CN104685511B - 策略管理系统、id提供者系统以及策略评价装置 - Google Patents
策略管理系统、id提供者系统以及策略评价装置 Download PDFInfo
- Publication number
- CN104685511B CN104685511B CN201280076072.3A CN201280076072A CN104685511B CN 104685511 B CN104685511 B CN 104685511B CN 201280076072 A CN201280076072 A CN 201280076072A CN 104685511 B CN104685511 B CN 104685511B
- Authority
- CN
- China
- Prior art keywords
- unit
- request message
- access request
- isp
- decision condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Abstract
本发明涉及策略管理系统、ID提供者系统以及策略评价装置,实施方式的策略管理系统包括用户终端、对操作所述用户终端的用户的身份进行管理的ID提供者系统、和向所述用户终端提供服务数据的服务提供者系统。所述ID提供者系统按每个所述服务提供者ID,保存一对旧策略以及新策略。另外,所述ID提供者系统按每个所述服务提供者ID,保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息,所述第一差分判定条件在访问请求消息的发送日期为从旧策略向新策略的过渡期间内时被参照,所述第二差分判定条件在访问请求消息的发送日期为过渡期间外时被参照。
Description
技术领域
本发明的实施方式涉及策略管理系统、ID提供者系统以及策略评价装置。
背景技术
以社会、经济、生活对在线服务的依赖性增加的情况为背景,对与个人、组织相关的信息进行管理的身份(identity)管理的重要性正在变高。身份管理是指在各种服务、系统中,实现与个人、组织有关的信息的安全性和便利性,对从登记到变更、删除为止的身份的存活周期整体进行管理的技术。
这里,身份是在某一状况下确认个人、分组、组织/企业的信息的总体,包括识别符、证书(credentials)、属性。识别符是用于对身份进行识别的信息,相当于账户、职员编号等。证书是用于表示某个信息内容的合法性的信息,有密码等。属性是带有身份特征的信息,包括姓名、住址、生日等。
作为利用了这样的身份管理的技术的代表例,有单点登录(Single Sign-On,以下简称为SSO)。SSO是通过一次的认证手续能够利用多个应用程序、服务的技术。SSO大多用于在一个企业的内部网那样的单域中,使多个应用程序所具备的认证统一的情况。该情况下,SSO一般在HTTP Cookie中包含认证结果,通过在应用程序间共享认证结果的方式来实现。另外,SI(System Integration)供应商、中间件供应商分别独立地制造这样的SSO方式作为访问管理产品。
近年来,要求了超过单域的不同域间(以下也称为跨域)的SSO。作为理由,可举出企业统一或合并、海外发展等灵活化、以及因逐渐兴起的云计算的SaaS(Software as aService)等引起的资源外包。例如,SaaS等在想要使用时能够迅速使用的方面是优点之一。
然而,在实现跨域的SSO的情况下,认证结果的共享产生了很大的麻烦。主要的原因有两点。第一点是由于HTTP Cookie的利用被限定为单域,所以在域间无法利用HTTPCookie来共享认证结果。第二点是由于按每个域采用的访问管理产品的SSO方式在供应商间不同,所以无法简单地引入,需要通过其他途径来采取对策。
为了消除这样的原因,迫切期望SSO的标准化。作为与这样的迫切期望对应的代表性标准技术之一,有非盈利团体OASIS(Organization for the Advancement ofStructured Information Standards)制定的SAML(Security Assertion MarkupLanguage:安全断言标记语言)。
SAML是定义了与认证、许可、属性相关的信息的表现形式、以及收发步骤的规格,被成体系地规定为能够根据目的来采取各种的安装形态。主体的构成是身份提供者(Identity Provider,以下简记为IdP,称为ID提供者)、服务提供者(Service Provider,以下简记为SP,称为服务提供者)、用户这三方,通过服务提供者信任ID提供者发行的认证结果,实现了SSO。
在开始基于SAML的SSO的情况下,一般需要事先针对以下两点进行准备。第一点是在服务提供者与ID提供者之间通过业务、技术面的信息交换、协议形成,来预先构建信赖关系。第二点是一个用户按每个服务提供者具有独立的账户,并事先使这些独立的SP账户和ID提供者的账户关联。如果不是这些信赖关系的构建以及账户的事先关联等事先准备完成了的状态,则无法开始SSO。
在这样的事先准备之后,SSO沿着以下那样的步骤(1)~(6)来实现。这里,对借助Web浏览器的SSO的步骤进行说明。
(1)用户对服务提供者请求提供服务。
(2)服务提供者由于尚未进行用户的认证,所以经由用户侧的Web浏览器向ID提供者发送认证要求。
(3)ID提供者通过某种办法来对用户进行认证,生成认证声明。其中,SAML不规定认证办法而规定将认证声明向服务提供者传递的结构。为了判断服务提供者能否相信认证结果,认证声明包含认证办法的种类、证书如何被生成等信息。
(4)ID提供者将包括生成的认证声明在内的认证结果经由用户侧的Web浏览器回信给服务提供者。
(5)服务提供者基于ID提供者的认证结果来决定可否提供服务。
(6)用户接受服务提供者提供服务。
这样,在基于SAML的SSO中,用户能够仅通过向ID提供者进行一次认证手续而不执行进一步的认证手续地使用多个服务。目前,安装了独立的SSO方式的中间件供应商为了确保跨域的相互运用性,而执行SAML的安装了ID提供者/服务提供者功能的访问管理产品的销售、SAML向安装了服务提供者功能的商用Web服务的导入。
在基于SAML的SSO中,如上述那样需要事先关联以及登记账户。通常,当在企业中利用服务提供者提供的服务时,IS(Information System)部门针对服务提供者进行账户登记以及关联。
IS部门统一进行与属于企业的多数用户对应的大量的事先处理,或者在经过了由用户在任意的定时通过了一系列批准流程的手续之后进行针对该用户的账户登记以及关联。
这里,在前者的进行事先处理的情况下,由于在SSO的过程中不需执行账户登记以及关联,所以与上述的数据处理系统无关系。
另一方面,在后者的通过批准流程的情况下,除了用户之外,还需要借助用户所属的每个组织阶层的上司、筹备部门、IS部门等很多的人手,需要大量的工时。并且,由于IS部门不统一进行事先处理,所以产生基于人手的作业,不仅负担大,而且效率、便利性也差。例如,无法发挥SaaS等中的可迅速使用的优点。
因此,在SSO的过程中执行账户登记以及关联的系统中,希望具备不借助人手来决定可否利用服务的无缝结构。
因此,有一种如下所述的技术:在SSO的步骤的(2)与(3)之间基于事先定义的与服务利用相关的策略和服务的利用状况评价了服务提供者提供的服务的能否利用之后,通过插入执行账户关联以及登记的处理,来使服务提供者提供的服务的从利用申请到SSO的一系列处理自动化。
现有技术文献
专利文献1
专利文献:日本专利第4892093号公报
发明内容
发明要解决的技术问题
以上说明的技术通常没有问题。但是,根据本发明人的研究,如以下所述那样存在改进的余地。
通常,在企业中,如果进行组织变更、人事变动,则从安全的观点出发会对策略进行更新。然而,在进行组织变更、人事变动的情况下,需要进行与组织变更、人事变动相伴的交接作业,如果不借助人手地立即更新策略,则可能产生要利用的服务在该交接作业中无法利用等不良情况。因此,一般,因组织变更、人事变动引起的策略的更新经由人手来进行(即,用户进行策略更新作业)。
然而,基于人手的作业对用户的负担很大,而且有可能发生作业错误(人为错误)。
本发明想要解决的课题是,提供一种能够不经过人手来实现策略更新作业的策略管理系统、ID提供者系统以及策略评价装置。
用于解决问题的手段
实施方式的策略管理系统包括:用户终端、对操作所述用户终端的用户的身份进行管理的ID提供者系统和向所述用户终端提供服务数据的服务提供者系统。
所述用户终端具备登录执行单元、第一发送单元以及再生单元。
所述登录执行单元根据用户的操作,与所述ID提供者系统之间执行登录处理。
所述第一发送单元将包括ID提供者认证令牌和识别所述服务提供者系统的服务提供者ID的访问请求消息发送给所述ID提供者系统,所述ID提供者认证令牌在所述登录处理时被发行且包括识别该用户的用户ID。
所述再生单元接收从所述服务提供者系统发送的服务数据,对该接收到的服务数据进行再生。
所述ID提供者系统具备第一保存单元、第二保存单元、第三保存单元、第一取得单元、第一判定单元、第二取得单元、确认单元、通知接受单元、策略评价单元、第二判定单元、第三取得单元、决定单元、执行请求单元、第二发送单元以及第三发送单元。
所述第一保存单元保存将用于确定所述用户的用户属性的项目名与项目值建立关联而成的、且至少包含用户ID的用户属性信息。
所述第二保存单元按每个所述服务提供者ID保存至少定义判定条件和过渡期间的一对旧策略以及新策略,所述判定条件是用于允许由该服务提供者ID识别的服务提供者系统进行服务数据的发送的判定条件,包括由判定ID识别的多个条件且该各条件还包括多个详细条件以及职责,所述过渡期间表示当从旧策略过渡至新策略时,除了新策略之外还参照基于旧策略的判定条件的判定结果的期间。
所述第三保存单元按每个所述服务提供者ID保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息,所述第一差分判定条件在所述发送来的访问请求消息的发送日期为所述过渡期间内时被参照,所述第二差分判定条件在所述发送来的访问请求消息的发送日期为所述过渡期间外时被参照,并且包括由差分对应ID识别的条件以及职责。
所述第一取得单元在接收到所述发送来的访问请求消息时,取得与该访问请求消息内的服务提供者ID对应的新策略。
所述第一判定单元判定该访问请求消息的发送日期是否包含在所述取得的新策略中定义的过渡期间内。
所述第二取得单元在所述第一判定单元的判定结果表示包含在所述过渡期间内时,取得与所述取得的新策略对应的旧策略。
所述确认单元基于该访问请求消息内的ID提供者认证令牌所含的用户ID,来取得所述第一保存单元中保存的用户属性信息,并且确认由该访问请求消息内的服务提供者ID识别的服务提供者系统中是否保存有该用户ID。
所述通知接受单元接受从所述服务提供者系统发送的针对所述确认单元的通知,并且该通知表示保存有所述用户ID或者没有保存所述用户ID。
所述策略评价单元基于所述取得的用户属性信息,来评价所述取得的新策略或者所述取得的新策略以及旧策略。
所述第二判定单元基于所述策略评价单元的评价结果和由所述通知接受单元接受到的通知,来判定是否需要取得所述差分对应定义信息。
所述第三取得单元在所述第二判定单元的判定结果表示需要时,取得所述差分对应定义信息。
所述决定单元至少基于所述评价结果(但是在由所述第三取得单元取得了差分对应定义信息的情况下还参照该差分对应定义信息),来决定适应的判定ID。
所述执行请求单元请求执行由所述决定的判定ID识别的条件内的职责(但是,在由所述决定单元参照了所述差分对应定义信息中定义的第二差分判定条件的情况下,请求还执行该第二差分判定条件内的职责)。
所述第二发送单元根据来自所述执行请求单元的请求,将至少包括该访问请求消息内的所述ID提供者认证令牌中包含的用户ID在内的认证协作消息发送给由该访问请求消息内的服务提供者ID识别的服务提供者系统。
所述第三发送单元根据来自所述执行请求单元的请求,将拒绝画面信息发送给所述用户终端,该拒绝画面信息对由该访问请求消息内的服务提供者ID识别的服务提供者所进行的服务数据的发送被拒绝的内容进行显示。
所述服务提供者系统具备第四保存单元、发行单元以及第四发送单元。
所述第四保存单元保存用户属性信息,该用户属性信息将用于对利用服务数据的用户进行确定的用户属性的项目名与项目值建立关联而成。
所述发行单元在接收到所述发送来的认证协作请求消息时,基于该认证协作请求消息内的用户ID来验证该认证协作请求消息的合法性,在该验证的结果合法的情况下,发行包括该验证所使用的用户ID的服务提供者认证令牌。
所述第四发送单元对由所述发行的服务提供者认证令牌内的用户ID识别的用户终端发送服务数据。
附图说明
图1是表示一个实施方式涉及的策略管理系统的构成例的示意图。
图2是表示该实施方式涉及的策略保存装置中保存的旧策略的一个例子的示意图。
图3是表示该实施方式涉及的策略保存装置中保存的新策略的一个例子的示意图。
图4是表示该实施方式涉及的差分对应定义保存装置中保存的差分对应定义信息的一个例子的示意图。
图5是表示该实施方式涉及的策略评价装置的构成例的示意图。
图6是表示该实施方式涉及的策略管理系统的动作的一个例子的序列图。
图7是表示该实施方式涉及的策略管理系统的动作的一个例子的序列图。
图8是表示该实施方式的变形例涉及的策略管理系统的动作的一个例子的序列图。
具体实施方式
图1是表示一个实施方式涉及的策略管理系统的构成例的示意图,图2是表示该实施方式涉及的策略保存装置中保存的旧策略的一个例子的示意图,图3是表示该实施方式涉及的策略保存装置中保存的新策略的一个例子的示意图,图4是表示该实施方式涉及的策略差分对应定义保存装置中保存的策略差分对应定义信息的一个例子的示意图,图5是表示该实施方式涉及的策略评价装置的构成例的示意图,
策略管理系统1如图1所示,具备用户操作的用户终端100、ID提供者系统200以及多个服务提供者系统300。其中,服务提供者系统300通常为多台,但这里仅图示了1台。以下,对各装置100至300的详细功能进行说明。
用户终端100是具有通常的计算机功能而能够与ID提供者系统200以及各服务提供者系统300通信的装置,例如具有:根据用户的操作来发送希望利用由服务提供者系统300提供的服务的访问请求消息的功能、与ID提供者系统200之间执行登录处理的功能、从服务提供者系统300接收服务数据的功能、和通过CPU执行预先存储于存储器的服务利用应用程序来再生该接收到的服务数据的功能。另外,用户终端100具有对从ID提供者系统200以及各服务提供者系统300发送来的各种消息进行回信(redirect)的功能。
这里,ID提供者系统200用于管理用户的身份,具备:用户属性信息保存装置201、策略保存装置202、策略差分对应定义保存装置203、认证协作请求消息装置204、企业入口装置205、策略评价装置206、ID供应装置207以及拒绝画面显示装置208。
用户属性信息保存装置201保存作为与配置有ID提供者系统200的组织的用户相关的身份信息的用户属性信息。具体而言,用户属性信息保存装置201保存多个用户属性信息,该用户属性信息将用于对用户进行确定的用户属性的项目名与项目值建立关联,项目名中包括用于识别用户的用户ID、用户的姓名、用户的所属、用户的职务、和用户的登录处理时参照的参照信息。
其中,用户属性信息是使个人的信息带有特征的信息的集合体,作为用户属性信息的例子,如上述那样,可举出用户的姓名、用户的所属、用户的职务、用户的登录处理时参照的参照信息等,但并不限定于这些,例如也可以还包括电话号码、工作状态等任意的项目名和项目值。另外,用户的登录处理时参照的参照信息采用通常密码,但并不局限于此,例如也可以是用户的指纹等生物体认证信息。
策略保存装置202如图2以及图3所示,按对服务提供者系统300进行识别的每个服务提供者ID,保存一对旧策略202a以及新策略202b。具体而言,策略保存装置202按每个服务提供者ID,保存一对旧策略202a以及新策略202b,该一对旧策略202a以及新策略202b包括:用于允许由该服务提供者ID识别的服务提供者系统300向用户终端100发送服务数据的判定条件、使基于该判定条件的判定的结果有效的有效期间、以及当从旧策略202a过渡新策略202b时还参照基于旧策略的判定条件的判定的结果的过渡期间(也称为过渡缓期期间)。其中,判定条件包括由判定ID识别的多个条件,这些条件还包括多个详细条件以及职责。
这里,策略一般定义了谁(对象)针对哪个系统资源(资源)能够进行怎样的操作(行为)(即允许或者拒绝),作为选项对职责也进行了定义。
策略差分对应定义保存装置203如图4所示,按每个对服务提供者系统300进行识别的服务提供者ID,保存策略差分对应定义信息203a。具体而言,策略差分对应定义保存装置203保存策略差分对应定义信息203a,该策略差分对应定义信息203a包括从用户终端100发送来的访问请求消息的发送日期是过渡期间内时参照的第一差分判定条件、和从用户终端100发送来的访问请求消息的发送日期是过渡期间外时参照的第二差分判定条件。其中,第一差分判定条件包括由差分对应ID识别的多个条件,这些条件还包括与多个详细条件应用的判定ID的启示。另外,第二差分对应判定条件包括由差分对应ID识别的条件和职责。
认证协作装置204具有单点登录的ID提供者功能。具体而言,认证协作装置204具有以下的各功能(f204-1)至(f204-4)。
(f204-1)是执行基于用户属性信息保存装置201内的用户ID以及参照信息对从用户终端100发送来的用户ID以及用户认证信息进行认证的登录处理的功能。
(f204-2)是在登录处理成功时,将包括在该登录处理中使用的用户ID的ID提供者认证令牌向用户终端100发行的功能。
(f204-3)是当从ID供应装置207接收到认证协作请求时,针对ID提供者认证令牌内的包括用户ID的声明正文,生成基于未图示的密钥存储装置内的署名生成密钥(秘密密钥)的署名,来生成包括该声明正文、该数字署名、与该署名生成密钥对应的署名验证密钥(公开密钥)的认证声明的功能。
(f204-4)是将包括生成的认证声明的认证协作请求消息经由用户终端100向服务提供者系统300内的认证协作装置302发送的功能、即是使用用户终端100的回信功能来将认证协作请求消息向服务提供者系统300内的认证协作装置302发送的功能。
企业入口装置205在受理到来自用户终端100的访问请求消息的输入时,将受理了该输入的访问请求消息转送给策略评价装置206。其中,访问请求消息中包括由认证协作装置204发行的ID提供者认证令牌、和对能够提供用户希望利用的服务数据的服务提供者系统300进行表示的服务提供者ID。
策略评价装置206在受理到来自企业入口装置205的访问请求消息的输入时,基于策略保存装置202中保存的旧策略202a以及/或者新策略202b,来判定是否允许由受理了该输入的访问请求消息内的服务提供者ID识别的服务提供者系统300向用户终端100发送服务数据。其中,关于策略评价装置206的详细情况将后述。
ID供应装置207除了根据来自策略评价装置206的指示,来向认证协作装置204发送认证协作请求之外,还针对服务提供者系统300内的用户属性信息保存装置301中保存的用户属性信息执行用户属性信息的登记请求处理、更新请求处理、删除请求处理以及检索请求处理。
拒绝画面显示装置208根据来自策略评价装置206的指示,向用户终端100发送表示内容为由访问请求消息内的服务提供者ID识别的服务提供者系统300发送服务数据被拒绝的拒绝画面信息、即、使用户终端100显示拒绝画面。
这里,参照图5对策略评价装置206详细进行说明。策略评价装置206如图2所示,具备策略评价请求部211、新策略取得部212、旧策略要否判定部213、旧策略取得部214、属性信息收集部215、策略评价部216、策略差分对应判定部217、策略差分对应定义取得部218以及ID供应执行请求部219。
策略评价请求部211在受理到来自企业入口装置205的访问请求消息的输入时,经由新策略取得部212取得对用于允许由受理了该输入的访问请求消息内的服务提供者ID识别的服务提供者系统300向用户终端100发送服务数据的判定条件进行了定义的策略中的新策略202b。
旧策略要否判定部213使用由策略评价请求部211取得的新策略中定义的过渡期间,判定用户终端100对访问请求消息的发送日期是否包含在该过渡期间。当该判定的结果表示包含于该过渡期间时,旧策略要否判定部213经由旧策略取得部214取得与由策略评价请求部211取得的新策略202b对应的旧策略202a。另外,在判定的结果表示否时,旧策略要否判定部213判断为不需要取得旧策略202a而不取得旧策略。
属性信息收集部215使用访问请求消息内的ID提供者认证令牌所含的用户ID,从用户属性信息保存装置201取得用户属性信息。属性信息收集部215经由ID供应装置207来确认服务提供者系统300内的用户属性信息保存装置301中是否保存有所取得的用户属性信息、即指示ID供应装置207使用所取得的用户属性信息对服务提供者系统300内的用户属性信息保存装置301进行检索。
策略评价部216使用由属性信息收集部215取得的用户属性信息,来评价所取得的策略,具体而言,评价旧策略202a以及新策略202b双方或者仅评价新策略202b。
策略差分对应判定部217基于策略评价部216的评价结果(即,策略中定义的多个条件中的任意一个条件的成立),来判定是否需要取得策略差分对应定义保存装置203中保存的策略差分对应定义信息203a。具体而言,策略差分对应判定部217具有以下的各功能(f217-1)至(f217-7)。
(f217-1)是判定由策略评价部216针对旧策略202a以及新策略202b双方进行了评价,还是仅针对新策略202b进行了评价的功能。
(f217-2)是当(f217-1)的判定的结果表示针对双方进行了评价时,策略差分对应判定部217判定策略评价部216对旧策略202a的评价结果与对新策略202b的评价结果是否一致。
(f217-3)是当(f217-2)的判定的结果表示一致时,判断为不需要取得策略差分对应定义信息203a的功能。
(f217-4)是在(f217-2)的判定的结果表示否时,判断为需要取得策略差分对应定义信息203a,并经由差分对应定义取得部218取得策略差分对应定义信息203a的功能。
(f217-5)是在(f217-1)的判定的结果表示仅对新策略202b进行了评价时,对是否是新策略202b的评价结果为拒绝(即,图3所示的NEW-DENY-3成立)、且由属性信息收集部215保存了用户属性信息进行判定的功能。
(f217-6)是当基于(f217-5)的判定的结果表示新策略202b的评价结果为拒绝且确认了用户属性信息的保存时,判断为需要取得策略差分对应定义信息203a,并经由差分对应定义取得部218取得策略差分对应定义信息203a的功能。
(f217-7)是当基于(f217-5)的判定的结果表示否时,判断为不需要取得策略差分对应定义信息203a的功能。
ID供应执行请求部219在通过策略差分对应判定部217取得策略差分对应定义信息203a的情况下,执行遵照根据该取得的策略差分对应定义信息203a的定义在优先的策略中定义的条件内的职责的处理。另外,ID供应执行请求部219在没有通过策略差分对应判定部217取得策略差分对应定义信息203a的情况下,执行遵照基于策略评价部216的评价结果而成立的条件内的职责的处理。其中,作为由ID供应执行请求部219执行的处理的一个例子,可举出为了使ID供应装置207发送认证协作请求而将认证协作发送请求发送给ID供应装置207的处理、为了发送将服务提供者系统300内的用户属性信息保存装置301中保存的用户属性信息删除的删除请求而将删除发送请求发送给ID供应装置207的处理、为了使拒绝画面显示装置208发送拒绝画面信息而将拒绝画面信息发送请求发送给拒绝画面显示装置208的处理等。
另外,服务提供者系统300用于对用户终端100提供服务数据,如图1所示,具备用户属性信息保存装置301、认证协作装置302、服务提供装置303以及ID供应装置304。
用户属性信息保存装置301保存用户属性信息,该用户属性信息是利用由该服务提供者系统300提供的服务数据的用户的身份信息。该用户属性信息可以由与ID提供者系统200内的用户属性信息保存装置201中保存的用户属性信息同样的项目名构成,也可以由用户属性信息保存装置201中保存的用户属性信息的一部分的项目名构成。
认证协作装置302具有单点登录的服务提供者功能。具体而言,认证协作装置302具有以下的各功能(f302-1)至(f302-3)。
(f302-1)是当受理到来自ID提供者系统200内的认证协作装置204的认证协作请求消息的输入时,对受理了该输入的认证协作请求消息内的认证声明所含的数字署名使用该认证声明所含的署名验证密钥来进行验证的功能。
具体而言,首先使用认证声明所含的署名验证密钥来解码与数字署名对应的声明正文。然后,通过判定用户属性信息保存装置301内是否保存有解码后的声明正文所含的用户ID,来验证认证协作请求消息的合法性。
(f302-2)是当基于(f302-1)的功能的验证的结果表示合法时,发行包括该验证所使用的用户ID的服务提供者认证令牌的功能。其中,所发行的服务提供者认证令牌在来自用户的访问请求消息是HTTP请求的形态的情况下,被保存在该HTTP请求所含的Cookie之中。
(f302-3)是将包括通过(f302-2)的功能发行的服务提供者认证令牌的服务提供请求消息发送给用户终端100的功能。
服务提供装置303在受理到基于用户终端100的回信功能而回信的服务提供请求消息的输入时,将由该服务提供者系统300能够提供的服务数据发送给用户终端100。
ID供应装置304根据来自ID提供者系统200内的ID供应装置207的请求,来执行用户属性信息保存装置301中保存的用户属性信息的登记处理、更新处理、删除处理以及检索处理。
接下来,参照图2至4的示意图、图6以及图7的序列图来对如以上那样构成的策略管理系统的动作的一个例子进行说明。其中,在本动作例中,设预先执行使用了认证协作装置204的(f204-1)以及(f204-2)的功能的预先处理(登录处理),已经发行了ID提供者认证令牌。另外,在本动作例中,设操作用户终端的用户的所属为“X部门”,职务为“主任”,由用户终端发送了访问请求消息的日期(发送日期)为“2011/10/10”。
首先,用户终端100根据用户的操作,将包括预先处理时发行的ID提供者认证令牌、和表示能够提供用户希望利用的服务数据的服务提供者系统300的服务提供者ID的访问请求消息发送给ID提供者系统200(步骤S1)。
接着,ID提供者系统200内的企业入口装置205在受理到来自用户终端100的访问请求消息的输入时,将受理了该输入的访问请求消息转送给策略评价装置206(步骤S2)。
接下来,策略评价装置206内的策略评价请求部211在受理到来自企业入口装置205的访问请求消息的输入时,经由新策略取得部212取得对用于允许由受理了该输入的访问请求消息内的服务提供者ID识别的服务提供者系统300向用户终端100发送服务数据的判定条件进行了定义的策略中的新策略202b(步骤S3)。这里,取得图3所示的新策略202b。
接着,旧策略要否判定部213使用在步骤S3的处理中取得的新策略202b中定义的过渡期间,来判定该过渡期间中是否包括用户终端100的访问请求消息的发送日期(步骤S4)。该情况下,由于访问请求消息的发送日期为“2011/10/10”,新策略202b中定义的过渡期间为“2011/10/1~2011/10/30”,所以判定为该访问请求消息的发送日期包含于该过渡期间内。
此外,在步骤S4的判定的结果表示否的情况下,进入后述的步骤S6的处理。
在步骤S4的判定的结果表示包含于过渡期间内的情况下,旧策略要否判定部213经由旧策略取得部214取得与在步骤S3的处理中取得的新策略202b对应的旧策略202a(步骤S5)。这里,取得了图2所示的旧策略202a。
接下来,属性信息收集部215使用该访问请求消息内的ID提供者认证令牌所含的用户ID,从用户属性信息保存装置201取得用户属性信息。然后,为了确认该取得的用户属性信息是否被存储在用户属性信息保存装置301中,属性信息收集部215将包括该取得的用户属性信息内的用户ID(也可以是用户的姓名、用户属性信息本身)的确认请求消息经由ID供应装置207发送给ID供应装置304。ID供应装置304在受理到从属性信息收集部215发送来的确认请求消息的输入时,判定(检索)受理了该输入的确认请求消息内的用户ID是否包含在用户属性信息保存装置301中,并将该判定的结果通知给ID提供者系统200(步骤S6)。这里,ID提供者系统200接收到用户属性信息保存装置301中保存有由属性信息收集部215取得的用户属性信息内的用户ID这一通知。
接着,策略评价部216使用在步骤S6的处理中取得的用户属性信息,来评价到该处理为止取得的策略、即评价新策略202b以及旧策略202a双方或者仅评价新策略202b(步骤S7)。这里,评价新策略202b以及旧策略202a双方。在新策略202b的评价中,由于用户的所属为“X部门”、职务为“主任”、“服务提供者系统的用户ID登记完毕”,所以满足图3所示的新策略202b的判定ID“NEW-DENY-3”的判定条件(即,判定ID“NEW-DENY-3”成立)。另外,在旧策略202a的评价中,同样由于用户的所属为“X部门”、职务为“主任”、“服务提供者系统的用户ID登记完毕”,所以满足图2所示的旧策略202a的判定ID“OLD-PERMIT-2”的判定条件(即,判定ID“OLD-PERMIT-2”成立)。
接下来,策略差分对应判定部217使用上述的(f217-1)至(f217-7)的功能,判定是否需要取得策略差分对应定义保存装置203中保存的策略差分对应定义信息203a(步骤S8)。这里,由于在步骤S7的处理中评价新策略202b以及旧策略202a双方,在新策略202b中判定ID“NEW-DENY-3”成立(即,拒绝),在旧策略202a中判定ID“OLD-PERMIT-2”成立(即,允许),所以策略差分对应判定部217判断为需要取得策略差分对应定义信息203a,并经由策略差分对应定义取得部218取得图4所示的策略差分对应定义信息203a。
接着,ID供应执行请求部219执行遵照由适应的判定ID识别的条件内的职责的处理(步骤S9)。这里,由于在步骤S8的处理取得了策略差分对应定义信息203a,所以ID供应执行请求部219在参照了该策略差分对应定义信息203a的基础上,根据由差分对应ID“DIFF-2”识别的条件,来执行由判定ID“OLD-PERMIT-2”识别的条件内的职责“认证协作请求的执行”、即将认证协作发送请求发送给ID供应装置207。
接下来,ID供应装置207在从ID供应执行请求部219受理到认证协作发送请求时,将认证协作请求发送给认证协作装置204(步骤S10)。
接着,认证协作装置204在从ID供应装置207受理到认证协作请求时,针对包括ID提供者认证令牌内的用户ID的声明正文,生成基于未图示的密钥存储装置内的署名生成密钥(秘密密钥)的署名,并生成包括该声明正文、该数字署名、和与该署名生成密钥对应的署名验证密钥(公开密钥)的认证声明(步骤S11)。
接下来,认证协作装置204将包括在步骤S11的处理中生成的认证声明的认证协作请求消息经由用户终端100发送给认证协作装置302(步骤S12)。
接着,服务提供者系统300内的认证协作装置302在受理到从认证协作装置204发送来的认证协作请求消息的输入时,对受理了该输入的认证协作请求消息内的认证声明所含的数字署名使用该认证声明中包含的署名验证密钥来进行验证。具体而言,认证协作装置302使用认证声明所含的署名验证密钥来对与数字署名对应的声明正文进行解码,然后,通过判定用户属性信息保存装置301内是否保存有解码后的声明正文所含的用户ID,来验证认证协作请求消息的合法性(步骤S13)。这里,由于在步骤S6的处理中已经确认为用户属性信息保存装置301内保存有用户ID,所以认证协作装置302判断为该认证协作请求消息是合法的,并发行包括该用户ID的服务提供者认证令牌。
接下来,认证协作装置302将包括在步骤S13的处理中发行的服务提供者认证令牌的服务提供请求消息发送给用户终端100(步骤S14)。
接着,用户终端100在受理到从认证协作装置302发送来的服务提供请求消息的输入时,将受理了该输入的服务提供请求消息回信(redirect)给服务提供者系统300(步骤S15)。
接下来,服务提供者系统300内的服务提供装置303在受理到从用户终端100回信的服务提供请求消息的输入时,将由该服务提供者系统300能够提供的服务数据发送给用户终端100(步骤S16)。
然后,用户终端100在受理到从服务提供者系统300发送来的服务数据的输入时,对受理了该输入的服务数据进行再生(步骤S17)。
根据以上说明的一个实施方式,通过具备包括差分对应定义信息保存装置203以及策略评价装置206的ID提供者系统200的构成,能够不借助人手地实现策略更新作业。
以下,对上述的一个实施方式的变形例进行说明。
[变形例]
这里,参照图2以及图4的示意图、图6以及图8的序列图来对策略管理系统的动作的变形例进行说明。其中,在本动作例中,设预先执行使用了认证协作装置204的(f204-1)以及(f204-2)的功能的预先处理(登录处理),已经发行了ID提供者认证令牌。另外,在本动作例中,设操作用户终端的用户的所属为“X部门”、职务为“主任”、由用户终端发送了访问请求消息的日期(发送日期)为“2011/11/1”。
步骤S1至S3的处理与上述的一个实施方式同样地执行。
在步骤S4的处理中,由于访问请求消息的发送日期为“2011/11/1”、新策略202b中定义的过渡期间为“2011/10/1~2011/10/30”,所以判定为该过渡期间中不包含该访问请求消息的发送日期(即,判定为在过渡期间外)。因此,省略步骤S5的处理、进入步骤S6的处理。
另外,步骤S6的处理与上述的一个实施方式同样地执行。
在步骤S7的处理中,策略评价部216仅评价新策略202b。该情况下,由于用户的所属为“X部门”、职务为“主任”、“服务提供者系统的用户ID登记完毕”,所以满足图3所示的新策略202b的判定ID“NEW-DENY-3”的判定条件(即,判定ID“NEW-DENY-3”成立)。
在步骤S8的处理中,由于在步骤S7的处理中仅评价新策略202b,在新策略202b中判定ID“NEW-DENY-3”成立(即,拒绝),且(基于上述的步骤S6的处理)由属性信息收集部215确认为保存有用户属性信息,所以策略差分对应判定部217判断为需要取得策略差分对应定义信息203a,并经由策略差分对应定义取得部218取得图4所示的策略差分对应定义信息203a。
在步骤S9的处理中,由于在步骤S8的处理中取得了策略差分对应定义信息203a,所以ID供应执行请求部219在参照了该策略差分对应定义信息203a的基础上,根据由差分对应ID“DIFF-5”识别的条件,来进行由判定ID“NEW-DENY-3”识别的条件内的职责“拒绝画面显示的执行”,并且进行职责“执行服务提供者系统的用户ID的删除”。即,ID供应执行请求部219对拒绝画面显示装置208发送拒绝画面信息发送请求,并且对ID供应装置207发送删除发送请求。
接着,ID供应装置207在从ID供应执行请求部219接收到删除发送请求时,将包括ID提供者认证令牌内的用户ID的删除请求消息发送给ID供应装置304(步骤S18)。
接下来,服务提供者系统300内的ID供应装置304在受理到从ID供应装置207发送来的删除请求消息的输入时,将受理了该输入的删除请求消息内的用户ID(用户属性信息)从用户属性信息保存装置301删除(步骤S19)。
另外,拒绝画面显示装置208当接收到在步骤S9的处理中发送的拒绝画面信息发送请求时,将拒绝画面信息发送给用户终端100(步骤S20)。
然后,用户终端100在受理到从拒绝画面显示装置208发送来的拒绝画面信息的输入时,根据受理了该输入的拒绝画面信息,来显示拒绝画面(步骤S21)。
根据上述的变形例,与策略更新相伴的系统环境的更新作业(即,用户属性信息保存装置301中保存的用户ID(用户属性信息)的删除)也能够不借助人手地实现。
此外,上述的各实施方式中记载的方法也可以作为能够使计算机执行的程序,保存到磁盘(软(注册商标)盘、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等存储介质来进行发布。
另外,作为该存储介质,如果是能够存储程序且计算机可读取的存储介质,则其存储形式可以是任意形态。
另外,也可以基于从存储介质安装到计算机的程序的指示,由在计算机上运转的OS(操作系统)、数据库管理软件、网络软件等MW(中间件)等执行用于实现上述实施方式的各处理的一部分。
并且,各实施方式中的存储介质并不局限于与计算机独立的介质,也包括下载通过LAN、互联网等传输的程序并存储或者暂时存储的存储介质。
另外,存储介质并不局限于一个,从多个介质执行上述各实施方式中的处理的情况也包含于本发明中的存储介质,介质构成可以是任意的构成。
此外,各实施方式中的计算机也可以是基于存储介质中存储的程序,执行上述各实施方式中的各处理的构成,即是一个个人计算机等构成的装置、多个装置与网络连接的系统等任意的构成。
另外,各实施方式中的计算机并不局限于个人计算机,也包括信息处理设备中所含的运算处理装置、微型计算机等,包括能够通过程序来实现本发明的功能的设备、装置。
此外,对本发明的几个实施方式进行了说明,但这些实施方式指示例示,不意图限定发明的范围。这些新的实施方式能够通过其他各种方式来加以实施,在不脱离发明主旨的范围能够进行各种省略、置换、变更。这些实施方式及其变形包含在发明的范围、主旨中,并且,包含于权利要求所记载的发明及其等同的范围。
Claims (3)
1.一种策略管理系统,包括:用户终端、对操作所述用户终端的用户的身份进行管理的ID提供者系统和向所述用户终端提供服务数据的服务提供者系统,该策略管理系统的特征在于,
所述用户终端具备:
登录执行单元,根据用户的操作,与所述ID提供者系统之间执行登录处理;
第一发送单元,将包括ID提供者认证令牌和识别所述服务提供者系统的服务提供者ID的访问请求消息发送给所述ID提供者系统,所述ID提供者认证令牌在所述登录处理时被发行且包括识别该用户的用户ID;以及
再生单元,接收从所述服务提供者系统发送的服务数据,对该接收到的服务数据进行再生,
所述ID提供者系统具备:
第一保存单元,保存将用于确定所述用户的用户属性的项目名和项目值建立关联而成的、且至少包含用户ID的用户属性信息;
第二保存单元,按每个所述服务提供者ID保存至少定义判定条件和过渡期间的一对旧策略及新策略,所述判定条件是用于允许由该服务提供者ID识别的服务提供者系统进行服务数据的发送的判定条件,包括由判定ID识别的多个条件且这些条件还包括多个详细条件以及职责,所述过渡期间表示当从旧策略过渡至新策略时,除了新策略之外还参照基于旧策略的判定条件的判定结果的期间;
第三保存单元,按每个所述服务提供者ID保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息,所述第一差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间内时被参照,所述第二差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间外时被参照,并且包括由差分对应ID识别的条件以及职责;
第一取得单元,在接收到发送来的所述访问请求消息时,取得与该访问请求消息内的服务提供者ID对应的新策略;
第一判定单元,判定该访问请求消息的发送日期是否包含在取得的所述新策略中定义的过渡期间内;
第二取得单元,在所述第一判定单元的判定结果表示包含在所述过渡期间内时,取得与取得的所述新策略对应的旧策略;
确认单元,基于该访问请求消息内的ID提供者认证令牌所含的用户ID,取得所述第一保存单元中保存的用户属性信息,并且确认由该访问请求消息内的服务提供者ID识别的服务提供者系统中是否保存有该用户ID;
通知接受单元,接受从所述服务提供者系统发送的针对所述确认单元的通知,并且该通知表示保存有所述用户ID或者没有保存所述用户ID;
策略评价单元,基于取得的所述用户属性信息,评价取得的所述新策略、或者取得的所述新策略以及旧策略;
第二判定单元,基于所述策略评价单元的评价结果和由所述通知接受单元接受的通知,判定是否需要取得所述差分对应定义信息;
第三取得单元,在所述第二判定单元的判定结果表示需要时,取得所述差分对应定义信息;
决定单元,至少基于所述评价结果来决定适应的判定ID,但是在由所述第三取得单元取得了差分对应定义信息的情况下,还参照该差分对应定义信息来决定适应的判定ID;
执行请求单元,请求执行由所述决定的判定ID识别的条件内的职责,但是在由所述决定单元参照了所述差分对应定义信息中定义的第二差分判定条件的情况下,请求还执行该第二差分判定条件内的职责;
第二发送单元,根据来自所述执行请求单元的请求,将至少包括该访问请求消息内的所述ID提供者认证令牌中包含的用户ID在内的认证协作消息发送给由该访问请求消息内的服务提供者ID识别的服务提供者系统;以及
第三发送单元,根据来自所述执行请求单元的请求,将拒绝画面信息发送给所述用户终端,该拒绝画面信息显示由该访问请求消息内的服务提供者ID识别的服务提供者所进行的服务数据的发送被拒绝,
所述服务提供者系统具备:
第四保存单元,保存用户属性信息,该用户属性信息将用于确定利用服务数据的用户的用户属性的项目名和项目值建立关联而成;
发行单元,在接收到所述发送来的认证协作请求消息时,基于该认证协作请求消息内的用户ID来验证该认证协作请求消息的合法性,在该验证的结果是合法的情况下,发行包括该验证所使用的用户ID的服务提供者认证令牌;以及
第四发送单元,对由所述发行的服务提供者认证令牌内的用户ID识别的用户终端发送服务数据。
2.一种ID提供者系统,能够与用户终端和服务提供者系统通信,所述用户终端发送包括ID提供者认证令牌和识别服务提供者系统的服务提供者ID的访问请求消息,该ID提供者认证令牌包括识别用户的用户ID,所述服务提供者系统向所述用户终端提供服务数据,并包括保存用户属性信息的保存单元,该用户属性信息将用于确定利用所述服务数据的用户的用户属性的项目名和项目值建立关联而成,
该ID提供者系统的特征在于,具备:
第一保存单元,保存将用于确定所述用户的用户属性的项目名和项目值建立关联而成的、且至少包含用户ID的用户属性信息;
第二保存单元,按每个所述服务提供者ID保存至少定义判定条件和过渡期间的一对旧策略及新策略,所述判定条件是用于允许由该服务提供者ID识别的服务提供者系统进行服务数据的发送的判定条件,包括由判定ID识别的多个条件且这些条件还包括多个详细条件以及职责,所述过渡期间表示当从旧策略过渡至新策略时,除了新策略之外还参照基于旧策略的判定条件的判定结果的期间;
第三保存单元,按每个所述服务提供者ID保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息,所述第一差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间内时被参照,所述第二差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间外时被参照,并且包括由差分对应ID识别的条件以及职责;
第一取得单元,在接收到发送来的所述访问请求消息时,取得与该访问请求消息内的服务提供者ID对应的新策略;
第一判定单元,判定该访问请求消息的发送日期是否包含在取得的所述新策略中定义的过渡期间内;
第二取得单元,在所述第一判定单元的判定结果表示包含在所述过渡期间内时,取得与取得的所述新策略对应的旧策略;
确认单元,基于该访问请求消息内的ID提供者认证令牌所含的用户ID,取得所述第一保存单元中保存的用户属性信息,并且确认由该访问请求消息内的服务提供者ID识别的服务提供者系统中是否保存有该用户ID;
通知接受单元,接受从所述服务提供者系统发送的针对所述确认单元的通知,并且该通知表示保存有所述用户ID或者没有保存所述用户ID;
策略评价单元,基于取得的所述用户属性信息,评价取得的所述新策略、或者取得的所述新策略以及旧策略;
第二判定单元,基于所述策略评价单元的评价结果和由所述通知接受单元接受的通知,判定是否需要取得所述差分对应定义信息;
第三取得单元,在所述第二判定单元的判定结果表示需要时,取得所述差分对应定义信息;
决定单元,至少基于所述评价结果来决定适应的判定ID,但是在由所述第三取得单元取得了差分对应定义信息的情况下,还参照该差分对应定义信息来决定适应的判定ID;
执行请求单元,请求执行由所述决定的判定ID识别的条件内的职责,但是在由所述决定单元参照了所述差分对应定义信息中定义的第二差分判定条件的情况下,请求还执行该第二差分判定条件内的职责;
第一发送单元,根据来自所述执行请求单元的请求,将至少包含该访问请求消息内的所述ID提供者认证令牌所含的用户ID在内的认证协作消息发送给由该访问请求消息内的服务提供者ID识别的服务提供者系统;以及
第二发送单元,根据来自所述执行请求单元的请求,将拒绝画面信息发送给所述用户终端,该拒绝画面信息显示由该访问请求消息内的服务提供者ID识别的服务提供者所进行的服务数据的发送被拒绝。
3.一种策略评价装置,被用于ID提供者系统,该ID提供者系统能够与用户终端和服务提供者系统通信,所述用户终端发送包括ID提供者认证令牌和识别服务提供者系统的服务提供者ID的访问请求消息,该ID提供者认证令牌包括识别用户的用户ID,所述服务提供者系统向所述用户终端提供服务数据,并包括保存用户属性信息的保存单元,该用户属性信息将用于确定利用所述服务数据的用户的用户属性的项目名与项目值建立关联而成,所述ID提供者系统包括:第一保存单元,保存将用于确定所述用户的用户属性的项目名与项目值建立关联而成的、且至少包含用户ID的用户属性信息;第二保存单元,按每个所述服务提供者ID保存至少定义判定条件和过渡期间的一对旧策略及新策略,所述判定条件是用于允许由该服务提供者ID识别的服务提供者系统进行服务数据的发送的判定条件,包括由判定ID识别的多个条件且这些条件还包括多个详细条件以及职责,所述过渡期间表示当从旧策略过渡至新策略时,除了新策略之外还参照基于旧策略的判定条件的判定结果的期间;以及第三保存单元,按每个所述服务提供者ID保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息,所述第一差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间内时被参照,所述第二差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间外时被参照,并且包括由差分对应ID识别的条件以及职责,
所述策略评价装置的特征在于,具备:
第一取得单元,在接收到发送来的所述访问请求消息时,取得与该访问请求消息内的服务提供者ID对应的新策略;
第一判定单元,判定该访问请求消息的发送日期是否包含在取得的所述新策略中定义的过渡期间内;
第二取得单元,在所述第一判定单元的判定结果表示包含在所述过渡期间内时,取得与取得的所述新策略对应的旧策略;
确认单元,基于该访问请求消息内的ID提供者认证令牌所含的用户ID,取得所述第一保存单元中保存的用户属性信息,并且确认由该访问请求消息内的服务提供者ID识别的服务提供者系统中是否保存有该用户ID;
通知接受单元,接受从所述服务提供者系统发送的针对所述确认单元的通知,并且该通知表示保存有所述用户ID或者没有保存所述用户ID;
策略评价单元,基于取得的所述用户属性信息,评价取得的所述新策略、或者取得的所述新策略以及旧策略;
第二判定单元,基于所述策略评价单元的评价结果和由所述通知接受单元接受的通知,判定是否需要取得所述差分对应定义信息;
第三取得单元,在所述第二判定单元的判定结果表示需要时,取得所述差分对应定义信息;
决定单元,至少基于所述评价结果来决定适应的判定ID,但是在由所述第三取得单元取得了差分对应定义信息的情况下,还参照该差分对应定义信息来决定适应的判定ID;以及
执行请求单元,请求执行由所述决定的判定ID识别的条件内的职责,但是在由所述决定单元参照了所述差分对应定义信息中定义的第二差分判定条件的情况下,请求还执行该第二差分判定条件内的职责。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2012/074689 WO2014049709A1 (ja) | 2012-09-26 | 2012-09-26 | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104685511A CN104685511A (zh) | 2015-06-03 |
CN104685511B true CN104685511B (zh) | 2017-10-24 |
Family
ID=50287276
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280076072.3A Active CN104685511B (zh) | 2012-09-26 | 2012-09-26 | 策略管理系统、id提供者系统以及策略评价装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9571525B2 (zh) |
JP (1) | JP5422753B1 (zh) |
CN (1) | CN104685511B (zh) |
SG (1) | SG11201502282QA (zh) |
WO (1) | WO2014049709A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9998446B2 (en) * | 2014-08-29 | 2018-06-12 | Box, Inc. | Accessing a cloud-based service platform using enterprise application authentication |
US20170026474A1 (en) * | 2015-07-22 | 2017-01-26 | Microsoft Technology Licensing, Llc | Communication Session Recording |
US10382418B1 (en) * | 2015-09-30 | 2019-08-13 | EMC IP Holding Company LLC | Authentication systems with selective authentication method |
US9942321B2 (en) | 2016-01-06 | 2018-04-10 | Ca, Inc. | Identity-to-account correlation and synchronization |
US10397199B2 (en) * | 2016-12-09 | 2019-08-27 | Microsoft Technology Licensing, Llc | Integrated consent system |
US10341852B2 (en) * | 2017-06-02 | 2019-07-02 | Apple Inc. | Informational articles in response to detection of devices or software |
CN110390205B (zh) * | 2018-04-19 | 2023-05-23 | 腾讯科技(深圳)有限公司 | 权限配置策略的确定方法和装置 |
CN108900568B (zh) * | 2018-05-25 | 2020-09-18 | 山东中创软件商用中间件股份有限公司 | 一种表格传输的方法、系统及服务器 |
US20200145459A1 (en) * | 2018-11-01 | 2020-05-07 | Intuit Inc. | Centralized authentication and authorization |
CN112202750B (zh) * | 2020-09-25 | 2023-01-24 | 统信软件技术有限公司 | 策略执行的控制方法、策略执行系统及计算设备 |
US11874937B2 (en) * | 2020-12-30 | 2024-01-16 | Atlassian Pty Ltd | Apparatuses, methods, and computer program products for programmatically parsing, classifying, and labeling data objects |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1956385A (zh) * | 2005-09-28 | 2007-05-02 | 株式会社Ntt都科摩 | 信息发送终端和方法、以及物品信息发送系统和方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7673323B1 (en) | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
US7395333B1 (en) * | 2000-05-09 | 2008-07-01 | Sun Microsystems, Inc. | Method and apparatus to obtain negotiated service advertisement |
US7606801B2 (en) | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
US8140362B2 (en) | 2005-08-30 | 2012-03-20 | International Business Machines Corporation | Automatically processing dynamic business rules in a content management system |
US8418234B2 (en) | 2005-12-15 | 2013-04-09 | International Business Machines Corporation | Authentication of a principal in a federation |
JP5072550B2 (ja) * | 2007-11-27 | 2012-11-14 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2010152463A (ja) * | 2008-12-24 | 2010-07-08 | Fuji Xerox Co Ltd | ポリシーサーバ、アクセス管理システム及びポリシー管理プログラム |
JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
-
2012
- 2012-09-26 WO PCT/JP2012/074689 patent/WO2014049709A1/ja active Application Filing
- 2012-09-26 SG SG11201502282QA patent/SG11201502282QA/en unknown
- 2012-09-26 CN CN201280076072.3A patent/CN104685511B/zh active Active
- 2012-09-26 JP JP2012544355A patent/JP5422753B1/ja active Active
-
2015
- 2015-03-26 US US14/670,036 patent/US9571525B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1956385A (zh) * | 2005-09-28 | 2007-05-02 | 株式会社Ntt都科摩 | 信息发送终端和方法、以及物品信息发送系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2014049709A1 (ja) | 2016-08-22 |
US20150200971A1 (en) | 2015-07-16 |
JP5422753B1 (ja) | 2014-02-19 |
WO2014049709A1 (ja) | 2014-04-03 |
SG11201502282QA (en) | 2015-05-28 |
US9571525B2 (en) | 2017-02-14 |
CN104685511A (zh) | 2015-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104685511B (zh) | 策略管理系统、id提供者系统以及策略评价装置 | |
US20200236147A1 (en) | Brokered authentication with risk sharing | |
EP2689372B1 (en) | User to user delegation service in a federated identity management environment | |
US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
US8332922B2 (en) | Transferable restricted security tokens | |
Windley | Digital Identity: Unmasking identity management architecture (IMA) | |
US8726358B2 (en) | Identity ownership migration | |
US9053306B2 (en) | Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium | |
CN117150581A (zh) | 安全身份和档案管理系统 | |
US9037849B2 (en) | System and method for managing network access based on a history of a certificate | |
US20120311663A1 (en) | Identity management | |
CN107005605A (zh) | 服务授权中的设备标识 | |
KR20060032888A (ko) | 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법 | |
US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
JP2010186250A (ja) | 分散情報アクセスシステム、分散情報アクセス方法及びプログラム | |
JP4805615B2 (ja) | アクセス制御方法 | |
CN104718551B (zh) | 策略更新系统以及策略更新装置 | |
JP2006119769A (ja) | コンテンツ提供システム | |
JP2009258907A (ja) | 承認者選択方法、システム及び装置 | |
US20140122869A1 (en) | System and method for providing a certificate for network access | |
US20180189465A1 (en) | Message providing and assessment system | |
CN109313681A (zh) | 具有审计功能的虚拟智能卡 | |
JP5818635B2 (ja) | ログイン認証システムおよび方法 | |
JP6082507B1 (ja) | サーバ装置、サービス方法、プログラム、および非一時的なコンピュータ読取可能な情報記録媒体 | |
US11954672B1 (en) | Systems and methods for cryptocurrency pool management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |