JP6625636B2 - サービスとしてのアイデンティティインフラストラクチャ - Google Patents
サービスとしてのアイデンティティインフラストラクチャ Download PDFInfo
- Publication number
- JP6625636B2 JP6625636B2 JP2017527822A JP2017527822A JP6625636B2 JP 6625636 B2 JP6625636 B2 JP 6625636B2 JP 2017527822 A JP2017527822 A JP 2017527822A JP 2017527822 A JP2017527822 A JP 2017527822A JP 6625636 B2 JP6625636 B2 JP 6625636B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- identity
- user
- security
- broker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013515 script Methods 0.000 claims description 67
- 230000006870 function Effects 0.000 claims description 53
- 244000035744 Hura crepitans Species 0.000 claims description 9
- 238000011161 development Methods 0.000 claims description 7
- 238000013475 authorization Methods 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 claims description 3
- 238000002955 isolation Methods 0.000 claims description 2
- 238000012217 deletion Methods 0.000 claims 1
- 230000037430 deletion Effects 0.000 claims 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 30
- 238000007726 management method Methods 0.000 description 23
- 230000007246 mechanism Effects 0.000 description 22
- 238000000034 method Methods 0.000 description 9
- 238000012550 audit Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000002688 persistence Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000004883 computer application Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000004880 explosion Methods 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000282412 Homo Species 0.000 description 1
- 101001072091 Homo sapiens ProSAAS Proteins 0.000 description 1
- 101150096185 PAAS gene Proteins 0.000 description 1
- 102100036366 ProSAAS Human genes 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- User Interface Of Digital Computer (AREA)
- Telephonic Communication Services (AREA)
- Stored Programmes (AREA)
- Traffic Control Systems (AREA)
Description
現在、個人、企業および他の組織、並びに国家は、それらの活動におけるほぼ全ての分野で、コンピュータハードウェア、コンピュータ実施サービス、またはコンピュータ支援プロセスを含むコンピューティングを用いる。コンピューティングへの依存は、機密データおよび機密性の高い機能、または他者がアクセスした場合ユーザに害を及ぼすことになるデータおよび機能に及ぶまで広がっている。個人ユーザは、電話番号、電子メールアドレス、および他の連絡先情報を追跡するためにスマートフォンのコンピューティング能力を使用し得る。たとえば被雇用者などの企業ユーザは、給料の決定および支払いのためにコンピュータ化された給与システムを使用し得る。国家は、国家防衛および機密性の高い公共インフラストラクチャのためにコンピューティングを使用し得る。その結果、これらの活動はいずれも機密データおよび機密性の高い機能を含み、そのどちらも、コンピュータおよび/またはコンピュータ支援/実施サービスの任意の潜在的ユーザが保護しようと努めるものである。
上述したように、認証は、多くの場合、有効であり得る予想通りのクレデンシャルを提示することによって、ユーザ、人間、機械、またはその他が自称するものであることを証明することである。ユーザと、ユーザ自身のそれぞれのクレデンシャルとが重なることが、そのユーザのアイデンティティである。アイデンティティの概念は、ユーザセキュリティをカプセル化する抽象的概念である。したがって、アイデンティティ管理は、認証、承認、および監査を含むコンピュータセキュリティ機能のサブセットであるが、たとえば暗号インフラストラクチャなど基礎となる保護メカニズムではない。
アイデンティティインフラストラクチャサーバ102は、アプリケーション開発者がアイデンティティおよびユーザ管理サービスへアクセスするためのシングルポイントを提供するソフトウェアサービスのセットである。具体的には、たとえば認証、承認、および監査などの特定の機能がアイデンティティインフラストラクチャサーバ102において実行され得る。それによってアイデンティティインフラストラクチャサーバ102は、様々なデータおよび機能にわたり、任意のアイデンティティプロバイダを用いて、任意のセキュリティコンテキストの生成をもたらす。
