JP2005293565A - シングルサインオンフレームワークにおけるワークフローを管理する方法及び装置 - Google Patents
シングルサインオンフレームワークにおけるワークフローを管理する方法及び装置 Download PDFInfo
- Publication number
- JP2005293565A JP2005293565A JP2005067992A JP2005067992A JP2005293565A JP 2005293565 A JP2005293565 A JP 2005293565A JP 2005067992 A JP2005067992 A JP 2005067992A JP 2005067992 A JP2005067992 A JP 2005067992A JP 2005293565 A JP2005293565 A JP 2005293565A
- Authority
- JP
- Japan
- Prior art keywords
- application
- task
- user
- subtask
- action
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000009471 action Effects 0.000 claims abstract description 41
- 238000012544 monitoring process Methods 0.000 claims abstract description 5
- 230000007246 mechanism Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】シングルサインオンフレームワークにおけるワークフローを管理する方法。
【解決手段】アプリケーションに関連づけられ、サブタスクを指定するアプリケーションアダプタを取得するステップと、状態を取得するためアプリケーションを監視するステップと、状態がサブタスクに関連付けられている場合にサブタスクに関連付けられたアクションを実行するステップとを含む。一実施形態として、シングルサインオン認証セッションがある。
【選択図】図3
【解決手段】アプリケーションに関連づけられ、サブタスクを指定するアプリケーションアダプタを取得するステップと、状態を取得するためアプリケーションを監視するステップと、状態がサブタスクに関連付けられている場合にサブタスクに関連付けられたアクションを実行するステップとを含む。一実施形態として、シングルサインオン認証セッションがある。
【選択図】図3
Description
[0001]パスワード管理は、システム(すなわち、複数のアプリケーションを実行するコンピュータ)のエンドユーザにとって複雑で取り扱いにくいタスクになってきた。テクノロジーのセキュリティを意識する現代において、パスワード管理の複雑さは典型的にセキュリティと生産性損失の妥協を生じさせる。したがって、システムログインの焦点は、システム内の多数の様々なアプリケーションのためのユーザ認証及びサインオン機能の協調と統合に向けてシフトしている。
[0002]協調と統合を行うこのようなツールの1つはシングルサインオン(SSO)として既知である。SSOは、ユーザが1つの名前及びパスワードを入力するとシステム内の多数のアプリケーションへアクセスすることを許可されるユーザ認証プロセスである。典型的にネットワークセッションの開始時に要求されるSSOは、ユーザの認証後にすべての許可されたアプリケーション(すなわち、ユーザが適切なアクセス権を有する場所)へのアクセサビリティを可能にさせる。そのようにすることで、SSOは、ユーザが特定のネットワークセッション中にアプリケーションを切り替えるときに将来の認証プロンプトを取り除く。このように、SSOは、ユーザが、有効であるならば、すべての認証されたシステムリソースへのアクセス許可をユーザに与える関係を確立する1組の認証資格を準備することを可能にさせる。
[0003]より詳細には、ユーザは、ユーザエージェント(すなわち、デスクトップブラウザ、モバイル機器など)を用いてSSOログオンセッションを開始する。ユーザの認証情報が確認されたとき、SSOはユーザの認証セッションを表すためマスタートークンを発生する。マスタートークンは、システムがマスタートークンを識別する際に用いる一意のIDを含む。その上、マスタートークンは、ユーザがシステム内でアクセスを要求する種々のアプリケーションを追跡する能力を備えている。典型的に、マスタートークンは、ユーザのユーザID、ユーザがシステムにアクティブ接続されている時間の長さ(すなわち、セッション長さ)などのようなセッション情報を参照する。従来、マスタートークンはアプリケーションごとのユーザアプリケーションの必要性を避けるためSSOセッションに参加する多数のアプリケーションへ渡される。
[0004]SSOはユーザ利便性を提供するが、より重要なことは、SSOはユーザがシステム上の多数のアプリケーションを利用するために機密情報(すなわち、パスワード、ユーザID、クレジットカード番号、社会保障番号など)を入力しなければならない回数を制限するので、セキュリティ性を高めることである。更に、要求されたアプリケーションごとにユーザの情報を確認するための作業がユーザから見えない。換言すると、ユーザは各アプリケーションがユーザにアクセスを許可する前にどのように認証情報を受信し検査するかを知る必要がない。
[0005]概して述べるならば、一態様において、本発明は、アプリケーションに関連付けられ、サブタスクを指定するアプリケーションアダプタを取得するステップと、状態を取得するためアプリケーションを監視するステップと、状態がサブタスクに関連付けられている場合にサブタスクに関連付けられたアクションを実行するステップとを備える、アプリケーションのワークフローを管理する方法に関する。
[0006]また、概して述べるならば、一態様において、本発明は、状態を備えたアプリケーションと、状態に関連付けられたアクションを定義するため構成されたアプリケーションアダプタと、アプリケーションを監視し、その状態が出現したときにそのアクションを実行するため構成されたアプリケーションアダプタランタイムと、を備える、アプリケーションのワークフローを管理するシステムに関する。
[0007]本発明のその他の態様は以下の説明及び特許請求の範囲の記載から明らかである。
[0011]次に、添付図面を参照して本発明の具体的な実施形態を詳細に説明する。各種の図面における同様の要素は一貫性を保つため同様の参照番号を用いて表される。
