JP2008033638A - Registered information management system - Google Patents
Registered information management system Download PDFInfo
- Publication number
- JP2008033638A JP2008033638A JP2006206472A JP2006206472A JP2008033638A JP 2008033638 A JP2008033638 A JP 2008033638A JP 2006206472 A JP2006206472 A JP 2006206472A JP 2006206472 A JP2006206472 A JP 2006206472A JP 2008033638 A JP2008033638 A JP 2008033638A
- Authority
- JP
- Japan
- Prior art keywords
- information
- message
- attribute
- resource
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000012545 processing Methods 0.000 claims abstract description 183
- 230000004044 response Effects 0.000 claims description 21
- 238000012937 correction Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 26
- 238000013475 authorization Methods 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 238000000034 method Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 11
- 239000000284 extract Substances 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 8
- 239000000344 soap Substances 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は,ネットワーク上の登録情報を管理する登録情報管理システムに関する。 The present invention relates to a registration information management system for managing registration information on a network.
電子サービスにおいて,そのサービスの利用者のユーザ・アカウント,住所,氏名,電話番号,年齢などの属性情報(アイデンティティ(Identity))を登録することがある。例えば,あるポータルサイトを利用して買い物をする場合,利用者(ユーザ,以降,プリンシパルと記述)がアイデンティティをポータルサイトで登録する必要がある。複数のサービスを利用する場合,通例,プリンシパルが複数のサービスに登録し,各サービスがアイデンティティのライフサイクルを管理する。 In an electronic service, attribute information (identity) such as a user account, address, name, telephone number, and age of the user of the service may be registered. For example, when shopping using a certain portal site, a user (user, hereinafter referred to as “principal”) needs to register an identity on the portal site. When using multiple services, a principal typically registers with multiple services, and each service manages the life cycle of the identity.
最近では,ネットワークに分散されるアイデンティティの相互参照を可能とするネットワークアイデンティティ技術が確立しつつある。これにより,分散されたアイデンティティのインターオペラビリティ(相互運用性)を確保しながら,高信頼化されたアイデンティティを活用することが可能となってきている。アイデンティティの相互参照により,プリンシパルにより適したサービスの提供が容易となる。 Recently, network identity technology that enables cross-referencing of identities distributed across a network is being established. This makes it possible to utilize highly reliable identities while ensuring interoperability of distributed identities. Identity cross-reference makes it easier to provide services that are more suitable for principals.
例えば,Liberty Alliance Projectで策定されているLiberty Alliance仕様では,アイデンティティのリソース解決のためのサービス仕様としてLiberty ID-WSF Discovery Service Specification(以降,Discovery Serviceと表記する)や,アイデンティティ情報の取得/修正を行うデータサービスのためのテンプレート仕様としてLiberty ID-WSF Data Services Template Specification(以降,DSTと表記する),Liberty ID-WSF上で公開される具体的なアイデンティティサービス仕様としてID-SIS Personal Profile Service Specification(以降,ID-SIS-PPと表記する)などが公開されている(非特許文献1〜3参照)。
しかしながら,アイデンティティ所有者(プリンシパル)自身が分散管理されているアイデンティティを統括管理することは必ずしも容易でない。例えば,プリンシパルがアイデンティティを様々なサービスに登録している場合,自分のアイデンティティ情報を自分自身でメンテナンスする必要がある。しかし,複数の場所に管理されるアイデンティティを個別にメンテナンスすることは,プリンシパルの負担となる。例えば,プリンシパルの住所が変更になった場合,住所情報が登録されているサービスを探し出し,各サービスで管理されているアイデンティティ情報の中から住所情報を修正しなければならない。 However, it is not always easy for the identity owner (principal) to manage all the identities managed in a distributed manner. For example, if a principal registers his / her identity with various services, he / she needs to maintain his / her identity information himself / herself. However, maintaining individual identities managed in multiple locations is a burden on the principal. For example, when the principal's address is changed, the service in which the address information is registered must be found and the address information must be corrected from the identity information managed by each service.
本発明は,複数のサイトに登録された情報への一括した処理を容易とする登録情報管理システムを提供することを目的とする。 An object of the present invention is to provide a registered information management system that facilitates batch processing of information registered in a plurality of sites.
本発明の一態様に係る登録情報管理システムは,ネットワーク上の複数のサイトにそれぞれ登録され,かつ同一の個人の属性情報を有する複数の登録属性情報ファイルへの処理を要求する処理要求情報を受信する処理要求情報受信手段と,前記受信される処理要求情報に基づき,前記複数の登録属性情報ファイルへの一括処理を要求する一括処理メッセージを生成する一括処理メッセージ生成手段と,前記生成される一括処理メッセージに基づき,前記複数の登録属性情報ファイルそれぞれへの処理を要求する複数の個別処理メッセージを生成する個別処理メッセージ生成手段と,前記生成される複数の個別処理メッセージを前記複数のサイトに送信する個別処理メッセージ送信手段と,を具備することを特徴とする。 The registered information management system according to one aspect of the present invention receives processing request information for requesting processing to a plurality of registered attribute information files that are respectively registered at a plurality of sites on the network and have the same individual attribute information. Processing request information receiving means, batch processing message generating means for generating batch processing messages for requesting batch processing to the plurality of registered attribute information files based on the received processing request information, and the batch generated Based on the processing message, individual processing message generating means for generating a plurality of individual processing messages for requesting processing to each of the plurality of registered attribute information files, and transmitting the generated plurality of individual processing messages to the plurality of sites And an individual processing message transmitting means.
本発明によれば,複数のサイトに登録された情報への一括した処理を容易とする登録情報管理システムを提供できる。 According to the present invention, it is possible to provide a registered information management system that facilitates batch processing of information registered in a plurality of sites.
以下,図面を参照して,本発明の実施の形態を詳細に説明する。
(第1の実施の形態)
図1は,本発明の第1実施形態に係る登録情報管理システム100を表すブロック図である。
登録情報管理システム100は,プリンシパルコンピュータ110,ポータルサイトサーバ120,属性プロバイダサーバ130,リソース情報検索プロバイダサーバ140を備える。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
(First embodiment)
FIG. 1 is a block diagram showing a registration
The registration
登録情報管理システム100は,異なるドメインに対応する複数の属性プロバイダサーバ130で管理されるリソースの構造情報や属性情報などのデータ操作を一括して処理するFacade Data Service(以降,FDSと表記する)を提供する。属性プロバイダサーバ130毎に個別に行っていた取得や修正などの処理を一括して実行することができる。
The registration
本実施形態では,FDSを提供する本体はポータルサイトサーバ120である。後述する第2の実施形態では,ポータルサイトサーバとFDSサーバとの連携によってFDSを提供すると共に,FDSサーバがプリンシパルの代理人として機能する。なお,本実施形態では,プリンシパル自体が一括処理の主体であることから,認証処理は含まれない。 In the present embodiment, the main body that provides the FDS is the portal site server 120. In a second embodiment to be described later, an FDS is provided by cooperation between a portal site server and an FDS server, and the FDS server functions as a principal agent. In the present embodiment, since the principal itself is the subject of batch processing, authentication processing is not included.
FDSの一例として,プリンシパル(電子サービスの利用者)の属性情報(アイデンティティ)の一括処理を行うアイデンティティサービス(Facade Query and Modify Service(以降,FQMSと表記する))を挙げることができる。 An example of an FDS is an identity service (Facade Query and Modify Service (hereinafter referred to as FQMS)) that performs batch processing of principal (electronic service user) attribute information (identity).
プリンシパルの属性は,電子サービス上に登録されたプリンシパルのユーザ・アカウント,住所,氏名,電話番号,年齢などの個人情報である。電子サービスにおいて,プリンシパルそれぞれの属性はリソースと呼ばれるファイル(登録属性情報ファイル)に登録される。即ち,プリンシパルそれぞれに対応して,リソースが存在する。
プリンシパルのリソースの構造情報や存在場所情報(場所情報)を含めたリソースに関する情報全般がリソース情報である。
The principal attribute is personal information such as the principal's user account, address, name, telephone number, and age registered on the electronic service. In an electronic service, the attributes of each principal are registered in a file called a resource (registered attribute information file). That is, resources exist corresponding to each principal.
Resource information includes all information related to resources, including principal resource structure information and location information (location information).
プリンシパルコンピュータ110は,プリンシパル(サービス利用者)が操作するコンピュータである。プリンシパルコンピュータ110は,そのプリンシパルの属性情報の一覧を要求する入力手段,例えば,キーボードと,この要求に応じて,そのプリンシパルの属性情報の一覧を提示する表示部,例えば,液晶表示装置を備える。
The
ポータルサイトサーバ120は,プリンシパルコンピュータ110とネットワーク(例えば,インターネット)で接続されるコンピュータであり,例えば,インターネット上のポータルサイトに配置される。ポータルサイトサーバ120は,一括処理メッセージ生成部121,メッセージ一括処理部122,リソース解決部123,アプリケーション124を有する。
The portal site server 120 is a computer connected to the
一括処理メッセージ生成部121,メッセージ一括処理部122は,アプリケーション124のプロキシとして属性情報の一括処理を担うものであり,ポータルサイトサーバ120のライブラリを用いて構築できる。
一括処理メッセージ生成部121は,属性プロバイダサーバ130で管理されている属性情報を一括処理(取得又は修正)する際に用いる一括処理メッセージを生成する。
The batch processing message generation unit 121 and the message batch processing unit 122 are responsible for batch processing of attribute information as a proxy of the application 124 and can be constructed using a library of the portal site server 120.
The batch processing message generation unit 121 generates a batch processing message used when batch processing (acquisition or correction) of attribute information managed by the attribute provider server 130.
メッセージ一括処理部122は,一括処理メッセージ解釈部125,一括代理処理部126を有する。
一括処理メッセージ解釈部125は,一括処理メッセージを解釈する。
一括代理処理部126は,属性情報を提供する属性プロバイダサーバ130に対して処理要求を行い,その結果を1つにまとめてアプリケーション124に返す。一括代理処理部126は,個別処理メッセージを生成する個別処理メッセージ生成手段およびと個別処理メッセージを前記複数のサイトに送信する個別処理メッセージ送信手段して機能する。
The message batch processing unit 122 includes a batch processing message interpretation unit 125 and a batch proxy processing unit 126.
The batch processing message interpretation unit 125 interprets the batch processing message.
The collective proxy processing unit 126 makes a processing request to the attribute provider server 130 that provides the attribute information, collects the results, and returns the result to the application 124. The collective proxy processing unit 126 functions as an individual processing message generation unit that generates an individual processing message and an individual processing message transmission unit that transmits an individual processing message to the plurality of sites.
リソース解決部123は,リソースを解決すると共に,プリンシパルのリソース場所情報を提供するものであり,登録属性情報ファイルの複写に含まれる属性の項目を抽出する抽出手段として機能する。即ち,ここでいうリソースの解決は,プリンシパルの属性の項目を抽出することにある。
リソース解決部123は,リソース情報検索プロバイダサーバ140にプリンシパルを識別するプリンシパル識別子を送り,リソース情報検索の検索を要求し,リソース情報(リソース場所情報を含む)を受け取る。リソース解決部123はリソース情報を解析して,そのリソース情報に含まれる属性の項目を抽出する。
The resource resolution unit 123 resolves resources and provides principal resource location information, and functions as an extraction unit that extracts attribute items included in a copy of the registered attribute information file. In other words, the resource solution here is to extract the item of the principal attribute.
The resource resolution unit 123 sends a principal identifier for identifying the principal to the resource information
ソース解決部123は,リソース情報(登録属性情報ファイル)の構造を定義するリソース構造定義情報を含むリソース構造定義テーブルを保持するデータベース(リソース構造定義DB)を有する。ソース解決部123は,リソース構造定義テーブルを用いてリソース情報から属性の項目を抽出する。なお,リソース構造の定義の例として,Discovery Serviceでの<ResourceOffering>を挙げることができる。 The source resolution unit 123 has a database (resource structure definition DB) that holds a resource structure definition table including resource structure definition information that defines the structure of resource information (registered attribute information file). The source resolution unit 123 extracts attribute items from the resource information using the resource structure definition table. An example of resource structure definition is <ResourceOffering> in Discovery Service.
リソース構造定義テーブルで構造が定義されないリソース情報については,属性プロバイダサーバ130から取得されるリソース構造定義情報を用いて,属性の項目を抽出する。ソース解決部123は,取得したリソース情報の構造定義情報がリソース構造定義DB中に格納されていない場合に,そのリソース情報の構造の検索を属性プロバイダサーバ130に要求し,リソース構造定義情報を取得する。 For resource information whose structure is not defined in the resource structure definition table, attribute items are extracted using the resource structure definition information acquired from the attribute provider server 130. When the structure definition information of the acquired resource information is not stored in the resource structure definition DB, the source resolution unit 123 requests the attribute provider server 130 to search the structure of the resource information and acquires the resource structure definition information. To do.
アプリケーション124は,プリンシパルコンピュータ110とのユーザインタフェースの役割を果たし,属性情報の一括処理を行うためにリソース解決部123に要求を送り,その結果をプリンシパルコンピュータ110に提供する。アプリケーション124は,抽出される属性の項目を提示する提示手段および処理要求情報を受信する処理要求情報受信手段として機能する。
The application 124 serves as a user interface with the
属性プロバイダサーバ130は,ポータルサイトサーバ120とネットワーク(例えば,インターネット)で接続されるコンピュータであり,プリンシパルの属性情報を管理する属性プロバイダに対応する。属性プロバイダサーバ130は,要求に応じて属性情報を提供する属性情報提供部131を有する。 The attribute provider server 130 is a computer connected to the portal site server 120 via a network (for example, the Internet), and corresponds to an attribute provider that manages principal attribute information. The attribute provider server 130 includes an attribute information providing unit 131 that provides attribute information in response to a request.
リソース情報検索プロバイダサーバ140は,ポータルサイトサーバ120とネットワーク(例えば,インターネット)で接続されるコンピュータであり,プリンシパルが所有するリソース情報を管理する。リソース情報検索プロバイダサーバ140は,要求に応じてリソース情報を検索するリソース情報検索部141を有する。
The resource information
リソース情報検索部141は,データベース(リソース情報DB)を有する。リソース情報DBは,プリンシパル識別子,プリンシパルのリソース情報(そのプリンシパルの属性情報が登録されている属性プロバイダサーバ130のアドレス(リソースの場所情報)を含む)を対応して保持する。即ち,リソース情報DBは,プリンシパル(個人)と,リソース(登録属性情報ファイル)の複写と,を対応して記憶する記憶手段として機能する。
The resource
リソース情報検索部141がプリンシパル識別子に基づきリソース情報データベースを検索することで,そのプリンシパルのリソース情報およびリソース場所情報を得ることができる。リソース情報およびリソースの場所情報の組み合わせは,そのプリンシパルの属性情報が登録されている電子サービス毎に存在する。
When the resource
このリソース情報に含まれる属性情報は,属性プロバイダサーバ130に登録されている属性情報と本質的に異なるものではない。但し,属性プロバイダサーバ130上の属性情報は,登録されている属性情報(登録属性情報)そのものであるのに対し,リソース情報データベース上の属性情報は登録されている属性情報のコピー(複写属性情報)である。 The attribute information included in the resource information is not essentially different from the attribute information registered in the attribute provider server 130. However, the attribute information on the attribute provider server 130 is the registered attribute information (registered attribute information) itself, whereas the attribute information on the resource information database is a copy of the registered attribute information (copy attribute information). ).
このため,リソース情報データベース上のリソース情報は登録リソース情報と食い違う可能性がある(登録リソース情報への変更が複写登録情報に反映されることが必ずしも保証されない)。また,その逆に,複写登録情報を変更しても,登録リソース情報が変更される訳でもない。
以上のように,リソース情報データベース上のリソース情報は,プリンシパルの便宜のために,登録されているリソース情報(登録リソース情報)のコピー(複写リソース情報)を集積したものである。
For this reason, the resource information on the resource information database may conflict with the registered resource information (a change to the registered resource information is not necessarily guaranteed to be reflected in the copy registration information). Conversely, changing the copy registration information does not change the registered resource information.
As described above, the resource information on the resource information database is an accumulation of copies (copy resource information) of registered resource information (registered resource information) for the convenience of the principal.
(登録情報管理システム100の動作)
図2は,登録情報管理システム100での処理の流れの概要を示したシーケンス図である。図3は,登録情報管理システム100での処理の流れの詳細を示したシーケンス図である。図4〜図6は,プリンシパルコンピュータ110上に表示される画面の例を示す図である。図7は,属性情報を一括取得するためのメッセージの構造の例を示す図である。
(Operation of Registration Information Management System 100)
FIG. 2 is a sequence diagram showing an outline of the processing flow in the registration
処理の流れは以下の通りである。
(1)リソース情報の検索要求
1)プリンシパルコンピュータ110が,ポータルサイトサーバ120にアクセスする。
このとき,プリンシパルコンピュータ110からのプリンシパル識別子の送信等によって,ポータルサイトサーバ120がプリンシパルを認識できる。
The flow of processing is as follows.
(1) Resource information search request 1) The
At this time, the portal site server 120 can recognize the principal by transmitting a principal identifier from the
2)ポータルサイトサーバ120は,プリンシパルコンピュータ110にリソース情報検索画面を表示させる(図4参照)。
ポータルサイトサーバ120が,プリンシパルを認識していることから,本図に示すように,プリンシパルコンピュータ110の画面上に「ようこそ,○○さん」と表示される。
2) The portal site server 120 displays a resource information search screen on the principal computer 110 (see FIG. 4).
Since the portal site server 120 recognizes the principal, “Welcome, Mr. XX” is displayed on the screen of the
3)プリンシパルコンピュータ110は,ポータルサイトサーバ120にリソース情報の検索を要求する。
プリンシパルが,リソース情報検索画面からリソース情報の検索を要求する情報(検索要求情報)を入力または選択する(図4参照)。この入力・選択されたリソース情報を検索する検索要求情報が,プリンシパルコンピュータ110からポータルサイトサーバ120に送られる。
ここでは,図4に示されるように,プリンシパルが,属性情報として「氏名」,「住所」を検索項目として選択し,「検索」ボタンを押すことで,リソース情報の検索を要求することを考える。
3) The
The principal inputs or selects information (search request information) for requesting search for resource information from the resource information search screen (see FIG. 4). Search request information for searching for the input / selected resource information is sent from the
Here, as shown in FIG. 4, it is considered that the principal requests to search for resource information by selecting “name” and “address” as search items as attribute information and pressing a “search” button. .
(2)リソース情報の検索
1)ポータルサイトサーバ120が検索要求情報を受け取ると,アプリケーション124は,リソース解決部123のインスタンスを生成する。
2)アプリケーション124は,リソース解決部123に対してプリンシパル識別子を送り,そのプリンシパルのリソース情報の検索を要求する。
(2) Resource information search 1) When the portal site server 120 receives the search request information, the application 124 generates an instance of the resource resolution unit 123.
2) The application 124 sends a principal identifier to the resource resolution unit 123 and requests a search for resource information of the principal.
3)リソース解決部123は,リソース情報検索プロバイダサーバ140に対して,プリンシパル識別子を送り,そのプリンシパルのリソース情報の検索を要求する。即ち,そのプリンシパルの属性が登録されている属性プロバイダサーバ130のアドレス(リソースの場所情報)およびリソース情報の取得を要求する。
3) The resource resolution unit 123 sends a principal identifier to the resource information
4)リソース情報検索プロバイダサーバ140は,リソース解決部123にリソース情報およびリソースの場所情報を返す。
リソース情報検索部141は,リソース情報データベースから,そのプリンシパルに対応するリソース情報およびリソースの場所情報を検索し,リソース解決部123に返信する。
4) The resource information
The resource
(3)リソース情報の解析
1)リソース解決部123は,リソース情報を解析して,そのリソースに含まれる属性の項目を抽出する。リソース解決部123のリソース構造定義DB上にそのリソースの構造情報が保持されている場合(例えば,ID-SIS-PPなどの標準のスキーマが用いられているリソースの場合),リソース解決部123はリソースの構造を解析して,リソースに含まれる属性の項目を抽出できる。
ここでは,そのプリンシパルの属性情報が属性プロバイダ(1)〜(3)(属性プロバイダサーバ130(1)〜130(3))に登録され,かつ属性の項目が「名前」,「住所」であるとする。即ち,属性プロバイダ(1)〜(3)に対応する3組のリソース情報およびリソース場所情報が取得され,そのリソース情報から属性の項目「名前」,「住所」が抽出されている。
(3) Analysis of resource information 1) The resource resolution unit 123 analyzes resource information and extracts attribute items included in the resource. When the structure information of the resource is held in the resource structure definition DB of the resource resolution unit 123 (for example, in the case of a resource using a standard schema such as ID-SIS-PP), the resource resolution unit 123 Analyzing the resource structure, you can extract the attribute items included in the resource.
Here, the attribute information of the principal is registered in the attribute providers (1) to (3) (attribute provider servers 130 (1) to 130 (3)), and the attribute items are “name” and “address”. And That is, three sets of resource information and resource location information corresponding to the attribute providers (1) to (3) are acquired, and attribute items “name” and “address” are extracted from the resource information.
2)リソース解決できない場合,リソース解決部123は属性プロバイダサーバ130からリソースの構造情報を取得する。取得された構造情報に基づき,リソース中に含まれる属性の項目が抽出される。 2) When the resource cannot be resolved, the resource resolution unit 123 acquires the resource structure information from the attribute provider server 130. Based on the acquired structural information, the attribute item included in the resource is extracted.
(4)属性情報の一括取得要求
1)アプリケーション124は,リソース情報の一覧を表示するリソース情報表示画面をプリンシパルコンピュータ110上に表示させる(図5参照)。
本図に示されるように,3つのリソース場所情報に対応する属性プロバイダ(1)〜(3),および属性の項目「名前」,「住所」が対応して表示される。
(4) Attribute Information Batch Acquisition Request 1) The application 124 displays a resource information display screen for displaying a list of resource information on the principal computer 110 (see FIG. 5).
As shown in the figure, the attribute providers (1) to (3) corresponding to the three resource location information and the attribute items “name” and “address” are displayed correspondingly.
2)プリンシパルコンピュータ110は,ポータルサイトサーバ120に属性情報を指定してそれらの一括取得を要求する。即ち,プリンシパルコンピュータ110からポータルサイトサーバ120に一括取得要求情報(一覧の中からプリンシパルによって複数選択された属性情報の一括取得処理を要求する情報)が送られる。
2) The
(5)属性情報の一括取得メッセージの生成
1)ポータルサイトサーバ120が一括取得要求情報を受け取ると,アプリケーション124は,一括処理メッセージ生成部121のインスタンスを生成する。
2)一括処理メッセージ生成部121は,その要求を受けて,一括取得用のメッセージを生成して,これをアプリケーション124に返す(図7参照)。
(5) Generation of attribute information batch acquisition message 1) When portal site server 120 receives batch acquisition request information, application 124 generates an instance of batch processing message generation unit 121.
2) Upon receiving the request, the batch processing message generator 121 generates a batch acquisition message and returns it to the application 124 (see FIG. 7).
図7では,属性情報の一括取得を行うためのメッセージであるFDSのQueryメッセージ(以降,FDSQueryと表記する)の構造を模式的に示している。
記述部D10がFDSQueryメッセージの全体を,記述部D11が記述部D10の一部の詳細を表す。
記述部D11は,一括処理メッセージ生成部121で生成されるメッセージである。記述部D11は,一括取得用のメッセージの基本となるものであり,前記DSTで定義されたQueryメッセージ(以降,DSTQueryメッセージと表記する)の<Extension>要素(DSTを拡張するために用意されている要素)を拡張し,その中に一括取得の対象となるリソース情報を含めている。リソース情報には,前記Discovery Serviceで定義された<ResourceOffering>要素(リソース情報を提供するための要素)を利用する。
FIG. 7 schematically shows the structure of an FDS Query message (hereinafter referred to as FDSQuery), which is a message for performing batch acquisition of attribute information.
The description part D10 represents the entire FDSQuery message, and the description part D11 represents details of a part of the description part D10.
The description part D11 is a message generated by the batch processing message generation part 121. The description part D11 is the basis of a message for batch acquisition, and is prepared for extending the DExt <Extension> element of a Query message defined in the DST (hereinafter referred to as a DSTQuery message). Element) and the resource information that is the target of batch acquisition is included. As resource information, a <ResourceOffering> element (element for providing resource information) defined in the Discovery Service is used.
(6)属性情報の一括取得
1)アプリケーション124は,メッセージ一括処理部122に対して一括処理を要求する。
2)メッセージ一括処理部122は,一括処理メッセージ解釈部125を用いて一括処理メッセージを解釈する。
(6) Batch acquisition of attribute information 1) The application 124 requests the batch processing of the message batch processing unit 122.
