发送请求发送到服务提供商装置并从该服务提供商装置接受到的最终利用日信息内的最终利用日是否适合于读出的所述策略信息内预定期间以上,来对是否允许发送所述服务数据进行判定的单元;以及
在该判定结果表示允许时,将包含用于该判定的预定期间以上的用户的用户ID的无效化请求发送到所述服务提供商装置的单元。
4.一种ID提供商装置,特征在于,
该ID提供商装置具有第1存储器并能够对用户操作的用户终端执行登录处理,该ID提供商装置能够与多个服务提供商装置通信,该服务提供商装置具有第2存储器并能够在所述登录处理成功了的情况下将服务数据发送到所述用户终端,
所述ID提供商装置具有:
用户属性信息存储单元,其存储多个将用于确定所述用户的用户属性的项目名与所述用户属性的项目值关联起来的用户属性信息,所述用户属性信息在所述项目名中至少包含用于识别所述用户的用户ID;
服务利用状况存储单元,其将所述用户ID、用于识别各服务提供商装置的各个服务提供商ID、以及表示服务利用中或服务未利用两者中的某一个的服务利用状况关联起来进行存储,该服务利用中表示允许发送所述服务数据的情况,该服务未利用表示没有允许发送所述服务数据的情况;
策略存储单元,其针对每个所述服务提供商ID存储多个策略信息,该策略信息表示允许用该服务提供商ID来识别的服务提供商装置发送服务数据的对象用户的环境条件;
部分项目名存储单元,其将所述服务提供商ID、与所述用户属性信息内的用户属性的项目名中的部分项目名关联起来进行存储;
密钥存储单元,其对本装置的签名生成密钥进行存储;
当接收从某一所述服务提供商装置发送的认证协作请求时,发出用户认证请求的单元,其中,所述认证协作请求包含该服务提供商装置的服务提供商ID和所述用户终端的地址信息,所述用户认证请求包含该认证协作请求内的用户终端的地址信息;
根据所述发出的用户认证请求内的用户终端的地址信息将登录请求发送到该用户终端,并根据所述用户属性信息存储单元内的用户ID以及参照信息来执行对从该用户终端所接受的用户ID以及用户认证信息进行认证的登录处理的单元;
当所述登录处理成功时发出策略评价请求的单元,该策略评价请求包含用于该登录处理的用户ID和所述认证协作请求内的服务提供商ID;
根据所述发出的策略评价请求内的用户ID,从所述用户属性信息存储单元读出用户属性信息的单元;
根据所述发出的策略评价请求内的服务提供商ID,从所述策略存储单元读出策略信息的单元;
发送允许判定单元,其针对读出的所述策略信息,根据是否适合于读出的所述用户属性信息、用户想利用的服务种类、对用户想进行的服务的操作、当执行服务时用户的环境条件,来判定是否允许发送所述服务数据;
将包含该判定结果的策略评价响应发到所述策略评价请求的发送源的单元;
当所述策略评价响应内的判定结果表示允许时发出账户协作请求的单元,该账户协作请求包含所述策略评价请求内的用户ID和服务提供商ID;
根据所述发出的账户协作请求内的服务提供商ID,从所述部分项目名存储单元读出用户属性的部分项目名的单元;
根据该读出的部分项目名和所述账户协作请求内的用户ID,获得在所述用户属性信息存储单元内包含与该用户ID一致的用户ID的用户属性信息中的用户属性部分信息的单元,其中,该用户属性部分信息由与该部分项目名一致的项目名以及与该项目名关联起来的项目值构成;
将账户登录指示附加到所述获得的用户属性部分信息中来制作账户协作请求消息的单元;
将所述账户协作请求消息发送到所述认证协作请求的发送源服务提供商装置的单元;
当从所述账户协作请求消息的发送目的地服务提供商装置通知包含该服务提供商装置的服务提供商ID和所述用户属性部分信息内的用户ID的登录完成时,发出表示该登录完成的账户协作响应的单元;
根据在所述发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID,将所述服务利用状况存储单元内的服务利用状况从服务未利用更新为服务利用中的单元;
发出认证协作执行请求的单元,该认证协作执行请求包含在所述发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID;
在接受所述认证协作执行请求时,发行在用该认证协作执行请求内的服务提供商ID来识别的服务提供商装置与本装置之间共享的认证协作ID,并将该认证协作ID与该认证协作执行请求内的用户ID关联起来写入所述第1存储器的单元;
针对包含所述发行了的认证协作ID和所述登录处理的认证方式名的声明正文,生成基于所述签名生成密钥的数字签名,并制作包含该声明正文和该数字签名的认证声明的单元;以及
将包含所述制作出的认证声明的认证协作响应,发送到所述认证协作请求的发送源服务提供商装置的单元,
所述各服务提供商装置进行以下处理:
在从所述用户终端接受服务请求时,对该服务请求是否包含认证令牌进行判定,在包含所述认证令牌时将该认证令牌和服务数据存储单元内的服务数据发送到该用户终端,在不包含所述认证令牌时将包含本装置的服务提供商ID和该用户终端的地址信息的认证协作请求发送到所述ID提供商装置,
在接收所述账户协作请求消息时,发行新的服务提供商侧用户ID,并将该发行的服务提供商侧用户ID与该账户协作请求消息内的用户属性部分信息关联起来登录,
在该登录后,将包含所登录的用户属性部分信息内的用户ID和本装置的服务提供商ID的登录完成,通知给所述账户协作请求消息的发送源ID提供商装置,
在从所述ID提供商装置接受认证协作响应时,从该认证协作响应内的认证声明提取认证协作ID,并将该提取出的认证协作ID与所述登录的用户属性部分信息内的用户ID关联起来写入所述第2存储器时,根据预先存储的认证声明验证策略内的认证方式名和签名验证密钥,分别对所述认证声明内的认证方式名和数字签名进行验证,
当所述验证的结果均合法时,发行认证令牌,并将该认证令牌与所述认证协作ID关联起来写入所述第2存储器时,发出包含写入的所述认证令牌、和经所述认证协作ID在所述第2存储器内与该认证令牌关联起来的用户ID的服务执行请求,根据所述发出的服务执行请求,将该服务执行请求内的认证令牌和预先存储的服务数据发送到所述用户终端。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010-250903 | 2010-11-09 | ||
| JP2010250903A JP4892093B1 (ja) | 2010-11-09 | 2010-11-09 | 認証連携システム及びidプロバイダ装置 |
| PCT/JP2011/075611 WO2012063783A1 (ja) | 2010-11-09 | 2011-11-07 | 認証連携システム及びidプロバイダ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103109298A CN103109298A (zh) | 2013-05-15 |
| CN103109298B true CN103109298B (zh) | 2015-12-09 |
Family
ID=45907904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180044620.XA Active CN103109298B (zh) | 2010-11-09 | 2011-11-07 | 认证协作系统以及id提供商装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9059982B2 (zh) |
