00發(fā)送服務(wù)數(shù)據(jù)的判定條件進行了定義的策略中的新策略202b。
[0086]舊策略要否判定部213使用由策略評價請求部211取得的新策略中定義的過渡期間��,判定用戶終端100對訪問請求消息的發(fā)送日期是否包含在該過渡期間���。當(dāng)該判定的結(jié)果表示包含于該過渡期間時��,舊策略要否判定部213經(jīng)由舊策略取得部214取得與由策略評價請求部211取得的新策略202b對應(yīng)的舊策略202a��。另外��,在判定的結(jié)果表示否時��,舊策略要否判定部213判斷為不需要取得舊策略202a而不取得舊策略���。
[0087]屬性信息收集部215使用訪問請求消息內(nèi)的ID提供者認證令牌所含的用戶ID�����,從用戶屬性信息保存裝置201取得用戶屬性信息。屬性信息收集部215經(jīng)由ID供應(yīng)裝置207來確認服務(wù)提供者系統(tǒng)300內(nèi)的用戶屬性信息保存裝置301中是否保存有所取得的用戶屬性信息����、即指示ID供應(yīng)裝置207使用所取得的用戶屬性信息對服務(wù)提供者系統(tǒng)300內(nèi)的用戶屬性信息保存裝置301進行檢索。
[0088]策略評價部216使用由屬性信息收集部215取得的用戶屬性信息���,來評價所取得的策略����,具體而言,評價舊策略202a以及新策略202b雙方或者僅評價新策略202b�����。
[0089]策略差分對應(yīng)判定部217基于策略評價部216的評價結(jié)果(即����,策略中定義的多個條件中的任意一個條件的成立),來判定是否需要取得策略差分對應(yīng)定義保存裝置203中保存的策略差分對應(yīng)定義信息203a����。具體而言,策略差分對應(yīng)判定部217具有以下的各功能(f217-l)至(f217-7)�����。
[0090](f217-l)是判定由策略評價部216針對舊策略202a以及新策略202b雙方進行了評價�����,還是僅針對新策略202b進行了評價的功能����。
[0091](f217-2)是當(dāng)(f217_l)的判定的結(jié)果表示針對雙方進行了評價時,策略差分對應(yīng)判定部217判定策略評價部216對舊策略202a的評價結(jié)果與對新策略202b的評價結(jié)果是否一致��。
[0092](f217-3)是當(dāng)(f217_2)的判定的結(jié)果表示一致時,判斷為不需要取得策略差分對應(yīng)定義信息203a的功能�。
[0093](f217-4)是在(f217_2)的判定的結(jié)果表示否時,判斷為需要取得策略差分對應(yīng)定義信息203a����,并經(jīng)由差分對應(yīng)定義取得部218取得策略差分對應(yīng)定義信息203a的功能。
[0094](f217-5)是在(f217-l)的判定的結(jié)果表示僅對新策略202b進行了評價時�����,對是否是新策略202b的評價結(jié)果為拒絕(即����,圖3所示的NEW-DENY-3成立)、且由屬性信息收集部215保存了用戶屬性信息進行判定的功能��。
[0095](f217-6)是當(dāng)基于(f217-5)的判定的結(jié)果表示新策略202b的評價結(jié)果為拒絕且確認了用戶屬性信息的保存時�����,判斷為需要取得策略差分對應(yīng)定義信息203a���,并經(jīng)由差分對應(yīng)定義取得部218取得策略差分對應(yīng)定義信息203a的功能。
[0096](f217-7)是當(dāng)基于(f217_5)的判定的結(jié)果表示否時��,判斷為不需要取得策略差分對應(yīng)定義信息203a的功能。
