WO2009128278A1

WO2009128278A1 - 要求側分散ｉｄ管理装置、提供側分散ｉｄ管理装置、分散ｉｄ管理システムおよび提供側分散ｉｄ管理方法

Info

Publication number: WO2009128278A1
Application number: PCT/JP2009/001784
Authority: WO
Inventors: 森拓也
Original assignee: 日本電気株式会社
Priority date: 2008-04-17
Filing date: 2009-04-17
Publication date: 2009-10-22
Also published as: JPWO2009128278A1; US20110022656A1; EP2267631A4; US8650275B2; JP5365628B2; EP2267631A1

Abstract

　要求側分散ＩＤ管理装置（１１）は、第１のサービス提供サーバ（１２）の利用者を特定する第１の利用者識別情報を、第１のサーバ識別情報と対応づけて保持するＩＤ管理手段（１１１）と、第１のサービス提供サーバ（１２）から、第１の利用者識別情報に対応する第２のＩＤ管理装置（２１）の利用者を特定する管理利用者識別情報の要求を受け付けるＩＤ要求処理手段（１１４）と、ＩＤ要求処理手段（１１４）によって受け付けられた管理利用者識別情報を第２のＩＤ管理装置（２１）に要求し、当該第２のＩＤ管理装置（２１）から管理利用者識別情報を取得するドメイン間連携手段（１１３）と、を備え、ＩＤ要求処理手段（１１４）は、ドメイン間連携手段（１１３）によって取得された管理利用者識別情報を第１のサービス提供サーバ（１２）へ送信する。

Description

要求側分散ＩＤ管理装置、提供側分散ＩＤ管理装置、分散ＩＤ管理システムおよび提供側分散ＩＤ管理方法

　本発明は、要求側分散ＩＤ管理装置、提供側分散ＩＤ管理装置、分散ＩＤ管理システム、要求側分散ＩＤ管理方法、提供側分散ＩＤ管理方法、要求側分散ＩＤ管理プログラムおよび提供側分散ＩＤ管理プログラムに関する。

　分散ＩＤ（Identifier）管理システムの一例が、非特許文献１に記載されている。図４に示すように、非特許文献１に記載された分散ＩＤ管理システムは、ＩＤ管理サーバ（ＩｄＰ－０）と、サービス提供サーバ（ＳＰ－１）と、サービス提供サーバ（ＳＰ－２）とを備えている。

　このような構成を有する分散ＩＤ管理システムは、次のように動作する。

　すなわち、ＩＤ管理サーバ（ＩｄＰ－０）とサービス提供サーバ（ＳＰ－１）は、それぞれのサーバに登録されている同一の利用者（例えば、利用者ｕ）のＩＤ（Identifier）を、事前に関連付けておく。同様にＩＤ管理サーバ（ＩｄＰ－０）とサービス提供サーバ（ＳＰ－２）は、それぞれのサーバに登録されている同一の利用者ｕのＩＤを、事前に関連付けておく。

　ここで、ＩＤ管理サーバ（ＩｄＰ－０）は、例えば、同一利用者のＩＤであっても、関連付けられている先のサービス提供サーバ毎に、利用者ｕのＩＤを個別に対応づけて管理する。

　そして、利用者ｕは、図示しない利用者端末から、ＩＤ管理サーバ（ＩｄＰ－０）に対して認証要求を行う。そして認証されると、ＩＤ管理サーバ（ＩｄＰ－０）は、サービス提供サーバ（ＳＰ－１）にサービス要求を行う。この場合、ＩＤ管理サーバ（ＩｄＰ－０）は、サービス提供サーバ（ＳＰ－１）に対して、サービス提供サーバ（ＳＰ－１）における利用者ｕの利用者情報（９８７６５４＠ＳＰ－１）を、認証済みの利用者として送信する。

　また、ＩＤ管理サーバ（ＩｄＰ－０）は、同様に、サービス提供部（ＳＰ－２）に対しても、サービス提供部（ＳＰ－２）における利用者ｕの利用者情報（１２３４５６＠ＳＰ－２）を、認証済みの利用者として送信する。

　これに対し、異なるシステム間で異なる利用者のＩＤをシステム毎にそれぞれ設定して、そのそれぞれの利用者のＩＤをシステムごとに使用しなくてはならない問題点を解決するものが、特許文献１に記載されている。

　特許文献１では、以下のような認証情報を送信する方法が記載されている。なお、本段落における符号は特許文献１の図３と対応している。企業Ａのコンピュータシステム２０が備えるユーザ認証情報送信手段２０ｄが、ユーザ情報記憶手段２０ｃを検索し、ユーザ１の第１のユーザ認識情報に関連付けられた企業Ｂのユーザ認証情報を抽出し、抽出した第２のユーザ認証情報を暗号化する。そして、ユーザ認証情報送信手段２０ｄは、暗号化された第２のユーザ認証情報を、企業Ｂのコンピュータシステム３０にアクセスするために必要な情報と共に、送受信手段２０ａを介して送信する旨が開示されている。

　さらに、特許文献１には、認証情報を検索する方法も開示されている。具体的には、第２のコンピュータシステム３０のユーザ認証手段３０ｂが、送受信手段３０ａにより受信された第２のユーザ認証情報を復号化する。そして、ユーザ認証手段３０ｂは、復号化された第２のユーザ認証情報に基づいて、ユーザ情報記憶手段３０ｃを検索することにより認証を行う。なお、本段落における符号も特許文献１の図３と対応している。

　また、シングルサインオンサーバについて、特許文献２で開示されている。なお、本段落における符号は特許文献２の図１と対応している。シングルサインオンサーバ１１は、ユーザＩＤがマッピングされていない場合は、マッピング用ＩＤテーブル１６から事業者Ｂのマッピング用ＩＤを読み出し、ＩＤマッピングテーブル１２に登録する旨が記載されている。

トマス・ワソン他著「リバティＩＤ－ＦＦアーキテクチャ・オーバビュー（Ｌｉｂｅｒｔｙ　ＩＤ－ＦＦ　Ａｒｃｈｉｔｅｃｔｕｒｅ　Ｏｖｅｒｖｉｅｗ）」リバティ・アライアンス・プロジェクト

特開２００２－３１２３２０号公報特開２００４－２３４３２９号公報

　ところで、特許文献１および２に記載された第２の問題点は、異なるシステム間（ドメインを跨ぐシステム間）のサービスの連携において、複数のＩＤ管理部が相互に連携することができない、という点である。その理由は、複数のＩＤ管理部を介したサービスの連携について、何ら考慮されていないからである。

　本発明は上記事情に鑑みてなされたものであり、その目的とするところは、サービス提供サーバが相互に連携することにより、利用者端末にサービスの提供を増やすことができる要求側分散ＩＤ管理装置、提供側分散ＩＤ管理装置、分散ＩＤ管理システムを提供することにある。

　本発明によれば、階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別する第１のサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属するサービス提供サーバのサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第１のＩＤ管理装置として機能する要求側分散ＩＤ管理装置であって、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、前記第１のサーバ識別情報と対応づけて保持するＩＤ管理手段と、
　前記第１の利用者識別情報に対応する前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理手段と、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携手段と、を備え、
　前記ＩＤ要求処理手段は、
　前記ドメイン間連携手段によって取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信する
　ことを特徴とする要求側分散ＩＤ管理装置が提供される。

　本発明によれば、階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別するサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属する第２のサービス提供サーバと、当該第２のサービス提供サーバを識別するサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第２のＩＤ管理装置として機能する提供側分散ＩＤ管理装置であって、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理手段と、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理手段と、を備え、
　前記サーバＩＤ要求処理手段は、
　受け付けられた前記要求により、前記サーバＩＤ管理手段に保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信する
　ことを特徴とする提供側分散ＩＤ管理装置が提供される。

　本発明によれば、階層構造により形成された異なるドメインに属する第１と第２のサービス提供サーバと、前記第１のサービス提供サーバのサーバ識別情報を保持する第１のＩＤ管理装置と、前記第２のサービス提供サーバのサーバ識別情報を保持する前記第２のＩＤ管理装置と、前記第１のサービス提供サーバと通信接続する利用者端末とを備えた分散ＩＤ管理システムであって、
　前記第１のＩＤ管理装置は、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、当該第１のサービス提供サーバのサーバ識別情報と対応づけて保持するＩＤ管理手段と、
　前記第２のサービス提供サーバが提供するサービスの要求を前記利用者端末から受け付けると、前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理手段と、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携手段と、を備え、
　前記第２のＩＤ管理装置は、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理手段と、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理手段と、を備え、
　前記サーバＩＤ要求処理手段は、
　受け付けられた前記要求により、前記サーバＩＤ管理手段に保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信し、
　前記サーバＩＤ要求処理手段は、
　前記ドメイン間連携手段によって取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信し、
　前記第１のサービス提供サーバは、
　前記サーバＩＤ要求処理手段によって送信された前記管理利用者識別情報に基づいて、前記第２のサービス提供サーバの利用者を特定する第２の利用者識別情報を前記第２のＩＤ管理装置に要求し、当該第２の利用者識別情報によって前記第２のサービス提供サーバに前記サービスを要求する
　ことを特徴とする分散ＩＤ管理システムが提供される。

　本発明によれば、階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別する第１のサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属するサービス提供サーバのサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第１のＩＤ管理装置として機能する要求側分散ＩＤ管理装置の要求側分散ＩＤ管理方法であって、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、前記第１のサーバ識別情報と対応づけて保持するＩＤ管理ステップと、
　前記第１の利用者識別情報に対応する前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理ステップと、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携ステップと、を含み、
　前記ＩＤ要求処理ステップは、
　前記ドメイン間連携ステップで取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信する
　ことを特徴とする要求側分散ＩＤ管理方法が提供される。

　本発明によれば、階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別するサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属する第２のサービス提供サーバと、当該第２のサービス提供サーバを識別するサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第２のＩＤ管理装置として機能する提供側分散ＩＤ管理装置の提供側分散ＩＤ管理方法であって、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理ステップと、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理ステップと、を含み、
　前記サーバＩＤ要求処理ステップは、
　受け付けられた前記要求により、前記サーバＩＤ管理ステップで保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信する
　ことを特徴とする提供側分散ＩＤ管理方法が提供される。

　本発明によれば、階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別する第１のサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属するサービス提供サーバのサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第１のＩＤ管理装置として機能する要求側分散ＩＤ管理装置の要求側分散ＩＤ管理プログラムであって、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、前記第１のサーバ識別情報と対応づけて保持するＩＤ管理手順と、
　前記第１の利用者識別情報に対応する前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理手順と、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携手順と、を含み、
　前記ＩＤ要求処理手順は、
　前記ドメイン間連携手順で取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信する
　ことをコンピュータに実行させることを特徴とする要求側分散ＩＤ管理プログラムが提供される。

　本発明によれば、階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別するサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属する第２のサービス提供サーバと、当該第２のサービス提供サーバを識別するサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第２のＩＤ管理装置として機能する提供側分散ＩＤ管理装置の提供側分散ＩＤ管理プログラムであって、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理手順と、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理手順と、を含み、
　前記サーバＩＤ要求処理手順は、
　受け付けられた前記要求により、前記サーバＩＤ管理手順で保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信する
　ことをコンピュータに実行させることを特徴とする提供側分散ＩＤ管理プログラムが提供される。

　本発明によれば、サービス提供サーバが相互に連携することにより、利用者端末にサービスの提供を増やすことができる要求側分散ＩＤ管理装置、提供側分散ＩＤ管理装置、分散ＩＤ管理システムが提供される。

　上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。

本発明の第１の実施の形態における分散ＩＤ管理システムの構成を示す機能ブロック図である。第１の発明を実施するための最良の形態の動作を示すシーケンス図である。第１の発明を実施するための最良の形態の動作を示すシーケンス図である。非特許文献１に記載されたブロック図である。

　次に、本発明の実施の形態について図面を参照して詳細に説明する。

　図１を参照すると、本発明の第１の実施の形態における分散ＩＤ管理システムは、ドメイン１と、ドメイン２と、利用者端末３と、を備えている。

　ドメイン１は、ＩＤ管理サーバ（第１のＩＤ管理装置として機能する要求側分散ＩＤ管理装置）１１と、サービス提供サーバ（第１のサービス提供サーバ）１２と、サービス提供サーバ１３とを備えている。ドメイン２は、ＩＤ管理サーバ（第２のＩＤ管理装置として機能する提供側分散ＩＤ管理装置）２１と、サービス提供サーバ（第２のサービス提供サーバ）２２とを備えている。

　図１に示すＩＤ管理サーバ１１は、階層構造により形成されたドメイン１に属するサービス提供サーバ１２と、当該サービス提供サーバ１２を識別するサーバ識別情報を保持するＩＤ管理サーバ１１と、ドメイン１と異なるドメイン２に属するサービス提供サーバ２２のサーバ識別情報を保持するＩＤ管理サーバ２１とを備えた分散ＩＤ管理システムにおけるＩＤ管理サーバとして機能する要求側分散ＩＤ管理装置であって、サービス提供サーバ１２の利用者を特定する利用者の第１のＩＤ（第１の利用者識別情報）を、サーバ識別情報と対応づけて保持するＩＤ管理部１１１と、利用者の第１のＩＤに対応するＩＤ管理サーバ２１の利用者を特定する管理利用者ＩＤ（管理利用者識別情報）の取得要求を、サービス提供サーバ１２から受け付けるＩＤ要求処理部１１４と、取得要求に基づいて、ＩＤ管理サーバ２１から管理利用者ＩＤを取得するドメイン間連携部１１３と、を備え、ＩＤ要求処理部１１４は、ドメイン間連携部１１３によって取得された管理利用者ＩＤをサービス提供サーバ１２へ送信する。

　図１に示すＩＤ管理サーバ２１は、階層構造により形成されたドメイン１に属するサービス提供サーバ１２と、当該サービス提供サーバ１２を識別するサーバ識別情報を保持するＩＤ管理サーバ１１と、ドメイン１と異なるドメイン２に属するサービス提供サーバ２２と、当該サービス提供サーバ２２を識別するサーバ識別情報を保持するＩＤ管理サーバ２１とを備えた分散ＩＤ管理システムにおけるＩＤ管理サーバとして機能する提供側分散ＩＤ管理装置であって、ＩＤ管理サーバ１１のサーバ識別情報に対応づけられた利用者の第１のＩＤを、自サーバのサーバ識別情報に対応づけられた管理利用者ＩＤと対応づけて保持するＩＤ管理部（サーバＩＤ管理手段）２１１と、ＩＤ管理サーバ１１から、当該ＩＤ管理サーバのサーバ識別情報に対応づけられた利用者の第１のＩＤに対応する管理利用者ＩＤの要求を受け付けるＩＤ要求処理部（サーバＩＤ要求処理手段）２１４と、を備え、ＩＤ要求処理部２１４は、受け付けられた要求により、ＩＤ管理部２１１に保持された管理利用者ＩＤを読み出して、当該利用者の管理利用者ＩＤをＩＤ管理サーバ１１へ送信する。

　本実施の形態によれば、ＩＤ管理サーバ１１は、ＩＤ管理サーバ２１から管理利用者ＩＤを取得する。そして、ＩＤ管理サーバ１１は、管理利用者ＩＤをサービス提供サーバ１２に送信する。サービス提供サーバ１２は、その管理利用者ＩＤを基に、ＩＤ管理サーバ２１に接続する。

　そして、サービス提供サーバ１２は、ＩＤ管理サーバ２１から、管理利用者ＩＤに対応するサービス提供サーバ２２の利用者の第２のＩＤを取得する。

　これにより、サービス提供サーバ１２がサービス提供サーバ２２の利用者の第２のＩＤを取得すると、サービス提供サーバ１２は、サービス提供サーバ２２と通信接続を開始することができる。

　このように、サービス提供サーバ１２とサービス提供サーバ２２が相互に連携することにより、分散ＩＤ管理システムは、利用者端末３に多くのサービスを提供することができる。

　また、ＩＤ管理部１１１は、利用者の第１のＩＤがサービス提供サーバ１２と対応づけて保存されていないときには、当該サービス提供サーバ向けの利用者を識別するＩＤを生成し、そのＩＤを、新たな利用者として当該サービス提供サーバと対応づけて保持する。

　ＩＤ管理部２１１は、利用者の第２のＩＤが保存されていないときには、サービス提供サーバ２２の利用者を特定する新利用者識別情報を生成し、当該新利用者識別情報をサービス提供サーバ２２のサーバ識別情報に対応づけて保持するとともに、当該新利用者識別情報を利用者の第２のＩＤとしてＩＤ管理サーバ２１のサーバ識別情報に対応づけて保持する。

　ＩＤ管理サーバ１１は、サービス提供サーバごとに利用者を識別する利用者の第１のＩＤを暗号化するＩＤ暗号化部１１２を有している。

　ＩＤ管理サーバ２１は、ＩＤ管理部２１１に保持された利用者の第２のＩＤまたはサービス提供サーバ２２の利用者識別情報の少なくともいずれかを暗号化するＩＤ暗号化部２１２を有している。

　このＩＤ暗号化部２１２は、ドメイン間連携部１１３によって要求されるサービス提供サーバ２２の利用者のＩＤを、当該サービス提供サーバ２２が復号させることができる暗号化方法によって暗号化処理を施す。

　サービス提供サーバ１２は、暗号化された利用者識別情報を復号するＩＤ復号部１２１と、利用者のＩＤを要求するＩＤ要求部１２２と、サービス提供サーバにサービスを要求するサービス要求部１２３と、サービス処理部１２４と、を有している。

　サービス提供サーバ１３は、サービス提供サーバ１２と同様に、ＩＤ復号部１３１と、ＩＤ要求部１３２と、サービス要求部１３３と、サービス処理部１３４と、を有している。

　なお、ＩＤ管理サーバ２１は、上述した提供側分散ＩＤ管理装置としての機能の他に、ＩＤ管理サーバ１１としての機能を備えている。すなわち、ＩＤ管理サーバ２１は、ＩＤ管理部２１１と、ＩＤ暗号化部２１２と、ドメイン間連携部２１３と、ＩＤ要求処理部２１４と、を有している。また、ＩＤ管理サーバ１１も同様に、上述した要求側分散ＩＤ管理装置としての機能の他に、ＩＤ管理サーバ２１としての機能を備えている。

　サービス提供サーバ２２は、ＩＤ復号部２２１と、ＩＤ要求部２２２と、サービス要求部２２３と、サービス処理部２２４と、を有している。

　ここで、ＩＤ管理サーバ１１は、ドメイン１における利用者のＩＤを管理している。ＩＤ管理サーバ２１は、ドメイン２における利用者のＩＤを管理している。

　なお、機能ブロックの同一名称は、同一の処理を行うことを示している。また、これらの機能ブロックは、それぞれ概略次のように動作する。

　ＩＤ管理部１１１は、ドメイン１に属する、ＩＤ管理サーバ１１と、サービス提供サーバ１２と、サービス提供サーバ１３における利用者のＩＤを管理している。具体的には、ＩＤ管理部１１１は、利用者のＩＤと各サーバの対応付けを保持している。

　ＩＤ暗号化部１１２は、例えば、ドメイン１に属するサービス提供サーバ１２から、ドメイン２に属するサービス提供サーバ２２へサービスを連携するＩＤの要求処理の際に、他のサービス提供サーバに開示されないようにＩＤを暗号化する機能を有している。

　ドメイン間連携部１１３は、ドメイン２に属するＩＤ管理サーバ２１と連携してＩＤ要求元であるサービス提供サーバ１２へ応答するために、ドメイン２のＩＤ管理サーバ２１における利用者のＩＤを取得する。

　ＩＤ要求処理部１１４は、ドメイン１に属するサービス提供サーバ１２からサービスを連携するためのＩＤ取得要求を受け付け、暗号化されたＩＤを要求元へ応答する。

　ＩＤ復号部１２１は、ドメイン２に属するサービス提供サーバ２２のサービスと連携する際に、サービス提供サーバ２２から受け取った暗号化された利用者のＩＤを復号する。

　ＩＤ要求部１２２は、サービス提供サーバ２２とサービスを連携するために、サービス提供サーバ２２のサービスにおける暗号化された利用者のＩＤを、ＩＤ管理サーバ２１に問合せて要求する。

　サービス要求部１２３は、サービス提供サーバ２２とサービスを連携する際に、サービス提供サーバ２２にサービス要求を行う。

　サービス処理部１２４は、サービス提供サーバ２２または利用者端末３からのサービス要求（サービスの要求のことをいう。）に応答し、サービスを提供する。なお、図に記載の他のサーバや他の機能ブロックについても同様である。

　次に、図２および図３のシーケンス図を参照しながら、本実施の形態の全体の動作について詳細に説明する。

　まず、図２のシーケンス図を参照しながら、ドメイン１内のサービスの連携について説明する。

　サービス要求部１２３は、ＩＤ要求部１２２に対して、サービス連携先である連携先ＩＤ（ここでは、サービス提供サーバ１３のサーバＩＤとする。）を要求する（ステップＳ０１）。

　次に、ＩＤ要求部１２２は、サービス要求部１２３に連携先ＩＤを送信する（ステップＳ０３）。また、ＩＤ要求部１２２は、ＩＤ要求処理部１１４に対して、サービス連携先における暗号化された利用者のＩＤを要求する（ステップＳ０５）。

　次に、ＩＤ要求処理部１１４は、ＩＤ管理部１１１に、サービス提供サーバ１２における利用者と対応するサービス提供サーバ１３における利用者のＩＤを要求する（ステップＳ０７）。

　ＩＤ管理部１１１は、ＩＤ要求処理部１１４の要求に対応する利用者のＩＤが存在する場合には、その利用者のＩＤを返信する。これに対し、ＩＤ要求処理部１１４の要求に対応する利用者のＩＤがまだ登録されていなければ、ＩＤ管理部１１１は、新たに連携先であるサービス提供サーバ１３における利用者のＩＤを作成する。そして、ＩＤ管理部１１１は、作成されたその利用者のＩＤを、呼出元であるサービス提供サーバ１２におけるその利用者のＩＤと対応づけた上で、作成されたその利用者のＩＤを、ＩＤ要求処理部１１４へ返信する（ステップＳ０９）。

　さらに、ＩＤ要求処理部１１４は、受信したサービス提供サーバ１３における利用者のＩＤを、サービス連携先であるサービス提供サーバ１３の暗号鍵で暗号化するため、ＩＤ暗号化部１１２にＩＤ暗号化要求を送信する（ステップＳ１１）。

　ＩＤ暗号化部１１２は、ＩＤ暗号化要求を受信すると、受信された利用者のＩＤを暗号化する。そして、ＩＤ要求処理部１１４は、ＩＤ暗号化部１１２によって暗号化された利用者のＩＤを取得する（ステップＳ１３）。なお、暗号鍵で暗号化された利用者ＩＤを、暗号化ＩＤという。

　ＩＤ要求処理部１１４は、取得した暗号化ＩＤを、ＩＤ要求部１２２へ送信する（ステップＳ１５）。

　ＩＤ要求部１２２は、ＩＤ要求処理部１１４から暗号化ＩＤを受信すると、受信した暗号化ＩＤを、サービス要求部１２３に送信する（ステップＳ１７）。

　サービス要求部１２３は、暗号化ＩＤを受信すると、その暗号化ＩＤと連携先ＩＤとを元に、サービス提供サーバ１３のサービス処理部１３４に対して、サービス要求を行う（ステップＳ１９）。

　サービス処理部１３４は、サービス要求部１２３からサービス要求を受信すると、ＩＤ復号部１３１へ暗号化ＩＤの復号要求を行う（ステップＳ２１）。

　サービス提供サーバ１３は、ＩＤ復号部１３１が暗号化ＩＤを復号することにより、サービス提供サーバ１３に対応づけられた利用者のＩＤを取得することができる（ステップＳ２３）。

　次に、図３のシーケンス図を参照しながら、ドメイン１とドメイン２におけるドメイン間のサービスの連携について説明する。

　サービス提供サーバ１２のサービス要求部１２３は、ＩＤ要求部１２２に対して、サービス連携先である連携先ＩＤ（ここでは、サービス提供サーバ２２とする。）を要求する（ステップＳ１０１）。

　次に、ＩＤ要求部１２２は、サービス要求部１２３に連携先ＩＤを送信する（ステップＳ１０３）。また、ＩＤ要求部１２２は、ＩＤ管理サーバ１１のＩＤ要求処理部１１４に対して、サービス連携先における暗号化された利用者のＩＤ（すなわち、暗号化ＩＤである。）を要求する（ステップＳ１０５）。

　次に、ＩＤ要求処理部１１４は、ＩＤ管理サーバ１１における利用者の第1のＩＤと対応するＩＤ管理サーバ２１における管理利用者ＩＤを、ドメイン間連携部１１３に要求する（ステップＳ１０７）。ドメイン間連携部１１３は、ＩＤ要求処理部２１４に、ＩＤ管理サーバ２１における管理利用者ＩＤを要求する（ステップＳ１０９）。

　そして、ＩＤ要求処理部２１４は、ＩＤ管理サーバ１１における利用者と対応するＩＤ管理サーバ２１における管理利用者ＩＤを、ＩＤ管理部２１１に要求する（ステップＳ１１１）。

　ＩＤ管理部２１１は、ＩＤ要求処理部２１４の要求に対応する管理利用者ＩＤが存在する場合には、その管理利用者ＩＤを返信する。これに対し、ＩＤ要求処理部２１４の要求に対応する管理利用者ＩＤがまだ登録されていなければ、ＩＤ管理部２１１は、ＩＤ管理サーバ２１における利用者のＩＤ（すなわち、管理利用者ＩＤである。）を作成する。また、ＩＤ管理部２１１は、連携先のサービス提供サーバ２２における利用者の第２のＩＤを作成する。ＩＤ管理部２１１は、ＩＤ管理サーバ１１における利用者の第１のＩＤと管理利用者ＩＤとを対応づけた上で、その管理利用者ＩＤをＩＤ要求処理部２１４へ返信する（ステップＳ１１３）。

　なお、このとき、ＩＤ管理部２１１は、ＩＤ管理サーバ２１における管理利用者ＩＤと、サービス提供サーバ２２における利用者の第２のＩＤとを対応づけて格納する。

　ＩＤ要求処理部２１４は、受信した管理利用者ＩＤを、サービス連携先であるサービス提供サーバ２２の暗号鍵で暗号化するため、ＩＤ暗号化部２１２に、ＩＤ暗号化要求を送信する（ステップＳ１１５）。

　ＩＤ暗号化部２１２は、ＩＤ暗号化要求を受信すると、受信された管理利用者ＩＤを暗号化する。そして、ＩＤ要求処理部２１４は、ＩＤ暗号化部２１２によって暗号化された管理利用者ＩＤ（これを、暗号化管理利用者ＩＤという。）を取得する（ステップＳ１１７）。

　ＩＤ要求処理部２１４は、取得した暗号化管理利用者ＩＤを、ドメイン間連携部１１３へ送信する（ステップＳ１１９）。

　ドメイン間連携部１１３は、ＩＤ要求処理部２１４から暗号化管理利用者ＩＤを受信すると、受信した暗号化管理利用者ＩＤを、ＩＤ要求処理部１１４へ送信する（ステップＳ１２１）。ＩＤ要求処理部１１４は、ドメイン間連携部１１３から暗号化管理利用者ＩＤを受信すると、受信したその暗号化管理利用者ＩＤを、サービス提供サーバ１２のＩＤ要求部１２２へ送信する（ステップＳ１２３）。

　ＩＤ要求部１２２は、ＩＤ要求処理部２１４に対して、取得したＩＤ管理サーバ２１における暗号化管理利用者ＩＤを提示し、サービス連携先であるサービス提供サーバ２２における当該利用者のＩＤを要求する（ステップＳ１２５）。

　そして、ＩＤ要求処理部２１４は、ＩＤ管理部２１１に、ＩＤ管理サーバ２１における管理利用者ＩＤと、対応するサービス提供サーバ２２における利用者の第２のＩＤを要求する（ステップＳ１２７）。

　ＩＤ管理部２１１は、サービス提供サーバ２２に対応する利用者の第２のＩＤが存在する場合には、その利用者の第２のＩＤを返信する。これに対し、サービス提供サーバ２２に対応する利用者のＩＤがまだ登録されていなければ、ＩＤ管理部２１１は、連携先のサービス提供サーバ２２における利用者の第２のＩＤを作成する。そして、ＩＤ管理部２１１は、ＩＤ管理サーバ２１における管理利用者ＩＤと対応づけた上で、その利用者の第２のＩＤをＩＤ要求処理部２１４へ返信する（ステップＳ１２９）。

　さらに、ＩＤ要求処理部２１４は、受信した利用者の第２のＩＤを、サービス連携先であるサービス提供サーバ２２の暗号鍵で暗号化するため、ＩＤ暗号化部２１２にＩＤ暗号化要求を送信する（ステップＳ１３１）。

　ＩＤ暗号化部２１２は、ＩＤ暗号化要求を受信すると、受信された利用者の第２のＩＤを暗号化する。そして、ＩＤ要求処理部２１４は、ＩＤ暗号化部２１２によって暗号化された利用者の第２のＩＤ（これを暗号化第２ＩＤという）を取得する（ステップＳ１３３）。

　ＩＤ要求処理部２１４は、取得した暗号化第２ＩＤを、サービス提供サーバ１２のＩＤ要求部１２２へ送信する（ステップＳ１３５）。

　ＩＤ要求部１２２は、ＩＤ要求処理部２１４から暗号化第２ＩＤを受信する。ＩＤ要求部１２２は、その暗号化第２ＩＤを受信すると、サービス要求部１２３に送信する（ステップＳ１３７）。サービス要求部１２３は、暗号化第２ＩＤを受信すると、その暗号化第２ＩＤとサービス連携先ＩＤを元に、サービス提供サーバ２２のサービス処理部２２４に対して、サービス要求を行う（ステップＳ１３９）。

　サービス処理部２２４は、サービス提供サーバ１２のサービス要求部１２３から、暗号化第２ＩＤによるサービス要求を受信すると、ＩＤ復号部２２１に暗号化第２ＩＤの復号要求を行う（ステップＳ１４１）。

　サービス提供サーバ２２は、ＩＤ復号部２２１において暗号化第２ＩＤを復号することにより、サービス提供サーバ２２に対応づけられた利用者の第２のＩＤを取得することができる（ステップＳ１４３）。

　以上説明したように本実施の形態によれば、ＩＤ管理サーバ１１のドメイン間連携部１１３によって、ＩＤ管理サーバ２１と連携するように構成されている。これにより、中央集権型のＩＤ管理装置などを必要としない分散型のＩＤ管理システムを実現できる。

　このように、本実施の形態によれば、管理対象の異なるドメイン間（システム間）において、サービス提供サーバ同士が連携することができるので、適用可能なサービスを増やすことができる。

　また、本実施の形態では、利用者のＩＤをＩＤ暗号化部２１２で暗号化するように構成されているので、サービス提供サーバ２２がサービスを連携する際に、サービス提供サーバ１２に利用者のＩＤを開示することなく、サービスの連携を実現できる。

　さらに、本実施の形態では、対応する利用者のＩＤが存在しない場合でも、連携先のサービス提供サーバ２２やＩＤ管理サーバ２１における利用者のＩＤを作成するよう構成されている。これにより、サービス提供サーバ２２に対して、動的に利用者のＩＤを提供することができる。

　なお、本発明は、上記の実施の形態に限定されず、本発明の技術思想の範囲内において、実施の形態が適宜変更され得るものである。

　この出願は、２００８年　４月１７日に出願された日本出願特願２００８－１０７９４３号を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　例えば、本実施の形態は、次のような技術的範囲を包含している。

　ＩＤ管理サーバとからなる分散ＩＤ管理装置は、管理対象のサービス提供サーバにおける各サービスを提供するサーバ毎の利用者のＩＤを管理するＩＤ管理部と、サービス提供サーバに利用者のＩＤを開示することなく連携する他のサービス提供サーバへの利用者のＩＤの伝達を実現すべくＩＤを暗号化するＩＤ暗号化部と、他のドメインに属すサービス提供サーバとのサービス連携を実現する際に必要なＩＤ連携を実現するドメイン間連携部と、を備えたことを特徴とする。

　上述の分散ＩＤ管理装置は、他のサービス提供サーバとサービス連携を行う際に、ＩＤ管理サーバに連携先における利用者のＩＤを問い合わせるＩＤ要求部と、他のサービス提供サーバからサービス連携要求を受けた際に、受け取った利用者のＩＤを復号する部と、を備えたことを特徴としてもよい。

　また、上述の分散ＩＤ管理装置は、ＩＤ管理部が、管理対象のサービス提供サーバにおける各サービス提供サーバ毎の利用者のＩＤを管理するとともに、各サービス提供サーバにおける利用者のＩＤの対応付けを保持し、さらに、利用者のＩＤの対応付けがない場合には、そのサービス提供者向けの利用者ＩＤを生成し、新たに、利用者のＩＤの対応付けへ追加する部を含むことを特徴としてもよい。

　また、上述の分散ＩＤ管理装置は、ＩＤ暗号化部が、サービス連携において、連携先のサービス提供サーバにおける利用者ＩＤを、連携元のサービス提供サーバに開示することなく、連携元のサービス提供サーバへ伝達するために、連携先のサービス提供サーバのみが開示できる方法で、連携先のサービス提供サーバにおける利用者ＩＤを秘匿する手段を含むことを特徴としてもよい。

　また、上述の分散ＩＤ管理装置は、ドメイン間連携部が、サービス連携において、連携先のサービス提供サーバが他のＩＤ管理サーバの管理下にある場合、当該ＩＤ管理サーバへ連携元のサービス提供サーバが連携先のサービス提供サーバにおける利用者のＩＤを問い合わせるために、当該ＩＤ管理サーバにおける利用者のＩＤを、連携元のサービス提供サーバへ伝達するために、当該ＩＤ管理サーバへＩＤを要求する部を含むことを特徴としてもよい。

Claims

　階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別する第１のサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属するサービス提供サーバのサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第１のＩＤ管理装置として機能する要求側分散ＩＤ管理装置であって、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、前記第１のサーバ識別情報と対応づけて保持するＩＤ管理手段と、
　前記第１の利用者識別情報に対応する前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理手段と、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携手段と、を備え、
　前記ＩＤ要求処理手段は、
　前記ドメイン間連携手段によって取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信する
　ことを特徴とする要求側分散ＩＤ管理装置。
　階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別するサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属する第２のサービス提供サーバと、当該第２のサービス提供サーバを識別するサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第２のＩＤ管理装置として機能する提供側分散ＩＤ管理装置であって、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理手段と、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理手段と、を備え、
　前記サーバＩＤ要求処理手段は、
　受け付けられた前記要求により、前記サーバＩＤ管理手段に保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信する
　ことを特徴とする提供側分散ＩＤ管理装置。
　前記サーバＩＤ管理手段は、
　前記管理利用者識別情報が前記サーバＩＤ管理手段に保存されていないときには、前記第２のサービス提供サーバの利用者を特定する新利用者識別情報を生成し、当該新利用者識別情報を前記第２のサービス提供サーバのサーバ識別情報に対応づけて保持するとともに、当該新利用者識別情報を前記管理利用者識別情報として前記自装置のサーバ識別情報に対応づけて保持する
　ことを特徴とする請求項２に記載の提供側分散ＩＤ管理装置。
　前記サーバＩＤ管理手段に保持された前記管理利用者識別情報または前記新利用者識別情報の少なくともいずれかを暗号化するＩＤ暗号化手段、
　を備えることを特徴とする請求項２または３記載の提供側分散ＩＤ管理装置。
　階層構造により形成された異なるドメインに属する第１と第２のサービス提供サーバと、前記第１のサービス提供サーバのサーバ識別情報を保持する第１のＩＤ管理装置と、前記第２のサービス提供サーバのサーバ識別情報を保持する第２のＩＤ管理装置と、前記第１のサービス提供サーバと通信接続する利用者端末とを備えた分散ＩＤ管理システムであって、
　前記第１のＩＤ管理装置は、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、当該第１のサービス提供サーバのサーバ識別情報と対応づけて保持するＩＤ管理手段と、
　前記第２のサービス提供サーバが提供するサービスの要求を前記利用者端末から受け付けると、前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理手段と、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携手段と、を備え、
　前記第２のＩＤ管理装置は、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理手段と、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理手段と、を備え、
　前記サーバＩＤ要求処理手段は、
　受け付けられた前記要求により、前記サーバＩＤ管理手段に保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信し、
　前記サーバＩＤ要求処理手段は、
　前記ドメイン間連携手段によって取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信し、
　前記第１のサービス提供サーバは、
　前記サーバＩＤ要求処理手段によって送信された前記管理利用者識別情報に基づいて、前記第２のサービス提供サーバの利用者を特定する第２の利用者識別情報を前記第２のＩＤ管理装置に要求し、当該第２の利用者識別情報によって前記第２のサービス提供サーバに前記サービスを要求する
　ことを特徴とする分散ＩＤ管理システム。
　階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別する第１のサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属するサービス提供サーバのサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第１のＩＤ管理装置として機能する要求側分散ＩＤ管理装置の要求側分散ＩＤ管理方法であって、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、前記第１のサーバ識別情報と対応づけて保持するＩＤ管理ステップと、
　前記第１の利用者識別情報に対応する前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理ステップと、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携ステップと、を含み、
　前記ＩＤ要求処理ステップは、
　前記ドメイン間連携ステップで取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信する
　ことを特徴とする要求側分散ＩＤ管理方法。
　階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別するサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属する第２のサービス提供サーバと、当該第２のサービス提供サーバを識別するサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第２のＩＤ管理装置として機能する提供側分散ＩＤ管理装置の提供側分散ＩＤ管理方法であって、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理ステップと、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理ステップと、を含み、
　前記サーバＩＤ要求処理ステップは、
　受け付けられた前記要求により、前記サーバＩＤ管理ステップで保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信する
　ことを特徴とする提供側分散ＩＤ管理方法。
　階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別する第１のサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属するサービス提供サーバのサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第１のＩＤ管理装置として機能する要求側分散ＩＤ管理装置の要求側分散ＩＤ管理プログラムであって、
　前記第１のサービス提供サーバの利用者を特定する第１の利用者識別情報を、前記第１のサーバ識別情報と対応づけて保持するＩＤ管理手順と、
　前記第１の利用者識別情報に対応する前記第２のＩＤ管理装置の利用者を特定する管理利用者識別情報の取得要求を、前記第１のサービス提供サーバから受け付けるＩＤ要求処理手順と、
　前記取得要求に基づいて、前記第２のＩＤ管理装置から前記管理利用者識別情報を取得するドメイン間連携手順と、を含み、
　前記ＩＤ要求処理手順は、
　前記ドメイン間連携手順で取得された前記管理利用者識別情報を前記第１のサービス提供サーバへ送信する
　ことをコンピュータに実行させることを特徴とする要求側分散ＩＤ管理プログラム。
　階層構造により形成されたドメインに属する第１のサービス提供サーバと、当該第１のサービス提供サーバを識別するサーバ識別情報を保持する第１のＩＤ管理装置と、前記ドメインと異なるドメインに属する第２のサービス提供サーバと、当該第２のサービス提供サーバを識別するサーバ識別情報を保持する第２のＩＤ管理装置とを備えた分散ＩＤ管理システムにおける前記第２のＩＤ管理装置として機能する提供側分散ＩＤ管理装置の提供側分散ＩＤ管理プログラムであって、
　前記第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者の利用者識別情報を、自装置のサーバ識別情報に対応づけられた利用者の管理利用者識別情報と対応づけて保持するサーバＩＤ管理手順と、
　前記第１のＩＤ管理装置から、当該第１のＩＤ管理装置のサーバ識別情報に対応づけられた利用者識別情報に対応する前記管理利用者識別情報の要求を受け付けるサーバＩＤ要求処理手順と、を含み、
　前記サーバＩＤ要求処理手順は、
　受け付けられた前記要求により、前記サーバＩＤ管理手順で保持された前記管理利用者識別情報を読み出して、当該管理利用者識別情報を前記第１のＩＤ管理装置へ送信する
　ことをコンピュータに実行させることを特徴とする提供側分散ＩＤ管理プログラム。