JP6981824B2 - 共通認証管理サービス - Google Patents

共通認証管理サービス Download PDF

Info

Publication number
JP6981824B2
JP6981824B2 JP2017174640A JP2017174640A JP6981824B2 JP 6981824 B2 JP6981824 B2 JP 6981824B2 JP 2017174640 A JP2017174640 A JP 2017174640A JP 2017174640 A JP2017174640 A JP 2017174640A JP 6981824 B2 JP6981824 B2 JP 6981824B2
Authority
JP
Japan
Prior art keywords
security data
service
access
subset
individuals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017174640A
Other languages
English (en)
Other versions
JP2018092600A (ja
Inventor
マーティン・シュリーフ
アンソニー・アンドリュー・クロバ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boeing Co
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boeing Co filed Critical Boeing Co
Publication of JP2018092600A publication Critical patent/JP2018092600A/ja
Application granted granted Critical
Publication of JP6981824B2 publication Critical patent/JP6981824B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Description

本発明は一般に、しかし排他的にではなく、サービス・プロバイダにより提供された利用可能サービスを複数の企業に雇われている個人に移譲するように構成されたコンピューティング環境に関し、より詳細にはこれらの企業の各々の個人の間のアクセス権限を、サービス・プロバイダにより提供された1つまたは複数のサービスで確立することに関する。
複数のサービス・プロバイダ内のサービスに個人がアクセスするための管理認証(例えば、アクセス権限)を管理することは歴史的に困難な課題である。換言すれば、各企業での個人およびそれらのそれぞれの役割の追跡と、各個人が特定のサービスに対してどのアクセスのレベルを有すべきかは、管理者が管理するには厄介である。
本要約は、概念の選択を、詳細な説明でさらに以下で説明される簡単な形で導入するために提供される。本要約は、当該クレームした主題の主要な特徴または本質的な特徴を特定しようとするものではなく、当該クレームした主題の当該範囲を限定するために使用されるものでもない。
以下で説明する例示的な例はコンピューティング環境に対する改善された方法を少なくとも1つの企業に提供する。各企業は、複数のサービス・プロバイダ内の1つまたは複数のサービスへのアクセスを取得することを求めるグループ化された個人を含む。一般に、或る企業の管理者は、当該企業と関連してサービス・プロバイダにより提供されるサービスへの個々のアクセス権限を管理する権限を有する。しかし、管理者はしばしば、各個人に対するアクセス権限を割り当てるためのサービス・プロバイダにより提供された管理ツールに精通していない。幾つかのインスタンスにおいて、管理者にはしばしば、複数のサービス・プロバイダでの個人に対するアクセス権限を関連付ける作業が与えられる。これに基づいて、管理者は、当該役割を理解し個人のポリシにアクセスすることを要求されるのみならず、それら自身の企業と複数のサービス・プロバイダの両方においてどのように管理ツールを使用するかも理解することを要求される。
したがって、1企業内の個人のグループの間のアクセス権限を、複数のサービス・プロバイダにより提供された1つまたは複数のサービスで確立するためのコンピューティング環境に対する改善された方法は有利であろう。即ち、サービス・プロバイダ管理者が企業管理者と対話しアクセス権限を個人に関連付けるタスクを企業管理者に移譲できるように、ウェブ・インタフェースで構成された共通認証管理(CAM)サービスを改善されたコンピューティング環境が含む。当該複数のサービス・プロバイダ内の1つまたは複数のサービスへのアクセス権限を識別するセキュリティ・データがそのように移譲されると、企業管理者は、CAMサービスを介して、当該企業からの個人のグループのサブセットを、当該複数のサービス・プロバイダにより提供された特定のサービスへのアクセス権限に関連付けることができる。CAMサービスは、したがって、異なる個人に対する複数のアクセス権限の管理に関連付けられた複雑性および非効率性を大幅に削減する対話的サービスを企業およびサービス・プロバイダ管理者に提供する。
本開示の例示的な例では、企業内の個人と複数のサービス・プロバイダ内の1つまたは複数のサービスとの間のアクセスを確立するための方法、システム、およびコンピュータ可読媒体が提供される。1つの特定の実装に従って方法が本明細書で開示される。進歩的な方法の1例は、企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データを複数のサービス・プロバイダから受信するステップとを含む。当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される1つまたは複数のサービスへのアクセスを識別する。さらに、進歩的な方法は、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするために利用可能な当該セキュリティ・データのサブセットを決定するステップと、当該グループに関連付けられたセキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップとを含む。
別の特定の実装によれば、システムは少なくともプロセッサおよびメモリを含む。当該メモリは、当該少なくとも1つのプロセスにより実行されると、当該システムに、企業の1つまたは複数の個人を含むように複数のグループを生成し、セキュリティ・データを複数のサービス・プロバイダから受信させる当該少なくとも1つのプロセッサおよびコンピュータ可読命令に通信可能に接続される。当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される1つまたは複数のサービスへのアクセスを識別する。さらに、当該システムはさらに、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするために利用可能な当該セキュリティ・データのサブセットを決定し、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるように構成される。
さらに別の特定の実装によれば、コンピュータ可読媒体は、コンピュータで実行されると、当該コンピュータに、企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データを複数のサービス・プロバイダから受信するステップとを含む動作を実施させるコンピュータ実行可能命令を有する。当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される1つまたは複数のサービスへのアクセスを識別する。当該コンピュータ可読媒体はまた、コンピュータで実行されると、さらに当該コンピュータに、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするために利用可能な当該セキュリティ・データのサブセットを決定するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップとを含む動作を実施させる命令を含む。
以上の要約および以下の詳細な説明は、添付図面と関連して読んだときより良く理解される。本開示を示すために、本開示の様々な態様が示される。しかし、本開示は論じられた当該特定の態様に限定されない。以下の図面が含まれる。
共通認証管理(CAM)サービスを介して複数のサービス・プロバイダと接続する少なくとも1つの企業のコンピューティング環境を示す図である。 個人のグループを企業から複数のサービス・プロバイダ内の1つまたは複数のサービスに関連付ける図である。 個人の特定のグループにアクセス可能な1つまたは複数のサービスの例を示す図である。 CAMサービスから取得されセキュリティ・アサーション・マークアップ・ランゲージ(SAML)内でサービス・プロバイダに運搬されるセキュリティ・データにより決定されるように、個人が認証サービスで認証しついで1つまたは複数のサービスにサービス・プロバイダからアクセスする例示的な方法を示す図である。 サービス・プロバイダにより発行された要求に応答してCAMサービスから取得されたセキュリティ・データにより決定されるように、個人がサービス・プロバイダで認証しついで1つまたは複数のサービスにサービス・プロバイダからアクセスする例示的な方法を示す図である。 サービス・プロバイダにより発行された要求に応答してCAMサービスから取得されたセキュリティ・データにより決定されるように、個人が認証サービスで認証しついで1つまたは複数のサービスにサービス・プロバイダからアクセスする例示的な方法を示す図である。 サービス・プロバイダのデータ・ストア内のセキュリティ・データにより決定されるように、CAMサービスを介してサービス・プロバイダに定期的に同期され、その後、サービス・プロバイダで認証するユーザが1つまたは複数のサービスにサービス・プロバイダからアクセスできるセキュリティ・データを示す図である。 サービス・プロバイダのデータ・ストア内のセキュリティ・データにより決定されるように、CAMサービスを介してサービス・プロバイダに定期的に同期され、その後、SAMLアサーションで認証するユーザが1つまたは複数のサービスにサービス・プロバイダからアクセスできる、セキュリティ・データを示す図である。 CAMサービスを介して、少なくとも1つの企業内のグループ化された個人に対するアクセスを複数のサービス・プロバイダ内の1つまたは複数のサービスで確立する例示的な方法の流れ図である。 企業およびサービス・プロバイダの間のアクセスを確立するように構成されたコンピューティング・デバイスを有するシステムの例示的な略図である。
上で簡単に説明したように、本発明の例は、コンピューティング環境に関し、特に少なくとも1つの企業内の個人のグループの間のアクセスを、複数のサービス・プロバイダにより提供された1つまたは複数のサービスで確立するためのコンピューティング環境における改善された方法に関する。本明細書で説明する様々な例では、共通認証管理(CAM)サービスが提供される。CAMサービスは、或るサービス・プロバイダの管理者が、サービス・プロバイダでの1つまたは複数のサービスへのアクセス権限を識別するセキュリティ・データを定義することを可能とする。CAMサービスはまた、或るサービス・プロバイダの管理者が、当該セキュリティ・データのサブセットを少なくとも1つの企業に移譲することを可能とする。セキュリティ・データが企業に移譲されると、当該企業の管理者は、当該セキュリティ・データを当該企業のグループのサブセットに関連付けてもよい。当該企業のグループのサブセットはアクセス権限を確立し、その結果、企業からの個人の各グループは当該1つまたは複数の利用可能サービスに当該複数のサービス・プロバイダからアクセスすることができる。CAMサービスにより当該企業の管理者は、個人の特定のグループから個人を割り当てる(割当て解除する)ことができる。
図1を参照すると、少なくとも1つの企業101乃至103および複数のサービス・プロバイダ109乃至112でコンピューティング環境100が示されている。さらに、図1は、企業101乃至103および複数のサービス・プロバイダ109乃至112から情報を受信するように構成された共通認証管理(CAM)サービス150を示す。CAMサービス150が、コンピューティング環境100が実施するためのタスクと管理者またはユーザが対話し指示できるようにするウェブ・インタフェースで構成される。
図2乃至7で以下でより詳細に説明するように、各企業101乃至103の管理者は、CAMサービス150を介して、同一の企業内から特定の個人をグループ化することができる。即ち、各企業の管理者は、それらの判断により、それら自身の企業に意味があるかまたは重要である特定の企業グループを決定することができる。さらに、CAMサービス150はさらに、セキュリティ・データを複数のサービス・プロバイダ109乃至112から受信するように構成される。CAMサービス150は、当該セキュリティ・データのどのサブセットがどの企業によるアクセスに利用可能であるかを示す情報を受信するように構成される。換言すれば、サービス・プロバイダ109乃至112の管理者は、セキュリティ・データを各企業の個人に関連付けるタスクを企業101乃至103の管理者に移譲してもよい。
この情報に基づいて、企業の管理者はついでセキュリティ・データを当該企業の個人のグループのサブセットに関連付けることができ、それにより当該グループ内の個人は、サービス・プロバイダ109乃至112により提供された1つまたは複数のサービスにアクセスすることができる。換言すれば、もともと企業101乃至103の管理者により生成された当該複数のグループのサブセット内の個人は、複数のサービス・プロバイダ109乃至112の各々により提供された特定のサービスにアクセスする能力で構成される。
幾つかのインスタンスでは、CAMサービス150は、当該企業およびサービス・プロバイダとは別のサービスからアクセス可能であってもよい。さらに別のインスタンスでは、CAMサービス150は、コンピューティング環境100内の企業のシステム101乃至103またはサービス・プロバイダ109乃至112の何れか1つに直接的にインストールされてもよい。
図2は、個人202乃至204、209乃至211、216乃至218のグループを少なくとも1つの企業201、208、215から複数のサービス・プロバイダ230、239、248内の1つまたは複数のサービス223乃至225、232乃至234、241乃至243に関連付ける図を示す。例えば、企業A201の管理者は、(図2では示さないが図1に示す)CAMサービスを介して、企業A201の技術者である個人202を「技術者」205と呼ばれるグループに割り当てることができる。別のインスタンスでは、当該管理者は、企業A201の特定の個人204を「スーパバイザ」207と呼ばれるグループに割り当ててもよい。本質的には、当該管理者は、異なる基準に基づいて個人202乃至204、209乃至211、219乃至221のグループを動的に生成し修正する能力を有する。即ち、当該管理者は、企業の各グループ内の個人を任意の時点で追加または削除することができる。各グループに対する個人の数は変化してもよい(例えば、グループはたった1人の個人を含んでもよく、グループは複数人の個人を含んでもよく、またはグループは個人を含まなくてもよい)。
グループ205乃至207、212乃至214、219乃至221が生成された後、企業の管理者は、ついで当該企業に移譲されたセキュリティ・データ222、231、240を当該企業の各グループに関連付けることができ、それにより、複数のサービス・プロバイダ230、239、248により提供された少なくとも1つまたは複数のサービス223乃至225、232乃至234、241乃至243にアクセスするためのアクセス権限または能力を確立する。
図2のサービス・プロバイダ230、239、248はセキュリティ・データ222、231、240をCAMサービスに送信するように構成される。セキュリティ・データ222、231、240は、複数のサービス・プロバイダ221、228、235内の1つまたは複数のサービス223乃至225、232乃至234、241乃至243のアクセス可能性を識別する情報を含む。特に、セキュリティ・データ222、231、240はまず、サービス・プロバイダ230、239、248の管理者により定義されることができる。当該セキュリティ・データは、提供された1つまたは複数のサービス223乃至235、232乃至234、241乃至243のどれが企業201、208、215に利用可能であるかを識別する情報を含む。換言すれば、複数のサービス・プロバイダ221、228、235からのサービス223乃至235、232乃至234、241乃至243の利用可能性に関する情報がCAMサービスに送信され、その結果、企業201、208、215の管理者は、個人202乃至204、209乃至211、216乃至218のグループに、これらのサービス223乃至235、232乃至234、241乃至243にアクセスするための能力を関連付け、マッチし、またはマップすることができる。言い換えると、サービス・プロバイダ230、239、248の各々は、特定の企業への権限付与226、235、244を定義することができる。これらの権限付与226、235、244に基づいて、CAMサービスに送信されたセキュリティ・データ222、231、240は本質的に、セキュリティ・データのサブセットに関連付けられることができる企業を識別する。
より具体的には、セキュリティ・データがCAMサービスで受信されると、企業201、208、215の各々の管理者は、当該グループのサブセットを決定し、当該グループのサブセットを当該セキュリティ・データのサブセットに関連付けてアクセスを確立することができる。それに続いて、企業201、208、215の各々の管理者はついで、当該グループのサブセット内の個人202乃至204、209乃至211、216乃至218を、1つまたは複数のサービス223乃至235、232乃至234、241乃至243にアクセスするための能力に関連付けることができる。換言すれば、企業201、208、215の各々の管理者は、企業201、208、215の各々に配置された幾つかのグループ205乃至207、212乃至214、219乃至221に、当該受信されたセキュリティ・データに基づいて複数のサービス・プロバイダ230、239、248内の1つまたは複数のサービス223乃至235、232乃至234、241乃至243にアクセスするための能力を提供する。
図3は、図2に示すように個人301乃至309の特定のグループにアクセス可能な1つまたは複数のサービス310乃至318を示す。図2で説明するように、各企業の管理者は、CAMサービスを用いるが、先ず個人を企業のグループ301乃至309に割り当てる。そして、セキュリティ・データがCAMサービスで受信されたとき、各企業の管理者は、当該複数のグループから特定のグループによりアクセスするために利用可能な当該セキュリティ・データのサブセットを決定する。各企業の管理者は、ついで当該セキュリティ・データのサブセットを当該複数のグループのサブセットに関連付けることができる。それにより、各企業の管理者は、個人301乃至309を、アクセス可能な当該複数のサービス・プロバイダ内の1つまたは複数のサービス310乃至318を識別するセキュリティ・データに関連付けることができる。例えば、図3において、グループ「技術者」301に、「Read Stuff」310のようなサービスにサービス・プロバイダA230(図2に示す)からアクセスし、サービス・プロバイダB239(図2に示す)内で「AAA」316を実施し、サービス・プロバイダC248(図2に示す)内で「App1」318を使用する能力が提供される。別の例では、図3は、グループ「Designers」304に、サービス・プロバイダA230(図2に示すように)内の「Read Stuff」310のサービスのみにアクセスするが、サービス・プロバイダA230内の他のサービス、または任意の他のサービス・プロバイダ239、248からのサービスにはアクセスしない能力が提供されることを示す。
図1乃至3で上述したように、CAMサービスは、各企業の管理者に、企業の各個人に対するサービスへのアクセス権限を効率的に管理する能力を提供するように構成される。各企業の個人のグループに対してアクセス権限が確立されると、そのグループ内の個人はこれらのサービスへのアクセスを求めてもよい。CAMサービスは、各企業に対するこれらの確立されたアクセス権限に関する情報(例えば、セキュリティ・データ)を受信し格納する。したがって、図4乃至6は、アクセス権限が図1乃至3で説明するように確立された後、少なくとも1つのサービス・プロバイダから少なくとも1つのサービスへのアクセスを求める個人の例示的な方法を示す。
図4は、共通認証管理(CAM)サービス403から取得されセキュリティ・アサーション・マークアップ・ランゲージ(SAML)内でサービス・プロバイダ404に運搬されるセキュリティ・データにより決定されるように、個人401が認証サービスで認証しついで1つまたは複数のサービスにサービス・プロバイダ404からアクセスする例示的な方法400である。特に、図4は、企業の個人401がサービス・プロバイダ404内のサービスへのアクセスを求めることを示す。当該個人はまず、当該ターゲット・サービス・プロバイダに関するユーザID、パスワード、および情報を提供する。SAML可能認証サービス(AS)402は、当該ユーザIDとパスワードを許可し、認証し、または検証する。ASはついで当該認証されたユーザIDおよびターゲット・サービス・プロバイダ情報をCAMサービス403に転送する(406)。代替的には、ASは、当該ユーザIDの代わりに当該個人の顧客グループIDを提供することができる。これは、CAMシステムにおいてグループ・メンバーシップを管理する必要性を軽減し、ASがそのグループ/役割管理能力を利用できるようにすることができる。
CAMサービス403が当該ユーザIDを受信すると、CAMサービス403は、当該個人の確立されたアクセス権限に関する情報をサービス・プロバイダのサービス407に返すように構成される。即ち、CAMサービス403は、サービス・プロバイダ404内のサービスへのアクセス権限を当該個人が有するかどうかを示す情報(例えば、セキュリティ・データ)を提供する。当該セキュリティ・データは、個人がサービスへのアクセス権限を有するかどうかの、特権、認証、または権限付与のような情報を提供する。セキュリティ・データは、クレーム、アサーション、セキュリティ・トークン、またはSAMLアサーションの形であってもよい。
引き続いて、AS402は、当該サービスへの個人のアクセス権限に関する関連情報全てを運搬するSAMLアサーションで当該個人のブラウザをサービス・プロバイダのブラウザにリダイレクトする(408)。ブラウザはついでサービス・プロバイダのウェブサイトに転送され、サービス・プロバイダ404が当該SAMLアサーションを検証し、サービス・プロバイダ404内のサービスへの個人アクセス409を可能とするかどうかを検討する。判定が行われると、サービス・プロバイダ404はついで適切な応答を当該個人のブラウザ410に送信する。特に、当該適切な応答は、当該個人が当該サービスにアクセスするのを許可することまたは当該個人が当該サービスにアクセスするのを許可しないことのような応答を含んでもよい。
図5Aは、サービス・プロバイダ503により発行された要求に応答してCAMサービス502から取得されたセキュリティ・データにより決定されるように、個人501がサービス・プロバイダ503で認証し、ついで1つまたは複数のサービスにサービス・プロバイダ503からアクセスする例示的な方法500を示す。即ち、当該個人のユーザIDおよびパスワードが、最初にASまたはCAMサービスを通じて処理されることなく、サービス・プロバイダ504に直接送信される。サービス・プロバイダ503がこの情報を受信する。サービス・プロバイダ503はついでこの情報を認証、許可、または検証し、ついでこの認証されたユーザのユーザIDをCAMサービス502に送信して当該個人のアクセス権限(例えば、クレームまたはセキュリティ・トークン)505を要求する(これは、当該個人のサービス・プロバイダのユーザIDのマッピングがCAM内の同一の個々のアイデンティティであることを想定している)。上述のように、CAMサービス502は、サービス・プロバイダ503により提供された1つまたは複数のサービスにアクセスする能力を各個人が有するかどうかを示す情報を含む。
さらに図5Aを参照すると、当該個人がアクセス権限506を有するかどうかに関する情報をCAMサービス502が提供すると、サービス・プロバイダ503が個人501に応答する。即ち、サービス・プロバイダ503が適切な応答を個人501に送信する(507)。再度、当該適切な応答は、当該個人が当該サービスにアクセスするのを許可することまたは当該個人が当該サービスにアクセスするのを許可しないことのような応答を含む。
図5Bは、サービス・プロバイダ554により発行された要求に応答して共通認証管理(CAM)サービス553から取得されたセキュリティ・データにより決定されるように、個人551が認証サービスで認証し、ついで1つまたは複数のサービスにサービス・プロバイダ554からアクセスする例示的な方法550を示す。図5Bに示す例示的な方法550は、図5Aに関して上述した例示的な方法と同様である。相違点は、図5Bでは、ユーザIDおよびパスワードが最初にSAML可能認証サービス(AS)552で検証され、認証され、または許可される(555)ことである。AS552は当該個人にSAMLアサーション556を提供する。サービス・プロバイダ554がこの情報(例えば、SAMLアサーションおよび当該個人のアイデンティティ)を受信すると、サービス・プロバイダ554は、557で受信されたSAMLアサーションから取得された当該個人のアイデンティティに基づいてこの個人551に対するアクセス権限をCAMサービス553に要求する。換言すれば、当該受信されたSAMLアサーションを検証した後(557)、サービス・プロバイダは、当該ユーザのアイデンティティ(例えば、ユーザID)を当該SAMLアサーションから取得し、サービス・コール(例えば、RESTfulまたはシンプル・オブジェクト・アクセス・プロトコル)をCAMに対して生成して、サービス・プロバイダに関連するそのユーザのクレームを要求する。これに基づいて、適切な応答がついで個人560に転送される。
図6Aは、サービス・プロバイダ603のデータ・ストア604内のセキュリティ・データにより決定されるように、CAMサービス602を介してサービス・プロバイダ603に定期的に同期され、その後サービス・プロバイダ603で認証したユーザ601が1つまたは複数のサービスにサービス・プロバイダ603からアクセスするセキュリティ・データを表す図600を示す。図1乃至3で上述したように、アクセス権限がまず、複数のサービス・プロバイダ内の特定のサービスを使用する権限をどの個人のグループが有するかを判定するために確立される。これが行われた後、CAMサービス602を、個人605の各グループに対する確立されたアクセス権限に関する情報をサービス・プロバイダ603に定期的にプッシュまたは送信するように構成することができる。特に、CAMサービス602は定期的に(または指示されたとき)、セキュリティ・データ(例えば、セキュリティ・トークンまたはクレーム)をサービス・プロバイダ603にプッシュする。サービス・プロバイダ603は、これらのセキュリティ・トークンまたはクレームを格納するように構成されたアイデンティティ・データ・ストア604を含んでもよい。したがって、個人601がアクセス606を要求し、サービス・プロバイダ603にユーザIDおよびパスワードを提供するとき、サービス・プロバイダ603は、ユーザのクレームをデータ・ストア604に要求してもよく(607)、データ・ストア604が当該ユーザのクレームに応答する。これは、サービス・プロバイダ603内の当該サービスに対して要求側の個人601がアクセス権限を有するかどうかを判定する(607、608)。この判定に基づいて、適切な応答がついで個人601に送信し戻される(609)。
図6Bは、サービス・プロバイダ654のデータ・ストア655内のセキュリティ・データにより決定されるように、CAMサービス653を介してサービス・プロバイダに定期的に同期され、その後、SAMLアサーションで認証したユーザ651が1つまたは複数のサービスにサービス・プロバイダ654からアクセスできるセキュリティ・データを表す図650を示す。図6Bは上述した図6Aと同様な例示的な方法を示すが、図6Bは、まず個人651に対するSAML可能認証サービス(AS)652での決定656、658を含む。上で分析したように、AS652は、アクセスを要求する個人651に対するSAMLアサーションをまず提供するように構成される。これは、個人651がサービス・プロバイダ654内のサービスにアクセスできるかどうかをサービス・プロバイダ654が判定する660、661前に行われる。この判定に基づいて、適切な応答がついで個人651に送信し戻される(662)。
図7は、少なくとも1つの企業内のグループ化された個人に対するCAMサービスを介して複数のサービス・プロバイダ内の1つまたは複数のサービスとのアクセスを確立する例示的な方法の流れ図700である。ブロック701で、企業の管理者は、CAMサービスを介して、当該企業での個人のグループを生成する。即ち、当該企業の管理者は、当該企業に対して有意なまたは重要な企業グループに個人を統合する。例えば、企業Aの全ての技術者は「技術者」グループにグループ化される。当該「技術者」グループ内のこれらの個人はついで、当該グループ内のこれらの個人が複数のサービス・プロバイダ内の特定のサービスにアクセスする能力を有するように、セキュリティ・データのサブセットに関連付けられる。
ブロック702で、サービス・プロバイダ管理者には、利用可能とされ、どの企業が当該サービスにアクセスできるかを示す情報を含むセキュリティ・データ(例えば、セキュリティ・トークンまたはクレーム)を定義する作業を与えられる。このセキュリティ・データが引き続いてCAMサービスに送信される。さらに、ブロック703で示すように、サービス・プロバイダ管理者はまた、当該セキュリティ・データのサブセットを各企業に関連付ける責任を企業管理者に移譲することができる。換言すれば、CAMサービスで、当該セキュリティ・データのサブセットを、当該複数のグループのサブセットによるアクセスのために利用可能とできるかどうかの判定を行うことができる。
ブロック704で、CAMサービスは、ウェブ・インタフェースを介して、セキュリティ・データのどのサブセットがどの企業によりアクセスするために利用可能であるかに関する情報を企業管理者に提供するように構成される。即ち、サービス・プロバイダは、どの企業が当該サービスへのアクセス権限を有しうるかを示し、企業管理者が参照し管理できるようにこの情報をCAMサービスにプッシュする。
換言すれば、ブロック704で、CAMサービスは、セキュリティ・データを当該複数のサービス・プロバイダから受信し、企業管理者は、CAMサービスのインタフェースを介して、当該複数の企業の個人の複数のグループのサブセットを、当該複数のサービス・プロバイダから受信されたセキュリティ・データのサブセットに関連付ける。特に、企業管理者は、例えば、「技術者」グループを当該セキュリティ・データのサブセットに関連付けてもよい。それにより、「技術者」にはついで、当該複数のサービス・プロバイダ内の1つまたは複数のサービスにアクセスするための能力が提供される。即ち、図3で説明するように、「技術者」グループの個人が企業Aのシステムに当該個人のユーザIDおよびパスワードで後にログインすると、当該個人は、サービス・プロバイダAからの「Read Stuff」またはサービス・プロバイダCからの「App1」のようなサービスにアクセスすることができる。
ブロック705および706で、各企業の管理者は、個々のユーザを当該複数のグループの各々に追加すること、/または、個々のユーザを当該複数のグループの各々から除去することの作業を与えられる。本質的には、各企業の管理者は、当該個人グループを異なる基準に基づいて動的に生成し修正する能力を有する。即ち、当該管理者は、企業の各グループ内の個人を任意の時点で追加または削除することができる。上述のように、各グループに対する個人の数は変化してもよい(例えば、グループはたった1人の個人を含んでもよく、グループは複数人の個人を含んでもよく、またはグループは個人を含まなくてもよい)。
図8は、CAMサービス810を介して企業およびサービス・プロバイダの間のアクセスを確立するように構成されたコンピューティング・デバイス899を有するシステムの例示的な略図800を示す。さらに、ユーザまたは管理者801は、企業の個人のどのグループが複数のサービス・プロバイダ内のどのサービスへのアクセス権限を有するかに関する情報を求めてCAMサービス810にアクセスするように当該コンピューティング・デバイスに指示してもよい。
1例において、コンピューティング・デバイス899はプロセッサ802、プロセッサ802に接続されるメモリ・デバイス804、1つまたは複数の無線送信器806、1つまたは複数の無線受信機808、出力コンポーネント889、および入力コンポーネント888を含んでもよい。
プロセッサ802は、1つまたは複数のシステムおよびマイクロコントローラ、マイクロプロセッサ、縮小命令セット回路(RISC)、特殊用途向け集積回路(ASIC)、プログラム可能ロジック回路(PLC)、フィールド・プログラム可能ゲートアレイ(FPGA)、および本明細書で説明した機能を実行できる任意の他の回路を含む任意の適切なプログラム可能回路を含む。上述の例は、「プロセッサ」という用語の定義および/または意味を決して限定するものではない。
メモリ・デバイス804は、限定ではなく、ランダム・アクセスメモリ(RAM)、フラッシュメモリ、ハード・ディスクドライブ、固体ドライブ、ディスク、フラッシュ・ドライブ、コンパクト・ディスク、デジタルビデオディスク、および/または任意の適切なメモリのような非一時的コンピュータ可読記憶媒体を含む。当該例示的な実装では、メモリ・デバイス804は、プロセッサ802が本明細書で説明した機能を実施できるようにするようにプロセッサ802(例えば、プロセッサ802は当該命令によりプログラム可能であってもよい)により実行可能である本開示の諸態様を具体化するデータおよび/または命令を含む。さらに、当該メモリ・デバイス804は動作システムおよびアプリケーションを備えてもよい。
無線送信器806は制御信号およびデータ信号をネットワーク上で送信するように構成される。1例において、無線送信器806は無線周波数スペクトルで送信してもよく、適切な通信プロトコルを用いて動作してもよい。
無線受信機808は制御信号およびデータ信号をネットワーク上で受信するように構成される。1例において、無線受信機808は、適切な通信プログラムを用いて信号を無線周波数スペクトル上で受信してもよい。
コンピューティング・デバイス899はまた、情報をユーザまたは管理者801に提供するための少なくとも1つの出力コンポーネント889を含んでもよい。出力コンポーネント889は、情報をユーザまたは管理者801に運搬できる任意のコンポーネントであってもよい。幾つかの実装では、出力コンポーネント889は、ビデオアダプタおよび/またはオーディオ・アダプタ等のような出力アダプタを含む。出力アダプタは、プロセッサ802に動作可能に接続され、ディスプレイデバイス(例えば、液晶ディスプレイ(LCD)、有機発光ダイオード(OLED)ディスプレイ、カソード・レイ・チューブ(CRT)、「電子ink」ディスプレイ、等)またはオーディオ出力デバイス(例えば、スピーカ、ヘッドフォン、等)のような出力デバイスに動作可能に接続されるように構成される。幾つかの実装では、少なくとも1つのかかるディスプレイデバイスおよび/またはオーディオ・デバイスは出力コンポーネント889とともに含まれる。
コンピューティング・デバイス899はまた、ユーザまたは管理者801からの入力を受信するための少なくとも1つの入力コンポーネント888を含んでもよい。入力コンポーネント888は、例えば、キーボード、ポインティング・デバイス、マウス、スタイラスペン、タッチセンシティブなパネル(例えば、タッチ・パッドまたはタッチ・スクリーン)、ジャイロスコープ、加速度計、位置検出器、オーディオ入力デバイス等を含んでもよい。タッチ・スクリーンのような単一のコンポーネントは、出力コンポーネント889の出力デバイスおよび入力コンポーネント888の両方として機能してもよい。幾つかの実装では、出力コンポーネント889および/または入力コンポーネント888は、当該ノードおよびそれに接続されたコンピュータの間のデータおよび/または命令を通信するためのアダプタを含む。
幾つかの例では、システムメモリを使用してもよく、当該システムメモリは、当該対応する方法および装置の例を実装するための図1乃至7について上述したプログラム命令およびデータを格納するように構成されたコンピュータ可読記憶媒体の1例である。しかし、他の例では、プログラム命令および/またはデータを受信し、送信し、または異なるタイプのコンピュータアクセス可能媒体に格納してもよい。一般的に述べると、コンピュータ可読記憶媒体は、コンピュータシステムまたはゲートウェイデバイスに接続された磁気または光媒体、例えば、ディスクまたはDVD/CDのような非一時的および有形記憶媒体またはメモリ媒体を含んでもよい。コンピュータ可読記憶媒体はまた、システムメモリ、ゲートウェイデバイス、または別のタイプのメモリとして上述のコンピュータシステムの幾つかの例に含めうるRAM(例えば、SDRAM、DDRSDRAM、RDRAM、SRAM等)、ROM等のような任意の揮発性または非揮発性媒体を含んでもよい。本明細書で示したもののような複数のコンピュータシステムの一部または全部を使用して、様々な例における当該説明された機能を実装してもよい。例えば、多数の異なるデバイスおよびサービスで実行されるソフトウェアコンポーネントが協働して当該機能を提供してもよい。
さらに、本開示は以下の項に従う実施形態を含む:
項1:複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するための方法(700)であって、企業の1つまたは複数の個人を含むように複数のグループを生成するステップ(701)と、セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスのうちどれが当該企業に利用可能であるかを識別するステップ(702)と、当該複数のグループのサブセットによるアクセスに利用可能な当該セキュリティ・データのサブセットを決定するステップ(703)と、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)とを含む、方法。
項2:当該セキュリティ・データは各サービス・プロバイダの管理者により定義される、項1に記載の方法。
項3:当該セキュリティ・データは、アクセス権限、特権、認証、クレーム、セキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーション、および権限付与のうち少なくとも1つを含む、項2に記載の方法。
項4:当該セキュリティ・データは共通認証管理(CAM)サービス(150)によりアクセス可能である、項3に記載の方法。
項5:企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップはCAMサービスを介して当該企業の管理者(801)により実施される、項1に記載の方法。
項6:CAMサービスがユーザ対話のためのウェブ・インタフェースで構成される、項5に記載の方法。
項7:企業(201、208、215)の1つまたは複数の個人(202乃至204、209乃至211、216乃至218)を含むように複数のグループ(205乃至207、212乃至214、219乃至221)を生成するステップは、1つまたは複数の個人を追加するステップまたは1つまたは複数の個人を当該複数のグループから除去するステップを含む、項1に記載の方法。
項8:複数のサービス・プロバイダ(230、239、248)により提供される1つまたは複数のサービス(223乃至225、232乃至234、241乃至243)に個人がアクセスするのを認証するためのシステム(100)であって、当該システムは少なくとも1つのプロセッサ(802)およびメモリ(804)を備え、当該少なくとも1つのメモリは当該少なくとも1つのプロセッサに通信可能に接続され、当該少なくとも1つのメモリは、当該少なくとも1つのプロセッサにより実行されたとき、当該システムに、企業の1つまたは複数の個人を含むように複数のグループを生成し、セキュリティ・データを複数のサービス・プロバイダから受信し、当該複数のグループのサブセットによるアクセスに利用可能な当該セキュリティ・データのサブセットを決定し、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けさせるコンピュータ可読命令を含み、当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスのうちどれが当該企業に利用可能であるかを識別する、システム(100)。
項9:当該セキュリティ・データは各サービス・プロバイダの管理者により定義される、項8に記載のシステム。
項10:当該セキュリティ・データは、アクセス権限、特権、認証、クレーム、セキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーション、および権限付与のうち少なくとも1つを含む、項9に記載のシステム。
項11:当該セキュリティ・データは共通認証管理(CAM)サービスによりアクセス可能である、項10に記載のシステム。
項12:企業の1つまたは複数の個人を含むように複数のグループを生成することおよびセキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けることはCAMサービスを介して管理者により実施される、項8に記載のシステム。
項13:CAMサービスがユーザ対話のためのウェブ・インタフェースで構成される、項12に記載のシステム。
項14:企業の1つまたは複数の個人を含むように複数のグループを生成することは、1つまたは複数の個人を追加するステップまたは1つまたは複数の個人を当該複数のグループから除去するステップを含む、項8に記載のシステム。
項15:複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するためのコンピュータ可読媒体であって、コンピュータで実行されたとき、企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスのうちどれが当該企業に利用可能であるかを識別する、ステップと、当該複数のグループのサブセットによるアクセスに利用可能な当該セキュリティ・データのサブセットを決定するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップとを含む動作を当該コンピュータに実施させるコンピュータ実行可能命令を有する、コンピュータ可読媒体。
項16:当該セキュリティ・データは各サービス・プロバイダの管理者により定義される、項15に記載のコンピュータ可読媒体。
項17:当該セキュリティ・データは、アクセス権限、特権、認証、クレーム、セキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーション、および権限付与のうち少なくとも1つを含む、項16に記載のコンピュータ可読媒体。
項18:当該セキュリティ・データは共通認証管理(CAM)サービスによりアクセス可能である、項17に記載のコンピュータ可読媒体。
項19:企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップはCAMサービスを介して管理者により実施される、項15に記載のコンピュータ可読媒体。
項20:企業の1つまたは複数の個人を含むように複数のグループを生成するステップは、1つまたは複数の個人を追加するステップまたは1つまたは複数の個人を当該複数のグループから除去するステップを含む、項15に記載のコンピュータ可読媒体。
とりわけ、「〜することができる」、「〜してもよい」「例えば、」等のような本明細書で使用される条件的言葉は、特に明記しない限り、または使用される文脈内で理解されるように、一般に、特定の例が含むが他の例では含まない特定の特徴、要素、および/またはステップを運搬することを意図している。したがって、かかる条件的言葉は一般に、特徴、要素および/またはステップが1つまたは複数の例に必要とされることを示唆せず、または、1つまたは複数の例が必ずしも、著者の入力または促しとともにまたはそれなしに、これらの特徴、要素および/またはステップが任意の特定の例に含まれるかまたは当該例で実施されるかどうかを判定するためのロジックを含むことは示唆しない。「〜を備える」、「〜を含む」、「〜を有する」等の用語は同義語であり、包含的に、オープンな形式で使用され、追加の要素、特徴、作用、動作等を排除しない。また、「または」という用語はその包含的な意味で(その排他的な意味ではなく)使用され、その結果、例えば、要素のリストを接続するために使用されるとき、「または」という用語は、当該リスト内の要素の1つ、一部、または全てを意味する。本開示の説明および添付の特許請求の範囲で使用される際、単数形「a」、「an」および「the」は、特に明記しない限り、複数形も同様に含むものである。さらに、「〜を含む」または「〜を備える」という用語は、本明細書で使用するとき、述べた特徴、整数、ステップ、動作、要素、および/またはコンポーネントの存在を規定するが、1つまたは複数の他の特徴、整数、ステップ、動作、要素、コンポーネント、および/またはそのグループの存在または追加を排除しないことは理解される。さらに、「資産」および「コンピューティング・デバイス」という用語を、本明細書で使用するとき、交互に使用してもよい。
本明細書の教示事項の範囲から逸脱することなく、様々な変更を加えてもよく、その要素を均等物で置き換えてもよいことは当業者により理解される。さらに、その当該範囲から逸脱することなく、本明細書の教示事項を特定の状況に適合させるように多くの修正を行ってもよい。したがって、当該クレームは本明細書で開示した特定の実装に限定されないことが意図されている。
101 企業A
102 企業B
103 企業Z
109 サービス・プロバイダA
110 サービス・プロバイダX
111 サービス・プロバイダY
112 サービス・プロバイダZ
150 共通認証管理(CAM)サービス

Claims (10)

  1. 複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するための方法(700)であって、
    共通認証管理(CAM)サービスが、企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータ受信するステップ(701)と、
    前記CAMサービスが、セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別する、ステップ(702)と、
    前記CAMサービスが、受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、受信した前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択するステップ(703)と、
    前記CAMサービスが、前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)と、
    を含む、方法。
  2. 前記セキュリティ・データは各サービス・プロバイダの管理者により定義されたデータである、請求項1に記載の方法。
  3. 企業の1つまたは複数の個人を含むように生成された複数のグループは、前記企業の管理者(801)により作成されるように構成され、セキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人に提供される、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力は、前記企業の管理者(801)により定義されるように構成される、請求項1または2に記載の方法。
  4. 企業(201、208、215)の1つまたは複数の個人(202乃至204、209乃至211、216乃至218)を含むように生成された複数のグループ(205乃至207、212乃至214、219乃至221)は、1つまたは複数の個人を追加することができるように構成され、または1つまたは複数の個人を前記複数のグループから除去するように構成される、請求項1乃至3の何れか1項に記載の方法。
  5. 複数のサービス・プロバイダ(230、239、248)により提供される1つまたは複数のサービス(223乃至225、232乃至234、241乃至243)に個人がアクセスするのを認証するためのシステム(100)であって、前記システムは少なくとも1つのプロセッサ(802)およびメモリ(804)を備え、前記少なくとも1つのメモリは前記少なくとも1つのプロセッサに通信可能に接続され、前記少なくとも1つのメモリは、前記少なくとも1つのプロセッサにより実行されたとき、前記システムに、
    企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信し、
    セキュリティ・データを複数のサービス・プロバイダから受信し、
    受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、受信した前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択し、
    前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けさせる
    コンピュータ可読命令を含み、
    前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別するように構成される
    システム。
  6. 前記セキュリティ・データは各サービス・プロバイダの管理者により定義されたデータである、請求項5に記載のシステム。
  7. 企業の1つまたは複数の個人を含むように生成された複数のグループは、1つまたは複数の個人を追加することができるように構成され、または1つまたは複数の個人を前記複数のグループから除去することができるように構成される、請求項5または6に記載のシステム。
  8. 複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するためのコンピュータ可読媒体であって、コンピュータで実行されたとき、前記コンピュータに、
    企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信するステップ(701)と、
    セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別する、ステップ(702)と、
    受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択するステップ(703)と、
    前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)と、
    を含む動作を実施させるコンピュータ実行可能命令を含む、コンピュータ可読媒体。
  9. 前記セキュリティ・データは各サービス・プロバイダの管理者により定義されたデータである、請求項8に記載のコンピュータ可読媒体。
  10. 企業の1つまたは複数の個人を含むように生成された複数のグループは、1つまたは複数の個人を追加することができるように構成され、または1つまたは複数の個人を前記複数のグループから除去することができるように構成される、請求項8または9に記載のコンピュータ可読媒体。
JP2017174640A 2016-11-16 2017-09-12 共通認証管理サービス Active JP6981824B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/353,122 US10637868B2 (en) 2016-11-16 2016-11-16 Common authorization management service
US15/353,122 2016-11-16

Publications (2)

Publication Number Publication Date
JP2018092600A JP2018092600A (ja) 2018-06-14
JP6981824B2 true JP6981824B2 (ja) 2021-12-17

Family

ID=60161945

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017174640A Active JP6981824B2 (ja) 2016-11-16 2017-09-12 共通認証管理サービス

Country Status (5)

Country Link
US (2) US10637868B2 (ja)
EP (1) EP3324661B1 (ja)
JP (1) JP6981824B2 (ja)
CN (1) CN108076047B (ja)
SG (1) SG10201708869QA (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108847948B (zh) * 2018-05-29 2021-05-14 网易乐得科技有限公司 活动群的创建方法及装置、介质和计算设备
US10341430B1 (en) * 2018-11-27 2019-07-02 Sailpoint Technologies, Inc. System and method for peer group detection, visualization and analysis in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US10681056B1 (en) 2018-11-27 2020-06-09 Sailpoint Technologies, Inc. System and method for outlier and anomaly detection in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US10523682B1 (en) 2019-02-26 2019-12-31 Sailpoint Technologies, Inc. System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems
US11347873B2 (en) * 2019-09-20 2022-05-31 Sap Se Aggregated authorizations in a cloud platform
US11461677B2 (en) 2020-03-10 2022-10-04 Sailpoint Technologies, Inc. Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems
US10862928B1 (en) 2020-06-12 2020-12-08 Sailpoint Technologies, Inc. System and method for role validation in identity management artificial intelligence systems using analysis of network identity graphs
JP2022028531A (ja) * 2020-08-03 2022-02-16 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、およびプログラム
US10938828B1 (en) 2020-09-17 2021-03-02 Sailpoint Technologies, Inc. System and method for predictive platforms in identity management artificial intelligence systems using analysis of network identity graphs
US11196775B1 (en) 2020-11-23 2021-12-07 Sailpoint Technologies, Inc. System and method for predictive modeling for entitlement diffusion and role evolution in identity management artificial intelligence systems using network identity graphs
US11227055B1 (en) 2021-07-30 2022-01-18 Sailpoint Technologies, Inc. System and method for automated access request recommendations

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4813001B2 (ja) * 2000-04-08 2011-11-09 オラクル・アメリカ・インコーポレイテッド ストリーミング中のメディアの再同期化
JP2002334062A (ja) 2001-05-09 2002-11-22 Being:Kk プログラム及びファイル管理システム
GB0211488D0 (en) * 2002-05-18 2002-06-26 Univ Aston Information embedding method
US7647392B2 (en) * 2002-10-16 2010-01-12 Xerox Corporation Device model agent
US20050060572A1 (en) 2003-09-02 2005-03-17 Trulogica, Inc. System and method for managing access entitlements in a computing network
US20060294042A1 (en) * 2005-06-23 2006-12-28 Microsoft Corporation Disparate data store services catalogued for unified access
WO2008082441A1 (en) * 2006-12-29 2008-07-10 Prodea Systems, Inc. Display inserts, overlays, and graphical user interfaces for multimedia systems
US8291474B2 (en) * 2008-04-16 2012-10-16 Oracle America, Inc. Using opaque groups in a federated identity management environment
EP2247061B1 (de) * 2009-04-28 2011-12-07 Nokia Siemens Networks OY Verfahren und Vorrichtung zum berechtigungsabhängigen Zugriff auf Multimediainhalte sowie die Vorrichtung umfassendes System
US8769622B2 (en) * 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
US8893261B2 (en) * 2011-11-22 2014-11-18 Vmware, Inc. Method and system for VPN isolation using network namespaces
JP5383838B2 (ja) 2012-02-17 2014-01-08 株式会社東芝 認証連携システム、idプロバイダ装置およびプログラム
US8806595B2 (en) * 2012-07-25 2014-08-12 Oracle International Corporation System and method of securing sharing of resources which require consent of multiple resource owners using group URI's
US8856865B1 (en) * 2013-05-16 2014-10-07 Iboss, Inc. Prioritizing content classification categories
JP5901702B2 (ja) 2013-07-22 2016-04-13 キヤノン株式会社 定着装置
US20150113588A1 (en) * 2013-10-22 2015-04-23 Cisco Technology, Inc. Firewall Limiting with Third-Party Traffic Classification
GB2523331A (en) * 2014-02-20 2015-08-26 Ibm Attribute-based access control
US10278069B2 (en) * 2014-08-07 2019-04-30 Mobile Iron, Inc. Device identification in service authorization
US10257184B1 (en) * 2014-09-29 2019-04-09 Amazon Technologies, Inc. Assigning policies for accessing multiple computing resource services
US10021137B2 (en) * 2014-12-27 2018-07-10 Mcafee, Llc Real-time mobile security posture
US10187388B2 (en) * 2015-03-12 2019-01-22 At&T Intellectual Property I, L.P. System and method for managing electronic interactions based on defined relationships
US9992186B1 (en) * 2015-06-30 2018-06-05 EMC IP Holding Company LLC SAML representation for multi-tenancy environments
US9922225B2 (en) * 2015-09-16 2018-03-20 CloudMondo, Inc. Cloud-based authentication of user devices for onboarding to a Wi-Fi network
US10242362B2 (en) * 2015-10-23 2019-03-26 Bank of the Ozarks Systems and methods for issuance of provisional financial accounts to mobile devices
US10075557B2 (en) * 2015-12-30 2018-09-11 Amazon Technologies, Inc. Service authorization handshake
US10389793B2 (en) * 2016-06-10 2019-08-20 Amdocs Development Limited System and method for providing feature-level delegation of service entitlements among users in a group

Also Published As

Publication number Publication date
JP2018092600A (ja) 2018-06-14
US10637868B2 (en) 2020-04-28
EP3324661A1 (en) 2018-05-23
US20200259841A1 (en) 2020-08-13
CN108076047B (zh) 2022-05-31
SG10201708869QA (en) 2018-06-28
EP3324661B1 (en) 2023-12-06
US11627460B2 (en) 2023-04-11
US20180139209A1 (en) 2018-05-17
CN108076047A (zh) 2018-05-25

Similar Documents

Publication Publication Date Title
JP6981824B2 (ja) 共通認証管理サービス
US11683300B2 (en) Tenant-aware distributed application authentication
US10880292B2 (en) Seamless transition between WEB and API resource access
JP7015916B2 (ja) クライアントのためのアプリケーションの管理をサポートするためのコンピュータ自動化方法、コンピュータ・プログラム、およびシステム
US11017088B2 (en) Crowdsourced, self-learning security system through smart feedback loops
CN113711563B (zh) 基于细粒度令牌的访问控制
US7739605B2 (en) System and/or method relating to managing a network
US10891386B2 (en) Dynamically provisioning virtual machines
US8522307B2 (en) Flexibly assigning security configurations to applications
WO2020205619A1 (en) Intent-based governance service
US11553000B2 (en) Systems and methods for using namespaces to access computing resources
US11924210B2 (en) Protected resource authorization using autogenerated aliases
US11930016B2 (en) Authentication framework for resource access across organizations
US20230098484A1 (en) Techniques for backwards compatibility in an identity management cloud service
US11411813B2 (en) Single user device staging
US8839400B2 (en) Managing and controlling administrator access to managed computer systems
Fleury et al. Trusted CI: The NSF Cybersecurity Center of Excellence Environmental Data Initiative (EDI) Engagement Report

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200825

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210816

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211118

R150 Certificate of patent or registration of utility model

Ref document number: 6981824

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150