[0012]以下の本発明の実施形態の詳細な説明において、多数の具体的な細部が本発明のより完全な理解ができるように記載されている。しかし、当業者に明らかであるように、本発明はこれらの具体的な細部を用いることなく実施できる。他の事例において、周知の特長は、本発明をわかりにくくすることを避けるために詳細には説明しない。
[0013]一般に、本発明の1つ以上の実施形態はSSO環境においてワークフローを管理する方法及び装置に関する。より詳細には、本発明の実施形態は、SSQ環境で実行するアプリケーションの各種状態を監視し、状態が発生したときに各種アクションを実行することにより、ユーザがワークフローを管理することを可能にさせる。
[0014]図1は本発明の一実施形態によりSSO環境においてワークフローを管理するシステムを示す。特に、このシステムは、サーバ(100)及び1つ以上のクライアント(102)を含む。本発明の一実施形態では、サーバ(100)はサーバ認証コンポーネント(104)及びSSOサーバコンポーネント(106)を含む。サーバ認証コンポーネント(104)はクライアント(102)と相互作用するユーザを認証する機能を含む。より詳細には、本発明の一実施形態では、サーバ認証コンポーネント(104)はデータベース(110)から認証プロファイル(108)を取り出す機能を含む。認証プロファイル(108)はユーザを認証するために必要な情報を含む。サーバ認証コンポーネント(104)はユーザの認証をガイドするために認証プロファイル(108)を使用する(すなわち、バイオメトリクス(たとえば、指紋読み取り、音声、網膜スキャン)、スマートカードからのパスワードなどのような認証の方法を指示し、ユーザを確認するため使用される認証情報のコピーなどを含む。)。
[0015]本発明の一実施形態において、サーバ認証コンポーネント(104)はクライアント認証コンポーネント(126)を介してユーザを認証するために情報を取り出す。クライアント認証コンポーネント(126)は典型的にユーザに認証情報の入力を指示し、デバイスモジュール(128)(すなわち、認証情報を入力するために必要なハードウェア、たとえば、指紋リーダ)と連動する。
[0016]図1の説明を続けると、SSOサーバコンポーネント(106)はクライアント(102)がワークフロー管理を実行できるようにさせるために必要な情報をクライアント(102)に提供する機能を含む。特に、ユーザがサーバ認証コンポーネント(104)によって無事に認証されると、SSOサーバコンポーネント(106)は対応したSSOプロファイル(112)をデータベース(110)から取り出すことに取りかかる。本発明の一実施形態において、SSOプロファイル(112)は1つ以上のアプリケーションアダプタ(114)を含む。本発明の一実施形態において、アプリケーションアダプタはワークフロー管理を可能にするために必要な情報を含む。
[0017]本発明の一実施形態において、アプリケーションアダプタ(114)は二つの部分、すなわち、初期化部及びスクリプト部(図示せず)を含む。本発明の一実施形態では、初期化部は(そのアプリケーションアダプタ(114)が関連付けられた)アプリケーションがどのように開始されるかを決める情報を含む。この情報は、アダプタタイプ(たとえば、ウィンドウズアプリケーション、ウェブベースアプリケーション、端末エミュレータアプリケーションなど)、アダプタ名、アプリケーション実行可能名、アプリケーション実行可能パス、アプリケーション開始のための作業用ディレクトリ、アプリケーションのためのコマンドラインオプション、アプリケーション内の状態を記録する際にアプリケーションを開始する方法に関する情報、関連したスクリプトファイル(すなわち、スクリプト部)のロケーションを含むが、これらに限定されない。本発明の一実施形態において、アプリケーションアダプタ(114)のスクリプト部は、アプリケーションアダプタ(114)がランタイムにアプリケーション(132)と相互作用する方法を指示する情報、たとえば、特定のアプリケーション状態中にどのアクションを実行すべきであるかに関する情報を含む。
[0018]図1の説明を続けると、サーバ(100)はまたサーバ側セッションプロトコル(116)及びサーバ通信レイヤ(118)を含む。サーバ側セッションプロトコル(116)は種々のセッション(すなわち、認証セッション及びSSOセッション)のためのセッションプロトコルを管理するため使用される。サーバ通信レイヤ(118)はサーバ(100)とクライアント(102)との間の通信を管理する機能を含む。より詳細には、サーバ通信レイヤ(118)はクライアント(102)側に存在するクライアント通信レイヤ(120)との間で情報を授受する機能を含む。
[0019]本発明の一実施形態において、クライアント(102)は、クライアント通信レイヤ(120)、クライアント側セッションプロトコル(122)、SSOクライアントコンポーネント(124)、クライアント認証コンポーネント(126)、及び、アプリケーションアダプタラインタイム(130)を含む。サーバ側セッションプロトコル(116)と同様に、クライアント側セッションプロトコル(122)はクライアント(102)側のセッションを管理する。更に、SSOクライアントコンポーネント(124)はワークフロー管理を可能にするための機能を含む。特に、本発明の一実施形態では、ユーザが認証されると、SSOクライアントコンポーネント(124)はSSOサーバコンポーネント(106)に対してSSOプロファイル(112)をクライアント(102)へ転送することを要求する。その上、SSOクライアントコンポーネント(124)はアプリケーションアダプタランタイム(130)を開始するために必要な機能を含む。
[0020]本発明の一実施形態において、アプリケーションアダプタランタイム(130)はアプリケーションアダプタ(114)内の情報、すなわち、初期化部の情報及びスクリプト部の情報を解釈する機能を含む。更に、アプリケーションアダプタランタイム(130)はアプリケーション(132)の状態を監視しその状態に関連したアクションを実行する機能を含む。
[0021]当業者は、上記の説明ではユーザが二つのプロファイル(すなわち、認証プロファイル(108)及びSSOプロファイル(112))を有するが、これらのプロファイルが1つのファイルに統合され、プロファイルとして呼んでもよいことを認める。
