JP6895431B2 - アクセス管理のためのパスワードレス認証 - Google Patents

アクセス管理のためのパスワードレス認証 Download PDF

Info

Publication number
JP6895431B2
JP6895431B2 JP2018520463A JP2018520463A JP6895431B2 JP 6895431 B2 JP6895431 B2 JP 6895431B2 JP 2018520463 A JP2018520463 A JP 2018520463A JP 2018520463 A JP2018520463 A JP 2018520463A JP 6895431 B2 JP6895431 B2 JP 6895431B2
Authority
JP
Japan
Prior art keywords
access
user
data
information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018520463A
Other languages
English (en)
Other versions
JP2019501557A (ja
JP2019501557A5 (ja
Inventor
シャーストリー,ベヌゴパル・パドマナブハン
チットゥリ,スリーニバサ・アール
モトゥクル,バムシ
バートカンデ,マンダー
ジョシ,スニル・クマール
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2019501557A publication Critical patent/JP2019501557A/ja
Publication of JP2019501557A5 publication Critical patent/JP2019501557A5/ja
Application granted granted Critical
Publication of JP6895431B2 publication Critical patent/JP6895431B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)

Description

関連出願の相互参照
本PCT特許出願は、2015年10月23日に出願され「アクセス管理のためのパスワードレス認証(PASSWORD-LESS AUTHENTICATION FOR ACCESS MANAGEMENT)」と題された米国仮出願第62/245,891号に基づく利益および優先権を主張し、その内容全体をあらゆる目的のために本明細書に引用により援用する。
背景
概して本願はデータ処理に関する。より具体的には本願は多段認証の技術に関する。
現代のビジネスは、ビジネス活動にとって不可欠な情報を制御し生成する多様なアプリケーションおよびシステムに依拠している。アプリケーションが異なれば当該アプリケーションが提供するサービスおよび情報は多くの場合異なっており、異なるユーザが各システムまたはアプリケーションの中で異なるレベルの情報へのアクセスを要求する場合がある。ユーザに与えられるアクセスのレベルは、当該ユーザの職務に応じて決まることがある。たとえば、マネージャは直属の部下である従業員に関する特定の情報にアクセスする必要がある場合があるが、このマネージャが直属の上司に関する同じ情報にアクセスすることは不相応である場合がある。
これまでは、複雑度の低いアプリケーションがアクセス管理ビジネスロジックを直接アプリケーションコードに組込んでいた。すなわち、各アプリケーションは、ユーザが、たとえば別々のアカウントを有し別々のポリシーロジックを有し別々の許可を得ることを求めるであろう。さらに、あるユーザがこれらのアプリケーションのうちの1つによって認証された場合、この認証は、企業内の他のアプリケーションには知られていないままである。なぜなら、第1のアプリケーションによる認証が行なわれたという事実は共有されないからである。このように、認証およびアクセス制御に対して異なるシステムを使用するアプリケーション間には信頼の概念が存在しない。技術者たちは、企業内のアプリケーションごとにアクセス管理システムを持つことは車ごとに給油所を持つことに良く似ていることを直ちに認識し、認証およびアクセス制御は共有リソースとすればより効率的に実現され管理されるであろうと判断した。これらの共有リソースはアクセス管理システムとして知られるようになった。
アクセス管理システムは、ポリシーおよびその他のビジネスロジックを使用することにより、特定のアクセス要求を特定のリソースに与えるべきか否かを判断することが多い。アクセスを与えるべきであると判断すると、トークンが要求者に対して与えられる。このトークンは、制限されているデータを守っている扉を開くために使用できる鍵のようなものである。たとえば、ユーザは、給与情報等の特定の従業員に関する情報を収集するために人事データベースにアクセスしようと試みる場合がある。このユーザのウェブブラウザはアプリケーションに要求するが、それには認証が必要である。ウェブブラウザがトークンを有していない場合、ユーザはアクセス管理システムにアクセスすることを要求される。このユーザが認証されると、ユーザのブラウザは、人事アプリケーションにアクセスするために使用し得るトークンを表わすクッキーを受信する。
企業では、ユーザ(たとえば従業員)は通常1つ以上の異なるシステムおよびアプリケーションにアクセスし得る。これらのシステムおよびアプリケーションは各々、異なるアクセスコントロールポリシーを使用し異なる資格証明(credential)(たとえばユーザ名およびパスワード)を要求する場合がある。シングルサインオン(single sign-on:SSO)は、ユーザが最初のログイン後に複数のシステムおよびアプリケーションにアクセスできるようにする。たとえば、ユーザは、その作業コンピュータにログインすると、システムおよびアプリケーション等のその他の1つ以上のリソースにアクセスすることもできる。アクセス管理システムは、ユーザに対してそのアイデンティティを立証することを要求してリソースへのアクセスを判断する場合がある。ユーザは、「ユーザが所有しているもの(what you have)」、「ユーザが知っていること(what you know)」、および「ユーザ自身の特性(who you are)」の組合わせに基づく情報を要求される場合がある。
アクセス管理システムは、クライアントデバイス上のグラフィカルユーザインターフェイスを用いて、ユーザの資格証明を立証するための情報をユーザに出させることができる。ユーザに要求する情報は時折、もし含まれていれば個人のアイデンティティおよび私的情報(たとえば財務情報または口座情報)を脅かすかもしれない秘密の機密情報を含むことがある。その結果、ユーザは、リソースへのアクセスを得るためにサーバ等のシステムに機密情報を提供しようとするときに、この情報を要求するシステムが実際にこれらのリソースへのアクセスを制御していることが不確かなままで、当該システムに機密情報を提供することを躊躇する場合がある。
なりすましやフィッシング等の技術を利用したID盗難の技術に基づく進歩が続いているので、ユーザは、資格情報を、受信者がアクセス管理システムであるか否かが不確かなままで提供することをますます躊躇するようになっている。アクセス管理システムも、資格情報のソースの信憑性について確信が持てない。場合によっては、クライアントシステムがワンタイムコード(たとえばパスワード)を受信し、クライアントシステムを操作するユーザがアクセス管理システムを介してリソースにアクセスできるようにしてもよい。クライアントシステムは、破壊されたまたは盗まれた場合には、クライアントシステムを操作するユーザが、認可されていないリソースへのアクセスを、ワンタイムコードを用いて得ることができるようにしてもよい。
パスワードは、ユーザを認証しアクセスを提供するための認められた標準であったが、パスワードには、人々はパスワードを忘れるまたはパスワードを推測し易いものにするといった問題がある。階層化されたセキュリティおよび複数の認証ファクタの使用が、不正行為を防止するためのより安全な方法として普及しつつある。
簡単な概要
本開示はアクセス管理システムに関する。特定の技術はパスワードレス認証を可能にすることに関する。これらの技術は、さまざまなリスクファクタ(デバイス、場所等)を考慮して複数のセキュリティ層を提供することにより、正規ユーザが簡単な認証方法を有し必要とするリソースにアクセスできるようにしつつ、詐欺師がシステムに介入しにくくすることを保証する。モバイル機器の使用が増加する中で、本明細書に開示される技術により、モバイルデバイスをマルチファクタ認証の信頼のポイントとして機能させることができる。本開示のアクセス管理システムは、デバイスに基づくユーザの文脈的詳細を利用することにより、デバイスの所有に基づいて確実にユーザが認証されるようにすることができる。
アクセス管理システムは、ユーザに関連するデバイス(たとえばモバイルデバイス)および/または場所(たとえば地理的場所)の登録を調整することができる。一旦登録されると、当該デバイスおよび/または場所は、これらのデバイスおよび/または場所に関連するユーザへのアクセスに際し、アクセス管理システムによって信頼されることができる。アクセス管理システムは、信頼されているデバイスおよび/または場所のいずれかに関連するユーザのパスワードレス認証を可能にし得る。アクセス管理システムに登録されたデバイスを用いて、ユーザはリソースにアクセスすることができる。アクセス管理システムに登録されたデバイスを利用してパスワードレス認証を行なうことにより、信頼されているデバイスおよび/または場所のユーザを認証することができる。登録されたデバイスを所有しているということが、信頼のポイントとして機能することにより、当該デバイスに関連するユーザが、過去に認証されたユーザと同じく正規ユーザであることを保証できる。
少なくとも実施形態において、デバイスフィンガープリンティング技術および地理的位置技術を利用することにより、確実に、アクセスを要求しているユーザが存在するデバイスまたはデバイスに関連する場所を、信頼できるものとして認定できる。デバイスまたは場所を信頼できるものとして登録するために、アクセス管理システムは、1つ以上の認証プロセス(たとえばマルチファクタ認証)を使用し得る。たとえば、マルチファクタ認証は、ユーザのアカウントに対して予め登録されているデバイス(たとえば携帯電話)を用いたバンド外検証プロセス(out-of-band verification process)を使用することを含み得る。一旦登録されると、デバイスはパスワードレス認証のために使用されて、パスワードレス認証を実行する異なるデバイスに送信されるセキュリティデータを捕捉することができる。予め登録されたデバイスにおけるさらなる認証(たとえば生体認証)を用いて、ユーザがパスワードレス認証を実行するのを許可する前に、当該ユーザを確実に識別してもよい。モバイルデバイスに基づくユーザの文脈上の詳細事項を用いて、アクセス管理システムに予め登録されているデバイスの所有に基づいて、ユーザの認証を行なうことができる。
アクセス管理システムは、暗号化されたデータが埋め込まれているセキュリティデータを生成することにより、パスワードレス認証を実行してもよい。このセキュリティデータは、パスワードレス認証を実行する予定の第1のデバイスに送信することができる。ユーザによって登録された第2のデバイスは、第1のデバイスからセキュリティデータを取得することができる。第2のデバイスは、アクセス管理システムから提供されたセキュリティ情報(たとえば鍵)を用いて当該データを解読することができる。第2のデバイスは、解読したデータを検証のためにアクセス管理システムに送信することができる。検証に成功すると、アクセス管理システムは、パスワードレス認証によりアクセスを可能にするメッセージを第1のデバイスに送信することができる。
本明細書に開示されている技術により、パスワードレス認証のための複数の異なる認証プロセスを使用することができる。デバイスフィンガープリンティングおよび地理的場所は、アクセスを要求しているデバイスを確実に特定できる。アウトオブバンド認証(たとえばワンタイムパスワード)を用いることにより、ユーザに機密アクセスを認可させることができる。登録されたデバイスにおいて、ローカル認証のためにバイオメトリクス(biometrics)を使用してアクセスを制御することにより、さらに、ユーザが所有するデバイスのセキュリティを保証することができる。セキュリティデータに対して暗号化を使用することにより、パスワードレス認証に使用されるデバイスと、パスワードレス認証が要求されるデバイスとの間の通信を、安全なものにすることができる。登録されたデバイスをオーセンティケータとして使用することを含む複数の認証技術を用いることにより、セキュリティを改善して、アクセス管理システムを介したアクセスに欠陥はないことを保証することができる。
いくつかの実施形態において、アクセス管理システムは、本明細書に開示される方法および動作を実現するように構成されたコンピュータシステムを含み得る。コンピュータシステムは、1つ以上のプロセッサと、この1つ以上のプロセッサがアクセス可能であり1つ以上の命令を格納する1つ以上のメモリとを含み得る。この命令は、上記1つ以上のプロセッサによって実行されると、この1つ以上のプロセッサに、本明細書に開示される方法および動作を実現させる。さらに他の実施形態は、本明細書に開示される方法および動作についての命令を用いるまたは格納するシステムおよびマシン読取可能な有形の記憶媒体に関する。
少なくとも1つの実施形態において、方法は、第1のデバイスから、リソースへのアクセスを求めるユーザの要求を受信するステップを含む。方法は、この要求に基づき、要求に先立つ第1のデバイスにおけるユーザの認証に基づいてユーザのために第1のデバイスが登録されていると判断するステップを含み得る。方法は、第1のデバイスを用いてリソースにアクセスするユーザの認証を判断するためのセキュリティデータを生成するステップを含み得る。セキュリティデータは、ユーザに関する情報に基づく第1のデータを含み得る。第1のデータは暗号鍵に基づいて暗号化される。方法は、ユーザがアクセス管理システムに登録した第2のデバイスに、暗号鍵を送信するステップを含み得る。第2のデバイスは第1のデバイスとは異なる。第2のデバイスはモバイルデバイスであってもよく、第1のデバイスはコンピュータシステムであってもよい。方法は、セキュリティデータを第1のデバイスに送信するステップを含み得る。第1のデバイスはセキュリティデータを第1のデバイスのインターフェイスに提示する。方法は、セキュリティデータに含まれる第1のデータの解読に基づいて第2のデバイスが生成した第2のデータを、第2のデバイスから受信するステップを含み得る。第1のデータの解読は、第2のデバイスにより、第2のデバイスに送信された暗号鍵を用いて実行される。セキュリティデータは、第2のデバイスにより、第1のデバイスにおけるセキュリティデータの提示から取得されてもよい。方法は、第2のデータが第1のデータに含まれる情報を含むか否かを判断するステップを含み得る。方法は、第2のデータが情報を含むという判断に基づいて、第1のデバイスがリソースにアクセスすることを可能にするステップを含み得る。
いくつかの実施形態において、セキュリティデータを第1のデバイスにおいて提示することは、セキュリティデータを第1のデバイスにおいて表示することである。セキュリティデータは、セキュリティを提示するために第1のデバイスにおいて表示されるクイックレスポンス(QR)コードを含む。セキュリティデータに含まれる第1のデータはQRコード(登録商標)に埋め込まれてもよい。
いくつかの実施形態において、方法は、第1のデバイスにおけるユーザの認証を判断するための1つ以上の認証プロセスに基づいて、ユーザのために第1のデバイスが登録されていると認定するステップを含み得る。暗号鍵は、ユーザのために第2のデバイスが登録されていると認定されると、第2のデバイスに送信される。第2のデバイスは、第2のデバイスにおけるアクセスのためのユーザの認証に基づいて、ユーザが、第2のデバイスを操作して、第1のデバイスにおけるセキュリティデータの提示から、セキュリティデータを取得できるようにしてもよい。第2のデバイスにおけるアクセスのためのユーザの認証は、ユーザの登録のために提供された過去のバイオメトリクス入力に基づいてユーザの生体認証を実行することを含み得る。
いくつかの実施形態において、要求は第1のデバイスを特定する情報を含む。第1のデバイスを特定する情報に対応付けられたユーザの認証に基づいて、第1のデバイスは第1のデバイスにより登録されていると認定されてもよい。
いくつかの実施形態において、ユーザの認証は、第1の認証プロセスと第2の認証プロセスとを含む1つ以上の認証プロセスに基づいて判断される。第2の認証プロセスは第1の認証プロセスと異なり得る。方法はさらに、要求に先立って、第1の認証プロセスを実行するステップを含み得る。第1の認証プロセスは、第1のデバイスから受信したユーザの資格証明情報を検証することを含み得る。方法は、要求に先立って、一時アクセス情報を第2のデバイスに送信するステップと、一時アクセス情報を第1のデバイスから受信するステップとを含み得る。方法は、要求に先立って、第2の認証プロセスを実行するステップを含み得る。第2の認証プロセスは、受信した一時アクセス情報が、第2のデバイスに送信された一時アクセス情報に一致すると判断することを含み得る。いくつかの実施形態において、一時アクセス情報は、第2の認証プロセスにおいて一時アクセス情報が有効な期間に対応付けられた個人識別番号である。
いくつかの実施形態において、方法は、リソースにアクセスすることが可能にされたことを示すメッセージを第1のデバイスに送信するステップを含む。第1のデバイスは、第1のデバイスにおいてグラフィカルインターフェイスを生成することによりリソースへのアクセスを可能にしてもよい。
これまでに述べたことは、その他の特徴および実施形態とともに、以下の明細書、請求項、および添付の図面を参照すれば、より明らかになるであろう。
以下、本開示の例示的な実施形態について以下の図面を参照しながら詳細に説明する。
一実施形態に係るアクセス管理システムによるアクセスのマルチファクタ認証を可能にするためのシステムの概略図を示す。 一実施形態に係るアクセス管理システムによるアクセスのマルチファクタ認証を可能にするための動作を示すシーケンス図を示す。 一実施形態に係るアクセス管理システムによるアクセスのマルチファクタ認証を可能にするための動作を示すシーケンス図を示す。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 アクセス管理システムによるアクセスのマルチファクタ認証を可能にするインターフェイスを示す図である。 いくつかの実施形態に係る認証のプロセスのフローチャートの例を示す図である。 いくつかの実施形態に係る認証のプロセスのフローチャートの例を示す図である。 一実施形態を実現するための分散システムの簡略図を示す。 本開示の一実施形態に係る、サービスをクラウドサービスとして提供し得るシステム環境の1つ以上のコンポーネントの簡略ブロック図を示す。 本開示の一実施形態を実現するために使用し得る例示的なコンピュータシステムを示す図である。
詳細な説明
以下の説明では、説明を目的として、本開示の実施形態が十分に理解されるよう、具体的な詳細事項について述べる。しかしながら、これらの具体的な詳細事項がなくてもさまざまな実施形態を実施し得ることは明らかであろう。たとえば、回路、システム、アルゴリズム、構造、技術、ネットワーク、プロセス、およびその他のコンポーネントは、実施形態を不必要に詳細にして曖昧にすることを避けるためにブロック図の形態で示す場合がある。数字および説明は限定を意図したものではない。
I.パスワードレス認証のためのアクセス管理システムの大まかな概要
複数のクライアント、たとえばコンピューティングデバイス104およびコンピューティングデバイス114を用いるマルチファクタ認証のための、システム、方法、およびマシン読取可能な媒体等のいくつかの実施形態が開示される。図1は、ユーザ(たとえばユーザ102)がデバイスを「信頼できるデバイス」として登録することにより、アクセス管理システム140によるパスワードレス認証を可能にすることを示す。パスワードレス認証は、アクセス管理システムを介してユーザの認証のためにデバイスを「信頼できる」デバイスとして登録することにより、リソースへのアクセスを可能にすることができる。信頼できるデバイスは、これらのデバイスに関連するユーザをパスワードレス認証するために登録することができる。デバイスで特定される地理的な場所を「信頼できる場所」として登録してもよく、「信頼できる場所」は、検出されると、登録後にパスワードレス認証を実現できる場所になることができる。
システム100は、シングルサインオン(SSO)アクセスを提供することができる。SSOセッションは、資格証明情報(たとえばユーザ名およびパスワード)の認証に基づいた最初の認証の後に、ユーザが1つ以上のシステムにアクセスできるようにすることができる。システムにアクセスすることにより、1つ以上のリソースにアクセスすることができる。リソースは、アプリケーション、文書、ファイル、電子コンテンツおよび/またはその他等の、コンピューティングシステムによって管理および/または格納される何らかのアイテムを含み得る。リソースは、ユニフォーム・リソース・ロケータ(URL)またはリソースのソースを示すその他のデータによって特定し得る。
クライアントは、コンピューティングデバイス、またはコンピューティングデバイス上で実行するアプリケーションを含み得る。図1において、コンピューティングデバイス104(たとえばデスクトップコンピュータシステム)は、コンピューティングデバイス104上で実行するアプリケーション106を含み得る。アプリケーション106は、オンラインアプリケーションストア、たとえばアプリストア180等のソースからダウンロードしてもよい。アプリケーション106は、リソースへのアクセスを制御するためにアクセス管理システム140と通信するアクセス管理ポータル(たとえば「OOWアクセスポータル」)へのアクセスを提供するウェブブラウザであってもよい。コンピューティングデバイス114(たとえばモバイルデバイス)は、コンピューティングデバイス114上で実行するアプリケーション116を含み得る。アプリケーション116はアプリストア180からダウンロードしてもよい。アプリケーション116は、アクセス管理システム140のために認証を管理する認証アプリケーションであってもよい。アプリケーションの一例は、Oracle社が提供するモバイルオーセンティケータアプリケーションであってもよい。以下で説明するように、アプリケーション106、116を用いてクライアントをアクセス管理システム140に登録することができる。アプリケーション106はリソースへのアクセスを提供するのに対し、アプリケーション116はコンピューティングデバイス104におけるユーザ102の登録およびパスワードレス認証を可能にする。
説明のために、本明細書に記載の「セッション」はSSOセッションを含むが、セッションは、ユーザへのアクセスを可能にするその他の種類のセッションを含み得る。アクセス管理システム140は1つ以上のリソースへのアクセスを提供し得る。アクセス管理システム140は、SSOセッションを確立して1つ以上のリソースへのSSOアクセスを提供することができる、サインオンシステム、たとえばSSOシステムを実現し得る。
リソースは、限定される訳ではないが、ファイル、ウェブページ、文書、ウェブコンテンツ、コンピューティングリソース、またはアプリケーションを含み得る。たとえば、システム100は、アプリケーション120および/またはアプリケーション120を通してアクセス可能なコンテンツ等のリソースを含み得る。リソースは、アプリケーションを用いて要求してアクセスすることができる。たとえば、アプリケーションは、リソースサーバのウェブページへのアクセスを、要求するリソースを特定するURLに基づいて要求してもよい。リソースは、SSOシステムでユーザ102が認証されると1つ以上のリソースへのアクセスを提供する1つ以上のコンピューティングデバイス、たとえばリソースサーバによって、提供されてもよい。
アクセス管理システム140は、コンピューティングシステムによって実現されてもよい。このコンピューティングシステムは、1つ以上のコンピュータおよび/またはサーバ(たとえば1つ以上のアクセスマネージャサーバ)を含み得る。これは、汎用コンピュータ、専用サーバコンピュータ(一例として、PCサーバ、UNIX(登録商標)サーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウント式のサーバ等を含む)、サーバファーム、サーバクラスタ、分散型サーバ、またはその他適切な構成および/またはその組合わせであってもよい。アクセス管理システム140は、オペレーティングシステム、または、HTTPサーバ、FTPサーバ、CGIサーバ、Java(登録商標)サーバ、データベースサーバ等を含むその他さまざまなサーバアプリケーションおよび/またはミッドティアアプリケーションのうちのいずれかを実行し得る。代表的なデータベースサーバは、限定される訳ではないが、Oracle、Microsoft等から市販されているものを含む。アクセス管理システム140は、ハードウェア、ファームウェア、ソフトウェア、またはその組合わせを用いて実現し得る。
いくつかの実施形態において、アクセス管理システム140は、スケーラビリティおよび高いアベイラビリティを可能にする、データセンターにおけるクラスタとしてデプロイされた複数のコンピューティングデバイス(たとえばアクセスマネージャサーバ)として実現されてもよい。このような地理的に分散された複数のデータセンターとアクセスマネージャサーバクラスタとを(有線または無線)接続することにより、マルチデータセンター(multi-data center:MDC)システムを構成することができる。MDCシステムは、企業コンピュータネットワーク内のアクセスサーバの高アベイラビリティ、負荷分散、およびディザスタリカバリ要求を満たし得る。MDCシステムは、アクセス管理システム140のSSOサービスをサポートするための単一の論理アクセスサーバとして作用し得る。
アクセス管理システム140は、少なくとも1つのメモリと、1つ以上の処理ユニット(またはプロセッサ)と、記憶装置とを含み得る。処理ユニットは、適宜、ハードウェア、コンピュータで実行可能な命令、ファームウェア、またはその組合わせとして実現し得る。いくつかの実施形態において、アクセス管理システム140は、いくつかのサブシステムおよび/またはモジュールを含み得る。たとえば、アクセス管理システム140は、ハードウェア、ハードウェア上で実行されるソフトウェア(たとえばプロセッサが実行可能なプログラムコード、命令)、またはその組合わせで実現し得るアクセスマネージャ142を含み得る。いくつかの実施形態において、ソフトウェアは、メモリ(たとえば非一時的なコンピュータ読取可能な媒体)、メモリデバイス、またはその他何らかの物理メモリに格納されてもよく、1つ以上の処理ユニット(たとえば1つ以上のプロセッサ、1つ以上のプロセッサコア、1つ以上のGPU等)によって実行されてもよい。コンピュータで実行可能な命令または処理ユニットのファームウェアによる実装は、本明細書に記載のさまざまな動作、機能、方法、および/またはプロセスを実行するために何らかの適切なプログラミング言語で記述された、コンピュータにより実行可能なまたはマシンにより実行可能な命令を含み得る。メモリは、処理ユニット上でロード可能かつ実行可能なプログラム命令ならびにこれらのプログラムの実行中に生成されたデータを格納し得る。メモリは、揮発性(ランダムアクセスメモリ(RAM)等)および/または不揮発性(読取専用メモリ(ROM)、フラッシュメモリ等)であってもよい。メモリは、コンピュータ読取可能な記憶媒体等のいずれかの種類の永続性記憶装置を用いて実現されてもよい。いくつかの実施形態において、コンピュータ読取可能な記憶媒体は、悪意のあるコードを含む電子通信からコンピュータを守るように構成されてもよい。コンピュータ読取可能な記憶媒体は、プロセッサ上で実行されると本明細書に記載の動作を実行させる命令を含み得る。
コンピューティングデバイス104、114は各々、1つ以上の通信ネットワークを介してアクセス管理システム140と通信し得る。アクセス管理システム140は、1つ以上の通信ネットワーク170を介してコンピューティングデバイス104と通信し得る。アクセス管理システム140は、1つ以上の通信ネットワーク130を介してコンピューティングデバイス114と通信し得る。通信ネットワークの例は、モバイルネットワーク、無線ネットワーク、セルラーネットワーク、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、その他の無線通信ネットワーク、またはその組合わせを含み得る。
図1は、ユーザ102が、アクセス管理システム140との通信に参加することにより、クライアント(たとえばコンピューティングデバイス104)でのユーザのアクションに基づいてユーザのアクセスが拒否されないようにすることができる一例を示す。この例において、コンピューティングデバイス114を操作しているユーザ102は、たとえば、アプリケーション120のうちのいずれか1つまたはアプリケーション120を通してアクセス可能なリソースである、アプリケーション106等のリソースへのアクセスを試みることができる。ユーザ102に関する資格証明情報の認証に成功すると、ユーザ102はアプリケーション120にアクセスし得る。ユーザ102は、資格証明情報を提供しようと試みることがあり、この試みを数回行って失敗に終わると、ユーザ102はアクセスを拒否される。アクセスは、アクセスの試みのしきい値回数に達した場合に拒否されてもよい。アクセス管理システム140は、宛先、たとえばコンピューティングデバイス114と通信することにより、一時アクセス情報をユーザに提供することができる。ユーザはこの一時アクセス情報をコンピューティングデバイス104のアクセス管理システムに提供することにより、このユーザのアクセスが拒否されないようにすることができる。
ユーザ102は、アプリケーションへのアクセスを試みるとき、アクセス管理システム140を介してユーザのアカウントへのアクセスを管理するアプリケーション(たとえばアプリケーション106)を操作してもよい。たとえば、アプリケーション106は、そのうちのいくつかが本明細書に開示されているグラフィカルユーザインターフェイス(Graphical User Interface:GUI)等のインターフェイスを提示し得るアクセス管理アプリケーションであってもよい。このアプリケーションは、サービス(たとえばクラウドサービス)またはネットワークベースのアプリケーションの一部として提供されてもよい。アプリケーションは、アクセス管理システム140が提供するサービスにユーザがアクセスしてこのサービスを実行することを可能にし得る。アクセス管理システム140は、これまでの開示において説明した1つ以上のサービスまたはソフトウェアアプリケーションを実行するように構成されてもよい。たとえば、アクセス管理システム140は、リソースへのアクセスの管理(たとえばアクセスの付与/拒否)、自動サインオン、アプリケーションパスワードの変更およびリセット、セッション管理、アプリケーション資格証明プロビジョニング、ならびにセッションの認証を含む、多数のSSOサービスを提供し得る。いくつかの実施形態において、アクセス管理システム140は、実行されているまたはクライアントデバイスからアクセスされている、Windows(登録商標)アプリケーション、ウェブアプリケーション、Java(登録商標)アプリケーション、およびメインフレーム/ターミナルベースのアプリケーション等の、アプリケーション120の自動シングルサインオン機能を提供することができる。先に述べたように、アクセス管理システム140は、クライアントデバイス(たとえばコンピューティングデバイス114)を操作しているユーザ(たとえばユーザ102)の認証を実行し得る。認証は、ユーザを検証して当該ユーザが主張されているユーザであるか否かを判断するプロセスである。
アクセス管理システム140はまた、非仮想および仮想環境を含み得るサービスまたはソフトウェアアプリケーションを提供してもよい。いくつかの実施形態において、これらのサービスは、クライアントのユーザに対し、ウェブベースのサービスのもしくはクラウドサービスとして、または、サービスとしてのソフトウェア(Software as a Service:SaaS)モデルの下で提供されてもよい。アクセス管理システム140が提供するサービスは、アプリケーションサービスを含み得る。アプリケーションサービスは、SaaSプラットフォームを介してアクセス管理システム140から提供されてもよい。SaaSプラットフォームは、SaaSカテゴリに属するサービスを提供するように構成されてもよい。SaaSプラットフォームは、SaaSサービスを提供するために、基礎となるソフトウェアおよびインフラストラクチャを管理および制御し得る。SaaSプラットフォームが提供するサービスを利用することにより、顧客は、クラウドインフラストラクチャシステムとして実現し得るアクセス管理システム140において実行されているアプリケーションを利用することができる。ユーザは、顧客が別のライセンスおよびサポートを購入しなくても、アプリケーションサービスを得ることができる。多様なSaaSサービスを提供できる。クライアントを操作しているユーザは、1つ以上のアプリケーションを利用して、アクセス管理システム140とやり取りすることにより、アクセス管理システム140のサブシステムおよび/またはモジュールが提供するサービスを利用することができる。
いくつかの実施形態において、アクセス管理システム140は、データストア160(「ポリシー」)に格納されている1つ以上のポリシーを用いることにより、リソースへのアクセスを制御してもよい。ポリシー160は、所与のリソースについてアクセスを提供しなければならないユーザを認証するために使用すべき認証方法を特定する認証ポリシーを含み得る。ポリシー160は、リソースアクセスを保護する方法を規定する(たとえば暗号化の種類等)。ポリシー160は、ユーザまたはユーザグループがリソースへのアクセスを得る条件を特定する認証ポリシーを含み得る。たとえば、アドミニストレータは、特定のリソースへのアクセスについて、あるグループ内の特定のユーザを認証するだけでよい。アクセス管理システム140は、ポリシー160のうちの1つ以上に基づいてSSOセッションのための認証を判断してもよい。
アクセス管理システム140はまた、メモリ記憶装置またはその他の非一時的なコンピュータ読取可能な記憶媒体等のいずれかの種類のパーシステント記憶装置を用いて実現し得るその他の記憶装置を含んでもよい、またはそれに結合されてもよい。いくつかの実施形態において、ローカル記憶装置は、1つ以上のデータベース(たとえば文書データベース、リレーショナルデータベース、またはその他の種類のデータベース)、1つ以上のファイルストア、1つ以上のファイルシステム、またはその組合わせを含み得るまたは実現し得る。たとえば、アクセス管理システム140は、アクセスデータ150、ポリシー160、アプリストア180、およびクライアント登録データ190(「クライアント登録データ」)等のデータを格納するための1つ以上のデータストアに結合されているまたはそれを含む。メモリおよびその他の記憶装置はすべて、コンピュータ読取可能な記憶媒体の例である。たとえば、コンピュータ読取可能な記憶媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュール、またはその他のデータ等の情報を格納するための何らかの方法または技術において実現された、揮発性または不揮発性、リムーバブルまたはノンリムーバブルな媒体を含み得る。
アクセスマネージャ142は、処理を管理することにより、ユーザ102がリソースにアクセスするのに有効なセッションが存在するか否かを判断してもよい。アクセスマネージャ142は、要求された、保護されているリソースにユーザ102がアクセスするのに有効なセッションを検査する。アクセスマネージャ142は、ユーザ102に適用可能な1つ以上のアクセスポリシーの検討に基づいてユーザ102のためのセッションの妥当性を評価してもよい。ユーザ102にとって有効なセッションは存在しないという判断に基づいて、アクセスマネージャ142は、ユーザ102に資格証明情報(資格証明)を要求してもよい。資格証明情報の認証に成功すると、要求されたリソースを含み得る1つ以上のリソースへのアクセスをユーザに与えることができる。アクセスマネージャ142は、マルチファクタ認証を実現することにより、ユーザの認証を判断してもよい。マルチファクタ認証は、複数の異なる認証技術の使用を含み得る。
いくつかの実施形態において、アクセスマネージャ142は、コンピューティングデバイス104等の、ユーザに関連するクライアントを登録することができる。クライアントは、図2Aに示されるように、異なるクライアント、たとえばコンピューティングデバイス114を用いて登録してもよい。地理的位置情報を含む、登録されたクライアントに関する情報は、クライアント登録データ190に格納してもよい。ユーザの認証資格証明は、アクセスデータ150に格納してもよい。登録中、アクセスマネージャ142は、クライアント、たとえばコンピューティングデバイス104およびコンピューティングデバイス114と共有するセキュリティ情報(たとえば1つ以上の暗号鍵)を生成または決定することにより、アクセス管理システム140によるデバイスの登録およびマルチファクタ認証をサポートしてもよい。暗号鍵はアクセスデータ150に格納してもよい。本明細書に開示される暗号化の実行は、周知の1つ以上の暗号化技術を使用し得る。セキュリティデータは、アクセスマネージャ142によって生成されてもよく、または別のシステムによって予め生成されてもよい。セキュリティデータは、登録されたユーザのために指定された暗号鍵を用いて暗号化されてもよい。
ユーザ102は、コンピューティングデバイス104を操作してアプリケーション106を使用することにより、アクセス管理システム140が提供するポータル(たとえばウェブページ)にアクセスし、コンピューティングデバイス104、114等のデバイスを信頼できる認証デバイスとして登録することができる。コンピューティングデバイス104は、このポータルを通して、アクセス管理システム140に対し、デバイスを登録するための特徴にアクセスすることを要求してもよい。要求がコンピューティングデバイス104に伝達されることもあり、そうすると、コンピューティングデバイス104は、この要求に応じて、ユーザ102に、セッションの認証を判断するためのユーザ資格証明を出すよう促してもよい。この要求は、資格証明情報を受けるための、ウェブページまたはユーザインターフェイス(たとえばウェブページ、ポータル、またはダッシュボード)への情報(たとえばURL)を含み得る。アクセスマネージャ142は、ユーザ102のために資格証明情報を認証するための動作を実行してもよい。いくつかの実施形態において、アクセスマネージャ142は、ユーザの認証に成功した場合に確立されるセッションに関する情報を格納してもよい。SSOセッション(たとえばSSO認証されたセッション)の場合、SSOセッションは、ユーザのために資格証明情報が認証されたことに基づいてユーザがアクセス可能なすべてのリソースへのアクセスを可能にするSSOセッションとして管理されてもよい。アクセスマネージャ142は、保護されているリソースを判断することができ、認証セッションに基づいて、セッションが許可および/または制限されるリソースを判断することができる。
デバイス(たとえばコンピューティングデバイス114)が、パスワードレス認証のためのモバイルオーセンティケータとして使用するのに信頼できるデバイスとして登録されると、当該デバイスを用いて、ポータルにおけるリソースへのアクセスのその後の試みに対してパスワード認証を実行することができる。たとえば、コンピューティングデバイス114を、コンピューティングデバイス104において提示されたセキュリティデータを取込むことにより、ユーザをパスワードレス認証するために使用してもよい。コンピューティングデバイス104が信頼できるデバイス/場所として登録された後、アクセスマネージャ142は、リソースへのアクセス要求がコンピューティングデバイス104から出されると、パスワードレス認証を用いてユーザ102の認証を判断してもよい。アクセスマネージャ142は、暗号化された情報を含むセキュリティデータを生成してコンピューティングデバイス104に送信してもよい。コンピューティングデバイス104はセキュリティデータをユーザ102に対して提示してもよい。コンピューティングデバイス114は、コンピューティングデバイス104が提示したセキュリティデータを取得190してもよい。コンピューティングデバイス114はコンピューティングデバイス104と通信することによってこのセキュリティデータを取得することができる。図2Bは、デバイスの登録後のパスワードレス認証の例を示す。アクセスマネージャ142は、アクセスマネージャ142がセキュリティ情報(たとえばセキュリティ鍵)を登録されたデバイスに伝えることにより、これらのデバイスがパスワードレス認証のオーセンティケータとして動作できるように、信頼できるデバイスに関する情報を管理することができる。パスワードレス認証技術については本明細書においてさらに開示される。
コンピューティングデバイス104、114とアクセス管理システム140との間の通信は、ゲートウェイシステムを通して受信できる。このゲートウェイシステムはアクセス管理サービスをサポートし得る。たとえば、シングルサインオン(SSO)ゲートウェイは、エージェント(たとえばウェブゲートエージェント)等の1つ以上のアクセスエージェントを実現することにより、クライアントおよびアクセス管理システム140からの要求のバランスを取るおよび/または扱うことができる。いくつかの実施形態において、アクセス管理システム140は、コンピューティングデバイス114、104と、アクセス管理システム140のために実現されるアクセスマネージャのうちのいずれか1つとの間の通信のエージェント‐サーバモデルに従って、システム100内に実現されてもよい。このエージェント‐サーバモデルは、エージェントコンポーネント(たとえばゲートウェイシステム)とサーバコンポーネントとを含み得る。エージェントコンポーネントは、ホストシステムにおいてデプロイされてもよく、サーバコンポーネントは、サーバ、たとえばアクセスマネージャサーバにおいてデプロイされてもよい。コンピューティングデバイス114は、ワークステーション、パーソナルコンピュータ(PC)、ラップトップコンピュータ、スマートフォン、ウェアラブルコンピュータ、またはその他のネットワーク接続された電子デバイスであってもよい。
アクセス管理システム140は、ユーザ102に対し、チャレンジの形態で認証資格証明を要求し得る(たとえばコンピューティングデバイス114におけるユーザのウェブブラウザを介して)。いくつかの実施形態において、ユーザ102は、コンピューティングデバイス114上で実行されているクライアントを通して、またはコンピューティングデバイス114上のウェブブラウザを通して、SSOユーザインターフェイスにアクセスできる。SSOユーザインターフェイスはアクセス管理システム140において実現されてもよい。アクセス管理システム140は、SSOユーザインターフェイスへのアクセスを可能にするSSOユーザインターフェイスまたは情報(たとえばURL)を送信してもよい。
いくつかの実施形態において、SSOユーザインターフェイスは、ユーザ102が通常利用するアプリケーションのリストを含み得る。ユーザ102は、SSOユーザインターフェイスを通して、アプリケーションに関連するユーザの資格証明およびポリシーを管理することができる。ユーザ102が、あるアプリケーション、たとえばアプリケーション140へのアクセスをSSOユーザインターフェイスを通して要求するとき、要求は、コンピューティングデバイス114からアクセス管理システム140に送信されて、ユーザ102に適用可能な1つ以上のポリシー160から、当該アプリケーションのポリシータイプが判断されてもよい。アクセス管理システム140は、ユーザにとって有効なセッションが存在するか否かを判断してもよく、存在する場合、このポリシータイプに基づいてユーザ102の資格証明情報を判断することができる。
いくつかの実施形態において、要求は、ユーザ102が資格証明を取出すことを許可されるか否かを判断するために使用できる過去のログインからの認証クッキーを含み得る。許可されると、ユーザはこの資格証明を用いてアプリケーションにログインできる。いくつかの実施形態において、エージェントは、アクセス管理システムから提供されたSSOサービスを用いてユーザがアプリケーション120にアクセスすることを可能にすることができる。アクセスは、先ずSSOユーザインターフェイスにアクセスすることなく、または、コンピューティングデバイス114上で実行しているクライアントを使用することなく、ウェブブラウザを通して直接与えられてもよい。ユーザ102が許可されない場合、アクセス管理システムはユーザ102に資格証明を要求してもよい。SSOユーザインターフェイスは、資格証明情報を含む入力を受けるためのインターフェイスを提示してもよい。資格証明情報は、アクセス管理システム140に送信されてユーザ102の認証が判断されてもよい。
いくつかの実施形態において、資格証明の種類は、オラクルアクセス管理(Oracle Access Management)保護リソース、フェデレーションアプリケーション/リソース、およびフォームフィル(form-fill)アプリケーション等によりサポートすることができる。資格証明の種類の例は、スマートカード/プロキシミティカード、トークン、公開鍵基盤(Public Key Infrastructure:PKI)、Windowsログオン、ライトウェイトディレクトリアクセスプロトコル(Lightweight Directory Access Protocol:LDAP)ログオン、バイオメトリクス入力等を含み得る。OAM保護リソースの場合、ユーザ要求を認証してから要求されたリソースに関連するURLに導くことができる。フェデレーションアプリケーションの場合、企業間(business to business:B2B)パートナーアプリケーションおよびSaaSアプリケーションを含むフェデレーションパートナーおよびリソースへのリンクを提供できる。フォームフィルアプリケーションの場合、テンプレートを使用することにより、それを通して資格証明を提出できるアプリケーションウェブページのフィールドを特定することができる。
II.パスワードレス認証のオーセンティケータとしてデバイスを登録するプロセス
図2A、図2B、および図3〜図18に関して開示される実施形態等のいくつかの実施形態は、フローチャート、フロー図、データフロー図、構造図、シーケンス図、またはブロック図として示されるプロセスとして説明することができる。シーケンス図またはフローチャートは、動作を逐次プロセスとして説明する場合があるが、動作のうちの多くは並列にまたは同時に実行し得る。加えて、動作の順序は並べ替えることができる。プロセスは、その動作が完了したときに終了するが、図面に含まれていないその他のステップを有する可能性がある。プロセスは、方法、機能、手順、サブルーチン、サブプログラム等に相当し得る。プロセスが機能に相当する場合、その終了は、当該機能が、コール機能またはメイン機能に戻ることに相当し得る。
図2A、図2B、および図3〜図18を参照しながら説明するプロセス等の本明細書に記載のプロセスは、1つ以上の処理ユニット(たとえばプロセッサコア)、ハードウェア、またはその組合わせによって実行されるソフトウェア(たとえばコード、命令、プログラム)で実現されてもよい。このソフトウェアは、メモリ(たとえばメモリデバイス、非一時的なコンピュータ読取可能な記憶媒体)に格納されていてもよい。いくつかの実施形態において、本明細書のフローチャートに記載されているプロセスは、アクセス管理システム、たとえば図1のアクセス管理システム140のコンピューティングシステムによって実現できる。本開示における特定の一連の処理ステップは、限定を意図したものではない。その他のステップのシーケンスが、代替の実施形態に従って実行されてもよい。たとえば、本開示の代替実施形態は、先に概要を示したステップを異なる順序で実行してもよい。加えて、図面に示される個々のステップは、個々のステップに応じてさまざまなシーケンスで実行し得る複数のサブステップを含み得る。さらに、特定のアプリケーションに応じて、その他のステップを追加または削除してもよい。当業者は多くの変形、修正、および代替形を認識するであろう。
いくつかの実施形態の一局面において、図2A、図2B、および図3〜図18の各プロセスは、1つ以上の処理ユニットによって実行することができる。処理ユニットは、シングルコアまたはマルチコアプロセッサ、プロセッサの1つ以上のコア、またはその組合わせを含む、1つ以上のプロセッサを含み得る。いくつかの実施形態において、処理ユニットは、グラフィックスプロセッサ、デジタル信号プロセッサ(digital signal processor:DSP)等の1つ以上の専用コプロセッサを含み得る。いくつかの実施形態において、複数の処理ユニットのうちの一部またはすべてを、特定用途向け集積回路(application specific integrated circuit:ASIC)またはフィールドプログラマブルゲートアレイ(field programmable gate array:FPGA)等のカスタマイズされた回路を用いて実現することができる。
次に図2Aを参照して、一実施形態に係るパスワードレス認証を可能にするために使用し得るマルチファクタ認証のための動作200の例が示される。アクセス管理システム140を参照しながら説明するこれらの動作は、アクセスマネージャ142によって、またはアクセス管理システム140内の複数のモジュールもしくはブロックによって実現されてもよい。
先ずステップ210において、ユーザは、クライアント202(たとえばコンピューティングデバイス114)を操作して、ソース(たとえばアプリストア180)からのアプリケーション(たとえばモバイルオーセンティケータアプリケーション)にアクセスまたはこれをダウンロードしてもよい。このソースはアクセス管理システム140の一部であってもよい。このアプリケーションを用いて、パスワードレス認証のためにアクセス管理システム140にクライアント202を登録してもよい。クライアント202の登録後に、このアプリケーションを用いてユーザのパスワードレス認証を行なってもよい。
ユーザは、認証プロセスの一部としてクライアント202および204をアクセス管理システム140に登録する必要がある場合がある。このアプリケーションを用いるとき、このアプリケーションは、ユーザに対し、当該ユーザの認証のための資格証明情報の提供を要求してもよい。資格証明情報は、ステップ212でアクセス管理システム140に送信してもよい。ステップ214において、アクセス管理システム140は、ユーザを認証し、一旦認証すれば、このユーザの認証を示すアクセスデータを格納してもよい。ステップ216において、アクセス管理システム140は、セキュリティまたはアクセス情報(たとえば暗号鍵)をクライアント202に送信してもよい。この情報は、アクセス管理システム140からの通信をクライアント202が暗号化できるようにする秘密鍵と公開鍵とを含む鍵の対を含み得る。その後のアクセス管理システム140とクライアント202との間の通信は、これらの鍵によって暗号化されてセキュリティが保証される。
ステップ218において、ユーザはこのアプリケーションを操作することにより、このアプリケーションをパスワードレス認証用に構成することができる。クライアント202を操作することにより、マルチファクタ認証のためのセキュリティ情報を登録することができる。このセキュリティ情報を使用して、パスワードレス認証のためにアプリケーションを使用するためのさらなるセキュリティを構成してもよい。アクセスコード(たとえば4〜6桁のPIN)および生体認証のためのバイオメトリックデータ(たとえば指紋)等のセキュリティ情報が、アプリケーションへのアクセスのために登録されてもよい。その後のアプリケーションのすべての使用に際し、ユーザは、セキュリティ情報を提供することにより、パスワードレス認証のために信頼できるデバイスを使用するためのさらなるセキュリティを保証しなければならないであろう。
ステップ220において、ユーザは、異なるクライアントであるクライアント204(たとえばコンピューティングデバイス104等のデスクトップコンピュータ)を操作することにより、アクセス管理システム140により保護されるリソースにアクセスしてもよい。このアクセスは、リソースにアクセスするためのユーザの認証に基づいていてもよい。リソースは、アプリケーション(たとえばブラウザ)において提示されるグラフィカルユーザインターフェイス等のインターフェイスを通してアクセスされてもよい。アクセスを判断するために、アクセス管理システム140のアプリケーションが、認証プロセスを容易にしてもよい。認証は、パスワードレス認証のためにその他のデバイスを信頼できるデバイスとして登録することを含み得る。アプリケーションは、デバイスの登録を容易にするためのインタラクティブコントロールを提供してもよい。登録プロセスは、シングルまたはマルチファクタ認証を用いてユーザを認証することを含み得る。ステップ220において、ユーザは、アクセス管理システム140が提供するアプリケーションとやり取りすることにより、リソースへのアクセスを管理してもよい。アプリケーションには、リソースにアクセスできるようになる前に、アクセスのためのインターフェイス(たとえばポータル)に提示されてもよい。インターフェイスの一例が図3に示される。リソースは、図10に示されるようなインターフェイスを介して提供されてもよい。このインターフェイスにより、ユーザが将来の認証のために使用するデバイスの登録を要求できるようにしてもよい。
クライアント204は、クライアント202等のその他の信頼できるデバイスの登録を容易にするデバイスであってもよい。クライアント204は、インターフェイスを提供することにより、クライアント202、204をパスワードレス認証のために登録できるようにしてもよい。ステップ220において、クライアント204は、信頼できるデバイスとして登録されることを求める要求をアクセス管理システム140に送信してもよい。いくつかの実施形態において、この要求は、デバイス情報またはリソースを要求するときに使用されるアプリケーションに関する情報等の、クライアント204に関する情報を含み得る。このような情報は、ブラウザのバージョン、プラグイン等のファクタに基づいて決定されてもよい。上記要求は、ブラウザのIPアドレスから得られるユーザの地理的場所を含み得る。この情報は、クライアント204および/またはアプリケーションによって決定されてもよい。この要求は、デバイスの登録を要求するユーザに関する情報を含み得る。
少なくとも1実施形態において、ユーザがデバイスの登録のためにアクセスを要求すると、ステップ222において、アクセス管理システム140は、当該ユーザの認証を判断してクライアント202を登録してもよい。アクセス管理システム140は、当該ユーザがアクセス管理システム140によって認証されるか否かを判断することができ、認証される場合、許可されたアクセスがパスワードレス認証のためのデバイスの登録を含むか否かを判断することができる。いくつかの実施形態において、アクセス管理システム140はさらに、認証が要求されているデバイスが既に登録されているデバイスであるか否かを判断してもよい。アクセス管理システム140はさらにステップ220において要求からの情報を用いることにより、登録が要求されているデバイスにいずれかのデバイスが対応するか否かを判断してもよい。いくつかの実施形態において、アクセス管理システム140は、要求における場所情報が、ユーザのアクセスに関連する場所等のユーザに関連する情報に一致するか否かを判断することができる。ユーザに関する情報は、アクセス管理システムがアクセスできる人事システム等の権威ソースから取得してもよい。アクセス管理システム140は、デバイス/デバイスが登録される地理的場所を求め、これが、そのリポジトリからの、ユーザの信頼できるデバイス/地理的場所のうちの1つであるか否かを確認してもよい。デバイスは、以前にユーザがこのデバイスを用いて認証されていれば、信頼される。この例において、クライアント204は信頼されていないので、アクセス管理システム140は、このデバイスは認証されていないと判断してもよい。
ステップ224においてユーザはクライアント204では認証されないと判断すると、アクセス管理システム140は、ユーザを認証してデバイスを登録するための資格証明情報(「資格証明」)を求める要求を送信してもよい。クライアント204は、アクセス管理システム140からの要求に基づいて、アプリケーションにおいてユーザを促して資格証明情報を要求してもよい。いくつかの実施形態において、資格証明情報は、アクセス管理システム140によって実現されるSSOプロセスの一部として自動的にアクセス管理システム140に提供されてもよい。ステップ226において、ユーザは資格証明情報をアプリケーションに提供してもよく、このアプリケーションは当該資格証明情報をユーザの認証のためにアクセス管理システム140に送信する。
ステップ228において、アクセス管理システム140は、資格証明情報を検証することにより、これが、ユーザのためのアクセスが生成されたときに格納された資格証明情報と一致するか否かを判断してもよい。いくつかの実施形態において、アクセス管理システム140は、登録要求を出したクライアント204が信頼できるデバイスであってそこからユーザが他のデバイスを登録できるデバイスであるか否かを判断することができる。アクセス管理システム140は、地理的場所またはその他の情報に基づいて、ユーザの信頼リストにクライアント204があるか否かを判断してもよい。デバイスがリストの中にあると判断すると、アクセス管理システム140は、ユーザに資格証明を要求しなくてもよく、ステップ242に進めばよい。クライアント204は信頼リストにないと判断すると、アクセス管理システム140は、ユーザに対し、当該ユーザに関するアクセス情報(たとえばワンタイムピンまたはパスワード)を求める。アクセス情報は、一時的なものであってもよく、そのために、使用、時間、またはその組合わせ等の1つ以上の基準に基づいて有効状態を保つようにしてもよい。
ステップ230において、アクセス管理システム140は、一時アクセス情報を提供することをクライアント204に要求してもよい。この一時情報を求める要求は、一時アクセス情報の生成前に送信されても生成後に送信されてもよい。ステップ232において、一時アクセス情報がアクセス管理システム140によって生成されてもよい。いくつかの実施形態において、アクセス管理システム140は、クライアント204におけるアプリケーションに対し、一時アクセス情報の生成を当該アプリケーションに求める要求を、送信してもよい。いくつかの実施形態において、一時アクセス情報の使用は、1つ以上の基準に基づいて制限される。アクセス管理システム140は、アクセス管理システム140に登録されている別のデバイス、たとえばクライアント202に対し、一時アクセス情報を生成するよう要求してもよい。アクセス管理システム140は、一時アクセス情報を生成してからこれを暗号化された形態でクライアント202に送信する。暗号化されているので、クライアント202は、以前クライアント202上でアプリケーションを登録したときに提供されたセキュリティ情報を用いて、情報を解読することができる。
いくつかの実施形態において、ステップ230で、アクセス管理システム140は、一時アクセス情報を用いて認証プロセスを開始するようアプリケーションに要求してもよい。クライアント204のアプリケーションは、インターフェイスでユーザを促して一時アクセス情報を受けるために選択肢を選択させる。ステップ232は、選択された選択肢に基づいて実行されてもよい。アプリケーションは、アクセス管理システム140と通信することにより、一時アクセス情報の選択肢を提供してもよい。ステップ232において、一時アクセス情報を、さまざまな技術を用いて提供することにより、デバイスを信頼できるデバイスとして登録するための安全なアクセスを保証してもよい。これらの技術は、一時アクセス情報を、ユーザのデバイス(たとえばクライアント202)に送信すること、ユーザの電子メールアカウントに送信すること、電話番号に関連するデバイスに送信すること(たとえばショートメッセージングシステムのメッセージ)、または、クライアント202でダウンロードされたアプリケーション等のアプリケーションを通してデバイスに送信することを含む。ユーザに関する情報は、人事システム等の権威ソースから取得してもよい。ステップ234において、クライアント202を操作して一時アクセス情報にアクセスしてもよい。ユーザが正規ユーザであれば、ユーザはその指紋を用いてクライアント202のアプリケーション上で自身を認証することができるであろう。クライアント202上のアプリケーションが一次アクセス情報を提供してもよい。一時アクセス情報は、クライアント202で生成されてもよく、アクセス管理システム140から受けてもよい。一時アクセス情報には、クライアント202を使用して電子メールによってアクセスしてもよく、一時アクセス情報が送信された電子メールへのアクセスを提供するアプリケーションによってアクセスしてもよい。
ステップ236において、クライアント204を用いて、クライアント204からアクセスし得る一時アクセス情報を取得してもよい。クライアント204におけるアプリケーションは、一時アクセス情報を受信するためのインターフェイスを提供してもよい。ユーザは、クライアント204を操作することにより、アクセス管理システム140が要求した一時アクセス情報を提供してもよい。この情報には、クライアント204を、アクセス管理システム140へのアクセスが許可される信頼できるデバイス/場所として認定するその他の情報が与えられていてもよい。
ステップ238において、クライアント204上のアプリケーションは、一時アクセス情報をアクセス管理システム140に送信してもよい。240において、アクセス管理システム140は、一時アクセス情報を検証することにより、この一時アクセス情報が、生成されたものに対して正しくかつ一時アクセス情報について定められた基準に対して有効であるか否かを判断してもよい。一時アクセス情報が、生成されたものと一致しないと判断すると、アプリケーションにおいてクライアント204を登録するためのアクセスが拒否されてもよい。一時アクセス情報が正しいと判断すると、アクセス管理システム140は、信頼リストに情報を追加することにより、クライアント204に関する情報を格納することができる。地理的場所はこの情報とともに保存されてもよい。
いくつかの実施形態において、アクセス管理システム140は、新たに信頼されたデバイスとして登録されたクライアント204について認証されたユーザに関連するデバイスに、セキュリティ情報を送信してもよい。セキュリティ情報は、クライアント202に送信してもよい。上記ユーザに関連するデバイスは、権威ソースから取得したユーザに関する情報に基づいて認定されてもよい。セキュリティ情報は、クライアント204が信頼できるデバイスであると判断される前に、送信されていてもよい。
ステップ242において、アクセス管理システム140は、一時アクセス情報は正しいものであると判断すると、リソースにアクセスすることについてユーザが認証されたことを示すメッセージをクライアント204に送信してもよい。クライアント204におけるアプリケーションは、インターフェイスを変更することにより、ユーザがリソースにアクセスできるようにし、パスワードレス認証のためにデバイスを登録してもよい。アクセス管理システム140は、リソースへのアクセス等の、ユーザが認証されたという情報と、ユーザのために登録されたデバイスおよび場所に関するその他の情報とを、送信してもよい。
図2Bは、いくつかの実施形態に係るパスワードレス認証のための動作250の一例を示す。図2Bにおいて、クライアント204は、ユーザに対し、このユーザの認証に成功したら、アプリケーションへのアクセスを提供してもよい。ユーザは、図2Aを参照しながら開示された動作により、アプリケーションへのアクセスが認証されてもよい。図2Bのステップ260で、クライアント204は、インターフェイスを提供することにより、ユーザが、アプリケーションのアクセスのためのセッションからログアウトできるまたはこれを終了できるようにしてもよい。ユーザは、このインターフェイスとやり取りすることにより、アプリケーションを用いたアクセスセッションを終了してもよい。ステップ262において、ユーザは再び、アプリケーションを通して特徴およびリソースへのアクセスを要求してもよい。ユーザは、アプリケーションとのやり取りを通じてアクセスを要求してもよい。クライアント204は、304においてアクセス要求を送信してもよい。この要求は、クライアント204に関する情報(たとえばデバイス情報)および/または地理的位置情報を含み得る。この情報は、図2Aを参照しながら説明した技術等の本明細書に開示される技術を用いて取得してもよい。
ステップ264において、アクセス管理システム140は、アプリケーションを用いて、アクセスについてユーザが認証されるか否かを判断してもよい。アクセス管理システム140は、要求に含まれる情報に基づいて、クライアント204が信頼できるデバイスであるか否かを判断してもよい。この要求に含まれる情報を、このユーザに関して登録された信頼できるデバイスのためにアクセス管理システムが格納した情報と比較してもよい。クライアント204は動作200の実行により先の登録プロセスに基づく信頼リストに登録されているので、アクセス管理システムはクライアント204が信頼できるデバイスであると判断することができる。
ステップ264において、アクセス管理システム140は、デバイスは信頼できないと判断すると、クライアント204のアクセスを拒否してもよい。アクセス管理システム140は、図2Aを参照して説明したような認証プロセスを開始してもよい。クライアント204が、登録された信頼できるデバイスであると判断すると、アクセス管理システム140はセキュリティデータを生成してもよい。セキュリティデータは、音声データ、映像データ、画像データ、その他の種類のデータ、デバイスが認識または捕捉できるその他の知覚可能なデータ、またはその組合わせであってもよい。少なくとも1つの実施形態において、セキュリティデータは画像データ(たとえばクイックレスポンス(QR)コード)として生成される。セキュリティデータは、パスワードレス認証プロセスを実現するための情報を用いて生成されてもよい。たとえば、セキュリティデータは、アクセスが与えられたユーザ固有のセキュリティ情報(たとえば暗号鍵)を用いて生成されてもよい。この情報は、ユーザに固有のまたは関連する情報(たとえば誕生日、電話番号、個人情報等)に基づいて生成されてもよい。この情報はトークンであってもよい。この情報は、セキュリティ情報(たとえば暗号鍵)を用いて暗号化されてもよい。この情報は、当該技術において周知の1つ以上の暗号化技術を用いて暗号化されてもよい。セキュリティデータは、ユーザが操作するクライアント202に対して過去に送信された暗号鍵で暗号化される固有の要求idを含み得る。セキュリティデータは、このユーザに関連するクライアント202等のアクセスを有するデバイス上のアプリケーションによって解読されてもよい。セキュリティデータは、個人情報を一方のデバイス(たとえばクライアント204)から別のデバイス(たとえばクライアント202)に転送する便利な方法として機能する。
いくつかの実施形態において、クライアント204は信頼できるデバイス(たとえばマルチファクタ認証に基づいてユーザのために認証されたと認定されているデバイス)であるので、ステップ266で、アクセス管理システムは、クライアント204におけるアプリケーションがセキュリティデータを生成できるよう、セキュリティ情報をクライアント204に送信してもよい。このセキュリティ情報は、アプリケーション(たとえばモバイルオーセンティケータアプリケーション)によってアクセス管理システムに登録されたその他のデバイスに送信されてもよい。セキュリティ情報は、クライアント204が信頼できるデバイスであると判断されたときに、クライアント202に送信されてもよい。クライアント202等のモバイルデバイスを用いて、セキュリティデータに含まれる情報を解読するためのセキュリティ情報を取得することにより、パスワードレス認証を実行してもよい。クライアント202は、権威ソースから取得した情報に基づいてユーザに対応付けられてもよい。クライアント204における不正アクセスを防止するために、セキュリティデータをセキュリティ情報とともに送信することにより、クライアント202がセキュリティ情報を取得するのを防止してもよい。セキュリティデータに含まれるセキュリティ情報は、ユーザのための暗号鍵を用いて暗号化されてもよい。暗号鍵は、パスワードレス認証によるモバイル認証のためにアクセス管理システム140に登録されたクライアント202等のデバイスに送信されてもよい。暗号鍵を用いることにより、セキュリティデータに含まれるセキュリティ情報を読取るおよび/または解読することができる。
ステップ268において、クライアント204は、クライアント204においてセキュリティデータを提示してもよい。このセキュリティデータは、アクセス管理システム140に対してインターフェイスを提供するアプリケーションにおいて提示されてもよい。たとえば、アクセス管理システム140が提供するアプリケーションは、セキュリティデータをクライアント204において表示してもよい。セキュリティデータは、1つ以上の基準に基づいて提示してもよい。この基準は、正規ユーザ(たとえば許可されたユーザ)がパスワードレス認証をその期間内で完了すると予測できる60〜90秒といった一時的な期間だけ表示されるようにセキュリティデータを制限するように構成可能であってもよい。こうすることで、許可されたユーザを対象とするセキュリティデータコードに詐欺師がアクセスするのに使える時間は短くなる。セキュリティを提示することにより、パスワードレス認証のために信頼できるデバイスとしてアクセス管理に登録された別のデバイス(たとえばクライアント202)をユーザに操作させてもよい。
ステップ270において、アクセス管理システムはセキュリティデータをクライアント202に送信してもよい。クライアント202は、ユーザのデバイスとしてアクセス管理システムに登録されたデバイスであってもよい。このデバイスは、パスワードレス認証を可能にするためのアプリケーションを含み得る。セキュリティデータは、ステップ266で送信されたセキュリティデータとは異なるデータであってもよい。セキュリティデータは、クライアント204で提示されたセキュリティデータをクライアント202が読取る(たとえば解読する)ことができるようにするセキュリティ情報を含み得る。
ステップ272において、ユーザは、クライアント202を操作してクライアント202のアクセスを取得してもよい。アクセスは、1つ以上の認証技術を用いて制御されてもよい。マルチファクタ認証を用いて、パスワードレス認証にクライアント202を使用するためのセキュリティを改善してもよい。認証技術は、生体認証およびその他の入力型認証技術を含み得る。クライアント202は、アクセス管理システム140を介した認証のためのアクセス管理システム140によって提供されるアプリケーションを含み得る。このアプリケーションによって、1つ以上の認証技術を用いたアプリケーションへのアクセスを可能にしてもよい。ユーザは、アプリケーションにおいてローカルで自身を認証してから、クライアント204に送信されるセキュリティデータをこのアプリケーションの特徴によって読取ることができるようにしてもよい。アプリケーションは、デバイス上の1つ以上の機能(たとえばカメラ、マイク、またはビデオレコーダ)を利用することにより、クライアントにおいて提示されたセキュリティデータを捕捉するように構成されてもよい。いくつかの実施形態において、ステップ270で送信されるセキュリティデータは、ステップ272においてアプリケーションへのアクセスをユーザが得てから送信されてもよい。アプリケーションは、ユーザの認証のためにアクセス管理システム140と通信してもよい。認証に成功すると、アクセス管理システム140はセキュリティデータを送信してもよい。
ステップ274において、クライアント202においてアクセスを取得すると、ユーザは、クライアント202、具体的にはアプリケーションを操作する。クライアント202を操作することにより、その機能のうちの1つ(たとえばカメラ)を用いて、ステップ268で表示されたセキュリティデータを読取るまたは取込むことができる。たとえば、クライアント202を操作することにより、そのカメラを使用して、クライアント204に対してアクセス管理システム140が提供するセキュリティ情報で暗号化されたセキュリティデータ(たとえばQRコード)を取込むことができる。
ステップ276において、クライアント202を操作することにより、ステップ274で取得したセキュリティデータを処理する。少なくとも1実施形態において、クライアント202上のアプリケーションを操作することにより、ステップ268でクライアント204により提示されたセキュリティデータを捕捉してもよい。クライアント202がユーザのためにアクセス管理システム140に登録されていれば、捕捉したセキュリティデータに含まれるセキュリティ情報を読取ることができる。クライアント202はアクセス管理システム140から取得したセキュリティデータを有していてもよい。アプリケーションは、セキュリティデータを用いて、ステップ274で捕捉したセキュリティデータに含まれるセキュリティ情報を読取ることができる。アプリケーションは、アクセス管理システム140から得たセキュリティデータを用いてセキュリティデータを解読できるようになるので、アプリケーションは、当該アプリケーションにおける要求詳細をユーザに示し1つ以上のインタラクティブ要素を提示することによりセキュリティデータの受信を確認してもよい。確認すると、ステップ278において、アプリケーションは、安全な通信をアクセス管理システム140に返信してもよい。
ステップ276において、アプリケーションは、クライアント204から取得したセキュリティデータに含まれるデータを取得するための動作を実行してもよい。データは、アクセス管理システムから提供されるセキュリティデータを用いて解読することによって得られる。いくつかの実施形態において、クライアント204から取得したセキュリティデータは解読のためにアクセス管理システム140に送信されてもよい。
ステップ278において、クライアント202上のアプリケーションは、アクセス管理システム140と通信してもよい。安全な通信が、クライアント204から取得したセキュリティデータに関する情報とともに送信されてもよい。この情報は、クライアント204から取得したセキュリティデータを含み得る。たとえば、アプリケーションは、クライアント204から取得したセキュリティデータの解読によって求めたセキュリティ情報を送信してもよい。この通信は、ユーザの認証情報を含み得る。アクセス管理システム140に対してアプリケーションがユーザを認証したと判断されたら、安全な通信は認証情報を含んでいなくてもよい。
ステップ280において、アクセス管理システム140は、クライアント202から受信した通信に基づいてアクセスを検証してもよい。アクセス管理システムは、クライアント204から取得したセキュリティデータから得られた、クライアント202から受けた情報(たとえば要求識別子またはセキュリティキー)が、ステップ266においてクライアント204に送信されたセキュリティデータと一致することを確認してもよい。情報を比較することによりこれらが一致するか否かを判断してもよい。この情報は、セキュリティデータに含まれる情報を解読した形態であってもよい。解読した形態の情報を、セキュリティデータにおいて暗号化された情報を解読した情報と比較してもよい。情報を、アクセス管理システム140が生成したセキュリティデータの基準に対応付けて、この基準にアクセスすることで、基準(たとえば時間)を満たすセキュリティ情報をクライアント202から受信したか否かを判断してもよい。
ステップ280において、ステップ278においてクライアント202から受信した情報が、生成されたセキュリティデータに含まれる情報と一致しないと判断すると、アクセス管理システム140はクライアント204に対しアクセスを拒否してもよい。ユーザは、クライアント202を操作することにより、新たなセキュリティデータをクライアント202に送信するようアクセス管理システム140に要求してもよい。拒否されたアクセスは、リソースに対するアクセスを含み得る。アクセス管理システム140は、クライアント204と通信することにより、新たなセキュリティデータを送信してもよい。本明細書に開示される動作を繰返すことにより、パスワードレス認証の別の試行を実行できるようにしてもよい。試行回数は、所望のレベルでのアクセスを確保するための基準として構成可能であってもよい。
ステップ278においてクライアント202から受信した情報が、生成されたセキュリティデータに含まれる情報と一致すると判断すると、アクセス管理システム140はクライアント204に対してアクセスを許可してもよい。
ステップ282において、アクセス管理システム140は、クライアント202と通信することにより、ステップ278で送信された通信に基づくユーザのアクセスが許可されるか否かに関する情報を、送信してもよい。この情報は、アクセスがユーザに対して許可されるか否かについての通知であってもよい。ステップ284において、クライアント202は情報を提供してもよい。
ステップ286において、アクセス管理システム140は、クライアント204と通信することにより、リソースへのアクセスを可能にしてもよい。アクセス管理システム140は、クライアント204上のアプリケーションに通知するための情報を送信することにより、リソースへのアクセスを可能にしてもよい。この情報は、アクセス可能なリソースに関する情報、または、アクセスを可能にする選択肢を表示するための情報を含み得る。ステップ288において、クライアント204上のアプリケーションは、リソースへのアクセスを可能にしてもよい。たとえば、このアプリケーションは、異なるリソースにアクセスするためのインターフェイス(たとえばポータル)を提供してもよい。リソースは、1つ以上のリソース管理システムによって提供されてもよい。
これまで説明した通り、図2Aおよび図2Bを参照しながら開示した動作により、デバイスが信頼できるデバイスとしてアクセス管理システム140に登録されると、パスワードレス認証を行なうことができる。ユーザは、信頼できるデバイスにおいて、モバイルデバイス(たとえばクライアント202)における認証を提供することによって認証でき、このモバイルデバイスを用いて、信頼できるデバイスから情報を取得することができる。登録されたユーザがセキュリティデータを構成可能な期間内に取得できなければ、アクセス管理システム140がクライアント202からの要求に応じて新たなセキュリティデータを生成してもよい。しかしながら、アクセス管理システム140は再試行カウンタも維持している。ユーザが、セキュリティデータを生成するために、設定された最大再試行数を超える試行を実行した場合、アクセス管理システム140はユーザのアクセスをロックまたは阻止することによって不正を防止してもよい。
任意で、アクセス管理システム140を、マルチファクタ認証を用いてモバイルデバイス(たとえばクライアント202)のユーザを調べるように構成することができる。これにより、3つのファクタ、すなわち、ユーザが所有しているもの(ユーザのスマートフォン)、ユーザが所有しているもの(たとえば指紋)、およびユーザが知っていること(たとえば個人アクセスコード)による認証が可能になるであろう。ユーザはセキュリティ情報を覚えている必要があるかもしれないが、セキュリティ情報はパスワードほど強力でなくてもよい。なぜなら、セキュリティ情報はモバイルデバイスにおいてその他のファクタと組合わせて使用され、モバイルデバイスを用いて情報を信頼できるデバイスから取得するからである。
セキュリティデータに基づくパスワードレス認証は、正規ユーザの信頼できるデバイスから実現し得るので、詐欺師はそれをその他のデバイスまたは場所から使用することはないであろう。詐欺師が正規ユーザのデバイスおよび場所からリソースにアクセスしようとすると、クライアント202におけるアプリケーションでセキュリティデータを取得することはできないであろう。なぜなら、アプリケーションは正規ユーザ向けのセキュリティデータを解読するためのセキュリティ情報を有していない場合があるからである。詐欺師が正規ユーザのデバイスおよび場所からリソースにアクセスしようとするとともに正規ユーザのスマートフォンを盗もうとしても、クライアント204のアプリケーションがセキュリティデータの捕捉を続けるのに正規ユーザの指紋を必要とし得るので、それを続けることはできないであろう。
III.パスワードレス認証のためのインターフェイス
図3〜図18は、一実施形態に係るアクセス管理システムにおけるマルチファクタ認証のためのインターフェイス、たとえばグラフィカルユーザインターフェイス(GUI)を示す。図3〜図18のGUIは、ウェブサイトまたはアプリケーション等のアクセスポータルの一部として表示されてもよい。図3〜図18のGUIは各々、デバイス上のアプリケーションにおいて表示されてもよい。図3〜図18のGUIは各々、1つ以上のリソースへのアクセスを管理するアクセス管理アプリケーションによって表示されてもよい。GUIは各々、アクセス管理システム140からアクセスされてもよい、または、アクセス管理システム140との通信のためにクライアントにインストールされたアプリケーションの一部であってもよい。
次に図3を参照して、図3は、資格証明情報(たとえばユーザ名およびパスワード)を受信するためのGUI300である。GUI300は、ユーザが操作するコンピューティングデバイス104またはクライアント204に提示されてもよい。GUI300は、アプリケーション(たとえばブラウザ)において提示されてもよい。
GUI300は、最初にユーザがクライアントデバイスを操作してアクセス管理システム140を介した認証によりリソースへのアクセスを取得したときに、提示されてもよい。GUI300は、ユーザがリソースへのアクセスを要求したときに提示されてもよい。GUI300は、アクセス管理システム140をサポートするアクセスポータルアプリケーションまたはウェブサイト等のアプリケーション(たとえば「OOWアクセスポータル」)の一部として提示されてもよい。GUI300は、ユーザのためにクライアントデバイスを登録するための1つ以上の認証プロセスの一部として提示されてもよい。GUI300ではどのような種類の認証プロセスが実現されてもよい。
GUI300は、認証プロセスのための入力(たとえば資格証明情報)を提供するための1つ以上のインタラクティブ要素を含み得る。GUI300のインタラクティブ要素302は、ユーザを識別するための入力(たとえば「ユーザ名」)を受けてもよい。GUI300のインタラクティブ要素304は、資格証明のための入力(たとえば「パスワード」)を受けてもよい。GUIのインタラクティブ要素306は、上記インタラクティブ要素が受けた入力を用いた認証の要求を送るためのインタラクティブ要素であってもよい。
インタラクティブ要素306とのやり取りの後、GUI300に入力された資格証明情報は、認証のためにコンピューティングデバイス104からアクセス管理システム140に送信されてもよい。資格証明情報は、アクセス管理システム140に登録するためにユーザが過去に提供したものであってもよい。
図4および図5は、パスワードレス認証のためにデバイスを信頼できるデバイスとして登録するための、ユーザのマルチファクタ認証の認証プロセス用のGUIを示す。図4のGUI400または図5のGUI500は各々、セキュリティ情報を受けるために選択肢を選択するための1つ以上のインタラクティブ要素を提示し得る。セキュリティ情報は、認証のためにこのセキュリティ情報を一時的に使用できるよう、1つ以上の基準に対応付けられていてもよい。GUI400は、1つ以上のインタラクティブ要素とともにインタラクティブ領域402を表示し得る。インタラクティブ要素402は、デバイス(たとえばコンピューティングデバイス104またはクライアント204)が、セキュリティ情報(たとえばワンタイムパスワード)を、モバイルデバイス、たとえばデバイス114またはクライアント202において、当該モバイルデバイスのアプリケーション(たとえばモバイルオーセンティケータアプリケーション)で受信できるようにする選択肢を、ユーザが選択できるようにしてもよい。インタラクティブ要素406とのやり取りにより、デバイスは、モバイルデバイスに対してセキュリティ情報を提供するよう要求することを、アクセス管理システム140に要求してもよい。GUI500は、セキュリティ情報を取得するためのさまざまな選択肢を選択するための1つ以上のインタラクティブ要素、たとえばインタラクティブ要素510、512、514とともに、インタラクティブ領域502を表示し得る。インタラクティブ要素510はモバイルデバイス上のアプリケーションにおいてセキュリティ情報を受信するための選択肢に対応していてもよい。インタラクティブ要素512は、ユーザに対応付けられた場所(たとえば電話番号または電子メールアドレス)へのテキストメッセージ等のショートメッセージングサービス(SMS)を用いてモバイルデバイスでセキュリティ情報を受信するための選択肢に対応していてもよい。インタラクティブ要素514は、ユーザに対応付けられた電子メールアドレスでセキュリティ情報を受信するための選択肢に対応していてもよい。インタラクティブ要素516とのやり取りにより、デバイスは、選択した選択肢に対応するセキュリティ情報を要求してもよい。セキュリティ情報を、ユーザに対応付けられた別のデバイスまたは場所に送信することにより、セキュリティアクセス情報が、無許可のユーザによってアクセスされないことを保証する。
図6はデバイス602の一例(たとえばコンピューティングデバイス114またはクライアント202)を示し、このデバイスは、別のデバイス(たとえばコンピューティングデバイス104またはクライアント204)を信頼できるデバイスとして登録することを可能にする。デバイス602は、アクセス管理システム140のアプリケーション(たとえばモバイルオーセンティケータアプリケーション)のさまざまなGUIとともに示されている。このアプリケーションは、デバイス(たとえばクライアント204)を信頼できるデバイスとして登録するために使用してもよく、および/または登録後の信頼できるデバイスでユーザのパスワードレス認証を行なうために使用してもよい。デバイス602は、アプリケーションの特徴にアクセスするための1つ以上の認証プロセスを提供し得る。認証プロセスは、デバイス602上の認証プロセスを利用できるマルチファクタ認証を含み得る。たとえば、デバイス602は、認証のためにバイオメトリック(たとえば指紋)入力を要求するプロンプト604をインターフェイスに与えてもよい。インタラクティブ要素606を用いてこのバイオメトリック入力を提供してもよい。
デバイス602は、アクセス管理システム140に異なるデバイスを登録するためのセキュリティ情報を提供する要素622をインターフェイスに与えてもよい。本明細書に開示されるように、セキュリティ情報は、アクセス管理システムから与えられてもよく、または、デバイス602においてアプリケーションによって生成されてもよい。セキュリティ情報は、セキュリティ情報を使用するための1つ以上の基準(たとえば時間)とともに表示されてもよい。インタラクティブ要素624により、ユーザは、アクセス管理システム140に登録すべきデバイスに表示されるセキュリティデータを捕捉するためのデバイス602の動作を要求できる。
図7および図8は、アプリケーション(たとえばモバイルオーセンティケータアプリケーション)を提供するためのデバイス700の一例を示し、このアプリケーションは、当該アプリケーションへのアクセスのためにユーザを認証するためのGUIを提供する。図6と同様、アプリケーションは、資格証明情報(たとえばコードまたは個人識別番号)の入力および/またはバイオメトリック入力等の1つ以上の認証プロセスをサポートし得る。認証プロセスは、アプリケーションを用いた認証のためにユーザを登録するための、アクセス管理システム140に提供される情報に基づいて、判断されてもよい。資格証明情報およびバイオメトリック入力は、前もってアプリケーションのために登録されてもよい。アプリケーションは、資格証明情報の入力を受けるためのインタラクティブ要素702を提供してもよい。アプリケーションは、バイオメトリック入力を受信するためのインタラクティブ要素704を提供してもよい。アプリケーションはこの入力に基づいて認証を判断してもよい。図7の例は、インタラクティブ要素702、704いずれかに対する入力に基づく認証が成功したことを示す706。図8の例は、インタラクティブ要素702、704いずれかに対するユーザ入力に基づく認証の失敗806を示す。いくつかの実施形態において、認証プロセスは、認証に失敗したと判断したときにアプリケーションがパスワードレス認証に使用されることを防止し得る。図8は、ユーザがデバイス700を用いたセキュリティデータの捕捉を続行できないという通知を示している。
図9は、複数のデバイス上のGUIを示しており、複数のデバイスは、信頼できるデバイスとして登録されるGUI900を提示するデバイス(たとえばクライアント204)、および、当該デバイスの登録のためのモバイルオーセンティケータとして使用されるデバイス950である。GUI900は、マルチファクタ認証プロセスの第2の認証プロセスのためのインタラクティブ領域902を含み得る。たとえば、GUI900は、図3に示される最初の認証プロセスの後に第2の認証プロセスのために表示されてもよい。インタラクティブ領域902は、デバイス(たとえばクライアント204)を登録するための第2の認証プロセス用のインタラクティブ要素を含み得る。インタラクティブ要素904は、図4または図5で選択された選択肢のうちの1つによって提供されるワンタイムパスワード等のセキュリティ情報の入力を受けるインタラクティブ要素であってもよい。図9に示されるように、セキュリティ情報は、デバイス950におけるアプリケーション(たとえばモバイルオーセンティケータアプリケーション)にある、1つの選択肢により、受信されてもよい。デバイス950は、図6に示されるのと同様のGUIを示している。デバイス950は、セキュリティ情報を示すインタライクティブ要素952をGUIに与えてもよい。このGUIは、GUI900からセキュリティデータを捕捉することを要求するためのインタラクティブ要素954を与えてもよい。GUI900のインタラクティブ要素906は、デバイス/場所を信頼できるデバイス/場所として登録すべきか否かをユーザが指定できるようにするインタラクティブ要素であってもよい。インタラクティブ要素908および910は、信頼されたデバイス/場所に関する情報(たとえば名前および場所)を設定するための入力を受けてもよい。インタラクティブ要素912は、第2の認証プロセスにおける認証を要求する入力を受けてもよい。インタラクティブ要素914は、図4および図5に開示されている第2の認証に関する選択肢を提示するためにGUIを変更する入力を受けてもよい。
図10は、アクセス管理システム140によるユーザの認証後に1つ以上のリソースへのアクセスを提供するアプリケーションのGUI1000を示す。認証は、クライアントデバイスを信頼できるデバイス/場所として登録するためのマルチファクタ認証プロセスとして実行されてもよい。GUI1000は、認証に成功した場合にアクセス可能な各リソースに対するインタラクティブ要素1010、1012、1014、1016、1018を提供してもよい。GUI1000は、アクセス管理のための1つ以上の設定を制御するためのインタラクティブ要素1002を含み得る。インタラクティブ要素1002とのやり取りにより、図11および図12のGUIのいずれかをデバイスに提示することができる。
図11は、アクセス管理システム140によって検証された信頼できるデバイスおよび信頼できる場所に関する情報を表示するGUI1100を示す。GUI1100は、構成するインタラクティブ要素および/または場所およびデバイスを含み得る。GUI1100は、信頼できるものとしてアクセス管理システムに登録された各デバイスおよび各場所に対するインタラクティブ要素を含み得る。たとえば、GUI1100は、それぞれ異なるデバイスに対するインタラクティブ要素1102、1104、および1106を含み得る。これらのデバイスは、アクセス管理システム140に登録された、デバイス1(たとえば「マイデスクトップ−Firefox」)、デバイス2(たとえば「マイワークIphone(登録商標)」)、およびデバイス3(たとえば「ワークデスクトップ」)である。これらのデバイスは各々1つ以上の信頼できる場所に対応付けられていてもよい。GUI1100は、場所(たとえば「Acme−ロンドン」)、場所(たとえば「自宅」)、および場所(たとえばAcme−HQ」)それぞれに対するインタラクティブ要素1108、1110、および1112を含み得る。インタラクティブ要素は各々、信頼されているデバイスおよび/または場所に関する設定を構成するインタラクティブ要素であるGUI(たとえば図12のGUI)を表示させるインタラクティブ要素であってもよい。GUI1100は、GUI1100を用いて保存した設定を構成するためのインタラクティブ要素1120(「保存」)を含み得る。
図12は、アクセス管理システム140によって検証された信頼できるデバイスおよび信頼できる場所に関する情報を表示するGUI1200を示す。図11と同様、GUI1200は、信頼できるものとして登録されたデバイスを構成するための1つ以上のインタラクティブ要素1202を含み得る。GUI1200は、信頼できるものとして登録された場所を構成するための1つ以上のインタラクティブ要素1204を含み得る。いくつかの実施形態において、GUI1200は、信頼できるデバイスおよび場所へのアクセスを管理するための設定を構成するための1つ以上のインタラクティブ要素1206を含み得る。この設定は、チャレンジ質問と回答のような、1つ以上の属性を含み得る。GUI1200は、第2ファクタ認証等の1つ以上の認証プロセスのための設定を構成するための1つ以上のインタラクティブ要素1208を含み得る。この第2ファクタ認証のための設定は、セキュリティ情報(たとえばワンタイムパスワード)を受けるための嗜好およびこれらの嗜好に対応付けられた基準を含み得る。
図11および図12に表示される情報は、登録されたデバイスまたは場所のうちのいずれか1つ等のあるデバイスまたは場所のユーザの認証後に、アクセス管理システムから取得されてもよい。
図13は、信頼できるものとして登録されたデバイスに表示できるGUI1300を示す。GUI1300は、認証後のアクセスセッションの終了(たとえばログアウトまたはサインオフ)をユーザが要求した後に表示されてもよい。GUI1300は、図10〜図12それぞれのGUIのうちのいずれかの後に表示されてもよい。GUI1300は、認証後のアクセスセッションを終了させるためのアクセス管理を要求するためのインタラクティブ要素1302を含み得る。GUI1300は、アクセスセッションの終了が無事に完了すると、表示1304を示してもよい。
図14は、信頼できるデバイスとしてアクセス管理システム140に登録されたデバイスにおけるGUI1400を示す。図13に示されるように、ユーザがアクセスセッションを終了させた後に、過去の認証中に登録された同じデバイスからのパスワードレス認証のための選択肢がユーザに対して示されてもよい。デバイスが信頼できるデバイスとして登録されているまたはデバイスが信頼できる場所に位置しているとアクセス管理システム140が判断すると、そのデバイスのアプリケーションにおいてGUI1400が提示されてもよい。GUI1400はパスワードレス認証のためのセキュリティデータを提供してもよい。先に述べたように、セキュリティデータはセキュリティ情報を含み得る。セキュリティデータは当該デバイスにおいて提示されてもよく1402(たとえばQRコード)、そうすることで、登録済の別のデバイス、たとえばモバイルデバイス1450がパスワードレス認証に使用されてもよい。デバイス1450はセキュリティデータを捕捉するために使用されてもよい。
デバイス1450はアクセス管理システム140に登録されてもよい。デバイス1450上のアプリケーション(たとえばモバイルオーセンティケータアプリケーション)は、当該アプリケーションを使用するためのユーザの認証を要求してもよい。この認証は、本明細書においてたとえば図7を参照して開示した技術を含み得る。たとえば、デバイス1450は入力(たとえば個人識別コード)を受けるためのインタラクティブ要素1452およびバイオメトリック入力を受けるためのインタラクティブ要素1454を含む、認証のためのインターフェイスを提供し得る。この認証はアクセス管理システム140との通信を含み得る。この認証により、パスワードレス認証のセキュリティレベルが高められる。
ユーザの認証に成功すると、上記アプリケーションを用いて、GUI1400において提示されたセキュリティデータ1402を捕捉してもよい。たとえば、このアプリケーションにより、デバイス1450のカメラによるセキュリティデータ捕捉の動作を可能にしてもよい。
図15のGUI1500、図16のGUI1600、および図17のGUI1700は、GUI1400と同様であり、信頼できるデバイスとして登録されているデバイスに、セキュリティデータ1502、1602、1702を提示する。図15のデバイス1550、図16のデバイス1650、および図17のデバイス1750は、パスワードレス認証のためにモバイルオーセンティケータとして使用されるデバイス1450と同様のデバイスであってもよい。図15において、デバイス1550(たとえばデバイス1450)上のアプリケーションは、その表示を変更し、取込まれたセキュリティデータ1552およびセキュリティデータの処理に関するステータス情報を示すことにより、デバイス1450で認証されたユーザがこのセキュリティデータにアクセスできるか否かを判断してもよい。本明細書に開示されるように、デバイス1550等のモバイルデバイスは、オーセンティケータとして操作されて、セキュリティデータを処理することにより、アプリケーションがセキュリティデータに含まれる情報を解読できるか否かを判断してもよい。デバイス1550は、アクセス管理システム140から提供されたセキュリティ情報(たとえば暗号鍵)を使用することにより、セキュリティデータを解読してもよい。デバイスは、解読されたセキュリティデータを、アクセス管理システム140が生成したセキュリティデータに含まれるセキュリティ情報に一致するか否かについての検証のために、アクセス管理システム140に送信してもよい。デバイス1550は、セキュリティデータの解読に成功したと判断した(アクセス管理システム140からの通知を受信した)場合、通知1554(「スキャン成功」)を表示してもよい。
図16のもう1つの例において、デバイス1650は、セキュリティデータの読取および解読に成功したという通知1652を表示してもよい。この通知は、セキュリティデータを提示した信頼できるデバイスがリソースにアクセスすることを可能にしてもよいことを示すことができる。図17の別の例において、デバイス1750は、GUI1700から捕捉したセキュリティデータは解読できないと判断すると、セキュリティデータを解読できなかったという通知1752(「無効QRコード」)を表示してもよい。
図18は、パスワードレス認証のためにモバイルオーセンティケータとして使用されるデバイス1800の一例を示す。インターフェイス1802は、アプリケーション(たとえばモバイルオーセンティケータアプリケーション)の一部として提示されてもよい。インターフェイス1802は、アクセス管理システム140が、パスワードレス認証に基づくリソースへのアクセス要求を信頼できるデバイスから受信したときに、通知を表示してもよい。インターフェイス1802は、要求を許可するためのインタラクティブ要素1804と、要求を拒否するためのインタラクティブ要素1806とを含み得る。インタラクティブ要素とのやり取りにより、アプリケーションは、ユーザがパスワードレス認証に参加することを希望しているか否かを判断することができる。本明細書に開示されるモバイル認証アプリケーションのためのモバイルデバイス上のインターフェイスは、パスワードレス認証を求める要求をユーザが「許可」したときに提示されてもよい。
図19は、パスワードレス認証のプロセスのフローチャート1900を示す。このプロセスは、図1のアクセス管理システム140によって実現されてもよい。このプロセスは、パスワードレス認証を可能にする前に、デバイス/場所を信頼できるものとして登録することを含み得る。
フローチャート1900は、デバイス(たとえば第1のデバイス)のユーザによるアクセス要求(第1の要求)をステップ1902で受信することから始まってもよい。この要求は、リソースへのアクセスを求める要求であってもよい、または、パスワードレス認証のために第1のデバイスを登録することを求める明示的な要求であってもよい。アクセスは、マルチファクタ認証等の1つ以上の認証プロセスを使用する、デバイスにおけるユーザの認証に基づいていてもよい。ユーザが第1のデバイスからアクセスを初めて要求する場合に、このユーザの認証が判断されてもよい。
ステップ1904において、この要求についてユーザが認証されるか否かを判断する。この要求は、第1のデバイスに関する情報および/または第1のデバイスに関する地理的場所情報を含み得る。この情報を使用して、第1のデバイスに関連するユーザが認証されるか否かを判断してもよい。ステップ1906において、第1のデバイスのユーザについて、ユーザの認証を判断する。この認証は、以前の認証に基づいて判断してもよく、以前の認証がなければ、第1のデバイスのユーザに対して1つ以上の認証プロセスを実行してもよい。アクセス管理システム140は、1つ以上の認証プロセス各々に対応する入力をアプリケーションがユーザに対して促すために、情報を第1のデバイスに送信してもよい。認証が認証プロセスを含み得ると判断されると、基準(たとえば時間)に対応付けられたセキュリティ情報(たとえばワンタイムパスワード)が、セキュリティ情報を受けるための複数の選択肢のうちの1つに送信される。認証の判断は、認証の判断のために検証される資格証明情報またはその他の情報(たとえばセキュリティ情報)を受信することを含み得る。認証の判断は、セキュリティ情報を提供し得るモバイルオーセンティケータとしてユーザが操作する第2のデバイスと通信することを含み得る。
アクセスは、1つ以上の認証プロセスに従いユーザが認証されたという判断に基づいて許可してもよい。アクセスは終了してもよい。アクセスは、ユーザが1つ以上のリソースにアクセスできるようにするために生成されたセッションの終了(たとえばログアウト)を求める要求を第1のデバイスから受信したときに、終了してもよい。アクセスは、当該アクセスを規定する1つ以上の基準が満たされたときに終了してもよい。
ステップ1908において、第1のデバイスは信頼できるデバイスであるまたは信頼できる場所に関連していると認定してもよい。ユーザが第1のデバイスで認証されたと判断すると、第1のデバイスおよび/またはその場所に関する情報を、認証判断のための第1のデバイスとの通信において、第1のデバイスから取得してもよい。この情報を、アクセス管理システムにより管理されるアクセスのために、ユーザに対応付けてもよい。第1のデバイスおよび/またはその場所が信頼できるアクセスのソースであると認定することにより、その後に当該デバイス/場所からの要求があったときにパスワードレス認証を許可してもよい。
ステップ1910において、ユーザによるアクセスの要求(たとえば第2の要求)を第1のデバイスから受信してもよい。第2の要求は、ユーザがアクセス管理システムによって認証された後で受信してもよい。たとえば、第2の要求は、アクセスセッションの終了後に受信してもよい。この要求は第1のデバイスまたはその場所に関する情報を含み得る。
ステップ1912において、第1のデバイスおよび/またはその場所に関する情報に基づいて、第1のデバイスは信頼できるデバイスまたは場所であると判断する。この情報は、前のユーザの認証に対応付けられていると認定されてもよい。よって、アクセス管理システムは、このユーザは信頼できるデバイス/場所からアクセスを要求していると判断することができる。
ステップ1914において、要求は信頼できるデバイスまたは場所からの要求なので、パスワードレス認証を可能にするためにセキュリティデータ(たとえばQRコード)を生成する。このセキュリティデータは情報を含むように生成してもよい。この情報は、たとえばユーザに関する情報を特定する、ユーザ固有の情報であってもよい。セキュリティデータに、暗号化された情報等の暗号化データが埋め込まれてもよい。データは、1つ以上の周知の暗号化技術を用いて暗号化されてもよい。データは暗号鍵を用いて暗号化されてもよい。セキュリティデータは、1つ以上の基準(たとえば期間)に対応付けられることで、この基準に従う安全な使用をさらに保証してもよい。
ステップ1916において、ユーザがアクセス管理システムに登録した第2のデバイスに、暗号情報(たとえば暗号鍵)を送信してもよい。第2のデバイスは第1のデバイスとは異なる。第2のデバイスはモバイルデバイスであってもよい。ユーザは第2のデバイス上のアプリケーション(たとえばモバイルオーセンティケータアプリケーション)を用いてアクセス管理システムで認証されていてもよい。第2のデバイスに関する情報をユーザに対応付けてもよい。第2のデバイスは暗号鍵を使用することにより、セキュリティデータに埋め込まれた情報を解読することができる。
ステップ1918において、セキュリティデータを第1のデバイスに送信してもよい。第1のデバイスはセキュリティデータを第1のデバイスで提示(たとえば表示)してもよい。セキュリティデータは、ユーザが、データの種類に基づいてセキュリティデータを知覚するのに十分なやり方で、提示すればよい。
ステップ1920において、データを第2のデバイスから受信してもよい。第2のデバイスは、第1のデバイスによって提示されたセキュリティデータを捕捉してもよい。第2のデバイスは、第1のデバイスから捕捉したセキュリティデータに含まれるセキュリティ情報を、暗号鍵を用いて解読してもよい。解読されたセキュリティ情報は、第2のデバイスから受けた情報であってもよい。
ステップ1922において、第2のデバイスから受けたデータが、ステップ1914で生成したセキュリティデータに埋め込まれた未暗号化形態のデータに一致するか否かを判断する。この判断は、データが、セキュリティデータに埋め込まれたデータに含まれる情報(たとえばユーザに関連)を含むか否かを判断することを含み得る。第2のデバイスから受けたデータが、生成したセキュリティデータに埋め込まれているデータと一致すると判断されると、ユーザのアクセスは認証されるであろう。データは、セキュリティデータにおいて暗号化されたデータに最初から含まれている情報を含むときに、一致し得る。第2のデバイスから受けたデータが、生成したセキュリティデータに埋め込まれたデータと一致しないとき、ユーザのアクセスは認証されないであろう。データが、セキュリティデータに埋め込まれているデータに含まれる情報(たとえばユーザに関連)を含むと判断されると、アクセス管理システムにより、リソースへのアクセスが可能にされるであろう。
ステップ1924において、ステップ1922でユーザに対して判断された認証に基づきユーザがアクセスを許可されたか否かを示す通知を、第1のデバイスに送信する。この通知は、アクセス可能なリソースに関するその他の情報とともに、またはそれとは別に、送信してもよい。これらのリソースへのアクセスについてユーザが認証された場合は、第1のデバイスがこの情報を用いてリソースにアクセスしてもよい。第1のデバイスにおけるアプリケーション(たとえばウェブサイト上のポータル)は、第1のデバイスにおけるアプリケーションを通してユーザがリソースにアクセスすることを許可してもよい。
ステップ1926において、ステップ1922でユーザに対して判断された認証に基づいてユーザがアクセスを許可されたか否かを示す通知を第2のデバイスに送信する。第2のデバイス上のアプリケーションは、この通知を提示することにより、ユーザが、パスワードレス認証がユーザのアクセスを許可したか否かを判断できるようにしてもよい。
フローチャート1900はステップ1928で終了し得る。
図20はパスワードレス認証のプロセスのフローチャート2000を示す。このプロセスは、信頼できるデバイスとして登録されるまたは信頼できる場所に対応付けられたデバイス(たとえば図1のコンピューティングデバイス104)によって実現されてもよい。このプロセスは、パスワードレス認証を可能にする前に、デバイス/場所を信頼できるものとして登録することを含み得る。
ステップ2002において、ユーザからのアクセス要求を第1のデバイスで受ける。この要求は、第1のデバイスにおけるアプリケーションのインターフェイスを通して受けてもよい。このインターフェイスは、アクセス管理システム140により、ポータルまたはアプリケーションの一部として提供されてもよい。要求は、リソースへのアクセス要求、または第1のデバイスを信頼できるデバイスとして登録することを求める要求であってもよい。
ステップ2004において、アクセス管理システムによりアクセスに関して規定された1つ以上の認証プロセスに基づいて、ユーザの認証を判断する。認証プロセスは、図3〜図9を参照しながら開示したプロセスであってもよい。認証プロセスは、アクセス管理システムから提供された認証資格証明およびセキュリティ情報等の入力をユーザが提供することを含み得る。この認証プロセスは、認証プロセスを支援するための情報を提供するアプリケーション(たとえばモバイルオーセンティケータアプリケーション)を有するモバイルデバイス等の第2のデバイスの支援のもとで、実現されてもよい。認証プロセスは、第1のデバイスでインターフェイスを介して入力を受けることと、認証プロセスのための入力の検証のためにアクセス管理システム140と通信することとを含み得る。認証プロセスを実現することにより、第1のデバイスを信頼できるデバイスとしてまたは信頼できる場所にあるものとして登録することができる。
ステップ2006において、第1のデバイスは、信頼できるデバイスであるまたは信頼できる場所であるとして、アクセスが許可される。第1のデバイスは、ステップ2004におけるユーザの認証に基づいて第1のデバイスが信頼されたことを示す情報を、アクセス管理システムから受信してもよい。このため、第1のデバイスは、アクセス管理システム140から受信した情報に基づいて、ユーザがリソースにアクセスすることを許可してもよい。
ステップ2008において、第1のデバイスは、第1のデバイスにおけるユーザによる第2のアクセス要求を受ける。第2の要求は、ユーザがアクセス管理システムによって認証された後で受けてもよい。たとえば、第2の要求は、アクセスセッションの終了後に受けてもよい。
ステップ2010において、第1のデバイスは、信頼できるデバイスであるとしてユーザのアクセスが認証されたと判断すると、アクセス管理システムに要求を送信してもよい。いくつかの実施形態において、第1のデバイスは、第2の要求を送信してもよく、アクセス管理システム140は、第1のデバイスが信頼できるデバイスでありパスワードレス認証によりアクセスが許可されたことを示す情報を送信してもよい。この要求は、第1のデバイスまたはその場所に関する情報を含み得る。
ステップ2012において、セキュリティデータをアクセス管理システムから受信する。アクセス管理システムは、第1のデバイスが信頼できるデバイスであるまたは信頼できる場所にあると判断してから、セキュリティデータを生成してもよい。セキュリティデータは、第1のデバイスが、情報(たとえばセキュリティ情報)を受信した後に生成してもよい。セキュリティデータには、アクセス管理システム140がアクセス可能な情報に基づいて暗号化された暗号化データが埋め込まれていてもよい。
ステップ2014において、セキュリティデータを生成または受信したフォーマットで、セキュリティデータを提示する。セキュリティデータは、アクセス管理システム140がユーザに対して登録した第2のデバイス等の別のデバイスによって捕捉されてもよい。第2のデバイスは、第1のデバイスで提示されたセキュリティデータを捕捉できるアプリケーション(たとえばモバイルオーセンティケータアプリケーション)を含み得る。第2のデバイスは、セキュリティデータまたはその一部を捕捉してからデータをアクセス管理システムに送信してもよい。データは、捕捉されたセキュリティデータから得てもよい。データは、セキュリティデータに含まれる暗号化データの解読に基づいて生成されてもよい。アクセス管理システムは、第2のデバイスから受信したデータを処理することにより、第2のデバイスから受信したデータが、アクセス管理システム140から第1のデバイスが受信したセキュリティデータに埋め込まれたデータと一致するか否かを判断してもよい。
ステップ2016において、第1のデバイスはアクセス管理システムからの通知を受けてもよい。この通知は、ユーザに対して判断された認証に基づいてユーザがアクセスを許可されたか否かを示す通知であってもよい。この通知は、アクセス可能なリソースに関するその他の情報とともに、またはそれとは別に送信されてもよい。ユーザがリソースへのアクセスを認証された場合は、第1のデバイスが情報を使用することにより、これらのリソースにアクセスしてもよい。第1のデバイスにおけるアプリケーション(たとえばウェブサイト上のポータル)は、この第1のデバイスにおけるアプリケーションを通してユーザがリソースにアクセスすることを許可してもよい。第2のデバイスによって捕捉されたセキュリティデータと、ユーザに関して第1のデバイスがアクセスを許可されるか否かをアクセス管理システムが判断するためにアクセス管理システムに伝達されたデータとに基づいて、パスワードレス認証によるユーザのアクセスが許可されてもよい。
ステップ2018において、第1のデバイスは、上記通知に関する情報を表示するためにインターフェイス(たとえばGUI)を生成してもよい。この情報は、ユーザに対し判断された認証に基づいてユーザがアクセスを許可されるか否かを示し得る。このインターフェイスは、ユーザがアクセスを許可されたときにリソースへのアクセスを可能にするための、図10に示されるGUI1000であってもよい。アクセスは許可されないことを通知が示すとき、インターフェイスは、アクセスは許可されないというメッセージを示してもよい。
フローチャート2000はステップ2020で終了し得る。
図21は、ある実施形態を実現するための分散システム2100の簡略図を示す。示されている実施形態において、分散システム2100は、1つ以上のネットワーク2110上でウェブブラウザ、プロプライエタリクライアント(たとえばOracle Forms)等のクライアントアプリケーションを実行および操作するように構成された1つ以上のクライアントコンピューティングデバイス2102、2104、2106、および2108を含む。サーバ2112は、ネットワーク2110を介して遠隔のクライアントコンピューティングデバイス2102、2104、2106、および2108と通信可能に連結し得る。
さまざまな実施形態において、サーバ2112は、1つ以上のサービスまたはソフトウェアアプリケーションを実行するように構成し得る。特定の実施形態において、サーバ2112はまた、非仮想および仮想環境を含み得るその他のサービスまたはソフトウェアアプリケーションを提供し得る。いくつかの実施形態において、これらのサービスは、クライアントコンピューティングデバイス2102、2104、2106、および/または2108のユーザに対して、ウェブベースのまたはクラウドサービスとしてまたはサービスとしてのソフトウェア(SaaS)モデルのもとで提供し得る。クライアントコンピューティングデバイス2102、2104、2106、および/または2108を操作するユーザは、1つ以上のクライアントアプリケーションを利用してサーバ2112とやり取りすることによりこれらのコンポーネントが提供するサービスを利用し得る。
図21に示される構成において、システム2100のソフトウェアコンポーネント2118、2120、および2122は、サーバ2112上に実装されるものとして示されている。他の実施形態において、システム2100の上記コンポーネントおよび/またはこれらのコンポーネントが提供するサービスのうちの1つ以上が、クライアントコンピューティングデバイス2102、2104、2106、および/または2108のうちの1つ以上によって実装されてもよい。そうすると、クライアントコンピューティングデバイスを操作するユーザは、クライアントアプリケーションのうちの1つ以上を用いて、これらのコンポーネントが提供するサービスを利用することができる。これらのコンポーネントは、ハードウェア、ファームウェア、ソフトウェア、またはこれらの組合わせにおいて実装されてもよい。なお、分散システム2100とは異なり得る多種多様なシステムコンフィギュレーションが可能である。図21に示される実施形態はしたがって、ある実施形態のシステムを実現するための分散システムであって、限定を意図したものではない。
クライアントコンピューティングデバイス2102、2104、2106、および/または2108は、さまざまな種類のコンピューティングシステムを含み得る。たとえば、クライアントコンピューティングデバイスは、Microsoft Windows Mobile(登録商標)等のソフトウェア、および/またはiOS、Windows Phone、Android(登録商標)、BlackBerry(登録商標) 10、Palm OS等のさまざまなモバイルオペレーティングシステムを実行する、ポータブルハンドヘルドデバイス(たとえばiPhone(登録商標)、携帯電話、iPad(登録商標)、コンピューティングタブレット、携帯情報端末(PDA))またはウェアラブルデバイス(たとえばGoogle Glass(登録商標)ヘッドマウントディスプレイ)を含み得る。これらのデバイスは、さまざまなインターネット関連アプリケーション、電子メール、ショートメッセージサービス(SMS)アプリケーション等のさまざまなアプリケーションをサポートし得るものであり、かつその他のさまざまな通信プロトコルを使用し得る。また、クライアントコンピューティングデバイスは、例として、さまざまなバージョンのMicrosoft Windows(登録商標)、Apple Macintosh(登録商標)および/またはLinux(登録商標)オペレーティングシステムを実行するパーソナルコンピュータおよび/またはラップトップコンピュータを含む、汎用パーソナルコンピュータを含み得る。クライアントコンピューティングデバイスは、たとえばGoogle Chrome(登録商標)OS等の、さまざまなGNU/Linuxオペレーティングシステムを含むがこれらに限定されないさまざまな市販のUNIX(登録商標)またはUNIXのようなオペレーティングシステムのうちのいずれかを実行するワークステーションコンピュータであってもよい。また、クライアントコンピューティングデバイスは、ネットワーク2110上で通信可能な、シンクライアントコンピュータ、インターネット接続可能なゲームシステム(たとえばKinect(登録商標)ジェスチャー入力デバイスを備えたまたは備えていないMicrosoft Xboxゲーム機)、および/またはパーソナルメッセージングデバイス等の電子機器を含み得る。
図21の分散システム2100は4つのクライアントコンピューティングデバイスとともに示されているが、任意の数のクライアントコンピューティングデバイスをサポートし得る。センサ等を有するコンピューティングデバイスといったその他のコンピューティングデバイスがサーバ2112とやり取りしてもよい。
分散システム2100内のネットワーク2110は、TCP/IP(伝送制御プロトコル/インターネットプロトコル)、SNA(システムネットワークアーキテクチャ)、IPX(インターネットパケット交換)、Apple Talk等を含むがこれらに限定されない、利用可能なさまざまなプロトコルのうちのいずれかを用いて、データ通信をサポートすることができる、当業者にはよく知られているいずれかの種類のネットワークであればよい。ほんの一例として、ネットワーク2110は、ローカルエリアネットワーク(LAN)、イーサネット(登録商標)に基づくネットワーク、トークンリング、広域ネットワーク、インターネット、仮想ネットワーク、仮想プライベートネットワーク(VPN)、イントラネット、エクストラネット、公衆交換電話網(PSTN)、赤外線ネットワーク、無線ネットワーク(たとえば、米国電気電子技術者協会(IEEE)802.11プロトコルスイートのうちのいずれか、Bluetooth(登録商標)、および/またはその他いずれかの無線プロトコルのもとで機能するネットワーク)、および/またはこれらの組合わせ、および/またはその他のネットワークであってもよい。
サーバ2112は、1つ以上の汎用コンピュータ、専用サーバコンピュータ(例として、PC(パーソナルコンピュータ)サーバ、UNIX(登録商標)サーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウント式サーバ等を含む)、サーバファーム、サーバクラスタ、またはその他いずれかの適切な構成および/または組合わせで構成されていてもよい。サーバ2112は、仮想オペレーティングシステムまたは仮想化を伴うその他の計算アーキテクチャを実行する1つ以上の仮想マシンを含み得る。論理記憶装置の1つ以上のフレキシブルプールを仮想化することによって、サーバのための仮想記憶装置を維持することができる。仮想ネットワークは、サーバ2112がソフトウェア定義ネットワーキングを用いて制御することができる。さまざまな実施形態において、サーバ2112は、これまでの開示において説明した1つ以上のサービスまたはソフトウェアアプリケーションを実行するように構成されていてもよい。たとえば、サーバ2112は、本開示のある実施形態に従う上記処理を実行するためのサーバに対応していてもよい。
サーバ2112は、上記のうちのいずれかを含むオペレーティングシステムおよび市販のいずれかのサーバオペレーティングシステムを実行し得る。サーバ2112はまた、HTTP(ハイパーテキストトランスポートプロトコル)サーバ、FTP(ファイル転送プロトコル)サーバ、CGI(コモンゲートウェイインターフェイス)サーバ、JAVA(登録商標)サーバ、データベースサーバ等を含む、さまざまなその他のサーバアプリケーションおよび/またはミッドティアアプリケーションのうちのいずれかを実行し得る。代表的なデータベースサーバは、Oracle、Microsoft、Sybase、IBM(International Business Machines)等から市販されているものを含むが、これらに限定されるものではない。
いくつかの実装例において、サーバ2112は、クライアントコンピューティングデバイス2102、2104、2106、および2108のユーザから受けたデータフィードおよび/またはイベントアップデートを分析し統合するための1つ以上のアプリケーションを含み得る。一例として、データフィードおよび/またはイベントアップデートは、センサデータアプリケーション、株式相場表示機、ネットワーク性能測定ツール(たとえばネットワークモニタリングおよびトラフィック管理アプリケーション)、クリックストリーム分析ツール、自動車交通量モニタリング等に関連するリアルタイムイベントを含み得る、1つ以上の第三者情報源および連続データストリームから受けた、Twitter(登録商標)フィード、Facebook(登録商標)アップデートまたはリアルタイムアップデートを含むが、これらに限定されるものではない。また、サーバ2112は、クライアントコンピューティングデバイス2102、2104、2106、および2108の1つ以上の表示装置を介してデータフィードおよび/またはリアルタイムイベントを表示するための1つ以上のアプリケーションを含み得る。
分散システム2100はまた、1つ以上のデータベース2114および2116を含み得る。これらのデータベースは、本開示の実施形態によって使用されるユーザインタラクション情報、使用パターン情報、適合規則情報、およびその他の情報等の情報を格納するためのメカニズムを提供し得る。データベース2114および2116はさまざまな場所に存在し得る。例として、データベース2114および2116のうちの1つ以上が、サーバ2112にローカルな(および/または存在する)非一時的な記憶媒体上にあってもよい。これに代えて、データベース2114および2116は、サーバ2112から遠隔の場所にあってネットワークベースのまたは専用接続を介してサーバ2112と通信してもよい。一組の実施形態において、データベース2114および2116は、ストレージエリアネットワーク(SAN)にあってもよい。同様に、サーバ2112から発生する機能を実行するために必要なファイルは、適宜サーバ2112にローカルに格納されていてもよくおよび/または遠隔場所に格納されていてもよい。一組の実施形態において、データベース2114および2116は、SQLフォーマットのコマンドに応じてデータを格納、更新、および取出すように構成された、Oracleが提供するデータベース等のリレーショナルデータベースを含み得る。
いくつかの実施形態において、クラウド環境は1つ以上のサービスを提供し得る。図22は、本開示の一実施形態に従うサービスをクラウドサービスとして提供し得るシステム環境2200の1つ以上のコンポーネントの簡略ブロック図である。図22に示される実施形態において、システム環境2200は、クラウドサービスを提供するクラウドインフラストラクチャシステム2202とやり取りするためにユーザが使用し得る1つ以上のクライアントコンピューティングデバイス2204、2206、および2208を含む。クラウドインフラストラクチャシステム2202は、サーバ2112について先に述べたものを含み得る1つ以上のコンピュータおよび/またはサーバを含み得る。
図22に示されているクラウドインフラストラクチャシステム2202は示されているもの以外のコンポーネントを有し得ることが認識されるはずである。さらに、図22に示される実施形態は、本開示の実施形態を組込むことができるクラウドインフラストラクチャシステムの一例に過ぎない。他のいくつかの実施形態において、クラウドインフラストラクチャシステム2202は、図示されているよりも多いまたは少ないコンポーネントを有していてもよく、2つ以上のコンポーネントを組合わせてもよく、または異なる構成または配置のコンポーネントを有していてもよい。
クライアントコンピューティングデバイス2204、2206、および2208は、2102、2104、2106、および2108について先に述べたものと同様のデバイスであってもよい。クライアントコンピューティングデバイス2204、2206、および2208は、以下のようなクライアントアプリケーションを操作するように構成されていてもよく、このクライアントアプリケーションは、たとえば、クライアントコンピューティングデバイスのユーザがクラウドインフラストラクチャシステム2202と対話してクラウドインフラストラクチャシステム2202が提供するサービスを使用するために使用し得る、ウェブブラウザ、専用クライアント(たとえばOracle Forms)、またはその他何らかのアプリケーション等である。典型的なシステム環境2200は3つのクライアントコンピューティングデバイスとともに示されているが、任意の数のクライアントコンピューティングデバイスをサポートし得る。センサ等を有するデバイスのようなその他のデバイスがクラウドインフラストラクチャシステム2202と対話してもよい。
ネットワーク2210は、クライアント2204、2206、2208とクラウドインフラストラクチャシステム2202との間のデータの通信およびやり取りを容易にし得る。各ネットワークは、ネットワーク2210について先に述べたものを含むさまざまな市場で入手可能なプロトコルのいずれかを使用してデータ通信をサポートすることができる、当業者によく知られた任意のタイプのネットワークであってもよい。
特定の実施形態において、クラウドインフラストラクチャシステム2202によって提供されるサービスは、クラウドインフラストラクチャシステムのユーザがオンデマンドで利用できるようにされる多数のサービスを含み得る。使用パターンに応じて動的に文書を修正することに関連するサービスに加えて、その他さまざまなサービスも提供し得る。これらのサービスは、限定されないが、オンラインデータストレージおよびバックアップソリューション、ウェブベースの電子メールサービス、ホストされたオフィスパッケージおよびドキュメントコラボレーションサービス、データベース処理、管理された技術サポートサービス等である。クラウドインフラストラクチャシステムによって提供されるサービスは、そのユーザのニーズに合わせて動的にスケーリングできる。
特定の実施形態において、クラウドインフラストラクチャシステム2202によって提供されるサービスの具体的なインスタンス化は、本明細書において「サービスインスタンス」と呼ばれることがある。一般的に、クラウドサービスプロバイダのシステムからインターネット等の通信ネットワークを介してユーザが利用できるようにされる任意のサービスは、「クラウドサービス」と呼ばれる。典型的に、パブリッククラウド環境において、クラウドサービスプロバイダのシステムを構成するサーバおよびシステムは、顧客自身のオンプレミスサーバおよびシステムとは異なる。たとえば、クラウドサービスプロバイダのシステムは、アプリケーションをホストしてもよく、ユーザは、インターネット等の通信ネットワークを介してオンデマンドでアプリケーションをオーダーして使用すればよい。
いくつかの例において、コンピュータネットワーククラウドインフラストラクチャにおけるサービスは、クラウドベンダーによってまたは当該技術において周知の他のやり方でユーザに提供される、記憶装置、ホストされたデータベース、ホストされたウェブサーバ、ソフトウェアアプリケーション、または他のサービスに対する保護されたコンピュータネットワークアクセスを含み得る。たとえば、サービスは、インターネットを通じたクラウド上の記憶装置に対するパスワードで保護されたアクセスを含むことができる。別の例として、サービスは、ネットワーク化されたデベロッパーによる私的使用のためのウェブサービスベースのホストされたリレーショナルデータベースおよびスクリプト言語ミドルウェアエンジンを含むことができる。別の例として、サービスは、クラウドベンダーのウェブサイト上でホストされた電子メールソフトウェアアプリケーションに対するアクセスを含むことができる。
特定の実施形態において、クラウドインフラストラクチャシステム2202は、セルフサービスの、申込みに基づく、弾力的にスケーラブルで、確実で、非常に有効で、かつ安全なやり方で、顧客に与えられる、アプリケーション、ミドルウェア、およびデータベースサービス提供物一式を含み得る。そのようなクラウドインフラストラクチャシステムの一例は、本願の譲受人によって提供されるOracle Public Cloudである。
クラウドインフラストラクチャシステム2202は、「ビッグデータ」に関連する計算および分析サービスも提供し得る。「ビッグデータ」という用語は一般的に、大量のデータを可視化する、傾向を発見する、および/またはそうでなければデータと対話するために、アナリストおよびリサーチャーが保存し操作することができる極めて大きなデータセットに言及するときに用いられる。このビッグデータおよび関連するアプリケーションは、多数のレベルおよびさまざまな規模でインフラストラクチャシステムがホストおよび/または操作することができる。並列にリンクされた何十、何百、または何千ものプロセッサが、このようなデータに対して機能することにより、それを示すまたはデータに対する外部からの力をもしくはそれが表わしているものをシミュレートすることができる。これらのデータセットは、データベース内でそうでなければ構造化モデルに従って組織されたデータのような構造化データ、および/または非構造化データ(たとえば電子メール、画像、データBLOB((binary large object)バイナリラージオブジェクト)、ウェブページ、複雑なイベント処理)を含み得る。より多くの(またはより少ない)計算リソースを比較的素早く目標物に向ける実施形態の能力を高めることにより、企業、政府機関、リサーチ組織、私人、同じ目的を有する個人もしくは組織、またはその他のエンティティからの要求に基づいて大きなデータセットに対するタスクを実行するにあたり、クラウドインフラストラクチャシステムをより有効にすることができる。
さまざまな実施形態において、クラウドインフラストラクチャシステム2202は、クラウドインフラストラクチャシステム2202から提供されるサービスに対する顧客の申込みを自動的にプロビジョニングし、管理し、かつ追跡するように適合させることができる。クラウドインフラストラクチャシステム2202は、異なるデプロイメントモデルを介してクラウドサービスを提供し得る。たとえば、サービスは、(たとえばOracle社所有の)クラウドサービスを販売する組織によってクラウドインフラストラクチャシステム2202が所有されるパブリッククラウドモデルの下で提供されてもよく、サービスは、一般大衆または異なる産業企業にとって利用可能とされる。別の例として、サービスは、クラウドインフラストラクチャシステム2202が単一の組織のためにのみ運営され、組織内の1つ以上のエンティティのためのサービスを提供し得る個人のクラウドモデルの下で提供し得る。また、クラウドサービスは、クラウドインフラストラクチャシステム2202およびクラウドインフラストラクチャシステム2202によって提供されるサービスが、関連するコミュニティー内の一部の組織によって共有されるコミュニティークラウドモデルの下で提供し得る。また、クラウドサービスは、2つ以上の異なるモデルの組合わせであるハイブリッドクラウドモデルの下で提供し得る。
いくつかの実施形態において、クラウドインフラストラクチャシステム2202によって提供されるサービスは、サービスとしてのソフトウェア(SaaS)カテゴリ、サービスとしてのプラットフォーム(PaaS)カテゴリ、サービスとしてのインフラストラクチャ(IaaS)カテゴリ、またはハイブリッドサービスを含む他のサービスカテゴリの下で提供される1つ以上のサービスを含み得る。顧客は、クラウドインフラストラクチャシステム2202によって提供される1つ以上のサービスを申込みオーダーによってオーダーし得る。そうすると、クラウドインフラストラクチャシステム2202は、顧客の申込みオーダーにおけるサービスを提供するための処理を行なう。
いくつかの実施形態において、クラウドインフラストラクチャシステム2202によって提供されるサービスは、限定されないが、アプリケーションサービス、プラットフォームサービスおよびインフラストラクチャサービスを含み得る。いくつかの例において、アプリケーションサービスは、クラウドインフラストラクチャシステムによってSaaSプラットフォームを介して提供し得る。SaaSプラットフォームは、SaaSカテゴリに入るクラウドサービスを提供するように構成し得る。たとえば、SaaSプラットフォームは、統合された開発およびデプロイメントプラットフォーム上のオンデマンドのアプリケーション一式を構築し、伝える能力を提供し得る。SaaSプラットフォームは、SaaSサービスを提供するための基礎的なソフトウェアおよびインフラストラクチャを管理し、制御し得る。SaaSプラットフォームによって提供されるサービスを利用することによって、顧客は、クラウドインフラストラクチャシステム上で実行するアプリケーションを利用することができる。顧客は、顧客が別個のライセンスおよびサポートを購入する必要なしに、アプリケーションサービスを得ることができる。さまざまな異なるSaaSサービスが提供し得る。例は、限定されないが、大きな組織のための販売実績管理、企業統合およびビジネス上のフレキシビリティのためのソリューションを提供するサービスを含む。
いくつかの実施形態において、プラットフォームサービスは、クラウドインフラストラクチャシステム2202によってPaaSプラットフォームを介して提供し得る。PaaSプラットフォームは、PaaSカテゴリに入るクラウドサービスを提供するように構成し得る。プラットフォームサービスの例は、限定されないが、共有されている共通アーキテクチャ上の既存のアプリケーションを組織(Oracle等)が統合することを可能にするサービスと、プラットフォームによって提供される共有サービスを活用する新しいアプリケーションを構築する能力とを含み得る。PaaSプラットフォームは、PaaSサービスを提供するための基礎的なソフトウェアおよびインフラストラクチャを管理および制御し得る。顧客は、顧客が別個のライセンスおよびサポートを購入する必要なしに、クラウドインフラストラクチャシステム2202によって提供されるPaaSサービスを得ることができる。プラットフォームサービスの例は、限定されないが、Oracle Java Cloud Service(JCS)、Oracle Database Cloud Service(DBCS)他を含む。
PaaSプラットフォームによって提供されるサービスを利用することによって、顧客は、クラウドインフラストラクチャシステムによってサポートされたプログラミング言語およびツールを採用し、また、デプロイされたサービスを制御することもできる。いくつかの実施形態において、クラウドインフラストラクチャシステムによって提供されるプラットフォームサービスは、データベースクラウドサービス、ミドルウェアクラウドサービス(たとえばOracle Fusion Middleware services)、およびJavaクラウドサービスを含み得る。一実施形態において、データベースクラウドサービスは、組織がデータベースリソースをプールし、かつデータベースクラウドの形態でのサービスとして顧客にデータベースを提示することを可能にする共有サービスデプロイメントモデルをサポートし得る。ミドルウェアクラウドサービスは、顧客がさまざまなビジネスアプリケーションを展開しデプロイするためのプラットフォームを提供してもよく、Javaクラウドサービスは、クラウドインフラストラクチャシステムにおいて顧客がJavaアプリケーションをデプロイするためのプラットフォームを提供してもよい。
さまざまな異なるインフラストラクチャサービスは、クラウドインフラストラクチャシステムにおいてIaaSプラットフォームによって提供し得る。インフラストラクチャサービスは、SaaSプラットフォームおよびPaaSプラットフォームによって提供されるサービスを利用する顧客のための記憶装置、ネットワーク、および他の基本のコンピューティングリソースといった基礎的なコンピューティングリソースの管理および制御を容易にする。
特定の実施形態において、クラウドインフラストラクチャシステム2202はまた、クラウドインフラストラクチャシステムの顧客にさまざまなサービスを提供するために用いられるリソースを提供するためのインフラストラクチャリソース2230を含み得る。一実施形態において、インフラストラクチャリソース2230は、PaaSプラットフォームおよびSaaSプラットフォームによって提供されるサービスを実行するためのサーバ、記憶装置、およびネットワークのリソースといったハードウェアの予め統合され最適化された組合わせ、ならびにその他のリソースを含み得る。
いくつかの実施形態において、クラウドインフラストラクチャシステム2202におけるリソースは、複数のユーザによって共有され要求ごとに動的に再割当てされてもよい。加えて、リソースは、異なるタイムゾーンのユーザに割当てられてもよい。たとえば、クラウドインフラストラクチャシステム2202は、第1のタイムゾーンの第1の組のユーザが特定数の時間クラウドインフラストラクチャシステムのリソースを利用できるようにし、次いで異なるタイムゾーンに位置する別の組のユーザに対して同じリソースを再度割当てることによって、リソースの利用を最大化してもよい。
特定の実施形態において、クラウドインフラストラクチャシステム2202の異なるコンポーネントまたはモジュールによって共有される多数の内部共有サービス2232を提供し得る。これらの内部共有サービスは、限定されないが、セキュリティおよびアイデンティティサービス、インテグレーションサービス、企業リポジトリサービス、企業マネージャーサービス、ウィルススキャンおよびホワイトリストサービス、高アベイラビリティ、保存後修復サービス、クラウドサポートを可能にするためのサービス、電子メールサービス、通知サービス、ファイル転送サービス等を含み得る。
特定の実施形態において、クラウドインフラストラクチャシステム2202は、クラウドインフラストラクチャシステムにおいてクラウドサービス(たとえばSaaS、PaaSおよびIaaSサービス)の包括的な管理を提供し得る。一実施形態において、クラウド管理機能は、クラウドインフラストラクチャシステム2202によって受信された顧客の申込みをプロビジョニング、管理、および追跡する機能を含み得る。
一実施形態において、図22に示されるように、クラウド管理機能は、オーダー管理モジュール2220、オーダーオーケストレーションモジュール2222、オーダープロビジョニングモジュール2224、オーダー管理および監視モジュール2226、およびアイデンティティ管理モジュール2228といった、1つ以上のモジュールによって提供し得る。これらのモジュールは、汎用コンピュータ、専用サーバコンピュータ、サーバファーム、サーバクラスタ、または任意の他の適切な構成および/または組合わせであってもよい1つ以上のコンピュータおよび/またはサーバを含み得る、または、それらを用いて提供し得る。
典型的な動作では、ステップ2234において、クライアントデバイス2204、2206、または2208等のクライアントデバイスを用いる顧客は、クラウドインフラストラクチャシステム2202によって提供される1つ以上のサービスを要求し、クラウドインフラストラクチャシステム2202によって提示される1つ以上のサービスの申込みのためのオーダーを行なうことによって、クラウドインフラストラクチャシステム2202と対話してもよい。特定の実施形態において、顧客は、クラウドUI2212、クラウドUI2214、および/またはクラウドUI2216等のクラウドユーザインターフェイス(UI)にアクセスし、これらのUIを介して申込みオーダーを行なってもよい。顧客がオーダーを行ったことに応じてクラウドインフラストラクチャシステム2202によって受信されるオーダー情報は、顧客を特定する情報と、顧客が申込む予定のクラウドインフラストラクチャシステム2202によって提供される1つ以上のサービスとを含み得る。
ステップ2236において、顧客から受けたオーダー情報は、オーダーデータベース2218に格納されてもよい。これが新しいオーダーであれば、このオーダーについて新たな記録が作成されてもよい。一実施形態において、オーダーデータベース2218は、クラウドインフラストラクチャシステム2202によって操作され、他のシステムエレメントとともに操作されるいくつかのデータベースのうちの1つであってもよい。
ステップ2238において、オーダー情報は、オーダー管理モジュール2220に転送されてもよい。オーダー管理モジュール2220は、オーダーを確認し、確認後にオーダーを記入する等の、オーダーに関連する課金および会計機能を行なうように構成し得る。
ステップ2240において、オーダーに関する情報は、オーダーオーケストレーションモジュール2222に伝えられてもよい。オーダーオーケストレーションモジュール2222は、顧客によって出されたオーダーのためのサービスおよびリソースのプロビジョニングを調整するように構成されている。いくつかのインスタンスにおいて、オーダーオーケストレーションモジュール2222は、プロビジョニングのためにオーダープロビジョニングモジュール2224のサービスを用いてもよい。特定の実施形態において、オーダーオーケストレーションモジュール2222は、各オーダーに関連付けられたビジネスプロセスの管理を可能にし、オーダーがプロビジョニングに進むべきか否かを判断するためにビジネスロジックを適用する。
図22に示される実施形態において示されるように、2242において、新規申込みのためのオーダーを受信すると、オーダーオーケストレーションモジュール2222は、オーダープロビジョニングモジュール2224に要求を送信して、リソースを割当て、申込みオーダーを遂行するために必要とされるリソースを構成する。オーダープロビジョニングモジュール2224は、顧客によってオーダーされたサービスのためのリソースの割当てを可能にする。オーダープロビジョニングモジュール2224は、クラウドインフラストラクチャシステム2202によって提供されるクラウドサービスと、リソースサービスを提供するためにリソースをプロビジョニングするために用いられる物理実装層との間に抽象化レベルを提供する。これにより、オーダーオーケストレーションモジュール2222を、サービスおよびリソースが実際にオンザフライでプロビジョニングされまたは予めプロビジョニングされ要求後に割当て/アサインされるか否かといった実施の詳細から分離することができる。
ステップ2244において、ひとたびサービスおよびリソースがプロビジョニングされると、要求されたサービスが現在利用できる状態にあることを示す通知を、申込んだ顧客に送ってもよい。いくつかのインスタンスにおいて、顧客が要求したサービスの利用を開始できるようにする情報(たとえばリンク)を顧客に送ってもよい。
ステップ2246において、顧客の申込みオーダーは、オーダー管理および監視モジュール2226によって管理および追跡されてもよい。いくつかのインスタンスにおいて、オーダー管理および監視モジュール2226は、申込まれたサービスの顧客利用に関する使用統計を収集するように構成されてもよい。たとえば、記憶装置の使用量、データ転送量、ユーザ数、ならびにシステムアップタイムおよびシステムダウンタイムの量等について、統計が収集されてもよい。
特定の実施形態において、クラウドインフラストラクチャシステム2200は、アイデンティティ管理モジュール2228を含み得る。アイデンティティ管理モジュール2228は、クラウドインフラストラクチャシステム2200におけるアクセス管理および認可サービスといったアイデンティティサービスを提供するように構成される。いくつかの実施形態において、アイデンティティ管理モジュール2228は、クラウドインフラストラクチャシステム2202によって提供されるサービスを利用したい顧客に関する情報を制御し得る。そのような情報は、そのような顧客のアイデンティティを認証する情報と、さまざまなシステムリソース(たとえばファイル、ディレクトリ、アプリケーション、通信ポート、メモリセグメント等)に対しそれらの顧客が実行を認可されるアクションを記述する情報とを含むことができる。アイデンティティ管理モジュール2228は、各顧客に関し、かつ、どのように誰によってその記述情報のアクセスおよび修正ができるかに関する記述情報の管理も含み得る。
図23は、本開示の実施形態を実現するために使用し得る典型的なコンピュータシステム2300を示す。いくつかの実施形態において、コンピュータシステム2300を用いて上記さまざまなサーバおよびコンピュータシステムのうちのいずれかを実現してもよい。図23に示されるように、コンピュータシステム2300は、バスサブシステム2302を介して多数の周辺サブシステムと通信する処理ユニット2304を含むさまざまなサブシステムを含む。これらの周辺サブシステムは、処理加速ユニット2306、I/Oサブシステム2308、記憶サブシステム2318、および通信サブシステム2324を含み得る。記憶サブシステム2318は、有形のコンピュータ読取可能記憶媒体2322およびシステムメモリ2310を含み得る。
バスサブシステム2302は、コンピュータシステム2300のさまざまなコンポーネントおよびサブシステムを目的に応じて互いに通信させるためのメカニズムを提供する。バスサブシステム2302は単一のバスとして概略的に示されているが、バスサブシステムの代替の実施形態は複数のバスを利用し得る。バスサブシステム2302は、さまざまなバスアーキテクチャのうちのいずれかを用いる、メモリバスまたはメモリコントローラ、周辺バス、およびローカルバスを含む、さまざまな種類のバス構造のうちのいずれかであればよい。たとえば、このようなアーキテクチャは、IEEE P1386.1規格に従って製造されたメザニン(Mezzanine)バス等として実現できる、業界標準アーキテクチャ(ISA)バス、マイクロチャネルアーキテクチャ(MCA)バス、エンハンストISA(EISA)バス、ビデオエレクトロニクス標準協会(VESA)ローカルバス、および周辺コンポーネントインターコネクト(PCI)バスを含み得る。
処理サブシステム2304は、コンピュータシステム2300のオペレーションを制御し、かつ、1つ以上の処理ユニット2332、2334等と含み得る。処理ユニットは、シングルコアもしくはマルチコアプロセッサ、プロセッサの1つ以上のコア、またはこれらの組合わせを含む、1つ以上のプロセッサを含み得る。いくつかの実施形態において、処理サブシステム2304は、グラフィックプロセッサ、デジタル信号プロセッサ(DSP)等といった1つ以上の専用コプロセッサを含み得る。いくつかの実施形態において、処理サブシステム2304の処理ユニットのうちのいくつかまたはすべてを、特定用途向け集積回路(ASIC)またはフィールドプログラマブルゲートアレイ(FPGA)等のカスタマイズされた回路を用いて実現してもよい。
いくつかの実施形態において、処理サブシステム2304内の処理ユニットは、システムメモリ2310にまたはコンピュータ読取可能記憶媒体2322上に格納されている命令を実行することができる。さまざまな実施形態において、処理ユニットは、さまざまなプログラムまたはコード命令を実行することができ、かつ、同時に実行される複数のプログラムまたはプロセスを管理することができる。所定の時間に、実行すべきプログラムコードのうちのいくつかまたはすべてが、場合によっては1つ以上の記憶装置を含むシステムメモリ2310におよび/またはコンピュータ読取可能記憶媒体2322上にあってもよい。適切なプログラミングを通して、処理サブシステム2304は、さまざまな機能を提供することができる。
特定の実施形態において、コンピュータシステム2300が実行する処理全体を加速することを目的として、カスタマイズされた処理を実行するためまたは処理サブシステム2304が実行する処理のうちの一部をオフロードするために、処理加速ユニット2306を設けてもよい。
I/Oサブシステム2308は、情報をコンピュータシステム2300に入力するためおよび/または情報をコンピュータシステム2300からもしくはコンピュータシステム2300を介して出力するためのデバイスおよびメカニズムを含み得る。一般的に、「入力デバイス」という用語の使用は、情報をコンピュータシステム2300に入力するための、可能なすべての種類のデバイスおよびメカニズムを含むことを意図している。ユーザインターフェイス入力デバイスは、たとえば、キーボード、マウスまたはトラックボール等のポインティングデバイス、ディスプレイに組込まれたタッチパッドまたはタッチスクリーン、スクロールホイール、クリックホイール、ダイヤル、ボタン、スイッチ、キーパッド、音声コマンド認識システムを備えた音声入力デバイス、マイク、およびその他の種類の入力デバイスを含み得る。ユーザインターフェイス入力デバイスはまた、ユーザが入力デバイスを制御し入力デバイスと対話できるようにするMicrosoft Kinect(登録商標)モーションセンサ、Microsoft Xbox(登録商標) 360ゲームコントローラ、ジェスチャーおよび発話コマンドを用いた入力を受けるためのインターフェイスを提供するデバイス等の、モーション検知および/またはジェスチャー認識デバイスを含み得る。ユーザインターフェイス入力デバイスはまた、ユーザから目の動き(たとえば写真撮影時および/またはメニュー選択時の「まばたき」)を受けて目のジェスチャーを入力デバイス(たとえばGoogle Glass(登録商標))への入力として変換するGoogle Glass(登録商標)まばたき検出器等のアイジェスチャー認識デバイスを含み得る。加えて、ユーザインターフェイス入力デバイスは、ユーザが音声コマンドを通して音声認識システム(たとえばSiri(登録商標)ナビゲータ)と対話できるようにする音声認識検知デバイスを含み得る。
ユーザインターフェイス入力デバイスのその他の例は、三次元(3D)マウス、ジョイスティックまたはポインティングスティック、ゲームパッドおよびグラフィックタブレット、ならびに、スピーカ、デジタルカメラ、デジタルカムコーダ、ポータブルメディアプレイヤー、ウェブカメラ、画像スキャナ、指紋スキャナ、バーコードリーダ3Dスキャナ、3Dプリンタ、レーザレンジファインダー、および視線トラッキングデバイス等のオーディオ/ビジュアルデバイスを含むが、これらに限定されるものではない。加えて、ユーザインターフェイス入力デバイスは、たとえば、コンピュータ断層撮影、磁気共鳴撮像、ポジトロン断層撮影、超音波検査デバイス等の、医療用撮像入力デバイスを含み得る。ユーザインターフェイス入力デバイスはまた、たとえば、MIDIキーボード、デジタル音楽機器等といった音声入力デバイスを含み得る。
ユーザインターフェイス出力デバイスは、ディスプレイサブシステム、インジケータライト、または音声出力デバイスといった非ビジュアルディスプレイなどを含み得る。ディスプレイサブシステムは、陰極線管(CRT)、たとえば液晶ディスプレイ(LCD)またはプラズマディスプレイを用いるフラットパネルデバイス、投射デバイス、タッチスクリーン等であってもよい。一般的に、「出力デバイス」という用語の使用は、情報をコンピュータシステム2300からユーザまたはその他のコンピュータに出力するための可能なすべての種類のデバイスおよびメカニズムを含むことを意図している。たとえば、ユーザインターフェイス出力デバイスは、モニタ、プリンタ、スピーカ、ヘッドフォン、自動車ナビゲーションシステム、作図デバイス、音声出力デバイス、およびモデムといった、テキスト、グラフィックおよびオーディオ/ビデオ情報を視覚的に伝えるさまざまな表示デバイスを含み得るが、これらに限定されるものではない。
記憶サブシステム2318は、コンピュータシステム2300が使用する情報を格納するためのリポジトリまたはデータ記憶装置を提供する。記憶サブシステム2318は、いくつかの実施形態の機能を提供する基本的なプログラミングおよびデータ構造を格納するための有形の非一時的なコンピュータ読取可能記憶媒体を提供する。処理サブシステム2304によって実行されたときに上記機能を提供するソフトウェア(プログラム、コードモジュール、命令)は、記憶サブシステム2318に格納されていてもよい。ソフトウェアは、処理サブシステム2304の1つ以上の処理ユニットによって実行されてもよい。記憶サブシステム2318はまた、本開示に従って使用されるデータを格納するためのリポジトリを提供し得る。
記憶サブシステム2318は、揮発性および不揮発性メモリデバイスを含む1つ以上の非一時的なメモリデバイスを含み得る。図23に示されるように、記憶サブシステム2318は、システムメモリ2310およびコンピュータ読取可能記憶媒体2322を含む。システムメモリ2310は、プログラム実行中に命令とデータを格納するための揮発性メインランダムアクセスメモリ(RAM)および固定命令が格納されている不揮発性読取専用メモリ(ROM)またはフラッシュメモリを含む、多数のメモリを含み得る。いくつかの実装例において、たとえば起動中のコンピュータシステム2300内の要素間の情報転送を補助する基本的なルーチンを含む基本的な入力/出力システム(BIOS)は、一般的にはROMに格納される。RAMは一般的に、処理サブシステム2304が現在操作および実行しているデータおよび/またはプログラムモジュールを含む。いくつかの実装例において、システムメモリ2310は、スタティックランダムアクセスメモリ(SRAM)またはダイナミックランダムアクセスメモリ(DRAM)等の種類が異なる複数のメモリを含み得る。
限定ではなく一例として、図23に示されるように、システムメモリ2310は、クライアントアプリケーション、ウェブブラウザ、ミッドティアアプリケーション、リレーショナルエータベース管理システム(RDBMS)等を含み得るアプリケーションプログラム2312と、プログラムデータ2314と、オペレーティングシステム2316とを格納し得る。一例として、オペレーティングシステム2316は、さまざまなバージョンのMicrosoft Windows(登録商標)、Apple Macintosh(登録商標)、および/またはLinux(登録商標)オペレーティングシステム、さまざまな市販のUNIX(登録商標)またはUNIXのようなオペレーティングシステム(さまざまなGNU/Linuxオペレーティングシステム、Google Chrome(登録商標)OS等を含むがこれらに限定されるものではない)および/または、iOS、Windows(登録商標)Phone、Android(登録商標)OS、BlackBerry(登録商標) 10 OS、およびPalm(登録商標)OSオペレーティングシステム等のさまざまなモバイルオペレーティングシステムを含み得る。
コンピュータ読取可能記憶媒体2322は、いくつかの実施形態の機能を提供するプログラミングおよびデータ構造を格納し得る。処理サブシステム2304のプロセッサによって実行されたときに上記機能を提供するソフトウェア(プログラム、コードモジュール、命令)は、記憶サブシステム2318に格納されてもよい。一例として、コンピュータ読取可能な記憶媒体2322は、ハードディスクドライブ、磁気ディスクドライブ、CD ROM、DVD、Blu-Ray(登録商標)ディスク、またはその他の光媒体等の光ディスクドライブといった、不揮発性メモリを含み得る。コンピュータ読取可能記憶媒体2322は、Zip(登録商標)ドライブ、フラッシュメモリカード、ユニバーサルシリアルバス(USB)フラッシュドライブ、セキュアデジタル(SD)カード、DVDディスク、デジタルビデオテープ等を含み得るが、これらに限定されるものではない。コンピュータ読取可能記憶媒体2322はまた、フラッシュメモリベースのSSD、エンタープライズフラッシュドライブ、ソリッドステートROM等といった不揮発性メモリに基づくソリッドステートドライブ(SSD)、ソリッドステートRAM、ダイナミックRAM、スタティックRAM等といった揮発性メモリに基づくSSD、DRAMとフラッシュメモリベースのSSDを組合わせたものを用いる、DRAMベースのSSD、磁気抵抗RAM(MRAM)SSD、およびハイブリッドSSDを含み得る。コンピュータ読取可能媒体2322は、コンピュータ読取可能な命令、データ構造、プログラムモジュール、およびコンピュータシステム2300のためのその他のデータの記憶域を提供し得る。
特定の実施形態において、記憶サブシステム2300はまた、コンピュータ読取可能記憶媒体2322にさらに接続することができるコンピュータ読取可能記憶媒体リーダ2320を含み得る。システムメモリ2310とともに、また、任意でシステムメモリ2310と組合されて、コンピュータ読取可能記憶媒体2322は、コンピュータ読取可能な情報を格納するための、遠隔、ローカル、固定、および/またはリムーバブル記憶装置プラス記憶媒体を、包括的に代表し得る。
特定の実施形態において、コンピュータシステム2300は、1つ以上の仮想マシンを実行するためのサポートを提供し得る。コンピュータシステム2300は、仮想マシンの構成および管理を容易にするためのハイパーバイザといったプログラムを実行し得る。各仮想マシンに、メモリ、計算(たとえばプロセッサ、コア)、I/O、およびネットワーキングリソースが割当てられていてもよい。各仮想マシンは、一般的に、コンピュータシステム2300が実行するその他の仮想マシンによって実行されるオペレーティングシステムと同じでも異なっていてもよい、自身のオペレーティングシステムを実行する。したがって、場合によっては複数のオペレーティングシステムがコンピュータシステム2300によって同時に実行されるであろう。一般的に、各仮想マシンはその他の仮想マシンから独立して実行される。
通信サブシステム2324は、その他のコンピュータシステムおよびネットワークに対するインターフェイスを提供する。通信サブシステム2324は、コンピュータシステム2300以外のシステムからデータを受信しコンピュータシステム2300以外のシステムにデータを送信するためのインターフェイスの役割を果たす。たとえば、通信サブシステム2324によって、コンピュータシステム2300は、情報をクライアントコンピューティングデバイスから受信しかつ情報をクライアントコンピューティングデバイスに送信するために1つ以上のクライアントコンピューティングデバイスへのインターネットを介した通信チャネルを確立することができるであろう。
通信サブシステム2324は、有線通信プロトコルおよび/または無線通信プロトコル双方をサポートし得る。たとえば、特定の実施形態において、通信サブシステム2324は、(たとえば携帯電話技術、3G、4GまたはEDGE(グローバル進化型高速データレート)等の高度データネットワーク技術、WiFi(IEEE802.11ファミリー規格、またはその他のモバイル通信技術、またはそれらの任意の組合わせ)を用いて)無線音声および/またはデータネットワークにアクセスするための無線周波数(RF)トランシーバコンポーネント、グローバルポジショニングシステム(GPS)レシーバコンポーネント、および/またはその他のコンポーネントを含み得る。いくつかの実施形態の通信サブシステム2324は、無線インターフェイスに加えてまたはその代わりに有線ネットワーク接続(たとえばイーサネット)を提供することができる。
通信サブシステム2324は、さまざまな形態のデータを受信し送信することができる。たとえば、いくつかの実施形態において、通信サブシステム2324は、構造化されたおよび/または構造化されていないデータフィード2326、イベントストリーム2328、イベントアップデート2330等の形態の入力通信を受信し得る。たとえば、通信サブシステム2324は、ソーシャルメディアネットワークおよび/またはその他の通信サービスのユーザから、リアルタイムで、Twitter(登録商標)フィード、Facebook(登録商標)アップデート、リッチサイトサマリー(RSS)フィード等のウェブフィード、および/または1つ以上の第三者情報源からからのリアルタイムアップデート等のデータフィード2326を、受信(または送信)するように構成されてもよい。
特定の実施形態において、通信サブシステム2324は、本質的に連続しているまたは無限であり明確な終わりがない場合がある、リアルタイムイベントのイベントストリーム2328および/またはイベントアップデート2330を含み得る、連続データストリームの形態のデータを受信するように構成されてもよい。連続データを生成するアプリケーションの例は、たとえば、センサデータアプリケーション、株式相場表示機、ネットワーク性能測定ツール(たとえばネットワークモニタリングおよびトラフィック管理アプリケーション)、クリックストリーム分析ツール、自動車交通量モニタリング等を含み得る。
通信サブシステム2324はまた、構造化されたおよび/または構造化されていないデータフィード2326、イベントストリーム2328、イベントアップデート2330等を、コンピュータシステム2300に連結されている1つ以上のストリーミングデータソースコンピュータと通信し得る1つ以上のデータベースに出力するように構成されてもよい。
コンピュータシステム2300は、ハンドヘルドポータブルデバイス(たとえばiPhone(登録商標)携帯電話、iPad(登録商標)計算タブレット、PDA)、ウェアラブルデバイス(たとえばGoogle Glass(登録商標)ヘッドマウントディスプレイ)、パーソナルコンピュータ、ワークステーション、メインフレーム、キオスク、サーバラック、またはその他のデータ処理システムを含む、さまざまな種類のうちの1つであればよい。
コンピュータおよびネットワークは常に変化しているという性質のものであるので、図23に示されるコンピュータシステム2300の説明は、専ら特定の例を意図している。図23に示されるシステムよりもコンポーネントが多いまたは少ないその他多数の構成が可能である。本明細書が提供する開示と教示に基づいて、当業者はさまざまな実施形態を実現するためのその他のやり方および/または方法を理解するであろう。
本開示の特定の実施形態について説明してきたが、さまざまな変形例、変更例、代替的な構成および等価物も本開示の範囲内に包含される。本開示の実施形態は、特定の具体的なデータ処理環境内での動作に限定されるものではなく、複数のデータ処理環境内で自由に動作できる。さらに、特定の一連のトランザクションおよびステップを使用して本開示の実施形態について説明してきたが、本開示の範囲が、記載されている一連のトランザクションおよびステップに限定されるものではないということが当業者に明らかであるべきである。
さらに、ハードウェアおよびソフトウェアの特定の組合わせを使用して本開示の実施形態について説明してきたが、ハードウェアおよびソフトウェアの他の組合わせも本開示の範囲内であることが認識されるべきである。本開示の実施形態は、ハードウェアのみで実現されてもよく、またはソフトウェアのみで実現されてもよく、またはそれらの組合わせを使用して実現されてもよい。この明細書中に記載されるさまざまなプロセスは、同じプロセッサ上で、または任意に組合わされたさまざまなプロセッサ上で実現することができる。したがって、コンポーネントまたはモジュールがいくつかのオペレーションを実行するように構成されるものと記載されているが、このような構成は、たとえば、オペレーションを実行するように電子回路を設計することによって、オペレーションを実行するようにプログラム可能な電子回路(マイクロプロセッサなど)をプログラミングすることによって、またはこれらを組合わせることによって、達成することができる。プロセス同士は、プロセス間通信のための従来の技術を含むがこれらに限定されないさまざまな技術を用いて通信することができ、異なる対のプロセスは異なる技術を用いてもよく、または、同じ対のプロセスは異なる時間に異なる技術を用いてもよい。
したがって、明細書および図面は、限定的な意味ではなく例示的な意味で考えられるべきである。しかし、特許請求の範囲に記載されているより広範な精神および範囲から逸脱することなく、追加、削減、削除ならびに他の変形および変更がそれに対してなされてもよいということは明白であろう。このように、特定の実施形態を記載してきたが、これらは制限するようには意図されるものではない。さまざまな変更例および同等例は添付の特許請求の範囲内にある。

Claims (12)

  1. 方法であって、
    アクセス管理システムのコンピュータシステムが、第1のデバイスから、リソースへのアクセスを求めるユーザの要求を受信するステップを含み、前記要求は前記第1のデバイスを特定する情報を含み、
    前記コンピュータシステムが、前記ユーザに関して信頼できるデバイスを登録したリストと、前記第1のデバイスを特定する情報とに基づいて、前記第1のデバイスが前記信頼できるデバイスとして前記アクセス管理システムに登録されていると判断するステップと、
    前記コンピュータシステムが、前記第1のデバイスを用いて前記リソースにアクセスする前記ユーザの認証を判断するためのセキュリティデータを生成するステップとを含み、前記セキュリティデータは、前記ユーザに関する情報に基づく第1のデータを含み、前記第1のデータは暗号鍵に基づいて暗号化され、
    前記コンピュータシステムが、前記ユーザが前記アクセス管理システムに登録した第2のデバイスに、前記暗号鍵を送信するステップを含み、前記第2のデバイスは前記第1のデバイスとは異なり、
    前記コンピュータシステムが、前記セキュリティデータを前記第1のデバイスに送信するステップを含み、前記第1のデバイスは前記セキュリティデータを前記第1のデバイスのインターフェイスに提示し、
    前記コンピュータシステムが、前記セキュリティデータに含まれる前記第1のデータの解読に基づいて第2のデバイスが生成した第2のデータを、前記第2のデバイスから受信するステップを含み、前記第1のデータの解読は、前記第2のデバイスにより、前記第2のデバイスに送信された前記暗号鍵を用いて実行され、前記セキュリティデータは、前記第2のデバイスにより、前記第1のデバイスにおける前記セキュリティデータの提示から取得され、
    前記第2のデータが前記第1のデータに含まれる前記情報を含むか否かを判断するステップと、
    前記第2のデータが前記情報を含むという判断に基づいて、前記第1のデバイスが前記リソースにアクセスすることを可能にするステップとを含む、方法。
  2. 前記セキュリティデータを前記第1のデバイスにおいて提示することは、前記セキュリティデータを前記第1のデバイスにおいて表示することである、請求項1に記載の方法。
  3. 前記セキュリティデータは、前記セキュリティデータを提示するために前記第1のデバイスにおいて表示されるクイックレスポンス(QR)コードを含む、請求項1または2に記載の方法。
  4. 前記セキュリティデータに含まれる前記第1のデータは前記QRコードに埋め込まれている、請求項3に記載の方法。
  5. 前記第2のデバイスは、前記第2のデバイスにおけるアクセスのための前記ユーザの認証に基づいて、前記ユーザが、前記第2のデバイスを操作して、前記第1のデバイスにおける前記セキュリティデータの提示から、前記セキュリティデータを取得できるようにする、請求項1〜4のいずれか1項に記載の方法。
  6. 前記第2のデバイスにおけるアクセスのための前記ユーザの認証は、前記ユーザの登録のために提供された過去のバイオメトリクス入力に基づいて前記ユーザの生体認証を実行することを含む、請求項に記載の方法。
  7. 前記リソースにアクセスする前記ユーザの認証は、第1の認証プロセスと第2の認証プロセスとを含む1つ以上の認証プロセスに基づいて判断され、前記第2の認証プロセスは前記第1の認証プロセスと異なり、前記方法はさらに、
    前記要求に先立って、
    前記第1の認証プロセスを実行するステップを含み、前記第1の認証プロセスは、前記第1のデバイスから受信した前記ユーザの資格証明情報を検証することを含み、
    一時アクセス情報を前記第2のデバイスに送信するステップと、
    前記一時アクセス情報を前記第1のデバイスから受信するステップと、
    第2の認証プロセスを実行するステップとを含み、前記第2の認証プロセスは、前記受信した一時アクセス情報が、前記第2のデバイスに送信された前記一時アクセス情報に一致すると判断することを含む、請求項1〜のいずれか1項に記載の方法。
  8. 前記一時アクセス情報は、前記第2の認証プロセスにおいて前記一時アクセス情報が有効な期間に対応付けられた個人識別番号である、請求項に記載の方法。
  9. 前記リソースにアクセスすることが可能にされたことを示すメッセージを前記第1のデバイスに送信するステップをさらに含み、前記第1のデバイスは、前記第1のデバイスにおいてグラフィカルインターフェイスを生成することにより前記リソースへのアクセスを可能にする、請求項1〜のいずれか1項に記載の方法。
  10. 前記第2のデバイスはモバイルデバイスであり、前記第1のデバイスはコンピュータシステムである、請求項1〜のいずれか1項に記載の方法。
  11. システムであって、
    1つ以上のプロセッサと、
    前記1つ以上のプロセッサがアクセス可能なメモリとを備え、前記メモリは、前記1つ以上のプロセッサによって実行されると前記1つ以上のプロセッサに以下の動作を実行させる1つ以上の命令を格納しており、前記動作は、
    アクセス管理システムが、第1のデバイスから、リソースへのアクセスを求めるユーザの要求を受信することを含み前記要求は前記第1のデバイスを特定する情報を含み、
    前記ユーザに関して信頼できるデバイスを登録したリストと、前記第1のデバイスを特定する情報とに基づいて、前記第1のデバイスが前記信頼できるデバイスとして前記アクセス管理システムに登録されていると判断することと、
    前記第1のデバイスを用いて前記リソースにアクセスする前記ユーザの認証を判断するためのセキュリティデータを生成することとを含み、前記セキュリティデータは、前記ユーザに関する情報に基づく第1のデータを含み、前記第1のデータは暗号鍵に基づいて暗号化され、
    前記ユーザが前記アクセス管理システムに登録した第2のデバイスに、前記暗号鍵を送信することを含み、前記第2のデバイスは前記第1のデバイスとは異なり、
    前記セキュリティデータを前記第1のデバイスに送信することを含み、前記第1のデバイスは前記セキュリティデータを前記第1のデバイスのインターフェイスに提示し、
    前記セキュリティデータに含まれる前記第1のデータの解読に基づいて第2のデバイスが生成した第2のデータを、前記第2のデバイスから受信することを含み、前記第1のデータの解読は、前記第2のデバイスにより、前記第2のデバイスに送信された前記暗号鍵を用いて実行され、前記セキュリティデータは、前記第2のデバイスにより、前記第1のデバイスにおける前記セキュリティデータの提示から取得され、
    前記第2のデータが前記第1のデータに含まれる前記情報を含むか否かを判断することと、
    前記第2のデータが前記情報を含むという判断に基づいて、前記第1のデバイスが前記リソースにアクセスすることを可能にすることとを含む、システム。
  12. 請求項1〜10のいずれか1項に記載の方法を1つ以上のプロセッサに実行させるためのコンピュータ読取可能プログラム。
JP2018520463A 2015-10-23 2016-10-21 アクセス管理のためのパスワードレス認証 Active JP6895431B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562245891P 2015-10-23 2015-10-23
US62/245,891 2015-10-23
PCT/US2016/058016 WO2017070412A1 (en) 2015-10-23 2016-10-21 Password-less authentication for access management

Publications (3)

Publication Number Publication Date
JP2019501557A JP2019501557A (ja) 2019-01-17
JP2019501557A5 JP2019501557A5 (ja) 2019-07-04
JP6895431B2 true JP6895431B2 (ja) 2021-06-30

Family

ID=57233891

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018520463A Active JP6895431B2 (ja) 2015-10-23 2016-10-21 アクセス管理のためのパスワードレス認証

Country Status (5)

Country Link
US (2) US10158489B2 (ja)
EP (1) EP3365824B1 (ja)
JP (1) JP6895431B2 (ja)
CN (2) CN113918914A (ja)
WO (1) WO2017070412A1 (ja)

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101652625B1 (ko) 2015-02-11 2016-08-30 주식회사 이베이코리아 온라인 웹사이트의 회원 로그인을 위한 보안인증 시스템 및 그 방법
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
WO2017070412A1 (en) 2015-10-23 2017-04-27 Oracle International Corporation Password-less authentication for access management
US10198595B2 (en) 2015-12-22 2019-02-05 Walmart Apollo, Llc Data breach detection system
US10511592B1 (en) * 2016-01-07 2019-12-17 Charles Schwab & Co., Inc. System and method for authenticating a user via a mobile device to provide a web service on a different computer system
US10747808B2 (en) 2016-01-19 2020-08-18 Regwez, Inc. Hybrid in-memory faceted engine
US20170257363A1 (en) * 2016-03-04 2017-09-07 Secureauth Corporation Secure mobile device two-factor authentication
US10171506B2 (en) * 2016-03-21 2019-01-01 Fortinet, Inc. Network security management via social media network
US11310224B2 (en) * 2017-02-15 2022-04-19 Adp, Inc. Enhanced security authentication system
US10783235B1 (en) * 2017-05-04 2020-09-22 Amazon Technologies, Inc. Secure remote access of computing resources
US10645079B2 (en) 2017-05-12 2020-05-05 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens and multi-device authentication prompts
JP6972729B2 (ja) * 2017-07-24 2021-11-24 コニカミノルタ株式会社 画像表示システム、資料提供支援装置、資料取得装置、資料提供支援方法、およびコンピュータプログラム
US10681034B2 (en) * 2017-08-01 2020-06-09 Verizon Patent And Licensing Inc. Identity management via a centralized identity management server device
US11153303B2 (en) * 2017-11-15 2021-10-19 Citrix Systems, Inc. Secure authentication of a device through attestation by another device
US10068082B1 (en) * 2017-11-16 2018-09-04 Fmr Llc Systems and methods for maintaining split knowledge of web-based accounts
US11496462B2 (en) * 2017-11-29 2022-11-08 Jpmorgan Chase Bank, N.A. Secure multifactor authentication with push authentication
US11323434B1 (en) * 2017-12-31 2022-05-03 Charles Schwab & Co., Inc. System and method for secure two factor authentication
US10754972B2 (en) * 2018-01-30 2020-08-25 Salesforce.Com, Inc. Multi-factor administrator action verification system
US11227318B2 (en) * 2018-02-01 2022-01-18 Capital One Services, Llc Systems and methods for authenticated delivery by unmanned vehicle (UV)
KR102584459B1 (ko) * 2018-03-22 2023-10-05 삼성전자주식회사 전자 장치 및 이의 인증 방법
US11645378B2 (en) * 2018-05-02 2023-05-09 Hewlett-Packard Development Company, L.P. Document security keys
US11057375B1 (en) * 2018-06-25 2021-07-06 Amazon Technologies, Inc User authentication through registered device communications
US11017100B2 (en) * 2018-08-03 2021-05-25 Verizon Patent And Licensing Inc. Identity fraud risk engine platform
US10749876B2 (en) 2018-08-09 2020-08-18 Cyberark Software Ltd. Adaptive and dynamic access control techniques for securely communicating devices
US11907354B2 (en) 2018-08-09 2024-02-20 Cyberark Software Ltd. Secure authentication
US10594694B2 (en) 2018-08-09 2020-03-17 Cyberark Software Ltd. Secure offline caching and provisioning of secrets
US11398913B2 (en) * 2018-08-24 2022-07-26 Powch, LLC Secure distributed information system for public device authentication
US11082451B2 (en) * 2018-12-31 2021-08-03 Citrix Systems, Inc. Maintaining continuous network service
US11651357B2 (en) 2019-02-01 2023-05-16 Oracle International Corporation Multifactor authentication without a user footprint
AU2020100285B4 (en) * 2019-03-18 2020-09-10 Apple Inc. User interfaces for subscription applications
WO2020197779A1 (en) * 2019-03-22 2020-10-01 Zev Industries System and method for the measurement of impact kinetics
US11316849B1 (en) 2019-04-04 2022-04-26 United Services Automobile Association (Usaa) Mutual authentication system
US10952015B2 (en) * 2019-04-10 2021-03-16 Bank Of America Corporation Interlinked geo-fencing
US11409861B2 (en) * 2019-04-11 2022-08-09 Herbert Bolimovsky Passwordless authentication
CN110086634B (zh) * 2019-05-16 2021-12-14 山东浪潮科学研究院有限公司 一种智能摄像头安全认证和访问的系统及方法
CN110224713B (zh) * 2019-06-12 2020-09-15 读书郎教育科技有限公司 一种基于高安全性智能儿童手表的安全防护方法及系统
GB2586785A (en) * 2019-08-30 2021-03-10 Mobilise Consulting Ltd Authentication
US20210211421A1 (en) * 2020-01-02 2021-07-08 Vmware, Inc. Service authentication through a voice assistant
US11907356B2 (en) * 2020-01-09 2024-02-20 Arris Enterprises Llc System, method, and computer-readable recording medium of creating, accessing, and recovering a user account with single sign on password hidden authentication
EP4107926A4 (en) * 2020-04-17 2024-06-05 Trusona Inc SYSTEMS AND METHODS FOR CRYPTOGRAPHIC AUTHENTICATION
US11503009B2 (en) 2020-04-23 2022-11-15 Cisco Technology, Inc. Password-less wireless authentication
US11687629B2 (en) * 2020-06-12 2023-06-27 Baidu Usa Llc Method for data protection in a data processing cluster with authentication
CN111835734A (zh) * 2020-06-24 2020-10-27 北京达佳互联信息技术有限公司 信息处理方法、装置、电子设备、服务器及存储介质
US11784991B2 (en) * 2020-07-20 2023-10-10 Bank Of America Corporation Contactless authentication and event processing
US11777917B2 (en) * 2020-10-15 2023-10-03 Cisco Technology, Inc. Multi-party cloud authenticator
JP2022083290A (ja) 2020-11-24 2022-06-03 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、及びプログラム
US20220311881A1 (en) * 2021-03-24 2022-09-29 Canon Kabushiki Kaisha Information processing system, image processing apparatus, information processing apparatus, server apparatus, information processing method, and storage medium
CN113055169B (zh) * 2021-03-29 2023-04-14 京东方科技集团股份有限公司 数据加密方法、装置、电子设备及存储介质
US20220353256A1 (en) * 2021-04-29 2022-11-03 Microsoft Technology Licensing, Llc Usage-limited passcodes for authentication bootstrapping
US11743035B2 (en) * 2021-06-15 2023-08-29 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11848930B1 (en) 2021-06-15 2023-12-19 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11658955B1 (en) 2021-06-15 2023-05-23 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11843636B1 (en) 2021-06-15 2023-12-12 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US20230177592A1 (en) * 2021-12-03 2023-06-08 Amazon Technologies, Inc. Systems for enabling access to a shipping benefit from seller content

Family Cites Families (133)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04252350A (ja) * 1991-01-28 1992-09-08 Hitachi Ltd セキュリティチェック方法
US5636280A (en) * 1994-10-31 1997-06-03 Kelly; Tadhg Dual key reflexive encryption security system
US6412077B1 (en) 1999-01-14 2002-06-25 Cisco Technology, Inc. Disconnect policy for distributed computing systems
US6609198B1 (en) 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6892307B1 (en) 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US6950949B1 (en) 1999-10-08 2005-09-27 Entrust Limited Method and apparatus for password entry using dynamic interface legitimacy information
US6246769B1 (en) 2000-02-24 2001-06-12 Michael L. Kohut Authorized user verification by sequential pattern recognition and access code acquisition
US7086085B1 (en) 2000-04-11 2006-08-01 Bruce E Brown Variable trust levels for authentication
JP3855595B2 (ja) 2000-04-25 2006-12-13 株式会社日立製作所 通信システム、通信方法及び通信装置
US7590684B2 (en) 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
GB0119629D0 (en) 2001-08-10 2001-10-03 Cryptomathic As Data certification method and apparatus
US7076797B2 (en) 2001-10-05 2006-07-11 Microsoft Corporation Granular authorization for network user sessions
US7562222B2 (en) 2002-05-10 2009-07-14 Rsa Security Inc. System and method for authenticating entities to users
ATE291321T1 (de) 2002-12-20 2005-04-15 Cit Alcatel Verfahren und vorrichtung zur authentifizierung eines benutzers
JP2004198872A (ja) 2002-12-20 2004-07-15 Sony Electronics Inc 端末装置およびサーバ
US7283048B2 (en) 2003-02-03 2007-10-16 Ingrid, Inc. Multi-level meshed security network
US20040215750A1 (en) 2003-04-28 2004-10-28 Stilp Louis A. Configuration program for a security system
US20060274920A1 (en) 2003-06-16 2006-12-07 Osamu Tochikubo Personal identification device and system having personal identification device
US7395424B2 (en) 2003-07-17 2008-07-01 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
US7724700B1 (en) 2003-08-25 2010-05-25 Cisco Technology, Inc. Application server-centric quality of service management in network communications
US8128474B2 (en) 2004-03-05 2012-03-06 Cantor Index, Llc Computer graphics processing methods and systems for presentation of graphics objects or text in a wagering environment
WO2005084149A2 (en) 2004-03-09 2005-09-15 Ktfreetel Co., Ltd. Method and system for detailed accounting of packet data
JP2007115226A (ja) * 2005-03-29 2007-05-10 Bank Of Tokyo-Mitsubishi Ufj Ltd ユーザ認証システム
US7574212B2 (en) 2005-06-22 2009-08-11 Sprint Spectrum L.P. Method and system for managing communication sessions during multi-mode mobile station handoff
WO2007017878A2 (en) 2005-08-11 2007-02-15 Sandisk Il Ltd. Extended one-time password method and apparatus
US20070136573A1 (en) 2005-12-05 2007-06-14 Joseph Steinberg System and method of using two or more multi-factor authentication mechanisms to authenticate online parties
US20070130463A1 (en) 2005-12-06 2007-06-07 Eric Chun Wah Law Single one-time password token with single PIN for access to multiple providers
US20070125840A1 (en) 2005-12-06 2007-06-07 Boncle, Inc. Extended electronic wallet management
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US7886346B2 (en) 2006-02-13 2011-02-08 Vmware, Inc. Flexible and adjustable authentication in cyberspace
US20070200597A1 (en) 2006-02-28 2007-08-30 Oakland Steven F Clock generator having improved deskewer
JP4693171B2 (ja) 2006-03-17 2011-06-01 株式会社日立ソリューションズ 認証システム
US8010996B2 (en) 2006-07-17 2011-08-30 Yahoo! Inc. Authentication seal for online applications
US8671444B2 (en) 2006-10-06 2014-03-11 Fmr Llc Single-party, secure multi-channel authentication for access to a resource
US20080120507A1 (en) 2006-11-21 2008-05-22 Shakkarwar Rajesh G Methods and systems for authentication of a user
US8156536B2 (en) 2006-12-01 2012-04-10 Cisco Technology, Inc. Establishing secure communication sessions in a communication network
US8032922B2 (en) 2006-12-18 2011-10-04 Oracle International Corporation Method and apparatus for providing access to an application-resource
AU2008294354A1 (en) 2007-06-20 2009-03-12 Mchek India Payment Systems Pvt. Ltd. A method and system for secure authentication
US9009327B2 (en) 2007-08-03 2015-04-14 Citrix Systems, Inc. Systems and methods for providing IIP address stickiness in an SSL VPN session failover environment
US8122251B2 (en) 2007-09-19 2012-02-21 Alcatel Lucent Method and apparatus for preventing phishing attacks
US8209209B2 (en) 2007-10-02 2012-06-26 Incontact, Inc. Providing work, training, and incentives to company representatives in contact handling systems
JP2009147571A (ja) * 2007-12-13 2009-07-02 Nec Corp 映像配信システム、端末装置、プログラム、及び映像配信方法
US8302167B2 (en) 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
KR101496329B1 (ko) 2008-03-28 2015-02-26 삼성전자주식회사 네트워크의 디바이스 보안 등급 조절 방법 및 장치
US8584196B2 (en) 2008-05-05 2013-11-12 Oracle International Corporation Technique for efficiently evaluating a security policy
US8006291B2 (en) 2008-05-13 2011-08-23 Veritrix, Inc. Multi-channel multi-factor authentication
US8339954B2 (en) 2008-05-16 2012-12-25 Cisco Technology, Inc. Providing trigger based traffic management
US8141140B2 (en) 2008-05-23 2012-03-20 Hsbc Technologies Inc. Methods and systems for single sign on with dynamic authentication levels
US7523309B1 (en) 2008-06-27 2009-04-21 International Business Machines Corporation Method of restricting access to emails by requiring multiple levels of user authentication
US8738488B2 (en) 2008-08-12 2014-05-27 Branch Banking & Trust Company Method for business on-line account opening with early warning system
US8327422B1 (en) 2008-09-26 2012-12-04 Emc Corporation Authenticating a server device using dynamically generated representations
US8281379B2 (en) 2008-11-13 2012-10-02 Vasco Data Security, Inc. Method and system for providing a federated authentication service with gradual expiration of credentials
US8843997B1 (en) 2009-01-02 2014-09-23 Resilient Network Systems, Inc. Resilient trust network services
NO332479B1 (no) 2009-03-02 2012-09-24 Encap As Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler
JP2010211294A (ja) * 2009-03-06 2010-09-24 Toshiba Corp ユーザ認証システムおよびユーザ認証方法
US8730871B2 (en) 2009-05-22 2014-05-20 Raytheon Company System and method for providing voice communications over a multi-level secure network
US9130903B2 (en) 2009-07-01 2015-09-08 Citrix Systems, Inc. Unified out of band management system for desktop and server sessions
US8453224B2 (en) 2009-10-23 2013-05-28 Novell, Inc. Single sign-on authentication
JP5443943B2 (ja) * 2009-10-27 2014-03-19 株式会社東芝 商取引システム、商取引方法、商取引サーバ、ユーザ端末およびユーザプログラム
JP2011215753A (ja) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd 認証システムおよび認証方法
US8572268B2 (en) 2010-06-23 2013-10-29 International Business Machines Corporation Managing secure sessions
US8490165B2 (en) 2010-06-23 2013-07-16 International Business Machines Corporation Restoring secure sessions
US8312519B1 (en) 2010-09-30 2012-11-13 Daniel V Bailey Agile OTP generation
US8555355B2 (en) 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
US8806591B2 (en) 2011-01-07 2014-08-12 Verizon Patent And Licensing Inc. Authentication risk evaluation
AP2013006967A0 (en) 2011-01-13 2013-07-31 Infosys Ltd System and method for accessing integrated applications in a single sign-on enabled enterprise solution
US8549145B2 (en) 2011-02-08 2013-10-01 Aventura Hq, Inc. Pre-access location-based rule initiation in a virtual computing environment
US8640214B2 (en) 2011-03-07 2014-01-28 Gemalto Sa Key distribution for unconnected one-time password tokens
US8763097B2 (en) 2011-03-11 2014-06-24 Piyush Bhatnagar System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
WO2012156785A1 (en) 2011-05-13 2012-11-22 Shenoy Gurudatt Systems and methods for device based password-less user authentication using encryption
US8856893B2 (en) 2011-06-09 2014-10-07 Hao Min System and method for an ATM electronic lock system
US8677464B2 (en) 2011-06-22 2014-03-18 Schweitzer Engineering Laboratories Inc. Systems and methods for managing secure communication sessions with remote devices
JP2014529964A (ja) 2011-08-31 2014-11-13 ピング アイデンティティ コーポレーション モバイル機器経由の安全なトランザクション処理のシステムおよび方法
US8627438B1 (en) * 2011-09-08 2014-01-07 Amazon Technologies, Inc. Passwordless strong authentication using trusted devices
US8943320B2 (en) * 2011-10-31 2015-01-27 Novell, Inc. Techniques for authentication via a mobile device
US8904507B2 (en) 2011-11-29 2014-12-02 American Megatrends, Inc. System and method for controlling user access to a service processor
US8954758B2 (en) 2011-12-20 2015-02-10 Nicolas LEOUTSARAKOS Password-less security and protection of online digital assets
US9438575B2 (en) * 2011-12-22 2016-09-06 Paypal, Inc. Smart phone login using QR code
WO2013100918A1 (en) 2011-12-27 2013-07-04 Intel Corporation Authenticating to a network via a device-specific one time password
KR101236544B1 (ko) 2012-01-12 2013-03-15 주식회사 엘지씨엔에스 결제 방법 및 이와 연관된 결제 게이트웨이 서버, 모바일 단말 및 시점 확인서 발행 서버
US10120847B2 (en) 2012-01-27 2018-11-06 Usablenet Inc. Methods for transforming requests for web content and devices thereof
US20130205373A1 (en) 2012-02-08 2013-08-08 Aventura Hq, Inc. Adapting authentication flow based on workflow events
US8898765B2 (en) 2012-02-15 2014-11-25 Oracle International Corporation Signing off from multiple domains accessible using single sign-on
US8935777B2 (en) * 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US8578476B2 (en) 2012-03-23 2013-11-05 Ca, Inc. System and method for risk assessment of login transactions through password analysis
US8856892B2 (en) 2012-06-27 2014-10-07 Sap Ag Interactive authentication
CN103532919B (zh) 2012-07-06 2018-06-12 腾讯科技(深圳)有限公司 用户账户保持登录态的方法及系统
US20140047233A1 (en) 2012-08-07 2014-02-13 Jeffrey T. Kalin System and methods for automated transaction key generation and authentication
US9554389B2 (en) 2012-08-31 2017-01-24 Qualcomm Incorporated Selectively allocating quality of service to support multiple concurrent sessions for a client device
US20140317713A1 (en) * 2012-09-02 2014-10-23 Mpayme Ltd. Method and System of User Authentication Using an Out-of-band Channel
GB2505710A (en) 2012-09-11 2014-03-12 Barclays Bank Plc Registration method and system for secure online banking
US9083691B2 (en) 2012-09-14 2015-07-14 Oracle International Corporation Fine-grained user authentication and activity tracking
US9092607B2 (en) 2012-10-01 2015-07-28 Oracle International Corporation Dynamic flow control for access managers
CN103793819B (zh) 2012-10-31 2017-12-19 天地融科技股份有限公司 交易系统及方法
US9218476B1 (en) 2012-11-07 2015-12-22 Amazon Technologies, Inc. Token based one-time password security
US8625796B1 (en) 2012-11-30 2014-01-07 Mourad Ben Ayed Method for facilitating authentication using proximity
EP2743857A1 (en) * 2012-12-13 2014-06-18 Gemalto SA Methof for allowing establishment of a secure session between a device and a server
US8966591B2 (en) 2013-01-18 2015-02-24 Ca, Inc. Adaptive strike count policy
US20140279445A1 (en) 2013-03-18 2014-09-18 Tencent Technology (Shenzhen) Company Limited Method, Apparatus, and System for Processing Transactions
CN103220280A (zh) 2013-04-03 2013-07-24 天地融科技股份有限公司 动态口令牌、动态口令牌数据传输方法及系统
US9569472B2 (en) 2013-06-06 2017-02-14 Oracle International Corporation System and method for providing a second level connection cache for use with a database environment
GB2515289A (en) 2013-06-17 2014-12-24 Mastercard International Inc Display card with user interface
EP2821972B1 (en) 2013-07-05 2020-04-08 Assa Abloy Ab Key device and associated method, computer program and computer program product
CN103366111B (zh) * 2013-07-10 2016-02-24 公安部第三研究所 移动设备上基于二维码实现智能卡扩展认证控制的方法
US9674168B2 (en) 2013-09-19 2017-06-06 Oracle International Corporation Privileged account plug-in framework-step-up validation
US9866640B2 (en) 2013-09-20 2018-01-09 Oracle International Corporation Cookie based session management
US9544293B2 (en) 2013-09-20 2017-01-10 Oracle International Corporation Global unified session identifier across multiple data centers
CN103473824A (zh) * 2013-09-25 2013-12-25 中山爱科数字科技股份有限公司 一种基于二维码标签的考勤方法
US9742757B2 (en) 2013-11-27 2017-08-22 International Business Machines Corporation Identifying and destroying potentially misappropriated access tokens
US9202035B1 (en) 2013-12-18 2015-12-01 Emc Corporation User authentication based on biometric handwriting aspects of a handwritten code
US10212143B2 (en) 2014-01-31 2019-02-19 Dropbox, Inc. Authorizing an untrusted client device for access on a content management system
US9537661B2 (en) 2014-02-28 2017-01-03 Verizon Patent And Licensing Inc. Password-less authentication service
US9560076B2 (en) 2014-03-19 2017-01-31 Verizon Patent And Licensing Inc. Secure trust-scored distributed multimedia collaboration session
US10079826B2 (en) * 2014-03-19 2018-09-18 BluInk Ltd. Methods and systems for data entry
US10136315B2 (en) 2014-04-17 2018-11-20 Guang Gong Password-less authentication system, method and device
US11030587B2 (en) 2014-04-30 2021-06-08 Mastercard International Incorporated Systems and methods for providing anonymized transaction data to third-parties
US10270780B2 (en) * 2014-08-18 2019-04-23 Dropbox, Inc. Access management using electronic images
GB2529632A (en) 2014-08-26 2016-03-02 Ibm Authentication management
US9495522B2 (en) 2014-09-03 2016-11-15 Microsoft Technology Licensing, Llc Shared session techniques
CN104660412A (zh) 2014-10-22 2015-05-27 南京泽本信息技术有限公司 一种移动设备无密码安全认证方法及系统
US10547599B1 (en) 2015-02-19 2020-01-28 Amazon Technologies, Inc. Multi-factor authentication for managed directories
WO2016138067A1 (en) 2015-02-24 2016-09-01 Cloudlock, Inc. System and method for securing an enterprise computing environment
EP3065366B1 (en) 2015-03-02 2020-09-09 Bjoern Pirrwitz Identification and/or authentication system and method
CN104700479B (zh) * 2015-03-10 2017-06-13 上海金融云服务集团安全技术有限公司 基于带外认证的门禁方法
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
US9769147B2 (en) 2015-06-29 2017-09-19 Oracle International Corporation Session activity tracking for session adoption across multiple data centers
US10693859B2 (en) 2015-07-30 2020-06-23 Oracle International Corporation Restricting access for a single sign-on (SSO) session
SG10201508081TA (en) 2015-09-29 2017-04-27 Mastercard International Inc Method and system for dynamic pin authorisation for atm or pos transactions
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
WO2017070412A1 (en) 2015-10-23 2017-04-27 Oracle International Corporation Password-less authentication for access management
US10038787B2 (en) 2016-05-06 2018-07-31 Genesys Telecommunications Laboratories, Inc. System and method for managing and transitioning automated chat conversations

Also Published As

Publication number Publication date
EP3365824A1 (en) 2018-08-29
WO2017070412A1 (en) 2017-04-27
US10158489B2 (en) 2018-12-18
US20190074972A1 (en) 2019-03-07
JP2019501557A (ja) 2019-01-17
EP3365824B1 (en) 2020-07-15
CN108351927B (zh) 2021-11-09
CN113918914A (zh) 2022-01-11
US10735196B2 (en) 2020-08-04
CN108351927A (zh) 2018-07-31
US20170118025A1 (en) 2017-04-27

Similar Documents

Publication Publication Date Title
JP6895431B2 (ja) アクセス管理のためのパスワードレス認証
US10666643B2 (en) End user initiated access server authenticity check
US11843611B2 (en) Framework for multi-level and multi-factor inline enrollment
US10142327B2 (en) Rule based device enrollment
US10157275B1 (en) Techniques for access management based on multi-factor authentication including knowledge-based authentication
US10462142B2 (en) Techniques for implementing a data storage device as a security device for managing access to resources
US10257205B2 (en) Techniques for authentication level step-down
US10693859B2 (en) Restricting access for a single sign-on (SSO) session
US10581826B2 (en) Run-time trust management system for access impersonation
US10225283B2 (en) Protection against end user account locking denial of service (DOS)
US20180046794A1 (en) Session activity tracking for session adoption across multiple data centers
EP3915026B1 (en) Browser login sessions via non-extractable asymmetric keys

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190527

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190527

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200825

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210511

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210607

R150 Certificate of patent or registration of utility model

Ref document number: 6895431

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150