[0097]ID供應(yīng)執(zhí)行請求部219在通過策略差分對應(yīng)判定部217取得策略差分對應(yīng)定義信息203a的情況下����,執(zhí)行遵照根據(jù)該取得的策略差分對應(yīng)定義信息203a的定義在優(yōu)先的策略中定義的條件內(nèi)的職責(zé)的處理。另外���,ID供應(yīng)執(zhí)行請求部219在沒有通過策略差分對應(yīng)判定部217取得策略差分對應(yīng)定義信息203a的情況下���,執(zhí)行遵照基于策略評價部216的評價結(jié)果而成立的條件內(nèi)的職責(zé)的處理。其中���,作為由ID供應(yīng)執(zhí)行請求部219執(zhí)行的處理的一個例子�����,可舉出為了使ID供應(yīng)裝置207發(fā)送認證協(xié)作請求而將認證協(xié)作發(fā)送請求發(fā)送給ID供應(yīng)裝置207的處理����、為了發(fā)送將服務(wù)提供者系統(tǒng)300內(nèi)的用戶屬性信息保存裝置301中保存的用戶屬性信息刪除的刪除請求而將刪除發(fā)送請求發(fā)送給ID供應(yīng)裝置207的處理��、為了使拒絕畫面顯示裝置208發(fā)送拒絕畫面信息而將拒絕畫面信息發(fā)送請求發(fā)送給拒絕畫面顯不裝置208的處理等�。
[0098]另外,服務(wù)提供者系統(tǒng)300用于對用戶終端100提供服務(wù)數(shù)據(jù)����,如圖1所示����,具備用戶屬性信息保存裝置301�、認證協(xié)作裝置302、服務(wù)提供裝置303以及ID供應(yīng)裝置304�。
[0099]用戶屬性信息保存裝置301保存用戶屬性信息,該用戶屬性信息是利用由該服務(wù)提供者系統(tǒng)300提供的服務(wù)數(shù)據(jù)的用戶的身份信息�����。該用戶屬性信息可以由與ID提供者系統(tǒng)200內(nèi)的用戶屬性信息保存裝置201中保存的用戶屬性信息同樣的項目名構(gòu)成�����,也可以由用戶屬性信息保存裝置201中保存的用戶屬性信息的一部分的項目名構(gòu)成���。
[0100]認證協(xié)作裝置302具有單點登錄的服務(wù)提供者功能���。具體而言�����,認證協(xié)作裝置302具有以下的各功能(f302-l)至(f302-3)。
[0101](f302-l)是當(dāng)受理到來自ID提供者系統(tǒng)200內(nèi)的認證協(xié)作裝置204的認證協(xié)作請求消息的輸入時��,對受理了該輸入的認證協(xié)作請求消息內(nèi)的認證聲明所含的數(shù)字署名使用該認證聲明所含的署名驗證密鑰來進行驗證的功能���。
[0102]具體而言��,首先使用認證聲明所含的署名驗證密鑰來解碼與數(shù)字署名對應(yīng)的聲明正文��。然后���,通過判定用戶屬性信息保存裝置301內(nèi)是否保存有解碼后的聲明正文所含的用戶ID,來驗證認證協(xié)作請求消息的合法性��。
[0103](f302-2)是當(dāng)基于(f302_l)的功能的驗證的結(jié)果表示合法時�����,發(fā)行包括該驗證所使用的用戶ID的服務(wù)提供者認證令牌的功能���。其中��,所發(fā)行的服務(wù)提供者認證令牌在來自用戶的訪問請求消息是HTTP請求的形態(tài)的情況下����,被保存在該HTTP請求所含的Cookie之中。
[0104](f302-3)是將包括通過(f302_2)的功能發(fā)行的服務(wù)提供者認證令牌的服務(wù)提供請求消息發(fā)送給用戶終端100的功能���。
[0105]服務(wù)提供裝置303在受理到基于用戶終端100的回信功能而回信的服務(wù)提供請求消息的輸入時�����,將由該服務(wù)提供者系統(tǒng)300能夠提供的服務(wù)數(shù)據(jù)發(fā)送給用戶終端100���。
[0106]ID供應(yīng)裝置304根據(jù)來自ID提供者系統(tǒng)200內(nèi)的ID供應(yīng)裝置207的請求,來執(zhí)行用戶屬性信息保存裝置301中保存的用戶屬性信息的登記處理�、更新處理、刪除處理以及檢索處理��。
[0107]接下來��,參照圖2至4的示意圖��、圖6以及圖7的序列圖來對如以上那樣構(gòu)成的策略管理系統(tǒng)的動作的一個例子進行說明���。其中�,在本動作例中��,設(shè)預(yù)先執(zhí)行使用了認證協(xié)作裝置204的(f204-l)以及(f204-2)的功能的預(yù)先處理(登錄處理)�,已經(jīng)發(fā)行了 ID提供者認證令牌。另外����,在本動作例中,設(shè)操作用戶終端的用戶的所屬為“X部門”�����,職務(wù)為“主任”�����,由用戶終端發(fā)送了訪問請求消息的日期(發(fā)送日期)為“2011/10/10”�。
[0108]首先,用戶終端100根據(jù)用戶的操作�����,將包括預(yù)先處理時發(fā)行的ID提供者認證令牌����、和表示能夠提供用戶希望利用的服務(wù)數(shù)據(jù)的服務(wù)提供者系統(tǒng)300的服務(wù)提供者ID的訪問請求消息發(fā)送給ID提供者系統(tǒng)200 (步驟SI)。
[0109]接著�,ID提供者系統(tǒng)200內(nèi)的企業(yè)入口裝置205在受理到來自用戶終端100的訪問請求消息的輸入時,將受理了該輸入的訪問請求消息轉(zhuǎn)送給策略評價裝置206(步驟S2)。
[0110]接下來����,策略評價裝置206內(nèi)的策略評價請求部211在受理到來自企業(yè)入口裝置205的訪問請求消息的輸入時,經(jīng)由新策略取得部212取得對用于允許由受理了該輸入的訪問請求消息內(nèi)的服務(wù)提供者ID識別的服務(wù)提供者系統(tǒng)300向用戶終端100發(fā)送服務(wù)數(shù)據(jù)的判定條件進行了定義的策略中的新策略202b (步驟S3)�����。這里�,取得圖3所示的新策略
202b ο
[0111]接著,舊策略要否判定部213使用在步驟S3的處理中取得的新策略202b中定義的過渡期間�����,來判定該過渡期間中是否包括用戶終端100的訪問請求消息的發(fā)送日期(步驟S4)��。該情況下���,由于訪問請求消息的發(fā)送日期為“2011/10/10”�����,新策略202b中定義的過渡期間為“2011/10/1?2011/10/30”����,所以判定為該訪問請求消息的發(fā)送日期包含于該過渡期間內(nèi)。
[0112]此外�,在步驟S4的判定的結(jié)果表示否的情況下,進入后述的步驟S6的處理�。
[0113]在步驟S4的判定的結(jié)果表示包含于過渡期間內(nèi)的情況下�����,舊策略要否判定部213經(jīng)由舊策略取得部214取得與在步驟S3的處理中取得的新策略202b對應(yīng)的舊策略202a(步驟S5)��。這里�,取得了圖2所示的舊策略202a。
[0114]接下來���,屬性信息收集部215使用該訪問請求消息內(nèi)的ID提供者認證令牌所含的用戶ID�����,從用戶屬性信息保存裝置201取得用戶屬性信息��。然后���,為了確認該取得的用戶屬性信息是否被存儲在用戶屬性信息保存裝置301中,屬性信息收集部215將包括該取得的用戶屬性信息內(nèi)的用戶ID(也可以是用戶的姓名���、用戶屬性信息本身)的確認請求消息經(jīng)由ID供應(yīng)裝置207發(fā)送給ID供應(yīng)裝置304���。ID供應(yīng)裝置304在受理到從屬性信息收集部215發(fā)送來的確認請求消息的輸入時����,判定(檢索)受理了該輸入的確認請求消息內(nèi)的用戶ID是否包含在用戶屬性信息保存裝置301中�,并將該判定的結(jié)果通知給ID提供者系統(tǒng)200 (步驟S6)。這里��,ID提供者系統(tǒng)200接收到用戶屬性信息保存裝置301中保存有由屬性信息收集部215取得的用戶屬性信息內(nèi)的用戶ID這一通知����。
[0115]接著,策略評價部216使用在步驟S6的處理中取得的用戶屬性信息���,來評價到該處理為止取得的策略�����、即評價新策略202b以及舊策略202a雙方或者僅評價新策略202b (步驟S7)���。這里,評價新策略202b以及舊策略202a雙方��。在新策略202b的評價中,由于用戶的所屬為“X部門”����、職務(wù)為“主任”、“服務(wù)提供者系統(tǒng)的用戶ID登記完畢”��,所以滿足圖3所示的新策略202b的判定ID“NEW-DENY-3”的判定條件(即�����,判定ID“NEW_DENY_3”成立)���。另外,在舊策略202a的評價中���,同樣由于用戶的所屬為“X部門”�����、職務(wù)為“主任”����、“服務(wù)提供者系統(tǒng)的用戶ID登記完畢”��,所以滿足圖2所示的舊策略202a的判定ID “OLD-PERMIT-2” 的判定條件(即,判定 ID “0LD-PERMIT-2” 成立)���。