JP2015518228A - 多要素認証を実施するためのシステム及び方法 - Google Patents

多要素認証を実施するためのシステム及び方法 Download PDF

Info

Publication number
JP2015518228A
JP2015518228A JP2015515276A JP2015515276A JP2015518228A JP 2015518228 A JP2015518228 A JP 2015518228A JP 2015515276 A JP2015515276 A JP 2015515276A JP 2015515276 A JP2015515276 A JP 2015515276A JP 2015518228 A JP2015518228 A JP 2015518228A
Authority
JP
Japan
Prior art keywords
authentication
client system
assertion
receiving
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015515276A
Other languages
English (en)
Other versions
JP5964501B2 (ja
Inventor
ロイ・デバシス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2015518228A publication Critical patent/JP2015518228A/ja
Application granted granted Critical
Publication of JP5964501B2 publication Critical patent/JP5964501B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Abstract

多要素認証を実施するためのコンピュータ実施方法は、1)2次認証システムの一部として、クライアントシステムから認証要求を受信する工程と、2)認証要求の受信を受けて1次認証システムと第1認証を最初に実施するようにクライアントシステムをリダイレクトする工程と、3)第1認証が成功したことを証明するクライアントシステムからの第1認証のアサーションを受信する工程と、4)第1認証のアサーションの受信を受けてクライアントシステムで第2認証を実施する工程と、を含み得る。様々な他の方法、システム、及びコンピュータ可読媒体もまた開示される。

Description

デジタル時代において、組織は、データを管理するために、並びに内部及び外部サービスを提供するために、コンピューティングリソースに益々依存している。これらの組織は、様々なセキュリティ、機密保持、経営上、及び/又は管理の目的で、これらの企業環境内でリソースへのアクセスを制御することを望むことがある。
企業内アクセス制御の従来のシステムは、ユーザアイデンティティを確立するために単一要素認証システム(ユーザ名及びパスワードのサインオンシステムなど)を使用してきた。残念なことに、様々なセキュリティ脅威の急増により、単一要素認証システムは脆弱になり、無効化されることがある。したがって、一部の組織は、ユーザアイデンティティを確立するためにこれらの企業内で多要素認証を採用することを望むことがある。
残念なことに、組織は、従来の2次要素認証サービスをこれらの企業内に組み込もうとすると、かなりの困難に直面し得る。例えば、いくつかの従来の2次要素認証サービスは、企業内で2次要素認証を実施するための完全な基盤を購入し、2次要素認証サービスを企業アプリケーションとして導入及び管理するように、組織に求めることがある。別の例では、2次要素認証サービスプロバイダは、機密データを2次要素認証サービスプロバイダに同期させることにより、又は企業ファイアウォールを開いて第三者アプリケーションが企業の外部から機密データにアクセスできるようにすることにより、企業での機密アイデンティティデータにアクセスを与えるように組織に求めることがある。これらの様々な従来の方法は、組織にかなりの費用及び/又はセキュリティの脆弱性を負わせることがある。
したがって、本開示は、多要素認証を実施するための追加の改善されたシステム及び方法に対する必要性を特定し、対処する。
以下により詳細に記載されるように、本開示は、一般に、1つのドメインで認証サービスを起動し、別のドメインで別の認証サービスの使用を試みることにより、多要素認証を実施するためのシステム及び方法に関する。一例では、多要素認証を実施するためのコンピュータ実施方法は、1)2次認証システムの一部として、クライアントシステムから認証要求を受信する工程と、2)認証要求の受信を受けて1次認証システムで第1認証を最初に実施するようにクライアントシステムをリダイレクトする工程と、3)第1認証が成功したことを証明するクライアントシステムからの第1認証のアサーションを受信する工程と、4)第1認証のアサーションの受信を受けてクライアントシステムで第2認証を実施する工程と、を含み得る。
いくつかの例では、認証要求を受信する工程は、2次認証システムを介してクライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信する工程を含み得る。これらの例では、アクセスマネージャは、クライアントシステムからの保護リソースの要求を阻止した時点で認証要求を開始していてもよい。更に、これらの例では、1次認証システム及びアクセスマネージャは、共に単一企業ネットワーク内にインストールされて動作してもよい。また、これらの例では、2次認証システムは、単一企業ネットワーク外で動作するように構成されたサーバを含んでもよい。
更に、コンピュータ実施方法は、第2認証の実施後に、第2認証のアサーションと同時にクライアントシステムをアクセスマネージャにリダイレクトする工程も含み得る。この例では、アクセスマネージャは、第2認証のアサーションの受信後にクライアントシステムに保護リソースへのアクセスを許可するように構成されてもよい。
いくつかの実施形態では、1次認証システムは、クライアントシステムから認証クレデンシャルを受信し、第1認証のアサーションと同時にクライアントシステムを2次認証システムにリダイレクトし得る。
一例では、第2認証を実施する工程は、1)第1認証のアサーションからユーザ識別情報を取得する工程と、2)クライアントシステムからユーザ識別情報を要求する代わりにユーザ識別情報を使用して第2認証を実施する工程と、を含み得る。
一実施形態では、上記の方法を実施するためのシステムは、1)2次認証システムの一部として、クライアントシステムから認証要求を受信するようにプログラムされた受信モジュールと、2)認証要求の受信を受けて1次認証システムで第1認証を最初に実施するようにクライアントシステムをリダイレクトするようにプログラムされたリダイレクションモジュールと、3)第1認証が成功したことを証明するクライアントシステムからの第1認証のアサーションを受信するようにプログラムされたアサーションモジュールと、4)第1認証のアサーションの受信を受けてクライアントシステムと第2認証を実施するようにプログラムされた認証モジュールと、を含み得る。システムはまた、受信モジュール、リダイレクションモジュール、アサーションモジュール、及び認証モジュールを実行するように構成される、少なくとも1つのプロセッサを含んでもよい。
いくつかの実施例では、上述の方法は、コンピュータ可読記憶媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読記憶媒体は、コンピューティングデバイスの少なくとも1つのプロセッサにより実行されるとき、コンピューティングデバイスに、1)2次認証システムの一部として、クライアントシステムから認証要求を受信させ、2)認証要求の受信を受けて1次認証システムで第1認証を最初に実施するようにクライアントシステムをリダイレクトさせ、3)第1認証が成功したことを証明するクライアントシステムからの第1認証のアサーションを受信させ、4)第1認証のアサーションの受信を受けてクライアントシステムと第2認証を実施させ得る、コンピュータで実行可能な命令の1つ以上を含み得る。
以下により詳細に説明されるように、1つのドメインで認証サービスを起動し、別のドメインで別の認証サービスの使用を試みることにより、本明細書に記載のシステム及び方法は、既に単一要素認証を実施している企業内で、元の単一要素認証システムの制御及び/又はそれに関する機密データを企業から移すことなく、多要素認証の実施を可能にすることができる。更に、これらのシステム及び方法は、費用がかかり複雑な基盤の変更及び保守を必要とせずに、2次認証要素の追加を可能にすることができる。例えば、これらのシステム及び方法は、第2要素認証システムからの認証要求を承認及び信頼するように第1要素認証システムを企業内で再構成するだけで、2次認証要素の追加を可能にすることができる。更に、これらのシステム及び方法は、機密企業認証データへのアクセスをシステム外へ開放することで潜在的にセキュリティホールを生じることなく、企業の単一要素認証システムに2次認証要素の追加を可能にすることができる。
上述の実施形態のいずれかの特徴は、本明細書に記載される一般原理に従って、互いと組み合わせて使用されてもよい。これら及び他の実施形態、特徴、並びに利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことにより、更に十分に理解されるであろう。
以下の図面は、いくつかの例示的な実施形態を示し、本明細書の一部である。以下の説明と共に、これらの図面は、本開示の様々な原理を例証及び説明する。
多要素認証を実施するための例示的なシステムのブロック図である。 多要素認証を実施するための例示的なシステムのブロック図である。 多要素認証を実施するための例示的な方法のフローチャートである。 多要素認証を実施するための例示的なシステムのブロック図である。 例示的な多要素認証の図である。 本明細書に記載及び/又は例示される実施形態のうちの1つ以上を実装することが可能な例示的なコンピューティングシステムのブロック図である。 本明細書に記載及び/又は例示される実施形態のうちの1つ以上を実装することが可能な例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照文字及び説明は、類似だが必ずしも同一ではない要素を示す。本明細書に記載される例示的な実施形態は、様々な修正及び代替的な形態が可能であるが、特定の実施形態が例として図面に示され、本明細書に詳細に記載されるであろう。しかしながら、本明細書に記載される例示的な実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲の範囲に入る全ての修正、等価物、及び代替物を網羅する。
図1〜2を参照することにより、以下に多要素認証を実施するための例示的なシステムの詳細な説明が提供される。対応するコンピュータ実装方法の詳細な説明はまた、図3と併せて提供される。加えて、本明細書に記載の実施形態のうちの1つ以上を実装することが可能な、例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明は、それぞれ、図6及び7と併せて提供される。
図1は、多要素認証を実施するための例示的なシステム100のブロック図である。この図に例示されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含み得る。例えば、以下により詳細に説明されるように、例示的なシステム100は、2次認証システムの一部として、クライアントシステムから認証要求を受信するようにプログラムされた受信モジュール104を含み得る。例示的なシステム100はまた、認証要求の受信を受けて1次認証システムと第1認証を最初に実施するようにクライアントシステムをリダイレクトするようにプログラムされたリダイレクションモジュール106も含み得る。
更に、以下により詳細に記載されるように、例示的なシステム100は、第1認証が成功したことを証明するクライアントシステムからの第1認証のアサーションを受信するようにプログラムされたアサーションモジュール108を含み得る。例示的なシステム100は、第1認証のアサーションの受信を受けてクライアントシステムで第2認証を実施するようにプログラムされた認証モジュール110も含み得る。別個の要素として例示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表し得る。
ある実施形態において、図1のモジュール102のうちの1つ以上は、コンピューティングデバイスにより実行されるとき、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、以下により詳細に記載されるように、モジュール102のうちの1つ以上は、図2に例示されるデバイス(例えば、コンピューティングデバイス202、クライアントシステム206、及び/若しくは認証サーバ208)、図6にあるコンピューティングシステム610、並びに/又は図7にある例示的なネットワークアーキテクチャ700の部分のような1つ以上のコンピューティングデバイス上で実行されるように記憶及び構成されるソフトウェアモジュールを表し得る。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを実施するように構成される、1つ以上の特殊目的のコンピュータの全て又は部分を表し得る。
図1の例示的なシステム100は、多様な方法で実装されてもよい。例えば、例示的なシステム100の全て又は一部分は、図2の例示的なシステム200の部分を表し得る。図2に示されるように、システム200は、(例えば、コンピューティングデバイス202により提供される認証要素及び認証サーバ208により提供される認証要素を使用してクライアントシステム206のユーザのアイデンティティを認証するために)ネットワーク204を介してクライアントシステム206及び認証サーバ208と通信しているコンピューティングデバイス202を含み得る。
一実施形態では、図1のモジュール102のうちの1つ以上は、コンピューティングデバイス202の少なくとも1つのプロセッサによって実行されるとき、多要素認証の実施においてコンピューティングデバイス202を支援することができる。例えば、以下により詳細に記載されるように、モジュール102のうちの1つ以上は、コンピューティングデバイス202に、1)(例えば、コンピューティングデバイス202上の)2次認証システムの一部として、クライアントシステム206から認証要求210を受信させ、2)要求210の受信を受けて(例えば、認証サーバ208上の)1次認証システムと第1認証を最初に実施するようにクライアントシステム206をリダイレクトさせ、3)第1認証が成功したことを証明するクライアントシステム206からの(例えば、認証サーバ208との)第1認証のアサーション210を受信させ、4)第1認証のアサーション210の受信を受けてクライアントシステム206と第2認証を実施させ得る。
コンピューティングデバイス202は、概して、コンピュータで実行可能な命令を読み取ることが可能な任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、個人用デジタル補助装置(PDA)、マルチメディアプレーヤ、組み込みシステム、これらの1つ以上の組み合わせ、図6の例示的なコンピューティングシステム610、又は任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。いくつかの例では、コンピューティングデバイス202は、認証サーバ、及び/又は認証サービスの一部として動作するコンピューティングデバイスを表し得る。
クライアントシステム206は、概して、コンピュータで実行可能な命令を読み取ることが可能な任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、個人用デジタル補助装置(PDA)、マルチメディアプレーヤ、組み込みシステム、これらの1つ以上の組み合わせ、図6の例示的なコンピューティングシステム610、又は任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。
認証サーバ208は、概して、1つ以上の認証動作を実施することが可能な任意のタイプ又は形態のコンピューティングデバイスを表す。認証サーバ208の例としては、多様なデータベースサービスを提供する及び/又は特定のソフトウェアアプリケーションを作動させるように構成されるアプリケーションサーバ及びデータベースサーバが挙げられるが、これらに限定されない。
ネットワーク204は、概して、通信又はデータ転送を容易にすることが可能な任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、イントラネット、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、GSMネットワーク(「GSM」は登録商標))、図7の例示的なネットワークアーキテクチャ700などが挙げられるが、これらに限定されない。ネットワーク204は、無線又は有線接続を使用して通信又はデータ転送を容易にし得る。一実施形態において、ネットワーク204は、コンピューティングデバイス202、クライアントシステム206、及び認証サーバ208との間の通信を容易にし得る。
図3は、多要素認証を実施するための例示的なコンピュータ実施方法300のフローチャートである。図3に示される工程は、任意の好適なコンピュータで実行可能なコード及び/又はコンピューティングシステムにより実施されてもよい。一部の実施形態において、図3に示される工程は、図1のシステム100の構成要素のうちの1つ以上、図2のシステム200、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の一部により実施されてもよい。
図3に示されるように、工程302において、本明細書に記載の1つ以上のシステムは、2次認証システムの一部として、クライアントシステムから認証要求を受信し得る。例えば、工程302において、受信モジュール104は、図2のコンピューティングデバイス202の一部として、(例えば、コンピューティングデバイス202上の)2次認証システムの一部として、クライアントシステム206から認証要求210を受信し得る。
本明細書で使用するとき、語句「認証システム」は、ユーザ及び/又はクライアントのアイデンティティを実証及び/又は確認する任意の方法を指すことができる。認証システムは、任意の様々なクレデンシャルを使用し得る。認証システムに使用され得るクレデンシャルの例としては、知識によるクレデンシャル(例えば、ユーザが知っている何か)、トークンによるクレデンシャル(例えば、ユーザが所有する何か)、生体によるクレデンシャル(例えば、ユーザ自身の何か)、及び/又はこれらの任意の組み合わせが挙げられるが、これらに限定されない。例えば、知識によるクレデンシャルには、パスワード、暗証番号(PIN)、及び/又はパスフレーズが挙げられ、トークンによるクレデンシャルには、モバイル及び/又はデスクトップコンピューティングデバイス(例えば、スマートフォン)により生成又は受信されるワンタイムパスワード及び/又はセキュリティコードが挙げられ、生体によるクレデンシャルには、指紋、声紋、及び/又は虹彩スキャンが挙げられ得る。
したがって、本明細書で使用するとき、語句「2次認証システム」は、ユーザ及び/又はクライアントを認証するために1つ以上の追加の認証システムと組み合わせて使用され得る認証システムを指すことができる。いくつかの例では、語句「2次認証システム」は、リモート及び/又はオフサイト認証システムを指すことができる。いくつかの例では、語句「2次認証システム」は、多要素認証システムを作成するために、これまで単一要素認証システムで構成されていた企業に導入される認証システムを指すことができる。
本明細書で使用するとき、語句「認証要求」は、認証システムに対して認証を求める任意の要求を指すことができる。例えば、認証要求には、セキュリティ表明マーク付け言語(「SAML」)要求が挙げられ得る。本明細書で使用するとき、語句「クライアントシステム」は、認証を要求できる任意のコンピューティングデバイス、クライアントソフトウェア、及び/又はユーザエージェントを指すことができる。
いくつかの例では、認証要求を受信する工程は、2次認証システムを介してクライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信する工程を含み得る。本明細書で使用するとき、語句「アクセスマネージャ」は、(例えば、企業内の)リソースにアクセスするための要求及び/又は試行を裁定する任意のシステムを指すことができる。いくつかの例では、アクセスマネージャは、クライアントシステムとのアクティブ認証セッションを検索できないことに基づいて認証要求を開始し得る。例えば、アクセスマネージャは、クライアントシステムからの保護リソースの要求を阻止した時点で認証要求を開始していてもよい。本明細書で使用するとき、用語「リソース」は、任意のファイル、データ、ドキュメント、及び/又はサービスを指すことができる。したがって、語句「保護リソース」は、ユーザアイデンティティに基づいて(例えば、アクセスマネージャにより)アクセスが制御される任意のリソースを指すことができる。
いくつかの例では、1次認証システム及びアクセスマネージャは、共に単一企業ネットワーク内にインストールされて動作してもよい。例えば、1次認証システム及びアクセスマネージャは、単一LANネットワーク上で、及び/又は単一企業内の多数の組織サイトに接続する企業プライベートネットワーク上で動作し得る。これらの例では、2次認証システムは、単一企業ネットワーク外で動作するように構成されたサーバを含んでもよい。例えば、企業プライベートネットワーク及び2次認証システムのサーバは、別個のエンティティにより所有、制御、管理、保守、及び/又は運営され得る。加えて、又は代替的に、企業プライベートネットワーク及び2次認証システムのサーバは、異なるドメイン内で動作してもよい。いくつかの例では、2次認証システムは、単一企業ネットワーク外で動作するように構成されたサービスを含んでもよい。したがって、単一企業ネットワークの管理者は、2次認証システムを保守することなく、単一企業ネットワークを2次認証システムに加入させることができる。
図4は、多要素認証を実施するための例示的なシステム400を示す。図4に示されるように、例示的なシステム400は、ゲートウェイ420を介してネットワーク430に接続される企業402と、同様にネットワーク430に接続される認証サーバ440とを含み得る。企業402は、クライアントシステム412、企業アクセスマネージャ414、企業認証サーバ415、及びサーバ416に接続する、企業ネットワーク410を含み得る。例として図4を使用すると、工程302において、受信モジュール104は、認証サーバ440の一部として、クライアントシステム412から認証要求を受信し得る。いくつかの例では、認証要求は、企業アクセスマネージャ414により開始されていてもよい。例えば、クライアントシステム412は、サーバ416上の保護リソース418にアクセスするために試行及び/又は要求を行っていてもよい。したがって、企業アクセスマネージャ414は、企業アクセスマネージャ414に(例えば、クライアントシステム412を介した)認証サーバ440への認証要求を開始させる、リソース418にアクセスするための試行を阻止し、及び/又は要求を確認していてもよい。
図5は、例示的な多要素認証500を示す。図5に示されるように、例示的な多要素認証500は、ユーザエージェント502、企業アクセスマネージャ504、クラウド認証サーバ506、及び企業認証サーバ508を含み得る。例として図5を使用すると、工程510において、企業アクセスマネージャ504は、ユーザエージェント502による保護リソースにアクセスするための試行を阻止し得る。工程512において、企業アクセスマネージャ504は、認証要求(例えば、SAML要求)と同時にユーザエージェント502をクラウド認証サービス506にリダイレクトし得る。したがって、クラウド認証サービス506は、認証要求を受信し得る。
図3に戻ると、工程304において、本明細書に記載の1つ以上のシステムは、認証要求の受信を受けて1次認証システムと第1認証を最初に実施するようにクライアントシステムをリダイレクトし得る。例えば、工程304において、リダイレクションモジュール106は、図2のコンピューティングデバイス202の一部として、要求210の受信を受けて(例えば、認証サーバ208上の)1次認証システムと第1認証を最初に実施するようにクライアントシステム206をリダイレクトし得る。
リダイレクションモジュール106は、任意の好適な方法で1次認証システムと第1認証を実施するようにクライアントシステムをリダイレクトし得る。例えば、リダイレクションモジュール106は、新たな認証要求(例えば、新たなSAML要求)と同時にクライアントシステムを1次認証システムにリダイレクトし得る。
いくつかの例では、1次認証システムは、次いで、クライアントシステムで第1認証を実施し得る。例えば、1次認証システムは、クライアントシステムから認証クレデンシャルを受信し、第1認証のアサーションと同時にクライアントシステムを2次認証にリダイレクトし得る。本明細書で使用するとき、用語「アサーション」は、認証を表明できる任意のメッセージを指すことができる。いくつかの例では、アサーションは、認証の時間、認証の発行者、認証の対象者、及び/又は認証の条件を含み得る。前述したように、認証システムは、任意の様々なクレデンシャルを使用することができる。例えば、第1認証の認証クレデンシャルは、ユーザ名及びパスワードの組み合わせを含み得る。
例として図4を使用すると、工程304において、リダイレクションモジュール106は、認証サーバ440の一部として、企業認証サーバ415と認証を最初に実施するようにクライアントシステム412をリダイレクトし得る。いくつかの例では、次いで、企業認証サーバ415は、クライアントシステム412で認証を実施し得る。
例として図5を使用すると、工程514において、クラウド認証サーバ506は、企業認証サーバ508に向けた新たな認証要求と同時にユーザエージェント502をリダイレクトし得る。工程516において、企業認証サーバ508は、ユーザエージェント502で第1認証を実施し得る。
図3に戻ると、工程306において、本明細書に記載の1つ以上のシステムは、第1認証が成功したことを証明するクライアントシステムからの第1認証のアサーションを受信し得る。例えば、工程306において、アサーションモジュール108は、図2のコンピューティングデバイス202の一部として、第1認証が成功したことを証明するクライアントシステム206からの(例えば、認証サーバ208との)第1認証のアサーション210を受信し得る。
いくつかの例では、アサーションモジュール108はまた、アサーションが有効であると確認し得る。例えば、アサーションは、SAMLアサーションを含むことができ、アサーションモジュール108は、Holder−of−Key方法及び/又はSender−Vouches方式を使用してアサーションを確認することができる。
例として図4を使用すると、工程306において、アサーションモジュール108は、認証サーバ440の一部として、クライアントシステム412と企業認証サーバ415との間で実施された第1認証のアサーションを受信及び確認し得る。
例として図5を使用すると、工程518において、企業認証サーバ508は、工程516で実施された第1認証のアサーションと同時にユーザエージェント502をリダイレクトし得る。企業認証サーバ508は、それによってユーザエージェント502からアサーションを受信し得る。
図3に戻ると、工程308において、本明細書に記載の1つ以上のシステムは、第1認証のアサーションの受信を受けてクライアントシステムと第2認証を実施し得る。例えば、工程308において、認証モジュール110は、図2のコンピューティングデバイス202の一部として、第1認証のアサーション210の受信を受けてクライアントシステム206で第2認証を実施し得る。
認証モジュール110は、任意の好適な方法で第2認証を実施し得る。いくつかの例では、認証モジュール110は、第1認証のアサーションからユーザ識別情報を取得し、クライアントシステムからユーザ識別情報を要求する代わりにユーザ識別情報を使用して第2認証を実施し得る。例えば、認証モジュール110は、アサーションからユーザ名及びそのユーザ名に適用されるドメイン、電子メールアドレスなどを取得し得る。このように、認証モジュール110は、潜在的にコンピューティングリソースを保存し、認証プロセスを加速し得る。
前述したように、いくつかの例では、アクセスマネージャは、(例えば、クライアントシステムからの保護リソースの要求を阻止した後)2次認証システムに向けた認証要求を開始していてもよい。これらの例では、認証モジュール110はまた、第2認証の実施後に、第2認証のアサーションと同時にクライアントシステムをアクセスマネージャにリダイレクトし得る。これらの例では、アクセスマネージャは、第2認証のアサーションの受信及び確認後に、クライアントシステムに保護リソースへのアクセスを許可するように構成され得る。
例として図4を使用すると、工程308において、認証モジュール110は、認証サーバ440の一部として、クライアントシステム412からの(例えば、企業認証サーバ415で実施した)第1認証のアサーションの受信及び確認を受けてクライアントシステム412と第2認証を実施し得る。認証モジュール110はまた、第2認証のアサーションと同時にクライアントシステム412を企業アクセスマネージャ414にリダイレクトし得る。企業アクセスマネージャ414は、第2認証を確認した時点でリソース418へのアクセスを許可するように構成されてもよい。したがって、企業アクセスマネージャ414は、クライアントシステム412をリソース418にアクセスさせ得る。企業アクセスマネージャ414がクライアントシステム412から第2認証のみを求め得るが、認証サーバ440はクライアントシステム412から第1認証を求めるため、本明細書に記載のシステム及び方法は、企業402への妨害を最小限に抑えて多要素認証を容易にすることができる。
例として図5を使用すると、工程520において、クラウド認証サーバ506は、ユーザエージェント502で第2認証を実施し得る。工程522において、クラウド認証サービス506は、第2認証からの属性を第2認証のアサーション(例えば、SAMLアサーション)の属性にマップし得る。例えば、クラウド認証サーバ506は、第2認証に使用されたユーザ識別子を第2認証のアサーション内のユーザ識別子フィールドにマップし得る。工程524において、クラウド認証サービス506は、第2認証のアサーションと同時にユーザエージェント502をアクセスマネージャ504にリダイレクトし得る。企業アクセスマネージャ504は、次いで、工程526において、アサーションを確認し、保護リソースをユーザエージェント502に提供し得る。
上述したように、1つのドメインで認証サービスを起動し、別のドメインで別の認証サービスの使用を試みることにより、本明細書に記載のシステム及び方法は、既に単一要素認証を実施している企業内で、元の単一要素認証システムの制御及び/又はそれに関する機密データを企業から移すことなく、多要素認証の実施を可能にすることができる。更に、これらのシステム及び方法は、費用がかかり複雑な基盤の変更及び保守を必要とせずに、2次認証要素の追加を可能にすることができる。例えば、これらのシステム及び方法は、第2要素認証システムからの認証要求を承認及び信頼するように第1要素認証システムを企業内で再構成するだけで、2次認証要素の追加を可能にすることができる。更に、これらのシステム及び方法は、機密企業認証データへのアクセスをシステム外へ開放することで潜在的にセキュリティホールを生じることなく、企業の単一要素認証システムに2次認証要素の追加を可能にすることができる。
図6は、本明細書に記載される及び/又は例示される実施形態のうちの1つ以上を実装することが可能な例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610の全て又は一部分は、単独で、又は他の要素と組み合わせて、本明細書に記載される受信、開始、阻止、リダイレクト、実施、取得、及び許可の工程のうちの1つ以上を実施し得る、及び/又は実施するための手段であり得る。コンピューティングシステム610の全て又は一部分はまた、本明細書に記載される及び/又は例示される任意の他の工程、方法、又は過程を実施し得る、及び/又は実施するための手段であってもよい。
コンピューティングシステム610は、広範に、コンピュータ可読命令を実行することが可能な任意の単一又は複数プロセッサのコンピューティングデバイス又はシステムを表し得る。コンピューティングシステム610の実施例は、これに限定されないが、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、携帯デバイス、又は任意の他のコンピューティングシステム若しくはデバイスを含む。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614及びシステムメモリ616を含み得る。
プロセッサ614は、概して、データを処理する又は命令を解釈及び実行することが可能な処理ユニットの任意のタイプ又は形態を表し得る。ある実施形態において、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信することができる。これらの命令は、プロセッサ614に、本明細書に記載及び/又は例示される例示的な実施形態のうちの1つ以上の機能を実施させ得る。
システムメモリ616は、概して、データ及び/又は他のコンピュータ可読命令を記憶することが可能な揮発性又は非揮発性記憶デバイス又は媒体の任意のタイプ又は形態を表し得る。コンピューティングシステム616の実施例は、これに限定されないが、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は任意の他の好適なメモリデバイスを含む。必ずしも必要ではないが、ある実施形態において、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)及び非揮発性記憶デバイス(例えば、以下に詳細に説明される主要記憶デバイス632など)を含み得る。一実施例において、図1のモジュール102のうちの1つ以上は、システムメモリ616にロードされ得る。
ある実施形態において、例示的なコンピューティングシステム610はまた、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、図6に例示されるように、コンピューティングシステム610は、通信基盤612を介して各々が相互接続され得る、メモリコントローラ618、入力/出力(I/O)コントローラ620、及び通信インタフェース622を含んでもよい。通信基盤612は、概して、コンピューティングデバイスの1つ以上の構成要素の間の通信を容易にすることが可能な基盤の任意のタイプ又は形態を表し得る。通信基盤612の実施例は、通信バス(ISA、PCI、PCIe、又は類似のバスなど)及びネットワークを含むが、これらに限定されない。
メモリコントローラ618は、概して、コンピューティングシステム610の1つ以上の構成要素の間でメモリ若しくはデータの処理、又は通信の制御を行うことが可能なデバイスの任意のタイプ又は形態を表し得る。例えば、ある実施形態において、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御することができる。
I/Oコントローラ620は、概して、コンピューティングデバイスの入力及び出力機能を調整及び/又は制御することが可能なモジュールの任意のタイプ又は形態を表し得る。例えば、ある実施形態において、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インタフェース622、ディスプレイアダプタ626、入力インタフェース630、及び記憶インタフェース634など、コンピューティングシステム610の1つ以上の要素の間のデータの転送を制御するか、又は容易にすることができる。
通信インタフェース622は、広範に、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることが可能な通信デバイス又はアダプタの任意のタイプ又は形態を表し得る。例えば、ある実施形態において、通信インタフェース622は、コンピューティングシステム610と追加のコンピューティングシステムを含む私的又は公的なネットワークとの間の通信を容易にすることができる。通信インタフェース622の実施例は、これに限定されないが、有線ネットワークインタフェース(ネットワークインタフェースカードなど)、無線ネットワークインタフェース(無線ネットワークインタフェースカードなど)、モデム、及び任意の他の好適なインタフェースを含む。少なくとも1つの実施形態において、通信インタフェース622は、インターネットなど、ネットワークへの直接的な接続を介して、リモートサーバへ直接的な接続を提供し得る。通信インタフェース622はまた、例えば、ローカルエリアネットワーク(イーサネットネットワーク(「イーサネット」は登録商標、以下同じ)など)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、携帯電話接続、衛星データ接続、又は任意の他の好適な接続を通じて、かかる接続を間接的に提供してもよい。
ある実施形態において、通信インタフェース622はまた、外部バス又は通信チャネルを介してコンピューティングシステム610と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されるホストアダプタを表し得る。ホストアダプタの例としては、SCSIホストアダプタ、USBホストアダプタ、IEEE 1394ホストアダプタ、SATA及びeSATAホストアダプタ、ATA及びPATAホストアダプタ、ファイバチャネルインタフェースアダプタ、イーサネットアダプタなどが挙げられるが、これらに限定されない。通信インタフェース622はまた、コンピューティングシステム610が、分散型又はリモートコンピューティングに関与するのを可能にし得る。例えば、通信インタフェース622は、実行のためにリモートデバイスから命令を受信するか、又はリモートデバイスへ命令を送信することができる。
図6に例示されるように、コンピューティングシステム610はまた、ディスプレイアダプタ626を介して通信基盤612に連結される少なくとも1つのディスプレイデバイス624を含んでもよい。ディスプレイデバイス624は、概して、ディスプレイアダプタ626によって転送された情報を視覚的に表示することが可能なデバイスの任意のタイプ又は形態を表し得る。同様に、ディスプレイアダプタ626は、概して、ディスプレイデバイス624上での表示のために、通信基盤612から(又は当該分野で周知のフレームバッファから)のグラフィック、テキスト、及び他のデータを転送するように構成されるデバイスの任意のタイプ又は形態を表し得る。
図6に例示されるように、例示的なコンピューティングシステム610はまた、入力インタフェース630を介して通信基盤612に連結される少なくとも1つの入力デバイス628を含んでもよい。入力デバイス628は、概して、例示的なコンピューティングシステム610に、コンピュータ又は人間のいずれかが生成した入力を提供することが可能な入力デバイスの任意のタイプ又は形態を表し得る。入力デバイス628の実施例は、キーボード、指先指示デバイス、音声認識デバイス、又は任意の他の入力デバイスを含むが、これらに限定されない。
図6に例示されるように、例示的なコンピューティングシステム610はまた、記憶インタフェース634を介して通信基盤612に連結される一次記憶デバイス632及びバックアップ記憶デバイス633を含んでもよい。記憶デバイス632及び633は、概して、データ及び/又は他のコンピュータ可読命令を記憶することが可能な記憶デバイス又は媒体の任意のタイプ又は形態を表し得る。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ(「フロッピー」は登録商標、以下同じ)、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インタフェース634は、概して、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するためのインタフェース又はデバイスの任意のタイプ又は形態を表してもよい。
ある実施形態において、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成される取り外し可能な記憶ユニットから読み出す及び/又は取り外し可能な記憶ユニットに書き込むように構成されてもよい。好適な取り外し可能な記憶ユニットの例としては、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられるが、これらに限定されない。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令がコンピューティングシステム610にロードされることを可能にするための他の類似の構造又はデバイスを含んでもよい。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み出し、書き込むように構成され得る。記憶デバイス632及び633はまた、コンピューティングシステム610の一部であってもよく、又は他のインタフェースシステムを通じてアクセスされる別個のデバイスであってもよい。
多くの他のデバイス又はサブシステムが、コンピューティングシステム610に接続され得る。反対に、本明細書に記載及び/又は例示される実施形態を実践するために、図6に例示される全ての構成要素及びデバイスが存在する必要はない。上に参照されるデバイス及びサブシステムはまた、図6に示されるものとは異なる方法で相互接続されてもよい。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェア構成を用いてもよい。例えば、本明細書に開示される例示的な実施形態のうちの1つ以上は、コンピュータ可読記憶媒体にコンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。語句「コンピュータ可読記憶媒体」は一般的に、コンピュータ可読命令を記憶又は実施することができるあらゆる形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読記憶媒体の例としては、これらに限定されないが、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ及びフロッピーディスク)、光記憶媒体(例えば、CD−又はDVD−ROM)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的型媒体が挙げられる。
コンピュータプログラムを含むコンピュータ可読記憶媒体は、コンピューティングシステム610にロードされ得る。コンピュータ可読記憶媒体上に記憶される全て又は一部分のコンピュータプログラムは、次いで、システムメモリ616並びに/又は記憶デバイス632及び633の多様な部分に記憶され得る。プロセッサ614により実行されると、コンピューティングシステム610にロードされたコンピュータプログラムは、プロセッサ614に、本明細書に記載及び/又は例示される例示的な実施形態のうちの1つ以上の機能を実施させ得る、及び/又は実施するための手段であり得る。加えて、又は代替的に、本明細書に記載及び/又は図示される例示的な実施形態のうちの1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施−形態のうちの1つ以上を実装するように適合される、特定用途向け集積回路(ASIC)として構成されてもよい。
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745が、ネットワーク750に連結され得る、例示的なネットワークアーキテクチャ700のブロック図である。上に詳述されたように、ネットワークアーキテクチャ700の全て又は一部分は、単独で、又は他の要素と組み合わせて、本明細書に開示される受信、開始、阻止、リダイレクト、実施、取得、及び許可の工程のうちの1つ以上を実施し得る、及び/又は実施するための手段であり得る。ネットワークアーキテクチャ700の全て又は一部分はまた、本開示に記載される他の工程及び特性を実施するために使用され得る、及び/又は実施する手段であり得る。
クライアントシステム710、720、及び730は、概して、図6の例示的なコンピューティングシステム610など、コンピューティングデバイス又はシステムの任意のタイプ又は形態を表し得る。同様に、サーバ740及び745は、概して、アプリケーションサーバ又はデータベースサーバなど、多様なデータベースサービスを提供する、及び/又はあるソフトウェアアプリケーションを起動するように構成される、コンピューティングデバイス又はシステムを表す。ネットワーク750は、概して、例えば、イントラネット、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。一実施例において、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、図1からのシステム100の全て又は一部分を含み得る。
図7に例示されるように、1つ以上の記憶デバイス760(1)−(N)は、直接的にサーバ740に接続され得る。同様に、1つ以上の記憶デバイス770(1)−(N)は、直接的にサーバ745に接続され得る。記憶デバイス760(1)−(N)及び記憶デバイス770(1)−(N)は、概して、データ及び/又は他のコンピュータ可読命令を記憶することが可能な記憶デバイス又は媒体の任意のタイプ又は形態を表す。ある実施形態において、記憶デバイス760(1)−(N)及び記憶デバイス770(1)−(N)は、NFS、SMB、又はCIFSなど、多様なプロトコルを使用してサーバ740及び745と通信するように構成されるネットワーク接続記憶(NAS)デバイスを表し得る。
サーバ740及び745はまた、記憶エリアネットワーク(SAN)ファブリック780に接続され得る。SANファブリック780は、概して、複数の記憶デバイスの間の通信を容易にすることが可能なコンピュータネットワーク又はアーキテクチャの任意のタイプ又は形態を表す。SANファブリック780は、サーバ740及び745と複数の記憶デバイス790(1)−(N)及び/又は知的記憶アレイ795との間の通信を容易にし得る。SANファブリック780はまた、デバイス790(1)−(N)及びアレイ795が、クライアントシステム710、720、及び730にローカルで接続されたデバイスとして現れるような様式で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と記憶デバイス790(1)−(N)及び/又は知的記憶アレイ795との間の通信を容易にする可能性がある。記憶デバイス760(1)−(N)及び記憶デバイス770(1)−(N)と同様に、記憶デバイス790(1)−(N)及び知的記憶アレイ795は、概して、データ及び/又は他のコンピュータ可読命令を記憶することが可能な記憶デバイス又は媒体の任意のタイプ又は形態を表す。
ある実施形態において、及び図6の例示的なコンピューティングシステム610を参照して、図6にある通信インタフェース622などの通信インタフェースは、各々のクライアントシステム710、720、及び730とネットワーク750との間の接続性を提供するために使用することができる。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740及び745上の情報にアクセスすることが可能であり得る。そのようなソフトウェアは、クライアントシステム710、720、及び730がサーバ740、サーバ745、記憶デバイス760(1)−(N)、記憶デバイス770(1)−(N)、記憶デバイス790(1)−(N)、又は知的記憶アレイ795によってホストされるデータにアクセスすることを可能にし得る。図7は、データを交換するためのネットワーク(インターネットなど)の使用を描写するが、本明細書に記載及び/又は例示される実施形態は、インターネット又は他の特定のネットワークに基づく環境に限定されない。
少なくとも1つの実施形態において、本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部分は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)−(N)、記憶デバイス770(1)−(N)、記憶デバイス790(1)−(N)、知的記憶アレイ795、又はそれらの任意の組み合わせ上にロードされ、それによって実行され得る。本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部分は、コンピュータプログラムとしてコード化され、サーバ740に記憶され、サーバ745によって起動され、ネットワーク750を通じてクライアントシステム710、720、及び730に分散され得る。
上に詳述されるように、コンピューティングシステム610及び/又はネットワークアーキテクチャ700の1つ以上の構成要素は、単独で、又は他の要素と組み合わせて、多要素認証を実施するための例示的な方法の1つ以上の工程を実施し得る、及び/又は実施するための手段であり得る。
前述の開示は、特定のブロック図、フローチャート、及び実例を使用して様々な実施形態を記載するが、本明細書に記載及び/又は図示される各ブロック図の構成要素、フローチャートの工程、動作、及び/又は構成要素は、様々なハードウェア、ソフトウェア、又はファームウェア(又はこれらの任意の組み合わせ)構成を使用して、個別及び/又は集合的に実装されてもよい。加えて、他の構成要素内に含まれた構成要素のあらゆる開示は、多くの他のアーキテクチャが同じ機能を達成するために実装され得ることにより、本質的に例示的であると考慮されるべきである。
一部の実施例において、図1の例示的なシステム100の全て又は一部分は、クラウドコンピューティング又はネットワークに基づく環境の部分を表し得る。クラウドコンピューティング環境は、インターネットを介して様々なサービス及びアプリケーションを提供することができる。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインタフェースを介してアクセス可能であってもよい。本明細書に記載される様々な機能は、リモートデスクトップ環境又は任意の他のクラウドベースのコンピューティング環境を通じて提供されてもよい。
本明細書に記載及び/又は図示される工程のプロセスパラメータ及びシーケンスは、例としてのみ付与され、必要に応じて変更され得る。例えば、本明細書に図示及び/又は記載される工程は、特定の順序で示され、又は考察され得るが、これらの工程は、図示され、又は考察される順序で実行される必要は必ずしもない。本明細書に記載及び/又は図示される様々な例示的な方法はまた、本明細書に記載及び/又は図示される工程のうちの1つ以上を省略するか、又は開示されるものに加えて追加の工程を含むことができる。
様々な実施形態は、完全に機能的なコンピューティングシステムとの関連で本明細書に記載及び/又は図示されているが、これらの例示的な実施形態のうちの1つ以上は、実際に配布を実行するために使用される特定のタイプのコンピュータ可読記憶媒体にかかわらず、様々な形態でプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実行するソフトウェアモジュールを使用して実装されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体に、又はコンピューティングシステム内に記憶され得るスクリプト、バッチ、又は他の実行可能なファイルを含むことができる。いくつかの実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態のうちの1つ以上を実行するようにコンピューティングシステムを構成することができる。
加えて、本明細書に記載されるモジュールのうちの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現をある形態から別の形態に変換することができる。例えば、本明細書に列挙されるモジュールのうちの1つ以上は、コンピューティングデバイスを、多要素認証を実施するためのデバイスに変換することができる。別の例としては、本明細書に記載されるモジュールのうちの1つ以上は、企業を、多要素認証を有する企業に変換することができる。
前述の説明は、当業者が本明細書に開示される例示的な実施形態の様々な態様を最良に利用するのを可能にするために提供されている。この例示的な説明は、包括的であるか、又は開示されるあらゆる正確な形態に限定されることを意図しない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないと見なされるべきである。本開示の範囲を決定する際に添付の特許請求の範囲及びその等価物を参照するべきである。
特に記載されない限り、用語「1つ(a)」又は「1つ(an)」は本明細書及び特許請求の範囲に使用される際、「少なくとも1つの(at least one of)」を意味すると解釈されるべきである。加えて、使いやすさのために、語「含む(including)」及び「有する(having)」は、本明細書及び特許請求の範囲に使用される際、語「含む、備える(comprising)」と同義的であり、それと同じ意味を有する。

Claims (20)

  1. 多要素認証を実施するためのコンピュータ実施方法であって、前記方法の少なくとも一部分が少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実施され、前記方法が、
    2次認証システムの一部として、クライアントシステムから認証要求を受信する工程と、
    前記認証要求の受信を受けて1次認証システムで第1認証を最初に実施するように前記クライアントシステムをリダイレクトする工程と、
    前記第1認証が成功したことを証明する前記クライアントシステムからの前記第1認証のアサーションを受信する工程と、
    前記第1認証の前記アサーションの受信を受けて前記クライアントシステムで第2認証を実施する工程と、を含む、コンピュータ実施方法。
  2. 前記認証要求を受信する工程が、前記2次認証システムを介して前記クライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信する工程を含む、請求項1に記載のコンピュータ実施方法。
  3. 前記アクセスマネージャが、前記クライアントシステムからの保護リソースの要求を阻止した時点で前記認証要求を開始している、請求項2に記載のコンピュータ実施方法。
  4. 前記1次認証システム及び前記アクセスマネージャが、共に単一企業ネットワーク内にインストールされて動作する、請求項2に記載のコンピュータ実施方法。
  5. 前記2次認証システムが、前記単一企業ネットワーク外で動作するように構成されたサービスを含む、請求項4に記載のコンピュータ実施方法。
  6. 前記第2認証の実施後に、前記第2認証のアサーションと同時に前記クライアントシステムを前記アクセスマネージャにリダイレクトする工程を更に含む、請求項2に記載のコンピュータ実施方法。
  7. 前記アクセスマネージャが、前記第2認証の前記アサーションの受信後に前記クライアントシステムに保護リソースへのアクセスを許可するように構成される、請求項6に記載のコンピュータ実施方法。
  8. 前記第2認証を実施する工程が、
    前記第1認証の前記アサーションからユーザ識別情報を取得する工程と、
    前記クライアントシステムから前記ユーザ識別情報を要求する代わりに前記ユーザ識別情報を使用して前記第2認証を実施する工程と、を含む、請求項1に記載のコンピュータ実施方法。
  9. 前記1次認証システムが、前記クライアントシステムから認証クレデンシャルを受信し、前記第1認証の前記アサーションと同時に前記クライアントシステムを前記2次認証システムにリダイレクトする、請求項1に記載のコンピュータ実施方法。
  10. 多要素認証を実施するためのシステムであって、前記システムが、
    2次認証システムの一部として、クライアントシステムから認証要求を受信するようにプログラムされた受信モジュールと、
    前記認証要求の受信を受けて1次認証システムで第1認証を最初に実施するように前記クライアントシステムをリダイレクトするようにプログラムされたリダイレクションモジュールと、
    前記第1認証が成功したことを証明する前記クライアントシステムからの前記第1認証のアサーションを受信するようにプログラムされたアサーションモジュールと、
    前記第1認証の前記アサーションの受信を受けて前記クライアントシステムで第2認証を実施するようにプログラムされた認証モジュールと、
    前記受信モジュール、前記リダイレクションモジュール、前記アサーションモジュール、及び前記認証モジュールを実行するように構成された少なくとも1つのプロセッサと、を含む、システム。
  11. 前記受信モジュールが、前記2次認証システムを介して前記クライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信することによって前記認証要求を受信するように構成される、請求項10に記載のシステム。
  12. 前記アクセスマネージャが、前記クライアントシステムからの保護リソースの要求を阻止した時点で前記認証要求を開始している、請求項11に記載のシステム。
  13. 前記1次認証システム及び前記アクセスマネージャが、共に単一企業ネットワーク内にインストールされて動作する、請求項11に記載のシステム。
  14. 前記2次認証システムが、前記単一企業ネットワーク外で動作するように構成されたサービスを含む、請求項13に記載のシステム。
  15. 前記認証モジュールが、前記第2認証の実施後に、前記第2認証のアサーションと同時に前記クライアントシステムを前記アクセスマネージャにリダイレクトするように更にプログラムされる、請求項11に記載のシステム。
  16. 前記アクセスマネージャが、前記第2認証の前記アサーションの受信後に前記クライアントシステムに保護リソースへのアクセスを許可するように構成される、請求項15に記載のシステム。
  17. 前記認証モジュールが、
    前記第1認証の前記アサーションからユーザ識別情報を取得する工程と、
    前記クライアントシステムから前記ユーザ識別情報を要求する代わりに前記ユーザ識別情報を使用して前記第2認証を実施する工程と、によって前記第2認証を実施するように更にプログラムされる、請求項10に記載のシステム。
  18. 前記1次認証システムが、前記クライアントシステムから認証クレデンシャルを受信し、前記第1認証の前記アサーションと同時に前記クライアントシステムを前記2次認証システムにリダイレクトする、請求項10に記載のシステム。
  19. コンピューティングデバイスの少なくとも1つのプロセッサによって実行されるとき、前記コンピューティングデバイスに、
    2次認証システムの一部として、クライアントシステムから認証要求を受信させ、
    前記認証要求の受信を受けて1次認証システムで第1認証を最初に実施するように前記クライアントシステムをリダイレクトさせ、
    前記第1認証が成功したことを証明する前記クライアントシステムからの前記第1認証のアサーションを受信させ、
    前記第1認証の前記アサーションの受信を受けて前記クライアントシステムと第2認証を実施させる、コンピュータで実行可能な命令の1つ以上を含む、コンピュータ可読記憶媒体。
  20. 前記コンピュータで実行可能な命令の1つ以上が、前記2次認証システムを介して前記クライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を前記コンピューティングデバイスに受信させることにより、前記コンピューティングデバイスに前記認証要求を受信させる、請求項20に記載のコンピュータ可読記憶媒体。
JP2015515276A 2012-06-11 2013-06-03 多要素認証を実施するためのシステム及び方法 Active JP5964501B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/493,619 2012-06-11
US13/493,619 US8806599B2 (en) 2012-06-11 2012-06-11 Systems and methods for implementing multi-factor authentication
PCT/US2013/043855 WO2013188146A1 (en) 2012-06-11 2013-06-03 Systems and methods for implementing multi-factor authentication

Publications (2)

Publication Number Publication Date
JP2015518228A true JP2015518228A (ja) 2015-06-25
JP5964501B2 JP5964501B2 (ja) 2016-08-03

Family

ID=49716385

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015515276A Active JP5964501B2 (ja) 2012-06-11 2013-06-03 多要素認証を実施するためのシステム及び方法

Country Status (5)

Country Link
US (1) US8806599B2 (ja)
EP (1) EP2859490B1 (ja)
JP (1) JP5964501B2 (ja)
CN (1) CN104364790B (ja)
WO (1) WO2013188146A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019514090A (ja) * 2016-03-30 2019-05-30 エアウォッチ エルエルシーAirwatch,Llc ユーザアカウントと企業ワークスペースとの関連付け

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150215319A1 (en) * 2014-01-30 2015-07-30 Symantec Corporation Authentication sequencing based on normalized levels of assurance of identity services
USD760756S1 (en) 2014-02-28 2016-07-05 Symantec Coporation Display screen with graphical user interface
GB2523851A (en) * 2014-04-23 2015-09-09 Validsoft Uk Ltd An authentication method
US20150373011A1 (en) * 2014-06-19 2015-12-24 Oracle International Corporation Credential collection in an authentication server employing diverse authentication schemes
US9756505B1 (en) 2015-06-08 2017-09-05 Symantec Corporation Systems and methods for utilizing authentication requests for on-demand provisioning of access-point accounts
US9614835B2 (en) 2015-06-08 2017-04-04 Microsoft Technology Licensing, Llc Automatic provisioning of a device to access an account
US9779230B2 (en) * 2015-09-11 2017-10-03 Dell Products, Lp System and method for off-host abstraction of multifactor authentication
GB201612038D0 (en) * 2016-07-11 2016-08-24 Lookiimedia (Uk) Ltd Providing access to structured stored data
US20180060333A1 (en) * 2016-08-23 2018-03-01 Google Inc. System and method for placement of virtual characters in an augmented/virtual reality environment
US10275590B2 (en) 2016-09-27 2019-04-30 Bank Of America Corporation Distributed trust as secondary authentication mechanism
WO2018075011A1 (en) * 2016-10-18 2018-04-26 Hewlett-Packard Development Company, L.P. Generating authentication assertions including an assurance score
US10904246B2 (en) * 2018-06-26 2021-01-26 International Business Machines Corporation Single channel input multi-factor authentication via separate processing pathways
US11190517B2 (en) 2018-08-08 2021-11-30 At&T Intellectual Property I, L.P. Access control based on combined multi-system authentication factors
US11228578B2 (en) * 2019-05-17 2022-01-18 International Business Machines Corporation Multi-factor authentication utilizing event data
US11496503B2 (en) 2019-05-17 2022-11-08 International Business Machines Corporation Event data fencing based on vulnerability detection
US11757892B2 (en) * 2020-11-03 2023-09-12 International Business Machines Corporation Generated story based authentication utilizing event data
CN113434836A (zh) * 2021-05-31 2021-09-24 深信服科技股份有限公司 一种身份认证方法、装置、设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006252418A (ja) * 2005-03-14 2006-09-21 Nec Corp 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム
JP2008541242A (ja) * 2005-05-06 2008-11-20 ベリサイン・インコーポレイテッド トークン共有システムおよび方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5944824A (en) * 1997-04-30 1999-08-31 Mci Communications Corporation System and method for single sign-on to a plurality of network elements
US8751801B2 (en) 2003-05-09 2014-06-10 Emc Corporation System and method for authenticating users using two or more factors
US20060235795A1 (en) * 2005-04-19 2006-10-19 Microsoft Corporation Secure network commercial transactions
JP4861417B2 (ja) * 2005-08-11 2012-01-25 サンディスク アイエル リミテッド 拡張ワンタイム・パスワード方法および装置
US7886346B2 (en) 2006-02-13 2011-02-08 Vmware, Inc. Flexible and adjustable authentication in cyberspace
US7739744B2 (en) * 2006-03-31 2010-06-15 Novell, Inc. Methods and systems for multifactor authentication
US20080052245A1 (en) 2006-08-23 2008-02-28 Richard Love Advanced multi-factor authentication methods
US9762576B2 (en) 2006-11-16 2017-09-12 Phonefactor, Inc. Enhanced multi factor authentication
US8590027B2 (en) * 2007-02-05 2013-11-19 Red Hat, Inc. Secure authentication in browser redirection authentication schemes
US8656472B2 (en) * 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
CN101330386A (zh) * 2008-05-19 2008-12-24 刘洪利 基于生物特征的认证系统及其身份认证方法
US20100077457A1 (en) 2008-09-23 2010-03-25 Sun Microsystems, Inc. Method and system for session management in an authentication environment
CN101834834A (zh) * 2009-03-09 2010-09-15 华为软件技术有限公司 一种鉴权方法、装置及鉴权系统
WO2011063014A1 (en) * 2009-11-17 2011-05-26 Secureauth Corporation Single sign on with multiple authentication factors
US8695076B2 (en) * 2010-03-19 2014-04-08 Oracle International Corporation Remote registration for enterprise applications
JP2013212051A (ja) * 2010-07-29 2013-10-17 Japan Tobacco Inc アグロバクテリウム菌を用いた、オオムギ属植物へ遺伝子導入を行う方法およびオオムギ属植物の形質転換植物の作成方法
US9413750B2 (en) * 2011-02-11 2016-08-09 Oracle International Corporation Facilitating single sign-on (SSO) across multiple browser instance
CN102176712A (zh) * 2011-02-14 2011-09-07 华为终端有限公司 一种身份认证的方法及数据卡
US8984605B2 (en) * 2011-08-23 2015-03-17 Zixcorp Systems, Inc. Multi-factor authentication
US8763154B2 (en) * 2012-01-23 2014-06-24 Verizon Patent And Licensing Inc. Federated authentication

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006252418A (ja) * 2005-03-14 2006-09-21 Nec Corp 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム
JP2008541242A (ja) * 2005-05-06 2008-11-20 ベリサイン・インコーポレイテッド トークン共有システムおよび方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019514090A (ja) * 2016-03-30 2019-05-30 エアウォッチ エルエルシーAirwatch,Llc ユーザアカウントと企業ワークスペースとの関連付け
US11075900B2 (en) 2016-03-30 2021-07-27 Airwatch Llc Associating user accounts with enterprise workspaces

Also Published As

Publication number Publication date
US20130333003A1 (en) 2013-12-12
US8806599B2 (en) 2014-08-12
CN104364790A (zh) 2015-02-18
EP2859490B1 (en) 2019-04-24
EP2859490A4 (en) 2015-12-23
WO2013188146A1 (en) 2013-12-19
CN104364790B (zh) 2017-06-20
JP5964501B2 (ja) 2016-08-03
EP2859490A1 (en) 2015-04-15

Similar Documents

Publication Publication Date Title
JP5964501B2 (ja) 多要素認証を実施するためのシステム及び方法
US20190199707A1 (en) Using a service-provider password to simulate f-sso functionality
US11444932B2 (en) Device verification of an installation of an email client
US11057364B2 (en) Single sign-on for managed mobile devices
US9882887B2 (en) Single sign-on for managed mobile devices
US10536447B2 (en) Single sign-on for managed mobile devices
US8689294B1 (en) Systems and methods for managing offline authentication
US20170126661A1 (en) Multi-factor authentication for managed applications using single sign-on technology
US20170126660A1 (en) Selectively enabling multi-factor authentication for managed devices
US8280955B1 (en) Systems and methods for handling client-server communications
JP6875482B2 (ja) レガシー統合のためのコンピュータ読み取り可能な記憶媒体ならびにそれを使用するための方法およびシステム
US20170331818A1 (en) Systems and methods for location-restricting one-time passcodes
US10298579B2 (en) Integrated hosted directory
US20120222093A1 (en) Partial authentication for access to incremental data
JP2017513274A (ja) ローカルネットワークデバイスへの安全なアクセスを提供するためのシステム及び方法
US11080385B1 (en) Systems and methods for enabling multi-factor authentication for seamless website logins
US9544287B1 (en) Systems and methods for performing authentication at a network device
US10360366B1 (en) Systems and methods for providing two-factor authentication with an enterprise gateway when an authentication server is unavailable
US11171957B2 (en) Integrated hosted directory
US9756505B1 (en) Systems and methods for utilizing authentication requests for on-demand provisioning of access-point accounts
US11140145B1 (en) Systems and methods for providing single sign-on capability
US10567387B1 (en) Systems and methods for managing computing device access to local area computer networks
US11095636B1 (en) Systems and methods for protecting passwords
US11831632B2 (en) Secure endpoint authentication credential control
US20220029991A1 (en) Integrated hosted directory

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141128

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141128

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20141210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160629

R150 Certificate of patent or registration of utility model

Ref document number: 5964501

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250