TWI439883B - 在聯合環境中供識別提供者用之數位權利管理(drm)致能之策略管理 - Google Patents
在聯合環境中供識別提供者用之數位權利管理(drm)致能之策略管理 Download PDFInfo
- Publication number
- TWI439883B TWI439883B TW098133268A TW98133268A TWI439883B TW I439883 B TWI439883 B TW I439883B TW 098133268 A TW098133268 A TW 098133268A TW 98133268 A TW98133268 A TW 98133268A TW I439883 B TWI439883 B TW I439883B
- Authority
- TW
- Taiwan
- Prior art keywords
- drm
- user
- provider
- policy
- federated
- Prior art date
Links
- 238000012545 processing Methods 0.000 claims description 77
- 238000000034 method Methods 0.000 claims description 52
- 230000004044 response Effects 0.000 claims description 29
- 238000011156 evaluation Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 71
- 239000003795 chemical substances by application Substances 0.000 description 52
- 238000004891 communication Methods 0.000 description 32
- 238000013519 translation Methods 0.000 description 31
- 230000014616 translation Effects 0.000 description 31
- 238000010586 diagram Methods 0.000 description 16
- 230000001419 dependent effect Effects 0.000 description 14
- 230000009471 action Effects 0.000 description 13
- 238000013507 mapping Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000012805 post-processing Methods 0.000 description 11
- 238000007781 pre-processing Methods 0.000 description 11
- 230000001960 triggered effect Effects 0.000 description 11
- 230000003993 interaction Effects 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 7
- 230000008520 organization Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000008407 joint function Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Multimedia (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Human Resources & Organizations (AREA)
- Tourism & Hospitality (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Strategic Management (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
Description
本發明大體而言係關於聯合環境中使用者會期之管理。
聯合環境係此項技術中所熟知的。2004年7月21日申請之美國公開案第2006/0021018號具有代表性。聯合為合作以將單次登入、易用體驗提供給使用者的一組獨特實體,諸如企業、組織、協會或其類似者;聯合環境與典型單次登入環境之不同之處在於,兩個企業不必具有定義如何傳送關於使用者之資訊及傳送關於使用者之何種資訊之直接、預先建立關係。在聯合環境內,實體提供處理進行鑑認的使用者、接受由其他實體提出之鑑認聲明(例如,鑑認符記),及提供受擔保使用者之識別至本端實體內可理解之識別的某一形式之轉譯的服務。聯合減輕了服務提供者之管理負擔。服務提供者總體上可依賴其相對於聯合之信任關係;服務提供者不必管理諸如使用者密碼資訊之鑑認資訊,因為服務提供者可依賴由使用者之鑑認本籍網域或識別提供者實現之鑑認。
聯合實體可充當使用者之本籍網域,該本籍網域提供關於聯合使用者之識別資訊及屬性資訊。可將聯合計算環境內之提供識別資訊、識別或鑑認聲明或識別服務之實體稱為識別提供者。同一聯合內之其他實體或聯合夥伴可依賴識別提供者來進行使用者之鑑認憑證之主要管理(例如,接受由使用者之識別提供者提供之單次登入符記);可將使用者進行鑑認所在的網域稱為使用者之(鑑認)本籍網域。識別提供者為將識別資訊作為服務提供給聯合計算環境內之其他實體的特定類型之服務。就大部分聯合交易而言,鑑認聲明之發行方通常為識別提供者;可將任何其他實體與該識別提供者相區別。可將在聯合計算環境內提供服務之任何其他實體分類為服務提供者。一旦使用者已向識別提供者鑑認,便可在給定聯合會期或給定聯合交易之持續時間中將聯合中之其他實體或企業僅看作為服務提供者。
數位權利管理(DRM)為用於保全數位內容之熟知技術。DRM藉由在分配之前對內容加密及藉由將存取權僅限於彼等已獲得播放內容之適當許可證之終端使用者而起作用。通常,DRM許可證實行措施係在播放器/用戶端進行。完整的DRM系統通常包含若干部分:加密、商業邏輯及許可證遞送。DRM藉由加密內容開始。一旦內容經加密,便需要密鑰來解鎖(解密)內容。經加密內容可經由熟知遞送方法遞送至終端使用者。通常,希望獲得內容之終端使用者訪問一電子商務web網站且與商業邏輯處理程序交易(其通常涉及登錄、登入及/或付款中之一者);一旦此完成,便發行終端使用者播放內容之許可證。所發行之許可證通常包含(i)密鑰(用於解密內容)、(ii)一組權利(例如,僅播放一次、播放30天或其類似者)及(iii)許可證僅在其所發行至的終端使用者機器上有效之特性。當終端使用者試圖播放受DRM保護之內容時,播放器首先檢查以查看本端機器上是否存在許可證;若存在,則藉由解密內容開始播放。若未找到許可證,則播放器試圖獲得許可證,通常試圖自嵌入內容中之店面URL(storefront URL)獲得。
一種在識別提供者處操作之方法,該方法實現與一段內容相關聯之數位權利管理(DRM)方案。服務提供者通常為內容提供者。識別提供者為參加具有一或多個其他實體(包括,例如,服務提供者(諸如,內容提供者)、DRM特殊權限提供者及DRM策略提供者)之「聯合」的實體。在一實施例中,方法開始於識別提供者獲得及對照DRM策略來評估與請求存取該段內容之終端使用者相關聯之DRM特殊權限集合。基於該評估,識別提供者產生包括對DRM特殊權限集合之一參照的單次登入(SSO)訊息。接著,將訊息轉發至服務提供者實體,該服務提供者實體向終端使用者提供一回應。
識別提供者、服務提供者、DRM特殊權限提供者及DRM策略提供者之功能促進了DRM策略致能之聯合。DRM特殊權限提供者及DRM策略提供者之功能中之一或多者可與識別提供者及/或服務提供者整合。
前述內容已概述了本發明之較相關特徵中之一些。此等特徵應被解釋為僅為說明性的。如將描述,許多其他有益結果可藉由以不同方式應用所揭示之發明或藉由修改本發明而獲得。
為了更全面地理解本發明及其優點,現結合隨附圖式參考以下描述。
現參看諸圖,圖1A描繪資料處理系統之典型網路,資料處理系統中之每一者可實施本文中所揭示之標的。分散式資料處理系統100含有網路101,網路101為可用以提供在分散式資料處理系統100內連接在一起之各種設備與電腦之間的通信鏈路的媒體。網路101可包括永久連接(諸如,導線或光纖電纜)或經由電話或無線通信而進行之暫時連接。在所描繪實例中,伺服器102及伺服器103連同儲存單元104連接至網路101。另外,用戶端105至107亦連接至網路101。用戶端105至107及伺服器102至103可藉由諸如主機、個人電腦、個人數位助理(PDA)等等之多種計算設備表示。分散式資料處理系統100可包括未圖示之額外伺服器、用戶端、路由器、其他設備及同級間架構。
在所描繪實例中,分散式資料處理系統100可包括網際網路,其中網路101表示使用各種協定(諸如,輕型目錄存取協定(LDAP)、傳輸控制協定/網際網路協定(TCP/IP)、超文字傳輸協定(HTTP)等)相互通信之網路及閘道器之全球集合。當然,分散式資料處理系統100亦可包括許多不同類型之網路,諸如,企業內部網路、區域網路(LAN)或廣域網路(WAN)。舉例而言,伺服器102直接支援用戶端109及網路110,網路110併入有無線通信鏈路。網路致能之電話111經由無線鏈路112而連接至網路110,且PDA 113經由無線鏈路114而連接至網路110。電話111及PDA 113亦可使用適當技術(諸如,BluetoothTM
無線技術)直接在其自身之間跨越無線鏈路115而傳送資料以建立所謂的個人區域網路或個人特用網路。以類似方式,PDA 113可經由無線通信鏈路116而將資料傳送至PDA 107。
本文中之標的可實施於多種硬體平台及軟體環境上。圖1A意欲作為異質計算環境之實例且不作為針對本發明之架構性限制。
現參看圖1B,圖解描繪可實施本發明之資料處理系統(諸如,圖1A所示之資料處理系統)的典型電腦架構。資料處理系統120含有連接至內部系統匯流排123之一或多個中央處理單元(CPU)122,內部系統匯流排123互連隨機存取記憶體(RAM)124、唯讀記憶體126及輸入/輸出配接器128,輸入/輸出配接器128支援各種I/O設備,諸如,印表機130、磁碟機132或未圖示之其他設備(諸如,音訊輸出系統等等)。系統匯流排123亦連接提供對通信鏈路136之存取之通信配接器134。使用者介面配接器148連接各種使用者設備,諸如,鍵盤140及滑鼠142,或未圖示之其他設備(諸如,觸控式螢幕、尖筆、麥克風等等)。顯示器配接器144將系統匯流排123連接至顯示設備146。
一般熟習此項技術者應瞭解,圖1B中之硬體可取決於系統實施而變化。舉例而言,系統可具有一或多個處理器(諸如,基於之處理器及數位信號處理器(DSP)),及一或多個類型之揮發性記憶體及非揮發性記憶體。除了圖1B所描繪之硬體以外或代替圖1B中所描繪之硬體,可使用其他周邊設備。所描繪實例不意謂暗示關於本發明之架構性限制。
除了能夠實施於多種硬體平台上以外,本發明可實施於多種軟體環境中。典型作業系統可用以控制每一資料處理系統內之程式執行。舉例而言,一設備可執行作業系統,而另一設備含有簡單的執行時間環境。代表性電腦平台可包括瀏覽器,其為用於存取以多種格式之超文字文件(諸如,圖形檔案、文書處理檔案、可延伸性標記語言(XML)、超文字標記語言(HTML)、掌上型設備標記語言(HDML)、無線標記語言(WML),及各種其他格式及類型之檔案)的熟知軟體應用程式。亦應注意,圖1A所示之分散式資料處理系統被預期為完全能夠支援多種同級間子網路及同級間服務。
給出一些當前技術之先前簡短描述後,剩餘圖之描述係關於可操作本發明之聯合電腦環境。然而,在更詳細地論述本發明之前,引入一些術語。
如本文中所使用,術語「實體」或「一方」通常指代組織、個體或系統,其代表組織、個體或另一系統而操作。術語「網域」意味著網路環境內之額外特性,但術語「實體」、「一方」及「網域」可被互換地使用。舉例而言,術語「網域」亦可指代DNS(網域名稱系統)網域,或更一般化地指代包括各種設備及應用程式(其表現為至外部實體之邏輯單元)之資料處理系統。
術語「請求」及「回應」應被理解成包含適於傳送特定操作中所涉及之資訊(諸如,訊息、通信協定資訊或其他關聯資訊)的資料格式化。受保護資源為存取經控制或限制所針對之資源(應用程式、物件、文件、頁、檔案、可執行碼,或其他計算資源、通信型資源等等)。
符記提供成功操作之直接證據且係藉由執行操作之實體產生,例如,在成功鑑認操作之後所產生之鑑認符記。Kerberos符記為可用於本發明之鑑認符記之一實例。可在1993年9月網際網路工程工作小組(IETF)意見請求(RFC)1510之Kohl等人的「The Kerberos Network Authentication Service(V5)」中尋找到關於Kerberos之更多資訊。
聲明提供某動作之間接證據。聲明可提供識別、鑑認、屬性、授權決策或其他資訊及/或操作之間接證據。鑑認聲明提供藉由不為鑑認服務但收聽鑑認服務之實體之鑑認的間接證據。
安全聲明標記語言(SAML)聲明為可用於本發明之可能聲明格式之實例。SAML已藉由結構化資訊標準開發組織(OASIS)頒布,該組織為非營利的全球社團。2002年5月31日之委員會規格01之「Assertions and Protocol for the OASIS Security Assertion Markup Language(SAML)」中描述SAML,如下:安全聲明標記語言(SAML)為用於交換安全資訊之基於XML之構架。此安全資訊係以關於主體之聲明之形式表達,其中主體為具有在某安全網域中之識別之實體(人類或電腦)。主體之典型實例為人,其係藉由其在特定網際網路DNS網域中之電子郵件位址進行識別。聲明可輸送關於藉由主體所執行之鑑認動作、主體之屬性及關於是否允許主體存取特定資源之鑑認決策的資訊。聲明經表示為XML建構且具有巢套式結構,藉以單一聲明可能含有關於鑑認、授權及屬性之若干不同內部敍述。應注意,含有鑑認敍述之聲明僅僅描述先前發生之鑑認動作。聲明係藉由SAML機構(亦即,鑑認機構、屬性機構及策略決策點)發行。SAML定義可供用戶端向SAML機構請求聲明且自SAML機構取得回應之協定。由基於XML之請求及回應訊息格式組成之此協定可繫結於許多不同基礎通信及傳輸協定;SAML當前定義至經由HTTP之SOAP(SOAP over HTTP)之一繫結。SAML機構可將各種資訊來源(諸如,作為請求中之輸入所接收之外部策略儲存及聲明)用於建立其回應。因此,雖然用戶端始終消費聲明,但SAML機構可為聲明之生產者及消費者兩者。
SAML規範說明聲明一資訊封包,其供應藉由發行者所進行之一或多個敍述。SAML允許發行者進行三個不同種類之聲明敍述:鑑認,其中藉由特定方式在特定時間鑑認指定主體;授權,其中已授與或拒絕對允許指定主體存取指定資源之請求;及屬性,其中使指定主體與所供應屬性相關聯。如下文進一步所論述,可在必要時將各種聲明格式轉譯為其他聲明格式。
鑑認為確認藉由使用者或代表使用者所提供之憑證集合的處理程序。鑑認係藉由驗證使用者所知曉之某物、使用者所具有之某物或使用者所充當之某物(亦即,關於使用者之某實體特性)完成。使用者所知曉之某物可包括諸如使用者之密碼之共有秘密,或藉由驗證僅為特定使用者所知曉之某物(諸如,使用者之密碼編譯密鑰)。使用者所具有之某物可包括智慧卡或硬體符記。關於使用者之某實體特性可能包括諸如指紋或視網膜圖之生物測定輸入。應注意,使用者通常(但未必)為自然人;使用者可為使用計算資源之機器、計算設備或其他類型之資料處理系統。亦應注意,使用者通常(但未必)佔有單一唯一識別符;在一些情形中,可使多個唯一識別符與單一使用者相關聯。
鑑認憑證為用於各種鑑認協定中之查問/回應資訊集合。舉例而言,使用者名稱及密碼之組合為最熟悉形式之鑑認憑證。其他形式之鑑認憑證可包括各種形式之查問/回應資訊、公用密鑰基礎架構(PKI)證書、智慧卡、生物測定等等。鑑認憑證不同於鑑認聲明:鑑認憑證係作為鑑認協定序列之一部分而由使用者向鑑認伺服器或服務提出,且鑑認聲明為關於使用者之鑑認憑證之成功提出及確認的敍述,其隨後在必要時在實體之間傳送。
在全球資訊網之環境下,使用者開始期盼在最少考慮每一特定網域之間的資訊障壁的情況下自與一個網際網路網域上之一應用程式之互動跳至另一網域上之另一應用程式的能力。使用者不想要由於必須針對單一交易向多個網域鑑認而導致之挫折感。換言之,使用者期盼各組織能交換操作,但使用者通常希望網域尊重其隱私。此外,使用者可能更喜歡限制會永久地儲存私人資訊之網域。此等使用者期盼存在於快速演進之異質環境中,在其中許多企業及組織在頒布相互競爭的鑑認技術。
本文中之標的在一允許企業向使用者提供單次登入體驗之聯合模型內受到支援。換言之,本發明可在一聯合異質環境內實施。作為可自一聯合異質環境獲益之交易之一實例,使用者能夠向一網域鑑認,且接著令該網域將適當聲明提供給一交易中可能涉及之每一下游網域。此等下游網域需要能夠理解且信任鑑認聲明及/或其他類型之聲明,即使該網域與此等其他下游網域之間不存在預先建立之聲明格式。除了辨識聲明之外,該等下游網域需要能夠將一聲明中所含之識別轉譯成在一特定網域內表示該使用者之一識別,即使不存在預先建立之識別映射關係。
本文中之標的係在一聯合環境內被支援。一般而言,一企業具有其自有的使用者登錄檔且維持與其自有的使用者集合之關係。每一企業通常具有其自有的鑑認此等使用者之方法。然而,供本發明使用之聯合方案允許企業以集體方式協作,使得一企業中之使用者可經由企業在企業聯合中之參與而充分利用與企業集合之關係。使用者可經授與對在聯合企業中之任一者處之資源的存取,猶如其具有與每一企業之直接關係。不要求使用者登錄所關注之每一業務,且不經常要求使用者識別及鑑認其自身。因此,在此聯合環境內,鑑認方案允許在資訊技術中在快速演進之異質環境內之單次登入體驗。
在本發明之情況下,聯合為合作以將單次登入、易用體驗提供給使用者的一組獨特實體,諸如企業、企業內之邏輯單元、組織、協會等;聯合環境與典型單次登入環境之不同之處在於,兩個實體不必具有定義如何傳送關於使用者之資訊及傳送關於使用者之何種資訊之直接、預先建立關係。在一聯合環境內,實體提供處理鑑認使用者、接受由其他實體提出之鑑認聲明(例如,鑑認符記),及提供受擔保使用者之識別至本端實體內可理解之識別的某一形式之轉譯的服務。
聯合減輕了服務提供者之管理負擔。服務提供者總體上可依賴其相對於聯合之信任關係;服務提供者不必管理諸如使用者密碼資訊之鑑認資訊,因為服務提供者可依賴由使用者之鑑認本籍網域或一識別提供者實現之鑑認。
支援本發明之系統亦關於一聯合識別管理系統,其建立一基礎(foundation),在該基礎中,鬆散地耦合之鑑認、使用者註冊、使用者設定檔管理及/或授權服務跨越多個安全網域進行合作。聯合識別管理允許駐留於全異安全網域中之服務安全地交互操作及合作,即使此等全異網域處之下層安全機制及作業系統平台可能存在差異。
如上文所提及且如下文將進一步更詳細地予以解釋,聯合環境提供顯著的使用者利益。聯合環境允許使用者在第一實體處進行鑑認,該第一實體可充當一發行方以發行一關於使用者之鑑認聲明以供在第二實體處使用。藉由提交由該第一實體發行之鑑認聲明,使用者可接著存取第二獨特實體(稱為依賴方)處之受保護資源,而不必公然地在該第二實體處進行重鑑認。自發行方傳遞至依賴方之資訊呈聲明之形式,且此聲明可含有不同類型之呈陳述形式之資訊。舉例而言,聲明可為關於使用者之經鑑認識別之陳述,或聲明可為關於與特定使用者相關聯之使用者屬性資訊之陳述。此外,此資訊可由依賴方用以基於依賴方之存取控制規則、識別映射規則及可能的由依賴方維持之一些使用者屬性而提供對依賴方之資源之存取。
現參看圖2,方塊圖描繪關於一交易之聯合環境之術語,該交易由一使用者向一第一聯合企業開始,該第一聯合企業回應地調用該聯合環境內之下游實體處之動作。圖2展示,對於一給定聯合操作,術語可取決於聯合內之實體之觀點而不同。更具體言之,圖2說明一支援本發明之計算環境支援信任之傳遞性(transitivity)及鑑認聲明過程之傳遞性;一網域或一實體可基於其對一識別(由另一網域或另一實體聲明)之信任而發行一聲明。
使用者202經由對企業204處之一受保護資源之請求開始一交易。若使用者202已由企業204鑑認或在一交易過程期間最終將由企業204鑑認,則可針對此聯合會期將企業204稱為使用者之本籍網域。假設交易需要企業206所進行的某一類型之操作且企業204將一聲明傳送至企業206,則企業204為關於該特定操作之發行實體,且企業206為該操作之依賴實體。
發行實體發行一聲明以供依賴網域使用;發行實體通常(但不必定)為使用者之本籍網域或使用者之識別提供者。因此,情況通常如下:發行方已使用一典型鑑認操作鑑認使用者。然而,發行方先前有可能充當依賴方,藉此發行方自一不同發行方接收了一聲明。換言之,因為使用者開始之交易可在一聯合環境內經由一系列企業級聯,所以一接收方隨後可充當一下游交易之發行方。一般而言,具有代表使用者發行鑑認聲明之能力之任何實體可充當發行實體。
依賴實體為自一發行實體接收聲明之實體。依賴方能夠接受、信任且理解由代表使用者之第三方(亦即,發行實體)發行之一聲明;依賴實體之責任通常為使用一適當鑑認權威機構解譯鑑認聲明。依賴方為依賴一代表使用者或另一實體提出之聲明之實體。以此方式,使用者可在依賴實體處獲得單次登入體驗,而不需要依賴實體作為與使用者之互動會期之一部分而提示使用者提供使用者之鑑認憑證。
再參看圖2,假設交易需要其他操作,使得企業206將一聲明傳送至企業208,則企業206為一相對於後續或第二交易操作充當發行實體之上游實體,且企業208為充當該操作之依賴實體之下游實體;在此情況下,可相對於原始交易將企業208看作為另一下游實體,儘管亦可僅相對於兩個實體來描述該後續交易。
如圖2中所示,一聯合實體可充當一使用者之本籍網域,該本籍網域提供關於聯合使用者之識別資訊及屬性資訊。可將在一聯合計算環境內之提供識別資訊、識別或鑑認聲明或識別服務之實體稱為識別提供者。同一聯合內之其他實體或聯合夥伴可依賴一識別提供者來進行使用者之鑑認憑證之主要管理(例如,接受由使用者之識別提供者提供之單次登入符記);可將使用者鑑認於之網域稱為使用者之(鑑認)本籍網域。識別提供者可實體地由使用者之雇主、使用者之ISP或某一其他商業實體支援。
識別提供者為將識別資訊作為服務提供給一聯合計算環境內之其他實體的特殊類型之服務。就大部分聯合交易而言,鑑認聲明之發行方通常為一識別提供者;任何其他實體可區別於該識別提供者。可將在聯合計算環境內提供服務之任何其他實體分類為服務提供者。一旦使用者已向識別提供者鑑認,便可在一給定聯合會期或一給定聯合交易之持續時間中將聯合中之其他實體或企業僅看作為服務提供者。
在一些情況下,一聯合環境內可存在可充當使用者之識別提供者的多個實體。舉例而言,使用者可在多個聯合網域處具有帳戶,該等網域中之每一者皆能夠充當使用者之識別提供者;此等網域不必定具有關於其他網域或使用者在一不同網域處之識別之資訊。
儘管一聯合環境內可存在可充當識別提供者之多個企業係可能的(例如,因為可存在具有產生並驗證一使用者之鑑認憑證等之能力的多個企業),但聯合交易通常僅涉及單一識別提供者。若僅存在能夠鑑認使用者之單一聯合實體(例如,因為在聯合內僅存在使用者已向其執行聯合註冊或登錄操作的的一個實體),則預期此實體充當使用者之識別提供者以便支援使用者在整個聯合環境中的交易。
在需要多個服務提供者之交互操作的一些聯合交易內,一下游服務提供者可接受一來自一上游服務提供者之聲明;一上游服務提供者可充當一充當依賴方之下游服務提供者之發行實體的條件可取決於該等服務提供者之間的信任關係之類型及該等服務提供者之間的交易之類型。然而,在單純的聯合交易之範疇內,僅存在一個充當發行實體之實體。
本發明可在給定計算環境內受到支援,在該給定計算環境中,可將一聯合基礎架構添加至現存系統,同時最小化對現存非聯合架構之影響。因此,任何給定企業或服務提供者處之操作(包括鑑認操作)不必定被一實體亦可參與到一聯合環境內之事實改變。換言之,儘管一實體之計算系統可整合至一聯合環境中,一使用者亦可能能夠繼續以一非聯合方式直接地與一企業執行各種操作(包括鑑認操作)。然而,使用者在執行一關於一給定實體的聯合操作時可能能夠具有相同的終端使用者體驗,就好象使用者以一非聯合方式與給定實體執行一類似操作一般。因此,應注意,當給定企業參加一聯合時,並非給定企業之所有使用者都必須參與聯合交易;企業之使用者中之一些可與企業之計算系統互動而不執行任何聯合交易。
此外,在一給定企業之計算環境內之使用者登錄(例如,電腦系統中之使用者帳戶之建立)不必定被該企業亦可參與到一聯合環境內的事實改變。舉例而言,一使用者仍可經由與聯合環境無關之一舊式或預先存在之登錄過程而在一網域處建立一帳戶。因此,在一些情況下,當企業參與到一聯合計算環境內時,在企業處使用者帳戶之建立可能包括或可能不包括建立在一聯合中有效的帳戶資訊。
現參看圖3,方塊圖描繪一給定網域處之預先存在之資料處理系統與可用以支援本發明之一實施例的一些聯合架構組件之整合。聯合環境包括為使用者提供各種服務之聯合實體。使用者312與可支援瀏覽器應用程式316及各種其他用戶端應用程式318之用戶端設備314互動。使用者312不同於用戶端設備314、瀏覽器316或充當使用者與其他設備及服務之間的介面之任何其他軟體。在一些情況下,以下描述可用來區分明顯地在用戶端應用程式內動作之使用者與代表使用者動作之用戶端應用程式。但一般而言,請求者為一可被假設為代表使用者動作之中間體,諸如基於用戶端之應用程式、瀏覽器、SOAP用戶端等。
瀏覽器應用程式316可為包括在行動設備上可見的瀏覽器之典型瀏覽器,其包含許多模組,諸如HTTP通信組件320及標記語言(ML)解譯器322。瀏覽器應用程式316亦可支援外掛程式(plug-in),諸如web服務用戶端324,及/或可能需要或可能不需要虛擬機器執行時間環境之可下載小應用程式(applet)。Web服務用戶端324可使用簡單物件存取協定(SOAP),其為用於定義非集中、分散式環境中之結構化及類型化資訊之交換之一輕型協定。SOAP為由三個部分組成的一基於XML之協定:一包絡(envelope),其定義用於描述訊息中之內容及如何處理其之一框架;一組編碼規則,其用於表述應用程式定義之資料類型之例項;及一約定,其用於表示遠端程序呼叫及回應。使用者312可使用瀏覽器應用程式316存取基於web之服務,但使用者312亦可經由用戶端設備314上之其他web服務用戶端存取web服務。聯合操作中之一些可經由使用者之瀏覽器使用HTTP重定向以在一聯合環境中之實體之間交換資訊。然而,應注意,本發明可由各種通信協定支援且不意謂限於基於HTTP之通信。舉例而言,聯合環境中之實體在必要時可直接通信;訊息不需要經由使用者之瀏覽器重定向。
可以可將一聯合環境所需之組件與預先存在之系統整合的方式來支援本文中之標的。圖3描繪用於將此等組件實施為一預先存在之一系統之前端之實施例。可將一聯合網域處之預先存在之組件視為舊式應用程式或後端處理組件330,其以類似於圖4所示之方式的方式包括鑑認服務執行時間(ASR)伺服器332。ASR伺服器332負責在網域控制對應用伺服器334之存取時鑑認使用者,該存取可被認為產生、擷取、或以其他方式支援或處理受保護資源335。網域可繼續使用舊式的使用者登錄應用程式336來登錄使用者以存取應用伺服器334。關於舊式操作鑑認一已登錄使用者所需之資訊儲存於企業使用者登錄檔338中;聯合組件亦可能可存取企業使用者登錄檔338。
在加入一聯合環境之後,網域可在無聯合組件介入之情況下繼續操作。換言之,網域可經組態以使得使用者可繼續直接存取特定應用伺服器或其他受保護資源而不通過一聯絡點伺服器或實施此聯絡點伺服器功能性之其他組件;以此方式存取系統之使用者將經歷典型鑑認流程及典型存取。然而,如此作時,直接存取舊式系統之使用者將不能建立為網域之聯絡點伺服器所知之聯合會期。
可經由使用聯合前端處理340將網域之舊式功能性整合至一聯合環境中,聯合前端處理340包括聯絡點伺服器342及信任代理伺服器344(或更簡單地,信任代理344或信任服務),信任代理伺服器344本身與安全符記服務(STS)346互動,該等組件將參看圖4在下文予以更詳細描述。聯合組態應用程式348允許一管理使用者組態該等聯合前端組件以允許該等組件經由聯合介面單元350與舊式的後端組件介接。聯合功能性可在獨特的系統組件或模組中實施。在一較佳實施例中,用於執行聯合操作之功能性之大部分可由單一聯合應用程式內的邏輯組件之一集合實施;聯合使用者生命週期管理應用程式352包括信任服務344以及單次登入協定服務(SPS)354。信任服務344可包含作為聯合功能性之一部分的識別及屬性服務(IAS)356,其負責識別映射操作、屬性擷取等。識別及屬性服務356亦可在單次登入操作期間由單次登入協定服務354使用。聯合使用者登錄檔358可在特定情況下用以維持用於聯合特定之(federation-specific)用途的使用者相關資訊。
給定企業處之舊式的或預先存在之鑑認服務可使用各種熟知的鑑認方法或符記,諸如使用者名稱/密碼或基於智慧卡符記之資訊。然而,在用於支援本發明之一較佳聯合計算系統中,可經由使用聯絡點伺服器而在一聯合環境中使用舊式鑑認服務之功能性。使用者可繼續直接存取一舊式鑑認伺服器而不通過聯絡點伺服器,儘管以此方式存取系統之使用者將經歷典型鑑認流程及典型存取;直接存取舊式鑑認系統之使用者將不能根據本發明產生聯合鑑認聲明作為識別證明。聯合前端的作用之一為將在聯絡點伺服器處接收到之一聯合鑑認符記轉譯成由舊式鑑認服務理解之格式。因此,經由聯絡點伺服器存取聯合環境之使用者不必定需要向舊式鑑認服務重新鑑認。較佳地,聯絡點伺服器與信任代理之組合將向一舊式鑑認服務鑑認使用者,以使得表現得如同使用者參加了一鑑認對話。
現參看圖4,方塊圖描繪一聯合架構內之一些組件可藉以用來建立信任關係之方式之一實例。一聯合環境包括為使用者提供各種服務之聯合企業或類似實體。經由用戶端設備上之應用程式,使用者可試圖存取各種實體(諸如企業410)處之資源。每一聯合企業處之聯絡點伺服器(諸如企業410處之聯絡點(POC)伺服器412)為來自一用戶端之用以存取由企業410支援且提供之資源之請求進入至聯合環境中之入口點。該聯絡點伺服器最小化對一現存非聯合架構(例如,舊式系統)內之現存組件之影響,因為該聯絡點伺服器處置聯合要求中之許多者。該聯絡點伺服器提供會期管理、協定轉換,且可能開始鑑認及/或屬性聲明轉換。舉例而言,該聯絡點伺服器可將HTTP或HTTPS訊息轉譯為SOAP,反之亦然。如下文將進一步更詳細地予以解釋,該聯絡點伺服器亦可用以調用一信任代理以轉譯聲明,例如,自一發行方接收之SAML符記可被轉譯成由接收方理解之一Kerberos符記。
信任服務(亦稱為信任代理、信任代理伺服器或信任服務)(諸如,企業410處之信任代理(TP)414)建立並維持聯合中之兩個實體之間的信任關係。信任服務通常具有處置自由發行方使用之一格式至由接收方理解之一格式之鑑認符記格式轉譯(經由安全符記服務,其將在下文中進一步更詳細地描述)之能力。
共同地,對聯絡點伺服器及信任服務之使用最小化了實施一聯合架構對系統之現存的非聯合集合之影響。因此,例示性聯合架構需要為每一聯合實體實施至少一聯絡點伺服器及至少一信任服務,不管該實體是企業、網域還是其他邏輯或物理實體。但是,例示性聯合架構不必定需要對系統之現存的非聯合集合做任何改變。較佳地,存在用於給定聯合實體之單一信任服務,雖然出於可用性目的而可能存在信任服務組件之多個例項,或可能存在用於一聯合實體內之各種較小實體(例如,一企業內之獨立附屬機構)之多個信任服務。一給定實體有可能屬於一個以上聯合,雖然此情形不必定需要多個信任服務,因為單一信任服務可能能夠管理多個聯合內之信任關係。
信任服務之一作用可為確定或負責確定另一網域及/或彼網域內之信任服務所需之符記類型。信任服務具有處置自發行方所使用之格式至接收方可理解之格式的鑑認符記格式轉譯之能力或責任。信任服務414亦可負責針對企業410出現之任何使用者識別轉譯或屬性轉譯,或此責任可由一獨特的識別及屬性服務(例如,諸如圖3中所示之識別及屬性服務356)支援。此外,信任服務可支援將別名實施作為使用者識別之表示,其唯一地識別使用者而不提供關於使用者之真實世界識別之任何額外資訊。此外,信任代理可發行授權及/或會期憑證以供聯絡點伺服器使用。然而,信任服務可調用一信任中介者用於輔助,如下文將進一步描述。可能需要識別轉譯以將為發行方已知的使用者之識別及屬性映射至對接收方有意義的識別及屬性。此轉譯可由發行實體處之信任服務、接收實體處之信任服務或其兩者調用。
信任服務414或如上文所提及之獨特識別及屬性服務可包括一展示為安全符記服務(STS)組件416之內在化組件(或與之互動),其將提供符記轉譯且將調用鑑認服務執行時間(ASR)418以驗證且產生符記。安全符記服務提供信任服務所需之符記發行及驗證服務,其可包括識別轉譯。安全符記服務因此包括一至現存鑑認服務執行時間之介面,或安全符記服務將鑑認服務執行時間併入至該服務本身中。並非內在化於信任服務內,安全符記服務組件亦可實施為一獨立組件(例如,由信任服務調用),或安全符記服務組件可內在化於一交易伺服器內(例如)以作為一應用伺服器之一部分。
舉例而言,安全符記服務組件可接收一發行一Kerberos符記之請求。作為使用者(針對其產生符記)之鑑認資訊之一部分,該請求可含有一含有使用者名稱及密碼之二進位符記。安全符記服務組件將對照(例如)一LDAP執行時間驗證使用者名稱及密碼(典型鑑認),且將調用一Kerberos密鑰分配中心(KDC)以產生用於此使用者之一Kerberos票證。將此符記傳回至信任服務以供在企業內使用;然而,此使用可包括外在化該符記以傳送至聯合中之另一網域。
使用者可能希望存取一聯合環境內之多個企業(諸如企業410及企業420兩者)處之資源。以類似於上文關於企業410所描述之方式的方式,企業420包含聯絡點伺服器422、信任服務424、安全符記服務(STS)426及鑑認服務執行時間428,雖然使用者可直接開始與每一企業之單獨交易;使用者可開始與企業410之一交易,其在整個聯合環境中級聯。企業410可能需要與聯合環境內之多個其他企業(諸如企業420)合作以完成一特定交易,即使當使用者開始一交易時該使用者可能未意識到此必要性。企業420作為一下游實體而被牽涉,且企業410可在必要時將一聲明提交給企業420以促進使用者之聯合交易。
情況可能為如下:信任服務不知道如何解譯由一相關聯之聯絡點伺服器接收之鑑認符記及/或如何轉譯給定使用者識別及屬性。在此情況下,信任服務可選擇調用一信任中介者組件(諸如信任中介者430)處之功能性。信任中介者維持與個別信任代理/服務之關係,藉此在信任服務之間提供傳遞性信任。使用一信任中介者允許一聯合環境內之每一實體(諸如企業410及420)與該信任中介者建立一信任關係而非與該聯合環境中之每一實體建立多個個別信任關係。舉例而言,當企業420作為由企業410處之一使用者開始之交易之一下游實體而被牽涉時,企業410處之信任服務414可確保,藉由在必要時調用信任中介者430之輔助,企業420處之信任服務424可理解來自信任服務414之聲明。雖然圖4描繪具有單一信任中介者之聯合環境,但聯合環境可具有多個信任中介者。
應注意,雖然圖4將接觸點伺服器412、信任服務414、安全符記服務組件416及鑑認服務執行時間418描繪為相異實體,但此等組件不必定實施在單獨組件上。舉例而言,可能將此等單獨組件之功能性實施為單一應用程式、單一實體設備上之應用程式或多個實體設備上之分散式應用程式。此外,圖4描繪一企業之單一聯絡點伺服器、單一信任服務及單一安全符記伺服器,但一替代組態可包括每一企業之多個聯絡點伺服器、多個信任服務及多個安全符記伺服器。聯絡點伺服器、信任服務、安全符記服務及其他聯合實體可以各種形式(諸如,軟體應用程式、物件、模組、軟體程式庫及其類似者)實施。
信任服務/STS可能夠接受且驗證許多不同鑑認憑證,包括傳統憑證(諸如使用者名稱與密碼之組合及Kerberos票證)及聯合鑑認符記格式(包括由第三方產生之鑑認符記)。信任服務/STS可允許接受一鑑認符記作為別處之鑑認之證明。鑑認符記係由發行方產生,且用來指示使用者已向彼發行方鑑認。發行方產生鑑認符記以作為聲明使用者之經鑑認識別之一手段。信任服務/STS亦能夠處理屬性符記或用來保證通信會期或對話的安全之符記,例如,用來以一類似於SSL會期識別符之方式管理會期資訊之彼等符記。
安全符記服務按需要調用鑑認服務執行時間。鑑認服務執行時間支援能夠鑑認使用者之一鑑認服務。鑑認服務充當經由鑑認回應來提供成功或失敗的鑑認嘗試之指示的一鑑認權威機構。信任服務/STS可內在化一鑑認服務,例如,存在不必與現存的舊式基礎架構互動之web服務之全新安裝之一情形。否則,安全符記服務組件將調用外部鑑認服務以用於驗證鑑認符記。舉例而言,安全符記服務組件可將含有使用者名稱/密碼之一符記「解封裝(unpack)」,且接著使用LDAP服務存取一使用者登錄檔以驗證所提出之憑證。
當由諸如應用伺服器之另一組件使用時,安全符記服務組件可用來產生單次登入至舊式鑑認系統所需之符記;此功能性可與單次登入協定服務(諸如圖3中所示之SPS 354)內之功能性組合或為其所取代。因此,安全符記服務組件可用於內部用途(亦即,企業內)及外部用途(亦即,跨越聯合中之企業)之符記轉譯。作為內部用途之一實例,一Web應用伺服器可經由IBM客戶資訊控制系統(CICS)交易閘道器介接至一大型電腦;CICS是為關鍵任務(mission-critical)應用提供企業級線上交易管理及連接性之一系列應用伺服器及連接器。Web應用伺服器可調用安全符記服務組件以將Kerberos票證(如由Web應用伺服器內部地使用)轉譯為CICS交易閘道器所需之IBM通行票證(passticket)。
圖4中所示之實體可使用「識別提供者」及「服務提供者」之術語來解釋。作為建立且維持信任關係之一部分,識別提供者之信任服務可確定服務提供者之信任服務需要或接受哪些符記類型。因此,信任服務在自安全符記服務調用符記服務時使用此資訊。當需要一識別提供者之信任服務以針對一服務提供者產生鑑認聲明時,信任服務確定所需之符記類型且向安全符記服務請求適當符記。
當一服務提供者之信任服務自一識別提供者接收一鑑認聲明時,信任服務知道其期望哪種類型之聲明,及其需要哪種類型之聲明以用於服務提供者內之內部用途。服務提供者之信任服務因此請求安全符記服務基於所接收之鑑認聲明中之符記而產生所需之內部用途符記。
信任服務及信任中介者均具有將一自一識別提供者接收之聲明轉譯成一為服務提供者所理解之格式的能力。信任中介者具有解譯針對信任服務(存在與其之直接信任關係)中之每一者之聲明格式的能力,藉此允許信任中介者提供識別提供者與服務提供者之間的聲明轉譯。此轉譯可由任一方經由其本端信任服務來請求。因此,識別提供者之信任服務可在將一聲明發送至服務提供者之前請求該聲明之轉譯。同樣地,服務提供者之信任服務可請求一自識別提供者接收之聲明之轉譯。
聲明轉譯包含使用者識別轉譯、鑑認聲明轉譯、屬性聲明轉譯或其他形式之聲明轉譯。重複上一點,聲明轉譯由聯合內之信任組件(例如,信任服務及信任中介者)來處置。信任服務可在識別提供者或在服務提供者處本端地執行轉譯,或信任服務可調用信任中介者之輔助。
假設識別提供者及服務提供者已具有與信任中介者之個別信任關係,則該信任中介者可在必要時動態地產生(亦即,中介者)發行方與依賴方之間的新信任關係。在由信任中介者提供之初始信任關係中介者操作之後,識別提供者及服務提供者可直接維持該關係,使得不必為了未來轉譯要求而調用信任中介者。應注意,鑑認符記之轉譯可在三個可能地方發生:識別提供者之信任服務、服務提供者之信任服務,及信任中介者。較佳地,識別提供者之信任服務產生一為信任中介者所理解之鑑認聲明以發送至服務提供者。服務提供者接著請求來自信任中介者之對此符記至一可由服務提供者辨識之格式的轉譯。符記轉譯可在鑑認聲明之傳輸之前、在鑑認聲明之傳輸之後或在鑑認聲明之傳輸之前及在鑑認聲明之傳輸之後發生。
通常,存在兩種類型之必須管理之「信任網域」:企業信任網域及聯合信任網域。此等兩種類型之信任網域之間的差異係部分地基於支配與信任網域之信任關係之商業協議及用來建立信任之技術。一企業信任網域含有由企業管理之彼等組件;彼信任網域內之所有組件可隱含地彼此信任。一般而言,在企業內建立信任不需要商業協議,因為,(例如)藉由要求組件之間的經互相鑑認之SSL會期,所部署之技術產生企業內之固有信任,或藉由將組件置於單一、嚴格控制之資料中心內,使得實體控制及接近性表明隱含信任。參看圖2B,舊式應用程式及後端處理系統可表示一企業信任網域,其中組件在一安全內部網路上通信。
聯合信任網域為越過企業邊界之彼等網域;自一觀點看,聯合信任網域可表示獨特企業信任網域之間的信任關係。聯合信任網域係經由跨越在聯合夥伴之間的企業邊界的信任代理建立。信任關係涉及某一類之啟動處理程序,藉此在信任代理之間建立初始信任。此啟動處理程序之一部分可包括建立共用密鑰及定義預期及/或允許之符記類型及識別符轉譯之規則。一般而言,此啟動處理程序可在頻帶外實施,因為此處理程序亦可包括支配企業對聯合之參加及與此參加相關聯之責任的商業協議之建立。
在例示性聯合架構中,信任關係係由信任代理管理,信任代理可包括基於兩個信任代理之間的預先建立關係驗證且轉譯自識別提供者接收之符記之安全符記服務(或與其互動)。在聯合企業建立與另一聯合企業之信任關係(及符記轉譯)不可行之情況下,可調用一信任中介者;然而,聯合企業將需要與信任中介者建立關係。
現參看圖5,方塊圖描繪根據一例示性聯合架構之聯合網域之間的使用信任代理及信任中介者之信任關係之一例示性集合。雖然圖4介紹信任中介者,但圖5說明例示性聯合架構內之傳遞性信任關係之重要性。
聯合網域502至506分別併有信任代理508至512。信任代理508具有與信任代理510之直接信任關係514。信任中介者520具有與信任代理510之直接信任關係516,且信任中介者520具有與信任代理512之直接信任關係518。信任中介者520用來代表一聯合參與者,基於與其他聯合夥伴之傳遞性信任建立信任關係。傳遞性信任之原理允許信任代理510及信任代理512具有經由信任中介者520之經中介者信任關係522。信任代理510或512均不必知道如何轉譯或驗證另一者之聲明;可調用信任中介者將一聲明轉譯成在另一信任代理處有效、受信任且能理解之聲明。
規定關於聯合企業之間的信任關係的契約義務及責任之商業協議可經由使用ebXML(使用XML之電子商業)標準以XML表述。舉例而言,直接信任關係可在ebXML文件中表示;共用直接信任關係之每一聯合網域將具有表述為ebXML文件之合約之複本。聯合內之各種實體之操作特性可在ebXML編排(choreography)內規定且在ebXML登錄檔內公開;希望參加一特定聯合(例如,操作一信任代理或信任中介者)之任何企業將必須遵守由彼特定聯合針對該聯合內之所有信任代理或信任中介者規定之公開要求。安全符記服務可剖析此等ebXML文件以獲得關於轉譯來自其他網域之符記之方式的操作細節。但應注意,其他標準及機制可用以支援本發明以用於規定關於藉以實施聯合內之信任關係之方式之細節。
在一給定使用者之會期期間,使用者可訪問許多聯合網域以使用由彼等網域提供之web服務。網域可使用標準規範(諸如UDDI及WSDL,其均使用XML作為共同資料格式)公開其提供之服務之描述。使用者經由亦遵守此等標準規範之應用程式找到可用服務及服務提供者。SOAP提供傳達以XML表達之請求及回應之範例。聯合環境內之實體可尤其使用此等標準。
在一聯合內,使用者期盼具有單次登入體驗,在該過程中,使用者完成單次鑑認操作,且此鑑認操作對於使用者之會期之整個持續時間為足夠的,而與在彼會期期間訪問之聯合夥伴無關。可將會期定義為自(且包括)初始使用者鑑認(亦即,登入)至登出的交易之集合。在一會期內,使用者之動作將部分地由在彼會期中授予使用者之特殊權限來支配。
上文所描述之聯合架構支援單次登入操作。為促進單次登入體驗,支援聯合環境之web服務亦將支援使用由第三方產生之鑑認聲明或安全符記來提供使用者之鑑認之證明。此聲明將含有使用者向發行方之成功鑑認的某一類證據以及彼使用者之一識別符。舉例而言,例如,藉由提供由一聯合夥伴用於建置使用者之鑑認憑證之使用者名稱及密碼,使用者可完成向該聯合夥伴之傳統鑑認操作,且接著,該聯合夥伴能夠將由鑑認方/發行方產生之一SAML鑑認聲明提供給一不同聯合夥伴。
聯合環境亦允許web服務或其他應用程式請求web服務,且此等web服務亦將被鑑認。web服務環境中之鑑認為檢驗web服務請求之所聲稱識別之動作,以使得企業可將存取權限於經授權用戶端。請求或調用web服務之使用者將幾乎始終被鑑認,因此對在支援本發明之聯合環境內之鑑認的需要與web服務當前對使用者鑑認之要求並無二致。
對正在存取企業之計算資源而未參加聯合會期的使用者之鑑認將不受聯合基礎架構之存在的影響。舉例而言,現存使用者(其藉由一基於表單之鑑認機制經由HTTP/S進行鑑認以存取一特定網域處之非聯合資源)不受在網域處引入對聯合環境之支援的影響。鑑認係部分地由一聯絡點伺服器處置,該聯絡點伺服器又可調用一單獨信任代理或信任服務組件;聯絡點伺服器之使用最小化了對現存網域之基礎架構之影響。舉例而言,聯絡點伺服器可經組態以傳遞待由網域處之後端或舊式應用程式及系統處置之所有非聯合請求。
聯絡點伺服器可選擇調用一基於HTTP之鑑認方法,諸如基本鑑認、基於表單之鑑認或某一其他鑑認方法。聯絡點伺服器亦藉由支援對一已由使用者作為鑑認之證明提出之聲明(諸如SAML鑑認聲明)之處理來支援一聯合網域,其中該聲明已跨越企業網域之間;當在聯合協定之背景下接收到一聲明/助診文件(artifact)時,使用單次登入協定服務來辨識該聲明/助診文件。聯絡點伺服器可調用信任服務,信任服務又可調用其安全符記服務以用於驗證鑑認憑證/安全符記。
Web服務或其他應用程式之鑑認包含與使用者之鑑認相同的過程。來自web服務之請求載運含有鑑認聲明之安全符記,且此安全符記將由信任服務驗證,其驗證方式與由使用者提出之符記相同。來自web服務之請求應伴有此符記,因為web服務將已發現哪些鑑認聲明/安全符記是如UDDI中公告的所請求服務需要的。
現參看圖6,方塊圖描繪支援聯合單次登入操作之聯合環境。使用者600(經由一用戶端設備及一適當用戶端應用程式(諸如瀏覽器))希望存取由企業/網域610提供之web服務,該企業/網域610支援充當聯合環境內之聯合網域之資料處理系統。網域610支援聯絡點伺服器612及信任代理或信任服務614;類似地,網域620支援聯絡點伺服器622及信任代理或信任服務624,而網域630支援聯絡點伺服器632及信任代理或信任服務634。如上所述,該等信任代理/服務依賴信任中介者650之輔助。額外網域及信任代理/服務可參加聯合環境。圖6用來描述網域610與網域620之間的聯合單次登入操作;類似操作可發生於網域610與網域630之間。
使用者完成關於網域610之鑑認操作;此鑑認操作係由聯絡點伺服器612處置。當使用者請求存取需要經鑑認識別之某一資源時(例如,為了存取控制目的或為了個人化目的),觸發該鑑認操作。聯絡點伺服器612可調用一舊式鑑認服務,或該聯絡點伺服器可調用信任代理614以驗證使用者之所提出之鑑認憑證。網域610在使用者之聯合會期之持續時間期間變成使用者之識別提供者或本籍網域。
在稍後某一時間點,使用者開始在聯合夥伴(諸如亦支援聯合網域之企業620)處之交易,藉此觸發一聯合單次登入操作。舉例而言,使用者可開始網域620處之一新交易,或使用者之原始交易可級聯至其他網域處之一或多個額外交易中。作為另一實例,使用者可經由聯絡點伺服器612(例如,藉由選擇代管在網域610內之一網頁上之一特殊連結,或藉由請求一代管在網域610內但顯示代管在網域620中之資源之入口網頁)調用至網域620中之一資源的聯合單次登入操作。聯絡點伺服器612將一請求發送至信任代理614以產生用於使用者之一聯合單次登入符記,其經格式化以為網域620所理解或信任。信任代理614將此符記傳回至聯絡點伺服器612,聯絡點伺服器612將此符記發送至網域中之聯絡點伺服器622。對於充當一依賴方之網域620處之使用者,網域610充當一發行方。使用者之符記將與使用者之請求一起傳送至網域620;此符記可經由使用者之瀏覽器使用HTTP重定向來發送,或該符記可藉由代表在由信任代理614供應之符記中識別之使用者的聯絡點伺服器622(經由HTTP或經由HTTP之SOAP)直接調用請求來發送。
聯絡點伺服器622將該請求連同聯合單次登入符記一起接收且調用信任代理624。信任代理624接收聯合單次登入符記、驗證該符記且假設該符記有效且受信任,產生使用者之本端有效之符記。信任代理624將該本端有效之符記傳回至聯絡點伺服器622,該聯絡點伺服器622建立用於網域620內之使用者的一會期。必要時,聯絡點伺服器622可開始在另一聯合夥伴處之聯合單次登入。
在網域620處之符記驗證係由信任代理624處置,可能具有來自一安全符記服務之輔助。取決於網域610所提出之符記之類型,安全符記服務可能需要存取網域620處之使用者登錄檔。舉例而言,網域620可提供一含有使用者之名稱及密碼之二進位安全符記以對照網域620處之使用者登錄檔進行驗證。因此,在此實例中,企業僅驗證來自聯合夥伴之安全符記。網域610與620之間的信任關係確保網域620可理解且信任由網域610代表使用者提出之安全符記。
聯合單次登入不僅需要在依賴網域處驗證代表使用者提交給一依賴網域之安全符記,而且需要基於該安全符記中所含之資訊確定一本端有效之使用者識別符及可能的與此識別符相關聯之屬性。一直接信任關係及建立此關係所需之商業協議之一結果為至少一方(發行網域或依賴網域或其兩者)將知道如何將由發行網域提供之資訊轉譯成在依賴網域處有效之一識別符;依賴網域處之此識別符可為由發行方聲明之識別之一對一映射之結果,或另一類型之映射(例如,識別至角色之多對一映射)之結果,亦即不要求此映射為用於本端之發行方識別符的唯一的一對一映射。在上文之簡要實例中,假設發行網域(亦即網域610)能夠為依賴網域(亦即網域620)提供在網域620中有效之一使用者識別符。在彼情形中,依賴網域不必調用任何識別映射功能性。網域620處之信任代理624將為使用者產生一將「擔保」此使用者之安全符記。所接受之符記之類型、符記上所需之簽名及其他要求皆作為聯合之商業協議之一部分而預先建立。支配識別符轉譯之規則及演算法亦作為聯合之商業協議之一部分而預先建立,且由就符記管理及交換商定的(agreed-upon)策略定義。在兩個參與者之間有直接信任關係之情況下,將已針對彼等雙方建立識別符轉譯演算法,且該等演算法可能不與聯合中之任何其他方相關。
然而,發行網域並非總是知道如何將使用者自網域610之本端識別符映射至網域620之本端識別符。在一些情況下,可能是依賴網域知道如何進行此映射,而在另外其他情況下,任一方均不知道如何進行此轉譯,在此情況下,可能必須調用一第三方信任中介者。換言之,在經中介者的信任關係之情況下,發行網域及依賴網域彼此不具有直接信任關係。然而,發行方及依賴方將具有與一信任中介者(諸如信任中介者650)之直接信任關係。將已作為此關係之一部分而建立識別符映射規則及演算法,且信任中介者將使用此資訊幫助進行經中介者信任關係所需之識別符轉譯。
網域620在聯絡點伺服器622處接收由網域610發行之符記,聯絡點伺服器622調用信任代理624以驗證該符記且執行識別映射。在此情況下,由於信任代理624不能將使用者自網域610之本端識別符映射至網域620之本端識別符,因此信任代理624調用信任中介者650,該信任中介者650驗證該符記且執行識別符映射。在獲得使用者之本端識別符之後,信任代理624可(可能經由其安全符記服務)產生網域620處之後端應用程式所需之任何本端符記,例如,可能需要一Kerberos符記以促進自聯絡點伺服器至應用伺服器之單次登入。在獲得一本端有效之符記之後,若需要,聯絡點伺服器能夠為使用者建置一本端會期。聯絡點伺服器亦可處置對使用者請求之粗放式(coarse-grained)授權,且將該等經授權請求轉發至網域620內之適當應用伺服器。
聯合使用者生命週期管理(FULM)功能性/服務包含用於支援或管理關於給定使用者在多個聯合網域之特定使用者帳戶或使用者設定檔的聯合操作之功能。代表性FULM功能性係描述於名為「Method and system for policy-based initiation of federation management」之美國公開案第20080010665號中,該案之揭示內容係以引用方式併入本文中。在一些情況下,功能或操作限於使用者之給定聯合會期。換言之,聯合使用者生命週期管理功能性指代允許(可能僅在聯合計算環境內之單一使用者會期之生命週期期間)管理跨越複數個聯合夥伴之聯合操作之功能。
每一聯合網域可管理關於每一各別聯合網域處之功能的某一類之使用者帳戶、使用者設定檔或使用者會期。舉例而言,特定聯合網域可能不管理該特定聯合網域內之一本端使用者帳戶或使用者設定檔,但在聯合網域處之單次登入操作成功完成之後,該聯合網域可能管理用於一聯合交易之本端使用者會期。作為由彼特定聯合網域支援之聯合使用者生命週期管理功能性之一部分,該聯合網域可參加一允許該聯合網域在該聯合交易完成之後終止該本端使用者會期之單次登出操作,藉此改良安全性及促進資源之有效使用。
在聯合使用者生命週期管理功能性之使用之另一實例中,一使用者可進行一需要多個聯合網域之參與的線上交易。聯合網域可能本端地管理使用者設定檔以便在涉及聯合網域的使用者之聯合會期中之每一者期間相對於聯合網域定製(tailor)使用者之體驗。作為由彼特定聯合網域支援之聯合使用者生命週期管理功能性之一部分,可在一給定聯合交易期間連同來自參加該給定聯合交易之其他聯合網域處之其他設定檔之資訊一起以順暢方式使用聯合網域之本端使用者設定檔中之資訊。舉例而言,來自使用者之多個本端使用者設定檔之資訊可在某一類型之合併操作中組合,以使得以使用者不會意識到使用者資訊之不同起源或源的方式將該使用者之資訊以視覺方式呈現給使用者(例如,在一網頁內)。
聯合使用者生命週期管理功能性亦可包含用於帳戶鏈接及解除鏈接之功能。為使用者提供在聯合夥伴間共同的一唯一使用者識別符,其允許實現單次登入及關於使用者之屬性之擷取(在必要時)(作為完成一聯合夥伴處之請求之一部分)。此外,聯合夥伴可使用共同唯一使用者識別符向一識別提供者請求額外屬性,從而以一匿名方式提及使用者。
現參看圖7A,且如2006年7月7日申請之美國公開案第20080010665號(該案之揭示內容係以引用方式併入)中所描述,方塊圖提供聯合網域中用於實施聯合使用者生命週期管理功能性之組件之額外細節。圖7A描繪單一聯合網域處之元件。在圖7A中,聯絡點伺服器702經說明為駐留於防火牆710與712之間的DMZ內,該等防火牆形成企業網域之電子或實體前端;此外,聯合使用者生命週期管理應用程式/服務708電子地駐留在防火牆712之後。信任服務714、單次登入協定服務716及識別及屬性服務718按需要使用企業使用者登錄檔720及聯合使用者登錄檔722;使用者通常為自然人,但可為使用計算資源之資料處理實體。
再參看圖7A,聯合使用者生命週期管理應用程式708亦包含對介接至聯合使用者生命週期管理外掛程式724、與該等外掛程式互動或以其他方式與該等外掛程式交互操作的支援。在圖7A中所示之例示性架構中,聯合協定執行時間外掛程式提供各種類型的獨立公布或開發之聯合使用者生命週期管理標準或設定檔之功能性(諸如,WS聯合被動用戶端;及Liberty Alliance ID-FF單次登入(B/A、B/P及LECP)、暫存器名稱識別符、聯合終止通知及單次登出)。可在不同URI存取聯合協定之不同集合。此做法允許聯合使用者生命週期管理應用程式在一單一應用內同時支援聯合使用者生命週期管理之多個標準或規範(例如,WS聯合web服務規範對Liberty Alliance之規範),藉此最小化對用於支援不同聯合協定之總體環境之組態影響。
聯合使用者生命週期管理功能性係由聯絡點伺服器藉由適當地重定向及/或轉發使用者請求至聯合使用者生命週期管理應用程式來調用。再參看圖7A,聯絡點伺服器702接收使用者請求730,接著分析該等使用者請求以確定已接收之請求之類型,其可由已接收之請求訊息之類型或(如上所述)藉由確定請求訊息內之目的地URI來指示。當對受保護資源之請求732繼續被轉發至應用伺服器704時,將對聯合使用者生命週期管理功能之請求734(例如,用以調用一單次登出操作之請求)轉發至聯合使用者生命週期管理應用程式708,其按需要調用適當的聯合使用者生命週期管理外掛程式以完成所接收之請求。當定義了新聯合協定或新聯合功能時,或當以某種方式對現存聯合協定或功能加以修改或改進時,可簡單地藉由插入一新支援模組來添加支援,或可藉由修改先前安裝之外掛程式來改進該支援。
圖7A中之聯合使用者生命週期管理應用程式之例示性實施說明,聯合使用者生命週期管理應用程式能夠在提供「外掛程式」功能性之同時支援多個同時的聯合使用者生命週期管理功能,藉此允許在必要時將新功能性以外掛程式之形式添加至聯合使用者生命週期管理應用程式而無需對現存基礎架構做任何改變。舉例而言,假設所描述之標的係使用基於JavaTM
之聯合使用者生命週期管理應用程式來實施,則可藉由將新開發之JavaTM
類別組態至聯合使用者生命週期管理應用程式之JavaTM
CLASSPATH來添加對新聯合協定(諸如,新公開之單次登入協定)之支援,其中此等新類別支援新標準以及用於支援所描述標的之協定介面。因此,例示性聯合架構利用現存環境,一聯合使用者生命週期管理解決方法將整合於其中。隨著協定/標準與對總體基礎架構之微小改變一起演進,可容易地修改聯合使用者生命週期管理應用程式以支援新協定/標準。支援新的聯合使用者生命週期管理功能性可能需要之任何改變幾乎完全處在聯合使用者生命週期管理應用程式內,此可能要求組態聯合使用者生命週期管理應用程式以理解所添加之功能性。
在其他聯合組件中(例如,在聯絡點伺服器處)可能存在最小組態改變,以允許總體基礎架構能夠調用新的聯合使用者生命週期管理功能性,同時繼續支援現存的聯合使用者生命週期管理功能性。然而,聯合使用者生命週期管理應用程式在功能上獨立於聯合組件之剩餘部分,因為聯合使用者生命週期管理應用程式可能僅需要與聯合環境之其他聯合組件之最小互動。舉例而言,在一例示性實施例中,若聯合使用者生命週期管理資訊(諸如,根據Liberty Alliance設定檔之NameIdentifier值)將被儲存於一外部可存取之聯合使用者生命週期管理資料儲存器中而非外部實體不瞭解或不可存取之私有的內部聯合使用者生命週期管理資料儲存器,則聯合使用者生命週期管理功能性可與基於企業之資料儲存器(例如,LDAP資料儲存器)整合。
一些聯合操作(諸如,可能需要與使用者之最小互動來完成一操作之彼等操作)應以對使用者之負擔最小之方式執行,但該等操作亦應以對於聯合企業(特定言之,對於企業內之所有使用者而言可能需要的彼等類型之操作)有效率之方式執行。就為了支援特定聯合協定所需之操作而言,一聯合企業在藉以實施彼等操作之方式及對使用者及聯合企業之計算資源造成的負擔方面可能不具有很大靈活性。可能需要聯合企業根據聯合企業同意之聯合規範以特定方式執行特定動作。換言之,商業合約可能要求聯合企業實施特定聯合操作而不考慮彼等操作之計算負擔。
然而,可將聯合環境內之功能性之許多態樣分類為支援一聯合內之一或多個企業希望的一或多個商業目標(但未必是支援聯合協定所需的)或未必是參與到一聯合中所需的之操作。此外,用以完成此等商業目標之操作之實施可觸發導致與參與之聯合夥伴之互動的各種聯合操作之執行。由於用於支援企業特定之商業目標的所得動作可具有跨越聯合環境的分枝,因此藉以實施該等支援操作之方式應以可在聯合內之成千或成百萬的使用者中縮放之方式實現。此外,負責管理企業內之聯合功能性的系統管理者應能夠在實施企業之所要商業目標時以便利方式組態其計算資源。
為彼等目的,2006年7月7日申請之美國公開案第20080010665號提供一基於策略之機制及相關計算基礎架構,其提供對基礎架構之有效及可組態管理以實現所要的商業目標。彼處所描述之基礎架構允許經由使用策略及相關聯策略管理機制以可縮放方式管理聯合操作。現參看圖7B,方塊圖描繪聯合網域中之組件中之一些,該等組件用於實施聯合使用者生命週期管理功能性,同時亦實施用於實現各種商業目標的可使用聯合使用者生命週期管理功能性之基於策略之機制。圖7B極類似於圖7A,因為兩個圖均展示用於實施聯合使用者生命週期管理功能性之組件之例示性配置。與圖7A相比,請求/回應訊息730、受保護資源訊息732及FULM訊息734經展示為關於企業之資料處理系統之傳入及傳出訊息,藉此強調此做法可適用於傳入及傳出資料訊務之預處理及後處理兩者。
圖7B中所示之系統已經增強以包括額外功能性,其用於以最小負擔方式支援聯合使用者生命週期管理功能性之基於策略之啟始。在圖7B中,FULM應用程式/服務708包括策略篩選器/引擎736。當在FULM應用程式/服務708處自聯絡點伺服器702接收傳入FULM請求訊息734時,或當來自各種組件之傳出FULM回應訊息正在由FULM應用程式/服務708處理以用於轉發至聯絡點伺服器702時,藉由檢查是否已組態(其需要對傳入或傳出訊息之額外聯合相關處理)任何策略(例如,儲存於策略資料庫738內),由策略篩選器/引擎736篩選該等訊息。舉例而言,在完成一請求之前,一策略可能要求對傳入請求訊息之額外預處理。同樣地,在傳回一回應之前,策略可能要求對傳出回應訊息之額外後處理。換言之,將策略篩選器/引擎736置於傳入/傳出FULM訊息之處理流之頭/尾確保了可在開始或結束一FULM訊息之處理之前(亦即,在開始一傳入FULM請求之處理之前,或在結束一傳出FULM回應之處理之前)執行額外預處理或後處理步驟。
在一些情況下,對策略之評估可指示需要額外預處理或後處理,且在其他情況下,對策略之評估可指示不需要額外預處理或後處理。自此觀點看,可將策略引擎736看作篩選傳入及傳出訊息。策略引擎736將允許不用額外預處理步驟而立即完成一些傳入請求,同時分流或暫停其他請求,直至可執行額外預處理步驟為止。同樣地,策略引擎736將允許不用額外後處理步驟而立即轉發一些傳出回應,同時分流或暫停其他回應,直至可執行額外後處理步驟為止。
在一替代實施例中,策略引擎/篩選器可與聯絡點伺服器702相關聯及/或與一或多個應用伺服器704相關聯。在此實施例中,且如下文將更詳細描述,該或該等FULM外掛程式724提供數位權利管理(DRM)功能性。該等外掛程式在本文中有時被稱為DRM外掛程式。
現參看圖7C,方塊圖展示根據一實施例之與藉由關於FULM訊息之策略引擎評估一策略相關聯地處置的資料要素中之一些的額外細節。圖7C含有與圖7B中所示之元件類似的元件,如所說明,將相同參考數字用於類似元件。較佳地,策略引擎之功能性係以策略可在接收到一FULM請求時或在傳回一FULM回應時實行之方式嵌入聯合設定檔之處理中;可將策略內所指示之任何操作作為在FULM請求之進一步處理之前或在結束FULM回應之處理之前的預處理或後處理步驟來執行。基於策略之預處理及後處理不欲排除可能在FULM訊息內之內容的執行時間處理內的其他處出現之策略之使用。策略可儲存於諸如策略資料庫738之一或多個資料儲存器中。因為一企業可參加一個以上聯合(亦即,可支援多個聯合計算環境之功能性),所以可關於不同聯合設定檔來處理FULM訊息,且策略資料庫738可含有用於不同聯合設定檔之不同策略集合。在此所說明實例中,策略集合740可適用於第一聯合中之使用者,而策略集合742可適用於第二聯合中之使用者;使用者可在多個聯合內登錄,因此策略集合740及策略集合742不一定僅可適用於使用者之互斥集合。策略集合744可適用於當前企業(亦即,支援圖7A至圖7C中所示之資料處理環境之企業)內之所有使用者。策略集合746可適用於該企業內之特定個別使用者。
圖7C中所示之不同類型之策略僅說明可在企業內應用之策略中之一些之可實行性;資料庫內之策略不一定作為圖7C中所示之分離集合而儲存。策略可以任何適當格式表示,諸如以可延伸性標記語言(XML)定義且表示為XSL轉換或可延伸性樣式表語言轉換(XSLT),XSLT可用以將一XML文件轉換成另一XML文件。策略引擎736評估一策略內之該或該等規則。舉例而言,當在設定檔請求之初始處理之前接收到一傳入設定檔請求時,可調用一XSLT規則引擎。經評估策略748表示一正被評估或已被評估之策略。規則750表示該策略內之一條件陳述式;該條件陳述式基於一組參數或資料值指示一條件,該等參數或資料值係根據邏輯運算子加以評估。若一陳述式評估為一邏輯或布林「真」值,則將該規則稱為被觸發或啟動;若該陳述式評估為一邏輯或布林「假」值,則該規則未被觸發或啟動。自一觀點看,可將一策略之規則看作一「若-則(if-then)」條件陳述,其僅在相關聯條件經評估為真或經評估為得到滿足時導致特定額外處理。該條件陳述式中之一或多個值可自使用者登錄檔722中之使用者輸入項754中的使用者屬性752獲得。在此實例中,使用者輸入項754與接收原始FULM訊息所代表之使用者相關聯;例如,最初所接收之FULM訊息可含有一可用以在使用者登錄檔722內查找關於使用者之資訊之使用者識別符。接下來,使用該等擷取之使用者屬性確定在接收到原始FULM訊息時可實行之策略。
若一策略內之一規則被觸發,則取決於訊息是一傳出回應還是一傳入請求,暫停最初所接收之回應之處理之結束,或暫停最初所接收之請求之進一步處理。以此方式,將例如由圖7B中所示之FULM應用程式/服務708針對所接收之訊息執行之聯合協定操作延期,直至一後續時間點。在暫停或延期期間,可將圖7B中所示之FULM訊息734儲存於一適當位置(諸如,暫停操作快取記憶體756)中或儲存於某一其他資料儲存器,諸如,使用者登錄檔722中之使用者輸入項754,或含有用於使用者之會期管理之其他資訊之一會期快取記憶體。
在一策略內之一規則已經評估以使得該規則觸發或啟動額外預處理或後處理之後,接著檢查該策略以找到策略中所含之關於將在該策略之規則被觸發時執行之額外預處理或後處理之類型的資訊。更具體言之,針對一傳入請求訊息,該策略指示一將在執行可能與已暫停之原始FULM請求相關聯之任何其他聯合協定操作之前執行之聯合協定操作。同樣地,針對一傳出回應訊息,該策略指示一將在執行可能與已暫停之傳出FULM回應相關聯之任何其他聯合協定操作之前執行之聯合協定操作。圖7C說明策略748含有用於與規則750相關聯之經觸發之聯合協定操作758之識別資料或指示資料。
策略748亦可含有關於一或多個結束程序760之資訊,該或該等結束程序760指示將在觸發之聯合協定操作758結束時執行之任何處理程序。舉例而言,在觸發之聯合協定操作758結束之後,可在使用者輸入項754內設定指示已應用(亦即,實行)一特定策略的經應用策略資訊762;每一此輸入項可參照其相關聯策略,或可具有其相關聯策略之一識別符以及額外資訊(諸如,策略是否成功地實行之指示,指示策略何時實行之一或多個時間戳記,及其他相關資訊)。在一些情況下,關於結束程序760之資訊可指示,即使觸發之聯合協定操作758已失敗(例如,在策略指示一非強制或非時間關鍵之聯合協定操作之情況下),亦可允許最初所接收之FULM訊息繼續進行,因為策略可在稍後某一時間點重新執行。在一些情況下,關於結束程序760之資訊可指示,若觸發之聯合協定操作758已失敗(例如,在策略指示一強制或時間關鍵之聯合協定操作之情況下),則最初所接收之FULM訊息不能繼續進行。取決於關於結束程序760之資訊,自適當之資料儲存器(諸如,暫停操作快取記憶體756)擷取最初所接收之FULM訊息,且接著予以進一步處理或拒絕。
數位權利管理(DRM)策略可由一或多個DRM外掛程式來實施,作為策略實行之一部分,該或該等DRM外掛程式由一DRM策略提供者出於服務提供者之利益加以管理且操作。可在DRM資源被添加至服務提供者環境時添加一DRM外掛程式,且如所見,有利地使用該等外掛程式以按需要處置額外DRM屬性(下文中稱為DRM特殊權限)之擷取。
如本文中所使用,「DRM特殊權限」為描述一做由DRM策略控制之動作之能力之資訊(例如,一屬性)。舉例而言,一給定DRM特殊權限可為一使用者(以給定費用)提供對一給定web網站(例如,audible.com)之永久存取權,及在任何設備上播放音訊書籍之能力。
如本文中所使用,「DRM策略」為描述在使用者可在數位權利管理方案之背景下採取一給定動作之前需要哪些DRM特殊權限之資訊。舉例而言,若使用者具有對Audible之訂用及在iTunes上播放所下載之音樂之能力,則DRM策略可使該使用者能夠在iPod或GPS行動設備上播放所下載之音樂。
DRM特殊權限可涵蓋複數個不同動作或權利,且DRM策略可充滿許多不同DRM特殊權限集合。
以上述內容作為背景,以下內容描述DRM策略致能之聯合。如圖8中所說明,該聯合中之參與者較佳包括一第一聯合夥伴800、一第二聯合夥伴802、一第三聯合夥伴804,及視情況,一第四聯合夥伴806。第一聯合夥伴800可為一識別提供者(就FULM功能性而言)或其可為一提供要求DRM策略順應性之服務的服務提供者。出於解釋目的,在本文中將第一聯合夥伴800稱為識別提供者。第二聯合夥伴802為(自終端使用者之觀點)提供DRM內容之服務提供者。該第三聯合夥伴為管理終端使用者DRM特殊權限808及視情況必須由第二聯合夥伴802實行之DRM策略810之一服務提供者。第四聯合夥伴806為管理DRM策略(而非DRM特殊權限)之一DRM策略「預言者(oracle)」。DRM策略預言功能可為該第三聯合夥伴之一功能,在該情況下不需要該第四聯合夥伴。換言之,第三聯合夥伴804及第四聯合夥伴806可共同位於(co-located)一單一聯合夥伴中。
第一聯合夥伴800可包括第三聯合夥伴804之功能性以藉此充當該聯合中之識別提供者及DRM提供者。此情況可能有用之一實例情形為終端使用者具有對一允許無限存取之音樂下載服務(諸如iTunes)之訂用之情況。
或者,第二聯合夥伴802可包括第三聯合提供者804之功能性。在此情況下,該第二聯合夥伴維持與其功能性相關之DRM資訊,且視情況在受到請求時將資訊提供給其他聯合夥伴。此情況可能有用之一實例情形為音樂下載服務知道一使用者別名具有對該服務之不受限訂用之情況。
第一聯合夥伴800可包括第四聯合夥伴806之功能性。在此情況下,第一聯合夥伴800充當識別提供者及DRM策略提供者,雖然此策略通常可能為粗放式的。此情況可能有用之一實例情形為終端使用者希望經由單次登入(SSO)自識別提供者存取一音樂下載服務且需要具有對彼服務之有效訂用的證明之情況。
第二聯合夥伴802可包括第四聯合夥伴806之功能性。在此情況下,第二聯合夥伴802充當服務提供者及DRM策略提供者。此情況可能有用之一實例情形為服務提供者為一音樂下載服務且其知道為了存取該服務,使用者必須至少試訂用該服務一個月之情況。
如已說明,第三聯合夥伴804可包括該第四聯合夥伴之功能性。在此情況下,該第三聯合夥伴充當使用者之DRM特殊權限及服務提供者DRM策略之DRM提供者。舉例而言,假設使用者具有對一電影服務(例如,NetFlix)之不受限訂用,且在一給定時間段(例如,七月份)中,所有服務使用者具有對音樂下載服務的一個月的免費試用,因此藉由應用此策略,可確定在該月中使用者具有對音樂下載服務的一個月試用之DRM特殊權限。
以下為DRM策略致能之聯合之若干實例。
如圖9中所說明,在一第一實例中,使用者901向第一聯合夥伴900鑑認且請求單次登入至第二聯合夥伴902,自使用者之觀點看,該第二聯合夥伴提供內容。因此,第二聯合夥伴902對應於先前所描述之數位內容提供者。作為聯合之結果,假設第一聯合夥伴900知道(或查詢第四聯合夥伴906而發現)在第二聯合夥伴902處實行之DRM策略910,且第一聯合夥伴900知道(或查詢第三聯合夥伴904而發現)使用者之DRM特殊權限908。第一聯合夥伴900接著參考使用者之DRM特殊權限908建置用於第二聯合夥伴902的一單次登入訊息。如在2004年7月21日申請之美國公開案第2006/0021018號中所描述,實現此建置之典型途徑為將對含有使用者之DRM特殊權限908之一聲明之一指標自第一聯合夥伴900發送至第二聯合夥伴902(通常藉由HTTP 302,基於瀏覽器之重定向),且作為回應,第二聯合夥伴902請求交換含有使用者之DRM特殊權限908之聲明之指標(亦稱為助診文件)。
若第二聯合夥伴902已知道其必須實行之策略,則該第二聯合夥伴902使用經聲明之DRM特殊權限908評估策略(諸如上文在圖7C中所描述),藉此基於該策略評估來允許或不允許存取。然而,若第二聯合夥伴902不知道其必須實行之策略(或不具有評估對策略之順應性之能力),則該第二聯合夥伴產生對第四聯合夥伴906(或對該第三聯合夥伴,若彼夥伴亦為DRM策略預言者)之一「DRM策略評估」請求912。該DRM策略評估請求將該等DRM特殊權限提供給第四聯合夥伴906,該第四聯合夥伴906提供「是」或「否」回答。若該第四聯合夥伴提供之回答為是,則允許存取;若回答為否,則不允許存取。
存在第二聯合夥伴902知道其DRM策略但亦知道該第一聯合夥伴不提供使第二聯合夥伴902能夠評估該策略所需之資訊之任一者或全部的可能性。即使該第一聯合夥伴轉至該第三聯合夥伴且查詢DRM特殊權限,此可能性亦可能真實,因為可能尚未允許該第一聯合夥伴擷取或以其他方式獲得全部所需或相關DRM特殊權限而使得將不完整資訊發送至該第二聯合夥伴。在此情況下,第二聯合夥伴902可請求第三聯合夥伴904擷取關於使用者之DRM特殊權限之額外資訊以便允許策略評估。
作為先前段落中所描述之做法之另一變體,第二聯合夥伴902知道其DRM策略且(本端地)有使用者之DRM資訊可用;在此情形中,該第二聯合夥伴自身供應對照DRM策略進行評估所需之缺失的DRM特殊權限以判定是否允許存取。作為又一變體,假設第二聯合夥伴902知道其DRM策略且(本端地)有使用者之DRM資訊可用,但該第二聯合夥伴缺失DRM特殊權限或具有過時資訊(諸如,贊同、更新或其類似者);在此情形中,該第二聯合夥伴在對照DRM策略評估該等DRM特殊權限之前查詢使用者以獲得所需資訊。
現參看圖10,在此情形中,使用者1001向第一聯合夥伴1000鑑認且請求單次登入至第二聯合夥伴1002。作為聯合配置或其他之結果,假設第一聯合夥伴1000已知道在第二聯合夥伴1002處實行之DRM策略1010。在此情形中,第一聯合夥伴1000知道(或查詢第三聯合夥伴1004以發現)使用者之DRM特殊權限1008。然而,在此實例中,第一聯合夥伴1000不知道或未經授權以自第四聯合夥伴(或第三夥伴,若彼夥伴為DRM策略預言者)擷取DRM策略1010;因此,第一聯合夥伴1000利用已知的DRM特殊權限1008建置必要的助診文件/聲明,且接著憑藉先前所描述之DRM策略評估請求將彼聲明提供給該第四聯合夥伴。第四聯合夥伴1006提供「是」或「否」回答。如前所述,若該第四聯合夥伴提供之回答為是,則該第一聯合夥伴允許存取;若回答為否,則不允許存取。
以上所識別之實例說明替代實施例,其中識別提供者其自身具有對照一或多個DRM特殊權限之集合來實行DRM策略之能力。根據此替代實施例,識別提供者知曉或可獲得DRM策略,且其知曉或可獲得如為評估所需要之DRM特殊權限。
現參看圖11,在此情形中,使用者1101向第一聯合夥伴1000鑑認且請求單次登入至第二聯合夥伴1102。在此實例中,假設第一聯合夥伴1100對在第二聯合夥伴1102處實行之任何DRM策略1110一無所知。在此情況下,第一聯合夥伴1100用可能包括或不包括DRM特殊權限之已知相關屬性建置一助診文件/聲明。同時,第二聯合夥伴1102知道該請求需要DRM特殊權限且知道此等特殊權限將不由該第一聯合夥伴供應。第二聯合夥伴1102因而必須獲得該等DRM特殊權限。存在用於獲得DRM特殊權限之若干選項。
第一選項為第二聯合夥伴1102對第三聯合夥伴1104進行查詢以擷取使用者之DRM特殊權限1108以用於實現該請求。作為第二選項,該第二聯合夥伴直接自使用者1101擷取使用者之DRM特殊權限;為此目的,該第二聯合夥伴調用與使用者之一直接互動以獲得該等特殊權限。替代調用一直接互動,該第二聯合夥伴可藉由擷取對取得此等特殊權限之贊同、擷取至該第三聯合夥伴之一指標且接著使該第三聯合提供者觸發使用者以將該等特殊權限發送至該第二聯合夥伴來間接地獲得該等特殊權限。在任何情況下,一旦互動完成且獲得DRM特殊權限,該第二聯合夥伴便本端地儲存收集到的DRM特殊權限資訊或將該資訊推送至該第三聯合夥伴。該DRM特殊權限資訊可包括對於使用者對DRM服務之訂用之更新。
DRM策略致能之聯合之一或多個組件(諸如,識別提供者、服務提供者、DRM特殊權限提供者或DRM策略提供者)可以分散方式實施。現參看圖12,方塊圖描繪一情形,其中第一資料處理系統自一識別提供者內之一使用分散式資料處理系統(其支援分散式聲明擷取)實施的第二資料處理系統(僅舉例說明)擷取一聲明。此類型之系統係描述於2008年1月10日公開之美國公開案第20090010288號中。在此實例中,識別提供者1200為一分散式資料處理系統,其含有:本身含有單次登入服務(SPS)1204及聲明快取記憶體1206之資料處理系統1202;以及本身含有SPS 1210及聲明快取記憶體1212之資料處理系統1208。在某一時間點,資料處理系統1202(例如)自如上文關於圖8所描述之服務提供者接收一聲明擷取請求。資料處理系統1202使用其先前已自所接收之聲明擷取請求提取之助診文件來搜尋其本端聲明快取記憶體1206;可使用該助診文件作為搜尋鍵或搜尋鍵之基礎。在此實例中,資料處理系統1202未能在其本端資料儲存器或快取記憶體內找到與該助診文件相關聯之聲明。若未在本端資料儲存器中找到一聲明,則並不傳回一錯誤,資料處理系統1202試圖向包含識別提供者之其他資料處理系統請求適當聲明。例如藉由將聲明擷取請求1214發送至資料處理系統1208處之SPS 1210,SPS 1204將一聲明擷取請求發行至識別提供者內之另一資料處理系統。假設資料處理系統1208能夠實現其所接收之請求,資料處理系統1208擷取該聲明、將該聲明自系統之本端資料儲存器1212移除使得該聲明不能再使用,且將該聲明傳回至資料處理系統1202。識別提供者1200接著藉由將一聲明擷取回應發送至一服務提供者來實現自該服務提供者接收之原始聲明擷取請求。
識別提供者可具有可為該聲明之來源的多個資料中心,且當第一資料處理系統在其本端聲明快取記憶體內未找到所請求之聲明時,自服務提供者接收聲明擷取請求之第一資料處理系統開始對包含識別提供者之所有其他資料處理系統或資料中心之搜尋。假設執行一成功搜尋,該第一資料處理系統能夠自識別提供者內之另一資料處理系統擷取所請求之聲明。
該第一資料處理系統可以各種方式執行對所請求聲明之搜尋。舉例而言,搜尋可以一鏈接方式執行,在該方式中,資料處理系統在未找到所請求之聲明時轉發該搜尋;第一資料中心將查詢第二資料中心,第二資料中心又將查詢第三資料中心,直至找到所請求之聲明為止,此時,以反昇(bubbled)或遞歸方式將聲明傳回至第一資料中心。隨著搜尋進行,每一資料中心可添加或附加指示哪些資料中心已執行過該搜尋之一識別符。或者,且如美國公開案第20080010288號中所描述,搜尋可以一串行或軸輻式(hub-and-spoke)方式執行,在該方式中,第一資料處理系統一個接一個地查詢資料處理系統;第一資料中心充當網軸且個別地查詢每一資料中心(網輻)。
在一實例DRM情形中,假設服務提供者為線上娛樂商店之分散式資料中心實施,且進一步假設存在DRM實行實體之單一例項,諸如DRM策略預言者。使用者以通常方式使用網頁瀏覽器接達音樂商店。假設使用者已訪問過商店且購買若干下載內容,此由於一現存會期設定檔而令使用者有權收到對線上視訊之免費存取權。在使用者之結帳(checkout)網頁上,服務提供者包括一邀請使用者取得對視訊之存取權之連結。使用者點擊該連結且伴隨一繫結助診文件之請求而被重定向至一線上視訊商店。該視訊商店接收該繫結助診文件之請求、解開該請求之繫結(unbind)、提取該助診文件,且返回向該線上音樂商店進行一直接(例如,HTTP/SOAP)請求以擷取使用者之當前線上音樂設定檔。該視訊商店嘗試基於助診文件來擷取聲明,且在必要時使用圖12中所示(且如在美國公開案第20080010288號中描述)之技術進行此擷取。在獲得其驗證使用者所需之資訊之後,提供視訊。
現參看圖13,方塊圖描繪例示性數位權利管理情形之又一實例。使用者/用戶端1302開始一將請求1304發送至為數位內容提供者之企業「A」1306之交易。企業「B」1308為一數位權利管理實體,諸如用於管理訂用費用或關於聯合1310內之夥伴之間的版權協議之其他版權限制的訂用服務。系統管理者可設置DRM策略1312以由策略篩選器/引擎1314實行。當該聯合內之使用者嘗試一聯合協定操作/設定檔(例如,一如由請求1304表示之擷取版權內容之請求)時,該策略引擎將被調用,且將發現策略1312可在此時實行。在允許使用者完成關於版權內容之擷取交易之前,策略1312可能要求使用者具有一當前有效之訂用。
雖然企業1306不管理該訂用,但企業1306可具有在一先前交易期間自企業1308先前獲得之關於使用者之訂用的到期時間或日期之資訊。在該先前交易期間,企業1308可能已將一到期時間儲存為一使用者屬性。因此,使用者1302之使用者屬性可由企業1306使用以判定該使用者是否具有在該聯合內用於接收版權內容之有效訂用。若未在一先前交易期間儲存使用者之訂用之到期時間,或若出於某一其他原因必須要檢驗訂用狀態,則請求1304之處理可能要求向企業1308之單次登入操作,該企業1308以使用者之訂用之確定狀態進行回應,藉此允許企業1306判定是否允許使用者擷取所請求之內容。
取決於使用者之訂用之當前狀態,在可完成請求1304之前,可能需要額外協定操作及/或與使用者之通信互動1316,如通信策略1318之實行所要求。舉例而言,在通信之前,可能需要使用者贊同企業1306與企業1308之間的通信/交易。或者,可能需要使用者贊同將資訊自企業1308釋放至企業1306,例如,贊同釋放關於使用者之訂用之狀態的資訊。在另一替代實施例中,可能需要企業1306自使用者獲得其他資訊,諸如除企業1308之外的一不同訂用服務(使用者可在其中具有一有效訂用帳戶)之識別。
此等各種額外通信要求可包含於通信策略1318內,該通信策略1318描繪藉以執行此等通信之方式。舉例而言,企業1306與企業1308之間的通信1320可使用聯合夥伴之一直接通信(亦即,獨立於使用者之後部頻道(back-channel)通信)來執行。或者,企業1306與企業1308之間的通信1322可使用聯合夥伴之一間接通信(亦即,經由使用者之用戶端之前部頻道(front-channel)通信)來執行。
更一般地,本文中所描述之標的可採用一完全硬體實施例、一完全軟體實施例或含有硬體及軟體元件兩者之一實施例的形式。在一較佳實施例中,本發明(包含用戶端側功能性、伺服器側功能性或其兩者)係以軟體實施,軟體包括(但不限於)韌體、常駐軟體、微碼及其類似者。此外,如上所述,本發明可採用可自電腦可用或電腦可讀媒體存取的電腦程式產品之形式,該電腦可用或電腦可讀媒體提供由電腦或任何指令執行系統使用或與其結合地使用之程式碼。為了此描述的目的,一電腦可用或電腦可讀媒體可為可含有、儲存、傳達、傳播或傳送由指令執行系統、裝置或設備使用或與之結合地使用的程式之任何裝置。媒體可為電子、磁性、光學、電磁、紅外線或半導體系統(或裝置或設備)或傳播媒體。電腦可讀媒體之實例包括半導體或固態記憶體、磁帶、抽取式電腦磁片、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬磁碟及光碟。光碟之當前實例包括緊密光碟-唯讀記憶體(CD-ROM)、緊密光碟-讀/寫(CD-R/W),及DVD。
上述功能中之一或多者亦可以代管方式實施為一服務。
雖然以上內容描述由本發明之特定實施例執行之操作之特定次序,但因理解,此次序為例示性的,因為替代實施例可以一不同次序執行該等操作、組合特定操作、使特定操作重疊或其類似者。本說明書中對一給定實施例之參考指示所描述之實施例可包括一特定特徵、結構或特性,但每一個實施例可能不一定包括該特定特徵、結構或特性。
最後,儘管已分開描述該系統之給定組件,但一般熟習此項技術者將瞭解該等功能之一些可在給定指令、程式序列、程式碼部分及其類似者中組合或共用。
在描述本發明之後,申請專利範圍如下所述。
100...分散式資料處理系統
101...網路
102...伺服器
103...伺服器
104...儲存單元
105...用戶端
106...用戶端
107...用戶端
109...用戶端
110...網路
111...網路致能之電話
112...無線鏈路
113...個人數位助理(PDA)
114...無線鏈路
115...無線鏈路
116...無線通信鏈路
120...資料處理系統
122...中央處理單元(CPU)
123...系統匯流排
124...隨機存取記憶體(RAM)
126...唯讀記憶體
128...輸入/輸出配接器
130...印表機
132...磁碟機
134...通信配接器
136...通信鏈路
140...鍵盤
142...滑鼠
144...顯示器配接器
146...顯示設備
148...使用者介面配接器
202...使用者
204...企業
206...企業
208...企業
312...使用者
314...用戶端設備
316...瀏覽器應用程式
318...用戶端應用程式
320...HTTP通信組件
322...標記語言(ML)解譯器
324...web服務用戶端
330...舊式應用程式或後端處理組件
332...鑑認服務執行時間(ASR)伺服器
334...應用伺服器
335...受保護資源
336...舊式使用者登錄應用程式
338...企業使用者登錄檔
340...聯合前端處理
342...聯絡點伺服器
344...信任代理伺服器
346...安全符記服務(STS)
348...聯合組態應用程式
350...聯合介面單元
352...聯合使用者生命週期管理應用程式
354...單次登入協定服務(SPS)
356...識別及屬性服務(IAS)
358...聯合使用者登錄檔
410...企業
412...聯絡點(POC)伺服器
414...信任代理(TP)
416...安全符記服務(STS)組件
418...鑑認服務執行時間(ASR)
420...企業
422...聯絡點伺服器
424...信任服務
426...安全符記服務(STS)
428...鑑認服務執行時間
430...信任中介者
502...聯合網域
504...聯合網域
506...聯合網域
508...信任代理
510...信任代理
512...信任代理
514...直接信任關係
516...直接信任關係
518...直接信任關係
520...信任中介者
522...經中介者信任關係
600...使用者
610...企業/網域
612...聯絡點伺服器
614...信任代理或信任服務
620...企業/網域
622...聯絡點伺服器
624...信任代理或信任服務
630...網域
632...聯絡點伺服器
634...信任代理或信任服務
650...信任中介者
702...聯絡點伺服器
704...應用伺服器
708...聯合使用者生命週期管理應用程式/服務
710...防火牆
712...防火牆
714...信任服務
716...單次登入協定服務
718...識別及屬性服務
720...企業使用者登錄檔
722...聯合使用者登錄檔
724...聯合使用者生命週期管理外掛程式
730...請求/回應訊息
732...對受保護資源之請求/受保護資源訊息
734...對聯合使用者生命週期管理功能之請求
736...策略篩選器/引擎
738...策略資料庫
740...策略集合
742...策略集合
744...策略集合
746...策略集合
748...經評估策略
750...規則
752...使用者屬性
754...使用者項目
756...暫停操作快取記憶體
758...觸發之聯合協定操作
760...結束程序
762...經應用策略資訊
800...第一聯合夥伴
802...第二聯合夥伴
804...第三聯合夥伴
806...第四聯合夥伴
808...終端使用者DRM特殊權限
810...DRM策略
900...第一聯合夥伴
901...使用者
902...第二聯合夥伴
904...第三聯合夥伴
906...第四聯合夥伴
908...使用者之DRM特殊權限
910...DRM策略
912...DRM策略評估請求
1000...第一聯合夥伴
1001...使用者
1002...第二聯合夥伴
1004...第三聯合夥伴
1006...第四聯合夥伴
1008...使用者之DRM特殊權限
1010...DRM策略
1100...第一聯合夥伴
1101...使用者
1102...第二聯合夥伴
1104...第三聯合夥伴
1106...第四聯合夥伴
1108...使用者之DRM特殊權限
1110...DRM策略
1200...識別提供者
1202...資料處理系統
1204...單次登入服務(SPS)
1206...聲明快取記憶體
1208...資料處理系統
1210...SPS
1212...聲明快取記憶體
1214...聲明擷取請求
1302...使用者/用戶端
1304...請求
1306...企業「A」
1308...企業「B」
1310...聯合
1312...DRM策略
1314...策略篩選器/引擎
1316...額外協定操作/通信互動
1318...通信策略
1320...企業1306與企業1308之間的通信
1322...企業1306與企業1308之間的通信
圖1A描繪資料處理系統之典型網路,該等資料處理系統中之每一者可實施本文中所描述之標的;
圖1B描繪一可在可實施所揭示之標的之資料處理系統內使用的典型電腦架構;
圖2描繪說明聯合環境之術語的方塊圖;
圖3描繪說明一給定網域處之預先存在的資料處理系統與可用以支援所描述之標的之一實施例的一些聯合架構組件之整合的方塊圖;
圖4描繪說明聯合架構內之一些組件可藉以建立信任關係以支援所描述標的之實施的方式之一實例的方塊圖;
圖5描繪說明根據能夠支援所描述標的之例示性聯合架構的使用信任代理及信任中介者之聯合網域之間的信任關係之一例示性集合的方塊圖;
圖6描繪說明支援聯合單次登入操作之聯合環境之方塊圖;
圖7A說明用於實施聯合使用者生命週期管理功能性之先前技術;
圖7B說明用於實施聯合使用者生命週期管理功能性,同時實施用於此功能性之基於策略之機制的另一已知技術;
圖7C展示關於FULM訊息之與圖7B之策略篩選器及引擎相關聯地進行處置之資料要素中之一些的額外細節;
圖8為根據本文中之標的之DRM策略致能之聯合內的一組參加實體的方塊圖;
圖9說明DRM策略致能之聯合中之第一實例情形;
圖10說明DRM策略致能之聯合中之第二實例情形;
圖11說明DRM策略致能之聯合中之第二實例情形;
圖12說明展示一方塊圖,其展示一情形,其中一第一資料處理系統自一識別提供者內之一第二資料處理系統擷取一聲明,該第二資料處理系統使用一支援分散式聲明擷取之分散式資料處理系統來實施;及
圖13展示另一例示性數位權利管理情形。
600...使用者
610...企業/網域
612...聯絡點伺服器
614...信任代理/信任服務
620...企業/網域
622...聯絡點伺服器
624...信任代理/信任服務
630...網域
632...聯絡點伺服器
634...信任代理/信任服務
650...信任中介者
Claims (25)
- 一種在一識別提供者實體處操作以用於實行關聯於一段內容之一數位權利管理(DRM)方案之方法,其中該識別提供者實體與一服務提供者實體一起參加一聯合,該方法包含:獲得及對照一DRM策略來評估關聯於請求存取該段內容之終端使用者之一或多個DRM特殊權限之一集合;基於該評估,產生一訊息,該訊息包括關聯於請求存取該段內容之一終端使用者之一或多個DRM特殊權限之該集合的一參照;及將該訊息轉發至該服務提供者實體。
- 如請求項1之方法,其中該訊息為在該識別提供者實體鑑認該終端使用者後由該識別提供者實體產生之一單次登入(SSO)訊息。
- 如請求項1之方法,其進一步包括鑑認該終端使用者。
- 如請求項1之方法,其中該DRM策略在該識別提供者實體處本端地可用。
- 如請求項1之方法,其中,當該DRM策略不在該識別提供者實體處本端地可用時,該方法進一步包括以下步驟:產生包括一或多個DRM特殊權限之該集合之一DRM策略評估請求;將該DRM策略評估請求轉發至該聯合中之一實體;及接收對該DRM策略評估請求之一回應。
- 如請求項5之方法,其中對DRM策略評估請求之該回應指示對該給定段內容之存取被准許。
- 如請求項1之方法,其中一或多個DRM特殊權限之該集合在該識別提供者實體處本端地可用。
- 如請求項1之方法,其中,當一或多個DRM特殊權限之該集合不在該識別提供者實體處本端地可用時,該方法進一步包括自該聯合中之一實體獲得一或多個DRM特殊權限之該集合。
- 如請求項1之方法,其中,當一或多個DRM特殊權限之該集合不在該識別提供者實體處本端地可用時,該方法進一步包括自該使用者獲得一或多個DRM特殊權限之該集合。
- 如請求項9之方法,其中一或多個DRM特殊權限之該集合係直接自該使用者獲得。
- 如請求項9之方法,其中一或多個DRM特殊權限之該集合係藉由令使用者使一第三實體將一或多個DRM特殊權限之該集合提供至該識別提供者而獲得。
- 如請求項1之方法,其進一步包括:自該聯合中之一第三實體接收一或多個DRM特殊權限之該集合;產生包括一或多個DRM特殊權限之該集合之一DRM策略評估請求;將該DRM策略評估請求轉發至該聯合中之一第四實體;及自該第四實體接收對該DRM策略評估請求之一回應。
- 如請求項12之方法,其中該第三實體代表該聯合內之使用者而提供管理一或多個DRM特殊權限之該集合之一服務。
- 如請求項12之方法,其中該第四實體提供管理該聯合內之DRM策略之一服務。
- 如請求項12之方法,其中該第三實體及該第四實體為該聯合內之一單一實體,該單一實體代表使用者而管理一或多個DRM特殊權限之該集合且亦管理該聯合內之DRM策略。
- 如請求項1之方法,其中該訊息包括對含有與該終端使用者相關聯之一或多個DRM特殊權限之該集合之一聲明的一指標,且其中該識別提供者請求交換該聲明之該指標以獲得一或多個DRM特殊權限之該集合。
- 一種在一識別提供者處操作以用於實行關聯於一段內容之一數位權利管理(DRM)方案之方法,其中該識別提供者參與亦包括一服務提供者、一DRM特殊權限提供者及一DRM策略提供者之一聯合,該方法包含:在一給定出現後,便確定一或多個DRM特殊權限之一集合是否可用於評估,一或多個DRM特殊權限之該集合係關聯於請求存取該段內容之終端使用者;若一或多個DRM特殊權限之該集合不可用於評估,則自該DRM特殊權限提供者擷取一或多個DRM特殊權限之該集合;確定一DRM策略是否待評估且是否可用;若該DRM策略待評估且不可用,則自該DRM策略提供者擷取該DRM策略;對照該DRM策略來評估一或多個DRM特殊權限之該集合;及基於該評估,產生一訊息,該訊息包括關聯於請求存取該段內容之一終端使用者之一或多個DRM特殊權限之該集合的一參照;及將該訊息轉發至該服務提供者實體。
- 如請求項17之方法,其中該DRM特殊權限提供者及該DRM策略提供者為該聯合內之一單一服務提供者。
- 如請求項17之方法,其中該識別提供者及該DRM特殊權限提供者為該聯合內之一單一服務提供者。
- 如請求項17之方法,其中該服務提供者及該DRM特殊權限提供者為該聯合內之一單一服務提供者。
- 如請求項17之方法,其中該識別提供者及該DRM策略提供者為該聯合內之一單一服務提供者。
- 如請求項17之方法,其中該服務提供者及該DRM策略提供者為該聯合內之一單一服務提供者。
- 一種用於實行與關聯於一段內容之一數位權利管理(DRM)方案之資料處理系統,其包含:一處理器;可由該處理器執行以用於確定一或多個DRM特殊權限之一集合是否可用於評估之程式碼,一或多個DRM特殊權限之該集合係關聯於請求存取該段內容之終端使用者;可由該處理器執行以用於在一或多個DRM特殊權限之該集合不可用於評估時自一DRM特殊權限提供者擷取一或多個DRM特殊權限之該集合之程式碼;可由該處理器執行以用於確定一DRM策略是否待評估且是否可用之程式碼;可由該處理器執行以用於在該DRM策略待評估且不可用時自一DRM策略提供者擷取該DRM策略之程式碼;及可由該處理器執行以用於對照該DRM策略來評估一或多個DRM特殊權限之該集合之程式碼。
- 如請求項23之資料處理系統,其進一步包括:可由該處理器執行且回應於該評估以用於產生一訊息之程式碼,該訊息包括關聯於請求存取該段內容之一終端使用者之一或多個DRM特殊權限之該集合的一參照;及可由該處理器執行以用於將該訊息轉發至一服務提供者實體之程式碼。
- 一種儲存於一電腦可讀媒體中且可在一處理器中執行以用於實行與一段內容相關聯之一數位權利管理(DRM)方案之電腦程式產品,其包含:可由該處理器執行以用於確定一或多個DRM特殊權限之一集合是否可用於評估之程式碼,一或多個DRM特殊權限之該集合係與請求存取該段內容之終端使用者相關聯;可由該處理器執行以用於在一或多個DRM特殊權限之該集合不可用於評估時自一DRM特殊權限提供者擷取一或多個DRM特殊權限之該集合之程式碼;可由該處理器執行以用於確定一DRM策略是否待評估且是否可用之程式碼;可由該處理器執行以用於在該DRM策略待評估且不可用時自一DRM策略提供者擷取該DRM策略之程式碼;及可由該處理器執行以用於對照該DRM策略來評估一或多個DRM特殊權限之該集合之程式碼。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/252,404 US9836702B2 (en) | 2008-10-16 | 2008-10-16 | Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201027384A TW201027384A (en) | 2010-07-16 |
| TWI439883B true TWI439883B (zh) | 2014-06-01 |
Family
ID=42109664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW098133268A TWI439883B (zh) | 2008-10-16 | 2009-09-30 | 在聯合環境中供識別提供者用之數位權利管理(drm)致能之策略管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9836702B2 (zh) |
| KR (1) | KR101063368B1 (zh) |
| CN (1) | CN101727552B (zh) |
| TW (1) | TWI439883B (zh) |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5440004B2 (ja) * | 2008-10-20 | 2014-03-12 | セイコーエプソン株式会社 | 情報配信システム、情報配信システムのサービス実現方法およびそのプログラム |
| JP5293086B2 (ja) | 2008-10-28 | 2013-09-18 | セイコーエプソン株式会社 | 情報配信システム、情報配信システムのサービス実現方法およびそのプログラム |
| US20130132733A1 (en) * | 2009-05-26 | 2013-05-23 | Sunil C. Agrawal | System And Method For Digital Rights Management With System Individualization |
| US8707404B2 (en) * | 2009-08-28 | 2014-04-22 | Adobe Systems Incorporated | System and method for transparently authenticating a user to a digital rights management entity |
| WO2012020864A1 (ko) * | 2010-08-13 | 2012-02-16 | 엘지전자 주식회사 | 이동단말기, 디스플레이 장치 및 그 제어 방법 |
| JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
| US9953155B2 (en) * | 2010-12-08 | 2018-04-24 | Disney Enterprises, Inc. | System and method for coordinating asset entitlements |
| US9838351B2 (en) | 2011-02-04 | 2017-12-05 | NextPlane, Inc. | Method and system for federation of proxy-based and proxy-free communications systems |
| US9203799B2 (en) | 2011-03-31 | 2015-12-01 | NextPlane, Inc. | Method and system for advanced alias domain routing |
| US9077726B2 (en) | 2011-03-31 | 2015-07-07 | NextPlane, Inc. | Hub based clearing house for interoperability of distinct unified communication systems |
| US9716619B2 (en) | 2011-03-31 | 2017-07-25 | NextPlane, Inc. | System and method of processing media traffic for a hub-based system federating disparate unified communications systems |
| CA2775427A1 (en) | 2011-04-27 | 2012-10-27 | Perspecsys Inc. | System and method of data interception and conversion in a proxy |
| US20140040979A1 (en) | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
| US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
| US8799994B2 (en) | 2011-10-11 | 2014-08-05 | Citrix Systems, Inc. | Policy-based application management |
| US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
| US9215225B2 (en) | 2013-03-29 | 2015-12-15 | Citrix Systems, Inc. | Mobile device locking with context |
| US9286471B2 (en) | 2011-10-11 | 2016-03-15 | Citrix Systems, Inc. | Rules based detection and correction of problems on mobile devices of enterprise users |
| US8813170B2 (en) * | 2011-11-10 | 2014-08-19 | Microsoft Corporation | Testing access policies |
| JP5968077B2 (ja) * | 2012-05-22 | 2016-08-10 | キヤノン株式会社 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
| US9003189B2 (en) * | 2012-09-11 | 2015-04-07 | Verizon Patent And Licensing Inc. | Trusted third party client authentication |
| US8613070B1 (en) | 2012-10-12 | 2013-12-17 | Citrix Systems, Inc. | Single sign-on access in an orchestration framework for connected devices |
| US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
| US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US20140109171A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network tunnels |
| US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
| US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9170800B2 (en) | 2012-10-16 | 2015-10-27 | Citrix Systems, Inc. | Application wrapping for application management framework |
| US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
| US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| WO2014074945A1 (en) | 2012-11-08 | 2014-05-15 | Timothy James Price | System and method of incentivized advertising |
| US10776833B2 (en) | 2012-11-27 | 2020-09-15 | Synqy Corporation | Method and system for managing content of digital brand assets on the internet |
| US10834133B2 (en) * | 2012-12-04 | 2020-11-10 | International Business Machines Corporation | Mobile device security policy based on authorized scopes |
| US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
| US20140297840A1 (en) | 2013-03-29 | 2014-10-02 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US8813179B1 (en) | 2013-03-29 | 2014-08-19 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9455886B2 (en) | 2013-03-29 | 2016-09-27 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9369449B2 (en) | 2013-03-29 | 2016-06-14 | Citrix Systems, Inc. | Providing an enterprise application store |
| US20140359457A1 (en) * | 2013-05-30 | 2014-12-04 | NextPlane, Inc. | User portal to a hub-based system federating disparate unified communications systems |
| US9705840B2 (en) | 2013-06-03 | 2017-07-11 | NextPlane, Inc. | Automation platform for hub-based system federating disparate unified communications systems |
| US9819636B2 (en) | 2013-06-10 | 2017-11-14 | NextPlane, Inc. | User directory system for a hub-based system federating disparate unified communications systems |
| US10243945B1 (en) * | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| EP3085045B1 (en) * | 2013-12-17 | 2019-02-20 | Telefonaktiebolaget LM Ericsson (publ) | Secure triggering in a network |
| US10084795B2 (en) * | 2014-07-14 | 2018-09-25 | Cisco Technology, Inc. | Network-based real-time distributed data compliance broker |
| US20160241536A1 (en) * | 2015-02-13 | 2016-08-18 | Wepay, Inc. | System and methods for user authentication across multiple domains |
| US11456876B2 (en) * | 2015-03-26 | 2022-09-27 | Assa Abloy Ab | Virtual credentials and licenses |
| US9730112B2 (en) * | 2015-03-31 | 2017-08-08 | Northrop Grumman Systems Corporation | Identity based access and performance allocation |
| US10812464B2 (en) | 2015-06-15 | 2020-10-20 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10944738B2 (en) | 2015-06-15 | 2021-03-09 | Airwatch, Llc. | Single sign-on for managed mobile devices using kerberos |
| US11057364B2 (en) * | 2015-06-15 | 2021-07-06 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10171447B2 (en) | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
| CN105577656B (zh) * | 2015-12-17 | 2018-09-25 | 北京荣之联科技股份有限公司 | 一种基于云平台的统一身份认证方法 |
| CN105429999B (zh) * | 2015-12-17 | 2018-09-25 | 北京荣之联科技股份有限公司 | 基于云平台的统一身份认证系统 |
| CN105516160B (zh) * | 2015-12-17 | 2018-10-02 | 北京荣之联科技股份有限公司 | 一种域管理对象映射装置及统一身份认证系统 |
| EP3255597A1 (en) * | 2016-06-12 | 2017-12-13 | Apple Inc. | Managing secure transactions between electronic devices and service providers |
| US11023606B2 (en) * | 2016-10-02 | 2021-06-01 | Vmware, Inc. | Systems and methods for dynamically applying information rights management policies to documents |
| US10243946B2 (en) * | 2016-11-04 | 2019-03-26 | Netskope, Inc. | Non-intrusive security enforcement for federated single sign-on (SSO) |
| US10749870B2 (en) | 2017-11-21 | 2020-08-18 | Vmware, Inc. | Adaptive device enrollment |
| US10972468B2 (en) | 2017-11-21 | 2021-04-06 | Vmware, Inc. | Adaptive device enrollment |
| US10798103B2 (en) | 2017-11-21 | 2020-10-06 | VWware, Inc. | Adaptive device enrollment |
| US10986078B2 (en) * | 2017-11-21 | 2021-04-20 | Vmware, Inc. | Adaptive device enrollment |
| US10667135B2 (en) | 2018-01-11 | 2020-05-26 | Cisco Technology, Inc. | Dynamic policy-based on-boarding of devices in enterprise environments |
| US10742659B1 (en) * | 2018-05-15 | 2020-08-11 | Cox Communications, Inc. | Restricted content access provision based on third-party verification |
| JP2021060915A (ja) * | 2019-10-09 | 2021-04-15 | 富士通株式会社 | 本人確認プログラム、制御装置及び本人確認方法 |
| JP7367443B2 (ja) * | 2019-10-09 | 2023-10-24 | 富士通株式会社 | 本人確認プログラム、管理装置及び本人確認方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1992020021A1 (en) * | 1991-05-08 | 1992-11-12 | Digital Equipment Corporation | License management system |
| US7328259B2 (en) * | 2002-11-08 | 2008-02-05 | Symantec Operating Corporation | Systems and methods for policy-based application management |
| US7346585B1 (en) * | 2003-02-28 | 2008-03-18 | Microsoft Corporation | Computer software and services license processing method and system |
| US7103351B2 (en) * | 2003-06-23 | 2006-09-05 | July Systems Inc. | Policy service system and methodology |
| US7389273B2 (en) * | 2003-09-25 | 2008-06-17 | Scott Andrew Irwin | System and method for federated rights management |
| KR100644616B1 (ko) * | 2004-06-10 | 2006-11-10 | 세종대학교산학협력단 | 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 |
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| US7774830B2 (en) * | 2005-03-14 | 2010-08-10 | Microsoft Corporation | Access control policy engine controlling access to resource based on any of multiple received types of security tokens |
| KR100615621B1 (ko) * | 2005-03-30 | 2006-08-25 | (주)팜미디어 | 정책 관리를 통해 컨텐츠 다운로드를 제어하는 휴대 단말 |
| US20060230145A1 (en) | 2005-04-08 | 2006-10-12 | Microsoft Corporation | Methods and systems for a multi-service federated content distribution network |
| US8365306B2 (en) * | 2005-05-25 | 2013-01-29 | Oracle International Corporation | Platform and service for management and multi-channel delivery of multi-types of contents |
| US7555464B2 (en) * | 2006-03-01 | 2009-06-30 | Sony Corporation | Multiple DRM management |
| US7971071B2 (en) * | 2006-05-24 | 2011-06-28 | Walkoe Wilbur J | Integrated delivery and protection device for digital objects |
| US8151317B2 (en) * | 2006-07-07 | 2012-04-03 | International Business Machines Corporation | Method and system for policy-based initiation of federation management |
| US7860883B2 (en) * | 2006-07-08 | 2010-12-28 | International Business Machines Corporation | Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments |
| DE102006045352B4 (de) * | 2006-09-26 | 2015-02-12 | Nokia Solutions And Networks Gmbh & Co. Kg | Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box |
| GB0622823D0 (en) * | 2006-11-15 | 2006-12-27 | British Broadcasting Corp | Accessing content |
| US8332907B2 (en) * | 2007-06-22 | 2012-12-11 | Microsoft Corporation | Detection and management of controlled files |
-
2008
- 2008-10-16 US US12/252,404 patent/US9836702B2/en not_active Expired - Fee Related
-
2009
- 2009-09-30 TW TW098133268A patent/TWI439883B/zh not_active IP Right Cessation
- 2009-10-12 KR KR1020090096830A patent/KR101063368B1/ko not_active IP Right Cessation
- 2009-10-15 CN CN200910179763.6A patent/CN101727552B/zh not_active Expired - Fee Related
-
2017
- 2017-11-05 US US15/803,793 patent/US10810515B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101727552B (zh) | 2019-03-01 |
| TW201027384A (en) | 2010-07-16 |
| US10810515B2 (en) | 2020-10-20 |
| KR20100042594A (ko) | 2010-04-26 |
| CN101727552A (zh) | 2010-06-09 |
| US20100100925A1 (en) | 2010-04-22 |
| US9836702B2 (en) | 2017-12-05 |
| US20180060761A1 (en) | 2018-03-01 |
| KR101063368B1 (ko) | 2011-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI439883B (zh) | 在聯合環境中供識別提供者用之數位權利管理(drm)致能之策略管理 | |
| US8196177B2 (en) | Digital rights management (DRM)-enabled policy management for a service provider in a federated environment | |
| US8151317B2 (en) | Method and system for policy-based initiation of federation management | |
| JP4832822B2 (ja) | データ処理システム、方法およびコンピュータ・プログラム(連合ユーザ・ライフサイクル管理用の信頼インフラストラクチャ・サポートを可能にする方法およびシステム) | |
| JP4370258B2 (ja) | ユーザ・セッションを管理するための方法、データ処理システム、およびコンピュータ・プログラム(異機種連携環境における統合サインオフのための方法およびシステム) | |
| JP4726492B2 (ja) | 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム | |
| US8607322B2 (en) | Method and system for federated provisioning | |
| JP4988701B2 (ja) | ランタイム・ユーザ・アカウント作成オペレーションのための方法、装置、およびコンピュータ・プログラム | |
| US7698375B2 (en) | Method and system for pluggability of federation protocol runtimes for federated user lifecycle management | |
| US8554930B2 (en) | Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment | |
| US8561161B2 (en) | Method and system for authentication in a heterogeneous federated environment | |
| US8181225B2 (en) | Specializing support for a federation relationship | |
| US20060021017A1 (en) | Method and system for establishing federation relationships through imported configuration files | |
| US20060048216A1 (en) | Method and system for enabling federated user lifecycle management | |
| JP2008523486A (ja) | 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム | |
| KR100992016B1 (ko) | 데이터 프로세싱 시스템 내에 연합 기능성을 제공하는 방법및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |