WO2014049709A1

WO2014049709A1 - ポリシ管理システム、ｉｄプロバイダシステム及びポリシ評価装置

Info

Publication number: WO2014049709A1
Application number: PCT/JP2012/074689
Authority: WO
Inventors: 実西澤; 山本　純一; 浩二合田; 泰臣采; 誠也平原; 裕一郎江崎; 山田　正隆
Original assignee: 株式会社東芝; 東芝ソリューション株式会社
Priority date: 2012-09-26
Filing date: 2012-09-26
Publication date: 2014-04-03
Also published as: CN104685511A; JP5422753B1; SG11201502282QA; CN104685511B; US9571525B2; US20150200971A1; JPWO2014049709A1

Abstract

　実施形態のポリシ管理システムは、ユーザ端末と、前記ユーザ端末を操作するユーザのアイデンティティを管理するＩＤプロバイダシステムと、前記ユーザ端末にサービスデータを提供するサービスプロバイダシステムとを含む。前記ＩＤプロバイダシステムは、前記サービスプロバイダＩＤ毎に、一対の旧ポリシ及び新ポリシを格納する。また、前記ＩＤプロバイダシステムは、前記サービスプロバイダＩＤ毎に、アクセス要求メッセージの送信日付が旧ポリシから新ポリシへの移行期間内であるときに参照される第１差分判定条件と、アクセス要求メッセージの送信日付が移行期間外であるときに参照される第２差分判定条件とを少なくとも定義する差分対応定義情報を格納する。

Description

ポリシ管理システム、ＩＤプロバイダシステム及びポリシ評価装置

　本発明の実施形態は、ポリシ管理システム、ＩＤプロバイダシステム及びポリシ評価装置に関する。

　社会、経済、生活のオンラインサービスへの依存度が増す情勢を背景に、個人や組織に関する情報を管理するアイデンティティ管理の重要性が高まっている。アイデンティティ管理とは、様々なサービスやシステムにおいて、個人や組織に関する情報の安全性と利便性を図り、登録から変更、削除までのアイデンティティのライフサイクル全体を管理する技術である。

　ここで、アイデンティティとは、ある状況で個人やグループ、組織・企業を特定する情報の総体であり、識別子やクレデンシャル、属性が含まれる。識別子とは、アイデンティティを識別するための情報であり、アカウントや社員番号などに相当する。クレデンシャルとは、ある情報内容の正当性を示すための情報であり、パスワードなどがある。属性とは、アイデンティティを特徴付ける情報であり、氏名や住所、生年月日などを指す。

　このようなアイデンティティ管理を利用した技術の代表例として、シングルサインオン（Single Sign-On、以降ＳＳＯと略す）がある。ＳＳＯは、一度の認証手続きで複数のアプリケーションやサービスを利用できる技術である。ＳＳＯは、一つの企業のイントラネットのようなシングルドメインにおいて、複数のアプリケーションが備える認証を統合させる場合が多かった。この場合、ＳＳＯは、一般的にＨＴＴＰＣｏｏｋｉｅに認証結果を含め、アプリケーション間で認証結果を共有させる方式によって実現される。また、このようなＳＳＯ方式をＳＩ（System Integration）ベンダやミドルウェアベンダが個別にアクセス管理製品として製造していた。

　近年、シングルドメインを超えた異なるドメイン間（以下、クロスドメインともいう）でのＳＳＯが求められてきた。理由としては、企業統合や合併、海外展開などの活発化、および台頭してきたクラウドコンピューティングのＳａａＳ（Software as a Service）等によるアウトソーシングが挙げられる。例えば、ＳａａＳ等は、使いたいときに素早く使える点がメリットの一つである。

　しかしながら、クロスドメインのＳＳＯを実現する場合、認証結果の共有に大きな手間が発生していた。主な原因としては２点ある。１点目は、ＨＴＴＰＣｏｏｋｉｅの利用がシングルドメインに限定されているため、ドメイン間でＨＴＴＰＣｏｏｋｉｅを利用して認証結果を共有できないことである。２点目は、ドメインごとに採用しているアクセス管理製品のＳＳＯ方式がベンダ間で異なるため、単純に導入できず、別途、施策を用意する必要があったためである。

　このような原因を解消するため、ＳＳＯの標準化の要望が高まるようになった。このような要望に応じた代表的な標準技術の一つとして、非営利団体ＯＡＳＩＳ（Organization for the Advancement of Structured Information Standards）が策定したＳＡＭＬ（Security Assertion Markup Language）がある。

　ＳＡＭＬは認証・認可・属性に関する情報の表現形式、および送受信手順が定義された仕様であり、目的に応じて様々な実装形態を可能にするように体系的に規定されている。主体の構成はアイデンティティ提供者（Identity Provider、以降、ＩｄＰと略し、ＩＤプロバイダという）、サービス提供者（Service Provider、以降ＳＰと略し、サービスプロバイダという）、ユーザの３者であり、ＩＤプロバイダが発行する認証結果をサービスプロバイダが信頼することでＳＳＯを実現している。

　ＳＡＭＬに基づくＳＳＯを開始する場合、一般的に次の２点について事前に準備する必要がある。１点目は、サービスプロバイダとＩＤプロバイダとの間でビジネスや技術面での情報交換や合意形成を通じて、信頼関係を構築しておくことである。２点目では、一人のユーザがサービスプロバイダごとに個別のアカウントを持ち、これらの個別のＳＰアカウントとＩＤプロバイダのアカウントを事前に連携させておくことである。これら信頼関係の構築及び事前のアカウント連携といった事前準備を終えた状態でないとＳＳＯを開始することはできない。

　このような事前準備の後、ＳＳＯは以下のような手順（１）～（６）に沿って実現される。ここでは、Ｗｅｂブラウザを介したＳＳＯの手順を説明する。

　（１）ユーザがサービスプロバイダに対してサービス提供を要求する。

　（２）サービスプロバイダは、まだユーザの認証をしていないため、ユーザ側のＷｅｂブラウザを介して、認証リクエストをＩＤプロバイダに送る。

　（３）ＩＤプロバイダは何らかの手段でユーザを認証し、認証アサーションを作成する。なお、ＳＡＭＬは、認証手段を規定せず、認証アサーションをサービスプロバイダに伝える仕組みを規定している。認証アサーションとは、サービスプロバイダが認証結果を信用できるかを判断するため、認証手段の種類やクレデンシャルがどのように作成されたかなどの情報が含まれる。

　（４）ＩＤプロバイダは、作成した認証アサーションを含む認証結果を、ユーザ側のＷｅｂブラウザを介してサービスプロバイダに返信する。

　（５）サービスプロバイダは、ＩＤプロバイダの認証結果に基づき、サービス提供の可否を決定する。

　（６）ユーザは、サービスプロバイダからサービス提供を受ける。

　このように、ＳＡＭＬに基づくＳＳＯでは、ユーザが一度の認証手続きをＩＤプロバイダに行うだけで更なる認証手続きを実行せずに、複数のサービスが使用可能となる。現在では、個別のＳＳＯ方式を実装していたミドルウェアベンダは、クロスドメインの相互運用性を確保するために、ＳＡＭＬのＩＤプロバイダ・サービスプロバイダ機能を実装したアクセス管理製品の販売や、ＳＡＭＬのサービスプロバイダ機能を実装した商用のＷｅｂサービスへの導入を実行している。

　ところで、ＳＡＭＬに基づくＳＳＯでは、上述したように、事前のアカウント連携及び登録が必要である。通常、企業において、サービスプロバイダが提供するサービスを利用する場合、ＩＳ（Information System）部門がサービスプロバイダに対して、アカウント登録及び連携を行う。