上述したように、アイデンティティインフラストラクチャサーバ102は、アイデンティティ管理およびユーザ管理機能、エンタープライズ/LANおよび外部データベース/クラウドサービスに関して、また様々なプロトコル、データフォーマットに関して、並びに様々なアイデンティティプロバイダおよびセキュリティデリゲートに対して、一様なAPIを公開する。
セキュリティ委任のための接続
アイデンティティインフラストラクチャサーバ102は通常、セキュリティを実装することはなく、むしろブローカーセキュリティがアイデンティティプロバイダおよびセキュリティデリゲートを形成する。したがって、アイデンティティインフラストラクチャサーバ102は、ネイティブアイデンティティプロバイダを介してネイティブセキュリティを公開し、接続106を介して多種多様なセキュリティデリゲートとのインタフェース接続を提供する。接続は、エンタープライズセキュリティ146、クラウドサービス148、または第三者認証プロバイダ150に委任し得る。
アイデンティティインフラストラクチャサーバ102は、多種多様な認証プロトコルをサポートする。したがって、アイデンティティインフラストラクチャサーバ102は、特定の認証プロトコルをサポートする外部コンポーネント108を利用してよい。たとえばOAuth2.0は、アイデンティティインフラストラクチャサーバ102から遠隔にある信頼される第三者サーバを利用してよい。そのようなシナリオにおいて、アイデンティティインフラストラクチャサーバ102は、これらの第三者コンポーネント108とインタフェース接続する。
アイデンティティインフラストラクチャサーバ102は、クレデンシャル、認証拡張スクリプト、メタデータ、およびアイデンティティインフラストラクチャサーバ102の動作中に使用される他のデータを格納するための外部永続化サーバ110を有する。永続化サーバは、限定されないが、リレーショナルデータベース管理サーバ(「RDMBS」)またはオブジェクト指向データベース、列指向データベース、またはNoSQLデータベースであってよい。
アイデンティティインフラストラクチャサーバ102は、アイデンティティ管理だけではなくユーザ管理および認証機能を提供するダッシュボード112を介して操作される。ダッシュボード112は、ユーザプロビジョニングが行われるユーザ管理機能152を含む。アプリケーションプリファレンスは、アプリケーションコンポーネント154を介して設定され得る。接続コンポーネント156を介して接続が追加、削除、編集、または設定され得る。拡張スクリプトエディタ158は、入力および接続のインタフェースとなるスクリプトを介して、アプリケーション権利に関するユーザの承認のプログラム制御を提供する。ダッシュボード112は、図6を参照して更に詳しく説明される。
ダッシュボード112はまた、監査および報告機能114もサポートする。管理者は、たとえばログオン試行、失敗した試行、およびアクセスしたアプリケーションなど、ユーザのアイデンティティに関連する全ての活動をレビューしてよい。報告機能は、多種多様な分析機能および報告を提供することによって、事前の、リアルタイムの、および反応的な監査を支援する。分析機能および報告は、図7を参照して更に詳しく説明される。
図2は、意味的保証付きアプリケーションの自動ポーティングのためのハードウェア環境200の考えられる1つの実施形態を示す。
(概観)
サービスとしてのアイデンティティは、従来技術によってもたらされない利点を生み出す。アイデンティティおよびセキュリティ機能が集中化されることにより、セキュリティコンテキストの信頼境界が複数回交差せず、その結果、動作と報告との統合が簡単になる。以下、図1を参照して説明されたようなアイデンティティインフラストラクチャを備える選択されたコンポーネントが説明される。
ユーザの認証は、ユーザがシステム全体に関して認証されるか、またはシステムから締め出されるかのいずれかである単純な2項演算から進化を遂げてきた。認証は、システムの一部に対する特定の個別的権利をトリガし得るだけではなく、条件付きであってもよい。システムの特定の部分に特化した権利を許可するための条件のカプセル化は、規則と呼ばれる。たとえば管理者は、3つの特定のマシンのみに対してアクセスが許可され、特定のファイルに対する読取専用の権利が許可される、一時的技術者のロールを構成してよい。
ユーザがログインする場合、ユーザは、特定のセキュリティコンテキストのための特定のセキュリティメカニズムを介してログインする。その特定のセキュリティメカニズムへの、およびその特定のセキュリティコンテキストへのログインに関するユーザの状態は、複数のフィールドにおいて捕捉されてよい。また、その特定のコンテキストに関するユーザのアイデンティティを備える追加のフィールドがユーザに関連付けられてよい。これらのフィールドのセットは、ユーザスキーマを構成する。
アイデンティティサーバの少なくとも一部は、サンドボックス、すなわち分離されたプログラム実行エリアにおいて実行されてよい。図4は、サンドボックス内で実行中のアイデンティティサーバの典型的なコンテキスト400を示す。サンドボックスは拡張スクリプトエンジンによって動かされ、その拡張スクリプトがアイデンティティサービスのプログラム拡張を構成する。拡張スクリプトは全てのアイデンティティおよびクライアントリソースへのアクセスを有するので、サンドボックスは、プログラム拡張の構成要素である拡張スクリプトによって実行され得る変更の範囲を制限し得る。
アプリケーションプログラマに共通の課題は、ログオンダイアログボックスを開発することである。従来、各アプリケーションは、アプリケーションおよびアイデンティティプロバイダの各入れ替え(permutation)のための、カスタムビルトのダイアログを必要とした。オープン認証プロトコルの出現がプロセスを簡略化し、唯一の認証プロトコルが使用されるようになった。しかし、サービスとしてのアイデンティティの場合、複数の認証プロトコルおよび複数のアイデンティティプロバイダがアプリケーションによってアクセスされ得る。これによって、ユニバーサルログインウィジェットが可能になる。図5は、ユニバーサルログインウィジェットの図500である。
アイデンティティサーバは、拡張性に富んだモデルを提供する。アイデンティティサーバは、アイデンティティプロバイダの接続の種類にかかわらず、一貫したAPIをアプリケーションに提示する。たとえば、フェイスブック(登録商標)などのソーシャルネットワークプロバイダが呼び出されるか、またはウィンドウズ(登録商標)認証を介したローカルLANかにかかわらず、アプリケーションは単純にアイデンティティサーバAPIを呼び出すことに依存してよい。この拡張性は、接続のセットによって可能になる。
管理者は、アイデンティティサーバのコア能力を管理するために用いられる集中ダッシュボードへのアクセス権を有する。具体的には、管理者は、アイデンティティプロバイダ、複数のアプリケーション、複数のユーザ、および複数のプログラム拡張への複数の接続を追加し、互いに関連付けてよい。たとえば、Gメール(登録商標)へのアイデンティティプロバイダ接続は2つのアプリケーションに関連付けられてよく、それによってこれらのアプリケーションは、自身の認証スキームのためにGメール(登録商標)認証を用いる。ユーザはロールに関連付けられ得る。ユーザおよび/またはロールは、特定のアプリケーションに対する権利を付与され得る。権利は、上述したように、プログラム拡張に従って制約されてよい。典型的なダッシュボード600のトップレベルビューが図6に示され、規則エディタユーザインタフェース700が図7に示される。
(概観)
以下のサブセクションは、サービスとしてのアイデンティティを備えたアイデンティティおよび/またはセキュリティサービスの集中化によって可能になるいくつかの使用事例を説明する。
上述したように、従来技術の結果として、各アイデンティティプロバイダは独自のサイロ内に存在した。アイデンティティプロバイダのコンテキストの外側にあるアプリケーションがアクセスされた場合は常に、独自のクレデンシャルのセットによる個別のログオンが提示された。極端な例は、たとえばエンタープライズ認証などのオンプレミス認証、およびたとえばウェブサービスによるものなどのオフプレミス認証である。開発者の観点から見ると、各アイデンティティプロバイダおよびアプリケーションの入れ替えは、独自のカスタム認証コードベースを受け取るものであった。また、オフプレミスは従来オンプレミスと比べて安全性に欠けると見られていたため、オフプレミスコードはより限定的でヘビーウェイトである傾向があった。
上述したように、ログインウィジェットは属性を提供し、それが設定されるとウェブサービスにサインアップするためまたはパスワードを再設定するためのウェブリンクがもたらされる。サインアップ/パスワード再設定機能は、ログインウィジェットおよびアイデンティティサーバのコンテキスト外で実行されるので、サインアップ/パスワード再設定機能に関する追加のデータ/メタデータを得ることは困難であり得る。
認証およびアイデンティティ機能を集中化することにより、ログオン使用ごとおよび認証スキームごとの支払いが可能になる。たとえば、アプリケーションは、Gメール(登録商標)を介した一部のユーザログオンおよびフェイスブック(登録商標)を介した他のユーザログオンを有してよい。開発者が、使用回数ごとに、または他の制約に基づいて(たとえば月極加入などのように時間ごとに)課金するアプリケーションを有する場合、ログオン時に今後の請求書作成のための課金レコードを書き込むように規則が実装され得る。あるいは、請求書を準備するためにユーザログオンの課金可能なインスタンスを列挙するために、別の課金アプリケーションがアイデンティティサーバに問い合わせてもよい。
アイデンティティサーバは、アプリケーションとアイデンティティプロバイダとの間に様々なカーディナリティを提供する。したがって、複数のアイデンティティプロバイダが単一のアイデンティティプロバイダに委任するシングルサインオン(「SSO」)は、アイデンティティサーバに当然備わるシナリオである。SSOは、複数のアイデンティティプロバイダを有する複数のアプリケーションを、1つのアイデンティティプロバイダに対する複数のアプリケーションに低減することで概念化され得る。
リンク付けアカウントは、単一アプリ内のユーザが、異なる時間に異なるアイデンティティプロバイダを用いて認証し得るものである。したがって、リンク付けアカウントは、複数のアイデンティティプロバイダを有する単一アプリケーションのカーディナリティを有するものとして概念化され得る。具体的には、ユーザは、第1のアイデンティティプロバイダを用いてアプリケーションにログオンする。ユーザはその後アプリケーションから離れ、アプリケーションは時間切れになるとロックする。その後ユーザは、第2のプロバイダを用いて再びアプリケーションにログオンしてよい。同一のアイデンティティサーバによって認証が抽象化されるので、アプリケーションはユーザが離れた場所からアプリケーションセッションを再開し易く、シームレスな移行がもたらされ得る。
アイデンティティサーバは複数のアイデンティティプロバイダへのアクセスを有するので、アプリケーションは多因子認証を利用し得る。多因子認証は、ログオンプロセスが2つ以上の因子を利用するものである。この意図は、1セットのクレデンシャルよりも複数のクレデンシャルをハッキングする方が難しいという理由から、複数のクレデンシャルを提示するユーザは単一セットのクレデンシャルを提示するユーザよりも安全性が高いというものであり、なぜなら、1セットのクレデンシャルよりも複数のクレデンシャルをハッキングする方が難しいからである。
集中アイデンティティサーバは、オンプレミス認証およびオフプレミス認証の両方に関して認証レコードへのアクセスを有する。したがって、管理者は、オンプレミスであるかオフプレミスであるかにかかわらず、複数のアプリケーション、複数のアイデンティティプロバイダにわたり認証アクティビティに関する分析チャートをレビューし得る。図7は、いくつかの典型的な分析報告を提示する。統計報告702は、誰によってどのアプリケーションが最も頻繁に使用されているかの報告を示す。したがって、この報告は、利用行動研究のため、場合によっては指向性広告のために用いられ得る。監査報告704は、失敗したログオン試行を列挙する。複数のアイデンティティプロバイダについて報告されるので、管理者は、どのアイデンティティプロバイダが最も攻撃を受け、どのアイデンティティプロバイダが潜在的に最も弱いかを検出し得る。報告は、地図形式であってよい。地図位置報告706は、ログオン試行の位置の地図を提示する。たとえばオフィスおよび/またはユーザの既知の居住地から遠く離れた場所などの想定外の位置でログオン試行があった場合、管理者は、疑わしいアクティビティを暗示するかを決定し得る。
主題事項は、構造的特徴および/または方法論的行為に特化した言葉で説明されたが、特許請求の範囲において定義される主題事項は必ずしも上述した特定の特徴または行為に限定されるものではないことを理解すべきである。むしろ、上述した特定の特徴または行為は、特許請求の範囲を実施する例示的な形態として開示されるものである。
Claims (12)
- ユーザアイデンティティの認証のために複数のアプリケーションへのアクセスのシングルポイントを提供するように構成されたアイデンティティサービスシステムであって、
外部認証ブローカーにプログラムによるアクセスを提供するように構成されたエンタープライズブローカーアプリケーションプログラミングインタフェース(API)と、
認証ブローカーと、
前記認証ブローカーに結合された1または複数のデータベース接続と、
前記データベース接続に接続された複数のセキュリティデリゲートと、
前記複数のセキュリティデリゲートに結合され、1または複数の拡張スクリプトを格納するように構成されたデータストアと、
前記1または複数の拡張スクリプトによって実行され得る変更の範囲を制限するように動作可能なサンドボックスと
を備えるシステム。 - 前記複数のセキュリティデリゲートは、(i)エンタープライズセキュリティ、(ii)クラウドサービス、および(iii)第三者認証プロバイダ、の少なくとも1つに委任するように動作可能である、請求項1に記載のシステム。
- 前記外部認証ブローカーは、前記エンタープライズブローカーAPIから、(i)認証データフォーマット、(ii)プロトコル、(iii)およびカスタムクレデンシャルストア、の少なくとも1つへの呼出しを実行する、請求項1に記載のシステム。
- 複数の認証技術へのプログラムによるアクセスを提供するように構成された外部認証APIを更に備え、前記外部認証APIは、(i)前記認証ブローカー、および(ii)前記複数のセキュリティデリゲートの少なくとも1つを呼び出すように動作可能な前記1または複数のデータベース接続、のうちの少なくとも1つと通信するように構成される、請求項1に記載のシステム。
- 前記外部認証APIは、ログオンウィジェットを介してシングルサインオン機能を提供するように構成される、請求項4に記載のシステム。
- 前記セキュリティデリゲートは、(i)クラウドサービス、(ii)インターネットホスト型サービス、および(iii)ローカルエリアネットワーク(LAN)上でホストされるサービス、の少なくとも1つを含む、請求項1に記載のシステム。
- ユーザの認証時に承認を提供するように動作可能な拡張スクリプトエンジンを更に備える、請求項1に記載のシステム。
- 前記1または複数の拡張スクリプトが組み合わさって、アイデンティティサービスのプログラム拡張を構成する、請求項7に記載のシステム。
- 追加のセキュリティ分離を提供し、少なくとも前記エンタープライズブローカーAPI、前記外部認証ブローカー、および前記認証ブローカーの機能を実行するように動作可能なランタイムを更に備える、請求項1に記載のシステム。
- ユーザアイデンティティの認証のために複数のアプリケーションへのアクセスのシングルポイントを提供するように構成されたアイデンティティサービスシステムであって、
外部認証ブローカーにプログラムによるアクセスを提供するように構成されたエンタープライズブローカーアプリケーションプログラミングインタフェース(API)と、
認証ブローカーと、
前記認証ブローカーに結合された1または複数のデータベース接続と、
前記データベース接続に接続された複数のセキュリティデリゲートと、
前記複数のセキュリティデリゲートに結合され、(i)1または複数のユーザクレデンシャル、(ii)1または複数の拡張スクリプト、および(iii)メタデータ、の少なくとも1つを格納するように構成されたデータストアと、
前記エンタープライズブローカーAPIおよび前記外部認証APIにアクセスするための(i)ツールおよび(ii)ライブラリの少なくとも1つを提供するように構成された、クライアント側のソフトウェア開発キット(SDK)であって、前記SDKの前記ツールは、JAVA(登録商標)スクリプトコードを実行する任意のアプリケーションのログインダイアログのための単体ソースコードを提供するように動作可能なログインウィジェットを含む、SDKと
を備えるシステム。 - ユーザアイデンティティの認証のために複数のアプリケーションへのアクセスのシングルポイントを提供するように構成されたアイデンティティサービスシステムであって、
外部認証ブローカーにプログラムによるアクセスを提供するように構成されたエンタープライズブローカーアプリケーションプログラミングインタフェース(API)と、
認証ブローカーと、
前記認証ブローカーに結合された1または複数のデータベース接続と、
前記データベース接続に接続された複数のセキュリティデリゲートと、
前記複数のセキュリティデリゲートに結合され、(i)1または複数のユーザクレデンシャル、(ii)1または複数の拡張スクリプト、および(iii)メタデータ、の少なくとも1つを格納するように構成されたデータストアと、
ユーザ管理および承認機能を含むダッシュボードであって、前記承認機能は、権利が有効または無効にされるアクションをコンテキスト化する1または複数の拡張スクリプトを備えるプログラム拡張の開発をサポートするように動作可能な拡張スクリプトエディタを含む、ダッシュボードと
を備えるシステム。 - 前記ダッシュボードは、前記データベース接続の(i)追加、(ii)削除、(iii)編集、および(iv)設定の少なくとも1つを行うように動作可能な接続コンポーネントを更に含む、請求項11に記載のシステム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462081552P | 2014-11-18 | 2014-11-18 | |
US62/081,552 | 2014-11-18 | ||
US14/877,316 US10225245B2 (en) | 2014-11-18 | 2015-10-07 | Identity infrastructure as a service |
US14/877,316 | 2015-10-07 | ||
PCT/US2015/061438 WO2016081665A1 (en) | 2014-11-18 | 2015-11-18 | Identity infrastructure as a service |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017539017A JP2017539017A (ja) | 2017-12-28 |
JP6625636B2 true JP6625636B2 (ja) | 2019-12-25 |
Family
ID=55962763
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017527822A Active JP6625636B2 (ja) | 2014-11-18 | 2015-11-18 | サービスとしてのアイデンティティインフラストラクチャ |
Country Status (9)
Country | Link |
---|---|
US (1) | US10225245B2 (ja) |
EP (1) | EP3207661B1 (ja) |
JP (1) | JP6625636B2 (ja) |
KR (1) | KR102520361B1 (ja) |
AR (1) | AR102688A1 (ja) |
AU (1) | AU2015349886B2 (ja) |
CA (1) | CA2968248C (ja) |
MX (1) | MX2017006511A (ja) |
WO (1) | WO2016081665A1 (ja) |
Families Citing this family (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
US9998446B2 (en) * | 2014-08-29 | 2018-06-12 | Box, Inc. | Accessing a cloud-based service platform using enterprise application authentication |
CN105187372B (zh) * | 2015-06-09 | 2018-05-18 | 深圳市腾讯计算机系统有限公司 | 一种基于移动应用入口的数据处理方法、装置和系统 |
US20170006118A1 (en) * | 2015-06-30 | 2017-01-05 | SkyKick, Inc. | Use and configuration of templates for management of cloud providers |
US10542044B2 (en) * | 2016-04-29 | 2020-01-21 | Attivo Networks Inc. | Authentication incident detection and management |
US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
CN109565511B (zh) * | 2016-09-16 | 2021-06-29 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
KR101816653B1 (ko) * | 2017-02-14 | 2018-02-21 | 주식회사 코인플러그 | 스마트 컨트랙트 및 블록체인 데이터베이스를 사용하여 서비스 제공 서버에 의하여 제공되는 서비스를 이용하기 위한 사용자의 로그인 요청에 대하여 pki 기반의 인증을 통해 로그인을 대행하는 방법 및 이를 이용한 서버 |
CN107222536A (zh) * | 2017-05-31 | 2017-09-29 | 济南浪潮高新科技投资发展有限公司 | 一种云物联平台适配终端的方法 |
US10462171B2 (en) | 2017-08-08 | 2019-10-29 | Sentinel Labs Israel Ltd. | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking |
US10782880B2 (en) | 2017-08-30 | 2020-09-22 | Electronics And Telecommunications Research Institute | Apparatus and method for providing storage for providing cloud services |
US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
US11568039B2 (en) * | 2018-06-03 | 2023-01-31 | Apple Inc. | Credential manager integration |
US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
EP3751532A1 (en) * | 2019-06-13 | 2020-12-16 | Rohde & Schwarz GmbH & Co. KG | Remote access and control system and corresponding method |
US11032134B2 (en) | 2019-06-18 | 2021-06-08 | International Business Machines Corporation | Providing and managing an adapter as a service (AaaS) brokering service |
US11916912B2 (en) | 2019-08-21 | 2024-02-27 | Aeris Communications, Inc. | Method and system for providing secure access to IoT devices using access control |
US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
CN111753264B (zh) * | 2020-07-01 | 2023-11-21 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
US11627126B2 (en) | 2020-08-20 | 2023-04-11 | Bank Of America Corporation | Expedited authorization and access management |
US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
US11797701B1 (en) * | 2021-02-01 | 2023-10-24 | OneIQ Corp. | Secure data collaboration |
US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
US11734408B2 (en) * | 2021-07-15 | 2023-08-22 | Citrix Systems, Inc. | Remapping of uniform resource locators for accessing network applications |
Family Cites Families (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003528358A (ja) * | 1998-08-24 | 2003-09-24 | 富士通株式会社 | ワークフローシステムおよび方法 |
US6651168B1 (en) * | 1999-01-29 | 2003-11-18 | International Business Machines, Corp. | Authentication framework for multiple authentication processes and mechanisms |
US7032002B1 (en) * | 2000-09-06 | 2006-04-18 | Xanboo, Inc. | Service broker for processing data from a data network |
JP5576005B2 (ja) * | 2000-11-07 | 2014-08-20 | 株式会社三菱東京Ufj銀行 | 認証代行装置 |
US7370351B1 (en) * | 2001-03-22 | 2008-05-06 | Novell, Inc. | Cross domain authentication and security services using proxies for HTTP access |
WO2003017125A1 (en) | 2001-08-07 | 2003-02-27 | Tatara Systems, Inc. | Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks |
US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
US7167551B2 (en) * | 2001-12-12 | 2007-01-23 | International Business Machines Corporation | Intermediary device based callee identification |
US7073195B2 (en) | 2002-01-28 | 2006-07-04 | Intel Corporation | Controlled access to credential information of delegators in delegation relationships |
JP4676703B2 (ja) * | 2003-03-20 | 2011-04-27 | 株式会社リコー | ユーザ認証装置、ユーザ認証方法、ユーザ認証プログラム及び記録媒体 |
US7428750B1 (en) * | 2003-03-24 | 2008-09-23 | Microsoft Corporation | Managing multiple user identities in authentication environments |
US7831693B2 (en) * | 2003-08-18 | 2010-11-09 | Oracle America, Inc. | Structured methodology and design patterns for web services |
US9130921B2 (en) * | 2003-09-30 | 2015-09-08 | Ca, Inc. | System and method for bridging identities in a service oriented architectureprofiling |
US7607008B2 (en) * | 2004-04-01 | 2009-10-20 | Microsoft Corporation | Authentication broker service |
US8458467B2 (en) | 2005-06-21 | 2013-06-04 | Cisco Technology, Inc. | Method and apparatus for adaptive application message payload content transformation in a network infrastructure element |
US7991764B2 (en) * | 2005-07-22 | 2011-08-02 | Yogesh Chunilal Rathod | Method and system for communication, publishing, searching, sharing and dynamically providing a journal feed |
US9177124B2 (en) * | 2006-03-01 | 2015-11-03 | Oracle International Corporation | Flexible authentication framework |
US7913084B2 (en) | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
US7657639B2 (en) * | 2006-07-21 | 2010-02-02 | International Business Machines Corporation | Method and system for identity provider migration using federated single-sign-on operation |
US8689287B2 (en) * | 2006-08-17 | 2014-04-01 | Northrop Grumman Systems Corporation | Federated credentialing system and method |
US8281378B2 (en) | 2006-10-20 | 2012-10-02 | Citrix Systems, Inc. | Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation |
US20080148298A1 (en) * | 2006-12-18 | 2008-06-19 | Palm, Inc. | System and Methods for Providing Granular Security for Locally Running Scripted Environments and Web Applications |
US9110685B2 (en) * | 2008-03-25 | 2015-08-18 | Qualcomm, Incorporated | Apparatus and methods for managing widgets in a wireless communication environment |
US20090293117A1 (en) | 2008-05-21 | 2009-11-26 | Mei Yan | Authentication for access to software development kit for a peripheral device |
US8869257B2 (en) * | 2008-05-27 | 2014-10-21 | Open Invention Network, Llc | Identity selector for use with a user-portable device and method of use in a user-centric identity management system |
US8032932B2 (en) * | 2008-08-22 | 2011-10-04 | Citibank, N.A. | Systems and methods for providing security token authentication |
EP2359570B1 (en) * | 2008-08-29 | 2018-12-19 | NEC Corporation | Process for providing network access for a user via a network provider to a service provider |
KR20130010911A (ko) * | 2008-12-05 | 2013-01-29 | 소우셜 커뮤니케이션즈 컴퍼니 | 실시간 커널 |
US8843997B1 (en) | 2009-01-02 | 2014-09-23 | Resilient Network Systems, Inc. | Resilient trust network services |
US8887308B2 (en) | 2010-03-21 | 2014-11-11 | William Grecia | Digital cloud access (PDMAS part III) |
US8402555B2 (en) | 2010-03-21 | 2013-03-19 | William Grecia | Personalized digital media access system (PDMAS) |
US8533860B1 (en) | 2010-03-21 | 2013-09-10 | William Grecia | Personalized digital media access system—PDMAS part II |
US8881227B2 (en) * | 2010-03-30 | 2014-11-04 | Authentic8, Inc. | Secure web container for a secure online user environment |
EP2558923A4 (en) * | 2010-04-12 | 2014-11-19 | Google Inc | EXTENSION FRAMEWORK FOR AN ENTRY METHOD EDITOR |
US9189649B2 (en) * | 2010-06-25 | 2015-11-17 | International Business Machines Corporation | Security model for workflows aggregating third party secure services |
US8863225B2 (en) * | 2010-06-29 | 2014-10-14 | International Business Machines Corporation | Generalized identity mediation and propagation |
EP2676220A4 (en) * | 2011-02-17 | 2018-01-03 | Taasera, Inc. | System and method for application attestation |
US20130205028A1 (en) * | 2012-02-07 | 2013-08-08 | Rackspace Us, Inc. | Elastic, Massively Parallel Processing Data Warehouse |
US9405896B2 (en) | 2011-04-12 | 2016-08-02 | Salesforce.Com, Inc. | Inter-application management of user credential data |
JP5797060B2 (ja) * | 2011-08-24 | 2015-10-21 | 株式会社野村総合研究所 | アクセス管理方法およびアクセス管理装置 |
US9268933B2 (en) * | 2012-08-22 | 2016-02-23 | Mcafee, Inc. | Privacy broker |
JP2014142736A (ja) * | 2013-01-23 | 2014-08-07 | Canon Inc | サービスプロバイダ装置、サービスプロバイダ装置を制御するための制御方法、およびプログラム |
US9355223B2 (en) * | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
EP2989770A1 (en) * | 2013-04-26 | 2016-03-02 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
FR3008837B1 (fr) * | 2013-07-19 | 2015-08-07 | In Webo Technologies | Procede d'authentification forte |
US9197644B1 (en) * | 2014-01-30 | 2015-11-24 | Dell Software Inc. | System and method for multitenant management of domains |
-
2015
- 2015-10-07 US US14/877,316 patent/US10225245B2/en active Active
- 2015-11-18 WO PCT/US2015/061438 patent/WO2016081665A1/en active Application Filing
- 2015-11-18 EP EP15860530.3A patent/EP3207661B1/en active Active
- 2015-11-18 AR ARP150103755A patent/AR102688A1/es active IP Right Grant
- 2015-11-18 MX MX2017006511A patent/MX2017006511A/es unknown
- 2015-11-18 JP JP2017527822A patent/JP6625636B2/ja active Active
- 2015-11-18 KR KR1020177016659A patent/KR102520361B1/ko active IP Right Grant
- 2015-11-18 CA CA2968248A patent/CA2968248C/en active Active
- 2015-11-18 AU AU2015349886A patent/AU2015349886B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
MX2017006511A (es) | 2018-05-17 |
AR102688A1 (es) | 2017-03-15 |
EP3207661B1 (en) | 2021-12-29 |
AU2015349886A1 (en) | 2017-06-08 |
WO2016081665A1 (en) | 2016-05-26 |
KR102520361B1 (ko) | 2023-04-11 |
EP3207661A4 (en) | 2018-05-02 |
EP3207661A1 (en) | 2017-08-23 |
CA2968248C (en) | 2023-09-19 |
JP2017539017A (ja) | 2017-12-28 |
CA2968248A1 (en) | 2016-05-26 |
AU2015349886B2 (en) | 2020-05-07 |
US10225245B2 (en) | 2019-03-05 |
US20160142399A1 (en) | 2016-05-19 |
KR20170107967A (ko) | 2017-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6625636B2 (ja) | サービスとしてのアイデンティティインフラストラクチャ | |
US11881937B2 (en) | System, method and computer program product for credential provisioning in a mobile device platform | |
AU2019347708B2 (en) | Systems and methods for consistent enforcement policy across different saas applications via embedded browser | |
US9223807B2 (en) | Role-oriented database record field security model | |
US20140331060A1 (en) | User and Device Authentication in Enterprise Systems | |
US10198560B2 (en) | Enforcing licensing policies using an application wrapper | |
US11531929B2 (en) | Systems and methods for machine generated training and imitation learning | |
US11411904B2 (en) | Systems and methods for filtering notifications for end points associated with a user | |
US20220353256A1 (en) | Usage-limited passcodes for authentication bootstrapping | |
US20220207105A1 (en) | Systems and methods for deep linking of saas application via embedded browser | |
Freato | Microsoft Azure Security | |
Copeland et al. | Reduce Cyber Security Vulnerabilities: Identity Layer | |
Edge et al. | Identity and Device Trust | |
Singh et al. | Practical out-of-band authentication for mobile applications | |
Fovino et al. | Electronic soft identities (e-IDs) | |
Vleju | Client-centric identity and access management in cloud computing/eingereicht von: Mircea Boris Vleju | |
ONDRUSEK | Investigating low-coding secu issues |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180907 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190320 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190329 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190603 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191111 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191127 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6625636 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |