JP5865386B2 - バックエンド制約委譲モデル - Google Patents
バックエンド制約委譲モデル Download PDFInfo
- Publication number
- JP5865386B2 JP5865386B2 JP2013540969A JP2013540969A JP5865386B2 JP 5865386 B2 JP5865386 B2 JP 5865386B2 JP 2013540969 A JP2013540969 A JP 2013540969A JP 2013540969 A JP2013540969 A JP 2013540969A JP 5865386 B2 JP5865386 B2 JP 5865386B2
- Authority
- JP
- Japan
- Prior art keywords
- computer device
- computer
- domain
- domain controller
- middle tier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 86
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 15
- 238000000034 method Methods 0.000 description 14
- 230000007246 mechanism Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 2
- CDFKCKUONRRKJD-UHFFFAOYSA-N 1-(3-chlorophenoxy)-3-[2-[[3-(3-chlorophenoxy)-2-hydroxypropyl]amino]ethylamino]propan-2-ol;methanesulfonic acid Chemical compound CS(O)(=O)=O.CS(O)(=O)=O.C=1C=CC(Cl)=CC=1OCC(O)CNCCNCC(O)COC1=CC=CC(Cl)=C1 CDFKCKUONRRKJD-UHFFFAOYSA-N 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、バックエンド制約委譲モデル(back-end constrained delegation model)に関する。
[0001]その最も簡単な形態では、クライアントとサーバーの間のネットワーク通信は、そのサーバーが排他的に応答しクライアントに返すことができる、クライアントからサーバーへの要求を含む。そのようなシステムは確かに簡単であるが、十分に拡張することができず、呼び出し元が単一のチャネルを介して、ファイルストレージサービス、データベースストレージサービスおよび電子メールサービスなどの複数のサービスと同時に対話することはできない。クライアントが単一サーバーと通信することを可能にしたまま、それでもサーバーがその能力を拡張するのを可能にするために、ティア構造が利用された。ティア構造では、クライアントは、ミドルティアとして動作したサーバーにその要求を伝えることができた。そのミドルティアサーバーは、クライアントの要求に応答するために必要な関連情報を、必ずしもそれ自体では含まない。代わりに、ミドルティアサーバーは元に戻り、サーバーのバックエンドティアの一部である1つまたは複数のサーバーを参照して、クライアントによって要求された情報を取得することができる。そのような情報を取得すると、次いで、ミドルティアサーバーはクライアントに応答することができる。クライアントの観点から、単一の通信エンドポイント、すなわちミドルティアは、潜在的に無限のデータおよび他の情報資源にアクセスすることができる。
[0002]ミドルティアサーバーがクライアントの要求に応答することを可能にするために、クライアントの代わりにサーバーのバックエンドティアから情報を取得することが許される。セキュリティの観点から、ミドルティアサーバーがクライアントとして、サーバーのバックエンドティア内にない他のサーバーと通信することを許すことは有害である可能性がある。それによりクライアントがそのパスワードすなわち長い言葉の認証情報または他の認証情報をミドルティアサーバーに提供することができ、次いで、この認証情報を提供することによりミドルティアサーバーがクライアントとして任意のサーバーと通信することができるそのような構成は、クライアントの役割のミドルティアサーバーへの委譲が、そのミドルティアがどのサーバーと通信できるかについて制約されていないので、通常「非制約委譲」として知られている。
[0003]非制約委譲のセキュリティ問題に対する1つの解決策は、通常、「制約委譲(constrained delegation)」として知られている委譲モデルであり、それによりバックエンドティアサーバーを、ミドルティアサーバーがクライアントの代わりに、またはクライアントとして通信できるサーバーに制限したポリシーが導入された。通常、制約委譲モデル(constrained delegation model)はドメインコントローラーによって動作し、ドメインコントローラーは1つまたは複数の関連ポリシーを参照し、ミドルティアサーバーがクライアントの代わりに、かつクライアントとして1つまたは複数のバックエンドティアサーバーと通信することが許されるかどうかを判定する。例えば、クライアントがミドルティアサーバーにその認証情報を提供した後、ミドルティアサーバーは、バックエンドティア内の1つまたは複数のサーバーに対してクライアントの代わりに、かつクライアントとして動作する権利を、ドメインコントローラーから要求することができる。ドメインコントローラーは1つまたは複数の関連ポリシーを参照して、ミドルティアサーバーの要求を認可するかどうかを決定することができ、ミドルティアサーバーの要求を認可した場合、ドメインコントローラーはサービスチケットまたは他の情報の集合をミドルティアサーバーに提供することができ、サービスチケットまたは他の情報の集合は、ミドルティアサーバーが1つまたは複数のバックエンドティアサーバーに与えることができ、それらのバックエンドティアサーバーとのその通信においてミドルティアサーバーがクライアントの代わりに、かつクライアントとして動作することが許容できるとドメインコントローラーが考えたことを示す。
[0004]残念ながら、制約委譲はネットワーク化されたコンピューター装置の複数のドメイン全体にわたって実装することは困難である可能性がある。より詳細には、1つのドメイン内のバックエンドティアサーバーは、ミドルティアサーバーを含むドメインなどの、別の異なるドメインのドメインコントローラーを必ずしも信用しない。代わりに、ミドルティアサーバーを含むドメインのドメインコントローラーは、直接的に、または、ミドルティアサーバーおよびバックエンドティアサーバーを介して間接的に、バックエンドティアサーバーを含むドメインのドメインコントローラーと通信し、その第2のドメインコントローラーに、ミドルティアサーバーが実際は1つまたは複数のバックエンドティアサーバーに委譲することが許されることを判定できる十分な情報を提供することができる。そのようなモデルは、複数のドメインコントローラーまたは複数のドメインの管理者の協力を必要とするので、実装することが困難である可能性がある。さらに、そのようなモデルは、ミドルティアサーバーが1つまたは複数のバックエンドティアサーバーに委譲することがドメインポリシーによって許されるかどうかに、委譲制約の焦点を合わせる。
バックエンド制約委譲モデル(back-end constrained delegation model)を提供する。
[0005]一実施形態では、ミドルティアコンピューター装置による、バックエンドティアの一部である1つまたは複数のサーバーコンピューター装置への委譲は、ミドルティアコンピューター装置が1つまたは複数のバックエンドティアコンピューター装置に委譲することをドメインポリシーが許すかどうかによってではなく、むしろ1つまたは複数のバックエンドティアコンピューター装置それぞれの個別のポリシーが、ミドルティアコンピューター装置が自分に委譲することを許すかどうかによって判定することができる。その結果、ドメイン管理者の役割は削減され、代わりに、関連ポリシーの意思決定をバックエンドティアコンピューター装置のシステム管理者によって実行することができ、バックエンドティアコンピューター装置のシステム管理者は、そのようなバックエンドティアコンピューター装置によって提供されるサービスにより精通することができる。
[0006]別の実施形態では、ドメインコントローラーコンピューター装置は、ミドルティアコンピューター装置から1つまたは複数のバックエンドティアコンピューター装置に委譲する要求を受信すると、1つまたは複数のバックエンドティアコンピューター装置がドメインコントローラーのドメイン内にあるかどうかを考慮することができる。バックエンドティアコンピューター装置がドメインコントローラーのドメイン内にある場合、ドメインコントローラーコンピューター装置はサービスチケットまたは他の情報の集合をミドルティアコンピューター装置に提供することができ、サービスチケットまたは他の情報の集合は、ミドルティアサーバーが1つまたは複数のバックエンドティアサーバーに与えて、ミドルティアコンピューター装置がクライアントコンピューター装置として、かつその代わりに動作することを可能にすることができる。しかしながら、バックエンドティアコンピューター装置がドメインコントローラーのドメイン内にない場合、ドメインコントローラーコンピューター装置は、代わりにトークンまたは他の情報の集合をミドルティアコンピューター装置に提供することができ、ミドルティアコンピューター装置は、トークンまたは他の情報の集合を異なるドメインの別のドメインコントローラーコンピューター装置に与えて、その他の異なるドメイン内のバックエンドティアコンピューター装置に対してクライアントコンピューター装置として、かつその代わりに動作することができる。
[0007]さらなる実施形態では、ドメインコントローラーコンピューター装置は、ミドルティアコンピューター装置が、1つまたは複数のバックエンドティアコンピューター装置との通信において、クライアントコンピューター装置として、かつその代わりに動作することを最終的に可能にするために利用できるトークン、サービスチケット、または他の同様なデータを提供する前に、ミドルティアコンピューター装置または他のドメインコントローラーコンピューター装置を検証することができる。
[0008]この概要は、下記詳細説明においてさらに記載される概念を集めたものを簡易化された形で紹介するために提供される。この概要は、特許請求された主題の主要な特徴または本質的な特徴を識別するものではなく、特許請求された主題の範囲を限定するために使用されるものでもない。
[0009]別の特徴および利点は、添付図面を参照して進められる以下の詳細説明から明白にされる。
[0010]以下の詳細説明は、添付図面と併用されると最もよく理解することができる。
[0010]以下の詳細説明は、添付図面と併用されると最もよく理解することができる。
[0017]以下の説明は、ミドルティアコンピューター装置がバックエンドティアコンピューター装置に委譲できるかどうかに関する判定が、ミドルティアコンピューター装置が自分に委譲することをバックエンドティアコンピューター装置が許すかどうかによって決定される、委譲モデルに関する。そのような委譲モデルを実装するために、一実施形態では、ドメインコントローラーコンピューター装置は、ミドルティアコンピューター装置からバックエンドティアコンピューター装置に委譲する要求を受信すると、最初にバックエンドティアコンピューター装置がドメインコントローラーのドメイン内にあるかどうかを判定する。バックエンドティアコンピューター装置がドメインコントローラーのドメイン内にある場合、ドメインコントローラーは、サービスチケットまたは他の情報の集合をミドルティアコンピューター装置に提供することができ、サービスチケットまたは他の情報の集合は、ミドルティアコンピューター装置が1つまたは複数のバックエンドティアコンピューター装置に与えて、ミドルティアコンピューター装置がクライアントコンピューター装置として、かつその代わりに動作することを可能にする。しかしながら、バックエンドティアコンピューター装置がドメインコントローラーのドメイン内にない場合、ドメインコントローラーコンピューター装置は、代わりにトークンまたは他の情報の集合をミドルティアコンピューター装置に提供することができ、ミドルティアコンピューター装置は、トークンまたは他の情報の集合を異なるドメインの別のドメインコントローラーコンピューター装置に与えて、その他の異なるドメイン内のバックエンドティアコンピューター装置に対してクライアントコンピューター装置として、かつその代わりに動作することができる。そのような方式では、バックエンドティアコンピューター装置とのその通信において、クライアントコンピューター装置として、かつその代わりに動作するミドルティアコンピューター装置の能力は、バックエンドティアコンピューター装置と同じドメインのドメインコントローラーコンピューター装置によって実施されたポリシーにより、その結果、そのポリシーの指示子としてのバックエンドティアコンピューター装置自体によって、制御することができる。
[0018]本明細書に記載された技法は、「サービスチケット」または「トークン」などの特定のタイプの通信および通信要素を参照する。しかしながら、そのような参照は、下記説明によって詳述される処理および意思決定を知らせるために必要な情報を提供するデータの集合に、学名を割り当てるために提供されるにすぎない。そのような参照は、記載された技法を、その述語がしばしば関連付けられる特定の標準化されたプロトコルに限定するものではない。その結果、当業者は、ケルベロスなどの特定の既存の認証および委譲のプロトコルが、下記に詳述される構成要素のうちの少なくともいくつかを実行するために活用できることを認識できるが、本明細書に提供された説明はそのような既存のプロトコルに限定するものではなく、代わりに、下記に記載されるメカニズムおよび処理の個別の態様を提供し遂行できるメッセージおよびデータの任意の集合に等しく適用可能である。同様に、本明細書に記載された技法は、1つまたは複数の「ドメインコントローラー」コンピューター装置を参照する。そのような参照は表記上の便利さおよび理解のしやすさのために行われ、詳細に記載された技法を、完全なドメインコントローラー機能を実行しなければならないコンピューター装置に限定するものではない。代わりに、当業者によって認識されるように、「ドメインコントローラー」を参照して下記に詳細に記載される機能は、任意の信用がある中央権限のコンピューター装置によって実行することができる。その結果、本明細書において利用されるように、用語「ドメインコントローラー」は任意の信用がある中央権限を意味し、用語「ドメインコントローラーコンピューター装置」は、信用がある中央権限を含み実装する1つまたは複数のコンピューター装置を意味する。
[0019]必要ではないが、下記の説明は、コンピューター装置によって実行されるプログラムモジュールなどのコンピューター実行可能命令の一般的な文脈内にある。より詳細には、説明は、特に断りのない限り、1つまたは複数のコンピューター装置または周辺装置によって実行される動作の動きおよび記号表現を参照する。そのため、時々コンピューター実行されたと呼ばれるそのような動きおよび動作は、構造化された形でデータを表現する電気信号の処理単位による操作を含むことが理解されよう。この操作はデータを変換するか、またはメモリ内の場所でそれを保持し、当業者によってよく理解される方式でコンピューター装置または周辺装置の動作を再構成するか、またはその他の方法で変更する。データが保持されるデータ構造は、データのフォーマットによって定義された特定の性状をもつ物理的な場所である。
[0020]一般に、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データタイプを実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。さらに、コンピューター装置が従来のパーソナルコンピューターに限定される必要はなく、ハンドヘルド装置、マルチプロセッサシステム、マイクロプロセッサベースまたはプログラム可能な家庭用電子装置、ネットワークPC、ミニコンピューター、メインフレームコンピューターなどを含む、他のコンピューター構成を含むことを、当業者は理解されよう。同様に、メカニズムは、通信ネットワークを介してリンクされた分散コンピューター環境内でも実践することができるので、コンピューター装置はスタンドアロンのコンピューター装置に限定される必要はない。分散コンピューター環境では、プログラムモジュールはローカルとリモートのどちらのメモリ記憶装置内にも位置することができる。
[0021]図1を参照すると、下記に記載される方法の中で使用され、方法を支援できるハードウェア構成要素を一部に含む、例示的なコンピューター装置100が示される。例示的なコンピューター装置100は、1つまたは複数の中央処理装置(CPU)120、システムメモリ130、および、システムメモリを含むさまざまなシステム構成部品を処理装置120に結合するシステムバス121を含むことができるが、それらに限定されない。システムバス121は、メモリバスまたはメモリコントローラー、周辺機器用バス、および、任意のさまざまなバスアーキテクチャを使用するローカルバスを含む、任意のいくつかのタイプのバス構造であり得る。特定の物理的な実装形態に応じて、CPU120、システムメモリ130、および、コンピューター装置100の他の構成部品のうちの1つまたは複数は、単一チップ上などの物理的に同一の場所に配置することができる。そのような場合、システムバス121の一部または全部は単一チップ構造内のシリコン経路にすぎず、図1でのその例示は例示目的のための表記上の便利さにすぎない。
[0022]また、通常、コンピューター装置100はコンピューター可読媒体を含み、コンピューター可読媒体は、コンピューター装置100によってアクセスできる任意の利用可能な媒体を含むことができる。例として、かつ限定なしに、コンピューター可読媒体はコンピューター記憶媒体および通信媒体を含むことができる。コンピューター記憶媒体は、コンピューター可読命令、データ構造、プログラムモジュール、または他のデータなどの情報を格納するための任意の方法または技術で実装された媒体を含む。コンピューター記憶媒体は、所望の情報を格納するために使用でき、コンピューター装置100によってアクセスできる、RAM、ROM、EEPROM、フラッシュメモリ、もしくは他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)、もしくは他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、もしくは他の磁気記憶装置、またはその他の媒体を含むが、それらに限定されない。通信媒体は、通常、コンピューター可読命令、データ構造、プログラムモジュール、または他のデータを、搬送波または他の搬送機構などの変調データ信号で具現化し、任意の情報送達媒体を含む。例として、かつ限定なしに、通信媒体は、有線ネットワークまたは直接有線接続などの有線媒体、ならびに、音響、RF、赤外線、および他の無線媒体などの無線媒体を含む。上記の任意の組合せも、コンピューター可読媒体の範囲内に含まれるべきである。
[0023]通信媒体を使用すると、コンピューター装置100は、1つまたは複数のリモートコンピューターへの論理接続を介して、ネットワーク化された環境で動作することができる。図1で描写された論理接続は、ローカルエリアネットワーク(LAN)、インターネットなどのワイドエリアネットワーク(WAN)、または他のネットワークであり得るネットワーク180への汎用ネットワーク接続171である。コンピューター装置100は、ネットワークインタフェースまたはアダプター170を介して汎用ネットワーク接続171に接続され、ネットワークインタフェースまたはアダプター170はシステムバス121に接続される。ネットワーク化された環境では、コンピューター装置100またはその一部もしくは周辺装置に関連して描写されたプログラムモジュールは、汎用ネットワーク接続171を介してコンピューター装置100に通信結合された1つまたは複数の他のコンピューター装置のメモリに格納することができる。図示されたネットワーク接続は例示的であり、コンピューター装置間の通信リンクを確立する他の手段を使用できることが理解されよう。
[0024]コンピューター記憶媒体の中で、システムメモリ130は、リードオンリメモリ(ROM)131およびランダムアクセスメモリ(RAM)132を含む、揮発性および/または不揮発性メモリの形態のコンピューター記憶媒体を含む。とりわけコンピューター装置100をブートするためのコードを含む基本入出力システム133(BIOS)は、ROM131に格納される。RAM132は、通常、処理装置120によってすぐにアクセスできるデータ、および/または処理装置120によって現在実行されているプログラムモジュールを含む。例として、かつ限定なしに、図1は、オペレーティングシステム134、他のプログラムモジュール135、およびプログラムデータ136を示す。RAM132は、TCGイベントログ190などのTPM150の動作に関連し得るデータをさらに含むことができる。一実施形態では、TCGイベントログ190は、通電されてから、または最後にリスタートされてからコンピューター装置100によってロードされるか、または実行されたすべてのモジュール、すなわちそのローディングまたは実行が1つまたは複数のPCRでTPM150によって現在保持されている値をもたらした可能性がある同じモジュールの、ユニークな識別を含むことができる。
[0025]また、コンピューター装置100は、他のリム−バル/非リム−バル、揮発性/不揮発性のコンピューター記憶媒体を含むことができる。例にすぎないが、図1は、非リム−バル、不揮発性の媒体に読み書きするハードディスクドライブ141を示す。例示的なコンピューター装置で使用できる他のリム−バル/非リム−バル、揮発性/不揮発性のコンピューター記憶媒体は、磁気テープカセット、フラッシュメモリカード、デジタル多用途ディスク、デジタルビデオテープ、半導体RAM、半導体ROMなどを含むが、それらに限定されない。ハードディスクドライブ141は、通常、インタフェース140などの非リム−バルメモリインタフェースを介して、システムバス121に接続される。
[0026]上述され、図1で示されたドライブおよびそれらに関連するコンピューター記憶媒体は、コンピューター装置100用のコンピューター可読命令、データ構造、プログラムモジュール、および他のデータを格納する。図1では、例えばハードディスクドライブ141は、オペレーティングシステム144、他のプログラムモジュール145、およびプログラムデータ146を格納するように示される。これらの構成部品は、オペレーティングシステム134、他のプログラムモジュール135、およびプログラムデータ136と同じでもよいし、異なってもよいことに留意されたい。オペレーティングシステム144、他のプログラムモジュール145、およびプログラムデータ146は、少なくともそれらが異なるコピーであることを示すために、本明細書では異なる番号が与えられる。
[0027]図2を参照すると、その中に示されたシステム200は、4台のコンピューター装置、すなわちクライアントコンピューター装置210、ミドルティアコンピューター装置220、バックエンドコンピューター装置230、およびドメインコントローラーコンピューター装置240を含む。これらのコンピューター装置のそれぞれは、たった今記載した例示的なコンピューター装置100の形態になることができ、例示的なコンピューター装置100を参照して上記に詳述された構成部品の一部または全部を含むことができる。図2のシステム200のコンピューター装置は、ネットワーク180への通信接続を介して通信結合されているように示される。説明を簡単にするために、ネットワーク180は単一の図解的な構成要素によって図示されるが、単一のネットワークドメインまたはその他の同様なネットワーク区分もしくは構造に限定されるものではなく、図2のシステム200でも示されたドメインA290の外側にあるネットワークを説明するものでもない。代わりに、図で利用されるように、ネットワーク180は、示されたさまざまなドメインを含む、図で示されたシステムコンピューター装置間のネットワーク通信接続のすべてを表現するものであり、直接と間接のどちらの通信接続も表現するものである。したがって、例えば図2で示されたシステム200は、それによりクライアントコンピューター装置210が、ネットワーク180を介してミドルティアコンピューター装置220と直接的または間接的に通信できる、一連の例示的な通信を示す。図2のシステム200は、それによりミドルティアコンピューター装置220が、再度ネットワーク180を介してドメインコントローラーコンピューター装置240およびバックエンドコンピューター装置230と、再度直接的または間接的に通信できる、例示的な一連の通信をさらに示す。したがって、ミドルティアコンピューター装置220、ドメインコントローラーコンピューター装置240、およびバックエンドコンピューター装置230は、すべて同じドメインA290の一部として示されるが、以前に示したように、ネットワーク180はドメインA290を含むものと考えられ、ドメインA290とは別個でそれから離れたネットワーク装置として考えられるものではない。下記に詳述されるように、図示された通信は、バックエンドコンピューター装置230などのバックエンドティアコンピューター装置に対して、ミドルティアコンピューター装置220がクライアントコンピューター装置210の代わりに動作することを可能にできる委譲メカニズムの例示的な動作を示す。
[0028]最初に、図2のシステム200によって示されたように、クライアントコンピューター装置210は、ドメインコントローラーコンピューター装置240によって署名できるクライアント識別子または他のデータの集合を、通信215を介して提供することにより、ミドルティアコンピューター装置220などのミドルティアコンピューター装置にそれ自体を認証することができる。例えば、一実施形態では、ミドルティアコンピューター装置220との通信215などの通信を開始する前に、クライアントコンピューター装置210は、最初にドメインコントローラーコンピューター装置240からクライアント識別子を取得することができる。当業者によって認識されるように、ドメインコントローラーコンピューター装置240は、そのようなクライアント識別子を提供する前に、クライアントコンピューター装置210の評価を実行することができる。例えば、ドメインコントローラーコンピューター装置240は、クライアントコンピューター装置210が、例えばアンチマルウェアソフトウェアアプリケーションプログラムの最新バージョンがインストールされていること、または別の例として、クライアントコンピューター装置210に存在するさまざまなオペレーティングシステムおよびソフトウェアアプリケーションプログラム用に最新パッチがインストールされていること、などの関連するセキュリティ設定に準拠することを確認することができる。そのような情報は、ドメインコントローラーコンピューター装置240とのその通信の一部として、クライアントコンピューター装置210によって提供することができ、例えば、クライアントコンピューター装置210によってセキュリティ検証可能な方式で保持することができるイベントログを参照して、ドメインコントローラーコンピューター装置で確認することができる。
[0029]クライアントコンピューター装置210がドメインコントローラーコンピューター装置240によって制御され図2で示された網掛けされた領域によって示されたドメインA290内の他のコンピューター装置と通信することが許されると、ドメインコントローラーコンピューター装置240が判定すると、ドメインコントローラーコンピューター装置240は、クライアント識別子または他の識別データの集合をクライアントコンピューター装置210に提供することができる。そのようなクライアント識別子または他の識別データは、ドメインコントローラー240によって署名することができ、その結果ドメインA290内の他のコンピューター装置がその信頼性を確認することができる。例えば、ミドルティアコンピューター装置220およびバックエンドコンピューター装置230などのドメインA290内のその他のコンピューター装置のそれぞれは、ドメインコントローラーコンピューター装置240の公開鍵へのアクセス権をもつことができる。したがって、ドメインコントローラーコンピューター装置240が、ドメインA290内のその他のコンピューター装置が所有する公開鍵に対応するその公開鍵でクライアント識別子に署名した場合、その他のコンピューター装置のそれぞれは、当業者によく知られている方式でその公開鍵を参照して、そのような署名を確認することができる。あるいは、公開鍵/専用鍵のペアに依存するよりむしろ、署名は、ドメインコントローラーコンピューター装置240と、ドメインコントローラーコンピューター装置240と通信するドメインA290などのドメイン内のコンピューター装置との間で保持された、1つまたは複数の共有対称鍵で実行することができる。
[0030]したがって、クライアントコンピューター装置210が通信215を介してミドルティアコンピューター装置220にそのクライアント識別子を送信すると、ミドルティアコンピューター装置220は、例えばドメインコントローラーコンピューター装置240の公開鍵を利用して、通信215内でクライアントコンピューター装置210によって提供されたクライアント識別子が、実際にはドメインコントローラーコンピューター装置240によって署名されたことを確認することができる。クライアントコンピューター装置210のそのような確認に続いて、ミドルティアコンピューター装置220は、クライアントコンピューター装置210からの要求を受け入れることができ、それらの要求の一部として、クライアントコンピューター装置210のユーザーが要求された情報または資源にアクセスすることを認可することを証明するために、クライアントコンピューター装置210が何らかの識別または認証の情報を提供することを要求することができる。さらに下記に詳述されるように、そのような識別および認証の情報は、その後、バックエンドコンピューター装置230などのバックエンドティアコンピューター装置に対してクライアントコンピューター装置210の代わりに動作するために、ミドルティアコンピューター装置220によって利用することができる。
[0031]以前に示したように、クライアントコンピューター装置210のユーザーによって要求された情報または資源は、必ずしもミドルティアコンピューター装置220と同一の場所に配置されなくてもよい。代わりに、ミドルティアコンピューター装置220は、クライアントコンピューター装置210用の単一の通信エンドポイントとして動作して、無数の要求のうちの任意の1つを行うことができ、次いで、ミドルティアコンピューター装置220は、バックエンドコンピューター装置230などの適切なバックエンドティアコンピューター装置と通信して、クライアントコンピューター装置210のユーザーによって要求された、関連する情報または資源にアクセスすることができる。そのような方式では、ミドルティアコンピューター装置220などの単一のミドルティアコンピューター装置は、複数のバックエンドティアコンピューター装置全体にわたって分散することができる無数の情報または他の資源にアクセスすることができるが、説明を簡単にするために、単一のバックエンドティアコンピューター装置のみ、すなわちバックエンドコンピューター装置230が図2のシステム200で示される。
[0032]通信215を介して送信されたクライアントIDなどを参照して、ミドルティアコンピューター装置220がクライアントコンピューター装置210を検証した後、かつ、図が混み合わないようにするためにその通信は図2のシステム200では明確に示されていないが、ミドルティアコンピューター装置220が識別および認証の情報をクライアントコンピューター装置210のユーザーから受信した後、ミドルティアコンピューター装置220は、あたかもクライアントコンピューター装置210であったように、バックエンドコンピューター装置230などの適切なバックエンドティアコンピューター装置と通信することが許されるように要求することができる。一実施形態では、そのような要求225は、ドメインコントローラーコンピューター装置240が要求225を評価し、それに基づいて動作するために利用できる情報と一緒に、ドメインコントローラーコンピューター装置240に送信することができる。例えば、図2のシステム200で示されたように、ミドルティアコンピューター装置220は、要求225で、クライアントコンピューター装置210から通信215を介して受信したクライアント識別子250を提供することができ、クライアント識別子250はドメインコントローラーコンピューター装置240によって署名される。同様に、また示されたように、ミドルティアコンピューター装置220は、要求225で、クライアント識別子250のようにドメインコントローラーコンピューター装置240によって署名される、それ自体の識別子260を提供することができる。
[0033]一実施形態では、ドメインコントローラーコンピューター装置240は、要求225ならびに識別子250および260を受信すると、それぞれ識別子250および260を参照して、クライアントコンピューター装置210およびミドルティアコンピューター装置220を確認することができる。ドメインコントローラーコンピューター装置は、またミドルティアコンピューター装置220がバックエンドコンピューター装置230に委譲することを許すかどうかを判定する前に、ミドルティアコンピューター装置220が委譲することを望むバックエンドコンピューター装置230が、実際にはドメインコントローラーコンピューター装置240のドメインA290内にあるかどうかを、最初に判定することができる。したがって、破線235によって図2のシステム200で表現されたように、ドメインコントローラーコンピューター装置240は、バックエンドコンピューター装置230がそのドメイン290内にあるかどうかを判定することができる。バックエンドコンピューター装置230がドメインA290内にある場合、ドメインコントローラーコンピューター装置240は、1つまたは複数のポリシーを参照して、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すかどうかを判定することができる。
[0034]一実施形態では、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すかどうかのドメインコントローラーコンピューター装置240による判定は、少なくとも一部は、バックエンドコンピューター装置230自体によって確立できるポリシーにより、またはより詳細には、バックエンドコンピューター装置230の管理者によって知らせることができる。当業者によって認識されるように、バックエンドコンピューター装置230は自分に委譲することを誰に任せることができるか適正に判定することを任せることができるので、バックエンドコンピューター装置230がポリシーを設定することを許すことは、何らかのセキュリティリスクを呼び込むか、またはドメインコントローラーコンピューター装置240の機能を不法に用いる必要はない。別の表現で言うと、バックエンドコンピューター装置230は、自分に委譲することを他に任せるための基準を規定するポリシーを確立することを任せることができる。
[0035]一実施形態では、ドメインコントローラーコンピューター装置240は、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すかどうかを判定する1つまたは複数のポリシーを評価しながら、クライアントコンピューター装置210を参照して上述された方式と同様の方式で、ミドルティアコンピューター装置220の評価を実行することができる。例えば、ドメインコントローラーコンピューター装置240は、ミドルティアコンピューター装置220が、例えばアンチマルウェアソフトウェアアプリケーションプログラムの最新バージョンがインストールされていること、または別の例として、クライアントコンピューター装置210に存在するさまざまなオペレーティングシステムおよびソフトウェアアプリケーションプログラム用に最新パッチがインストールされていること、などの関連するセキュリティ設定に準拠することを確認することができる。より詳細には、ドメインコントローラーコンピューター装置240によって参照されるポリシーは、示されたようにバックエンドコンピューター装置230によって確立できるポリシーを含み、例えば、たった今記載した関連するセキュリティ設定を参照する条件を含む特定の条件が満たされた場合にのみ、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すことを、指定することができる。しかしながら、関連するポリシーは、ミドルティアコンピューター装置220のセキュリティ態様の分析のみに限定されず、代わりに、例えば利用されるオペレーティングシステムのタイプ、取り付けられた周辺装置のタイプ、コンピューター装置のハードウェア構成、または、その他の情報もしくは情報の集合を含む、任意の情報または情報の集合に基づいて、バックエンドコンピューター装置230に委譲することを許されるコンピューター装置を限定することができる。そのような情報は、ドメインコントローラーコンピューター装置240によりミドルティアコンピューター装置220から、ミドルティアコンピューター装置220の識別子260の一部として、またはドメインコントローラーコンピューター装置240とミドルティアコンピューター装置220の間の次の通信の一部として、収集することができる。
[0036]一実施形態では、ミドルティアコンピューター装置220がバックエンドコンピューター装置230に委譲することを許すかどうかを判定するために、ドメインコントローラーコンピューター装置240によって参照される1つまたは複数のポリシーは、ミドルティアコンピューター装置220に存在するサービス、ならびに物理的なミドルティアコンピューター装置220自体の両方を参照することができる。そのような実施形態では、ミドルティアコンピューター装置220の識別子260は、物理的なコンピューター装置自体の識別子だけでなく、ミドルティアコンピューター装置220上で実行され、委譲を実行するための、1つもしくは複数のサービスまたは他のコンピューター実行可能命令の集合の識別子をも含むことができる。その結果、下記説明の目的のために、ミドルティアコンピューター装置220の識別子260などの識別子への参照は、物理装置自体の識別子、委譲を実行するための1つもしくは複数のサービスまたは他の実行するコンピューター実行可能命令の識別子、またはその組合せを含むものである。
[0037]そのようなポリシーを考慮して、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すとドメインコントローラーコンピューター装置240が判定した場合、ドメインコントローラーコンピューター装置240は、通信245によって示されたように、ドメインコントローラーによって署名できるサービスチケットまたは他の情報の集合を提供することができ、サービスチケットまたは他の情報の集合は、ミドルティアコンピューター装置220がクライアントコンピューター装置210としてバックエンドコンピューター装置230と通信することが許されることを示すことができる。次いで、ミドルティアコンピューター装置220は通信245を受信すると、以前にクライアントコンピューター装置210から受信した要求を、通信255によって示されたようにバックエンドコンピューター装置230に対して次に行うことができる。また、通信255は、図2のシステム200によって示されたように、通信245を介してミドルティアコンピューター装置220によりドメインコントローラーコンピューター装置240から受信することができた、サービスチケット270を含むことができる。
[0038]図が混み合わないようにするために図2のシステム200では詳細に示されていないが、バックエンドコンピューター装置230は、ドメインコントローラーの公開鍵などを参照して、クライアント要求255で提供されたサービスチケット270を評価して、それが実際には適切および適正な署名付きサービスチケットであることを確認することができ、バックエンドコンピューター装置230がそのように判定した場合、あたかもミドルティアコンピューター装置220がクライアントコンピューター装置210であったように、ミドルティアコンピューター装置220との通信に進むことができる。そのため、クライアントコンピューター装置210がバックエンドコンピューター装置230と直接通信していた場合、バックエンドコンピューター装置230に対してそれ自体を認証する必要があったのと同じように、バックエンドコンピューター装置230はミドルティアコンピューター装置220が認証することを要求することができる。そのような認証では、バックエンドコンピューター装置230は、クライアントコンピューター装置210それ自体の識別情報に基づいて、クライアントコンピューター装置210の個別のユーザーもしくはユーザーのグループの識別情報に基づいて、またはそれらの任意の組合せで、クライアントの要求を認可するかどうかを判定することができる。その結果、そのような認証の目的のために、ミドルティアコンピューター装置220は、そのような情報をクライアントコンピューター装置210から取得することができ、最初の通信255の一部として、または次の通信の一部として、それをバックエンドコンピューター装置230に提供することができる。
[0039]そのような方式では、ミドルティアコンピューター装置220は、バックエンドコンピューター装置230から、クライアントコンピューター装置210によって要求された情報および資源を取得することができ、その後、ミドルティアコンピューター装置220は、クライアントコンピューター装置の元の要求に応じて、そのような情報および資源をクライアントコンピューター装置210に返すことができる。当業者によって認識されるように、別のバックエンドティアコンピューター装置をドメインA290内に追加することができ、ミドルティアコンピューター装置220は、同様の方式でそれらのバックエンドティアコンピューター装置に委譲することが許され、それによって、クライアントコンピューター装置210がその情報およびそれらの資源にアクセスするために、単一の通信参照先、恐らくミドルティアコンピューター装置220をもつことを依然可能にしながら、ミドルティアコンピューター装置220が潜在的に実質的に無制限の量の情報および資源にアクセスすることが可能になる。さらに、今記載されたメカニズムは再帰的な方式で利用することができ、そこでは、例えばバックエンドコンピューター装置230が今度はミドルティアコンピューター装置として動作することができ、さらに、異なるバックエンドコンピューター装置に委譲することができる。そのようなさらなる委譲は、本明細書に記載されたメカニズムに従って実行することができ、類似の方式で評価できる個別に設定可能なポリシーに基づくことができる。
[0040]以前に示したように、図2の例示的なシステム200は単一のバックエンドコンピューター装置230のみを示すが、本明細書に提供された説明は、単一のミドルティアコンピューター装置と複数のバックエンドティアコンピューター装置との間の通信に等しく適用可能であり、そこではミドルティアコンピューター装置はクライアントコンピューター装置用のアグリゲーターとして動作する。例えば、クライアントコンピューター装置210が、例えばバックエンドコンピューター装置230および他のバックエンドティアコンピューター装置を含む複数のバックエンドティアコンピューター装置全体にわたって分散した情報に対する要求を行った場合、ミドルティアコンピューター装置220は、上述した方式および下記でさらに詳細に記載される方式と同様の方式で、そのような他のバックエンドティアコンピューター装置に委譲することができる。次いで、ミドルティアコンピューター装置220は、図2に示され、本明細書における説明で参照されたバックエンドコンピューター装置230を含むことができるそれらの複数のバックエンドティアコンピューター装置から関連情報を取得することができ、クライアントコンピューター装置210用のそのような情報を収集し集約した後、そのような装置によって行われた要求への応答として、クライアントコンピューター装置210にそれを与えることができる。
[0041]他の実施形態では、ミドルティアコンピューター装置220がクライアントコンピューター装置210の代わりに委譲する必要があるバックエンドコンピューター装置230は、クライアントコンピューター装置210の要求に応答するために、必ずしもドメインA290などの同じドメイン内になくてもよい。図3を参照すると、その中に示されたシステム300はマルチドメインシステムを示し、そこではドメインコントローラーコンピューター装置240およびミドルティアコンピューター装置220はドメインA290内に留まるが、ミドルティアコンピューター装置220が委譲する必要があるバックエンドコンピューター装置230は、それ自体のドメインコントローラーコンピューター装置340をもつことができるドメインB390の一部であり得る。ドメインA290のドメインコントローラーコンピューター装置240をドメインB390のドメインコントローラーコンピューター装置340から区別する目的で、簡略記号「DC1」がドメインA290のドメインコントローラー240を参照するために図3で利用され、簡略記号「DC2」がドメインB390のドメインコントローラー340を参照するために図3で利用される。さらに、図2で以前に示された同じ通信および構成要素は、図3のシステム300でそれらの同じ数字識別子を保持する。
[0042]したがって、図3のシステム300が示すように、クライアントコンピューター装置210は、以前に記載された方式でミドルティアコンピューター装置220と依然通信することができ、ミドルティアコンピューター装置220も、以前に記載された方式でドメインコントローラーコンピューター装置240と依然通信することができる。しかしながら、ミドルティアコンピューター装置220から以前に記載された通信225を介して、クライアントコンピューター装置210としてバックエンドコンピューター装置230と通信する要求を受信すると、以前にも記載したように、ドメインコントローラーコンピューター装置240は、破線235によって示されたように、バックエンドコンピューター装置230がドメインコントローラーコンピューター装置240と同じドメイン、すなわちドメインA290内にあるかどうかを判定することができる。図3のシステム300によって表現された特定の例では、図に示すように、バックエンドコンピューター装置230はドメインコントローラーコンピューター装置240と同じドメイン内にはない。
[0043]その結果、ドメインコントローラーコンピューター装置240は、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すかどうかを判定するポリシーを評価するよりむしろ、代わりに、通信315を介してミドルティアコンピューター装置220に、ドメインコントローラーコンピューター装置240によって署名できるトークンまたは他の情報の集合を提供することができる。そのようなトークンまたは他の情報の集合により、ミドルティアコンピューター装置220がその委譲要求を、図3の示された例ではドメインコントローラーコンピューター装置340などの異なるドメインコントローラーコンピューター装置に送ることが可能になる。したがって、一実施形態では、通信315を介して提供されたトークンは、ドメインコントローラーコンピューター装置340に送ることができる。
[0044]通信315によって提供されたトークンを受信すると、ミドルティアコンピューター装置220は、以前に記載された要求225に類似し得る要求325を、ドメインB390内のドメインコントローラーコンピューター装置340に送信することができる。しかしながら、以前に記載された要求225も、ドメインコントローラーコンピューター装置240によって両方とも署名されるクライアント識別子250およびミドルティア識別子260を含んだが、ミドルティアコンピューター装置220がドメインコントローラーコンピューター装置340に送った要求325は、通信315によって受信された、以前に記載されたトークンであり得るトークン320を含むことができ、ドメインコントローラーコンピューター装置240によって署名されるミドルティアコンピューター装置220の識別子330も含むことができる。一実施形態では、通信315を介して提供されたトークン320のように、ミドルティアコンピューター装置220の識別子330は、同様にドメインコントローラーコンピューター装置340に送ることができる。そのような実施形態では、通信315の一部として、または、通信315とともに発生する通信の一部として、ミドルティアコンピューター装置220は、ドメインコントローラーコンピューター装置240から、ドメインコントローラーコンピューター装置240によって署名され、ドメインコントローラーコンピューター装置340に送られる識別子330を、要求またはその他の方法で受信することができる。さらに、一実施形態では、トークン320および識別子330は、例えばドメインコントローラーコンピューター装置240から直接提供された経路、または他の代替の経路を含む代替の経路を介して、ドメインコントローラーコンピューター装置340に送信することができる。
[0045]ドメインコントローラーコンピューター装置340が要求325を受信すると、最初に、ドメインコントローラーコンピューター装置240に関して以前に記載された方式に類似する方式で、要求325によって参照されるバックエンドコンピューター装置230が、ドメインコントローラーコンピューター装置340と同じドメイン、すなわち図3に示された例示的なシステム300におけるドメインB390内にあるかどうかを判定することができる。前述のように、そのような判定は破線335を介して図3で示される。本例では、バックエンドコンピューター装置230はドメインコントローラーコンピューター装置340と同じドメイン、すなわちドメインB390内にあるので、ドメインコントローラーコンピューター装置340は、1つまたは複数のポリシーなどを参照して、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すかどうかを、次に判定することができる。
[0046]そのような判定を行う際に、ドメインコントローラーコンピューター装置340は、要求325の一部としてミドルティアコンピューター装置220によって提供されたトークン320およびミドルティア識別子330が、ドメインコントローラーコンピューター装置240によって適正に署名されたことを最初に確認することができる。例えば、ドメインコントローラーコンピューター装置340は、ドメインコントローラーコンピューター装置340がアクセス権を有するドメインコントローラーコンピューター装置240の公開鍵を参照して、そのような判定を行うことができる。ドメインコントローラーコンピューター装置340は、そのような確認を実行すると、ミドルティアコンピューター装置220がバックエンドコンピューター装置230などによりそれに委譲することを許されるかどうかを判定するために、1つまたは複数のポリシーを調査することができる。以前に示したように、バックエンドコンピューター装置230は自分に委譲することを誰に任せることができるか適正に判定することを任せることができるので、ドメインコントローラーコンピューター装置340によって調査されるポリシーは、バックエンドコンピューター装置230によって確立されたポリシーを含むことができる。また以前に示したように、ドメインコントローラーコンピューター装置340によって調査されるポリシーは、例えば、ミドルティアコンピューター装置220によって実行されるオペレーティングシステム、ミドルティアコンピューター装置220のハードウェア、および、最新のパッチが適用されているか、アンチマルウェアソフトウェアの最新バージョンが利用されているかなどのミドルティアコンピューター装置220のセキュリティ属性を含む、ミドルティアコンピューター装置220の実質的に任意の態様を参照することができる。そのような情報は、ミドルティアコンピューター装置220により通信325を介してドメインコントローラーコンピューター装置340に提供できるミドルティア識別子330に含むことができるか、または別法として、そのような情報は、通信325とともに実行されるドメインコントローラーコンピューター装置340とミドルティアコンピューター装置220の間のさらなる通信交換を介して提供することができる。
[0047]上記の評価に基づいて、ミドルティアコンピューター装置220がバックエンドコンピューター装置230に委譲することを許されるべきとドメインコントローラーコンピューター装置340が判定した場合、ドメインコントローラーコンピューター装置は図3に示された通信345を介して、サービスチケットまたは他の情報の集合を提供することができ、サービスチケットまたは他の情報の集合はドメインコントローラーコンピューター装置340によって署名することができ、ミドルティアコンピューター装置220がバックエンドコンピューター装置230に委譲することを可能にすることができる。以前に記載したように、次いで、ミドルティアコンピューター装置220は、最初はクライアントコンピューター装置210によりミドルティアコンピューター装置220に対して行われた、バックエンドコンピューター装置230に対する要求を、通信355によって示されたように行うことができる。さらに、要求355は、通信345を介してドメインコントローラーコンピューター装置340から提供できたサービスチケット370を含むことができる。
[0048]前述のように、要求355を受信すると、バックエンドコンピューター装置230は、サービスチケット370を評価し、それが、図3に示された図解例内のドメインB390などの、バックエンドコンピューター装置230を含むドメインのドメインコントローラーコンピューター装置340によって適正に署名されたことを確認することができる。バックエンドコンピューター装置230がサービスチケット370を確認した場合、あたかもミドルティアコンピューター装置220がクライアントコンピューター装置210であったかのように、バックエンドコンピューター装置230はミドルティアコンピューター装置220との通信に進むことができる。そのような方式では、ミドルティアコンピューター装置220は、クライアントコンピューター装置210の代わりにバックエンドコンピューター装置230から情報および資源を取得することができ、次いで、クライアントコンピューター装置210によりミドルティアコンピューター装置220に送られた要求に応じて、その情報およびそれらの資源をクライアントコンピューター装置210に与えることができる。
[0049]ある特定の状況では、ミドルティアコンピューター装置220は、最終的にバックエンドコンピューター装置230などのバックエンドティアコンピューター装置に委譲できる前に、2つ以上のドメイン内のドメインコントローラーコンピューター装置と通信する必要があり得る。そのような状況では、ドメインコントローラーコンピューター装置の動作、および当然システム全体の動作は、上述の方式に類似する方式で進めることができる。図4を参照すると、その中に示されたシステム400は、そのようなシステム、ならびにその中に示されたさまざまな構成要素の動作および通信の説明のための一例を提供する。図に示すように、ミドルティアコンピューター装置220は、バックエンドコンピューター装置230に委譲することを試みる際に、最初に通信225を介してドメインコントローラーコンピューター装置240にコンタクトすることができ、ドメインコントローラーコンピューター装置240は、破線235によって示された評価に基づいて、バックエンドコンピューター装置230がドメインコントローラーコンピューター装置240のドメイン、すなわち図4の例示的なシステム400におけるドメインA290内にないことを判定することができる。その結果、前述のように、ドメインコントローラーコンピューター装置240は、通信315などを介してミドルティアコンピューター装置220に、別のドメインコントローラーコンピューター装置に対するトークンを提供することができる。次いで、以前にも記載したように、ミドルティアコンピューター装置220は通信325を介してトークン320およびミドルティア識別子330を、異なるドメイン、すなわち図4に示された例示的なシステム400におけるドメインB390内のドメインコントローラーコンピューター装置340に提供することができる。
[0050]しかしながら、図4の例示的なシステム400では、ミドルティアコンピューター装置220が委譲することを求めるバックエンドコンピューター装置230は、ドメインB390の一部ではない。代わりに、一実施形態では、ドメインB390は、図4に示された例示的なシステム400におけるドメインC490などのバックエンドコンピューター装置230をもつドメインに「近い」ドメインにすぎない可能性がある。ドメインB390のドメインコントローラーコンピューター装置340は、それに対するトークンが生成され、ミドルティアコンピューター装置220に提供されると、ドメインB390がバックエンドコンピューター装置230に「より近かった」とドメインコントローラーコンピューター装置240が信じたので、ドメインコントローラーコンピューター装置240によって選択された可能性がある。一実施形態では、少なくとも、ドメインコントローラーコンピューター装置240は、次のドメインコントローラーコンピューター装置を選択する際に、参照が最終的に一巡してそれ自体に戻ってこないことを保証することができる。図4の例示されたシステム400に戻ると、図4で破線335によって示されたような、ドメインコントローラーコンピューター装置340によるバックエンドコンピューター装置230がそのドメイン内にあるかどうかの判定は、バックエンドコンピューター装置230が、実際にはドメインコントローラーコンピューター装置340と同じドメイン、すなわちドメインB390内にないことを明らかにすることができる。その結果、ドメインコントローラーコンピューター装置240を参照して上述された方式に類似する方式で、ドメインコントローラーコンピューター装置340は、ドメインコントローラーコンピューター装置340によって署名され、ミドルティアコンピューター装置220がバックエンドコンピューター装置230とのその通信においてクライアントコンピューター装置210として動作することを求めることを示すトークンを、ミドルティアコンピューター装置220に提供する応答345をミドルティアコンピューター装置220に提供することができる。前述のように、一実施形態では、通信345を介して提供されたトークンは、ドメインC490内のドメインコントローラーコンピューター装置440などの、別の特定のドメインコントローラーコンピューター装置に送ることができる。前述のように、図4に示されたドメインコントローラーコンピューター装置を区別するために、ドメインコントローラーコンピューター装置440を参照する簡易記号「DC3」が図4で利用される。
[0051]ドメインコントローラーコンピューター装置340から通信345を受信すると、ミドルティアコンピューター装置220は、前述のように、クライアントコンピューター装置210としてバックエンドコンピューター装置230と通信する要求425を、図4で示された例示的なシステム400ではドメインコントローラーコンピューター装置440などの、通信345によって指定されたその他のドメインコントローラーコンピューター装置に送ることができる。要求425は、ドメインコントローラーコンピューター装置340から通信345によって受信された可能性があるトークン420、およびミドルティア識別子430を含むことができる。一実施形態では、ドメインコントローラーコンピューター装置340によって署名されたミドルティア識別子430を取得するために、ミドルティアコンピューター装置220は、ミドルティアコンピューター装置220がドメインコントローラーコンピューター装置340に要求325の一部として提供したミドルティア識別子330に基づいて、ドメインコントローラーコンピューター装置340がそのような識別子430を生成することを要求することができる。ドメインコントローラーコンピューター装置340がドメインコントローラーコンピューター装置240を信用する場合、ドメインコントローラーコンピューター装置340は、以前はドメインコントローラーコンピューター装置240によって署名されたミドルティア識別子330内の情報に、それ自体が署名することによりミドルティア識別子430を生成することができる。前述のように、一実施形態では、ミドルティア識別子430およびトークン420は、はっきり限定してドメインコントローラーコンピューター装置440に送ることができる。
[0052]次いで、ドメインコントローラーコンピューター装置440は、ドメインコントローラーコンピューター装置240およびドメインコントローラーコンピューター装置340に関して以前に記載された方式に類似する方式で進めることができる。詳細には、破線435によって示されたように、ドメインコントローラーコンピューター装置440は、要求425の一部として識別されたバックエンドコンピューター装置230が、実際にはドメインコントローラーコンピューター装置440と同じドメイン、すなわち図4の例示的なシステム400におけるドメインC490内にあることを確認することができる。図4の図解例では、バックエンドコンピューター装置230がドメインコントローラーコンピューター装置440と同じドメイン内にあるので、ドメインコントローラーコンピューター装置440は、例えば、ミドルティアコンピューター装置220が自分に委譲することをバックエンドコンピューター装置230が許すどうかを判定するために、バックエンドコンピューター装置230によって確立されたポリシーを含む1つまたは複数のポリシーの参照に進むことができる。以前に示したように、ドメインコントローラーコンピューター装置440によって調査されたポリシーは、ミドルティアコンピューター装置220の無数の態様を参照することができ、そのような態様に関する情報は、ミドルティアコンピューター装置220により通信425を介してドメインコントローラーコンピューター装置440に提供できるミドルティア識別子430に含むことができるか、または別法として、そのような情報は、通信425とともに実行される、ドメインコントローラーコンピューター装置440とミドルティアコンピューター装置220の間のさらなる通信交換を介して提供することができる。
[0053]前述のように、ミドルティアコンピューター装置220がバックエンドコンピューター装置230に委譲することを許されるべきとドメインコントローラーコンピューター装置440が判定した場合、ドメインコントローラーコンピューター装置440は通信445を介してミドルティアコンピューター装置220に、ドメインコントローラーコンピューター装置440によって署名され、ミドルティアコンピューター装置220がクライアントコンピューター装置210としてバックエンドコンピューター装置230と通信することを可能にできる、サービスチケットを返すことができる。その後、また以前に記載したように、ミドルティアコンピューター装置220は、通信455によって示されたように、バックエンドコンピューター装置230の適切な要求を行うことができ、通信445を介してドメインコントローラーコンピューター装置440によって提供されたサービスチケット470を含むことができる。さらに、1つ、2つおよび3つのドメインにわたって示されただけだが、本明細書に記載されたメカニズムは、当業者によって理解されるように、任意の数のドメインまたは他の同様な分割にわたって等しく適用可能である。
[0054]図5を参照すると、その中に示された流れ図500は、上記のメカニズムに従ってミドルティアコンピューター装置によって実行できる例示的な一連のステップを示す。最初に、ステップ510で、バックエンドティアコンピューター装置の一部である情報または資源に向けられたクライアント要求を受信することができる。また、要求を行うクライアントコンピューター装置は、ドメインコントローラーコンピューター装置によって署名された可能性がある、識別子、トークン、または他の同様な情報などを提供することにより、それ自体を認証することができる。ステップ520で、提供された情報は、ドメインコントローラーコンピューター装置の公開鍵などを使用して検証することができる。ステップ520で、認証が失敗した場合、処理はステップ570に進むことができ、そのポイントでエラーを報告することができる。次いで、該当処理はステップ580で終了することができる。
[0055]あるいは、しかしながら、ステップ520でクライアント認証が成功した場合、クライアントコンピューター装置によって提供された情報、およびミドルティアコンピューター装置についてのさらなる情報は、両方ともドメインコントローラーコンピューター装置によって署名することができ、ステップ530で、クライアントコンピューター装置としてバックエンドティアコンピューター装置と通信する許可に対する要求と一緒に、ドメインコントローラーコンピューター装置に提供することができる。ステップ530での情報の提供に応じて、ドメインコントローラーによって署名できるサービスチケットまたは他の同様な情報の集合は、ステップ540で受信することができる。ステップ540でそのようなサービスチケットが受信された場合、処理はステップ550に進むことができ、サービスチケットは適切なバックエンドティアコンピューター装置に提供されて、510でその要求が受信されたクライアントコンピューター装置の代わりにバックエンドティアコンピューター装置との通信を確立することができる。そのような通信は当業者によく知られている方式で進めることができるが、本説明に該当する処理は、次いで、ステップ580で終了することができる。しかしながら、ステップ540で、サービスチケットが受信されなかった場合、処理はステップ560に進むことができ、そこでサービスチケットの代わりに、クライアントコンピューター装置としてバックエンドティアコンピューター装置と通信する要求を異なるドメインコントローラーコンピューター装置に送ることができる、トークンまたは他の情報の集合を受信することができる。ステップ560で、そのようなトークンが受信された場合、処理はステップ530に戻ることができ、要求は別の異なるドメインコントローラーコンピューター装置に送ることができる。あるいは、ステップ560でトークンが受信されず、ステップ540でサービスチケットが受信されなかった場合、処理はステップ570に進むことができ、該当するエラーをクライアントに報告することができる。そのような方式では、ミドルティアコンピューター装置は、バックエンドティアコンピューター装置と同じドメイン内にあるドメインコントローラーコンピューター装置に達するまで、1つまたは複数のドメインコントローラーコンピューター装置からのバックエンドティアコンピューター装置と通信する許可の要求に進むことができ、次いで、そのドメインコントローラーコンピューター装置は、ミドルティアコンピューター装置が自分に委譲することをバックエンドティアコンピューター装置が許すと1つまたは複数の関連ポリシーが示すかどうかについて決定することができる。
[0056]図6を参照すると、その中に示された流れ図600は、上記に詳細に記載されたメカニズムに従ってドメインコントローラーコンピューター装置によって実行できる例示的な一連のステップを示す。最初に、ステップ610で、クライアントコンピューター装置としてバックエンドティアコンピューター装置と通信する要求を、ミドルティアコンピューター装置から受信することができる。次いで、処理はステップ620に進むことができ、そのポイントで、ステップ610で受信された要求の中で指定されたバックエンドティアコンピューター装置が、流れ図600のステップを実行するコンピューター装置と同じドメイン内にあるかどうかの判定を行うことができる。ステップ620で、バックエンドティアコンピューター装置が同じドメイン内にないと判定された場合、処理はステップ660に進むことができ、そのポイントで、トークンまたは他の情報の集合を生成し、ステップ610でそこから要求が受信されたミドルティアコンピューター装置に送信することができる。ステップ660で生成され送信されたトークンまたは他の情報の集合は、ミドルティアコンピューター装置を別のドメインコントローラーに向ける情報を含むことができ、ミドルティアコンピューター装置がバックエンドティアコンピューター装置とのその通信においてクライアントコンピューター装置として動作することを求めていることを、他のドメインコントローラーに知らせる情報も含むことができる。さらに、上記に詳細に記載したように、ステップ660で生成され送信された情報は、例えば、ドメインコントローラーコンピューター装置によって署名できるさまざまな構成情報を含むミドルティアコンピューター装置の識別子をさらに含むことができる。次いで、図のように、該当処理はステップ670で終了することができる。
[0057]あるいは、ステップ620で、ステップ610で受信された要求が送られたバックエンドティアコンピューター装置が、実際は同じドメイン内にあると判定された場合、処理はステップ630に進むことができ、そのポイントで、ステップ610で受信された要求を行うミドルティアコンピューター装置が自分に委譲することをバックエンドティアコンピューター装置によって許されるかどうかを判定する、1つまたは複数のポリシーの評価を行うことができる。以前に示したように、ステップ630での決定は、関連するバックエンドティアコンピューター装置によって規定され提供された可能性がある、1つまたは複数のポリシーを参照して行うことができる。さらに、また以前に示したように、ステップ630での決定は、要求するミドルティアコンピューター装置が、例えば、ミドルティアコンピューター装置のハードウェアまたはソフトウェアの構成に送られた因子を含む、関連するポリシーによって確立されたいかなる因子にも準拠するかどうかの判定を含むことができる。そのため、ステップ630での決定は、ステップ610でミドルティアコンピューター装置によって提供された情報が、両方ともドメインコントローラーコンピューター装置によって適正に署名されたかどうかの判定を含むことができ、ミドルティアコンピューター装置が関連するポリシーによって参照された因子に準拠することを示す。あるいは、また以前に示したように、ステップ630での判定は、ミドルティアコンピューター装置が関連するポリシーによって参照された因子に準拠するかどうかを判定するために、ミドルティアコンピューター装置とのさらなる通信を含むことができるが、説明を簡単にするために、そのような別の通信は図6の流れ図600で詳細には示されない。
[0058]ステップ630で、ミドルティアコンピューター装置がバックエンドティアコンピューター装置に委譲することを許されると判定された場合、処理はステップ640に進むことができ、そのポイントで、バックエンドティアコンピューター装置とのその通信においてクライアントコンピューター装置として動作するミドルティアコンピューター装置の許可を認めるサービスチケットまたは他の情報を生成し、ミドルティアコンピューター装置に送信することができる。次いで、該当処理はステップ670で終了することができる。あるいは、ステップ630で、ミドルティアコンピューター装置がバックエンドティアコンピューター装置に委譲することを関連するポリシーが許可しなかった場合、処理はステップ650に進むことができ、そのポイントで、エラーをミドルティアコンピューター装置に報告することができる。次いで、該当処理はステップ670で終了することができる。
[0059]上記の説明から理解できるように、別のコンピューター装置に委譲する1つのコンピューター装置の能力が委譲される先のコンピューター装置によって知らされる委譲メカニズムが提示された。本明細書に記載された主題の多くの実現可能な変形形態に鑑みて、我々は、以下の特許請求の範囲およびそれらの均等物の範囲内にあり得るようなすべての実施形態を我々の発明と主張する。
Claims (15)
- 通信を可能とするコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体であって、前記コンピューター実行可能命令が実現するステップは、
対象が属するドメインのドメインコントローラーが、第1のドメイン内のミドルティアコンピューター装置から、前記対象に対してクライアントとして通信するための通信要求を受信するステップと、
前記対象がコンピューター実行可能命令を実行するコンピューター装置と同一のドメイン内にあるかどうかを決定するステップと、
前記対象と通信するための要件を含む1つまたは複数のポリシーを識別するステップであって、前記1つまたは複数のポリシーは前記対象によって確立され、前記対象が属するドメインのドメインコントローラーによって実行されるステップと、
前記ミドルティアコンピューター装置と前記第1のドメインのドメインコントローラーの設定情報を受信するステップと、
受信した前記ミドルティアコンピューター装置と前記第1のドメインのドメインコントローラーの設定情報に基づいて、前記識別された1つまたは複数のポリシーが満足されるかどうかを判定するステップと、
前記通信要求を許可する署名されたサービスチケットを生成するステップと、
を含むコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。 - 前記1つまたは複数のポリシーのうちの少なくとも1つのポリシーが、前記対象によって確立され、実行され、制御される、請求項1に記載のコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
- 前記識別された1つまたは複数のポリシーが満足されるかどうかを判定するステップが、更に、前記1つまたは複数のポリシーに関連付けられた情報を要求するステップを含む、請求項1又は2に記載のコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
- 前記コンピューター実行可能命令が実現するステップとして更に、署名された識別子を受信するステップ、前記署名を確認するステップ、および、前記確認が成功した場合前記受信された識別子に署名するステップを含む、請求項1〜3のいずれか一項に記載のコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
- 前記コンピューター実行可能命令が実現するステップとして更に、前記対象とクライアントとして通信を行うステップを含む、請求項4に記載のコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
- コンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体であって、前記コンピューター実行可能命令が実現するステップは、
対象に対してクライアントとして通信するための通信要求を提示するステップと、
前記コンピューター実行可能命令を実行するコンピューター装置の識別情報と、クライアントの識別情報を提示するステップと、
システムの設定ステータスが用いられるかについての情報を含む設定情報を送ることによって、ポリシーが満足されるかどうかを確認することを可能とするステップと、
前記通信要求の対象が、署名されたトークンが受信されるドメインと異なるドメインに属するときに、通信要求についての情報を含む前記署名されたトークンを受信するステップと、
前記署名されたトークンを、同一ドメインに属するドメインコントローラーに、前記対象として提示するステップと、
前記ポリシーが満足され、前記対象と同一ドメインに属するドメインコントローラーによって実行されるときに、前記通信要求を許可するサービスチケットを受信するステップと、
を含むコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。 - 前記コンピューター実行可能命令が実現するステップとして更に、前記署名されたトークンが受信されたときに、前記コンピューター実行可能命令を実行するコンピューター装置の識別情報に対して署名を行うよう要求をすることを実行するステップを含む、請求項6記載のコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
- 前記署名されたトークンを、同一ドメインに属するドメインコントローラーに、前記対象として提示するステップが、更に、前記署名されたコンピューター実行可能命令を実行するコンピューター装置の識別情報をも提示することを実行するステップを含む、請求項7記載のコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
- 前記コンピューター実行可能命令が実現するステップとして更に、前記コンピューター実行可能命令を実行するコンピューターの識別情報を要求することを実行するステップを含む、請求項6〜8のいずれか一項に記載のコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
- クライアントコンピューター装置と、
第1のバックエンドコンピューター装置と第1のドメインコントローラーコンピューター装置とを含む、コンピューター装置のバックエンドティアであって、前記第1のバックエンドコンピューター装置と前記第1のドメインコントローラーコンピューター装置は同一の第1のドメインに属するものと、
第2のドメインコントローラーコンピューター装置とミドルティアコンピューター装置とを含む、コンピューター装置のミドルティアであって、前記ミドルティアコンピューター装置はステップを実行するコンピューター実行可能命令を含み、前記第2のドメインコントローラーコンピューター装置と前記ミドルティアコンピューター装置は同一の第2のドメインに属するものであって、前記ミドルティアコンピューター装置が含むコンピューター実行可能命令が実行するステップは、
前記第1のバックエンドコンピューター装置と通信することを前記ミドルティアコンピューター装置が求めることを、第2のドメインコントローラーコンピューター装置に示すステップと、
前記ミドルティアコンピューター装置の識別子を前記第2のドメインコントローラーコンピューター装置に提供するステップと、
前記第2のドメインコントローラーコンピューター装置から、前記ミドルティアコンピューター装置が前記クライアントコンピューター装置として前記第1のバックエンドコンピューター装置と通信することを求めることを示すトークンを受信するステップと、
前記トークンを第1のドメインコントローラーコンピューター装置に与えるステップと、を含み、
前記第1のドメインコントローラーコンピューター装置はステップを実行するコンピューター実行可能命令を含み、前記第1のドメインコントローラーコンピューター装置が含むコンピューター実行可能命令が実行するステップは、
前記第1のバックエンドコンピューター装置が前記第1のドメインコントローラーコンピューター装置も含む前記ドメイン内にあるかどうかを決定するステップと、
前記第1のバックエンドコンピューター装置と通信するための要件を含む1つまたは複数のポリシーを識別するステップであって、前記1つまたは複数のポリシーが前記第1のバックエンドコンピューター装置によって確立されているステップと、
前記1つまたは複数のポリシーの少なくとも一部が満たされているかどうか、前記トークンに基づいて決定するステップと、
前記1つまたは複数のポリシーの少なくとも一部が満たされているかどうかに基づいて、サービスチケットを生成し、署名し、前記ミドルティアコンピューター装置に対し送付するステップと
を含むことを特徴とするシステム。 - 前記1つまたは複数のポリシーのうちの少なくとも1つのポリシーが、前記第1のバックエンドコンピューター装置によって確立され、制御される、請求項10に記載のシステム。
- 前記ミドルティアコンピューター装置の識別子が、前記第2のドメインコントローラーコンピューター装置によって署名され、前記第1のドメインコントローラーコンピューター装置が、第2のドメインコントローラーコンピューター装置による署名を確認し、前記確認が成功した場合に前記ミドルティアコンピューター装置の識別子に対し署名を行うステップを実行するコンピューター実行可能命令を含む、請求項10又は11に記載のシステム。
- 前記第1のドメインコントローラーコンピューター装置が含むコンピューター実行可能命令が実行するステップは更に、前記確認が成功した場合に、第3のドメインコントローラーコンピューター装置に対して指示を行うステップを含む請求項12に記載のシステム。
- 前記ミドルティアコンピューター装置が含むコンピューター実行可能命令が実行するステップは更に、前記第1のドメインコントローラーコンピューター装置に対し前記ミドルティアコンピューター装置の識別子に署名を行うよう要求するステップと、前記署名された前記ミドルティアコンピューター装置の識別子を前記第2のドメインコントローラーコンピューター装置に提示するステップを含む、請求項10〜13のいずれか一項に記載のシステム。
- ミドルティアコンピューター装置がバックエンドコンピューター装置とクライアントとして通信を行うことを可能とするコンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体であって、前記コンピューター実行可能命令が実現するステップは、
前記バックエンドコンピューター装置がコンピューター実行可能命令を実行するコンピューター装置と同一のドメイン内にあるかどうかを決定するステップと、
前記バックエンドコンピューター装置と通信するための要件を含む1つまたは複数のポリシーを識別するステップであって、前記1つまたは複数のポリシーは前記バックエンドコンピューター装置によって確立され、前記バックエンドコンピューター装置が属するドメインのドメインコントローラーによって実行されるステップと、
前記ミドルティアコンピューター装置が、前記1つまたは複数のポリシーを満足しているか判定するステップであって、前記ミドルティアコンピューター装置が、前記1つまたは複数のポリシーを満足しているか判定するステップは、前記ミドルティアコンピューター装置に前記ポリシーに関連する情報を要求するステップと、どのようなオペレーティングシステムを用いているかに関する情報を含む、前記ミドルティアコンピューター装置の設定情報を受信するステップと、前記どのようなオペレーティングシステムを用いているかに関する情報に基づいて、通信を許可するか否かを決定するステップを含み、
前記ミドルティアコンピューター装置が前記バックエンドコンピューター装置とクライアントとして通信を行うことを許可する署名されたサービスチケットを生成するステップとを含み、
更に、前記バックエンドコンピューター装置が前記ドメイン内にある場合に、前記バックエンドコンピューター装置と通信するための要件を含む1つまたは複数のポリシーを識別するステップ、前記ミドルティアコンピューター装置が、前記1つまたは複数のポリシーを満足しているか判定するステップ、および、前記ミドルティアコンピューター装置が前記バックエンドコンピューター装置とクライアントとして通信を行うことを許可する署名されたサービスチケットを生成するステップを含む、
コンピューター実行可能命令を記憶したコンピューター読み取り可能な記憶媒体。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AU2010246354 | 2010-11-22 | ||
| AU2010246354A AU2010246354B1 (en) | 2010-11-22 | 2010-11-22 | Back-end constrained delegation model |
| US12/965,445 US9118672B2 (en) | 2010-11-22 | 2010-12-10 | Back-end constrained delegation model |
| US12/965,445 | 2010-12-10 | ||
| PCT/US2011/060614 WO2012071207A2 (en) | 2010-11-22 | 2011-11-14 | Back-end constrained delegation model |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2014511511A JP2014511511A (ja) | 2014-05-15 |
| JP2014511511A5 JP2014511511A5 (ja) | 2014-11-13 |
| JP5865386B2 true JP5865386B2 (ja) | 2016-02-17 |
Family
ID=45465361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013540969A Active JP5865386B2 (ja) | 2010-11-22 | 2011-11-14 | バックエンド制約委譲モデル |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US9118672B2 (ja) |
| EP (1) | EP2643766B1 (ja) |
| JP (1) | JP5865386B2 (ja) |
| KR (1) | KR20140003426A (ja) |
| AU (2) | AU2010246354B1 (ja) |
| BR (1) | BR112013012537A2 (ja) |
| CA (1) | CA2815690A1 (ja) |
| HK (1) | HK1168697A1 (ja) |
| RU (1) | RU2589333C2 (ja) |
| WO (1) | WO2012071207A2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9148285B2 (en) | 2013-01-21 | 2015-09-29 | International Business Machines Corporation | Controlling exposure of sensitive data and operation using process bound security tokens in cloud computing environment |
| GB2512062A (en) | 2013-03-18 | 2014-09-24 | Ibm | A method for secure user authentication in a dynamic network |
| US8745394B1 (en) | 2013-08-22 | 2014-06-03 | Citibank, N.A. | Methods and systems for secure electronic communication |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6367009B1 (en) | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US7698381B2 (en) | 2001-06-20 | 2010-04-13 | Microsoft Corporation | Methods and systems for controlling the scope of delegation of authentication credentials |
| US7185359B2 (en) | 2001-12-21 | 2007-02-27 | Microsoft Corporation | Authentication and authorization across autonomous network systems |
| US7401235B2 (en) * | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
| US20040073668A1 (en) | 2002-10-10 | 2004-04-15 | Shivaram Bhat | Policy delegation for access control |
| GB2410658B (en) * | 2002-10-14 | 2006-03-01 | Toshiba Res Europ Ltd | Methods and systems for flexible delegation |
| JP2004272380A (ja) * | 2003-03-05 | 2004-09-30 | Nippon Telegr & Teleph Corp <Ntt> | グループ認証方法及びシステム、サービス提供装置、認証装置、サービス提供プログラム及びそれを記録した記録媒体、認証プログラム及びそれを記録した記録媒体 |
| US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
| US7546640B2 (en) | 2003-12-10 | 2009-06-09 | International Business Machines Corporation | Fine-grained authorization by authorization table associated with a resource |
| US7555569B1 (en) * | 2004-02-02 | 2009-06-30 | Emc Corporation | Quick configuration status |
| US7805527B2 (en) | 2005-06-29 | 2010-09-28 | Microsoft Corporation | Using a variable identity pipe for constrained delegation and connection pooling |
| US7984493B2 (en) * | 2005-07-22 | 2011-07-19 | Alcatel-Lucent | DNS based enforcement for confinement and detection of network malicious activities |
| US20090119504A1 (en) | 2005-08-10 | 2009-05-07 | Riverbed Technology, Inc. | Intercepting and split-terminating authenticated communication connections |
| US7627593B2 (en) * | 2005-08-25 | 2009-12-01 | International Business Machines Corporation | Method and system for unified support of multiple system management information models in a multiple host environment |
| US8200971B2 (en) | 2005-09-23 | 2012-06-12 | Cisco Technology, Inc. | Method for the provision of a network service |
| US8112789B2 (en) * | 2005-10-11 | 2012-02-07 | Citrix Systems, Inc. | Systems and methods for facilitating distributed authentication |
| US7913084B2 (en) * | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
| US8381306B2 (en) | 2006-05-30 | 2013-02-19 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
| US20070294404A1 (en) | 2006-06-15 | 2007-12-20 | International Business Machines Corporation | Method and system for authorization and access control delegation in an on demand grid environment |
| JP4882546B2 (ja) * | 2006-06-28 | 2012-02-22 | 富士ゼロックス株式会社 | 情報処理システムおよび制御プログラム |
| US8201215B2 (en) * | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
| US20080066147A1 (en) | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
| JP2008071226A (ja) * | 2006-09-15 | 2008-03-27 | Nec Corp | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム |
| US7853987B2 (en) | 2006-10-10 | 2010-12-14 | Honeywell International Inc. | Policy language and state machine model for dynamic authorization in physical access control |
| JP4314267B2 (ja) * | 2006-11-30 | 2009-08-12 | キヤノン株式会社 | アクセス制御装置およびアクセス制御方法及び印刷システム |
| US8190755B1 (en) * | 2006-12-27 | 2012-05-29 | Symantec Corporation | Method and apparatus for host authentication in a network implementing network access control |
| CN101262342A (zh) | 2007-03-05 | 2008-09-10 | 松下电器产业株式会社 | 分布式授权与验证方法、装置及系统 |
| US8386776B2 (en) * | 2007-09-25 | 2013-02-26 | Nec Corporation | Certificate generating/distributing system, certificate generating/distributing method and certificate generating/distributing program |
| US20090158407A1 (en) * | 2007-12-13 | 2009-06-18 | Fiberlink Communications Corporation | Api translation for network access control (nac) agent |
| US8166516B2 (en) | 2008-03-27 | 2012-04-24 | Microsoft Corporation | Determining effective policy |
| US8364970B2 (en) * | 2009-02-18 | 2013-01-29 | Nokia Corporation | Method and apparatus for providing enhanced service authorization |
-
2010
- 2010-11-22 AU AU2010246354A patent/AU2010246354B1/en active Active
- 2010-12-10 US US12/965,445 patent/US9118672B2/en active Active
-
2011
- 2011-11-14 AU AU2011332150A patent/AU2011332150B2/en active Active
- 2011-11-14 KR KR1020137012975A patent/KR20140003426A/ko not_active Application Discontinuation
- 2011-11-14 BR BR112013012537A patent/BR112013012537A2/pt not_active Application Discontinuation
- 2011-11-14 JP JP2013540969A patent/JP5865386B2/ja active Active
- 2011-11-14 RU RU2013123353/08A patent/RU2589333C2/ru not_active IP Right Cessation
- 2011-11-14 EP EP11842889.5A patent/EP2643766B1/en active Active
- 2011-11-14 WO PCT/US2011/060614 patent/WO2012071207A2/en active Application Filing
- 2011-11-14 CA CA2815690A patent/CA2815690A1/en not_active Abandoned
-
2012
- 2012-09-07 HK HK12108787.6A patent/HK1168697A1/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP2643766B1 (en) | 2019-07-31 |
| KR20140003426A (ko) | 2014-01-09 |
| WO2012071207A3 (en) | 2012-07-19 |
| AU2011332150A1 (en) | 2013-05-02 |
| AU2011332150B2 (en) | 2015-04-30 |
| RU2013123353A (ru) | 2014-11-27 |
| AU2010246354B1 (en) | 2011-11-03 |
| EP2643766A2 (en) | 2013-10-02 |
| JP2014511511A (ja) | 2014-05-15 |
| WO2012071207A2 (en) | 2012-05-31 |
| EP2643766A4 (en) | 2017-08-09 |
| RU2589333C2 (ru) | 2016-07-10 |
| US9118672B2 (en) | 2015-08-25 |
| CA2815690A1 (en) | 2012-05-31 |
| HK1168697A1 (zh) | 2013-01-04 |
| US20120131661A1 (en) | 2012-05-24 |
| BR112013012537A2 (pt) | 2016-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8918856B2 (en) | Trusted intermediary for network layer claims-enabled access control | |
| US9055052B2 (en) | Method and system for improving storage security in a cloud computing environment | |
| US7774824B2 (en) | Multifactor device authentication | |
| US9344432B2 (en) | Network layer claims based access control | |
| US11418499B2 (en) | Password security | |
| US11196733B2 (en) | System and method for group of groups single sign-on demarcation based on first user login | |
| US20220294646A1 (en) | Identity management for software components | |
| US9323911B1 (en) | Verifying requests to remove applications from a device | |
| US11792184B2 (en) | Autopilot re-enrollment of managed devices | |
| EP3570517B1 (en) | Authentication technique making use of emergency credential | |
| US20060248578A1 (en) | Method, system, and program product for connecting a client to a network | |
| JP5865386B2 (ja) | バックエンド制約委譲モデル | |
| US10158623B2 (en) | Data theft deterrence | |
| TW201237639A (en) | Back-end constrained delegation model | |
| CN102438014B (zh) | 后端受限委托模型 | |
| US20220311777A1 (en) | Hardening remote administrator access | |
| JP2023031804A (ja) | 機器制御装置、管理装置、機器管理システム、機器制御方法、及びプログラム | |
| JP2018036801A (ja) | 情報処理装置、情報処理方法、およびコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140925 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140925 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20150522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150819 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150826 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151110 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151201 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151225 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5865386 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |