JP2004537090A5 - - Google Patents

Claims (17)

1. ネットワークのサブジェクトドメインにあるサブジェクトをネットワークのサーバドメインにあるサーバアプリケーションに対して認証するシステムであって、ネットワーク認証ドメインにある認証メカニズムがサーバアプリケーションによって提供されるサービスに影響を与えるシステムにおいて、
   このシステムの他の要素と通信し、サブジェクトを代理してクライアントネームアサーションを提供することによってサブジェクトをこのシステムの他の要素に対して認証するクライアントであって、サブジェクトドメインにあるクライアントと、
   前記クライアントと認証メカニズムとの間で通信を行い、かつ認証メカニズムから前記クライアントがサーバアプリケーションにアクセスするためのクリデンシャルを取得し、かつ前記クリデンシャルから前記クライアントがサーバアプリケーションにアクセスすることを可能にする認証ネームアサーションを作成するプロトコルプロキシと、
   を備えることを特徴とするシステム。
2. サブジェクトは人間ではなく、前記クライアントはサブジェクトに組み込まれており、前記クライアントはサブジェクトのためにサブジェクトのクリデンシャルを収集して、該サブジェクトのクリデンシャルを前記プロトコルプロキシに通信する請求項１記載のシステム。
3. 請求項１記載のシステムであって、ネットワーク内に複数の認証メカニズムが存在しており、該システムは、システム内の他の要素と通信しかつ前記クライアントと相互作用して前記複数の認証メカニズムの中から適切な認証メカニズムを選択するエージェントであって、ネットワークのエージェントドメインにあるエージェントを更に有するシステム。
4. 前記クライアントは前記プロトコルプロキシと相互作用して認証メカニズムの明細事項を決定し、かつ前記クライアントは前記明細事項を前記エージェントに通信する請求項３記載のシステム。
5. 前記クライアントは前記サーバアプリケーションのために前記複数の認証メカニズムの中から前記適切な認証メカニズムを決定するためのコールバックメカニズムを備える請求項３記載のシステム。
6. 前記エージェントは前記複数の認証メカニズムからサーバアプリケーションが提供するサービスに影響を与える認証メカニズムのゼロ個以上からなる部分集合を決定するためのメカニズム決定手段を備える請求項３記載のシステム。
7. 前記エージェントは前記クライアントと前記メカニズム決定手段とを媒介するエージェントを更に備える請求項６記載のシステム。
8. 前記エージェントは前記複数の認証メカニズムについての情報を記憶するメカニズムレポジトリを更に備え、前記メカニズム決定手段は、前記サーバアプリケーションが提供するサービスに影響を与える認証メカニズムのゼロ個以上の組を決定するにあたり、前記メカニズムレポジトリに問い合わせを行う請求項６記載のシステム。
9. 少なくとも一つの前記クライアントおよび前記プロトコルプロキシはSRPプロトコルを用いて認証を行う請求項１記載のシステム。
10. 前記プロトコルプロキシはネームアサーションを用いて自分自身をクライアントに対して認証する請求項１記載のシステム。
11. 前記認証ネームアサーションを受信し、前記クリデンシャルを再作成し、前記クライアントが前記クリデンシャルに基づいてサーバアプリケーションにアクセスすることを可能にするアダプタを更に備える請求項１記載のシステム。
12. ネットワークのサブジェクトドメインにあるサブジェクトをネットワークのサーバドメインにあるサーバアプリケーションに対して認証する方法であって、該方法においてネットワーク認証ドメインにある認証メカニズムがサーバアプリケーションによって提供されるサービスに影響を与えるものであり、
    （ａ） クライアントを用いてサブジェクトを代理してサブジェクトのクリデンシャルを提供することによってサブジェクトをプロトコルプロキシに対して認証することと、
    （ｂ） 認証メカニズムを介して前記プロトコルプロキシから前記クライアントがサーバアプリケーションにアクセスすることを可能とするネームアサーションを取得し、それによって前記プロトコルプロキシと認証メカニズムとの間を媒介し、サブジェクトが前記クライアントを介してサーバアプリケーションにアクセスすることを可能とすることと、
    （ｃ） 前記サブジェクトのクリデンシャルに基づいて、前記プロトコルプロキシによって、前記クライアントがサーバアプリケーションにアクセスすることを可能とする認証ネームアサーションを作成することと、
    （ｄ） 前記認証ネームアサーションを前記クライアントに通信することと、
    （ｅ） 前記認証ネームアサーションをサーバアプリケーションに通信することと、
    を含むことを特徴とする方法。
13. 請求項１２記載の方法であって、サブジェクトは人間ではなく、前記クライアントはサブジェクトに組み込まれており、該方法は更に、
    サブジェクトのためにサブジェクトのクリデンシャルをクライアントによって収集すること、および
    前記サブジェクトのクリデンシャルを前記プロトコルプロキシに通信すること、
    を含む方法。
14. 請求項１２に記載の方法であって、ネットワーク内に複数の認証メカニズムが存在し、該方法は更に、
    前記クライアントとエージェントとの間での相互作用を行い、前記複数の認証メカニズムの中から適切な認証メカニズムを選択することを含み、
    前記エージェントはネットワークのエージェントドメインにある方法。
15. 請求項１４に記載の方法であって、
    前記クライアントと前記プロトコルプロキシとの間での相互作用を行って認証メカニズムの明細事項を決定することと、
    前記明細事項を前記クライアントによって前記エージェントに通信することと、
    を更に含む方法。
16. 前記プロトコルプロキシは標準のセキュリティプロトコルを用いて前記クライアントと通信し、認証メカニズムとの通信にはメカニズムに固有のプロトコルを用いる請求項１２記載の方法。
17. 少なくとも一つの前記クライアントおよび前記プロトコルプロキシはSRPプロトコルを用いて認証を行う請求項１２記載の方法。