　ＩＳ部門は、企業に所属する多数のユーザに応じた大量の事前処理を一括して行うか、又はユーザによる任意のタイミングで一連の承認フローを通した手続きを経た後に当該ユーザに対するアカウント登録及び連携を行う。

　ここで、前者の事前処理を行う場合は、ＳＳＯの過程でアカウント登録及び連携を実行する必要がないので、前述したデータ処理システムとは無関係である。

　一方、後者の承認フローを通す場合は、ユーザだけでなく、ユーザが所属する組織階層ごとの上長や調達部門、ＩＳ部門など多くの人手を介すことになり、大量の手間暇を要する。更に、ＩＳ部門が事前処理を一括して行わないことから、人手による作業が発生し、負担が大きい上、効率や利便性も悪い。例えば、ＳａａＳ等における素早く使えるメリットを生かすことができない。

　従って、ＳＳＯの過程でアカウント登録及び連携を実行するシステムでは、人手を介さずにサービス利用可否を決定するシームレスな仕組みを備えていることが望ましい。

　このため、ＳＳＯの手順の（２）と（３）との間に、事前に定義したサービス利用に関するポリシとサービスの利用状況とに基づき、サービスプロバイダが提供するサービスの利用可否を評価した後に、アカウント連携及び登録を実行する処理を割り込ませることで、サービスプロバイダが提供するサービスの利用申請からＳＳＯに至る一連の処理を自動化させる技術がある。

特許第４８９２０９３号公報

　以上説明した技術は、通常、問題ない。しかしながら、本発明者の検討によれば、以下に述べるように改良の余地がある。

　通常、企業では、組織変更や人事異動が行われると、セキュリティの観点からポリシを更新する。しかしながら、組織変更や人事異動が行われる場合、組織変更や人事異動に伴う引き継ぎ作業を行う必要があり、人手を介さずにすぐにポリシが更新されてしまうと、当該引き継ぎ作業に利用するサービスが利用できないといった不都合が生じ得る。このため、一般的に、組織変更や人事異動によるポリシの更新は人手を介して行われる（つまり、ユーザがポリシ更新作業を行う）。

　しかしながら、人手による作業はユーザへの負担が大きい上、作業ミス（ヒューマンエラー）が生じる恐れがある。

　本発明が解決しようとする課題は、人手を介さずに、ポリシ更新作業を実現し得るポリシ管理システム、ＩＤプロバイダシステム及びポリシ評価装置を提供することである。

　実施形態のポリシ管理システムは、ユーザ端末と、前記ユーザ端末を操作するユーザのアイデンティティを管理するＩＤプロバイダシステムと、前記ユーザ端末にサービスデータを提供するサービスプロバイダシステムとを含む。

　前記ユーザ端末は、ログイン実行手段、第１送信手段及び再生手段を備えている。

　前記ログイン実行手段は、ユーザの操作に応じて、前記ＩＤプロバイダシステムとの間でログイン処理を実行する。

　前記第１送信手段は、前記ログイン処理時に発行され、当該ユーザを識別するユーザＩＤを含むＩＤプロバイダ認証トークンと、前記サービスプロバイダシステムを識別するサービスプロバイダＩＤとを含むアクセス要求メッセージを前記ＩＤプロバイダシステムに送信する。

　前記再生手段は、前記サービスプロバイダシステムから送信されるサービスデータを受信し、当該受信したサービスデータを再生する。

　前記ＩＤプロバイダシステムは、第１格納手段、第２格納手段、第３格納手段、第１取得手段、第１判定手段、第２取得手段、確認手段、通知受領手段、ポリシ評価手段、第２判定手段、第３取得手段、決定手段、実行要求手段、第２送信手段及び第３送信手段を備えている。

　前記第１格納手段は、前記ユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報であって、ユーザＩＤを少なくとも含むユーザ属性情報を格納する。

　前記第２格納手段は、前記サービスプロバイダＩＤ毎に、当該サービスプロバイダＩＤで識別されるサービスプロバイダシステムによるサービスデータの送信を許可するための判定条件であって、判定ＩＤで識別される複数の条件を含み、当該各条件は更に複数の詳細条件及び責務を含む判定条件と、旧ポリシから新ポリシに移行するにあたり、新ポリシだけでなく、旧ポリシの判定条件による判定結果も参照する期間を示す移行期間とを少なくとも定義する一対の旧ポリシ及び新ポリシを格納する。

　前記第３格納手段は、前記サービスプロバイダＩＤ毎に、前記送信されたアクセス要求メッセージの送信日付が前記移行期間内であるときに参照される第１差分判定条件と、前記送信されたアクセス要求メッセージの送信日付が前記移行期間外であるときに参照される第２差分判定条件であって、差分対応ＩＤで識別される条件及び責務を含む第２差分判定条件とを少なくとも定義する差分対応定義情報を格納する。

　前記第１取得手段は、前記送信されたアクセス要求メッセージを受けると、当該アクセス要求メッセージ内のサービスプロバイダＩＤに対応した新ポリシを取得する。

　前記第１判定手段は、当該アクセス要求メッセージの送信日付が前記取得された新ポリシに定義された移行期間に含まれるか否かを判定する。

　前記第２取得手段は、前記第１判定手段による判定結果が含まれる旨を示すとき、前記取得された新ポリシに対応する旧ポリシを取得する。

　前記確認手段は、当該アクセス要求メッセージ内のＩＤプロバイダ認証トークンに含まれるユーザＩＤに基づいて、前記第１格納手段に格納されたユーザ属性情報を取得すると共に、当該ユーザＩＤが当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステムに格納されているか否かを確認する。

　前記通知受領手段は、前記サービスプロバイダシステムから送信され、前記確認手段に対する通知であって、前記ユーザＩＤが格納されている旨または格納されていない旨を示す通知を受領する。

　前記ポリシ評価手段は、前記取得されたユーザ属性情報に基づいて、前記取得された新ポリシまたは前記取得された新ポリシ及び旧ポリシを評価する。

　前記第２判定手段は、前記ポリシ評価手段による評価結果と、前記通知受領手段により受領された通知とに基づいて、前記差分対応定義情報を取得する必要があるか否かを判定する。

　前記第３取得手段は、前記第２判定手段による判定結果が必要である旨を示すとき、前記差分対応定義情報を取得する。

　前記決定手段は、前記評価結果に少なくとも基づいて（但し、前記第３取得手段により差分対応定義情報が取得された場合は当該差分対応定義情報も参照して）、適応する判定ＩＤを決定する。

　前記実行要求手段は、前記決定された判定ＩＤで識別される条件内の責務を実行するよう要求する（但し、前記決定手段により前記差分対応定義情報に定義された第２差分判定条件が参照された場合は当該第２差分判定条件内の責務も実行するよう要求する）。

　前記第２送信手段は、前記実行要求手段からの要求に応じて、当該アクセス要求メッセージ内の前記ＩＤプロバイダ認証トークンに含まれるユーザＩＤを少なくとも含む認証連携メッセージを、当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステムに送信する。

　前記第３送信手段は、前記実行要求手段からの要求に応じて、当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダによるサービスデータの送信が拒否された旨を表示させる拒否画面情報を前記ユーザ端末に送信する。

　前記サービスプロバイダシステムは、第４格納手段、発行手段及び第４送信手段を備えている。

　前記第４格納手段は、サービスデータを利用するユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報を格納する。

　前記発行手段は、前記送信された認証連携要求メッセージを受けると、当該認証連携要求メッセージ内のユーザＩＤに基づいて当該認証連携要求メッセージの正当性を検証し、当該検証の結果が正当である場合に、当該検証に用いたユーザＩＤを含むサービスプロバイダ認証トークンを発行する。

　前記第４送信手段は、前記発行されたサービスプロバイダ認証トークン内のユーザＩＤで識別されるユーザ端末にサービスデータを送信する。

図１は一実施形態に係るポリシ管理システムの構成例を示す模式図である。図２は同実施形態に係るポリシ格納装置に格納される旧ポリシの一例を示す模式図である。図３は同実施形態に係るポリシ格納装置に格納される新ポリシの一例を示す模式図である。図４は同実施形態に係る差分対応定義格納装置に格納される差分対応定義情報の一例を示す模式図である。図５は同実施形態に係るポリシ評価装置の構成例を示す模式図である。図６は同実施形態に係るポリシ管理システムの動作の一例を示すシーケンス図である。図７は同実施形態に係るポリシ管理システムの動作の一例を示すシーケンス図である。図８は同実施形態の変形例に係るポリシ管理システムの動作の一例を示すシーケンス図である。

　図１は一実施形態に係るポリシ管理システムの構成例を示す模式図であり、図２は同実施形態に係るポリシ格納装置に格納される旧ポリシの一例を示す模式図であり、図３は同実施形態に係るポリシ格納装置に格納される新ポリシの一例を示す模式図であり、図４は同実施形態に係るポリシ差分対応定義格納装置に格納されるポリシ差分対応定義情報の一例を示す模式図であって、図５は同実施形態に係るポリシ評価装置の構成例を示す模式図であり、
　ポリシ管理システム１は、図１に示すように、ユーザが操作するユーザ端末１００、ＩＤプロバイダシステム２００及び複数のサービスプロバイダシステム３００を備えている。なお、サービスプロバイダシステム３００は、通常複数台あるが、ここでは１台のみを図示している。以下、各装置１００乃至３００の詳細な機能について説明する。

　ユーザ端末１００は、通常のコンピュータ機能を有してＩＤプロバイダシステム２００及び各サービスプロバイダシステム３００と通信可能な装置であり、例えば、ユーザの操作に応じて、サービスプロバイダシステム３００によって提供されるサービスの利用を希望する旨のアクセス要求メッセージを送信する機能と、ＩＤプロバイダシステム２００との間でログイン処理を実行する機能と、サービスプロバイダシステム３００からサービスデータを受信する機能と、予めメモリに記憶したサービス利用アプリケーションをＣＰＵが実行することにより当該受信したサービスデータを再生する機能とをもっている。また、ユーザ端末１００は、ＩＤプロバイダシステム２００及び各サービスプロバイダシステム３００から送信される各種メッセージをリダイレクト（返信）する機能をもっている。

　ここで、ＩＤプロバイダシステム２００は、ユーザのアイデンティティを管理するものであり、ユーザ属性情報格納装置２０１、ポリシ格納装置２０２、ポリシ差分対応定義格納装置２０３、認証連携装置２０４、企業ポータル装置２０５、ポリシ評価装置２０６、ＩＤプロビジョニング装置２０７及び拒否画面表示装置２０８を備えている。

　ユーザ属性情報格納装置２０１は、ＩＤプロバイダシステム２００が配置される組織のユーザに関するアイデンティティ情報であるユーザ属性情報を格納する。具体的には、ユーザ属性情報格納装置２０１は、ユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報であって、ユーザを識別するためのユーザＩＤと、ユーザの氏名と、ユーザの所属と、ユーザの役職と、ユーザのログイン処理時に参照する参照情報とを項目名に含む複数のユーザ属性情報を格納する。

　なお、ユーザ属性情報は個人の情報を特徴付ける情報の集合体であり、ユーザ属性情報の例としては、上述したように、ユーザの氏名、ユーザの所属、ユーザの役職、ユーザのログイン処理時に参照する参照情報などが挙げられるが、これらに限られず、例えば電話番号や勤務状態といった任意の項目名と項目値とを更に含んでもよい。また、ユーザのログイン処理時に参照する参照情報は、通常パスワードを用いるが、これに限られず、例えばユーザの指紋等の生体認証情報であってもよい。

　ポリシ格納装置２０２は、図２及び図３に示すように、サービスプロバイダシステム３００を識別するサービスプロバイダＩＤ毎に、一対の旧ポリシ２０２ａ及び新ポリシ２０２ｂを格納する。具体的には、ポリシ格納装置２０２は、サービスプロバイダＩＤ毎に、当該サービスプロバイダＩＤで識別されるサービスプロバイダシステム３００によるユーザ端末１００へのサービスデータの送信を許可するための判定条件と、当該判定条件による判定の結果を有効とする有効期間と、旧ポリシ２０２ａから新ポリシ２０２ｂに移行するにあたり、旧ポリシの判定条件による判定の結果も参照する移行期間（移行猶予期間とも呼ぶ）とを含む一対の旧ポリシ２０２ａ及び新ポリシ２０２ｂを格納する。なお、判定条件は判定ＩＤで識別される複数の条件を含んでおり、これら条件は更に複数の詳細条件及び責務を含んでいる。

　ここでポリシとは、一般的に誰（サブジェクト）が、どのシステム資源（リソース）に対して、どのような操作（アクション）を行うことができるか否か（つまり、許可または拒否）が定義されたものであり、オプションとして責務についても定義されるものである。

　ポリシ差分対応定義格納装置２０３は、図４に示すように、サービスプロバイダシステム３００を識別するサービスプロバイダＩＤ毎に、ポリシ差分対応定義情報２０３ａを格納する。具体的には、ポリシ差分対応定義格納装置２０３は、ユーザ端末１００から送信されたアクセス要求メッセージの送信日付が移行期間内であるときに参照される第１差分判定条件と、ユーザ端末１００から送信されたアクセス要求メッセージの送信日付が移行期間外であるときに参照される第２差分判定条件とを含むポリシ差分対応定義情報２０３ａを格納する。なお、第１差分判定条件は差分対応ＩＤで識別される複数の条件を含んでおり、これら条件は更に複数の詳細条件と適応する判定ＩＤの示唆とを含んでいる。また、第２差分対応判定条件は差分対応ＩＤで識別される条件と責務とを含んでいる。

　認証連携装置２０４は、シングルサインオンのＩＤプロバイダ機能を有する。具体的には、認証連携装置２０４は、以下の各機能(f204-1)乃至(f204-4)をもっている。

　(f204-1)　ユーザ端末１００から送信されたユーザＩＤ及びユーザ認証情報をユーザ属性情報格納装置２０１内のユーザＩＤ及び参照情報に基づいて認証するログイン処理を実行する機能。

　(f204-2)　ログイン処理が成功したとき、当該ログイン処理に用いたユーザＩＤを含むＩＤプロバイダ認証トークンをユーザ端末１００に発行する機能。

　(f204-3)　ＩＤプロビジョニング装置２０７から認証連携要求を受けると、ＩＤプロバイダ認証トークン内のユーザＩＤを含むアサーション本文に対して、図示しない鍵記憶装置内の署名生成鍵（秘密鍵）に基づく署名を生成し、当該アサーション本文と、当該デジタル署名と、当該署名生成鍵に対応した署名検証鍵（公開鍵）とを含む認証アサーションを作成する機能。

　(f204-4)　作成した認証アサーションを含む認証連携要求メッセージを、ユーザ端末１００を介してサービスプロバイダシステム３００内の認証連携装置３０２に送信する機能、つまり、認証連携要求メッセージをユーザ端末１００のリダイレクト機能を用いてサービスプロバイダシステム３００内の認証連携装置３０２に送信する機能。

　企業ポータル装置２０５は、ユーザ端末１００からのアクセス要求メッセージの入力を受け付けると、当該入力を受け付けたアクセス要求メッセージをポリシ評価装置２０６に転送する。なお、アクセス要求メッセージには、認証連携装置２０４により発行されたＩＤプロバイダ認証トークンと、ユーザが利用を希望するサービスデータを提供可能なサービスプロバイダシステム３００を示すサービスプロバイダＩＤとが含まれる。

　ポリシ評価装置２０６は、企業ポータル装置２０５からのアクセス要求メッセージの入力を受け付けると、ポリシ格納装置２０２に格納された旧ポリシ２０２ａ及び／または新ポリシ２０２ｂに基づいて、当該入力を受け付けたアクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステム３００によるユーザ端末１００へのサービスデータの送信を許可するか否かを判定する。なお、ポリシ評価装置２０６の詳細については後述する。

　ＩＤプロビジョニング装置２０７は、ポリシ評価装置２０６からの指示に応じて、認証連携要求を認証連携装置２０４に送信する他、サービスプロバイダシステム３００内のユーザ属性情報格納装置３０１に格納されたユーザ属性情報に関して、ユーザ属性情報の登録要求処理、更新要求処理、削除要求処理及び検索要求処理を実行する。

　拒否画面表示装置２０８は、ポリシ評価装置２０６からの指示に応じて、アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステム３００によるサービスデータの送信が拒否された旨を示す拒否画面情報をユーザ端末１００に送信する、つまり、ユーザ端末１００に拒否画面を表示させる。

　ここで、図５を参照しながら、ポリシ評価装置２０６について詳細に説明する。ポリシ評価装置２０６は、図２に示すように、ポリシ評価要求部２１１、新ポリシ取得部２１２、旧ポリシ要否判定部２１３、旧ポリシ取得部２１４、属性情報収集部２１５、ポリシ評価部２１６、ポリシ差分対応判定部２１７、ポリシ差分対応定義取得部２１８及びＩＤプロビジョニング実行要求部２１９を備えている。

　ポリシ評価要求部２１１は、企業ポータル装置２０５からのアクセス要求メッセージの入力を受け付けると、当該入力を受け付けたアクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステム３００によるユーザ端末１００へのサービスデータの送信を許可するための判定条件を定義したポリシのうち新ポリシ２０２ｂを、新ポリシ取得部２１２を介して取得する。

　旧ポリシ要否判定部２１３は、ポリシ評価要求部２１１により取得された新ポリシに定義される移行期間を用いて、ユーザ端末１００によるアクセス要求メッセージの送信日付が当該移行期間に含まれているか否かを判定する。この判定の結果が含まれる旨を示すとき、旧ポリシ要否判定部２１３は、ポリシ評価要求部２１１により取得された新ポリシ２０２ｂに対応した旧ポリシ２０２ａを、旧ポリシ取得部２１４を介して取得する。また判定の結果が否を示すとき、旧ポリシ要否判定部２１３は、旧ポリシ２０２ａを取得する必要はないと判断し、旧ポリシを取得しない。

　属性情報収集部２１５は、アクセス要求メッセージ内のＩＤプロバイダ認証トークンに含まれるユーザＩＤを用いて、ユーザ属性情報格納装置２０１からユーザ属性情報を取得する。属性情報収集部２１５は、取得したユーザ属性情報がサービスプロバイダシステム３００内のユーザ属性情報格納装置３０１に格納されているか否かを、ＩＤプロビジョニング装置２０７を介して確認する、つまり、取得したユーザ属性情報を用いてサービスプロバイダシステム３００内のユーザ属性情報格納装置３０１を検索するようＩＤプロビジョニング装置２０７に指示する。

　ポリシ評価部２１６は、属性情報収集部２１５により取得されたユーザ属性情報を用いて、取得されたポリシを評価する、具体的には、旧ポリシ２０２ａ及び新ポリシ２０２ｂの双方を評価する、または新ポリシ２０２ｂのみを評価する。

　ポリシ差分対応判定部２１７は、ポリシ評価部２１６による評価結果（即ち、ポリシに定義された複数の条件のうちのいずれかの条件の成立）に基づいて、ポリシ差分対応定義格納装置２０３に格納されたポリシ差分対応定義情報２０３ａを取得する必要があるか否かを判定する。具体的には、ポリシ差分対応判定部２１７は、以下の各機能(f217-1)乃至(f217-7)をもっている。

　(f217-1)　ポリシ評価部２１６により旧ポリシ２０２ａ及び新ポリシ２０２ｂの双方について評価が行われたか、または新ポリシ２０２ｂのみについて評価が行われたかのどちらであるかを判定する機能。

　(f217-2)　(f217-1)による判定の結果が、双方について評価が行われた旨を示すとき、ポリシ差分対応判定部２１７は、ポリシ評価部２１６による旧ポリシ２０２ａの評価結果と新ポリシ２０２ｂの評価結果とが一致しているか否かを判定する機能。

　(f217-3)　(f217-2)による判定の結果が一致している旨を示すとき、ポリシ差分対応定義情報２０３ａを取得する必要がないと判断する機能。

　(f217-4)　(f217-2)による判定の結果が否を示すとき、ポリシ差分対応定義情報２０３ａを取得する必要があると判断し、ポリシ差分対応定義情報２０３ａを、差分対応定義取得部２１８を介して取得する機能。

　(f217-5)　(f217-1)による判定の結果が新ポリシ２０２ｂについてのみ評価が行われた旨を示すとき、新ポリシ２０２ｂの評価結果が拒否（つまり、図３に示すNEW-DENY-3が成立）であり、且つ属性情報収集部２１５によりユーザ属性情報が格納されていることが確認されているか否かを判定する機能。

　(f217-6)　(f217-5)による判定の結果が新ポリシ２０２ｂの評価結果が拒否であり且つユーザ属性情報の格納が確認されている旨を示すとき、ポリシ差分対応定義情報２０３ａを取得する必要があると判断し、ポリシ差分対応定義情報２０３ａを、差分対応定義取得部２１８を介して取得する機能。

　(f217-7)　(f217-5)による判定の結果が否を示すとき、ポリシ差分対応定義情報２０３ａを取得する必要がないと判断する機能。

　ＩＤプロビジョニング実行要求部２１９は、ポリシ差分対応判定部２１７によりポリシ差分対応定義情報２０３ａが取得されている場合、当該取得されたポリシ差分対応定義情報２０３ａの定義にしたがって優先されるポリシに定義された条件内の責務に従う処理を実行する。また、ＩＤプロビジョニング実行要求部２１９は、ポリシ差分対応判定部２１７によりポリシ差分対応定義情報２０３ａが取得されていない場合、ポリシ評価部２１６による評価結果に基づいて、成立した条件内の責務に従う処理を実行する。なお、ＩＤプロビジョニング実行要求部２１９により実行される処理の一例としては、ＩＤプロビジョニング装置２０７に認証連携要求を送信させるために認証連携送信要求をＩＤプロビジョニング装置２０７に送信する処理、サービスプロバイダシステム３００内のユーザ属性情報格納装置３０１に格納されたユーザ属性情報を削除させる削除要求を送信させるために削除送信要求をＩＤプロビジョニング装置２０７に送信する処理、拒否画面表示装置２０８に拒否画面情報を送信させるために拒否画面情報送信要求を拒否画面表示装置２０８に送信する処理等が挙げられる。

　また、サービスプロバイダシステム３００は、ユーザ端末１００にサービスデータを提供するものであり、図１に示すように、ユーザ属性情報格納装置３０１、認証連携装置３０２、サービス提供装置３０３及びＩＤプロビジョニング装置３０４を備えている。

　ユーザ属性情報格納装置３０１は、当該サービスプロバイダシステム３００によるサービスデータを利用するユーザのアイデンティティ情報であるユーザ属性情報を格納する。このユーザ属性情報は、ＩＤプロバイダシステム２００内のユーザ属性情報格納装置２０１に格納されるユーザ属性情報と同様な項目名から構成されてもよいし、ユーザ属性情報格納装置２０１に格納されるユーザ属性情報の一部の項目名から構成されてもよい。

　認証連携装置３０２は、シングルサインオンのサービスプロバイダ機能を有する。具体的には、認証連携装置３０２は、以下の各機能(f302-1)乃至(f302-3)をもっている。

　(f302-1)　ＩＤプロバイダシステム２００内の認証連携装置２０４からの認証連携要求メッセージの入力を受け付けると、当該入力を受け付けた認証連携要求メッセージ内の認証アサーションに含まれるデジタル署名を、当該認証アサーションに含まれる署名検証鍵を用いて検証する機能。

　具体的には、まず、認証アサーションに含まれる署名検証鍵を用いてデジタル署名に対応したアサーション本文を復号する。その後、復号したアサーション本文に含まれるユーザＩＤが、ユーザ属性情報格納装置３０１内に格納されているか否かを判定することで、認証連携要求メッセージの正当性を検証する。

　(f302-2)　(f302-1)の機能による検証の結果が正当である旨を示すとき、当該検証に用いたユーザＩＤを含むサービスプロバイダ認証トークンを発行する機能。なお、発行したサービスプロバイダ認証トークンは、ユーザからのアクセス要求メッセージがＨＴＴＰリクエストの形態の場合、そのＨＴＴＰリクエストに含まれるＣｏｏｋｉｅの中に格納される。

　(f302-3)　(f302-2)の機能により発行されたサービスプロバイダ認証トークンを含むサービス提供要求メッセージをユーザ端末１００に送信する機能。

　サービス提供装置３０３は、ユーザ端末１００のリダイレクト機能により返信されたサービス提供要求メッセージの入力を受け付けると、当該サービスプロバイダシステム３００により提供可能なサービスデータをユーザ端末１００に送信する。

　ＩＤプロビジョニング装置３０４は、ＩＤプロバイダシステム２００内のＩＤプロビジョニング装置２０７からの要求に従って、ユーザ属性情報格納装置３０１に格納されたユーザ属性情報の登録処理、更新処理、削除処理及び検索処理を実行する。

　次に、以上のように構成されたポリシ管理システムの動作の一例について、図２乃至４の模式図と、図６及び図７のシーケンス図とを参照しながら説明する。但し、本動作例では、認証連携装置２０４の(f204-1)及び(f204-2)の機能を用いた事前処理（ログイン処理）が予め実行され、既に、ＩＤプロバイダ認証トークンが発行されているものとする。また、本動作例では、ユーザ端末を操作するユーザの所属が“Ｘ部門”であり、役職が“主任”であり、ユーザ端末によってアクセス要求メッセージが送信された日付（送信日付）が“2011/10/10”であるものとする。

　始めに、ユーザ端末１００は、ユーザの操作に応じて、事前処理時に発行されたＩＤプロバイダ認証トークンと、ユーザが利用を希望するサービスデータを提供可能なサービスプロバイダシステム３００を示すサービスプロバイダＩＤとを含むアクセス要求メッセージをＩＤプロバイダシステム２００に送信する（ステップＳ１）。

　続いて、ＩＤプロバイダシステム２００内の企業ポータル装置２０５は、ユーザ端末１００からのアクセス要求メッセージの入力を受け付けると、当該入力を受け付けたアクセス要求メッセージをポリシ評価装置２０６に転送する（ステップＳ２）。

　次に、ポリシ評価装置２０６内のポリシ評価要求部２１１は、企業ポータル装置２０５からのアクセス要求メッセージの入力を受け付けると、当該入力を受け付けたアクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステム３００によるユーザ端末１００へのサービスデータの送信を許可するための判定条件を定義したポリシのうち新ポリシ２０２ｂを、新ポリシ取得部２１２を介して取得する（ステップＳ３）。ここでは、図３に示す新ポリシ２０２ｂが取得されたものとする。

　続いて、旧ポリシ要否判定部２１３は、ステップＳ３の処理において取得された新ポリシ２０２ｂに定義される移行期間を用いて、ユーザ端末１００によるアクセス要求メッセージの送信日付が当該移行期間に含まれているか否かを判定する（ステップＳ４）。この場合、アクセス要求メッセージの送信日付が“2011/10/10”であり、新ポリシ２０２ｂに定義される移行期間が“2011/10/1～2011/10/30”であるので、当該アクセス要求メッセージの送信日付が当該移行期間に含まれていると判定される。

　なお、ステップＳ４の判定の結果が否を示す場合には、後述するステップＳ６の処理に進む。

　ステップＳ４の判定の結果が移行期間に含まれる旨を示す場合には、旧ポリシ要否判定部２１３は、ステップＳ３の処理において取得された新ポリシ２０２ｂに対応した旧ポリシ２０２ａを、旧ポリシ取得部２１４を介して取得する（ステップＳ５）。ここでは、図２に示す旧ポリシ２０２ａが取得されたものとする。

　次に、属性情報収集部２１５は、当該アクセス要求メッセージ内のＩＤプロバイダ認証トークンに含まれるユーザＩＤを用いて、ユーザ属性情報格納装置２０１からユーザ属性情報を取得する。その後、属性情報収集部２１５は、当該取得したユーザ属性情報がユーザ属性情報格納装置３０１に格納されているか否かを確認するために、当該取得したユーザ属性情報内のユーザＩＤ（ユーザの氏名やユーザ属性情報自体でもよい）を含む確認要求メッセージを、ＩＤプロビジョニング装置２０７を介してＩＤプロビジョニング装置３０４に送信する。ＩＤプロビジョニング装置３０４は、属性情報収集部２１５から送信された確認要求メッセージの入力を受け付けると、当該入力を受け付けた確認要求メッセージ内のユーザＩＤがユーザ属性情報格納装置３０１に含まれているか否かを判定（検索）し、当該判定の結果をＩＤプロバイダシステム２００に通知する（ステップＳ６）。ここでは、ＩＤプロバイダシステム２００は、属性情報収集部２１５により取得されたユーザ属性情報内のユーザＩＤがユーザ属性情報格納装置３０１に格納されている旨の通知を受けたものとする。

　続いて、ポリシ評価部２１６は、ステップＳ６の処理において取得されたユーザ属性情報を用いて、当該処理までに取得されたポリシを評価する、つまり、新ポリシ２０２ｂ及び旧ポリシ２０２ａの双方を評価する、または新ポリシ２０２ｂのみを評価する（ステップＳ７）。ここでは、新ポリシ２０２ｂ及び旧ポリシ２０２ａの双方を評価する。新ポリシ２０２ｂの評価では、ユーザの所属が“Ｘ部門”であり、役職が“主任”であり、“サービスプロバイダシステムのユーザＩＤが登録済み”であるため、図３に示す新ポリシ２０２ｂの判定ＩＤ“NEW-DENY-3”の判定条件を満足する（つまり、判定ＩＤ“NEW-DENY-3”が成立する）。また、旧ポリシ２０２ａの評価では、同様に、ユーザの所属が“Ｘ部門”であり、役職が“主任”であり、“サービスプロバイダシステムのユーザＩＤが登録済み”であるため、図２に示す旧ポリシ２０２ａの判定ＩＤ“OLD-PERMIT-2”の判定条件を満足する（つまり、判定ＩＤ“OLD-PERMIT-2”が成立する）。

　次に、ポリシ差分対応判定部２１７は、上述した(f217-1)乃至(f217-7)の機能を用いて、ポリシ差分対応定義格納装置２０３に格納されたポリシ差分対応定義情報２０３ａを取得する必要があるか否かを判定する（ステップＳ８）。ここでは、ステップＳ７の処理において、新ポリシ２０２ｂ及び旧ポリシ２０２ａの双方を評価し、新ポリシ２０２ｂでは判定ＩＤ“NEW-DENY-3”が成立（つまり、拒否）し、旧ポリシ２０２ａでは判定ＩＤ“OLD-PERMIT-2”が成立（つまり、許可）しているため、ポリシ差分対応判定部２１７は、ポリシ差分対応定義情報２０３ａを取得する必要があると判断して、図４に示すポリシ差分対応定義情報２０３ａをポリシ差分対応定義取得部２１８を介して取得する。

　続いて、ＩＤプロビジョニング実行要求部２１９は、適応される判定ＩＤで識別される条件内の責務に従う処理を実行する（ステップＳ９）。ここでは、ステップＳ８の処理において、ポリシ差分対応定義情報２０３ａが取得されたため、ＩＤプロビジョニング実行要求部２１９は当該ポリシ差分対応定義情報２０３ａを参照した上で、差分対応ＩＤ“DIFF-2”で識別される条件に従って、判定ＩＤ“OLD-PERMIT-2”で識別される条件内の責務“認証連携要求の実行”を行う、つまり、認証連携送信要求をＩＤプロビジョニング装置２０７に送信する。

　次に、ＩＤプロビジョニング装置２０７は、ＩＤプロビジョニング実行要求部２１９から認証連携送信要求を受けると、認証連携要求を認証連携装置２０４に送信する（ステップＳ１０）。

　続いて、認証連携装置２０４は、ＩＤプロビジョニング装置２０７から認証連携要求を受けると、ＩＤプロバイダ認証トークン内のユーザＩＤを含むアサーション本文に対して、図示しない鍵記憶装置内の署名生成鍵（秘密鍵）に基づく署名を生成し、当該アサーション本文と、当該デジタル署名と、当該署名生成鍵に対応した署名検証鍵（公開鍵）とを含む認証アサーションを作成する（ステップＳ１１）。

　次に、認証連携装置２０４は、ステップＳ１１の処理において作成した認証アサーションを含む認証連携要求メッセージを、ユーザ端末１００を介して認証連携装置３０２に送信する（ステップＳ１２）。

　続いて、サービスプロバイダシステム３００内の認証連携装置３０２は、認証連携装置２０４から送信された認証連携要求メッセージの入力を受け付けると、当該入力を受け付けた認証連携要求メッセージ内の認証アサーションに含まれるデジタル署名を、当該認証アサーションに含まれる署名検証鍵を用いて検証する。具体的には、認証連携装置３０２は、認証アサーションに含まれる署名検証鍵を用いてデジタル署名に対応したアサーション本文を復号し、その後、復号したアサーション本文に含まれるユーザＩＤが、ユーザ属性情報格納装置３０１内に格納されているか否かを判定することで、認証連携要求メッセージの正当性を検証する（ステップＳ１３）。ここでは、ステップＳ６の処理において、ユーザＩＤがユーザ属性情報格納装置３０１内に格納されていることは確認済みであるので、認証連携装置３０２は当該認証連携要求メッセージは正当であると判断して、当該ユーザＩＤを含むサービスプロバイダ認証トークンを発行する。

　次に、認証連携装置３０２は、ステップＳ１３の処理において発行したサービスプロバイダ認証トークンを含むサービス提供要求メッセージをユーザ端末１００に送信する（ステップＳ１４）。

　続いて、ユーザ端末１００は、認証連携装置３０２から送信されたサービス提供要求メッセージの入力を受け付けると、当該入力を受け付けたサービス提供要求メッセージをサービスプロバイダシステム３００にリダイレクト（返信）する（ステップＳ１５）。

　次に、サービスプロバイダシステム３００内のサービス提供装置３０３は、ユーザ端末１００から返信されたサービス提供要求メッセージの入力を受け付けると、当該サービスプロバイダシステム３００により提供可能なサービスデータをユーザ端末１００に送信する（ステップＳ１６）。

　しかる後、ユーザ端末１００は、サービスプロバイダシステム３００から送信されたサービスデータの入力を受け付けると、当該入力を受け付けたサービスデータを再生する（ステップＳ１７）。

　以上説明した一実施形態によれば、差分対応定義情報格納装置２０３及びポリシ評価装置２０６を含むＩＤプロバイダシステム２００を備えた構成により、人手を介さずに、ポリシ更新作業を実現することができる。

　以下に、上述した一実施形態の変形例について説明する。

　　［変形例］
　ここでは、ポリシ管理システムの動作の変形例について、図２及び図４の模式図と、図６及び図８のシーケンス図とを参照しながら説明する。但し、本動作例では、認証連携装置２０４の(f204-1)及び(f204-2)の機能を用いた事前処理（ログイン処理）が予め実行され、既に、ＩＤプロバイダ認証トークンが発行されているものとする。また、本動作例では、ユーザ端末を操作するユーザの所属が“Ｘ部門”であり、役職が“主任”であり、ユーザ端末によってアクセス要求メッセージが送信された日付（送信日付）が“2011/11/1”であるものとする。

　ステップＳ１乃至Ｓ３の処理は、上述した一実施形態と同様に実行される。

　ステップＳ４の処理では、アクセス要求メッセージの送信日付が“2011/11/1”であり、新ポリシ２０２ｂに定義される移行期間が“2011/10/1～2011/10/30”であるので、当該アクセス要求メッセージの送信日付が当該移行期間に含まれていないと判定される（つまり、移行期間外であると判定される）。このため、ステップＳ５の処理は省略され、ステップＳ６の処理に進む。

　また、ステップＳ６の処理は、上述した一実施形態と同様に実行される。

　ステップＳ７の処理では、ポリシ評価部２１６は新ポリシ２０２ｂのみを評価する。この場合、ユーザの所属が“Ｘ部門”であり、役職が“主任”であり、“サービスプロバイダシステムのユーザＩＤが登録済み”であるため、図３に示す新ポリシ２０２ｂの判定ＩＤ“NEW-DENY-3”の判定条件を満足する（つまり、判定ＩＤ“NEW-DENY-3”が成立する）。

　ステップＳ８の処理では、ステップＳ７の処理において新ポリシ２０２ｂのみを評価し、新ポリシ２０２ｂでは判定ＩＤ“NEW-DENY-3”が成立（つまり、拒否）し、且つ（上述したステップＳ６の処理により）属性情報収集部２１５によりユーザ属性情報が格納されていることが確認されているため、ポリシ差分対応判定部２１７は、ポリシ差分対応定義情報２０３ａを取得する必要があると判断して、図４に示すポリシ差分対応定義情報２０３ａをポリシ差分対応定義取得部２１８を介して取得する。

　ステップＳ９の処理では、ステップＳ８の処理において、ポリシ差分対応定義情報２０３ａが取得されたため、ＩＤプロビジョニング実行要求部２１９は、当該ポリシ差分対応定義情報２０３ａを参照した上で、差分対応ＩＤ“DIFF-5”で識別される条件に従って、判定ＩＤ“NEW-DENY-3”で識別される条件内の責務“拒否画面表示の実行”を行うと共に、責務“サービスプロバイダシステムのユーザＩＤの削除を実行”を行う。つまり、ＩＤプロビジョニング実行要求部２１９は、拒否画面情報送信要求を拒否画面表示装置２０８に送信すると共に、削除送信要求をＩＤプロビジョニング装置２０７に送信する。

　続いて、ＩＤプロビジョニング装置２０７は、ＩＤプロビジョニング実行要求部２１９から削除送信要求を受けると、ＩＤプロバイダ認証トークン内のユーザＩＤを含む削除要求メッセージをＩＤプロビジョニング装置３０４に送信する（ステップＳ１８）。

　次に、サービスプロバイダシステム３００内のＩＤプロビジョニング装置３０４は、ＩＤプロビジョニング装置２０７から送信された削除要求メッセージの入力を受け付けると、当該入力を受け付けた削除要求メッセージ内のユーザＩＤ（ユーザ属性情報）をユーザ属性情報格納装置３０１から削除する（ステップＳ１９）。

　また、拒否画面表示装置２０８は、ステップＳ９の処理において送信された拒否画面情報送信要求を受けると、拒否画面情報をユーザ端末１００に送信する（ステップＳ２０）。

　しかる後、ユーザ端末１００は、拒否画面表示装置２０８から送信された拒否画面情報の入力を受け付けると、当該入力を受け付けた拒否画面情報に従って、拒否画面を表示する（ステップＳ２１）。

　上記した変形例によれば、ポリシ更新に伴うシステム環境の更新作業（つまり、ユーザ属性情報格納装置３０１に格納されたユーザＩＤ（ユーザ属性情報）の削除）も人手を介さずに実現することができる。

　なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク（フロッピー（登録商標）ディスク、ハードディスクなど）、光ディスク（ＣＤ－ＲＯＭ、ＤＶＤなど）、光磁気ディスク（ＭＯ）、半導体メモリなどの記憶媒体に格納して頒布することもできる。

　また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。

　また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているＯＳ（オペレーティングシステム）や、データベース管理ソフト、ネットワークソフト等のＭＷ（ミドルウェア）等が上記実施形態を実現するための各処理の一部を実行しても良い。

　さらに、各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、ＬＡＮやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。

　また、記憶媒体は１つに限らず、複数の媒体から上記の各実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。

　なお、各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記の各実施形態における各処理を実行するものであって、パソコン等の１つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。

　また、各実施形態におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。

　なお、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

Claims

　ユーザ端末と、前記ユーザ端末を操作するユーザのアイデンティティを管理するＩＤプロバイダシステムと、前記ユーザ端末にサービスデータを提供するサービスプロバイダシステムとを含むポリシ管理システムであって、
　前記ユーザ端末は、
　ユーザの操作に応じて、前記ＩＤプロバイダシステムとの間でログイン処理を実行するログイン実行手段と、
　前記ログイン処理時に発行され、当該ユーザを識別するユーザＩＤを含むＩＤプロバイダ認証トークンと、前記サービスプロバイダシステムを識別するサービスプロバイダＩＤとを含むアクセス要求メッセージを前記ＩＤプロバイダシステムに送信する第１送信手段と、
　前記サービスプロバイダシステムから送信されるサービスデータを受信し、当該受信したサービスデータを再生する再生手段と
　を備え、
　前記ＩＤプロバイダシステムは、
　前記ユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報であって、ユーザＩＤを少なくとも含むユーザ属性情報を格納する第１格納手段と、
　前記サービスプロバイダＩＤ毎に、当該サービスプロバイダＩＤで識別されるサービスプロバイダシステムによるサービスデータの送信を許可するための判定条件であって、判定ＩＤで識別される複数の条件を含み、当該各条件は更に複数の詳細条件及び責務を含む判定条件と、旧ポリシから新ポリシに移行するにあたり、新ポリシだけでなく、旧ポリシの判定条件による判定結果も参照する期間を示す移行期間とを少なくとも定義する一対の旧ポリシ及び新ポリシを格納する第２格納手段と、
　前記サービスプロバイダＩＤ毎に、前記送信されたアクセス要求メッセージの送信日付が前記移行期間内であるときに参照される第１差分判定条件と、前記送信されたアクセス要求メッセージの送信日付が前記移行期間外であるときに参照される第２差分判定条件であって、差分対応ＩＤで識別される条件及び責務を含む第２差分判定条件とを少なくとも定義する差分対応定義情報を格納する第３格納手段と、
　前記送信されたアクセス要求メッセージを受けると、当該アクセス要求メッセージ内のサービスプロバイダＩＤに対応した新ポリシを取得する第１取得手段と、
　当該アクセス要求メッセージの送信日付が前記取得された新ポリシに定義された移行期間に含まれるか否かを判定する第１判定手段と、
　前記第１判定手段による判定結果が含まれる旨を示すとき、前記取得された新ポリシに対応する旧ポリシを取得する第２取得手段と、
　当該アクセス要求メッセージ内のＩＤプロバイダ認証トークンに含まれるユーザＩＤに基づいて、前記第１格納手段に格納されたユーザ属性情報を取得すると共に、当該ユーザＩＤが当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステムに格納されているか否かを確認する確認手段と、
　前記サービスプロバイダシステムから送信され、前記確認手段に対する通知であって、前記ユーザＩＤが格納されている旨または格納されていない旨を示す通知を受領する通知受領手段と、
　前記取得されたユーザ属性情報に基づいて、前記取得された新ポリシまたは前記取得された新ポリシ及び旧ポリシを評価するポリシ評価手段と、
　前記ポリシ評価手段による評価結果と、前記通知受領手段により受領された通知とに基づいて、前記差分対応定義情報を取得する必要があるか否かを判定する第２判定手段と、
　前記第２判定手段による判定結果が必要である旨を示すとき、前記差分対応定義情報を取得する第３取得手段と、
　前記評価結果に少なくとも基づいて（但し、前記第３取得手段により差分対応定義情報が取得された場合は当該差分対応定義情報も参照して）、適応する判定ＩＤを決定する決定手段と、
　前記決定された判定ＩＤで識別される条件内の責務を実行するよう要求する（但し、前記決定手段により前記差分対応定義情報に定義された第２差分判定条件が参照された場合は当該第２差分判定条件内の責務も実行するよう要求する）実行要求手段と、
　前記実行要求手段からの要求に応じて、当該アクセス要求メッセージ内の前記ＩＤプロバイダ認証トークンに含まれるユーザＩＤを少なくとも含む認証連携メッセージを、当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステムに送信する第２送信手段と、
　前記実行要求手段からの要求に応じて、当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダによるサービスデータの送信が拒否された旨を表示させる拒否画面情報を前記ユーザ端末に送信する第３送信手段と
　を備え、
　前記サービスプロバイダシステムは、
　サービスデータを利用するユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報を格納する第４格納手段と、
　前記送信された認証連携要求メッセージを受けると、当該認証連携要求メッセージ内のユーザＩＤに基づいて当該認証連携要求メッセージの正当性を検証し、当該検証の結果が正当である場合に、当該検証に用いたユーザＩＤを含むサービスプロバイダ認証トークンを発行する発行手段と、
　前記発行されたサービスプロバイダ認証トークン内のユーザＩＤで識別されるユーザ端末にサービスデータを送信する第４送信手段と
　を備えたことを特徴とするポリシ管理システム。
　ユーザを識別するユーザＩＤを含むＩＤプロバイダ認証トークンと、サービスプロバイダシステムを識別するサービスプロバイダＩＤとを含むアクセス要求メッセージを送信するユーザ端末と、前記ユーザ端末にサービスデータを提供し、当該サービスデータを利用するユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報を格納する格納手段を含むサービスプロバイダシステムと通信可能なＩＤプロバイダシステムであって、
　前記ユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報であって、ユーザＩＤを少なくとも含むユーザ属性情報を格納する第１格納手段と、
　前記サービスプロバイダＩＤ毎に、当該サービスプロバイダＩＤで識別されるサービスプロバイダシステムによるサービスデータの送信を許可するための判定条件であって、判定ＩＤで識別される複数の条件を含み、当該各条件は更に複数の詳細条件及び責務を含む判定条件と、旧ポリシから新ポリシに移行するにあたり、新ポリシだけでなく、旧ポリシの判定条件による判定結果も参照する期間を示す移行期間とを少なくとも定義する一対の旧ポリシ及び新ポリシを格納する第２格納手段と、
　前記サービスプロバイダＩＤ毎に、前記送信されたアクセス要求メッセージの送信日付が前記移行期間内であるときに参照される第１差分判定条件と、前記送信されたアクセス要求メッセージの送信日付が前記移行期間外であるときに参照される第２差分判定条件であって、差分対応ＩＤで識別される条件及び責務を含む第２差分判定条件とを少なくとも定義する差分対応定義情報を格納する第３格納手段と、
　前記送信されたアクセス要求メッセージを受けると、当該アクセス要求メッセージ内のサービスプロバイダＩＤに対応した新ポリシを取得する第１取得手段と、
　当該アクセス要求メッセージの送信日付が前記取得された新ポリシに定義された移行期間に含まれるか否かを判定する第１判定手段と、
　前記第１判定手段による判定結果が含まれる旨を示すとき、前記取得された新ポリシに対応する旧ポリシを取得する第２取得手段と、
　当該アクセス要求メッセージ内のＩＤプロバイダ認証トークンに含まれるユーザＩＤに基づいて、前記第１格納手段に格納されたユーザ属性情報を取得すると共に、当該ユーザＩＤが当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステムに格納されているか否かを確認する確認手段と、
　前記サービスプロバイダシステムから送信され、前記確認手段に対する通知であって、前記ユーザＩＤが格納されている旨または格納されていない旨を示す通知を受領する通知受領手段と、
　前記取得されたユーザ属性情報に基づいて、前記取得された新ポリシまたは前記取得された新ポリシ及び旧ポリシを評価するポリシ評価手段と、
　前記ポリシ評価手段による評価結果と、前記通知受領手段により受領された通知とに基づいて、前記差分対応定義情報を取得する必要があるか否かを判定する第２判定手段と、
　前記第２判定手段による判定結果が必要である旨を示すとき、前記差分対応定義情報を取得する第３取得手段と、
　前記評価結果に少なくとも基づいて（但し、前記第３取得手段により差分対応定義情報が取得された場合は当該差分対応定義情報も参照して）、適応する判定ＩＤを決定する決定手段と、
　前記決定された判定ＩＤで識別される条件内の責務を実行するよう要求する（但し、前記決定手段により前記差分対応定義情報に定義された第２差分判定条件が参照された場合は当該第２差分判定条件内の責務も実行するよう要求する）実行要求手段と、
　前記実行要求手段からの要求に応じて、当該アクセス要求メッセージ内の前記ＩＤプロバイダ認証トークンに含まれるユーザＩＤを少なくとも含む認証連携メッセージを、当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステムに送信する第１送信手段と、
　前記実行要求手段からの要求に応じて、当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダによるサービスデータの送信が拒否された旨を表示させる拒否画面情報を前記ユーザ端末に送信する第２送信手段と
　を備えたことを特徴とするＩＤプロバイダシステム。
　ユーザを識別するユーザＩＤを含むＩＤプロバイダ認証トークンと、サービスプロバイダシステムを識別するサービスプロバイダＩＤとを含むアクセス要求メッセージを送信するユーザ端末と、前記ユーザ端末にサービスデータを提供し、当該サービスデータを利用するユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報を格納する格納手段を含むサービスプロバイダシステムと通信可能であり、前記ユーザを特定するためのユーザの属性の項目名と項目値とを関連付けたユーザ属性情報であって、ユーザＩＤを少なくとも含むユーザ属性情報を格納する第１格納手段と、前記サービスプロバイダＩＤ毎に、当該サービスプロバイダＩＤで識別されるサービスプロバイダシステムによるサービスデータの送信を許可するための判定条件であって、判定ＩＤで識別される複数の条件を含み、当該各条件は更に複数の詳細条件及び責務を含む判定条件と、旧ポリシから新ポリシに移行するにあたり、新ポリシだけでなく、旧ポリシの判定条件による判定結果も参照する期間を示す移行期間とを少なくとも定義する一対の旧ポリシ及び新ポリシを格納する第２格納手段と、前記サービスプロバイダＩＤ毎に、前記送信されたアクセス要求メッセージの送信日付が前記移行期間内であるときに参照される第１差分判定条件と、前記送信されたアクセス要求メッセージの送信日付が前記移行期間外であるときに参照される第２差分判定条件であって、差分対応ＩＤで識別される条件及び責務を含む第２差分判定条件とを少なくとも定義する差分対応定義情報を格納する第３格納手段とを含むＩＤプロバイダシステムに用いられるポリシ評価装置であって、
　前記送信されたアクセス要求メッセージを受けると、当該アクセス要求メッセージ内のサービスプロバイダＩＤに対応した新ポリシを取得する第１取得手段と、
　当該アクセス要求メッセージの送信日付が前記取得された新ポリシに定義された移行期間に含まれるか否かを判定する第１判定手段と、
　前記第１判定手段による判定結果が含まれる旨を示すとき、前記取得された新ポリシに対応する旧ポリシを取得する第２取得手段と、
　当該アクセス要求メッセージ内のＩＤプロバイダ認証トークンに含まれるユーザＩＤに基づいて、前記第１格納手段に格納されたユーザ属性情報を取得すると共に、当該ユーザＩＤが当該アクセス要求メッセージ内のサービスプロバイダＩＤで識別されるサービスプロバイダシステムに格納されているか否かを確認する確認手段と、
　前記サービスプロバイダシステムから送信され、前記確認手段に対する通知であって、前記ユーザＩＤが格納されている旨または格納されていない旨を示す通知を受領する通知受領手段と、
　前記取得されたユーザ属性情報に基づいて、前記取得された新ポリシまたは前記取得された新ポリシ及び旧ポリシを評価するポリシ評価手段と、
　前記ポリシ評価手段による評価結果と、前記通知受領手段により受領された通知とに基づいて、前記差分対応定義情報を取得する必要があるか否かを判定する第２判定手段と、
　前記第２判定手段による判定結果が必要である旨を示すとき、前記差分対応定義情報を取得する第３取得手段と、
　前記評価結果に少なくとも基づいて（但し、前記第３取得手段により差分対応定義情報が取得された場合は当該差分対応定義情報も参照して）、適応する判定ＩＤを決定する決定手段と、
　前記決定された判定ＩＤで識別される条件内の責務を実行するよう要求する（但し、前記決定手段により前記差分対応定義情報に定義された第２差分判定条件が参照された場合は当該第２差分判定条件内の責務も実行するよう要求する）実行要求手段と
　を備えたことを特徴とするポリシ評価装置。