TWI378695B - Specializing support for a federation relationship - Google Patents

Description

1378695 九、發明說明： 【相關申請案】 本申請案係與下列申請案有共同受讓人： 美國專利申請號(律師登錄號AUS920040363US1)，申請曰 (未定），標題為「聯合使用者週期管理之聯合協定執行期 之可插(pluggability)的方法及系統」； 美國專利申請號(律師登錄號AUS920040364US1)，申請曰 # (未定），標題為「致能聯合使用者週期管理之方法及系 統」； 美國專利申請號(律師登錄號AUS920040381US1)，申請日 (未定）’標題為「致能聯合使用者週期管理之信任架構支 援之方法及系統」； 美國專利申請號(律師登錄號AUS92〇〇4(Ml9USl)，申請日 (未定），標題為「透過進口組態檔建立聯合關係之方法及 糸統」。 【發明所屬之技術領域】 本發明係關於一種改良之資料處理系統，更具體而 言，係關於多重電腦資料移轉之方法及裝置。再更具體而 言，係關於網路的電腦系統。 【先前技術】 企業通常希望此在各種不同的網路間（例如網際網 4IBM/05145TW ： AUS9-2004-0365TW1(JHW) 6 )r式，讓授權的使用者得以安全存取保護資 ，'、。雖然提供安全認證機制減少了未經授權而存取保 ^機率’但是這些認證機制可能成為存取此些保護資源 使用者通常希望具有—種能力，可從與—應用程 式互動變換至與另-應用程式互動，而無需經過每一個保 護這些應用程式之特定系統認證之阻礙。 隨著使用者越來越精通電腦系統，使用者會期望這些 電腦系統能配合他們的行動，減少其負擔。這些期望亦係 針對認證程序而言。使用者可能會假言卜旦他被某電腦系 ，呢也，則不論對使用者而言近乎透明化之電腦架構邊界 疋否不同，此認證應當在使用者之工作期間皆屬有效，或 者在一定期間内係屬有效。不管使用者效率是否與員工工 作效率或客戶滿意度是否相關聯，企業通常試著在其所部 署之系統的操作特性中，滿足這些期望，不但為了安撫使 用者’更為了增加使用者效率。 更具體而言，由於目前的運算環境中許多應用程式皆 具有一網路使用者介面，可經一共通的瀏覽器存取之，因 此使用者更期望從一網路應用程式換到另一網路應用程 式時，是更簡單且很少阻礙的。在此環境下，使用者將期 望可具有從一網際網路網域與一應用程式互動，跳至另一 網域的能力，而不受保護其每一特定網域之認證阻礙的影 響。然而’即使許多系統透過簡易使用、網路介面提供安 4IBM/05145TW ； AUS9-20〇4-0365TW1(JHW) 7 全認證，但使用者仍可能被迫與多重認證程序作確認妨 礙使用者作跨網域組的存取。在一既定時段内，使一使用 者受限於多重認證程序’嚴重地影響使用者的效率。 舉例而s，目前已有許多減少使用者及電 者之認證負擔的技術。由於這些技術有共同的=理 在使用者已完成—登人健(例如已被認證)後使用者隨 後即不品再作其他認證作業，因此通常稱之為「單一登入」 (sso^程序。因此，在一特定使用者對話中，僅會要求使J 用者完成一次的認證程序。 為了減少使用者管理的成本，並且改善企業間的相互 運作，因而建立了聯合運算空間。「聯合(federation)」係指 鬆散式输的企業聯繫(affiUatiGn)，其各企業間支援某^ 特疋的相互運算規範；此聯合提供__種企業間對其聯合 内之使用者’就其特定運算作⑽信心舉綱言^ 合夥伴可料者之主_或識職提供者，同聯 合内的其他夥伴，可依賴此使用者的識職提供者 轉理，恤贼伽红咖註提供 者所徒供的一早一登入符記。 隨者企業逐漸支援聯合前互動，這些企業應提供 映兩商務間增加合作之使用者經驗。如上述，使用者； 作為-識別註提供者之一方作認證，接著單一登入作為二 4IBM/05J45TW ； AUS9-20〇4-〇365TWl(JHW) 1378695 ==3夥伴。與此單-登入功能共同使 理 ^單_铖(例如❹麟/取消鏈結 4)更應種能使此聯合使用者生命週期㉟ ULM)魏，不需在任何—方作結構修改的方式作支援 =前的運算環境已藉由僅提供單—登人 使用專屬協定來克服此問題。⑽二，由 用於-「鎌咖卿^===適 或從運算環境移除舊夥伴，而無須改變任何1邊=: 用 2方案，僅係夥伴對夥伴的解決方案，每一者 =糸獨立官理，此方法的可縮放性—直阻礙其被廣泛地應 因此’提供-種具有軟體致能的聯合夥伴間之聯 係’以及其聯合_之管_方法及綠，係有所助^。 【發明内容】 本發明利用-組專η的執行期，在—資料處理系统内 提=合功能。根據各請求者與其識_提供者之_別 的聯&關係之組態資料，每個專門執行期提供所請求之聯 &服務給請求者中的被選取者。其組態資料係在執行期初 始化期_祕翻取，使得執行齡個職被 =，的聯合關係。當-第—請求者作出向—識別吨供 者要求聯合服務之H求時，制第—請求者識顺 4IBM/05I45TW ； AUS9-2004-0365TWI(JHW) 1378695 及其既定聯合_，將此請求路由至較的糾執行期。 數個烟的專門執行期可提供聯合服務給複 inf 請求者係由—既定的初執行期服 二期係根據每一關聯之請求者之i合關係的 取貝料作械化。使賴數轉卩〗執行期，可提供

=實質上相m聯合服務，使得—請求者對 變不會影響其他者。 胃π’ =本魏之較錄關巾，錢識顺提供者及每個 μ求者之縣侧合_、的資料，係在執行_初始化期 間之前先被狀。村奴麵顺提供者_的所有聯 合關係皆相同之全域特定資料。再者 專Η執行期_合_賴，其可潛在

料。再者，可設定請求者特定資料，其潛在地重新覆蓋全 域資料或聯合騎、㈣。藉由這般地處置_資料，麵 對資料作最小的崎，在管_肖度而言，請求者的增加 或刪除為規模可縮放的。 【實施方式】 -般而言’可能包含在本發日种或與本發_關之裝 置’係包^許多不同的資料處理系統。因此，在詳細描述 本發明之前’在此先行贿位於—分散式觸處理系統内 之硬體及軟體構建之典型組態作為本發明之背景資訊。 4IBM/05I45TW ； AUS9-2004-0365TW1(JHW)

10 -系統/其贿-翻的射4處m網路，每 路ιοί，位=本發明。分散式資料處理系統100包含網 itn二，提供分散式f料處理系統1()()内，相互 夕、及電腩間之通訊鏈結的媒體。網路101可 =水2結(例如有線或光纖電纜)、或透過電話或無線 結。在描述之範例巾’词服器102及舰器 =與儲存早元104連結至網路ιοί。再者，客戶端1〇5-107 =，鹏^)1連結。客戶端1G5_1G7及伺服器⑽補可 °午夕運鼻裝！_代表(例如大型電腦、個人電腦、個人數位 助理(PDAs)等等）。分散式資料處理系统1〇〇可包含額外 的伺服器、客戶端、路由器、其他裝置、以及同儕 (peer-to-peer)架構(未顯示）。 在描述之範例中，分散式資料處理系統1〇〇可包含網 際網路與網路101【代表跨越各網路及閘道之全域集合， 其使用許多協定來相互溝通’例如LDAP(輕型目錄存取協 定）、τανιρ(傳輸控制協定/網際網路協定）、HTTP(超文字 傳輸協定)等等】。當然，分散式資料處理系統1〇〇亦可包 含許多不同類型之網路(例如’一内部網路、一區域網路 (LAN)、或一廣域網路(WAN))。舉例而言，祠服器直 接支援客戶端109及網路110，其網路包含無線通訊鏈結。 網路電話111透過無線鍵結112與網路11〇連結，pda 113 透過無線鏈結114與網路110連結。電話ill及pda 113 亦可使用適當的技術(例如藍牙™無線技術），透過無線鍵 4IBM/05145TW ： AUS9-2004-0365TWl(JHW) 11 結115，在彼此間直接移轉資料，建立所謂的個人區域網 路或個人機動(ad-hoc)網路。類似地，pda 113可透過無線 通訊鏈結116，將資料移轉至PDA 107。 本發明可實施於許多不同的硬體平台及軟體環境。圖 1A意旨作為一異質運算環境之範例，但並非意在限制本 發明之架構。 參考圖1B,其圖示描述本發明可實施於其中之一資 料處理系統(如圖1A所示)之典型運算架構。資料處理系 統120包含一或多個中央處理單元(cpUs) 122，與内部系 統匯流排123連結，其匯流排與隨機存取記憶體彳^厘) 124、唯讀記憶體126、以及輸入/輸出配接器128相互連 結’輸入/輸出配接器128支持許多1/0裝置(例如印表機 130、硬碟單元132、或其他未顯示之裝置（例如一音頻輸 出系統等））。系統匯流排123亦與提供通訊鏈結之存取的 通訊配接器134連結。使用者介面配接器148連結許多使 用者裝置(例如鍵盤140及滑鼠142)、或其他未顯示之裝 置(例如一觸控式螢幕、觸控筆、麥克風等）。顯示配接器 144連結系統匯流排123與顯示裝置146。 熟此技藝者當知’圖1B中之硬體可根據系統實作而 改變。舉例而言，系統可具有一或多個處理器（例如Intel® Pentium®的處理器以及一數位信號處理器(DSp)、以及一 12 4IBM/05145TW，AUS9-2004-0365TWl(JHW) 1378695 έ己憶體）。圖1B中的裝置可增 置代替。描述的範例並非意在 或多種類型的揮發及非揮發 加其他週邊装置或以其他裝 限制本發明之架構。 除了可實施於許多硬體平台之外，本發明亦可實施於 β讀體環境巾。-典型的作㈣統可用來控制每一個資 ^理系統内之程式執行。舉例而言，一裝置可執行Μχ⑧ • 作業系統’而另一裝置包含一簡單Java®執行環境。一代 表ϋ電腦平。可包含一劇覽器，其係大眾所熟知的軟體應 用程式’用轉取許多不_型之超文字文件（例如圖像 檔案、文字處理檔案、延伸標示語言^^)、超文字標示 語言(HTML)、手持裝置標示語言(HDML)、無 古 (JVML)、以及許多其他格式或種類的槽案）。需要知道的 疋，圖1A所示之分散式資料處理系統，係可完全支援許 多不同的同儕子網路及同儕服務。 鲁 參考圖1C ’ -資料流程圖顯示一典型認證程序，可 在一客戶端試圖存取位於伺服器端之保護資源時使用。如 圖示，客戶工作站150的使用者，係透過執行於客戶工作 站的使用者的網路瀏覽器’跨越一電腦網路，尋找词服器 151中受保護資源之存取。一保護或控制資源係其存取受 到控制或保護之資源(一應用程式、一物件、一樓案、一網 頁、一文件、執行碼、或其他運算資源、通訊類型資源等 等）。一保護資源係從一全域資源定位器(URL)作辨識，或 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) (§> 13 1378695 更具體而言，一全域資源識別符(uri)，其識別符僅可供 —認證及/或授權之使用者存取。電腦網路可為網際網路、 内部網路、或其他網路，如圖1A或1B所示，且伺服器 可為一網路應用程式伺服器(WAS)、伺服器應用程式、一 祠服小程式(servlet)程序、或其類似者。 當使用者要求位在一伺服器端之保護資源時(如位於 φ 「lbm.com」網域内之一網頁）’即啟動此程序(步驟152)。 「祠服器端」及「客戶端」等名詞，分別係指網路環境中 伺服器或客戶端之動作或個體。網站瀏覽器(或相關聯之應 用程式或應用小程式)產生一 HTTP請求(步驟153)，其請 求係被傳送至代管「ibm.com」網域之網站伺服器。「請求」 及「回應」等名詞’應包含資料格式化，以利涉及一特定 作業之資料移轉(例如訊息、通訊協定資訊、或其他相關資 訊）。 ® 若伺服器認為其本身與客戶端間沒有一有效對話 (active session)(步驟154)，則伺服器初始化並完成伺服器 及客戶端間一 SSL(安全資料傳輸層）對話之建立(步驟 155),以承擔客戶端及伺服器間多重的資訊移轉。在建立 一 SSL對話後’隨後的通訊訊息即在此ssl對話内移轉； 由於通訊訊息在SSL對話中係加密的，因此任何秘密資訊 皆會維持其安全性。 4IBM/05I45TW ； AUS9-2004>0365TW1(JHW) 14 1378695 然而’飼服器需要在允許使用者存取保護資源前先 因此’伺服器會藉由傳送某類型的 “挑也.。客戶& ’要求使用者進行認證程序(步驟156)。 此認證挑財有許乡狱(例如HTML狱）。個者接著 提供所請求或所S的魏(例如仙者名稱他類型的 使用者識職，以及―相關密碼或其他形式之 訊)(步驟157)。

涯回應魏會被傳送至舰ϋ(挪158)，此時词 服器認證使用者或客戶端(步驟⑼），其認證係藉由例如 摘取先前傳送之註冊資訊，以及㈣目麵呈現之認證資 訊及使用者_存資訊)。織認證成功，則為認證的使用 者或客戶端建立一有效對話。伺服器為此客戶端產生一對 話識別符’且在此對話巾’贿來自此客戶端之隨後請求 訊息，皆會伴隨此對話識別符。

祠服器接著揭取原先請求的網頁，並傳送一 Ηττρ回 應訊息給客戶端(步驟160)，藉此達成使用者原先對保護 資源之請求。屆時，使用者可藉由點選一瀏覽器視窗内之 一超文子鏈結，請求「ibm.com」内之另一網頁(步驟161)， 瀏覽器並傳送另一HTTP請求訊息給伺服器(步驟162)。 屆時，因為使用者的對話識別符會以HTTP請求訊息的方 式回傳到伺服器，伺服器即認知此使用者有一有效對話(步 驟163)，接著，伺服器以另一 HTTP回應訊息，將所請求 15 4JBM/05I45TW ； AUS9.2004.〇365TW1(JHW) ^網^傳送回客戶端(步驟164)。雖然圖1C描述一典型的 鸵ί程序，但需要知道的是，本發明亦可描述其他對話狀 ^管理細⑽如—狐«錢料子練(⑽kies)辨 識具有有效對話之麵者，其可包含使肋同的電子憑證 作為認證證明）。 參考圖1D’ 一網路示意圖描述本發明可實施於其中 之一典型網路環境。在此環境中，客戶端171之一瀏覽器 170使用者欲存取位於DNS網域173之網站應用程式飼服 器172、或位於DNS網域175之網站應用程式伺服器174 之一保護資源。 類似圖1C所示之方法，使用者可在任何一網域之一 請求一保護資源。與圖1C不同的是，圖1C僅顯示一特定 網域之一單一伺服器’而圖1D中的每一網域，皆具有多 個伺服器。具體而言，每一網域可具有一相關聯之認證伺 服器176及177。 在此範例中，客戶端171向網域173之一保護資源發 佈一請求後，網站應用伺服器172決定是否有一有效對話 可提供給此客戶端Π1，並請求認證伺服器176與客戶端 171運作一適當的認證作業。認證伺服器176將此認證作 業之結果傳給網站應用伺服器172。若使用者(或以使用者 之名的瀏覽器17〇或客戶端Π1，）認證成功，則網站應用 4IBM/05J45TW ； AUS9.2004-0365TW1(JHW) 16 伺服器172為此客戶端ι71建立一對話，並回 保護資源…般而言，-旦朗者由認證値麟認證， 則會6又定-電子憑證’並將其儲存於劉覽器中的憑證快取 中。圖1D僅係多個飼服器分享'網域之處理資源之一方 法的範例，尤其係運作認證作業之方法的範例。 類似地，客戶端171向網域175之一保護資源發佈一 請求後，認證伺服器177與客戶端171運作一適當的認證 作業，此後網站應用伺服器174為客戶端171建立一對 話，並回傳所請求之保護資源。因此，圖1D描述客戶端 171可在不同網域申，具有多重同時對話，並仍需完成多 重認證作業，以建立這些同時對話。 參考圖1E，-方制描述可能需要向—使用者進行多 重認證作業之一典型線上交易之範例。參考圖1C及1D， 一使用者可能需要在取得一受控制資源之存取前，先完成 一認證作業，如圖1C所示。雖然圖1(：未圖式，但一認證 官理器可部署於伺服器151，以擷取並使用認證一使用者 所需之使用者資訊。如圖1D所示，一使用者可能具有不 同網域173及175内的多個現有對話，且雖然未顯示於圖 1D中，但每一網域皆可實施一認證管理器，以代替認證 伺服器，或在任證伺服器以外，再使用一認證管理器。類 =也’圖1E亦描述一組網域，每一網域支援某類型的認 也笞理器。圖1E描述當存取多個網域時，使用者可能會 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 17 1378695 遭遇到每一網域皆需要使用者完成一認證作業之難題。 使用者1%可在ISP網域191中註冊，其網域可支援 有關針對完成網域191之交易為目的，而認證使用者之認 證管理器192。ISP網域191可為提供網際網路連結服務: 電子郵件服務、及其他電子商務服務之一網際網路服務 應商(isi>h或者，ISP網域191可能係使用者19〇經常^ 取之一網際網路入口網站。 工 類似地，網域193、195、及197代表一般網路服務供 應商。政府網域193支援為針對完成許多政府相關交易所 作之使用者認證的認證管理II 194 ^銀行網域195支援為 完成與-線上銀行之交易做使用者認證的認證管理器 196。電子商務網域197支援為完成線上購物做使用者認 證的認證管理器198。

如前述，當—使用者試圖藉由存取不同網域之各資 源’在網際網路或全域網路中，從—網域移動至另一網域 時’此使用者可能會遇到多重使用者認證請求或規定，而 嚴重減緩使用者跨越-組網域之進度。以圖1£作為一範 例環境’使用者19〇可能與電子商務網域197，涉及一複 雜==其中使用者試圖構買-線上服務，其服務 i匕il18_歲以上’且具有-有效駕照、有效信 用> 、° m丁帳戶者為限。此線上交易可能涉及網 41BM/05M5TW ； AUS9-2004-0365TWl(JHW) ⑧ 18 域 19卜 193、195 以及 197。 一般而έ，使用者可能不會在參與一典型線上交易的 每一網域中，維持一識別証及/或屬性。在此範例中，使用 者190可能已向使用者的Isp註冊其識別証，但為了完成 此線上交易，使用者可能亦需要與網域193、195及197 認證。若有任何—網域，沒有維持此制者之識別註， 則使用者的線上以可能會纽。即使者可由每一網 域認證，但並不能保證不同網域間，可以相互移轉資訊， 而$使用者的以。對於圖1E所权使用者，沒有習 知％境具有單-登人的魏，允許使用者19()與一第一網 站(例如ISP 191)認證，再接著將一認證符記移^給其他網 站服務供應者(例如網域193、195及197)。 有鑑於前述某些現有技術的缺失，以下圖式描述本發 =可實施於其中之聯合電腦環境。細，在詳述本發明之 刖，在此先行介紹一些專有名詞。 專有名詞 個體(entity)」或「一方&啤)」等名詞，通常係指 一組織、一個人或-系統’以-組織、-個人、或另一系 統之名義運作而言。「網域(d〇main)」一詞，係暗指一網路 環境内的其他特徵，但「個體」、「一方」及「網域」可替 換使用。舉例而言，「網域」一詞亦可指一購(網域名稱 4IBM/05145TW ； AUS9-20〇4-〇365TW.(JHW) 1378695 系統)網域，或更具體而言，指包含被外部 單元之許多裝置及應用程式的-資料處理系統W邏輯 「請求(释est)」及「回應(response)」等名詞 匕含資料格式化，關涉及之—特定健所適合之資^ 轉(例如訊息、通訊協定資訊、或其他相關資訊）。一保 資源係其存取被控制或被限制之資源(一應用程式二5 件、-文件、一網頁、一檔案、執行碼、或其他^ 物 通訊類型資源等等）。 … 一符記(token)是提供成功作業的直接證據，且係由運 作其作業之個體所產生，例如，在一成功認證作業後所產 生之一認證符記。Kerberos符記係可使用於本發明之一認 證符記之範例。有關Kerberos符記之更詳細之資訊可表考 Kohl et al之「Kerberos網路認證服務(V5)」’網際網路工 程任務小組(IETF)建議書(RFC) 1510，09/1993。 一聲明(assertion)是提供某行動之間接證據。聲明可提 供識別証、認證 '屬性、授權決定、或其他資訊及/或作業 之間接證據。一認證聲明提供一個體認證之間接證據，其 個體並非係認證服務，但聽從認證服務。 一安全聲明標記語言(SAML)聲明係可使用於本發明 之聲明格式之範例。SAML係由進階結構化資訊規格組織 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 20 表’QASIS係—非營獅全舰組織。在 安全聲明標記語言(SAML)之聲明及協定」中， 委貝會規袼0卜2002年5月31日描述SAML如下：

f全聲明標記語言(SAML)，係-以觀為基 ^換t全資訊的架構。此安全資訊係以聲明之型 f表不各主體’其巾—主體為在某安全峨中，具有 識別证之個體(人類或電腦）。一主體之典型範例， 係在特物際網路DNS網域巾以電子郵件地址所 辨識出之-個人。聲明可以各主體、各主體之屬性、 及各主體是何存取某些資狀獅決定等資訊傳 達有關運作之認證行為。聲明係以XML架構來陳 t且具有—巢狀結構’其中―單—聲明可包含有關 授權、及屬性等許多不同的内部陳述。需要知 是’包含認證陳述之聲明，僅描述先前所發生之 涊證行為。聲明係由SAML機關(即認證機關、屬性 機關、及政策決定點)所發佈。SAML定義一協定，各 客戶端可藉由此協定向各SAML機關請求聲明，並自 其處取得1^應。此财(以XML崎求及喊訊息格 j所組成)可與許多不同的基本通訊及傳輸協定連 結，SAML目前定義一連結(binding)，在HTTP上作 SOAP ° SAML機關可使用許多資訊的來源（例如所 儲存的外部政策儲存處HX請求之輸人為接收之 聲明）建立各回應。因此，雖然客戶端永遠會消耗各 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) (§) 21 聲明，但各SAML機關可為各聲明之製造者或消費 者。 SAML規格說明一聲明係一套供應一發佈者所作的 或夕個陳述之資訊。SAML允許發佈者作三個不同類型 的聲明：認證(authentication) ’其中所指明的主體，係在一 特定時間’由一特定手段認證；授權(auth〇rizati〇n)，其中 允許所指明之主體存取所指明之資訊一請求，已被准許或 拒絕；以及屬性(attribute)，其中所指明之主體，係與供應 之屬性相關聯。如下詳述’有需要時，許多聲明格式可譯 為其他聲明格式。 認證，係指確認一組由一使用者、或以一使用者之名 義，所提供之憑證的程序。認證係利用確認使用者所知 道、使用者所具有、或使用者所代表的事物(例如，使用者 身體上之特徵)而達成。使用者所知道的事物，可能包含一 個共享的秘密(例如使用者的密碼）、或可藉由僅有特定使 用者所知道的事物(例如使用者的密碼金鑰)來達成確認。 使用者所具有的事物可包含一智慧卡、或硬體符記。有關 使用者的身體特徵可包含一生物輸入(例如一指紋或—視 網膜圖）。 一 5忍證憑據’係用於S午多§忍證協定當中的一組挑戰/ 回應資訊。舉例而言，認證憑據最常見的一種型態，即— 4IBM/05145TW ： AUS9-2004-0365TWl(JHW) 22 使用者謂與密碼組合。認證憑_其他型態可包含挑戰 /回應資訊、公齡構(PKI)憑證、智慧卡、生物辨識等等 的許多態樣。認證憑據與繼聲_相異之處，係在於一 ，證憑據，係由使用者，以作為—認證協定順序之一部 而-認證聲明係有關—使用者認證憑據成功呈現及確 S忍之陳述，當有需要時，會在各個體間移轉。 區別習知單一登入解決方案 如上述，習知單一登入解決方案僅限於在同質環境 中’其中各參與企業間事先建立商務協定。這些商務協定 建立信任，且定義企制資訊的安全移轉。這些商務協定 ^包含有關如何從-企業解譯、或映射使用者識雜至另 一企業，以及如何移轉所用的資訊，以確認參與企業間之 使用者的技術性協定。 換句話說，根據先前所交涉或先前設定好的協定，習 知單一登入解決方案允許一企業信任一認證聲明（以及聲 明中所提供之使用者識別註)。每一個別企業知道如何建立 並解譯認證聲明，使之前與其交換過類似協定的其他企業 (例如一電子商務市場内的企業），得以了解其聲明。由於 企業利用其所知道的一定論關係，跨系統地映射使用者識 別証，因此，這些同質環境係緊密耦接。此緊密耦接係基 於建立單一登入環境所使用之商務協定而得以實行。 4IBM/05145TW ； AUS9-2004-0365TWl(jHW) 1378695 本發明之聯合模型 在全域_的環射，使用者紐開 可從與-網際網路之—網域的應用程式的互 的翻財，且各狀__有最小資雛 因為了一單一交易，而經歷需要在多重網 所導致的不便。換句話說，使用者翻各組織間應 ^互&作，但使用者通常希望各網域能重視其隱私。再 者，使用者可能希望能關永久存轉人資敗網域。這 些使用者的期望存在於快速變遷_異環境，其中許多企 業及組織公開競爭認證技術。 與習知系統不同，本發明提供一聯合模型，允許各企 業提供使用者一單一登入之體驗。換句話說，本發明支援 一聯合、相異環境。如本發明之一面向之範例所示，圖1E 顯示使用者190可與網域191認證，並接著使網域191提 供適當的聲明給一交易可能會涉及的每一個下游網域。即 使網域191與這些其他的下游網域沒有預先建立的聲明格 式，但這些下游網域需要能了解，並信任認證聲明及/或其 他類型的聲明。除了辨識這些聲明外，即使沒有預先建立 的識別証映射關係，但各下游網域需要能夠解譯一聲明内 所包含之識別証，以映射至一特定網域内代表使用者19〇 之識別証。然而，需要知道的是，本發明適用於許多類型 的網域’且並不限定於圖1E所顯示之範例網域，即ISP 類型的網域。 24 41BM/05145TW ； AUS9-2004-0365TW1(JHW)

Cs) 本發明係針對-聯合環境。一般而言，一企業具有其 =身的，用者註冊諸，並與自己本身的—組使用者維持 糸。母-企業通常具有自己的—套認證方法認證這些 =用者，而，本發明之聯合方案，允許各企業以相互合 2方式，經—企#參與—企業聯合，使—企業中的使用 得以利用與一組企業間的各種關係。如同使用者與每一 企業皆有直接關係-般’其使时可在任何聯合企業令存 取資源使用者無須到感興趣的每一個企業作註冊，且使 用者無須一直作辨識及認證。因此，在此聯合環境内，一 認證方案提供使时在資訊科触速魏_異環境中 一單一登入之體驗。 在本發明中，一聯合(fecjerati〇n)係指相互合作以提供 使用者-解料—登人體驗_賴社集合(例如企 業、組織、機構等）。在本發明辛，一聯合環境不同於一般 單一登入環境之處，係兩企業間無須有一直接、預先建立 的關係，去定義如何將資訊移轉給一使用者，以及移轉給 使用者的係何種資訊。在一聯合環境中，各個體提供認證 使用者、准許其他個體所呈現之認證聲明（例如認證符 記）、以及針對被擔保使用者，提供某種類型的識別証解 譯，使本區個體得以了解等服務。 聯合減輕了服務供應商的行政負擔。一服務供應商可 信賴其與整體聯合的信任關係；由於可以信賴使用者的認 25 4IBM/05H5TW ； AUS9-2004-0365TWl(JHW) 1378695 證主網域/識別Μ提供者所完成的認證，因此，服務供應商 無須管理認證資訊(例如使用者密碼資訊）。 本發明亦有關一聯合識別証管理系統，其系統建立一 基礎’供鬆散耦接式認證、使用者登記、使用者概要扣沾⑹ 湓理及/或β忍證服務在安全網域間合作。即使位於各網域的 基本安全機制及作業系統平台並不相同，但是聯合識別証 管理允許常駐於不同安全網域的服務，得以相互運作及合 作。一旦使用者於一聯合中建立參與，即建立一單一登入 體驗。 主網域或識別註提供者對依附網域或服務供應商 如下詳述，本發明提供使用者重要的好處。本發明允 許使用者在一第一個體(此後亦稱為使用者之主網域、使用 者之認證主網域、或使用者之識別証提供者)作認證。此第

一個體可作為一發佈方，發佈有關此使用者之一認證聲 明，在第二個體使用，此第二個體可為一般性服務供應 商。使用者可接著藉由呈現第一個體所發佈之認證聲明了 無須明確地衫二個體(即服務供顧)作再次繼，即得 存取位於第二、個別個體(稱為依附方)之保護資源。從一 發佈方傳送到-依附方的資訊係一聲明的型態，且此聲明 可以各陳述_，包含不酬_魏。舉例而言，一聲 明可為有關-使用者之雛身份猶述，或者可為有_ 一特定使用者相關聯之使用者屬性之陳述。 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 26 A方塊圖描述有關-使用者，對一第一 的—交易之聯合環境的專用術語，发第一 f 5止#以啟動其聯合環境内之下游個體之行j 二ΓΓ，根據一特定聯合作業，_:= 個體而s ’專着語可齡有所不同。更具體^之 顯示本㈣梭信仅遞雜从麟^圖t t 一網域爾麵—纟爾恢娜移 明。，用者202透過對位於企業2。4之保護資源 月求，初始一交易。若使用者2〇2已在-交易期間’ 被企業204認證，則在此次聯合對話中，企業2〇 者的主網域(即使用者的識別說提供者）。假設此交易需要 企業206作某類型的作t，且企業2()4移轉一聲明給企業 2〇6，則對此特定作業而言，企業204係發佈網域，而企 業206為此作業之依附網域；換句話說，企業係目前 交易的服務供應商。假設此交易需要更進一步的作業，使 企業206移轉-聲明給企業2G8 ’則對此請求作業而言， 企業206係發佈網域’而企業2〇8為此作業之依附網域； 在此情況下’雜-聯合交純常可池述紐涉及兩個 網域(即識別証提供者及服務供應商），但企業2〇8係被視 為另一下游服務供應商。 在本發明之聯合環境中，使用者認證之網域係稱為使 用者的(認證)主網域、或使用者的識別証提供者。識別言正 提供者維護認證憑證，而此認證憑證係可為使用者的雇 4IBM/05145TW ； AUS9-2004*0365TW1(JHW) 27 1378695 主、使用者的ISP、或其他商務個體實體支援的憑證。雖 ，因為許多企#具有產生並確認—使用者之認證憑證的 能力’使得在-聯合環境巾，可能會有多個讀可作為一 使用者的主網域，但是一聯合交易通常可描述為僅涉及一 單一識別証提供者。 以認證的角度而言，一認證聲明的發佈方，通常係使 用者的識別証提供者(即使用者的認證主網域）。使用者的 主網域可能或可不維護使用者的個人資訊或概要資訊。因 此’從涉及可辨識個人資訊、個人化資訊、或其他使用者 屬性之屬性角度而言，一屬性聲明的發佈方可能是或可能 不是此使用者的主網域。為了避免混淆，屬性主網域及認 證主網域可使用不同的名詞，但是以下所指之「主網域」 係指一認證主網域。 然而’在一既定聯合對話的範圍内，通常僅有一個網 域’係作為使用者的識別証提供者(即使用者的主網域）。 一旦一使用者已在此網域作認證，則在此對話期間’聯合 中的所有其他網域或企業’僅會作為服務供應商(即依附 方）。 由於本發明提供一種聯合架構，係可加入現有系統 中’並同時最小化對目前非聯合架構之衝擊，在使用者的 主網域所作之5忍S登’並不·定會因為主網域可能亦位於一 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 28

聯合環境内而有所改變。換句話說，軸主網域可整合於 =月之15環:^巾，但在使用者社網域運作—認證作 蒹時1用者應具有相同的終端使用者經驗。然而，需要 知道的疋’並非所有的企業使用者都有必要參與聯合環 境0 再者，使用者註冊(例如使用者帳號的建立)並不一定 t因為主網域亦參與—聯合環境而有所改變。舉例而言， 二使用者可能仍以獨立於—聯合環境的傳統或先前既存 ^註冊程序’在一網域建立一帳號。換句話說，在主網域 建立-使用者的帳號，可能會或可能不會包含建立在整個 聯β中S屬有效的帳號資訊(例如透過識別証解譯資訊）。 然而’若有-單-聯合網域可認證—使用者，意即使用者 僅向聯合中的唯一個網域註冊，則可預期岐，此網域 會作為使帛相主峨賴雜提供者，財聯合環境中 支板使用者的各種交易。 若在-聯合環境巾，-使用者具有多種可能的主網 域，則-使用者可透過不只一個進入點進入此聯合。換句 話說，使用者可在作為使用者之朗魄供者❹個峨 中，擁有數錄號，且這些網域並不一定具有有關其他網 域或在其他網域之使用者識別証的資訊。 雖然’使用者認證之處，係稱為使用者的主網域或使 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 29 1378695 用者的識別ί正提供者，但是發佈網域係發佈一聲明以供另 -網域(即依附網域)使用的一聯合個體。一發佈網域通 本’但不’做用者齡網域或制者的識別註提供 者。因此，通常的情況係發佈方已述之 搞 定認證者。料’有可能的是，此發佈方先前^作為 -依附方，接收來自不同發佈方的聲明。換句話說，因為 一使用者初始化的交易，可串接於一聯合環境内一系列之

企業中，所以-接收方可隨後作為一下游交易的發佈方。 -般而言，卩-使用者之名，具有發佈認證聲明之任何網 域’皆可作為一發佈網域。 依附網域係從-發佈方接收一聲明之網域。依附方可 接受、信任及了解由一第三者(即發佈網域），以使用者之 名義所發佈的聲明。-般而言，依附方需負責使用適當的 認證機構’解譯-認證聲明。再者，依附方可認證一特定 使用者，即作為使用者的主網域或識別站提供者但依附 方亦可能無法透過傳統方法駿_使用者。因此，一 依附方係信賴使用者所呈現之認證聲明，且提供使用者一 單一登入體驗，而不是試圖在與使用者的互動對話中，詢 問使用者其認證憑證的網域或企業。 聯合架構-傳統系統之聯合前端 參考圖2Β，一方塊圖描述本發明一實施例，一既定 網域中已先存在之系統與本發明某些聯合架構要件作整 4IBM/05I45TW ； AUS9-2004-0365TWl(JHW) 30 σ 恥合级境包含許多聯合個體，其個體提供許多不同 類型之服務給使用者使用者212與客戶端裝置214互 動’客戶端裝置214可支援劉覽器應用程式216以及許多 其他的客戶端應用程式218 ^使用者212係與位於使用者 及其他裝置及服務間，作為介面的客戶裝 器加、或任何其他軟體不同。在某些情以下^ 會清楚區別在客戶端程式㈣_扮演的使用者，與扮 演使用者之客戶端應用程式之不同、然而，—般而言，一 請求者係可假設以者之名運作之媒介，例如客戶端應 用程式、劉覽器、SOAP客戶端等等。 劉覽器應用程式216可為-典型的潮覽器，其包含在 行動裝置可找到的劉覽器，具有許多模組(例如Ηττρ通訊 構件220及標記語言(ml)解譯器222。瀏覽器庫用裎式216 亦可支援外掛程式(例如網站服務客戶用= 可能 需要或可能不需要一虛擬機器執行環境的下載式小程 式。網站服務客戶端224可使用簡單物件存取協定 (SOAP)，係在-非集巾化、分散式之魏巾，定義架構化 及類型化資訊之交換雜麵定SC)Ap似XML為基 礎之協定’其包含三個部分：-封裝(envd〇pe)，其定義描 述訊息中㈣訊及如何處理此資訊之架構；—組編碼規則 (encoding rules)，供陳述應用程式定義之資料類型的實 例；以及一協定(convention)，供代表遠端程序呼叫及回 應。使用者212可利關覽器應用程式216，存取網站服 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 31 1378695 務’但使用者212亦可透過客戶端裝置214之其他網站服 務’存取網站服務q列圖式所顯示之本發明範例^系透 過使用者⑽’實施Ηττρ改寄，以賴聯合環境中 各個體間之資訊。然而，需要知道的是，本發明可在許多 通訊協定巾#施，且並*意在限定於Ηττρ舉例而 言，有需要時，聯合環境巾的各健可直接通訊；訊息無 需透過使用者的瀏覽器而改寄(redirect)。 本發明亦可以一種使聯合環境所需之構件，可與先前 所有的整合之方法實施。圖2B贿將此等構建實 ^做-先前建立之系統的前端之—實施例。聯合網域中先 刖所有的構件’係可視為傳統(legacy)應用程式或後端處理 構件=〇,此構件包含類似圖2C所示之認證服務執行(asr) 伺服器232。當網域控制應用程式伺服器234之存取時， 其存取可視為產生、擷取、或支援或處理保護資源235， ASR伺服器232係負責認證使用者。網域可持續使用傳統 使用者§主冊應用程式236，註冊使用者，以供使用者存取 應用程式伺服器234。需要認證一註冊使用者之資訊，係 儲存於傳統使用者註冊資料238中。 在加入一聯合環境後，此網域可持續運作，而無須聯 合構件的介入。換句話說，本發明可設定網域，使得使用 者持續直接存取特定應用程式伺服器或其他保護資源，而 不透過一接觸點伺服器、或實施此接觸點伺服器功能之其 4IBM/05I45TW ； AUS9-2004-0365TWl(JHW) 32 1378695 他構件；利用此方式存取系統之使用者，會經歷典型的認 證程序及存取。然而，如此一來，直接存取傳統系統之使 用者，無法建立網域的接觸點伺服器所知道的聯合對話。 網域的傳統功能可透過聯合前端處理24〇之使用，而 與聯合環境作整合，聯合前搞理包含_點祠服器 242及信任代理伺服器244(或更簡單地，信任代理器224 • 或信任服務244)，其本身與安全符記服務(STS) 245及聯 合使用者生命週期管理伺服器/服務246互動，這些元件皆 在圖2C中有詳細描述。聯合組態應用程式247允許一管 理使用者設定聯合前端構件，使此些構件得透過聯合介面 單元248，與傳統後端構件溝通。 在一既疋企業中的傳統或先前所有之認證服務，可使 用許多習知認證方法或符記，例如使用者名稱/密碼、或智 鲁 慧卡符記資訊。然而’藉由本發明，傳統認證服務之功能 可透過接觸點伺服器的使用，而適用於一聯合環境中。雖 然，以此方式存取系統之使用者，會經歷一般的認證程序 及存取，但疋使用者可持續直接存取傳統認證服務，而無 需透過接觸點伺服器；直接存取一傳統認證系統之使用 者，無法產生一聯合認證聲明，作為本發明之識別証證 明。聯合前端的角色之一，係將接觸點伺服器所接收之一 聯合認證符記，解譯為一傳統認證服務所知道的格式。因 此’透過接觸點伺服器存取聯合環境之使用者，不需要重 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 33 1378695 =傳！認證服務作再認證。較佳地，使用者可藉由接觸 ^ =及任代理I!之結合，對傳統認證服務作認 过，使得使用者看似從事一認證對話。 聯合架構-接觸點舰器、信任代理器、及信任仲介器 參考圖2C，-方塊圖描述本發明所實施之一聯合架 構。-聯合環境包含聯合企業或類似健，提供許多服務 給使用者。透過客戶端裝置上的—應用程式，—使用者可 試圖存取許多健（如企業25G)中师源1在每一聯 合企業的接觸點伺服器(例如位於企業25〇之接觸點 舰，2S2)，係使用者進入聯合環境之入口。由於接觸點 伺服器處理許多聯合需求，因此接觸點伺服器將現有、非 聯合架構内的現有構件(如傳統系統)之衝擊減到最小。接 觸點伺服ϋ提供對話管理、協㈣換、並可能初始認證及 /或屬性聲明轉換。舉例而言’接觸點伺服器可解譯HTTP 或HTTPS訊息為SOAP ’反之亦然。如下詳述，接觸點词 服器亦可用以啟動一信任代理器解譯聲明，例如從一發佈 方所接收之一 SAML符記’可被解譯為一接收方所知道的 一 Kerberos 符記。 任代理器(一k任代理祠服器或一信任服務），例 如位於企業250之信任代理器(TP)254，建立並維護一聯合 中兩個體間的信任關係。一信任代理器通常(透過將在下列 詳述之安全符記服務）具有處理認證符記格式解譯之功 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 34 1378695 能’從發佈方所使用之格式解譯為接收方所知道的格式。 同時使用一接觸點錬器及—信任代理器 -組現有、非聯合之祕上實施—聯合 到 :及明之聯合架構，需要以至少丄點:

個體/:Γ代一聯合個體之方式實施，不論此 ，體係-企業、—網域、或其他邏輯或實體個體。然而， 本發明之聯合雜’不—定需要對此财、麵合之 ϊΐΓΓ"改變。較佳地，軸可能會有多個信“理器 可供使用，但-既定聯合個體會有一單一信任代理器，或 者在-聯合健_許多小個體，會有多個信任代理例 如一企業内的獨立子企業)。-岐個體可能會屬於不°只一 個聯合，但是-單-信任代理器，可f理多觸合間的信 任關係，因此，此種情況並不需要多個信任代理器。 • 信任代理器之一角色，係決定或負責決定另-網域、 或在相同網域中的信任代理器所需要的憑證類型。一信任 代理器具有處理認證符記格式解譯之功能或責任，從^佈 方所使用之格式解譯為接收方所知道的格式。信任代理器 254亦負貝企業250所遇到的任何使用者識別言正解譯、或 ^性解譯。再者，一信任代理器可支援別名恤㈣的實 施，此別名係用以獨特辨識一使用者的識別証，而無須提 供其他有關使用者真實識別証的資訊之代表。再者，一信 任代理器可發佈授權及/或對話憑據，供接觸點伺服器使 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 35 用二然而’-信任代可啟動—信任仲介器作協助，如 下詳述。映射-使用者識難及屬性，可能會需要作識別 =解譯’從發佈謂知道的識顺解譯為對接收方有意義 的貧訊。位在發佈網域的信任代理器、位在接收網域的信 任代理器、或其兩者皆可啟動此解譯。 k任代理器2M可包含-内建式構件(或與其互動）， 如所示之安全符記服務(STS)構件255，提供符記解譯並啟 動認證服務執行(ASR) 256 ’以確認並產生符記。安全符記 服務提供信任代理器所需之符記保證及確認服務，安全符 s己服務可包含識別証解譯。因此，安全符記服務包含現有 認證服務執行之介面、或將認證服務執行整合於服務本 身。除了内建於信任代理器以外，安全符記服務構件亦可 以一獨立構件(例如由信任代理器啟動)實施，或者安全符 記服務構件可内建於一交易伺服器中(例如作為一應用程 式伺服器之一部份）。 舉例而&，一 STS構件可接收一發佈一 Kerberos符 記之請求。作為欲建立符記給此使用者之認證資訊之一部 份，此請求可包含一二進位符記，此二進位符記包含一使 用者名稱及密碼。STS構件將會以例如一 LDAP執行期(典 型認證），確認使用者名稱及密碼，且將會啟動一 Kerberos KDC (金鑰分佈中心），以產生一 Kerberos票給此使用者。 此符記回傳到信任代理器，以在企業内使用；然而，此使 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 36 用可包含將此符記外部化， 以移轉到聯合中的另一網域 與圖1D所描叙方法編^， :於-聯合環境内多個企業(如企業25〇及 ===述Γ25G之方法，輕㈣包含接觸^ 服态262、仏任代理器264、安娜川 務執行期266。雖然使用者可直mH5、及認證服 2% 者 ㈣於聯合環财的一企業 :交/。軸當使用相始此交树，可能尚不知其必 業2Γ可能需要與聯合環境内多個其他企業(如 ίί ? 以完成一特定交易。企業26G成為- 、網-’，且若有需要，本發明允許企業250提示一聯合 聲明給企#260，賤―步完錢用者的交易。 一指任代理器可能不知道如何解譯一相關之接觸點 飼服器所接收之認證觀、或者不知如何解譯一既定使用 者識別延及屬性。在此情況’信任代理器可選擇啟動信任 仲介構件(例如信任仲介器268)之功能。一信任仲介器會 維濩各指任代理器間的關係，藉此提供信任代理器間的遞 移信任°使用一信任仲介器允許一聯合環境内的每一個體 (如企業250及260) ’與信任仲介器建立一信任關係，而 不用與聯合環境中的每一網域，建立多重個別信任關係。 舉例而言’當企業260成為一使用者在企業250所初始之 交易的下游網域時，若有需要，位於企業250之信任代理 41BM/05145TW , AUS9-2004-0365TWl(JHW) 保位於企# 260的信任代理11 264，可藉由啟 268的協助，進而了解信任代理_的聲 描述具有一單一信任仲介器之聯合環境， -疋聯口％* 兄可具有多個信任仲介器。 ΗΒ要纟道的疋’雖細2c以獨域體描述接觸點伺 服盗252、信任代理器254、安全符記服務構件255、及認 證服務執行期256 ’但是這些構件並不一定要以個別裝置 實施°舉例而言，這些個別構件的功能可能以一單一實體 裝置上的許纽雜式實施、或者可結合為-單-應用程 式。再者’ ® 2C描述企業的一單一接觸點伺服器、一單 -錄代理器、及-單—安全符記舰器，但是其他組態 了包含母一企業具有多個接觸點伺服器、多個信任代理 器、及多個安全符記伺服器。接觸點伺服器、信任代理器、 安全符記伺服器、及其他聯合個體可以許多型態實施，例 如軟體應用程式、物件、模組、軟體資料庫等等。 一信任代理器/STS可能可以接受及確認許多不同認 證憑據’包含傳統憑據(例如使用者名稱及密碼的結合以及 Kerberos票）’及聯合認證符記型態(包含一第三方所產生 的認證符記）。一信任代理器/STS可允許接受一認證符 記’作為其他地方的認證證明。認證符記係由一發佈方所 產生’且係用以表示一使用者已向此發佈方作過認證。此 發佈方產生認證符記’作為聲明使用者所認證過之識別証 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 38 的手段。一信任代理器/STS亦可處理屬性符記、或用以保 護通訊對話或會談之符記(例如以類似一 SSL對話識別符 的方法管理對話資訊之符記）。 當有需要時’安全符記服務會啟動一認證服務執行 期。認證服務執行期支援可認證一使用者的認證服務。認 ^•服務係作為一遇證機構，透過認證回應，提供成功或失 敗認證的表示。信任代理器/STS可内建化一認證服務，例 如在新安裝一網路服務的情況下，其服務不須與現有傳統 架構互動。否則’ STS構件將會啟動外部認證服務，以確 認認證符記。舉例而言，STS構件會「取出」包含一使用 者名稱/密碼的二元符記’接著使用一 LDAP服務，存取 一使用者註冊資料，以確認呈現的憑證。 當另一構件(如一應用程式伺服器)使用STS構件時， STS構件可用以產生單一登入傳統認證系統所需的符記。 因此’ STS構件可作為内部(即企業内）、或外部(聯合内的 各企業間)的符記解譯。以内部解譯作為一範例，一網站應 用程式伺服器，可透過一 IBM CICS(客戶資訊控制系統） 交易閘道，與大型系統作介面；CICS係一系列的應用程 式伺服器及連接器’提供重要應用程式企業級的線上交易. 管理及連接性。網站應用程式伺服器可啟動STS構件，將 一 Kerberos票(如網站應用程式伺服器在内部所為一般)解 譯為CICS交易閘道所需之一行票。 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 39 1378695 圖2C所顯示之各個體，可用上述介紹之名詞(例如「發 =方」及「依附方」或「識顺提供者」及「服務供應商」） 作解釋，同建立鱗護信賴係的—部份，—識難提 供者的彳。任代理n可決定服務供應商的信任代理器所需 要/接受之符記類型。因此，當從一安全符記服務啟動符記 服務時，信任代理器會使用此資訊。當需要一識職提供 f的信任代理H，替—服務供應商，產生—認證聲明時， 信任代狀蚊_ _記_，並向安全符 適當的篇訥。 當一服務供應商的信任代理II接絲自—識別註提 供者的-認證聲明時，此餘代理器知道雌待的聲明類 型及服務供應觸需_使關_細。因此，服務供 應商的信任傾H要求安全符記贿，娜所接收的認證 聲明中的符記，產生所需的内部使用符記。 k，代理器及信任仲介器皆具有將來自—識別站提 供者的聲明’解譯為—服務供應商所了解_態之能力。 信任仲介器可替所有與其有—直接信任_的每一個信 任代理H ’作解譯聲曝式，藉此允許信任仲介器在識別 証提供者及服務供應商間提供聲明解譯。此解譯亦可透過 任=一方的本區信任代理器作請求。類似地，服務供應商 的L任代理态可請求解譯來自一識別註提供者的聲明。 41BM/05145TW ； AUS9-2004-0365TWl(JHW) 40 (δ) 性聲者識•解譯、認證聲明解譯、屬 點聲類型的聲明解譯。重新間明上述重 點’聲㈣合_信 仲介器)作處理。—作伽w 蛛供者及練 或服務錢柄職提供者端 器啟動_。 f鳩域·報—信任仲介 ，設-識顺提供者及—服務供顧 介器有信任關係，則若有任仲 古Μ私有要尨任仲介器可在發佈方及 依附方_祕立仲介、新信任關係 初始信任關係仲介作掌德，㈣心担糾器徒供 古祕τ菜後識別钲如供者及服務供應商可 直接維護此關係，使得以後的解譯 任仲介θ 料次啟動信 ΠI!需 的是’認證符記的解譯可能在三個地 训现:識Γ峨供者的信任代理器、服務供應商的識別 二仲介11。較佳地，識難提供者的信任 代益會產生-認證聲明，係信任仲介器所知道的聲明， 以:專送給贿供麵。職縣雜料杨譯此符記， =從，任仲”㈣格式解譯為服務供應商所認識的格 :、符d解澤可發生在傳輸認證聲明前、傳輸認證聲明 後、或傳輸認證聲明前及傳輸認證聲明後。 聯合架構内的信任關係 在本發明所實施的聯合環境内，需要管理兩種類型的 「#任網域」：企業信任網域及聯合信任網域。此兩種類 4IBM/05145TW ； AUS9-20〇4-0365TW1(JHW) 1378695 型的信任網域的不同之處，一 信任網域所訂立的信任關係刀及=於商務協定中針對 術。-企業信任網域包含企業任所使用的技 域内的所有構件皆相互作任、。S的化些構件，信任網 術，會在-企業峨立^由於部署的技 求認證過的SSL對話、或者藉由 由在構件間相互要 斜中心姑罢进从▲ 在一早一、控制緊密的資 ==及相會顯示隱含的^ 求在-企如建立信任。參考 信任網域’其中各構件在一安全内部網路内通:表-止業 聯合信任網域係跨越企業邊界的網域；從一方面 來，-聯合信任網域可代表獨立企業信任網域間的作任關 =。聯合信任網域係透聽任代理器，鍵立跨越聯合夥 Ϊ 機程序’藉此程序 最她任曰建立於信任代理器之間。此開機程序的一部份 可包含建立分⑽触_，定騎驗軌/或允許的符 s己類型及識別符解譯。一般而言’由於開機程序亦可包含 建立管理聯合内—企無參與，及與此錢相關聯的義 務，此程序可在頻外實施。 有許多機制可在一聯合商務模型中建立信任。基於商 業考量，在-聯合模财，f要聯合倾者任的基本 概念，以提供一種參與者間所移轉的聲明，係屬有效之確 4IBM/05145TW *. AUS9-2004-0365TWl(JHW) 42 1378695 認(包含符記及屬性資訊)程度。若沒有信任關係，則服務 供應商不能信賴來自識別証提供者的聲明；服務供應商不 月b使用這些聲明，來決定如何解譯來自識別証提供者的任 何資訊。

舉例而言，一大型企業可能想鏈結上千個全域客戶， 此企業可使用習知解決方案。舉一第一範例，此企業可要 求全域客户使用商務認證機構的一數位認證，以建立互 信。商務認證機構致能企業端的伺服器，信任位於每一全 域客戶端的舰器。舉-第二範例，企業可使用Kerber〇s 實施第三方信任；此企業及其全域客戶可實施—信任的第 ^方Kerberos網域服務，此網域服務實施分享秘密為主的 錄。舉-第三範例，企業可建立具有-專屬安全訊息符 記的私有方案，由全域客戶的伺服器相互信任。 “

若企業需要管理具有少數全域客戶的信任關係 實施上述的任何方法，但#有射上萬的聯合夥'，、 =法則不適合管理。舉例而言’雖然企討強迫小 =私有方案’但是企灯太可能要求大_伴作許多的 器 勢 根擄本發明，企討儀透剛#任代理 所建立並管理的健_。本發日月之聯合仲介 ，係無須在企業及其潛在聯合夥伴的現有架構^^ 4IBM/05145TW ; AUS9-2004-0365TW1(jhw)

43 外的需求β 聯合料可雜具有某資 在本發明中，信任關係係由信任代理器管理， 記服務(或與其互動），此安全符嫌務 係根據純任代理關先前所建立好簡係，確認並 自-識雜者所接㈣符記。在i合讀益法與另 一聯合企業建立信任_(及符記解譯)的情況下，可啟動 -信任仲介n;細，聯合企業會需要與—信任仲介器建 立一關係。 參考圖2D，一方塊圖描述本發明使用一些信任代理 器及一個信任仲介器，建立聯合網域間的一組範例信任關 係。雖然圖2C介紹過信任仲介器，但圖2D顯示本發明 之聯合架構中遞移信任關係的重要性。 聯合網域271-273分別使用信任代理器274-276。信 任代理器274與信任代理器275具有直接信任關係277。 4IBM/05I45TW ； AUS9-2004-0365TW](JHW) 44 1378695 餘仲介器280與信任代理器275具有直接信任關係 278，且信任仲介器與信任代理胃276具有直接信任 關係279。信任仲介器28〇侧來以一聯合參與者之名， 根據遞移信任，與其他聯合夥伴建立_信任隱。遞移信 任的原則，係允許信任代理器275及信任代理器276，透 過“任仲介器280，具有仲介化的信任關係281。信任代 理器2M 276皆不需要知道如何解譯或確認其他者的聲 ，^啟動信任仲介器，可將一聲明解譯為對另一信任代理 器係有效的、可信任的、且係另—餘代理騎知道的聲 明0 註明聯合企業間信任關係的契約義務及責任之商業 協定’可透過ebXML(使用觀的電子商務)的規則，:乂 狐來表示。舉例而言’-直接信任_可表現於一 ebXML文件巾；分享—直接信任關細每—聯合網域， 會具有以-ebXML文件表示之—_複本。—聯合内的 許多個體之運作·，係可闕在ebXML編輯中，並八 佈在ebXML註冊資料n ;想參與—特定聯合的任何企& (如運作-信*代理器或信任仲介器），會需要符合特定聯 合為聯合内所有信城理^或健仲介騎註明的公開 ，求。一安全符記服務會解譯這些ebXML文件的運作二 節，以解譯來自其他網域的符記。然而，需要知道的是， 本發明可透過其他規則及機制，來說明有關在一聯合=實 施k任關係之方法的細節。 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 45 聯合架構内的聲明處理 如上述，-使用者在_聯合内的經驗，有 :關此，者、或為此使用者在網域間移轉的聲二 。聲日月提供有關此使用者認證狀態、屬性資訊、及其二 可移除一使用者需要在每一 個 所戦的網站作再次認證的需求。在一聯合環境^ 種模型可從-發佈網域取得—聲 「拉模式」。在-推模式中二二 的請求一同傳送到依附網域。在-拉模式中，/需ί 2貝訊’依_域會魏制者的請求，且接著依附網^ 日向發佈網域要求相關或所需的聲明。 ' - f說明了在-聯合環勒，使骑_此難模式之 ^ 發明將敘述-系列圖式，财本發明 用聲日月的一組程序。圖3A描述—發佈‘ 方，在-聯合環境中建立一聲明的一般程序，圖犯 域或一依附方「拆卸」一聲明(即藉由粹取 ^析其資訊’將-聲明減為其主要資訊)的一般程序。圖 及圖3D猎由描述-推模式的兩種變化型顯示圖从 中’-聲明係產生於-發佈網域内，並接著與一使用者的 請求-同移轉至依附網域的一般程序之細節。圖犯描迷 -拉模式，其中-依附網域向一發佈網域，針對一使用者 要求任何聲明，並試圖滿足位於依_域端請求使用者 一資源請求。 4fBM/05l45TW ； AUS9-2004-0365TWl(JHW) 46 m參考圖3A，一流程圖描述在一發佈網域端，在一聯 合壤境^立-聲明的—般程序。當發佈峨的接觸點伺 服器為-聲明所啟動時，此程序即開始(步驟3()2)。接觸 點词服器可從-依_域，接收—特定使时的一特定聲 明的請求，或者接觸點伺服器可攔截到要求一聲明之—已 知依附網域的送出請求；這些情形分別在圖K：及圖3D 有更進一步的描述。為回應被啟動要求一聲明，發佈網域 的接觸點伺服器會向發佈網域的信任代理器要求此聲明 (步驟304) ’其信任代理器產生此聲明(步驟3〇6)，並同時 增加信任資訊(例如聲明/符記的加密/簽署）；發佈網域的信 任代理器可向-信任仲介II要求協助，以在需要的時候， 產生所需的聲明。在產生此聲明後，發佈網域的信任代理 器接著將此聲明回覆給發佈網域的接觸點伺服器（步驟 308)，並接著將此聲明以適當的方法(步驟31〇)(例如藉由 將此聲明插入一送出HTTP或s〇Ap訊息），插入到輸出 的資料流’藉此完成此程序。 圖3A描述在一發佈網域端建立一聲明，而不使用一 「本區皮夾」的程序。然而，本發明亦提供本區皮夾的功 能。一般而言，一本區皮夾係客戶端程式碼，可作為使用 者屬性資訊或其他處理交易資訊的安全資料處；客戶端程 式碼亦可參與推及/或拉模式的聲明移轉。當本區皮夾主動 參與此協定時，本區皮夾會實施接觸點伺服器功能的一次 組功能，產生並插入聲明至協定流中。使用一本區皮夾並 4IBM/05145TW ； AUS9-2〇〇4-〇365TWl(JHW) 47 不能使本區皮失實施以信任為主的互動，其互動係發生於 接觸點祠服器及信任代理器間。在需要額外信任關係的情 況下，一定要啟動接觸點伺服器。 參考圖3B，一流程圖描述在一依附網域端拆除一聲 明的一般程序。當一依附網域的接觸點伺服器接收具有一 相關聲明的訊息時，此程序即開始(步驟322)，之後此程 序淬取此聲明，並將此聲明轉呈至依附網域的信任代理器 (步驟324)。依附網域的信任代理器從聲明中粹取資訊， 其包含來自發佈網域的符記(步驟326);依附網域的信任 代理器將會啟動安全符記服務，確認此符記，其包含符記 中的資訊及符記中的信任資訊(如加密及簽屬），之後若有 需要，則回覆一本區有效的符記給使用者(步驟 步驟326的一部份，係信任代理器將會決定聲明的來 源(即發佈方）。若信任代理器可了解來自此發佈網域的信 任，明，則信任代理器會在内部運作步驟328。若信任代 理器不了解/信任來自發佈網域的聲明，則信任代理器會從 一尨任仲介器啟動協助。若無法確認此聲明，則會產生一 適當的錯誤回應。 假設此聲明已被確認，則依附網域的信任代理器會建 構使用者所需的本區資訊(步驟33〇)。舉例而言，本區資 汛可包含後端傳統應用程式所需的認證憑據。依附網域的 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 1378695 信任代理器會回覆所需的資訊至依附網域的接觸點词服 器(步驟332)，此接觸點伺服器會替使用者建立一本區對 話。 在接觸點伺服器替使用者建立一對話後，使用者會被 視為一認證過的使用者。接觸點伺服器可使用此對話資 訊，進一步作為管理使用者與此網域所作的任何交易，直 • 到初始一登出或暫停為止。假設接觸點伺服器具有替使用 者認證過的識別証，若有需要，接觸點伺服器可根據特定 使用者的識別証及與此特定使用者相關聯的任何認證政 策，取得此請求的認證。接觸點伺服器接著將使用者的請 求及任何相關的資訊，轉呈給所請求的應用程式或服務(步 驟334)，藉此完成此程序。 舄要知道的是，在接觸點伺服器及信任代理器間移轉 鲁的資料項目、以及這些資料項目的格式，可能會有所不 同。接觸點伺服器可轉成整個訊息給信任代理器，以取代 將-聲明從訊息中粹取的方式。舉例而t，信任代理器端 的處理可包含例如在- SOAP訊息中作簽署認證的步驟， 此步驟係需要在整個SOAP封裝中進行。 參考圖3C ’ -流程圖描述從一發佈網域將一聲明推 向一依附網域，以回應發佈網域端的一使用者動作之一特 定程序。當-使用者從-網頁存取到一依附網域的一鍵 41BM/05145TW ； AUS9-2004-0365TWI(JHW) 49 1378695 結、或者存取發佈網域内的類似資源時，此裎序即開始(步 驟342)，藉此啟動某些型態的CGI(共同閉道介面)類^ 以建立-特定聲明。發佈網域識別—依附網域需要— 聲明的能力’暗示本發贿實施_合架構與現有傳統系 統的緊密整合。這亦意味發佈方及-細方_ —緊密輕 接’使得發佈方不需要啟動—信任代理H，建立所需的聲 明:在具有已建立信任義的某麵聯合個體間緊密耗

啟動發佈網域端的後端處理，係用以建立所需聲明(步 驟344)，其可包含啟動本區信任代理器的功能。接著建構 使用者對依剛域的請求，其請求係包麵需的聲明(步驟 346)，且發佈網域將聲明與使用者的請求一起移轉至依附 網域(步驟348) ’藉此完成此程序。當依附網域接收此請 求及其相關聲明，則依附網域會以圖3B所示之方法確認 此聲明。 〜

參考圖3D，一流程圖描述從一發佈網域將一聲明向 一依附網域，以回應發佈網域主動攔截一送出請求至依附 網域之一特定程序。當一使用者請求位在依附網域的一保 濩為源時，此程序即開始(步驟352)。接觸點伺服器藉由 例如以預定的通用資源識別符(URJ，S)、某些類型的訊息、 某些類型的訊息内容、或其他方法篩選送出訊息，攔截送 出凊求(步驟354)。發佈網域的接觸點伺服器接著向發佈 4IBM/05I45TW ； AUS9-2004-0365TW1(JHW) 50 網域的信任代理II要求—適當聲明的產生(步驟356)，若 有需要，信任代理器產生此聲明及—信任仲介器的協助(步 驟358)。發佈網域接著將使用者的請求與產生的聲明一 同移轉至依财(步驟36〇)，藉此完成此程序^當依附網 域接收此請求及其相關之聲明時’依附網域會以圖3B所 示之方法確認此聲明。 參考圖3E，一流程圖描述一拉模式，其中一依附網域 向一發佈網域請求一使用者所需的任何聲明，並試圖滿足 請求使用者在依附網域端所接收的一資源請求。當依附網 域接收一使用者對保護資源之請求時’此程序即開始(步驟 372)。與圖3C或圖3D所顯示之範例不同的是，圖3£所 顯示之範例描述與一使用者請求相關聯的程序，此請求係 在一依附網域端被接收，且沒有任何有關一使用者的所需 聲明。在此情況下’發佈網域尚未具有攔截或處理使用者 的請求’而將所需聲明插入使用者請求之能力。舉例而 言，使用者可能已輸入一全域資源定位器(URL)或使用一 資源的一書紙參考點，使得送出請求並未被一發佈網域的 接觸點伺服器所攔截。因此，依附網域向一發佈網域請求 聲明。 依附網域接著決定使用者的主網域(步驟374)，即相 關發佈網域。在一 HTTP為主的實作中，使用者可能已先 建立好與依附網域的關係，導致依附網域在一使用者的客 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 51 戶裝置《«又疋持續的電子憑證。持續的電子憑證會包含使 用者的主網域或識別証提供者的識別証，即相關發佈網 域。在一 SOAP為主的實施中’使用者以某種方法操作一 網站服務客戶端’依附網域的網站服務會透過WSDL(網 站服務描述語言）’公佈服務需求，其包含符記需求。接著 會需要使用者的網路服務客戶端/S〇AP實作，提供所需的 符記類型。若此需求並未達成，則網站服務會技術性的回 覆一錯誤。在某些情況下，可能會回覆一錯誤碼，提示認 證資訊給使用者的網站服務客戶端，使得此請求會以適當 的符記作重複。 依附網域的接觸點伺服器向依附網域的信任代理器 初始化一聲明請求(步驟376) ’此依附網域的信任代理器 向發佈網域的信任代理器，請求使用者的聲明(步驟378)。 若此實施例實施以HTTP為主的通訊，則從依附網域的信 任代理器到發佈網域的信任代理器的聲明請求，可能會由 依附網域的接觸點伺服器，透過使用者的瀏覽應用程式之 轉呈’傳送到位於發佈網域的接觸點伺服器，發佈網域的 接觸點伺服器將聲明請求轉呈至發佈網域的信任代理器。 若此實施例係以SOAP為主實作，則依附方可能回覆 一錯誤碼給使用者的網路服務客戶端。此錯誤嗎會透過其 網站服務客戶端，提示使用者認證資訊。網站服務客戶端 會接著產生所請求的符記。若依附網域的信任代理器發佈 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 52 1378695 在- UDDI(通用描述、策集、及整合)註冊資料中， 用者的網路服務客戶端會直接啟動—信任代理器，允許 用者的網路服務客戶端尋找此信任代理器一般而言由 於-任代理ϋ不太可能會發佈在網際網路的公用如切 中、或在-聯合以外存取，目此，此情況僅在使用者為内 部使用者晴況為有效’其#信任代㈣係發佈於企業 的私有UDDI中。 '、 發佈網域的信任代理器會產生所請求之聲明（步驟 380) ’並以聲明請求所接收的方法’回覆請求的聲明(步驟 382)。在依附網域的信任代理器接收請求聲明之後(步驟 384)’接著依附網域的信任代理器會從聲明中粹取資訊(步 驟386)，並試圖解譯及/或確認此聲明(步驟3g8);若有需 要解譯聲明，信任代理器可啟動一信任仲介的協助。若無 法確認聲明，則會產生一適當的錯誤回應。假設聲明已確 認，則依附網域的信任代理器會以後端服務所需之適當格 式建立本區資訊，後端服務會將試圖達成使用者對保護資 源的請求(步驟390)。舉例而言’本區資訊可包含後端傳 統應用程式所需的s忍證憑據。依附網域的信任代理器回覆 所需資訊給依附網域的接觸點伺服器(步驟392)，接觸點 4司服器接著替使用者建立一本區對話，並轉呈使用者的請 求及任何相關資至所δ青求的後端應用程式或飼服器(步 驟394)，藉此完成此程序。 4IBM/05I45TW ； AUS9-2004-0365TWl(JHW) 53 聯合架構内的單一登入 環境描f’係著重在本發明之一聯合資訊處理 这些個體間所發生的— 叹係者重在 同的是，本㈣之二ςίί。參考圖4，與這些描述不 並&供使用者單-登人的體驗。 勿曰的 作』以下之描^1雖然討論上述之個體及程序， 在本發明針對—使用者，可在其使用者對話令， 登人域之綜述。—對話可定義為從(且包含） f刀使用者認證(即登人)至登出的-交易集合。在-對話 鮮蚀=者的行為將會有—部份，係受針對此對話所授 者之特權所控制。在一聯合内，一使用者期待具 >早-登入經驗，其中使用者完成一單一認證作業，且 此〜设作業足財對話躺制，無财 的聯合夥伴。 ，使用者的對話躺’使用者可許多聯合網域， 使用攻些網域所提供的網路服務。網域可利用標準規格(如 UDDI及WSDL ’兩者皆使用觀作為一通用資料格 式）’發佈其所提供之服務描述。使用者透過應用程式尋找 可用的服務及服務供應商，此應用程式亦符合這些標準規 格。SOAP提供通訊以XML絲示之請求及回應的一範 例。一聯合環境中的各個體可在彼此間實施此些標準。 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 54 1378695 為了促使-早-登入經驗，支援聯合環境之網站服務 亦將支援使用由-第三讀產生之—認證聲明或安全符 記，提供-使用者的認證證明。此聲明將會包含使用者向 發佈方成功認證的某種爾，叹制者的朗符。因 此，-制者可將傳據(例如朗者名稱及密碼） 呈現給-聯合料，並接供由發佈方為一不同聯 合夥伴所產生之一 SAML認證聲明。

*在網站服務環境中作認證，係在作確認網站服務請求 所聲明的識難’使得讀可關存取，僅供認證客戶端 使用。由於請求或啟動'網站服務之使用者總是會被認 證，因此，在本發明之聯合環境内作認證的需求，並非斑 目前網站服務作使用者認證之需求有所不㈤。聯合環_ 允許網站服務或其他助程式要求_服務，且這些網站 服務亦會被認證。

沒有參與-聯合對話的使用者之認證，並不會因為本 發明之聯合架構而有所影響。舉例而言，與—以表格為主 之認證機制’透過HTTp/s對目前的錢者作認證，以存 取位於-特疋_之麵合麵，並不會因為在此網域引 進聯合環境的支援，而有所影響。認證有―部份係由一接 ，點舰β作處理’接觸關服器並可接著啟動—個別的 L任代理構件。使用—接觸點値器，可對目前網域之架 構的衫·#/朗最低。舉例而言，接_舰器可設定為將 4IBM/05I45TW ； AUS9-20〇4-〇365TWl(jHW)

1378695 所有非聯合請求，傳遞給位於此網域中的後端或傳統應用 程式及系統作處理。 接觸點伺服器可選擇啟動一 HTTP為主的認證方法 (如基本認證）、以表格為主的認證、或其他的認證方法。 藉由認知一已向使用者表明為認證證明的一聲明(例如一 SAML認證聲明）’其中此聲明已跨越各企業信任網域之 # 間，接觸點伺服器亦可支援一聯合信任網域。接觸點伺服 器可啟動信任代理器，信任代理器可接著啟動其安全符記 服務’以破認認證憑證/安全符記。 網站服務或其他應用程式之認證，係包含與使用者之 認證相同之程序。網站服務的請求攜帶一安全符記，此安 全符記包含一認證聲明，且此安全符記可由信任代理器/ 安全符記服務，以呈現給一使用者之符記相同之方法作確 鲁認。網站服務的請求應該永遠攜帶此符記，因為網站服務 會發現请求服務需要認證聲明/安全符記，如所發 佈。 參考圖4，-方塊®描述―聯合環境，其環境支援聯 合單-登人作業。透過-客戶端裝置及一適當的客戶端應 用程式(例如一瀏覽器）’使用者4⑻想存取企業/網域41〇 所提供之一網站服務’此企業/網域41〇係支援在一聯合環 境中作為一聯合網域之資料處理系統。網域41〇支援接觸 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 56 1378695 點伺服器412及信任代理器414 ;類似地，網域42〇支援 接觸點伺服态422及信任代理器424，而網域43〇支援接 觸點飼服器432及信任代理器434。信任代理器依賴信任 仲介器450的協助，已如上述。額外的網域及信任代理器 亦可參與聯合環境。圖4描述網域41〇及網域420間的一 聯合單一登入作業；一類似作業可能產生於網域41〇及網 域430之間。 使用者完成網域410的認證作業；此認證作業係由接 觸點伺服器412處理。當使用者請求存取需要一認證識別 言正的資源時(例如為了存取控制、或為了個人化因素），會 啟動認證作業。接觸點伺服器412可啟動一傳統認證服 務、或者接觸點伺服器412可啟動信任代理器414，以確 δ忍使用者所呈現的認證憑據。在使用者的認證對話期間， 網域410成為使用者的識別証提供者或主網域。 此後，使用者在一聯合夥伴端(例如亦支援一聯合網域 之企業420)初始化一交易，藉此啟動一聯合單一登入作 業。舉例而言，一使用者可在網域420初始化一新交易、 或者使用者的原始交易可串列至位於另一網站的一或多 個額外交易。舉另一例而言，使用者可藉由例如選擇網域 410所代管之一網頁上的特殊鏈結、或者藉由請求網域41〇 所代管之一入口網頁，但其入口網頁顯示網域420所代管 之資源，透過接觸點伺服器412，向網域420之一資源啟 57 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) ⑧ 1378695 動-聯合單-登人作業。接觸點祠服器—傳送一請求至 信任代理H 414 ’以為制者產生—聯合單—登入符記， 此符記係格式化為網域420所知道或信任之符記。信任代 理器414回覆此符記至接觸點伺㈣412，接觸點伺服器 412傳送此符記至網域中的接觸點伺服器422。網域41〇 在網域420作為使用者的發佈方，而網域42〇作為依附 方。使用者的符記會與使用者的請求一同被傳送至網域 420 ;此符記可使用HTTP改寄，透過使用者的瀏覽器作 傳送、或者此符記可藉由以信任代理器414所提供之符記 中所辨識之使用者之名義，直接啟動接觸點伺服器422的 請求(透過HTTP或SOAP-over-HTTP)作傳送。 接觸點伺服器422 —同接收此請求及聯合單一登入符 記，並啟動信任代理器424。信任代理器424接收聯合單 一登入符記、確認此符記、並且假設此符記係有效並被信 任，而產生一本區有效的符記給使用者。信任代理器424 回覆本區有效的符記給接觸點伺服器422，接觸點伺服器 422進而為使用者在網域420内建立一對話。若有需要， 接觸點伺服器422可在另一聯合夥伴端，初始化一聯合單 一登入。 位在網域420的符記確認，係由信任代理器424作處 理，並可能具有一安全符記服務的協助。根據網域41〇所 呈現的符記類型’安全符記服務可能需要存取網域42〇的 58 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 1378695 使用者註冊資料。舉例而言，網域420可提供包含使用者 的名稱及密碼的二元安全符記，與網域420的使用者註冊 資料作確認。因此，在此範例中，一企業係從一聯合夥伴 確認其安全符記。網域410及420間的信任關係確保網域 420可了解並確認網域410以使用者之名所呈現的安全符 記0 聯合單一登入不僅需要確認以一使用者之名呈現給 一依附網域之安全符記，並且需要根據安全符記中所包含 之資訊，決定依附網域端的本區有效使用者識別符。—直 接信任關係及建立此關係所需的商務協定之結果，係至少 一方，無論係發佈網域、或依附網域、或兩者，將會知道 如何將發佈網域所提供之資訊，解譯為在依附網域為有效 的識別符。在上述的簡短範例中’係假設發佈網域(即網域 410)可提供依附網域(即網域420)在網域420中為有效的使 用者識別符。在此情況中，依附網域不需要啟動任何識別 証映射功能。網域420端的信任代理器424會為使用者產 生一安全符記，此安全符記會「擔保」此使用者。所接受 的符記類型、符記所需的簽署、及其他需求皆係預先建立 為聯合的商務協定之一部份。管理識別符解譯的規則及演 算法亦會先前被建立，以成為此聯合的商務協定之一部 分。在兩參與者間係一直接信任關係的情況下，會為此兩 方建立識別符解譯演算法，且可能不與聯合中的其他方相 關0 4IBM/05145TW ； AUS9-2004-0365TWI(JHW) 59 然而’發佈網域並不會總是知道如何將使用者從網域 410之-本區識別符映射至網域之一本區識別符。在 某些情況下’可能是__會知道如何作此映射，在另 情況下’兩方可能皆不知道如何作此解譯在此情況 下，可能需要啟動-第三方信任仲介器。換句話說，在一 仲介型信任_的情況下，發佈及依_域並沒有一相互 直接信任關係。然而，他們與一信任仲介器(如信任仲介器 450)具有一直接彳5任關係。識別符映射規則及演算法將會 建立為此關係之一部份，且此信任仲介器會使用此資訊， 協助一仲介型信任關係所需之識別符解譯。 網域420在接觸點伺服器422接收網域41〇所發佈之 符記，接觸點伺服器422啟動信任代理器424，以確認此 符δ己並運作識別註映射。在此情況下，由於信任代理器424 無法將使用者從網域410之一本區識別符映射至網域“ο 之一本區識別符，信任代理器424會啟動信任仲介器450, 確認此符記並運作識別証映射。在為使用者取得本區識別 符後，信任代理器424可能會透過其安全符記服務，產生 網域420之後端應用程式所需的任何本區符記，例如可能 會需要一 Kerberos符記’促使接觸點伺服器到應程式伺服 器的單一登入。在取得一本區有效符記後，若有需要，接 觸點伺服器可為使用者建立一本區對話。接觸點伺服器亦 會處理使用者請求之初值認證，並轉呈此認證過的請求給 網域420中適當的應用程式伺服器。 41BM/05145TW ； AUS9-2004-0365TWl(JHW) 60 s登出或簽出時，-使用者的對話會結束。當一使用 者在^主網域登出-對話時，則其主網域會通 附網域_其㈣過-安全符記之财简且在這此 網，啟動-使用者登出。料些依_域的任何之一者: 2著作為_使用者之-發佈網域時，則這些網域亦會將 =此，者的登*請求’以串聯的方式通知所有的依附 =。網域之信任代會負責通知所有依附網域有 關使用者的登出請求’且信任代理器可啟動信任仲介器作 為此^£序的—部份。 聯合使用者生命週期管理 上述圖2A-4的一部份描述，係在解釋一聯合環境中 =使用之構件的組織，而其他部分解釋支援跨聯合環境的 單一登入作業之程序。一聯合環境内的服務供應商或依附 網域，並不一定需要管理一使用者的認證憑據，且這些依 附網域可利用使用者的識別証提供者或主網域所提供之 單一的單一登入符記。上述圖2A-4並未描述清楚的程 序’解釋如何在聯合夥伴之聯合網域達成此聯合使用者生 命週期管理的優勢。 聯合使用者生命週期管理功能/服務，係包含支援或管 理有關位於多個聯合網域之一既定使用者的特定使用者 帳號、或使用者概要之聯合作業之功能；在某些情況下， 這些功能或作業，係限制於使用者之一既定聯合對話。換 4IBM/05145TW ; AUS9-2004-0365TWl(JHW) 。話》兒耳葬合使用者生命週期管理功能係指允許跨複數個 &合，伴之聯合作業的管理，其可能僅在—聯合運算環境 内一單一使用者對話之生命週期期間。 每一聯合網域可針對每一個別聯合網域管理某類型 的使用者職、使用者概要、或烟者對話。舉例而言， 一特疋聯合網域可能不管理位於特定聯合網域内的本區 使用者帳號或使用者概要，但此聯合網域可在此聯合網域 成功完成-單-登人作業後，管理—聯合交㈣本區使用 者，話。作為其特定聯合網域所支援的聯合使用者生命週 期管理功能之一部份而言，聯合網域可參與一單一登入作 業，允許此聯合網域在聯合交易完成後，結束本區使用者 對話，藉此改善安全性，並增加資源的有效使用。 在使用聯合使用者生命週期管理功能的另一範例 中，一使用者可涉及一線上交易，需要參與多個聯合網 域。一聯合網域可能在本區管理一使用者概要，在涉及此 聯合網域的每一使用者聯合對話期間，修改使用者的聯合 網域經驗。作為其特定聯合網域所支援的聯合使用者生命 週期管理功能之一部份而言，在一既定聯合交易期間，聯 合網域的本區使用者概要中的資訊，可與參與其既定聯合 交易的其他聯合網域中的其他概要一同使用。舉例而言， 使用者的多重本區使用者概要的資訊，可結合為某類型的 聚集作業，使得使用者資訊可以視覺化地呈現給使用者(例 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 62 如在-網頁巾），而錢者不會知道使用者:#訊的來源有所 尤 151。 聯合使用者生命週期管理功能亦可包含帳號鍵結/取 消鏈結的雜。在聯合夥伴間，—姻者具有—通用特殊 使用者識稱’贱單-登人，且(若有需要)棘有關一 使用者的屬性’作為在_聯合夥伴端達成—請求的一部 你。再者，聯合夥伴可使用此通用特殊使用者識別符，向 一識別証提供者請求額外的屬性，以匿名的方式提及使用 者。 在指出上述許多可以不同使用聯合使用者生命週期 管理功能而達成之作業的範例後，下述圖式顯示本發明提 供並支援聯合使用者生命週期管理功能的優勢。 參考圖5，一方塊圖描述本發明一實施例，在一聯合 網域内，完成聯合使用者生命週期管理功能之構件。圖5 描述單一聯合網域(例如圖2C所顯示之企業250所運作的 聯合網域)的各要件。圖5中的某些要件，係與上述其他圖 式(如圖2B)所描述的要件相同或類似：接觸點伺服器/服務 502係等於接觸點伺服器242 ;應用程式伺服器5〇4(即資 源控制服務)係等於應用程式伺服器234 ;受保護或控制的 資源506係等於保護資源23 5 ;及聯合使用者生命週期管 理(FULM)應用程式508係等於聯合使用者生命週期管理 4IBM/05I45TW ； AUS9-2004-0365TWI(JHW) 63 伺服器246。雖然圖2B未顯示防火牆，但在圖5中有顯 示防火騙。防火牆51〇及防火牆5丨2建立—外部DMZ(電 子非軍事區）’保護企業的運算環境，不受企業網域外(如 透過網際網路)的運算威脅而受侵害。 、圖5與圖2B顯示本發明的不同層面，但不代表其不 相谷或係作為相反解釋。與圖5顯示的範例相對應，圖2 並未描述防火牆，但接觸點伺服器242仍常駐於聯合前端 24〇内，再者，聯合使用者生命週期管理伺服器246係位 於聯合麵240内。在圖5中，接觸點伺服器5〇2係顯示 為位於防火牆510及512間的DMZ，此DMZ成為企業網 域的電子或實體刖端；再者，聯合使用者生命週期管理應 用程式/伺服器508 ’係電子性地常駐於防火牆512後。不 同的層面可藉由將圖2B中的聯合前端240及後端230， 視為構件的一邏輯組織，而將圖5中的DMZ及其他構件 視為一實體或電子前端及一實體或電子後端(任何之一者 皆可包含聯合構件)作協調。 重述一接觸點個體/服務之角色，接觸點個體至少針對 具有聯合功能的一使用者之互動及一企業的運算環境，提 供對話管理；位於企業運算環境一傳統後端的應用程式， 亦可實施其本身的對話管理功能。假設一企業實施聯合運 算環境的政策功能，接觸點個體會作為某些其他聯合夥伴 的政策決定點的一政策(policy)執行點。再者，假設在聯合 4IBM/05I45TW ； AUS9-2004-0365TWl(JHW) 64 功能的實施可允許的情況下，沒有實施單一登入作業時， 接觸點個體係負責對一使用者初始化一改向認證作業。藉 此，接觸點個體可以許多不同型態實施，例如作為一反向 代理伺服H、—_概器外掛程式、或其他縣。接觸 點功能亦可在-應用程式祠服器本身中實施，其中聯合使 用者生命週期管理服務可位於DMZ内。 參考圖5，更重要的是，聯合使用者生命週期管理應 用程式508亦包含對聯合使用者生命週期管理外 514(未顯示關2B)作介面、互動、或合作的支援。在本 發明中，聯合協定執行期外掛程式提供許多類型的獨立發 佈、或開發聯合使用者生命週期管理規則或概要之功能: 例如：ws-聯合被動客戶端；自由聯合IDFF單一登入 (B/A、B/P、及LECP);註冊資料名稱識別符；聯合結束 通知；及單一登出。 在本發明一實施例的範例中，不同組合的聯合協定可 存取不同URI，s。此方式允許聯合使用者生命管理週期管 理應用程式’同時在—單—麵程式内，支援多個聯合使 用者生命管理週期規則或規格(例如ws•聯合網站服務規 格對自由聯合規格)，藉此將支援不同聯合協定對整體環境 的設定之影響減到最低。 更具體而言，適當的聯合使用者生命週期管理功能係 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 65 由接觸點伺服器，適當地透過改寄及/或轉呈使用者請求至 聯合使用者生命週期管理應用程式。參考圖5，接觸點伺 服器502接收使用者請求520，接著分析此些請求，決定 所接收之請求的類型，此類型可能會以所接收之請求訊息 的類型表示，或者如上述，藉由請求訊息内之目的 =決定。在保護資源的請求522持續轉呈至應用程式伺服 器504的同時，聯合使用者生命週期管理功能的請求 524(例如啟動一單一登出作業的請求)，會轉呈至聯合使用 者生命週期管理應用程式508，在需要的時候，其應用程 式508啟動適當的聯合使用者生命週期管理外掛程式，以 達成所接收的請求。當定義一新的聯合協定或一新的聯合 功能時，或當一現有的協定或功能被改變或修改時，可藉 由外掛一支援模組增加支援，或藉由修改一先前安裝的外 掛程式作修改。 圖5中聯合使用者生命週期管理應用程式之範例實 作’顯示聯合使用者生命週期管理應用程式可支援多重、 同時、聯合使用者生命週期管理功能，並提供—可外插式 特徵，藉此當有需要時，可允許新功能，以一外掛程式的 型態’加入聯合使用者生命週期管理應用程式，而不需要 對現有架構作改變。舉例而言，假設本發明使用JavaTM的 聯合使用者生命週期管理應用程式實施，一新的聯合協定 (例如一新公佈的單一登入協定)的支援，可藉由將新開發 的Java™類別設定增加到聯合使用者生命週期管理應用程 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 66 1378695 式的Java™ CLASSPATH，其中這些新類別支援新規格以 及本發明之協定介面。 本發明利用欲整合聯合使用者生命管理週期解決方 案的現有環境。由於新協定/規格的演化，係就整體架構作 最小的改變，聯合使用者生命週期管理應用程式可作簡單 的修改，即可支援新協定/規格。支援新聯合使用者生^週 • 期管理功能的任何改變，幾乎獨立地位在聯合使用者生命 週期管理應用程式内，需要設定聯合使用者生命週期管理 應用程式，以了解所增加的功能。 其他的聯合構件(例如接觸點伺服器)可能會有極小的 設定改變，允膽齡觀__合使料生命週期管 理功此，並繼續支援現有的聯合使用者生命週期管理功 能。然而，聯合使用者生命週期管理應用程式，係獨立於 φ 他的聯合構件之功能之外，聯合使用者生命週期管理鹿 用程式可能僅需要與聯合環境的其他聯合構件作最少的 互動。舉例而言，在-範例實施例中，若欲將聯合使用者 生命週期管理資訊（例如自由聯合概要中的 Nameldentifier值)儲存在聯合使用者生命週期管 的外部，而非外部個體所看不到的私有、内部聯合二t ^〒週期f理資料處，卿合使用者生命週期管理功能可 月匕與企業為主的資料處(例如一 LDAp資料處)互動。 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 67 1378695 改，’當實施本發料’—現有魏f要以最少的修 ㈣聯合制者生命職管理功能。再者，修改聯合 wii命週齡理魏，包含增加新魏，對目前聯合 二兄二有最小的影響。因此，當發佈—新的單—登入規格 時，可輕_增加佩規格的支援。

=統伽者認贿涉及财轉崎算環境及其使 a的互動；企業選擇實施此認證互換的方法，係由企 ΐΓΐΐ定’對任何其他企_無影響。然而，當欲支援 二口或跨網域之單-登人魏時，則需要企業夥伴彼此互 t使用專制定無法達成此需求。軸直接增加以此規 為主㈣合齡之支援到點鋪，似乎係-穩定 的解決方案，但必須修改已是此企業之運算環境内的一現 有構件的接觸點個體；再者，每當這些公共聯合協定改變 時’就需要作修改。

本發明藉由將此功能移出接觸點個體，提供一種較模 組化的方法。然而，接觸點個體亦需要處理許多這些公共 協定的改變，且允許這些可插式功能，使維護這些5定的 移轉或更新更為容易。 聯合使用者生命週期管理之功能性支援 s知技藝、規格為主的單一登入解決方案(例如ws_ 聯合標準、或自由聯合ID_FF概要），係提供某種程度的聯 4IBM/05145TW ； AUS9-2〇〇4-〇365TWl(JHW) 68 1378695 合使用者生命週管理的模型。這些標準係公共的，且可由 獨立廠商及商家實施。然而，這些習知技藝標準並未提及 應修改一現有環境，以包含這些標準所定義的功能的方 法；這隱含這些習知技藝標準，為了包含所指明的功能， 需要對現有運算環境之架構所作的改變，可能會阻礙這些 標準的適用。舉例而言，所有習知專屬單一登入解決方案 皆以此方法實施。 相反地，本發明之目的，係提供整合功能，以實施聯 合標準，但對現有環境之架構作最少修改的方法及系統， 已如刖述。此目的亦可用於整合功能，以支援聯合使用者 生，週期管理。圖2Β及圖5顯示針對聯合使用者生命週 期管理功能，實縣發明之—實賴所使狀構件的邏輯 組織的範例，而圖6描述本發明一實施例致能聯合使用者 生命週期管理功能的程序。 更重要的是，圖6顯示允許聯合使用者生命週期管理 功月&以獨立方式實施的程序，其中接觸點功能健施於一 聯合網域内。-接細魏個體賴為 運作對話管理_。_理包含_形:二 建立-對話，林是-先前成功直接認證健、一目前成 功直接認證作業、及/或—成功單—登人作業；對管理亦包 含對話中的其他健，其可包含私要雛蚊，且亦可 包含對話結束(例如對話軸、册、靜止暫停等等）。一 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 69 ^觸點健11可持續提供認證健的支援，在認證作業 :，接觸關服ϋ可處理與㈣者的—直接織/回應互 。接觸點靖亦可作為—政㈣施點，藉此致能認證服 務作為對話管理的一部份。 由於這些作ϋ涉及與第三者(例如識別註提供者)的互 且不只歧財，因此聯合_者生命棚管理功能 提供，-登人服務(以及其他聯合健）；聯合使用者生命 週期管理魏_似接觸點魏俩話管觀務。聯合使 用t生命獅"魏需要或依賴由其他構件所提供之 叫言任服務’如下詳述；錄服射麵上分離的方 法實作’包含分散式構件或—邏輯上分離構件，與聯合使 用者生命職管理構件—时駐，或者，條服務可與聯 合使用者生命管理—同實施，作為—單—顧程式的 一部份(例如一 EAR槽）。 、雖然上述圖式描述一專屬接觸點飼服器，在一聯合網 域内作^援，但是圖6所描述的程序並不需要一專屬接觸 點祠服器。在圖6賴示之本發明實施财，接觸點功能 可使用提供接觸點功能之任何應用程式或任何個體實 ，，接觸點應聰式可為—反向代_服器、—網站舰 器、網站伺服H外掛程式、—小服_勒、或其他類 S ^伺服0或應用程式。為了將有關下述實施隨後實施例 的範例私序的接觸點功能，與上述之接觸點伺服器作區 41BM/05145TW ； AUS9-2004-0365TWl(JHW) 70 1378695 分，以下敘述的接觸點功&，係指一接觸點個冑或一接觸 點服務。 需要知道的是，雖然圖6描述一聯合運算環境中的單 一登入作業，但是本發明其他實施例中，其他類型的聯合 作業亦可以類似的程序實施(例如單一登出作業）。 • 參考圖6 ’ 一資料流圖式描述本發明之-實施例，使 用聯合使用者生命週期管理功能，運作—單—登入作業之 程序。圖6顯示資料流的虛擬FUML目式，以及一識別言正 提供者及-服務供應商間的絲，其絲域本發明之聯 ，功能，其係針對本發_提供之聯合細者生命週期 管理功能而言…般來說，圖6所顯示之程序，係開始於 一服務供應商的接觸點個體接收一受保護的資源之請 求，此受保護之資源係其服務供應商之一聯合運算環境^ 所支棱之資源。位在服務供應商接觸點個體，並不啟動其 本身的認證方法，而係改寄此請求、轉呈此請求或啟動 功能，以傳送此最初請求給一識別註提供者之聯合運算環 境所支援的聯合朗者生命獅管理制程心如下詳 述’聯合使时生命職管理_程式可決定適當的方 法’作使用者認證，及回覆接觸點個體有關其為服務供應 商之使用者初始-對話，以及處_用者在服務供應商端 剩下的交易所需要的資訊’就如同使用者直接完成與服務 供應商之認證作業一般。 41BM/05J45TW ； AUS9-2004-0365TWI(JHW)

71 圖6的程序開始於服務供應商之接觸點個體，接收來 自-未認證之制者對—受㈣之#_—原始請求(步 驟602);雖然所接收的請求僅係用以支援一更複雜之交易 的fF游料之…但原始請求可視為為使用者初始化 一交易。在一實施例中，服務供應商可藉由偵測到此請 求，係來自服務供應商沒有一有效對話的記錄之使用者或 終端應用程式，而決定原始請求絲自—未認證的使用 者。 接觸點個體接著產生一請求，改寄、轉呈、或啟動功 能，以傳送原始請求至位在服^务供應商的聯合使用者生命 週期管理應用程式(步驟604);接觸點個體可使用任何手 •k，啟動聯合使用者生命週期管理功能，其功能允許聯合 使用者生命週期管理功能，建立需要傳送給識別証提供者 的回應訊息，換句話說，接觸點個體不需要包含處理/回應 這些複雜的單一登入訊息之功能。在圖6所顯示的範例 中’透過來源應用程式(例如使用者所運作的一劇覽器鹿用 程式)’原始請求隨後被改寄到服務供應商的聯合使用者生 命週期管理應用程式（步驟606)。 在接收此請求之後，位於服務供應商端的聯合使用者 生命週期管理應用程式，接著藉由與使用者應用程式通 訊’為使用者決定適當的識別証提供者(步驟608)。此步 驟並非必要；由於識別証提供者係位在一特定聯合運算環 72 41BM/05145TW ； AUS9-2004-0365TWl(JHW) 1378695 境中的服務供應商之一聯合夥伴，因此服務供應商可能已 设疋有其位置之資訊'或位於識別証提供者之接觸點個體 之聯絡資訊(即URL);或者’在決定使用者的交易所欲使 用之特定識別証提供者的身份後，服務供應商可運作一搜 尋作業，取得其位置、或位於識別証提供者之接觸點個體 之聯絡資訊。在某些情況，服務供應商可能知道欲使用之 識別証提供者之識別証，因為服務供應商僅知道單一識別 証提供者，因此無須涉及任何選擇。在其他情況，服務供 應商可根據一些持續、使用者端維護之資訊(例如持續 HTTP電子憑證），知道識別証提供者的識別証。在另一實 施例中，服務供應商可能需要與步驟6〇8的使用者互動， 使此使用者提供有關使用者欲使用在現今聯合交易的識 另J»正心供者之識別I正的資訊給服務供應商。一旦服務供應 商具有識別証提供者的識別註，則服務供應商可自適當的 貝料處’轉其酬祕者之單―登人作業(或根據聯合 作業或現在完成之交易類型的其他聯合功能）的適當 URI。本發明亦可以其他方法運作步驟6〇8 :自由聯合標 準描述的互動，係使用者直接面對改寄到可取得一電子憑 證的其他網站(此方法係因為DNS電子憑證對作業的& 制）’接著回覆聯合使用者生命週期管理功能，而不引導使 用者互動(例如使用者無須在HTML的格式中提供資訊）。 接著，位在服務供應商的聯合使用者生命週期管理廣 用程式’替位在識卿提供者端的—聯合伽者生命週期 4IBM/05145TW ； AUS9-2004-0365TW!(JHW) 73 =理功能或作業，產生並傳送—請求(步驟⑽，例如取 得-適切訊’以成功地完成__單—登人作業之請求。此 請求可嵌於-安全符記或鱗—安全符記，岐全符記係 表示識職提供者可信任來自服務供顧的通訊；較佳 =，请求m攸署及域可提供服務供應商及識別談 提供者間的信任，且-安全符記可由伴隨此請求之一數位 認證代表。由於聯合使用者生命週期管理作業，可根據終 编使用者應用程式提供之服務所作的請求類型，以許多方 法運作，因此，聯合使用者生命週期管理作業的請求，可 伴隨有關終端使用者應用程式的來源請求之資訊。 聯合使用者生命週期管理功能或作業的請求，係使用 先前認定識別証提供者之接觸點個體的聯絡資訊，透過終 端使用者應用程式，接收並改寄給識別証提供者之接觸點 個體(步驟612)。本發明可以許多方式達成步驟612 ;舉例 而言，自由聯合標準允許改寄的類型為裝置專有，且本發 明之聯合使用者生命週期管理功能，可根據行動裝置對網 際網路的方式’咖-HTTP PC)ST訊息，在為反應狀態 值為「302」之一 HTTP回應之HTTP改寄與為反應狀態 值為「200」（〇Κ)之一 HTTP回應之HTTP改寄之間作互 換。 在位於識別証提供者之接觸點個體，接收對聯合使用 者生命週期管理功能或作業之請求後，位於識別証提供者 4IBM/05145TW ； AUS9-2004-0365TWI(JHW) 74 之涵點個體，可針對終端使用者或終端使用者的應用程 式’作-非必要的認證作業(步驟614)。若識別言正提供者 沒有此使用者的有效對話，則永遠會需要一認證作業；沒 有有效對树，識顺提供者無法決㈣是單—登入的使 用者。即使使用者有-有效對話’仍可能需要認證，以媒 保使用者仍在運作中’或證明一較高階的憑據。需要知道 的是’服務供應商可指明一新認證作業不應由識別註提供 者運作，使得若使用者沒有有效的對話，則單-登入作業 必疋失效。認證作業的麵可加以變化，使其可自動運 作、或可要求制麵一生_定或其健型的認證裝 置、或者其他資訊來源作輸入。舉例而言，若需要一新認 證作業W如㈣-聽安全性，以麵終端賴者為受控 制之= 貝源所允許的請求者，如同原始請求内所辨識者），則 可能需要認證作業。在不同的情況下，可能會需要一認證 作業，但位於識別証提供者的接觸點個體，可能有表示其 識別证提供者已具有有效對話給此終端使用者之資訊，藉 此在步驟614取消完成一隨後認證作業的需要。 接著，位於識別証提供者之接觸點個體，將其所接收 來自服務供應商端之聯合使用者生命週期管理應用程 式，對聯合使用者生命週期管理功能或作業之請求，傳送 給識顺提供者端_合制者生命週姆理應用程式 (步驟616)。在分析此請求後’識別站提供者端的聯合使 用者生命週期管理應用程式產生一回應(步驟618)，其回 4IBM/05I45TW ； AUS9-2004-0365TWI(JHW) 應包含或伴隨服務供應商之聯合使用者生命週期管理應 用程式所找尋之終端使用者專屬資訊。舉例而言，識別証 提供者可支援包含機密識別註資訊或有關終端使用者的 其他屬性資料之資料庫，其資訊並非儲存於聯合運算環境 中的其他地方。如上述，由於聯合使用者生命週期管理作 業’可根據終端使用者應用程式向服務供應商所作的請求 類型，以許多方式運作，因此針對聯合使用者生命週期管 理作業所接收到的請求，可能已附在有關終端使用者應用 程式的屌始請求之資訊中。類似地，識別証提供者端的聯 合使用者生命週期管理應用程式的回應，可針對原始辨 識、控制之資源作些許修改。 接著，識別註提供者端的聯合使用者生命週期管理應 用程式，使用例如一 HTTP POST/改寄訊息，傳送回應至 終端使用者應用程式(步驟620)，再接著改寄此訊息至服 務供應商端的聯合使用者生命週期管理應用程式(步驟 622)需要知道的是，識別註提供者可輕易地回覆一指標、 或間接參考資料項目的雜麵，其減會指向服務供應 商在等待的資訊；在此情況下，服務供應商一定要使用所 接收之指標(亦稱為助診檔(姐江肛切擷取資訊，例如藉由向 識別註提供者運作一後端頻道請求，以娜服務供應商欲 使用之使用者特定資訊。 假》又所接收之訊息不包含錯誤碼、或者表示識別註提 4IBM/05145TW ; AUS9-2〇〇4-〇365TWi(JHW) ^者端之聯合者生命職應餘式，無法成功完 成所請求之聯合制者生命管理職姚業，則服務 供應商端的聯合使用者生命週鮮理顧程式，從所接收 的回應憎取其所需之資訊，並為服務供應商端之接觸點 ，體建立—_步驟624)。接著，服務供應商端之聯合 使用者生命週期管理應用程式，以某種形式，將所產生的 回應傳送/回覆給服務供應商端的接觸點個體(步驟626)。 聯合使用者生命週期管理應用程式可實作為一 JavaTM ί用程式(例如—職檔），絲於-防火牆後 。回覆給接觸點倾_應之概，係其可設定為聯合 使用者生命職㈣朝財之絲及設定的_部份；因 1聯合使时生命週姆理應用程式無彡I依賴接觸點個 j型·€。換句話說，聯合制者生命職管理應用程式 賴接觸點健本S，而僅需依難觸點個體辨識並 2貝訊’即父祕控制的回覆，以及當回覆交易性控制 二所f之資朗容。此綠藉蚊許任何聯讀用者生 二:官理功能(例如單—登人作f、單—登出作業、帳號 、、。取肩帳號鏈結等等），從接觸點個體所提供的對話管 以將對聯合料之運算環境的現有架構之衝 商端 ^BM/〇5,45TW : AUS9.2004-0365TW.gHW) 77 1378695 服務供應商端的接觸點個體，繼續處理來自終端使用者應 用程式之原始請求(步驟628) ’在此範例中，包含建立一 使用者對話、運作非必要存取或認證控制作業，接著傳送 或轉呈存取一受控制之資源的請求給管理或提供其受控 制之資源之存取的後端應用程式伺服器，藉此完成此程 序。 • 概述圖6中所顯示之範例’當服務供器端的接觸點個 體接收縣請求時，終端使用者尚未與服務供應商作認 證。服務供應商延遲到—識麻提供者完成—聯合單一登 入作業’而不在服務供應商的控制下，直接運作一認證作 業°服務供應商端魄觸點舰，料待聯合單-登入作 業已透過服務供應商端的聯合使用者生命週期管理廣用 ，成功完成的一表示/訊息，其應用二;合3 ^兄内轉伴。在服務供應商端的接觸點個體接收聯合單 _ 且入作業已成功完成的表示/訊息後，接著會再進一步處 理原始請求。 月姻現有環境’在其+將聯合使用者生命週期 二、方案作整合。聯合個者生命聊管理應用程式 么美’係可根據現有環境，以：2職#應用程式實施。 生命請求’接觸點個體啟動聯合使用者 田^ 應恥式。此請求可簡單地為—未認證之使 文保護之貧源的請求，或者可為聯合使用者生命 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 78 1378695 週期管理功能的明確請求，如圖5所述。聯合使用者生命 週期管理應用程式，無須與運算環境中其他的構件互動， 在此方面係屬於獨立的應用程式；一旦所需的協定已成功 元成，控制權會回到最初接收到使用者請求之接觸點個 體。因此，一現有環境僅需最少的改變，來支援此聯合使 用者生命週期官理功能。舉例而言，若欲啟動之聯合使用 者生命週婦理魏係—單—登人請求，航請求可回應 一未認證使用者對-受保護之龍的請求，啟動聯合使^ 者生命週期管理單—登人功能，而非正常認證程序^根據 本發明，此請求係-簡㈣設歧變，允許使用者被改寄 ，聯合制者生命職管理喊，而非傳統登入程 序。 聯合使用者生命週期管理之信任架 並聯合使用者生命週期管理的習知技術，

移除舊夥伴，而不上 何ϋ聯合使用者生命職管轉財案所致能的鬆 ^接t徵’係關於聯合夥伴間的聯繫，以及-終端使用 任_=、、1徵通常不適用於聯合夥伴或兩方間的信 任關係目此，需要有些犧牲；鬆散連 信任關係’維_合夥伴或企1 成。這些嶋，㈣ 4IBM/05145TW ; AUS9-2004-0365Twi(JHw) 79 1378695 用者可使_功能，並較義肋信任及輩固 内之通訊的運算機制。 本發明認知兩夥伴/兩方間的信任關係之緊密連 ί 相關或安全性相關資訊作表示。更具二 任服務，其服務包含定義—信任關係 之s理㈣金錄、*全符記、及識顺轉變之功能。

此聯合環境 需要知道的是，本發明所使用的密碼信任類型，與具

Lm專輸層之信任有所區別；當在協定/應用程 式層執抑任時’需要將—認證所主_識卿，與一商 法律協定所達成之識觀作-額外的「連結」。由於^ 前的SSU傳制信任_沒有足夠_外連結，JL連处係

此類型的魏所要求的連結，因此，不能僅現有°的 SSL/傳輸層關係。 $ J

=下為選擇麵、符記、及識靡轉變之結合，作代 表了信任關係之原因。在_既定信任關係中，—組密碼金 錄係用以簽署及加密夥伴間的訊息。欲用於夥伴間交易中 之金= 知識，係建立於任何交易之前，藉此允許一夥伴簽 ，/加密訊息，而另一夥伴確認/解密訊息。再者，可能有 簽署/加密的-訊息，其中的許多要件之—，侧以聲明終 端使用者之識別註或角色的安全符記。此安全符記的結構 亦係在夥制的交易前建立，以確保兩方皆了解其安全符 4IBM/05I45TW ； AUS9-20〇4-0365TWl(jHW) 80 1378695 。己之内I ’此確保可為在—第三方信任仲介器端之啟動協 助的結果，其信任仲介器係可作為夥伴間的媒介。再者， 在安全符記内係-主張的識觀、—組角色、及/或一 性’可從-識別註提供者所聲明的簡格式，轉變成一服 務供應商峨⑽熱格式；轉變餘據—識別註轉變 而達成，其轉變係由先前已在安全符記中作主張的同意屬 性定義之。 因此’本發明支援以-安全相關資訊之元組，特別係 -組包含{密石馬金鑰、安全符記、識別証轉變}之資訊項 目’代表1¾夥制之餘祕的緊密連轉徵；換句話 說’在本發明中，此元組代表—信任關係，本發明係關於 一種系統及方法，提供聯合使用者生命週期管理功能解決 方案所需之個別信任關係(及其信任關係之管理)及其功 ，。更具體而言’定義-信任關係，其關係包含一元組的 密碼金鑰、安全符記、識別証轉變，接著以獨立於聯合夥 伴可使用之功能的定義的方法，連結一既定元組與一組至 少兩聯合夥伴，進而提供一種可擴張的聯合管理，如下詳 述。 參考圖7，一方塊圖描述將聯合使用者生命週期管理 與信任關係管理分離的聯合構件之組合。聯合使用者生命 週期管理應用程式702，係類似圖5所顯示之聯合使用者 生命週期管理應用程式508。聯合使用者生命週期管理應 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 81 用程式702支援單一登入、單一登出 '帳號鏈結/取消鏈 結、及/或可實施的其他額外聯合功能(例如識別証提供者 的決定)。所有這些功能皆係以某形式利用夥伴間的信任關 係。舉例而言，當聯合使用者生命週期管理應用程式7〇2 需要一安全符記’指明一聯合環境内的終端使用者/應用程 式時，此資訊會從信任服務704透過信任服務啟動/訊息 706要求；聯合使用者生命週期管理應用程式及信任服務 間的許多類型之介面亦可實施於本發明。再者，信任服務 可與聯合網域内的其他構件(包含一接觸點伺服器)溝通。 信任關係管理功能708僅係一邏輯邊界，區分參與為一既 定聯合夥伴的信任關係管理之各功能模組。 信任服務704係一信任代理器/服務之一示範實施 例，係與上述之仏任代理器/服務(如圖2B所示之信任代理 器/服務244、或圖2C所示之信任代理器/服務254)相類 似。然而，#任服務704代表本發明一實施例，其中信任 代理器/服務已延伸以包令^一特定方法，管理各信任關係之 功能。本發明之信任關係管理，係包含秘密金鑰管理、安 全付β己官理、及識別s正轉變(identity transformation)管理之 功能。因此，信任服務704係負責產生適當的安全符記， 包含簽署/加密此些需要的符記’並負責以現正發出之一聯 合請求之名，適當地辨識其終端使用者/應用程式。 仏任服務704可被視為係在仲介許多獨立、安全相關 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 1378695 或k任相關服務的存取。這些獨立的服務(包含信任服務) 可實施於-般裝置、或舰H、或在―通程式之 内；或者’每-服_可以-獨立的健器應用程式實 金錄管理服務710管理在一信任關係的環境内，通訊 貝崎需之密碼金錄及/或數位認證。安全符記服務712 係負責管理用來作安全通訊、或用在夥伴間的安全相關通 訊内之獨立符記實體；安全符記外掛程式714提供許多獨 • 立發佈或開發之安全符記規格或標準類型之功能。識別註 服務716(或識別証/屬性服務716)係負責 内的各識獅或屬性，其包含根據接二=;二 供者的符記，定位需要加入一符記的屬性，及定位需要加 入給位在服務提供者之接觸點伺服器之一本區回應的屬 十生。 〜

&將聯合制者生命職管理魏從信_係管理功 ^分開’係表示此兩不醜型的魏之管理亦可被分開。 這表不若有關-信蝴細#訊需要改變，例如基於安全 2由需替換觸金錄，_f的修改將不會影響聯合使用 =生命週齡理魏。再者，相_魏亦可適用在不同 ^生，期管理魏的關。再者， 離’表不當新魏加人—财信任_時例如若將 登^業加人絲僅支援單—登人作f的既定關係，則一 錄關係仍可被維持。最後，信任管理之分離表示一广 4IBM/05I45TW ； AUS9-2004-0365TWl(JHW)

83 ，係尸管理可在其他環境内重複使用，例如在網站服 矛安王官理、或網站服務為主的架構中；因此本發明並 不限制在-剧覽器為主的被動客戶端架構中。 透過進口設定檔建立各聯合關係 人下述圖8A-8D的描述，係用以概述本發明之某些概 J，以提供—f景資料，作解獅合_之概念，以及隨 後解釋本㈣實補先前所描述之本發明舰，使用電子 通訊，促使商務夥伴間之聯合關係的建立。目8A_8D係著 重於本發明所提供之魏的分隔之方塊圖^更具體而言， = 8A-8D描述本發明之各實施例，其中不同組的功能;1係 被分Μ財效地實_合環境，其魏可同時針對 多重聯合規格’並以最小的賴，使現有運算環境與聯合 功能溝通。® 8A_8D係_似的元件，共_參考作描述。 。現在參考® 8A 方塊圖描述—聯合運算環境之邏 輯功能的高階概念。如上述，—企業及其潛在的聯合夥 伴’必定要在參與-聯合運算環境前，先完成-些準備工 作。針對-特定企業網域_而言’本發明之聯合架構之 -優勢，係本發明僅需對-企業及其聯合夥伴之現有運算 環境功能804 ’作最少的架構功能改變8〇2，以與聯合架 構功能806作溝通。這些功能將以圖2B作更詳細的說明。 參考圖8B ’ -方塊圖描述一聯合運算環境之邏輯功 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) ^的两階概念’顯林發縣聯合魏及接繼功能從 L任關係^理功A分離之方法0如上述’在本發明之聯合 架構功能8〇6中，接觸點功能及聯合運作功能之結合_， 會與信任_管理舰⑽分開，藉此允許聯合内的使用 者透過本發明各實施例的聯合功能，經現有應用程式飼 服器814，存取受保護的資源812。針對圖2及圖4所顯 :之聯合架顯件，及® 3Α·3Ε所·之魏程序，上文 :已詳細描述信任_f理功歸摘點魏分離及其 優熱。 然而’需要知道的是，先前圖式中所解釋的聯合功能 (P至圖4為止）’係將接觸點恤器描述為—同運作接觸 =作業及聯合功能及作業’例如透過信任代理器/服務的協 助’處理安全聲瓶安全符記雜序，尤其係針對單一登 入作業(即聯合認證作業），而不需區分聯合夥伴間所建立 的各聯合魏及作業之類型。換句話說，在先前圖式中對 聯合功__ ’並秘分接繼魏及聯合運作功能； 接觸點祠服器係描述為運作各功能的結合，其中接觸點伺 服器-部份的責任，係作為聯合企業網域的接觸點個體， ，另-部份的責任，係運錄何聯合作業及功能並依賴 餘代理器/服務’處理信任/安全作業。然而，本發明在 圖4之後的贿，更進—步地描述本發明各實施例，可區 別接觸點魏及其聯合運作魏之方法，如圖8c所述。 41BM/05145TW ； AUS9-2004-0365TW1(JHW) t運Γ力能的方法。如上述，本發明之聯合架 =ΐ，能810係與本發明之聯合架構所提： =他m離；再者，本發明可在其他魏間作更進 區ΐ，例如接觸點功能816可顯示為與聯合運作功 月b序上文中已詳細描述從聯合運作功 ====6__程式），代表 因此，本發明使用不同功能的分隔及模板。在本發明 之-實施例t，接觸點魏及聯合運作舰之結合，係與 信任關係管理功能相分^在本發明之另—實施例中除 了持續分離信任關係管理功能以外，接觸點功能係自聯合 運作功能分離’其巾_方面即為聯合使用者生命週期管理 功能。更進-步的區別，係在於信_係管理功能及聯合 使用者生命週期管理魏之錄，如圖7所述。根據這些 刀隔，圖8D顯示本發明之又—實施例，進—步地顯示其 區分。 參考圖8D’ -方塊圖描述一聯合運算環境之邏輯功 能的高階概念，顯示本發明提供更進一步將聯合運作功 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 86 1378695 能，分隔為聯合使用者生命週期管理功能及聯合關係管理 功能的方法。如圖8C所述，接觸點功能816可顯示為自 聯合運作功能818分離。再者，如圖5及圖6所示，二接 觸點個體可獨立運作於網域内的聯合作業功能，僅為識別 對聯合作業之進入請求，比對存取受保護之資源的請求， 作最小的設定改變。因此’圖8D藉由顯示接觸點功能82〇 係自聯合架構功能806分離’來反應此功能。 如上述圖8B所示，在本發明之一實施例中，接觸點 功旎及聯合運作功能808之結合，係可自信任關係管理功 能810分離。在圖5及圖6描述過聯合使用者生命週期管 理功能之後’圖7之描述解釋信任關係管理功能可持續， 以分離聯合使用者生命週期管理功能而運作的方法。再 者，圖7之描述顯示，相同功能可以模組型態，提供給不 同的聯合夥伴。 換句話說，信任關係管理功能可以一種方式實施，其 方式使其可與聯合賴魏溝通，但卻侧立於此功能之 外。因此’圖8D藉由顯示信任關係管理功能係分離於聯 合架構功能806，來反應此功能。以下詳細描述此區別的 重要性。 圖8D亦描述本發明之聯合運作功能更進一步的區 別。聯合運作功能(如聯合運作功能818)，包含致能一聯 4IBM/05I45TW ； AUS9 -20〇4-〇365TW1(JHW) 87 二二::合夥伴間之交易或互動的這些作業或功 二二# f能可與聯合架構功能(例如聯合基礎建設功 二;’其包含致能―聯合夥伴實施聯合運作功能 及現有企業功能之作業或功能。 冰上述，聯合使用者生命週期管理功能(如圖5中聯合 =用者生命週期管理應用程式观所代表者，及圖6令的 FULM朗程式)僅俩合運作魏之—部份。如上定義， ^使用者生命週期管理功能，包含支援或管理有關在多 1合網域中，-既定使用者之特定使用者帳號、或使用 2要聯合作業之功能；在某些情況下，功能或作業係限 制在使用者的-既定聯合對話。換句話說，聯合使用者生 命，期管理功能，係指允許聯合作業跨越複數個聯合夥伴 的管理’可能僅在一聯合運算環境内，一單一使用者對話 之生命週期期間。 ° 圖犯反應本發明中的聯合運作功能，可能包含多種 面向。除了聯合使用者生命週期管理功能824，係聯合運 作功能之-部份以外，本發明之—實施例亦可實施聯合關 係功能826，如下詳述；以下詳述聯合夥伴間之一信任關 係，與聯合夥伴間之一聯合關係之不同之處。 參考圖9A-9B，范氏圖描述一聯合關係包含與聯合功 月b之選擇相關聯之一信任關係。一聯合之核心物件，係揭 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 88 露商業夥伴間的聯合程序。然而，一企業之 露必須考慮許多因素；舉例而言，企業僅考肩 =商，。因此，本發明認知允許== ==信任的聯合夥伴之需求，尤其係在不同商 '、夕伴可此在彼此間有不同等級的信任之前提下。 然而，即使在相同聯合運算環境中 會對彼此的互動有不同的要求。因 聯合夥伴其商業程序，以不同方式揭露給不同的 其支=任二包:電子作業或功能， 夕义的電子父易。由於在接受商業程序 ;传二必定要有某種信任，因此在關聯-聯 擇，之後會與一信任關係相關聯。此 k輯係反應於圖9Α-9Β之范氏圖中。 902IV —圖式描述㈣合夥制之聯合關係

9〇4及此兩聯合夥伴 的圖;盘ίί合作業/功能906之選擇的關聯。當圖9A =關=二:r的運算，安 可顯現實施-聯合運能比較時’即 4IBM/05145TW ； AUS9-20〇4.〇365TWi(JHW) 89 有多描述兩聯合夥伴可能在彼此間具 ^夕重^關係。兩聯合夥伴間的第1合關係91 =兩^夥伴之第—信任_ 914，與此兩聯合夥伴所 實知之-，且聯合作業/功能916間的關聯。再者，兩聯 能 伴間的第二聯合關係922 ’包含此兩聯合夥伴之第二像 關係924,與此兩聯合夥伴所實施之—組聯合作業^ 。在此實施例中，兩聯合夥伴間的多重信任 關係係在其多重聯合關係内使用。此多重信任關係可能且 有相同的特徵’但卻有不同的實作資料，例如具有相同大 小的不同密碼金錄、或僅具有不同的數位認證，藉此允許 例如不同的聯合作業以不同的數位認證運作。 然而’此兩不同選擇的功能916及926，係可使用具 有不同特徵的信任關係，藉此隱喻不同聯合作業可以具有 不同等級的信任關係運作。不同等級的信任義，係可根 據許多標準，例如柯密碼演算法、或抑密碼金输大 小。舉例而言，單一登入作業可使用一較低的信任關係來 運作，而其他聯合作業(例如提供使用者)係使用一較高的 信任關係來運作。 舉例而言，一對聯合夥伴可互動，且可能係與許多其 他聯合夥伴，支援一第一商務專案，透過許多交涉的商業 協定’其商務專案可能需要使用具有特定特徵之一第一信 任關係。此時，這些聯合夥伴可互動，且可能係與一組不 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 90 同的聯合夥伴，支援一第二商務專案，其商務專案可能需 要使用具有與第一信任關係之特徵不同的特徵之一第二 信任關係。因此，在此情況下，不同商務專案會需要包含 不同信任關係的不同聯合關係。 ^參考圖10’一資料流圖式描述一對商業夥伴所作的一 系列作業，以依照本發明在一聯合運算環境内互動。一企 業(例如夥伴1002)及其潛在聯合夥伴(例如夥伴1〇〇4)，= 須在試圖在一聯合運算環境内互動前，先建立一聯合關 係。然而，如上述，一聯合關係係根據一信任關係 任關係代表在其商業及法律協定中，對—聯合夥伴的^ 任，藉此允許夥伴決定其互動的觀點，例如假設一既定^ 為係在一特定信任關係的協助下運作，則何種責任係與2 既定行為相關，接著其信任關係允許各夥伴適用各政策， 係在其所請求之信任__中，管理其信任關係類型所 允，之行為的政策。因此，-企業及其潛麵合夥伴必需 在試圖在一聯合内互動前，先建立一信任關係，如互動資 料流1006所示。假設一聯合關係，將聯合功能之選擇與 一信任關係相關聯，則聯合功能必須在每一夥伴端作^ 定，如設定作業1008及1010所示，之後即可建立—聯= 關係，如互動資料流1012所示。在建立聯合關係之: 商務夥伴可藉由從事依聯合交易’以聯合方式互動，如 動資料流1014所示。 °互 4IBM/05145TW ； AUS9-2004-0365TWl(JHW)

人>然而，需要知道的是，假設一企業欲具有成功完成聯 合父易的適當支援，則聯合功能的設定僅需要在初始一聯 合交f前運作即可。舉例而言，聯合功能可在建立一信任 關係前先作設定。雖然當設定一聯合關係時，可促使聯合 功能的選擇’但聯合功能的設定亦可在建立—聯合關係後 運作。再者，依照本發明，聯合功能可在建立一聯合關係 之後作修改’尤其係關於增加聯合功能，*不需要 所建立的聯合關係作修改。 >參考圖11，一方塊圖描述商業夥伴間建立一信任關係 的交易’以為建立本發明—實補之-聯合·作準備。 如上述，信任關係涉及某種開機程序，其中初始 立於商業夥伴之間。此開機程序的一部份，係可包含建立 定義所期待及/或允許之符記嶋譯的分享贿金繪及規 則。由於職⑽亦可包含建轉理—聯合岐業的參與

以及與此參與侧聯之法律義務，因此此職程序可在頻 外實施(out_of-band)。 開機程序的目的，係為了將―商業夥伴(g卩—企業)與 其商業夥伴之信任資訊相結合；這是在將—識別註與密^ 金錄之結合之上，作為為-商業夥伴建立—數位認證的一 部份；認證的建立係由一認證機構處理，其認 明-商業夥伴的識麟。此聯合信任_聲明，其夥伴之 識別証(如數位認證中之主張)係與先前所交涉之'商業協 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 92 定、法律協定、或類似類型的相關性作結合。 本發明允許彈性的信任關係類型；例如，聯合夥伴可 使用不同類型的安全符記互動。如圖7所述，本發明之一 實施例可加上一信任服務，管理一既定企業及其商業夥伴 間的k任關係，同時將信任關係管理之功能自聯合使用者 生叩週期管理之功能分離。然而，圖7之描述並未進一步 提供建立信任關係的方法。 圖11描述在一聯合夥伴1102之運算環境中，信任服 務704(如圖7所示提供功能性支援），以與聯合夥伴11〇4 建立一信任關係的方法。運算環境11〇2内的信任關係管 理控制台應用程式1106，依賴信任服矛务7〇4，致能與位在 聯合夥伴1104之個體(如在聯合夥伴1104之運算環境中的 類似設定應用程式)的資訊交換。如上述，在本發明中，兩 夥伴間的信任關係，係以一元組的安全相關資訊作表示， 尤f係以一組包含{密碼金鑰、安全符記、及識別証轉變} 的資訊項目。因此，信任服務704致能有關期待的符記類 型1108、密碼金錄1110、及識別証轉變1112的資訊交換， 並接著由信任關係管理控制台應用程式1106、或信任服務 7〇4 ’將此資訊儲存在信任關係資料庫1114。需要知道的 是’信任關係資料庫Π14中所代表的每一信任關係^可 具有額外資訊描述或實施信任關係。 4IBM/05145TW ； AUS9-20〇4-〇365TW1(JHW) 1378695 參考圖12’一方塊圖描述運算環境的設定以包含聯合 功能。如圖10所述，聯合功能的設定需要在聯合交易之 刚事先運作。如圖5所示，聯合使用者生命週期管理應用 程式508包含對聯合使用者生命週期管理外掛程式514的 溝通、互動、或其他合作，如圖12所示。 在本發明之-實施例中，聯合協定執行期外掛程式支 援許多獨立發佈、或開發聯合使用者生命週期營 概要的_。參考圖12…企業的運算環境中的系統管理 使用者，使用執行期環境管理控制台應用程式12〇2，管理 FULM應用程式5〇8及聯合使用者生命週期管理外掛程式 514。舉例而言’管理者可使用執行期環境管理控制台應 用程式1202所提供的圖像使用者介面，設定一特定伺服 器之特定目錄中的外掛程式514。當欲支援一新聯合作業 時’管理者可在適當的目錄中，储存一新的外掛程式，以 作部署；此新外掛程式的更新版，可從第三方廠商、一集 中化聯合資料庫、或其他地點’藉由管理應用程式摘取 之。設定檔及/或屬性檔包含外掛程式514的執行期參數， _合交易_的™I;透過執行期環境管理控 ^應用程式1202管理者，可建立、修改、及刪除這些 士 13A ’ —方塊圖摇述—系統管理使用者可用以 本發明—實施例之企業運算環境内，建立聯合關係的- 4IBM/05I45TW ; AUS9-2004-0365TW1 94 1378695 聯合關係管理控制應用程式。如上τ 合功能之選擇，其聯合功能 夥^聯合關係包含聯 =例而言’兩移伴可同意使用 為了實施此魏，兩方亦需要知 力:。然而’ 定資訊，例如單-登入請求/回 功月匕的夥伴特 一聯合夥伴需要從另肸斤呙傳送到的URI。 取決於Hi選得的夥伴特定資訊，係 能。此夥伴特定資訊需要:夥關係的聯合功 樣二:：夥，袼峨 能有所不同；依二=所需要的此資訊可 -聯合交易的、/義的聯&聽，執行期需要執行 乂易的貝訊’係夥伴特定的。若第—夥 ，根據特定聯合關係所設定的功 :二： 本發明所採用的方法，係當建立一聯合關係時，動態 ，生-聯合義特定的皿設定稽，並出口合^ 其聯合雜提供崎求的聯合特定設定資訊，並回覆 給請求者。在接收到—夥伴的完祕後，請求夥伴可進口 此夥伴特定設定資訊，並·與適當_合_相關聯， 如下詳述。 41BM/05145TW ； AUS9-2004-〇365TW,(JHW) 95 參考圖13A，-管理使用者使用聯合關係管理控制應 用私式酬’建立-聯合關係。由於每__聯合關係包含一 信任，係’因此聯合關係管理控制應用程式測自信任 關係貝料庫1302操取有關先前所建立之信任關係的資 訊。信任關係資料庫13〇2包含一個體，給每一個在一企 業及其所信任之商業夥伴間的信任關係，如圖u所述； 圖13A中的仏任關係資料庫13〇2，係類似於圖u中的信 =關，貝料庫1114，需要知道的是，在此所描述的資料 、叹讀、資料結構等，可以—般的資料庫或多個不同 料處實施’使得任何資料處可實作為-資料庫、 G庙貝料、。構等。在目以所顯示的範例中，信任關係 杯隱々丨金 Μ Υ」的一信任關係，由信 3係資料庫項目1304所表示。如上述，每—信任關係 =一二組的資訊；信任_雜庫個體測包含元組 Ί组包含密碼麵資訊·、符記格式資訊 =朗轉㈣訊1312。每―_耐包含任何 任關係的額外夥伴特定資訊(例如參與信任 4、、之識別证)、有關—信任服務之識卿或位置的 資:向其聯絡以運作信任關係的作業、或其他類似型 人聯合祕亦包含有卿合顏内，欲支援之聯 定資訊’因此聯合_管理控制應用程式 ’、° _合魏㈣合功紐定資訊，其特定資 4IBM/05145TW ； AUS9-20〇4-〇365TWl(jHW) 96 1378695 環境，發明一;二，=以= ^ ’則聯合_々理控制應用程式13G 多ς 刪崎式及购目 式，例如猎由掃描包含這些檔案 Γ：3ΓΛ程Γ或其相_之外掛程式之設定 !·生棺1314、或其類似方法。在—實施例中，在收集到此資 訊後’聯合關係管理控制應用程式⑽ 料 ^業产網域或運料境可提供的聯合魏之資訊的編輯 裔。在圖13A所示的範例中，註冊資料1316包含個體⑽ 給-可制之__合功能；註冊㈣個體⑽亦與 多個代表多個中繼資料參數的攔们320相關聯，其參數 係-既定聯合魏所需之參數；巾姆料絲示—聯合夥 伴’在使用聯合魏之聯合交易實體細，啟動或管理既 定聯合功能所需的夥伴特定設定資料。在一實施例中，註 冊資料1316係-暫時資料處或資料結構，每當管理使用 者使用聯合隱管理㈣朗程式丨肖，即會動態產 士 ；在另一實施例中，註冊資料1316係由企業網域或運 算環境内的其他設定程式(例如圖12中所顯示之執行期環 境管理控制台應用程式丨2〇2)所維護。 在某些情况，當建立實施聯合功能的軟體模組時，會 97 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) ⑧ 關^合功能相關聯之中繼資料參數的資訊"奐 資艇祕參數侧合功能特定’且這些中繼 相=。ht，以某種方法與實施這些聯合功能的軟體模組 別’與一聯合功能相闕聯之令繼資料參數的識 以作，應伴隨實施聯合魏之軟職组較佳地係作 ϋί；!及/或屬性播1314内的功能特定中繼資料參數； 二二#軟_組時(例如#部署—FULM應用程式及/ 1外掛程式時）’這些設定及/或屬性檔⑽係部署或設 =企業的運算環境中。或者，中繼資料參數測之 人t及特性’係可自其他資料來源(例如通用、集中化、聯 S資料庫)掏取。在又一實施例中，中繼參數1320之數量 ^寺性，係可自描述一聯合協定規格的電子檀衍生出；規 格檔可描述中繼資料參數的一標準組合，使得任何符合此 特定聯合協定的聯合功能之實施，需要某特定的中繼資料 參數’藉巧作為實施此聯合協定之任何軟體模組所應期待 ，介面或紐交換。在任何情況下，帽參數132〇的數 里及特色，皆可透過聯合關係管理控制應用程式13㈨擷 取。 聯合關係管理控制應用程式1300擷取有關信任關係 及聯合功能之資訊，並同時支援一管理使用者建立一聯合 關係。這些聯合關係，係由聯合關係資料庫1322内的各 項目所代表。在圖13A所顯示之範例中，聯合關係資料庫 項目1324代表稱為「聯合__χγ一專案χ」的聯合關係； 4IBM/05I45TW ； AUS9-20〇4-0365TW!(JHW) 98 1378695 在此範例中，此聯合關係的識別符提供在此聯合關係中合 作的聯合夥伴的表示，例如夥伴「X」及夥伴「γ」以及 其聯合關係的目的之表示。假聯合夥伴可基於許多不同 目的作互動，及假設每—目的具有其本身的需求則一對 聯合夥伴可能具有複數個聯合關係，如圖9A-9B所述。 、在圖13A的範例中，信任關係資料庫項目13〇4已被 • 複製到聯合關係資料庫項目1324，作為信任關係資料 1326 ’其信任關係資料包含具有密碼金鑰133〇、符記格式 資訊1332、及識別訊/屬性轉變資訊1334的信任關係元組 1328。或者，聯合關係資料庫項目1324可僅儲存信任關 係資料庫1302内信任關係資料庫項目13〇4的參考點或指 標’無須更新聯合關係資料庫項目1324，即可修改信任關 係資料庫項目1304;包含一信任關係之要件的個別資料項 目（例如贫碼金錄及認證），亦可僅包含參考點，以增加管 理這些資料項目的效率。聯合關係資料庫項目1324亦包 含有關聯合作業/功能之資訊’其聯合作業/功能係由聯合 關係資料庫項目1324所代表之聯合關係欲支援的作業/功 能，例如功能1336及1338及分別有關其實作需求之相關 中繼資料資訊1340及1342 ;或者’聯合關係資料庫項目 1324可僅儲存適當位置的參考點或指標(例如設定及/或屬 性檔1314)，有關支援的聯合功能/作業之資訊可自此適當 位置操取。 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 99 1378695 此後，聯合關係資料庫項目1324可用以初始化一使 用聯合功能之聯合交易’其聯合魏係表現於聯合關係資 料庫項目1324中(即功能咖及1338)。然而，為了初始 或完成此聯合交易’夥伴特定資訊必須使用在需要夥伴特 定f訊的實體’透過中繼資料資訊，聯合功能表示夥伴特 定資訊之需求，例如與魏1336 & 1338 _聯之資訊 I340及1342。舉例而言，此夥伴特定資訊可包含-或多 • 個服’其聰係表示欲傳送至-聯合夥伴，以向其特定 聯合夥伴請求-聯合交易的請求訊息之目標目的地。 在本發明之-實施例中，當管理使用者使用聯合關係 管理控制應用程式1300，或一類似的管理軟體工具，建構 或建立一聯合關係時’聯合關係管理控制應用程式U㈨ 試圖取得料狀資訊，並接著難儲存在聯合關係資料 庫項目1324中’作為夥伴特定資料項目（即資料項目1344 _ 及1346)。為了這麼做，聯合關係管理控制應用程式13〇〇 動態產生聯合關係，建立樣版檀1348 ;此樣版槽可為一 XML格式;ff或其他_的觀^樣麟1348係由原 伴(即夥伴「X」）出口，至管理使用者試圖建立一聯合關 係=信任夥伴(即夥伴「Y」），如信任關係資料1326所;。 ^信任夥伴藉由修改樣版檔1348，以包含夥伴特定資訊而 提供所需之資訊時，請求夥伴端的聯合關係管理控制應用 程式1300進口此修改過的樣版檔〗348、粹取提供的資=扎、 並將其儲存在聯合關係資料庫項目】324 _，如下詳述°。 4IBM/G5145TW，AUS9-2G04.G365TW丨(JHW) 100 1378695 管理資訊譯可能需要從上述 傳輸到合作/目標聯合^^ 可能黨要宜接古」）。目標聯合夥伴 伴的夥料”訊，以在合作/ 目裇聯Q料端奴聯合義；例如 類似的_料__細_的^ 作/目標聯合夥伴，可使用聯合功 。

以相反於管理制者之峨_ -聯合交易，在此範例中，此聯合夥伴 聯合夥伴關係。因此，樣版二348亦‘ ΐ:s::: 域(即夥伴「x」)的夥伴特定資訊。 ，者，來源夥伴之夥伴特定資訊(即夥伴「x」）可以一伴 ==、或以一隨後傳輸的檔案作傳輸，使得兩個檔案 會用來在夥制傳輸夥伴敏資訊。 ，目標夥伴，特定資訊，可在管理使用原=

系由官理使用者透過聯合關係管理控制應用 知式1300輸入，或者部份或所有的資料可自一設定資料 庫取^ ’其設定資料庫亦可由聯合關係管理控制應用程式 1300官理。 然而’需要知道的是，以上述方法在聯合夥伴間交換 的夥伴特定資訊，可能不會對稱。換句話說，聯合夥伴可 能以許多完全不同的角色，參與—聯合交易，這些不同的 角色可能需要提供不同類型的資訊給其個別的聯合夥 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 101 伴。舉例而言，管理使用者可操作作為一識別証提供者的 企業。此聯合關係可支援由自由聯合的自由ID FF規格所 。丁立的一次組功能。在此情況下，聯合功能可包含：劉覽 器/助#檔單一登入；識別紅提供者初始的基於ΗΤΤΪ>改寄 (redirect)的註冊資料名稱識別符；及服務供應商初始的 SOAP/HTTP聯合結束通知。針舰特定聯合功能，識別 証提供者提供給服務供應商的夥伴特定資訊類型，可能與 服務供應商提供給識別f正提供者的夥伴特定資訊類型不 同。右根據所假設的聯合關之聯合夥伴之角色而此夥伴特 疋資訊不同，則假設此角色先前尚未被設定或儲存於一設 定檔或聯合關係管理資料庫中，管理使用者會通知聯合關 係管理控制應用程式1300管理使用者之企業欲扮演的角 色’管理使用者可藉由在聯合關係管理控制應用程式(如圖 13B所示)所提供之GUI中，選擇或輸入一適當的資料選 項，以通知聯合關係管理控制應用程式。 參考圖13B，一圖式描述一聯合關係管理應用程式内 的圖像使用者介面視窗，供管理使用者使用，以建立本發 明一實施例的聯合夥伴間的一聯合關係。對話視窗135〇 包含下拉式選項單1352,允許一使用者選擇聯合關係管理 控制應用程式(例如圖13A所示之聯合關係管理控制應用 %式1300)正在建立之聯合關係所根據的一信任關係。或 者，若有需要，使用者可啟動(例如藉由選擇一選項、或按 下一對話按鍵)聯合關係管理控制應用程式、或其他應用程 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 式内的功能(例如圖11所示之信任關係管理控制台應用程 式1106)，以動態建立一新的信任關係給此特定聯合關 係。一信任關係的建立可涉及使用管理使用者之企業的現 有資訊(例如現有秘密金鑰、數位認證、符記、識別証映射 資訊等）；如果有此信任夥伴之已知資訊的話(例如公用金 鑰、數位認證、識別証映射資訊等），雖然因為符記資訊係 無法由每一夥伴改變設定，而沒有設定符記資訊，但是管 理使用者可接著使用此資訊設定剩下的信任關係。 下拉式選項單1354允許一使用者，選擇正在建立之 聯合關係内所欲支援的聯合功能。文字項目欄位I]%可 用以2入正在建立之聯合關係的名稱。按鍵1358關閉對 話視窗，並繼續藉由在一適當的資料處中(例如類似圖13a 斤示之方法）產生一項目，以建立聯合關係；按鍵1360 ，閉對，視s，並取消建立-聯合關的建立^舉例而 言’當管理使用者選擇按鍵⑽時，控制應用程式會藉 由例如出口或進口夥伴特定聯合關係，以建立上述及以4 將會詳細敘述之樣版槽，在將要參與一聯合關係之兩夥伴 間’初始夥伴特定設定資訊的移轉。 參考圖13C-13D，-方塊圖描述聯合關係管理控制應 ^ 了取細嫩資料，在本剌—實施例之二 二f的運异環境中，建立聯合_所初始的資料流。如圖 A所不’聯合關係管理控制應用程式13⑻動態產生建 4IBM/05145TW ’ AUS9-20〇4-〇365TWl(JHW) 103 立樣版樓1348的聯合關係。舉例而言，聯合關係管理控 制應用程式1300可在使用者已透過圖13B所示之對話視 窗1350，指示應用程式建立樣本1348後，建立樣本1348。 樣本1348之内容’係根據聯合關係管理控制應用程式丨 試圖為聯合關係取得夥伴特定資料之其聯合關係，而動態 決定之。參考圖13C，聯合關係管理控制應用程式13〇〇 係根據聯合關係資料庫項目1324所代表之聯合關係，建 立樣本1348。以類似圖13A之方法，聯合關係資料庫項 目1324包含有關聯合作業/功能之資訊，其聯合作業/功能 係聯合關係資料庫項目1324所代表之聯合關係所支援的 作業/功能，如功能1336及有關實施此相關之功能所需的 參數之其相關聯的中繼資料資訊1340。當聯合關係管理控 制應用程式1300產生樣本1348時，應用程式粹取中繼資 料資訊1340 ’並隨著聯合關係資料庫項目1324的需要， 為心疋的_繼資料參數，在樣本1348内，建立襴位或要 件1354(最好係以名稱值配對）；若樣本1348係一 檔’則名稱值配對可以標籤的要件，包含於檔案中。此時， 樣本1348為未包含任何夥伴特定資料；在之後的某一時 間點，樣本1348會被傳送到一合作/目標聯合夥伴，以向 合作/目標聯合夥伴，取得未來執行一聯合交易所需的夥伴 特定資料。 參考圖13D，在合作/目標聯合夥伴回覆樣本1348後， 樣本1348包含修改過的名稱值配對；合作/目標聯合夥伴 4IBM/05145TW ； AUS9-20〇4-0365TW1(JHW)

已分析樣本1348、粹取名稱值配對的請求、並接著最好係 以一自動處理程序，但亦可透過合作/目標聯合夥伴端的圖 像使用者介面’與一管理使用者互動，取得所需的數值。 隨後，在原始/來源聯合夥伴端，聯合關係管理控制應用程 式1300粹取回覆的名稱值配對1356，並將合作/目標聯合 夥伴已提供的夥伴特定資訊，以資料項目1358·1362，儲 存於聯合關係資料庫項目1324中。在未來的某一時間點， 資料項目測-㈣會用來與聯合夥伴，完成一聯合交 ^ ^再次說明的是，有關原始/來源聯合夥伴的聯合特定設 疋資訊’可在樣本1348中傳輸給聯合夥伴，使得聯合夥 伴具有相同或對應的資訊，供隨後以相反方向初始一二似 聯$易、或僅參與-聯合交易之用;依此方法，雖然在 回覆月，』已作修改，-單—樓會來回的傳輪。 或者’有關原始/來源聯合夥伴的夥伴特定 夥伴的•夥伴)可在-第二訊息 _輸、或者在其他時 言，第 聯=:夥=„，要求_目標 =含聯合夥伴的夥伴特定資:回= 夥伴狀^原始/來源聯合夥伴的 =票聯合夥伴，並不回覆此第二檔案。 4ΙΒΜ/05〗45了W : Α⑽姻·咖 105 參考圖14’-資料流播述以一自動 於聯合夥伴_出/進x透過父換 序，处人的使用，建立1合關係的程 :-既發明一實施例之聯合關係互動。 “者接:二境(即以移伴「Χ」辨識)之一管理 使用者接收-通知，要與—信任商業夥伴(即以夥伴 立一聯合關係時，開始此程序(步驟1402)。雖缺可 知，但是較佳地係以電子方式，透過電 ^郵件或—细^翻程式_其他方_如圖ΠΑ 所不之聯合_管理控制應用程式），接收此通知，即使亦 :使用手動的方法(例如郵件或電話)接收此通知。-般而 β聯σ通㊉具有一權力贊助者的概念，其權力贊助者係 作為原始，以設定—聯合_之資訊的聯合夥 伴0 若管理使用者尚未設定一聯合關係，則管理使用者會 啟動聯合關係管理控制應用程式(步驟14〇4)。或者，可透 過原始/來源聯合夥伴之運算環境内’其應用程式所開始的 某種工作流類型的動作，初始化及/或運作此功能。因此， ，14所顯示之程序，較佳地根據運算環境的架構内之政 策決定(例如可使用為實施WS_政策規格所設定的功能）， 可完全自動化。 需要知道的是，圖14中所顯示的程序係從原始/來源 聯合夥伴端(聯合夥伴「X」）作描述，且圖14所描述的程 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 1〇6 1378695 序；/驟係合作/目標聯合夥人 境内發生的步驟;類似動作 X」)之運算環 回應從聯合夥伴夥伴「γ」，以 用程式内’初控制應 7ΧΥ—方案Χ」’或者根據 如建立聯合關係的夥伴等)自動建立—名稱。貝訊(例 若設定/建立聯合關係的作業，係透過一工作流程序自 動初始，則所接收的請求訊息或類似初始事件，可包含言主 求聯合關係内，欲支援_合功能之—表示；或者，= 此之外’使用者可在聯合關係管理控制應用程式内，選擇 適當的聯合功能(步驟1410)，如圖13Β所示，或可自動處 理所接收的請求訊息，以決定所請求的聯合功能。 使用者接著選擇、設定、或建立一信任關係，聯合關 係會以其信任關係作基礎(步驟1412)，如圖13Β所示。若 各夥伴間僅有一單一信任關係存在，則可自動選擇此信任 關係；若沒有適合選聯合功能的現有信任關係，則聯合關 係管理控制應用程式可提醒使用者設定或建立一新信任 關係。 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 1〇7 (δ) 隼夥伴間餘_，可與在此兩商 因此， 需知資訊 設定一錄_的魏，可在奴-聯 被移轉的同時移轉。 萍。關係所 相對地α疋-聯合關係的 柯 任關係。此信蝴射辦心b已具有一仏 因，已健— 在-聯合内合作以外的原 可能已使用其;自運算環境 批丄 的考慮内之其他軟體應用程式作設定。舉 田111聯合夥伴可能已交換彼此欲使用於倾交易之公 此信任關係可能已透過—簡單的資訊交 再者 -現有信任_可能已基於在聯合内互動的因 時ϊί關換句話說’由於一對商業夥伴可透過多重、同 :合作，一信任關係可能已為-先前所建立之 ，任何情況下’兩商業夥伴間可能有—或多個現有信 關係’不管是否有-現有聯合_存在於其兩商業夥伴 欲建立或設新的聯合關係。紅少有一現有信 糸存在，則信任關係内的信任相關資訊可邏輯性地包 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 108 1378695 裝為二特味、具名、信任_，其信任關係可呈現在聯合 關係貧理控制應用程式内；若是如此，則管理使用者可能 了在圖像使用者介面，簡單地選擇此現有、正式定蠢 信任關係。 我的 现夕個現有6任關係的信任相關資訊，係可 二信任相關資訊的獨立資料項目，在1像使用者介面 中’呈現給管理使用者。在此情況下，使用者可選擇可用 於-新信任關係的此些資料項目，建構或建立此新的作任 Γ糸田Γ例而言，一單一數位認證可用於多個信任關係 有多個信任關係的其他信任相訊可能會有 ，藉此讓多健任_成為特殊驗任襲，並同 時在每-信任關係中使用相同的數位認證。 ^另-，例中，各料可m現 在此情況下’官理使用者輸入或選擇 , 咖；此資訊可為夥^^ ，以許夕信任相關協定規格内所指定的簡單、非二 定數值作代表。舉例而言，管理使用者可在多個 的 :=配1中作選擇，其金鑰係聯合關 二 鍵、項_，選_信任_特^= 4IBM/05145TW ； AUS9-2004-0365TW1 (JHW) 109 任關係特徵參數表示信任相關資訊細處理選項 選擇，會控制 目t換句話說，夥伴間所交換的資訊，必定以某種方 ;伴之:伴：Γ:使用者的選擇，隨後導致原始/來源 夥伴之=^關2?包含在出口給合作/目標 係可描述^!^=係’因此在此_’聯合關 因為料功能會更適合與某些信任關係糊聯(即針 對錄蝴處理選擇選項），耻，較佳地係在選擇聯合關 係後’選擇或輸人信任難及/或信任義資訊。舉例而 Ϊ簽記類型可能有應作於符記_之實體上的加密 在已在聯合夥伴「X」端建立聯合關係之後，會動態 建立一聯合關係建立樣版檔(步驟1414);樣版檔係以需要 向聯合夥伴收集的資料而建立，如圖13C所述。接著，樣 版檔會傳輸到聯合夥伴「Y」（步驟1416)，修改所接收的 樣版槽’以包含所需夥伴特定資訊，並接著回覆修改過給 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 110 1378695 聯合夥伴「X」。在接收到修改過的樣版檔後(步驟1418)， 會粹取所請求的夥伴特定資訊(步驟1420)，並儲存於聯合 夥伴「X」端’以在之後的聯合交易期間使用(步驟1422)， 藉此完成此程序。 需要知道的是，樣版檔(或在一第二檔案内)可包含傳 送給夥伴「Y」有關夥伴「X」的夥伴特定資訊；當具有 • 聯合夥伴「X」之資訊的樣版檔傳送給聯合夥伴「Y」時， 此資訊會進口到聯合夥伴「γ」之運算環境中，以在聯合 夥伴「Y」端設定聯合關係；在聯合夥伴「Y」端的運算 環境中進口有關聯合夥伴「X」的資訊，係可被自動化， 使得在夥伴「Y」端的管理制者衫要手動蚊聯合關 係之資訊。 在另一實施例中，除了選擇一先前建立的信任關係以 Φ 外，彳5任關係亦可在建立聯合關係時一同建立，最好係使 用圖11所示之信任關係管理控制應用程式内的功能以及 圖13A所示之聯合關係管理控制應用程式。或者，聯合關 係管理控制應用程式亦可包含從一管理使用者輸入信任 資訊、或從一適當的資料處(例如金鑰處)取得信任^ 功能。在此情況下，管理使用者亦輸入資訊、或選擇資訊， 赠立齡_以其絲礎的信任_相如從多個秘密 金錄或多健證選擇、或輸人夠秘密金料多個認證選 擇）。管理使用者的企業(例如夥伴rx」）可增加此信任資 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 111 1378695 訊(例如公用金鑰認證)至一樣版檔、或傳送給聯合夥伴 的一伴隨檔。類似地，從聯合夥伴端接收的修改過的樣版 檔除了具有建立一聯合關係的夥伴特定資訊以外，可能具 ^建立—彳5任關係的夥伴特定資訊。信任關係資訊以及聯 合關係貧訊，亦會從所接收的檔案中粹取出，且所粹取的 1任關储訊會與聯合關伽設定#訊，叫種方式相關 聯。需要知道的是’管理使用者可從—❹個其他來源， • 取得或剩餘的信任關係資訊及/或聯合關係資訊，並接著透 過聯合難管理㈣朗程式，輸人此魏，以設定所想 要的信任關係或聯合關係。 “ 因此，需要知道的是，-信任關係是以兩階段建立。 在第一階段中，一管理使用者會替聯合夥伴「χ」收集所 有的信^(例如其減錢），其信任f訊 崎 =將傳送給聯合夥伴「Y」及/或其他聯合夥伴的資訊(例如 ，，則聯合夥伴「X」端的管理使用者可能以 k任關係，但在設定聯合_時，管理使財可增加新金 錄，使得管理使用者亦設定一新信任關係。 在-第二階段中，會替聯合夥伴「γ」收集所有的信 任貝訊(修公用金鍮及/或數位認證），供確認或認證來自 =合夥伴「Y」的資訊。若聯合夥伴「X」已儲存有關聯 口夥伴「Y」的此資訊’則管理使用者可使用此資訊；當 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 112 1J/8695 t密會呈現-清 X」尚未儲 存有關聯合夥伴「γ的資 . 訊則在夥伴I」的管理使 m 移/ ΨΙ H動地在聯合夥伴「x」端的資料f更新有關 用者可在執行期，使用管 〜次一市』應用私式，選擇增加此信 ——、·與 4伴Y」的k任資訊，之後聯合夥体「 交卿σ释件XJ端的適當應用 任資_如新麵）。或者 的管理使用者可读、a〜 上述，如合夥伴「X」端 —-了透過1伴狀設紐，選擇進σ聯合夥 聯合夥伴 任關係 」的信任資訊，藉此建立兩聯合夥伴間的信 二聯合關係的牿殊古轉 描很，隨著各公销始支援聯合商務互動，其必須 應兩商務間增加合作的體驗。具體而 此些名詞

^者向—方織（此歸做為朗註提供 )’並接者早-登人—聯合商務夥伴，為此單一登二 的一部份’亦須支援額外_合使时生命週理 (FULM)功能（如帳戶鍵結/取消鏈結）以及單一 此進階功能的支援必須將對任—方的架構之^最 ，。以下摇述使用「夥伴」來描述一請求者,因為此= 求者通常與其識別証提供者有長遠的合作關係 —D 應視為係可相互替換的。 或 現有裱境已藉由緊允許單一登入、使用專屬協定、 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 113 1378695 緊密結合的雙方間使用機構内部的協定解決此問題。然 而習知解決方案並不適合大量的系統，亦不提供「鬆散 式輕接」的環境，其中可簡易地將具有龐大的電腦環境的 新夥伴力σ人聯合（或將舊夥伴移除），*無彡貞改變服務供 應商或識別註提供者端的聯合環境。除了適合大量的系統 之解決方紅外，鬆散式祕的環境具有動帶的本質，需 要有FULM解決方案的支援，使得相同功能可提供給不同 ，’且不會做重疊的處理。意即，—新或現有的夥伴、或 清求者需要「巾嶋(Chinese Wall)」麵崎境時，可立 即安裝，使縣-夥伴的絲並不受到其他方之改變而有 所影響。藉此，-方的概要改變不會影_其他方。 現有（比方）登入的方法會將所有登入請求傳送到單 - URI做處理。這_於使用者登人餘據直接認證的環 境，即使用者直接呈現其認證驗，並直接鑑定此些，馬 證。初步跨網域單-登人（ed_ss。）情況僅假設或允許二 單-依附_對-既定蝴域。容、够她_愈需要每 -依附網域再其主峨巾具有，特的ed_ssGURL，使得 兩依附_ (ARelyA細及BRelyB·纖）會將其使用者 分別傳送到其獨特的URL。每一账係一獨特W功 能實體的ΗΦ ’每-者皆設定有此_網域之咖⑽經驗 所需的資訊。除此設定層資訊之外，這兩個亦且有 cd-SS0功能的獨立實作（例如自由IMF iΛ瀏覽器/助玲 檔SSO協定對- SAML i.〇劉漫器/助診檀舰協定）/ 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 114 1378695 若比方所有這些參數儲存的依附網域端點皆相同，即 每一參數必須為每一主網域端點作獨立的管理，這並非最 佳的方法。當依使用者呈現一認證聲明，提供認證證明給 其他方時，此方法亦不適當。在此情況下，兩不同商務夥 伴可能想使用不同的URL做相同的功能。舉例而言，一 基本 URL ( www.servicesRus.com )，給夥伴 a 使用 www.servicesRus.com/partnerAl〇2in，而給夥伴 B 使用 !^gervicesRm mm/partnerBlogin，以分‘許夥伴炙及夥什 B使用不同的端點存取相同功能（PartoerLogin)。 在此所描述的本方法以多重URLs提供相同功能，使 得識別証提供者無須安裝並設定多個獨立的系統，而達到 相同的聯合功能。本發明亦使得識別証提供者可簡單地將 一夥伴移到新的協定（例如從自由hl到ws聯合），而其 提供的服務並不對聯合中的其他夥伴有所影響。在此所描 墀之本方法亦使得概要組態與特定夥伴結合，使得相同執 行期（不論-或多個URLS可存取）可動態地以不同（執 行期）組態參數做特殊化。 本發明使相同功能的多個實體可被集中化設置及管 „但以分散式存取。舉例而言，以可由多個伙伴存取的 單一登入概要為例。此概要係提供於 端點。若此概要具有一單 組態、貧體及端點，則所有存取此端點的各方—定需要 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 115 有此端點、絲H必雜 點。藉由將組態資料料H〜 4」心子各知 資料傳送_當的FULM^n ’並纽動時，將此

應用程式之倾得峨產^ 使適#的FULM =本發明’ -「全域」組態資料之集合會為fulm 應用程式所定義。此全域資料定義-_之_所提供的 參數。舉例而言，比方請求生命期之參數可定義為 Μ應用程式本身之組態之—部分^奴—聯合關係 時’此數值會作為聯合的預設值。此數值可接著為每一獨 立聯合作待殊化，成為聯合__之一部份。 再者，根據本發明，當定義一聯合關係時，聯合關係 會與「提供者端」做結合（其中提供者係安裝此產品之一 方）。此聯合係由一組與此聯合相結合<組態參數定義 之°此等經態參數包含提供者端所使用之各端點，例如， 所有夥伴所使用之一端點，使所有提供者端的seryicesRus 夥伴因SSO目的使用的URL，係定義為 Mw.servicesRus.com/allpartners。某些參數（例如請求生 命期）可視為「全域」參數，適用於一特定識別証提供者 所處理的所有聯合關係。本發明允許全域參數為其聯合關 係作特殊化（當設定一聯合關係時，其全域參數係被應用 程式設定為預設值）。因此，在一關係的設置内，如請求 生命期之參數，係對應其應用程式之定義的（預設）值， 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 116 1378695 或者此參數係以被設定為其關係之設定的一部份之數值。 一關係並未被完全定義，直到各夥伴已被加入其聯合 關係。當增加夥伴至其關係時，一定要定義夥伴特定資訊 (例如，提供者會傳送SSO所回應的服務URL)。此夥伴 特定組態資訊亦可包含一進一步的參數（如請求生命期） 特殊化（其可能接著已為聯合關係以FULM應用程式所設 定的預設值作特殊化）。 若兩個夥伴（A及B)在識別証提供者端請求不同的 參數，例如，因為一個夥伴沉默地與另一夥伴分享資源， 則這兩個夥伴會被設定為兩個分開的關係 ( www.servicesRus.com/partnftrA 對 坦）。在任一情況下，與其聯合 關係結合係必須的組態資訊。當對應此功能的—伽被二 動時’適當的組感資訊會被娜，並在協定實施的範圍内 被使用。根#本發明之-錄實施H既定聯合關係 内的夥伴名稱係觸的，且可用簡取執行期參數，然 此祕者當知’―既輯求亦可制其他辨識執行 =參數的手段。ϋ此，根據夥伴所定義的參數，相同單一 ^•入（SS0)協定執行期可被不同夥伴使用。 及竇H了期（例如—SS0執行期的啟動 及實例化）動祕触純行__絲。意即，每當 4IBM/05145TW ； AUS9-2004-〇365TWl(JHW) 117 期被啟動時，執行期參_被實例化，並被_ t傳遞°此·化可在FULM制程朗辦發生，當在 =別„正提供者端设定一新的夥伴或一夥伴需要時，啟動所 2設定科掛程式。此機動的情形可在—既定夥伴做一 ^一請求，或在已初始化的實例已到達其高峰負載量時發 一種處理一負載量的方法’係將fulm應用程式本 m㈣版本’其版本具有其所有的實例。接觸點紀錄 八夥伴之請求被路由至FULM制喊_—適當的版 本實例。 如圖15所示’當夥伴a及夥伴B透過接觸點舰器 505 ’在-既定協定執行期（FULM應用程式的外掛程式 ㈣）’作聯合請求㈣、測時，其係使用相同的肌 f提供者端組態資料。在此圖式中，與其它的描述相同的 是’主FULM應用程式的一外掛程式15〇7係一較佳執行 .期應用程式，然而熟此技藝者當知本發明之其他實施例亦 可使用其_執行期。換句話說，此為_協定外掛程式 的實例。然而’使用不同的SSO協定之獨立執行期（例如 ws-聯合或自由u)可與FULM朗程式相獅，當一 夥伴/請求者請求時，每一者可產生許多實例。當這些夥伴 之-者啟動此執行期15〇7之一實例時，（共同）提供者端 資料及夥伴的特定資料會作為協定啟動的參數，以建立此 執行期之-適當的實例。如圖15所示，夥伴c可使用不 同提供者端的組態資料作一請求1511，以啟動相同協定外 4IBM/05145TW ： AUS9-20〇4：〇365TWl(JHW) 118 =程式15G7的-實例，當夥伴c啟動此協定外掛程式15们 =夥伴C的提供者g卩料狀資料可祕地包含參數給 "月’、者。再者’相同協定可做不只—次的實例化，使得夥 伴D可啟動其個人的協定外掛程式⑸3之實例（完全中 國牆化），並具有提供者及料特定資料。 ★在執订期啟動之前，FULM應用程式包含一組態程序 • &管理’以建立夥伴及提供者特定資料以及全域資料，供 身份提供麵實紙的任_合程序使狀。在此較佳實 施射，聽_資觸在執行_被齡，並傳到適當 的協定外_式。這允許—單—FULM細程式實施一聯 合程序的多個實例，其中每_實例以—可擴展的方式具有 其本身的一組組態資料。 —本發赚了將财的參數結合在各_外亦允許設 疋某些「全域」參數；其他參數接著在需要的時候在被特 殊化。舉例而§，若翻fi£提供者的线域要求所有的 SSO請麵要簽署，且料2 _鱗传期則無須組 態此資訊給每-端點絲一夥伴。此資訊可被視為「全域」 資訊’適驗細域，且翻於主__露的所有sso 端點。 在下列的絲巾’提供-她務供應商料些參數，

ArelayA.com ^ BrelyB.com ^ CrelyC.c〇m DrelyD.com 〇 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 119 1378695 熟此技藝者當知此齡數可在本㈣之精_設定。服務 供應商A及B需要用以提供暫時的數值，作為盆ss〇請 求的-部份。在此範例中，供應商A、B及c皆在主網域 存取SS〇服務，其主網域係透過URL h_d_in/ABC_CCO.html進入，而供應商D係透過肌 homedomain/D_SSO.html存取主網頁的服務。 參數 ArelyA BrelyB CrelyC DrelyD 簽署請求 是 是 是 是 2秒新鮮期 是 是 是 是 暫時數 是 是 否 本區端點 ABC_SSO.html ABC_SSO.html ABC SS0.html Ο SSO HtiT|| SP端點 A_ssoResp.html B_ssoResp.html C ssoResp.html D ssoResp.html

因此，其允許夥伴A、B及c皆可被設定為一單一關 係（如PmviderToABC)，而夥伴d係設定為其個別的關 係（如ProviderToD)。前兩個參數（簽署請求及2秒新鮮 期）係、「全域」參數’係被主網域的所有服務供應商所請 求的兩參數。此參數可在識別証提供者的階層，設定為 FULM應雜式敝態之-部分，並剌於所有ss〇 求。 。 第三個參數（暫時數）係適用於AU，或可全域性 4ffiM/05145TW ； AUS9-2004-0365TWl(JHW) 120 ^存取cd-SS0服務的所有服務供應商透過 …—SS〇.html使用。此參數適用於Cd-sso URL端，並接. 者為夥伴C在執行期作特殊化（覆蓋寫入）。夥伴D透過 依不同的URL存取各聯合服務。假設參 端設置，财需要被夥伴D覆蓋寫人，因為此參=非為 由於與處理—ss〇請求相關聯的資料（不論端點為 何二係以執行期資料作操取，接著提供者a、b及匸可 存取=- sso狐(ABC—ss〇htmi)。當一請求到達此識 別註提供者的URL _，此請求會被檢視以蚊其來源 、（B或C)。根據请求者的識別|正，相關的組態參數會 被榻取（於執行期），並做為此請求之驗證的-部份。 在本發明之一較佳實施例中，且如下詳述，組態資料 係以3個步驟作收集： L收集全域特定資料，即特定於識別註提供者階層 (如簽署、新鮮期） 2.收集聯合特定端點提供者端資料（如URLs、暫時 數使用）’以及若有需要，並特殊化全域提供者預設 的組態資料給其聯合（如簽署覆蓋寫入） 3·收集請求者特定資料（如夥伴端URLs)以及若有 需要’覆蓋寫入聯合特定或預設組態資料（如暫時數 覆蓋寫入） 4IBM/05145TW ； AUS9-2004-0365T W1 (JHW) 121 最小化。本發明亦Hi 的資訊 以-單h 早—步贼變全域參數， 早一步驟覆蓋寫人-組織或管理者所想的數值。 声做ί„在識顺提供者的覆蓋寫人組態之管理 點二上述料（在此係指識別1 正提供者的端 的階層做管理（即定義—「聯合」—提供者與一 伙商務關係）。請求者特定資料（又稱為 寺疋資料）係在夥伴管理階層做管理。 夥伴/請求者階層做管理，例如夥伴的 麵，其允許削峨供者_夥伴所接 者端比右二1要知道的是，若每—猶在識別註提供 人Hr _端點’則本發明的益處並未喪失，因為 王域、、且態#料仍_於所有端點。 參考圖16A-D，其描述聯合關聯參數的組態程序。本 步驟1601 ’其中識別証提供者與服務供應商間 在去務_被建立。直到目前為止，本程序大部分 欲：動程序’細，漸漸具有電子協定，例如以電子商 的方式寫入（xebXML)，本程序變成自動化。在 乂 1603’開始聯合關係參數的組態。首先，於步驟1605， 建力如合名稱。在—較佳實施例巾’此步驟建立一基礎 4麵051 卿;卿最0365TW1(JHW) 122 1378695 URL ’供身份提供者使用，以自動衍生出許多其他的 URL。自動衍生出的URL之使用者覆蓋寫入，係本發明 之一選擇性實施例。 於步驟1607,使用者表明其正在設定識別証提供者或 服務提供者（或兩者）的參數^於步驟16〇9，身份及服務 提供者的接觸資訊（通常係URLs)係輸入。接著，於步 驟1611，選擇聯合關係中所欲使用的聯合服務及協定。舉 例而言，聯合服務可包含認證使用者、接受認證聲明或聲 明的解譯。可選擇的協定包含由自由、ws_聯合或 SAML(OASIS)所規定的單一登入協定。接著，如下詳述， 於步驟1613，設定單-登入資訊。如上所述，於步驟⑹5 為聯合設定信任資訊。此程序結束於步驟。 圖16B詳細描述單-登入組態。本程序開始 ⑹卜於步驟1623 ’選擇單一登入協定（如犯聯:: 由U或SAML)。若選擇WS_聯合（步驟16 j二 協定中可使用的參數及參數的選擇進行 1627)。若選擇自* U (步驟1629)，則根據^定=驟 用的參數及參數的選擇進行組態（步驟=可使 SAML (步驟1633)，則根據協定中可使用的參 的選擇組態（1635)。本程序結束（步騍1637)。 數 圖W及詳細顯示自由u協定的组態。熟此技 4ffiM/05145TW ； AUS9-2004-0365TWl(JHW) 123 1378695 藝者當知WS-聯合或SAML協定可以類似地步驟，配合各 協定之不同之處做修改而運作。 自由組態的「本身」端開始於步驟1651。接著，於步 驟1653 ’選擇特定自由概要、瀏覽器P〇ST概要、劉覽器 助診檔(Artifact)概要或自由致能客戶端或代理器（LECp) 概要。於步驟1655決定是否使用一應用程式所定義之基 φ 礎 URL (如 www .idp.com/webseal)。若否，於步驟 1657， 定義一全聯合（federation-wide)基礎的(如 www.idp.com/webseal/federation federatoinABC )。此基礎 URL定義了所有聯合提供者端之端點用以定義之資訊。在 此情況，應用程式所定義的基礎^ (www.idp.com/webseal)係一全域組態參數，告钟令贫脚 合關係之提供者（「本身」端）時，可; (www.idp.com/sebseal/federationABC )。 於步驟1659，決定是否選擇瀏覽ρ助診檀。若是，則 於步驟1661設定瀏覽器助診檔。於步驟1663，決定是否 一聯合定義了 SSO URL ,若否，則於步驟1665，每一夥 伴會特定於聯合特定端點》於步驟1667，評斷是否此聯合 關係有應用程式所定義的參數，例如暫時數、生命期等 等。若否，則於步驟1669，關係會特定於聯合特定執行期 參數。於步驟1671，設定符記資訊’以維護聯合的信任關 係。於步驟1673，設定映射資訊的識別証。此資訊係用以 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) ⑧ 124 射（若有的話）係適用於夥伴間交換的 訊’其中此符記類型係辨識並特殊化於 167Q μ未L卿〗見器主♦檔概要，則運作測試1675及 要。^ f決定是否已選擇劉覽器簡T概要或LECP概

步驟則運做適當的組態步驟1677、168卜此些組態 步驟系與域概ϋΡ(3δτ概要她似。 餘的步:===)態完成’並且運作組態中剩 圖16D顯示聯合關係之夥伴端的組態。於步驟⑽7，

定義何種轉變及映 符記中所主張的資 步驟1671。

It序。於步驟獅，夥伴端的端點進入其聯合組態， 二聯σ組態係轉伴所定義。於步驟應，夥伴端的信任 (例如夥伴Α義的簽名金錄）會輸人於聯合組態檀。 ^驟_決定是否有使用聯合定義的識別註映射規則。 右否’則於步驟鹏識別註映射會特定於夥伴特定規則。 於步驟1697 ’聯合特定執行期參數會為特定於其夥伴。於 步驟1699，將夥伴加入聯合中。 ' 此程序的結果，係聯合關係的組態參數被定義，並可 使用如XML格式化的方式_及呈現。此_資訊包含 所需的所有參數，妓整的定義此聯合祕。此資訊可再 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 125 聯合關係的一端，或如每一聯合夥伴配對的一更小端維 持。當維持於整個聯合關係之一端時，每一夥伴之組態資 訊（即其轉特資訊）會被包含在整κ態内。當 J聯合夥伴祕的_資訊在執行編L請麵，其可接二 從聯合的整體中被（例如）導出。 、 在組態以後，夥伴端點係與附著於FULM應用程式之 夕「卜掛程式之-拥聯。每-域程序定義域^的一單一 抓串鏈」’適用於-聯合/關係夥伴，即特定於聯合特定預 »又偯之HM細程式層預設值， 值。此串賴由齡謂及料名稱之結合 =作獨待地辨識。當有―請求，被辨識為具有—既定聯 ^夥伴時（記得各聯合僅為一單一協定定義），會找到適 备的串鍵，用以提供（許彡）外掛程式功能所需的組態值。 一在至少-較佳實施例中，每一外掛程式實施ss〇協定 =(自纟、WS·聯合料），因此—種選擇的方法，係夥 ，遞送？適當的外掛程式。此外掛程式之-實例接著 在邏輯上）會啟動_其聯合廳夥伴定義之組態 參數。 田啟動所需的執行期時（例如一 ws聯合ss〇協 ^傳遞給執行期作為執行期參數的，係、定義此聯合的 如生命期/新鮮參數、料辆點等等 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 在以上詳細描述本發明後，應可明白本發明之優勢β 在」知解決方案巾，自由聯合規财過獅^格式的槽 中繼貝料。然而’此習知解決方案不提供所請求的 中繼貧料’做_地決定，以向聯合夥伴請求相關的資訊。 反之本發明在一聯合運算環境中，提供一個更易管 ^且可舰的夥伴n理想地，—代表管麵型的環境 會允許-夥伴在-提供者端管理其所信任_係資訊，藉 此減輕提供者的管理者需從—夥伴取縣何資訊的負擔 及責任；此夥伴有蚊的控，透過提供者的運算 環境中_合支援_程式，根據—聯合關係管理其資 訊0 、 在沒有代理管理的情況下，一提供者端的管理者設定 -聯合關係。接著，根據與其聯合關係相關之聯合功能的 特性’以-種動祕方式產生，—XML格式化的組態稽 或樣本。級態檔包含-聯合夥伴所需之所有資訊的空白 XML要件’崎統夥伴至-聯合_。此域檀接著 以某種方式被傳送給聯合夥伴，例如電子郵件、磁片、 CD-ROM、HTTP POST、SOAP 等等。 或者，可使用多童檔/樣本。舉例而言，一檔案會包含 所有而要與聯合夥伴（例如夥伴「Y」）通訊，有關其聯合 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 127 夥伴（例如夥伴「X」）之組態的資訊 ，組態資訊，無須修改來自夥伴「 秘改，此_沒有所需的組態資訊，使得其需要 &含所需驗態親’並接著_給料ΓΧ」。 提供會填人所需資訊，並回覆完成的槽案給 理者。此修改的播案接著會被輸人聯合夥伴 财。若此夥制未提供財需要的資訊， 貝!祕者^的管理者可程序，設定剩下的資 訊’尤其雜用-GUI顧程式，供管理者輸人所需資訊。 重要岐，本發__以—完整功能的資料處理系 統作描述，但是熟此技藝者當可了解，不論實際使用來實 施此分佈的·讎的職貞載舰，本㈣之程序係可 以一電腦可讀取媒介的指示型態及許多其他難分佈。電 腦可讀取媒體之範例，係包含例如EEpR〇M、r〇m、磁 帶、紙本、磁片、硬碟機、RAM、及CD_R〇M等媒體及 傳輸類型媒體’例如數位或類比通訊鏈結。 一方法通常被認為係引導至一想到的結果之一本身 致的步驟順序。這些步驟需要實體數量的實體操作。通 2，雖然不是必要，但這些數量可以電子或磁性信號的型 悲’作儲存、移轉、結合、比較、及其他操控。有時基於 4IBM/05145TW ； ATJS9-2004-0365TWl(JHW) 128 共同使用的因素，會以位元、數值、參數、項目、要件、 物件、符號、字元、名詞、數字、或其類似者表示這些信 號。然而’需要知道的是，所有這些名詞及類似名詞係與 適當的實體數量相關聯，且僅係為了便利地標示這些數 量。 本發明之描述已經由示範例顯示，並非意在消耗或限 制於所揭露的實施例。熟此技藝者當可作修改及潤飾。此 些實施例係用以解釋本發明之原則及其實務應用，並使熟 此技藝者了解本發明，以適當的修改實施例，而適用於其 他目的。. 4DBM/05145TW ； AUS9-2004-0365TWl(JHW) 129 1378695 【圖式簡單說明】 下述專利申請範圍主張本發 身、其他目的、及其優勢係可由下徵。發明本 知’其令： 幻坪述’伴隨圖式而得 =描述-典型之資料處理系統，每__可實施本 =:述本發明可實施於其中之-資料處理系統的典型 圖1C描述當一客戶端試圖存取伺服器端之一 所使用之典型認證程序之資料流程圖； 、護貝源時 描述本發明實施於其中之—典型網路環境之網路 圖1E描述可能會要求錢者作多重認證作業之—血 上交易之範例之方塊圖； 八 =述有關-使用者初始化—交易給—第一聯合企 業’其第-聯合企業啟動聯合環境内由個體 之聯合技術之方塊圖； m 圖2B描述本發明之一實施例中，本發明將一既有網域之 現有系統與本發明某聯合架構元件作整合之方塊圖； 圖2C描述本發明之—實施例巾—聯合雜之方塊圖； 圖2D描述本發明使用信任代理器及一信任仲介器各聯合 網域間之信任關係範例組織方塊圖； 圖3A描述一發佈網域建立一聯合環境内之一聲明之一般 4IBM/05145TW ; AUS9-2004-0365TWl(JHW) 130 1378695 程序； 圖3B描述一依賴網域拆除一聲明之流程圖； 圖jC把述從—發佈網域推向—依賴網域㈣應發佈網域 之使用者之特定程序之方塊圖； 述從—發佈峨推向—依賴網域以回應發佈網域 主動攔截到依賴網域之請求之特定程序之流程圖； 一拉牽模型’其中一依賴網域要求任何所需的 自^# ΐ峨之細者，並糊献依_域接收來 自印求使用者之資源請求之流程圖； 圖4描述支援聯合單-登入作#之聯合環境之方塊圖； 本發明之—實施例聯合網域中實施聯合使用者生 〒週期官理功能之某元件之方塊圖； f 2述t發明—實施例使用聯合使用者生命週期管理功 月匕-單-登入作業之程序之資料流程圖； ^描述_合制者生命聊管理分__係管理之 邏輯7L件經織之方塊圖； ^ ;8A描述聯合運算環境之一高階抽象邏輯功能之方塊 财-方塊圖舖示本發赌信任難管理功能將 ^ 5功能及接觸點功能分離之聯合運算環境之一高階抽 象邏輯功能； 间白 描述-方塊圖其顯示本發明從接觸點功能分離聯合 1乍業功能之聯合運算環境之一高階抽象邏輯功能； 4D8M/05145TW ; AUS9-2004-0365TWl(JHW) 131 1378695 用塊圖細示本發明將聯合作業功能分為聯 週齡理舰及聯合_管理魏之聯合 運异裱境之一向階抽象邏輯功能； 圖9A-B描述-范氏圖示法其顯示一聯合 合功能選擇相關聯之一信任關係； H ^ 圖10描述-資料流程圖其顯示一系列由 作以在-聯合運算環境内互動之作業；㈣夥件運 方塊㈣顯稍#夥伴間的互動以為建立一 聯合關係所準備之一信任關係； 離、$ $ ^'塊圖其顯^包含聯合功能之—運算環境之 方塊圖其顯示系統管理使用者可用以建立 = :·、之運异環境内聯合關係之聯合關係管理控制應用 程式， =13B描述—圖式其顯示供—管理使用者建立聯合夥伴 間之-聯合_的-聯合關係管理朗程式内之一 使用者介面； ^ ^^31)贿—方麵其顯示為取得夥伴特定資料以 業之運算環境内建立聯合關係之—聯合關係管理 控制應用程式所初始化之資料流； 圖14描述—流程圖其顯示利用一出口 /進口檔案自動建立 :聯合關係之程序，其檔案係透過聯合關係互動之聯合夥 伴間互換之檔案； 圖15表示一聯合方塊圖其顯示包含聯合功能之一運算環 4IBM/05145TW , AUS9-2〇〇4-〇365TW1(JHW) ^ 1378695 境之一組態；以及 圖16A-16D描述方塊圖其顯示組態資料以在一企業的運 算環境中建立聯合關係之資料流。 4ffiM/05145TW ； AUS9-2004-0365TW1(JHW) 133 1378695 【主要元件符號說明】 100 分散式資料處理系統 101、 110 網路 102、 103伺服器

104 儲存單元 105、 106、107、109 客戶端 111 電話 112、 114、115無線鏈結 113 個人數位助理 116 無線通訊鏈結 120 資料處理系統 122 中央處理單元 123 匯流排 124 隨機存取記憶體 126 唯讀記憶體 128 輸入/輸出配接器 130 印表機 132 硬碟單元 134 通訊配接器 136 通訊鍵結 140 鍵盤 142 滑鼠 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 1378695

144 顯示配接器 146 顯示裝置 148 使用者介面配接器 150 客戶工作站 151 伺服器 170 瀏覽器 171 客戶端 172、174網站應用程式伺服器 173 、 175 、193、195、197 網域 176、177認證伺服器 190'202 、212使用者 191 ISP網域 192 、 194 、196、198認證管理器 204'206 、208企業 214 客戶端裝置 216 瀏覽器應用程式 218 客戶端應用程式 220 HTTP通訊構件 222 標記語言解譯器 224 網站服務客戶端 230 後端處理構件 232 認證服務執行伺服器 4IBM/05145TW ； AUS9-2004-0365TWl(JHW) 1378695 234 應用程式伺服器 235 保護資源 236 傳統使用者註冊應用程式 238 傳統使用者註冊資料 242 接觸點伺服器 244 信任代理伺服器 245 安全符記服務 246 聯合使用者生命週期管理伺服器/服務 247 聯合組態應用程式 248 聯合介面單元 250、260 企業 252、262接觸點伺服器 254、 264信任代理器 255、 265安全符記服務構件 256、 266認證服務執行期 268、280、450信任仲介器 27卜272、273聯合網域 274、275、276信任代理器 277、278、279信任關係 400 使用者 410 企業/網域 412、422、432接觸點伺服器 136 4ffiM/05145TW ； AUS9-2004-0365TW1(JHW) ⑧ 1378695 414、424、434信任代理器 420、430 網域

502 接觸點伺服器/服務 504 應用程式伺服器 510、 512防火牆 508 聯合使用者生命週期管理應用程式 514 聯合使用者生命週期管理外掛程式 520 使用者請求 524 請求 702 聯合使用者生命週期管理應用程式 704 信任服務 706 信任服務啟動/訊息 708 信任關係管理功能 710 金鑰管理服務 712 安全符記服務 714 安全符記外掛程式 716 識別証服務 800 企業網域 802 架構功能改變 804 現有運算環境功能 806 聯合架構功能 808 接觸點功能及聯合運作功能之結合 43BM/05145TW '* AUS9-20〇4-〇365TWl(JHW) 1378695 810 信任關係管理功能 812 受保護的資源 816 接觸點功能 818 功能運作功能 820 接觸點功能 824 聯合使用者生命週期管理功能 826 聯合關係功能 902 聯合關係 904 信任關係 906 聯合作業/功能 912 第一聯合關係 914 第一信任關係 916、926 —組聯合作業/功能 922 第二聯合關係 924 第二信任關係 1002、1004 夥伴 1006、1012互動資料流 1008、1010設定作業 1102、1104聯合夥伴 1106 信任關係管理控制台應用程式 1108 符記類型 1110 密碼金鑰 4ffiM/05145TW ； AUS9-2004-0365TWl(JHW) 138 1378695 1112 識別証轉變 1114 信任關係資料庫 1202 使用執行期環境管理控制台應用程式 1300 聯合關係管理控制應用程式 1302 信任關係資料庫 1304 信任關係資料庫項目 1306 元組(tuple) 1308 密碼金鑰資訊 1310 符記格式資訊 1312 識別証轉變資訊 1314 設定及/或屬性檔 1316 註冊資料 1318 個體 1320 欄位 1322 聯合關係資料庫 1324 聯合關係資料庫項目 1326 信任關係資料 1328 信任關係元組 1330 密碼金鑰 1332 符記格式資訊 1334 識別站/屬性轉變資訊 1336、1338 功能 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 139 1378695 1340、1342中繼資料資訊 1344、1346資料項目 1348 樣版檔 1350 對話視窗 1352、1354下拉式選項單 1356 文字項目欄位 1358、1360 按鍵 1362 資料項目 1501、1503聯合請求 1507 FULM應用程式的外掛程式 1511 請求 1513 協定外掛程式 4IBM/05145TW ； AUS9-2004-0365TW1(JHW) 140

Claims (1)

1378695 案號：94142705 101年9月1丨日修正一替換頁 十、申請專利範圍： 1. 一種在一資料處理系統中提供聯合功能之方法，該方法包 含·· 定義一組態資料’其中該組態資料描述一識別証提供者與 複數個請求者之間的一聯合關係； 組態一聯合關係資料，該聯合關係資料對一第一專門執行 期係特定的’其巾識別tit提供者之_資料係由該所組態之聯 合關係資料所覆蓋(overriden); 為存取聯合服務在一第一運算系統接收來自該識別証提 供者之具有第-執行期參數❾一第一請求，其中該第一請求係 由該複數個請求者中的一第一請求者所為； 檢視該第-請求錢定由該第—執躺參數所識組 態資料； * 取 使用由該第—執行期參數所識綱域資料啟動-應用 程式，其中該組態資㈣在職用程式啟動期·動態地榻

使用在該第一請求之該第一運算系统一 _ 參數實例化該第-專聰行期，其中該第—專執 _資料提供所請求之聯合服務給該第-請求者，其中= 資料係在該第—專門執行期之實例化期間被動態地擷取^ 使用該第-專門執行期提供該所請求之聯合服務。 141 案號：94142705 101年9月丨1曰修正一替換頁 3與Ϊ3雖供者之間的該聯合關係之該組態資料授權 甘δ月求項1所述之方法，更包含實例化一第二專門執行期 其k供聯合服務_魏悔求者_的—第三請求者，並根據 ，第三請求者與該識顺提供者之間的制合關係之該组態 :料授權該第三請求者，且其中該第一及第二專門執行期所提 供之該聯合服務係相同。 4.如請求項1所述之方法，其中該定義組態資料步驟更包含 組態-全域特定資料(gl〇bal咖制㈣之步驟，該資料為該 識別証提供者層狀所有聯合_所共有。 5·如請求項1所述之方法，其中該定義組態資料步驟更包含 為該複數個請求者巾的每—請求者組態特定資料之步驟。 \如請求項5所述之方法，其卜全域識別証提供者之預設 組癌資料或聯合關係資料，係自為該複數個請求者中的每一請 求者所組態之特定資料所覆蓋(〇verriden)。 ° 7. 一種電腦程式產品’其包含存有可執行指令之一電腦可讀 取媒體，其中在-運算元件執行時，電腦可讀取程式碼將使該 運算元件去執行如請求項1至6之任一項所述之方法，以在一 142 1378695 案號：94142705 101年9月11曰修正一替換頁 資料處理系統中提供聯合功能。 8. 一種在一資料處理系統中提供聯合功能之裝置，該裝置包 含： 一匯流排(bus)系統； 一記憶體連接該匯流排系統，其中該記憶體包含一組指 令；以及 一處理單元連接該匯流排系統，其中該處理單元執行該組 指令以完成如請求項1至6之任一項所述之方法》 143 I?78695 / / ~ '---一年/¾々日修繼胃 1623

1378695 / < -Ja-q SIS wr/ 【S2 699T

S99T < S3、橘 PB-UV . 1S2 雎 ^iso^^osss-in18^

il

\ »—·« —

S9T SST S9i