2) The message batch processing unit 122 uses the batch processing message interpretation unit 125 to interpret the batch processing message.
3)メッセージ一括処理部122の一括代理処理部126は,属性情報提供部131(1),131(2)それぞれに,属性要求メッセージを生成して,送信する。属性情報提供部131(1),131(2)は,属性要求メッセージに対応して,属性情報を返信する。その結果,メッセージ一括処理部122は,属性情報提供部131(1),131(2)それぞれから,属性情報を取得する。 3) The collective proxy processing unit 126 of the message batch processing unit 122 generates and transmits an attribute request message to each of the attribute information providing units 131 (1) and 131 (2). The attribute information providing units 131 (1) and 131 (2) return attribute information in response to the attribute request message. As a result, the message batch processing unit 122 acquires attribute information from each of the attribute information providing units 131 (1) and 131 (2).
(7)属性情報の一括表示
1)メッセージ一括処理部122の一括処理メッセージ解釈部125は,各属性プロバイダサーバ130から取得した属性情報を応答メッセージにまとめる。
2)メッセージ一括処理部122の一括処理メッセージ解釈部125は,一括処理の応答としてアプリケーション124に属性情報を送る。
(7) Batch display of attribute information 1) The batch processing message interpretation unit 125 of the message batch processing unit 122 collects attribute information acquired from each attribute provider server 130 into a response message.
2) The batch processing message interpretation unit 125 of the message batch processing unit 122 sends attribute information to the application 124 as a response to the batch processing.
3)アプリケーション124は属性情報を受け取り,プリンシパルコンピュータ110上に属性情報の一覧を表示させる(図6参照)。
属性プロバイダ(1),(2)それぞれで登録された属性の項目「名前」,「住所」が表示される。この結果,プリンシパルが属性プロバイダ(1),(2)それぞれでの「名前」,「住所」の登録状況を確認できる。
3) The application 124 receives the attribute information and displays a list of attribute information on the principal computer 110 (see FIG. 6).
The attribute items “name” and “address” registered in the attribute providers (1) and (2) are displayed. As a result, the principal can confirm the registration status of “name” and “address” in each of the attribute providers (1) and (2).
登録情報管理システム100を用いることで,異なるドメイン上で分散して管理されているプリンシパルのアイデンティティ(属性情報)のメンテナンスが容易となる。即ち,アイデンティティの参照を一括して実行できる。一括して処理することで,個々に処理する場合と比べて,処理に要するデータ量を低減できる。
なお,属性情報の参照以外の属性情報の変更,削除等の処理一般についても,同様に一括して実行させることが可能である。
By using the registered
Note that general processing such as changing or deleting attribute information other than referring to attribute information can also be executed in a batch.
(第2の実施の形態)
図8は本発明の第2実施形態に係る登録情報管理システム200を表すブロック図である。
登録情報管理システム200は,FQMSを提供するものであり,プリンシパルコンピュータ210,ポータルサイトサーバ220,属性プロバイダサーバ230,リソース情報検索プロバイダサーバ240,FDSサーバ250,オーソリティサーバ260を備える。
(Second Embodiment)
FIG. 8 is a block diagram showing a registration
The registration
本実施形態では,ポータルサイトサーバ220とFDSサーバ250との連携によってFDSを提供すると共に,FDSサーバがプリンシパルの代理人として機能する。また,この代理人による処理の信頼性を確保するための認証処理を行い,オーソリティサーバ260がその中心的な役割を担う。
In the present embodiment, FDS is provided by cooperation between the
プリンシパルコンピュータ210は,プリンシパル(サービス利用者)が操作するコンピュータである。プリンシパルコンピュータ210は,そのプリンシパルの属性情報の一覧を要求する入力手段,例えば,キーボードと,この要求に応じて,そのプリンシパルの属性情報の一覧を提示する表示部,例えば,液晶表示装置を備える。
The
ポータルサイトサーバ220は,プリンシパルコンピュータ210とネットワーク(例えば,インターネット)で接続されるコンピュータであり,例えば,インターネット上のポータルサイトに配置される。ポータルサイトサーバ220は,一括処理メッセージ生成部221,メッセージ一括処理部222,リソース解決部223,アプリケーション224を有する。
The
一括処理メッセージ生成部221,メッセージ一括処理部222は,アプリケーション224のプロキシとして属性情報の一括処理を担うものであり,ポータルサイトサーバ220のライブラリを用いて構築できる。
一括処理メッセージ生成部221は,属性プロバイダサーバ230で管理されている属性情報を一括処理(取得又は修正)する際に用いる一括処理メッセージを生成する。
The batch processing message generation unit 221 and the message batch processing unit 222 are responsible for batch processing of attribute information as a proxy of the
The batch processing message generation unit 221 generates a batch processing message used when batch processing (acquisition or correction) of attribute information managed by the
メッセージ一括処理部222は,一括処理メッセージ送信部227を有する。
一括処理メッセージ送信部227は,一括処理メッセージ生成部221で生成された一括処理メッセージをFDSサーバ250に送信する。
The message batch processing unit 222 includes a batch processing message transmission unit 227.
The batch processing message transmission unit 227 transmits the batch processing message generated by the batch processing message generation unit 221 to the
リソース解決部123は,リソースを解決すると共に,プリンシパルのリソース場所情報を提供するものであり,登録属性情報ファイルの複写に含まれる属性の項目を抽出する抽出手段として機能する。即ち,ここでいうリソースの解決は,プリンシパルの属性の項目を抽出することにある。
リソース解決部123は,リソース情報検索プロバイダサーバ140にプリンシパルを識別するプリンシパル識別子を送り,リソース情報検索の検索を要求し,リソース情報(リソース場所情報を含む)を受け取る。リソース解決部123はリソース情報を解析して,そのリソース情報に含まれる属性の項目を抽出する。
The resource resolution unit 123 resolves resources and provides principal resource location information, and functions as an extraction unit that extracts attribute items included in a copy of the registered attribute information file. In other words, the resource solution here is to extract the item of the principal attribute.
The resource resolution unit 123 sends a principal identifier for identifying the principal to the resource information
ソース解決部223は,リソース情報(登録属性情報ファイル)の構造を定義するリソース構造定義情報を含むリソース構造定義テーブルを保持するデータベース(リソース構造定義DB)を有する。ソース解決部223は,リソース構造定義テーブルを用いてリソース情報から属性の項目を抽出する。なお,リソース構造の定義の例として,Discovery Serviceでの<ResourceOffering>を挙げることができる。 The source resolution unit 223 has a database (resource structure definition DB) that holds a resource structure definition table including resource structure definition information that defines the structure of resource information (registered attribute information file). The source resolution unit 223 extracts attribute items from the resource information using the resource structure definition table. An example of resource structure definition is <ResourceOffering> in Discovery Service.
リソース構造定義テーブルで構造が定義されないリソース情報については,属性プロバイダサーバ230から取得されるリソース構造定義情報を用いて,属性の項目を抽出する。ソース解決部223は,取得したリソース情報の構造定義情報がリソース構造定義DB中に格納されていない場合に,そのリソース情報の構造の検索を属性プロバイダサーバ230に要求し,リソース構造定義情報を取得する。
For resource information whose structure is not defined in the resource structure definition table, attribute items are extracted using the resource structure definition information acquired from the
アプリケーション224は,プリンシパルコンピュータ210とのユーザインタフェースの役割を果たし,属性情報の一括処理を行うためにリソース解決部223に要求を送り,その結果をプリンシパルコンピュータ210に提供する。アプリケーション224は,抽出される属性の項目を提示する提示手段および処理要求情報を受信する処理要求情報受信手段として機能する。
アプリケーション224は,オーソリティサーバ260に対してリソース操作の処理権限を委譲してもらうための権限委譲情報を要求する。アプリケーション224は,オーソリティサーバ260から受け取った権限委譲情報をFDSサーバ250に送信する。
The
The
FDSサーバ250は,権限委譲情報により,属性プロバイダサーバ230に対して自身がサブジェクトの正当な代理者であることを証明できる。また,属性プロバイダサーバ230は,権限委譲情報に基づいた信頼性情報からリソース操作の要求発信元がプリンシパルであることを確認できる。
The
属性プロバイダサーバ230は,属性情報提供部231を有する。属性プロバイダサーバ230は,オーソリティサーバ260に信頼性情報を要求して,それを検証した後,属性処理を行う。
The
リソース情報検索プロバイダサーバ240は,プリンシパルが所有するリソース情報を管理しており,要求に応じてリソース情報を検索するリソース情報検索部241を有する。
リソース情報検索部241は,データベース(リソース情報DB)を有する。リソース情報DBは,プリンシパル識別子,プリンシパルのリソース情報(そのプリンシパルの属性情報が登録されている属性プロバイダサーバ230のアドレス(リソースの場所情報)を含む)を対応して保持する。即ち,リソース情報DBは,プリンシパル(個人)と,リソース(登録属性情報ファイル)の複写と,を対応して記憶する記憶手段として機能する。
The resource information search provider server 240 manages resource information owned by the principal, and has a resource
The resource
FDSサーバ250は,メッセージ一括処理部251を有する。
メッセージ一括処理部251は,一括処理メッセージ解釈部252と,一括代理処理部253とを有する。
The
The message batch processing unit 251 includes a batch processing message interpretation unit 252 and a batch proxy processing unit 253.
一括処理メッセージ解釈部252は,サブジェクトの代理として属性情報の一括処理を担い,一括処理メッセージを解釈する。また,一括処理メッセージ解釈部252は,一括処理メッセージを受信すると,ポータルサイトサーバ220に対して権限委譲情報を要求する。一括処理メッセージ解釈部252は,委譲要求メッセージを送信する委譲要求メッセージ送信手段および委譲許可メッセージを受信する委譲許可メッセージ受信手段として機能する。
The batch processing message interpreting unit 252 performs batch processing of attribute information as a proxy for the subject, and interprets the batch processing message. Further, when receiving the batch processing message, the batch processing message interpretation unit 252 requests authority delegation information from the
一括代理処理部253は,属性情報を提供する属性プロバイダサーバ230に対して代理で属性情報の取得要求を行い,その結果を1つにまとめてアプリケーション224に返す。一括代理処理部253は,個別処理メッセージを生成する個別処理メッセージ生成手段およびと個別処理メッセージを前記複数のサイトに送信する個別処理メッセージ送信手段して機能する。
一括代理処理部253は,属性プロバイダサーバ230に属性情報を要求するメッセージに権限委譲情報を含める。自身の信頼性,すなわち自身がサブジェクトの正当な代理者であることを証明するためである。
The collective proxy processing unit 253 requests the
The collective proxy processing unit 253 includes authority delegation information in a message requesting attribute information from the
オーソリティサーバ260は,プリンシパルのアイデンティティ情報を保管し,サブジェクトを認証する。オーソリティサーバ260は,例えば,第三者機関によって管理される。
オーソリティサーバ260は,ポータルサイトサーバ220から権限委譲要求メッセージ(認可対象主体(FDSサーバ250),認可対象動作(例えば,読み出し),認可対象リソース(リソース識別情報,例えば,リソース場所情報)の情報を含む)を受け取って,権限委譲応答メッセージを返信する。
その後,オーソリティサーバ260は,属性プロバイダサーバ230から信頼性情報要求メッセージ(認可対象主体(FDSサーバ250),認可対象動作,認可対象リソースの情報を含む)を受け取って,信頼性情報メッセージを返信する。
The
The
After that, the
このとき,オーソリティサーバ260は,権限委譲要求メッセージと頼性情報要求メッセージとに含まれる情報(認可対象主体,認可対象動作,認可対象リソースを識別する情報)が一致しているか否かに基づいて,認可対象主体による認可対象リソースへの認可対象動作の可否(アクセスの可否)を決定し,信頼性情報メッセージにこのアクセス可否情報を含め,返信する。
この信頼性情報メッセージに基づいて,属性プロバイダサーバ230は,FDSサーバ250へのリソースのアクセスを許可あるいは禁止する。この結果,プリンシパルの代理人としてのFDSサーバ250の信頼性が保証される。
At this time, the
Based on this reliability information message, the
(登録情報管理システム200の動作)
図9は,登録情報管理システム200での処理の流れの概要を示したシーケンス図である。図10は,登録情報管理システム200での処理の流れの詳細を示したシーケンス図である。図11は,登録情報管理システム200での信頼性確立のための処理の流れの一例を示したシーケンス図である。
図12〜図21は,登録情報管理システム200で送受信されるメッセージの構造の例を示す図である。
(Operation of Registration Information Management System 200)
FIG. 9 is a sequence diagram showing an outline of the processing flow in the registration
12 to 21 are diagrams illustrating examples of the structure of messages transmitted and received by the registration
処理の流れは以下の通りである。
(1)リソース情報の検索要求
1)プリンシパルコンピュータ210が,ポータルサイトサーバ220にアクセスする。
2)ポータルサイトサーバ220は,プリンシパルコンピュータ210にリソース情報検索画面を表示させる(図4参照)。
3)プリンシパルコンピュータ210は,ポータルサイトサーバ220にリソース情報の検索を要求する。
プリンシパルが,リソース情報検索画面(図4参照)からリソース情報の検索を要求する情報(検索要求情報)を入力または選択することで,プリンシパルコンピュータ210からポータルサイトサーバ220に検索要求情報が送られる。
The flow of processing is as follows.
(1) Resource information search request 1) The
2) The
3) The
When the principal inputs or selects information (search request information) for requesting search of resource information from the resource information search screen (see FIG. 4), search request information is sent from the
(2)リソース情報の検索
1)ポータルサイトサーバ220が検索要求情報を受け取ると,アプリケーション224は,リソース解決部223のインスタンスを生成する。
2)アプリケーション224は,リソース解決部223に対してプリンシパル識別子を送り,そのプリンシパルのリソース情報の検索を要求する。
3)リソース解決部223は,リソース情報検索プロバイダサーバ240に対して,プリンシパル識別子を送り,そのプリンシパルのリソース情報の取得を要求する。
4)リソース情報検索プロバイダサーバ240は,リソース解決部223にリソース情報(リソースの場所情報を含む)を返す。
(2) Resource information search 1) When the
2) The
3) The resource resolution unit 223 sends a principal identifier to the resource information search provider server 240 and requests acquisition of the resource information of the principal.
4) The resource information search provider server 240 returns resource information (including resource location information) to the resource resolution unit 223.
(3)リソース情報の解析
1)リソース解決部223は,リソース情報を解析して,そのリソースに含まれる属性の項目を抽出する。リソース解決部223のリソース構造定義DB上にそのリソースの構造情報が保持されている場合(例えば,ID-SIS-PPなどの標準のスキーマが用いられているリソースの場合),リソース解決部223はリソースの構造を解析して,リソースに含まれる属性の項目を抽出できる。
2)リソース解決できない場合,リソース解決部223は属性プロバイダサーバ230からリソースの構造情報を取得する。取得された構造情報に基づき,リソース中に含まれる属性の項目が抽出される。
(3) Analysis of resource information 1) The resource resolution unit 223 analyzes resource information and extracts attribute items included in the resource. When the structure information of the resource is held in the resource structure definition DB of the resource resolution unit 223 (for example, in the case of a resource using a standard schema such as ID-SIS-PP), the resource resolution unit 223 Analyzing the resource structure, you can extract the attribute items included in the resource.
2) When the resource cannot be resolved, the resource resolution unit 223 acquires the structure information of the resource from the
(4)属性情報の一括取得要求
1)アプリケーション224は,リソース情報の一覧を表示するリソース情報表示画面をプリンシパルコンピュータ210上に提示させる(図5参照)。
2)プリンシパルコンピュータ210は,ポータルサイトサーバ220に属性情報を指定してそれらの一括取得を要求する。即ち,プリンシパルコンピュータ210からポータルサイトサーバ220に一括取得要求情報(一覧の中からプリンシパルによって複数選択された属性情報の一括取得処理を要求する情報)が送られる。
(4) Attribute Information Batch Acquisition Request 1) The
2) The
(5)属性情報の一括取得メッセージの生成
1)ポータルサイトサーバ220が一括取得要求情報を受け取ると,アプリケーション224は,一括処理メッセージ生成部221のインスタンスを生成する。
2)一括処理メッセージ生成部221は,その要求を受けて,一括取得用のメッセージを生成して,これをアプリケーション224に返す(図12A,図12B参照)。
3)ポータルサイトサーバ220のメッセージ一括処理部222は,一括処理メッセージをFDSサーバ250のメッセージ一括処理部251に送信する。
(5) Generation of attribute information batch acquisition message 1) When
2) Upon receiving the request, the batch processing message generation unit 221 generates a batch acquisition message and returns it to the application 224 (see FIGS. 12A and 12B).
3) The message batch processing unit 222 of the
図12Aは,属性情報を取得する一括処理メッセージの一例の全体を示す。図12Bは,図12Aの一括処理メッセージの<Delegation>要素部分A11を拡大して示す。図12A,12Bの一括処理メッセージは,Liberty ID-WSF Soap Binding Specificationに基づく。一括処理メッセージのヘッダ部(Header)内には,この仕様を独自に拡張して定義した<Delegation>要素部分A11の直下に<DelegationRef>要素が配置される。<DelegationRef>要素内に,識別子(itemID属性),権限を委譲する処理の種類(type属性),代理処理対象への参照(ref属性),代理処理対象となるリソース(resourceID属性)が含まれる。このresourceID属性が,リソース場所情報に相当する。
このヘッダ部は,ボディ部(Body)の<Extension>要素と対応する。即ち,ボディ部の<Extension>要素(本図のA12)でのitemID属性とヘッダ部のref属性とが一致している。
FIG. 12A shows an entire example of a batch processing message for acquiring attribute information. FIG. 12B shows an enlarged <Delegation> element portion A11 of the batch processing message of FIG. 12A. 12A and 12B is based on the Liberty ID-WSF Soap Binding Specification. In the header part (Header) of the batch processing message, a <DelegationRef> element is arranged immediately below the <Delegation> element part A11 defined by extending this specification independently. The <DelegationRef> element includes an identifier (itemID attribute), a type of processing for delegating authority (type attribute), a reference to a proxy process target (ref attribute), and a resource (resourceID attribute) that is a proxy process target. This resourceID attribute corresponds to the resource location information.
This header part corresponds to the <Extension> element of the body part (Body). That is, the itemID attribute in the <Extension> element (A12 in the figure) in the body part matches the ref attribute in the header part.
ここでは,属性プロバイダ(1),(2)に対応して,itemID,type属性,ref属性,resourceID属性が2組示される(「"query#000000001","Query","000000001",""」,「"query#000000001","Query","000000002",""」)。
このヘッダ部に含まれる複数組の属性と対応して,ボディ部(Body)に<Extension>要素が複数配置される。図12Aでは,ヘッダ部のref属性"000000001","000000002"に対応して,ボディ部の<Extension>要素が重なって配置される。
なお,mustUnderstand属性及びactor属性は,SOAPの仕様に規定されている。
Here, two sets of itemID, type attribute, ref attribute, and resourceID attribute are displayed corresponding to attribute providers (1) and (2) (""
A plurality of <Extension> elements are arranged in the body part (Body) corresponding to a plurality of sets of attributes included in the header part. In FIG. 12A, the <Extension> elements of the body part are arranged so as to overlap each other in correspondence with the ref attributes “000000001” and “000000002” of the header part.
Note that the mustUnderstand attribute and actor attribute are defined in the SOAP specifications.
(6)権限委譲処理
1)メッセージ一括処理部251は,一括処理メッセージを受信すると,ポータルサイトサーバ220に対し代理処理が行えるように権限委譲を要求する(権限委譲要求メッセージの送信)。
図13は,権限委譲要求メッセージの一例を示す図である。本図では,独自に定義した<DelegationAuthorityRequest>要素の直下の<DelegationRef>要素に,認可対象となる主体名(<Subject>要素,FDSサーバ250),認可対象となる動作(<Action>要素),認可対象となるリソース(<Resource>要素)を含めている。
(6) Authority delegation processing 1) When the message batch processing unit 251 receives the batch processing message, it requests authority delegation to the
FIG. 13 is a diagram illustrating an example of the authority delegation request message. In this figure, the subject name (<Subject> element, FDS server 250) to be authorized, the action to be authorized (<Action> element), <DelegationRef> element immediately under the <DelegationAuthorityRequest> element defined independently, The resource (<Resource> element) to be authorized is included.
2)ポータルサイトサーバ220は,オーソリティサーバ260に権限委譲の処理を要求する(権限委譲要求メッセージの送信)。
図14A,図14Bは,権限委譲要求メッセージの一例を示す図である。図14Aは,権限委譲要求メッセージの全体を示す。図14Bは,図14A中の<DelegationRequest>要素A20の詳細を表す図である。独自に定義した<DelegationRequest>要素の直下の<Delegation>要素に,認可対象となる主体名(<Subject>要素(A21),FDSサーバ250),認可対象となる動作(<Action>要素(A22)),認可対象となるリソース(<Resource>要素(A23))を含めている。
2) The
14A and 14B are diagrams illustrating an example of the authority delegation request message. FIG. 14A shows the entire authority transfer request message. FIG. 14B is a diagram showing details of the <DelegationRequest> element A20 in FIG. 14A. In the <Delegation> element directly under the <DelegationRequest> element defined independently, the subject name (<Subject> element (A21), FDS server 250) to be authorized, and the action to be authorized (<Action> element (A22)) ), A resource to be authorized (<Resource> element (A23)).
<Resource>要素はリソース場所情報に対応し,リソース場所情報によってリソースを識別している。ここでは<Action>要素が,「Read(読み出し)」である。この権限委譲要求メッセージには,図12Aに示されるように,Security Assertion Markup Language(以降,SAMLと表記する)のAuthenticationQuery(認証要求問合せ)メッセージが含まれる。
なお,Liberty ID-WSF Soap Binding Specification以外に,SPML(Service Provisioning Markup Language)などの標準仕様を利用可能である。
The <Resource> element corresponds to the resource location information, and identifies the resource by the resource location information. Here, the <Action> element is “Read”. This authority delegation request message includes an AuthenticationQuery (Authentication Request Query) message of Security Assertion Markup Language (hereinafter referred to as SAML), as shown in FIG. 12A.
In addition to Liberty ID-WSF Soap Binding Specification, standard specifications such as SPML (Service Provisioning Markup Language) can be used.
3)オーソリティサーバ260は,FDSサーバ250に対して代理処理権限を付与する(権限委譲応答メッセージの返信)。
図15は,権限委譲応答メッセージの例を示す図である。本図では,権限委譲情報としてSecurity Assertion Markup Language(以降,SAMLと表記する)のAssertionを用いている。<Assertion>要素(A24)に認可対象となる主体(FDSサーバ250)への認証のアサーション(主張)が含まれる。
3) The
FIG. 15 is a diagram illustrating an example of the authority delegation response message. In this figure, Security Assertion Markup Language (hereinafter referred to as SAML) Assertion is used as authority delegation information. An <Assertion> element (A24) includes an authentication assertion to the subject subject to authorization (FDS server 250).
4)ポータルサイトサーバ220は,メッセージに権限委譲情報を含めてFDSサーバ250に送信する(権限委譲メッセージの送信)。
図16は,権限委譲メッセージの例を示す図である。<Assertion>要素(A25)に認可対象となる主体(FDSサーバ250)への認証のアサーション(主張)が含まれる。
4) The
FIG. 16 is a diagram illustrating an example of the authority delegation message. The <Assertion> element (A25) includes an authentication assertion to the subject subject to authorization (FDS server 250).
(7)属性情報の一括取得
1)メッセージ一括処理部251は,一括処理メッセージ解釈部252を用いて一括処理メッセージを解釈して,属性プロバイダサーバ230毎にメッセージを分割する。
(7) Batch Acquisition of Attribute Information 1) The message batch processing unit 251 interprets the batch processing message using the batch processing message interpretation unit 252 and divides the message for each
2)メッセージ一括処理部251の一括代理処理部253は,属性プロバイダサーバ230毎に,受け取った権限委譲情報を含めた個別属性要求メッセージを生成する。
図17は,個別属性取得要求メッセージの例を示す図である。本図では,Liberty ID-WSF SOAP Binding Specificationで定義されているSOAPヘッダ内の<Assertion>要素(A31)に認可対象となる主体(FDSサーバ250)への認証のアサーション(主張)が含まれる(<wsse:Security>要素の直下に<saml:Assertion>要素を含めている)。また,ここでは,属性プロバイダサーバ230毎に対応して,<Query>要素(A32)は1つだけとなっている。
2) The collective proxy processing unit 253 of the message batch processing unit 251 generates an individual attribute request message including the received authority transfer information for each
FIG. 17 is a diagram illustrating an example of an individual attribute acquisition request message. In this figure, the <Assertion> element (A31) in the SOAP header defined in the Liberty ID-WSF SOAP Binding Specification includes an assertion of assertion to the subject subject to authorization (FDS server 250) ( (The <saml: Assertion> element is included immediately below the <wsse: Security> element.) Here, only one <Query> element (A32) is provided for each
3)FDSサーバ250は,属性要求メッセージを属性プロバイダサーバ230(1),230(2)に送信し,属性情報の取得を要求する。
3) The
(8)信頼性の確認
1)属性プロバイダサーバ230(1),230(2)は,FDSサーバ250の信頼性を検証するために,属性要求メッセージ含まれている権限委譲情報を用いて,オーソリティサーバ260に信頼性情報を要求する(信頼性情報要求メッセージの送信)。
図18は,信頼性情報要求メッセージの例を示す図である。本図では,信頼性情報を取得するために,SAMLのAuthorizationDecisionQuery(認可決定問合せ要求)メッセージを用いている。AuthorizationDecisionQueryのメッセージ構造は,SAMLの仕様に記述される。
信頼性情報要求メッセージのAssertion>要素(A33)に認可対象となる主体(FDSサーバ250)への認証のアサーション(主張)が含まれる。また,信頼性情報要求メッセージには,リソースへのアクセスを要求する情報が含まれる(A34)。
(8) Confirmation of reliability 1) The attribute provider servers 230 (1) and 230 (2) use the authority delegation information included in the attribute request message in order to verify the reliability of the
FIG. 18 is a diagram illustrating an example of the reliability information request message. In this figure, SAML AuthorizationDecisionQuery (Authorization Decision Query Request) message is used to obtain reliability information. The message structure of AuthorizationDecisionQuery is described in the SAML specification.
The Assertion> element (A33) of the reliability information request message includes an assertion of assertion to the authorization subject (FDS server 250). The reliability information request message includes information requesting access to the resource (A34).
2)オーソリティサーバ260は,権限委譲情報からFDSサーバ250がポータルサイトサーバ220の正当な代理者であることを証明する信頼性情報を属性プロバイダサーバ230(1),230(2)に返信する(信頼性情報メッセージの送信)。
図19は,信頼性情報メッセージの例を示す図である。本図では,信頼性情報メッセージとして,SAMLのAuthorizationStatement(認可決定応答)メッセージを示している。AuthorizationStatementのメッセージ構造は,SAMLの仕様に記述される。
信頼性情報メッセージには,リソースへのアクセスの許可,禁止を表すアクセス許可情報(A35)および認可対象となる主体(FDSサーバ250)を表す情報(A36)が含まれる。
本図では,Decision属性の値が“Permit(許可)”であることから,正当な代理(アクセスの許可)を意味する。
2) The
FIG. 19 is a diagram illustrating an example of the reliability information message. In this figure, a SAML AuthorizationStatement message is shown as the reliability information message. The message structure of AuthorizationStatement is described in the SAML specification.
The reliability information message includes access permission information (A35) indicating permission / prohibition of access to the resource and information (A36) indicating the subject (FDS server 250) to be authorized.
In this figure, since the value of the Decision attribute is “Permit (permitted)”, it means a valid proxy (access permission).
3)属性プロバイダサーバ230(1),230(2)は,信頼性情報を検証して,属性プロバイダサーバ230(1)は要求発信元がポータルサイトサーバ220であり,FDSサーバ250がポータルサイトサーバ220の正当な代理者であることを確認する。既述のように,信頼性情報メッセージのDecision属性の値によって正当な代理の有無を確認できる。
3) The attribute provider servers 230 (1) and 230 (2) verify the reliability information, and the attribute provider server 230 (1) is the
(9)属性情報の送信
1)FDSサーバ250の信頼性を検証できれば,属性プロバイダサーバ230(1),230(2)は属性情報を取得する。
2)属性プロバイダサーバ230は,FDSサーバ250に属性情報を含めたメッセージを返信する(属性取得応答メッセージの送信)。
図20は,属性取得応答メッセージの例を示す図である。本図では,図17の<Query>要素が1つだったので,<QueryResponse>要素(A41)も1つである。即ち,FDSサーバ250は,属性プロバイダサーバ230(1),230(2)それぞれから別個にの属性情報を受け取る。
(9) Transmission of attribute information 1) If the reliability of the
2) The
FIG. 20 is a diagram illustrating an example of an attribute acquisition response message. In this figure, since there is one <Query> element in FIG. 17, there is also one <QueryResponse> element (A41). That is, the
(7)属性情報の一括表示
1)メッセージ一括処理部251の一括処理メッセージ解釈部252は,各属性プロバイダサーバ230(1),230(2)から取得した属性情報を応答メッセージにまとめる。
2)メッセージ一括処理部251の一括処理メッセージ解釈部252は,一括処理要求の応答としてポータルサイトサーバ220のメッセージ一括処理部222に属性情報を返す(一括処理応答メッセージの送信)。一括処理の結果は1つにまとめて,一括処理応答メッセージのSOAP Bodyの直下に含める。
図21は,一括処理応答メッセージの一例を示す図である。一括処理の結果がまとめられていることから,<QueryResponse>要素が複数存在する。
3)FDSサーバ250は,一括処理応答メッセージをポータルサイトサーバ220に返信する。
4)アプリケーション224は属性情報を受け取り,プリンシパルコンピュータ210上に属性情報の一覧を表示させる(図6参照)。
(7) Batch display of attribute information 1) The batch processing message interpretation unit 252 of the message batch processing unit 251 collects attribute information acquired from the attribute provider servers 230 (1) and 230 (2) into a response message.
2) The batch processing message interpretation unit 252 of the message batch processing unit 251 returns attribute information to the message batch processing unit 222 of the
FIG. 21 is a diagram illustrating an example of a batch processing response message. Since the results of batch processing are collected, there are multiple <QueryResponse> elements.
3) The
4) The
登録情報管理システム200を用いることで,異なるドメイン上で分散して管理されているプリンシパルのアイデンティティ(属性情報)のメンテナンスが容易となる。即ち,アイデンティティの参照を一括して実行できる。一括して処理することで,個々に処理する場合と比べて,処理に要するデータ量を低減できる。
また,プリンシパルから一括処理の権限を委譲された代理者(FDSサーバ250)の正当性の確保が容易となる。
なお,属性情報の参照以外の属性情報の変更,削除等の処理一般についても,同様に一括して実行させることが可能である。
By using the registration
In addition, it is easy to ensure the legitimacy of the agent (FDS server 250) who has been delegated the authority of batch processing from the principal.
Note that general processing such as changing or deleting attribute information other than referring to attribute information can also be executed in a batch.
(第3の実施形態)
第1,第2の実施形態では,データ操作の対象が属性情報であったが,データ操作の対象をリソースの構造情報とすることも可能である。即ち,リソースの構造情報の交渉取得を一括して行うことができる。
リソースの提供者とサブジェクトの間でリソース情報や属性情報に関して事前に合意が取れている場合,すなわちアイデンティティ情報の構造が共通化されている場合,リソース解決における問題は生じない。例えば,ID-SIS-PPなどの標準のスキーマを用いる場合である。
(Third embodiment)
In the first and second embodiments, the object of data operation is attribute information, but the object of data operation can also be resource structure information. That is, negotiation acquisition of resource structure information can be performed collectively.
When the resource provider and the subject have agreed in advance on the resource information and attribute information, that is, when the structure of the identity information is made common, there is no problem in resource resolution. For example, when using a standard schema such as ID-SIS-PP.
しかし,標準のスキーマが独自に拡張されていたり,独自に定義されたスキーマが用いられていると,どのようなリソース情報なのかを把握できなくなり,リソース解決だけでなく属性情報の交換も困難になってしまう。
リソースの構造情報(スキーマなど)を取得し,それを解析することで,動的にリソースを解決することが考えられる。場合によっては,リソースの構造情報の取得は1つの属性プロバイダサーバでなく,複数に対して行うことが想定される。
However, if the standard schema is independently extended or a uniquely defined schema is used, it will not be possible to grasp what kind of resource information it is, and it will be difficult to exchange attribute information as well as resource resolution. turn into.
It is conceivable to dynamically resolve resources by acquiring the structure information (schema etc.) of the resources and analyzing it. In some cases, it is assumed that the resource structure information is acquired for a plurality of attributes instead of one attribute provider server.
このように,リソースの構造情報の一括した取得は,有用である。例えば,リソース解決部123,223が属性プロバイダサーバ130,230から構造情報を一括して取得できる。
本実施形態は,データ操作の対象が異なることを除けば,第1,第2の実施形態と本質的に異なる訳ではないので,詳細な説明を省略する。
As described above, it is useful to collectively acquire the structure information of resources. For example, the resource resolution units 123 and 223 can acquire the structure information from the
Since the present embodiment is not essentially different from the first and second embodiments except that the data manipulation target is different, detailed description thereof will be omitted.
(その他の実施形態)
本発明の実施形態は上記の実施形態に限られず拡張,変更可能であり,拡張,変更した実施形態も本発明の技術的範囲に含まれる。
(Other embodiments)
Embodiments of the present invention are not limited to the above-described embodiments, and can be expanded and modified. The expanded and modified embodiments are also included in the technical scope of the present invention.
100…登録情報管理システム、110…プリンシパルコンピュータ、120…ポータルサイトサーバ、121…一括処理メッセージ生成部、122…メッセージ一括処理部、123…リソース解決部、124…アプリケーション、125…一括処理メッセージ解釈部、126…一括代理処理部、130…属性プロバイダサーバ、131…属性情報提供部、140…リソース情報検索プロバイダサーバ、141…リソース情報検索部、200…登録情報管理システム、210…プリンシパルコンピュータ、220…ポータルサイトサーバ、221…一括処理メッセージ生成部、222…メッセージ一括処理部、223…リソース解決部、224…アプリケーション、227…一括処理メッセージ送信部、230…属性プロバイダサーバ、231…属性情報提供部、240…リソース情報検索プロバイダサーバ、241…リソース情報検索部、250…FDSサーバ、251…メッセージ一括処理部、252…一括処理メッセージ解釈部、253…一括代理処理部、260…オーソリティサーバ
DESCRIPTION OF
Claims (5)
前記受信される処理要求情報に基づき,前記複数の登録属性情報ファイルへの一括処理を要求する一括処理メッセージを生成する一括処理メッセージ生成手段と,
前記生成される一括処理メッセージに基づき,前記複数の登録属性情報ファイルそれぞれへの処理を要求する複数の個別処理メッセージを生成する個別処理メッセージ生成手段と,
前記生成される複数の個別処理メッセージを前記複数のサイトに送信する個別処理メッセージ送信手段と,
を具備することを特徴とする登録情報管理システム。 Processing request information receiving means for receiving processing request information for requesting processing to a plurality of registered attribute information files respectively registered at a plurality of sites on the network and having the same individual attribute information;
Batch processing message generation means for generating batch processing messages for requesting batch processing to the plurality of registered attribute information files based on the received processing request information;
Individual processing message generating means for generating a plurality of individual processing messages for requesting processing to each of the plurality of registered attribute information files based on the generated batch processing message;
Individual processing message transmitting means for transmitting the plurality of generated individual processing messages to the plurality of sites;
A registration information management system comprising:
前記送信される委譲要求メッセージに対応して返信され,かつ前記権限委譲を許可する委譲許可情報を含む委譲許可メッセージを受信する委譲許可メッセージ受信手段と,をさらに具備し,
前記受信される委譲許可メッセージに対応して,前記一括処理メッセージ生成手段が,委譲許可情報を含む一括処理メッセージを生成する
ことを特徴とする請求項1記載の登録情報管理システム。 A delegation request message transmitting means for transmitting a delegation request message for requesting delegation of authority to the registration attribute information file based on the received processing request information;
A delegation permission message receiving unit that receives a delegation permission message that is returned in response to the transmitted delegation request message and includes delegation permission information that permits the delegation of authority; and
The registration information management system according to claim 1, wherein, in response to the received delegation permission message, the collective processing message generation means generates a collective processing message including delegation permission information.
前記登録情報管理システムが,前記識別子に基づいて,権限委譲の信頼性を確認する信頼性確認手段をさらに具備する
ことを特徴とする請求項2記載の登録情報管理システム。 The batch processing message further includes an identifier representing a subject of authority delegation;
The registration information management system according to claim 2, further comprising a reliability confirmation unit that confirms the reliability of authority delegation based on the identifier.
ことを特徴とする請求項1記載の登録情報管理システム。 The registration information management system according to claim 1, wherein the processing is at least one of acquisition, correction, and acquisition of structure information of the plurality of registration attribute information files.
前記記憶された登録属性情報ファイルの複写に含まれる属性の項目を抽出する抽出手段と,
前記抽出される属性の項目を提示する提示手段と,をさらに具備し,
前記処理要求情報送信手段が,前記複数の登録属性情報ファイルから選択される属性の項目への処理を要求する処理要求情報を受信する,
ことを特徴とする請求項1記載の登録情報管理システム。 Storage means for correspondingly storing the individual and a copy of the registered attribute information file;
Extraction means for extracting attribute items included in a copy of the stored registered attribute information file;
Presenting means for presenting the extracted attribute item;
The processing request information transmitting means receives processing request information for requesting processing to an item of an attribute selected from the plurality of registered attribute information files;
The registered information management system according to claim 1.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006206472A JP2008033638A (en) | 2006-07-28 | 2006-07-28 | Registered information management system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006206472A JP2008033638A (en) | 2006-07-28 | 2006-07-28 | Registered information management system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008033638A true JP2008033638A (en) | 2008-02-14 |
Family
ID=39122981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006206472A Withdrawn JP2008033638A (en) | 2006-07-28 | 2006-07-28 | Registered information management system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008033638A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009205223A (en) * | 2008-02-26 | 2009-09-10 | Nippon Telegr & Teleph Corp <Ntt> | In-group service authorization method by single sign-on, in-group service providing system using this method, and each server constituting this system |
| KR101172571B1 (en) * | 2008-08-11 | 2012-08-08 | 리서치 인 모션 리미티드 | Methods and systems for mapping subscription filters to advertisement applications |
-
2006
- 2006-07-28 JP JP2006206472A patent/JP2008033638A/en not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009205223A (en) * | 2008-02-26 | 2009-09-10 | Nippon Telegr & Teleph Corp <Ntt> | In-group service authorization method by single sign-on, in-group service providing system using this method, and each server constituting this system |
| KR101172571B1 (en) * | 2008-08-11 | 2012-08-08 | 리서치 인 모션 리미티드 | Methods and systems for mapping subscription filters to advertisement applications |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6166596B2 (en) | Authorization server system, control method therefor, and program | |
| EP1700416B1 (en) | Access control for federated identities | |
| JP6141076B2 (en) | System, control method therefor, access management service system, control method therefor, and program | |
| CN101127108B (en) | Method for accessing a information source via a computer system | |
| US8632003B2 (en) | Multiple persona information cards | |
| JP2007323340A (en) | Account link system, computer for account link, and account link method | |
| JP5422753B1 (en) | Policy management system, ID provider system, and policy evaluation apparatus | |
| US8191127B2 (en) | Information processing apparatus and method | |
| JP6323994B2 (en) | Content management apparatus, content management method and program | |
| JP2011081575A (en) | Profile information management system | |
| JP2005078525A (en) | Retrieval method and search engine | |
| JP4944411B2 (en) | Menu generation system, menu generation method, and menu generation program | |
| JP5445692B2 (en) | Information processing apparatus and program | |
| JP2011107779A (en) | Information access control system and method | |
| JP5593370B2 (en) | Access history providing system and access history providing method | |
| JP5471632B2 (en) | Information input support device and program | |
| Zwattendorfer et al. | Towards a federated identity as a service model | |
| JP2016057737A (en) | Service provision system, and management server and management method using the same | |
| JP2008033638A (en) | Registered information management system | |
| JP2006285405A (en) | Content intermediation method, content intermediation system and content intermediation server | |
| JP2009260846A (en) | Network operation monitoring system, manager device, and network operation monitoring method | |
| JP2005293161A (en) | Authentication system, authentication method and computer program | |
| JP2007249423A (en) | Processing screen switching method in work processing system, work processing system, server therefor, and program | |
| JP2004302907A (en) | Network device and authentication server | |
| KR20100073884A (en) | Method of intermediation and synchronization customer information based on id federation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20091006 |