| EP (1) | EP2639727B1 (zh) |
| JP (1) | JP4892093B1 (zh) |
| CN (1) | CN103109298B (zh) |
| SG (1) | SG190128A1 (zh) |
| WO (1) | WO2012063783A1 (zh) |
Families Citing this family (74)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5197843B1 (ja) | 2011-12-27 | 2013-05-15 | 株式会社東芝 | 認証連携システムおよびidプロバイダ装置 |
| JP5383838B2 (ja) * | 2012-02-17 | 2014-01-08 | 株式会社東芝 | 認証連携システム、idプロバイダ装置およびプログラム |
| US8955041B2 (en) | 2012-02-17 | 2015-02-10 | Kabushiki Kaisha Toshiba | Authentication collaboration system, ID provider device, and program |
| US10176335B2 (en) | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
| JP6066586B2 (ja) * | 2012-05-22 | 2017-01-25 | キヤノン株式会社 | 情報処理システム、その制御方法、およびそのプログラム。 |
| US9779260B1 (en) | 2012-06-11 | 2017-10-03 | Dell Software Inc. | Aggregation and classification of secure data |
| US9838370B2 (en) * | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
| JP5422753B1 (ja) * | 2012-09-26 | 2014-02-19 | 株式会社東芝 | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 |
| CN104718551B (zh) | 2012-09-26 | 2017-08-25 | 株式会社东芝 | 策略更新系统以及策略更新装置 |
| US9251321B2 (en) * | 2012-10-22 | 2016-02-02 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and nodes for handling usage policy |
| GB2508173A (en) * | 2012-11-22 | 2014-05-28 | Barclays Bank Plc | Identity verification systems and methods |
| JP6064636B2 (ja) * | 2013-02-06 | 2017-01-25 | 株式会社リコー | 情報処理システム、情報処理装置、認証方法及びプログラム |
| US9325632B2 (en) * | 2013-03-15 | 2016-04-26 | International Business Machines Corporation | Multi-tenancy support for enterprise social business computing |
| JP6106484B2 (ja) * | 2013-03-25 | 2017-03-29 | 株式会社野村総合研究所 | サービス利用支援システム及びクライアント端末 |
| US10193878B2 (en) | 2013-10-31 | 2019-01-29 | Hewlett Packard Enterprise Development Lp | Using application level authentication for network login |
| US9420007B1 (en) * | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
| US20160021143A1 (en) * | 2014-07-21 | 2016-01-21 | David Browning | Device federation |
| WO2016014120A1 (en) * | 2014-07-24 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Device authentication agent |
| US9461983B2 (en) * | 2014-08-12 | 2016-10-04 | Danal Inc. | Multi-dimensional framework for defining criteria that indicate when authentication should be revoked |
| US9998446B2 (en) * | 2014-08-29 | 2018-06-12 | Box, Inc. | Accessing a cloud-based service platform using enterprise application authentication |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US9148408B1 (en) * | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| WO2016088964A1 (ko) * | 2014-12-02 | 2016-06-09 | 엘지전자(주) | 무선 통신 시스템에서 블루투스 통신을 이용하여 객체 전송 서비스를 수행하기 위한 방법 및 장치 |
| US10218700B2 (en) * | 2015-02-23 | 2019-02-26 | Ca, Inc. | Authorizations for computing devices to access a protected resource |
| US10326748B1 (en) | 2015-02-25 | 2019-06-18 | Quest Software Inc. | Systems and methods for event-based authentication |
| US10630686B2 (en) | 2015-03-12 | 2020-04-21 | Fornetix Llc | Systems and methods for organizing devices in a policy hierarchy |
| US10560440B2 (en) | 2015-03-12 | 2020-02-11 | Fornetix Llc | Server-client PKI for applied key management system and process |
| US10965459B2 (en) | 2015-03-13 | 2021-03-30 | Fornetix Llc | Server-client key escrow for applied key management system and process |
| US10417613B1 (en) | 2015-03-17 | 2019-09-17 | Quest Software Inc. | Systems and methods of patternizing logged user-initiated events for scheduling functions |
| US9990506B1 (en) | 2015-03-30 | 2018-06-05 | Quest Software Inc. | Systems and methods of securing network-accessible peripheral devices |
| US9842220B1 (en) | 2015-04-10 | 2017-12-12 | Dell Software Inc. | Systems and methods of secure self-service access to content |
| US9842218B1 (en) * | 2015-04-10 | 2017-12-12 | Dell Software Inc. | Systems and methods of secure self-service access to content |
| JP6250595B2 (ja) * | 2015-07-01 | 2017-12-20 | e−Janネットワークス株式会社 | 通信システム及びプログラム |
| US10536352B1 (en) | 2015-08-05 | 2020-01-14 | Quest Software Inc. | Systems and methods for tuning cross-platform data collection |
| US10218588B1 (en) | 2015-10-05 | 2019-02-26 | Quest Software Inc. | Systems and methods for multi-stream performance patternization and optimization of virtual meetings |
| US10157358B1 (en) | 2015-10-05 | 2018-12-18 | Quest Software Inc. | Systems and methods for multi-stream performance patternization and interval-based prediction |
| US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
| US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
| US10749854B2 (en) | 2015-11-12 | 2020-08-18 | Microsoft Technology Licensing, Llc | Single sign-on identity management between local and remote systems |
| CN105391734B (zh) * | 2015-12-10 | 2019-01-11 | 布比(北京)网络技术有限公司 | 一种安全登录系统及方法、登录服务器和认证服务器 |
| US10721232B2 (en) * | 2016-01-29 | 2020-07-21 | Docusign, Inc. | Cloud-based coordination of remote service appliances |
| US11102188B2 (en) * | 2016-02-01 | 2021-08-24 | Red Hat, Inc. | Multi-tenant enterprise application management |
| US9628444B1 (en) | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US10860086B2 (en) * | 2016-02-26 | 2020-12-08 | Fornetix Llc | Policy-enabled encryption keys having complex logical operations |
| US10931653B2 (en) | 2016-02-26 | 2021-02-23 | Fornetix Llc | System and method for hierarchy manipulation in an encryption key management system |
| US10917239B2 (en) | 2016-02-26 | 2021-02-09 | Fornetix Llc | Policy-enabled encryption keys having ephemeral policies |
| US11063980B2 (en) | 2016-02-26 | 2021-07-13 | Fornetix Llc | System and method for associating encryption key management policy with device activity |
| US10142391B1 (en) | 2016-03-25 | 2018-11-27 | Quest Software Inc. | Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization |
| US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| BR112018077471A2 (pt) * | 2016-08-30 | 2019-04-02 | Visa International Service Association | método implementado por computador, e, computador servidor. |
| US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
| US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
| CN109565511B (zh) * | 2016-09-16 | 2021-06-29 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| US10397199B2 (en) * | 2016-12-09 | 2019-08-27 | Microsoft Technology Licensing, Llc | Integrated consent system |
| WO2019040044A1 (en) * | 2017-08-21 | 2019-02-28 | Google Llc | PRESERVING SESSION IDENTIFIERS IN MULTIPLE WEB PAGES FOR CONTENT SELECTION |
| US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
| GB201716170D0 (en) * | 2017-10-04 | 2017-11-15 | Palantir Technologies Inc | Controlling user creation of data resources on a data processing platform |
| US10079832B1 (en) * | 2017-10-18 | 2018-09-18 | Palantir Technologies Inc. | Controlling user creation of data resources on a data processing platform |
| US10812495B2 (en) * | 2017-10-06 | 2020-10-20 | Uvic Industry Partnerships Inc. | Secure personalized trust-based messages classification system and method |
| US10642967B2 (en) * | 2017-11-28 | 2020-05-05 | American Express Travel Related Services Company, Inc. | Single sign-on solution using blockchain |
| US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
| CN109274681B (zh) * | 2018-10-25 | 2021-11-16 | 深圳壹账通智能科技有限公司 | 一种信息同步方法、装置、存储介质和服务器 |
| US10324763B1 (en) | 2018-12-11 | 2019-06-18 | Palantir Technologies Inc. | Systems and methods for terminating instances and autoscaling instance groups of computing platforms |
| EP3694173B1 (en) | 2019-02-08 | 2022-09-21 | Palantir Technologies Inc. | Isolating applications associated with multiple tenants within a computing platform |
| US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
| US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
| JP6721932B1 (ja) * | 2019-02-26 | 2020-07-15 | 株式会社ビットキー | 利用制御システムおよび利用制御方法 |
| JP6742008B1 (ja) * | 2019-06-25 | 2020-08-19 | 株式会社ビットキー | 利用制御システム、利用許可証発行装置、利用制御方法、およびコンピュータで読み取り可能なプログラム |
| US10771242B2 (en) * | 2019-07-09 | 2020-09-08 | Alibaba Group Holding Limited | Blockchain-based data processing |
| US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
| US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
| US10761889B1 (en) | 2019-09-18 | 2020-09-01 | Palantir Technologies Inc. | Systems and methods for autoscaling instance groups of computing platforms |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835439A (zh) * | 2005-02-16 | 2006-09-20 | 株式会社东芝 | 匿名服务提供系统和装置 |
| CN101409710A (zh) * | 2007-09-27 | 2009-04-15 | 株式会社日立制作所 | 访问许可系统、访问控制服务器、和业务流程执行系统 |
| CN101741840A (zh) * | 2008-11-26 | 2010-06-16 | 株式会社日立制作所 | 认证中介服务器、程序、认证系统以及选择方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123491A (ja) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証代行方法、認証代行装置、及び認証代行システム |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US8452881B2 (en) * | 2004-09-28 | 2013-05-28 | Toufic Boubez | System and method for bridging identities in a service oriented architecture |
| US7631346B2 (en) | 2005-04-01 | 2009-12-08 | International Business Machines Corporation | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment |
| US8151317B2 (en) * | 2006-07-07 | 2012-04-03 | International Business Machines Corporation | Method and system for policy-based initiation of federation management |
| JP5177505B2 (ja) * | 2008-02-26 | 2013-04-03 | 日本電信電話株式会社 | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ |
| JP5253921B2 (ja) * | 2008-08-19 | 2013-07-31 | Kddi株式会社 | 属性認証システム、同システムにおける属性認証方法およびプログラム |
| US9836702B2 (en) * | 2008-10-16 | 2017-12-05 | International Business Machines Corporation | Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment |
| JP5102799B2 (ja) | 2009-04-13 | 2012-12-19 | 株式会社日立製作所 | 認証連携システム、認証連携方法、移動端末、中継端末装置、およびサービス装置 |
-
2010
- 2010-11-09 JP JP2010250903A patent/JP4892093B1/ja active Active
-
2011
- 2011-11-07 EP EP11839719.9A patent/EP2639727B1/en active Active
- 2011-11-07 SG SG2013034046A patent/SG190128A1/en unknown
- 2011-11-07 CN CN201180044620.XA patent/CN103109298B/zh active Active
- 2011-11-07 WO PCT/JP2011/075611 patent/WO2012063783A1/ja active Application Filing
-
2013
- 2013-05-09 US US13/890,539 patent/US9059982B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835439A (zh) * | 2005-02-16 | 2006-09-20 | 株式会社东芝 | 匿名服务提供系统和装置 |
| CN101409710A (zh) * | 2007-09-27 | 2009-04-15 | 株式会社日立制作所 | 访问许可系统、访问控制服务器、和业务流程执行系统 |
| CN101741840A (zh) * | 2008-11-26 | 2010-06-16 | 株式会社日立制作所 | 认证中介服务器、程序、认证系统以及选择方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103109298A (zh) | 2013-05-15 |
| EP2639727A1 (en) | 2013-09-18 |
| US9059982B2 (en) | 2015-06-16 |
| US20130247142A1 (en) | 2013-09-19 |
| EP2639727A4 (en) | 2017-03-01 |
| JP2012103846A (ja) | 2012-05-31 |
| WO2012063783A1 (ja) | 2012-05-18 |
| SG190128A1 (en) | 2013-06-28 |
| EP2639727B1 (en) | 2018-02-28 |
| JP4892093B1 (ja) | 2012-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103109298B (zh) | 认证协作系统以及id提供商装置 | |
| CN103370714B (zh) | 认证协作系统、id提供方装置以及其控制方法 | |
| CN101286847B (zh) | 通过单一界面管理数字身份的方法和设备 | |
| CN102474415B (zh) | 可配置的在线公钥基础设施(pki)管理框架 | |
| US7958562B2 (en) | Document access management system | |
| CN101572603B (zh) | 分布式环境中的组成服务的统一访问控制系统及方法 | |
| EP1764978B1 (en) | Attested identities | |
| CN106534199B (zh) | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 | |
| US7103784B1 (en) | Group types for administration of networks | |
| US9122865B2 (en) | System and method to establish and use credentials for a common lightweight identity through digital certificates | |
| JP5422753B1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
| CN110232068B (zh) | 数据共享方法及装置 | |
| Aiftimiei et al. | Towards next generations of software for distributed infrastructures: the European Middleware Initiative | |
| US9600655B2 (en) | Policy update system and policy update apparatus | |
| CN115396229A (zh) | 一种基于区块链的跨域资源隔离共享系统 | |
| KR20220050606A (ko) | 개인정보 보호를 위해 개선된 스마트 컨트랙트 기반의 지능형 중개를 위한 장치 및 방법 | |
| CN111611220A (zh) | 一种基于层级式节点的文件共享方法及系统 | |
| Firozabadi et al. | Revocation schemes for delegated authorities | |
| Lankhorst et al. | Towards A Service-Oriented Architecture for Demand-Driven e Government | |
| Burruss et al. | ROAM: an authorization manager for Grids | |
| Niinimaki et al. | Using virtual organizations membership system with EDG's Grid security and database access | |
| Lippert et al. | Life-cycle management of X. 509 certificates based on LDAP directories | |
| KR101037673B1 (ko) | 분산형 컨텐츠 수집 및 처리 시스템 및 그 기록매체 | |
| CN115834198A (zh) | 一种基于微服务架构的用户认证中台的设计方法 | |
| Balada | Centralized management of user access rights in large organizations with heterogeneous structure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |