JP2022531872A - きめの細かいトークン・ベースのアクセス制御 - Google Patents

きめの細かいトークン・ベースのアクセス制御 Download PDF

Info

Publication number
JP2022531872A
JP2022531872A JP2021565850A JP2021565850A JP2022531872A JP 2022531872 A JP2022531872 A JP 2022531872A JP 2021565850 A JP2021565850 A JP 2021565850A JP 2021565850 A JP2021565850 A JP 2021565850A JP 2022531872 A JP2022531872 A JP 2022531872A
Authority
JP
Japan
Prior art keywords
access
application
token
server
restricted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021565850A
Other languages
English (en)
Other versions
JP7523469B2 (ja
JPWO2020225616A5 (ja
Inventor
スモルニー、マーティン
デュエル、トーマス
ベック、ミカエル
シェック、ユルゲン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2022531872A publication Critical patent/JP2022531872A/ja
Publication of JPWO2020225616A5 publication Critical patent/JPWO2020225616A5/ja
Application granted granted Critical
Publication of JP7523469B2 publication Critical patent/JP7523469B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

データ処理環境内のトークン・ベースの許可のためのコンピュータ実装方法が提供され得る。データ処理環境は、少なくともユーザ・システム、アプリケーション、認証サーバ、およびアクセス制御サーバを含む。本方法は、ユーザ・システム要求を介してアプリケーションにアクセスすることと、認証サーバにユーザ・アクセス要求をリダイレクトすることと、ユーザを認証することとを含み、認証証明が、制限付きエンタイトルメントを求める要求を含み、制限付きエンタイトルメントは、リソースについてのアクセス制御サーバによって管理される既存のエンタイトルメントのサブセットを表す。本方法はまた、認証サーバからアプリケーションにアクセス・トークンを送ることと、制限付きエンタイトルメントを含むアクセス・トークンを提供するアプリケーションによるオペレーションを起動すること、アクセス制御サーバを起動すること、および既存のエンタイトルメントのサブセットを含むトークンのスコープを提供することを含むオペレーションの実行を要求することとをも含む。

Description

本発明は、一般にはトークン・ベースの許可のための方法に関し、より詳細には、データ処理環境内のトークン・ベースの許可のためのコンピュータ実装方法に関する。本発明はさらに、データ処理環境内のトークン・ベースの認証のための関連するアクセス・システム、および関連するコンピュータ・プログラム製品を対象とする。
最近の10年間にわたって、トークン・ベースの認証および許可システムが進化してきた。これらのシステムでは、エンド・ユーザは、許可サーバに対して認証し、そのエンド・ユーザの権限を証明し、任意選択でそのエンド・ユーザの識別も証明する一時トークンを返す。このトークンは、たとえば、バックエンド・サービスを安全に起動するためにウェブ・ベースのユーザ・インターフェース(UI)によって使用される。証明はそうしたサービスに流れないので、トークン・ベースのシステムにより、同一の許可システムを活用し得る様々なベンダのサービスのためのエコシステムが可能となる。サービス間のより複雑な対話のために、サービスを通じてUIから別のダウンストリーム・サービスにトークンを渡すことも可能である。
トークン・データの部分として、ペイロードは通常、「スコープ」と呼ばれる許可のセットを搬送する。スコープは、様々なトークン・ベースのシステムで非常に様々に処理される。標準化の観点から、スコープについてのいくつかのキーワードだけが予約され、他の許可は許可フレームワーク次第である。こうしたフレームワークの多くは、しばしばサービス、コンポーネント、またはアクション、あるいはその組合せを記述するアクション・ベースのモデルまたは役割ベースのモデルあるいはその両方を適合させた。たとえば、「database.query.read」のような関数呼出しが、そのような潜在的スコープとなる。
本発明の一態様によれば、トークン・ベースの許可のためのコンピュータ実装方法が、少なくともユーザ・システム、アプリケーション、認証サーバ、およびアクセス制御サーバを含み得る。それによって、ユーザ・システムは、ネットワーク接続を介して、アプリケーションを実行中のサーバに接続され得、アプリケーションはオペレーションへのアクセスを与え得る。少なくともオペレーションはその識別子によって識別可能であり得る。
本方法は、ユーザ・システム要求を介してアプリケーションにアクセスすることと、認証サーバにユーザ・アクセス要求をリダイレクトすることと、認証サーバとアプリケーションとの間で交換された認証証明によってユーザを認証することとを含み得る。それによって、認証証明は、スコープの標準セマンティックを使用する制限付きエンタイトルメント(制限付き資格)を求める要求を含み得、制限付きエンタイトルメントは、リソースについてのアクセス制御サーバによって管理または制御される既存のエンタイトルメント(既存の資格)のサブセットを表し得る。
本方法は、認証が成功し、アプリケーションが認証サーバに登録された場合、認証サーバからアプリケーションにアクセス・トークンをリフレッシュ・トークンと共に送ることをさらに含み得、アクセス・トークンおよびリフレッシュ・トークンは制限付きエンタイトルメントを含む。
ユーザ・システムによって開始されたアプリケーションによるオペレーションの実行を要求することは、制限付きエンタイトルメントを含むアクセス・トークンを提供するアプリケーションによるオペレーションを起動すること、オペレーションによってアクセス制御サーバを起動すること、ユーザ・システムの識別子と、既存のエンタイトルメントのサブセットを含むトークンのスコープとをアクセス制御サーバに提供すること、アクセス制御サーバによって既存のエンタイトルメントをフィルタリングするためにエンタイトルメントのサブセットを使用して、結果としてオペレーションに対するユーザ・システムのアクセスを決定することを含み得る。
本発明の別の態様によれば、データ処理環境内のトークン・ベースの許可のための関連するアクセス・システムが提供され得る。
さらに、実施形態は、コンピュータもしくは任意の命令実行システムによって使用され、またはそれに関連して使用され、またはそれと共に使用されるプログラム・コードを提供するコンピュータ使用可能またはコンピュータ可読媒体からアクセス可能な、関連するコンピュータ・プログラム製品の形態を取り得る。この説明では、コンピュータ使用可能またはコンピュータ可読媒体は、命令実行システム、装置、またはデバイスによって使用され、またはそれに関連して使用され、またはそれと共に使用されるプログラムを記憶、通信、伝播、または移送するための手段を含み得る任意の装置であり得る。
本発明の実施形態が様々な主題を参照しながら説明されることに留意されたい。具体的には、いくつかの実施形態は、方法型クレームを参照しながら説明されるのに対して、他の実施形態は装置型クレームを参照しながら説明される。しかしながら、上記および以下の説明から、別段の通知がない限り、あるタイプの主題に属する特徴の任意の組合せに加えて、様々な主題に関する特徴の間の、具体的には方法型クレームの特徴と装置型クレームの特徴の間の任意の組合せも本文書内で開示されると見なされることを当業者は知ることになる。
上記で定義される態様、および本発明の別の態様は、以下で説明される実施形態の例から明らかであり、実施形態の例を参照しながら説明されるが、本発明は実施形態の例に限定されない。
単に例として、以下の図面を参照しながら、本発明の好ましい実施形態が説明される。
データ処理環境内のトークン・ベースの許可のための本発明のコンピュータ実装方法の一実施形態のブロック図である。 ここで提案される概念の基礎となる対話モデルのブロック図である。 代替の開始対話の一実施形態のブロック図である。 図3に関する説明的な通信ダイアグラムである。 クライアントが限定エンタイトルメントを有するリソース所有者についてのアクセス・トークンまたはリフレッシュ・トークンあるいはその両方を取り出す、代替の対話のブロック図である。 クライアント204がそれによってセキュアでないコンポーネント208に対するオペレーションを起動する、第2のタイプの対話600のブロック図である。 図6に関する説明的な通信ダイアグラムである。 信頼できないコンポーネントがリソース・サーバ1およびリソース・サーバ2と対話する、第3のタイプの対話のブロック図である。 図8に関する説明的な通信ダイアグラムである。 リソース・サーバ1およびリソース・サーバ2がアクセス制御サーバと対話する、第4のタイプの対話のブロック図である。 図10に関する説明的な通信ダイアグラムである。 従来のアクセス制御サーバ決定エンジンの例示的擬似コード・セグメントを示す図である。 ここで提案されるアクセス制御サーバ決定エンジンの例示的擬似コード・セグメントを示す図である。 データ処理環境内のトークン・ベースの許可のためのアクセス・システムのブロック図である。 ここで説明されるコンポーネントのためのプログラム・コードを実行するのに適したコンピューティング・システムの一実施形態を示す図である。
この説明の文脈では、以下の規約、用語、または表現、あるいはその組合せが使用され得る。
「トークン・ベースの許可」という用語は、ユーザがそれに対してユーザの認証を証明した認証サーバから、トークンとして示される一時データ構造をユーザがそれによって受信し得る機構を示し得る。そのようなトークンは、たとえば他のサーバ・システム上の、事前定義されたシステム、アプリケーション、またはサービス、あるいはその組合せにアクセスすることをユーザに許可し得る。
「ユーザ・システム」という用語は、ここでは通常、エンド・ユーザによって操作されるパーソナル・コンピュータ、モバイル・デバイス、または任意の他のコンピュータ化されたシステムのような、ユーザが操作するデバイスを示し得る。
「アプリケーション」という用語は、ユーザ・システムからアクティベートされた後に1つまたは複数のサービスおよび機能を配信する実行可能なソフトウェア・コードを示し得る。通常、アプリケーションは、サーバ・システム、たとえばデータ・センタ内で、またはクラウド・コンピューティング・パラダイム下で、あるいはその両方で動作するサーバ・システム上で管理および実行され得る。したがって、サーバ・システムは通常、ユーザ・システムからリモートで動作し得る。
「認証サーバ」という用語は、(たとえば、ウェブ・ブラウザを使用することによって)ユーザ・システムを操作するエンド・ユーザが、事前定義されたアプリケーションおよびサービスにアクセスすることを許可されるようにエンド・ユーザ自身をそれに対して認証し得る、(通常はユーザ・システムおよびサーバ・システムに対する第3者によって操作される)信頼できるコンピューティング環境を示し得る。
「アクセス制御サーバ」という用語は、アプリケーションまたはアプリケーションを使用するユーザ・システムに対して特定のサービスへのアクセスを許可または拒否するように動作可能なハードウェアまたはソフトウェア・システムを示し得る。
「オペレーション」という用語は、アプリケーションの単一の機能、あるいは1つまたは複数のアプリケーションの複数の機能またはサービスあるいはその両方を示し得る。オペレーションのタイプは、アクセスのスコープによって定義され、または制限され、あるいは定義および制限され得る。オペレーションの例は、データベース読取り、データの指定のサブセットを読み取ること、こうしたデータを操作すること、データを組み合わせること、コンテンツ管理システムで検索を実行すること、および指定のネットワーク・アドレスにアクセスすること、ならびにさらに多くのソフトウェアまたはハードウェアあるいはその両方でサポートされるサービスまたは機能あるいはその両方であり得る。
「認証証明」という用語は、事前定義された機能およびサービスにアクセスすることをエンド・ユーザに許可するためにエンド・ユーザ(または関連するシステム)によって使用されるデータのセットを示し得る。
「制限付きエンタイトルメント」という用語は、ユーザ・システムまたは関連するエンド・ユーザあるいはその両方が、エンティティを提供するアプリケーションまたはサービスのすべての利用可能な機能と比較した場合に限定される機能にアクセスでき得るだけであり、または機能を使用し得るだけであり、あるいはその両方であることを指すことがある。したがって、エンド・ユーザは、機能またはサービスの全セットを使用する資格がなく、制限付きのサブセットだけを使用する資格があることがあり、たとえばデータを読み取るが、データを変更せず、アプリケーションもこれを実行するよう構成され得る。
「スコープ」という用語は、ユーザ・システムまたは関連するエンド・ユーザ、あるいは一般にはシステム・ユーザがアクセスでき得るサービスまたは機能あるいはその両方の定義済みのセットを示し得る。スコープは、リソースから利用可能なサービスおよび機能の完全なセットであり得、またはサブセットのみに限定され得る。
「標準セマンティック」という用語は、ここでは、たとえばバージョン2のOAuthのような標準化許可システムの、コマンドおよび機能の定義済みのセットを示し得る。しかしながら、他のバージョンもサポートされ得る。
「OAuth2」という用語は、インターネット・ユーザがウェブサイトまたはアプリケーションあるいはその両方に、パスワードを与えることなく他のウェブサイト上のインターネット・ユーザの情報にアクセスすることを許可するための方式として一般に使用される、アクセス委任(access delegation)についての既知のオープン・スタンダードを示し得る。この機構は、ユーザのアカウントについての情報を第3者アプリケーションまたはウェブサイトと共有することをユーザに許可するために公共のインターネット・サイトによって広く使用されている。一般に、標準のバージョン2を示すOAuth2は、リソース所有者に代わって、リソースへの「セキュア委任アクセス」をクライアントに提供し得る。OAuth2は、リソース所有者が、リソース所有者の証明(すなわち、認証証明)を共有することなく、リソース所有者のリソース、すなわちサービスおよび機能への第3者アクセスを許可するためのプロセスを指定し得る。通常、許可サーバによってユーザ・システムに発行されたアクセス・トークンは、リソース所有者の承認を確認するために使用される。第3者、すなわち第3者の関連するユーザ・システムを伴うエンド・ユーザは、アクセス・トークンを使用して、サーバによってホストされる、保護されたリソースにアクセスし得る。
さらに、OAuth2の好ましいトークン・ベースの実装環境のいくつかの用語(具体的には役割)もここで定義され得る。
基本的には、使用される役割は、OAuth2仕様RFC 6749で説明されており、https://tools.ietf.org/html/rfc6749と比較されたい。
リソース所有者(たとえば、エンド・ユーザ、システム・ユーザ)は、保護されたリソースへのアクセスを許可することのできるエンティティであり得る。リソース所有者が人であるとき、リソース所有者はエンド・ユーザと呼ばれる。
リソース・サーバ(すなわち、サービス)は、アクセス・トークンを使用する、保護されたリソース要求を受け入れ、応答することのできる、保護されたリソースをホストするサーバであり得る。ここで提案される概念では、リソース・サーバは、渡されたトークンに基づくオペレーションが許可されるか、それとも拒否されるかを判定するのを助け得るアクセス制御サーバに接続され得る。
クライアントは、リソース所有者の代わりに、リソース所有者の許可と共に、保護されたリソース要求を行うアプリケーションであり得る。「クライアント」という用語は、何らかの実装特徴を示唆するわけではなく、すなわち、これはウェブ・ベースのアプリケーション、デスクトップ・アプリケーション、または異なるデバイス上で動作中のアプリケーションであり得る。
許可サーバは、首尾よくリソース所有者(エンド・ユーザ)を認証し、許可を得た後に、クライアントにアクセス・トークンを発行するサーバであり得る。許可サーバは、リソース・サーバと同一のサーバ、または別々のエンティティであり得る。単一の許可サーバが、複数のリソース・サーバによって受け入れられるアクセス・トークンを発行し得る。
信頼できないコンポーネントは、(ここで説明される概念では、OAuth2で定義される役割に加えて)リソース所有者の代わりにスクリプトを実行し得る。このために、信頼できないコンポーネントは、リソース所有者のアクセス・トークンを受け取り、1つまたは複数のリソース・サーバを呼び出すためにそれを使用する。
アクセス制御サーバは(OAuth2で定義される役割に加えて)、渡されたトークンからのプロパティを以前に作成されたポリシーと比較することによって、アクセス要求を評価する際にリソース・サーバをサポートすることを意味し得る。
さらに、OAuth2による単一の許可サーバの機能が、よりきめの細かい許可およびアクセス制御のために、ここで提案される概念の文脈では、認証サーバおよびアクセス制御サーバに分割されていることに留意することができる。
データ処理環境内のトークン・ベースの認証のための提案されるコンピュータ実装方法は、複数の利点および技術的効果を提供し得る。
提案される概念は、リソース管理ポリシーに対するきめの細かいアクセス制御を可能にするトークン・ベースの許可モデルを使用する識別とアクセス管理(Identity and Access Management, IAM)システムにシームレスに統合され得る。そのようなモデルによれば、トークンは、実施されるオペレーションのアクタ(すなわち、エンド・ユーザ)を識別し得るだけであるが、起動されたサービスに任意のアクセス制御を委任し得る。トークン自体は、許可プロパティの最小セットを含み得るだけであり、たとえばサービスまたは機能あるいはその両方を起動するためにトークンが使用され得るか否かを示し得るだけである。
さらに、いくつかのシナリオでは、トークンは、オペレーションを実行するために潜在的に信頼できないコンポーネントにハンドオーバされ得る。コンポーネントの異常動作の潜在的な影響を限定するために、提案される概念は、トークンの許可を限定するための洗練された方式を開示し、その結果、そのようなトークンを受け取るサービスは、特定のサービス・タイプ、サービス・インスタンス、リソース・タイプ、またはリソース・インスタンス、あるいはその組合せのリスト上のオペレーションを許可するだけとなる。そのようなリストはこれらの異なるタイプを混合し得る。ターゲット・サービスおよびその許可コンポーネントは、こうした限定を効果的に尊重するように「内部で」修正される。許可の関連する制限は、そのトークンのみによってスコーピングされ得、他のトークンは、そのユーザの許可の全セットに基づいて実行オペレーションを引き続き許可する。
ここで使用されるトークンは、時間依存常時区切りされる(time-dependent all-time-delimited)有効性を有し得ることにも留意されたい。したがって、アクセス・トークンまたは認証トークンあるいはその両方と同じオペレーション原理の下にあり得るリフレッシュ・トークンも使用され得る。
したがって、提案される概念の一般的概念は、トークン・スコープの特定のセマンティックを定義し、トークン・セマンティック・スコープを適用することによって既存のエンタイトルメントを変更することなくアクセス制御を修正することにより、リソース所有者の既存のエンタイトルメントのサブセットへのトークンのアクセスを、サービス・インスタンスまたはリソース・インスタンスあるいはその両方に制限することである。したがって、定義済みの既存のエンタイトルメントは、そのまま存在し続け得、より区切られた機能またはサービスあるいはその両方の追加のサブセットを定義する必要があり得るだけである。
したがって、サービス名によって識別される、サービスへのアクセスのみを限定し得るOAuth2に関する現在利用可能なアクセス制御が、以下のような、現時点では利用可能でなくOAuth2の標準外にある複数の追加のアクセス限定に向上し得る。
・サービス内のリソース・タイプへの限定されたアクセス
<サービス名>.<リソース・タイプ>、たとえばkubernetes.pods、
・サービス・インスタンス内のリソース・タイプへの限定されたアクセス
<サービス名>:<サービス・インスタンス>.<リソース・タイプ>、たとえばkubernetes:6271293102982712.pods
・サービス内のリソースへの限定されたアクセス
<サービス名>.<リソース・タイプ>:<リソース>、たとえばkubernetes.pods:mypod、
・サービス・インスタンス内のリソースへの限定されたアクセス
<サービス名>:<サービス・インスタンス>.<リソース・タイプ>:<リソース>、たとえばkubernetes:6271293102982712.pods:mypod、
従来のOAuth2手法では以下のアクセス制限だけが利用可能である。
・<サービス名>のみのサービス、たとえばkubernetesへの限定されたアクセス、
・<サービス名>.<アクション>のみのサービスのアクション、たとえばdatabase.readへの限定されたアクセス。
さらに、トークンが限定エンタイトルメントのみと共に作成され得、したがって、潜在的に盗まれたトークンはより短いブラスト半径を有する。たとえば、トークンを処理するモバイル・アプリケーションは、同じモバイル・デバイス上の悪意のあるappによってデバッグまたはハッキングされ得る。エンタイトルメントの限定されたセットを有することは、その盗まれたトークンの潜在的なブラスト半径を削減する助けとなり得る。
推奨されないとしても、いくつかのウェブ・アプリケーションは、クライアント側に、すなわちブラウザのJavaスクリプト・クライアント内にトークンを保つ。ここでも、限定エンタイトルメントを有するトークンは、クロスサイト・スクリプティング攻撃のケースにおいて、より小さい潜在的な破壊的半径を有する。
方法の好ましい実施形態によれば、標準セマンティックはOAuth2に基づく。したがって、ここで提案される概念について使用される基礎が、サービスおよび機能へのアクセスのよりきめの細かい制御を可能にするアクセス制御機構を実装するために、既により粗いアクセス制御機構を改良または改善することによって、プロトコルおよび機能の既に明確なセット内に統合され得る。したがって、(現在はバージョン2で利用可能な)広く使用されているOAuthセキュリティ機能が向上し、改善される。ここで提案される向上は、OAuthの後のバージョンでも使用され得ることが予想され得る。
方法の1つの有利な実施形態によれば、アプリケーションは、セキュアでないコンポーネント、たとえばJupyter Notebookまたは類似したものであり得る。Jupyter NotebookまたはJupyter文書は、コンピュータ・コードと、パラグラフ、式、図、リンクなどを伴うリッチ・テキスト要素の両方を含み得る、周知のJupyter Notebook Appによって作られた文書を示し得る。それによって、Jupyter Notebook Appは、たとえばウェブ・ブラウザを介してサーバ・システム上でノートブック文書を編集および実行することを可能にし得るサーバ-クライアント・アプリケーションであり得る。
方法の1つの有用な実施形態によれば、制限付きエンタイトルメントを求める要求は、認証証明内に第1の要求を含み得、第1の要求は既存のエンタイトルメントの最大サブセットを含み得る。したがって、初期許可は、サービスおよび機能の完全なセットにアクセスすることを許可し得、サブセットまたは制限付きエンタイトルメントに制限されないことがある。そのような制限は、限定を伴うリフレッシュ・トークンを要求することによって後で定義または要求され得る。
方法の別の有用な実施形態によれば、リフレッシュ・トークン(および関連するアクセス・トークン)を求める後続の要求(すなわち、初期要求の後でアプリケーションまたは機能もしくはサービスあるいはその両方にアクセスすること)は、別の制限付きエンタイトルメントを求める要求をも含み得る。このようにして、第1のアクセスと後続のアクセスとの間の区別が洗練された方式で管理され得る。
方法の寛容な実施形態によれば、オペレーションは、事前定義されたデータへのアクセス、データベース・アクセス、ファイル・アクセス、事前定義されたアプリケーション・プログラミング・インターフェース(たとえば、何らかの特定の解析または機械学習機能)、またはネットワークの特定のサブネットへのアクセス、あるいはその組合せを含むグループから選択された少なくとも1つを含み得る。一般には、オペレーションは、コンピューティング環境内で利用可能な任意の利用可能な低レベル機能、サービス、またはリソースに関係付けられ得る。
方法の1つの有利な実施形態によれば、アクセス・トークンは、事前定義された有効時間を有し得る。したがって、アクセスが引き続き許可される場合、たとえば関連するリフレッシュ・トークンによって、許可をリフレッシュしなければならない。有効時間は、デフォルト・トークン存続時間よりも著しく短くされ得る。
方法の別の有利な実施形態によれば、事前定義された有効時間は、特権のあるユーザ・システムによって更新可能であり得る。したがって、コンピューティング環境内のリソース、機能、またはサービスあるいはその組合せのグループに対する任意の他のアクセス制御と同様に、きめの細かいアクセス制御が管理可能であり得る。既存のIAMシステムが、このタスクのために使用され得る。
以下では、図の詳細な説明が与えられる。図中のすべての命令は概略的なものである。最初に、データ処理環境内のトークン・ベースの許可のための本発明のコンピュータ実装方法の一実施形態のブロック図が与えられる。その後で、別の実施形態、ならびにデータ処理環境内のトークン・ベースの許可のためのアクセス・システムの実施形態が説明される。
図1は、データ処理環境内のトークン・ベースの許可のためのコンピュータ実装方法100の一実施形態のブロック図を示す。データ処理環境は、少なくともユーザ・システム、アプリケーション、認証サーバ、およびアクセス制御サーバを備える。ユーザ・システムは、ネットワーク接続を介して、アプリケーションを実行中のサーバに接続される。アプリケーションは、オペレーションへのアクセス(たとえば、データベース・アクセス)を提供し、少なくともオペレーションがその識別子によって識別可能である。
本方法は、ユーザ・システム要求を介して(たとえば、ウェブ・ブラウザを介して)アプリケーションにアクセスすること(102)、認証サーバにユーザ・アクセス要求をリダイレクトすること(104)、および認証サーバとアプリケーションとの間で交換された認証証明によってユーザを認証すること(106)を含む。それによって、認証証明は、(OAuth2.0用語(terminology)による)スコープの標準セマンティック(具体的には、OAuth2)を使用する制限付きエンタイトルメントを求める要求を含み、制限付きエンタイトルメントは、リソースについてアクセス制御サーバによって管理される既存のエンタイトルメントのサブセットを表す。制限付きエンタイトルメントのために必要とされるデータは、標準セマンティック、すなわち使用される標準プロトコル(すなわち、OAuth2)に埋め込まれ、または標準セマンティックの部分であり得る。
方法100は、認証が成功し、アプリケーションが認証サーバに登録された場合、認証サーバからアプリケーションにアクセス・トークンをリフレッシュ・トークンと共に送ること(108)をさらに含み、アクセス・トークンおよびリフレッシュ・トークンは制限付きエンタイトルメントを含む。
さらに、本方法は、ユーザ・システムによって開始されたアプリケーションによるオペレーションの実行を要求すること(110)を含み、要求することは、制限付きエンタイトルメントを含むアクセス・トークンを提供するアプリケーションによるオペレーションを起動すること(112)、オペレーションによってアクセス制御サーバを起動すること(114)、ユーザ・システムの識別子と、既存のエンタイトルメントのサブセットを含むトークンのスコープとをアクセス制御サーバに提供すること(116)、およびアクセス制御サーバによって既存のエンタイトルメントをフィルタリングするためにエンタイトルメントのサブセットを使用して、結果としてオペレーションに対するユーザ・システムのアクセスを決定すること(118)を含む。
図の説明を続ける前に、限定エンタイトルメントのここで説明される構文およびセマンティックが説明されるべきである。好ましい実装での限定エンタイトルメントのセマンティックおよび構文を理解するために、たとえばIBM Cloud(TM)およびそのIdentity and Access Management(IAM)システム内で使用されるときのCloud Resource Names (CRN)の理解が有用である。
エンタイトルメント、CRN、およびIAMは今日、以下のように特徴付けられ得る。たとえばクラウド環境内の任意のサービスおよびリソースが、CRNを介して一意に識別可能である。CRNの基本正準フォーマットは以下の通りである。
crn:<version>:<cname>:<ctype>:<service-name>:<location>:<scope>:<service-instance>:<resource-type>:<resource>
パラメータは表1に記載されている。
Figure 2022531872000002
Cloud IAMのアクセス制御コンポーネントはポリシー内に許可を記憶する。ポリシーは、個々のユーザが、クラウド・コンピューティング環境内のサービスまたはリソースにアクセスすることを可能にする。サンプル・ポリシーは以下のようになる。
Identity: IBMid-2700XYZ
Role: Administrator
Target:crn:v1:bluemix:public:kubernetes::a/1234::::
このポリシーは、識別「IBMid-2700XYZ」を有するユーザが、アカウント「1234」内のサービス・タイプ「kubernetes」に属する任意のサービスまたはリソースに関して役割「administrator」がカバーする任意のアクションを行うことを可能にする。
あるアクションが許可されるかどうかをサービスが判断したいとき、サービスは以下の情報をアクセス制御サーバに提供する:識別/アカウント/必要なアクション/ターゲット・リソース/スコープ。
今日、スコープがキーワード「ibm」を含む場合、またはスコープがターゲット・リソース内部で使用されるサービス名を含む場合、第1のチェックが完了する。そうでない場合、ポリシー・チェックは「deny」を返す。次に、すべての潜在的な適用ポリシーが、アカウントおよび識別に基づいて評価される。合致するポリシーが見つかった場合、ポリシー・チェックは「PERMIT」を返す。
特定の識別子は例に過ぎないことを明確にすべきである。ここで提案される概念の範囲から離れることなく、任意の他の識別子または変数あるいはその両方が使用され得る。
図2は、ここで提案される概念の基礎となる対話モデル200のブロック図を示す。リソース所有者202(通常はウェブ・ブラウザの正面に座るエンド・ユーザ)がクライアント204(通常はエンド・ユーザにサービスを提供しているウェブ・アプリケーション)と対話している。対話型のログイン体験のために、リソース所有者202は、クライアントのアクセス要求の認証および許可のために認証サーバ206にリダイレクトされる。クライアント204(通常はウェブ・アプリケーション)は認証サーバ206と対話して、アクセス・トークンを取り出し、またはリフレッシュする。さらに、ここで提案される概念の部分として、クライアント204は、信頼できないコンポーネント208とも対話して、オペレーションを実行する。
信頼できないまたはセキュアでないコンポーネント208は、リソース・サーバ1、210およびリソース・サーバ2、212と対話して、そのオペレーションを実行する。リソース・サーバ1、210およびリソース・サーバ2、212は、アクセス制御サーバ214と対話して、要求されたオペレーションが許可されるか、それとも拒否されるかを判定する。
以下の好ましい実装では、例示的な2つのリソース・サーバ210、212(さらに多くが使用され得る)が、表2に従って、例示的な以下のサービス・タイプ、サービス・インスタンス、リソース・タイプ、およびリソース・インスタンスを使用している。
Figure 2022531872000003
ここで提案される概念での対話を実行するために、以下のステップが必要とされ得る。
1.クライアント204が、限定エンタイトルメントを有する(OAuth2規格によってカバーされる)リソース所有者202についてのアクセス・トークンおよびリフレッシュ・トークンを取り出す(新規な概念の部分)。
2.クライアント204が、信頼できないコンポーネントに対するオペレーションを起動する(ウェブ環境内の通常の挙動)。
3.信頼できないコンポーネント210がリソース・サーバ1、210および2、212と対話する(ウェブ環境内の通常の挙動)。
4.リソース・サーバ1、210およびリソース・サーバ2、212がアクセス制御サーバ214と対話して、要求されたオペレーションが許可されるべきか否かを判断する(新規な概念の部分)。
前提条件が挙げられ得るとき:リソース・サーバ1、210とリソース・サーバ2、212の両方の上のリソースにリソース所有者202がアクセスすることを可能にするアクセス制御サーバ214に関するポリシーが、リソース所有者202に割り当てられた。これらのポリシーは、以下の対話、すなわちここで新しく提案される概念の部分の間に変更されない。
図3は、代替の開始対話の一実施形態のブロック図300を示し、クライアント204が、限定エンタイトルメントを有するリソース所有者202についてのアクセス・トークンまたはリフレッシュ・トークンあるいはその両方を取り出す。クライアント204は、OAuth2規格に記載の許可タイプのうちの1つによって、リソース所有者202についてのアクセス・トークンまたはリフレッシュ・トークンあるいはその両方を取り出す。さらに、新規な概念の部分として、クライアント204は、生成されるアクセス・トークンの潜在的アクセスを限定するために、許可サーバ206にエンタイトルメントのリストを既に渡している。トークン作成中にスコープのリストを指定することは、OAuth2規格の部分であるが、スコープのセマンティック、および後の対話での使用は、ここで新しく提案される概念の部分である。このサンプル対話では、制限付きエンタイトルメントのリストは、ただ1つの要素「COS:1.bucket:123」であると仮定され得る。
図4は、クライアント204、認証サーバ206、およびリソース所有者202をそれぞれのメッセージ・フローと共に示す、関連する説明的な通信ダイアグラム400を示す。
図5は、クライアント204が限定エンタイトルメントを有するリソース所有者202についてのアクセス・トークンまたはリフレッシュ・トークンあるいはその両方を取り出す、代替の対話500のブロック図を示す。クライアント204は、OAuth2規格に記載の許可タイプのうちの1つによって、リソース所有者202についてのアクセス・トークンまたはリフレッシュ・トークンあるいはその両方を取り出す。後続のステップでは、クライアント204は、refresh_token許可タイプを使用してアクセス・トークンまたはリフレッシュ・トークンあるいはその両方をリフレッシュし、生成されるアクセス・トークンおよびリフレッシュ・トークンの潜在的アクセスを限定するために、許可サーバ206に制限付きエンタイトルメントのリストを渡す。トークン・リフレッシュ中にスコープのリストを指定することは、OAuth2規格の部分であるが、スコープのセマンティック、および後の対話での使用は、ここで新しく提案される概念の部分である。このサンプル対話では、制限付きエンタイトルメントのリストは、ただ1つの要素「COS:1.bucket:123」であると仮定され得る。
図6は、クライアント204がそれによってセキュアでないコンポーネント208に対するオペレーションを起動する、第2のタイプの対話600のブロック図である。図3、4、5による対話の後、限定エンタイトルメントのセットを搬送するアクセス・トークンがある。この説明では、アクセス・トークンがリソース・サーバ2、212にアクセスするためのエンタイトルメントを含むが、リソース・サーバ1、210にアクセスするためのエンタイトルメントを含まないと仮定され得る。
クライアント204は、セキュアでない、または信頼できないコンポーネント208に対するオペレーションを起動する。信頼できないコンポーネント208は、たとえば、他者によって開発され、信頼できると検討または検証されていないスクリプトである。信頼できないコンポーネント208の呼出しは、ここで提案される概念の部分である、限定エンタイトルメントを有するアクセス・トークンを含む。
図7は、クライアント204およびセキュアでないコンポーネント208をそれぞれのメッセージ・フローおよび処理と共に示す、関連する説明的な通信ダイアグラム700を示す。
図8は、信頼できないコンポーネント208がリソース・サーバ1、210およびリソース・サーバ2、212と対話する、第3のタイプの対話のブロック図800を示す。信頼できないコンポーネント208の実行の部分として、スクリプトが、リソース・サーバ1、210に対するオペレーションを開始し、限定エンタイトルメントを有するアクセス・トークンを提供する。通常処理の部分として、リソース・サーバ1、210は、アクセス制御サーバ214と対話して、アクセス・トークンによって表されるリソース所有者がオペレーションを実行し得るかどうかを判定する。リソース・サーバ1、210は、ここで提案される概念の明示的コンポーネントであるオペレーションを実行するために、アクセス・トークン内部の識別、アクセス・トークン(COS:1.bucket:123)のエンタイトルメント(スコープ)、およびターゲット・リソース(たとえば、crn:v1:bluemix:public:COS::a/1234:1:bucket:123)を提供している。
アクセス・トークン内部のエンタイトルメントおよび既存のポリシーに基づいて、アクセス制御サーバ214はオペレーションを許可すると判定する。アクセス・トークンの(COS:1.bucket:123)エンタイトルメント(スコープ)がターゲット・リソース(crn:v1:blumix:public:COS::a/1234:2:bucket:456)に合致しないので、リソース・サーバ2、212との類似の対話は「DENY」を返す。
図9は、信頼できないコンポーネント208、リソース・サーバ1、210、およびリソース・サーバ2、212をそれぞれのメッセージ・フローおよび処理と共に示す、関連する説明的な通信ダイアグラム900を示す。
図10は、リソース・サーバ1、210およびリソース・サーバ2、212がアクセス制御サーバ214と対話する、第4のタイプの対話1000のブロック図を示す。信頼できないコンポーネント208はリソース・サーバ1、210に対するオペレーション、次いでリソース・サーバ2、212に対するオペレーションを開始し、限定エンタイトルメントを有するアクセス・トークンを提供する。この場合も、通常のOAuth2処理の部分として、リソース・サーバ210、212はアクセス制御サーバ214と対話して、オペレーションの実行が許可されるかどうかを判定する。リソース・サーバ210、212は、オペレーションを実効するために、アクセス・トークンのエンタイトルメント(スコープ)内部の識別、およびターゲット・リソースを提供している。
トークン内部の制限付きエンタイトルメントがリソース・サーバ2、212のサービス・インスタンスを含まないので、アクセス制御サーバ214は、アクセス・トークン内部の識別のポリシーがシステム内の合致するポリシーを有するとしても、やはりここで新しく提案される概念の明示的部分である、リソース・サーバ2、212のオペレーションを拒否すると判断する。
図11は、リソース・サーバ1、210、リソース・サーバ2、212、およびアクセス制御サーバ214をそれぞれのメッセージ・フローおよび処理と共に示す、関連する説明的な通信ダイアグラム1100を示す。
次の2つの図12、13は、ここで提案される概念(図13)について必要とされるものと比較した、従来のアクセス制御サーバ決定エンジン(図12)の擬似コード・セグメントの比較を示す。容易に理解できるように、制限付きエンタイトルメントについての正しいきめの細かいアクセス制御のための、より複雑な判定が必要とされる。しかしながら、標準のOAuth2アクセス制御と比べた場合、これによって、より柔軟でセキュアなリソース管理が保証される。
完全性のために、図14は、データ処理環境内のトークン・ベースの認証のためのアクセス・システム1400のブロック図を示す。データ処理環境は、少なくともユーザ・システム、アプリケーション、認証サーバ、およびアクセス制御サーバ(すべて図示せず)を備える。それによって、ユーザ・システムは、ネットワーク接続を介して、アプリケーションを実行中のサーバに接続され、アプリケーションはオペレーションへのアクセスを提供する。少なくともオペレーションがその識別子によって識別可能である。ここで論じるすべてのコンポーネントが、コンポーネントを接続するネットワークに接続されることにも留意することができる。
アクセス・システム1400は、ユーザ・システム要求を介してアプリケーションにアクセスするように適合されたアクセス・モジュール1402と、認証サーバ206にユーザ・アクセス要求をリダイレクトするように適合されたリダイレクティング・モジュール1404とを備える。認証サーバ206は、認証サーバとアプリケーションとの間で交換された認証証明によってユーザを認証するように適合され、認証証明は、スコープの標準セマンティックを使用する制限付きエンタイトルメントを求める要求を含み、制限付きエンタイトルメントは、リソースについてアクセス制御サーバによって管理される既存のエンタイトルメントのサブセットを表す。
アクセス・システム1400は、認証が成功し、アプリケーションが認証サーバ206に登録された場合、認証サーバ206からアプリケーションにアクセス・トークンをリフレッシュ・トークンと共に送るように適合された送信側をさらに備え、アクセス・トークンおよびリフレッシュ・トークンは制限付きエンタイトルメントを含む。
それによって、ユーザ・システムは、ユーザ・システムによって開始されたアプリケーションによるオペレーションの実行を要求するように適合され、オペレーションの実行を要求することは、制限付きエンタイトルメントを含むアクセス・トークンを提供するアプリケーションによるオペレーションを起動すること、オペレーションによってアクセス制御サーバを起動すること、ユーザ・システムの識別子と、既存のエンタイトルメントのサブセットを含むトークンのスコープとをアクセス制御サーバ214に提供すること、アクセス制御サーバ214によって既存のエンタイトルメントをフィルタリングするためにエンタイトルメントのサブセットを使用して、結果としてオペレーションに対するユーザ・システムのアクセスを決定することを含む。
本発明の実施形態は、プログラム・コードを記憶または実行あるいはその両方を行うのに適したプラットフォームの如何に関わらず、ほぼ任意のタイプのコンピュータと共に実装され得る。図15は、一例として、提案される方法に関するプログラム・コードを実行するのに適したコンピューティング・システム1500を示す。処理環境のほぼ任意のコンポーネントが、図15によるコンピューティング・システムによって表され得る。
コンピューティング・システム1500は、適切なコンピュータ・システムの一例に過ぎず、コンピュータ・システム1500が上記で述べられた機能のいずれかを実装または実施あるいはその両方を行うことができるかどうかの如何に関わらず、本明細書で説明される本発明の実施形態の使用または機能の範囲に関する何らかの限定を示唆するものではない。コンピュータ・システム1500では、多数の他の汎用または専用コンピューティング・システム環境または構成と共に動作可能なコンポーネントがある。コンピュータ・システム/サーバ1500と共に使用するのに適していることがある周知のコンピューティング・システム、環境、または構成、あるいはその組合せの例には、限定はしないが、パーソナル・コンピュータ・システム、サーバ・コンピュータ・システム、シン・クライアント、シック・クライアント、ハンドヘルドまたはラップトップ・デバイス、マルチプロセッサ・システム、マイクロプロセッサ・ベースのシステム、セット・トップ・ボックス、プログラム可能コンシューマ・エレクトロニクス、ネットワークPC、ミニコンピュータ・システム、メインフレーム・コンピュータ・システム、および上記のシステムまたはデバイスのいずれかを含む分散型クラウド・コンピューティング環境が含まれる。コンピュータ・システム/サーバ1500は、コンピュータ・システム1500によって実行される、プログラム・モジュールなどのコンピュータ・システム実行可能命令の一般的文脈で説明され得る。一般に、プログラム・モジュールは、特定のタスクを実施し、または特定の抽象データ・タイプを実装するルーチン、プログラム、オブジェクト、コンポーネント、ロジック、データ構造などを含み得る。コンピュータ・システム/サーバ1500は、通信ネットワークを通じてリンクされるリモート処理デバイスによってタスクが実施される、分散型クラウド・コンピューティング環境で実施され得る。分散型クラウド・コンピューティング環境では、プログラム・モジュールは、メモリ記憶デバイスを含む、ローカル・コンピュータ・システム記憶媒体とリモート・コンピュータ・システム記憶媒体の両方に配置され得る。
図に示されるように、コンピュータ・システム/サーバ1500が汎用コンピューティング・デバイスの形態で示されている。コンピュータ・システム/サーバ1500のコンポーネントには、限定はしないが、1つまたは複数のプロセッサまたは処理装置1502、システム・メモリ1504、システム・メモリ1504を含む様々なシステム・コンポーネントをプロセッサ1502に結合するバス1506が含まれ得る。バス1506は、メモリ・バスまたはメモリ・コントローラ、周辺バス、アクセラレーテッド・グラフィックス・ポート、および様々なバス・アーキテクチャのいずれかを使用するプロセッサまたはローカル・バスを含むいくつかのタイプのバス構造のいずれかの1つまたは複数を表す。限定ではなく例として、そのようなアーキテクチャには、Industry Standard Architecture (ISA)バス、Micro Channel Architecture (MCA)バス、Enhanced ISA (EISA)バス、Video Electronics Standards Association (VESA)ローカル・バス、およびPeripheral Component Interconnects (PCI)バスが含まれる。コンピュータ・システム/サーバ1500は通常、様々なコンピュータ・システム可読媒体を含む。そのような媒体は、コンピュータ・システム/サーバ1500によってアクセス可能である任意の入手可能な媒体であり得、そのような媒体には、揮発性媒体と不揮発性媒体、取外し可能媒体と取外し不能媒体の両方が含まれる。
システム・メモリ1504は、ランダム・アクセス・メモリ(RAM)1508またはキャッシュ・メモリ1510あるいはその両方などの、揮発性メモリの形態のコンピュータ・システム可読媒体を含み得る。コンピュータ・システム/サーバ1500は、他の取外し可能/取外し不能な揮発性/不揮発性コンピュータ・システム記憶媒体をさらに含み得る。単に例として、取外し不能な不揮発性磁気媒体(図示しておらず、通常は「ハード・ドライブ」と呼ばれる)から読み取り、それに書き込むための記憶システム1512が設けられ得る。図示していないが、取外し可能な不揮発性磁気ディスク(たとえば、「フロッピィ・ディスク」)から読み取り、それに書き込むための磁気ディスク・ドライブ、およびCD-ROM、DVD-ROM、または他の光媒体などの取外し可能な不揮発性光ディスクから読み取り、それに書き込むための光ディスク・ドライブが設けられ得る。そのような場合、それぞれは、1つまたは複数のデータ媒体インターフェースによってバス1506に接続され得る。以下でさらに図示され、説明されるように、メモリ1504は、本発明の実施形態の機能を実施するように構成されるプログラム・モジュールのセット(たとえば、少なくとも1つ)を有する少なくとも1つのプログラム製品を含み得る。
限定ではなく例として、プログラム・モジュール1516のセット(少なくとも1つ)を有するプログラム/ユーティリティ、ならびにオペレーティング・システム、1つまたは複数のアプリケーション・プログラム、他のプログラム・モジュール、およびプログラム・データが、メモリ1504内に格納され得る。オペレーティング・システム、1つまたは複数のアプリケーション・プログラム、他のプログラム・モジュール、およびプログラム・データのそれぞれ、またはそれらの何らかの組合せは、ネットワーキング環境の実装を含み得る。プログラム・モジュール1516は一般に、本明細書で説明される、本発明の実施形態の機能または方法あるいはその両方を実施する。
コンピュータ・システム/サーバ1500はまた、キーボード、ポインティング・デバイスなどの1つまたは複数の外部デバイス1518、ディスプレイ1520など、ユーザがコンピュータ・システム/サーバ1500と対話することを可能にする1つまたは複数のデバイス、またはコンピュータ・システム/サーバ1500が1つまたは複数の他のコンピューティング・デバイスと通信することを可能にする任意のデバイス(たとえば、ネットワーク・カード、モデムなど)、あるいはその組合せと通信し得る。そのような通信は、入力/出力(I/O)インターフェース1514を介して行われ得る。さらに、コンピュータ・システム/サーバ1500は、ネットワーク・アダプタ1522を介して、ローカル・エリア・ネットワーク(LAN)、一般の広域ネットワーク(WAN)、または公衆ネットワーク(たとえば、インターネット)、あるいはその組合せなどの1つまたは複数のネットワークと通信し得る。図示されるように、ネットワーク・アダプタ1522は、バス1506を介してコンピュータ・システム/サーバ1500の他のコンポーネントと通信し得る。図示していないが、他のハードウェア・コンポーネントまたはソフトウェア・コンポーネントあるいはその両方が、コンピュータ・システム/サーバ1500と共に使用され得ることを理解されたい。限定はしないが、例には、マイクロコード、デバイス・ドライバ、冗長処理装置、外部ディスク・ドライブ・アレイ、RAIDシステム、テープ・ドライブ、データ・アーカイブ記憶システムなどが含まれる。
例示のために本発明の様々な実施形態の説明が提示されたが、説明は網羅的なものではなく、開示される実施形態に限定されないものとする。説明された実施形態の範囲および思想から逸脱することなく、多くの修正形態および変形形態が当業者には明らかとなるであろう。本明細書で使用される用語は、実施形態の原理、市場で見出される技術に勝る実際の応用もしくは技術的改良を最良に説明するように、または本明細書で開示される実施形態を当業者が理解することを可能にするように選ばれたものである。
本発明は、システム、方法、またはコンピュータ・プログラム製品、あるいはその組合せとして実施され得る。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実施させるためのコンピュータ可読プログラム命令を有する1つまたは複数のコンピュータ可読記憶媒体を含み得る。
媒体は、伝播媒体用の電子的、磁気的、光学的、電磁的、赤外線式、または半導体システムであり得る。コンピュータ可読媒体の例には、半導体またはソリッド・ステート・メモリ、磁気テープ、取外し可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読取り専用メモリ(ROM)、硬質磁気ディスク、および光ディスクが含まれ得る。光ディスクの現在の例には、コンパクト・ディスク読取り専用メモリ(CD-ROM)、コンパクト・ディスク読取り/書込み(CD-R/W)、DVD、およびBlu-Ray-Diskが含まれる。
コンピュータ可読記憶媒体は、命令実行デバイスによって使用される命令を保持および記憶し得る有形デバイスであり得る。コンピュータ可読記憶媒体は、たとえば、限定はしないが、電子記憶デバイス、磁気記憶デバイス、光記憶デバイス、電磁記憶デバイス、半導体記憶デバイス、または上記の任意の適切な組合せであり得る。コンピュータ可読記憶媒体のより具体的な例の非網羅的リストは、以下を含む:ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読取り専用メモリ(ROM)、消去可能プログラマブル読取り専用メモリ(EPROMまたはフラッシュ・メモリ)、静的ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク読取り専用メモリ(CD-ROM)、デジタル・バーサタイル・ディスク(DVD)、メモリ・スティック、フロッピィ・ディスク、パンチ・カード、または命令が記録された溝の中の隆起構造などの機械的符号化されたデバイス、および上記の任意の適切な組合せ。本明細書では、コンピュータ可読記憶媒体は、電波または他の自由に伝播する電磁波、導波路または他の伝送媒体を通じて伝播する電磁波(たとえば、光ファイバ・ケーブルを通る光パルス)、またはワイヤを通じて伝送される電気信号など、本質的に一時的信号であると解釈されるべきではない。
本明細書で説明されるコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、あるいはネットワーク、たとえばインターネット、ローカル・エリア・ネットワーク、広域ネットワーク、もしくはワイヤレス・ネットワーク、またはその組合せを介して外部コンピュータまたは外部記憶デバイスにダウンロードされ得る。ネットワークは、銅伝送ケーブル、光伝送ファイバ、ワイヤレス伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはその組合せを含み得る。各コンピューティング/処理デバイス内のネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体内に記憶するためにコンピュータ可読プログラム命令を転送する。
本発明のオペレーションを実施するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、機械語命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、あるいはSmalltalk(R)、C++などのオブジェクト指向プログラミング言語と、「C」プログラミング言語または類似のプログラミング言語などの従来の手続型プログラミング言語とを含む1つまたは複数のプログラミング言語の任意の組合せで書かれたソース・コードまたはオブジェクト・コードのどちらかであり得る。コンピュータ可読プログラム命令は、完全にユーザのコンピュータ上で、スタンド・アロン・ソフトウェア・パッケージとして部分的にユーザのコンピュータ上で、部分的にユーザのコンピュータ上、かつ部分的にリモート・コンピュータ上で、または完全にリモート・コンピュータまたはサーバ上で実行され得る。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)または広域ネットワーク(WAN)を含む任意のタイプのネットワークを通じてユーザのコンピュータに接続され得、あるいは(たとえば、インターネット・サービス・プロバイダを使用して、インターネットを通じて)外部コンピュータに接続が行われ得る。いくつかの実施形態では、たとえば、プログラマブル論理回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル論理アレイ(PLA)を含む電子回路が、本発明の態様を実施するために、コンピュータ可読プログラム命令の状態情報を利用することによってコンピュータ可読プログラム命令を実行して、電子回路を個別設定し得る。
本発明の態様が、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照しながら本明細書で説明される。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方のブロックの組合せが、コンピュータ可読プログラム命令によって実装され得ることを理解されよう。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行される命令により、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定される機能/動作を実装するための手段を生み出すように、汎用コンピュータ、専用コンピュータ、または他のプログラム可能データ処理装置のプロセッサに与えられ、マシンが作り出され得る。これらのコンピュータ可読プログラム命令はまた、命令を記憶するコンピュータ可読記憶媒体がフローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定される機能/動作の態様を実装する命令を含む製造品を含むように、コンピュータ、プログラム可能データ処理装置、または他のデバイス、あるいはその組合せに特定の方式で機能するように指示し得るコンピュータ可読記憶媒体内に記憶され得る。
コンピュータ可読プログラム命令はまた、コンピュータ、他のプログラム可能装置、または別のデバイス上で実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定される機能/動作を実装するように、コンピュータ、他のプログラム可能データ処理装置、または別のデバイス上にロードされ、コンピュータ、他のプログラム可能装置、または他のデバイス上で一連の動作ステップを実施させて、コンピュータ実装プロセスが生成され得る。
図中のフローチャートまたはブロック図あるいはその両方は、本発明の様々な実施形態によるシステム、方法、およびコンピュータ・プログラム製品の可能な実装のアーキテクチャ、機能、およびオペレーションを示す。この点で、フローチャートまたはブロック図の各ブロックは、指定の論理的機能を実装するための1つまたは複数の実行可能命令を含む命令のモジュール、セグメント、または部分を表し得る。いくつかの代替の実装では、ブロック内に記載の機能は、図に記載されている以外の順序で行われ得る。たとえば、連続して示される2つのブロックは、実際にはほぼ同時に実行され得、またはブロックは、関係する機能に応じて、時には逆の順序で実行され得る。ブロック図またはフローチャート図あるいはその両方の各ブロック、およびブロック図またはフローチャート図あるいはその両方のブロックの組合せが、指定の機能または動作を実施し、あるいは専用ハードウェアおよびコンピュータ命令の組合せを実施する専用ハードウェア・ベースのシステムによって実装され得ることにも留意されよう。
本明細書で使用される用語は、特定の実施形態を説明するためのものに過ぎず、本発明を限定するものではない。本明細書では、単数形「a」、「an」、および「the」は、文脈が別段に明確に示すのでない限り、複数形も含むものとする。本明細書では、「備える(comprises)」または「備えている(comprising)」あるいはその両方という用語は、明記された特徴、完全体、ステップ、オペレーション、要素、またはコンポーネント、あるいはその組合せの存在を指定するが、1つまたは複数の他の特徴、完全体、ステップ、オペレーション、要素、コンポーネント、またはそのグループ、あるいはその組合せの存在または追加を除外しないことをさらに理解されよう。
以下の特許請求の範囲のすべての手段またはステップおよび機能要素の対応する構造、材料、動作、および均等物は、具体的に特許請求されるように、他の特許請求される要素と組み合わせて機能を実施するための任意の構造、材料、または動作を含むものとする。本発明の説明は、例示および説明のために提示されたものであり、網羅的なものではなく、開示された形態の発明に限定されるものではないものとする。本発明の範囲および思想から逸脱することなく、多くの修正形態および変形形態が当業者には明らかとなるであろう。実施形態は、本発明の原理および実際の応用を最良に説明するため、および企図される特定の用途に適するような、様々な修正を伴う様々な実施形態について本発明を当業者が理解することを可能にするために選ばれ、説明される。

Claims (17)

  1. データ処理環境内のトークン・ベースの許可のためのコンピュータ実装方法であって、前記データ処理環境が少なくともユーザ・システム、アプリケーション、認証サーバ、およびアクセス制御サーバを備え、前記ユーザ・システムがネットワーク接続を介して、前記アプリケーションを実行中のサーバに接続され、前記アプリケーションがオペレーションへのアクセスを与え、少なくとも前記オペレーションがその識別子によって識別可能であり、前記方法が、
    ユーザ・システム要求を介して前記アプリケーションにアクセスすることと、
    認証サーバに前記ユーザ・アクセス要求をリダイレクトすることと、
    前記認証サーバと前記アプリケーションとの間で交換された認証証明によって前記ユーザを認証することであって、前記認証証明が、スコープの標準セマンティックを使用する制限付きエンタイトルメントを求める要求を含み、前記制限付きエンタイトルメントが、リソースについて前記アクセス制御サーバによって管理される既存のエンタイトルメントのサブセットを表す、前記認証することと、
    前記認証が成功し、前記アプリケーションが前記認証サーバに登録された場合、前記認証サーバから前記アプリケーションにアクセス・トークンをリフレッシュ・トークンと共に送ることであって、前記アクセス・トークンおよび前記リフレッシュ・トークンが前記制限付きエンタイトルメントを含む、前記送ることと、
    前記ユーザ・システムによって開始された前記アプリケーションによるオペレーションの実行を要求することであって、
    制限付きエンタイトルメントを含む前記アクセス・トークンを提供する前記アプリケーションによる前記オペレーションを起動すること、
    前記オペレーションによって前記アクセス制御サーバを起動すること、
    前記ユーザ・システムの識別子と、前記既存のエンタイトルメントの前記サブセットを含む前記トークンの前記スコープとを前記アクセス制御サーバに提供すること、
    前記アクセス制御サーバによって前記既存のエンタイトルメントをフィルタリングするためのエンタイトルメントの前記サブセットを使用して、前記オペレーションに対する前記ユーザ・システムのアクセスを決定すること
    を含む、前記要求することと
    を含む、方法。
  2. 前記標準セマンティックがOAuth2に基づく、請求項1に記載の方法。
  3. 前記アプリケーションがセキュアでないコンポーネントである、請求項1または2に記載の方法。
  4. 前記認証証明内に含まれる制限付きエンタイトルメントを求める前記要求が第1の要求であり、前記第1の要求が既存のエンタイトルメントの最大サブセットを含む、請求項1ないし3のいずれか一項に記載の方法。
  5. リフレッシュ・トークンを求める後続の要求も、別の制限付きエンタイトルメントを求める要求を含む、請求項4に記載の方法。
  6. 前記オペレーションが、事前定義されたデータへのアクセス、データベース・アクセス、ファイル・アクセス、事前定義されたアプリケーション・プログラミング・インターフェース、およびネットワークの特定のサブネットへのアクセスを含むグループから選択された少なくとも1つを含む、請求項1ないし5のいずれか一項に記載の方法。
  7. 前記アクセス・トークンが事前定義された有効時間を有する、請求項1ないし6のいずれか一項に記載の方法。
  8. 事前定義された有効時間が特権のあるユーザ・システムによって更新可能である、請求項7に記載の方法。
  9. データ処理環境内のトークン・ベースの許可のためのアクセス・システムであって、前記データ処理環境が少なくともユーザ・システム、アプリケーション、認証サーバ、およびアクセス制御サーバを備え、前記ユーザ・システムがネットワーク接続を介して、前記アプリケーションを実行中のサーバに接続され、前記アプリケーションがオペレーションへのアクセスを与え、少なくとも前記オペレーションがその識別子によって識別可能であり、前記アクセス・システムが、
    ユーザ・システム要求を介して前記アプリケーションにアクセスするように適合されたアクセシング・モジュールと、
    認証サーバに前記ユーザ・アクセス要求をリダイレクトするように適合されたリダイレクティング・モジュールと、
    前記認証サーバと前記アプリケーションとの間で交換された認証証明によって前記ユーザを認証するように適合された認証サーバであって、前記認証証明が、スコープの標準セマンティックを使用する制限付きエンタイトルメントを求める要求を含み、前記制限付きエンタイトルメントが、リソースについて前記アクセス制御サーバによって管理される既存のエンタイトルメントのサブセットを表す、前記認証サーバと、
    前記認証が成功し、前記アプリケーションが前記認証サーバに登録された場合、前記認証サーバから前記アプリケーションにアクセス・トークンをリフレッシュ・トークンと共に送るように適合された送信側であって、前記アクセス・トークンおよび前記リフレッシュ・トークンが前記制限付きエンタイトルメントを含む、前記送信側と
    を備え、
    前記ユーザ・システムが、前記ユーザ・システムによって開始された前記アプリケーションによるオペレーションの実行を要求するように適合され、前記オペレーションの実行を要求することが、
    制限付きエンタイトルメントを含む前記アクセス・トークンを提供する前記アプリケーションによる前記オペレーションを起動すること、
    前記オペレーションによって前記アクセス制御サーバを起動すること、
    前記ユーザ・システムの識別子と、前記既存のエンタイトルメントの前記サブセットを含む前記トークンの前記スコープとを前記アクセス制御サーバに提供すること、
    前記アクセス制御サーバによって前記既存のエンタイトルメントをフィルタリングするためのエンタイトルメントの前記サブセットを使用して、前記オペレーションに対する前記ユーザ・システムのアクセスを決定すること
    を含む、アクセス・システム。
  10. 前記標準セマンティックがOAuth2に基づく、請求項9に記載の方法。
  11. 前記アプリケーションがセキュアでないコンポーネントである、請求項9または10に記載の方法。
  12. 前記認証証明内に含まれる制限付きエンタイトルメントを求める前記要求が第1の要求であり、前記第1の要求が既存のエンタイトルメントの最大サブセットを含む、請求項9ないし11のいずれか一項に記載の方法。
  13. リフレッシュ・トークンを求める後続の要求も、別の制限付きエンタイトルメントを求める要求を含む、請求項12に記載の方法。
  14. 前記オペレーションが、事前定義されたデータへのアクセス、データベース・アクセス、ファイル・アクセス、事前定義されたアプリケーション・プログラミング・インターフェース、およびネットワークの特定のサブネットへのアクセスを含むグループから選択された少なくとも1つを含む、請求項9ないし13のいずれか一項に記載の方法。
  15. 前記アクセス・トークンが事前定義された有効時間を有する、請求項9ないし14のいずれか一項に記載の方法。
  16. 事前定義された有効時間が特権のあるユーザ・システムによって更新可能である、請求項15に記載の方法。
  17. データ処理環境内のトークン・ベースの許可のためのコンピュータ・プログラム製品であって、前記データ処理環境が少なくともユーザ・システム、アプリケーション、認証サーバ、およびアクセス制御サーバを備え、前記ユーザ・システムがネットワーク接続を介して、前記アプリケーションを実行中のサーバに接続され、前記アプリケーションがオペレーションへのアクセスを与え、少なくとも前記オペレーションがその識別子によって識別可能であり、前記コンピュータ・プログラム製品が、プログラム命令が具現化されたコンピュータ可読記憶媒体を備え、前記プログラム命令が、1つまたは複数のコンピューティング・システムに、
    ユーザ・システム要求を介して前記アプリケーションにアクセスすることと、
    認証サーバに前記ユーザ・アクセス要求をリダイレクトすることと、
    前記認証サーバと前記アプリケーションとの間で交換された認証証明によって前記ユーザを認証することであって、前記認証証明が、スコープの標準セマンティックを使用する制限付きエンタイトルメントを求める要求を含み、前記制限付きエンタイトルメントが、リソースについて前記アクセス制御サーバによって管理される既存のエンタイトルメントのサブセットを表す、前記認証することと、
    前記認証が成功し、前記アプリケーションが前記認証サーバに登録された場合、前記認証サーバから前記アプリケーションにアクセス・トークンをリフレッシュ・トークンと共に送ることであって、前記アクセス・トークンおよび前記リフレッシュ・トークンが前記制限付きエンタイトルメントを含む、前記送ることと、
    前記ユーザ・システムによって開始された前記アプリケーションによるオペレーションの実行を要求することであって、
    制限付きエンタイトルメントを含む前記アクセス・トークンを提供する前記アプリケーションによる前記オペレーションを起動すること、
    前記オペレーションによって前記アクセス制御サーバを起動すること、
    前記ユーザ・システムの識別子と、前記既存のエンタイトルメントの前記サブセットを含む前記トークンの前記スコープとを前記アクセス制御サーバに提供すること、
    前記アクセス制御サーバによって前記既存のエンタイトルメントをフィルタリングするためのエンタイトルメントの前記サブセットを使用して、前記オペレーションに対する前記ユーザ・システムのアクセスを決定すること
    を含む、前記要求することと
    を行わせるように前記1つまたは複数のコンピューティング・システムまたはコントローラによって実行可能である、コンピュータ・プログラム製品。
JP2021565850A 2019-05-07 2020-04-06 きめの細かいトークン・ベースのアクセス制御 Active JP7523469B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP19172926.8 2019-05-07
EP19172926 2019-05-07
PCT/IB2020/053254 WO2020225616A1 (en) 2019-05-07 2020-04-06 Fine-grained token based access control

Publications (3)

Publication Number Publication Date
JP2022531872A true JP2022531872A (ja) 2022-07-12
JPWO2020225616A5 JPWO2020225616A5 (ja) 2022-08-30
JP7523469B2 JP7523469B2 (ja) 2024-07-26

Family

ID=66439944

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021565850A Active JP7523469B2 (ja) 2019-05-07 2020-04-06 きめの細かいトークン・ベースのアクセス制御

Country Status (6)

Country Link
US (1) US11277267B2 (ja)
JP (1) JP7523469B2 (ja)
CN (1) CN113711563B (ja)
DE (1) DE112020000538T5 (ja)
GB (1) GB2599273B (ja)
WO (1) WO2020225616A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11609916B1 (en) * 2019-06-21 2023-03-21 Amazon Technologies, Inc. Robotics application development and monitoring over distributed networks
CN113536365B (zh) * 2021-06-07 2022-10-28 北京字跳网络技术有限公司 一种文件访问方法、装置、设备及介质
CN114372254B (zh) * 2021-08-16 2023-03-24 中电长城网际系统应用有限公司 大数据环境下的多认证授权方法
CN113886796B (zh) * 2021-10-13 2024-05-28 平安科技(深圳)有限公司 基于k8s的服务部署方法、装置、电子设备和存储介质
US11695561B2 (en) 2021-11-19 2023-07-04 Fmr Llc Decentralized authorization of user access requests in a multi-tenant distributed service architecture
US11431513B1 (en) 2021-11-19 2022-08-30 Fmr Llc Decentralized authorization of user access requests in a distributed service architecture
CN113886862B (zh) * 2021-12-06 2022-04-15 粤港澳大湾区数字经济研究院(福田) 一种可信计算系统及基于可信计算系统的资源处理方法
CN114138375A (zh) * 2021-12-30 2022-03-04 高新兴智联科技有限公司 一种物联网服务云架构及应用该云架构的射频测试系统
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user
CN115037954B (zh) * 2022-05-18 2024-06-07 阿里云计算有限公司 访问直播的控制方法、装置及系统
WO2024044064A1 (en) * 2022-08-23 2024-02-29 Cisco Technology, Inc. Privacy preserving secure access
CN116155565B (zh) * 2023-01-04 2023-10-10 北京夏石科技有限责任公司 数据访问控制方法和装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170034172A1 (en) * 2015-07-30 2017-02-02 Cisco Technology, Inc. Token scope reduction

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6766454B1 (en) * 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
JP3716920B2 (ja) 2001-10-16 2005-11-16 ソニー株式会社 記録媒体再生装置および方法、記録媒体、並びにプログラム
US20050125677A1 (en) * 2003-12-09 2005-06-09 Michaelides Phyllis J. Generic token-based authentication system
US8566462B2 (en) * 2005-05-12 2013-10-22 Digital River, Inc. Methods of controlling access to network content referenced within structured documents
US7673135B2 (en) * 2005-12-08 2010-03-02 Microsoft Corporation Request authentication token
US8868915B2 (en) * 2010-12-06 2014-10-21 Verizon Patent And Licensing Inc. Secure authentication for client application access to protected resources
US9237145B2 (en) 2011-09-29 2016-01-12 Oracle International Corporation Single sign-on (SSO) for mobile applications
CN103716283B (zh) * 2012-09-29 2017-03-08 国际商业机器公司 用于在流程中处理调用的Web服务的OAuth认证的方法和系统
US9038142B2 (en) * 2013-02-05 2015-05-19 Google Inc. Authorization flow initiation using short-term wireless communication
CN105659558B (zh) * 2013-09-20 2018-08-31 甲骨文国际公司 计算机实现的方法、授权服务器以及计算机可读存储器
US9306939B2 (en) 2014-05-30 2016-04-05 Oracle International Corporation Authorization token cache system and method
US10652365B2 (en) * 2016-01-06 2020-05-12 Adobe Inc. Robust computing device identification framework
US9923905B2 (en) * 2016-02-01 2018-03-20 General Electric Company System and method for zone access control
US10452328B2 (en) 2016-08-31 2019-10-22 Vmware, Inc. Extensible token-based authorization
JP6857065B2 (ja) 2017-03-27 2021-04-14 キヤノン株式会社 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
US10708053B2 (en) * 2017-05-19 2020-07-07 Intuit Inc. Coordinating access authorization across multiple systems at different mutual trust levels
JP2018205840A (ja) * 2017-05-30 2018-12-27 キヤノン株式会社 システム、その方法およびそのプログラム
US11616771B2 (en) 2017-08-18 2023-03-28 Transform Sr Brands Llc Application user single sign-on
CN109309683B (zh) 2018-10-30 2021-09-14 泰华智慧产业集团股份有限公司 基于token的客户端身份验证的方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170034172A1 (en) * 2015-07-30 2017-02-02 Cisco Technology, Inc. Token scope reduction

Also Published As

Publication number Publication date
JP7523469B2 (ja) 2024-07-26
GB2599273B (en) 2023-11-01
CN113711563A (zh) 2021-11-26
US20200358615A1 (en) 2020-11-12
US11277267B2 (en) 2022-03-15
GB2599273A (en) 2022-03-30
GB202117302D0 (en) 2022-01-12
WO2020225616A1 (en) 2020-11-12
DE112020000538T5 (de) 2021-10-21
CN113711563B (zh) 2023-06-13

Similar Documents

Publication Publication Date Title
JP7523469B2 (ja) きめの細かいトークン・ベースのアクセス制御
US10880292B2 (en) Seamless transition between WEB and API resource access
US20190199707A1 (en) Using a service-provider password to simulate f-sso functionality
US10484462B2 (en) Dynamic registration of an application with an enterprise system
US11190501B2 (en) Hybrid single sign-on for software applications and services using classic and modern identity providers
CN112136303B (zh) 用于耗时操作的刷新令牌的安全委托
EP3095225B1 (en) Redirect to inspection proxy using single-sign-on bootstrapping
US10333927B2 (en) Simulated SSO functionality by means of multiple authentication procedures and out-of-band communications
Leiba Oauth web authorization protocol
US8935757B2 (en) OAuth framework
JP2020502616A (ja) フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施
US9461989B2 (en) Integrating operating systems with content offered by web based entities
US9729515B1 (en) System and method for managing secure communications for a virtual machine infrastructure
US20180091490A1 (en) Authentication framework for a client of a remote database
EP3641264B1 (en) Establishing access sessions
EP3488589B1 (en) Login proxy for third-party applications
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
Subbarao et al. Microsoft Azure active directory for next level authentication to provide a seamless single sign-on experience
US11743265B2 (en) Method and system for delegating control in network connection access rules using multi-factor authentication (MFA)
US20200304484A1 (en) Method and system for modifying network connection access rules using multi-factor authentication (mfa)
Edge et al. Identity and Device Trust
WO2023144758A2 (en) Proxy gateway-based security for rdp-type communications sessions

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220512

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220819

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220922

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231010

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20231221

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20240305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240716

R150 Certificate of patent or registration of utility model

Ref document number: 7523469

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150