[0022]図2は本発明の一実施形態によるデータ構造階層図である。特に、図2は、ユーザ(150)とプロファイル(152)とアプリケーションアダプタ(154)の間の関係を示す。本発明の一実施形態において、一人以上のユーザ(すなわち、ユーザA(150A)、ユーザN(150N))は1つのプロファイル(すなわち、プロファイルA(152A)、プロファイルN(152N))が関連付けられる。更に、プロファイル(152)は1つ以上のアプリケーションアダプタ(アプリケーションアダプタA(154A)、アプリケーションアダプタN(154N))が関連付けられる。上記の階層を用いると、単一のアプリケーションアダプタ(154)は複数のユーザによって使用され、コードの再利用が促進される。
[0023]当業者はユーザ(150)が共通のユーザ名及び認証情報を用いてシステムにアクセスするユーザのグループに対応することを認める。
[0024]図3は本発明の一実施形態によるフローチャートである。より詳細には、図3は本発明の一実施形態によりアプリケーションのためのアプリケーションアダプタを生成する方法を示す。最初に、タスクのタイプが選択される(ステップ100)。本発明の一実施形態では、タスクは、ログイン前タスク、ログインタスク、ログイン後タスク、ログアウトタスク、及び、終了前タスクに対応する。上記のタスク識別名は、典型的にアプリケーションのワークフローを組織化するための手段として使用される。
[0025]図3の説明を続けると、タスクが選択された後、サブタスクが次に指定される(ステップ102)。本発明の一実施形態では、サブタスクはタスクの機能部に対応する。特に、サブタスクは、アクションを実行する前に充足されるべきアプリケーションの実行前状態、実行するアクション、及び、アクションの成功終了を示すアプリケーションの実行後状態を規定する。次に、アプリケーションタイプが選択される(ステップ104)。上記のように、アプリケーションタイプは、アプリケーションがウィンドウズアプリケーション、ウェブベースアプリケーション、ターミナルエミュレータアプリケーションなどであるか否かを示す。アプリケーションタイプに関する情報は、典型的にアプリケーションの様々な状態を取得する方法を決めるために使用される。本発明の一実施形態において、アプリケーションの状態は、テキスト、ウィンドウタイトル、親ウィンドウ及び子ウィンドウ、制御ID、アプリケーション内のウィンドウの列挙順、ウィンドウクラス(すなわち、ウィンドウが作成されたときに割り当てられる人為的な属性)の集まりによって定義される。
[0026]状態を記録する方法は引き続き選択される(ステップ106)。本発明の一実施形態において、自動状態設定メカニズムがアプリケーションの状態を取得するため使用される。本発明の別の実施形態では、手動状態設定メカニズムがアプリケーションの状態を取得するため使用される。上記の状態が指定されると、サブタスクに対応する状態が(自動状態設定メカニズムを使用するならば)記録され、手動状態設定メカニズムを使用する場合には定義される(ステップ108)。状態を取得するため使用されるメカニズムとは無関係に、状態が記録/定義されると、1つ以上のアクションが次にその状態に関連付けられる(ステップ110)。たとえば、アクションは、ユーザにデータの入力を要求すること、特定のデータを取り出すこと、アプリケーションの特定の部分へユーザを自動的に誘導することなどを含む。
[0027](1つ以上の)アクションが状態に関連付けられると、更なるサブタスクを指定すべきであるか否かが判定される(ステップ112)。更なるサブタスクが必要であるならば、次に、ステップ102〜112は、特定のタスクに対して指定されるべきサブタスクがなくなるまで繰り返される。特定のタスクに対するすべてのサブタスクが指定されたならば、更なるタスクを選択するか否かが判定される(ステップ114)。更なるタスクが選択された場合、ステップ100〜114は選択されるべきタスクがなくなるまで繰り返される。
[0028]すべてのタスクが選択され、これらのサブタスクが定義されると、上記ステップの間に収集された情報がアプリケーションアダプタの初期化部を生成するため使用され(ステップ116)、アプリケーションアダプタのスクリプト部を生成するため使用される(ステップ118)。本発明の一実施形態において、初期化部はアプリケーションアダプタを一次実行可能コード、すなわち、アプリケーションアダプタに関連したアプリケーションが開始されるときに実行されるコードの最初の部分にセットする。
[0029]本発明の一実施形態において、アプリケーションアダプタのスクリプト部は拡張マークアップ言語(XML)で表現される。或いは、アプリケーションアダプタのスクリプト部は独自のバイナリフォーマットで記述してもよい。得られたアプリケーションアダプタは、続いて、1つ以上のプロファイルが関連付けられる(ステップ120)。当業者は、各アプリケーションアダプタが1つ以上のタスクを含み、各タスクが1つ以上のサブタスクを含むことを認める。
[0030]本発明の一実施形態において、1個以上のパラメータがサブタスクを記録する間に定義される。これらのパラメータは、特定のアプリケーションに関連付けられたアイデンティティ、パスワード、ドメインなどを含む。更に、ボタンのクリックやドロップダウンリストメニューの選択のような制御アクションもサブタスクを記録する間に定義される。その上、動的変数がユーザによって特定のサブタスクに付加される。動的変数は、ローカルデータレポジトリから取得してもよく、又は、外部システムを通じて取得してもよい。本発明の一実施形態では、動的変数の値は、サブタスク内でアクションが実行されるときに決められる。したがって、動的変数の値は、アプリケーションアダプタがアプリケーションのコンテキスト(すなわち、新しい変数の値)に基づいて様々なアクションを実行することを可能にさせる。
[0031]図4は本発明の一実施形態によるアプリケーションアダプタの使用方法を示す。最初に、ユーザが認証される(ステップ130)。本発明の一実施形態において、ユーザは図1に示された認証インフラストラクチャを使用して認証される。ユーザが認証されると、ユーザに関連付けられたSSOプロファイル(1つ以上のアプリケーションアダプタを含む)が取り出され(ステップ132)、ユーザが使用しているクライアント側にロードされる(ステップ134)。アプリケーションアダプタランタイムが、続いて開始される(ステップ136)。この段階で、上記のステップを実行するシステムはSSOプロファイル内でアプリケーションアダプタを使用する準備が完了している。
[0032]ユーザは次に特定のアプリケーションが開始されることを要求する(ステップ138)。この要求はアプリケーションアダプタランタイムによって途中で捕捉され、アプリケーションアダプタランタイムは、アプリケーションを開始し、また、アプリケーションの様々なステップの監視を開始するためにアプリケーションに関連付けられたアプリケーションアダプタランタイムの初期化部を使用する(ステップ140)。アプリケーションが様々な状態を経るとき、アプリケーションアダプタランタイムは状態を監視し、状態に関連したサブタスクが存在するか否かを判定する(ステップ142)。
[0033]あるサブタスクがその状態に関連付けられているならば、次に、アプリケーションアダプタはサブタスク内に指定されたアクションを実行する(ステップ144)。本発明の一実施形態において、アプリケーションアダプタランタイムはアクションを実行する機能を含む。更に、アプリケーションアダプタランタイムは、アクションを実行する前に、最初にアプリケーションの状態(すなわち、実行前状態)をサブタスクに定義された実行前状態と照合する。アプリケーションの実行前状態がサブタスクに定義された実行前状態と一致するならば、アプリケーションアダプタはそのアクションの実行に取りかかる。
[0034]アクションの終了後、アプリケーションアダプタランタイムは、アクションの実行が成功したか否かを判定するためアプリケーションの状態(すなわち、実行後状態)を検証する。アプリケーションが(実行後状態によって示されるように)正しく実行されたならば、アプリケーションアダプタランタイムはアプリケーションが実行を継続することを可能にさせる(ステップ146)。ステップ140〜146はアプリケーションが終了されるまで繰り返される。
[0035]既に説明したように、各タスクは多数のサブタスクを含んでもよい。本発明の一実施形態において、ユーザは、ツールバークライアント又はカスタムインタフェースクライアントを介して、各タスク内の唯一のサブタスクだけがアプリケーションアダプタランタイムによって実行されることを指定する。或いは、ユーザは、ツールバークライアント又はカスタムインタフェースクライアントを介して、アプリケーションアダプタランタイムがタスク内で指定された2個以上のサブタスクを実行することを指定してもよい。
[0036]以下の実施形態は本発明の一実施形態を説明するため使用され、アプリケーションの範囲を制限する意図はない。カスタマ・リレーションシップ・バンキング・アプリケーション(CRBA)のための以下のシナリオを検討する。このシナリオは、以下の特長を含み、すなわち、(1)CRBAがネットワーク状にマッピングされたドライブ装置で開始され、(2)アプリケーションランチャーがユーザに(アプリケーションランチャーがCRBAの適切なバージョンを開始することを可能にさせる)従業員識別番号をタイプすることを要求し、(3)CRBAが開始された後、ユーザがアプリケーションにログインし、(4)ユーザがCRBAにログインすると、ユーザは、当座口座エリア、普通口座エリア、マネーマーケット口座エリアなどのようなCRBAの種々のエリアへ直接的に誘導される。
[0037]実施形態の目的のため、ログインには3通りの状況が含まれる。第1の状況は、ユーザがユーザID及びパスワードの入力を要求される成功ログインである。ユーザは、CRBAによって受け付けられるユーザID及びパスワードを準備し、ユーザはアプリケーションへのアクセス許可を取得する。第2の状況は、ユーザが間違ったパスワード/ユーザIDの組み合わせのためにログインすることができない不成功ログインである。第3の状況は、ユーザが正しいパスワードを保有するが、パスワードが期限切れであるためにそのパスワードが受け付けられないというパスワード変更イベントの状況である。この場合、CRBAは新パスワードをユーザに促す。
[0038]次に、上記のシナリオで使用されるアプリケーションアダプタを説明する。アプリケーションアダプタはログイン前タスク及びログインタスクを含む。ログイン前タスクでは、ユーザIDは外部パラメータとして設定される。ログイン前タスクの実行前状態はユーザIDのためのプロンプトを認識するため設定される。プロンプトが発生されたとき、特定のユーザに対応するユーザIDが、アプリケーションアダプタランタイムを介して、アプリケーションへ供給される。ユーザIDが与えられると、ユーザIDが入力されたことを認識するため実行後状態が設定される。
[0039]ログインタスクは上記のログイン状況のそれぞれを取り扱うためのサブタスクを含む。ログインサブタスクは、ログイン情報プロンプトに対応する実行前状態を含む。ログインサブタスクはCRBAへのログインの方法を定義するアクションを含む。特に、ログインアクションは、レポジトリのためのユーザのパスワードを取り出し、そのパスワードをCRBAへ提示するためのスクリプトを含んでもよい。ログインサブタスクはまた、ログイン情報がアプリケーションへ送信されたことを検証するための実行後状態を含む。後続の成功サブタスクが定義され、ログインが成功であることを検証する。このサブタスクは、ログインが成功であったことを反映する実行前状態を定義するだけであり、アクションを含まない。
[0040]ユーザIDが正しく、パスワードが間違っている状況では、アプリケーションアダプタはログインを実行するため使用された同じサブタスクを使用するが、更なるサブタスクが最終的に失敗したログインを取り扱うため定義される。特に、失敗ログインサブタスクが定義され、失敗したログインから生じたエラーメッセージを検出する。失敗ログインタスクの実行前状態はアプリケーション状態に対応する(たとえば、実行前状態がエラーメッセージを検出する。)。サブタスク内に定義されたアクションは、ユーザに正しいパスワードの入力を要求し、正しいパスワードをアプリケーションへ渡す。(成功サブタスクによって検証されるように)成功であるならば、ユーザはアプリケーションにログインさせられる。
[0041]ユーザID及びパスワードが正しく、パスワードの期限が切れている状況では、同じログインサブタスクが使用される。しかし、引き続いて成功サブタスクを実行するのではなく、パスワード変更サブタスクがトリガーされる。パスワード変更サブタスクは、新パスワードを与えるためにCRBAからのプロンプトとして定義された実行前状態を含んでもよい。パスワード変更サブタスクに関連付けられたアクションは新パスワードの入力を含む。実行後状態は新パスワードが送信され受け付けられたことを示すシステムからのプロンプトを含む。この特定の状況では、新パスワードがシステムによって受け付けられるならば、SSOクライアントコンポーネントはSSOサーバコンポーネントを介してデータベース中のパスワードを更新する。
[0042]ユーザがCRBAへのログオンに成功すると、ユーザはアプリケーションの特定のエリアへ直接的にナビゲートされる。このナビゲーションは、典型的にログイン後タスクで定義されたサブタスクによって実行される。上記のシナリオでは、少なくとも3個のサブタスクが定義され、1個のサブタスクが以下のエリア、すなわち、普通口座エリア、当座口座エリア、及び、マネーマーケット口座エリアのうちの1つずつを担当する。各サブタスクのためのパラメータは口座タイプ及び顧客口座番号を含む。アプリケーションアダプタは、ユーザによって入力された情報(すなわち、顧客口座番号及び口座タイプ)に基づいて3個のサブタスクのうちのいずれか1つを実行する。サブタスクは、次に、ユーザによって入力された情報によって定義されるようなアプリケーションの特定のエリアへユーザを誘導する。本発明の一実施形態において、アプリケーションアダプタランタイムは、ユーザに情報の入力を要求するのではなく、顧客情報(すなわち、顧客口座番号及び口座タイプ)を自動的に取り出すように構成される。
[0043]本発明は限られた数の実施態様に関して説明されているが、本開示の恩恵を受ける当業者は、本明細書に開示されているような発明の範囲を逸脱しないその他の実施態様を考え出し得ることを認める。したがって、本発明の範囲は特許請求の範囲に記載された事項だけによって限定されるべきである。
100…サーバ、102…クライアント、104…サーバ認証コンポーネント、106…SSOサーバコンポーネント、108…認証プロファイル、110…データベース、112…SSOプロファイル、112…SSOプロファイル、114…アプリケーションアダプタ、116…サーバ側セッションプロトコル、118…サーバ通信レイヤ、120…クライアント通信レイヤ、122…クライアント側セッションプロトコル、124…SSOクライアントコンポーネント、126…クライアント認証コンポーネント、128…デバイスモジュール、130…アプリケーションアダプタランタイム、132…アプリケーション。
Claims (30)
- アプリケーションのワークフローを管理する方法であって、
アプリケーションに関連付けられサブタスクを指定するアプリケーションアダプタを取得するステップと、
状態を取得するためアプリケーションを監視するステップと、
前記状態が前記サブタスクに関連付けられている場合に、前記サブタスクに関連付けられたアクションを実行するステップと、
を備える、方法。 - ユーザを認証するステップと、
ユーザが認証された場合に、ユーザに関連付けられ、アプリケーションアダプタを備えるプロファイルを取り出すステップと、
を更に備える、請求項1記載の方法。 - プロファイルがシングルサインオンプロファイルである、請求項2記載の方法。
- アプリケーションアダプタを生成するステップと、
アプリケーションアダプタにプロファイルを関連付けるステップと、
を更に備える、請求項2記載の方法。 - アプリケーションアダプタを生成するステップが、
タスクを選択する工程と、
タスクに関連付けられたサブタスクを指定する工程と、
サブタスクに関連付けられた状態を記録する手段を指定する工程と、
状態を記録する手段を使用して状態を記録する工程と、
サブタスクに関連付けられた状態が現れたときに実行すべきアクションを指定する工程と、
サブタスク及びアクションに関連付けられた状態を使用してアプリケーションアダプタを生成する工程と、
を備える、請求項4記載の方法。 - アプリケーションアダプタが初期化部及びスクリプト部を備える、請求項5記載の方法。
- スクリプト部がアクションを備える、請求項6記載の方法。
- 関連付けられた状態を記録する手段が自動状態設定メカニズムと手動状態設定メカニズムよりなる群から選択される少なくとも1つを備える、請求項5記載の方法。
- アクションを実行するステップがローカルパラメータをアプリケーションへ渡す工程を備える、請求項1記載の方法。
- サブタスクがタスクに関連付けられる、請求項1記載の方法。
- タスクがログイン前タスク、ログインタスク、ログイン後タスク、ログアウトタスク、及び、終了前タスクよりなる群から選択される少なくとも1つのタスクである、請求項10記載の方法。
- サブタスクが実行前状態設定、アクション、及び、実行後状態設定よりなる群から選択される少なくとも1つを備える、請求項1記載の方法。
- サブタスクが動的変数を備える、請求項12記載の方法。
- アクションがユーザをアプリケーションの特定のポイントへ誘導するため動的変数を使用する機能を備える、請求項13記載の方法。
- アクションがユーザをアプリケーションの特定のポイントへ誘導する機能を備える、請求項1記載の方法。
- アプリケーションアダプタがアプリケーションアダプタランタイムを使用して解釈される、請求項1記載の方法。
- アプリケーションのワークフローを管理するシステムであって、
状態を備えるアプリケーションと、
状態に関連付けられたアクションを定義するように構成されたアプリケーションアダプタと、
アプリケーションを監視し、前記状態が現れたときに前記アクションを実行するように構成されたアプリケーションアダプタランタイムと、
を備える、システム。 - ユーザを認証し、ユーザが認証されたときに、ユーザに関連付けられアプリケーションアダプタを備えるプロファイルを取り出すように構成された認証インフラストラクチャを更に備える、請求項17記載のシステム。
- プロファイルがシングルサインオンプロファイルである、請求項18記載のシステム。
- プロファイルを記憶するように構成されたデータベースを更に備える、請求項18記載のシステム。
- アクションがサブタスクに関連付けられる、請求項17記載のシステム。
- サブタスクが実行前状態及び実行後状態よりなる群から選択される少なくとも1つを備える、請求項21記載のシステム。
- サブタスクが動的変数を備える、請求項22記載のシステム。
- アクションがユーザをアプリケーションの特定のポイントへ誘導するため動的変数を使用するように構成される、請求項23記載のシステム。
- サブタスクがタスクに関連付けられる、請求項17記載のシステム。
- タスクがログイン前タスク、ログインタスク、ログイン後タスク、ログアウトタスク、及び、終了前タスクよりなる群から選択される少なくとも1つのタスクである、請求項25記載のシステム。
- アクションがユーザをアプリケーションの特定のポイントへ誘導するように構成される、請求項17記載のシステム。
- アプリケーションアダプタが初期化部及びスクリプト部を備える、請求項17記載のシステム。
- スクリプト部がアクションを備える、請求項28記載のシステム。
- 状態がテキスト、ウィンドウタイトル、親ウィンドウ及び子ウィンドウ、並びに、制御IDよりなる群から選択される少なくとも1つのアプリケーションを備える、請求項17記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/797,177 US7437736B2 (en) | 2004-03-10 | 2004-03-10 | Method and apparatus for managing workflow in a single sign-on framework |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005293565A true JP2005293565A (ja) | 2005-10-20 |
| JP4548660B2 JP4548660B2 (ja) | 2010-09-22 |
Family
ID=34827627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005067992A Expired - Fee Related JP4548660B2 (ja) | 2004-03-10 | 2005-03-10 | シングルサインオンフレームワークにおけるワークフローを管理する方法及び装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7437736B2 (ja) |
| EP (1) | EP1575239A1 (ja) |
| JP (1) | JP4548660B2 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1705598A3 (en) * | 2005-03-20 | 2007-03-07 | ActivIdentity (Australia) Pty Ltd. | Method and system for providing user access to a secure application |
| US7831833B2 (en) * | 2005-04-22 | 2010-11-09 | Citrix Systems, Inc. | System and method for key recovery |
| US8732789B2 (en) * | 2006-05-30 | 2014-05-20 | Iyuko Services L.L.C. | Portable security policy and environment |
| US8326911B2 (en) * | 2007-02-02 | 2012-12-04 | Microsoft Corporation | Request processing with mapping and repeatable processes |
| US20090119500A1 (en) * | 2007-11-02 | 2009-05-07 | Microsoft Corporation | Managing software configuration using mapping and repeatable processes |
| US20100058460A1 (en) * | 2008-08-28 | 2010-03-04 | International Business Machines Corporation | System and method for authenticating an end user |
| JP4856225B2 (ja) * | 2009-09-15 | 2012-01-18 | 株式会社沖データ | 画像データ生成装置 |
| EP2498488A1 (en) | 2011-03-09 | 2012-09-12 | Thomson Licensing | Method and system digital for processing digital content according to a workflow |
| GB201217084D0 (en) * | 2012-09-25 | 2012-11-07 | Uni I Oslo | Network security |
| US20140344323A1 (en) * | 2013-03-15 | 2014-11-20 | Reactor8 Inc. | State-based configuration management for distributed systems |
| US11232486B1 (en) * | 2013-08-20 | 2022-01-25 | Golfstatus, Inc. | Method and system for providing rewardable consumer engagement opportunities |
| JP6527316B2 (ja) * | 2014-08-08 | 2019-06-05 | キヤノン株式会社 | 情報処理システム、情報処理装置及びその制御方法、及びプログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5063523A (en) * | 1989-11-16 | 1991-11-05 | Racal Data Communications Inc. | Network management system with event rule handling |
| JPH06242970A (ja) * | 1993-02-15 | 1994-09-02 | Matsushita Electric Works Ltd | リアルタイムマルチタスクシステム |
| JP2000293490A (ja) * | 1999-04-05 | 2000-10-20 | Nec Informatec Systems Ltd | パスワード自動入力代行システム |
| JP2002328901A (ja) * | 2001-04-27 | 2002-11-15 | Sumisho Computer Systems Corp | ユーザ認証システム、ユーザ認証の起動方法、ユーザ認証起動プログラム、記録媒体 |
| JP2003150557A (ja) * | 2001-11-13 | 2003-05-23 | Fujitsu Ltd | 生体認証による情報の自動入力方法,その自動入力システムおよびその自動入力用プログラム |
| WO2003052620A1 (en) * | 2001-12-14 | 2003-06-26 | Arkivio, Inc. | Structure of policy information for storage, network and data management applications |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5884312A (en) | 1997-02-28 | 1999-03-16 | Electronic Data Systems Corporation | System and method for securely accessing information from disparate data sources through a network |
| US5944824A (en) | 1997-04-30 | 1999-08-31 | Mci Communications Corporation | System and method for single sign-on to a plurality of network elements |
| US6275944B1 (en) | 1998-04-30 | 2001-08-14 | International Business Machines Corporation | Method and system for single sign on using configuration directives with respect to target types |
| US6625649B1 (en) | 1998-06-08 | 2003-09-23 | Hewlett-Packard Development Company, L.P. | Rapid network access computer system |
| US6453353B1 (en) | 1998-07-10 | 2002-09-17 | Entrust, Inc. | Role-based navigation of information resources |
| US6345386B1 (en) | 1998-09-21 | 2002-02-05 | Microsoft Corporation | Method and system for advertising applications |
| US6826692B1 (en) | 1998-12-23 | 2004-11-30 | Computer Associates Think, Inc. | Method and apparatus to permit automated server determination for foreign system login |
| US6691232B1 (en) | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
| US20020138728A1 (en) | 2000-03-07 | 2002-09-26 | Alex Parfenov | Method and system for unified login and authentication |
| US7685577B2 (en) * | 2000-09-01 | 2010-03-23 | Op40, Inc. | System and method for translating an asset for distribution over multi-tiered networks |
| AU2001288757A1 (en) * | 2000-09-01 | 2002-03-13 | Op40, Inc. | System, method, uses, products, program products, and business methods for distributed internet and distributed network services |
| JP2002358290A (ja) * | 2001-03-19 | 2002-12-13 | Toshiba Corp | 情報処理サービス提供方法及びプログラム並びにシステム |
| US7392546B2 (en) | 2001-06-11 | 2008-06-24 | Bea Systems, Inc. | System and method for server security and entitlement processing |
| US20050015772A1 (en) * | 2003-07-16 | 2005-01-20 | Saare John E. | Method and system for device specific application optimization via a portal server |
-
2004
- 2004-03-10 US US10/797,177 patent/US7437736B2/en active Active
-
2005
- 2005-03-10 JP JP2005067992A patent/JP4548660B2/ja not_active Expired - Fee Related
- 2005-03-10 EP EP05101888A patent/EP1575239A1/en not_active Withdrawn
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5063523A (en) * | 1989-11-16 | 1991-11-05 | Racal Data Communications Inc. | Network management system with event rule handling |
| JPH06242970A (ja) * | 1993-02-15 | 1994-09-02 | Matsushita Electric Works Ltd | リアルタイムマルチタスクシステム |
| JP2000293490A (ja) * | 1999-04-05 | 2000-10-20 | Nec Informatec Systems Ltd | パスワード自動入力代行システム |
| JP2002328901A (ja) * | 2001-04-27 | 2002-11-15 | Sumisho Computer Systems Corp | ユーザ認証システム、ユーザ認証の起動方法、ユーザ認証起動プログラム、記録媒体 |
| JP2003150557A (ja) * | 2001-11-13 | 2003-05-23 | Fujitsu Ltd | 生体認証による情報の自動入力方法,その自動入力システムおよびその自動入力用プログラム |
| WO2003052620A1 (en) * | 2001-12-14 | 2003-06-26 | Arkivio, Inc. | Structure of policy information for storage, network and data management applications |
| JP2005513838A (ja) * | 2001-12-14 | 2005-05-12 | アルキヴィオ・インコーポレーテッド | ストレージ管理アプリケーション、ネットワーク管理アプリケーション、およびデータ管理アプリケーションのポリシ情報の構造 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050204362A1 (en) | 2005-09-15 |
| EP1575239A1 (en) | 2005-09-14 |
| JP4548660B2 (ja) | 2010-09-22 |
| US7437736B2 (en) | 2008-10-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4548660B2 (ja) | シングルサインオンフレームワークにおけるワークフローを管理する方法及び装置 | |
| US10171241B2 (en) | Step-up authentication for single sign-on | |
| JP4913998B2 (ja) | 相互動作可能なクリデンシャル収集およびアクセスのモジュール性 | |
| US9628469B2 (en) | Single sign on for a remote user session | |
| US8732284B2 (en) | Data serialization in a user switching environment | |
| US8458780B1 (en) | Pluggable login architecture and dynamic resource recognition | |
| CN111078331B (zh) | 与web服务集成的电子表格界面中的自适应认证 | |
| US9111086B2 (en) | Secure management of user rights during accessing of external systems | |
| US20050177731A1 (en) | Secure management of authentication information | |
| US9065818B2 (en) | Toggle between accounts | |
| US20090210938A1 (en) | Utilizing Previous Password to Determine Authenticity to Enable Speedier User Access | |
| US20070187493A1 (en) | Smart card authentication system with multiple card and server support | |
| CN110313003A (zh) | 认证管理方法以及系统 | |
| CN116170234A (zh) | 一种基于虚拟账号认证的单点登录方法和系统 | |
| US20180063152A1 (en) | Device-agnostic user authentication and token provisioning | |
| JP2014142736A (ja) | サービスプロバイダ装置、サービスプロバイダ装置を制御するための制御方法、およびプログラム | |
| WO2024010663A1 (en) | Authenticator with passively-provisioned authentication credential | |
| Li | Azure. NET Services—Access Control | |
| JP2016053858A (ja) | サービスプロバイダ装置、サービスプロバイダ装置を制御するための制御方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080924 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20081224 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090105 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090123 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090128 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090324 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20090324 |
|
| A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A073 Effective date: 20090811 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100208 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100601 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100630 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4548660 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |