CN103370714B - 认证协作系统、id提供方装置以及其控制方法 - Google Patents
认证协作系统、id提供方装置以及其控制方法 Download PDFInfo
- Publication number
- CN103370714B CN103370714B CN201280002794.4A CN201280002794A CN103370714B CN 103370714 B CN103370714 B CN 103370714B CN 201280002794 A CN201280002794 A CN 201280002794A CN 103370714 B CN103370714 B CN 103370714B
- Authority
- CN
- China
- Prior art keywords
- mentioned
- user
- service provider
- certification
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明的课题是使得能够在SSO的过程中执行账号登记以及协作时,不介由其他人力且不给用户增加负担地决定可否利用服务。实施方式的ID提供方装置的政策存储部按服务提供方ID来存储表示服务数据的发送被许可的用户的政策信息和表示作为服务数据的发送许可被删除的对象的用户的政策信息。在规定的周期到来了的情况下或者服务提供方装置的利用状况变化了的情况下,ID提供方装置取得从服务提供方装置发送的该服务提供方装置的利用状况信息,并基于所取得的利用状况信息来更新服务利用状况存储部。在服务利用状况存储部被更新了的情况下,ID提供方装置决定按服务提供方ID的删除对象账号。
Description
技术领域
本发明的实施方式涉及一种认证协作系统、ID提供方装置以及其控制方法。
背景技术
以对社会、经济、生活的在线服务的依存度增加的趋势为背景,近年,对关于个人或组织的信息进行管理的认证管理的重要性提高。所谓认证管理是在各种服务或系统中,谋求关于个人或组织的信息的安全性和便利性,对从登记到变更、删除的认证的整个生命周期进行管理的技术。
这里,所谓认证是指在某状况下对个人或集团、组织/企业进行确定的信息的总体,包含标识符和证书、属性。所谓标识符是用于对认证进行识别的信息,相当于账号(用户ID)或公司职员序号等。所谓证书是用于表示某信息内容的正当性的信息,包括密码等。所谓属性是对认证赋予特征的信息,指姓名和住所、出生年月日等。
作为利用了认证管理技术的技术代表例的有单点登录(SingleSign-On,以下称为SSO)。SSO为仅通过一次认证手续就能够利用多个应用或服务的技术。
作为用于进行仅通过一次认证手续就能够利用多个应用或服务的认证协作的技术的有单点登录。很多情况下,SSO在一个企业的内部网这样的单域中使多个应用所具备的认证统合。
而且,最近,要求不同域间(以下,称为跨域)的SSO。其理由可列举为企业统合或合并、海外扩展等的活跃化以及通过有所抬头的云计算的SaaS(SoftwareasaService,软件即服务)等所进行的业务外包。
但是,为了实现跨域的SSO,所存在的问题是,会为了将认证结果共有而产生很大的麻烦。作为主要的问题点,列举以下两点。
第一问题点是:HTTPCookie的利用限于单域,因此不能在域间利用HTTPCookie来将认证结果共有。第二问题点是:按域所采用的访问管理制品的SSO方式在各供应商间有所不同,因此不能单纯地导入,而需要另外采取措施。
为了解决这些问题点,希望实现供应商之间的SSO的标准化。作为对应于该希望的具有代表性的标准技术之一的有由非盈利团体OASIS(OrganizationfortheAdvancementofStructuredInformationStandards,结构信息标准化促进组织)策划的SAML(SecurityAssertionMarkupLanguage,安全断言标记语言)。
SAML为对关于认证/认可/属性的信息的表现形式以及收发信顺序进行了定义的规范,并被体系化地规定为能够根据目的而采用各种安装形态。主体的构成为认证提供者(IdentityProvider,以下,称为IDP或ID提供方)、服务提供者(ServiceProvider,以下称为SP或服务提供方)、用户这三者,服务提供方信赖ID提供方所发行的认证结果,由此实现SSO。
在开始基于SAML的SSO的情况下,一般需要事先准备以下两点。第一点是:通过服务提供方与ID提供方之间在商务或技术方面的信息交换和形成共识来构筑信赖关系。第二点是:一个用户按服务提供方持有单独的账号,并事先使这些单独的SP账号和ID提供方的账号协作(以下,称为账号协作)。可以在完成这些信赖关系的构筑以及事先的账号协作这样的事先准备之后进行SSO。
在这样的事先准备之后,按以下的顺序(1)~(6)实现SSO。在此,对介由用户终端的、服务提供方开始模型的SSO的顺序加以说明。在以下的顺序中,除非另外注明,基本上以升序依次进行处理。
(1)用户对服务提供方请求提供服务。
(2)由于尚未进行用户的认证,因此,服务提供方介由用户侧的终端,向ID提供方发送认证请求。
(3)ID提供方通过某种手段对用户进行认证,并制作认证断言。另外,SAML并不规定认证手段,而是规定向服务提供方传达认证断言的结构。因为服务提供方要判断能否信任认证结果,所以,所谓认证断言包含认证手段的种类或证书是如何被制成的等信息。
(4)ID提供方介由用户终端,将包含已制成的认证断言的认证结果回复给服务提供方。
(5)服务提供方基于ID提供方的认证结果来决定可否提供服务。
(6)用户接受来自服务提供方的服务提供。
这样,在基于SAML的SSO中,用户仅对ID提供方进行一次认证手续而并不执行进一步的认证手续,便能够使用多个服务。现在,多数供应商提供安装了SAML的IDP以及SP功能的访问管理制品和安装了SAML的SP功能的SaaS服务。
但是,基于SAML的SSO只是认证的整个生命周期中的认证的“利用”这一部分。如上所述,在开始SSO的情况下,需要进行账号协作,为了进行账号协作,需要使服务提供方与ID提供方之间的认证的登记、变更、删除、再发行、暂时停止等管理综合地协作的技术。
作为使认证的登记、变更、删除、再发行、暂时停止等自动化的技术的有账号配置,作为其标准技术,包括SPML(ServiceProvisioningMarkupLanguage,服务配置标记语言)。
另外,自上述账号协作的事先准备未完成的状态,将账号协作作为SSO的一部分来动态执行的数据处理系统广为人知。通常,在以用户的账号未被登记于服务提供方侧的状态,即未进行账号协作的状态开始SSO的情况下,会发生错误。
但是,根据该数据处理系统,即使在上述状态下,也能够将账号协作作为SSO的一部分来动态执行。具体地讲,在服务提供方接收到来自用户的服务请求之后,确认到服务提供方不具有用于使用户账号登记的足够的信息。确认之后,服务提供方向ID提供方请求用户属性,ID提供方向服务提供方提供所希望的用户属性。由此,数据处理系统在SSO的过程中执行账号登记以及协作。
以上所说明的数据处理系统能够通过请求以及提供各用户的账号登记所需的用户属性这样简单的处理来实现,并且不需要针对大量用户的大量的事先处理,因此通常没有问题。
但是,根据本发明者的探讨,如下所述,还存在改良的余地。
通常,在企业中,在对服务提供方所提供的服务进行利用的情况下,对企业内的信息系统进行集中的IS(InformationSystem,信息系统)部门对服务提供方进行账号登记以及协作。
IS部门一次性地进行与所属于企业的大量用户相对应的大量的事先处理,或者在经过了由用户进行的在任意定时通过一系列审批流程的手续之后,进行对该用户的账号登记以及协作。
这里,在进行前者的事先处理的情况下,不需要在SSO的过程中执行账号登记以及协作,因此,与上述数据处理系统没有关系。
另一方面,在通过后者的审批流程的情况下,不仅要介由用户,还要介由用户所属的各组织阶层的领导或调度部门、IS部门等很多其他人力,需要大量的工时。而且,由于IS部门并不集中进行事先处理,所以会产生需要其他人力的作业,负担很大,并且效率和便利性差。例如,不能发挥SaaS等的能够迅速使用的优点。
因此,理想的是,在SSO的过程中执行账号登记以及协作的系统中具备不介由其他人力地决定可否利用服务的无漏洞的结构。
现有技术文献
专利文献
专利文献1:日本特表2008-538247号公报
发明内容
发明所要解决的课题
本发明所要解决的课题是提供一种在SSO的过程中执行账号登记以及协作时,用户的负担少且能够不介由其他人力地决定可否利用服务的认证协作系统、ID提供方装置以及其控制方法。
用于解决课题的手段
实施方式的ID提供方装置的政策存储部按服务提供方ID存储表示服务数据的发送被许可的用户的政策信息和表示作为服务数据的发送许可被删除的对象的用户的政策信息。在规定的周期到来了的情况下,或者服务提供方装置的利用状况变化了的情况下,ID提供方装置取得从服务提供方装置所发送的该服务提供方装置的利用状况,并基于已取得的利用状况来更新服务利用状况存储部。在服务利用状况存储部被更新了的情况下,ID提供方装置按服务提供方ID来决定删除对象账号。
附图说明
图1为表示实施方式的认证协作系统的硬件构成的一例的框图。
图2为用于说明实施方式的IDP用户存储库的模式图。
图3为用于说明实施方式的IDP服务利用状况储存处的模式图。
图4为用于说明实施方式的认证协作政策储存处的模式图。
图5为用于说明实施方式的SP用户设定规则储存处的模式图。
图6为用于说明实施方式的删除对象决定政策储存处的模式图。
图7为用于说明实施方式的删除对象账号储存处的模式图。
图8用于说明实施方式的认证断言的模式图。
图9为用于说明实施方式的SP用户存储库的模式图。
图10为用于说明实施方式的服务数据储存处的模式图。
图11为用于说明实施方式的SP服务利用状况储存处的模式图。
图12为用于说明实施方式的验证政策储存处的模式图。
图13为表示实施方式的整体动作的概要的模式图。
图14为表示实施方式的利用状况取得的处理流程的顺序图。
图15为表示实施方式的利用状况取得处理所需的构成要素的一例的框图。
图16为表示实施方式的用户认证的处理流程的顺序图。
图17为表示实施方式的用户认证处理所需的构成要素的一例的框图。
图18为表示实施方式的认证协作政策评价的处理流程的顺序图。
图19为表示实施方式的认证协作政策评价处理所需的构成要素的一例的框图。
图20为表示实施方式的账号协作的处理流程的顺序图。
图21为表示实施方式的账号协作处理所需的构成要素的一例的框图。
图22为表示实施方式的认证协作的处理流程的顺序图。
图23为表示实施方式的认证协作处理所需的构成要素的一例的框图。
具体实施方式
(第一实施方式)
以下,参照图1~图23对本实施方式的认证协作系统加以说明。
图1为表示本实施方式的认证协作系统的基本构成的框图。该认证协作系统具备:能够对用户所操作的用户终端100执行登录处理的ID提供方装置200;能够在登录处理成功了的情况下向用户终端100发送服务数据的服务提供方装置300。另外,ID提供方装置200和服务提供方装置300分别可以有多台,而在此各示出1台。此外,用户终端100、ID提供方装置200和服务提供方装置300也可分别介由网络来连接。
用户终端100具有通常的计算机功能,其为能够与ID提供方装置200以及服务提供方装置300通信的装置。用户终端100具备:根据用户的操作,向服务提供方装置300发送请求利用服务提供方装置300的服务请求的功能;在用户终端100与ID提供方装置200之间执行登录处理的功能;从服务提供方装置300接收服务数据的功能;CPU执行预先存储于存储器的服务利用应用程序,由此再现该所接收的服务数据的功能;用户接口功能。
ID提供方装置200为对用户的认证进行管理的装置,具备:IDP用户存储库201、IDP服务利用状况储存处202、认证协作政策储存处203、SP用户设定规则储存处204、密钥存储部205、删除对象决定政策储存处206、删除对象账号储存处207、IDP认证协作部208、认证协作操纵部209、认证协作政策评价部210、IDP账号供应部211、服务利用状况管理部212以及触发器213。
IDP用户存储库201存储与配置有ID提供方装置200的组织的用户相关的认证信息(以下,称为“用户属性信息”)。具体地讲,如图2所示,IDP用户存储库(用户属性信息存储部)201存储有将用于对用户进行确定的用户属性的项目名和用户属性的项目值建立了关联的用户属性信息201a,是将对用户进行识别的用户ID、用户的登录处理时所参照的密码、用户的姓名、用户的所属部门、用户的职务、用户终端的地址信息和认证协作ID等包含于项目名的多个用户属性信息201a。认证协作ID为在服务提供方装置300与自装置200之间共有的ID,在本实施方式的后述账号协作处理中发行。另外,在未进行与服务提供方的认证协作的情况下,认证协作ID为空。
用户属性信息201a为将个人的信息赋予特征的信息的集合体。用户属性信息201a并不限于上述内容,例如也可以进一步包含电话号码或工作状态的任意项目名和项目值。此外,在用户的登录处理时,所参照的密码例如可以是用户的指纹等的活体认证信息。
IDP服务利用状况储存处(第一服务利用状况存储部)202被认证协作政策评价部210参照,存储按用户的服务利用状况信息202a。另外,服务利用状况信息202a为按用户ID的、各服务提供方装置300所提供的服务的利用状况。
即,IDP服务利用状况储存处202在ID提供方装置200侧存储每个用户的服务利用状况。如图3所示,IDP服务利用状况储存处202存储用户利用管理表202aA和利用数管理表202aB来作为服务利用状况信息202a。用户利用管理表202aA使“用户ID”、对各服务提供方装置300进行识别的“服务提供方ID”(SP(1)~SP(N))和各服务提供方ID的“服务利用状况”相关联地进行存储。
服务利用状况例如为表示服务数据的发送被许可了的情况的“服务利用中”、表示服务数据的发送未被许可的情况的“服务未利用”、表示基于从用户终端100接收到的暂时停止请求的服务数据的发送许可的暂时停止的“服务利用停止”,以及基于从用户终端100接收到的利用终止请求的“服务利用终止”。另外,在现在的利用数超过了上限值的情况下,服务利用终止包括ID提供方装置200使闲置用户的利用无效化的情况。此外,也与作为用户利用了服务的最终日期(最终登录日期)的最终利用日期以及盘利用量建立关联地存储服务利用状况。
例如,在图3的用户ID为“USER_A”的服务利用状况中,SP(1)为服务未利用的状态,SP(2)为服务利用中,SP(N)为服务未利用的状态。而且,在SP(2)中,最终利用日期为2011/02/10,盘利用量为4G字节。
如图3所示,按服务提供方ID,将表示用户利用管理表202aA内的服务利用状况所表示的服务利用中的个数的利用数和预先已设定的利用数的上限值相关联地写入利用数管理表202aB。
认证协作政策储存处(认证协作政策存储部)203被认证协作政策评价部210参照,存储认证协作政策。具体地讲,如图4所示,认证协作政策储存处203按服务提供方ID存储表示由通过该服务提供方ID所识别的服务提供方装置300进行的服务数据的发送被许可的用户的所属部门以及职务的多个认证协作政策(认证协作政策信息)203a(203aA、203aB、203aC…)。
另外,除了用户的所属部门以及职务的静态政策(例如,图4中的A~C的[1]~[3]),认证协作政策203a还可以包含服务的利用数、按量计费的合计这样的动态政策(例如,图4中的C的[4])。
这里,所谓政策一般是指定义了谁(对象)可否对哪种系统资源(资源)进行哪种操作(动作)(即,许可或者拒绝)的访问可否条件的集合体。此外,也可选择地对环境条件或责任条件进行定义。
例如,对于上述政策的各要素,姓名或职务、所属部门等相当于“对象”,服务提供方ID或URL等相当于“资源”,利用开始或利用再开等相当于“动作”,进行某种请求的用户的IP地址或可访问期间和时刻等相当于“环境条件”。此外,“责任条件”为认证协作操纵部209接收政策(访问可否条件)评价的结果,并在执行认证协作时所指示的操作。例如,形成如下的指示:“许可“登记新利用者”的请求,但取而代之地,请切实地执行“删除闲置者的ID””(例如,图4中的A的[4]的“责任条件”)。
如图5所示,SP用户设定规则储存处(部分项目名存储部)204存储用户设定规则204a。将服务提供方ID和存储于IDP用户存储库201的用户属性信息201a内的用户属性的项目名中的部分项目名相关联地写入用户设定规则204a。
密钥存储部205存储自装置200的署名生成密钥。作为署名生成密钥,例如,可以使用公开密钥密码方式中的公开密钥和秘密密钥的密钥对中的秘密密钥。
如图6所示,删除对象决定政策储存处(删除对象政策存储部)206被服务利用状况管理部212参照,存储删除对象决定政策。具体地讲,如图6所示,删除对象决定政策储存处(删除对象决定政策存储部)206按服务提供方ID在通过该服务提供方ID所识别的服务提供方装置300中存储表示服务数据的发送许可被删除的用户的条件(删除对象条件)的删除对象决定政策(删除对象决定政策信息)206a(206aA、206aB、206aC…)。
例如,删除对象决定政策206a将被登记于服务提供方SP(1)的用户的最终利用日期为半年以上之前、盘利用量为5GB以上、用户的所属部门为X作为删除对象条件进行记述。服务提供方SP(2)和服务提供方SP(3)的删除对象决定政策也同样地进行记述。服务数据的发送许可的删除例如可以从后述的SP用户存储库将删除对象账号删除,也可以将服务数据发送许可状态变更为暂时停止状态。
如图7所示,删除对象账号储存处(删除对象账号存储部)207对后述的服务利用状况管理部212基于删除对象决定政策206a、服务利用状况202a和用户属性信息201a所决定的删除对象账号(删除对象账号信息)207a进行存储。删除对象账号信息207a为各服务提供方装置300中的删除对象的用户ID。
IDP认证协作部208具有单点登录的ID提供方功能。IDP认证协作部208具体地例如具有以下的功能(f208-1)~(f208-3)。
(f208-1)基于从后述的认证协作操纵部209发送的用户认证请求内的用户终端100的地址信息,向该用户终端100发送登录请求,并执行基于IDP用户存储库201内的用户ID以及密码来对从该用户终端100接收到的用户ID以及用户认证信息进行认证的登录处理的功能。
(f208-2)针对包含后述的IDP账号供应部211所发行的认证协作ID和登录处理的认证方式名的断言正文,生成基于密钥存储部205内的署名生成密钥的数字署名,并如图8所示地制作包含该断言正文和该数字署名的认证断言208a的功能。
(f208-3)向认证协作请求的发送方的服务提供方装置300发送包含已制作的认证断言208a的认证协作应答的功能。
认证协作操纵部209在接收到来自服务提供方装置300的认证协作请求之后,操纵由后述的政策评价处理、账号协作处理和IDP认证协作处理构成的一系列处理。具体地讲,认证协作操纵部209具有以下的功能(f209-1)~(f209-4)。
(f209-1)若接收到从服务提供方装置300发送的包含该服务提供方装置300的服务提供方ID和用户终端100的地址信息的认证协作请求,则向IDP认证协作部208发送包含该认证协作请求内的用户终端100的地址信息的用户认证请求的功能。
(f209-2)在通过IDP认证协作部208进行的登录处理成功了的时候,向认证协作政策评价部210发送包含该登录处理中已使用的用户ID和认证协作请求内的服务提供方ID的政策评价请求的功能。
(f209-3)在从认证协作政策评价部210接收到的政策评价应答内的判断结果表示许可的情况下,向IDP账号供应部211发送包含政策评价请求内的用户ID和服务提供方ID的账号协作请求的功能。
(f209-4)向IDP认证协作部208发送包含从IDP账号供应部211发送的账号协作应答内的操作结束中所含的服务提供方ID以及用户ID的IDP认证协作执行请求的功能。
认证协作政策评价部210接收来自认证协作操纵部209的政策评价请求,并基于事先已被定义的认证协作政策203a和用户利用管理表202aA来进行政策评价。具体地讲,认证协作政策评价部210具有以下的功能(f210-1)~(f210-5)。
(f210-1)基于从认证协作操纵部209所发送的政策评价请求内的用户ID,从IDP用户存储库201读出用户属性信息201a的功能。
(f210-2)基于从认证协作操纵部209所发送的政策评价请求内的服务提供方ID,从认证协作政策储存处203读出认证协作政策信息203a的功能。
(f210-3)基于从认证协作操纵部209所发送的政策评价请求内的用户ID,从IDP服务利用状况储存处202读出服务利用状况信息202a的功能。
(f210-4)对于已读出的认证协作政策203a中所示的所属部门以及职务,根据该已读出的用户属性信息201a内的所属部门或职务以及该已读出的服务利用状况信息202a是否适合,判断是否许可发送服务数据的发送许可判断功能。
(f210-5)向政策评价请求的发送方的认证协作操纵部209发送包含该判断结果的政策评价应答的功能。
IDP账号供应部211接收来自认证协作操纵部209的账号协作请求,并对服务提供方装置300执行账号供应。具体地讲,IDP账号供应部211例如具有以下的功能(f211-1)~(f211-8)。
(f211-1)基于被发送的账号协作请求内的服务提供方ID,从SP用户设定规则储存处204读出用户属性的部分项目名的功能。
(f211-2)基于被发送的账号协作请求内的服务提供方ID,从删除对象账号储存处207读出删除对象账号信息207a的功能。
(f211-3)基于该已读出的部分项目名和账号协作请求消息内的用户ID,在IDP用户存储库201内取得由包含与该用户ID一致的用户ID的用户属性信息201a中的与该部分项目名一致的项目名以及被关联于该项目名的项目值构成的用户属性部分信息的功能。
(f211-4)发行在通过该账号协作请求内的服务提供方ID所识别的服务提供方装置300与自装置200之间共有的认证协作ID的功能。
(f211-5)将“账号登记”作为操作指示附加于已取得的用户属性部分信息,将“账号删除”作为操作指示附加于已取得的删除对象账号信息207a,并附加被发行的认证协作ID,制作账号供应请求(账号协作请求消息)的功能。
(f211-6)向认证协作请求的发送方的服务提供方装置300发送账号协作请求消息的功能。
(f211-7)若被账号协作请求消息的发送目的地的服务提供方装置300通知包含该服务提供方装置的服务提供方ID和用户属性部分信息内的用户ID的SP用户存储库302的操作结束,则基于包含于该操作结束的服务提供方ID以及用户ID,将认证协作ID登记到IDP用户存储库201内的用户属性信息201a的功能。
(f211-8)向认证协作操作部209发送表示该登记结束和用户存储库的操作结束的账号协作应答的功能。
服务利用状况管理部212具备服务利用状况取得部214和删除对象账号决定部215。
服务利用状况取得部214向服务提供方装置300发送利用状况取得请求。此外,服务利用状况取得部214基于该利用状况取得请求取得从服务提供方装置300所发送的该服务提供方装置300的利用状况,并基于已取得的利用状况来更新SPIDP服务利用状况储存处202。
删除对象账号决定部215基于已取得的利用状况、用户属性信息201a和删除对象决定政策206aA来进行删除对象账号的决定。
在预先确定的时刻到来了的情况下,触发器213向服务利用状况管理部211的服务利用状况取得部212请求取得服务提供方装置300的利用状况。即,触发器213向服务利用状况取得部212发送利用状况取得执行请求。
若接收到该利用状况取得执行请求,则服务利用状况取得部214从服务提供方装置300取得服务利用状况。触发器213例如也可以根据周期来设定。即,触发器213也可以采用像ID提供方装置200与服务提供方装置300的认证会话的重新建立动作那样地按一定时间工作的动作。
另一方面,服务提供方装置300是提供用户所利用的服务的装置,其具备:服务数据通信部301、SP用户存储库302、服务数据储存处303、SP服务利用状况储存处304、验证政策储存处305、SP认证协作部306、服务利用状况提供部307以及SP账号供应部308。
服务数据通信部301具有基于从后述SP认证协作部306所发送的服务执行请求,向用户终端100发送该服务执行请求内的认证令牌和后述的服务数据储存处303内的服务数据303a的功能。
SP用户存储库302对利用服务数据通信部301所发送的服务数据的用户的认证信息进行存储。具体地讲,如图9所示,SP用户存储库(用户属性部分信息存储部)302将使IDP用户存储库201内的用户属性信息201a内的用户属性的项目名以及项目值中基于SP用户设定规则204a的部分项目名和项目值相关联的用户属性部分信息302a与在自装置300内对用户进行识别的SP侧用户ID相关联地进行存储。
如图10所示,服务数据储存处303存储服务数据303a。服务数据303a是作为通过服务提供方装置300进行的服务提供(服务数据发送)的对象而被发送至用户终端100的任意数据。
SP服务利用状况储存处(第二服务利用状况存储部)304对作为按用户的该服务提供方装置300所提供的服务的利用状况的服务利用状况信息304a进行存储。
即,SP服务利用状况储存处304在服务提供方装置300侧,对存储按用户的服务利用状况的用户利用管理表202aA和利用数管理表202aB进行存储。
如图11所示,SP服务利用状况储存处304对用户利用管理表304aA和利用数管理表304aB进行存储。将表示服务数据303a的发送被许可了的情况的“服务利用中”、表示服务数据303a的发送未被许可的情况的“服务未利用”、表示基于从用户终端100接收到的暂时停止请求的服务数据的发送许可的暂时停止的“服务利用停止”或基于从用户终端100接收到的利用终止请求的“服务利用终止”中的任一个所示的该服务提供方装置300的利用状况与用户ID相关联地写入用户利用管理表304aA。
此外,服务提供方装置300的利用状况也与用户的最终利用日期以及盘利用量相关联地被存储。另外,在存在多个ID提供方装置200的情况下,按用户ID和ID提供方装置的ID的利用状况被写入用户利用管理表304aA。
如图11所示,将表示用户利用管理表304aA内的利用状况所示的服务利用中的个数的利用数和预先已设定的利用数的上限值相关联地写入利用数管理表202aB。
如图12所示,验证政策储存处305对包含登录处理成功了的情况下许可发送服务数据303a的登录处理的认证方式名和与ID提供方装置200的署名生成密钥对应的署名验证密钥的认证断言验证政策进行存储。作为署名验证密钥,例如,可使用公开密钥密码方式中的公开密钥和秘密密钥的密钥对中的公开密钥。
SP认证协作部306具有单点登录的服务提供方功能。具体地讲,SP认证协作部306例如具有以下的功能(f306-1)~(f306-4)。
(f306-1)若从用户终端100接收到服务请求,则判断该服务请求是否包含认证令牌,在包含认证令牌的情况下,向该用户终端100发送该认证令牌和服务数据储存处303内的服务数据303a,在不包含的情况下,向ID提供方装置200发送包含自装置300的服务提供方ID和该用户终端100的地址信息的认证协作请求的功能。
(f306-2)若从ID提供方装置200接收到认证协作应答,则基于验证政策储存处305内的认证断言验证政策内的认证方式名和署名验证密钥,分别验证该认证断言208a内的认证方式名和数字署名的验证功能。
(f306-3)在已验证的结果均正当时,发行认证令牌的功能。
(f306-4)向服务数据通信部301发送包含所发行的认证令牌和从ID提供方装置200接收到的认证协作应答中所含的用户的地址信息的服务执行请求的功能。
服务利用状况提供部307具有的功能是:若从ID提供方装置200的服务利用状况取得部214接收到利用状况取得请求,则基于包含于该利用状况发送请求的用户ID来检索SP服务利用状况储存处304,并发送通过该检索获得的服务提供方装置300的利用状况。
SP账号供应部308基于从ID提供方装置200的IDP账号供应部211接收到的账号协作请求消息,对SP用户存储库302进行账号供应。此外,SP账号供应部308基于该账号协作请求消息,对SP服务利用状况储存处304进行更新。
具体地讲,SP账号供应部308例如具有以下的功能(f308-1)~(f308-5)。
(f308-1)若从ID提供方装置200的IDP账号供应部211接收到账号协作请求消息,则对包含于账号协作请求消息的操作信息进行确认,并在操作信息为“账号登记”的情况下发行新的SP侧用户ID,将该已发行的SP侧用户ID与该账号协作请求消息内的用户属性部分信息302a相关联地登记到SP用户存储库302的功能。
(f308-2)在包含于账号协作请求消息的操作信息为“删除”的情况下,基于包含于该账号协作请求消息的用户ID(删除对象账号)对SP用户存储库302进行检索,并删除检索结果的用户属性部分信息302a的功能。
(f308-3)在包含于账号协作请求消息的操作信息为“更新”的情况下,基于包含于该账号协作请求消息的用户ID对SP用户存储库302进行检索,并对检索结果的用户属性部分信息302a进行更新的功能。另外,操作信息“更新”例如为账号的无效,此时,SP账号供应部308基于包含于该账号协作请求消息的用户ID对SP用户存储库302进行检索,并将包含于检索结果的用户属性部分信息302a的有效标志(未作图示)变更为“非”。
另外,也可以将账号的无效包含于操作信息“删除”。
(f308-4)在用户存储库的操作之后,基于包含于账号协作请求消息的用户ID和操作信息,对SP服务利用状况储存处304进行更新的功能。
例如,在操作信息为“账号登记”的情况下,作为新的利用状况,向用户利用管理表304aA写入该用户ID和利用状况“服务利用中”。此时,在用户利用管理表304aA中存在该用户ID的情况下,进行利用状况的更新。
此外,在操作信息为“删除”的情况下,将已写入用户利用管理表304aA的该用户ID的利用状况变更为“服务未利用”。
(f308-5)在SP用户存储库302的操作以及SP服务利用状况储存处304的更新(SP账号操作)之后,向账号协作请求消息的发送方的ID提供方装置200通知包含已操作的用户属性部分信息302a内的用户ID和自装置300的服务提供方ID的操作结束和储存处更新结束的功能。
接着,参照图13~图23,对如以上那样构成的认证协作系统的动作加以说明。以下的说明是从处于可在ID提供方装置200与服务提供方装置300之间进行SSO的系统环境中,所属于ID提供方侧的组织的用户的账号未登记于该服务提供方装置300,并且认证未协作的状态开始的。
将以下的典型处理作为例子加以记述,即,该状态下,在用户进行了服务请求时,ID提供方装置200判断是否满足认证协作政策203a,并在满足的情况下进行向服务提供方装置300侧的用户账号登记,由此,执行ID提供方装置200与服务提供方装置300间的SSO,从服务提供方装置300发送服务数据303a。
以下,如图13所示,分为步骤S10的服务利用状况取得(S11~S19)、步骤S20的用户认证(S21~S27)、步骤S30的认证协作政策评价(S31~S36)、步骤S40的账号协作(S41~S49)以及步骤S50的认证协作(S51~S58)来加以说明。
首先,参照图14的顺序图以及图15的模式图,对图13的步骤S10的服务利用状况取得加以说明。
在步骤S11中,若预先已设定的时刻到来,则ID提供方装置200的触发器213向服务利用状况管理部212请求执行利用状况的取得。在本实施方式中,将触发器213设定为2011年4月1日的12时。
在步骤S12中,若服务利用状况管理部212的服务利用状况取得部214从触发器213接收到利用状况取得执行请求,则向服务提供方装置300的服务利用状况提供部307请求利用状况的取得。在本实施方式中设为仅向叫做SP(1)的服务提供方ID的服务提供方装置300发送利用状况的取得请求。
在步骤S13中,服务利用状况提供部307从各服务提供方装置300的SP服务利用状况储存处304取得服务利用状况信息304a,并向ID提供方装置200的服务利用状况管理部212发送。
在步骤S14中,服务利用状况管理部212的服务利用状况取得部214基于已接收的按服务提供方装置300的服务利用状况信息304a,对IDP服务利用状况储存处202进行更新。
在步骤S15中,服务利用状况取得部214若基于已接收到的服务利用状况信息304a对SPIDP服务利用状况储存处202进行更新,则向删除对象账号决定部215发送删除对象决定请求。
在步骤S16中,删除对象账号决定部215若接收到删除对象决定请求,则从删除对象决定政策储存处206取得删除对象决定政策206a。
在步骤S17中,删除对象账号决定部215从IDP用户存储库201取得用户属性信息201a。
在步骤S18中,删除对象账号决定部215基于在步骤S14已被更新的用户利用管理表202aA和利用数管理表202aB、在步骤S16已取得的删除对象决定政策206a、在步骤S17已取得的用户属性信息201a来决定删除对象账号。具体地讲,删除对象账号决定部215基于与规定的用户相关的用户属性信息201a和已存储于用户利用管理表202aA和利用数管理表202aB的该用户的服务利用状况,判断满足删除对象决定政策206a所表示的删除条件的用户。
对例如删除对象账号决定部215基于图6的删除对象决定政策206aA、图3的用户利用管理表202aA和利用数管理表202aB来判断满足删除对象决定政策206a所表示的删除条件的用户的情况具体地加以说明。首先,满足删除对象决定政策206aA的SP(1)中的删除条件[1]“最终利用日期为半年以上之前”的是USER_B以及USER_N。
接着,满足删除对象决定政策206aA的SP(1)中的删除条件[2]“盘利用量为5GB以上”的是USER_B以及USER_N。接下来,满足删除对象决定政策206aA的SP(1)中的删除条件[3]“用户的所属部门为X”的是USER_B。因此,USER_B满足删除对象决定政策206a所表示的所有删除条件,所以,被决定为删除对象账号。另外,在存在多个删除对象账号的情况下,将其全部决定为删除对象账号。
在步骤S19中,删除对象账号决定部215将已决定的删除对象账号存储于删除对象账号储存处207。
在此,参照图16的顺序图以及图17的模式图,对图13的步骤S20的用户认证加以说明。若用户为了利用服务提供方装置300侧的服务而对用户终端进行操作,则开始步骤S20的用户认证。
在步骤S21中,若用户为了利用服务提供方装置300侧的服务而对用户终端100进行操作,则用户终端100向服务提供方装置300发送服务请求。在服务提供方装置300中,担当访问管理的SP认证协作部306获取服务请求。
在步骤S22中,SP认证协作部306若接收到来自用户的服务请求,则判断此服务请求是否包含认证令牌。例如,在来自用户的服务请求为HTTP请求的形态的情况下,对服务提供方装置300所发行的认证令牌在包含于此HTTP请求的Cookie中的存在情况进行确认。
另外,在能够确认认证令牌的存在的情况下,即完成了认证协作的情况下,服务提供方装置300对用户提供由服务请求所请求的服务。即,若SP认证协作部306判断为服务请求包含认证令牌,则通过服务数据通信部301向服务请求方的用户终端100发送该认证令牌和服务数据储存处303内的服务数据303a。具体地讲,SP认证协作部306向服务数据通信部301发送包含服务请求内的认证令牌和已与该认证令牌建立了关联的用户ID的服务执行请求。
另一方面,在步骤S22的判断结果为服务请求不包含认证令牌的情况下,即在认证未协作的情况下,执行步骤S23。
在步骤S23中,服务提供方装置300向ID提供方装置200委托认证协作请求。此时,认证协作请求可以从服务提供方装置300直接向ID提供方装置200发送,也可以先经由用户终端100,再以重定向的形式发送。此外,认证协作请求包含自装置300的服务提供方ID和用户终端100的地址信息。
在此,服务提供方装置300只与作为一个ID提供方的ID提供方装置200协作,因此,不需要进行ID提供方的选择。在服务提供方装置300与作为一个ID提供方的ID提供方装置200协作,并且需要进行ID提供方的选择的情况下,为了使该用户选择用户所属的ID提供方,SP认证协作部306也可以向用户终端100发送列举了表示事先已确定了信赖关系的ID提供方的ID提供方ID的IDP列表(未作图示)。此时,用户终端100显示从服务提供方装置300接收到的IDP列表,并催促用户选择自身所属的ID提供方。然后,用户终端100通过用户的操作,向服务提供方装置300发送已被选择的ID提供方ID。
步骤S24中,ID提供方装置200的认证协作操纵部209对ID提供方装置200地址的消息进行解析,并在确认了此消息为认证协作请求的情况下,开始认证协作的处理,向IDP认证协作部208发送包含认证协作请求内的用户终端100的地址信息的用户认证请求。另外,在确认了此信息为认证协作请求以外的消息的情况下,服务提供方装置300以介由认证协作操纵部209的形式向所希望的目的地址进行再发送。
在步骤S25中,IDP认证协作部208若接收到用户认证请求,则基于该用户认证请求,执行用于用户的识别和认证的登录处理。在该登录处理中,IDP认证协作部208基于已发送的用户认证请求内的用户终端100的地址信息,向该用户终端100发送登录请求,并基于IDP用户存储库201内的用户ID以及密码,对从该用户终端100接收到的用户ID以及用户认证信息进行认证。在本实施方式中设为基于从该用户终端100接收到的用户ID“USER_A”、密码“PASS_A”来进行认证,用户认证取得成功。
在步骤S26中,IDP认证协作部208对已登录成功的用户的账号信息是否存在于删除对象账号储存处207进行判断,并在存在已登录成功的账号的信息的情况下,从删除对象账号储存处207删除该账号。本实施方式中,在删除对象账号储存处207未登记“USER_A”,因此,删除对象账号储存处207不被更新。
步骤S27中,在步骤S25的登录处理成功了的时候,IDP认证协作部208向认证协作操纵部209通知包含登录处理中已使用的用户ID和认证成功的内容的用户认证结束(登录结束)的消息。
通过以上操作,步骤S20的用户认证(S21~S27)终止。
接着,在步骤S30的认证协作政策评价中,用户认证终止后,将用户利用管理表202aA、利用数管理表202aB、用户属性信息201a、认证协作政策203a作为输入值来进行认证协作政策评价,并对用户的服务请求下发许可。以下,参照图18的顺序图以及图19的模式图对步骤S30的认证协作政策评价加以说明。
在步骤S31中,认证协作操纵部209对在步骤S27中已发送的用户认证结束的消息进行解析,并确认登录处理已成功的情况。在登录处理已成功时,认证协作操纵部209向认证协作政策评价部210发送对用户的服务请求的政策评价请求。政策评价请求包含在步骤S25的登录处理过程中已取得的用户ID,即用户的IDP账号和认证协作请求内的服务提供方ID。
以下,通过步骤S32~S34,认证协作政策评价部208收集认证协作政策203a的评价所需的信息。
在步骤S32中,认证协作政策评价部210基于政策评价请求内的用户ID和服务提供方ID,从IDP服务利用状况储存处202读出服务利用状况202a。但是,步骤S32在执行静态政策评价的情况下被省略。
以下,将在步骤S32所读出的用户ID设为USER_A,将用户所请求的服务提供方装置300设为SP(1)。
在步骤S33中,认证协作政策评价部210基于政策评价请求内的用户ID,从IDP用户存储库201读出用户属性信息201a。
在步骤S34中,认证协作政策评价部210基于政策评价请求内的服务提供方ID,从认证协作政策储存处203读出认证协作政策203a。在本实施方式中,读出图4的各认证协作政策203a中被关联于图中A的第一认证协作政策(利用SP(1)时的政策)203aA来作为检索结果。
在步骤S35中,认证协作政策评价部210在执行静态政策评价的情况下,根据在步骤S33中读出的用户属性信息201a内的所属部门以及职务是否适合在步骤S34中读出的认证协作政策203aA中所示的所属部门以及职务,来进行判断是否许可服务数据303a的发送的政策评价处理。
但是,在执行步骤S32的用户利用管理表202aA也使用的动态政策评价的情况下,基于通过步骤S32、S33、S34已取得的服务利用状况202a、用户属性信息201a以及认证协作政策203aA,执行政策评价。
例如,对与认证协作政策203aA中所示的SP(1)的利用相关的步骤S35中的政策评价加以说明。在认证协作政策203aA中事先定义有[1]~[4]的服务利用条件(在静态政策评价的情况下[4]未定义),如下地确认已收集的用户利用管理表202aA、用户属性信息201a满足所有这些服务利用条件的情况。作为其结果,对用户的服务请求下发许可。
认证协作政策203aA的[1]:认证协作政策203a表示用户的所属部门为X。对此,如图2所示,用户属性信息201a中的USER_A的所属部门为“X部门”。因此,USER_A满足认证协作政策203a中的[1]的条件。
认证协作政策203aA的[2]:认证协作政策203a表示用户的所属课室为Y。对此,如图2所示,用户属性信息201a中的USER_A的所属课室为“Y课室”。因此,USER_A满足认证协作政策203a中的[2]的条件。
认证协作政策203aA的[3]:认证协作政策203a表示用户的职务为Z以上的职务。对此,如图2所示,用户属性信息201a中的USER_A的职务为“Z职”。因此,满足认证协作政策203a中的[3]的条件。
认证协作政策203aA的[4]:认证协作政策203a表示利用中的账号数未超过上限值。对此,如图3所示,利用数管理表202aB中的SP(1)的现在的利用数为10,未超过上限值100。因此,满足认证协作政策203a中的[4]的条件。
如以上那样,基于事先已定义的认证协作政策203a,使用用户利用管理表202aA、利用数管理表202aB和用户属性信息201a来进行对用户的服务请求的认证协作政策评价。另外,在上述的条件中,若能确认到即使一个不满足条件的情况,认证协作政策评价的结果也将变为拒绝。
即,认证协作政策评价部210针对已读出的认证协作政策203a,根据已读出的用户属性信息201a、用户想要利用的服务的种类、对用户想要进行的服务的操作、是否适合执行服务时的用户的环境条件,判断是否许可服务数据的发送。
在步骤S36中,认证协作政策评价部210将由步骤S35的判断结果构成的政策评价结果作为政策评价应答发送至认证协作操纵部209。通过以上操作,步骤S30的认证协作政策评价(S31~S36)终止。
在步骤S40的账号协作中,基于通过步骤S30的认证协作政策评价获得的政策评价应答(表示服务数据发送的许可的情况),对服务提供方装置300的SP用户存储库302制作用户账号,由此,作为SSO的事先准备,实现所需要的ID提供方装置200与服务提供方装置300间的账号协作。以下,使用图20的顺序图以及图21的模式图加以记述。
在步骤S41中,认证协作操纵部209确认包含于在步骤S36中已发送的政策评价应答的政策评价结果,在政策评价应答许可服务请求的情况下,向IDP账号供应部211委托包含政策评价请求内的用户ID和服务提供方ID的账号协作请求。另外,在政策评价应答表示服务利用的拒绝的情况下,向用户终端100通知拒绝服务利用的情况。在此,例举政策评价应答为许可的情况,对以下的步骤S42~49加以说明。
在步骤S42中,IDP账号供应部211基于接收到的账号协作请求内的服务提供方ID(在此为SP(1)),从SP用户设定规则储存处204读出用户设定规则204a。用户设定规则204a为例如在ID提供方装置200对服务提供方装置300进行账号登记时,按服务提供方装置300求出的所需要的用户属性的项目名(用户属性的部分项目名)等。在此,IDP账号供应部211读出用户属性的部分项目名来作为用户设定规则204a。
在步骤S43中,IDP账号供应部211从删除对象账号储存处207检索关于SP(1)的删除对象的账号。
另外,步骤S43的检索也可以是判断认证协作政策评价部210在步骤S32中从IDP服务利用状况储存处202取得的服务利用状况信息中,已接收到的账号协作内的服务提供方ID(在此为SP(1))的利用者数是否达到上限,并在SP(1)的利用者数达到上限的情况下进行的。此时,步骤S32中,在执行静态政策评价且服务利用状况取得被省略的情况下,IDP供应部210在步骤S43之前从IDP服务利用状况储存处202取得服务利用状况。
如图7所示,在本实施方式中,USER_B作为与SP(1)相关的删除对象账号而登记于删除对象账号储存处207,因此,这里USER_B为检索结果。另外,在存在多个删除对象账号的情况下,可以仅删除一个用户ID,也可以全部删除。
在步骤S44中,IDP账号供应部211基于在步骤S42已读出的部分项目名和账号协作请求内的用户ID,取得所需要的用户属性信息(以下,称为用户属性部分信息),其中该所需要的用户属性信息由在IDP用户存储库201内包含与该用户ID一致的用户ID的用户属性信息201a中的、与该部分项目名一致的项目名以及与该项目名建立了关联的项目值构成。
在步骤S45中,IDP账号供应部211将“账号登记”作为操作指示附加于在步骤S44已取得的用户属性部分信息,将“删除”作为操作指示附加于在步骤S43已取得的删除对象账号来制作SP账号协作请求消息,并向服务提供方装置300的SP账号供应部309发送已制作的账号协作请求消息。此外,IDP账号供应部211发行认证协作ID并将其包含于账号协作请求消息。
包含于账号协作请求消息的操作指示例如为基于SP账号供应部308所公开的操作接口的SP用户存储库302的操作的种类,包括删除、账号登记、账号更新等。在本实施方式中,用户的账号未登记于服务提供方装置300侧,因此,在步骤S45中,指定“账号登记”作为操作指示。
此外,IDP账号供应部211发行在发送SP账号协作请求消息的目的地的服务提供方装置300与自装置200之间共有的认证协作ID,并将该认证协作ID包含于SP账号协作请求消息。
在步骤S46中,SP账号供应部308基于已接收到的账号协作请求消息,进行SP用户存储库302的操作。具体地讲,在包含于已接收到的账号协作请求消息的操作指示为“账号登记”的情况下,SP账号供应部308发行新的SP侧用户ID(服务提供方装置300侧的用户ID),并将该SP侧用户ID与SP账号协作请求消息内的用户属性部分信息相关联地登记于SP用户存储库302。此时,SP账号供应部308也登记账号协作请求消息内的认证协作ID。
此外,步骤S46中,在操作指示为“删除”的情况下,SP账号供应部308基于该账号协作请求消息内的删除对象账号,检索SP用户存储库302内的用户属性部分信息302a,并删除包含与删除对象账号一致的用户ID的用户属性部分信息302a。
在步骤S47中,SP账号供应部308基于已接收到的账号协作请求消息,对SP服务利用状况储存处304进行更新。具体地讲,在包含于已接收到的账号协作请求消息的操作指示为“账号登记”的情况下,SP账号供应部308将包含于该账号协作请求消息内的用户属性部分信息的用户ID、服务利用状况“服务利用中”、最终利用日期和盘利用量相关联地登记于SP服务利用状况储存处304的用户利用管理表304aA,对“服务利用中”的用户ID数进行计数并对利用数管理表304aB的现在的利用数进行更新。
此外,在包含于已接收到的账号协作请求消息的操作指示为“删除”的情况下,SP账号供应部308基于包含于该账号协作请求消息的删除对象账号来检索SP服务利用状况储存处304,并将包含于检索结果的用户利用信息304a的服务利用状况变更为“服务利用停止”。
在步骤S46的用户存储库操作和步骤S47的服务利用状况储存处202更新之后,SP账号供应部308向账号协作请求消息的发送方的ID提供方装置200通知包含已登记的用户属性部分信息302a内的用户ID和自装置的服务提供方ID的操作结束。具体地讲,操作结束被通知给ID提供方装置200内的IDP账号供应部211。
在步骤S48中,IDP账号供应部211将在步骤S45已被发行的认证协作ID登记至IDP用户存储库201a的USER_A的记录器。
在步骤S49中,IDP账号供应部211向认证协作操纵部209发送表示在步骤S47已被通知的操作结束的账号协作应答。
通过以上操作,步骤S40的账号协作(S41~S49)终止。
在步骤S50的认证协作中,账号协作终止后,在ID提供方装置200与服务提供方装置300之间进行认证协作,即SSO。以下,使用图22的顺序图以及图23的模式图,对步骤S50的认证协作加以说明。
在步骤S51中,认证协作操纵部209对包含于在步骤S49已被通知的账号协作应答的认证结果进行解析。若其结果中没有问题,则认证协作操纵部209向IDP认证协作部208发送包含在账号协作应答内的操作结束中所含的服务提供方ID以及用户ID的认证协作执行请求。
在步骤S52中,若IDP认证协作部208接收到认证协作执行请求,则基于该认证协作执行请求内的用户ID对IDP用户存储库进行检索来取得认证协作ID。
在步骤S53中,IDP认证协作部208制作包含在步骤S52已取得的认证协作ID和在步骤S25已进行的登录处理的认证方式名的断言正文。此外,IDP认证协作部208针对断言正文生成基于密钥存储部205内的署名生成密钥的数字署名。并且,IDP认证协作部208制作包含该断言正文和该数字署名的认证断言208a。
在步骤S54中,IDP认证协作部208向认证协作请求的发送方的服务提供方装置300发送包含已制作的认证断言208a和已接收到的认证协作执行请求内的用户ID的认证协作应答。该认证协作应答被该服务提供方装置300的SP认证协作部306接收。
在步骤S55中,SP认证协作部306基于认证断言验证政策306内的认证方式名和署名验证密钥,分别验证认证断言208a内的认证方式名和数字署名。由此,SP认证协作部306根据ID提供方装置200所发行的认证断言208a,判断ID提供方装置200的认证结果是否可信,并决定可否向用户发送服务数据(服务提供)。在本实施方式中,已验证的结果均是正当的,因此将服务数据发送决定为许可。
在步骤S56中,SP认证协作部306在步骤S55中决定许可时,发行认证令牌。该认证令牌也可以与认证协作ID和用户ID相关联地被存储于服务提供方装置300的暂时存储部(未作图示)。
在步骤S57中,SP认证协作部306向服务数据通信部301发送包含在步骤S56已发行的认证令牌和介由认证协作ID与该认证令牌建立了关联的用户ID的服务执行请求。
在步骤S58中,服务数据通信部301基于已发送的服务执行请求,向用户终端100发送该服务执行请求内的认证令牌和服务数据储存处303内的服务数据303a。
根据如上所述的本实施方式的认证协作系统,对于来自用户的对服务提供方装置300的服务请求,配备于ID提供方装置200内的认证协作操纵部208截取来自服务提供方装置300的认证协作请求,并基于事先已定义的认证协作政策203a来判断可否发送服务数据303a。然后,在判断结果为许可的情况下,使用在ID提供方装置200内被管理的该用户属性信息201a,对在服务提供方装置300内被管理的SP用户存储库302制作该用户的账号。其后,ID提供方装置200和服务提供方装置300各自进行以往的认证协作处理,并从服务提供方装置300对该用户提供所希望的服务。
若要补充的话,则在以往的认证协作系统中,服务提供方对是否具有用于登记账号的充足的信息进行确认,需要工时来向ID提供方请求不足的用户属性,其他人力介入到这样的确认和请求中。另一方面,本实施方式的认证协作系统通过上述预先存储了认证协作政策203a的构成,其他人力无需介入以往那样的确认和请求。
此外,本实施方式的认证协作系统并不在SSO的定时进行一般来讲花费时间的、ID提供方装置200取得服务提供方装置300的利用状况的利用状况取得处理,而是事先进行该利用状况取得处理,因此,用户在登录时的等待时间不会变长,能够减轻用户的负担。此外,删除对象账号的决定也是事先进行的,因此能够进一步减轻用户的负担。
因此,即使在该用户的账号未登记于服务提供方装置300侧的状态下,基于在该用户的服务请求,即SSO的实施定时事先已定义于ID提供方装置200侧的认证协作政策203a,自动判断可否发送服务数据303a,由此,也能够无需其他人力介入且不需要时间地对该用户提供无漏洞的服务利用。
此外,根据本实施方式的认证协作系统,在互联网等的分散环境下所提供的服务利用中,基于事先已定义的服务利用的政策和服务的利用状况,使从服务的利用申请到单点登录的一系列处理自动化,能够实现用户顺利地开始利用服务。
以上,对本发明的几个实施方式进行了说明,而这些实施方式是作为例子公开的,其意图并不在于限定发明的范围。这些新的实施方式可以通过其他各种形态实施,在不脱离发明主旨的范围内,可以进行各种省略、置换、变更。这些实施方式及其变形包含于发明的范围和主旨中,并包含于权利要求中所记载的发明及其均等范围内。
例如,在本实施方式中,ID提供方装置200侧具备请求利用状况取得处理的触发器,但服务提供方装置300侧也可具备该触发器。在服务提供方装置300侧具备触发器的情况下,图13的步骤S10中的步骤S10的服务中,触发器例如判断已登记于SP服务利用状况储存处304的服务利用状况是否已经变化,并在服务利用状况变化了的情况下,向服务利用状况提供部307发送服务利用状况取得执行请求(步骤S11)。步骤S12被省略,在步骤S13中,已接收到利用状况取得执行请求的服务利用状况提供部307从SP服务利用状况储存处304取得服务利用状况。其后,进行步骤S14~步骤S19的处理。
该情况下,在SP服务利用状况储存处304与IDP服务利用状况储存处202之间不会产生差异,因此,能够进行基于服务利用状况的正确的政策评价。
此外,在通过触发器213开始的步骤S10的服务利用状况取得中,本实施方式的认证协作系统在步骤S15决定删除对象账号,而对删除对象账号进行删除则是在步骤S40的账号协作中进行的。这是因为极力地使所谓账号的删除的操作延迟。
但是,为了使SSO时的应答时间的改善优先,也可以在步骤S10的服务利用状况取得进行删除对象账号的删除。即,也可以在步骤S15的删除对象账号决定后,向服务提供方装置300发送账号删除的消息。该情况下,在步骤S40的账号协作仅进行账号的登记。
此外,步骤S47的SP服务利用状况储存处304的更新也可以例如参照按一定周期被存储于SP用户存储库302的用户属性部分信息302a来进行等,而不在SSO处理中进行。由此,能够减少用户的登录等待时间。此时,使SP服务利用状况储存处304的更新的一定周期比已被设定于使服务利用状况取得开始的触发器的一定周期短。
另外,上述的实施方式中所记载的手法也可以作为能够使计算机执行的程序被收纳分发于磁盘(软盘(注册商标)、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等的存储介质。
在此,作为该存储媒体,只要是能够存储程序且为计算机可读取的存储介质,则其存储形式可以是任何形态。
此外,在计算机上工作的OS(操作系统)、数据库管理软件、网络软件等的MW(中间件)等也可以基于从存储介质被安装于计算机的程序的指示来执行用于实现本实施方式的各处理的一部分。
而且,本实施方式的存储介质并不限于独立于计算机的介质,还包括下载并存储或暂时存储通过LAN或互联网等传送的程序的存储介质。
此外,存储介质并不限于一个,通过多个介质来执行本实施方式的处理的情况也包含于本实施方式的存储介质中,介质构成可以是任何构成。
另外,本实施方式的计算机是基于存储于存储介质的程序来执行本实施方式的各处理的,其可以是由一个个人电脑等构成的装置、多个装置被网络连接后的系统等任一构成。
此外,本实施方式的各存储部可以通过一个存储装置实现,也可以通过多个存储装置实现。
而且,本实施方式的计算机并不限于个人电脑,还包括信息处理机器中所含的运算处理装置、微型计算机等,是能够通过程序实现本实施方式的功能的设备、装置的总称。
符号说明:
100用户终端
200ID提供方装置
201IDP用户存储库
202IDP服务利用状况储存处
203认证协作政策储存处
204SP用户设定规则储存处
205密钥存储部
206删除对象决定政策储存处
207删除对象账号储存处
208IDP认证协作部
209认证协作操纵部
210认证协作政策评价部
211IDP账号供应部
212服务利用状况管理部
213触发器
214服务利用状况取得部
215删除对象账号决定部
300服务提供方装置
301服务数据通信部
302SP用户存储库
303服务数据储存处
304SP服务利用状况储存处
305验证政策储存处
306SP认证协作部
307服务利用状况提供部
308SP账号供应部
Claims (6)
1.一种认证协作系统,具备对用户所操作的用户终端进行登录处理的ID提供方装置和在上述登录处理结束的情况下向上述用户终端发送服务数据的服务提供方装置,上述用户终端向上述服务提供方装置发送服务利用请求,
上述ID提供方装置具备:
用户属性信息存储部,存储将用于确定上述用户的用户属性的项目名和上述用户属性的项目值建立了关联的用户属性信息,上述项目名包含用于识别上述用户的用户ID;
第一服务利用状况存储部,存储将上述用户ID、用于识别上述服务提供方装置的服务提供方ID和该服务提供方装置的利用状况建立了关联的服务利用状况信息;
认证协作政策存储部,按每个上述服务提供方ID存储认证协作政策信息,该认证协作政策信息表示作为由服务提供方装置进行的服务数据的发送被许可的对象的用户,其中该服务提供方装置是通过该服务提供方ID来识别的;
部分项目名存储部,使上述服务提供方ID与上述用户属性信息内的用户属性的项目名中的部分项目名建立关联地存储;
删除对象决定政策存储部,按每个上述服务提供方ID存储删除对象决定政策信息,该删除对象决定政策信息表示作为通过该服务提供方ID来识别的服务提供方装置的服务数据的发送许可被删除的对象的用户;
在规定的周期到来了的情况下,或上述服务提供方装置的利用状况发生了变化的情况下,取得从上述服务提供方装置发送的服务利用状况信息,并基于所取得的该服务利用状况信息对上述第一服务利用状况存储部进行更新的单元;
基于上述用户属性信息、上述服务利用状况信息和上述删除对象决定政策信息,决定包含于上述服务利用状况信息中的每个上述服务提供方ID的删除对象账号的单元;
在从接收到了上述服务利用请求的上述服务提供方装置接收到包含该服务提供方装置的服务提供方ID和上述用户终端的地址信息的认证协作请求时,发送包含该认证协作请求内的用户终端的地址信息的用户认证请求的单元;
基于所发送的上述用户认证请求内的用户终端的地址信息,向该用户终端发送登录请求,并执行基于上述用户属性信息存储部内的用户ID以及密码,对从该用户终端接收到的用户ID以及用户认证信息进行认证的登录处理的单元;
在上述登录处理已成功时,发送包含该登录处理中所使用的用户ID和上述认证协作请求内的服务提供方ID的政策评价请求的单元;
基于所发送的上述政策评价请求内的用户ID,从上述用户属性存储部读出用户属性信息的单元;
基于所发送的上述政策评价请求内的服务提供方ID,从上述认证协作政策存储部读出认证协作政策信息的单元;
基于所读出的上述认证协作政策信息和所读出的上述用户属性信息,判断是否许可发送上述服务数据的单元;
向上述政策评价请求的发送方发送包含该判断结果的政策评价应答的单元;
在上述政策评价应答内的判断结果表示许可的情况下,发送包含上述政策评价请求内的用户ID和服务提供方ID的账号协作请求的单元;
基于所发送的上述账号协作请求内的服务提供方ID,从上述部分项目名存储部读出用户属性的部分项目名的单元;
基于所读出的该部分项目名和上述账号协作请求内的用户ID,在上述用户属性存储部内取得由包含与该用户ID一致的用户ID的用户属性信息中的、与该部分项目名一致的项目名以及被关联于该项目名的项目值构成的用户属性部分信息的单元;
基于所发送的上述账号协作请求内的服务提供方ID,从上述删除对象账号决定部所决定的上述删除对象账号取得删除对象账号的单元;
将账号登记指示作为操作指示附加于所取得的上述用户属性部分信息,将账号删除指示或者账号无效指示作为操作指示附加于所取得的上述删除对象账号,来制作账号协作请求消息的单元;
向上述认证协作请求的发送方的服务提供方装置发送上述账号协作请求消息的单元;
在被上述账号协作请求消息的发送目的地的服务提供方装置通知包含该服务提供方装置的服务提供方ID和上述用户属性部分信息内的该用户终端的地址信息在内的更新结束时,发送表示该更新结束的账号协作应答的单元;
发送包含所发送的上述账号协作应答内的更新结束中所含的服务提供方ID以及上述用户ID的认证协作执行请求的单元;以及
在接收到上述认证协作执行请求时,向上述认证协作请求的发送方的服务提供方装置发送包含该认证协作执行请求内的用户ID的认证协作应答的单元,
上述服务提供方装置具备:
用户属性部分信息存储部,将用户属性部分信息与该服务提供方装置内用于识别用户的服务提供方装置SP侧用户ID建立关联地存储,上述用户属性部分信息是将上述用户属性信息存储部内的用户属性信息内的用户属性的项目名及项目值中的部分项目名与项目值建立了关联的信息;
服务数据存储部,存储上述服务数据;
第二服务利用状况存储部,将上述用户ID与该服务提供方装置的利用状况建立关联地存储;
从上述服务利用状况存储部取得该服务提供方装置的利用状况,并向上述ID提供方装置发送所取得的上述利用状况的单元;
在从上述用户终端接收到上述服务请求时,判断该服务请求是否包含认证令牌,在包含上述认证令牌的情况下,向该用户终端发送该认证令牌和上述服务数据存储部内的服务数据,在不包含上述认证令牌的情况下,向上述ID提供方装置发送上述认证协作请求的单元;
在接收到上述账号协作请求消息时,在包含于该上述账号协作请求消息的上述操作指示为上述账号登记的情况下,发行新的上述服务提供方装置SP侧用户ID,使发行的该服务提供方装置SP侧用户ID与该账号协作请求消息内的用户属性部分信息建立关联并登记到上述用户属性部分信息存储部的单元;
在包含于该上述账号协作请求消息中的上述操作指示为上述账号删除的情况下,基于该账号协作请求消息内的删除对象账号检索上述用户属性部分信息存储部,删除包含与该删除对象账号一致的用户ID的上述用户属性部分信息的单元;
在上述登记或删除之后,向上述账号协作请求消息的发送方的ID提供方装置通知包含所登记的用户属性部分信息内的用户ID或所删除的用户属性部分信息内的用户ID、以及该服务提供方装置的服务提供方ID在内的更新结束的单元;
在从上述ID提供方装置接收到上述认证协作应答时,进行该认证协作应答的验证,在验证结果为许可时,发行上述认证令牌,并发送包含上述认证协作应答中所含的用户ID和该认证令牌的服务执行请求的单元;以及
基于所发送的上述服务执行请求,向上述用户终端发送该服务执行请求内的认证令牌和上述服务数据存储部内的服务数据的单元。
2.根据权利要求1所述的认证协作系统,具备:
基于上述服务利用状况信息来判断是否许可上述服务数据的发送的单元。
3.根据权利要求1或2所述的认证协作系统,具备:
在上述删除对象账号与包含于上述用户属性部分信息的用户ID一致的情况下,使该用户属性部分信息无效的单元。
4.根据权利要求1或2所述的认证协作系统,具备:
在存储于上述第二服务利用状况存储部的上述服务提供方装置的利用状况发生了变化的情况下,向上述ID提供方装置发送该利用状况的单元。
5.一种ID提供方装置,与向用户所操作的用户终端发送服务数据的服务提供方装置连接而构成认证协作系统,向上述服务提供方装置发送服务利用请求并且对上述用户终端进行登录处理,具备:
用户属性信息存储部,存储将用于确定上述用户的用户属性的项目名和上述用户属性的项目值建立了关联的用户属性信息,上述项目名包含用于识别上述用户的用户ID;
第一服务利用状况存储部,存储将上述用户ID、用于识别上述服务提供方装置的服务提供方ID和该服务提供方装置的利用状况建立了关联的服务利用状况信息;
认证协作政策存储部,按每个上述服务提供方ID存储认证协作政策信息,该认证协作政策信息表示作为由服务提供方装置进行的服务数据的发送被许可的对象的用户,其中该服务提供方装置是通过该服务提供方ID来识别的;
部分项目名存储部,使上述服务提供方ID与上述用户属性信息内的用户属性的项目名中的部分项目名建立关联地存储;
删除对象决定政策存储部,按每个上述服务提供方ID存储删除对象决定政策信息,该删除对象决定政策信息表示作为通过该服务提供方ID来识别的服务提供方装置的服务数据的发送许可被删除的对象的用户;
向上述服务提供方装置发送利用状况取得请求,基于该利用状况取得请求取得从上述服务提供方装置发送的服务利用状况信息,并基于所取得的上述服务利用状况信息更新上述服务利用状况存储部的单元;
基于上述用户属性信息、上述服务利用状况信息和上述删除对象决定政策信息,决定包含于上述服务利用状况信息中的每个上述服务提供方ID的删除对象账号的单元;
在从接收到了上述服务利用请求的上述服务提供方装置接收到包含该服务提供方装置的服务提供方ID和上述用户终端的地址信息的认证协作请求时,发送包含该认证协作请求内的用户终端的地址信息的用户认证请求的单元;
基于所发送的上述用户认证请求内的用户终端的地址信息,向该用户终端发送登录请求,并执行基于上述用户属性信息存储部内的用户ID以及密码,对从该用户终端接收到的用户ID以及用户认证信息进行认证的登录处理的单元;
在上述登录处理已成功时,发送包含该登录处理中所使用的用户ID和上述认证协作请求内的服务提供方ID的政策评价请求的单元;
基于所发送的上述政策评价请求内的用户ID,从上述用户属性存储部读出用户属性信息的单元;
基于所发送的上述政策评价请求内的服务提供方ID,从上述认证协作政策存储部读出认证协作政策信息的单元;
基于所读出的上述认证协作政策信息和所读出的上述用户属性信息,判断是否许可发送上述服务数据的单元;
向上述政策评价请求的发送方发送包含该判断结果的政策评价应答的单元;
在上述政策评价应答内的判断结果表示许可的情况下,发送包含上述政策评价请求内的用户ID和服务提供方ID的账号协作请求的单元;
基于所发送的上述账号协作请求内的服务提供方ID,从上述部分项目名存储部读出用户属性的部分项目名的单元;
基于所读出的该部分项目名和上述账号协作请求内的用户ID,在上述用户属性存储部内取得由包含与该用户ID一致的用户ID的用户属性信息中的、与该部分项目名一致的项目名以及被关联于该项目名的项目值构成的用户属性部分信息的单元;
基于所发送的上述账号协作请求内的服务提供方ID,从上述删除对象账号决定部所决定的上述删除对象账号取得删除对象账号的单元;
将账号登记指示作为操作指示附加于所取得的上述用户属性部分信息,将账号删除指示或账号无效指示作为操作指示附加于所取得的上述删除对象账号,并制作账号协作请求消息的单元;
向上述认证协作请求的发送方的服务提供方装置发送上述账号协作请求消息的单元;
在被上述账号协作请求消息的发送目的地的服务提供方装置通知包含该服务提供方装置的服务提供方ID和上述用户属性部分信息内的该用户终端的地址信息在内的更新结束时,发送表示该更新结束的账号协作应答的单元;
发送包含所发送的上述账号协作应答内的更新结束中所含的服务提供方ID以及上述用户ID的认证协作执行请求的单元;以及
在接收到上述认证协作执行请求时,向上述认证协作请求的发送方的服务提供方装置发送包含该认证协作执行请求内的用户ID的认证协作应答的单元。
6.一种ID提供方装置的控制方法,该ID提供方装置与向用户所操作的用户终端发送服务数据的服务提供方装置连接而构成认证协作系统,向上述服务提供方装置发出服务利用请求并且对上述用户终端进行登录处理,
该控制方法使构成上述ID提供方装置的计算机执行以下步骤:
存储将用于确定上述用户的用户属性的项目名和上述用户属性的项目值建立了关联的用户属性信息的步骤,上述项目名包含用于识别上述用户的用户ID;
按每个上述服务提供方ID存储认证协作政策信息的步骤,该认证协作政策信息表示作为由服务提供方装置进行的服务数据的发送被许可的对象的用户,其中该服务提供方装置是通过该服务提供方ID来识别的;
使上述服务提供方ID与上述用户属性信息内的用户属性的项目名中的部分项目名建立关联地存储的步骤;
按每个上述服务提供方ID存储删除对象决定政策信息的步骤,该删除对象决定政策信息表示作为通过该服务提供方ID来识别的服务提供方装置的服务数据的发送许可被删除的对象的用户;
向上述服务提供方装置发送利用状况取得请求,基于该利用状况取得请求,取得从上述服务提供方装置发送的服务利用状况,并基于所取得的上述服务利用状况信息,存储将上述用户ID、对上述服务提供方装置进行识别的服务提供方ID和服务提供方装置的利用状况建立了关联的服务利用状况信息的步骤;
基于上述用户属性信息、上述服务利用状况信息和上述删除对象决定政策信息,决定包含于上述服务利用状况信息中的每个上述服务提供方ID的删除对象账号的步骤;
在从接收到了上述服务利用请求的上述服务提供方装置接收到包含该服务提供方装置的服务提供方ID和上述用户终端的地址信息的认证协作请求时,发送包含该认证协作请求内的用户终端的地址信息的用户认证请求的步骤;
基于所发送的上述用户认证请求内的用户终端的地址信息,向该用户终端发送登录请求,并执行基于上述用户属性信息的用户ID以及密码,对从该用户终端接收到的用户ID以及用户认证信息进行认证的登录处理的步骤;
在上述登录处理已成功时,发送包含该登录处理中所使用的用户ID和上述认证协作请求内的服务提供方ID的政策评价请求的步骤;
基于所发送的上述政策评价请求内的用户ID读出上述用户属性信息的步骤;
基于所发送的上述政策评价请求内的服务提供方ID读出上述认证协作政策信息的步骤;
基于所读出的上述认证协作政策信息和所读出的上述用户属性信息,判断是否许可发送上述服务数据的步骤;
向上述政策评价请求的发送方发送包含该判断结果的政策评价应答的步骤;
在上述政策评价应答内的判断结果表示许可的情况下,发送包含上述政策评价请求内的用户ID和服务提供方ID的账号协作请求的步骤;
基于所发送的上述账号协作请求内的服务提供方ID读出上述用户属性的部分项目名的步骤;
基于所读出的该部分项目名和上述账号协作请求内的用户ID,取得由包含与该用户ID一致的用户ID的上述用户属性信息中的、与该部分项目名一致的项目名以及被关联于该项目名的项目值构成的用户属性部分信息的步骤;
基于所发送的上述账号协作请求内的服务提供方ID,从所决定的上述删除对象账号取得删除对象账号的步骤;
将账单登记指示作为操作指示附加于所取得的上述用户属性部分信息,将账号删除指示或账号无效指示作为操作指示附加于所取得的上述删除对象账号,来制作账号协作请求消息的步骤;
向上述认证协作请求的发送方的服务提供方装置发送上述账号协作请求消息的步骤;
在被上述账号协作请求消息的发送目的地的服务提供方装置通知包含该服务提供方装置的服务提供方ID和上述用户属性部分信息内的该用户终端的地址信息在内的更新结束时,发送表示该更新结束的账号协作应答的步骤;
发送包含所发送的上述账号协作应答内的更新结束中所含的服务提供方ID以及上述用户ID的认证协作执行请求的步骤;以及
在接收到上述认证协作执行请求时,向上述认证协作请求的发送方的服务提供方装置发送包含该认证协作执行请求内的用户ID的认证协作应答的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012033391A JP5383838B2 (ja) | 2012-02-17 | 2012-02-17 | 認証連携システム、idプロバイダ装置およびプログラム |
| JP2012-033391 | 2012-02-17 | ||
| PCT/JP2012/005934 WO2013121476A1 (ja) | 2012-02-17 | 2012-09-18 | 認証連携システム、idプロバイダ装置およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103370714A CN103370714A (zh) | 2013-10-23 |
| CN103370714B true CN103370714B (zh) | 2016-03-16 |
Family
ID=48983646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280002794.4A Active CN103370714B (zh) | 2012-02-17 | 2012-09-18 | 认证协作系统、id提供方装置以及其控制方法 |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP5383838B2 (zh) |
| CN (1) | CN103370714B (zh) |
| SG (1) | SG193224A1 (zh) |
| WO (1) | WO2013121476A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6071847B2 (ja) * | 2013-11-06 | 2017-02-01 | 株式会社東芝 | 認証システム、方法及びプログラム |
| JP6256116B2 (ja) * | 2014-03-10 | 2018-01-10 | 富士通株式会社 | 通信端末、セキュアログイン方法、及びプログラム |
| JP6235972B2 (ja) * | 2014-08-21 | 2017-11-22 | 日本電信電話株式会社 | Idプロバイダリコメンド装置、idリコメンドシステム、および、idプロバイダリコメンド方法 |
| JP2017116986A (ja) * | 2015-12-21 | 2017-06-29 | 富士ゼロックス株式会社 | 記憶制御装置、記憶制御システムおよびプログラム |
| JP6342441B2 (ja) * | 2016-03-09 | 2018-06-13 | 株式会社東芝 | 認証処理装置および認証システム |
| CN108063681B (zh) * | 2016-11-08 | 2020-10-27 | 北京国双科技有限公司 | 一种实现单点登录系统中账户同步的方法及装置 |
| US10637868B2 (en) | 2016-11-16 | 2020-04-28 | The Boeing Company | Common authorization management service |
| US10397199B2 (en) * | 2016-12-09 | 2019-08-27 | Microsoft Technology Licensing, Llc | Integrated consent system |
| JP6897155B2 (ja) * | 2017-02-27 | 2021-06-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| CN111352552B (zh) * | 2020-03-30 | 2021-09-10 | 北京达佳互联信息技术有限公司 | 一种应用登录方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360107A (zh) * | 2008-09-19 | 2009-02-04 | 腾讯科技(深圳)有限公司 | 一种提高单次登录系统安全的方法、系统及装置 |
| CN101902329A (zh) * | 2009-05-31 | 2010-12-01 | 西门子(中国)有限公司 | 用于单点登录的方法和装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123491A (ja) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証代行方法、認証代行装置、及び認証代行システム |
| US7636941B2 (en) * | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
| US7631346B2 (en) * | 2005-04-01 | 2009-12-08 | International Business Machines Corporation | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment |
| WO2007027154A1 (en) * | 2005-08-31 | 2007-03-08 | Encentuate Pte Ltd | Fortified authentication on multiple computers using collaborative agents |
| JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
-
2012
- 2012-02-17 JP JP2012033391A patent/JP5383838B2/ja active Active
- 2012-09-18 CN CN201280002794.4A patent/CN103370714B/zh active Active
- 2012-09-18 WO PCT/JP2012/005934 patent/WO2013121476A1/ja active Application Filing
- 2012-09-18 SG SG2013016787A patent/SG193224A1/en unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360107A (zh) * | 2008-09-19 | 2009-02-04 | 腾讯科技(深圳)有限公司 | 一种提高单次登录系统安全的方法、系统及装置 |
| CN101902329A (zh) * | 2009-05-31 | 2010-12-01 | 西门子(中国)有限公司 | 用于单点登录的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于SAML的跨域单点登录的设计与实现;焦亚楠等;《计算机技术与发展》;20120110;第22卷(第1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013121476A1 (ja) | 2013-08-22 |
| JP5383838B2 (ja) | 2014-01-08 |
| CN103370714A (zh) | 2013-10-23 |
| JP2013171349A (ja) | 2013-09-02 |
| SG193224A1 (en) | 2013-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103370714B (zh) | 认证协作系统、id提供方装置以及其控制方法 | |
| CN103109298B (zh) | 认证协作系统以及id提供商装置 | |
| US8955041B2 (en) | Authentication collaboration system, ID provider device, and program | |
| JP5197843B1 (ja) | 認証連携システムおよびidプロバイダ装置 | |
| US20100299738A1 (en) | Claims-based authorization at an identity provider | |
| JP5055410B2 (ja) | 装置管理システム及びそのシステムにおける装置管理命令スケジューリング方法 | |
| US7330971B1 (en) | Delegated administration of namespace management | |
| CN102474415B (zh) | 可配置的在线公钥基础设施(pki)管理框架 | |
| JP5422753B1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
| US8205247B2 (en) | Method of authenticating a client, identity and service providers, authentication and authentication assertion request signals and corresponding computer programs | |
| CN104255007A (zh) | Oauth框架 | |
| JP2014092823A (ja) | システム及びサービス提供装置 | |
| JP6303312B2 (ja) | サービス提供システム及び画像提供方法 | |
| JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
| JP6626466B2 (ja) | Api提供装置及びapi使用権委譲の同意方法 | |
| JP6205946B2 (ja) | サービス提供システム、情報収集方法及びプログラム | |
| JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
| JP4950369B1 (ja) | アイデンティティネットワークにおけるプライバシー管理のための方法、そのための物理エンティティおよびコンピュータプログラム | |
| CN102868703A (zh) | 一种安全控制系统与方法 | |
| Pham et al. | Commitment issues in delegation process | |
| JP5264364B2 (ja) | サーバシステム、インターネット接続管理方法及びインターネット接続管理プログラム | |
| KR20100073884A (ko) | Id 연계 기반의 고객정보 중개 및 동기화 방법 | |
| JP2024127056A (ja) | システム、方法、及び、情報処理装置 | |
| JP4995995B2 (ja) | アイデンティティネットワークにおけるプライバシー管理のための方法、そのための物理エンティティおよびコンピュータプログラム | |
| TW202324154A (zh) | 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |