JP5052523B2 - フェデレーション内のプリンシパルの認証 - Google Patents

フェデレーション内のプリンシパルの認証 Download PDF

Info

Publication number
JP5052523B2
JP5052523B2 JP2008544994A JP2008544994A JP5052523B2 JP 5052523 B2 JP5052523 B2 JP 5052523B2 JP 2008544994 A JP2008544994 A JP 2008544994A JP 2008544994 A JP2008544994 A JP 2008544994A JP 5052523 B2 JP5052523 B2 JP 5052523B2
Authority
JP
Japan
Prior art keywords
authentication
service provider
principal
provider
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008544994A
Other languages
English (en)
Other versions
JP2009519530A (ja
Inventor
ヒントン、ヘザー、マリア
モラン、アンソニー、スコット
Original Assignee
インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to US11/304,945 priority Critical patent/US8418234B2/en
Priority to US11/304,945 priority
Application filed by インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation filed Critical インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation
Priority to PCT/EP2006/069652 priority patent/WO2007068716A1/en
Publication of JP2009519530A publication Critical patent/JP2009519530A/ja
Application granted granted Critical
Publication of JP5052523B2 publication Critical patent/JP5052523B2/ja
Application status is Active legal-status Critical
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0815Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0884Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network-specific arrangements or communication protocols supporting networked applications
    • H04L67/14Network-specific arrangements or communication protocols supporting networked applications for session management

Description

本発明は、データ処理に係り、さらに詳細に説明すれば、フェデレーション内のプリンシパルを認証するための方法、システム及びコンピュータ・プログラム製品に係る。

フェデレーションとは、管理されたセキュリティ空間の集まりである。フェデレーションがシングル・サインオンの機能性を実装する場合、1つのフェデレーテッド・セキュリティ空間内のアクセス・マネージャは、認証サービスのために他のセキュリティ空間内のアクセス・マネージャに依存することがある。現状では、フェデレーテッド・アクセス・マネージャの認証プロセスは、特定のアクセス・マネージャにとって既知の又は特定のアクセス・マネージャ上にインストールされる、既存の認証方法及びカスタム認証方法に制限されている。シングル・サインオン・セッション中のプリンシパルのための許可要件の変更、例えばステップアップ要件は、既存の認証方法で容易に達成することができる。なぜなら、アクセス・マネージャは、既存の認証方法を利用する方法を知っているのが普通であるからである。
IBM社、マイクロソフト社及びベリサイン社によって策定された、"Web Services Security" (WS-Security) と題するウェブ・サービス仕様 IBM社、マイクロソフト社、ベリサイン社、オープンネットワークス社、レイヤ7社、コンピュータ・アソシエーツ社、BEA社、オブリックス社、リアクティビティ社、RSAセキュリティ社、ピング・アイデンティティ社及びアクショナル社によって策定された、"Web Services Trust Language" (WS-Trust)と題するウェブ・サービス仕様 ベリサイン社、マイクロソフト社、ソニックソフトウェア社、IBM社及びSAP社によって共同で策定された、"Web Services Policy Framework" (WS-Policy) と題するウェブ・サービス仕様 マイクロソフト社、ベリサイン社、IBM社及びRSAセキュリティ社によって共同で策定された、"Web Services Security Policy Language" (WS-Security Policy) と題するウェブ・サービス仕様

しかし、フェデレーテッド環境内にある他のセキュリティ・ドメインの複数のカスタム方法のサポートは、容易に達成されない。なぜなら、現行のアクセス・マネージャは、他のセキュリティ空間又はドメイン内にあるエンティティのカスタム要件に従って認証を実行していないからである。現行のアクセス・マネージャによるアプローチは、認証プロセスに含まれる他のエンティティのカスタム認証方法を実装するのに十分な柔軟性を欠いている。

開示された方法、システム及びコンピュータ・プログラム製品は、フェデレーション内のプリンシパルを認証するための追加の柔軟性を提供するために、サービス・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダにより前記プリンシパルを認証し、前記アイデンティティ・プロバイダのセッション・データ内に、前記サービス・プロバイダの認証ポリシを満たす認証証明書を記録する。また、フェデレーション内のプリンシパルの認証は、アイデンティティ・プロバイダの認証ポリシに従って、前記アイデンティティ・プロバイダにより前記プリンシパルを認証することにより実行される。さらに、フェデレーション内のプリンシパルの認証は、前記アイデンティティ・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記サービス・プロバイダから受信することにより実行される。

さらに、フェデレーション内のプリンシパルの認証は、前記サービス・プロバイダにおいて、前記サービス・プロバイダの資源にアクセスするための前記プリンシパルの資源要求を受信し、前記サービス・プロバイダにより、前記資源要求の認証証明書が前記サービス・プロバイダの認証ポリシを満たさないことを決定し、前記サービス・プロバイダにより、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記アイデンティティ・プロバイダに送信することにより実行される。さらに、フェデレーション内のプリンシパルの認証は、前記サービス・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを満たす認証証明書を含む認証応答を、前記アイデンティティ・プロバイダから受信し、前記サービス・プロバイダのセッション・データ内に、前記認証証明書を記録することにより実行される。

フェデレーション内のプリンシパルの認証は、前記アイデンティティ・プロバイダのアクセス・マネージャにより前記プリンシパルを認証することを含む。さらに、フェデレーション内のプリンシパルの認証は、前記アイデンティティ・プロバイダの認証プロキシにより前記プリンシパルを認証することを含む。

以下、添付図面を参照して、本発明に従った、フェデレーション内のプリンシパルを認証するための方法、システム及びコンピュータ・プログラム製品を説明する。図1は、本発明に従った、フェデレーション内のプリンシパルを認証するためのシステムを示すネットワーク図である。一般に、図1のシステムは、フェデレーション内のプリンシパルを認証するために、サービス・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダにより前記プリンシパルを認証し、前記アイデンティティ・プロバイダのセッション・データ内に、前記サービス・プロバイダの認証ポリシを満たす認証証明書を記録するように動作する。

フェデレーションとは、管理されたセキュリティ空間の集まりである。フェデレーションにおいて、資源要求の送信元及び宛先は、送信元からの特定セットのセキュリティ情報が宛先に関係する機密保護ポリシを満たすか否かを決定し且つこれに合意することができる。フェデレーション100の管理されたセキュリティ空間は、論理境界130によって、プリンシパル132、アイデンティティ・プロバイダ126及びサービス・プロバイダ128へ分割され、その各々は、資源要求の送信元又は宛先となり得る。宛先の機密保護ポリシが送信元のセキュリティ情報によって満たされるか否かは、資源要求の送信元又は宛先とは別のエンティティによって決定することができる。例えば、資源要求の送信元をプリンシパル132とし、当該資源要求の宛先をサービス・プロバイダ128とする場合、アイデンティティ・プロバイダ126は、サービス・プロバイダ128の機密保護ポリシがプリンシパル132のセキュリティ情報によって満たされるか否かを決定することができる。

プリンシパルとは、セキュリティ権を付与されるか、又はセキュリティ若しくはアイデンティティに関するアサーションを行う、任意のエンティティである。例えば、プリンシパルは、ウェブ・サーバ上の銀行用サービスにアクセスするために、ウェブ・ブラウザを通してユーザ名及びパスワードを提供する個人とすることができる。プリンシパルとして行動することができるエンティティは、人間に制限されない。かかるエンティティには、他のウェブ・サービス上の資源にアクセスするために、X.509証明書を提供するウェブ・サービス・クライアントも含まれるからである。プリンシパル132は、アイデンティティ・プロバイダ126による認証のために、セキュリティ又はアイデンティティに関するアサーションを行う。

認証とは、保護資源へのアクセスを要求中のエンティティによってアサートされるアイデンティティを検証するプロセスである。エンティティのアイデンティティの検証は、当該エンティティによって提供されるセキュリティ情報を検証することを通して行われる。セキュリティ情報とは、エンティティによって提供される情報であって、当該エンティティのアイデンティティを他のエンティティのアイデンティティから区別する情報である。セキュリティ情報は、名前、社会保障番号、ユーザ名及びパスワード、ケルベロス・チケット、X.509証明書等を含むことができる。図1のアイデンティティ・プロバイダ126は、サービス・プロバイダ128又はアイデンティティ・プロバイダ126上の資源にアクセスすることを試みるときに、プリンシパル132によって提供されるセキュリティ情報を検証することにより、プリンシパル132のアイデンティティを検証する。

エンティティのセキュリティ情報は、エンティティのための認証証明書を作成するために使用することができる。認証証明書は、フェデレーションのセキュリティ空間におけるエンティティのセキュリティ特権を表す。認証証明書は、特定セッションのためのエンティティを記述し、当該セッションの継続時間にわたって有効である。認証証明書は、エンティティ名、任意のグループ・メンバシップ、プリンシパルを認証するために使用されるセキュリティ情報のタイプ及び他の任意のセキュリティ属性を含むことができる。

サービス・プロバイダとは、資源へのプリンシパルのアクセスを提供するエンティティである。サービス・プロバイダ128は、サービス・プロバイダの資源にアクセスするためのプリンシパルの要求を受信し、当該要求の認証証明書がサービス・プロバイダの認証ポリシを満たさないことを決定し、サービス・プロバイダの認証ポリシを指定する認証要求をアイデンティティ・プロバイダに送信し、サービス・プロバイダの認証ポリシを満たす認証証明書を含む認証応答をアイデンティティ・プロバイダから受信し、当該認証証明書をサービス・プロバイダのセッション・データ内に記録することができる。サービス・プロバイダは、例えば、年金口座情報へのアクセスを提供する投資信託会社、飛行及び発券データを提供する航空会社、カリキュラム情報を提供する大学等とすることができる。

アイデンティティ・プロバイダとは、プリンシパルのアイデンティティ情報を維持し、プリンシパルによってシングル・サインオン環境内のサービス・プロバイダに提供されるセキュリティ情報を検証するエンティティである。アイデンティティ・プロバイダ126は、アイデンティティ・プロバイダの認証ポリシに従ってプリンシパルを認証し、シングル・サインオン環境におけるサービス・プロバイダの認証ポリシを指定するサービス・プロバイダ128から認証要求を受信し、サービス・プロバイダの認証ポリシに従ってプリンシパルを認証し、アイデンティティ・プロバイダのセッション・データ内にサービス・プロバイダの認証ポリシを満たす認証証明書を記録することができる。アイデンティティ・プロバイダ126は、例えば、雇用者、大学、企業体又は政府機関等とすることができる。

シングル・サインオンとは、プリンシパルに課されるアクションの繰り返しという煩わしさを解消する認証シーケンスである。シングル・サインオンは、セキュリティ情報に基づいてプリンシパルを認証したアイデンティティ・プロバイダが、認証の証拠として、プリンシパルの認証証明書をサービス・プロバイダに提示することを可能にする。サービス・プロバイダは、アイデンティティ・プロバイダによって提供された認証証明書を使用することにより、プリンシパルを認証し、以前に供給されたセキュリティ情報についてプリンシパルにプロンプトを出すことなく、プリンシパルのためにローカルに有効なセッションを確立する。例えば、従業員がプリンシパルであり、雇用者がアイデンティティ・プロバイダであり、投資信託会社がサービス・プロバイダであるものとして、従業員が雇用者のウェブ・サイトを通して投資信託会社における401K口座にアクセスすることを試み、そして雇用者のウェブ・サイトがユーザ名及びパスワードを通して従業員の認証を完了している状況を考慮する。非シングル・サインオン環境では、従業員は、2回認証しなければならない。1回目の認証は、ユーザ名及びパスワードを提供することにより、雇用者のウェブ・サイトにアクセスするときに行われる。2回目の認証は、従業員がその401K口座にアクセスすることを投資信託会社が許可する前に、投資信託会社が従業員にユーザ名及びパスワードを再入力することを要求するときに行われる。しかし、シングル・サインオン環境では、従業員は、雇用者にユーザ名及びパスワードを提供することにより、1回だけ認証すればよい。なぜなら、投資信託会社は、雇用者による従業員の最初の認証に基づいて、従業員が401K口座にアクセスすることを許可できるからである。もし、投資信託会社が、ユーザ名及びパスワードの提供とは異なる認証方法(例えば、ケルベロス・チケット又はX.509証明書)を必要とすれば、従業員は、追加のセキュリティ情報を提供することが必要となろう。しかし、シングル・サインオン環境では、従業員は、そのユーザ名及びパスワードを提供することを再び要求されないであろう。

図1のシステムは、ネットワーク接続119、121及び123を通して相互接続する、広域ネットワーク(WAN)101、103及び105を含む。図1のアーキテクチャのネットワーク接続は、例示であるに過ぎず、本発明の範囲を制限するものではない。実際、フェデレーション内のプリンシパルを認証するためのシステムは、LAN、WAN、イントラネット、インターネット、インターネット、ウェブ、ワールド・ワイド・ウェブ等として接続することができる。かかるネットワークは、データ処理システム全体の内部で相互に接続された種々の装置とコンピュータの間のデータ通信接続を提供するために使用することができる媒体である。

サーバ106、107、109、111及び135は、ゲートウェイ、ルータ又はWAN 101、103及び105の間のブリッジを実装する。サーバ106及び107を含む幾つかの装置は、WAN 101に接続される。サーバ106は有線接続113を通してWAN 101に接続し、サーバ107は有線接続115を通してWAN 101に接続する。

サーバ109及び111を含む幾つかの装置は、WAN 103に接続される。サーバ109は有線接続117を通してWAN 103に接続し、サーバ111は有線接続125を通してWAN 103に接続する。

サーバ135、ワークステーション104、PDA 112、ラップトップ126、ネットワーク対応の携帯電話110及びパーソナル・コンピュータ102を含む幾つかの装置は、WAN 105に接続される。サーバ135は有線接続127を通してWAN 105に接続し、ワークステーション104は有線接続122を通してWAN 105に接続し、PDA 112は無線リンク114を通してWAN 105に接続し、携帯電話110は無線リンク116を通してWAN 105に接続し、ラップトップ126は無線リンク118を通してWAN 105に接続し、パーソナル・コンピュータ102は有線接続124を通してWAN 105に接続する。

図1のシステムでは、図示の装置(106、107、112、104、109、111、110、126、102、135)の各々は、プロセッサ及び当該プロセッサにデータを転送するように結合されたメモリを含む。アイデンティティ・プロバイダ126の各コンピュータ(106及び107)のメモリ及びサービス・プロバイダ128の各コンピュータ(109及び111)のメモリは、それぞれの内部に、認証プロキシを構成するコンピュータ・プログラム命令が配置されている。一般に、前記認証プロキシは、フェデレーション内のプリンシパルの認証を行うことができ、そうするために、サービス・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダにより前記プリンシパルを認証し、前記アイデンティティ・プロバイダのセッション・データ内に、前記サービス・プロバイダの認証ポリシを満たす認証証明書を記録する。

また、前記認証プロキシは、アイデンティティ・プロバイダの認証ポリシに従って、前記アイデンティティ・プロバイダにより前記プリンシパルを認証することにより、フェデレーション内のプリンシパルの認証を行うことができる。さらに、前記認証プロキシは、前記アイデンティティ・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記サービス・プロバイダから受信することができる。また、前記認証プロキシは、前記サービス・プロバイダにおいて、前記サービス・プロバイダの資源にアクセスするための前記プリンシパルの資源要求を受信し、前記サービス・プロバイダにより、前記資源要求の認証証明書が前記サービス・プロバイダの認証ポリシを満たさないことを決定し、前記サービス・プロバイダにより、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記アイデンティティ・プロバイダに送信することができる。また、前記認証プロキシは、前記サービス・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを満たす認証証明書を含む認証応答を、前記アイデンティティ・プロバイダから受信し、前記サービス・プロバイダのセッション・データ内に、前記認証証明書を記録することができる。

図1のシステムを構成するサーバ及び他の装置の配置は、例示であるに過ぎず、本発明の範囲を制限するものではない。本発明に従った有用なデータ処理システムは、図1に示していない追加のサーバ、ルータ、他の装置及びピア・ツー・ピア・アーキテクチャ等を含むことができる。かかるデータ処理システム内のネットワークは、TCP(伝送制御プロトコル)、IP(インターネット・プロトコル)、HTTP(ハイパーテキスト転送プロトコル)、WAP(無線アプリケーション・プロトコル)、HDTP(ハンドヘルド・デバイス転送プロトコル)等の、多数のデータ通信プロトコルをサポートすることができる。本発明の種々の実施形態は、図1に示すものに加えて、種々のハードウェア・プラットフォーム上で実装することができる。

図2は、本発明に従った、フェデレーション内のプリンシパルを認証するためのシステムのブロック図である。フェデレーション100は、プリンシパル132、アイデンティティ・プロバイダ126及びサービス・プロバイダ128を含む。フェデレーション100は、シングル・サインオン環境を実装する。

プリンシパル132は、ウェブ・ブラウザ200を操作するユーザ201によって表すことができる。ウェブ・ブラウザとは、ウェブ・サーバによってホストされるか又はファイル・システム内に保持された文書であって、例えば、ハイパー・テキスト・マークアップ言語(HTML)又はハンドヘルド・デバイス・マークアップ言語(HDML)でフォーマットされた文書を表示するためのソフトウェア・アプリケーションである。ウェブ・ブラウザ200は、要求の宛先変更(redirect)及び自動転送をサポートし、ハイパーテキスト転送プロトコル(HTTP)又は無線アプリケーション・プロトコル(WAP)のような通信プロトコルを使用して、アイデンティティ・プロバイダ126又はサービス・プロバイダ128と通信することができる。本発明に従った、フェデレーション内のプリンシパルの認証に有用なウェブ・ブラウザは、例えば、インターネット・エクスプローラ、モジラ・ファイアフォックス(Mozilla Firefox)、オペラ、ネットスケープ・ナビゲータ、サファリ等を含む。

また、プリンシパル132は、ウェブ・サービス202によって表すことができる。ウェブ・サービスとは、ネットワークを介するマシン同士の相互運用をサポートするソフトウェア・アプリケーションである。ウェブ・サービス202が有する公開インタフェースは、ウェブ・サービス記述言語(WSDL)のようなマシン処理可能なフォーマットで記述されている。ウェブ・サービスのWSDL記述は、メッセージ・フォーマット及び当該ウェブ・サービスと対話するための通信方法を指定する。ウェブ・サービスと対話するための最も一般的なメッセージ・フォーマットは、拡張可能マークアップ言語(XML)に基づくSOAPであり、最も一般的な通信方法は、HTTPである。ウェブ・サービスと対話するための他のメッセージ・フォーマットは、XMLベースのリモート・プロシージャ・コール用のJavaアプリケーション・プログラミング・インタフェース(JAX−RPC)、XMLリモート・プロシージャ・コール(XML−RPC)等を含む。ウェブ・サービスと対話するための他の通信方法は、ファイル転送プロトコル(FTP)、簡易メール転送プロトコル(SMTP)、eXtensible Messaging and Presence Protocol(XMPP)等を含む。

ウェブ・サービスは、ウェブ・サービス・メッセージを使用することにより、他のウェブ・サービスと通信する。ウェブ・サービス・メッセージとは、ウェブ・サービス相互間で交換される内蔵型のデータ・ユニットであり、WSDL記述で指定されるメッセージ・フォーマットに準拠するものである。一般に、ウェブ・サービス・メッセージは、SOAPエンベロープ内に含まれる多目的インターネット・メール拡張仕様(MIME)部分のような、XML及び他のウェブ関連コンテンツを含む。

アイデンティティ・プロバイダ126は資源220を含み、サービス・プロバイダ128は資源240を含む。資源220及び240は、情報の任意の集合体、当該情報の集合体にアクセスするための任意のコンピュータ・システム、又は当該システム上でデータ処理サービス若しくは計算を提供する任意のプログラム、プロセス若しくはスレッドである。最も一般的な資源はファイルである。しかし、かかる資源は、CGI(コモン・ゲートウェイ・インタフェース)スクリプトの出力、Javaサーブレット、動的なサーバ・ページ、Active Server Page、Java Server Page、幾つかの言語で利用可能な文書等の、動的に生成された照会結果も含むことができる。事実、かかる資源は、ファイルに多少類似しているが、本質的により一般的である。ファイルにより表される資源220及び240は、静的なウェブ・ページ、グラフィック・イメージ・ファイル、ビデオ・クリップ・ファイル、オーディオ・クリップ・ファイル等を含む。コンピュータ・システムにより表される資源220及び240は、ディスク・ドライブ、プリンタ、ディスプレイ、メモリ、プロセッサ等の、コンピュータ又はネットワークの任意のコンポーネントを含む。プログラム、プロセス又はスレッドにより表される資源220及び240は、ウェブ・サービスを含む。

アイデンティティ・プロバイダ126は、アクセス・マネージャ210を含む。アクセス・マネージャ210は、資源220へのアクセス又はアイデンティティ・プロバイダ126のシングル・サインオン・サービスを要求するプリンシパル132に対し、認証サービス、セッション管理サービス及び許可サービスを提供することにより、資源220へのアクセス及びアイデンティティ・マネージャ218のシングル・サインオン・サービスを制御するウェブ・サービスである。アクセス・マネージャ210は、プリンシパルによって提供されるセキュリティ情報に基づき、当該プリンシパルを認証し、アクセス・マネージャ210との当該プリンシパルのセッションのための認証証明書を作成する。アクセス・マネージャ210は、プリンシパルの認証証明書に基づき、プリンシパルがアイデンティティ・プロバイダ126の資源220にアクセスするか、又はアイデンティティマネージャ218とのシングル・サインオンに参加することを許可する。本発明に従ったフェデレーション内のプリンシパルの認証のために改良することができるアクセス・マネージャの例は、IBM(商標)Tivoli(商標)アクセス・マネージャである。他のアクセス・マネージャ210も、本発明に従ったフェデレーション内のプリンシパルの認証のために改良することができる。

アクセス・マネージャ210は、セッション・マネージャ212を含む。セッション・マネージャ212は、セッション生成、セッション消滅、活動タイムアウト、セッション・データ更新等のタスクを実行することにより、セッション・データを管理する、ウェブ・サービスによって表すことができる。セッションとは、ソフトウェア・アプリケーション相互間の継続する接続であって、当該接続の確立中、維持中及び解放中に、各アプリケーションの間でデータの交換が行われるものである。セッションは、当該セッションを記述する接続情報として、セッション識別子、セッション参加者、セッション・キー、認証証明書、許可特権等を含むことができる。セッションは、交換中のデータ内に定義された構造を使用して、これを維持することができる。例えば、ウェブ・ブラウザ200及びアクセス・マネージャ210の間のHTTP交換は、プリンシパルのプリファレンス又はアクセス・マネージャ210への認証証明書のようなセッション・データを識別するための一意的なセッション識別子を格納する、HTTPクッキーを含むことができる。図2の例では、セッションは、作成後に当該セッションの継続時間にわたってアイデンティティ・プロバイダ126内に格納される、データ構造により表される。セッション・マネージャ212は、プリンシパル132及びアイデンティティ・プロバイダ126の間のセッションのセッション・データを管理する。

また、アクセス・マネージャ210は、認証マネージャ214を含む。認証マネージャ214は、プリンシパル132がアイデンティティ・プロバイダ126の資源220にアクセスするとき、又はプリンシパル132がアイデンティティマネージャ218のシングル・サインオン・サービスに参加するとき、アイデンティティ・プロバイダの認証ポリシに従ってプリンシパル132を認証する、ウェブ・サービスによって表すことができる。認証マネージャ214は、プリンシパルによって提供されるセキュリティ情報をユーザ・レジストリ222内に格納済みのアイデンティティ関連情報と比較し、認証証明書を、セッション・マネージャ212を通して、プリンシパルのセッション・データ内に記録する。認証マネージャ210は、資源を要求する特定のプリンシパル、要求された資源220のタイプ、又はシングル・サインオンに参加するサービス・プロバイダの認証ポリシに依存して、異なるタイプの認証を必要とすることがある。例えば、認証マネージャ214は、プリンシパル132が電子メールのような資源にアクセスするとき、認証のためにユーザ名及びパスワードを必要とし、一方、プリンシパル132がシングル・サインオン環境における投資銀行用サービスのためのサービス・プロバイダにアクセスするとき、X.509証明書を必要とすることがある。

アイデンティティ・プロバイダ126は、ユーザ・レジストリ222を含む。ユーザ・レジストリ222は、プリンシパル132のアイデンティティ関連情報を格納するデータベースである。かかるアイデンティティ関連情報は、プリンシパル識別子、プリンシパル名、電子メール・アドレス、物理的なメール・アドレス、オフィス所在地、システム・プリファレンス、プリンシパルが属するセキュリティ・グループ、セキュリティ特権、プリンシパルの非対称公開鍵、プリンシパルの対称暗号鍵等を含むことができる。ユーザ・レジストリ222は、認証マネージャ214、認証プロキシ216及びアイデンティティマネージャ218によってアクセス可能である。図2の例では、認証マネージャ、認証プロキシ又はアイデンティティマネージャは、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)のようなディレクトリ・アクセス・プロトコルを使用して、ユーザ・レジストリ222にアクセスすることができる。

また、アイデンティティ・プロバイダ126は、アイデンティティマネージャ218を含む。アイデンティティマネージャ218は、アクセス・マネージャ210又は認証プロキシ216によりシングル・サインオンに参加することを許可されたプリンシパルのためのシングル・サインオン・サービスを実行する、ウェブ・サービスによって表すことができる。アイデンティティマネージャ218は、サービス・プロバイダ128及びプリンシパル132とウェブ・サービス・メッセージを交換することにより、シングル・サインオン・サービスをアイデンティティ・プロバイダ126内で実装することができる。アイデンティティマネージャ218は、サービス・プロバイダの認証ポリシを指定する認証要求を、プリンシパル132のシングル・サインオン認証を要求するサービス・プロバイダ128から受信する。アイデンティティマネージャ218が作成する認証応答は、プリンシパル132のシングル・サインオン認証を要求するサービス・プロバイダ128のために、アイデンティティ・プロバイダ126とのプリンシパルのセッションの認証証明書を含む。アイデンティティマネージャ218は、アクセス・マネージャ210とウェブ・サービス・メッセージを交換することにより、アイデンティティ・プロバイダとのプリンシパルの現セッションの認証証明書にアクセスすることができる。さらに、アイデンティティマネージャ218は、プリンシパルの他のアイデンティティ関連情報をユーザ・レジストリ222から獲得する。本発明に従ったフェデレーション内のプリンシパルの認証のために改良することができるアイデンティティマネージャの例は、IBM(商標)Tivoli(商標)アイデンティティマネージャである。他のアイデンティティマネージャ218も、本発明に従ったフェデレーション内のプリンシパルの認証のために改良することができる。

アイデンティティ・プロバイダ126は、認証プロキシ216を含む。認証プロキシ216は、サービス・プロバイダの認証ポリシに従って、プリンシパル132のアイデンティティをアイデンティティマネージャ218に対し認証し、アイデンティティ・プロバイダ126のセッション・データ内に、サービス・プロバイダの認証ポリシを満たす認証証明書を記録する、ウェブ・サービスによって表すことができる。認証プロキシ216は、アクセス・マネージャ210を通してプリンシパルのセッション・データにアクセスすることにより、アイデンティティ・プロバイダ126とのプリンシパルの現セッションの認証証明書がサービス・プロバイダの認証ポリシを満たすか否かを決定する。もし、サービス・プロバイダの認証ポリシが満たされるならば、認証プロキシ216は、ウェブ・サービス・メッセージを通して、その旨をアイデンティティマネージャ218に通知する。一方、アイデンティティ・プロバイダ126とのプリンシパルの現セッションの認証証明書がサービス・プロバイダの認証ポリシを満たさなければ、認証プロキシ216は、当該セッションのための追加のセキュリティ情報を提供するようにプリンシパルに対しプロンプトを出し、ユーザ・レジストリ222内に格納済みのプリンシパルのアイデンティティ関連情報を使用して、当該追加のセキュリティ情報を検証し、サービス・プロバイダの認証ポリシを満たす追加の認証証明書を、アクセス・マネージャ210を通して、プリンシパルのセッション・データ内に記録し、次いでサービス・プロバイダの認証ポリシが満たされることを、ウェブ・サービス・メッセージを通して、アイデンティティマネージャ218に通知する。図2の例では、認証プロキシ216は、アクセス・マネージャ210とは別々に実装される。この例における別個のモジュール内に認証プロキシ216を実装することは、例示であるに過ぎず、本発明の範囲を制限するものではない。例えば、図2の認証プロキシ216は、アクセス・マネージャ210内、認証マネージャ214内又はアイデンティティ・プロバイダ126の他の任意のモジュール内に存在するモジュールとして実装することができる。

サービス・プロバイダ128は、アクセス・マネージャ230及びユーザ・レジストリ242を含む。アクセス・マネージャ230は、セッション・マネージャ232及び認証マネージャ234を含む。図2の例では、サービス・プロバイダ128のアクセス・マネージャ230、セッション・マネージャ232、認証マネージャ234及びユーザ・レジストリ242の全ては、アイデンティティ・プロバイダ126のアクセス・マネージャ210、セッション・マネージャ212、認証マネージャ214及びユーザ・レジストリ242と類似する構造を有しており、後者のそれぞれと同様に動作する。

また、サービス・プロバイダ128は、アイデンティティマネージャ238を含む。アイデンティティマネージャ238は、アクセス・マネージャ230によりシングル・サインオンに参加することを許可されたプリンシパル132のためのシングル・サインオン・サービスを実行する、ウェブ・サービスによって表すことができる。アイデンティティマネージャ238は、アイデンティティ・プロバイダ126及びプリンシパル132とセキュリティ・メッセージを交換することにより、シングル・サインオン・サービスをアイデンティティ・プロバイダ126内で実装する。アイデンティティマネージャ238は、サービス・プロバイダ128の資源240にアクセスするためのプリンシパル132の要求を受信し、プリンシパルのアイデンティティ関連情報をユーザ・レジストリ242からアクセスすることにより、当該要求の認証証明書がサービス・プロバイダの認証ポリシを満たすか否かを決定する。もし、当該要求のプリンシパルの認証証明書がサービス・プロバイダの認証ポリシを満たさなければ、アイデンティティマネージャ238は、サービス・プロバイダの認証ポリシを指定する認証要求を、アイデンティティ・プロバイダ126に送信する。また、アイデンティティマネージャ238は、サービス・プロバイダの認証ポリシを満たす認証証明書を含む認証応答を、アイデンティティ・プロバイダ126から受信し、当該プリンシパルのためのサービス・プロバイダのセッション・データ内に、当該認証証明書を記録する。

一般に、本発明に従ったフェデレーション内のプリンシパルの認証は、コンピュータで実装される。例えば、図1のシステムでは、全てのノード、サーバ及び通信装置は、ある程度まで少なくともコンピュータとして実装される。従って、図3は、本発明に従ったフェデレーション内のプリンシパルの認証に有用なコンピュータ152のブロック図を示す。コンピュータ152は、少なくとも1つのプロセッサ156と、システム・バス160を通してプロセッサ156及びコンピュータの他のコンポーネントに接続されたランダム・アクセス・メモリ(RAM)168を含む。

RAM168内には、認証プロキシ216、すなわちサービス・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダによりプリンシパルを認証し、アイデンティティ・プロバイダのセッション・データ内に、サービス・プロバイダの認証ポリシを満たす認証証明書を記録することにより、フェデレーション内のプリンシパルを認証するためのコンピュータ・プログラム命令が格納される。また、RAM 168内には、アクセス・マネージャ210、すなわちアイデンティティ・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダによりプリンシパルを認証するためのコンピュータ・プログラム命令が格納される。さらに、RAM 168内には、アイデンティティ・プロバイダのアイデンティティマネージャ218、すなわち前記アイデンティティ・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記サービス・プロバイダから受信するためのコンピュータ・プログラム命令が格納される。また、RAM 168内には、サービス・プロバイダのアイデンティティマネージャ238、すなわち前記サービス・プロバイダにおいて、前記サービス・プロバイダの資源にアクセスするための前記プリンシパルの資源要求を受信し、前記サービス・プロバイダにより、前記資源要求の認証証明書が前記サービス・プロバイダの認証ポリシを満たさないことを決定し、前記サービス・プロバイダにより、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記アイデンティティ・プロバイダに送信し、前記サービス・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを満たす前記認証証明書を含む認証応答を、前記アイデンティティ・プロバイダから受信し、前記サービス・プロバイダのセッション・データ内に、前記認証証明書を記録するためのコンピュータ・プログラム命令が格納される。

さらに、RAM 168内には、オペレーティング・システム154が格納される。本発明に従ったコンピュータ内で有用なオペレーティング・システムは、UNIX(商標)、リナックス(商標)、マイクロソフト社のウインドウズXP(商標)、AIX(商標)、IBM社のi5/OS(商標)等を含む。図3の例では、オペレーティング・システム154、認証プロキシ216、アクセス・マネージャ210、アイデンティティ・プロバイダのアイデンティティマネージャ218及びサービス・プロバイダのアイデンティティマネージャ238は、RAM 168内に格納されているが、一般に、かかるソフトウェアの多くのコンポーネントは不揮発性メモリ166内にも格納される。

不揮発性メモリ166は、システム・バス160を通して、プロセッサ156及びコンピュータ152の他のコンポーネントに結合される。不揮発性メモリ166は、ハード・ディスク・ドライブ170、光ディスク・ドライブ172、電気的消去再書込可能ROM空間(EEPROM又はフラッシュ・メモリ)174、RAMドライブ(図示せず)等として実装することができる。

1つ以上の入出力インタフェース・アダプタ178は、例えば、ソフトウェア・ドライバ及びコンピュータ・ハードウェアを通してユーザ指向の入出力を実装することにより、ディスプレイ装置180への出力や、キーボード及びマウスのようなユーザ入力装置181からのユーザ入力を制御する。

通信アダプタ167は、他のコンピュータ182とのデータ通信184を実装するためのものである。かかるデータ通信は、RS−232接続、USBのような外部バス、IPネットワークのようなデータ通信ネットワーク等を通して、シリアルに実行することができる。通信アダプタは、1つのコンピュータが、直接的に又はネットワークを通して、データ通信を他のコンピュータに送信するためのハードウェア・レベルのデータ通信を実装する。本発明に従った宛先の使用可能性を決定するのに有用な通信アダプタの例は、有線ダイアルアップ通信用のモデム、有線ネットワーク通信用のイーサネット(IEEE 802.3)アダプタ及び無線ネットワーク通信用の802.11bアダプタを含む。

図4は、本発明に従ったフェデレーション内のプリンシパルを認証するための方法のフローチャートである。図4の方法は、プッシュ・ベースのプロトコルに基づいて、シングル・サインオン認証シーケンスを実装する。プッシュ・ベースのシングル・サインオンとは、アイデンティティ・プロバイダで認証済みのプリンシパルが、アイデンティティ・プロバイダのドメインを通して、例えば、アイデンティティ・プロバイダのポータル・ウェブ・ページを通して、サービス・プロバイダの資源にアクセスするときに、当該プリンシパルをサービス・プロバイダに宛先変更する、シングル・サインオン認証の実装である。プリンシパルがウェブ・サービス・クライアントである場合、アイデンティティ・プロバイダは、HTTP 302宛先変更を使用して、ウェブ・サービス・メッセージを当該プリンシパルを通してサービス・プロバイダに送信することにより、当該プリンシパルの認証証明書をサービス・プロバイダに提供することができる。プリンシパルがウェブ・ブラウザを使用する個人である場合、アイデンティティ・プロバイダは、サービス・プロバイダへのHTTP 302宛先変更内にSecurity Association Markup Language(SAML)アサーションへのポインタを含めることにより、当該プリンシパルの認証証明書をサービス・プロバイダに提供することができる。SAMLは、標準化団体 Organization for the Advancement of Structured Information Standards (OASIS) の標準である。SAMLは、2つの異なる機能性、すなわちアサーション及びプロトコルから成る。SAMLアサーションがプリンシパルに関する情報を転送するために使用されるのに対し、SAMLプロトコルはSAMLアサーションを交換する手段である。

図4の方法は、アイデンティティ・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダによりプリンシパルを認証するステップ402と、アイデンティティ・プロバイダにおいて、サービス・プロバイダの認証ポリシを指定する認証要求を、サービス・プロバイダから受信するステップ420を含む。前記アイデンティティ・プロバイダの認証ポリシ400は、資源へのアクセスを要求するか又はアイデンティティ・プロバイダとのシングル・サインオンに参加するプリンシパルを認証するためにアイデンティティ・プロバイダが必要とする、1セットのクレーム及び関連するセキュリティ情報である。アイデンティティ・プロバイダの認証ポリシは、プリンシパルがセキュリティ情報(ユーザ名及びパスワード、対称暗号鍵、X.509証明書、ケルベロス・チケット等)を提供することを必要とすることがある。アイデンティティ・プロバイダは、プリンシパルによって提供されるセキュリティ情報を使用して、アイデンティティ・プロバイダの認証ポリシを満たす認証証明書を作成する。

前記認証するステップ402は、アイデンティティ・プロバイダの認証ポリシ400に従って、プリンシパルからセキュリティ情報401を受信するステップ403を含む。プリンシパルが個人によって表されるか、又はスレッド若しくはプロセスが個人を表す場合、前記受信するステップ403は、コンピュータ・スクリーン又は音声合成装置のようなユーザ・インタフェースを通して、アクセス・マネージャからプリンシパルに対し、セキュリティ情報401のためのプロンプトを出すことを含むことができる。また、プリンシパルがウェブ・サービス・クライアントによって表される場合、前記受信するステップ403は、アクセス・マネージャにより、アイデンティティ・プロバイダの認証ポリシを(例えば、SOAPエンベロープ内に含まれるXML表現として)ウェブ・サービス・メッセージ内に指定し、HTTPのようなネットワーク・プロトコルを使用して、アクセス・マネージャにより、当該ウェブ・サービス・メッセージを当該プリンシパルに送信することを含むことができる。

また、前記認証するステップ402は、ユーザ・レジストリ222内に格納済みのアイデンティティ関連情報を使用して、プリンシパルのセキュリティ情報401を検証するステップ404を含む。ユーザ・レジストリ222は、プリンシパルのアイデンティティ関連情報を格納するデータベースである。かかるアイデンティティ関連情報は、プリンシパル識別子、プリンシパル名、電子メール・アドレス、物理的なメール・アドレス、オフィス所在地、システム・プリファレンス、プリンシパルが属するセキュリティ・グループ、セキュリティ特権、プリンシパルの非対称公開鍵、プリンシパルの対称暗号鍵等を含むことができる。前記検証するステップ404は、プリンシパルによって提供されたパスワードを認証シーケンス内でハッシュし、当該ハッシュされたパスワードをユーザ・レジストリ222内に以前に格納済みのプリンシパルのパスワードのハッシュと比較することを含むことができる。また、前記検証するステップ404は、メッセージがプリンシパルの非対称秘密鍵を使用してデジタル署名されている場合は、ユーザ・レジストリ222内に格納済みのプリンシパルの非対称公開鍵を使用して、当該メッセージを復号することを含むことができる。もし、プリンシパルのセキュリティ情報401が検証されなければ、アイデンティティ・プロバイダのアクセス・マネージャは、HTTP 401応答を戻すことにより、プリンシパルのセキュリティ情報に基づき、当該アイデンティティ・プロバイダへのアクセスが拒否されたことを指示することができる。

また、図4の方法は、プリンシパルのセキュリティ情報が検証される場合に、前記アイデンティティ・プロバイダの認証ポリシ400を満たす認証証明書414を、アイデンティティ・プロバイダのセッション・データ410内に記録するステップ406を含む。当該記録するステップ406は、(プリンシパル識別子、プリンシパルが属するセキュリティ・グループ、セキュリティ属性等の)ユーザ・レジストリ222内に格納済みの識別関連データから認証証明書414を作成することにより、これを実行することができる。

図4の方法は、アイデンティティ・プロバイダとのプリンシパルの初期認証シーケンスを実装するので、当該プリンシパルについては当該アイデンティティ・プロバイダとの以前のセッションは存在しない。従って、前記記録するステップ406は、アイデンティティ・プロバイダとのプリンシパルのセッションを作成することを含むことができる。また、前記記録するステップ406は、アイデンティティ・プロバイダとのプリンシパルのセッション・データ410内に、認証証明書414を格納することを含むことができる。この例では、アイデンティティ・プロバイダとのプリンシパルのセッション・データは、セッション識別子412をプリンシパル識別子413及び当該セッションのための認証証明書414と関連付ける、データ構造410として表される。認証証明書414は、セッションの継続時間にわたって、プリンシパルのセキュリティ特権を表す。

サービス・プロバイダの認証ポリシに従って認証が実行される、図4の方法に従ったプッシュ・ベースのシングル・サインオン環境内では、サービス・プロバイダは、プリンシパルを認証するために、前記アイデンティティ・プロバイダにより提供される認証証明書とは異なる認証証明書を必要とすることがある。サービス・プロバイダは、追加のセキュリティ情報についてプリンシパルに直接的にプロンプトを出すのではなく、当該サービス・プロバイダの認証ポリシを満たす認証証明書をアイデンティティ・プロバイダから要求する。

また、図4の方法は、アイデンティティ・プロバイダにおいて、サービス・プロバイダの認証ポリシ424を指定する認証要求422を、当該サービス・プロバイダから受信するステップ420を含む。当該受信するステップ420は、アイデンティティマネージャのWSDL記述内で指定済みのウェブ・サービス・エンドポイントにおけるアイデンティティ・プロバイダのアイデンティティマネージャにおいて、認証要求422を受信することにより、これを実行することができる。この認証要求422は、SOAPエンベロープ内に置かれるサービス・プロバイダの認証ポリシのXML表現を含む、ウェブ・サービス・メッセージとすることができる。

図5は、本発明に従ったフェデレーション内のプリンシパルを認証するための他の方法のフローチャートである。図5の方法は、アイデンティティ・プロバイダにおいて、サービス・プロバイダの認証ポリシを指定する認証要求を、当該サービス・プロバイダから受信するステップ420と、サービス・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダによりプリンシパルを認証するステップ430と、前記アイデンティティ・プロバイダのセッション・データ内に、前記サービス・プロバイダの認証ポリシを満たす認証証明書を記録するステップ450とを含む。

前記受信するステップ420が生じるのは、図4を参照して既に説明したように、プリンシパルがプッシュ・ベースのシングル・サインオンに参加する場合や、プリンシパルがプル・ベースのシングル・サインオンに参加する場合である。プル・ベースのシングル・サインオンとは、例えば、サービス・プロバイダのURLを打ち込むか、又はウェブ・ブラウザ内でブックマークを使用することにより、プリンシパルがサービス・プロバイダ上の資源に直接的にアクセスすることを試みるときに、プリンシパルをシングル・サインオンのためにアイデンティティ・プロバイダに宛先変更する、シングル・サインオン認証の実装である。すなわち、当該プリンシパルは、アイデンティティ・プロバイダを通して(例えば、アイデンティティ・プロバイダのウェブ・サーバ上にあるウェブ・ページ・ポータルを通して)、サービス・プロバイダの資源にアクセスしない。これに対し、プル・ベースのシングル・サインオン環境では、プリンシパルがサービス・プロバイダの資源へのアクセスを要求するとき、当該サービス・プロバイダは、アイデンティティ・プロバイダから認証証明書を要求するであろう。図5の認証要求422は、サービス・プロバイダの認証ポリシ424を指定する。

前記認証するステップ430は、サービス・プロバイダの認証ポリシが、アイデンティティ・プロバイダとのプリンシパルのセッション・データ410内にある現在の認証証明書414によって満たされるか否かを決定するステップ432により実行することができる。この例では、アイデンティティ・プロバイダとのプリンシパルのセッション・データは、セッション識別子412をプリンシパル識別子413及び当該セッションのための認証証明書414と関連付ける、データ構造410として表される。認証証明書414は、セッションの継続時間にわたって、プリンシパルのセキュリティ特権を表す。前記決定するステップ432は、アイデンティティ・プロバイダのアイデンティティマネージャによって実行することができる。セッション・データ410は、アイデンティティ・プロバイダのアイデンティティマネージャにより、アイデンティティ・プロバイダのアクセス・マネージャから獲得することができる。

もし、サービス・プロバイダの認証ポリシが、アイデンティティ・プロバイダとのプリンシパルのセッション・データ410内にある現在の認証証明書414により満たされるならば、前記認証するステップ430は、サービス・プロバイダの認証ポリシを満たす認証証明書440を含む認証応答460を、アイデンティティ・プロバイダにより当該サービス・プロバイダに送信するステップ438を含む。当該送信するステップ438は、アイデンティティ・プロバイダとのプリンシパルのセッション・データ410から認証証明書414を読み取ることを含むことができる。また、当該送信するステップ438は、HTTP 302宛先変更を使用して、ウェブ・サービス・メッセージを、アイデンティティ・プロバイダのアイデンティティマネージャからプリンシパルを通してサービス・プロバイダに送信することを含むことができる。

認証応答460は、サービス・プロバイダの認証ポリシを満たす認証証明書440を含む。認証応答460は、SOAPエンベロープ内に含まれるXMLベースのウェブ・サービス・メッセージによって表すことができる。認証証明書440は、アイデンティティ・プロバイダとのシングル・サインオン・セッションの継続時間にわたって、プリンシパルのセキュリティ特権を表す。認証証明書440は、ユーザ識別子442を、セッション識別子443、ユーザ・グループ識別子444及び許可属性識別子446に関連付ける。認証証明書440は、セキュリティ・トークンによって表すことができる。かかるセキュリティ・トークンは、IBM社、マイクロソフト社及びベリサイン社によって策定された、"Web Services Security" (WS-Security) と題するウェブ・サービス仕様、又はIBM社、マイクロソフト社、ベリサイン社、オープンネットワークス社、レイヤ7社、コンピュータ・アソシエーツ社、BEA社、オブリックス社、リアクティビティ社、RSAセキュリティ社、ピング・アイデンティティ社及びアクショナル社によって策定された、"Web Services Trust Language" (WS-Trust) と題するウェブ・サービス仕様に記載のセキュリティ・トークンとすることができる。

もし、サービス・プロバイダの認証ポリシが、アイデンティティ・プロバイダとのプリンシパルのセッション・データ410内にある現在の認証証明書414によって満たされなければ、前記認証するステップ430は、アイデンティティ・プロバイダのアクセス・マネージャによりプリンシパルを認証するステップ434か、又はアイデンティティ・プロバイダの認証プロキシによりプリンシパルを認証するステップ436を含む。後者の認証するステップ436は、サービス・プロバイダの認証ポリシを満たすセキュリティ情報を受信することにより実行することができる。

また、前記認証するステップ436は、ユーザ・レジストリ内に格納済みのアイデンティティ関連情報でプリンシパルのセキュリティ情報を検証することにより、これを実行することができる。かかるセキュリティ情報の検証は、プリンシパルによって提供されたパスワードを認証シーケンス内でハッシュし、当該ハッシュされたパスワードをユーザ・レジストリ内に以前に格納済みのプリンシパルのパスワードのハッシュと比較することを含むことができる。また、かかるセキュリティ情報の検証は、メッセージがプリンシパルの非対称秘密鍵を使用してデジタル署名されている場合は、ユーザ・レジストリ内に格納済みのプリンシパルの非対称公開鍵を使用して、当該メッセージを復号することを含むことができる。

前記認証するステップ434は、前記認証するステップ436と同様の態様で作用する。また、前記認証するステップ434は、サービス・プロバイダの認証ポリシを満たすセキュリティ情報を受信し、プリンシパルのセキュリティ情報をユーザ・レジストリ内に格納済みのアイデンティティ関連情報で検証することにより、これを実行することができる。

もし、サービス・プロバイダの認証ポリシが、アイデンティティ・プロバイダとのプリンシパルのセッション・データ410内にある現在の認証証明書414によって満たされなければ、図5の方法は、アイデンティティ・プロバイダのセッション・データ410内に、サービス・プロバイダの認証ポリシを満たす認証証明書440を記録するステップ450に継続する。当該プリンシパルについては当該アイデンティティ・プロバイダとの以前のセッションが存在しないことがあるので、図5の方法は、アイデンティティ・プロバイダとのプリンシパルの初期認証シーケンス中に生じることがある。従って、当該記録するステップ450は、アイデンティティ・プロバイダとのプリンシパルのセッションを作成することを含むことができる。また、当該記録するステップ450は、認証証明書440を、現在の認証証明書414として、アイデンティティ・プロバイダとのプリンシパルのセッション・データ410内に格納することを含むことができる。

この例では、アイデンティティ・プロバイダとのプリンシパルのセッション・データは、セッション識別子412をプリンシパル識別子413及び当該セッションのための認証証明書414と関連付ける、データ構造410として表される。認証証明書414は、セッションの継続時間にわたって、プリンシパルのセキュリティ特権を表す。

図5の方法は、サービス・プロバイダの認証ポリシに従って、アイデンティティ・プロバイダによりプリンシパルを認証するステップ430に継続する。そのため、当該サービス・プロバイダの認証ポリシを満たす認証証明書440を含む認証応答460を、アイデンティティ・プロバイダによりサービス・プロバイダに送信するステップ438が実行される。前記送信するステップ438は、図5を参照して既に説明したのと同様の態様で作用する。

図6は、本発明に従ったフェデレーション内のプリンシパルを認証するための他の方法のフローチャートである。図6の方法は、サービス・プロバイダにおいて、サービス・プロバイダの資源にアクセスするためのプリンシパルの資源要求500を受信するステップ502と、サービス・プロバイダにより、当該資源要求の認証証明書が前記サービス・プロバイダの認証ポリシ506を満たさないことを決定するステップ504と、サービス・プロバイダにより、当該サービス・プロバイダの認証ポリシを指定する認証要求を、アイデンティティ・プロバイダに送信するステップ510と、サービス・プロバイダにおいて、当該サービス・プロバイダの認証ポリシを満たす認証証明書を含む認証応答を、アイデンティティ・プロバイダから受信するステップ520と、サービス・プロバイダのセッション・データ内に、認証証明書を記録するステップ530とを含む。

プリンシパルがウェブ・サービス・クライアントによって表される場合、前記受信するステップ502は、アクセス・マネージャのWSDL記述内で指定済みのウェブ・サービス・エンドポイントにおけるサービス・プロバイダのアクセス・マネージャへのウェブ・サービス・メッセージにおいて、セキュリティ情報を受信することにより、これを実行することができる。また、プリンシパルがウェブ・ブラウザを操作中の個人によって表される場合、前記受信するステップ502は、コンピュータ・スクリーン又は音声合成装置のようなユーザ・インタフェースを通して、プリンシパルにセキュリティ情報401のためのプロンプトを出すことにより、これを実行することができる。

また、ウェブ・サービス・クライアント又はウェブ・ブラウザを操作する個人の何れかからセキュリティ情報を受信した後、前記受信するステップ502は、ユーザ・レジストリ内のアイデンティティ関連データから認証証明書503を作成することにより、これを実行することができる。かかるアイデンティティ関連データは、プリンシパル識別子、プリンシパルが属するセキュリティ・グループ、セキュリティ属性等を含むことができる。さらに、前記受信するステップ502は、アクセス・マネージャにより、プリンシパルの認証証明書503を含む資源要求500をサービス・プロバイダのアイデンティティマネージャに送信することにより、これを実行することができる。

資源要求500は、プリンシパルの認証証明書503を含む。資源要求500は、SOAPエンベロープ内に含まれる、XMLベースのウェブ・サービス・メッセージによって表すことができる。認証証明書503は、アイデンティティ・プロバイダとのプリンシパルのセッションの継続時間にわたって、プリンシパルのセキュリティ特権を表す。認証証明書503は、例えば、"WS-Security" 及び "WS-Trust" と題する前掲のウェブ・サービス仕様に記載のセキュリティ・トークンによって表すことができる。

前述のように、前記決定するステップ504は、サービス・プロバイダにより、当該資源要求の認証証明書が前記サービス・プロバイダの認証ポリシ506を満たさないことを決定するというものである。当該決定するステップ504は、資源要求500の認証証明書503内で指定されるようなプリンシパルを認証するのに使用されるセキュリティ情報のタイプを、ウェブ・サービスのWSDL記述内で指定済みのサービス・プロバイダの認証ポリシ506によって必要とされるセキュリティ情報のタイプと比較することにより、これを実行することができる。図6の方法では、資源要求500の認証証明書503がサービス・プロバイダの認証ポリシ506を満たすか否かは、当該サービス・プロバイダ内のアイデンティティマネージャにより、決定することができる。

サービス・プロバイダの認証ポリシ506は、資源にアクセスすることを要求するか又はアイデンティティ・プロバイダとのシングル・サインオンに参加するプリンシパルを認証するためにサービス・プロバイダによって必要とされる、1セットのクレーム及び関連するセキュリティ情報である。サービス・プロバイダの認証ポリシは、プリンシパルがセキュリティ情報(ユーザ名及びパスワード、対称暗号鍵、X.509証明書、ケルベロス・チケット等)を提供することを必要とすることがある。サービス・プロバイダは、プリンシパルによって提供されるセキュリティ情報を使用して、サービス・プロバイダの認証ポリシを満たす認証証明書を作成する。

前述のように、前記送信するステップ510は、サービス・プロバイダにより、当該サービス・プロバイダの認証ポリシを指定する認証要求を、アイデンティティ・プロバイダに送信するというものである。当該送信するステップ510が実行されるのは、資源要求500の認証証明書503がサービス・プロバイダの認証ポリシ506を満たさない場合である。当該送信するステップ510は、サービス・プロバイダのアイデンティティマネージャ内に、ウェブ・サービス・メッセージを作成することにより、これを実行することができる。さらに、当該送信するステップ510は、HTTP 302宛先変更を使用して、ウェブ・サービス・メッセージを、アイデンティティ・プロバイダのアイデンティティマネージャからプリンシパルを通してサービス・プロバイダに送信することにより、これを実行することができる。

図6の認証要求422は、サービス・プロバイダの認証ポリシ424を指定する。認証応答460は、SOAPエンベロープ内に含まれるXMLベースのウェブ・サービス・メッセージによって表すことができる。図6の指定されたサービス・プロバイダの認証ポリシ424は、資源にアクセスすることを要求するか又はアイデンティティ・プロバイダとのシングル・サインオンに参加するプリンシパルを認証するためにサービス・プロバイダによって必要とされる、1セットのクレーム及び関連するセキュリティ情報である。サービス・プロバイダの認証ポリシは、プリンシパルがセキュリティ情報(ユーザ名及びパスワード、対称暗号鍵、X.509証明書、ケルベロス・チケット等)を提供することを必要とすることがある。サービス・プロバイダは、プリンシパルによって提供されるセキュリティ情報を使用して、サービス・プロバイダの認証ポリシを満たす認証証明書を作成する。

前述のように、前記受信するステップ520は、サービス・プロバイダにおいて、当該サービス・プロバイダの認証ポリシ506を満たす認証証明書440を含む認証応答460を、アイデンティティ・プロバイダから受信するというものである。当該受信するステップ520が実行されるのは、資源要求500の認証証明書503がサービス・プロバイダの認証ポリシ506を満たさない場合である。当該受信するステップ520は、アイデンティティマネージャのWSDL記述内で指定済みのウェブ・サービスエンドポイントにおけるサービス・プロバイダのアイデンティティマネージャにおいて、ウェブ・サービス・メッセージを受信することにより、これを実行することができる。

図6の認証応答460は、サービス・プロバイダの認証ポリシを満たす認証証明書440を含む。認証応答460は、SOAPエンベロープ内に含まれるXMLベースのウェブ・サービス・メッセージによって表すことができる。図6の認証証明書440は、アイデンティティ・プロバイダとのシングル・サインオン・セッションの継続時間にわたって、プリンシパルのセキュリティ特権を表す。図6の認証証明書440は、例えば、"WS-Security" 及び "WS-Trust" と題する前掲のウェブ・サービス仕様に記載のセキュリティ・トークンによって表すことができる。

前述のように、前記記録するステップ530は、サービス・プロバイダのセッション・データ内に、認証証明書を記録するというものである。当該プリンシパルについては当該アイデンティティ・プロバイダとの以前のセッションが存在しないことがあるので、図6の方法は、サービス・プロバイダとのプリンシパルの初期認証シーケンス中に生じることがある。従って、当該記録するステップ530は、サービス・プロバイダとのプリンシパルのセッションを作成することを含むことができる。また、当該記録するステップ530は、サービス・プロバイダとのプリンシパルのセッション・データ540内に、認証証明書544を格納することを含むことができる。この例では、サービス・プロバイダとのプリンシパルのセッション・データは、セッション識別子542をプリンシパル識別子543及び当該セッションのための認証証明書544に関連付ける、データ構造540として表される。認証証明書544は、セッションの継続時間にわたって、プリンシパルのセキュリティ特権を表す。

図7及び図8は、本発明に従ったフェデレーションのプリンシパルを認証するための方法の呼び出しシーケンス図である。図8は、図7で開始する呼び出しシーケンス図の継続部分である。図7の例では、本発明に従ったフェデレーション内のプリンシパルの認証は、プリンシパル132、アイデンティティ・プロバイダ126及びサービス・プロバイダ128を含む。プリンシパル132は、プル・ベースのシングル・サインオン環境でウェブ・ブラウザを操作する個人として表される。アイデンティティ・プロバイダ126は、アクセス・マネージャ210、アイデンティティマネージャ218及び認証プロキシ216を含む。サービス・プロバイダ128は、アクセス・マネージャ230、アイデンティティマネージャ238及び資源240を含む。アクセス・マネージャ230は、資源240のための許可サービスを提供する。

プリンシパル132は、資源要求600をサービス・プロバイダ128のアクセス・マネージャ230に送信する。資源要求600は、資源240にアクセスするための要求である。図7の例に従った資源要求600は、特定のユニフォーム・リソース・ロケータ(URL)のためのHTTP要求によって表すことができる。URLとは、文書又はイメージのような資源のための標準化されたアドレス名レイアウトである。本発明に従ったHTTP要求は、例えば、「http://www.serviceprovアイデンティティer.com/resource」を含むことができる。

アクセス・マネージャ230は、プリンシパルがシングル・サインオンに参加することを許可する(602)。全てのプリンシパルがサービス・プロバイダ128とのシングル・サインオンに参加することを許可されるとは限らない。従って、アクセス・マネージャ230は、当該プリンシパルによって提供されるか又はユーザ・レジストリ内でアクセスされるアイデンティティ関連情報に基づいて、プリンシパルがシングル・サインオンに参加することを許可すべきか否かを決定する(602)。例えば、従業員がプリンシパルであり、雇用者がアイデンティティ・プロバイダであり、投資信託会社がサービス・プロバイダであるものとして、従業員が雇用者を通して投資信託会社のウェブ・サイトにおける401K口座にアクセスすることを試みる状況を考慮する。投資信託会社は、雇用者に対し、従業員のシングル・サインオンのための一意的なウェブ・サイトを発行することができる。 雇用者に特有の投資信託会社のウェブ・ページにアクセスする個人は、当該個人がシングル・サインオンに参加することを許可された従業員であることをアサートする。

アクセス・マネージャ230は、プリンシパル132にシングル・サインオン要求604を送信する。シングル・サインオン要求604は、プリンシパル132のためのシングル・サインオン・サービスを提供するように、アクセス・マネージャ230によるアイデンティティマネージャ238への要求である。シングル・サインオン要求604は、プリンシパル132のアイデンティティ関連情報を保持するXMLベースのウェブ・サービス・メッセージによって表すことができる。

プリンシパル132は、シングル・サインオン要求606をアイデンティティマネージャ238に送信する。シングル・サインオン要求606は、シングル・サインオン要求604のHTTP 302宛先変更である。HTTP 302宛先変更は、302のステータス・コードを有するHTTP応答であって、ウェブ資源を検索するようにウェブ・ブラウザを一時的に他のロケーションに行かせるものである。

シングル・サインオン要求606を受信した後、アイデンティティマネージャ238は、プリンシパル132のためのシングル・サインオンを提供するためにアイデンティティ・プロバイダ126を特定する(610)。最初、アイデンティティマネージャ238は、リストからアイデンティティ・プロバイダ126を選択するようにプリンシパル132にプロンプトを出すことにより、プリンシパルのアイデンティティ・プロバイダを特定することができる(610)。その後、サービス・プロバイダ128は、アイデンティティ・プロバイダ126の自動選択を容易にするために、プリンシパル132とのクッキーを格納することができる。また、アイデンティティマネージャ238は、サービス・プロバイダ128との関係を確立済みのアイデンティティ・プロバイダを保持するデータベース内のアイデンティティ・プロバイダを検索することにより、プリンシパルのアイデンティティ・プロバイダを特定することができる(610)。

また、アイデンティティマネージャ238は、サービス・プロバイダの認証ポリシを選択する(612)。かかる選択(612)は、プリンシパルのための認証証明書を提供するアイデンティティ・プロバイダ126に基づいて、認証ポリシを選択することにより実行することができる。サービス・プロバイダのアイデンティティマネージャは、異なるアイデンティティ・プロバイダについて異なる認証ポリシを必要とすることがある。なぜなら、サービス・プロバイダは、或るアイデンティティ・プロバイダを他のアイデンティティ・プロバイダよりも一層信頼することがあるからである。アイデンティティマネージャ238は、サービス・プロバイダ128との関係を確立済みのアイデンティティ・プロバイダを保持するデータベースから、特定のサービス・プロバイダについて必要とされる認証ポリシを獲得することができる。サービス・プロバイダの認証ポリシは、資源へのアクセスを要求するか又はアイデンティティ・プロバイダとのシングル・サインオンに参加するプリンシパルを認証するためにサービス・プロバイダが必要とする、1セットのクレーム及び関連するセキュリティ情報である。サービス・プロバイダの認証ポリシは、プリンシパルがセキュリティ情報(ユーザ名及びパスワード、対称暗号鍵、X.509証明書、ケルベロス・チケット等)を提供することを必要とすることがある。サービス・プロバイダは、プリンシパルによって提供されるセキュリティ情報を使用して、サービス・プロバイダの認証ポリシを満たす認証証明書を作成する。

アイデンティティマネージャ238は、サービス・プロバイダの認証ポリシを指定する認証要求を作成する(614)。かかる作成(614)は、ベリサイン社、マイクロソフト社、ソニックソフトウェア社、IBM社及びSAP社によって共同で策定された、"Web Services Policy Framework" (WS-Policy) と題するウェブ・サービス仕様、又はマイクロソフト社、ベリサイン社、IBM社及びRSAセキュリティ社によって共同で策定された、"Web Services Security Policy Language" (WS-Security Policy) と題するウェブ・サービス仕様に従って、ウェブ・サービス・メッセージ内にあるサービス・プロバイダの認証ポリシのXML表現をエンコードすることを含むことができる。

アイデンティティマネージャ238は、認証要求615をプリンシパル132に送信する。認証要求615は、サービス・プロバイダの認証ポリシを指定する。プリンシパル132は、認証要求617をアイデンティティマネージャ218に送信する。認証要求617は、認証要求615のHTTP 302宛先変更である。認証要求615及び617の各々は、SOAPエンベロープ内に含まれるXMLベースのウェブ・サービス・メッセージによって表すことができる。

認証要求617を受信した後に、アイデンティティマネージャ218は、認証要求を検証し(616)、サービス・プロバイダの認証ポリシを抽出する(618)。認証要求の検証(616)は、当該認証要求のデジタル署名がサービス・プロバイダ128のアイデンティティマネージャ238のデジタル署名であることを検証することにより、実装することができる。アイデンティティマネージャ218は、アイデンティティマネージャ238の非対称公開鍵を使用して、デジタル署名を復号することにより、認証要求のデジタル署名を検証することができる。サービス・プロバイダの認証ポリシは、ウェブ・サービス・メッセージから当該認証ポリシのXML表現を読み取ることにより、抽出することができる。

アイデンティティマネージャ218は、サービス・プロバイダの認証ポリシ620をプリンシパル132に送信する。プリンシパル132は、サービス・プロバイダの認証ポリシ622を認証プロキシ216に送信する。サービス・プロバイダの認証ポリシ622は、サービス・プロバイダの認証ポリシ620のHTTP 302宛先変更である。サービス・プロバイダの認証ポリシ620及び622は、SOAPエンベロープ内に含まれる認証ポリシのXML表現を有するウェブ・サービス・メッセージによって表すことができる。

認証プロキシ216は、セキュリティ情報のための要求624をプリンシパル132に送信する。セキュリティ情報のための要求624は、以前にシングル・サインオン環境内で提供されなかった追加のセキュリティ情報を提供するように、ウェブ・ブラウザを操作する個人についてプロンプトを出すことによって表すことができる。要求されたセキュリティ情報は、ユーザ名、パスワード、社会保障番号、ケルベロス・チケット、X.509証明書等を含むことができる。

以下、図8を参照して説明する。プリンシパル132は、セキュリティ情報の応答626を認証プロキシ216に送信する。 セキュリティ情報の応答626は、セキュア・ソケット層(SSL)プロトコル又はトランスポート層セキュリティ(TLS)プロトコルのような、プリンシパル132及び認証プロキシ216の間の安全な接続を使用して送信することができる。

認証プロキシ216は、セキュリティ情報の応答626を検証する(628)。かかる検証(628)は、プリンシパル132によって提供されるセキュリティ情報を、ユーザ・レジストリ内に格納済みの識別関連データと比較することにより、これを実行することができる。例えば、認証プロキシに提供されるパスワードのハッシュされたバージョンが、ユーザ・レジストリ内に以前に格納済みのプリンシパルのパスワードのハッシュされたバージョンと一致すれば、プリンシパルを検証することができる。

認証プロキシ216は、認証成功の応答630をプリンシパル132に送信する。認証成功の応答630は、認証プロキシ216がプリンシパル132によって提供されたセキュリティ情報を検証したことを示す。プリンシパル132は、認証成功の応答630をアイデンティティマネージャ218に送信する。認証成功の応答632は、認証成功の応答630のHTTP 302宛先変更である。認証成功の応答630及び632は、プリンシパルの識別及びセキュリティ関連情報を保持するウェブ・サービス・メッセージによって表すことができる。

アイデンティティマネージャ218は、認証証明書を含む認証応答638を作成する(634)。かかる認証応答638の作成(634)は、認証証明書をウェブ・サービス・メッセージ内に埋め込むことにより、これを実行することができる。認証証明書は、例えば、プリンシパルによって提供されるセキュリティ情報及びユーザ・レジストリ内に格納済みのアイデンティティ関連情報(例えば、プリンシパル識別子、プリンシパルの許可属性、プリンシパルが属するグループ、ユーザを認証するのに必要なセキュリティ情報のタイプ等)に基づいて、これを作成することができる。

アイデンティティマネージャ218は、認証応答638をアクセス・マネージャ210に送信する。認証応答638は、XMLベースのウェブ・サービス・メッセージによって表すことができる。認証証明書は、認証応答638においてセキュリティ・トークンとして実装することができる。かかるセキュリティ・トークンは、"WS-Security" 及び "WS-Trust" と題する前掲のウェブ・サービス仕様に記載のセキュリティ・トークンをSOAPエンベロープ内に含めたものとすることができる。アイデンティティマネージャ218は、認証応答638をアイデンティティ・プロバイダ126のアクセス・マネージャ210に送信する。

アクセス・マネージャ210は、アイデンティティ・プロバイダ126とのプリンシパル132のローカル・セッションを作成し(640)、認証応答638の認証証明書をアイデンティティ・プロバイダ126とのプリンシパル132のセッション・データ内に記録する(642)。

アクセス・マネージャ210は、認証応答644をプリンシパル132に送信する。認証応答644は、認証応答638をアイデンティティマネージャ218からアクセス・マネージャ210に転送したものである。プリンシパル132は、認証応答646をアイデンティティマネージャ238に送信する。認証応答646は、認証応答644のHTTP 302宛先変更である。

アイデンティティマネージャ238は、認証応答646を検証する(648)。かかる認証応答の検証(648)は、認証要求のデジタル署名が、認証応答の送信元であるアイデンティティマネージャ218のデジタル署名であることを検証することにより、これを実装することができる。アイデンティティマネージャ238は、アイデンティティマネージャ218の非対称公開鍵を使用して、デジタル署名を復号することにより、認証要求のデジタル署名を検証することができる。

アイデンティティマネージャ238は、サービス・プロバイダ128とのプリンシパルのセッション中のプリンシパルの特権を定義する、ローカルの認証証明書を作成する(650)。アイデンティティマネージャ238は、認証応答646内に含まれる認証証明書に基づいて、ローカルの認証証明書を作成する(650)。アイデンティティマネージャ238は、SOAPエンベロープ内に含まれる認証証明書のXML表現を読み取ることにより、認証応答646の認証証明書を抽出する。

アイデンティティマネージャ238は、図7のシングル・サインオン要求606に応答して、シングル・サインオン応答652をアクセス・マネージャ230に送信する。シングル・サインオン応答652は、XMLベースのウェブ・サービス・メッセージによって表すことができる。シングル・サインオン応答652は、(プリンシパル名、セキュリティ属性、プリンシパルを認証するために使用されるセキュリティ情報のタイプ等のような)ローカルの認証証明書652を含む。

アクセス・マネージャ230は、サービス・プロバイダ128とのプリンシパル132のセッションを作成する(654)。サービス・プロバイダ128とのプリンシパル132のセッションは、サービス・プロバイダ128内のデータ構造として表される。アクセス・マネージャ230は、ローカルの認証証明書を、サービス・プロバイダ128とのプリンシパル132のセッション・データ内に格納する。アクセス・マネージャ230は、セッション・データ内に格納済みのローカルの認証証明書に基づいて、プリンシパル132が資源240にアクセスすることを許可する。

アクセス・マネージャ230は、資源要求656をプリンシパル132に送信する。資源要求656は、シングル・サインオン処理のために図7のアクセス・マネージャ230によってインターセプトされた資源要求600のコピーである。プリンシパル132は、資源要求658を資源240に送信する。資源要求658は、プリンシパル132から資源240への資源要求656のHTTP 302宛先変更である。

資源240は、資源応答660をプリンシパル132に送信することにより、資源要求658に応答する。資源応答660は、図7のプリンシパルの資源要求600とペアになった応答である。図7及び図8の呼び出しシーケンスでは、プリンシパルは、ウェブ・ブラウザを操作する個人により表される。従って、資源応答660は、HTML、JSP、CGIスクリプト等を使用する、静的又は動的なウェブ・コンテンツによって表すことができる。図7及び図8の呼び出しシーケンスにおけるプリンシパルの実装は、例示であるに過ぎず、本発明の範囲を制限するものではない。図7及び図8の呼び出しシーケンスに従ったプリンシパル132は、ウェブ・サービスによって表すことができる。そのような場合、資源応答660は、プログラム、プロセス又はスレッドによって提供されるデータ処理の結果によって表すことができる。

一般に、本発明の実施形態は、フェデレーション内のプリンシパルを認証するための完全に機能的なコンピュータ・システムという観点から説明された。しかし、本発明は、任意の適切なデータ処理システムに関連して使用するための信号担持媒体上に配置されたコンピュータ・プログラム製品の形態においても、これを実施することができる。かかる信号担持媒体は、磁気媒体、光学媒体又は他の適切な媒体を含む、機械可読情報用の伝送媒体又は記録可能媒体とすることができる。記録可能媒体の例は、ハード・ドライブ内の磁気ディスク又はフレキシブル・ディスク、光学ドライブ用のコンパクト・ディスク、磁気テープ等を含む。伝送媒体の例は、音声通信用の電話ネットワーク、イーサネット(登録商標)用のデジタル・データ通信ネットワーク、インターネット・プロトコルを使用して通信するネットワーク、ワールド・ワイド・ウェブ等を含む。適切なプログラミング手段を有する任意のコンピュータ・システムは、プログラム製品内に具体化されるような本発明の方法のステップを実行することができる。本明細書に記載されている幾つかの実施形態は、コンピュータ・ハードウェア上にインストールされ且つ実行されるソフトウェアに向けられているが、ファームウェア又はハードウェアとして実装される代替的な実施形態も、本発明の範囲内に属するものである。

前述の説明から明らかなように、本発明の真の精神から逸脱することなく、本発明の種々の実施形態において修正及び変更を施し得ることは明らかであろう。本明細書の記述は、説明上のものであって、本発明を限定するものと解釈してはならない。本発明の範囲は、請求項の記載によってのみ定義される。

本発明に従った、フェデレーション内のプリンシパルを認証するためのシステムを例示するネットワーク図である。 本発明に従った、フェデレーション内のプリンシパルを認証するためのシステムのブロック図である。 本発明に従った、フェデレーション内のプリンシパルの認証に有用なコンピュータのブロック図である。 本発明に従った、フェデレーション内のプリンシパルを認証するための方法のフローチャートである。 本発明に従った、フェデレーション内のプリンシパルを認証するための他の方法のフローチャートである。 本発明に従った、フェデレーション内のプリンシパルを認証するための他の方法のフローチャートである。 本発明に従った、フェデレーションのプリンシパルを認証するための方法の呼び出しシーケンス図である。 本発明に従った、フェデレーションのプリンシパルを認証するための方法の呼び出しシーケンス図である。

Claims (17)

  1. それぞれがプロセッサ及び該プロセッサに結合されたメモリを備えたサービス・プロバイダ及びアイデンティティ・プロバイダを含むフェデレーション内のプリンシパルを認証するための方法であって、
    前記アイデンティティ・プロバイダが、前記サービス・プロバイダの認証ポリシを指定する認証要求であって、前記サービス・プロバイダの資源に対する前記プリンシパルの要求の認証証明書が前記サービス・プロバイダの認証ポリシーを満たしていないことを前記サービス・プロバイダが決定したときに前記サービス・プロバイダで作成される認証要求を、前記サービス・プロバイダから受信するステップと、
    前記サービス・プロバイダの認証ポリシに従って、前記アイデンティティ・プロバイダにより前記プリンシパルを認証するステップと、
    前記アイデンティティ・プロバイダが、前記アイデンティティ・プロバイダのセッション・データ内に、前記サービス・プロバイダの認証ポリシを満たす認証証明書を記録するステップとを含む、方法。
  2. 前記アイデンティティ・プロバイダの認証ポリシに従って、前記アイデンティティ・プロバイダにより前記プリンシパルを認証するステップをさらに含む、請求項1記載の方法。
  3. 前記プリンシパルを認証するステップが、前記アイデンティティ・プロバイダのアクセス・マネージャにより前記プリンシパルを認証するステップをさらに含む、請求項1記載の方法。
  4. 前記プリンシパルを認証するステップが、前記アイデンティティ・プロバイダの認証プロキシにより前記プリンシパルを認証するステップをさらに含む、請求項1記載の方法。
  5. 前記サービス・プロバイダ、前記サービス・プロバイダの資源にアクセスするための前記プリンシパルの資源要求を受信するステップと、
    前記サービス・プロバイダ、前記資源要求の認証証明書が前記サービス・プロバイダの認証ポリシを満たさないことを決定するステップと、
    前記サービス・プロバイダ、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記アイデンティティ・プロバイダに送信するステップとをさらに含む、請求項1記載の方法。
  6. 前記サービス・プロバイダ、前記サービス・プロバイダの認証ポリシを満たす前記認証証明書を含む認証応答を、前記アイデンティティ・プロバイダから受信するステップと、
    前記サービス・プロバイダが、前記サービス・プロバイダのセッション・データ内に、前記認証証明書を記録するステップとをさらに含む、請求項1記載の方法。
  7. フェデレーション内のプリンシパルを認証するためのシステムであって、
    コンピュータ・プロセッサ及び当該コンピュータ・プロセッサに結合されたコンピュータ・メモリを備え、前記コンピュータ・メモリ内に配置したコンピュータ・プログラム命令が、
    アイデンティティ・プロバイダにおいて、サービス・プロバイダの認証ポリシを指定する認証要求であって、前記サービス・プロバイダの資源に対する前記プリンシパルの要求の認証証明書が前記サービス・プロバイダの認証ポリシーを満たしていないことを前記サービス・プロバイダが決定したときに前記サービス・プロバイダで作成される認証要求を、前記サービス・プロバイダから受信するステップと、
    前記サービス・プロバイダの認証ポリシに従って、前記アイデンティティ・プロバイダにより前記プリンシパルを認証するステップと、
    前記アイデンティティ・プロバイダのセッション・データ内に、前記サービス・プロバイダの認証ポリシを満たす認証証明書を記録するステップと
    前記コンピュータ・プロセッサに実行させる、システム。
  8. 前記サービス・プロバイダにおいて、前記サービス・プロバイダの資源にアクセスするための前記プリンシパルの資源要求を受信するステップと、
    前記サービス・プロバイダにより、前記資源要求の認証証明書が前記サービス・プロバイダの認証ポリシを満たさないことを決定するステップと、
    前記サービス・プロバイダにより、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記アイデンティティ・プロバイダに送信するステップとをそれぞれ実行可能なコンピュータ・プログラム命令をさらに含む、請求項7記載のシステム。
  9. 前記サービス・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを満たす前記認証証明書を含む認証応答を、前記アイデンティティ・プロバイダから受信するステップと、
    前記サービス・プロバイダのセッション・データ内に、前記認証証明書を記録するステップとをそれぞれ実行可能なコンピュータ・プログラム命令をさらに含む、請求項7記載のシステム。
  10. フェデレーション内のプリンシパルを認証するための、信号担持媒体上に配置されたコンピュータ・プログラムであって、前記コンピュータ・プログラムがコンピュータに、
    アイデンティティ・プロバイダにおいて、サービス・プロバイダの認証ポリシを指定する認証要求であって、前記サービス・プロバイダの資源に対する前記プリンシパルの要求の認証証明書が前記サービス・プロバイダの認証ポリシーを満たしていないことを前記サービス・プロバイダが決定したときに前記サービス・プロバイダで作成される認証要求を、前記サービス・プロバイダから受信するステップと、
    前記サービス・プロバイダの認証ポリシに従って、前記アイデンティティ・プロバイダにより前記プリンシパルを認証するステップと、
    前記アイデンティティ・プロバイダのセッション・データ内に、前記サービス・プロバイダの認証ポリシを満たす認証証明書を記録するステップと
    実行させる、コンピュータ・プログラム。
  11. 前記信号担持媒体が記録可能媒体から成る、請求項10記載のコンピュータ・プログラム。
  12. 前記信号担持媒体が伝送媒体から成る、請求項10記載のコンピュータ・プログラム。
  13. アイデンティティ・プロバイダの認証ポリシに従って、前記アイデンティティ・プロバイダにより前記プリンシパルを認証するステップをさらに含む、請求項10記載のコンピュータ・プログラム。
  14. 前記プリンシパルを認証するステップが、前記アイデンティティ・プロバイダのアクセス・マネージャにより前記プリンシパルを認証するステップをさらに含む、請求項10記載のコンピュータ・プログラム。
  15. 前記プリンシパルを認証するステップが、前記アイデンティティ・プロバイダの認証プロキシにより前記プリンシパルを認証するステップをさらに含む、請求項10記載のコンピュータ・プログラム。
  16. 前記サービス・プロバイダにおいて、前記サービス・プロバイダの資源にアクセスするための前記プリンシパルの資源要求を受信するステップと、
    前記サービス・プロバイダにより、前記資源要求の認証証明書が前記サービス・プロバイダの認証ポリシを満たさないことを決定するステップと、
    前記サービス・プロバイダにより、前記サービス・プロバイダの認証ポリシを指定する認証要求を、前記アイデンティティ・プロバイダに送信するステップと
    をさらに含む、請求項10記載のコンピュータ・プログラム。
  17. 前記サービス・プロバイダにおいて、前記サービス・プロバイダの認証ポリシを満たす前記認証証明書を含む認証応答を、前記アイデンティティ・プロバイダから受信するステップと、
    前記サービス・プロバイダのセッション・データ内に、前記認証証明書を記録するステップと
    をさらに含む、請求項10記載のコンピュータ・プログラム。
JP2008544994A 2005-12-15 2006-12-13 フェデレーション内のプリンシパルの認証 Active JP5052523B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US11/304,945 US8418234B2 (en) 2005-12-15 2005-12-15 Authentication of a principal in a federation
US11/304,945 2005-12-15
PCT/EP2006/069652 WO2007068716A1 (en) 2005-12-15 2006-12-13 Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider

Publications (2)

Publication Number Publication Date
JP2009519530A JP2009519530A (ja) 2009-05-14
JP5052523B2 true JP5052523B2 (ja) 2012-10-17

Family

ID=37943790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008544994A Active JP5052523B2 (ja) 2005-12-15 2006-12-13 フェデレーション内のプリンシパルの認証

Country Status (7)

Country Link
US (1) US8418234B2 (ja)
EP (1) EP1961185A1 (ja)
JP (1) JP5052523B2 (ja)
CN (1) CN101331731B (ja)
CA (1) CA2633311C (ja)
TW (1) TWI400922B (ja)
WO (1) WO2007068716A1 (ja)

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8270947B2 (en) * 2005-12-19 2012-09-18 Motorola Solutions, Inc. Method and apparatus for providing a supplicant access to a requested service
US8046821B2 (en) * 2006-02-13 2011-10-25 Qualcomm Incorporated Mechanism and method for controlling network access to a service provider
JP2007304994A (ja) * 2006-05-12 2007-11-22 Canon Inc 情報処理装置及び方法
US8069476B2 (en) * 2006-06-01 2011-11-29 Novell, Inc. Identity validation
US20070294253A1 (en) * 2006-06-20 2007-12-20 Lyle Strub Secure domain information protection apparatus and methods
US8042160B1 (en) * 2006-06-22 2011-10-18 Sprint Communications Company L.P. Identity management for application access
US7926089B2 (en) * 2006-07-14 2011-04-12 Hewlett-Packard Development Company, L.P. Router for managing trust relationships
US8387108B1 (en) * 2006-10-31 2013-02-26 Symantec Corporation Controlling identity disclosures
US8590027B2 (en) * 2007-02-05 2013-11-19 Red Hat, Inc. Secure authentication in browser redirection authentication schemes
US7953851B2 (en) * 2007-07-13 2011-05-31 Front Porch, Inc. Method and apparatus for asymmetric internet traffic monitoring by third parties using monitoring implements
US8478862B2 (en) * 2007-07-13 2013-07-02 Front Porch, Inc. Method and apparatus for internet traffic monitoring by third parties using monitoring implements
US8510431B2 (en) * 2007-07-13 2013-08-13 Front Porch, Inc. Method and apparatus for internet traffic monitoring by third parties using monitoring implements transmitted via piggybacking HTTP transactions
US8214486B2 (en) * 2007-07-13 2012-07-03 Front Porch, Inc. Method and apparatus for internet traffic monitoring by third parties using monitoring implements
US20090031394A1 (en) * 2007-07-24 2009-01-29 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for inter-resource management service type descriptions
FI121646B (fi) * 2007-08-08 2011-02-15 Teliasonera Finland Oyj Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan
US8196191B2 (en) * 2007-08-17 2012-06-05 Norman James M Coordinating credentials across disparate credential stores
US8863246B2 (en) * 2007-08-31 2014-10-14 Apple Inc. Searching and replacing credentials in a disparate credential store environment
US20090077638A1 (en) * 2007-09-17 2009-03-19 Novell, Inc. Setting and synching preferred credentials in a disparate credential store environment
US7941863B1 (en) * 2007-09-27 2011-05-10 Symantec Corporation Detecting and preventing external modification of passwords
US20100281530A1 (en) * 2007-12-10 2010-11-04 Nokia Corporation Authentication arrangement
US20090199277A1 (en) * 2008-01-31 2009-08-06 Norman James M Credential arrangement in single-sign-on environment
US20090217367A1 (en) * 2008-02-25 2009-08-27 Norman James M Sso in volatile session or shared environment
DE102008011191A1 (de) * 2008-02-26 2009-08-27 Abb Research Ltd. Client/Server-System zur Kommunikation gemäß dem Standardprotokoll OPC UA und mit Single Sign-On Mechanismen zur Authentifizierung sowie Verfahren zur Durchführung von Single Sign-On in einem solchen System
US8418222B2 (en) * 2008-03-05 2013-04-09 Microsoft Corporation Flexible scalable application authorization for cloud computing environments
US8196175B2 (en) * 2008-03-05 2012-06-05 Microsoft Corporation Self-describing authorization policy for accessing cloud-based resources
EP2107757A1 (en) * 2008-03-31 2009-10-07 British Telecommunications Public Limited Company Identity management
US8726358B2 (en) * 2008-04-14 2014-05-13 Microsoft Corporation Identity ownership migration
US8732452B2 (en) 2008-06-23 2014-05-20 Microsoft Corporation Secure message delivery using a trust broker
US9736153B2 (en) 2008-06-27 2017-08-15 Microsoft Technology Licensing, Llc Techniques to perform federated authentication
US8910257B2 (en) 2008-07-07 2014-12-09 Microsoft Corporation Representing security identities using claims
US9009838B2 (en) * 2008-07-24 2015-04-14 Front Porch, Inc. Method and apparatus for effecting an internet user's privacy directive
US20100077457A1 (en) * 2008-09-23 2010-03-25 Sun Microsystems, Inc. Method and system for session management in an authentication environment
EP2351308A1 (en) * 2008-10-08 2011-08-03 Nokia Siemens Networks Oy Method for providing access to a service
US8275984B2 (en) * 2008-12-15 2012-09-25 Microsoft Corporation TLS key and CGI session ID pairing
US9059979B2 (en) 2009-02-27 2015-06-16 Blackberry Limited Cookie verification methods and apparatus for use in providing application services to communication devices
US20100251353A1 (en) * 2009-03-25 2010-09-30 Novell, Inc. User-authorized information card delegation
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
US20100306052A1 (en) * 2009-05-29 2010-12-02 Zachary Edward Britton Method and apparatus for modifying internet content through redirection of embedded objects
FR2950775B1 (fr) * 2009-09-30 2011-10-21 Alcatel Lucent Dispositif et procede de gestion automatisee d'identites et de profils d'usagers d'equipements de communication
US20120240210A1 (en) * 2009-11-23 2012-09-20 Nokia Siemens Networks Oy Service access control
US9509791B2 (en) 2010-01-07 2016-11-29 Oracle International Corporation Policy-based exposure of presence
US20110167479A1 (en) * 2010-01-07 2011-07-07 Oracle International Corporation Enforcement of policies on context-based authorization
US20110166943A1 (en) * 2010-01-07 2011-07-07 Oracle International Corporation Policy-based advertisement engine
US9467858B2 (en) 2010-02-05 2016-10-11 Oracle International Corporation On device policy enforcement to secure open platform via network and open network
US20110196728A1 (en) * 2010-02-05 2011-08-11 Oracle International Corporation Service level communication advertisement business
US9495521B2 (en) * 2010-02-05 2016-11-15 Oracle International Corporation System self integrity and health validation for policy enforcement
US9282097B2 (en) * 2010-05-07 2016-03-08 Citrix Systems, Inc. Systems and methods for providing single sign on access to enterprise SAAS and cloud hosted applications
JP5289480B2 (ja) * 2011-02-15 2013-09-11 キヤノン株式会社 情報処理システム、情報処理装置の制御方法、およびそのプログラム。
US9130935B2 (en) * 2011-05-05 2015-09-08 Good Technology Corporation System and method for providing access credentials
US20130007867A1 (en) * 2011-06-30 2013-01-03 Cisco Technology, Inc. Network Identity for Software-as-a-Service Authentication
CN102938757B (zh) * 2011-08-15 2017-12-08 中兴通讯股份有限公司 共享网络中用户数据的方法和身份提供服务器
US9117062B1 (en) * 2011-12-06 2015-08-25 Amazon Technologies, Inc. Stateless and secure authentication
EP2798869A4 (en) * 2011-12-30 2015-09-02 Intel Corp Apparatus and method for performing over-the-air identity provisioning
US8806589B2 (en) * 2012-06-19 2014-08-12 Oracle International Corporation Credential collection in an authentication server employing diverse authentication schemes
US9497270B2 (en) * 2012-08-30 2016-11-15 Novell, Inc. Federated timeout
SG11201502282QA (en) 2012-09-26 2015-05-28 Toshiba Kk Policy management system, id provider system, and policy evaluation device
US9407615B2 (en) * 2013-11-11 2016-08-02 Amazon Technologies, Inc. Single set of credentials for accessing multiple computing resource services
US9736159B2 (en) 2013-11-11 2017-08-15 Amazon Technologies, Inc. Identity pool bridging for managed directory services
US10447610B1 (en) 2013-11-11 2019-10-15 Amazon Technologies, Inc. Techniques for network redirection
US10320770B2 (en) 2014-01-31 2019-06-11 British Telecommunications Public Limited Company Access control system
US9454773B2 (en) 2014-08-12 2016-09-27 Danal Inc. Aggregator system having a platform for engaging mobile device users
US9461983B2 (en) * 2014-08-12 2016-10-04 Danal Inc. Multi-dimensional framework for defining criteria that indicate when authentication should be revoked
US10154082B2 (en) 2014-08-12 2018-12-11 Danal Inc. Providing customer information obtained from a carrier system to a client device
US10509663B1 (en) 2015-02-04 2019-12-17 Amazon Technologies, Inc. Automatic domain join for virtual machine instances
US20170353496A1 (en) * 2016-06-02 2017-12-07 Microsoft Technology Licensing, Llc Hardware-Based Virtualized Security Isolation
US10334434B2 (en) * 2016-09-08 2019-06-25 Vmware, Inc. Phone factor authentication

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5604490A (en) * 1994-09-09 1997-02-18 International Business Machines Corporation Method and system for providing a user access to multiple secured subsystems
US5774551A (en) * 1995-08-07 1998-06-30 Sun Microsystems, Inc. Pluggable account management interface with unified login and logout and multiple user authentication services
JP2000215172A (ja) * 1999-01-20 2000-08-04 Nec Corp 個人認証システム
US6668327B1 (en) * 1999-06-14 2003-12-23 Sun Microsystems, Inc. Distributed authentication mechanisms for handling diverse authentication systems in an enterprise computer system
US6892307B1 (en) * 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US7487531B1 (en) * 1999-12-10 2009-02-03 Sedna Patent Services, Llc Method and apparatus of load sharing and improving fault tolerance in an interactive video distribution system
US6754829B1 (en) * 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments
WO2002044923A1 (en) * 2000-11-30 2002-06-06 Webtone Technologies, Inc. Web session collaboration
US7277922B1 (en) * 2001-04-10 2007-10-02 At&T Bls Intellectual Property, Inc Completion of internet session notification service
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US20040002878A1 (en) 2002-06-28 2004-01-01 International Business Machines Corporation Method and system for user-determined authentication in a federated environment
US7444414B2 (en) * 2002-07-10 2008-10-28 Hewlett-Packard Development Company, L.P. Secure resource access in a distributed environment
US20040073629A1 (en) * 2002-10-10 2004-04-15 International Business Machines Corporation Method of accessing internet resources through a proxy with improved security
US6810480B1 (en) * 2002-10-21 2004-10-26 Sprint Communications Company L.P. Verification of identity and continued presence of computer users
DE60308733T2 (de) * 2003-02-21 2007-08-09 Telefonaktiebolaget Lm Ericsson (Publ) Dienstanbieteranonymisierung in einem single sign-on system
US7290278B2 (en) * 2003-10-02 2007-10-30 Aol Llc, A Delaware Limited Liability Company Identity based service system
US8522039B2 (en) * 2004-06-09 2013-08-27 Apple Inc. Method and apparatus for establishing a federated identity using a personal wireless device
US7788729B2 (en) * 2005-03-04 2010-08-31 Microsoft Corporation Method and system for integrating multiple identities, identity mechanisms and identity providers in a single user paradigm
US7739744B2 (en) * 2006-03-31 2010-06-15 Novell, Inc. Methods and systems for multifactor authentication

Also Published As

Publication number Publication date
US8418234B2 (en) 2013-04-09
CN101331731B (zh) 2012-11-28
US20070143829A1 (en) 2007-06-21
CA2633311A1 (en) 2007-06-21
WO2007068716A1 (en) 2007-06-21
CA2633311C (en) 2015-05-26
JP2009519530A (ja) 2009-05-14
TWI400922B (zh) 2013-07-01
CN101331731A (zh) 2008-12-24
EP1961185A1 (en) 2008-08-27
TW200810460A (en) 2008-02-16

Similar Documents

Publication Publication Date Title
De Clercq Single sign-on architectures
US7219154B2 (en) Method and system for consolidated sign-off in a heterogeneous federated environment
US8661539B2 (en) Intrusion threat detection
CN101331735B (zh) 用于扩展验证方法的方法和系统
US9497184B2 (en) User impersonation/delegation in a token-based authentication system
EP1672555B1 (en) Specializing support for a federation relationship
JP4832822B2 (ja) データ処理システム、方法およびコンピュータ・プログラム(連合ユーザ・ライフサイクル管理用の信頼インフラストラクチャ・サポートを可能にする方法およびシステム)
EP1661362B1 (en) Method and system for stepping up to certificate-based authentication without breaking an existing ssl session
US7698375B2 (en) Method and system for pluggability of federation protocol runtimes for federated user lifecycle management
US8095658B2 (en) Method and system for externalizing session management using a reverse proxy server
RU2447490C2 (ru) Защищенная обработка мандата клиентской системы для доступа к ресурсам на основе web
EP2761522B1 (en) Oauth framework
US7444519B2 (en) Access control for federated identities
US8042162B2 (en) Method and system for native authentication protocols in a heterogeneous federated environment
US8561161B2 (en) Method and system for authentication in a heterogeneous federated environment
US8707409B2 (en) Method and apparatus for providing trusted single sign-on access to applications and internet-based services
US6993596B2 (en) System and method for user enrollment in an e-community
US8554930B2 (en) Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment
US7464162B2 (en) Systems and methods for testing whether access to a resource is authorized based on access information
US7194764B2 (en) User authentication
CN1653781B (zh) 用于在联合环境中进行用户确定的身份验证的方法和系统
KR101063368B1 (ko) 연합 환경에서 신원 제공자를 위한 디지털 권리 관리(drm) 강화 정책 관리
US8204999B2 (en) Query string processing
US7080077B2 (en) Localized access
US8578465B2 (en) Token-based control of permitted sub-sessions for online collaborative computing sessions

Legal Events

Date Code Title Description
A521 Written amendment

Effective date: 20090219

Free format text: JAPANESE INTERMEDIATE CODE: A523

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090929

A131 Notification of reasons for refusal

Effective date: 20120221

Free format text: JAPANESE INTERMEDIATE CODE: A131

A521 Written amendment

Effective date: 20120517

Free format text: JAPANESE INTERMEDIATE CODE: A523

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120703

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120724

R150 Certificate of patent (=grant) or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (prs date is renewal date of database)

Year of fee payment: 3

Free format text: PAYMENT UNTIL: 20150803