JP6161827B2 - クライアントアプリケーションがコンテンツ管理システム上のユーザアカウントにアクセスすることの予備認証 - Google Patents

クライアントアプリケーションがコンテンツ管理システム上のユーザアカウントにアクセスすることの予備認証 Download PDF

Info

Publication number
JP6161827B2
JP6161827B2 JP2016545756A JP2016545756A JP6161827B2 JP 6161827 B2 JP6161827 B2 JP 6161827B2 JP 2016545756 A JP2016545756 A JP 2016545756A JP 2016545756 A JP2016545756 A JP 2016545756A JP 6161827 B2 JP6161827 B2 JP 6161827B2
Authority
JP
Japan
Prior art keywords
client
identification tag
web browser
request
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016545756A
Other languages
English (en)
Other versions
JP2016533604A (ja
Inventor
フイ グェン,
フイ グェン,
ジョシュ カプラン,
ジョシュ カプラン,
ビラージ モディ,
ビラージ モディ,
リツ ヴィンセント,
リツ ヴィンセント,
アンドリュー ボルツ,
アンドリュー ボルツ,
デイビッド ユーレスティ,
デイビッド ユーレスティ,
Original Assignee
ドロップボックス, インコーポレイテッド
ドロップボックス, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ドロップボックス, インコーポレイテッド, ドロップボックス, インコーポレイテッド filed Critical ドロップボックス, インコーポレイテッド
Publication of JP2016533604A publication Critical patent/JP2016533604A/ja
Application granted granted Critical
Publication of JP6161827B2 publication Critical patent/JP6161827B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Description

関連出願へのクロスリファレンス
本願は、2013年12月19日に出願された米国特許出願第14/135,332号の優先権の利益を享受する。この出願は、参照によりその全体が本明細書に明示的に組み入れられる。
技術分野
本技術はクライアントデバイスにクライアント側アプリケーションをインストールすることに関し、特にクライアント側アプリケーションがインストールに際し指定されたユーザアカウントにアクセスすることを予備的に認証することに関する。
クラウドストレージアカウントにより、ユーザはオンラインユーザアカウントに自己のコンテンツアイテムを格納することが可能となる。そのようなコンテンツアイテムはネットワーク接続内の任意の計算デバイスからアクセス可能である。ユーザは写真や音楽や書類などのコンテンツアイテムを計算デバイスから自己のオンラインユーザアカウントにアップロードでき、後に異なる計算デバイスからそのコンテンツアイテムにアクセスできる。
ユーザアカウントにアクセスするために、ユーザはクライアントデバイスにインストールされているウェブブラウザアプリケーションを使用することができる。例えば、ユーザはウェブブラウザを使用してコンテンツ管理システムにアクセスし、ログイン資格証明を提供することでユーザアカウントにアクセスすることができる。あるいはまた、ユーザはクライアント側アプリケーションを使用してコンテンツ管理システムのユーザアカウントにアクセスすることができる。例えば、ユーザはウェブブラウザアプリケーションを使用してコンテンツ管理システムからクライアントインストーラをダウンロードすることができる。クライアントインストーラは、クライアントアプリケーションをインストールするために使用可能である。
現状のシステムでは、たとえユーザがウェブブラウザアプリケーションを使用して現在ログイン中であっても、またはクライアント側アプリケーションをインストールするための要求を行うときにユーザがログインしていても、クライアント側アプリケーション上でユーザアカウントにログインするために再度ログイン資格証明を入力する必要がある。ユーザにユーザアカウントへ自動的にログインさせるよう構成されたクライアントインストーラを提供することでユーザがログイン資格証明を再度入力する必要性を除去できるが、これはクライアントインストーラが異なるユーザによって使用された場合にセキュリティ上のリスクを生じさせる。したがって、改良が必要である。
本開示の追加的な特徴および利点は以下に説明されるであろうし、また部分的にはその説明から明らかであろうし、また本明細書で開示された原理の実施により学習されるであろう。本開示の特徴および利点は、添付の請求項において具体的に示す機器および組み合わせによって実現され、得られうるものである。本開示のこれらの特徴およびその他の特徴は、以下の記述および添付の請求項からさらに十分に明らかになるか、または本明細書で述べた原理の実施によっても分かるものである。
クライアント側アプリケーションがコンテンツ管理システムのユーザアカウントにアクセスすることを予備認証するためのシステム、方法、および非一時的コンピュータ可読保持媒体が開示される。ユーザはウェブブラウザアプリケーションを使用してコンテンツ管理システムのユーザアカウントにアクセスでき、ユーザアカウントにログイン中にクライアント側アプリケーションをインストールすることを要求できる。クライアント側アプリケーションもまたユーザアカウントにアクセスするために使用可能である。
コンテンツ管理システムは、クライアント側アプリケーションがインストールに際し要求元ユーザのユーザアカウントに、ユーザにログイン資格認証を再度提供するよう要求することなしに自動的にログインすることを予備的に認可してもよい。これを達成するために、コンテンツ管理システムは、クライアントインストーラとユーザアカウントとをリンクする情報タグでクライアントインストーラをタグ付けしてもよい。クライアントインストーラは、クライアントデバイスにクライアント側アプリケーションをインストールし、識別タグをインストールされたクライアント側アプリケーションに渡すよう構成されてもよい。クライアント側アプリケーションは識別タグをコンテンツ管理システムに送信し、コンテンツ管理システムは識別タグを使用してリンクされたユーザアカウントを特定し、クライアント側アプリケーションにそのユーザアカウントへログインさせてもよい。
コンテンツ管理システムはいくつかの検証基準を実装することで、クライアント側アプリケーションが適切なユーザによってインストールされた場合にのみ予備認証されることをより確実にしてもよい。検証基準は、クライアント側アプリケーションを予備認証するための識別タグの使用可能回数を制限することと、識別タグが有効である期間を制限することと、および/または識別タグを使用可能なIPアドレスを制限することと、を含んでもよい。
コンテンツ管理システムはさらに、識別タグの使用をユーザアカウントに関連付けられたクライアントデバイスに制限してもよい。コンテンツ管理システムは、ウェブブラウザアプリケーションによってキャッシュされたデータを使用して、ウェブブラウザアプリケーションが過去にユーザアカウントにアクセスするために使用されたかを判定してもよい。キャッシュされたデータを集めるために、コンテンツ管理システムは、クライアント側アプリケーションのインストールを要求するために使用されたウェブブラウザアプリケーションを特定するウェブブラウザ識別子で、クライアントインストーラをタグ付けしてもよい。インストールされたクライアント側アプリケーションはウェブブラウザ識別子を使用してウェブブラウザアプリケーションを特定し、キャッシュされたデータをコンテンツ管理システムに送信してもよい。
本開示の上記およびその他の利点および特徴は、添付の図面に示す特定の実施の形態を参照することにより明らかになるであろう。これらの図面は、本開示の例示的な実施の形態を示しているだけであり、それゆえ、本開示の範囲を限定しているとみなされてはならないことを理解した上で、添付の図面を用いてさらに具体的かつ詳細に本明細書の原理を記述して説明する。
本発明に係る、デバイスおよびネットワークの例示的な構成を示す。
クライアント側アプリケーションを予備的に認証することの例示的な方法の実施の形態を示す。
クライアント側アプリケーションを予備的に認証するための検証基準を実装することの例示的な方法の実施の形態を示す。
検証基準が満たされているか否かを判定することの例示的な方法の実施の形態を示す。
図5Aおよび図5Bは、クライアント側アプリケーションを予備的に認証することの例示的なシステムの実施の形態を示す。 図5Aおよび図5Bは、クライアント側アプリケーションを予備的に認証することの例示的なシステムの実施の形態を示す。
図6Aおよび図6Bは、例示的なありうるシステムの実施の形態を示す。 図6Aおよび図6Bは、例示的なありうるシステムの実施の形態を示す。
本開示のさまざまな実施の形態について、以下に詳しく論じる特定の実装について論じているが、これは説明のみを目的として行われていることを理解されたい。当業者は、本開示の趣旨および範囲から逸脱することなく他のコンポーネントや構成が用いられうることを認識するであろう。
開示される技術は、クライアント側アプリケーションがコンテンツ管理システムのユーザアカウントにアクセスすることを予備認証することに対する、技術分野におけるニーズに対応する。ユーザはウェブブラウザアプリケーションを使用してコンテンツ管理システムのユーザアカウントにアクセスでき、ユーザアカウントにログイン中にクライアント側アプリケーションをインストールすることを要求できる。クライアント側アプリケーションもまたユーザアカウントにアクセスするために使用可能である。
コンテンツ管理システムは、クライアント側アプリケーションがインストールに際し要求元ユーザのユーザアカウントに、ユーザにログイン資格認証を再度提供するよう要求することなしに自動的にログインすることを予備的に認可してもよい。これを達成するために、コンテンツ管理システムは、クライアントインストーラとユーザアカウントとをリンクする情報タグでクライアントインストーラをタグ付けしてもよい。クライアントインストーラは、クライアントデバイスにクライアント側アプリケーションをインストールし、識別タグをインストールされたクライアント側アプリケーションに渡すよう構成されてもよい。クライアント側アプリケーションは識別タグをコンテンツ管理システムに送信し、コンテンツ管理システムは識別タグを使用してリンクされたユーザアカウントを特定し、クライアント側アプリケーションにそのユーザアカウントへログインさせてもよい。
コンテンツ管理システムはいくつかの検証基準を実装することで、クライアント側アプリケーションが適切なユーザによってインストールされた場合にのみ予備認証されることをより確実にしてもよい。検証基準は、クライアント側アプリケーションを予備認証するための識別タグの使用可能回数を制限することと、識別タグが有効である期間を制限することと、および/または識別タグを使用可能なIPアドレスを制限することと、を含んでもよい。
コンテンツ管理システムはさらに、識別タグの使用をユーザアカウントに関連付けられたクライアントデバイスに制限してもよい。コンテンツ管理システムは、ウェブブラウザアプリケーションによってキャッシュされたデータを使用して、ウェブブラウザアプリケーションが過去にユーザアカウントにアクセスするために使用されたかを判定してもよい。キャッシュされたデータを集めるために、コンテンツ管理システムは、クライアント側アプリケーションのインストールを要求するために使用されたウェブブラウザアプリケーションを特定するウェブブラウザ識別子で、クライアントインストーラをタグ付けしてもよい。インストールされたクライアント側アプリケーションはウェブブラウザ識別子を使用して特定されたウェブブラウザアプリケーションを開始し、キャッシュされたデータをコンテンツ管理システムに送信してもよい。
図1には、例示的なシステム構成100が示される。このシステム構成100では、複数の電子デバイスが、コンテンツや他のデータを交換する目的でネットワークを介して通信する。システムは、図1に示されるように、ワイドエリアネットワーク上で使用されるよう構成されてもよい。しかしながら、本原理は、電子デバイス間の通信を促進する様々な種類のネットワーク構成に適用可能である。例えば、図1のシステム100の各コンポーネントは、ネットワークにおいて局在的または分散的に実装されてもよい。
システム100では、直接および/または間接通信によりネットワーク104と接続された複数のクライアントデバイス102、102、...、102(「102」と総称する)を通じて、ユーザはコンテンツ管理システム106と相互に作用してもよい。コンテンツ管理システム106は、デスクトップコンピュータや、モバイルコンピュータや、携帯電話、スマートフォン、タブレットなどのモバイル通信デバイスや、スマートテレビジョンや、セットトップボックスや、他の任意のネットワーク可能な計算デバイスなどの多種多様なクライアントデバイスからの接続をサポートしてもよい。クライアントデバイス102のタイプや性能やオペレーティングシステムなどはいろいろであってよい。さらにコンテンツ管理システム106は、複数のクライアントデバイス102からの接続を同時に受け付けて相互作用を行ってもよい。
クライアントデバイス102にインストールされたクライアント側アプリケーションを介して、ユーザはコンテンツ管理システム106と相互に作用してもよい。クライアント側アプリケーションはコンテンツ管理システム用のコンポーネントを含んでもよい。例えば、コンポーネントはスタンドアローンアプリケーションやひとつ以上のアプリケーションプラグインやブラウザエクステンションであってもよい。しかしながら、クライアントデバイス102に存在しコンテンツ管理システム106と通信するよう構成されたウェブブラウザアプリケーションなどの第3者アプリケーションを介して、ユーザはコンテンツ管理システム106と相互に作用してもよい。いずれの場合でも、クライアント側アプリケーションまたは第3者アプリケーションは、ユーザがコンテンツ管理システム106と相互作用するためのユーザインタフェース(UI)を提供してもよい。例えば、ファイルシステムと統合されたクライアント側アプリケーションを介して、またはウェブブラウザアプリケーションを使用して表示されたウェブページを介して、ユーザはコンテンツ管理システム106と相互に作用してもよい。
コンテンツ管理システム106は、ユーザによるコンテンツの格納や、コンテンツの取得、変更、ブラウズ、および/または共有などの種々のコンテンツ管理タスクの実行を可能としてもよい。さらにコンテンツ管理システム106は、ユーザが複数のクライアントデバイス102からコンテンツにアクセスすることを可能としてもよい。例えば、クライアントデバイス102はネットワーク104を介してコンテンツ管理システム106にコンテンツをアップロードしてもよい。そのコンテンツは後に、同じクライアントデバイス102または他のクライアントデバイス102を使用してコンテンツ管理システム106から取得されてもよい。
種々のコンテンツ管理サービスをより容易にするために、ユーザはコンテンツ管理システム106にアカウントを生成してもよい。アカウント情報はユーザアカウントデータベース150に維持されてもよい。ユーザアカウントデータベース150は、登録ユーザについてのプロファイル情報を保持してもよい。ある場合には、ユーザプロファイルの個人情報はユーザ名および/または電子メールアドレスのみであってもよい。しかしながら、コンテンツ管理システム106は追加的なユーザ情報を受け入れるよう構成されてもよい。
ユーザアカウントデータベース150は、有料/無料の別などのアカウントタイプや、ファイル編集履歴などの利用情報や、許されている最大ストレージスペースや、利用されているストレージスペースや、コンテンツストレージ位置や、セキュリティ設定や、個人構成設定や、コンテンツ共有データなどのアカウント管理情報を含んでもよい。アカウント管理モジュール124は、ユーザアカウントデータベース150におけるユーザアカウントの詳細を更新および/または取得するよう構成されてもよい。アカウント管理モジュール124は、コンテンツ管理システム106の他の任意の数のモジュールと相互に作用するよう構成されてもよい。
アカウントは、そのアカウントで認証されたひとつ以上のクライアントデバイス102から、デジタルデータやドキュメントやテキストファイルや音声ファイルやビデオファイルなどのコンテンツを格納するために使用されてもよい。コンテンツは、異なる振る舞いを伴う種々のタイプのフォルダやコンテンツアイテムをグループ化する他のメカニズムを含んでもよい。例えば、アカウントは、任意のユーザからアクセス可能なパブリックフォルダを含んでもよい。パブリックフォルダにはウェブアクセス可能なアドレスが割り当てられてもよい。ウェブアクセス可能なアドレスへのリンクを使用してパブリックフォルダのコンテンツにアクセスしてもよい。他の例では、アカウントは、写真に適する特定の属性やアクションを提供する写真用の写真フォルダや、音声ファイルを再生する能力を提供し他の音声関連アクションを実行する音声フォルダや、他の特殊用途フォルダを含んでもよい。アカウントは、複数のユーザアカウントとリンクされそれらのアカウントから利用可能な共有フォルダまたはグループフォルダを含んでもよい。ある共有フォルダについての複数のユーザに対する複数のパーミッションは異なっていてもよい。
コンテンツはコンテンツストレージ160に保持されてもよい。コンテンツストレージ160は、ストレージデバイスや、複数のストレージデバイスや、サーバであってもよい。あるいはまた、コンテンツストレージ160は、ひとつ以上の通信ネットワークを介してアクセス可能なクラウドストレージプロバイダまたはネットワークストレージであってもよい。コンテンツ管理システム106がクライアントデバイス102に対して複雑さと詳細とを隠すことで、クライアントデバイス102は、コンテンツアイテムがコンテンツ管理システム106によって正確にどこに保持されているのかを知る必要はない。ある変形例では、コンテンツ管理システム106は、クライアントデバイス102上に現れるフォルダ階層と同じフォルダ階層でコンテンツアイテムを保持してもよい。しかしながら、コンテンツ管理システム106は自身の順序や構成や階層でコンテンツアイテムを保持してもよい。コンテンツ管理システム106は、ネットワークアクセス可能ストレージ(SAN)デバイスや、廉価ディスクの冗長アレイ(RAID)などにコンテンツアイテムを保持してもよい。コンテンツストレージ160は、FAT、FAT32、NTFS、EXT2、EXT3、EXT4、ReiserFS、BTRFSなどのひとつ以上のパーティションタイプを使用して、コンテンツアイテムを保持してもよい。
コンテンツストレージ160は、コンテンツアイテムおよびコンテンツアイテムタイプおよびコンテンツアイテムと種々のアカウントやフォルダやグループとの関係を説明するメタデータを保持してもよい。コンテンツアイテムのメタデータは、コンテンツアイテムの一部として保持されてもよいし、別個に保持されてもよい。ある変形例では、コンテンツストレージ160に保持される各コンテンツアイテムには、システム全体で一意の識別子が割り当てられてもよい。
コンテンツストレージ160は、重複したファイルやファイルの重複セグメントを特定することによって、要求されるストレージスペースの量を低減することができる。複数の複製を保持する代わりに、コンテンツストレージ160は単一の複製を保持し、ポインタや他のメカニズムを使用して、重複しているものをその単一の複製にリンクさせてもよい。同様に、コンテンツストレージ160はファイルをより効率的に保持できるだけでなく、ファイルへの変更や異なるバージョンのファイル(分岐バージョンツリーを含む)や変更履歴を追うファイルバージョン制御を使用することで、操作をやり直す能力を提供してもよい。変更履歴は、元のファイルバージョンに適用された場合、変更後のファイルバージョンを生成する一組の変更を含んでもよい。
コンテンツ管理システム106はひとつ以上のクライアントデバイス102からのコンテンツの自動同期をサポートするよう構成されてもよい。同期はプラットフォーム不可知的であってもよい。すなわち、コンテンツは、種々のタイプや能力やオペレーティングシステムなどを有する複数のクライアントデバイス102に亘って同期されてもよい。例えば、クライアントデバイス102はクライアントソフトウエアを含んでもよい。このソフトウエアは、コンテンツ管理システム106の同期モジュール132を介して、クライアントデバイス102のファイルシステムのなかのコンテンツを関連するユーザアカウントの下のコンテンツと同期させる。ある場合では、クライアントソフトウエアは、新たな、削除された、変更された、複製された、または移動されたファイルやフォルダなどの、指定されたフォルダおよびそのサブフォルダのコンテンツに対する任意の変更を同期させてもよい。クライアントソフトウエアは別個のソフトウエアアプリケーションであってもよく、またはオペレーティングシステム中の既存のコンテンツ管理アプリケーションに統合されていてもよく、またはそれらの組み合わせであってもよい。既存のコンテンツ管理アプリケーションに統合されるクライアントソフトウエアの一例では、ユーザはローカルフォルダ内で直接コンテンツを操作し、その間、バックグラウンド処理は変更がないかローカルフォルダを監視し、そのような変更の同期をコンテンツ管理システム106に対して実行する。逆に、バックグラウンド処理はコンテンツ管理システム106において更新されたコンテンツを特定し、そのような変更の同期をローカルフォルダに対して実行してもよい。クライアントソフトウエアは同期操作の通知を提供してもよく、コンテンツ管理アプリケーションの中で直接、コンテンツ状態の表示を提供してもよい。クライアントデバイス102が利用可能なネットワーク接続を有さない場合がある。このシナリオでは、クライアントソフトウエアはファイル変更がないかリンクされたフォルダを監視し、後にネットワーク接続が利用可能となったときにコンテンツ管理システム106に対して同期を実行するべくそのような変更をキューに入れてもよい。同様に、ユーザは、コンテンツ管理システム106との同期を手動で止めるか一時停止してもよい。
ユーザは、ユーザインタフェースモジュール122によって生成され提供されるウェブインタフェースを介して、コンテンツを視たり操作したりしてもよい。例えば、ユーザは、ウェブブラウザ内で、コンテンツ管理システム106によって提供されるウェブアドレスへと辿り着いてもよい。ファイルの新たなバージョンのアップロードのように、ウェブインタフェースを通じてなされたコンテンツストレージ160のコンテンツへの変更や更新は、ユーザのアカウントに関連する他のクライアントデバイス102へと伝搬されてもよい。例えば、それぞれが自身のクライアントソフトウエアを有する複数のクライアントデバイス102は単一のアカウントと関連付けられていてもよく、そのアカウントのファイルは複数のクライアントデバイス102のそれぞれの間で同期されてもよい。
コンテンツ管理システム106は、アプリケーションプログラミングインタフェース(API)を介して他のコンテンツおよび/またはサービスプロバイダ109、109、...、109(「109」と総称する)と相互に作用可能な通信インタフェース120であって種々のクライアントデバイス102とのインタフェースとしての通信インタフェース120を含んでもよい。所定のソフトウエアアプリケーションは、ユーザの代わりに、APIを介してコンテンツストレージ160にアクセスしてもよい。例えば、スマートフォンやタブレット計算デバイス上のアプリケーションなどのソフトウエアパッケージはプログラム上、ユーザが資格証明を提供する場合、コンテンツ管理システム106を直接呼び出し、コンテンツを読み取り、書き込み、生成し、消去し、共有し、またはそうでなければ操作してもよい。同様に、APIは、ウェブサイトを通じてユーザがコンテンツストレージ160の全てまたは一部にアクセスすることを可能としてもよい。
コンテンツ管理システム106は認証モジュール126を含んでもよい。この認証モジュール126は、ユーザの資格証明やセキュリティトークンやAPIコールや特定のクライアントデバイスなどを検証し、認証されたクライアントおよびユーザのみがファイルにアクセスできることを確実なものとしてもよい。さらに、コンテンツ管理システム106は解析モジュール134モジュールを含んでもよい。この解析モジュール134は集合的ファイル操作やユーザアクションやネットワーク利用状況や使用されているトータルのストレージスペースや、他の技術的、利用状況的またはビジネス上の指標を追い、それについて報告してもよい。プライバシーおよび/またはセキュリティポリシーは、コンテンツ管理システム106に保持されるユーザデータへの許可を得ないアクセスを防止してもよい。
コンテンツ管理システム106は、公にまたは私的にコンテンツを共有することを管理するための共有モジュール130を含んでもよい。公にコンテンツを共有することは、コンテンツアイテムを、コンテンツ管理システム106とネットワーク通信可能な任意の計算デバイスからアクセス可能とすることを含んでもよい。私的にコンテンツを共有することは、コンテンツストレージ160のコンテンツアイテムを2以上のユーザアカウントとリンクさせ、それにより各ユーザアカウントがそのコンテンツアイテムへのアクセスを有することを含んでもよい。共有は、プラットフォーム不可知的態様でなされてもよい。すなわち、コンテンツは、種々のタイプや能力やオペレーティングシステムなどを有する複数のクライアントデバイス102に亘って共有されてもよい。コンテンツは、種々のタイプのユーザアカウントに亘って共有されてもよい。
ある実施の形態では、コンテンツ管理システム106は、コンテンツストレージ160における各コンテンツアイテムの位置を特定するコンテンツディレクトリを維持するよう構成されてもよい。コンテンツディレクトリは、コンテンツストレージに保持される各コンテンツアイテムに対して一意のコンテンツエントリを含んでもよい。
コンテンツエントリは、コンテンツ管理システムにおけるコンテンツアイテムの位置を特定するために使用されるコンテンツパスを含んでもよい。例えば、コンテンツパスはコンテンツアイテムの名前とコンテンツアイテムに関連するフォルダ階層とを含んでもよい。例えば、コンテンツパスは、コンテンツアイテムの名前に加えて、そのコンテンツアイテムが置かれているフォルダまたはフォルダのパスを含んでもよい。コンテンツ管理システム106はコンテンツパスを使用して、コンテンツアイテムを適切なフォルダ階層の中で提示してもよい。
コンテンツエントリは、コンテンツストレージ160におけるコンテンツアイテムの位置を特定するコンテンツポインタを含んでもよい。例えば、コンテンツポインタはメモリにおけるコンテンツアイテムの正確なストレージアドレスを含んでもよい。ある実施の形態では、コンテンツポインタは複数の位置を指してもよく、複数の位置のそれぞれはコンテンツアイテムの一部を含む。
コンテンツパスおよびコンテンツポインタに加えて、コンテンツエントリはコンテンツアイテムへのアクセスを有するユーザアカウントを特定するユーザアカウント識別子を含んでもよい。ある実施の形態では、複数のユーザアカウント識別子が単一のコンテンツエントリに関連付けられてもよく、これは、そのコンテンツアイテムが複数のユーザアカウントによる共有アクセスを有することを示す。
私的にコンテンツアイテムを共有するために、共有モジュール130は、ユーザアカウント識別子をコンテンツアイテムに関連付けられたコンテンツエントリに追加し、それにより追加されたユーザアカウントにコンテンツアイテムへのアクセスを与えるよう構成される。共有モジュール130は、ユーザアカウントのコンテンツアイテムへのアクセスを制限するために、コンテンツエントリからユーザアカウント識別子を除くよう構成されてもよい。
公にコンテンツを共有するために、共有モジュール130はユニフォームリソースロケータ(URL)などのカスタムネットワークアドレスを生成するよう構成されてもよい。このカスタムネットワークアドレスにより、任意のウェブブラウザが、コンテンツ管理システム106のコンテンツに認証なしでアクセスすることが可能となる。これを達成するために、共有モジュール130は生成されるURLにコンテンツ特定データを含めるよう構成されてもよい。コンテンツ特定データは、後に、要求されたコンテンツアイテムを適切に特定して返すために使用されてもよい。例えば、共有モジュール130は、生成されるURLにユーザアカウント識別子とコンテンツパスとを含めるよう構成されてもよい。URLが選択されると、URLに含まれるコンテンツ特定データはコンテンツ管理システム106に送信されてもよい。コンテンツ管理システム106は受信したコンテンツ特定データを使用して適切なコンテンツエントリを特定し、そのコンテンツエントリに関連付けられたコンテンツアイテムを返してもよい。
URLを生成することに加えて、共有モジュール130はコンテンツアイテムへのURLが生成されたことを記録するよう構成されてもよい。ある実施の形態では、コンテンツアイテムに関連付けられたコンテンツエントリは、そのコンテンツアイテムへのURLが生成されたか否かを示すURLフラグを含んでもよい。例えば、URLフラグは、コンテンツアイテムへのURLがまだ生成されていないことを示すために最初に0またはfalseに設定されるブール値であってもよい。共有モジュール130は、コンテンツアイテムへのURLを生成した後はフラグの値を1またはtrueに変更するよう構成されてもよい。
ある実施の形態では、共有モジュール130は生成されたURLを非活性化するよう構成されてもよい。例えば、各コンテンツエントリは、要求に応じて生成されたURLからコンテンツが返されるべきか否かを示すURLアクティブフラグを含んでもよい。例えば、共有モジュール130は、URLアクティブフラグが1またはtrueに設定されている場合にのみ、生成されたリンクによって要求されるコンテンツアイテムを返すよう構成されてもよい。したがって、URLが既に生成されたコンテンツアイテムへのアクセスは、URLアクティブフラグの値を変更することにより、容易に制限されうる。これにより、ユーザは、コンテンツアイテムを移動したり生成されたURLを削除したりしなくても、共有コンテンツアイテムへのアクセスを制限できる。同様に、共有モジュール130は、URLアクティブフラグの値を1またはtrueに変えることでURLを再活性化してもよい。したがって、ユーザは、新たなURLを生成する必要なしにコンテンツアイテムへのアクセスを容易に復活させることができる。
具体的なコンポーネントを有するコンテンツ管理システム106が提示されたが、示されるアーキテクチャ構成は単なる可能なひとつの構成であり、より多いまたはより少ないコンポーネントを有する他の構成もまた可能であることは、当業者には理解されるべきである。例えば、コンテンツ管理システム106は、クライアント側アプリケーションの予備認証を容易にするためにクライアントインストーラにタグ付けするよう構成された予備認証モジュール136を含んでもよい。すなわち、インストールが成功すると、予備認証されたクライアント側アプリケーションは指定されたユーザアカウントに自動的にログインする。これによりユーザはログイン資格認証を再度入力する必要なくユーザアカウントにアクセスすることができる。
クライアントインストーラにタグ付けされたデータはクライアントインストーラと指定されたユーザアカウントとをリンクしてもよい。例えば、予備認証モジュール136は、クライアント側アプリケーションのインストールを要求するために使用されたユーザアカウントとクライアントインストーラとをリンクする識別タグを、クライアントインストーラにタグ付けしてもよい。実行されると、タグ付けされたクライアントインストーラはクライアント側アプリケーションをインストールし、識別タグをインストールされたクライアント側アプリケーションに渡してもよい。クライアント側アプリケーションは次に識別タグをコンテンツ管理システム106に送信し、識別タグによって特定されるユーザアカウントにログインしてもよい。
これを達成するために、予備認証モジュール136は、クライアント側アプリケーションをインストールするためのインストール要求がアクティブに認証されたユーザアカウントに関連付けられているか否かを特定するよう構成されてもよい。例えば、ユーザはウェブブラウザアプリケーションを使用してユーザアカウントにログインし、ログイン中にクライアント側アプリケーションをインストールするよう要求してもよい。予備認証モジュール136は、ユーザがユーザアカウントにログインしている間にインストール要求が受け付けられたか否かを判定してもよい。例えば、予備認証モジュール136は、クライアントデバイス102から、クライアントデバイス102にクライアント側アプリケーションをインストールするためのインストール要求を受け付け、クライアントデバイス102が現在ログイン中で指定されたユーザアカウントにアクセスすることを認可されているかを判定してもよい。
インストール要求がアクティブに認証されたユーザアカウントに関連付けられている場合、予備認証モジュール136は識別タグを生成し、その識別タグをユーザアカウントに関連付けてもよい。例えば、予備認証モジュール136は、識別タグとそれに対応するユーザアカウントとをリストする予備認証インデックスにエントリを生成してもよい。あるいはまた、識別タグはユーザアカウントを直接特定するのに十分なデータを含んでもよい。例えば、識別タグは、指定されたユーザアカウントを特定するアカウント識別子を含んでもよい。予備認証モジュール136は、タグ付けされたクライアントインストーラを要求元のクライアントデバイスに提供してもよい。クライアントインストーラは予備認証されたクライアント側アプリケーションをインストールするために使用可能である。
図2は、クライアント側アプリケーションを予備的に認証することの例示的な方法の実施の形態を示す。図2には具体的なステップが示されるが、他の実施の形態では方法はより多くのまたはより少ないステップを有してもよい。示されるように、方法はブロック205で始まり、そこではコンテンツ管理システムはクライアント側アプリケーションをインストールするためのインストール要求をクライアントデバイスから受け付ける。
ブロック210では、コンテンツ管理システムはインストール要求がアクティブなユーザアカウントと関連付けられているか否かを判定する。例えば、コンテンツ管理システムは、インストール要求が受け付けられたときにクライアントデバイスがユーザアカウントにログインしていたか否かを判定してもよい。
ブロック210においてコンテンツ管理システムがインストール要求はユーザアカウントに関連付けられていない、すなわちインストール要求が受け付けられたときにクライアントデバイスはユーザアカウントにログインしていなかったと判定した場合、方法はブロック250に進み、そこではコンテンツ管理システムはクライアントデバイスにタグ付けの無いクライアントインストーラを送信する。タグ付けの無いクライアントインストーラはクライアントデバイスによってクライアント側アプリケーションをインストールするために使用可能であるが、クライアント側アプリケーションはユーザアカウントにアクセスするために予備認証されていないであろう。したがって、ユーザはユーザアカウントにログインするためにログイン資格証明を入力する必要があるであろう。
あるいはまた、ブロック210においてコンテンツ管理システムがインストール要求はユーザアカウントに関連付けられていると判定した場合、方法はブロック215に進み、そこではコンテンツ管理システムは識別タグを生成する。ブロック220では、コンテンツ管理システムは予備認証インデックスにエントリを生成する。予備認証インデックスは、識別タグと、関連付けられたユーザアカウントを特定するアカウント識別子と、を含む。
ブロック225では、コンテンツ管理システムは生成された識別タグでクライアントインストーラをタグ付けし、ブロック230では、コンテンツ管理システムはタグ付けされたクライアントインストーラを要求元のクライアントデバイスに送信する。クライアントデバイスはタグ付けされたクライアントインストーラを使用してクライアント側アプリケーションをインストールしてもよい。タグ付けされた識別タグはクライアント側アプリケーションに渡されてもよい。
ブロック235では、コンテンツ管理システムはクライアントデバイスから、識別タグを含む予備認証要求を受け付ける。予備認証要求は、クライアント側アプリケーションのクライアントデバイスへのインストールが成功したことの結果として送信されてもよい。例えば、クライアント側アプリケーションは、クライアント側アプリケーションのクライアントデバイスへのインストールが成功すると、コンテンツ管理システムへ予備認証要求を自動的に送信するよう構成されてもよい。
ブロック240では、コンテンツ管理システムは受け付けられた識別タグに関連付けられたユーザアカウントを特定してもよい。例えば、コンテンツ管理システムは予備認証インデックスを検索することで識別タグを見つけ、それに関連付けられたユーザアカウントを特定してもよい。
ブロック245では、コンテンツ管理システムはクライアント側アプリケーションを特定されたユーザアカウントにログインさせ、それによりクライアント側アプリケーションがユーザアカウントに割り当てられたコンテンツアイテムにアクセスしたり新たなコンテンツアイテムをユーザアカウントに割り当てたりすることを認可してもよい。そして方法は終わる。
クライアント側アプリケーションを予備認証することはシンプルなユーザ体験を提供するが、それはまた、正しい検証基準が実装されない場合には潜在的なセキュリティ上の脆弱性を生じさせる可能性がある。例えば、ユーザはタグ付けされたクライアントインストーラを友人に渡す可能性がある。該友人はユーザアカウントにアクセスすることを予備認証されるべきではない。コンテンツ管理システム106はひとつ以上の検証基準を実装することで、クライアント側アプリケーションが適切なユーザによってインストールされた場合にのみ予備認証されることをより確実にしてもよい。
そのような検証基準のひとつは、クライアント側アプリケーションを予備認証するために識別タグを使用可能な回数を制限することであってもよい。例えば、識別タグはクライアント側アプリケーションの予備認証をただ1度だけ可能とするよう制限されてもよい。したがって、ユーザがタグ付けされたクライアントインストーラを友人と共有したとしても、意図されているユーザが既にそのクライアントインストーラを使用してクライアント側アプリケーションをインストールしてしまっている前提では、その友人はユーザアカウントにログインすることはできない。
これを達成するために、予備認証モジュール136は、識別タグがクライアント側アプリケーションを認証するために使用された後、その識別タグを使用済みとしてマークするよう構成されてもよい。例えば、予備認証モジュール136は、識別タグがクライアント側アプリケーションを認証するために使用された後、その識別タグに関連付けられた予備認証インデックスエントリにフラグを立てるよう構成されてもよい。予備認証モジュール136は、使用済みとしてマークされた識別タグを含む予備認証要求を拒否するよう構成されてもよい。
識別タグを使用済みとしてマークすることの代替として、予備認証モジュール136は、識別タグがクライアント側アプリケーションを認証するために使用された後、その識別タグに関連付けられた予備認証インデックスエントリを除いてもよい。予備認証モジュール136は、予備認証要求に含まれる識別タグが予備認証インデックスのなかに見つからない場合、予備認証要求を拒否するよう構成されてもよい。
第2の検証基準は時刻に基づいてもよい。例えば、各識別タグは、その識別タグが生成されてから所定の時間内は有効であり、その後はその識別タグが期限切れと見なされるよう制限されてもよい。予備認証モジュール136は、期限切れの識別タグを含む予備認証要求を拒否してもよい。
これを達成するために、予備認証モジュール136は予備認証インデックスに識別タグの生成時刻を記録してもよい。予備認証要求を受け付けると、予備認証モジュール136は、予備認証要求が受け付けられた時刻と受け付けられた識別タグの記録された生成時刻とを比較し、識別タグが期限切れか否かを判定してもよい。あるいはまた、予備認証モジュール136は識別タグの有効期限を予備認証インデックスに記録し、予備認証要求が受け付けられた時刻がその有効期限と比較されることで識別タグが期限切れか否かが判定されてもよい。予備認証モジュール136は、期限切れの識別タグを含む予備認証要求を拒否してもよい。
第3の検証基準はIPアドレスに基づいてもよい。予備認証モジュール136は識別タグにひとつ以上のIPアドレスを関連付けることで、識別タグの正当な使用を、その関連付けられたIPアドレスのうちのひとつから受け付けられた予備認証要求に制限してもよい。例えば、識別タグは、インストール要求がIPアドレスから受け付けられたときのそのIPアドレスに関連付けられてもよく、および/またはユーザアカウントにアクセスすることが知られているIPアドレスに関連付けられてもよい。予備認証モジュール136は、不正なIPアドレスすなわち含まれている識別信号に関連付けられていないIPアドレスから受け付けられた予備認証要求を拒否してもよい。
これを達成するために、予備認証モジュール136は識別タグの予備認証インデックスエントリに有効なIPアドレスをリストしてもよい。例えば、予備認証モジュール136は、IPアドレスからインストール要求が受け付けられたときのそのIPアドレスを集め、そのように集められたIPアドレスを識別タグの予備認証インデックスエントリにリストしてもよい。代替的にまたは追加的に、予備認証モジュール136は、ユーザアカウントに関連付けられたプロファイル情報からIPアドレスを集め、集められたIPアドレスを識別タグの予備認証インデックスエントリにリストしてもよい。
予備認証要求を受け付けると、予備認証モジュールは、IPアドレスからその予備認証要求が受け付けられたときのそのIPアドレスを集め、集められたIPアドレスを含まれる識別タグの予備認証インデックスエントリにリストされるIPアドレスと比較することで、予備認証要求が有効なIPアドレスから受け付けられたか否かを判定してもよい。予備認証モジュール136は、不正なIPアドレスすなわち含まれている識別タグの予備認証インデックスエントリにリストされていないIPアドレスから受け付けられた予備認証要求を拒否してもよい。
図3は、クライアント側アプリケーションを予備的に認証するための検証基準を実装することの例示的な方法の実施の形態を示す。図3には具体的なステップが示されるが、他の実施の形態では方法はより多くのまたはより少ないステップを有してもよい。示されるように、方法はブロック305で始まり、そこではコンテンツ管理システムはクライアントデバイスにクライアント側アプリケーションをインストールするためのインストール要求を受け付ける。
ブロック310では、コンテンツ管理システムはインストール要求がユーザアカウントと関連付けられているか否かを判定する。インストール要求がユーザアカウントに関連付けられていない場合、ブロック355において、コンテンツ管理システムはタグ付けの無いクライアントインストーラをクライアントデバイスに送信する。あるいはまた、インストール要求がユーザアカウントに関連付けられている場合、方法はブロック315に進み、そこではコンテンツ管理システムは識別タグを生成する。
ブロック320では、コンテンツ管理システムは予備認証インデックスにエントリを生成する。エントリは、識別タグと、インストール要求に関連付けられたユーザアカウントを特定するアカウント識別子とを含んでもよい。エントリはさらに、識別タグの生成時刻と、有効なIPアドレスと、を含んでもよい。
ブロック325では、コンテンツ管理システムは識別タグでクライアントインストーラをタグ付けし、ブロック330では、コンテンツ管理システムはタグ付けされたクライアントインストーラを要求元のクライアントデバイスに送信する。
ブロック335では、コンテンツ管理システムはクライアントデバイスから予備認証要求を受け付ける。ブロック340では、コンテンツ管理システムは実装された検証基準が満たされるか否かを判定する。このステップは、以下の図4の議論において詳述される。検証基準が満たされない場合、方法はブロック360に進み、そこではコンテンツ管理システムは予備認証要求を拒否する。その結果、クライアントデバイスのユーザは、クライアント側アプリケーションをユーザアカウントにログインさせるために、ログイン資格証明の入力を求められるであろう。
ブロック340においてコンテンツ管理システムが検証基準は満たされると判定した場合、方法はブロック345に進み、そこではコンテンツ管理システムは受け付けられた識別タグに関連付けられたユーザアカウントを特定する。次にブロック350において、コンテンツ管理システムは、クライアント側アプリケーションを特定されたユーザアカウントにログインさせることによって予備認証要求を認可する。
ブロック365において、コンテンツ管理システムは、クライアント側アプリケーションを予備的に認証するために識別タグが使用されてしまったことを示すよう、予備認証インデックスエントリを更新する。例えば、コンテンツ管理システムは、識別タグが使用済みであることを示すよう予備認証インデックスエントリをマークしてもよい。あるいはまた、コンテンツ管理システムは予備認証インデックスエントリを削除してもよい。そして方法は終わる。
図4は、検証基準が満たされているか否かを判定することの例示的な方法の実施の形態を示す。図4には具体的なステップが示されるが、他の実施の形態では方法はより多くのまたはより少ないステップを有してもよい。示されるように、方法はブロック405で始まり、そこでは、コンテンツ管理システムは予備認証要求に含まれる識別タグが以前に使用されたものであるか否かを判定する。コンテンツ管理システムは、識別タグの予備認証インデックスエントリをチェックすることによってこれを判定してもよい。
ブロック405において識別インデックスが使用済みであると判定された場合、方法はブロック425に進み、そこではコンテンツ管理システムは検証基準が満たされないと判定し、次いで方法は終わる。
あるいはまた、ブロック405において識別タグがまだ使用されていないと判定された場合、方法はブロック410に進み、そこではコンテンツ管理システムは識別タグが期限切れか否かを判定する。。例えば、コンテンツ管理システムは識別タグの予備認証インデックスエントリから識別タグに対する生成時刻または有効期限を取得してもよい。コンテンツ管理システムは次いで取得された生成時刻または有効期限を予備認証要求が受け付けられた時刻と比較し、識別タグが期限切れか否かを判定してもよい。
識別タグが期限切れである場合、方法はブロック425に進み、そこではコンテンツ管理システムは検証基準が満たされないと判定する。あるいはまた、識別タグが期限切れでない場合、方法はブロック415に進み、そこではコンテンツ管理システムは予備認証要求が有効なIPアドレスから受け付けられたか否かを判定する。
コンテンツ管理システムは、識別タグの予備認証インデックスにアクセスすることによって有効なIPアドレスを特定してもよい。例えば、予備認証インデックスエントリは識別タグに対する全ての有効なIPアドレスをリストしてもよい。コンテンツ管理システムは、IPアドレスから予備認証要求が受け付けられたときのそのIPアドレスをその予備認証インデックスエントリにリストされる有効なIPアドレスと比較することで、予備認証要求が有効なIPアドレスから受け付けられたか否かを判定してもよい。
IPアドレスが有効でない場合、方法はブロック425に進み、そこではコンテンツ管理システムは検証基準が満たされないと判定する。あるいはまた、IPアドレスが有効である場合、方法はブロック420に進み、そこではコンテンツ管理システムは検証基準が満たされると判定する。そして方法は終わる。
上で列挙された検証基準はクライアント側アプリケーションが意図しないユーザのクライアントデバイスにおいて予備認証される可能性を最小化するものの、潜在的なセキュリティ上の脆弱性は依然として残る。例えば、ユーザはクライアントインストーラを同僚に渡し、同僚は意図されたユーザがクライアント側アプリケーションをインストールする前に、かつ、識別タグが期限切れになる前に、クライアント側アプリケーションをインストールするかもしれない。ユーザおよび同僚が仕事上同じIPアドレスにいる場合、3つ全ての検証基準(1番目の使用、時刻、IPアドレス)が満たされ、同僚にユーザアカウントへのアクセスが与えられる可能性がある。
このタイプの状況を避けるために、コンテンツ管理システムは、クライアント側アプリケーションが意図されたユーザアカウントにアクセスすることを認可する前に、予備認証を要求するクライアントデバイスが意図されたユーザアカウントに十分に関連付けられているか検証してもよい。クライアントデバイスがユーザアカウントにアクセスするためにおよび/またはユーザアカウントを生成するために使用されたことがある場合、そのクライアントデバイスはユーザアカウントに十分に関連付けられていてもよい。
コンテンツ管理システムは、クライアントデバイスにキャッシュされているデータに基づいて、クライアントデバイスがユーザアカウントに十分に関連付けられていることを検証してもよい。例えば、コンテンツ管理システムは、コンテンツ管理システム上のユーザアカウントを生成するかそれにアクセスするために使用されるウェブブラウザアプリケーションに、生成されたまたはアクセスされたユーザアカウントを特定するクッキーなどのデータをキャッシュさせてもよい。コンテンツ管理システムは、このキャッシュされたデータを相互参照することで、クライアントデバイスがユーザアカウントに十分に関連付けられているか否かを検証し、もしそうならクライアント側アプリケーションを認可してもよい。
これを達成するために、予備認証モジュール136は、インストール要求をコンテンツ管理システム106に送信するのに使用されたウェブブラウザアプリケーションを特定するウェブブラウザ識別子でクライアントインストーラをタグ付けしてもよい。クライアントデバイス102から受け付けられたインストール要求は、インストール要求をコンテンツ管理システム106に送信するのに使用されたウェブブラウザアプリケーションを特定するデータを含んでもよい。予備認証モジュール136は、インストール要求を送信するのに使用されたウェブブラウザアプリケーションを特定し、特定されたウェブブラウザアプリケーションを予備認証インデックスレコードに記録し、次いでウェブブラウザアプリケーションを特定するウェブブラウザ識別子でクライアントインストーラをタグ付けしてもよい。
クライアントインストーラはウェブブラウザ識別子をクライアント側アプリケーションに渡してもよい。クライアント側アプリケーションはウェブブラウザ識別子を使用することで、クライアントデバイス102に特定されたウェブブラウザアプリケーションを実行させ、検証メッセージをコンテンツ管理システム106へ送信させてもよい。検証メッセージは、ウェブブラウザアプリケーションによってキャッシュされたデータと、識別タグと、を含む。予備認証モジュール136は、検証メッセージと共に受け付けられたキャッシュデータが対応する識別タグにより特定されるユーザアカウントを特定することを検証してもよい。
図5Aおよび図5Bは、クライアント側アプリケーションを予備的に認証することの例示的なシステムの実施の形態を示す。示されるように、クライアントデバイス102はウェブブラウザアプリケーション505を含み、このウェブブラウザアプリケーション505はコンテンツ管理システム106と通信してコンテンツ管理システム106上のユーザアカウントにアクセスするために使用されてもよい。示されるように、ウェブブラウザアプリケーション505はインストール要求510をコンテンツ管理システム106に送信してもよい。インストール要求510は、クライアントデバイス102にクライアント側アプリケーションをインストールするための要求であってもよい。
コンテンツ管理システム106はインストール要求510を受け付け、次いでインストール要求510が現在認可されているユーザアカウントに関連付けられているか否かを判定してもよい。すなわち、コンテンツ管理システム106は、インストール要求510が送信されたときにクライアントデバイス102がユーザアカウントにログインしているかを判定してもよい。例えば、クライアントデバイス102のユーザは、ユーザアカウントにログインし、クライアントデバイス102にクライアント側アプリケーションをインストールすることを要求するためにウェブブラウザアプリケーション505を使用したかもしれない。
コンテンツ管理システム106がインストール要求510はユーザアカウント「123」に関連付けられていると判定したとすると、コンテンツ管理システム106は、識別タグを生成し、かつ予備認証インデックスにエントリを生成してもよい。このエントリは、ユーザアカウント「123」と、生成された識別タグと、識別タグが生成された日付および時刻と、有効なIPアドレスと、インストール要求510を生成するために使用されたウェブブラウザアプリケーションを特定するウェブブラウザ識別子と、を特定する。
コンテンツ管理システム106は識別タグおよびウェブブラウザ識別子でクライアントインストーラをタグ付けしてもよい。コンテンツ管理システム106は、タグ付けされたクライアントインストーラを含むメッセージ515をクライアントデバイス102へ送信してもよい。
クライアントデバイス102はタグ付けされたクライアントインストーラを使用してクライアントデバイス102にクライアント側アプリケーションをインストールしてもよい。これは、識別タグおよびウェブブラウザ識別子をインストールされたクライアント側アプリケーションに渡すことを含んでもよい。
図5Bは、クライアント側アプリケーション520のインストールが成功した後のクライアントデバイス102を示す。示されるように、クライアント側アプリケーション520は、識別タグを含む検証メッセージ525をコンテンツ管理システム106へ送信してもよい。
検証メッセージ525を受け付けると、コンテンツ管理システム106は、識別タグが使用済みか否かや期限切れか否かやIPアドレスが有効か否かを判定することなどの種々の検証基準を行ってもよい。検証基準が満たされるとした場合、コンテンツ管理システム106は、検証基準が満たされたことを示すメッセージ530をクライアントデバイス102に送信してもよい。
検証基準が満たされたという確認を受け付けると、クライアント側アプリケーション520はクライアントデバイス102について一意な認証キーを生成してもよい。例えば、認証キーは「xyz」であってもよい。クライアント側アプリケーション520はウェブブラウザ識別子を使用してウェブブラウザアプリケーション505を特定し、クライアントデバイス102にウェブブラウザアプリケーション505を実行させてもよい。クライアント側アプリケーション520は、ウェブブラウザアプリケーション505に、認証メッセージ535をコンテンツ管理システム106へ送信させてもよい。認証メッセージ535は識別タグと認証キーとウェブブラウザアプリケーション505によってキャッシュされたデータとを含む。
コンテンツ管理システム106は識別タグを使用して予備認証インデックスのなかの対応するエントリを見つけ、キャッシュされたデータを相互参照することで、ウェブブラウザアプリケーション505がユーザアカウントにアクセスするために使用されたことがあるか否かを判定してもよい。例えば、キャッシュされたデータは、ウェブブラウザアプリケーション505がユーザアカウントの生成やそれへのアクセスのために使用されたときにキャッシュされたアカウント識別子を含んでもよい。
コンテンツ管理システム106がウェブブラウザアプリケーション505はユーザアカウントにアクセスするために使用されたことがあると判定したとする場合、コンテンツ管理システム106は予備認証インデックスのエントリに認証キーを記録してもよい。
クライアント側アプリケーション520は、識別タグおよび認証キーを含む予備認証要求540をコンテンツ管理システム106に送信してもよい。コンテンツ管理システム106は、識別タグが使用済みか否かや期限切れか否かやIPアドレスが有効か否かを判定することを含む検証基準を行ってもよい。コンテンツ管理システム106が検証基準は満たされたと判定したとする場合、コンテンツ管理システム106は予備認証要求540で受け付けられた認証キーと識別タグに関連付けられたエントリの認証キーとを比較してもよい。認証キーが一致する場合、コンテンツ管理システム106はクライアント側アプリケーション520が予備認証インデックスのエントリで特定されるユーザアカウントにアクセスすることを認可してもよい。
図1の議論に戻ると、予備認証モジュール136は、クライアント側アプリケーションが複数のユーザアカウントにアクセスすることを予備的に認証するよう構成されてもよい。例えば、ユーザは個人的なアカウントおよび仕事のアカウントを有してもよい。クライアント側アプリケーションのインストールを要求するときにユーザが仕事のアカウントおよび個人的なアカウントの両方にログインしている場合、予備認証モジュール136は、クライアント側アプリケーションが仕事のアカウントおよび個人的なアカウントの両方にアクセスすること予備的に認証してもよい。
これを達成するために、予備認証モジュール136は、クライアントインストーラと複数のユーザアカウントとをリンクするようクライアントインストーラをタグ付けしてもよい。例えば、予備認証モジュール136は、クライアントインストーラと個人的なアカウントおよび仕事のアカウントとをリンクするようクライアントインストーラをタグ付けしてもよい。予備認証モジュール136は、生成された識別タグに関連付けられた予備認証インデックスに複数のアカウント識別子をリストすることによってこれを達成してもよい。例えば、予備認証モジュール136は、個人的なアカウントを特定する第1アカウント識別子と、仕事のアカウントを特定する第2アカウント識別子と、をリストしてもよい。あるいはまた、予備認証モジュール136は、個人的なアカウントおよびユーザアカウントの両方を特定する共有識別子をリストしてもよい。
予備認証モジュール136は、対応する識別タグを含む予備認証要求を受け付けたことに応じて、リストされているアカウント識別子にアクセスし、全ての検証基準が満たされる場合にクライアント側アプリケーションが特定されたユーザアカウントにアクセスすることを認可してもよい。検証基準は、クライアント側アプリケーションによる特定されたユーザアカウントへのアクセスが、クライアント側アプリケーションが他のユーザアカウントにアクセスしている間でも許されるか否かを予備認証モジュール136が判定することを含んでもよい。例えば、仕事のアカウントは仕事上のポリシーによって制限されていてもよい。このポリシーは、クライアント側アプリケーションが第2ユーザアカウントにアクセスしている間はそのクライアント側アプリケーションによる仕事のアカウントへのアクセスは許されないことを規定する。予備認証モジュール136は、特定されたユーザアカウントがそのようなポリシーによって制限されているか否かを判定してもよい。
特定されたユーザアカウントが制限されている場合、予備認証モジュール136はクライアント側アプリケーションが複数のユーザアカウントのうちのひとつのみにアクセスすることを認可するよう構成されてもよい。あるいはまた、予備認証モジュール136は、クライアント側アプリケーションによるアクセスが認可されるユーザアカウントの選択をユーザに促してもよい。あるいはまた、予備認証モジュール136は予備認証要求を拒否してもよく、したがって、クライアント側アプリケーションがユーザアカウントにアクセスすることを認可するために、ユーザに正しいログイン資格証明の入力を要求してもよい。
予備認証モジュール136は、複数のユーザアカウントのなかから、クライアント側アプリケーションに対してユーザが認証を望むものを選択するようユーザに常に促すよう構成されてもよい。例えば、ユーザがクライアント側アプリケーションをインストールすることを要求したときにユーザは促されてもよい。これは、複数のユーザアカウントのなかからひとつまたは複数を選択することを、あるいは複数のユーザアカウントのなかからひとつのみを選択することを、予備認証モジュール136がユーザに促すことを含んでもよい。予備認証モジュール136は、クライアントインストーラと選択されたユーザアカウントとをリンクするようクライアントインストーラをタグ付けしてもよい。
図6Aおよび図6Bは、例示的なありうるシステムの実施の形態を示す。本技術を実施する場合に、より好適な実施の形態は当業者には明らかであろう。他のシステムの実施の形態が可能であることは、当業者には容易に理解されるであろう。
図6Aは、通常のシステムバス計算システムアーキテクチャ600を示す。システムのコンポーネントはバス605を使用して互いに電気的に通信可能となっている。例示的なシステム600は、処理ユニット(CPUすなわちプロセッサ)610と、読み取り専用メモリ(ROM)620やランダムアクセスメモリ(RAM)625などのシステムメモリ615を含む各種のシステムコンポーネントをプロセッサ610に接続するシステムバス605と、を含む。システム600は、プロセッサ610に直接接続されているか、近接しているか、あるいはその一部として統合されている高速メモリのキャッシュを含んでもよい。システム600は、データをメモリ615および/またはストレージデバイス630からキャッシュ612へコピーして、プロセッサ610が高速でアクセスできるようにしてもよい。このようにして、キャッシュは、データを待っている間のプロセッサ610の遅延を回避するパフォーマンスブーストを提供してもよい。これらおよびその他のモジュールは、各種の動作を行うようにプロセッサ610を制御するか、または制御するように構成されてもよい。その他のシステムメモリ615が同様に使用可能であってもよい。メモリ615は、異なる性能特性を持つ複数の異なるタイプのメモリを含んでもよい。プロセッサ610は、いかなる汎用プロセッサを含んでもよいし、プロセッサ610を制御するように構成されたハードウエアモジュールまたはソフトウエアモジュール、例えばストレージデバイス630の中に格納されたモジュール1 632、モジュール2 634、モジュール3 636を含んでもよいし、実際のプロセッサ設計の中にソフトウエアインストラクションが組み込まれている専用プロセッサを含んでもよい。プロセッサ610は本質的に、複数のコアまたはプロセッサ、バス、メモリコントローラ、キャッシュ等を含んでいる、完全に自己完結型のコンピュータシステムであってもよい。マルチコアプロセッサは、対称でも非対称でもよい。
ユーザと計算デバイス600との対話を可能にするため、入力デバイス645は、音声用マイクロフォン、ジェスチャまたはグラフィカル入力用のタッチセンシティブスクリーン、キーボード、マウス、動作入力、音声等、いくつもの入力メカニズムを表してもよい。出力デバイス635は、当業者には公知の複数の出力メカニズムのうちの1つ以上であってもよい。場合によっては、マルチモーダルシステムによって、ユーザが、計算デバイス600と通信するための複数のタイプの入力を行うことが可能になる。通常、通信インタフェース640が、ユーザ入力とシステム出力とを管理してもよい。特定のハードウェア構成上で動作することについての制限はなく、従って、本明細書での基本的な特徴は、改良型のハードウェア構成やファームウェア構成が開発されれば、それらと容易に置き換わりうる。
ストレージデバイス630は不揮発性メモリである。ストレージデバイス430はハードディスクや、コンピュータによってアクセス可能でありかつデータを保持可能な他のタイプのコンピュータ可読媒体、例えば、磁気カセット、フラッシュメモリカード、ソリッドステートメモリデバイス、デジタルバーサタイルディスク、カートリッジ、ランダムアクセスメモリ(RAMs)625、読み取り専用メモリ(ROM)620、それらのハイブリッド、等であってもよい。
ストレージデバイス630は、プロセッサ610を制御するためのソフトウエアモジュール632、634、636を含んでいてもよい。その他のハードウエアモジュールやソフトウエアモジュールも考えられる。ストレージデバイス630は、システムバス605に接続されていてもよい。一態様では、或る機能を行うハードウエアモジュールは、プロセッサ610、バス605、ディスプレイ635等のような、その機能を実行するのに必要なハードウエアコンポーネントと関連してコンピュータ可読媒体の中に格納されたソフトウエアコンポーネントを含んでもよい。
図6Bは、説明された方法を実行したりグラフィカルユーザインタフェース(GUI)を生成して表示したりする際に使用可能なチップセットアーキテクチャを有するコンピュータシステム650を示す。コンピュータシステム650は、開示された技術を実施するのに使用可能なコンピュータハードウエア、ソフトウエアおよびファームウエアの一例である。システム650はプロセッサ655を含んでもよい。プロセッサ655は、ソフトウエア、ファームウエアおよび特定された計算を行うよう構成されたハードウエアを実行可能な、任意の数の物理的および/または論理的に別個のリソースを表す。プロセッサ655は、プロセッサ655への入力およびプロセッサ655からの出力を制御可能なチップセット660と通信してもよい。本例では、チップセット660はディスプレイなどの出力665へ情報を出力し、ストレージデバイス670に対して情報の読み書きを行ってもよい。ストレージデバイス670は例えば磁気媒体やソリッドステート媒体を含んでもよい。チップセット660はまた、RAM675からデータを読み出し、RAM675へデータを書き込んでもよい。チップセット660とのインタフェースのために、種々のユーザインタフェースコンポーネント685とのインタフェースとなるブリッジ680が提供されてもよい。そのようなユーザインタフェースコンポーネント685は、キーボードやマイクロフォンやタッチ検出および処理回路やマウスなどのポインティングデバイスなどを含んでもよい。一般に、システム650への入力は種々のソースのうちの任意のものから来てもよく、または機械により生成されおよび/または人により生成されてもよい。
チップセット660は、異なる複数の物理的インタフェースを有しうるひとつ以上の通信インタフェース690と連結されてもよい。そのような通信インタフェースは、有線および無線ローカルエリアネットワークとのインタフェースと、ブロードバンド無線ネットワークとのインタフェースと、パーソナルエリアネットワークとのインタフェースと、を含んでもよい。本明細書で開示されるGUIを生成し表示し使用する方法のいくつかの応用は、物理的なインタフェースを介して順序付けられたデータセットを受けること、または順序付けられたデータセットがプロセッサ655がストレージ670または675に保持されるデータを解析することで機械そのものにより生成されることを含んでもよい。さらに、機械はユーザインタフェースコンポーネント685を介してユーザから入力を受け、プロセッサ655を使用してこれらの入力を解釈することで、ブラウズ機能などの適切な機能を実行してもよい。
例示的なシステム600および650はひとつ以上のプロセッサ610を有してもよく、または処理能力を高めるためにネットワーク化された計算デバイスのグループまたはクラスタの一部であってもよいことは理解されるであろう。
説明の明確化のため、ある例では、本技術はデバイスやデバイスコンポーネントやソフトウエアで実施される方法のステップまたはルーチンやハードウエアとソフトウエアとの組み合わせを含む機能ブロックを含む個々の機能ブロックを含むものとして提示されてもよい。
ある実施の形態では、コンピュータ可読保持デバイス、媒体およびメモリは、ビットストリームを含むケーブルや無線信号などを含んでもよい。しかしながら、言及される場合、非一時的コンピュータ可読保持媒体は、エネルギやキャリア信号や電磁波や信号そのものなどの媒体を明示的に除外する。
上述の例に係る方法は、コンピュータ可読媒体に保持されるかそうでなければその媒体から利用可能なコンピュータ実行可能インストラクションを使用して実装されてもよい。そのようなインストラクションは、例えば、汎用コンピュータ、専用コンピュータ、または専用処理デバイスに所定の機能もしくは機能のグループを実行させるかそうでなければ実行するよう設定するインストラクションおよびデータを含んでもよい。使用されるコンピュータリソースの一部はネットワークを介してアクセス可能であってもよい。コンピュータ実行可能インストラクションは、例えば、バイナリや、アセンブリ言語などの中間フォーマットインストラクションや、ファームウエアや、ソースコードであってもよい。インストラクション、使用される情報、および/または説明された例に係る方法中に生成される情報を保持するのに使用されうるコンピュータ可読媒体の例は、磁気または光学ディスク、フラッシュメモリ、不揮発性メモリを備えるUSBデバイス、ネットワークストレージデバイスなどを含む。
本開示に係る方法を実装するデバイスはハードウエア、ファームウエアおよび/またはソフトウエアを含んでもよく、種々の形状ファクタのうちの任意のものをとりうる。そのような形状ファクタの典型的な例は、ラップトップや、スマートフォンや、小さい形状ファクタのパーソナルコンピュータや、パーソナルデジタルアシスタントなどを含む。本明細書で説明される機能は周辺機器やアドインカードにおいて実現されてもよい。さらなる例として、そのような機能は回路基板上で異なる複数のチップの間でまたは単一デバイスで実行される異なる複数の処理の間で実現されてもよい。
インストラクション、そのようなインストラクションを運ぶための媒体、そのようなインストラクションを実行するための計算リソース、およびそのような計算リソースをサポートするための他の構成は、本開示で説明される機能を提供するための手段である。
添付の請求項の範囲内の態様を説明するために様々な例および他の情報が使用されたが、そのような例における特定の特徴や構成に基づくいかなる請求項の限定も暗示されてはならない。当業者であれば、これらの例を使用して多種多様な実装を導くことができるであろう。さらに、いくつかの主題が構造的特徴および/または方法ステップの例に特有の言語で記述されたかもしれないが、添付の請求項で規定される主題はこれらの記述された特徴や行為に限定される必要はないことは理解されるべきである。例えば、そのような機能は異なるように分散されてもよいし、本明細書で特定されたもの以外のコンポーネントで実行されてもよい。むしろ、記述された特徴およびステップは、添付の請求項の範囲内のシステムおよび方法のコンポーネントの例として開示される。

Claims (20)

  1. プロセッサが、クライアントデバイスで実行されるウェブブラウザアプリケーションから、前記クライアントデバイスにクライアント側アプリケーションをインストールするためのインストール要求を受け付けることであって、前記インストール要求はユーザアカウントに関連付けられることと、
    前記インストール要求の識別タグを生成することと、
    前記識別タグおよび前記ウェブブラウザアプリケーションを特定するウェブブラウザ識別子でタグ付けされたクライアントインストーラを前記クライアントデバイスに送信することであって、前記クライアントインストーラは前記クライアントデバイスに前記クライアント側アプリケーションをインストールするよう構成されることと、
    前記識別タグを含む予備認証要求を受け付けると、前記クライアント側アプリケーションが前記ユーザアカウントにアクセスすることを認可することと、を含む方法。
  2. 前記インストール要求は、前記ウェブブラウザアプリケーションが前記ユーザアカウントにアクセスすることが認可された後に、前記クライアントデバイスで実行される前記ウェブブラウザアプリケーションから送られ
    前記方法はさらに、
    前記プロセッサが、前記ウェブブラウザアプリケーションから認証メッセージを受け付けることであって、前記認証メッセージは前記識別タグと前記クライアントインストーラによって生成された認証キーとを含むことと、
    前記認証メッセージ内の前記認証キーを前記インストール要求に関連付けることと、を含む請求項1に記載の方法。
  3. 前記予備認証要求はさらに前記認証キーを含む請求項2に記載の方法。
  4. 前記プロセッサはコンテンツ管理システム上にあり、前記クライアントインストーラはさらに、
    前記認証キーを生成し、
    前記クライアント側アプリケーション前記クライアントデバイスへインストールされると、前記ウェブブラウザアプリケーションに、前記コンテンツ管理システムへ前記認証メッセージを送信させるよう構成される請求項に記載の方法。
  5. 前記認証メッセージは、
    前記ウェブブラウザアプリケーションによってキャッシュされたデータと、
    前記識別タグと、
    前記認証キーと、を備える請求項4に記載の方法。
  6. 前記ウェブブラウザアプリケーションから前記インストール要求を受け付ける前に、前記クライアントデバイスの前記ウェブブラウザアプリケーションからログイン資格証明を受け付けることと、
    前記ログイン資格証明が前記ユーザアカウントに関連付けられた正しい資格証明であることを判定することと、
    前記クライアントデバイス上の前記ウェブブラウザアプリケーションが前記ユーザアカウントにアクセスすることを認可することと、をさらに含む請求項1から5のいずれか一項に記載の方法。
  7. 前記クライアントインストーラは、前記ウェブブラウザアプリケーションが前記コンテンツ管理システムに前記認証メッセージを送信するのをトリガするためのインストラクションを含む請求項4に記載の方法。
  8. 予備認証インデックスにエントリを作成することとをさらに含み、
    前記エントリは、
    前記識別タグと、
    前記ユーザアカウントを特定するアカウント識別子と、
    前記識別タグの生成時刻と、
    ネットワークアドレスと、を含む請求項1から7のいずれか1項に記載の方法。
  9. 前記識別タグの前記生成時刻から所定の時間内に前記予備認証要求が受け付けられたと判定することと、
    前記生成時刻から前記所定の時間内に前記予備認証要求が受け付けられたと判定することに基づいて、前記識別タグは期限切れでないと判定することと、をさらに含む請求項8に記載の方法。
  10. 前記予備認証要求が要求元ネットワークアドレスから受け付けられたときのその要求元ネットワークアドレスを特定することと、
    前記要求元ネットワークアドレスが前記予備認証インデックスの前記エントリの前記ネットワークアドレスとマッチする場合に前記識別タグは認証されたネットワークアドレスから受け付けられたと判定することと、をさらに含む請求項8または9に記載の方法。
  11. 前記識別タグが前記認証されたネットワークアドレスから受け付けられたと判定することは、前記予備認証要求および前記インストール要求が同じネットワークアドレスから受け付けられることを要求する少なくともひとつの検証基準に基づく請求項10に記載の方法。
  12. 前記識別タグが過去に前記クライアント側アプリケーションを予備認証するために使用されていないと判定することであって、前記識別タグは前記クライアント側アプリケーションを予備認証するために一度だけ使用可能であることをさらに含む請求項8から11のいずれか1項に記載の方法。
  13. 前記クライアント側アプリケーションが前記ユーザアカウントにアクセスすることを認可すると、前記識別タグが前記クライアント側アプリケーションを予備認証するために使用されたことを示すよう、前記予備認証インデックスの前記エントリにフラグを立てることをさらに含む請求項12に記載の方法。
  14. プロセッサと、
    クライアントデバイスで実行されるウェブブラウザアプリケーションから、前記クライアントデバイスにクライアント側アプリケーションをインスト−ルするためのインストール要求を受け付ける手段と、
    前記インストール要求がユーザアカウントに関連付けられていると判定する手段と、
    前記インストール要求の識別タグを生成する手段と、
    前記識別タグおよび前記ウェブブラウザアプリケーションを特定するウェブブラウザ識別子でタグ付けされたクライアントインストーラを前記クライアントデバイスに送信する手段であって、前記クライアントインストーラは前記クライアントデバイスに前記クライアント側アプリケーションをインストールするよう構成される手段と、
    前記識別タグを含む予備認証要求を受け付ける手段と
    前記予備認証要求を受け付けると、前記クライアント側アプリケーションが前記ユーザアカウントにアクセスすることを認可する手段と、を備えるコンテンツ管理システム。
  15. 前記識別タグが生成されてから所定の時間内に前記予備認証要求が受け付けられたことを判定する手段をさらに備え、
    前記識別タグが生成されてから所定の時間内に前記予備認証要求が受け付けられたことを判定することは、
    前記予備認証要求が受け付けられた要求時刻と前記識別タグの生成時刻とを比較することを含む請求項14に記載のコンテンツ管理システム。
  16. インストラクションを含むコンピュータプログラムであって、該インストラクションは計算デバイスによって実行された場合、前記計算デバイスに、
    クライアントデバイスで実行されるウェブブラウザアプリケーションから、前記クライアントデバイスにクライアント側アプリケーションをインスト−ルするためのインストール要求を受け付けることと、
    前記インストール要求がユーザアカウントに関連付けられていることを判定することと、
    前記インストール要求の識別タグを生成することと、
    前記識別タグおよび前記ウェブブラウザアプリケーションを特定するウェブブラウザ識別子でタグ付けされたクライアントインストーラを前記クライアントデバイスに送信することであって、前記クライアントインストーラは前記クライアントデバイスに前記クライアント側アプリケーションをインストールするよう構成されることと、
    前記識別タグを含む予備認証要求を受け付けることと、
    少なくともひとつの検証基準が満たされていることを判定することと、
    前記クライアント側アプリケーションが前記ユーザアカウントにアクセスすることを認可することと、を行わせるコンピュータプログラム
  17. 前記インストール要求は、前記ウェブブラウザアプリケーションが前記ユーザアカウントにアクセスすることが認可された後に受け付けられ、
    前記インストラクションは前記計算デバイスによって実行された場合、前記計算デバイスにさらに、
    前記ウェブブラウザアプリケーションから認証メッセージを受け付けることであって、前記認証メッセージは前記識別タグと前記クライアントインストーラによって生成された認証キーとを含むことと、
    前記認証メッセージ内の前記認証キーを前記インストール要求に関連付けることであって前記予備認証要求はさらに前記認証キーを含むことと、を行わせる請求項16に記載のコンピュータプログラム
  18. 前記少なくともひとつの検証基準は、前記識別タグが前記クライアント側アプリケーションを予備認証するために使用されていないことである請求項16に記載のコンピュータプログラム
  19. 前記識別タグは前記識別タグが生成されてから所定の時間が経過すると期限切れとなる請求項18に記載のコンピュータプログラム
  20. 前記少なくともひとつの検証基準は前記予備認証要求および前記インストール要求が同じネットワークアドレスから受け付けられたことである請求項16に記載のコンピュータプログラム
JP2016545756A 2013-12-19 2014-09-16 クライアントアプリケーションがコンテンツ管理システム上のユーザアカウントにアクセスすることの予備認証 Active JP6161827B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/135,332 US9258291B2 (en) 2013-12-19 2013-12-19 Pre-authorizing a client application to access a user account on a content management system
US14/135,332 2013-12-19
PCT/US2014/055905 WO2015094441A1 (en) 2013-12-19 2014-09-16 Pre-authorizing a client application to access a user account on a content management system

Publications (2)

Publication Number Publication Date
JP2016533604A JP2016533604A (ja) 2016-10-27
JP6161827B2 true JP6161827B2 (ja) 2017-07-12

Family

ID=52355164

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016545756A Active JP6161827B2 (ja) 2013-12-19 2014-09-16 クライアントアプリケーションがコンテンツ管理システム上のユーザアカウントにアクセスすることの予備認証

Country Status (5)

Country Link
US (3) US9258291B2 (ja)
EP (1) EP3085052B1 (ja)
JP (1) JP6161827B2 (ja)
AU (1) AU2014367176B2 (ja)
WO (1) WO2015094441A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10142450B1 (en) * 2015-08-27 2018-11-27 Sprint Communications Company L.P. Custom mobile telecommunication device configuration management
CN105162604B (zh) * 2015-09-25 2019-02-15 广州密码科技有限公司 一种基于特征图像识别的验证方法、服务器及系统
US10824932B2 (en) * 2016-04-29 2020-11-03 Microsoft Technology Licensing, Llc Context-aware digital personal assistant supporting multiple accounts
CN107026832B (zh) 2016-10-10 2021-01-15 创新先进技术有限公司 账户登录方法、设备和服务器
WO2018083880A1 (ja) * 2016-11-01 2018-05-11 ソニー株式会社 情報処理装置、情報処理方法、およびプログラム
CN108009439B (zh) * 2016-11-28 2021-06-08 北京车和家信息技术有限责任公司 资源请求的方法、装置及系统
CN106843526A (zh) * 2017-01-16 2017-06-13 上海斐讯数据通信技术有限公司 一种基于输入法的帐号管理系统及其使用方法
CN107396363B (zh) * 2017-08-21 2021-06-25 上海掌门科技有限公司 一种用于对用户设备进行无线连接预授权的方法与设备
US10606937B2 (en) 2017-11-10 2020-03-31 International Business Machines Corporation Dynamic contribution mapping of digital works
US11281802B2 (en) * 2019-05-31 2022-03-22 Apple Inc. Providing obfuscated user identifiers for managing user-specific application state on multiuser devices
US11593082B2 (en) * 2020-04-10 2023-02-28 Apple Inc. Registered applications for electronic devices

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030196120A1 (en) * 2000-08-28 2003-10-16 Contentguard Holdings, Inc. Method and apparatus for automatic deployment of a rendering engine
WO2002023432A1 (en) 2000-09-12 2002-03-21 Cunningham Stephen J Tracking method and system for marketing software
JP2005339247A (ja) * 2004-05-27 2005-12-08 Secured Communications:Kk 双方向ワンタイムid認証システム及び認証方法
US8302170B2 (en) 2008-09-22 2012-10-30 Bespoke Innovations S.A.R.L. Method for enhancing network application security
JP5375976B2 (ja) * 2010-01-22 2013-12-25 富士通株式会社 認証方法、認証システムおよび認証プログラム
US9178947B2 (en) 2010-03-03 2015-11-03 Blackberry Limited Method, system and apparatus for configuring a device for interaction with a server
US8473749B1 (en) 2012-07-09 2013-06-25 Ping Identity Corporation Methods and apparatus for preprovisioning authentication tokens to mobile applications
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US9380040B1 (en) * 2013-07-11 2016-06-28 Parallels IP Holdings GmbH Method for downloading preauthorized applications to desktop computer using secure connection

Also Published As

Publication number Publication date
US20180262508A1 (en) 2018-09-13
WO2015094441A1 (en) 2015-06-25
AU2014367176A1 (en) 2016-02-11
US10484383B2 (en) 2019-11-19
EP3085052B1 (en) 2019-01-16
JP2016533604A (ja) 2016-10-27
AU2014367176B2 (en) 2017-06-08
US20150180846A1 (en) 2015-06-25
US9973504B2 (en) 2018-05-15
US20160112426A1 (en) 2016-04-21
US9258291B2 (en) 2016-02-09
EP3085052A1 (en) 2016-10-26

Similar Documents

Publication Publication Date Title
US11082426B2 (en) Identifying accounts having shared credentials
US10880287B2 (en) Out of box experience application API integration
JP6161827B2 (ja) クライアントアプリケーションがコンテンツ管理システム上のユーザアカウントにアクセスすることの予備認証
AU2015363218B2 (en) No password user account access
US9961053B2 (en) Detecting compromised credentials
US9027097B2 (en) Client application assisted automatic user log in
JP6381776B2 (ja) コンテンツアイテムの共有のための未登録ユーザアカウントの生成
JP6175181B2 (ja) 同期したオンラインコンテンツ管理システムのためのローカルサーバ
US9928051B2 (en) System and method for installing a client application using a light installer

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170613

R150 Certificate of patent or registration of utility model

Ref document number: 6161827

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250