JP4598386B2 - ネットワークリソースを共有する方法およびコンピュータシステム並びにネットワークシステム - Google Patents

ネットワークリソースを共有する方法およびコンピュータシステム並びにネットワークシステム Download PDF

Info

Publication number
JP4598386B2
JP4598386B2 JP2003394769A JP2003394769A JP4598386B2 JP 4598386 B2 JP4598386 B2 JP 4598386B2 JP 2003394769 A JP2003394769 A JP 2003394769A JP 2003394769 A JP2003394769 A JP 2003394769A JP 4598386 B2 JP4598386 B2 JP 4598386B2
Authority
JP
Japan
Prior art keywords
authentication
user
identifier
access
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003394769A
Other languages
English (en)
Other versions
JP2004178597A (ja
JP2004178597A5 (ja
Inventor
ニコルズ アイザック
クプサミー アショク
オルセン トーマス
ローマ リチャード
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2004178597A publication Critical patent/JP2004178597A/ja
Publication of JP2004178597A5 publication Critical patent/JP2004178597A5/ja
Application granted granted Critical
Publication of JP4598386B2 publication Critical patent/JP4598386B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、ネットワークのユーザとネットワークリソースを共有する方法およびコンピュータシステム並びにネットワークシステムに関する。より詳細には、本発明は、ネットワークリソースへのアクセス権を現在持たないゲストユーザとネットワークリソースを共有する方法、コンピュータシステム、ネットワークシステムおよびコンピュータ読み取り可能な記録媒体に関する。
データファイル、ウェブページ、連携ツールなどのネットワークリソースを、複数のユーザがネットワークを通じてそれらのリソースにアクセスできるように、コンピュータネットワーク上に提供することができる。通例、ネットワークリソースは、ユーザのクライアントコンピュータからアクセスできるサーバコンピュータを通じてネットワーク上の場所(network location)に提供される。ユーザは、他のユーザがアクセスできるようにそのネットワーク上の場所にネットワークリソースを配置(post)することができる。しかし、そのようなネットワークリソースの共有では、しばしば、ネットワークリソースへの権限外アクセスを防止するためのセキュリティ措置が必要となる。
権限外アクセスを防止するために、ワールドワイドウェブ上の場所のようなネットワーク上の場所では、ユーザがネットワークリソースにアクセスを試みる際に認証および権限付与の技術を利用する。認証技術は、ネットワークリソースを含むネットワークサイト毎にユーザ名とパスワードの入力を求めるような種々の形態とすることができる。認証の実用性を向上するために、.NET(商標)Passport(商標)のような集中認証サービスを使用して、ユーザが認証IDサーバに一度ログインして、認証IDが含まれる1つまたは2つ以上のコンピュータクッキー(computer cookies)を取得することを要求することができる。それによって、ユーザがネットワークリソースへのアクセスを試みると、種々のネットワーク上の場所で、ユーザに認証のために再度ユーザ名とパスワードの入力を求めるのではなく、そのクッキーの認証IDを確認する。
一度ユーザが認証されると、認証されたユーザの識別情報(identity)がアクセスリストと比較され、ユーザが特定のネットワークリソースにアクセスする権限を有するかどうかを判定する。そのために、アクセスリストは、何らかの権限を与えられているユーザ各々の認証IDに関連付けられたパーミッション(permission)を有する。アクセスリストがあるネットワークリソースについてユーザに権限を与えると、ユーザはそのリソースへのアクセス権を与えられる。アクセスリストがネットワークリソースに対する権限をユーザに与えなければ、ユーザはそのリソースへのアクセスを拒否される。
ネットワークにそのリソースを配置したユーザのように、あるネットワークリソースへのアクセス権を有するユーザは、そのリソースをゲストユーザと共有したい場合がある。そのリソースへのアクセスは、認証IDサーバから認証IDを取得することによる認証が必要とされる場合がある。しかし、リソースを共有したいと思うユーザは、ゲストユーザがその認証IDサーバのアカウントを有するかどうか知らないかもしれない。ゲストユーザがアカウントを持たない場合、そのゲストユーザにはそのネットワークリソースへのアクセス権を認めることができない。さらに、ゲストユーザがアクセスリスト中で参照できる認証IDアカウントを持っていないため、ネットワークリソースの共有を望むユーザは、ゲストユーザのための権限をアクセスリストに設定する段階に進むことができない。
本発明はこのような状況に鑑みてなされたもので、その目的とするところは、ネットワークリソースへのアクセス権を現在持たないゲストユーザとのネットワークリソースの共有を実現する方法、コンピュータシステム、ネットワークシステムおよびコンピュータ読み取り可能な記録媒体を提供することにある。
本発明の実施形態は、ゲストユーザのためにアクセスリスト内にプレースホルダを提供することにより上記およびその他の問題に対処する。プレースホルダは、ネットワークリソースの共有を望むユーザによって知られているゲストユーザの既知の識別子に関連付けられる。ゲストユーザは認証IDアカウントを取得し、ゲストユーザの認証IDをゲストユーザの既知の識別子に関連付けられたプレースホルダに挿入することができる。ゲストユーザのためのアクセスリスト中のプレースホルダにより、リソースの共有を望むユーザは、ゲストユーザが認証IDを持っているかどうかに関係なく、ゲストユーザの権限の設定に進むことができる。ゲストユーザが認証IDを取得すると、ゲストユーザは認証されて、ネットワークリソースにアクセスする権限を与えられることができる。
一実施形態は、現在ネットワークリソースへのアクセス権を持たないユーザとネットワークリソースを共有する方法である。この方法はネットワークリソースについてのアクセスリスト中にユーザのためのプレースホルダを作成することを含み、プレースホルダは既知の識別子を含む。ユーザは、その既知の識別子に関連付けられた認証識別子を取得するように指示を受ける。この既知の識別子に関連付けられた認証識別子は、指示を受け取るのに応答して、ユーザのコンピュータで認証識別子の発行者から取得する。既知の識別子に関連付けられた認証識別子は、ユーザがネットワークリソースへのアクセスを試みるとユーザのコンピュータから取得され、ユーザのコンピュータから取得した認証識別子のコピーが、アクセスリスト中の既知の識別子を含むプレースホルダに格納される。
別の実施形態は、現在ネットワークリソースへのアクセス権を持っていないユーザとネットワークリソースを共有するためのコンピュータシステムである。コンピュータシステムは、ネットワークリソースについてのアクセスリストを担持するストレージと、ネットワークインタフェースとを含む。処理装置が、既知の識別子を含むプレースホルダをネットワークリソースについてのアクセスリスト中に作成し、認証識別子を取得するようにユーザに指示するメッセージを、ネットワークインタフェースを通じてユーザに対して生成するように構成される。また、プロセッサは、ユーザがネットワークリソースへのアクセスを試みると、ユーザのコンピュータからネットワークインタフェースを通じて認証識別子を取得し、その認証識別子を既知の識別子を含むストレージ中のプレースホルダに格納するように構成される。
別の実施形態は、現在ネットワークリソースへのアクセス権を持っていないユーザとネットワークリソースを共有するネットワークシステムである。第1のサーバコンピュータは、ネットワークリソースを提供し、そのネットワークリソースについてのパーミッションを提供するアクセスリストを保持する。第1のサーバは、アクセスリスト中にプレースホルダを作成し、ユーザの既知の識別子をプレースホルダに格納し、その既知の識別子にメッセージを送信して認証識別子を取得するようにユーザに指示する。第1のサーバはまた、ユーザがネットワークリソースへのアクセスを試みると認証識別子を取得し、その認証識別子を、既知の識別子を含むプレースホルダに格納する。クライアントコンピュータは、既知の識別子へのメッセージを受信し、その既知の識別子に関連付けられた認証識別子を発行者から取得し、認証識別子を取得すると第1のサーバにあるネットワークリソースへのアクセスを試みる。
別の実施形態は、コンピュータによって行われるいくつかのステップで実行される命令を含むコンピュータ可読媒体である。ユーザの既知の識別子を格納するプレースホルダはストレージ中に生成される。ユーザによるネットワークリソースへのアクセスの試みを受信すると、ユーザから提供される認証識別子が、その認証識別子の発行者によって確認されているかどうかを判定する。ユーザの既知の識別子に関連付けられた発行者の認証識別子と、ユーザによって提供される認証識別子とを比較し、ユーザの既知の識別子と、プレースホルダ中の既知の識別子とを比較する。ユーザから提供された認証識別子が、発行者によって確認され、ユーザの既知の識別子に関連付けられた発行者の認証識別子と一致し、かつユーザの既知の識別子がプレースホルダ中の既知の識別子と一致すると、その認証識別子をプレースホルダに格納する。
以上説明したように本発明によれば、アクセスするために認証IDを必要とするネットワークリソースを、認証IDを現在持っていないユーザと共有することができる効果を奏する。
以下、図面を参照し本発明の実施形態を詳細に説明する。
本発明の実施形態は、認証IDを持っていないために現在アクセス権を持たないゲストユーザにネットワークリソースへのアクセス権を提供する。ゲストユーザの既知の識別子に関連付けられたプレースホルダをアクセスリスト中に生成し、ゲストユーザがまだ認証IDを取得していなくともアクセスリスト中のプレースホルダにネットワークリソースに対するパーミッションを割り当てることができる。ユーザに案内を提供して、認証IDを取得するようにユーザに要求する。ユーザが認証IDを取得し、ネットワークリソースへのアクセスを試みると、認証IDがプレースホルダに記憶され、後にその認証IDを使用して、ネットワークリソースへのアクセスを試みるユーザに権限を与える。
図1に、本発明の実施形態を実施することができるネットワーク動作環境を示す。この環境は、ローカルエリアネットワーク、ワイドエリアネットワーク、あるいは世界規模のインターネットのようなネットワーク106にリンクされたクライアントコンピュータ102を含む。認証IDがないために当初は特定のネットワークリソースへのアクセス権を持たないゲストユーザが、クライアントコンピュータ102を操作する。クライアントコンピュータ102はハードディスクドライブのような記憶装置104を有し、そこにクッキーを担持することができる。
ネットワーク106には、認証IDサーバ108のような種々のサーバコンピュータもリンクされる。認証IDの発行者は、認証IDサーバ108を運用して、ユーザに認証アカウントを提供する。そのアカウントにより、ユーザは、ユーザに既知のログイン証明書(credentials)を用いて認証IDサーバ108にログインし、種々の他のネットワークの場所への訪問についてユーザを認証する認証IDを含むクッキーを受け取ることができる。
クライアントコンピュータ102は、既知の識別子およびパスワードを含むログインク証明書を提供すると、認証IDサーバ108にログインしてアカウントを取得し、認証IDの受信を開始することができる。既知の識別子は種々の形態とすることができるが、電子メールアドレス、電話番号、インスタントメッセージングのIDのような、他者に知られている、そのユーザの識別子である。ログインの際、認証IDサーバ108は、入力された証明書と、認証IDサーバ108の参照ストア110に担持している記憶証明書とを比較する。一致する証明書が見つかると、認証IDサーバ108は、認証IDを含むクッキーをユーザに発行し、ネットワーク106にリンクされた他のサーバでその認証IDを使用できるようにする。そして、クライアントコンピュータ102は、クライアントコンピュータ102がアクセスを試みることができるネットワーク上の場所から将来アクセスするために、クッキーをクッキーコンテナ104に保存する。
リソースサーバ112がネットワーク106にリンクされ、リソースサーバ112によって設定されるネットワーク上の場所にアクセスするクライアントコンピュータ102に種々のリソース114を提供する。リソースは、クライアントコンピュータ102が記憶された情報にアクセスすることができるインターネットドメインの種々のディレクトリ、および/またはクライアントコンピュータ102が他の者によるアクセスのために情報を配置(post)することができるインターネットドメインの種々のディレクトリを含むことができる。ただし、リソースサーバ112は、権限外ユーザが個人情報にアクセスすることを防ぐために、リソース114に対するセキュリティを提供することができる。
権限外のアクセスを防止するために、リソースサーバ112は、認証IDサーバ108によって提供される認証IDに関連付けられたリソース114に対するパーミッションを含むアクセスリスト116を担持する。ユーザがリソースサーバ112へのログインを試みると、リソースサーバ112は認証プロセスを実行することができる。このプロセスで、サーバ112は、クライアントコンピュータ102を検索して、リソースサーバ112のネットワーク上の場所に関連する、有効期限内にあるクッキーを見つける。そのクッキーの認証IDと、認証IDサーバ108からリソースサーバ112に提供された認証IDとを比較し、一致する認証IDによりリソースサーバ112はユーザを認証する。
ユーザを認証すると、リソースサーバ112は、アクセスリスト116を参照して、確認した認証IDを持つユーザに利用可能なパーミッションを判定する。このパーミッションは、認証したユーザがアクセスすることができるリソース114を規定する。これらのパーミッションは、リソースサーバ112の管理者および/または種々のリソース114を所有するユーザによって設定することができる。このパーミッションは、リソース114へのアクセス権を付与しようとするゲストユーザがすでに認証IDを有するかどうかを知らなくても設定することができるため、パーミッションを設定する個人はユーザが認証IDを有することを初めに確認する必要がない。
現在認証IDを持っていないゲストユーザがネットワークリソース114にアクセスできるように、リソースサーバ112は、アクセスリスト中にプレースホルダを生成し、ゲストユーザについて知られている既知の識別子をそのプレースホルダに記憶する。プレースホルダは、アクセスリスト116中の通常エントリの1つであるが、認証IDではなく既知の識別子を含む。既知の識別子は、ゲストユーザがリソース114を共有するためのパーミッションを設定しようとする個人によって提供される。
次いで、まずプレースホルダで使用される既知の識別子をその認証IDのログイン名として使用する認証IDを取得するようにゲストユーザに指示することにより、リソース114にアクセスするようにゲストユーザを促す。この指示は、リソースサーバ112から、ゲストユーザの電子メールアドレスあるいはその他の既知の識別子に、電子メールまたはその他のメッセージタイプとして送信することができる。この電子メールは、認証IDサーバ108へのハイパーリンクと、リソース114にアクセスすることができるリソースサーバに戻るハイパーリンクを含むことができる。ゲストユーザが認証IDアカウントを取得し、ネットワークリソースにアクセスすると、リソースサーバ112は、下記で図3および4を参照してより詳細に説明するようにいくつかのチェックを行うことができる。リソースサーバ112がゲストユーザのチェックを行うと、リソースサーバ112は、アクセスリスト116中のプレースホルダにゲストユーザの認証IDを記憶し、要求されるリソース114へのアクセス権をゲストユーザに与える。
図2および以下の説明では、本発明をサーバコンピュータ112に実施することができる適切なコンピューティング環境についての簡単で概略的な説明を提供する。本発明について、サーバコンピュータ112のオペレーティングシステム上で実行されるアプリケーションプログラムと連動して実行されるプログラムモジュールの一般的な情況で説明するが、当業者には、本発明は他のプログラムモジュールと組み合わせて実施してもよいことが理解される。一般に、プログラムモジュールには、特定のタスクを行うか、あるいは特定の抽象データ型を実装するルーチン、プログラム、コンポーネント、データ構造、およびその他タイプの構造が含まれる。
さらに、当業者には、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースまたはプログラム可能な家庭用電化製品、ミニコンピュータ、メインフレームコンピュータなどを含む、他のコンピュータシステム構成で実施できることを理解されるであろう。図1のリソースサーバコンピュータ112に適用する本発明は、単一のサーバコンピュータではなく、通信ネットワークを通じてリンクされたリモートの処理デバイスによってタスクを行う分散コンピューティング環境でも実施することができる。分散コンピューティング環境では、プログラムモジュールは、ローカルおよびリモート双方のメモリ記憶装置に置くことができる。
図2は、本発明の種々の実施形態を実施するサーバコンピュータ112の例示的なコンピュータアーキテクチャを示す。図2に示すコンピュータアーキテクチャは、一般的サーバコンピュータを表しており、中央演算処理装置204(「CPU」)、ランダムアクセスメモリ208(「RAM」)および読み取り専用メモリ(「ROM」)210を含むシステムメモリ206、およびメモリをCPU204に結合するシステムバス212を含む。起動時などにコンピュータ内の要素間の情報転送を助ける基本ルーチンを含むBIOS(basic input/output system)は、ROM210に記憶される。サーバコンピュータ112はさらに、オペレーティングシステム216、アクセスリスト218、およびアプリケーションプログラムを記憶する大容量記憶装置214を含む。大容量記憶装置214は、ゲストユーザをアクセスリスト218に追加する事を可能にするゲストユーザアプリケーション224も記憶し、またゲストユーザがアクセスしようとするネットワークリソースデータ226も記憶することができる。
大容量記憶装置214は、バス212に接続された大容量記憶装置コントローラ(図示せず)を通じてCPU204に接続される。大容量記憶装置214およびそれに関連付けられたコンピュータ可読媒体は、サーバコンピュータ112に不揮発性の記憶を提供する。ここで含まれるコンピュータ可読媒体の説明ではハードディスクやCD(compact disc)−ROMドライブのような大容量記憶装置を挙げるが、当業者には、このコンピュータ可読媒体は、サーバコンピュータ112がアクセスすることができるいずれの利用可能な媒体でもよいことが理解されるはずである。
これに限定しないが、例として、コンピュータ可読媒体は、コンピュータ記憶媒体および通信媒体を含む。コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータのような情報を記憶するためのいずれの方法または技術に実装された揮発性および不揮発性の媒体、取り外し可能および取り外し不能の媒体が含まれる。コンピュータ記憶媒体は、これらに限定しないが、所望の情報の記憶に用いることができ、コンピュータによるアクセスが可能なRAM、ROM、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electronically Erasable and Programmable Read Only Memory)、フラッシュメモリまたは他のソリッドステートメモリ技術、CD−ROM、DVD(Digital Versatile Disk)または他の光学ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたは他の磁気記憶装置、並びにいずれかの他の媒体を含む。
通信媒体は、典型的に、搬送波または他の搬送機構などの変調データ信号にコンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを具現化し、いずれの情報伝達媒体をも含む。「変調データ信号」の用語は、信号中に情報を符号化する形態でその特性の1つまたは2つ以上を設定または変化させた信号を意味する。これらに限定しないが、例として、通信媒体は、有線ネットワークまたは直接配線接続のような有線媒体と、音響、RF(Radio Frequency)、赤外線、および他の無線媒体のような無線媒体が含まれる。上記の媒体のいずれの組み合わせもコンピュータ可読媒体の範囲に含めるべきである。コンピュータ可読媒体は、コンピュータプログラム製品と呼ぶこともできる。
本発明の種々の実施形態によれば、サーバコンピュータ112は、インターネットのようなネットワーク106を通じたリモートコンピュータとの論理接続を使用するネットワーク環境で動作する。サーバコンピュータ112は、バス212に接続されたネットワークインタフェースユニット220を通じてネットワーク106に接続することができる。ネットワークインタフェースユニット220は、他のタイプのネットワークおよびリモートコンピュータシステムへの接続にも利用できることは理解されたい。サーバコンピュータ112は、キーボードやマウス(図示せず)を含む多数のデバイスからの入力を受け取り、処理する入出力コントローラ222も含むことができる。同様に、入出力コントローラ222は、ディスプレイ画面、プリンタ、あるいはその他のタイプの出力装置に出力を提供することができる。
先に簡単に述べたように、サーバコンピュータ112の大容量記憶装置214およびRAM208には多数のプログラムモジュールおよびデータファイルを記憶することができ、これには、ネットワークサーバコンピュータの動作を制御するのに適したオペレーティングシステム216が含まれる。大容量記憶装置214およびRAM208は、ゲストユーザアプリケーション224のような1つまたは2つ以上のアプリケーションプログラムも記憶することができる。
本発明の実施形態は、ゲストユーザアプリケーションプログラム224と連動して使用するプログラムモジュールを提供する。これらのプログラムモジュールは、ゲストユーザにネットワークリソースへのアクセス権を提供する論理動作を実行する。ゲストユーザアプリケーションプログラム224のプログラムモジュールが行う論理動作の種々の実施形態については、下記で図3および4を参照して説明する。図1のネットワーク環境における、クライアントコンピュータ102、認証IDサーバ108、およびリソースサーバ112間の対話を確立する論理動作の種々の実施形態については、下記で図5および6を参照して説明する。
図3および図4に例示の論理動作は案内動作302で開始し、ここでリソース114の所有者は、リソースサーバ112を通じてゲストユーザに対する案内を生成して、リソース114へのアクセスをゲストユーザに促す。リソースサーバ112は、リソース所有者がその所有者のクライアントコンピュータを通じて、ゲストユーザに与えるべきパーミッションと、ゲストユーザについて既知の電子メールアドレスなどの識別子とを指定することができる案内ツールを提供することができる。リソースサーバ112は次いで照会動作304で、ゲストユーザがすでに認証アカウントを持っているかどうかを検出する。これは、認証IDサーバ108と通信して、既知の識別子のアカウントが認証IDサーバ108に記録されているかどうかを判定することによって行うことができる。
照会動作304でゲストユーザがすでに認証アカウントを持っていることが検出された場合は、ID動作306で、ゲストユーザの認証IDを認証IDサーバ108から取得する。次いでリソースサーバ112は、格納動作308で、所有者によって割り当てられたパーミッションとともにその認証IDをアクセスリストに格納する。その認証IDについてリソースにアクセスする権限がアクセスリストに確立されたので、これでゲストユーザは、その認証IDで認証されるとリソースにアクセスすることができる。電子メールまたはその他の形態の通信を使用してゲストユーザに案内を通知することができ、その電子メールは、ユーザがリソースにアクセスするために選択できるハイパーリンクを含むことができる。
照会動作304で、ゲストユーザについて知られている既知の識別子についてのアカウントを認証IDサーバ108が見つけられないためにゲストユーザが認証IDを持っていないと検出される場合は、動作の流れは格納動作310に移る。格納動作310で、ゲストユーザの既知の識別子をアクセスリスト中のプレースホルダに格納する。ここで、ゲストユーザに案内を出す際に、リソースの所有者から提供されたパーミッションをプレースホルダに格納して、ゲストユーザの権限を予備的に指定することができる。また、ヌルの認証ID値をプレースホルダに格納して、ゲストユーザが認証IDを得た後にそのヌル値を実際の認証ID値に置き換えてもよい。
ゲストユーザの既知の識別子を含むプレースホルダを生成すると、リソースサーバ112は、電子メール動作312で、ゲストユーザについて知られている電子メールアドレスまたはその他の識別子へ指示の電子メールまたはその他のメッセージタイプを送信する。この電子メールまたはその他のメッセージタイプは、ゲストユーザに対するテキストによる指示を含むことができ、これにより、電子メールを認証IDアカウントとした場合は、そのメッセージが送信された電子メールアドレスのような既知の識別子を認証IDアカウントとして使用して認証IDを取得するようにゲストユーザに指示する。この電子メール中に認証IDサーバ108へのハイパーリンクを提供することができる。さらに、この電子メールは、既知の識別子で認証IDアカウントを作成した後にネットワークリソースへのアクセスを試みるようにゲストユーザに通知する、ゲストユーザに対する指示を含むことができる。リソースサーバ112へのハイパーリンクを電子メール中に提供して、そのリンクを選択することによりゲストユーザがリソースへのアクセスを試みられるようにすることができる。
リソースサーバ112からゲストユーザに電子メールまたはその他のメッセージタイプを送信するのに代えて、あるいはそれに加えて、他の通信形態を利用して、既知の識別子についての認証IDを得るようにゲストユーザに指示することができる。たとえば、電話番号が分かっている場合には、自動的に電話をかける、あるいはゲストユーザへの案内を生成したリソース所有者が電話をかけることが可能である。別の例として、リソース所有者が知られている電子メールアドレス宛てにゲストユーザに電子メールを生成して、ゲストユーザに指示してもよい。
電子メールまたはその他のメッセージタイプをゲストユーザに送信すると、リソースサーバ112は、ゲストユーザからの応答を待つ。受信動作314で、リソースサーバ112は、ゲストユーザによるリソースへのアクセスの試みを受信し、ここでは、ゲストユーザのクライアントコンピュータ102がリソースサーバ112のネットワーク上の場所に導かれる。この時に、リソースサーバ112は、ゲストユーザのクライアントコンピュータ102からクッキーにアクセスすることによりゲストユーザの認証を試みる。ただし、この最初にアクセスを試みる時点ではゲストユーザは認証IDサーバ108にログインしていない可能性があり、その場合はリソースサーバ112の認証IDを含むクッキーをまだ持っていない。
ゲストユーザのクライアントコンピュータ102が認証IDを含むクッキーをまだ持っていない場合、リソースサーバ112は、リダイレクト動作316でゲストユーザのクライアントコンピュータ102を認証IDサーバ108に向けさせ(point)、それによりゲストユーザはログインに導かれる。次いで、リソースサーバ112は、ゲストユーザがログインし、ゲストユーザのクライアントコンピュータ102がリダイレクトされてリソースサーバ112に戻るのを待つ。ログイン時に、ゲストユーザのクライアントコンピュータ102は、ゲストユーザが認証されるとクッキーを受け取る。クライアントコンピュータ102が認証IDサーバ108からリダイレクトされてリソースサーバ112に戻ると、リソースサーバ112は、認証IDサーバ108からゲストユーザのクライアントコンピュータ102に提供されたクッキーにアクセスする。
リソースサーバ112が認証IDを含むクッキーをクライアントコンピュータ102から受信すると、リソースサーバ112は、照会動作318で、ゲストユーザの認証アカウントが確認されているかどうかを検出する。リソースサーバ112は、認証IDサーバ108と通信して、ゲストユーザが既知の識別子に関連付けられたアカウントを確認したことを判定する。下記で図5を参照して述べるように、認証IDサーバ108からゲストユーザに送信される電子メールまたはその他のメッセージタイプに返信することによりアカウントを確認するようにゲストユーザに要求する。この確認により、ゲストユーザを装おうとする他の者ではなく、その電子メールアドレスまたは他の識別子を所有するゲストユーザが実際にそのアカウントを作成したことを確かめる。
照会動作318で認証アカウントが確認されていないことが検出された場合、リソースサーバ112は、拒否動作320で、その認証IDをアクセスリストに格納することを拒否する。また、リソースサーバ112は、そのゲストユーザについてはリソースへのアクセスを拒否する。これにより、偽装者が案内を傍受し、その電子メールまたはその他既知の識別子のアカウントを得た場合のように、案内対象のゲストユーザを装おうとする者が意図しないリソースへのアクセス権を得られないようにする。ただし、偽装者は、意図する案内対象者の電子メールアドレスまたはその他の識別子に送られる電子メールまたは他のメッセージタイプを実際には受け取らないので、アカウントを確認することはできない。
照会動作318で認証アカウントが確認されていることが検出された場合、リソースサーバ112は、照会動作322で、ゲストユーザのアカウントに使用されるサインイン名が共有されているかどうかを検出する。サインイン名は、ゲストユーザがログインと認証のために認証IDサーバ108に提供する、既知の識別子であり、ゲストユーザは、認証IDサーバ108とのアカウントを設定する際にそのサインイン名を共有するかしないかを選択することができる。サインイン名が共有される場合、リソースサーバ112は、ゲストユーザのクライアントコンピュータ102から得たクッキーからそのサインイン名を得ることができ、動作の流れは照会動作326に移る。サインイン名が共有されない場合は、リソースサーバ112は、フォーム動作324でゲストユーザのクライアントコンピュータ102に表示するウェブフォームを提供する。このウェブフォームはユーザにサインイン名の入力を求め、リソースサーバ112は入力されたサインイン名を取得する。動作の流れは次いで照会動作326に移る。
照会動作326で、リソースサーバ112は、そのサインイン名に対応する認証IDが、ゲストユーザのクライアントコンピュータ102から得たクッキー中の認証IDと一致するかどうかを検出して、クッキーが実際に認証IDサーバ108からそのユーザに提供されたものであることを確かめる。サインイン名に対応する認証IDを、認証IDサーバ108と通信して、クッキーまたはウェブフォームを通じて受け取ったサインイン名に対して格納されている認証IDを得ることによって得る。認証IDサーバ108の認証IDとクライアントコンピュータ102の認証IDが一致しない場合、リソースコンピュータ112は、拒否動作320でゲストユーザから得た認証IDを格納することを拒否し、リソースへのアクセスを拒否することができる。これに加えて、あるいはこの代わりに、リソースサーバ112は、フォーム動作324でウェブフォームを提供して、ゲストユーザに認証IDサーバ108の認証IDを見つけるために使用するサインイン名を再入力させてもよい。
照会動作326で、認証IDサーバ108から得たサインイン名に対応する認証IDと、ゲストユーザのクライアントコンピュータ102から得た認証IDが一致すると検出されると、動作の流れは照会動作328に移る。照会動作328で、先に受け取り、一致する認証IDを見つけるのに使用したサインイン名が、アクセスリストに格納されている識別子と一致するかどうかを検出する。一致しない場合は、その既知の識別子を用いてリソースへのアクセスをそのゲストユーザに指示した者がいないことになる。したがって、リソースサーバ112は、拒否動作320で、そのゲストユーザの認証IDを格納することを拒否し、リソースへのアクセスを拒否する。
サインイン名がアクセスリスト中の既知の識別子と一致する場合は、格納動作330で、そのゲストユーザの認証IDを、その既知の識別子を含むプレースホルダ中のヌル値に代えて格納する。そして、リソースサーバ112は、アクセス動作332で、そのゲストユーザにリソースへのアクセス権を認める。その後リソースにアクセスしようと試みると、ゲストユーザのクッキーを取得し、そのクッキーの認証ID値と、リソースサーバ112に記憶されている認証IDを比較してユーザを認証する。そして、その認証IDを使用してアクセスリスト中のそのユーザに対するパーミッションを見つけて、ユーザがアクセスすることのできるリソースを決定する。
図5および6に示す例示的な論理動作は、ゲストユーザのクライアントコンピュータ102、認証IDサーバ108、およびリソースサーバ112によって実施される図3および4の論理動作間の対話を提供する。対話を提供するこれらの論理動作は、受信動作502で開始し、ここでゲストユーザのクライアントコンピュータ102は、認証IDを取得してリソースにアクセスするように指示する指示電子メールまたはその他のメッセージタイプを受信する。ゲストユーザは、リンク動作504で、電子メール中のリンクを選択して、認証IDサーバ108へアクセスすることによって応答する。
リンクを選択すると、ゲストユーザは、アカウント動作506で、認証IDサーバ108のアカウントを取得する。このアカウントは、リソースサーバ112からゲストユーザに送信される電子メールの電子メールアドレスまたはその他のメッセージタイプの既知の識別子をサインイン名として設定される。認証IDサーバ108は次いで、電子メール動作508で、そのアカウントの電子メールアドレスまたは他の既知の識別子に確認用の電子メールまたは他のメッセージタイプを送信して、その電子メールまたは他のメッセージタイプに返信して、認証IDが提供されることになるアカウントを得ようとしていることを確かめるようにユーザに要求する。
認証IDサーバ108から電子メールまたは他のメッセージタイプを受け取ると、アカウントを確認するためにゲストユーザは、返信動作510で、返信する。電子メールまたは他のメッセージタイプに返信することによりアカウントを確認すると、ゲストユーザは、リンク動作512で、リソースサーバ112から送られた電子メールまたは他のメッセージタイプに含まれるリソースへのリンクを選択する。リンクを選択してリソースサーバ112にアクセスすると、ゲストユーザのクライアントコンピュータ102は、リダイレクト動作514で、認証IDサーバ108の認証ログインに導かれる。ここでゲストユーザは現在のログインクッキーを得る。
ゲストユーザが認証IDサーバ108にログインすると、ゲストユーザのクライアントコンピュータ102は、クッキー動作516で、認証IDを含むクッキーを受け取る。また、この時に、ゲストユーザのクライアントコンピュータ102がリダイレクトされてリソースサーバ112へ戻されると、リソースサーバ112はクライアントコンピュータ102からクッキーを取得する。認証IDサーバ108は次いで、受信動作518で、リソースサーバ112から確認の照会を受信する。ゲストユーザが確認用電子メールまたはメッセージに返信している場合には、認証IDサーバ108は、ゲストユーザがアカウントを確認したことをリソースサーバ112に通知することにより応答する。
この時点で、ゲストユーザはクライアントコンピュータ102で、サインイン受信動作520で、サインインを要求するウェブフォームをリソースサーバ112から受け取ることができる。これは、ゲストユーザが、認証IDサーバ108のアカウントを設定する際にクッキーを通じたサインイン名の共有を選択しなかった場合に行われる。ゲストユーザは、サインインフォームに記入し、それをリソースサーバ112に提出する。
リソースサーバ112がウェブフォームまたはクッキーからサインイン名を取得すると、認証IDサーバ108は、要求動作522で、そのサインイン名に対応する認証IDを求める要求をリソースサーバ112から受信する。認証IDサーバ108は、そのサインイン名に対応する認証IDをリソースサーバ112に返す。上記で図4について説明したようにリソースサーバ112がその認証IDとサインイン名を分析すると、ゲストユーザは、アクセス動作524で、ネットワークリソースへのアクセス権を得る。
例示的な実施形態を参照して本発明について詳細に図示し、説明したが、当業者は、本発明にはその趣旨および範囲から逸脱せずに種々の形態および詳細の変更を行えることを理解されたい。
本発明の実施形態のためのネットワーク動作環境の図である。 本発明の一実施形態による図1のリソースサーバコンピュータの構成要素の図である。 図2のリソースサーバによって行われる例示的な論理動作の図である。 図2のリソースサーバによって行われる例示的な論理動作の図である。 図3および4の論理動作との関係で、図1のクライアントコンピュータ、認証IDサーバ、およびリソースサーバ間に対話を確立するために行われる例示的な論理動作の図である。 図3および4の論理動作との関係で、図1のクライアントコンピュータ、認証IDサーバ、およびリソースサーバ間に対話を確立するために行われる例示的な論理動作の図である。
符号の説明
102 クライアントコンピュータ
104 記憶装置
106 ネットワーク
108 認証IDサーバ
110 参照ストア
112 リソースサーバ
114 リソース
116、218 アクセスリスト
204 CPU
206 システムメモリ
208 RAM
210 ROM
212 システムバス
214 大容量記憶装置
216 オペレーティングシステム
220 ネットワークインタフェースユニット
222 入出力コントローラ
224 ゲストユーザアプリケーション
226 ネットワークリソースデータ

Claims (25)

  1. ネットワークリソースへのアクセス権を現在持たないユーザと前記ネットワークリソースを共有する方法であって、
    前記ネットワークリソースについてのアクセスリスト中に前記ユーザのプレースホルダを作成するステップであって、前記プレースホルダは前記ユーザの既知の識別子を含むステップと、
    前記既知の識別子に関連付けられた認証識別子を認証IDサーバから取得するように前記ユーザに指示するステップと、
    前記指示を受信するのに応答して前記ユーザのコンピュータで、認証IDサーバから前記既知の識別子に関連付けられた前記認証識別子を取得するステップと、
    前記ユーザが前記ネットワークリソースへのアクセスを試みると、前記ユーザのコンピュータから前記既知の識別子に関連付けられた前記認証識別子を取得するステップと、
    前記ユーザのコンピュータから取得した前記認証識別子のコピーを、前記アクセスリスト中の前記既知の識別子を含む前記プレースホルダに格納するステップと
    を備え、前記方法は、
    前記認証識別子のコピーを格納すると前記ネットワークリソースへのアクセス権を前記ユーザに認めるステップと、
    前記ユーザが後に前記ネットワークリソースへのアクセスを試みると、前記ユーザのコンピュータから前記認証識別子を取得し、前記ユーザのコンピュータから取得した前記認証識別子と、前記アクセスリストに格納された前記認証識別子とを比較して、比較結果が一致する場合に、前記ユーザに前記ネットワークリソースへのアクセス権を付与するステップと
    をさらに備えることを特徴とする方法。
  2. 前記ユーザに指示するステップは、前記ユーザの電子メールアドレスに電子メールを送信するステップを備えることを特徴とする請求項1に記載の方法。
  3. 前記電子メールは、前記認証IDサーバへのリンクを含み、前記ユーザは、前記リンクを起動することにより前記ネットワークリソースへのアクセスを試みることを特徴とする請求項に記載の方法。
  4. 前記電子メールは、前記ネットワークリソースへのリンクを含むことを特徴とする請求項に記載の方法。
  5. 前記認証IDサーバから前記ユーザに電子メールを送信して前記認証識別子を取得しようとしていることを確認するように要求するステップと、
    前記ユーザのコンピュータで前記認証IDサーバからの電子メールに返信して、前記認証識別子を取得しようとしていることを確認するステップと、
    前記ネットワークリソースにアクセスする要求を前記ユーザのコンピュータから受信すると、前記認証IDサーバと連絡して、前記ユーザが前記認証識別子を取得しようとしていることを確認したかどうかを判定するステップと、
    前記ユーザが前記認証識別子を取得しようとしていることを確認すると、前記認証識別子を前記アクセスリストに格納するステップと、
    前記ユーザが前記認証識別子を取得しようとしていることを確認していない場合は、前記認証識別子を前記アクセスリストに格納することを拒否するステップと
    をさらに備えることを特徴とする請求項1に記載の方法。
  6. 前記認証識別子を前記プレースホルダに格納する前に、前記既知の識別子に関連付けられた前記プレースホルダに前記アクセスリスト中の前記ユーザの前記ネットワークリソースに対するパーミッションを設定するステップ
    をさらに備えることを特徴とする請求項1に記載の方法。
  7. 前記ユーザが前記ネットワークリソースへのアクセスを試みると、前記ユーザのコンピュータを前記認証IDサーバへのログインに導いて前記認証識別子を取得させるステップをさらに備えることを特徴とする請求項1に記載の方法。
  8. 前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子を取得するステップと、
    前記認証IDサーバが取得した前記既知の識別子に関連付けている前記認証識別子を取得するステップと、
    前記認証IDサーバが前記取得した既知の識別子に関連付けている前記認証識別子と、前記ネットワークリソースへのアクセスを試みる前記ユーザのコンピュータから取得した前記認証識別子とを比較するステップと、
    前記認証IDサーバが取得した前記既知の識別子に関連付けている前記認証識別子と、前記ユーザのコンピュータから取得した前記認証識別子とが一致する場合、前記既知の識別子を含む前記プレースホルダに前記認証識別子のコピーを格納するステップと
    をさらに備えることを特徴とする請求項1に記載の方法。
  9. 前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子を取得するステップは、
    前記認証識別子に関連付けられた前記既知の識別子の入力を要求するウェブフォームを前記ユーザのコンピュータに提供するステップと、
    前記ユーザが前記ウェブフォームに入力した前記既知の識別子を受信するステップと
    を備えることを特徴とする請求項に記載の方法。
  10. 前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子を取得するステップと、
    前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子と、前記プレースホルダに格納された前記既知の識別子とを比較するステップと、
    前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子と、前記プレースホルダに格納された前記既知の識別子とが一致すると、前記認証識別子のコピーを前記既知の識別子の前記プレースホルダに格納するステップと
    をさらに備えることを特徴とする請求項1に記載の方法。
  11. ネットワークリソースへのアクセス権を現在持たないユーザと前記ネットワークリソースを共有するコンピュータシステムであって、
    前記ネットワークリソースについてのアクセスリストを含むストレージと、
    ネットワークインタフェースと、
    前記アクセスリスト中に前記ユーザの既知の識別子を含むプレースホルダを作成し、前記既知の識別子に関連付けられた認証識別子を認証IDサーバから取得するように前記ユーザに指示するメッセージを前記ネットワークインタフェースを通じて前記ユーザに対して送信し、前記ユーザが前記ネットワークリソースへのアクセスを試みると、前記メッセージを受信するのに応答して前記ユーザのコンピュータで前記認証IDサーバから取得された前記既知の識別子に関連付けられた前記認証識別子を前記ネットワークインタフェースを通じて当該ユーザのコンピュータから取得し、前記認証識別子を、前記既知の識別子を含む前記ストレージ内の前記プレースホルダに格納するように構成された処理装置と
    を備え
    前記処理装置は、前記認証識別子のコピーを格納すると前記ネットワークリソースへのアクセス権を前記ユーザに認め、かつ後に前記ユーザが前記ネットワークリソースへのアクセスを試みると、前記ユーザのコンピュータから前記認証識別子を取得し、前記ユーザのコンピュータから取得した前記認証識別子と、前記アクセスリストに格納された前記認証識別子とを比較して、比較結果が一致する場合に、前記ネットワークリソースへのアクセス権を前記ユーザに付与するように構成されたことを特徴とするコンピュータシステム。
  12. 生成される前記メッセージは前記ユーザへの電子メールであり、前記認証IDサーバへのリンクと前記ネットワークリソースへのリンクとを含むことを特徴とする請求項11に記載のコンピュータシステム。
  13. 前記処理装置は、前記ユーザから前記ネットワークリソースにアクセスする要求を受信すると、前記認証IDサーバに連絡して前記ユーザが前記認証識別子を取得しようとしていることを確認したかどうかを判定し、前記ユーザが前記認証識別子を取得しようとしていることを確認していない場合は、前記認証識別子を前記プレースホルダに格納することを拒否するようにさらに構成されたことを特徴とする請求項11に記載のコンピュータシステム。
  14. 前記処理装置は、前記ユーザの前記ネットワークリソースに対するパーミッションの設定を受信し、前記認証識別子を前記プレースホルダに格納する前に、前記ネットワークリソースに対するパーミッションを前記アクセスリスト中の前記既知の識別子の前記プレースホルダに格納するようにさらに構成されたことを特徴とする請求項11に記載のコンピュータシステム。
  15. 前記処理装置は、前記ネットワークリソースへのアクセスの試みを受信すると、前記ユーザのコンピュータを前記認証IDサーバへのログインに導いて前記認証識別子を取得させるように構成されたことを特徴とする請求項11に記載のコンピュータシステム。
  16. 前記処理装置はさらに、前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子を取得し、前記認証IDサーバが取得した当該既知の識別子に関連付けている前記認証識別子を取得し、前記認証IDサーバが取得した当該既知の識別子に関連付けている前記認証識別子と、前記ネットワークリソースへのアクセスを試みる前記ユーザのコンピュータから取得した前記認証識別子とを比較し、前記認証IDサーバが取得した前記既知の識別子に関連付けている前記認証識別子と、前記ユーザのコンピュータから取得した前記認証識別子とが一致しない場合は、前記認証識別子を前記プレースホルダに格納することを拒否するようにさらに構成されたことを特徴とする請求項11に記載のコンピュータシステム。
  17. 前記処理装置は、前記ネットワークインタフェースを通じて、前記認証識別子に関連付けられた前記既知の識別子の入力を要求するウェブフォームを前記ストレージから提供し、前記ネットワークインタフェースを通じて、前記ウェブフォームに入力された前記既知の識別子を受信するようにさらに構成されたことを特徴とする請求項11に記載のコンピュータシステム。
  18. 前記処理装置は、前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子を取得し、前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子と、前記プレースホルダに格納された前記既知の識別子とを比較し、前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子に関連付けられた前記既知の識別子と、前記プレースホルダに格納された前記既知の識別子とが一致しない場合は、前記既知の識別子を含む前記プレースホルダに前記認証識別子のコピーを格納することを拒否するようにさらに構成されたことを特徴とする請求項11に記載のコンピュータシステム。
  19. ネットワークリソースへのアクセス権を現在持たないユーザと前記ネットワークリソースを共有するネットワークシステムであって、
    前記ネットワークリソースを提供し、前記ネットワークリソースについてのパーミッションを提供するアクセスリストを有する第1のサーバコンピュータであって、前記アクセスリスト中にプレースホルダを作成し、前記プレースホルダに前記ユーザの既知の識別子を格納し、前記既知の識別子にメッセージを送信して前記ユーザに認証識別子を認証IDサーバから取得するように指示し、前記ユーザが前記ネットワークリソースへのアクセスを試みると前記認証識別子を取得し、前記認証識別子を、前記既知の識別子を含む前記プレースホルダに格納する第1のサーバコンピュータと、
    前記既知の識別子への前記メッセージを受信し、前記既知の識別子に関連付けられた前記認証識別子を前記認証IDサーバから取得し、前記認証識別子を取得すると前記第1のサーバにある前記ネットワークリソースへのアクセスを試みる、前記ユーザのコンピュータである、クライアントコンピュータと
    を備え
    前記第1のサーバコンピュータは、
    前記認証識別子のコピーを格納すると前記ネットワークリソースへのアクセス権を前記ユーザに認め、
    前記ユーザが後に前記ネットワークリソースへのアクセスを試みると、前記ユーザのコンピュータであるクライアントコンピュータから前記認証識別子を取得し、前記クライアントコンピュータから取得した前記認証識別子と、前記アクセスリストに格納された前記認証識別子とを比較して、比較結果が一致する場合に、前記ユーザに前記ネットワークリソースへのアクセス権を付与することを特徴とするネットワークシステム。
  20. 前記クライアントコンピュータは、前記認証IDサーバからの前記既知の識別子へのメッセージに返信して前記認証識別子を取得しようとしていることを確認し、前記認証識別子を格納する前に、前記第1のサーバは、前記認証IDサーバに連絡して前記クライアントコンピュータが前記認証識別子を取得しようとしていることを確認したかどうかを判定することを特徴とする請求項19に記載のネットワークシステム。
  21. 前記認証識別子を格納する前に、前記第1のサーバコンピュータは、前記ユーザの前記既知の識別子を取得し、前記ネットワークリソースへのアクセスを試みる前記ユーザの前記認証識別子と、前記既知の識別子について前記認証IDサーバから得た前記認証識別子とを比較することを特徴とする請求項19に記載のネットワークシステム。
  22. 前記認証識別子を格納する前に、前記第1のサーバコンピュータは、前記ユーザの前記既知の識別子を取得し、前記ユーザから得た前記既知の識別子と前記プレースホルダに格納された前記既知の識別子とを比較することを特徴とする請求項19に記載のネットワークシステム。
  23. コンピュータによって実行されると、
    ユーザの既知の識別子を格納するプレースホルダをストレージ中に作成するステップと、
    前記既知の識別子に関連付けられた認証識別子を認証IDサーバから取得するように前記ユーザに指示するステップであって、前記指示を受信するのに応答して前記ユーザのコンピュータは認証IDサーバから前記既知の識別子に関連付けられた前記認証識別子を取得する、ステップと、
    ユーザによるネットワークリソースへのアクセスの試みを受信すると、前記ユーザのコンピュータによって提供される認証識別子が前記認証IDサーバによって確認されているかどうかを検出し、前記認証IDサーバによって提供される前記ユーザの前記既知の識別子に関連付けられた認証識別子と、前記ユーザのコンピュータによって提供される前記認証識別子とを比較し、前記ユーザの前記既知の識別子と前記プレースホルダ中の前記既知の識別子とを比較するステップと、
    前記ユーザのコンピュータによって提供される前記認証識別子が前記認証IDサーバによって確認されており、前記認証IDサーバによって提供される前記ユーザの前記既知の識別子に関連付けられた認証識別子と一致し、かつ、前記ユーザの前記既知の識別子が前記プレースホルダ中の前記既知の識別子と一致すると、前記認証識別子のコピーを前記プレースホルダに格納するステップと
    前記認証識別子のコピーを格納すると前記ネットワークリソースへのアクセス権を前記ユーザに認めるステップと、
    前記ユーザが後に前記ネットワークリソースへのアクセスを試みると、前記ユーザのコンピュータから前記認証識別子を取得し、前記ユーザのコンピュータから取得した前記認証識別子と、前記アクセスリストに格納された前記認証識別子とを比較して、比較結果が一致する場合に、前記ユーザに前記ネットワークリソースへのアクセス権を付与するステップと
    実行するプログラムを格納したコンピュータ読み取り可能な記録媒体。
  24. 前記既知の識別子は電子メールアドレスであり、前記コンピュータによって実行されると、前記プログラムは、
    前記認証IDサーバから前記認証識別子を取得するようにユーザに指示する電子メールを該電子メールのアドレスで前記ユーザに提供するステップであって、前記電子メールは、前記認証IDサーバへのリンクと前記ネットワークリソースへのリンクとを含むステップ
    を追加的に実行するプログラムであることを特徴とする請求項23に記載のコンピュータ読み取り可能な記録媒体。
  25. 前記コンピュータによって実行されると前記プログラムは、
    前記認証IDサーバによって前記認証識別子に関連付けられた前記既知の識別子の入力を要求するウェブフォームを、前記ネットワークリソースへのアクセスを試みる前記ユーザのコンピュータに提供するステップと、
    前記ユーザが前記ウェブフォームに入力した前記既知の識別子を受信するステップと
    を追加的に実行するプログラムであることを特徴とする請求項23に記載のコンピュータ読み取り可能な記録媒体。
JP2003394769A 2002-11-25 2003-11-25 ネットワークリソースを共有する方法およびコンピュータシステム並びにネットワークシステム Expired - Fee Related JP4598386B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/304,187 US7353282B2 (en) 2002-11-25 2002-11-25 Methods and systems for sharing a network resource with a user without current access

Publications (3)

Publication Number Publication Date
JP2004178597A JP2004178597A (ja) 2004-06-24
JP2004178597A5 JP2004178597A5 (ja) 2007-01-18
JP4598386B2 true JP4598386B2 (ja) 2010-12-15

Family

ID=32229951

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003394769A Expired - Fee Related JP4598386B2 (ja) 2002-11-25 2003-11-25 ネットワークリソースを共有する方法およびコンピュータシステム並びにネットワークシステム

Country Status (5)

Country Link
US (1) US7353282B2 (ja)
EP (1) EP1422904B1 (ja)
JP (1) JP4598386B2 (ja)
AT (1) ATE345006T1 (ja)
DE (1) DE60309553T2 (ja)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941533B2 (en) * 2002-02-19 2011-05-10 Jpmorgan Chase Bank, N.A. System and method for single sign-on session management without central server
US20050171954A1 (en) * 2004-01-29 2005-08-04 Yahoo! Inc. Selective electronic messaging within an online social network for SPAM detection
US7707122B2 (en) * 2004-01-29 2010-04-27 Yahoo ! Inc. System and method of information filtering using measures of affinity of a relationship
US8612359B2 (en) * 2004-01-29 2013-12-17 Yahoo! Inc. Method and system for sharing portal subscriber information in an online social network
US7269590B2 (en) * 2004-01-29 2007-09-11 Yahoo! Inc. Method and system for customizing views of information associated with a social network user
US7885901B2 (en) * 2004-01-29 2011-02-08 Yahoo! Inc. Method and system for seeding online social network contacts
TW200539641A (en) * 2004-02-19 2005-12-01 Matsushita Electric Ind Co Ltd Connected communication terminal, connecting communication terminal, session management server and trigger server
US7519708B2 (en) * 2004-04-08 2009-04-14 At&T Intellectual Property I, L.P. Guest account life cycle
US20050228680A1 (en) * 2004-04-08 2005-10-13 Malik Dale W Guest account architecture
US20050228723A1 (en) * 2004-04-08 2005-10-13 Malik Dale W Conveying self-expiring offers
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
ES2420158T3 (es) * 2004-07-15 2013-08-22 Anakam, Inc. Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada
US8296562B2 (en) * 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US20100100967A1 (en) * 2004-07-15 2010-04-22 Douglas James E Secure collaborative environment
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
US8528078B2 (en) * 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8799472B2 (en) * 2004-10-06 2014-08-05 Riverbed Technology, Inc. Peer signaling protocol and system for decentralized traffic management
JP4737974B2 (ja) * 2004-11-26 2011-08-03 株式会社東芝 オンラインショッピングシステムとそのユーザ管理装置、ネット店舗装置及びユーザ端末装置
KR100680177B1 (ko) * 2004-12-30 2007-02-08 삼성전자주식회사 홈 네트워크 외부에서 사용자를 인증하는 방법
US8078740B2 (en) * 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
US7734589B1 (en) * 2005-09-16 2010-06-08 Qurio Holdings, Inc. System and method for optimizing data uploading in a network based media sharing system
US7747574B1 (en) 2005-09-19 2010-06-29 Qurio Holdings, Inc. System and method for archiving digital media
US20070078466A1 (en) * 2005-09-30 2007-04-05 Restoration Robotics, Inc. Methods for harvesting follicular units using an automated system
US9141825B2 (en) * 2005-11-18 2015-09-22 Qurio Holdings, Inc. System and method for controlling access to assets in a network-based media sharing system using tagging
US7921456B2 (en) * 2005-12-30 2011-04-05 Microsoft Corporation E-mail based user authentication
US8185737B2 (en) 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
US8082442B2 (en) 2006-08-10 2011-12-20 Microsoft Corporation Securely sharing applications installed by unprivileged users
US7958117B2 (en) * 2006-11-17 2011-06-07 Yahoo! Inc. Initial impression analysis tool for an online dating service
US10019570B2 (en) 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
US8167724B2 (en) * 2007-12-10 2012-05-01 Gary Stephen Shuster Guest management in an online multi-player virtual reality game
US8156503B2 (en) * 2008-02-12 2012-04-10 International Business Machines Corporation System, method and computer program product for accessing a memory space allocated to a virtual machine
US8200819B2 (en) * 2008-03-14 2012-06-12 Industrial Technology Research Institute Method and apparatuses for network society associating
US8032930B2 (en) 2008-10-17 2011-10-04 Intuit Inc. Segregating anonymous access to dynamic content on a web server, with cached logons
US20100162369A1 (en) * 2008-12-19 2010-06-24 Iomega Corporation Automatically Adding User Names to Server User List
US8782755B2 (en) * 2009-03-20 2014-07-15 Citrix Systems, Inc. Systems and methods for selecting an authentication virtual server from a plurality of virtual servers
US8667575B2 (en) * 2009-12-23 2014-03-04 Citrix Systems, Inc. Systems and methods for AAA-traffic management information sharing across cores in a multi-core system
EP2529527B1 (en) * 2010-01-25 2015-12-02 Nokia Solutions and Networks Oy Method for controlling access to resources
US9189615B2 (en) * 2010-04-28 2015-11-17 Openlane, Inc. Systems and methods for system login and single sign-on
US9183560B2 (en) 2010-05-28 2015-11-10 Daniel H. Abelow Reality alternate
CA2779145C (en) * 2010-07-02 2015-12-29 Schweitzer Engineering Laboratories, Inc. Systems and methods for remote device management
US9542545B2 (en) * 2011-03-21 2017-01-10 Webcetera, L.P. System, method and computer program product for access authentication
JP5596094B2 (ja) * 2012-09-07 2014-09-24 株式会社東芝 システムおよび電子機器
US10069838B2 (en) * 2012-12-18 2018-09-04 Adobe Systems Incorporated Controlling consumption of hierarchical repository data
US10489132B1 (en) * 2013-09-23 2019-11-26 Sprint Communications Company L.P. Authenticating mobile device for on board diagnostic system access
US9679122B1 (en) 2014-06-11 2017-06-13 Red Hat, Inc. Methods and apparatus for using credentials to access computing resources
US9619631B1 (en) 2014-06-11 2017-04-11 Ansible, Inc. Role-based permissions for accessing computing resources
US20160048313A1 (en) 2014-08-18 2016-02-18 KnowMe Systems, Inc. Scripted digital media message generation
US10037185B2 (en) 2014-08-18 2018-07-31 Nightlight Systems Llc Digital media message generation
US10038657B2 (en) 2014-08-18 2018-07-31 Nightlight Systems Llc Unscripted digital media message generation
US20160226806A1 (en) 2014-08-18 2016-08-04 KnowMe Systems, Inc. Digital media messages and files
US10979905B2 (en) * 2015-01-13 2021-04-13 Collateral Opportunities, Llc Using a wireless transmitter and receiver to prevent unauthorized access to restricted computer systems
US20180183806A1 (en) * 2015-09-10 2018-06-28 Hewlett Packard Enterprise Development Lp Guest access provisioning

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10145543A (ja) * 1996-09-16 1998-05-29 Eastman Kodak Co 画像配布方法およびシステム
JP2001188699A (ja) * 1999-12-28 2001-07-10 Ibm Japan Ltd アクセス制御機構を備えたデータ処理システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5941947A (en) * 1995-08-18 1999-08-24 Microsoft Corporation System and method for controlling access to data entities in a computer network
US6055637A (en) * 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
US6067623A (en) * 1997-11-21 2000-05-23 International Business Machines Corp. System and method for secure web server gateway access using credential transform
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6279111B1 (en) * 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US6182227B1 (en) * 1998-06-22 2001-01-30 International Business Machines Corporation Lightweight authentication system and method for validating a server access request
US6490624B1 (en) * 1998-07-10 2002-12-03 Entrust, Inc. Session management in a stateless network system
US6212640B1 (en) 1999-03-25 2001-04-03 Sun Microsystems, Inc. Resources sharing on the internet via the HTTP
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US6678731B1 (en) * 1999-07-08 2004-01-13 Microsoft Corporation Controlling access to a network server using an authentication ticket
EP1089516B1 (en) 1999-09-24 2006-11-08 Citicorp Development Center, Inc. Method and system for single sign-on user access to multiple web servers
US7054944B2 (en) * 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
US7117366B2 (en) * 2002-01-08 2006-10-03 International Business Machines Corporation Public key based authentication method for transaction delegation in service-based computing environments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10145543A (ja) * 1996-09-16 1998-05-29 Eastman Kodak Co 画像配布方法およびシステム
JP2001188699A (ja) * 1999-12-28 2001-07-10 Ibm Japan Ltd アクセス制御機構を備えたデータ処理システム

Also Published As

Publication number Publication date
EP1422904A2 (en) 2004-05-26
JP2004178597A (ja) 2004-06-24
DE60309553T2 (de) 2007-06-14
ATE345006T1 (de) 2006-11-15
EP1422904A3 (en) 2004-07-14
EP1422904B1 (en) 2006-11-08
DE60309553D1 (de) 2006-12-21
US7353282B2 (en) 2008-04-01
US20040103203A1 (en) 2004-05-27

Similar Documents

Publication Publication Date Title
JP4598386B2 (ja) ネットワークリソースを共有する方法およびコンピュータシステム並びにネットワークシステム
KR100920871B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
US8800003B2 (en) Trusted device-specific authentication
EP1514173B1 (en) Managing secure resources in web resources that are accessed by multiple portals
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
TWI400922B (zh) 在聯盟中主用者之認證
EP1939707B1 (en) Persistent authorization context based on external authentication
US8209394B2 (en) Device-specific identity
US20130019295A1 (en) Method and system for open authentication
KR20190096825A (ko) 정보 처리 시스템 및 제어 방법
CN112769826B (zh) 一种信息处理方法、装置、设备及存储介质
US20210067551A1 (en) Identifier-based application security
JP2006085697A (ja) 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム
US20110289567A1 (en) Service access control
JP2013541908A (ja) ユーザアカウント回復
JP2001282667A (ja) 認証サーバ・クライアントシステム
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템
CN117596590A (zh) 网络接入方法、装置、控制器、无线接入设备以及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061127

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100514

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20100622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100728

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100917

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100924

R150 Certificate of patent or registration of utility model

Ref document number: 4598386

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131001

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees