JP2009519531A - マクロ・サポートによりhttpセキュリティ・メッセージ処理を外部化するための方法およびシステム - Google Patents

マクロ・サポートによりhttpセキュリティ・メッセージ処理を外部化するための方法およびシステム Download PDF

Info

Publication number
JP2009519531A
JP2009519531A JP2008544995A JP2008544995A JP2009519531A JP 2009519531 A JP2009519531 A JP 2009519531A JP 2008544995 A JP2008544995 A JP 2008544995A JP 2008544995 A JP2008544995 A JP 2008544995A JP 2009519531 A JP2009519531 A JP 2009519531A
Authority
JP
Japan
Prior art keywords
message
server
redirect message
client
macro
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008544995A
Other languages
English (en)
Other versions
JP5039053B2 (ja
Inventor
ハーモン、ベンジャミン、ブルーアー
ヒントン、ヘザー、マリア
ミルマン、アイヴァン、マシュー
マラン、アンソニー、スコット
ヴァンデンヴァウヴァー、マーク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009519531A publication Critical patent/JP2009519531A/ja
Application granted granted Critical
Publication of JP5039053B2 publication Critical patent/JP5039053B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Abstract

【課題】
データ処理システムにおいてメッセージ処理を外部化するための方法を提供する。
【解決手段】
第1サーバにおいて、リソースをアクセスする要求がクライアントから受け取られる。要求の処理はメッセージがクライアントに送られることを必要とする、という第1サーバにおける決定に応答して、メッセージがクライアントに送られるために、第2サーバにおけるメッセージ処理機能に対応したオペレ-ション・コードを含むリダイレクト・メッセージが生成される。評価されたマクロを決定するために、評価可能マクロが評価され、その評価されたマクロがリダイレクト・メッセージに挿入される。しかる後、リダイレクト・メッセージがクライアントを介して第1サーバから第2サーバに送られる。第2のサーバがリダイレクト・メッセージからオペレ-ションコードを取り出し、その取り出されたオペレ-ションコードに対応するメッセージ処理機能を起動する。第2のサーバがリダイレクト・メッセージからその評価されたマクロを取り出し、その評価されたマクロをメッセージ処理機能に対する入力パラメーターとして第2のサーバにおいてを使用する。
【選択図】 図5

Description

本発明は、データ処理システムの改良に関し、マルチコンピュータのデータ転送のための方法および装置に関する。
電子商取引ウェブサイトおよびウェブ・アプリケーションは、ユーザに代わってコンピュータ・ネットワークを介して取引を行う。企業は、一般に、インターネットを含む様々なネットワークを通してユーザ・フレンドリな方法で許可ユーザに保護されたリソースへの安全なアクセスを提供することを望んでいる。電子商取引のウェブ・ベースの環境では、コンピュータ・システムは、多くの場合、ウェブサイトをアクセスするためのフロント・ドアまたはセントリ・ゲート(sentry gate)の形で認証業務を実施している。ユーザは、多くの場合、セキュリティ目的のための適正なレベルの確度に合うようユーザの身元を証明するためには認証手続きを通らなければならない。これらの認証業務は、ユーザがいずれかのリソースへのアクセスを得る前に認証されることを保証するために、申請の前に、即ち、ユーザと申請との間に位置する。これらの認証業務は、ウェブサーバ・プラグイン、リバース・プロキシ、或いは他の同様の技術として具現化することが可能である。企業は、標準のウェブ・ブラウザを操作する所定の装置に加えて、特殊のライトウェイト・ブラウザを備えたウェブをブラウズする携帯電話、PDA(Portable Digital Assistant)等のようなモバイル装置を含む様々なクライアントをサポートすることを望んでいる。
しかし、プロキシ・コンポーネントにおける或る実装上の制約は、いずれの所与のインストールにおいても複数の異なる装置のサポートを禁じている。その問題は、ログインを必要とするユーザに通知するメッセージまたは或るタイプのエラー・メッセージのようなセキュリティ関連イベントに関する情報がクライアントに送られる必要があるとき、プロキシ・サーバ自身から供給される静的コンテンツに集中している。例えば、ユーザは、企業のイントラネットを介してコンテンツをアクセスするためにPDAを使用することを望むことがあるが、イントラネット介してコンテンツはすべてプロキシ・サーバによって保護されている。ユーザが、ログオン操作を必要とするリンクをクリックするとき、プロキシ・サーバは静的ログインHTML(HyperTextMarkup Language)形式をPDAに戻すことがある。残念ながら、PDAにおけるブラウザは、既にモバイルの装置に適合しているコンテンツを扱うことしかできないことがあり、PDAは、HTML形式全体またはそれの或る部分を処理することができないことがある。従って、ユーザはイントラネットに対してログオンすることができない。
種々の装置にとって適正なコンテンツという問題に対処するために、下記のような解決策または次善の策が提案されている。上記のログオン問題に関して、ログオン形式、およびプロキシ・サーバによって供給される他の静的な形式は、モバイル装置用にエンコードされるページへのリダイレクト、または、ターゲット装置におけるブラウザのタイプを識別してそのターゲット装置にとって適正なコンテンツを生成し得るサーブレットへのリダイレクト、と共に「メタ」タグを含むことができる。残念ながら、ほとんどのモバイルの装置を含む多くの装置が「メタ」・リダイレクト・タグをサポートしていない。
もう1つの解決策または次善の策は、サポートされたクライアント装置の各タイプに対して1つずつ存在するような複数のプロキシ・サーバを操作することであろう。この解決策は、多くの場合、種々の装置のための「チャネル」をサポートするものとして説明されている。残念ながら、この解決策は、顧客、即ち、ウェブサイトを操作している企業に対して不合理なリソースおよび管理上の要件を設けている。更に、この解決策は、顧客にインフラストラクチャを販売しようとする業務上のパートナによって提案されるとき、顧客にとって不合理であるように見えることがある。
第3の解決策は、HTMLを所与の装置にとって適切なフォーマットにするトランスコーディング・サーバをプロキシ・サーバの前に置くことであろう。しかし、そのトランスコーダは顧客の計算上のDMZ(DeMilitarized Zone)に配備されなければならず、しかも、DMZは、セキュリティ問題の対処に専用化され且つ、通常、セキュリティの脆弱性を導く可能性のためにコンテンツ関連の機能に欠ける、データ処理システムの部分であるので、顧客はこれを機密漏れと見なしている。従って、トランスコーディング解決策はほとんどの顧客にとって受入れ難い。
更に別の解決策は、種々のコンテンツ・ページを種々のクライアント・タイプに直接送ることであろう。ほぼすべてのHTTPクライアントは、クライアント・タイプと、クライアントによって理解されるデータ・タイプとを識別する少量の情報を各要求において送る。例えば、WAP(Wireless ApplicationProtocol)イネーブルド・モバイル電話は、WML(Wireless Markup Language)ドキュメントを変える方法を知っていることを示すために、「application/vnd.wap.wml」を含む「受諾」ヘッダを送るであろうし、一方、iモード(商標)電話は、それがコンパクトHTMLドキュメントを好むことを示すために「text/chtml」の「受諾」ヘッダを送るであろう。プロキシ・サーバは、種々のHTTPヘッダのコンテンツに基づいて、種々のクライアント・タイプが種々の種類のドキュメントを直接受け取るように構成され得る。しかし、ワイヤレス装置およびプロトコルの急速に拡大する多様性がこの解決策を管理的には非実用的なものにするので、この解決策は問題である。特定のベンダの装置がサポートされるということを保証するために、更新は恒常的に必要とされるであろう。
本発明は、データ処理システムにおいてメッセージ処理を外部化するためにコンピュータを利用する方法、コンピュータ・プログラム、および装置を提供する。
本発明の第1の局面である方法は、第1サーバにおいて、リソースをアクセスする要求をクライアントから受け取るステップと、前記要求の処理はメッセージが前記クライアントに送られることを必要とする、という前記第1サーバにおける決定に応答して、前記メッセージを前記クライアントに送るために第2サーバにおけるメッセージ処理機能に対応したオペレーション・コードを含むリダイレクト・メッセージを生成するステップと、評価されたマクロを決定するために構成可能マクロを評価するステップと、前記評価されたマクロを前記リダイレクト・メッセージに挿入するステップと、前記クライアントを介して前記リダイレクト・メッセージを前記第1サーバから前記第2サーバに送るステップと、を含む。
メッセージを受け取る装置のタイプによってメッセージのコンテンツが処理されるようにセキュリティ関連イベントに対するメッセージを提供する方法および装置が提供されることが望ましい。
本発明の第2の局面であるコンピュータ・プログラムは、メッセージ処理を外部化するためにデータ処理システムにおいて使用するための、コンピュータ可読記憶媒体におけるコンピュータ・プログラムである。そのコンピュータ・プログラムは、第1サーバにおいて、リソースをアクセスする要求をクライアントから受け取る機能と、前記要求の処理はメッセージが前記クライアントに送られることを必要とする、という前記第1サーバにおける決定に応答して、前記メッセージを前記クライアントに送るために第2サーバにおけるメッセージ処理機能に対応したオペレーション・コードを含むリダイレクト・メッセージを生成する機能と、評価されたマクロを決定するために構成可能マクロを評価する機能と、前記評価されたマクロを前記リダイレクト・メッセージに挿入する機能と、前記クライアントを介して前記リダイレクト・メッセージを前記第1サーバから前記第2サーバに送る機能と、を含む。
本発明の第3の局面である装置は、データ処理システムにおいてメッセージ処理を外部化するための装置である。その装置は、第1サーバにおいて、リソースをアクセスする要求をクライアントから受け取るための手段と、前記要求の処理はメッセージが前記クライアントに送られることを必要とする、という前記第1サーバにおける決定に応答して、前記メッセージを前記クライアントに送るための第2サーバにおけるメッセージ処理機能に対応したオペレーション・コードを含むリダイレクト・メッセージを生成するための手段と、評価されたマクロを決定するために構成可能マクロを評価するための手段と、前記評価されたマクロを前記リダイレクト・メッセージに挿入するための手段と、前記クライアントを介して前記リダイレクト・メッセージを前記第1サーバから前記第2サーバに送るための手段と、を含む。
本発明の好適な実施例によれば、データ処理システムにおいてメッセージ処理を外部化するための方法が提供される。第1サーバにおいて、リソースをアクセスする要求がクライアントから受け取られる。要求の処理はメッセージがクライアントに送られることを必要とする、という第1サーバにおける決定に応答して、メッセージがクライアントに送られるために、第2サーバにおけるメッセージ処理機能に対応したオペレ-ション・コードを含むリダイレクト・メッセージが生成される。評価されたマクロを決定するために、評価可能マクロが評価され、その評価されたマクロがリダイレクト・メッセージに挿入される。しかる後、リダイレクト・メッセージがクライアントを介して第1サーバから第2サーバに送られる。第2のサーバがリダイレクト・メッセージからオペレ-ションコードを取り出し、その取り出されたオペレ-ションコードに対応するメッセージ処理機能を起動する。第2のサーバがリダイレクト・メッセージからその評価されたマクロを取り出し、その評価されたマクロをメッセージ処理機能に対する入力パラメータとして第2のサーバにおいてを使用する。
一般に、本発明を含み得る装置或いは本発明に関連し得る装置は広範な種々のデータ処理技術を含んでいる。従って、背景として、本発明を詳細に説明する前に、分散型データ処理システムにおけるハードウェアおよびソフトウェア・コンポーネントの典型的な構成を説明することにする。
