JP2015501021A - OAuthフレームワーク - Google Patents

OAuthフレームワーク Download PDF

Info

Publication number
JP2015501021A
JP2015501021A JP2014533353A JP2014533353A JP2015501021A JP 2015501021 A JP2015501021 A JP 2015501021A JP 2014533353 A JP2014533353 A JP 2014533353A JP 2014533353 A JP2014533353 A JP 2014533353A JP 2015501021 A JP2015501021 A JP 2015501021A
Authority
JP
Japan
Prior art keywords
server
scope
access token
resource
oauth authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014533353A
Other languages
English (en)
Other versions
JP6018210B2 (ja
JP2015501021A5 (ja
Inventor
スリニバサン,ベンカタラマン・ウッピリ
アンガル,ラジーブ
ソンディ,アジェイ
バート,シバラム
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2015501021A publication Critical patent/JP2015501021A/ja
Publication of JP2015501021A5 publication Critical patent/JP2015501021A5/ja
Application granted granted Critical
Publication of JP6018210B2 publication Critical patent/JP6018210B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

OAuth標準に準拠するフレームワークは、複数のリソースサーバ上に格納されるリソースへのアクセスがリソース所有者が同意するアクセスに確実に限られるように複数のリソースサーバによって用いられ得る包括的OAuth承認サーバに係る。各々のリソースサーバは、OAuth承認サーバに、リソースサーバによって認識されるスコープを示す当該リソースサーバのためのメタデータを登録する。OAuth承認サーバは、クライアントアプリケーションに代わってリソース所有者からの同意を要求する際に、同意が適切なスコープとなるように、このメタデータを参照する。OAuth承認サーバは、リソースサーバ上のリソースへのアクセスに用いるためにクライアントアプリケーションに与えるアクセストークンを構築する際に、このメタデータを参照する。OAuth承認サーバは、このメタデータを用いて、発行されたアクセストークンを、それらのアクセストークンがアクセスを認めるスコープにマッピングする。

Description

優先権主張
本出願は、2011年9月29日に出願され、「リライングパーティおよびOAuthフレームワーク」と題された米国仮特許出願連続番号第61/541,026号に対する米国特許法第119条に基づく優先権を主張する。
背景
アイデンティティ管理システムは、企業または相互ネットワークアイデンティティ管理のために用いることができる情報システムまたは技術の組である。アイデンティティ管理は、コスト、ダウンタイム、および繰返しタスクを減少しつつセキュリティおよび生産性を向上させるという目標を持って、システムおよび企業の内部でのまたはシステムおよび企業の境界を横断して個々のアイデンティティの管理、それらの認証(authentication)、承認(authorization)、役割、および特権付与を説明する。アイデンティティ管理の1つの局面は「シングルサインオン」(SSO)である。アイデンティティ管理の分野で特に有用な1つの基準がOAuthである。
SSOは、関連しているが独立した複数のソフトウェアシステムのアクセス制御のプロパティである。このプロパティを用いると、ユーザは一度ログインし、すべてのシステムの各々において再びログインを促されることなく、すべてのシステムへのアクセスを得る。反対に、シングルサインオフは、これによって単一のサインアウト行為が複数のソフトウェアシステムへのアクセスを終了させるプロパティである。異なるアプリケーションおよびリソースは異なる認証メカニズムをサポートするので、シングルサインオンは、初期の認証で用いられるものとは異なる認証情報に内部変換して、これを格納する。SSOはフィッシングの成功を低減させる。なぜなら、ユーザは、考えずにあらゆるところでパスワードを入力するようには訓練されていないからである。SSOは、異なるユーザ名とパスワードとの組合せからのパスワード疲労を低減する。SSOは、同じアイデンティティにパスワードを再入力するのに費やされる時間を低減する。SSOは、パスワードについての情報技術(IT)ヘルプデスクへの通話の数が減ることにより、ITコストを低減する。SSOは、ユーザに再催促するという不便なしに、システムへの/からの入退場/アクセスという全レベルのセキュリティを与える。SSOはコンプライアンス厳守のための集中的な報告も可能にする。SSOは、すべての他のアプリケーションおよびシステムが認証目的のために利用する集中認証サーバを用い、これを、ユーザが自身の認証情報を1回よりも多くせっせと入力しなくてもよいことを確実にする技術と組合せる。
OAuthは承認のためのオープン標準である。承認の間接的な効果が認証である。OAuthは、ユーザが、典型的には代わりにユーザ名およびパスワードトークンを供給して、自身の認証情報を渡す必要なく、1つのサイト上に格納されている自身の個人的なリソース(たとえば、写真、ビデオ、連絡先など)を別のサイトと共有できるようにする。各々のトークンは、規定された持続時間の間、特定的なリソースに対して特定的なサイトへのアクセスを認める。これにより、ユーザは、自身のアクセス許可またはその全データ範囲を共有することなく、別のサービスプロバイダが格納する自身の情報への第三者のサイトアクセスを認めることができるようにする。たとえば、トークンは、今から2時間の間、特定的なアルバムからのビデオについて、ビデオ編集サイトへのアクセスを認め得る。
たとえば、典型的な筋書きでは、LinkedInのユーザは、当該ユーザの連絡先をYahooからインポートする許可をLinkedInに求められることがある。LinkedInは、たとえば、ユーザの連絡先の各々にLinkedInに参加するよう誘う電子メールメッセージを送るためにこれらの連絡先を入手したいのかもしれない。OAuth以前は、この許可の要求は、ユーザがユーザのYahooユーザアイデンティティおよびパスワードをLinkedInに提供するという要求に係ったかもしれない。この情報は、LinkedInが当該ユーザとしてユーザのYahooアカウントにログインして、次に当該ユーザのYahooアカウントから当該ユーザの連絡先を入手できるように要求された。一般的に述べると、ユーザのYahoo(または任意の他のサイト)のアイデンティティおよびパスワードをLinkedIn(または任意のサイト)に許すのはよい考えではない。なぜなら、これは、LinkedInサイトにYahooサイトのユーザのアカウントへの無制限アクセスを認めるからである。そのような無制限アクセスはほぼ常に、単に連絡先一覧を入手することなどの、LinkedInサイトが実際にその目標を達成するのに必要な分をはるかに超えるアクセスである。
もっとよい考えは、Yahooサイトのユーザのアカウントに対して限られた承認をLinkedInサイトに与えることである。限られた承認は、Yahooサイトのユーザのアカウントに対してLinkedInサイトが行なえる動作の特定的なセットを特定し得る。たとえば、典型的な上記の筋書きを参照すると、限られた承認は、LinkedInがユーザの連絡先一覧にアクセスするしかできず、Yahooのユーザのアカウントに対して他の動作を行なえないと特定し得る。OAuthにより、そのような限られた承認が可能になる。OAuthは承認の委任を与える。
OAuthがそれによって承認を委任する技術は、類推に相対して理解されてもよい。しばしば、車の所有者が、駐車係が所有者の代わりに車を駐車できるように自身の車の管理を一時的に駐車係に譲る場合、所有者は、一般用途マスターキーを駐車係に与えるのではなく、代わりに、より用途が限定された駐車係用キーを駐車係に与える。駐車係用キーは、車を運転するのに十分なアクセスを駐車係に許すが、所有者が車内に所有するあらゆるものへのアクセスを駐車係に与えるわけではない。同じように、OAuthの使用は、第2のサイトでユーザのアカウントに対して他の動作を行なうことを第1のサイトに許すこともなく−たとえば第2のサイトが格納し得る電子メールメッセージを読むなどの、第2のサイトが格納するユーザの連絡先一覧への第1のサイトのアクセスを認め得る。OAuthは、特定される組の動作を第2のサイトに対して行なうという限られた承認が第1のサイトに与えられるようにして、それ以外は与えられないようにする。
別の例として、ユーザは、Snapfishなどの第1のサイトが提供する写真プリントサービスを用いて、第1のサイトとは独立したFlickrなどの第2のサイトが電子的に格納するあるカラー写真をプリントしたいことがある。より具体的には、ユーザは、ユーザの最近のアラスカ訪問からの写真を含むアルバムなどのFlickr上の特定のアルバムに格納されている写真のみをプリントしたいことがある。ユーザは、自身のFlickrアカウントに多数の異なるアルバムを格納していることがあるが、ユーザはアラスカのアルバムからの写真のみをプリントしたいことがある。そのような状況では、ユーザはおそらく、アラスカのアルバムの中に含まれるもの以外の自身のFlickrアルバムのいずれの内容にもSnapfishがアクセスしないのをより好む。上記の筋書きでは、OAuth用語を用いると、Snapfishがクライアントと考えられ、Flickrがリソースサーバ(写真データがリソースである)およびOAuth承認サーバであると考えられる。リソースサーバに格納されるリソース(たとえば写真データ)の所有者として、ユーザはリソース所有者でもある。
以上で提示された例を考慮すると、ユーザは、自身のインターネットブラウザアプリケーションをまず用いて、クライアント(たとえばSnapfish)に、リソースサーバ(たとえばFlickr)上のユーザのアラスカのアルバム中の写真をプリントするよう指示し得る。応答して、クライアント(たとえばSnapfish)は、ユーザをリソース承認サーバ(たとえばFlickr)のサイトに転送する。この転送動作は、リソースサーバに対して、クライアントがそれへのアクセスを望むデータの限られたセット(たとえばアラスカのアルバムの内容)を示し得る。リソース承認サーバは、その瞬間にユーザが誰であるかを知らない。というのも、ユーザはリソース承認サーバに対して自身を認証していないからである。したがって、リソース承認サーバは、ユーザが認証を行なうことを要件とする。以上で言及したように、承認の間接的な効果が認証である。(たとえば、リソース承認サーバに関連のユーザのユーザ名およびパスワードを与えることによって)ユーザがリソース承認サーバに対して自身を承認した後、リソース承認サーバは、ユーザのインターネットブラウザに同意ページを送る。同意ページは、リソース承認サーバ(たとえばFlickr)が、限られた特定されたデータのセット(たとえばアラスカのアルバムの内容)をクライアント(たとえばSnapfish)に提供するユーザの許可を有することを確認するようユーザに頼む。ユーザが同意すると仮定して、リソース承認サーバは次に、応答してクライアントに承認コードを送る。この承認コードは、「フロントチャネル」を通して、または換言すると転送を用いてユーザのインターネットブラウザを経由して送られ得る。
この筋書きでは、クライアント(たとえばSnapfish)は、承認サーバ(たとえばFlickr)の信用されるパートナーである。クライアントは承認コードまたは「承諾」を受信して、承認コードを格納する。クライアントは、ユーザがその承認コードを能動的に取消すまで、この承認コードを無限に維持する。ユーザは、OAuth承認サーバにログインして、OAuth承認サーバがユーザの代わりにさまざまなクライアントに与えた承諾の一覧を閲覧してもよい。承認コードを受信するのに応答して、クライアント(たとえばSnapfish)は、承認サーバ(たとえばFlickr)への「バックチャネル」通話を行なう。バックチャネル通話は、ユーザのインターネットブラウザに係らない通信である。バックチャネル通話は承認サーバからのアクセストークンを要求する。アクセストークンは、クライアントが承認サーバ上のユーザのアカウントに対して許されているアクセスのスコープを特定する。たとえば、アクセストークンは、クライアントがユーザのアラスカのアルバムの内容にしかアクセスを許されていないことを示し得る。承認サーバは、バックチャネルを介して、要求されたアクセストークンをクライアントに送り返す。クライアントはアクセストークンを格納する。その後、アクセストークンが期限切れになるまでまたはユーザが承諾(すなわち承認コード)を取消すまで、クライアントはアクセストークンをリソースサーバに提示して、アクセストークンによって特定されるリソースにリソースサーバ上でアクセスすることができる。ユーザがアクセストークンに関する承諾を既に取消していた場合は、アクセストークンは、アクセストークンがまだ期限切れになっていなくても、無効となる。
アクセストークンに加えて、承認サーバはクライアントに「リフレッシュトークン」を与えることがある。アクセストークンはしばしば特定された寿命を有し、その後では期限切れになってしまうが、リフレッシュトークンは長命のトークンである。クライアントは、関連のアクセストークンとともにリフレッシュトークンを格納し得る。その後、リソースサーバがクライアントの現在のアクセストークンが期限切れであるとする場合は、クライアントはリフレッシュトークンをリソースサーバに提示して、リソースサーバから新しいアクセストークンを入手し得る。
有利には、OAuthが用いる方策は、リソースサーバ上のユーザのアカウントについての、クライアントに対するユーザのパスワードの開示を回避する。認証情報のこの開示を回避することにより、クライアントがリソースサーバ上のユーザのアカウントに対して不正行為を行なえないようにする。ユーザが自身のパスワードを供給する唯一の時間は、クライアントのサイトから転送された後のリソースサーバとの直接のユーザの初期認証の間である。
簡単な概要
本発明の実施形態は、アイデンティティ管理、認証、および承認フレームワークに関する。1つの実施形態では、フレームワークは、エンタープライズのアイデンティティおよびアクセス管理(IAM)インフラストラクチャにおけるインターネットアイデンティティの統合のために設けられる。別の実施形態に従うと、フレームワークはオープン承認のために設けられる。OAuthシステムについては非常に多くの異なる使用事例があるので、単一の方策が常に各々の使用事例に合うわけではない。したがって、発明の実施形態は、OAuthシステムをより柔軟にする。発明の実施形態は、OAuthシステムをそのシステムのエンタープライズ管理者にとってより容易なものにして、管理者自身の用途向けにカスタマイズする。発明の実施形態は、OAuthシステムを、アプリケーションプロバイダおよびリソースプロバイダによってよりカスタマイズしやすいものにする。
伝統的に、リソースサーバおよびOAuth承認サーバは同じエンティティであった。発明の実施形態に従うと、OAuth承認サーバの責務からリソースサーバを解放する包括的フレームワークが設けられる。これらの責務は、スコープ管理、承認トークンの発行、リフレッシュトークンの発行、およびアクセストークンの発行を含み得る。このように、包括的OAuth承認サーバはこの包括的フレームワークに従って実現可能である。その結果、各個々のリソースサーバは、それ自身の独自のOAuth承認サーバを実現する必要がない。実際、発明の実施形態に従うと、複数の異なるリソースサーバはすべて同時に同じ包括的OAuth承認サーバの機能を用いることができる。たとえば、発明の実施形態では、単一のOAuth承認サーバは、すべて同時にいくつかの異なるリソースサーバについてスコープを管理することができる。リソースサーバとOAuth承認サーバとの間には多数対1の関係が存在し得る。
発明の1つの実施形態では、この複数の異なるリソースサーバと対話できることを達成するため、包括的OAuth承認サーバは、どのトークンがどのリソースサーバに属し、誰が各リソースサーバの信用されるパートナーであるのかなどを示すマッピングデータを維持する。さらに、発明の実施形態では、包括的OAuthフレームワークは、リソースサーバ管理者がフレームワークを容易にカスタマイズして自身のリソースサーバのための特定の使用事例に対応できるように構築される。異なるリソースサーバ管理者は自身の特定的なコンポーネントを包括的OAuthフレームワークに「プラグイン」することができる。このように、発明の1つの実施形態では、各々のリソースサーバは、リソースサーバが使用するかもしれない潜在的なスコープ(すなわちリソースに対する限られた動作)に関して包括的OAuth承認サーバに通知する。
以上は、他の特徴および実施形態とともに、以下の明細書、請求項、および添付の図面を参照するとより明らかになるであろう。
発明の実施形態に従うOAuthシステムアーキテクチャおよびその論理コンポーネントを図示するブロック図である。 発明の実施形態に従うリソースサーバ環境を図示するブロック図である。 発明の実施形態に従うOAuthクライアント環境を図示するブロック図である。 発明の実施形態に従う、包括的OAuth承認サーバに第1のリソースサーバのメタデータを登録するための技術を図示するフロー図である。 発明の実施形態に従う、包括的OAuth承認サーバに第2のリソースサーバのメタデータを登録するための技術を図示するフロー図である。 本発明の実施形態に従って用いられ得るシステム環境のコンポーネントを図示する簡略ブロック図である。 本発明の実施形態に従って用いられ得るコンピュータシステムの簡略ブロック図である。
詳細な説明
以下の説明では、説明の目的のため、発明の実施形態の完全な理解を与えるための具体的な詳細を述べる。しかしながら、発明はこれらの具体的詳細がなくても実践され得ることが明らかであろう。2011年9月29日に出願され、「リライングパーティおよびOAuthフレームワーク」と題された米国仮特許出願連続番号第61/541,026号の全内容がここに引用により援用される。
図1は、発明の実施形態に従う、OAuthシステムアーキテクチャ100およびその論理コンポーネントを図示するブロック図である。アーキテクチャ100は、リソース所有者(またはユーザ)102、クライアントアプリケーション104、リソースレジストリ106、およびリソースエコシステム110を含む。リソースエコシステムは、クライアントレジストリ112、トークン−スコープレジストリ114、スコープレジストリ116、ユーザ同意120、およびリソースサーバ122を含む。1つのリソースサーバ122が示されるが、発明の実施形態は複数の別個のリソースサーバを含むことができる。図1の接続からわかるように、クライアントアプリケーション104はリソースレジストリ106と対話する。リソース所有者102は、リソースレジストリ106およびクライアントレジストリ112と対話する。承認サーバ118は、クライアントレジストリ112、トークン−スコープレジストリ114、およびユーザ同意120と対話する。リソースサーバ122は、トークン−スコープレジストリ114と対話する。ユーザ同意120は、スコープレジストリ116と対話する。これらのコンポーネントおよびその機能のさまざまなものを以下にさらに論じる。
発明の実施形態は承認の委任に係ることができる。異なるリソース使用事例は異なるスコープ定義を要件とすることがある。異なるリソースは、異なる承認モデルおよびソリューションに依拠することができることがある。異なる特定的ユーザ行為は、異なるリソースサーバが維持するリソースにアクセスするクライアントアプリケーション同意を与えることが要件とされ得る。好ましくは、各々の異なるリソースプロバイダは、別個の独自OAuth承認サーバを設けて当該リソースプロバイダの具体的詳細と統合する必要がないようにすべきである。各々のリソースプロバイダが別個の独自OAuth承認サーバを設けることの不幸な結果は、複数の異なるリソースプロバイダおよび複数の異なるクライアントフォームファクタと統合することを望むエンタープライズが無数の異なるOAuth承認サーバインターフェイスを扱わなければならなくなることであろう。
したがって、発明の実施形態では、包括的OAuthフレームワークアーキテクチャが提供される。フレームワークは、メタデータおよびランタイムレジストリを含むOAuthワイヤプロトコルコンポーネント(クライアントおよびサーバ)を含み得る。フレームワークは、特定用途向けソリューションをカスタマイズし、配備するプラグ可能な「コントラクト」のインフラストラクチャを含み得る。
発明の1つの実施形態では、リソースサーバ122は、トークン−スコープレジストリ114の中に、リソースサーバ122が認識するスコープの表示を格納する。各々のそのようなスコープは、リソースサーバ122上に格納されるリソースの異なるセットに対して行なわれ得る動作の異なるセットを示すことができる。ある実施形態が複数の異なるまたは別個のリソースサーバを含み得る限り、トークン−スコープレジストリ114は異なるリソースサーバと異なるスコープとの間のマッピングを格納することができる。さらに、発明の1つの実施形態では、各々のスコープは、トークン−スコープレジストリ114内の別個のトークンにマッピングされる。このように、トークン−スコープレジストリ114の参照により、リソースサーバ122は、クライアントアプリケーション104によってリソースサーバ122に提示される特定のトークンにマッピングされる動作のセットおよびリソースのセットを定めることができる。リソースサーバ122は、リソースサーバ122が維持するリソースに対してクライアントアプリケーション104が行なう動作を、特定のトークンにマッピングされる動作のセットが具体的に示す動作に限ることができる。
このように、発明の1つの実施形態では、複数のリソースサーバの群のうちの各々の特定のリソースサーバは、当該特定のリソースサーバ上のリソースにアクセスするのに用いることができるトークンにマッピング可能なスコープを示すメタデータの異なるセットをOAuthフレームワークに与える。したがって、スコープはリソースサーバの管理者によってカスタマイズ可能であり、OAuthフレームワークを柔軟にするとともに多数の異なる使用事例に適用可能にする。その結果、多くの異なる種類のリソースサーバはすべて、リソースサーバの各々異なる種類毎の特定的なOAuthフレームワークの作成を必要とせずに、同じ包括的OAuthフレームワークを用いることができる。
実施形態では、図1に示される包括的OAuthフレームワークが基本概念構造を提供する。OAuthフレームワークは、既存のアイデンティティ管理製品上に層をなすことができる。OAuthフレームワークでは、コントラクトはこれらの既存の製品との統合点を規定することができる。OAuthフレームワークとコントラクト実現例との組合せは、種々雑多な使用事例および配備オプションを満たすことができる。実施形態に従うと、OAuthフレームワークは、2つの広い「ロール」、すなわちコンシューマー/クライアントロールおよび承認サーバ/リソースサーバロール、を含む。図2を参照して承認サーバ/リソースサーバロールを以下に論じる一方で、図3を参照してコンシューマー/クライアントロールを以下に論じる。
図2は、発明の実施形態に従うリソースサーバ環境200を図示するブロック図である。発明の実施形態では、環境200は、リソース所有者(またはユーザ)202、クライアントアプリケーション204、リソースサーバ210、OAuth承認サーバ220、ポリシーサービス240、およびトークンサービス250を含む。リソースサーバ210は、アクセストークン有効化API214およびゲート216を含むリソースサーバアプリケーション212を含む。OAuth承認サーバ220は、トークン−スコープレジストリ222、リソース&スコープレジストリ224、ユーザ同意オーケストレーション226、OPSS−TS(オラクルプラットフォームセキュリティサービス−TS)228、OPSS−AZ(オラクルプラットフォームセキュリティサービス−AZ)230、OAuthコアエンジン232、OAuthプロトコルエンジン234、およびクライアントレジストリ236を含む。実施形態では、リソース所有者202はクライアントアプリケーション204と対話し、ゲート216を通してアクセストークン有効化API214にアクセスする。クライアントアプリケーション204はOAuth承認サーバ220とも対話する。アクセストークン有効化API214は、トークン−スコープレジストリ222およびポリシーサービス240と対話する。OPSS−TSはトークンサービス250と対話する。OPSS−AZはポリシーサービス250と対話する。コンポーネント228−234はまとめて、トークン−スコープレジストリ222およびユーザ同意オーケストレーション226と対話する。ユーザ同意オーケストレーション226はリソース&スコープレジストリ224と対話する。
発明の実施形態では、リソース&スコープレジストリ224は、リソース情報、スコープ、ならびにOAuth承認サーバ220を介して公開されるリソースおよびサービスに関連の種々雑多なメタデータを格納する。発明の実施形態では、クライアントレジストリ236は、承認された遠隔のクライアント(たとえばクライアントアプリケーション204)のための信用鍵および秘密を格納する。実施形態では、トークン−スコープレジストリ222は、ユーザ(たとえばリソース所有者202)同意に基づいてクライアント(たとえばクライアントアプリケーション204)に発行されるアクセストークンおよびリフレッシュトークンを格納する。実施形態では、トークン−スコープレジストリ222は、発行されたアクセストークンと関連付けられるAuthZスコープ情報を格納する。
発明の実施形態では、リソースサーバ210は、OAuth承認サーバ220にそれ自身のメタデータを登録する。異なるリソースサーバは同じOAuth承認サーバに異なるメタデータを登録することができる。登録プロセスの一部として、このメタデータはOAuth承認サーバ220にインポートされる。メタデータは、リソースサーバ210によって認識されるまたは公開されるさまざまな異なるスコープを示す。各々のスコープはリソースサーバ210が維持するリソースの異なるサブセットを特定する。発明の実施形態では、登録時に、リソースサーバ210が認識する各々のスコープは、リソース&スコープレジストリ224の中で、リソースサーバ210(のみ)にマッピングされる。このように、発明の実施形態では、リソース&スコープレジストリは、各々の登録されたスコープ毎に、そのスコープ内でアクセス可能な対応のリソースサーバのリソースのセットを示す。たとえば、スコープは、特定の写真のみがアクセス可能であること、または写真の特定のフォルダがアクセス可能であること、またはフォルダの特定のセットがアクセス可能であることを示し得る。スコープは、読出、更新、削除、作成などの、特定されたリソースに対して許容できる動作を示すことができる。
発明の実施形態では、OAuth承認サーバ220は、クライアントアプリケーション204にアクセストークンを発行する。実施形態では、そのようなアクセストークン毎に、OAuth承認サーバ220は、トークン−スコープレジストリ222の中に、アクセストークンと、当該アクセストークンに割当てられる(リソース&スコープレジストリ224の中に格納されるスコープから選択される)特定のスコープとの間のマッピングを格納する。同じリソースサーバについての異なるアクセストークンには異なるスコープが割当てられ得る。このように、クライアントアプリケーション204がアクセストークンをOAuth承認サーバ220に提示する場合は、OAuth承認サーバ220は、トークン−スコープレジストリ222を参照して、当該アクセストークンにマッピングされるスコープを判断してもよく、次にリソース&スコープレジストリ224を参照して、当該スコープ内でアクセス可能なリソースを判断してもよい。
発明の実施形態では、OAuth承認サーバ220がクライアントアプリケーション204にアクセストークンを認めるには、リソース所有者202からのユーザ同意が要件とされる。たとえば、クライアントアプリケーション204がリソースサーバ210からの特定のリソース(または当該リソースを含む特定のスコープ)へのアクセスを要求すれば、リソースサーバ210は要求をOAuth承認サーバ220に転送し得る。OAuth承認サーバ220は、ユーザ同意オーケストレーション226を呼出して、クライアントアプリケーション204に特定のリソース(または特定のスコープ)へのアクセスが認められるべきであることを確認するようにリソース所有者202に頼んでもよい。実施形態では、ユーザ同意オーケストレーション226は、クライアントアプリケーション204がアクセスを求めているスコープをリソース所有者202に示し、当該スコープのアクセスに同意するまたはそれを断る機会をリソース所有者202に与える。より具体的には、OAuth承認サーバ220は、(リソース&スコープレジストリ224中に示されるような)特定のリソースを含む特定のスコープによって特定されるアクセスがクライアントアプリケーション204に認められるべきであることを確認するようにリソース所有者220に頼んでもよい。リソース所有者202から同意を受信するのに応答して、OAuth承認サーバ220は、アクセストークンを生成し、トークン−スコープレジストリ222の中に当該アクセストークンと特定のスコープとの間のマッピングを格納し得る。OAuth承認サーバ220は、アクセストークンをクライアントアプリケーション204に与えることができる。
次にクライアントアプリケーション204は、アクセストークンをリソースサーバアプリケーション212に提示することによってリソースサーバ210上の特定のリソースへのアクセスを試みることができる。リソースアプリケーションサーバ212上のエージェントは、クライアントアプリケーション204が特定のリソースにアクセスできるようにする前に、トークンを横取りして、(たとえばアクセストークン有効化API214を介して)OAuth承認サーバ220を用いてトークンを有効にすることができる。クライアントアプリケーション204がアクセスを試みる特定のリソースがトークン−スコープレジストリ222中のアクセストークンにマッピングされるスコープ内にない場合(たとえば、クライアントアプリケーション204が、リソース所有者202が以前に同意したアクセスのスコープ外にあるフォルダにアクセスしようとしている場合)、OAuth承認サーバ220はトークンを有効にせず、リソースサーバ210は、特定のリソースへのアクセスをクライアントアプリケーション204に認めるのを拒む。このように、アクセスのスコープは、リソース所有者202による当該スコープに対する特定的な同意に基づいている。リソース所有者202は、クライアントアプリケーション204が要求する特定的なスコープに対する同意を与えるのを拒む機会を有し、その場合、OAuth承認サーバ220はクライアントアプリケーション204向けのアクセストークンを作成しない。発明の1つの実施形態では、リソースサーバ210が維持するリソースにアクセスする各々のクライアントアプリケーションの要求は、リソース&スコープレジストリ224中の、リソースサーバ210にマッピングされるスコープも特定し、以上で論じたように、リソース所有者202の同意が要求されるのはこの特定されたスコープである。
発明の実施形態に従うと、以上の検討と一貫して、クライアントアプリケーション204がリソースサーバ210にアクセストークンを提示したときにアクセス制限の実施が行なわれる。実施は、アクセストークンによってエンコードされるスコープの理解を要件とする。アクセストークンは、スコープの定義につき、OAuth承認サーバ220によって発行される。アクセストークンは、発行されたトークンによってエンコードされるスコープにつき、有効にされる。発明の1つの実施形態では、組合されたポリシーサービス240およびトークンサービス250は、発行されたアクセストークンの状態を維持し、発行されたアクセストークンを承認する。発明の実施形態では、カスタマー(すなわちリソースサーバ210の所有者および/またはオペレータ)はそれ自身のポリシーサービス240およびトークンサービス250を提供することができる。OAuthフレームワークはプログラム的コントラクトまたはプログラム的インターフェイスを提供してもよく、これにより、そのようなカスタマーは、自身のポリシーおよびトークンサービスを、当該カスタマーが規定するスコープに一致する態様でOAuthフレームワークにプラグインすることができる。各々のカスタマーはスコープのそれ自身のセットを公開してもよい。スコープの公開されたセットは、カスタマーのトークンサービスが戻るデータの形式を示し得る。加えて、OAuthフレームワークは、トークン発行の際にポリシーが作成されるのを許すプログラミングコントラクトまたはプログラム的インターフェイスをそのようなカスタマーに提供してもよい。これらのプログラム的コントラクトまたはプログラム的インターフェイスは、カスタマーが自身のカスタムプログラム的コードをOAuthフレームワークにプラグインできるようにする。これらのプログラム的インターフェイスを用いて、カスタマーは、その既存のインフラストラクチャをOAuthシステムに結線することができる。実施形態では、スコープの自身のセットを公開するカスタマーは、そのトークンおよび/またはポリシーサービスが、公開されたスコープと整合するスコープ情報を含むトークンを確実に戻すことを担う。クライアントアプリケーション204がトークンの使用を試みるのに応答して、OAuth承認サーバ220は、カスタマーのポリシーをルックアップし、当該トークンを有効にするアプリケーションプログラミングインターフェイス(API)を呼出すことができる。
実施形態では、OAuthフレームワークは、OAuth承認サーバ220とインターフェイスするためにカスタマーのコード(たとえばトークンサービス250およびポリシーサービス240のためのコード)が実現しなければならないインターフェイスを特定する。インターフェイスは、カスタマーが各々のインターフェイスが受信することを予期するパラメータおよび各々のインターフェイスが戻すことを予期する値に気付くように公開され得る。クライアントアプリケーション204がOAuth承認サーバ220に要求を行なう場合、OAuth承認サーバ220は、当該要求に関するAPIに応答通話を行なう。これらの通話は、たとえば、アクセストークンを生成し、それらのアクセストークンをクライアントアプリケーション204に与えるカスタマーコード化コンポーネントへの通話に係り得る。発明の1つの実施形態では、OAuth承認サーバ220は、OPSS−TS228およびOPSS−AZ230の形式の前述のプログラム的コントラクトまたはプログラム的インターフェイスを公開する。トークンサービス250のカスタマーの自身の実現例はOPSS−TS228とインターフェイスすることができる一方で、ポリシーサービス240のカスタマーの自身の実現例はOPSS−AZ230とインターフェイスすることができる。OAuth承認サーバ220は、アクセストークン作成およびアクセストークン有効化のために別個のAPIを呼出してもよい。カスタマーは、カスタムプログラム的コードを実現して各々のタスクを行なってもよい。有効化の間、リソースに対してクライアントアプリケーション204が行なうことを求める行為が、クライアントアプリケーション204が提示するアクセストークンによってエンコードされるポリシーに一致するか否かを判断するように、トークン作成の間に構築されるポリシーにアクセス可能である。
加えて、発明の1つの実施形態では、クライアントアプリケーション204がOAuth承認サーバ220からアクセストークンを求める場合に呼出されるユーザ同意オーケストレーション226のカスタマーの自身の実現例をOAuth承認サーバ220にプラグインすることができる。リソース&スコープレジストリ224およびトークン−スコープレジストリ222へのインターフェイスは、カスタマーがユーザ同意オーケストレーション226のその実現例を設計して同意要求を構築する際に用いるようにコンポーネント222および224からデータを入手できるように、カスタマーに提供され得る。
発明の実施形態では、リソース&スコープレジストリ224に格納されるマッピングは、各々のスコープ内に含まれるリソースのサブセットだけでなく、リソースのそれらのサブセットに対してクライアントアプリケーションが行なうことが許される動作の排他的サブセットも示す。たとえば、特定のマッピングは、特定のスコープについて、リソースサーバ210上に維持されるリソースの特定されたサブセット(たとえば、ファイル、フォルダ、ディレクトリ、一覧、プロファイル、画像、文書など)に対して作成または削除動作ではなく読出および更新動作を行なうことができると示し得る。このように、発明の1つの実施形態では、以上で論じた同意要求は、スコープと関連付けられるリソースのサブセットだけでなく、当該スコープと関連付けられる動作のサブセットも特定する。その結果、リソース所有者202は、クライアントアプリケーション204が同意−要求−特定されたスコープ内のリソースのサブセットに対して行なう同意を自身が与えている動作の種類を正確に知る。
発明の実施形態に従うと、クライアントアプリケーション204は、リソースサーバ210がOAuth承認サーバ220に登録した特定的なスコープのうち1つと均等のリソースアクセスを要求する。このように、発明の1つの実施形態では、クライアントアプリケーション204は、リソースサーバ210について登録される特定的なスコープを意識して設計される。クライアントアプリケーション204はさまざまな異なるリソースサーバが維持するリソースと対話し得るので、さまざまなリソースサーバのベンダーは、自身のリソースサーバがOAuth承認サーバ220に登録するスコープの標準的なセットについて同意し得、これにより、クライアントアプリケーション204および他のクライアントアプリケーションの設計者の設計業務が容易になる。
発明の1つの実施形態では、クライアントフレームワークは、クライアントアプリケーション204などのクライアントアプリケーションがさまざまな異なる種類のリソースプロバイダのための「フック」を実現できるように設けられる。たとえば、クライアントアプリケーション204は、Google、Facebook、Yahoo、LinkedInなどのための別個のフックを実現し得る。図3は、発明の実施形態に従うOAuthクライアント環境300を図示するブロック図である。OAuthクライアント環境300は、リソース所有者302、リソースサーバ304、OAuth承認サーバ306、クライアントアプリケーション308、およびOAuthクライアント320を含む。クライアントアプリケーション308はOAuthクライアントAPI310を含む。OAuthクライアント320は、OAuthクライアントエンジン322、リソースレジストリ324、ローカルアプリケーションレジストリ326、およびトークンレジストリ328を含む。リソースサーバ304およびOAuth承認サーバ306は互いと対話する。リソースサーバ304およびOAuthクライアント320は互いと対話する。OAuth承認サーバ306およびOAuthクライアント320は、リソース所有者302を介して(たとえば、リソース所有者302のインターネットブラウザによって達成される転送を通じて)互いと対話する。リソース所有者302はクライアントアプリケーション308とも対話する。クライアントアプリケーション308はOAuthクライアントAPI310を通してOAuthクライアントエンジン322と対話する。OAuthクライアントエンジン322は、リソースレジストリ324、ローカルアプリケーションレジストリ326、およびトークンレジストリ328と対話する。
発明の実施形態に従うと、クライアントアプリケーション308が対話し得る異なる種類のリソースサーバのすべてに関するメタデータがリソースレジストリ324内に格納されて、クライアントアプリケーション308がさまざまな異なるリソースサーバと対話できるようにする。リソースレジストリは、たとえば、各々の異なる種類のリソースサーバが認識するスコープの異なるセットを示すことができる。その結果、クライアントアプリケーション308は、リソースサーバ304が認識する特定のスコープに対応するアクセスを要求することができ、この特定のスコープは、OAuth承認サーバ306がクライアントアプリケーション308の代わりにリソース所有者302に送る同意要求の中に特定され得る。リソースプロバイダは、設計者が当該プロバイダのリソースサーバのための適切なサーバ−スコープマッピングをリソースレジストリ308に入れることができるように、それらのOAuth標準−準拠スコープの仕様を公開することができる。実施形態では、クライアントアプリケーション308とは独立してリソースレジストリ308に入れることができるので、クライアントアプリケーション308は新たに発見されたリソースサーバと対話するように改められる必要はない。代わりに、開発者は、クライアントアプリケーション308が対話するリソースレジストリ324の中にそれらのリソースサーバのための新しいマッピングを単に「プラグイン」することができる。
リソースプロバイダまたはサーバとして働く複合ウェブサイトは、一体化したアプリケーションではないことがしばしばである。代わりに、複合ウェブサイトはさまざまな異なるアプリケーションを構成することがしばしばである。発明の実施形態では、ローカルアプリケーションレジストリ326は、さまざまな異なるリソースプロバイダと当該リソースプロバイダが提供するまたは公開するアプリケーションのセットとの間のマッピングを格納する。各々のそのようなアプリケーションは、当該アプリケーションのための別個のユニフォームリソースロケータ(URL)へのローカルアプリケーションレジストリ326の中にマッピングされ得る。発明の1つの実施形態では、ローカルアプリケーションレジストリ326は信用キーを格納して、OAuthクライアントロールを行なって遠隔リソースにアクセスする。
典型的に、クライアントアプリケーション308は、特定のアクセストークンを、当該特定のアクセストークンが期限切れになる前に複数回用いて、リソースサーバ304が維持するリソースにアクセスすることができる。発明の実施形態では、クライアントアプリケーション308がOAuth承認サーバ306から入手するアクセストークンは、トークンレジストリ328内に格納される。クライアントアプリケーション308が複数の異なるリソースサーバと対話し得る限り、トークンレジストリ328は、アクセストークンと、当該アクセストークンが属する異なるリソースサーバとの間のマッピングを維持することができる。トークンレジストリ328は、さまざまな異なる遠隔リソースサーバ(たとえば、リソースサーバ304)のためのアクセストークンおよびリフレッシュトークンならびにスコープの両方を格納することができる。
図4は、発明の実施形態に従う、包括的OAuth承認サーバに第1のリソースサーバのメタデータを登録するための技術400を図示するフロー図である。技術400はあるブロックまたは動作に係るが、代替的な実施形態は図示されるよりも多くのまたはそれよりも少ないまたはそれとは異なる動作に係ってもよい。さらに、代替的な実施形態は、図示されたものとは異なる順序での動作の実行に係ってもよい。ブロック402で、OAuth承認サーバは、第1のリソースサーバから、第1のリソースサーバが認識するスコープの第1のセットを示すメタデータの第1のセットを受信する。ブロック404で、メタデータの第1のセットを受信するのに応答して、OAuth承認サーバは、スコープの第1のセット中のスコープと第1のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納する。1つの実施形態では、メタデータの第1のセットを受信するのに応答して、OAuth承認サーバは、特定のスコープと、第1のリソースサーバが格納するリソースのサブセットと、特定のスコープにマッピングされる特定のトークンの保持者がリソースの第1のサブセット中のリソースに対して行なうことが許される動作のセットとの間のマッピングを格納する。
ブロック406で、OAuth承認サーバは、スコープの第1のセットから第1のスコープを特定する特定の要求を受信する。ブロック408で、第1のスコープを特定する要求を受信するのに応答して、OAuth承認サーバは、第1のスコープと整合するクライアントアプリケーションアクセスを認める同意を、第1のスコープ内に含まれるリソースの所有者に求める。ブロック410で、所有者から同意を受信するのに応答して、OAuth承認サーバは、(a)第1のアクセストークンを作成し、(b)第1のアクセストークンと第1のスコープとの間のマッピングを格納し、かつ(c)第1のアクセストークンをクライアントアプリケーションに送る。1つの実施形態では、所有者から同意を受信するのに応答して、OAuth承認サーバは、OAuth承認サーバを提供しないカスタマー(たとえば第1のリソースサーバの所有者)が提供するプログラム的コードを呼出す。プログラム的コードは、OAuth承認サーバのプロバイダがカスタマーに提供するインターフェイスを実現する。プログラム的コードは第1のアクセストークンを作成する。
ブロック412で、OAuth承認サーバは、第1のリソースサーバから、第1のアクセストークンを有効化する要求を受信する。ブロック414で、第1のアクセストークンを有効化する要求を受信するのに応答して、OAuth承認サーバは、第1のアクセストークンと第1のスコープとの間のマッピングに基づいて第1のアクセストークンを有効化する。1つの実施形態では、第1のアクセストークンを有効化するために、OAuth承認サーバは、OAuth承認サーバを提供しないカスタマー(たとえ、第1のリソースサーバの所有者)が提供するプログラム的コードを呼出す。このプログラム的コードは、OAuth承認サーバのプロバイダがカスタマーに提供するインターフェイスを実現する。プログラム的コードは第1のアクセス接続トークンを有効化する。
ブロック416で、第1のアクセストークンを有効化するのに応答して、OAuth承認サーバは、第1のリソースサーバに、第1のアクセストークンを第1のリソースサーバに提示したクライアントアプリケーションが、第1のリソースサーバによって維持されかつ第1のスコープによって特定されるリソースのセットに対して動作を行なうことを承認されると示す。
図5は、発明の実施形態に従う、包括的OAuth承認サーバに第2のリソースサーバのメタデータを登録するための技術を図示するフロー図である。技術500はあるブロックまたは動作に係るが、代替的な実施形態は図示されるよりも多くのまたはより少ないまたはこれとは異なる動作に係ってもよい。さらに、代替的な実施形態は図示されるものとは異なる順序での動作の実行に係ってもよい。ブロック502で、OAuth承認サーバは、(図4で参照する)第1のリソースサーバとは別個の第2のリソースサーバから、第2のリソースサーバが認識するスコープの第2のセットを示すメタデータの第2のセットを受信する。スコープの第2のセットは(図4で参照する)スコープの第1のセットとは異なる。ブロック504で、メタデータの第2のセットを受信するのに応答して、OAuth承認サーバは、スコープの第2のセット中のスコープと第2のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納する。ブロック506で、OAuth承認サーバは、第2のアクセストークンとスコープの第2のセットからの第2のスコープとの間のマッピングを格納する。ブロック508で、OAuth承認サーバは、第2のリソースサーバから、第2のアクセストークンを有効化する要求を受信する。ブロック510で、第2のアクセストークンを有効化する要求を受信するのに応答して、OAuth承認サーバは、第2のアクセストークンと第2のスコープとの間のマッピングに基づいて第2のアクセストークンを有効化する。ブロック512で、第2のアクセストークンを有効化するのに応答して、OAuth承認サーバは、第2のリソースサーバに、第2のアクセストークンを第2のリソースサーバに提示したクライアントアプリケーションが、第2のリソースサーバによって維持されかつ第2のスコープによって特定されるリソースのセットに対して動作を行なうのを承認されると示す。
図6は、本発明の実施形態に従って用いられ得るシステム環境600のコンポーネントを図示する簡略ブロック図である。示されるように、システム環境600は、ウェブブラウザ、独自クライアント(たとえばオラクルフォーム)などのクライアントアプリケーションを動作するように構成される1つ以上のクライアントコンピューティングデバイス602、604、606、608を含む。さまざまな実施形態では、クライアントコンピューティングデバイス602,604、606、および608はサーバ612と対話し得る。
クライアントコンピューティングデバイス602、604、606、608は、(一例として、マイクロソフトウインドウズ(登録商標)および/もしくはアップルマッキントッシュオペレーティングシステムのさまざまなバージョンを実行するパーソナルコンピュータおよび/もしくはラップトップコンピュータを含む)汎用パーソナルコンピュータ、(マイクロソフトウインドウズ(登録商標)モバイルなどのソフトウェアを実行し、かつインターネット、電子メール、SMS、ブラックベリー(登録商標)または他の通信プロトコル可能化である)携帯電話もしくはPDA、および/または(GNU/Linux(登録商標)オペレーティングシステムの種類を限定なく含む)さまざまな市販のUNIX(登録商標)またはUNIX状オペレーティングシステムの任意のものを実行するワークステーションコンピュータであり得る。代替的に、クライアントコンピューティングデバイス602、604、606、および608は、ネットワーク(たとえば以下に説明するネットワーク610)上で通信することができる、シンクライアントコンピュータ、インターネット可能化ゲームシステム、および/またはパーソナルメッセージングデバイスなどの任意の他の電子デバイスであり得る。4つのクライアントコンピューティングデバイスを有する例示的なシステム環境600が示されるが、任意の数のクライアントコンピューティングデバイスをサポートしてもよい。センサを有するデバイスなどの他のデバイスがサーバ612と対応してもよい。
システム環境600はネットワーク610を含み得る。ネットワーク610は、限定されることなくTCP/IP、SNA、IPX、アップルトークなどを含むさまざまな市販のプロトコルのうち任意のものを用いるデータ通信をサポートすることができる、当業者には馴染みのある任意の種類のネットワークであり得る。単に一例として、ネットワーク610は、イーサネット(登録商標)ネットワーク、トークンリングネットワークなどのローカルエリアネットワーク(LAN)、ワイドエリアネットワーク、限定されることなくバーチャルプライベートネットワーク(VPN)を含む仮想ネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話網(PSTN)、赤外線ネットワーク、無線ネットワーク(たとえば、IEEE802.11プロトコル群、当該技術分野で公知のブルートゥース(登録商標)プロトコル、および/もしくは任意の他の無線プロトコルのうち任意のものに基づいて動作するネットワーク)、ならびに/またはこれらおよび/もしくは他のネットワークの任意の組合せであり得る。
システム環境600は、汎用コンピュータ、(一例として、PCサーバ、UNIXサーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウント型サーバなどを含む)特化されたサーバコンピュータ、サーバファーム、サーバクラスタ、または任意の他の適切な構成および/または組合せであり得る1つ以上のサーバコンピュータ612も含む。さまざまな実施形態では、サーバ612は、以上の開示に記載される1つ以上のサービスまたはソフトウェアアプリケーションを実行するように適合され得る。たとえば、サーバ612は、本発明の実施形態に従ってリライングパーティおよびオープン承認処理を行なうためのサーバに対応し得る。
サーバ612は、以上で論じたもののうち任意のものを含むオペレーティングシステムおよび任意の市販のサーバオペレーティングシステムを実行し得る。サーバ612は、HTTPサーバ、FTPサーバ、CGIサーバ、Java(登録商標)サーバ、データベースサーバなどを含むさまざまな付加的なサーバアプリケーションおよび/または中間階層アプリケーションのうち任意のものも実行し得る。例示的なデータベースサーバは、限定されることなく、オラクル、マイクロソフト、Sybase、IBMなどから市販されているものを含む。
システム環境600は、1つ以上のデータベース614、616も含み得る。データベース614、616はさまざまな場所に常駐し得る。一例として、データベース614、616のうち1つ以上はサーバ612にローカルの(および/またはその中に常駐する)非一時的記憶媒体上に常駐してもよい。これに代えて、データベース614、616はサーバ612から遠隔であってもよく、ネットワークに基づく接続または専用の接続を介してサーバ612と通信していてもよい。実施形態の1つの組では、データベース614、616は、当業者には馴染みのあるストレージエリアネットワーク(SAN)中に常駐してもよい。同様に、サーバ612に帰する機能を行なうための任意の必要なファイルを適宜サーバ612上にローカルにおよび/または遠隔に格納してもよい。実施形態の1つの組では、データベース614、616は、SQLフォーマットのコマンドに応答してデータを格納、更新、および検索するように適合される、オラクルが提供するデータベースなどのリレーショナルデータベースを含んでもよい。
図7は、本発明の実施形態に従って用いられ得るコンピュータシステム700の簡略ブロック図である。たとえば、サーバ602は、システム700などのシステムを用いて実現されてもよい。バス724を介して電気的に結合され得るハードウェア要素を備えるコンピュータシステム700が示される。ハードウェア要素は、1つ以上の中央処理装置(CPU)702、1つ以上の入力装置704(たとえば、マウス、キーボードなど)、および1つ以上の出力装置706(たとえば、ディスプレイ装置、プリンタなど)を含んでもよい。コンピュータシステム700は1つ以上の記憶装置708も含んでもよい。一例として、記憶装置708は、ディスクドライブなどの装置、光学記憶装置、ならびにプログラム可能でフラッシュ更新可能などであり得るランダムアクセスメモリ(RAM)および/または読出専用メモリ(ROM)などの固体状態記憶装置を含んでもよい。
コンピュータシステム700は、加えて、コンピュータ読出可能記憶媒体リーダ712、通信サブシステム714(たとえば、モデム、ネットワークカード(無線または有線)、赤外線通信デバイスなど)、ならびに上述のようなRAMおよびROMデバイスを含み得るワーキングメモリ718を含んでもよい。いくつかの実施形態では、コンピュータシステム700は、デジタル信号プロセッサ(DSP)、専用プロセッサなどを含むことができる処理加速ユニット716も含んでもよい。
コンピュータ読出可能記憶媒体リーダ712は、遠隔、ローカル、固定、および/または取外し可能記憶装置プラス一時的におよび/またはより永続的にコンピュータ読出可能情報を内蔵するための記憶媒体を包括的に表わすコンピュータ読出可能記憶媒体710にともに(オプションで記憶装置708と組合せて)さらに接続可能である。通信システム714は、データがネットワーク1610および/またはシステム環境1600に対して上述の任意の他のコンピュータと交換されるのを許し得る。
コンピュータシステム700は、(クライアントアプリケーション、ウェブブラウザ、中間階層アプリケーション、RDBMSなどであり得る)アプリケーションプログラムなどのオペレーティングシステム720および/またはその他のコード722を含む、現在ワーキングメモリ718内に位置するものとして示されるソフトウェア要素も備えてもよい。例示的な実施形態では、ワーキングメモリ718は、上述のようなリライングパーティおよびオープン承認関連の処理のために用いられる実行可能なコードおよび関連のデータ構造を含んでもよい。コンピュータシステム700の代替的な実施形態は上述されたものからの数多くの変形を有し得ることを認めるべきである。たとえば、カスタマイズされたハードウェアも用いてもよく、および/または特定の要素は、ハードウェア、(アプレットなどの可搬ソフトウェアを含む)ソフトウェア、またはその両方で実現されてもよい。さらに、ネットワーク入出力装置などの他のコンピューティングデバイスとの接続を用いてもよい。
コードまたはコードの部分を内蔵するための記憶媒体およびコンピュータ読出可能媒体は、RAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)もしくは他の光学記憶、磁気カセット、磁気テープ、磁気ディスク記憶もしくは他の磁気記憶装置、データ信号、データ伝送、または所望の情報を記憶するもしくは伝送するのに用いることができ、コンピュータによってアクセス可能な任意の他の媒体を含む、コンピュータ読出可能命令、データ構造、プログラムモジュール、または他のデータなどの、情報の記憶および/または伝送のための任意の方法または技術において実現される、揮発性および不揮発性(非一時的)、取外し可能および取外し不可能媒体などの、しかしこれらに限定されない記憶媒体および通信媒体を含む、公知のまたは技術分野で用いられている任意の適切な媒体を含むことができる。
発明の具体的な実施形態を記載してきたが、さまざまな修正例、変更例、代替的な構成、および均等例も発明の範囲内に包含される。本発明の実施形態は、ある具体的なデータ処理環境内の動作に制限されず、複数のデータ処理環境内で自由に動作する。さらに、本発明の実施形態が特定の一連のトランザクションおよびステップを用いて説明されたが、当業者には、本発明の範囲が記載された一連のトランザクションおよびステップに限定されないことは明確であるはずである。
さらに、本発明の実施形態をハードウェアとソフトウェアとの特定の組合せを用いて説明したが、ハードウェアとソフトウェアとの他の組合せも本発明の範囲内であると認識されるべきである。本発明の実施形態は、ハードウェアのみにおいて、またはソフトウェアのみにおいて、またはその組合せを用いて実現されてもよい。
したがって、明細書および図面は制限的な意味というよりはむしろ例示的な意味でみなされるべきである。しかしながら、より広い精神および範囲から逸脱することなく、追加、削減、削除、ならびにさまざまな修正および変更がなされてもよいことが明らかであろう。
[付録]
背景
本発明の実施形態は、アイデンティティ管理、認証、および承認フレームワークに関する。
簡単な要約
本発明の実施形態は、アイデンティティ管理、認証、および承認フレームワークに関する。1つの埋込では、企業のアイデンティティおよびアクセス管理(IAM)インフラストラクチャにおけるインターネットアイデンティティの統合のためにフレームワークが設けられる。別の実施形態に従うと、フレームワークはオープン承認のために設けられる。フレームワークはリライングパーティの機能性のためにも設けられる。
以上は、他の特徴および実施形態とともに、以下の明細書、請求項、および添付の図面を参照するとより明らかになるであろう。
図面の簡単な説明
この文書にいくつかの図面を含む。
付加的に、図1は、本発明の実施形態に従って用いられ得るシステム環境のコンポーネントを図示する簡略ブロック図である。
図2は、本発明の実施形態に従って用いられ得るコンピュータシステムの簡略ブロックである。
詳細な説明
以下の説明では、説明の目的のため、発明の実施形態の完全な理解を与えるための具体的な詳細を述べる。しかしながら、発明はこれらの具体的詳細がなくても実践され得ることが明らかであろう。
特徴:
(1) 既存の企業アイデンティティおよびアクセス管理(IAM)インフラストラクチャにおけるインターネットアイデンティティの統合のためのリライングパーティプラットフォーム/フレームワーク
ビジネス、特にインターネット対応(internet facing)プロパティ(ウェブサイト、電子商取引アプリ、モバイルアプリなど)を用いるものは、より高い採用とより高い収入との達成に向けて自身のユーザ基盤を拡張しようとしている。「インターネットアイデンティティ」は、Facebook、Google、Yahooなどのような著名サイトで保持されるユーザアカウントである−これらは何千万ものユーザの掘出し物である。同時に、企業は、これらの変化する技術の統合ならびにインターネット対応配備の規模およびセキュリティの局面の両方の観点で、これらのアイデンティティを扱うよう備えていないIAMシステムに対する既存の投資を有する。いくつかの先のソリューションは、企業に対してともに貼られる−カスタム/その場限りの/ピア−ピア(peer-peer)/ぴしゃりと貼られる/高価な−「バンドエイド」である。いくつかの製品はいくつかの統合ソリューションを与えるが、それらは製品に結び付きすぎている。全体的に、先のソリューションは変化するインターネット環境に対処することおよび既存のIAMソリューションへの投資を保全することという課題の両方に取組むには、拡張性、スケーラビリティ、およびセキュリティを欠いている。
本発明の実施形態に従うと、フレームワークまたはプラットフォームは以下の特徴を備える。
・Google、Yahoo、FaceBook、LinkedIn、Twitterなどの周知のインターネットアイデンティティプロバイダ(IDP)のための内蔵コネクタ。
・準拠IDP(OpenID、OAuth(オープン承認)、セキュリティアクセスマークアップ言語(SAML)など)と統合する、標準に基づくインターフェイス。
・(オラクル、CA、IBM、その他などの)トップIAMベンダーのための内蔵統合
・特定的な配備の必要性を満たすためにカスタマイズするための抽象ワークフロー/プロセスフローの上に層をなすプラグインポイントを介した拡張性。
例示的なワークフロープロセスフロー:
−IDPに対するユーザ認証は適切なレベルでのエンタープライズセッション作成に繋がる。
−プログレッシブ(progressive)ユーザ登録
−「ローカル」認証との統合を介したポリシーに基づく認証レベル向上。
実施形態は、フレームワークに関する特徴、ワークフロー/プロセスベースのプラグイン、ボーディングおよび認証に関するプログレッシブおよびオンデマンド/アプリケーション駆動ユーザなどを含むがこれらに限定されないいくつかの新規の特徴を提供する。
本発明の実施形態は、先の解決策に勝る大きな改良点を提供する。抽象ワークフロー/プロセスモデルは、ビジネスが製品の具体的詳細に対する技術的専門性よりもむしろビジネス使用事例を扱えるようにする。本発明の実施形態を、小規模(たとえば単純なLDAP、JSESSIONIDに基づく)から大規模IAM配備にわたるさまざまなIAMソリューションに関連して用いてもよい。
(2) OAuthフレームワーク
ビジネスは、競争力を保ちかつ成長するためには、インターネットを介していくつかのエンティティ(カスタマー、従業員、パートナー、クラウドサービスなど)と対話する必要がある。ソーシャルネットワーキングおよびユーザ中心アイデンティティにおける最近の進歩の結果、会社がともに、OAuthと呼ばれるオープン標準を創出してエンタープライズ間の安全なドメイン間通信を容易にするようになった。広くは、この基準は、1つのドメインから別のドメインへのサービスおよびリソースへの2地点間の安全なアクセスをカバーする。サービス/リソースは一般的に以下のカテゴリに入る。
−ユーザが管理するデータ−ユーザのカレンダー、写真、連絡先一覧など
−企業が管理するデータ−CRM SaaSサービス、顧客リスト、ユーザ管理サービス、ユーザ提供データ、SLAなど
これらのサービス/リソースは、社内またはクラウドにホスティングされてもよい。
OAuth2.0は、その単純さおよびインターネットスケーラビリティにより、データおよびリソースを広いインターネット上で共有するために、ここ二、三年で大きく人気を獲得した。
先の解決策は、典型的には移動体、ウェブブラウザ、ウェブサーバ、スタンドアロンアプリケーションなどのあらゆるクライアントフォームファクタ毎に異なる1つである、個々のリソース/サービス所有者によって提供される「ツールキット」に基づいている。問題は、OAuthが標準ではあるものの、これは「相互運用可能な」仕様ではないことである−そのため、各個々のツールキットは、それ自身の特定的な態様でプロトコルおよび対話を実現する。したがって、異なるクライアントフォームファクタにおいて、複数のパートナーとの統合を望むエンタープライズは、無数のツールキットを扱うという大きな困難を有する。また、よい実現例は、データセキュリティおよびその説明責任を確実にする(たとえば変化するビジネス関係に適合する)には、きめ細かくダイナミックなポリシーを扱える強固な承認モデルを必要とする。
いくつかの先の解決策は、既存のエンタープライズIAM配備とはうまく統合しない企業に対してともに貼られる−カスタム/その場限りの/ピア−ピア/ぴしゃりと貼られる/高価な−「バンドエイド」である。全体的に、先の解決策は異なるかつ変化し続けるインターネット環境に対処することおよび既存のIAMソリューションへの投資を保全することという課題の両方に取組むには、拡張性、スケーラビリティ、およびセキュリティを欠いている。
本発明の実施形態は、以下の特徴を有するOAuthフレームワークまたはプラットフォームを提供する。
・Google Docs、Yahoo、Facebook、LinkedIn、Twitter、Salesforce.com、オラクルOD、オラクルウェブセンターなどの周知のインターネットリソースおよび承認サーバのための内蔵コネクタ
・トップIAMベンダー(オラクル、CA、IBM、その他)のための内蔵統合。
・特定的な配備の必要性を満たすためにカスタマイズするための抽象ワークフロー/プロセスフローの上に層をなすプラグインポイントを介した拡張性。
1つの実施形態では、ワークフロープロセスは以下のように流れる。
−ユーザ認証はリソース/サービスアクセスのためのトークン発行に繋がる。
−遠隔のサービス/リソースへのアプリケーション駆動アクセス。
−パートナーエンティティへのローカルリソース/サービスのポリシーベースの公開。
−トークンライフサイクル−ユーザ駆動、管理者駆動、ポリシー駆動。
実施形態は、フレームワーク/プラットフォームに関する特徴、ワークフロー/プロセスベースのプラグイン、オンデマンド/アプリケーション駆動リソースアクセスなどを含むいくつかの新規の特徴を提供する。
本発明の実施形態は、先の解決策に勝る大きな改良点を提供する。抽象ワークフロー/プロセスモデルは、ビジネスが製品の具体的詳細に対する技術的専門性よりもむしろビジネス使用事例を扱えるようにする。発明の実施形態を、小規模(たとえば単純なLDAP、JSESSIONIDに基づく)から大規模IAM配備にわたるさまざまなIAMソリューションとともに用いてもよい。
さらなる詳細は、以下のセクション/パート(パート1から7)に記載される。以下のさまざまなパートはさまざまな実施形態を記載する。記載は、本質的に制限的であることまたは限定的であることを意図するものではない。
図1は、本発明の実施形態に従って用いられ得るシステム環境100のコンポーネントを図示する簡略ブロック図である。示されるように、システム環境100は、ウェブブラウザ、独自クライアント(たとえばオラクルフォーム)などのクライアントアプリケーションを動作するように構成される1つ以上のクライアントコンピューティングデバイス102、104、106、108を含む。さまざまな実施形態では、クライアントコンピューティングデバイス102,104、106、および108はサーバ112と対話し得る。
クライアントコンピューティングデバイス102、104、106、108は、(一例として、マイクロソフトウインドウズ(登録商標)および/もしくはアップルマッキントッシュオペレーティングシステムのさまざまなバージョンを実行するパーソナルコンピュータおよび/もしくはラップトップコンピュータを含む)汎用パーソナルコンピュータ、(マイクロソフトウインドウズ(登録商標)モバイルなどのソフトウェアを実行し、かつインターネット、電子メール、SMS、ブラックベリー(登録商標)または他の通信プロトコル可能化である)携帯電話もしくはPDA、および/または(GNU/Linux(登録商標)オペレーティングシステムの種類を限定なく含む)さまざまな市販のUNIXまたはUNIX状のオペレーティングシステムの任意のものを実行するワークステーションコンピュータであり得る。代替的に、クライアントコンピューティングデバイス102、104、106、および108は、ネットワーク(たとえば以下に説明するネットワーク110)上で通信することができるシンクライアントコンピュータ、インターネット可能化ゲームシステム、および/またはパーソナルメッセージングデバイスなどの任意の他の電子デバイスであり得る。4つのクライアントコンピューティングデバイスを有する例示的なシステム環境100が示されるが、任意の数のクライアントコンピューティングデバイスをサポートしてもよい。センサを有するデバイスなどの他のデバイスがサーバ112と対応してもよい。
システム環境100はネットワーク110を含み得る。ネットワーク110は、限定されることなくTCP/IP、SNA、IPX、アップルトークなどを含むさまざまな市販のプロトコルのうち任意のものを用いるデータ通信をサポートすることができる、当業者には馴染みのある任意の種類のネットワークであり得る。単に一例として、ネットワーク110は、イーサネット(登録商標)ネットワーク、トークンリングネットワークなどのローカルエリアネットワーク(LAN)、ワイドエリアネットワーク、限定されることなくバーチャルプライベートネットワーク(VPN)を含む仮想ネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話網(PSTN)、赤外線ネットワーク、無線ネットワーク(たとえば、IEEE802.11プロトコル群、当該技術分野で公知のブルートゥース(登録商標)プロトコル、および/もしくは任意の他の無線プロトコルのうち任意のものに基づいて動作するネットワーク)、ならびに/またはこれらおよび/もしくは他のネットワークの任意の組合せであり得る。
システム環境100は、汎用コンピュータ、(一例として、PCサーバ、UNIXサーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウント型サーバなどを含む)特化されたサーバコンピュータ、サーバファーム、サーバクラスタ、または任意の他の適切な構成および/または組合せであり得る1つ以上のサーバコンピュータ112も含む。さまざまな実施形態では、サーバ112は、以上の開示に記載される1つ以上のサービスまたはソフトウェアアプリケーションを実行するように適合され得る。たとえば、サーバ112は、本発明の実施形態に従ってリライングパーティおよびオープン承認処理を行なうためのサーバに対応し得る。
サーバ112は、以上で論じたもののうち任意のものを含むオペレーティングシステムおよび任意の市販のサーバオペレーティングシステムを実行し得る。サーバ112は、HTTPサーバ、FTPサーバ、CGIサーバ、Java(登録商標)サーバ、データベースサーバなどを含むさまざまな付加的なサーバアプリケーションおよび/または中間階層アプリケーションのうち任意のものも実行し得る。例示的なデータベースサーバは、限定されることなく、オラクル、マイクロソフト、Sybase、IBMなどから市販されているものを含む。
システム環境100は、1つ以上のデータベース114、116も含み得る。データベース114、116はさまざまな場所に常駐し得る。一例として、データベース114、116のうち1つ以上はサーバ112にローカルの(および/またはその中に常駐する)非一時的記憶媒体上に常駐してもよい。これに代えて、データベース114、116はサーバ112から遠隔であってもよく、ネットワークに基づく接続または専用の接続を介してサーバ112と通信していてもよい。実施形態の1つの組では、データベース114、116は、当業者には馴染みのあるストレージエリアネットワーク(SAN)中に常駐してもよい。同様に、サーバ112に帰する機能を行なうための任意の必要なファイルを適宜サーバ112上にローカルにおよび/または遠隔に格納してもよい。実施形態の1つの組では、データベース114、116は、SQLフォーマットのコマンドに応答して、データを格納、更新、および検索するように適合される、オラクルが提供するデータベースなどのリレーショナルデータベースを含んでもよい。
図2は、本発明の実施形態に従って用いられ得るコンピュータシステム200の簡略ブロック図である。たとえば、サーバ102は、システム200などのシステムを用いて実現されてもよい。バス224を介して電気的に結合され得るハードウェア要素を備えるコンピュータシステム200が示される。ハードウェア要素は、1つ以上の中央処理装置(CPU)202、1つ以上の入力装置204(たとえば、マウス、キーボードなど)、および1つ以上の出力装置206(たとえば、ディスプレイ装置、プリンタなど)を含んでもよい。コンピュータシステム200は1つ以上の記憶装置208も含んでもよい。一例として、記憶装置208は、ディスクドライブなどの装置、光学記憶装置、ならびにプログラム可能でフラッシュ更新可能などであり得るランダムアクセスメモリ(RAM)および/または読出専用メモリ(ROM)などの固体状態記憶装置を含んでもよい。
コンピュータシステム200は、加えて、コンピュータ読出可能記憶媒体リーダ212、通信サブシステム214(たとえば、モデム、ネットワークカード(無線または有線)、赤外線通信デバイスなど)、ならびに上述のようなRAMおよびROMデバイスを含み得るワーキングメモリ218を含んでもよい。いくつかの実施形態では、コンピュータシステム200は、デジタル信号プロセッサ(DSP)、専用プロセッサなどを含むことができる処理加速ユニット216も含んでもよい。
コンピュータ読出可能記憶媒体リーダ212は、遠隔、ローカル、固定、および/または取外し可能記憶装置プラス一時的におよび/またはより永続的にコンピュータ読出可能情報を内蔵する記憶媒体を包括的に表わすコンピュータ読出可能記憶媒体210にともに(オプションで記憶装置208と組合せて)さらに接続可能である。通信システム214は、データがネットワーク1610および/またはシステム環境1600に対して上述の任意の他のコンピュータと交換されるようにし得る。
コンピュータシステム200は、(クライアントアプリケーション、ウェブブラウザ、中間階層アプリケーション、RDBMSなどであり得る)アプリケーションプログラムなどのオペレーティングシステム220および/または他のコード222を含む、現在ワーキングメモリ218内に位置するものとして示されるソフトウェア要素も備えてもよい。例示的な実施形態では、ワーキングメモリ218は、上述のようなリライングパーティおよびオープン承認関連の処理のために用いられる実行可能なコードおよび関連のデータ構造を含んでもよい。コンピュータシステム200の代替的な実施形態は上述されたものからの数多くの変形を有し得ることを認めるべきである。たとえば、カスタマイズされたハードウェアも用いてもよく、および/または特定の要素は、ハードウェア、(アプレットなどの可搬ソフトウェアを含む)ソフトウェア、またはその両方で実現されてもよい。さらに、ネットワーク入出力装置などの他のコンピューティングデバイスとの接続を用いてもよい。
コードまたはコードの部分を内蔵するための記憶媒体およびコンピュータ読出可能媒体は、RAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)もしくは他の光学記憶、磁気カセット、磁気テープ、磁気ディスク記憶もしくは他の磁気記憶装置、データ信号、データ伝送、または所望の情報を記憶するもしくは伝送するのに用いることができ、コンピュータによってアクセス可能な任意の他の媒体を含む、コンピュータ読出可能命令、データ構造、プログラムモジュール、または他のデータなどの、情報の記憶および/または伝送のための任意の方法または技術において実現される、揮発性および不揮発性(非一時的)、取外し可能および取外し不可能媒体などの、しかしこれらに限定されない記憶媒体および通信媒体を含む、公知のまたは技術分野で用いられている任意の適切な媒体を含むことができる。
発明の具体的な実施形態を記載してきたが、さまざまな修正例、変更例、代替的な構成、および均等例も発明の範囲内に包含される。本発明の実施形態は、ある具体的なデータ処理環境内の動作に制限されず、複数のデータ処理環境内で自由に動作する。さらに、本発明の実施形態が特定の一連のトランザクションおよびステップを用いて説明されたが、当業者には、本発明の範囲が記載された一連のトランザクションおよびステップに限定されないことは明確であるはずである。
さらに、本発明の実施形態をハードウェアとソフトウェアとの特定の組合せを用いて説明したが、ハードウェアとソフトウェアとの他の組合せも本発明の範囲内であると認識されるべきである。本発明の実施形態は、ハードウェアのみにおいて、またはソフトウェアのみにおいて、またはその組合せを用いて実現されてもよい。
したがって、明細書および図面は制限的な意味というよりはむしろ例示的な意味でみなされるべきである。しかしながら、より広い精神および範囲から逸脱することなく、追加、削減、削除、ならびにさまざまな修正および変更がなされてもよいことが明らかであろう。

Claims (18)

  1. 方法であって、
    OAuth承認サーバにおいて、第1のリソースサーバから、前記第1のリソースサーバが認識するスコープの第1のセットを示すメタデータの第1のセットを受信することと、
    前記メタデータの第1のセットを受信するのに応答して、前記OAuth承認サーバにおいて、前記スコープの第1のセット中のスコープと前記第1のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納することと、
    前記OAuth承認サーバにおいて、第1のアクセストークンと前記スコープの第1のセットからの第1のスコープとの間のマッピングを格納することと、
    前記OAuth承認サーバにおいて、前記第1のリソースサーバから、前記第1のアクセストークンを有効化する要求を受信することと、
    前記第1のアクセストークンを有効化する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第1のアクセストークンと前記第1のスコープとの間の前記マッピングに基づいて前記第1のアクセストークンを有効化することと、
    前記第1のアクセストークンを有効化するのに応答して、前記OAuth承認サーバが、前記第1のリソースサーバに、前記第1のアクセストークンを前記第1のリソースサーバに提示したクライアントアプリケーションが、前記第1のリソースサーバによって維持されかつ前記第1のスコープによって特定されるリソースのセットに対する動作を行なうことを承認されると示すこととを備える、方法。
  2. 前記OAuth承認サーバにおいて、前記第1のスコープを特定する特定の要求を受信することと、
    前記第1のスコープを特定する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第1のスコープと整合するクライアントアプリケーションアクセスを認める同意を、前記第1のスコープ内に含まれるリソースの所有者に求めることと、
    前記所有者から前記同意を受信するのに応答して、前記OAuth承認サーバが、(a)前記第1のアクセストークンを作成することと、(b)前記第1のアクセストークンと前記第1のスコープとの間の前記マッピングを格納することと、(c)前記第1のアクセストークンを前記クライアントアプリケーションに送ることとをさらに備える、請求項1に記載の方法。
  3. 前記メタデータの第1のセットを受信するのに応答して、前記OAuth承認サーバにおいて、前記第1のスコープと、前記第1のリソースサーバによって格納されるリソースの第1のサブセットと、前記第1のスコープにマッピングされたトークンの保持者が前記リソースの第1のサブセット中のリソースに対して行なうことを許される動作の第1のセットとの間のマッピングを格納することをさらに備える、請求項1に記載の方法。
  4. 前記第1のアクセストークンを有効化することは、前記OAuth承認サーバが、前記OAuth承認サーバを提供しないカスタマーによって提供されるプログラム的コードを呼出すことを備え、前記プログラム的コードは前記OAuth承認サーバのプロバイダが前記カスタマーに提供するインターフェイスを実現し、前記プログラム的コードは前記第1のアクセストークンを有効化する、請求項1に記載の方法。
  5. 前記OAuth承認サーバにおいて、前記第1のスコープを特定する特定の要求を受信することと、
    前記第1のスコープを特定する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第1のスコープと整合するクライアントアプリケーションアクセスを認める同意を、前記第1のスコープ内に含まれるリソースの所有者に求めることと、
    前記所有者から前記同意を受信するのに応答して、前記OAuth承認サーバが、前記OAuth承認サーバを提供しないカスタマーによって提供されるプログラム的コードを呼出すこととをさらに備え、前記プログラム的コードは前記OAuth承認サーバのプロバイダが前記カスタマーに提供するインターフェイスを実現し、前記プログラム的コードは前記第1のアクセストークンを作成する、請求項1に記載の方法。
  6. 前記OAuth承認サーバにおいて、前記第1のリソースサーバとは別個の第2のリソースサーバから、前記第2のリソースサーバが認識するスコープの第2のセットを示すメタデータの第2のセットを受信することをさらに備え、前記スコープの第2のセットは前記スコープの第1のセットとは異なり、さらに
    前記メタデータの第2のセットを受信するのに応答して、前記OAuth承認サーバにおいて、前記スコープの第2のセットの中のスコープと前記第2のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納することと、
    前記OAuth承認サーバにおいて、第2のアクセストークンと前記スコープの第2のセットからの第2のスコープとの間のマッピングを格納することと、
    前記OAuth認証サーバにおいて、前記第2のリソースサーバから、前記第2のアクセストークンを有効化する要求を受信することと、
    前記第2のアクセストークンを有効化する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第2のアクセストークンと前記第2のスコープとの間の前記マッピングに基づいて前記第2のアクセストークンを有効化することと、
    前記第2のアクセストークンを有効化するのに応答して、前記OAuth承認サーバが、前記第2のリソースサーバに、前記第2のリソースサーバに前記第2のアクセストークンを提示したクライアントアプリケーションが、前記第2のリソースサーバによって維持されかつ前記第2のスコープによって特定されるリソースのセットに対する動作を行なうことを承認されると示すこととをさらに備える、請求項1に記載の方法。
  7. 1つ以上のプロセッサによって実行されると、当該1つ以上のプロセッサに、
    OAuth承認サーバにおいて、第1のリソースサーバから、前記第1のリソースサーバが認識するスコープの第1のセットを示すメタデータの第1のセットを受信することと、
    前記メタデータの第1のセットを受信するのに応答して、前記OAuth承認サーバにおいて、前記スコープの第1のセット中のスコープと前記第1のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納することと、
    前記OAuth承認サーバにおいて、第1のアクセストークンと前記スコープの第1のセットからの第1のスコープとの間のマッピングを格納することと、
    前記OAuth承認サーバにおいて、前記第1のリソースサーバから、前記第1のアクセストークンを有効化する要求を受信することと、
    前記第1のアクセストークンを有効化する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第1のアクセストークンと前記第1のスコープとの間の前記マッピングに基づいて前記第1のアクセストークンを有効化することと、
    前記第1のアクセストークンを有効化するのに応答して、前記OAuth承認サーバが、前記第1のリソースサーバに、前記第1のアクセストークンを前記第1のリソースサーバに提示したクライアントアプリケーションが、前記第1のリソースサーバによって維持されかつ前記第1のスコープによって特定されるリソースのセットに対する動作を行なうことを承認されると示すことと、を行なわせる命令を備えるコンピュータ読出可能メモリ。
  8. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記1つ以上のプロセッサにさらに
    前記OAuth承認サーバにおいて、前記第1のスコープを特定する特定の要求を受信することと、
    前記第1のスコープを特定する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第1のスコープと整合するクライアントアプリケーションアクセスを認める同意を、前記第1のスコープ内に含まれるリソースの所有者に求めることと、
    前記所有者から前記同意を受信するのに応答して、前記OAuth承認サーバが、(a)前記第1のアクセストークンを作成することと、(b)前記第1のアクセストークンと前記第1のスコープとの間の前記マッピングを格納することと、(c)前記第1のアクセストークンを前記クライアントアプリケーションに送ることと、を行なわせる、請求項7に記載のコンピュータ読出可能メモリ。
  9. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記1つ以上のプロセッサにさらに
    前記メタデータの第1のセットを受信するのに応答して、前記OAuth承認サーバにおいて、前記第1のスコープと、前記第1のリソースサーバによって格納されるリソースの第1のサブセットと、前記第1のスコープにマッピングされたトークンの保持者が前記リソースの第1のサブセット中のリソースに対して行なうことを許される動作の第1のセットとの間のマッピングを格納することを行なわせる、請求項7に記載のコンピュータ読出可能メモリ。
  10. 前記第1のアクセストークンを有効化することは、前記OAuth承認サーバが前記OAuth承認サーバを提供しないカスタマーによって提供されるプログラム的コードを呼出すことを備え、前記プログラム的コードは前記OAuth承認サーバのプロバイダが前記カスタマーに提供するインターフェイスを実現し、前記プログラム的コードは前記第1のアクセストークンを有効化する、請求項7に記載のコンピュータ読出可能メモリ。
  11. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記1つ以上のプロセッサにさらに
    前記OAuth承認サーバにおいて、前記第1のスコープを特定する特定の要求を受信することと、
    前記第1のスコープを特定する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第1のスコープと整合するクライアントアプリケーションアクセスを認める同意を、前記第1のスコープ内に含まれるリソースの所有者に求めることと、
    前記所有者から前記同意を受信するのに応答して、前記OAuth承認サーバが、前記OAuth承認サーバを提供しないカスタマーによって提供されるプログラム的コードを呼出すこととを行なわせ、前記プログラム的コードは前記OAuth承認サーバのプロバイダが前記カスタマーに提供するインターフェイスを実現し、前記プログラム的コードは前記第1のアクセストークンを作成する、請求項7に記載のコンピュータ読出可能メモリ。
  12. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記1つ以上のプロセッサにさらに
    前記OAuth承認サーバにおいて、前記第1のリソースサーバとは別個の第2のリソースサーバから、前記第2のリソースサーバが認識するスコープの第2のセットを示すメタデータの第2のセットを受信することを行なわせ、前記スコープの第2のセットは前記スコープの第1のセットとは異なり、さらに
    前記メタデータの第2のセットを受信するのに応答して、前記OAuth承認サーバにおいて、前記スコープの第2のセットの中のスコープと前記第2のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納することと、
    前記OAuth承認サーバにおいて、第2のアクセストークンと前記スコープの第2のセットからの第2のスコープとの間のマッピングを格納することと、
    前記OAuth認証サーバにおいて、前記第2のリソースサーバから、前記第2のアクセストークンを有効化する要求を受信することと、
    前記第2のアクセストークンを有効化する前記要求を受信するのに応答して、前記OAuth承認サーバが、前記第2のアクセストークンと前記第2のスコープとの間の前記マッピングに基づいて前記第2のアクセストークンを有効化することと、
    前記第2のアクセストークンを有効化するのに応答して、前記OAuth承認サーバが、前記第2のリソースサーバに、前記第2のリソースサーバに前記第2のアクセストークンを提示したクライアントアプリケーションが、前記第2のリソースサーバによって維持されかつ前記第2のスコープによって特定されるリソースのセットに対する動作を行なうことを承認されると示すこととを行なわせる、請求項7に記載のコンピュータ読出可能メモリ。
  13. OAuth承認サーバであって、
    第1のリソースサーバから、前記第1のリソースサーバが認識するスコープの第1のセットを示すメタデータの第1のセットを受信するように構成される1つ以上のハードウェアプロセッサと、
    前記メタデータの第1のセットを受信するのに応答して、前記スコープの第1のセット中のスコープと前記第1のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納するように構成される1つ以上のハードウェアプロセッサと、
    第1のアクセストークンと前記スコープの第1のセットからの第1のスコープとの間のマッピングを格納するように構成される1つ以上のハードウェアプロセッサと、
    前記第1のリソースサーバから、前記第1のアクセストークンを有効化する要求を受信するように構成される1つ以上のハードウェアプロセッサと、
    前記第1のアクセストークンを有効化する前記要求を受信するのに応答して、前記第1のアクセストークンと前記第1のスコープとの間の前記マッピングに基づいて前記第1のアクセストークンを有効化するように構成される1つ以上のハードウェアプロセッサと、
    前記第1のアクセストークンを有効化するのに応答して、前記第1のリソースサーバに、前記第1のアクセストークンを前記第1のリソースサーバに提示したクライアントアプリケーションが、前記第1のリソースサーバによって維持されかつ前記第1のスコープによって特定されるリソースのセットに対する動作を行なうことを承認されると示すように構成される1つ以上のハードウェアプロセッサとを備える、OAuth承認サーバ。
  14. 前記第1のスコープを特定する特定の要求を受信するように構成される1つ以上のハードウェアプロセッサと、
    前記第1のスコープを特定する前記要求を受信するのに応答して、前記第1のスコープと整合するクライアントアプリケーションアクセスを認める同意を、前記第1のスコープ内に含まれるリソースの所有者に求めるように構成される1つ以上のハードウェアプロセッサと、
    前記所有者から前記同意を受信するのに応答して、(a)前記第1のアクセストークンを作成し、(b)前記第1のアクセストークンと前記第1のスコープとの間の前記マッピングを格納し、かつ(c)前記第1のアクセストークンを前記クライアントアプリケーションに送るように構成される1つ以上のハードウェアプロセッサとをさらに備える、請求項13に記載のOAuth承認サーバ。
  15. 前記メタデータの第1のセットを受信するのに応答して、前記第1のスコープと、前記第1のリソースサーバによって格納されるリソースの第1のサブセットと、前記第1のスコープにマッピングされたトークンの保持者が前記リソースの第1のサブセット中のリソースに対して行なうことを許される動作の第1のセットとの間のマッピングを格納するように構成される1つ以上のハードウェアプロセッサをさらに備える、請求項13に記載のOAuth承認サーバ。
  16. 1つ以上のハードウェアプロセッサは、前記OAuth承認サーバを提供しないカスタマーによって提供されるプログラム的コードを呼出すことによって、少なくとも部分的に、前記第1のアクセストークンを有効化するように構成され、前記プログラム的コードは前記OAuth承認サーバのプロバイダが前記カスタマーに提供するインターフェイスを実現し、前記プログラム的コードは前記第1のアクセストークンを有効化するように構成される、請求項13に記載のOAuth承認サーバ。
  17. 前記OAuth承認サーバにおいて、前記第1のスコープを特定する特定の要求を受信するように構成される1つ以上のハードウェアプロセッサと、
    前記第1のスコープを特定する前記要求を受信するのに応答して、前記第1のスコープと整合するクライアントアプリケーションアクセスを認める同意を、前記第1のスコープ内に含まれるリソースの所有者に求めるように構成される1つ以上のハードウェアプロセッサと、
    前記所有者から前記同意を受信するのに応答して、前記OAuth承認サーバを提供しないカスタマーによって提供されるプログラム的コードを呼出すように構成される1つ以上のハードウェアプロセッサとをさらに備え、前記プログラム的コードは前記OAuth承認サーバのプロバイダが前記カスタマーに提供するインターフェイスを実現し、前記プログラム的コードは前記第1のアクセストークンを作成するように構成される、請求項13に記載のOAuth承認サーバ。
  18. 前記第1のリソースサーバとは別個の第2のリソースサーバから、前記第2のリソースサーバが認識するスコープの第2のセットを示すメタデータの第2のセットを受信するように構成される1つ以上のハードウェアプロセッサをさらに備え、前記スコープの第2のセットは前記スコープの第1のセットとは異なり、さらに
    前記メタデータの第2のセットを受信するのに応答して、前記スコープの第2のセットの中のスコープと前記第2のリソースサーバが維持するリソースのサブセットとの間のマッピングを格納するように構成される1つ以上のハードウェアプロセッサと、
    第2のアクセストークンと前記スコープの第2のセットからの第2のスコープとの間のマッピングを格納するように構成される1つ以上のハードウェアプロセッサと、
    前記第2のリソースサーバから、前記第2のアクセストークンを有効化する要求を受信するように構成される1つ以上のハードウェアプロセッサと、
    前記第2のアクセストークンを有効化する前記要求を受信するのに応答して、前記第2のアクセストークンと前記第2のスコープとの間の前記マッピングに基づいて前記第2のアクセストークンを有効化するように構成される1つ以上のハードウェアプロセッサと、
    前記第2のアクセストークンを有効化するのに応答して、前記第2のリソースサーバに、前記第2のリソースサーバに前記第2のアクセストークンを提示したクライアントアプリケーションが、前記第2のリソースサーバによって維持されかつ前記第2のスコープによって特定されるリソースのセットに対する動作を行なうことを承認されると示すように構成される1つ以上のハードウェアプロセッサとをさらに備える、請求項13に記載のOAuth承認サーバ。
JP2014533353A 2011-09-29 2012-09-28 OAuthフレームワーク Active JP6018210B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161541026P 2011-09-29 2011-09-29
US61/541,026 2011-09-29
PCT/US2012/057754 WO2013049461A2 (en) 2011-09-29 2012-09-28 Oauth framework

Publications (3)

Publication Number Publication Date
JP2015501021A true JP2015501021A (ja) 2015-01-08
JP2015501021A5 JP2015501021A5 (ja) 2015-10-08
JP6018210B2 JP6018210B2 (ja) 2016-11-02

Family

ID=47023098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014533353A Active JP6018210B2 (ja) 2011-09-29 2012-09-28 OAuthフレームワーク

Country Status (6)

Country Link
US (2) US9043886B2 (ja)
EP (1) EP2761522B1 (ja)
JP (1) JP6018210B2 (ja)
CN (1) CN104255007B (ja)
IN (1) IN2014CN02443A (ja)
WO (1) WO2013049461A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021531531A (ja) * 2018-05-24 2021-11-18 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 長期実行動作のためのリフレッシュ・トークンの安全な委任

Families Citing this family (250)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8312033B1 (en) 2008-06-26 2012-11-13 Experian Marketing Solutions, Inc. Systems and methods for providing an integrated identifier
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US9607336B1 (en) 2011-06-16 2017-03-28 Consumerinfo.Com, Inc. Providing credit inquiry alerts
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
CN102916933A (zh) * 2011-08-03 2013-02-06 腾讯科技(深圳)有限公司 通过第三方网站进行注册或登陆的方法和系统
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9043886B2 (en) 2011-09-29 2015-05-26 Oracle International Corporation Relying party platform/framework for access management infrastructures
US9578014B2 (en) 2011-09-29 2017-02-21 Oracle International Corporation Service profile-specific token attributes and resource server token attribute overriding
US20130111004A1 (en) * 2011-11-02 2013-05-02 Akamai Technologies, Inc. File manager having an HTTP-based user interface
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8640200B1 (en) * 2012-03-23 2014-01-28 Amazon Technologies, Inc. Authored injections of context that are resolved at authentication time
US10592978B1 (en) * 2012-06-29 2020-03-17 EMC IP Holding Company LLC Methods and apparatus for risk-based authentication between two servers on behalf of a user
US8856887B2 (en) 2012-07-09 2014-10-07 Ping Identity Corporation Methods and apparatus for delegated authentication token retrieval
US8925043B2 (en) * 2012-07-10 2014-12-30 Cisco Technology, Inc. Scalable fine-grained multi-service authorization
US9451393B1 (en) * 2012-07-23 2016-09-20 Amazon Technologies, Inc. Automated multi-party cloud connectivity provisioning
US9792338B2 (en) 2012-09-07 2017-10-17 Oracle International Corporation Role assignments in a cloud infrastructure
US9467355B2 (en) 2012-09-07 2016-10-11 Oracle International Corporation Service association model
US9838370B2 (en) 2012-09-07 2017-12-05 Oracle International Corporation Business attribute driven sizing algorithms
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
CN103716283B (zh) * 2012-09-29 2017-03-08 国际商业机器公司 用于在流程中处理调用的Web服务的OAuth认证的方法和系统
US9342667B2 (en) * 2012-11-21 2016-05-17 Verizon Patent And Licensing Inc. Extended OAuth architecture
US10834133B2 (en) * 2012-12-04 2020-11-10 International Business Machines Corporation Mobile device security policy based on authorized scopes
US10069838B2 (en) * 2012-12-18 2018-09-04 Adobe Systems Incorporated Controlling consumption of hierarchical repository data
WO2014099501A1 (en) * 2012-12-20 2014-06-26 Volcano Corporation Resource management in a multi-modality medical system
US20140189799A1 (en) * 2012-12-28 2014-07-03 Gemalto Sa Multi-factor authorization for authorizing a third-party application to use a resource
US9038142B2 (en) * 2013-02-05 2015-05-19 Google Inc. Authorization flow initiation using short-term wireless communication
CN104022875B (zh) * 2013-03-01 2017-09-01 中兴通讯股份有限公司 一种双向授权系统、客户端及方法
US9633322B1 (en) 2013-03-15 2017-04-25 Consumerinfo.Com, Inc. Adjustment of knowledge-based authentication
US10664936B2 (en) 2013-03-15 2020-05-26 Csidentity Corporation Authentication systems and methods for on-demand products
US20140297760A1 (en) * 2013-03-28 2014-10-02 International Business Machines Corporation Managing e-mail messages between related accounts
US10701048B2 (en) * 2013-04-17 2020-06-30 Panasonic Intellectual Property Management Co., Ltd. Network service intermediation method and intermediation system
US9264436B2 (en) * 2013-05-08 2016-02-16 International Business Machines Corporation Policy-based automated consent
US9721147B1 (en) 2013-05-23 2017-08-01 Consumerinfo.Com, Inc. Digital identity
JP6124687B2 (ja) * 2013-05-29 2017-05-10 キヤノン株式会社 画像形成装置、サーバー装置、情報処理方法及びプログラム
US9602540B1 (en) 2013-06-13 2017-03-21 Amazon Technologies, Inc. Enforcing restrictions on third-party accounts
US9225704B1 (en) * 2013-06-13 2015-12-29 Amazon Technologies, Inc. Unified management of third-party accounts
JP6198477B2 (ja) * 2013-06-21 2017-09-20 キヤノン株式会社 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム
US10547651B2 (en) * 2013-07-26 2020-01-28 Apple Inc. System and method for providing telephony services over WiFi for non-cellular devices
US20150235039A1 (en) * 2013-08-22 2015-08-20 Rakuten, Inc. Information processing device, information processing method, program and storage medium
WO2015025404A1 (ja) * 2013-08-22 2015-02-26 楽天株式会社 情報処理装置、情報処理方法、プログラム、記憶媒体
CN105659558B (zh) * 2013-09-20 2018-08-31 甲骨文国际公司 计算机实现的方法、授权服务器以及计算机可读存储器
WO2015042349A1 (en) * 2013-09-20 2015-03-26 Oracle International Corporation Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service
US9866640B2 (en) 2013-09-20 2018-01-09 Oracle International Corporation Cookie based session management
US9544293B2 (en) 2013-09-20 2017-01-10 Oracle International Corporation Global unified session identifier across multiple data centers
US9185099B2 (en) 2013-09-23 2015-11-10 Airwatch Llc Securely authorizing access to remote resources
US9763022B2 (en) * 2013-10-14 2017-09-12 International Business Machines Corporation Automatic system and method for conversion of smart phone applications to basic phone applications
US20150121462A1 (en) * 2013-10-24 2015-04-30 Google Inc. Identity application programming interface
US10243945B1 (en) * 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US10694029B1 (en) 2013-11-07 2020-06-23 Rightquestion, Llc Validating automatic number identification data
US9397990B1 (en) * 2013-11-08 2016-07-19 Google Inc. Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
IN2013CH05960A (ja) * 2013-12-20 2015-06-26 Samsung R & D Inst India Bangalore Private Ltd
CN103716326B (zh) * 2013-12-31 2017-02-01 华为技术有限公司 一种资源访问方法及用户资源网关
US9444824B1 (en) * 2014-02-28 2016-09-13 Intuit Inc. Methods, systems, and articles of manufacture for implementing adaptive levels of assurance in a financial management system
US10395024B2 (en) * 2014-03-04 2019-08-27 Adobe Inc. Authentication for online content using an access token
US9369284B2 (en) * 2014-04-03 2016-06-14 Google Inc. Browser based identity with multiple login
US9300652B2 (en) * 2014-04-14 2016-03-29 Adobe Systems Incorporated Scoped access to user content
US10373240B1 (en) 2014-04-25 2019-08-06 Csidentity Corporation Systems, methods and computer-program products for eligibility verification
US11297059B2 (en) * 2014-04-25 2022-04-05 Adobe Inc. Facilitating user-centric identity management
US9399445B2 (en) 2014-05-08 2016-07-26 International Business Machines Corporation Delegating control of a vehicle
US9313193B1 (en) * 2014-09-29 2016-04-12 Amazon Technologies, Inc. Management and authentication in hosted directory service
US20160110766A1 (en) * 2014-10-16 2016-04-21 Oracle International Corporation System and method of displaying social ads along with organic or paid search results
US9531703B2 (en) 2014-10-21 2016-12-27 Microsoft Technology Licensing, Llc Single sign-on via application or browser
CN111030996B (zh) 2014-10-24 2021-10-15 华为技术有限公司 一种访问资源的方法及装置
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
JP6303979B2 (ja) * 2014-10-29 2018-04-04 株式会社リコー 情報処理システム、情報処理装置、情報処理方法およびプログラム
US10904234B2 (en) 2014-11-07 2021-01-26 Privakey, Inc. Systems and methods of device based customer authentication and authorization
US9813400B2 (en) 2014-11-07 2017-11-07 Probaris Technologies, Inc. Computer-implemented systems and methods of device based, internet-centric, authentication
CN105763514B (zh) * 2014-12-17 2019-11-29 华为技术有限公司 一种处理授权的方法、设备和系统
US9467457B2 (en) * 2015-01-13 2016-10-11 Oracle International Corporation Identity management and authentication system for resource access
WO2016116171A1 (en) * 2015-01-23 2016-07-28 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for obtaining a scoped token
US11456876B2 (en) * 2015-03-26 2022-09-27 Assa Abloy Ab Virtual credentials and licenses
EP3231133B1 (en) * 2015-04-07 2020-05-27 Hewlett-Packard Development Company, L.P. Providing selective access to resources
US9350556B1 (en) 2015-04-20 2016-05-24 Google Inc. Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key
US10102216B2 (en) * 2015-04-21 2018-10-16 Google Llc System for associating related digital assets
US20160315930A1 (en) * 2015-04-24 2016-10-27 Somansa Co., Ltd. Cloud data discovery method and system for private information protection and data loss prevention in enterprise cloud service environment
US11954671B2 (en) * 2015-04-27 2024-04-09 Paypal, Inc. Unified login across applications
US10044718B2 (en) 2015-05-27 2018-08-07 Google Llc Authorization in a distributed system using access control lists and groups
CN104980925B (zh) * 2015-06-01 2019-05-28 走遍世界(北京)信息技术有限公司 用户请求的认证方法和装置
WO2016195847A1 (en) 2015-06-01 2016-12-08 Duo Security, Inc. Method for enforcing endpoint health standards
US10003590B2 (en) * 2015-06-02 2018-06-19 Facebook, Inc. Methods and systems for linking untrusted applications to server systems
US10063557B2 (en) 2015-06-07 2018-08-28 Apple Inc. Account access recovery system, method and apparatus
US9648007B1 (en) * 2015-06-17 2017-05-09 Amazon Technologies, Inc. Token-based storage service
US10454872B2 (en) * 2015-06-22 2019-10-22 Microsoft Technology Licensing, Llc Group email management
US9906558B2 (en) 2015-06-24 2018-02-27 International Business Machines Corporation User managed access scope specific obligation policy for authorization
US9769147B2 (en) 2015-06-29 2017-09-19 Oracle International Corporation Session activity tracking for session adoption across multiple data centers
US9912642B1 (en) * 2015-07-10 2018-03-06 Erik L. Eidt Authorization path secured electronic storage system
US10104084B2 (en) * 2015-07-30 2018-10-16 Cisco Technology, Inc. Token scope reduction
US10693859B2 (en) 2015-07-30 2020-06-23 Oracle International Corporation Restricting access for a single sign-on (SSO) session
CN105099704B (zh) * 2015-08-13 2018-12-28 上海博路信息技术有限公司 一种基于生物识别的OAuth服务
US10038722B2 (en) * 2015-09-03 2018-07-31 Vmware, Inc. Access control policy management in a cloud services environment
US10581826B2 (en) 2015-10-22 2020-03-03 Oracle International Corporation Run-time trust management system for access impersonation
US10454936B2 (en) 2015-10-23 2019-10-22 Oracle International Corporation Access manager session management strategy
US10505982B2 (en) * 2015-10-23 2019-12-10 Oracle International Corporation Managing security agents in a distributed environment
US10445073B2 (en) 2015-11-10 2019-10-15 International Business Machines Corporation Separation of user interface logic from user interface presentation by using a protocol
CN108292454B (zh) * 2015-12-03 2020-08-14 诺基亚技术有限公司 访问管理方法及装置
US9537865B1 (en) * 2015-12-03 2017-01-03 International Business Machines Corporation Access control using tokens and black lists
JP6727799B2 (ja) * 2015-12-09 2020-07-22 キヤノン株式会社 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム
US10187393B2 (en) * 2015-12-10 2019-01-22 Sap Se Closed-loop multi-service logging
CN105530253B (zh) * 2015-12-17 2018-12-28 河南大学 基于CA证书的Restful架构下的无线传感器网络接入认证方法
CN105516980B (zh) * 2015-12-17 2018-11-13 河南大学 一种基于Restful架构的无线传感器网络令牌认证方法
WO2017131892A1 (en) 2016-01-29 2017-08-03 Google Inc. Device access revocation
US10223424B2 (en) 2016-03-22 2019-03-05 International Business Machines Corporation Management of information from verified experts
US10878079B2 (en) 2016-05-11 2020-12-29 Oracle International Corporation Identity cloud service authorization model with dynamic roles and scopes
US9781122B1 (en) 2016-05-11 2017-10-03 Oracle International Corporation Multi-tenant identity and data security management cloud service
US10454940B2 (en) 2016-05-11 2019-10-22 Oracle International Corporation Identity cloud service authorization model
US10581820B2 (en) 2016-05-11 2020-03-03 Oracle International Corporation Key generation and rollover
US9838377B1 (en) * 2016-05-11 2017-12-05 Oracle International Corporation Task segregation in a multi-tenant identity and data security management cloud service
US10341410B2 (en) 2016-05-11 2019-07-02 Oracle International Corporation Security tokens for a multi-tenant identity and data security management cloud service
US9838376B1 (en) 2016-05-11 2017-12-05 Oracle International Corporation Microservices based multi-tenant identity and data security management cloud service
US10425386B2 (en) * 2016-05-11 2019-09-24 Oracle International Corporation Policy enforcement point for a multi-tenant identity and data security management cloud service
EP3472970A4 (en) 2016-06-17 2019-11-27 Weimer, Jonathan BLOCK CHAIN SYSTEMS AND METHOD FOR USER AUTHENTICATION
EP3479222A4 (en) 2016-06-29 2020-01-15 Duo Security, Inc. SYSTEMS AND METHODS FOR CLASSIFYING END POINT MANAGEMENT
CN106295394B (zh) * 2016-07-22 2018-11-23 飞天诚信科技股份有限公司 资源授权方法及系统和授权服务器及工作方法
CN106296182A (zh) * 2016-07-26 2017-01-04 广州云移信息科技有限公司 一种电子消费卡支付方法及系统
US10735394B2 (en) 2016-08-05 2020-08-04 Oracle International Corporation Caching framework for a multi-tenant identity and data security management cloud service
US10530578B2 (en) 2016-08-05 2020-01-07 Oracle International Corporation Key store service
US10516672B2 (en) 2016-08-05 2019-12-24 Oracle International Corporation Service discovery for a multi-tenant identity and data security management cloud service
US10255061B2 (en) 2016-08-05 2019-04-09 Oracle International Corporation Zero down time upgrade for a multi-tenant identity and data security management cloud service
US10263947B2 (en) 2016-08-05 2019-04-16 Oracle International Corporation LDAP to SCIM proxy service
US10721237B2 (en) 2016-08-05 2020-07-21 Oracle International Corporation Hierarchical processing for a virtual directory system for LDAP to SCIM proxy service
US10585682B2 (en) 2016-08-05 2020-03-10 Oracle International Corporation Tenant self-service troubleshooting for a multi-tenant identity and data security management cloud service
US10484382B2 (en) 2016-08-31 2019-11-19 Oracle International Corporation Data management for a multi-tenant identity cloud service
US10375053B2 (en) * 2016-09-09 2019-08-06 Microsoft Technology Licensing, Llc Cross-platform single sign-on accessibility of a productivity application within a software as a service platform
US10511589B2 (en) 2016-09-14 2019-12-17 Oracle International Corporation Single logout functionality for a multi-tenant identity and data security management cloud service
US10594684B2 (en) 2016-09-14 2020-03-17 Oracle International Corporation Generating derived credentials for a multi-tenant identity cloud service
US10846390B2 (en) 2016-09-14 2020-11-24 Oracle International Corporation Single sign-on functionality for a multi-tenant identity and data security management cloud service
US10623501B2 (en) 2016-09-15 2020-04-14 Oracle International Corporation Techniques for configuring sessions across clients
US10567364B2 (en) 2016-09-16 2020-02-18 Oracle International Corporation Preserving LDAP hierarchy in a SCIM directory using special marker groups
US10791087B2 (en) 2016-09-16 2020-09-29 Oracle International Corporation SCIM to LDAP mapping using subtype attributes
WO2018053258A1 (en) 2016-09-16 2018-03-22 Oracle International Corporation Tenant and service management for a multi-tenant identity and data security management cloud service
US10341354B2 (en) 2016-09-16 2019-07-02 Oracle International Corporation Distributed high availability agent architecture
US10484243B2 (en) 2016-09-16 2019-11-19 Oracle International Corporation Application management for a multi-tenant identity cloud service
US10445395B2 (en) 2016-09-16 2019-10-15 Oracle International Corporation Cookie based state propagation for a multi-tenant identity cloud service
US10904074B2 (en) 2016-09-17 2021-01-26 Oracle International Corporation Composite event handler for a multi-tenant identity cloud service
US10805270B2 (en) 2016-09-26 2020-10-13 Agari Data, Inc. Mitigating communication risk by verifying a sender of a message
US11936604B2 (en) 2016-09-26 2024-03-19 Agari Data, Inc. Multi-level security analysis and intermediate delivery of an electronic message
US11044267B2 (en) 2016-11-30 2021-06-22 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US11722513B2 (en) 2016-11-30 2023-08-08 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
KR102645768B1 (ko) * 2016-12-07 2024-03-11 엔에이치엔 주식회사 다중 계정 통합 관리 시스템 및 방법
US10397199B2 (en) * 2016-12-09 2019-08-27 Microsoft Technology Licensing, Llc Integrated consent system
US10462124B2 (en) 2016-12-30 2019-10-29 Google Llc Authenticated session management across multiple electronic devices using a virtual session manager
US10541992B2 (en) * 2016-12-30 2020-01-21 Google Llc Two-token based authenticated session management
CN106878283B (zh) * 2017-01-13 2020-06-26 新华三技术有限公司 一种认证方法及装置
US11210412B1 (en) * 2017-02-01 2021-12-28 Ionic Security Inc. Systems and methods for requiring cryptographic data protection as a precondition of system access
CN111628971B (zh) 2017-02-09 2022-09-13 创新先进技术有限公司 一种信任登录方法
US10261836B2 (en) 2017-03-21 2019-04-16 Oracle International Corporation Dynamic dispatching of workloads spanning heterogeneous services
US10623410B2 (en) * 2017-04-24 2020-04-14 Microsoft Technology Licensing, Llc Multi-level, distributed access control between services and applications
US11019076B1 (en) 2017-04-26 2021-05-25 Agari Data, Inc. Message security assessment using sender identity profiles
US10454915B2 (en) 2017-05-18 2019-10-22 Oracle International Corporation User authentication using kerberos with identity cloud service
JP2018205840A (ja) * 2017-05-30 2018-12-27 キヤノン株式会社 システム、その方法およびそのプログラム
US11102244B1 (en) * 2017-06-07 2021-08-24 Agari Data, Inc. Automated intelligence gathering
US11757914B1 (en) * 2017-06-07 2023-09-12 Agari Data, Inc. Automated responsive message to determine a security risk of a message sender
CN107222542B (zh) * 2017-06-08 2020-08-11 东华大学 一种云服务管理系统的构建方法
CN107395568A (zh) * 2017-06-21 2017-11-24 西安电子科技大学 一种多数据拥有者认证的密文检索方法
US10530771B2 (en) * 2017-06-30 2020-01-07 Verizon Patent And Licensing Inc. System and method of inter-account resource access management
US11290438B2 (en) 2017-07-07 2022-03-29 Oracle International Corporation Managing session access across multiple data centers
US10721222B2 (en) * 2017-08-17 2020-07-21 Citrix Systems, Inc. Extending single-sign-on to relying parties of federated logon providers
US10348858B2 (en) 2017-09-15 2019-07-09 Oracle International Corporation Dynamic message queues for a microservice based cloud service
US10812465B2 (en) * 2017-09-20 2020-10-20 Hisense Mobile Communications Technology Co., Ltd. Method for logging into account on mobile device, mobile device, and non-transitory computer readable storage medium
TWI650658B (zh) * 2017-09-22 2019-02-11 天逸財金科技服務股份有限公司 身份認證及授權證明之資料查詢方法與系統
US10505733B2 (en) * 2017-09-25 2019-12-10 Citrix Systems, Inc. Generating and managing a composite identity token for multi-service use
US10831789B2 (en) 2017-09-27 2020-11-10 Oracle International Corporation Reference attribute query processing for a multi-tenant cloud service
US11050730B2 (en) 2017-09-27 2021-06-29 Oracle International Corporation Maintaining session stickiness across authentication and authorization channels for access management
US10834137B2 (en) 2017-09-28 2020-11-10 Oracle International Corporation Rest-based declarative policy management
US11271969B2 (en) 2017-09-28 2022-03-08 Oracle International Corporation Rest-based declarative policy management
US10705823B2 (en) 2017-09-29 2020-07-07 Oracle International Corporation Application templates and upgrade framework for a multi-tenant identity cloud service
US10157275B1 (en) 2017-10-12 2018-12-18 Oracle International Corporation Techniques for access management based on multi-factor authentication including knowledge-based authentication
US10587618B2 (en) * 2017-11-14 2020-03-10 Microsoft Technology Licensing, Llc Dual binding
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
CN109145039B (zh) * 2017-12-25 2022-01-28 北极星云空间技术股份有限公司 一种适用于联邦制工作流集成的ui桥接的方法
US10715564B2 (en) * 2018-01-29 2020-07-14 Oracle International Corporation Dynamic client registration for an identity cloud service
JP6643373B2 (ja) 2018-02-09 2020-02-12 キヤノン株式会社 情報処理システムと、その制御方法とプログラム
US10931656B2 (en) 2018-03-27 2021-02-23 Oracle International Corporation Cross-region trust for a multi-tenant identity cloud service
US11165634B2 (en) 2018-04-02 2021-11-02 Oracle International Corporation Data replication conflict detection and resolution for a multi-tenant identity cloud service
US10798165B2 (en) 2018-04-02 2020-10-06 Oracle International Corporation Tenant data comparison for a multi-tenant identity cloud service
US11258775B2 (en) 2018-04-04 2022-02-22 Oracle International Corporation Local write for a multi-tenant identity cloud service
CN112352409B (zh) * 2018-04-06 2023-06-27 日本电气株式会社 下一代网络中的通用api框架所用的安全过程
US10838739B2 (en) 2018-04-19 2020-11-17 Circle Media Labs Inc. Network-connected computing devices and methods for executing operating programs in RAM memory
US11303627B2 (en) 2018-05-31 2022-04-12 Oracle International Corporation Single Sign-On enabled OAuth token
US10911234B2 (en) 2018-06-22 2021-02-02 Experian Information Solutions, Inc. System and method for a token gateway environment
US11012444B2 (en) 2018-06-25 2021-05-18 Oracle International Corporation Declarative third party identity provider integration for a multi-tenant identity cloud service
US10764273B2 (en) 2018-06-28 2020-09-01 Oracle International Corporation Session synchronization across multiple devices in an identity cloud service
WO2020002764A1 (en) * 2018-06-29 2020-01-02 Nokia Technologies Oy Security management for service access in a communication system
US10904238B2 (en) * 2018-07-13 2021-01-26 Sap Se Access token management for state preservation and reuse
US10742636B2 (en) 2018-08-22 2020-08-11 Sap Se OAuth2 SAML token service
US11693835B2 (en) 2018-10-17 2023-07-04 Oracle International Corporation Dynamic database schema allocation on tenant onboarding for a multi-tenant identity cloud service
US11321187B2 (en) 2018-10-19 2022-05-03 Oracle International Corporation Assured lazy rollback for a multi-tenant identity cloud service
DE102018219067A1 (de) * 2018-11-08 2020-05-14 Robert Bosch Gmbh Transparenzmechanismus zur lokalen Komposition von personenbezogenen, verteilt gespeicherten Nutzerdaten
CN109347855B (zh) * 2018-11-09 2020-06-05 南京医渡云医学技术有限公司 数据访问方法、装置、系统、电子设计及计算机可读介质
WO2020112989A1 (en) * 2018-11-30 2020-06-04 Jpmorgan Chase Bank, N.A. Systems and methods for securely calling apis on an api gateway from applications needing first party authentication
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
US11140146B2 (en) * 2018-12-27 2021-10-05 Konica Minolta Laboratory U.S.A., Inc. Method and system for seamless single sign-on (SSO) for native mobile-application initiated open-ID connect (OIDC) and security assertion markup language (SAML) flows
US11516220B1 (en) 2018-12-28 2022-11-29 Juniper Networks, Inc. Creating roles and controlling access within a computer network
US11630917B2 (en) 2019-01-14 2023-04-18 International Business Machines Corporation Managing access to data for demographic reach with anonymity
US11651357B2 (en) 2019-02-01 2023-05-16 Oracle International Corporation Multifactor authentication without a user footprint
US11061929B2 (en) 2019-02-08 2021-07-13 Oracle International Corporation Replication of resource type and schema metadata for a multi-tenant identity cloud service
US11321343B2 (en) 2019-02-19 2022-05-03 Oracle International Corporation Tenant replication bootstrap for a multi-tenant identity cloud service
US11669321B2 (en) 2019-02-20 2023-06-06 Oracle International Corporation Automated database upgrade for a multi-tenant identity cloud service
US11423111B2 (en) 2019-02-25 2022-08-23 Oracle International Corporation Client API for rest based endpoints for a multi-tenant identify cloud service
US11792226B2 (en) 2019-02-25 2023-10-17 Oracle International Corporation Automatic api document generation from scim metadata
US11057778B2 (en) 2019-02-28 2021-07-06 Ebay Inc. Complex composite tokens
US11036554B1 (en) * 2019-03-26 2021-06-15 Amazon Technologies, Inc. Authorized virtual computer system service capacity access
US11736481B2 (en) * 2019-04-05 2023-08-22 Adp, Inc. Friction-less identity proofing during employee self-service registration
IT201900005876A1 (it) * 2019-04-16 2020-10-16 Roberto Griggio Sistema e metodo per la gestione delle credenziali di accesso multi-dominio di un utente abilitato ad accedere ad una pluralità di domini
US11844014B2 (en) * 2019-04-27 2023-12-12 Nokia Technologies Oy Service authorization for indirect communication in a communication system
WO2020226454A1 (en) 2019-05-09 2020-11-12 Samsung Electronics Co., Ltd. Apparatus and method for providing mobile edge computing services in wireless communication system
CN110210203A (zh) * 2019-06-04 2019-09-06 武汉神算云信息科技有限责任公司 微信小程序与api的安全保护方法、装置、设备及存储介质
US11689370B2 (en) 2019-06-04 2023-06-27 The Toronto-Dominion Bank Dynamic management and implementation of consent and permissioning protocols using container-based applications
US11025732B2 (en) * 2019-06-17 2021-06-01 Vmware, Inc. Method and apparatus to perform user authentication during cloud provider sessions
CN110417730B (zh) * 2019-06-17 2022-07-19 平安科技(深圳)有限公司 多应用程序的统一接入方法及相关设备
US11516254B2 (en) * 2019-06-20 2022-11-29 Juniper Networks, Inc. Controlling access to microservices within a multi-tenancy framework
US11784995B1 (en) * 2019-06-21 2023-10-10 Early Warning Services, Llc Digital identity sign-up
US11134078B2 (en) 2019-07-10 2021-09-28 Oracle International Corporation User-specific session timeouts
US11539533B1 (en) 2019-07-11 2022-12-27 Workday, Inc. Access control using a circle of trust
US11750598B2 (en) 2019-07-19 2023-09-05 Ebay Inc. Multi-legged network attribution using tracking tokens and attribution stack
US11699150B2 (en) * 2019-07-25 2023-07-11 Paypal, Inc. Systems and methods for two-way account onboarding and linking across multiple service providers
US11405207B2 (en) * 2019-07-31 2022-08-02 The Toronto-Dominion Bank Dynamic implementation and management of hash-based consent and permissioning protocols
US11368444B2 (en) 2019-09-05 2022-06-21 The Toronto-Dominion Bank Managing third-party access to confidential data using dynamically generated application-specific credentials
US11153088B2 (en) 2019-09-07 2021-10-19 Paypal, Inc. System and method for implementing a two-sided token for open authentication
US10785652B1 (en) * 2019-09-11 2020-09-22 Cisco Technology, Inc. Secure remote access to a 5G private network through a private network slice
US11870770B2 (en) 2019-09-13 2024-01-09 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration
US11687378B2 (en) 2019-09-13 2023-06-27 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability
US11941065B1 (en) 2019-09-13 2024-03-26 Experian Information Solutions, Inc. Single identifier platform for storing entity data
US11405425B2 (en) 2019-10-31 2022-08-02 Microsoft Technology Licensing, Llc Rich token rejection system
US10803453B1 (en) * 2019-11-19 2020-10-13 Capital One Services, Llc System, method and computer-accessible medium for resource centric authorization in multi partner ecosystem
US11611548B2 (en) 2019-11-22 2023-03-21 Oracle International Corporation Bulk multifactor authentication enrollment
CN110990796B (zh) * 2019-11-26 2022-02-11 广州至真信息科技有限公司 一种应用处理方法、装置、应用服务器和存储介质
US11323438B2 (en) 2019-11-26 2022-05-03 Microsoft Technology Licensing, Llc Protocol-agnostic claim configuration and verification
US11847503B2 (en) * 2020-01-28 2023-12-19 Hewlett Packard Enterprise Development Lp Execution of functions by clusters of computing nodes
US11032270B1 (en) 2020-04-07 2021-06-08 Cyberark Software Ltd. Secure provisioning and validation of access tokens in network environments
EP3687140B1 (en) * 2020-04-07 2022-07-06 CyberArk Software Ltd. On-demand and proactive detection of application misconfiguration security threats
US11824856B1 (en) * 2020-07-10 2023-11-21 Amazon Technologies, Inc. Chaining of authorizations
US20230362199A1 (en) * 2020-10-09 2023-11-09 Nokia Technologies Oy Mechanism for dynamic authorization
US11431710B2 (en) * 2020-11-06 2022-08-30 Okta, Inc. Efficient generation of identity provider integrations
EP4272096A1 (en) * 2020-12-31 2023-11-08 Services Pétroliers Schlumberger Multiworkflow authorization system and method
US11757645B2 (en) * 2021-01-26 2023-09-12 Sap Se Single-use authorization codes in self-contained format
US11895106B2 (en) 2021-01-28 2024-02-06 Oracle International Corporation Automatic sign-in upon account signup
EP4285249A1 (en) 2021-01-28 2023-12-06 Msp Solutions Group Llc User management system for computing support
US20220294788A1 (en) * 2021-03-09 2022-09-15 Oracle International Corporation Customizing authentication and handling pre and post authentication in identity cloud service
US11677549B2 (en) * 2021-03-30 2023-06-13 International Business Machines Corporation Maintaining confidentiality in decentralized policies
US11706209B2 (en) 2021-04-29 2023-07-18 Delinea Inc. Method and apparatus for securely managing computer process access to network resources through delegated system credentials
CN113691378A (zh) * 2021-08-24 2021-11-23 平安国际智慧城市科技股份有限公司 基于网关的Oauth2单点登录方法、装置、电子设备及存储介质
WO2023055734A1 (en) * 2021-09-30 2023-04-06 Oracle International Corporation Applications as resource principals or service principals
US20230224304A1 (en) * 2022-01-12 2023-07-13 Vmware Inc. Resource access control in cloud environments
US11863597B1 (en) 2022-08-16 2024-01-02 Motorola Solutions, Inc. Remote rescue system, device and method for accidents and events during video meetings
CN115567885B (zh) * 2022-09-27 2023-09-05 山东浪潮科学研究院有限公司 一种手机短信授权托管服务系统
CN115714689B (zh) * 2022-11-30 2023-08-08 重庆忽米网络科技有限公司 基于iam的ui资源访问控制方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030074367A1 (en) * 2001-10-16 2003-04-17 Microsoft Corporation Scoped metadata
US7685206B1 (en) * 2004-02-12 2010-03-23 Microsoft Corporation Authorization and access control service for distributed network resources
US20100100952A1 (en) * 2008-10-21 2010-04-22 Neal Sample Network aggregator
JP2011155545A (ja) * 2010-01-28 2011-08-11 Fujitsu Ltd アクセス制御プログラム、アクセス制御方法およびアクセス制御装置

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020091945A1 (en) * 2000-10-30 2002-07-11 Ross David Justin Verification engine for user authentication
JP4612045B2 (ja) * 2004-05-11 2011-01-12 テレフオンアクチーボラゲット エル エム エリクソン(パブル) コンピュータプログラム
CN100490387C (zh) * 2004-12-28 2009-05-20 北京邮电大学 用于应用服务器的基于令牌的细粒度访问控制系统及方法
US7774830B2 (en) * 2005-03-14 2010-08-10 Microsoft Corporation Access control policy engine controlling access to resource based on any of multiple received types of security tokens
US7784092B2 (en) * 2005-03-25 2010-08-24 AT&T Intellectual I, L.P. System and method of locating identity providers in a data network
US7788494B2 (en) * 2005-06-28 2010-08-31 Intel Corporation Link key injection mechanism for personal area networks
CN101257377B (zh) * 2008-03-11 2010-04-14 南京邮电大学 一种基于社区授权服务的动态访问控制方法
GB2460412B (en) * 2008-05-28 2012-09-19 Hewlett Packard Development Co Information sharing
US20090296936A1 (en) * 2008-05-30 2009-12-03 Contineo Systems System and method for creating a secure billing identity for an end user using an identity association
US8250635B2 (en) * 2008-07-13 2012-08-21 International Business Machines Corporation Enabling authentication of openID user when requested identity provider is unavailable
US20100043065A1 (en) * 2008-08-12 2010-02-18 International Business Machines Corporation Single sign-on for web applications
CN101754190A (zh) * 2008-12-19 2010-06-23 Tcl集团股份有限公司 一种建立设备安全访问的方法
US8752153B2 (en) * 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
US8364970B2 (en) 2009-02-18 2013-01-29 Nokia Corporation Method and apparatus for providing enhanced service authorization
EP3832975A1 (en) * 2009-05-29 2021-06-09 Alcatel Lucent System and method for accessing private digital content
WO2011095216A1 (en) * 2010-02-05 2011-08-11 Nokia Siemens Networks Oy Improved identity management
US9391978B2 (en) * 2010-05-25 2016-07-12 Novell, Inc. Multiple access authentication
US8402527B2 (en) * 2010-06-17 2013-03-19 Vmware, Inc. Identity broker configured to authenticate users to host services
US20110314532A1 (en) * 2010-06-17 2011-12-22 Kyle Dean Austin Identity provider server configured to validate authentication requests from identity broker
WO2012004916A1 (ja) * 2010-07-09 2012-01-12 日本電気株式会社 サービス提供システム
WO2012040198A1 (en) * 2010-09-20 2012-03-29 Interdigital Patent Holdings, Inc. Identity management on a wireless device
US20130227663A1 (en) * 2010-10-08 2013-08-29 Telefonica S.A. Method, a system and a network element for ims control layer authentication from external domains
US8544068B2 (en) 2010-11-10 2013-09-24 International Business Machines Corporation Business pre-permissioning in delegated third party authorization
US8832271B2 (en) * 2010-12-03 2014-09-09 International Business Machines Corporation Identity provider instance discovery
US8769646B2 (en) * 2010-12-08 2014-07-01 Disney Enterprises, Inc. System and method for associating a universal user identification and a domain specific user identification
US20120227098A1 (en) * 2011-03-03 2012-09-06 Microsoft Corporation Sharing user id between operating system and application
US20120278876A1 (en) * 2011-04-28 2012-11-01 Mcdonald Greg System, method and business model for an identity/credential service provider
US8650622B2 (en) 2011-07-01 2014-02-11 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for authorizing and authentication interworking
US9418216B2 (en) * 2011-07-21 2016-08-16 Microsoft Technology Licensing, Llc Cloud service authentication
US9043886B2 (en) 2011-09-29 2015-05-26 Oracle International Corporation Relying party platform/framework for access management infrastructures

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030074367A1 (en) * 2001-10-16 2003-04-17 Microsoft Corporation Scoped metadata
US7685206B1 (en) * 2004-02-12 2010-03-23 Microsoft Corporation Authorization and access control service for distributed network resources
US20100100952A1 (en) * 2008-10-21 2010-04-22 Neal Sample Network aggregator
JP2011155545A (ja) * 2010-01-28 2011-08-11 Fujitsu Ltd アクセス制御プログラム、アクセス制御方法およびアクセス制御装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6012035218; 脇田 知彦、他: 'クラウド環境におけるインベントリ証明書を用いた端末制御 Terminal Control on Cloud Environment Using' マルチメディア,分散,協調とモバイル(DICOMO2010)シンポジウム論文集 情報処理学会シンポジ 第2010巻, 20100630, p.1448-1452, 社団法人情報処理学会 *
JPN6016035990; T. Lodderstedt, et al.: 'OAuth 2.0 Security Considerations, draft-lodderstedt-oauth-securityconsiderations-02' Open Authentication Protocol Internet-Draft , 20110407, P. 1 - 9, [オンライン] *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021531531A (ja) * 2018-05-24 2021-11-18 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 長期実行動作のためのリフレッシュ・トークンの安全な委任

Also Published As

Publication number Publication date
CN104255007A (zh) 2014-12-31
EP2761522B1 (en) 2016-06-22
EP2761522A4 (en) 2015-08-12
WO2013049461A2 (en) 2013-04-04
IN2014CN02443A (ja) 2015-08-07
JP6018210B2 (ja) 2016-11-02
US20130086645A1 (en) 2013-04-04
EP2761522A2 (en) 2014-08-06
US8935757B2 (en) 2015-01-13
WO2013049461A3 (en) 2014-07-10
US9043886B2 (en) 2015-05-26
CN104255007B (zh) 2017-07-14
US20130086657A1 (en) 2013-04-04

Similar Documents

Publication Publication Date Title
JP6018210B2 (ja) OAuthフレームワーク
US9860234B2 (en) Bundled authorization requests
US10084823B2 (en) Configurable adaptive access manager callouts
JP6998912B2 (ja) マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのシングルサインオンおよびシングルログアウト機能
JP6754809B2 (ja) 共通エンドポイントにアクセスするために異なるディレクトリに記憶される認証情報を使用すること
JP6096200B2 (ja) モバイルアプリケーション、シングルサインオン管理
US9497184B2 (en) User impersonation/delegation in a token-based authentication system
WO2015042349A1 (en) Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150817

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160920

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160929

R150 Certificate of patent or registration of utility model

Ref document number: 6018210

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250