策略管理系統(tǒng)、id提供者系統(tǒng)以及策略評(píng)價(jià)裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明的實(shí)施方式涉及策略管理系統(tǒng)、ID提供者系統(tǒng)以及策略評(píng)價(jià)裝置。
【背景技術(shù)】
[0002]以社會(huì)、經(jīng)濟(jì)、生活對(duì)在線服務(wù)的依賴性增加的情況為背景,對(duì)與個(gè)人、組織相關(guān)的信息進(jìn)行管理的身份(identity)管理的重要性正在變高。身份管理是指在各種服務(wù)、系統(tǒng)中,實(shí)現(xiàn)與個(gè)人、組織有關(guān)的信息的安全性和便利性,對(duì)從登記到變更、刪除為止的身份的存活周期整體進(jìn)行管理的技術(shù)。
[0003]這里,身份是在某一狀況下確認(rèn)個(gè)人、分組、組織/企業(yè)的信息的總體,包括識(shí)別符、證書(credentials)、屬性。識(shí)別符是用于對(duì)身份進(jìn)行識(shí)別的信息,相當(dāng)于賬戶、職員編號(hào)等。證書是用于表示某個(gè)信息內(nèi)容的合法性的信息,有密碼等。屬性是帶有身份特征的信息,包括姓名、住址、生日等。
[0004]作為利用了這樣的身份管理的技術(shù)的代表例,有單點(diǎn)登錄(Single Sign_On,以下簡(jiǎn)稱為SSO)。SSO是通過一次的認(rèn)證手續(xù)能夠利用多個(gè)應(yīng)用程序、服務(wù)的技術(shù)。SSO大多用于在一個(gè)企業(yè)的內(nèi)部網(wǎng)那樣的單域中,使多個(gè)應(yīng)用程序所具備的認(rèn)證統(tǒng)一的情況。該情況下,SSO—般在HTTP Cookie中包含認(rèn)證結(jié)果,通過在應(yīng)用程序間共享認(rèn)證結(jié)果的方式來實(shí)現(xiàn)。另外,SI (System Integrat1n)供應(yīng)商、中間件供應(yīng)商分別獨(dú)立地制造這樣的SSO方式作為訪問管理產(chǎn)品。
[0005]近年來,要求了超過單域的不同域間(以下也稱為跨域)的SS0。作為理由,可舉出企業(yè)統(tǒng)一或合并、海外發(fā)展等靈活化、以及因逐漸興起的云計(jì)算的SaaS(Software as aService)等引起的資源外包。例如,SaaS等在想要使用時(shí)能夠迅速使用的方面是優(yōu)點(diǎn)之
O
[0006]然而,在實(shí)現(xiàn)跨域的SSO的情況下,認(rèn)證結(jié)果的共享產(chǎn)生了很大的麻煩。主要的原因有兩點(diǎn)。第一點(diǎn)是由于HTTP Cookie的利用被限定為單域,所以在域間無法利用HTTPCookie來共享認(rèn)證結(jié)果。第二點(diǎn)是由于按每個(gè)域采用的訪問管理產(chǎn)品的SSO方式在供應(yīng)商間不同,所以無法簡(jiǎn)單地引入,需要通過其他途徑來采取對(duì)策。
[0007]為了消除這樣的原因,迫切期望SSO的標(biāo)準(zhǔn)化。作為與這樣的迫切期望對(duì)應(yīng)的代表性標(biāo)準(zhǔn)技術(shù)之一,有非盈利團(tuán)體OASIS (Organizat1n for the Advancementof Structured Informat1n Standards)制定的 SAML(Security Assert1n MarkupLanguage:安全斷言標(biāo)記語(yǔ)言)。
[0008]SAML是定義了與認(rèn)證、許可、屬性相關(guān)的信息的表現(xiàn)形式、以及收發(fā)步驟的規(guī)格,被成體系地規(guī)定為能夠根據(jù)目的來采取各種的安裝形態(tài)。主體的構(gòu)成是身份提供者(Identity Provider,以下簡(jiǎn)記為IdP,稱為ID提供者)、服務(wù)提供者(Service Provider,以下簡(jiǎn)記為SP,稱為服務(wù)提供者)、用戶這三方,通過服務(wù)提供者信任ID提供者發(fā)行的認(rèn)證結(jié)果,實(shí)現(xiàn)了 SS0。
[0009]在開始基于SAML的SSO的情況下,一般需要事先針對(duì)以下兩點(diǎn)進(jìn)行準(zhǔn)備。第一點(diǎn)是在服務(wù)提供者與ID提供者之間通過業(yè)務(wù)、技術(shù)面的信息交換、協(xié)議形成,來預(yù)先構(gòu)建信賴關(guān)系。第二點(diǎn)是一個(gè)用戶按每個(gè)服務(wù)提供者具有獨(dú)立的賬戶,并事先使這些獨(dú)立的SP賬戶和ID提供者的賬戶關(guān)聯(lián)。如果不是這些信賴關(guān)系的構(gòu)建以及賬戶的事先關(guān)聯(lián)等事先準(zhǔn)備完成了的狀態(tài),則無法開始SSO。
[0010]在這樣的事先準(zhǔn)備之后,SSO沿著以下那樣的步驟(I)?(6)來實(shí)現(xiàn)。這里,對(duì)借助Web瀏覽器的SSO的步驟進(jìn)行說明。
[0011](I)用戶對(duì)服務(wù)提供者請(qǐng)求提供服務(wù)。
[0012](2)服務(wù)提供者由于尚未進(jìn)行用戶的認(rèn)證,所以經(jīng)由用戶側(cè)的Web瀏覽器向ID提供者發(fā)送認(rèn)證要求。
[0013](3) ID提供者通過某種辦法來對(duì)用戶進(jìn)行認(rèn)證,生成認(rèn)證聲明。其中,SAML不規(guī)定認(rèn)證辦法而規(guī)定將認(rèn)證聲明向服務(wù)提供者傳遞的結(jié)構(gòu)。為了判斷服務(wù)提供者能否相信認(rèn)證結(jié)果,認(rèn)證聲明包含認(rèn)證辦法的種類、證書如何被生成等信息。
[0014](4) ID提供者將包括生成的認(rèn)證聲明在內(nèi)的認(rèn)證結(jié)果經(jīng)由用戶側(cè)的Web瀏覽器回信給服務(wù)提供者。
[0015](5)服務(wù)提供者基于ID提供者的認(rèn)證結(jié)果來決定可否提供服務(wù)。
[0016](6)用戶接受服務(wù)提供者提供服務(wù)。
[0017]這樣,在基于SAML的SSO中,用戶能夠僅通過向ID提供者進(jìn)行一次認(rèn)證手續(xù)而不執(zhí)行進(jìn)一步的認(rèn)證手續(xù)地使用多個(gè)服務(wù)。目前,安裝了獨(dú)立的SSO方式的中間件供應(yīng)商為了確保跨域的相互運(yùn)用性,而執(zhí)行SAML的安裝了 ID提供者/服務(wù)提供者功能的訪問管理產(chǎn)品的銷售、SAML向安裝了服務(wù)提供者功能的商用Web服務(wù)的導(dǎo)入。
[0018]在基于SAML的SSO中,如上述那樣需要事先關(guān)聯(lián)以及登記賬戶。通常,當(dāng)在企業(yè)中利用服務(wù)提供者提供的服務(wù)時(shí),IS (Informat1n System)部門針對(duì)服務(wù)提供者進(jìn)行賬戶登記以及關(guān)聯(lián)。
[0019]IS部門統(tǒng)一進(jìn)行與屬于企業(yè)的多數(shù)用戶對(duì)應(yīng)的大量的事先處理,或者在經(jīng)過了由用戶在任意的定時(shí)通過了一系列批準(zhǔn)流程的手續(xù)之后進(jìn)行針對(duì)該用戶的賬戶登記以及關(guān)聯(lián)。
[0020]這里,在前者的進(jìn)行事先處理的情況下,由于在SSO的過程中不需執(zhí)行賬戶登記以及關(guān)聯(lián),所以與上述的數(shù)據(jù)處理系統(tǒng)無關(guān)系。
[0021]另一方面,在后者的通過批準(zhǔn)流程的情況下,除了用戶之外,還需要借助用戶所屬的每個(gè)組織階層的上司、籌備部門、IS部門等很多的人手,需要大量的工時(shí)。并且,由于IS部門不統(tǒng)一進(jìn)行事先處理,所以產(chǎn)生基于人手的作業(yè),不僅負(fù)擔(dān)大,而且效率、便利性也差。例如,無法發(fā)揮SaaS等中的可迅速使用的優(yōu)點(diǎn)。
[0022]因此,在SSO的過程中執(zhí)行賬戶登記以及關(guān)聯(lián)的系統(tǒng)中,希望具備不借助人手來決定可否利用服務(wù)的無縫結(jié)構(gòu)。
[0023]因此,有一種如下所述的技術(shù):在SSO的步驟的(2)與(3)之間基于事先定義的與服務(wù)利用相關(guān)的策略和服務(wù)的利用狀況評(píng)價(jià)了服務(wù)提供者提供的服務(wù)的能否利用之后,通過插入執(zhí)行賬戶關(guān)聯(lián)以及登記的處理,來使服務(wù)提供者提供的服務(wù)的從利用申請(qǐng)到SSO的一系列處理自動(dòng)化。
[0024]現(xiàn)有技術(shù)文獻(xiàn)
[0025]專利文獻(xiàn)I
[0026]專利文獻(xiàn):日本專利第4892093號(hào)公報(bào)
【發(fā)明內(nèi)容】
[0027]發(fā)明要解決的技術(shù)問題
[0028]以上說明的技術(shù)通常沒有問題。但是,根據(jù)本發(fā)明人的研宄,如以下所述那樣存在改進(jìn)的余地。
[0029]通常,在企業(yè)中,如果進(jìn)行組織變更、人事變動(dòng),則從安全的觀點(diǎn)出發(fā)會(huì)對(duì)策略進(jìn)行更新。然而,在進(jìn)行組織變更、人事變動(dòng)的情況下,需要進(jìn)行與組織變更、人事變動(dòng)相伴的交接作業(yè),如果不借助人手地立即更新策略,則可能產(chǎn)生要利用的服務(wù)在該交接作業(yè)中無法利用等不良情況。因此,一般,因組織變更、人事變動(dòng)引起的策略的更新經(jīng)由人手來進(jìn)行(即,用戶進(jìn)行策略更新作業(yè))。
[0030]然而,基于人手的作業(yè)對(duì)用戶的負(fù)擔(dān)很大,而且有可能發(fā)生作業(yè)錯(cuò)誤(人為錯(cuò)誤)。
[0031]本發(fā)明想要解決的課題是,提供一種能夠不經(jīng)過人手來實(shí)現(xiàn)策略更新作業(yè)的策略管理系統(tǒng)、ID提供者系統(tǒng)以及策略評(píng)價(jià)裝置。
[0032]用于解決問題的手段
[0033]實(shí)施方式的策略管理系統(tǒng)包括:用戶終端、對(duì)操作所述用戶終端的用戶的身份進(jìn)行管理的ID提供者系統(tǒng)和向所述用戶終端提供服務(wù)數(shù)據(jù)的服務(wù)提供者系統(tǒng)。
[0034]所述用戶終端具備登錄執(zhí)行單元、第一發(fā)送單元以及再生單元。
[0035]所述登錄執(zhí)行單元根據(jù)用戶的操作,與所述ID提供者系統(tǒng)之間執(zhí)行登錄處理。
[0036]所述第一發(fā)送單元將包括ID提供者認(rèn)證令牌和識(shí)別所述服務(wù)提供者系統(tǒng)的服務(wù)提供者ID的訪問請(qǐng)求消息發(fā)送給所述ID提供者系統(tǒng),所述ID提供者認(rèn)證令牌在所述登錄處理時(shí)被發(fā)行且包括識(shí)別該用戶的用戶ID。
[0037]所述再生單元接收從所述服務(wù)提供者系統(tǒng)發(fā)送的服務(wù)數(shù)據(jù),對(duì)該接收到的服務(wù)數(shù)據(jù)進(jìn)行再生。
[0038]所述ID提供者系統(tǒng)具備第一保存單元、第二保存單元、第三保存單元、第一取得單元、第一判定單元、第二取得單元、確認(rèn)單元、通知接受單元、策略評(píng)價(jià)單元、第二判定單元、第三取得單元、決定單元、執(zhí)行請(qǐng)求單元、第二發(fā)送單元以及第三發(fā)送單元。
[0039]所述第一保存單元保存將用于確定所述用戶的用戶屬性的項(xiàng)目名與項(xiàng)目值建立關(guān)聯(lián)而成的、且至少包含用戶ID的用戶屬性信息。
[0040]所述第二保存單元按每個(gè)所述服務(wù)提供者ID保存至少定義判定條件和過渡期間的一對(duì)舊策略以及新策略,所述判定條件是用于允許由該服務(wù)提供者ID識(shí)別的服務(wù)提供者系統(tǒng)進(jìn)行服務(wù)數(shù)據(jù)的發(fā)送的判定條件,包括由判定ID識(shí)別的多個(gè)條件且該各條件還包括多個(gè)詳細(xì)條件以及職責(zé),所述過渡期間表示當(dāng)從舊策略過渡至新策略時(shí),除了新策略之外還參照基于舊策略的判定條件的判定結(jié)果的期間。
[0041]所述第三保存單元按每個(gè)所述服務(wù)提供者ID保存至少定義第一差分判定條件和第二差分判定條件的差分對(duì)應(yīng)定義信息,所述第一差分判定條件在所述發(fā)送來的訪問請(qǐng)求消息的發(fā)送日期為所述過渡期間內(nèi)時(shí)被參照,所述第二差分判定條件在所述發(fā)送來的訪問請(qǐng)求消息的發(fā)送日期為所述過渡期間外時(shí)被參照,并且包括由差分對(duì)應(yīng)ID識(shí)別的條件以及職責(zé)。
[0042]所述第一取得單元在接收到所述發(fā)送來的訪問請(qǐng)求消息時(shí),取得與該訪問請(qǐng)求消息內(nèi)的服務(wù)提供者ID對(duì)應(yīng)的新策略。
[0043]所述第一判定單元判定該訪問請(qǐng)求消息的發(fā)送日期是否包含在所述取得的新策略中定義的過渡期間內(nèi)。
[0044]所述第二取得單元在所述第一判定單元的判定結(jié)果表示包含在所述過渡期間內(nèi)時(shí),取得與所述取得的新策略對(duì)應(yīng)的舊策略。
[0045]所述確認(rèn)單元基于該訪問請(qǐng)求消息內(nèi)的ID提供者認(rèn)證令牌所含的用戶ID,來取得所述第一保存單元中保存的用戶屬性信息,并且確認(rèn)由該訪問請(qǐng)求消息內(nèi)的服務(wù)提供者ID識(shí)別的服務(wù)提供者系統(tǒng)中是否保存有該用戶ID。
[0046]所述通知接受單元接受從所述服務(wù)提供者系統(tǒng)發(fā)送的針對(duì)所述確認(rèn)單元