次に図面を参照すると、図1は、各々が本発明の一部分を具現化し得る複数のデータ処理システムの典型的なネットワークを示す。分散型データ処理システム100はネットワーク101を含み、そのネットワークは、分散型データ処理システム100内で相互接続された種々の装置およびコンピュータ間の通信リンクを提供するために使用し得る媒体である。ネットワーク101は、ワイヤまたは光ファイバ・ケーブルのような永続的接続或いは電話または無線通信を介して行われる一時的接続を含み得る。図示の例では、サーバ102およびサーバ103が記憶ユニット104と共にネットワーク101に接続される。更に、クライアント105〜107もネットワーク101に接続される。クライアント105〜107およびサーバ102〜103は、メインフレーム、パーソナル・コンピュータ、パーソナル・デジタル・アシスタント(PDA)等のような種々のコンピューティング装置によって代表され得る。分散型データ処理システム100は、更なるサーバ、クライアント、ルータ、他の装置、および図示されていないピア・ツー・ピア・アーキテクチャを含み得る。
図示の例では、分散型データ処理システム100は、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)、トランスポート・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)、ファイル・トランファ・プロトコル(FTP)、ハイパーテキスト・トランスポート・プロトコル(HTTP)、ワイヤレス・アプリケーション・プロトコルなど(WAP)等のような種々のプロトコルを相互に通信するために使用するネットワークおよびゲートウェイの世界的な集合体を表わすネットワーク101を備えたインターネットを含み得る。もちろん、分散型データ処理システム100は、例えば、イントラネット、ローカル・エリア・ネットワーク(LAN)、または広域ネットワーク(WAN)のような多くの種々のタイプのネットワークを含み得る。例えば、無線通信リンクを組込んだサーバ102がクライアント109およびネットワーク110を直接サポートする。ネットワーク使用可能電話111が無線リンク112を介してネットワーク110に接続し、PDA113が無線リンク114を介してネットワーク110に接続する。電話111およびPDA113は、いわゆるパーソナル・エリア・ネットワーク(PAN)またはパーソナル・アドホック・ネットワークを形成するようにBluetooth(商標)無線技術のような適切な技術を使用して、無線リンク115にまたがって相互にデータを直接転送することも可能である。同様に、PDA113は、無線通信リンク116を介してPDA107にデータを転送することも可能である。
本発明は、種々のハードウェア・プラットフォーム上で具現化することが可能であろう。図1は、異種のコンピューティング環境の一例として意図されており、本発明に対するアーキテクチャ上の限定として意図されたものではない。
次に図2を参照すると、図1に示されたような、本発明を具現化し得るデータ処理システムの典型的なコンピュータ・アーキテクチャが示される。データ処理システム120は、内部システム・バス123に接続された1つまたは複数の中央処理装置(CPU)122を含んでいる。システム・バス123は、ランダム・アクセス・メモリ(RAM)124、読取り専用メモリ126、および入出力(I/O)アダプタ128に相互接続している。入出力アダプタ128は、プリンタ130、ディスク装置132、または音声出力システムのような図示されてない他の装置等のような種々のI/O装置をサポートする。システムバス123は、更に、通信リンク136にアクセスを行なう通信アダプタ134に接続している。ユーザ・インターフェース・アダプタ148が、キーボード140およびマウス142のような種々のユーザ装置、またはタッチ・スクリーン、スタイラス、マイクロホン等のような図示されてない他の装置に接続している。ディスプレイ・アダプタ144がシステム・バス123をディスプレイ装置146に接続している。
図2におけるハードウェアがシステムの具現化態様に従って変わり得るということは当業者には明らかであろう。例えば、システムは、Intel(商標)Pentium(登録商標)ベースのプロセッサおよびデジタル信号プロセッサ(DSP)のような1つまたは複数のプロセッサ、並びに1つまたは複数のタイプの揮発性および不揮発性メモリを有し得る。図2に示されたハードウェアに加えて、またはそれらのハードウェアに代わりに、他の周辺機器が使用されてもよい。図示の例は、本発明に関してアーキテクチャ上の限定を暗示することを意味しない。(なお、IntelおよびPentiumは、米国およびその他の国におけるインテル社またはその子会社の商標または登録商標である。)
本発明は、種々のハードウェア・プラットフォームにおいて実施され得ることに加えて、種々のソフトウェア環境においても実施され得る。各データ処理システム内のプログラム実行を制御するために、一般的なオペレーティング・システムを使用することも可能である。例えば、或る装置は、Unix(登録商標)オペレーティング・システムを走らせることも可能であり、一方、別の装置は、簡単なJava(登録商標)ランタイム環境を含むことも可能である。代表的なコンピュータ・プラットフォームは、グラフィック・ファイル、ワード処理ファイル、エクステンシブル・マークアップ言語(XML)、ハイパーテキスト・マークアップ言語(HTML)、ハンドヘルド・デバイス・マークアップ言語(HDML)、ワイヤレス・マークアップ言語(WML)、並びに、種々の他のフォーマットおよびタイプのファイルのような種々のフォーマットにおけるハイパーテキスト・ドキュメントをアクセスするための周知のソフトウェア・アプリケーションであるブラウザを含み得る。(JavaおよびすべてのJavaベースの商標およびロゴは米国におけるSunMicrosystems社の商標であり、UnixはアメリカにおけるOpen Groupの商標である。)
図1および図2に関して上述したように、本発明は、種々のハードウェアおよびソフトウェア・プラットフォーム上で具現化することが可能である。しかし、更に詳しく云えば、本発明はデータ処理環境の改良に関するものである。本発明をより詳細に説明前に、典型的なデータ処理環境のいくつかの実施態様を説明する。
図面に関する説明は、クライアント装置またはそのクライアント装置のユーザのいずれかによる或るアクションを含むことがある。クライアントへの/クライアントからの応答および/またはクライアントからの要求がユーザによって開始されることがあり、別のときには、クライアントによって、多く場合、そのクライアントのユーザのために、自動的に開始されるということも当業者には明らかであろう。従って、クライアントまたはクライアントのユーザが図面の説明において言及される場合、その説明されたプロセスの意味に著しく影響を与えることなく、「クライアント」および「ユーザ」という用語を交換可能に使用することができることも当然である。
或る計算タスクは、以下では機能ユニットによって行なわれるものとして説明することが可能である。機能ユニットは、ルーチン、サブルーチン、プロセス、サブプロセス、プロシージャ、関数、方法、オブジェクト指向のオブジェクト、ソフトウェア・モジュール、アプレット、プラグ・イン、ActiveX(商標)コントロール、スクリプト、或いは計算タスクを行なうためのファームウェアまたはソフトウェアの他のコンポーネント相当し得る。
図に関する説明は、種々のコンポーネント間の情報の交換を含み得るし、情報の交換は、メッセージの交換、例えば、要求メッセージに続いて生じる応答メッセージ、によって実施されるものとして説明され得る。適切な場合、同期または非同期要求/応答交換を含み得る計算コンポーネント間の情報の交換は、メッセージ、メソッド呼出し、リモート・プロシージャ呼出し、イベント・シグナリング、または他の機構のような種々のデータ交換機構を介して実施され得るということに留意されたい。
次に図3を参照すると、典型的な企業のデータ処理システムのブロック図が示される。図1はクライアントおよびサーバを備えた典型的なデータ処理システムを示しているが、それとは対照的に、図3は、リソースをアクセスするというクライアント要求をサポートするために使用可能なサーバ・サイドのエンティティのいくつかに関して、ネットワーク内のクライアントを示す。典型的なコンピューティング環境におけるように、企業ドメイン200は、例えば、ネットワーク208を介してクライアント206上のブラウザ・アプリケーション204を使用することによって、ユーザ202がアクセスし得るリソースをホスティングする。コンピュータ・ネットワークは、図1に示されるように、インターネット、イントラネット、或いは他のネットワークであってもよい。
企業ドメイン200は複数のサーバをサポートする。アプリケーション・サーバ210は、制御されたリソースおよび/または制御されてないリソースを、ウェブ・ベースのアプリケーションおよび、レガシ・アプリケーションを含む他のタイプのバックエンド・アプリケーション、を介してサポートする。リバース・プロキシ・サーバ214、更に簡単云えば、プロキシ・サーバ214は、企業ドメイン200のための広範な機能を遂行する。例えば、プロキシ・サーバ214はアプリケーション・サーバからのコンテンツをミラーリングするためにウェブ・ページをキャッシュに入れてもよい。種々のポリシにおいて指定される目的および条件に従って、或いは配備されたソフトウェア・モジュールの構成に従って、着信する要求および発信する応答に関する種々の処理タスクを遂行するために、着信および発信するデータ・ストリームは、それぞれ、入力データ・ストリーム・フィルタ216および出力データ・ストリーム・フィルタ218によって処理され得る。
セッション管理ユニット220が、セッション識別子、キャッシュに入れられたクリデンシャル、或いは、プロキシ・サーバ214によって認識されるようなセッションに関する他の情報を管理する。ウェブ・ベースのアプリケーションが、認証情報を、多くの場合、HTML形式におけるユーザ名/パスワードの組合せとして、入力することをユーザにプロンプト指示するために種々の手段を利用する。図3に示される例では、ユーザ202は、クライアント206がリソースをアクセスする前に認証され、しかる後そのクライアント206に対するセッションが確立されることを必要とする。代替の実施例では、認証および認可オペレーションは、ドメイン200におけるリソースへのアクセスをユーザに提供する前に行なわれない。ユーザ・セッションは、付随する認証オペレーションなしで生じ得るであろう。
企業ドメイン200内の上記エンティティは、多くのコンピューティング環境における典型的なエンティティを表わす。しかし、多くの企業ドメインは、保護された計算リソースへのアクセスを制御するためのセキュリティ機構を有する。計算リソースは、アプリケーション、オブジェクト、ドキュメント、ウェブ・ページ、ファイル、実行可能なコード・モジュール、或いは何らかの他の計算リソースまたは通信タイプ・リソースであってもよい。保護されたリソースまたは制御されたリソースは、要求元クライアント或いは要求元ユーザが確証および/または認可される場合、単なるアクセス可能なまたは検索可能なリソースである。場合によっては、認証されたユーザは、デフォルトによる許可されたユーザである。認証サーバ222は、ユーザ名/パスワード、X.509証明書または安全なトークンのような種々の認証機構をサポートし得る。特殊の認証方法に対しては、複数の認証サーバが専用化されることもある。許可サーバ224は、許可データベース226を使用し得る。許可データベース226は、アクセス制御リスト228、許可ポリシ230、ユーザ・グループまたはロール232に関する情報、および特別の管理グループ234内の管理ユーザに関する情報のような情報を含む。この情報を使用して、認可サーバ224は、特定の要求が続行することを許されるべきかどうか、例えば、制御されたリソースへのアクセスがクライアント206からの要求に応答して許されるべきかどうか、の表示をプロキシ・サーバ214に供給する。本発明が種々の認証および許可アプリケーションに関連して具現化され得るということに留意すべきである。本明細書に示された発明の実施例は、認証および許可サービスの構成に関して本発明の範囲を限定するものと解釈されるべきではない。
次に図4を参照すると、クライアントがサーバにおける保護されたリソースをアクセスしようとするときに使用し得る典型的な認証プロセスにおけるデータの流れ図が示される。図示のように、クライアント・ワークステーション300におけるユーザが、そのクライアント・ワークステーション上で実行されるユーザのウェブ・ブラウザを通してサーバ302上の保護されたリソースにコンピュータ・ネットワークを介してアクセスを求める。その保護されたリソースは、ユニフォーム・リソース・ロケーター(URL)によって、或いは、更に一般的には、認証および許可されたユーザによってのみアクセスされ得るユニフォーム・リソース識別子(URI)によって、識別され得る。
ユーザがドメイン内のウェブ・ページ「ibm.com」のようなサーバ側の保護されたリソースを要求するとき、プロセスが開始される(ステップ304)。「サーバ側」および「クライアント側」という用語は、それぞれ、ネットワーク化された環境内のサーバまたはクライアントにおけるアクションまたはエンティティを指す。ウェブ・ブラウザ(或いは、関連するアプリケーションまたはアプレット)は、ドメイン「ibm.com」をホスティングしているウェブ・サーバに送られるHTTP要求を発生する(ステップ306)。「要求」また「応答」という用語は、メッセージ、通信プロトコル情報、または他の関連情報のような特定のオペレーションに関係する情報の転送に適したデータのフォーマット化を含むものと理解されたい。
サーバは、それがクライアントのためのアクティブ・セッションを持たないということを決定し(ステップ308)、従って、サーバは、クライアントに或るタイプの認証チャレンジを送ることによって認証プロセスを行なうことをユーザに要求する(ステップ310)。認証チャレンジはHTML形式のような種々のフォーマットにおけるものでよい。しかる後、ユーザは、ユーザ識別子および関連のパスワードのような要求された情報または必要な情報を提供し(ステップ312)、或いは、クライアントがデジタル証明書のような或る情報を自動的に戻すことも可能である。
認証応答情報がサーバに送られ(ステップ314)、その時点で、サーバは、例えば、事前に提出された登録情報を検索することおよびその表わされた認証情報とユーザの格納された情報とを突き合わせることによって、ユーザまたはクライアントを認証する(ステップ316)。認証が成功したと仮定すると、その認証されたユーザまたはクライアントに対して、アクティブなセッションが確立される。
しかる後、サーバはその要求されたウェブ・ページを検索し、クライアントにHTTP応答メッセージを送る(ステップ318)。その時点で、ユーザは、ハイパーテキスト・リンクをクリックすることによりブラウザにおいて「ibm.com」内の別ページを要求することがあり(ステップ320)、ブラウザは別のHTTP要求メッセージをサーバに送る(ステップ322)。その時点で、サーバは、ユーザがサーバによって維持されているセッション状態情報に基づいてアクティブなセッションを持っているということを認識する(ステップ324)。例えば、サーバは、ユーザのクライアントがHTTP要求メッセージ内のセッションIDを戻すので、サーバは要求元のユーザのために適切なセッション状態情報を認識する。キャッシュに入れられたユーザ・セッション情報に基づいて、サーバは、例えば、ユーザのクリデンシャルのコピーが入手可能であることによって、ユーザが既に認証されているということを決定する。しかる後、サーバは、認証オペレーションのような或るオペレーションが、ユーザの要求を満たす前に遂行される必要がないということを決定する。サーバは、その要求されたウェブ・ページを別のHTTP応答メッセージ(ステップ326)においてクライアントに返送し、それによって、保護されたリソースを求めるユーザの当初の要求を満たす。
背景情報のために、図3は典型的なデータ処理システムを示し、図4は、クライアントがサーバにおける保護されたリソースをアクセスしようとするときに使用し得る典型的な認証プロセスを示す。本発明をサポートするデータ処理システムにおいて同様のコンポーネントおよびプロセスが使用され得るが、本発明の好適な実施例が残りの図において示され、それらの図に関連して検討される。
特に、本発明は、好適な実施例に従って、コンテンツが、そのコンテンツを受け取る装置のタイプによって処理され得るような動的な態様でセキュリティ関連のイベントまたは他のイベントに対する適正メッセージまたは他のコンテキスト適正コンテンツを提供する方法、装置、コンピュータ・プログラム、またはシステムに関するものである。更に詳しく云えば、以下で詳細に説明されるように、本発明の好適な実施例に従って、プロキシ・サーバからメッセージ処理サーバにメッセージまたはコンテンツの処理を外部化する改善されたインフラストラクチャが提供される。
次に図5を参照すると、本発明の実施例に従って外部化されたメッセージ処理を行うためのデータ処理システムの一部分を表わすブロック図が示される。図5に示されるデータ処理システムは、図3に示されたデータ処理システムと同様のものである。例えば、その2つの図では、クライアント402がクライアント206と同様のものであり、リバース・プロキシ・サーバ404がプロキシ・サーバ214と同様のものであるがその拡張バージョンであり、保護されたリソース406がアプリケーション・サーバ210および他のタイプの保護されたリソースを表わし得る。
リバース・プロキシ・サーバ404は、そのサーバ404におよびそのサーバ404から送られるデータがファイアウォール408および410を通り抜けなければならないような計算DMZ(DeMilitarized Zone)の内に存在することが望ましい。リバース・プロキシ・サーバ404は、保護されたリソース406を含む安全領域内で作成されるユーザ・セッションに関連したセッション管理の責任を負う。
リバース・プロキシ・サーバ404および保護されたリソース406は、例えば、図2に示されるような企業ドメイン200と同様の企業ドメインにおける計算リソースを表し得るトラステッド・ネットワーク内に存在してもよい。
図5は、クライアント/ユーザと、そのクライアント/ユーザによってアクセスされる保護されたリソースをサポートするコンポーネントとの間における或るデータ・フローを示す。更に、図5は、動的なメッセージ処理がプロキシ・サーバから別のサーバに外部化され得る本発明の実施態様を検討するためのコンポーネントを示す。
多くの操作シナリオまたは取引では、クライアント402のユーザは、プロキシ・サーバ404がユーザのためのクリデンシャルを有するように、プロキシ・サーバ404を介して認証プロセスを既に終了していてもよい。プロキシ・サーバ404は、例えば、ユーザが受け取った要求を保護されたリソース406に転送または送信するとき、いくつかの保護されたリソース406へのアクセスをユーザに提供するためにクリデンシャルを使用する。多くの場合、プロキシ・サーバ404が、保護されたリソースをアクセスするという要求を受け取り、要求元ユーザのクリデンシャルが十分であるということを決定するとき、プロキシ・サーバ404は如何なるエラー処理も行うことなく要求を処理する。
しかし、図5に示される例では、リソース要求412がプロキシ・サーバ404によって受け取られるとき、リソース要求412は、例えば、仮定的に転送される要求414として、保護されたリソース406に転送されない。この例では、プロキシ・サーバ404は、リソース要求412が何らかの理由で、特に、何らかのセキュリティ関連のイベント、エラー誘起したイベント、または何らかの他のタイプの問題イベントを検知したために、履行され得ない或いは遂行され得ない要求であるということを認識する。例えば、プロキシ・サーバ404は、そのプロキシ・サーバが、保護されたリソースをアクセスすることを要求されるクライアント/ユーザのためのクリデンシャルを持っていないということを認識し、それによってユーザがログオン・オペレーションまたは、例えば、ユーザ名とパスワードを備えたログオン形式の成功したサブミッションにより同様の認証オペレーションを行なうことを要求されるということを決定し得る。
クライアントに、例えば静的HTML形式のようなコンテキスト適正コンテンツを戻そうとするのではなく、プロキシ・サーバ404が、その代りに、クライアント402にリダイレクト・メッセージ416を送る。クライアント402は、そのリダイレクト・メッセージをメッセージ処理サーバ418に転送する。このリダイレクト・メッセージは、メッセージ処理サーバ418が、クライアント402からのオリジナル要求に応答してクライアント402にコンテキスト適正コンテンツを送る責任を負うことを可能にする情報を含んでいる。メッセージ処理サーバ418は、更に詳細に後述するように、プロキシ・サーバ404によってメッセージ処理サーバ418のためのリダイレクト・メッセージ416内に特別に含まれた情報に基づいて、コンテキスト適正コンテンツ420を動的に生成し,それをクライアント402に送る。
次に図6を参照すると、本発明の実施例に従って、プロキシ・サーバからメッセージ処理サーバへのリダイレクト・メッセージのコンテンツを表わすブロック図が示される。メッセージ502は、クライアント装置を介して、プロキシ・サーバからメッセージ処理サーバに送られるリダイレクト・メッセージを表わす。メッセージ502は種々の実施態様特有の方法でフォーマットされ得るが、メッセージ502は、無線装置またはモバイルの装置を含むほとんどのHTTP対応の装置によってエラーなしで処理され得るHTTP「302」リダイレクトとしてフォーマットされることが望ましい。リダイレクト・メッセージ502はロケーション・ヘッダ504を含み、そのロケーション・ヘッダは、リダイレクト・メッセージが、この場合メッセージ処理サーバである宛先として意図されるエンティティのURIを含む。好適な実施例では、ロケーション・ヘッダ504は、メッセージ処理要求508と共に、メッセージ処理サーバのURLを表わすベースURL506を含む。メッセージ処理要求508は、クライアント要求に応答してメッセージ生成タスクを行なうためにプロキシ・サーバからメッセージ処理サーバに送られる情報を表わす。
次に図7を参照すると、本発明の実施例に従って、プロキシ・サーバからメッセージ処理サーバへのメッセージ処理要求のコンテンツを表わすブロック図が示される。メッセージ処理要求602は、図6に示されたメッセージ処理要求508と同様のものである。メッセージ処理要求602は、プロキシ・サーバがメッセージ処理サーバに遂行することを要求するオペレーションまたはメッセージ生成機能を表わすオペレ-ション・コード、即ち、opコードを含む。マクロ起動の情報606は、プロキシ・サーバにおいてで構成され得るマクロに従って、プロキシ・サーバによりメッセージ処理サーバに提供されるゼロまたはそれ以上のデータ項目を表す。その評価されたマクロは、メッセージを生成するとき、メッセージ処理サーバによってメッセージ生成機能で或いは何らかの他の方法で使用され得る。
図8を参照すると、本発明の実施例に従って、メッセージ処理サーバに送られるリダイレクト・メッセージを生成するためにプロキシ・サーバによって使用される情報のブロック図が示される。図8に示される情報項目のいくつかは、他の図に示された要素を単に繰り返している。例えば、リダイレクト・メッセージ702は図6におけるリダイレクト・メッセージ502と同様のものである。opコード704は図7におけるopコード604と同様のものであり、メッセージ処理要求508の一部を構成する。マクロ起動のURI706は、図7におけるマクロ起動の情報606と同様のものであり、メッセージ処理要求508の一部を構成する。
プロキシ・サーバ700は、リダイレクト・メッセージ702を形成するために使用されるデータ項目に関する種々のデータ・ストアまたはソースをアクセスする。プロキシ・サーバ700がアクセスし得るデータ・ストアの1つはコンフィギュレーション・ファイル710であり、そのファイル710は、好適な実施例の機能を含む、プロキシ・サーバ700の処理の広範な種々の態様をガイドする構成可能な変数に関する値を含む。構成ファイル710はメッセージ処理(MH)URL712を含む。そのMHURLは、構成ファイ内の名前−値のペアとして格納されてもよい。プロキシ・サーバ700は、リダイレクト・メッセージ702を生成するとき、メッセージ処理サーバURL712をメッセージ処理URL708としてコピーする。
例えば、設定ファイルは下記のストリングを含み得る。
「local-response-redirect-uri =/ibmysa/jct/handler」
ストリング「local-response-redirect-uri」は、メッセージ処理サーバに対するリダイレクトURIを表す変数の名前を表す。ストリング「/ibmusa/jct/handler」は、その変数の値を表す。従って、ストリング「/ibmusa/jct/handler」は、リダイレクト・メッセージ702におけるMH URL708の値であり、ストリング「/ibmusa/jct/handler」は、リダイレクト・メッセージ702におけるロケーションURIのベース部分を形成する。
プロキシ・サーバ700は、本発明の実施態様に依存する種々の方法でopコード704を決定し得る。例えば、opコード704は、セキュリティ関連のイベント通知に基づいて、または検知されたエラー状態に基づいて選択され得る。それとは別に、opコード704は、クライアント要求メッセージ714内の情報に基づいて、即ち、保護されたリソースを、特にクライアント要求のURI716に関連して、アクセスしようとしたクライアントからのオリジナル要求メッセージ内の情報に基づいて、選択され得る。プロキシ・サーバ700がopコード704を決定し得る方法は、構成ファイル710を介して構成し得るものであってもよい(図には示されていない)。それとは別に、それは、プロキシ・サーバ700のソース・コード・ロジック内に組み込まれてもよく、或いはプロキシ・サーバ700は何らかの別の方法でその値を受け取るかまたは検索する。
例えば、クライアント装置がログオン・ウェブ・ページのようなログオン・リソースをアクセスしようとする場合、opコード704は、特定のURL716に基づいて、或いは関連するリソースのグループにおけるそれの分類に基づいて、選択されることがある。従って、オペレーション・コードの値は「LOGON」に等しいことがあり、opコード704は、リダイレクト・メッセージ702におけるロケーションURIの一部分として現われるストリング「OP_CODE=logon」によって表わされることも可能である。更に詳しく云えば、より詳細に後述するように、opコード704は、照会引数としてリダイレクト・メッセージ702におけるロケーションURIに置かれることも可能である。
プロキシ・サーバ700は、構成ファイル710におけるマクロ718の存在に基づいてリダイレクト・メッセージ702内にマクロ関連のURI706を組み込むように指示される。この例では、マクロ718は、当初要求されたURIがメッセージ処理サーバに供給されることを表わす。従って、プロキシ・サーバ700は、クライアント要求のURI716をリダイレクト・メッセージ702にマクロ関連のURI706としてコピーする。
例えば、構成ファイルは、当初要求されたURIをメッセージ処理要求に含めるためにプロキシ・サーバ700を起動するストリング「macro=URI」を含み得る。ストリング「https://ibmUSA/jct/protected/」がその当初要求されたURIを表わす場合、更に詳細に後述するように、ストリング「URI=https://ibmUSA/jct/protected/」が、ロケーションURIの一部分における照会引数としてリダイレクト・メッセージ702に置かれてもよい。
或る視点から見ると、本発明の好適な実施例におけるいくつかの態様を、リダイレクト・メッセージの「ロケーション」・ヘッダの構造をAPI(アプリケーション・プログラム・インターフェイス)の1つのタイプとして使用するものと見なすことも可能である。パラメータは、定義されたインターフェースを使用して、プロキシ・サーバからメッセージ処理サーバに伝えられる。図6に示されるように、「ロケーション」・ヘッダ内のコンテンツは下記の部分から構成され得る。
<MH URL> <OP CODE>{<MACRO-INVOKEDINFO>}
なお、その「ロケーション」・ヘッダにおける<MH URL>は、メッセージ処理サーバのURLを表わすストリングである。<OP CODE>は、オペレ-ション・コードを表わすストリングである。{<MACRO-INVOKEDINFO>}は、構成ファイル内のマクロ変数の存在によって要求される情報項目を表わすゼロまたはそれ以上のストリングである。
好適な実施例では、オペレ-ション・コードおよびマクロ起動の情報項目がリダイレクト・メッセージの「ロケーション」・ヘッダ内に照会引数として含まれる。上記の例を参照すると、「OP_CODE=logon」が照会引数になる。「macro=URI」が1つの構成されたマクロであると仮定すると、「https://ibmUSA/jct/protected/」が照会引数になる。これらのストリングの各々は、「ロケーション」・ヘッダ全体を表わすそのストリング値内のサブストリングになる。従って、この例を続けると、「ロケーション」・ヘッダの値は(プロトコル標準を厳守するように何らかのASCIIデータ・フォーマット化を行った後では)下記のようになる。
https://ibmUSA/jct/handler?OP_CODE=LOGON&URI=https%3A//ibmUSA/jct/protected/
その値における文字「?」は、照会引数とURIのベース部分とを区別するための標準のデリミッタである。文字「&」は、更なる照会引数を付加するための標準のデリミッタである。同じ例を続けると、「macro=URI」および「macro=username」は構成され、ユーザのユーザ名が「jsmith」であった場合、「ロケーション」・ヘッダの値は次のようになるであろう。
https://ibmUSA/jct/handler?OP_CODE=LOGON&URL=https%3A//ibmUSA/jct/protected/&username=jsmith
ユーザ名は、セッション状態変数、クリデンシャル、ユーザ・レジストリ、或いは何らかの他のデータ・ストアまたはデータ構造から検索されてもよい。いずれのマクロもアクティブであるように構成されない場合、「ロケーション」・ヘッダの値は次のようになるであろう。
https://ibmUSA/jct/handler?OP_CODE=LOGON
種々のオペレ-ション・コードを表すストリングは、本発明の実施態様に従って変わり得る。メッセージ処理サーバへのメッセージの生成のためにプロキシ・サーバによって使用される情報は、セッション・キャッシュにおけるクライアントのエントリに保存されているデータ、当初に受取られたHTTP要求の要素、認証エンジンから戻された値、または何らかの他のロケーションのような図面に示されていない他のロケーションを含む種々のロケーションから生じ得るということに留意されたい。
次に図9を参照すると、本発明の好適な実施例に従って、リソースに対するクライアント要求に応答してクライアントに送られるべきコンテキスト適正コンテンツ・メッセージを生成することを求める要求をメッセージ処理サーバに送るための、プロキシ・サーバにおけるプロセスのフローチャートが示される。なお、そのリソースは、本発明の実施例によれば、そのコンテンツ・メッセージがクライアントに送られることを要求する或る検知されたイベントを生じたリソースである。プロセスは、リソースまたは保護されたリソースをアクセスするという要求をプロキシ・サーバがクライアントから受け取るときに開始する(ステップ802)。受け取られた要求の処理中、プロキシ・サーバは、コンテキスト適正コンテンツをクライアントに1つの応答として送信することを必要とするイベントを検知するかまたは通知される(ステップ804)。例えば、コンテキスト適正コンテンツは、ユーザが要求した取引あるいはログオン送信勧誘(invitation)に対するエラー・メッセージのような、クライアントのユーザへのメッセージであってもよい。
プロキシ・サーバがリダイレクト・メッセージを作成する(ステップ806)。リダイレクト・メッセージは、そのリダイレクト・メッセージを受け取るメッセージ処理サーバによって使用されるべき情報を含む。リダイレクト・メッセージは、プロキシ・サーバがメッセージ処理サーバにおいて起動したい機能に関するオペレ-ション・コード、即ち、opコードを含む。リダイレクト・メッセージは、更に、プロキシ・サーバを構成した特定のマクロに基づいてそのリダイレクト・メッセージに入れられるデータ項目も含む。次に、プロキシ・サーバが、クライアントを介してメッセージ処理サーバにリダイレクト・メッセージを送り(ステップ808)、プロセスは終了する。
次に図10を参照すると、本発明の好適な実施例に従って、メッセージ処理要求を含むリダイレクト・メッセージを作成するためのプロセスのフローチャートが示される。図10に示されるプロセスは、図9に示されたステップ806に対する補足的な細部を提供する。プロセスは、プロキシ・サーバがメッセージ処理要求を発生することによって開始する(ステップ902)。適切なメッセージ処理のopコードが決定され、メッセージ処理要求内に組み込まれる(ステップ904)。
次に、プロキシ・サーバが、構成された或いは活性化されたマクロのリストを決定する(ステップ906)。構成されたマクロの各々の対する値が得られる。これらの値は「評価されたマクロ」と名付けられてもよく、その評価されたマクロがメッセージ処理要求内に組み込まれる(ステップ908)。
次に、リダイレクト・メッセージが生成され(ステップ910)、メッセージ処理要求がリダイレクト・メッセージに組み込まれる(ステップ912)。しかる後、メッセージ処理サーバのURLが検索され、リダイレクト・メッセージに組み込まれ(ステップ914)、それによって、プロセスが終了する。
次に図11を参照すると、本発明の実施例に従って、リダイレクト・メッセージの「ロケーション」・ヘッダ、およびその「ロケーション」・ヘッダのURIにおける照会引数を使ってHTTPリダイレクト・メッセージを作成するためのプロセスのフローチャートが示される。図11に示されるプロセスは、図10に示されたプロセスと同様のものである。しかし、図11に示されるプロセスは、メッセージ処理要求がHTTPリダイレクト・メッセージ内にフォーマットされるという本発明の一部分である特定の好適な実施例を示す。
プロセスは、HTTPリダイレクト・メッセージの発生によって開始する(ステップ1002)。メッセージ処理サーバのURLが構成ファイルから検索され(ステップ1004)、リダイレクト・メッセージの「ロケーション」・ヘッダにおけるURIのベース部分としてリダイレクト・メッセージに挿入される(ステップ1006)。プロキシ・サーバが、メッセージ処理サーバにおける特定の機能を要求するものとしてメッセージ処理サーバにより解釈されるオペレ-ション・コード即ちopコードを決定した後、それは、リダイレクト・メッセージの「ロケーション」・ヘッダにおけるURIの照会引数としてリダイレクト・メッセージに挿入される(ステップ1008)。
次に、構成されたマクロのリストが、例えば、構成ファイルからの検索によって決定され(ステップ1010)、各構成されたマクロに対する値が、各マクロにとって適正な方法で得られる(ステップ1012)。しかる後、各構成されたマクロの値が、リダイレクト・メッセージの「ロケーション」・ヘッダにおけるURIの照会引数としてリダイレクト・メッセージに挿入され(ステップ1014)、それによって、プロセスは終了する。
開示された解決方法の利点は上記の詳細な説明から見て明らかであろう。図5に示されるように、プロキシ・サーバはリダイレクト・メッセージ、例えば、HTTP「302」リダイレクトを、クライアント装置を介してメッセージ処理サーバに送る。無線装置を含むほとんどのクライアント装置はHTTP「302」リダイレクトを取り扱うことができる。クライアントは、プロキシ・サーバ内のHTTP応答本体を生成するのではなく、特定の装置に支援される装置に対する顧客/ベンダによって保守されることがある別のサーバにリダイレクトされる。しかる後、図5ではメッセージ処理サーバ418として示されたこのバックエンド・サーバが、クライアント装置のタイプを決定し且つ適正な応答を生成する責任を負うであろう。開示された解決法の主たる利点は、それがコンテキスト適正コンテンツの生成から完全にプロキシ・サーバを不用にするということである。適正な応答を決定することに対する責任を別のサーバに負わせることは、ログインおよびエラー・ページに関するコンテンツを生成するためのクライアント側プログラミングではなく、サーバ側プログラミングを使用するための顧客抽出の要件に適合する。開示された解決方法は、更に、メッセージ処理サーバがコンテキスト適正コンテンツを生成することを可能にするために、プロキシ・サーバからメッセージ処理サーバにパラメータまたは可変値を伝達し得るタイプのAPIを提供する。
完全に機能するデータ処理システムに関連して本発明を説明したが、本発明のプロセスが、コンピュータ可読媒体における命令の形および種々の他の形で分散され得るということおよびその分散を実行するために実際に使用される特定のタイプの信号保持媒体に関係ないということが当業者には明らかであるということに留意することが重要である。コンピュータ可読媒体の例は、EPROM、ROM、テープ、用紙、フロッピ・ディスク、ハードディスク・ドライブ、RAM、およびCD−ROMのような媒体、並びに、デジタルおよびとアナログ通信リンクのような伝送型の媒体を含む。
一般に、方法は、望ましい結果に通じるステップの首尾一貫したシーケンスであると考えられる。これらのステップは、物理的量の物理的操作を必要とする。通常、これらの量は、必ずしも、保存、転送、結合、比較、およびそれ以外の操作を可能にする電気的または磁気的信号の形をとる必要はない。これらの信号を、主として一般的な使用のために、ビット、値、パラメータ、項目、要素、オブジェクト、記号、文字、用語、数字等として参照することも時には都合がよい。しかし、これらの用語および同様の用語はすべて適切な物理的量に関連付けられ、これらの量に付された単なる便宜上のラベルであるということも留意すべきである。
本発明に関する説明は例示を目的に行われたが、網羅的であることまたは開示された実施例に限定されることを意図するものではない。多くの修正および変更が当業者には明らかであろう。なお、実施例は、発明の原理およびその実用的応用例を説明するために、および、当業者が、他の意図した使用に適するように種々の実施例を種々の修正と共に具現化するべく本発明を理解することを可能にするために選択された。
それぞれが本発明を具現化し得るデータ処理システムの典型的なネットワークを示す概略図である。 本発明を具現化し得るデータ処理システムにおいて使用され得る典型的なコンピュータ・アーキテクチャのブロック図である。 典型的な企業データ処理システムを示すブロック図である。 クライアントがサーバにおける保護されたリソースにアクセスしようとするときに使用される典型的な認証プロセスを示すデータ・フローの概略図である。 本発明の好適な実施例に従って、外部化されたメッセージ処理を行なうためのデータ処理システムの一部分を示すブロック図である。 本発明の好適な実施例に従って、プロキシ・サーバからメッセージ処理サーバへのリダイレクト・メッセージのコンテンツを示すブロック図である。 本発明の好適な実施例に従って、プロキシ・サーバからメッセージ処理サーバへのメッセージ処理要求のコンテンツを示すブロック図である。 本発明の好適な実施例に従って、メッセージ処理サーバに送られるリダイレクト・メッセージを生成するためにプロキシ・サーバによって使用される情報を示すブロック図である。 本発明の好適な実施例に従って、コンテンツ・メッセージがクライアントに送られることを要求する検知されたイベントを生じたリソースに対するクライアント要求に応答して、クライアントに送られるべきコンテキスト適正コンテンツ・メッセージを生成するために、メッセージ・ハンドラ・サーバに要求を送るためのプロキシ・サーバにおけるプロセスを示すフローチャートである。 本発明の好適な実施例に従って、メッセージ処理要求を含むリダイレクト・メッセージを作成するためのプロセスを示すフローチャートである。 本発明の好適な実施例に従って、リダイレクト・メッセージの「ロケーション」・ヘッダおよび「ロケーション」・ヘッダのURIにおける照会引数を使用して、HTTPリダイレクト・メッセージを作成するためのプロセスを示すフローチャートである。

Claims (22)

  1. データ処理システムにおいてメッセージ処理を外部化するためにコンピュータを利用する方法であって、
    第1サーバにおいて、リソースをアクセスする要求をクライアントから受け取るステップと、
    前記要求の処理はメッセージが前記クライアントに送られることを必要とする、という前記第1サーバにおける決定に応答して、前記メッセージを前記クライアントに送るために第2サーバにおけるメッセージ処理機能に対応したオペレーション・コードを含むリダイレクト・メッセージを生成するステップと、
    評価されたマクロを決定するために構成可能マクロを評価するステップと、
    前記評価されたマクロを前記リダイレクト・メッセージに挿入するステップと、
    前記クライアントを介して、前記リダイレクト・メッセージを前記第1サーバから前記第2サーバに送るステップと、
    を含む、方法。
  2. 前記第2サーバにおいて、前記リダイレクト・メッセージから前記オペレーション・コードを取り出すステップと、
    前記第2サーバにおいて、取り出されたオペレーション・コードに対応するメッセージ処理機能を起動するステップと、
    を更に含む、請求項1に記載の方法。
  3. 前記第2サーバにおいて、前記リダイレクト・メッセージから前記評価されたマクロを取り出すステップと、
    前記第2サーバにおいて、前記評価されたマクロを前記メッセージ処理機能に対する入力パラメータとして使用するステップと、
    を更に含む、請求項1または請求項2に記載の方法。
  4. 第1構成可能マクロを、前記クライアントからの要求におけるURI(Uniform Resource Identifier)に対応するものとして識別するステップと、
    前記クライアントからの前記要求から前記URIを取り出すステップと、
    前記第1構成可能マクロを、前記要求から取り出されたURIに等しいものとして評価するステップと、
    を更に含む、請求項1乃至請求項3のいずれか1つに記載の方法。
  5. 前記リダイレクト・メッセージ内の「ロケーション」・ヘッダにおけるURIの照会引数として、前記オペレーション・コードを前記リダイレクト・メッセージに挿入するステップを更に含み、
    前記リダイレクト・メッセージはHTTP(HyperTextTransport Protocol)リダイレクト・メッセージである、請求項1乃至請求項4のいずれか1つに記載の方法。
  6. 前記リダイレクト・メッセージ内の「ロケーション」・ヘッダにおけるURIの照会引数として、前記評価されたマクロを前記リダイレクト・メッセージに挿入するステップを更に含み、
    前記リダイレクト・メッセージはHTTP(HyperTextTransport Protocol)リダイレクト・メッセージである、請求項1乃至請求項5のいずれか1つに記載の方法。
  7. 評価されたマクロのセットを決定するために構成可能マクロのセットを評価するステップと、
    前記評価されたマクロを前記リダイレクト・メッセージに挿入するステップと、
    を更に含む、請求項1乃至請求項6のいずれか1つに記載の方法。
  8. メッセージ処理を外部化するためにデータ処理システムにおいて使用するためのコンピュータ・プログラムであって、
    第1サーバにおいて、リソースをアクセスする要求をクライアントから受け取る機能と、
    前記要求の処理はメッセージが前記クライアントに送られることを必要とするという前記第1サーバにおける決定に応答して、前記メッセージを前記クライアントに送るために第2サーバにおけるメッセージ処理機能に対応したオペレーション・コードを含むリダイレクト・メッセージを生成する機能と、
    評価されたマクロを決定するために構成可能マクロを評価する機能と、
    前記評価されたマクロを前記リダイレクト・メッセージに挿入する機能と、
    前記クライアントを介して、前記リダイレクト・メッセージを前記第1サーバから前記第2サーバに送る機能と、
    を含む、コンピュータ・プログラム。
  9. 前記第2サーバにおいて、前記リダイレクト・メッセージから前記オペレーション・コードを取り出す機能と、
    前記第2サーバにおいて、取り出されたオペレーション・コードに対応するメッセージ処理機能を起動する機能と、
    を更に含む、請求項8に記載のコンピュータ・プログラム。
  10. 前記第2サーバにおいて、前記リダイレクト・メッセージから前記評価されたマクロを取り出す機能と、
    前記第2サーバにおいて、前記評価されたマクロを前記メッセージ処理機能に対する入力パラメータとして使用する機能と、
    を更に含む、請求項8または請求項9に記載のコンピュータ・プログラム。
  11. 第1構成可能マクロを、前記クライアントからの要求におけるURI(Uniform Resource Identifier)に対応するものとして識別する機能と、
    前記クライアントからの前記要求から前記URIを取り出す機能と、
    前記第1構成可能マクロを、前記要求から取り出されたURIに等しいものとして評価する機能と、
    を更に含む、請求項8乃至請求項10のいずれか1つに記載のコンピュータ・プログラム。
  12. 前記リダイレクト・メッセージ内の「ロケーション」・ヘッダにおけるURIの照会引数として、前記オペレーション・コードを前記リダイレクト・メッセージに挿入する機能を更に含み、
    前記リダイレクト・メッセージはHTTP(HyperTextTransport Protocol)リダイレクト・メッセージである、請求項8乃至請求項11のいずれか1つに記載のコンピュータ・プログラム。
  13. 前記リダイレクト・メッセージ内の「ロケーション」・ヘッダにおけるURIの照会引数として、前記評価されたマクロを前記リダイレクト・メッセージに挿入する機能を更に含み、
    前記リダイレクト・メッセージはHTTP(HyperTextTransport Protocol)リダイレクト・メッセージである、請求項8乃至請求項12のいずれか1つに記載のコンピュータ・プログラム。
  14. 評価されたマクロのセットを決定するために構成可能マクロのセットを評価する機能と、
    前記評価されたマクロを前記リダイレクト・メッセージに挿入する機能と、
    を更に含む、請求項8乃至請求項13のいずれか1つに記載のコンピュータ・プログラム。
  15. データ処理システムにおいてメッセージ処理を外部化するため装置であって、
    第1サーバにおいて、リソースをアクセスする要求をクライアントから受け取るための手段と、
    前記要求の処理はメッセージが前記クライアントに送られることを必要とする、という前記第1サーバにおける決定に応答して、前記メッセージを前記クライアントに送るために第2サーバにおけるメッセージ処理機能に対応したオペレーション・コードを含むリダイレクト・メッセージを生成するための手段と、
    評価されたマクロを決定するために構成可能マクロを評価するための手段と、
    前記評価されたマクロを前記リダイレクト・メッセージに挿入するための手段と、
    前記クライアントを介して、前記リダイレクト・メッセージを前記第1サーバから前記第2サーバに送るための手段と、
    を含む、装置。
  16. 前記第2サーバにおいて、前記リダイレクト・メッセージから前記オペレーション・コードを取り出すための手段と、
    前記第2サーバにおいて、取り出されたオペレーション・コードに対応するメッセージ処理機能を起動するための手段と、
    を更に含む、請求項15に記載の装置。
  17. 前記第2サーバにおいて、前記リダイレクト・メッセージから前記評価されたマクロを取り出すための手段と、
    前記第2サーバにおいて、前記評価されたマクロを前記メッセージ処理機能に対する入力パラメータとして使用するための手段と、
    を更に含む、請求項15または請求項16に記載の装置。
  18. 第1構成可能マクロを、前記クライアントからの要求におけるURI(Uniform Resource Identifier)に対応するものとして識別するための手段と、
    前記クライアントからの前記要求から前記URIを取り出すための手段と、
    前記第1構成可能マクロを、前記要求から取り出されたURIに等しいものとして評価するための手段と、
    を更に含む、請求項15乃至請求項17のいずれか1つに記載の装置。
  19. 前記リダイレクト・メッセージ内の「ロケーション」・ヘッダにおけるURIの照会引数として、前記オペレーション・コードを前記リダイレクト・メッセージに挿入するための手段を更に含み、
    前記リダイレクト・メッセージはHTTP(HyperTextTransport Protocol)リダイレクト・メッセージである、請求項15乃至請求項18のいずれか1つに記載の装置。
  20. 前記リダイレクト・メッセージ内の「ロケーション」・ヘッダにおけるURIの照会引数として、前記評価されたマクロを前記リダイレクト・メッセージに挿入するための手段を更に含み、
    前記リダイレクト・メッセージはHTTP(HyperTextTransport Protocol)リダイレクト・メッセージである、請求項15乃至請求項19のいずれか1つに記載の装置。
  21. 評価されたマクロのセットを決定するために構成可能マクロのセットを評価するための手段と、
    前記評価されたマクロを前記リダイレクト・メッセージに挿入するための手段と、
    を更に含む、請求項15乃至請求項20のいずれか1つに記載の装置。
  22. プログラム・コードを含むコンピュータ・プログラムであって、前記コンピュータ・プログラムがコンピュータ上で実行されるとき、請求項1乃至請求項7に記載の方法を遂行するように適合したコンピュータ・プログラム。
JP2008544995A 2005-12-16 2006-12-13 マクロ・サポートによりhttpセキュリティ・メッセージ処理を外部化するための方法およびシステム Expired - Fee Related JP5039053B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US30313905A 2005-12-16 2005-12-16
US11/303,139 2005-12-16
PCT/EP2006/069654 WO2007068717A1 (en) 2005-12-16 2006-12-13 Method and system for externalizing http security message handling with macro support

Publications (2)

Publication Number Publication Date
JP2009519531A true JP2009519531A (ja) 2009-05-14
JP5039053B2 JP5039053B2 (ja) 2012-10-03

Family

ID=37909479

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008544995A Expired - Fee Related JP5039053B2 (ja) 2005-12-16 2006-12-13 マクロ・サポートによりhttpセキュリティ・メッセージ処理を外部化するための方法およびシステム

Country Status (6)

Country Link
EP (1) EP1969817B1 (ja)
JP (1) JP5039053B2 (ja)
CN (1) CN101331740B (ja)
CA (1) CA2633313A1 (ja)
TW (1) TW200810459A (ja)
WO (1) WO2007068717A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020077304A (ja) * 2018-11-09 2020-05-21 富士通株式会社 認証装置、認証方法および認証プログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI467483B (zh) * 2008-03-07 2015-01-01 Esobi Inc Method and system for non-intrusive extensible markup language applications on web browsers
US9596286B2 (en) * 2012-05-25 2017-03-14 A10 Networks, Inc. Method to process HTTP header with hardware assistance
CN103546543A (zh) * 2013-09-29 2014-01-29 北京京东尚科信息技术有限公司 应用于电子商务的客户端装置以及提供信息的方法和系统
US9667657B2 (en) * 2015-08-04 2017-05-30 AO Kaspersky Lab System and method of utilizing a dedicated computer security service
CN114466079B (zh) * 2022-02-09 2024-02-06 星环信息科技(上海)股份有限公司 请求处理方法、装置、代理服务器及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11194983A (ja) * 1997-11-21 1999-07-21 Internatl Business Mach Corp <Ibm> カスタマイズされたインターネット・コンテンツを要求側クライアント装置に提供する方法およびシステム
WO2002073464A1 (en) * 2001-03-09 2002-09-19 The One.Com System and method for providing efficient and accurate translation of information in a communication network
US20050055434A1 (en) * 2003-09-04 2005-03-10 International Business Machines Corporation Method for access by server-side components using unsupported communication protocols through passthrough mechanism

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11194983A (ja) * 1997-11-21 1999-07-21 Internatl Business Mach Corp <Ibm> カスタマイズされたインターネット・コンテンツを要求側クライアント装置に提供する方法およびシステム
WO2002073464A1 (en) * 2001-03-09 2002-09-19 The One.Com System and method for providing efficient and accurate translation of information in a communication network
US20050055434A1 (en) * 2003-09-04 2005-03-10 International Business Machines Corporation Method for access by server-side components using unsupported communication protocols through passthrough mechanism

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020077304A (ja) * 2018-11-09 2020-05-21 富士通株式会社 認証装置、認証方法および認証プログラム
JP7091998B2 (ja) 2018-11-09 2022-06-28 富士通株式会社 認証装置、認証方法および認証プログラム

Also Published As

Publication number Publication date
CN101331740B (zh) 2011-07-20
EP1969817A1 (en) 2008-09-17
CN101331740A (zh) 2008-12-24
EP1969817B1 (en) 2012-09-19
TW200810459A (en) 2008-02-16
JP5039053B2 (ja) 2012-10-03
CA2633313A1 (en) 2007-06-21
WO2007068717A1 (en) 2007-06-21

Similar Documents

Publication Publication Date Title
US7296077B2 (en) Method and system for web-based switch-user operation
US8844053B2 (en) Method and system for creating a protected object namespace for a WSDL resource description
US7530099B2 (en) Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation
US8006289B2 (en) Method and system for extending authentication methods
US7797726B2 (en) Method and system for implementing privacy policy enforcement with a privacy proxy
US8095658B2 (en) Method and system for externalizing session management using a reverse proxy server
US8464311B2 (en) Method and system for implementing privacy notice, consent, and preference with a privacy proxy
US20060021004A1 (en) Method and system for externalized HTTP authentication
EP1361723B1 (en) Maintaining authentication states for resources accessed in a stateless environment
EP1839224B1 (en) Method and system for secure binding register name identifier profile
JP4979683B2 (ja) 分散型ディレクトリ中でのグループ・メンバーシップを伴うアクセス許可のための方法およびシステム
JP4988701B2 (ja) ランタイム・ユーザ・アカウント作成オペレーションのための方法、装置、およびコンピュータ・プログラム
US20060277596A1 (en) Method and system for multi-instance session support in a load-balanced environment
US20040123144A1 (en) Method and system for authentication using forms-based single-sign-on operations
JP2005538434A (ja) 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム
US20040128544A1 (en) Method and system for aligning trust relationships with namespaces and policies
JP5039053B2 (ja) マクロ・サポートによりhttpセキュリティ・メッセージ処理を外部化するための方法およびシステム
US7685300B2 (en) Method for access by server-side components using unsupported communication protocols through passthrough mechanism

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090213

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120612

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120706

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150713

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees