r>[0116]接下來,策略差分對(duì)應(yīng)判定部217使用上述的(f217-l)至(f217_7)的功能��,判定是否需要取得策略差分對(duì)應(yīng)定義保存裝置203中保存的策略差分對(duì)應(yīng)定義信息203a (步驟S8)���。這里,由于在步驟S7的處理中評(píng)價(jià)新策略202b以及舊策略202a雙方�,在新策略202b中判定ID “NEW-DENY-3”成立(即,拒絕)���,在舊策略202a中判定ID “0LD-PERMIT-2”成立(即����,允許)����,所以策略差分對(duì)應(yīng)判定部217判斷為需要取得策略差分對(duì)應(yīng)定義信息203a����,并經(jīng)由策略差分對(duì)應(yīng)定義取得部218取得圖4所示的策略差分對(duì)應(yīng)定義信息203a��。
[0117]接著�����,ID供應(yīng)執(zhí)行請(qǐng)求部219執(zhí)行遵照由適應(yīng)的判定ID識(shí)別的條件內(nèi)的職責(zé)的處理(步驟S9)�。這里,由于在步驟S8的處理取得了策略差分對(duì)應(yīng)定義信息203a�,所以ID供應(yīng)執(zhí)行請(qǐng)求部219在參照了該策略差分對(duì)應(yīng)定義信息203a的基礎(chǔ)上,根據(jù)由差分對(duì)應(yīng)ID “DIFF-2”識(shí)別的條件���,來執(zhí)行由判定ID “0LD-PERMIT-2”識(shí)別的條件內(nèi)的職責(zé)“認(rèn)證協(xié)作請(qǐng)求的執(zhí)行”�����、即將認(rèn)證協(xié)作發(fā)送請(qǐng)求發(fā)送給ID供應(yīng)裝置207����。
[0118]接下來,ID供應(yīng)裝置207在從ID供應(yīng)執(zhí)行請(qǐng)求部219受理到認(rèn)證協(xié)作發(fā)送請(qǐng)求時(shí)����,將認(rèn)證協(xié)作請(qǐng)求發(fā)送給認(rèn)證協(xié)作裝置204 (步驟S10)。
[0119]接著���,認(rèn)證協(xié)作裝置204在從ID供應(yīng)裝置207受理到認(rèn)證協(xié)作請(qǐng)求時(shí)�����,針對(duì)包括ID提供者認(rèn)證令牌內(nèi)的用戶ID的聲明正文���,生成基于未圖示的密鑰存儲(chǔ)裝置內(nèi)的署名生成密鑰(秘密密鑰)的署名,并生成包括該聲明正文�����、該數(shù)字署名���、和與該署名生成密鑰對(duì)應(yīng)的署名驗(yàn)證密鑰(公開密鑰)的認(rèn)證聲明(步驟Sll)。
[0120]接下來���,認(rèn)證協(xié)作裝置204將包括在步驟Sll的處理中生成的認(rèn)證聲明的認(rèn)證協(xié)作請(qǐng)求消息經(jīng)由用戶終端100發(fā)送給認(rèn)證協(xié)作裝置302 (步驟S12)����。
[0121]接著,服務(wù)提供者系統(tǒng)300內(nèi)的認(rèn)證協(xié)作裝置302在受理到從認(rèn)證協(xié)作裝置204發(fā)送來的認(rèn)證協(xié)作請(qǐng)求消息的輸入時(shí)��,對(duì)受理了該輸入的認(rèn)證協(xié)作請(qǐng)求消息內(nèi)的認(rèn)證聲明所含的數(shù)字署名使用該認(rèn)證聲明中包含的署名驗(yàn)證密鑰來進(jìn)行驗(yàn)證�。具體而言,認(rèn)證協(xié)作裝置302使用認(rèn)證聲明所含的署名驗(yàn)證密鑰來對(duì)與數(shù)字署名對(duì)應(yīng)的聲明正文進(jìn)行解碼�����,然后�,通過判定用戶屬性信息保存裝置301內(nèi)是否保存有解碼后的聲明正文所含的用戶ID,來驗(yàn)證認(rèn)證協(xié)作請(qǐng)求消息的合法性(步驟S13)���。這里��,由于在步驟S6的處理中已經(jīng)確認(rèn)為用戶屬性信息保存裝置301內(nèi)保存有用戶ID��,所以認(rèn)證協(xié)作裝置302判斷為該認(rèn)證協(xié)作請(qǐng)求消息是合法的�,并發(fā)行包括該用戶ID的服務(wù)提供者認(rèn)證令牌�。
[0122]接下來,認(rèn)證協(xié)作裝置302將包括在步驟S13的處理中發(fā)行的服務(wù)提供者認(rèn)證令牌的服務(wù)提供請(qǐng)求消息發(fā)送給用戶終端100 (步驟S14)���。
[0123]接著�,用戶終端100在受理到從認(rèn)證協(xié)作裝置302發(fā)送來的服務(wù)提供請(qǐng)求消息的輸入時(shí),將受理了該輸入的服務(wù)提供請(qǐng)求消息回信(redirect)給服務(wù)提供者系統(tǒng)300 (步驟 S15)ο
[0124]接下來����,服務(wù)提供者系統(tǒng)300內(nèi)的服務(wù)提供裝置303在受理到從用戶終端100回信的服務(wù)提供請(qǐng)求消息的輸入時(shí),將由該服務(wù)提供者系統(tǒng)300能夠提供的服務(wù)數(shù)據(jù)發(fā)送給用戶終端100(步驟S16)�。
[0125]然后,用戶終端100在受理到從服務(wù)提供者系統(tǒng)300發(fā)送來的服務(wù)數(shù)據(jù)的輸入時(shí)�,對(duì)受理了該輸入的服務(wù)數(shù)據(jù)進(jìn)行再生(步驟S17)。
[0126]根據(jù)以上說明的一個(gè)實(shí)施方式��,通過具備包括差分對(duì)應(yīng)定義信息保存裝置203以及策略評(píng)價(jià)裝置206的ID提供者系統(tǒng)200的構(gòu)成�����,能夠不借助人手地實(shí)現(xiàn)策略更新作業(yè)��。
[0127]以下�,對(duì)上述的一個(gè)實(shí)施方式的變形例進(jìn)行說明。
[0128][變形例]
[0129]這里��,參照?qǐng)D2以及圖4的示意圖���、圖6以及圖8的序列圖來對(duì)策略管理系統(tǒng)的動(dòng)作的變形例進(jìn)行說明。其中���,在本動(dòng)作例中�,設(shè)預(yù)先執(zhí)行使用了認(rèn)證協(xié)作裝置204的(f204-l)以及(f204-2)的功能的預(yù)先處理(登錄處理),已經(jīng)發(fā)行了 ID提供者認(rèn)證令牌�����。另外��,在本動(dòng)作例中����,設(shè)操作用戶終端的用戶的所屬為“X部門”、職務(wù)為“主任”��、由用戶終端發(fā)送了訪問請(qǐng)求消息的日期(發(fā)送日期)為“2011/11/1”��。
[0130]步驟SI至S3的處理與上述的一個(gè)實(shí)施方式同樣地執(zhí)行����。
[0131]在步驟S4的處理中,由于訪問請(qǐng)求消息的發(fā)送日期為“2011/11/1”�����、新策略202b中定義的過渡期間為“2011/10/1?2011/10/30”����,所以判定為該過渡期間中不包含該訪問請(qǐng)求消息的發(fā)送日期(即�,判定為在過渡期間外)��。因此���,省略步驟S5的處理�����、進(jìn)入步驟S6的處理����。
[0132]另外�����,步驟S6的處理與上述的一個(gè)實(shí)施方式同樣地執(zhí)行��。
[0133]在步驟S7的處理中���,策略評(píng)價(jià)部216僅評(píng)價(jià)新策略202b����。該情況下����,由于用戶的所屬為“X部門”、職務(wù)為“主任”�、“服務(wù)提供者系統(tǒng)的用戶ID登記完畢”,所以滿足圖3所示的新策略202b的判定ID “NEW-DENY-3”的判定條件(即���,判定ID “NEW-DENY-3”成立)�。
[0134]在步驟S8的處理中����,由于在步驟S7的處理中僅評(píng)價(jià)新策略202b,在新策略202b中判定ID“NEW-DENY-3”成立(即��,拒絕)��,且(基于上述的步驟S6的處理)由屬性信息收集部215確認(rèn)為保存有用戶屬性信息�����,所以策略差分對(duì)應(yīng)判定部217判斷為需要取得策略差分對(duì)應(yīng)定義信息203a����,并經(jīng)由策略差分對(duì)應(yīng)定義取得部218取得圖4所示的策略差分對(duì)應(yīng)定義信息203a�����。
[0135]在步驟S9的處理中�,由于在步驟S8的處理中取得了策略差分對(duì)應(yīng)定義信息203a��,所以ID供應(yīng)執(zhí)行請(qǐng)求部219在參照了該策略差分對(duì)應(yīng)定義信息203a的基礎(chǔ)上����,根據(jù)由差分對(duì)應(yīng)ID “DIFF-5”識(shí)別的條件,來進(jìn)行由判定ID “NEW-DENY-3”識(shí)別的條件內(nèi)的職責(zé)“拒絕畫面顯示的執(zhí)行”��,并且進(jìn)行職責(zé)“執(zhí)行服務(wù)提供者系統(tǒng)的用戶ID的刪除”�����。S卩����,ID供應(yīng)執(zhí)行請(qǐng)求部219對(duì)拒絕畫面顯示裝置208發(fā)送拒絕畫面信息發(fā)送請(qǐng)求,并且對(duì)ID供應(yīng)裝置207發(fā)送刪除發(fā)送請(qǐng)求��。
[0136]接著�,ID供應(yīng)裝置207在從ID供應(yīng)執(zhí)行請(qǐng)求部219接收到刪除發(fā)送請(qǐng)求時(shí),將包括ID提供者認(rèn)證令牌內(nèi)的用戶ID的刪除請(qǐng)求消息發(fā)送給ID供應(yīng)裝置304(步驟S18)�����。
[0137]接下來,服務(wù)提供者系統(tǒng)300內(nèi)的ID供應(yīng)裝置304在受理到從ID供應(yīng)裝置207發(fā)送來的刪除請(qǐng)求消息的輸入時(shí)�,將受理了該輸入的刪除請(qǐng)求消息內(nèi)的用戶ID(用戶屬性信息)從用戶屬性信息保存裝置301刪除(步驟S19)����。
[0138]另外,拒絕畫面顯示裝置208當(dāng)接收到在步驟S9的處理中發(fā)送的拒絕畫面信息發(fā)送請(qǐng)求時(shí)�,將拒絕畫面信息發(fā)送給用戶終端100 (步驟S20)。
[0139]然后�,用戶終端100在受理到從拒絕畫面顯示裝置208發(fā)送來的拒絕畫面信息的輸入時(shí),根據(jù)受理了該輸入的拒絕畫面信息�,來顯示拒絕畫面(步驟S21)。
[0140]根據(jù)上述的變形例���,與策略更新相伴的系統(tǒng)環(huán)境的更新作業(yè)(即�����,用戶屬性信息保存裝置301中保存的用戶ID(用戶屬性信息)的刪除)也能夠不借助人手地實(shí)現(xiàn)�����。
[0141]此外�����,上述的各實(shí)施方式中記載的方法也可以作為能夠使計(jì)算機(jī)執(zhí)行的程序�����,保存到磁盤(軟(注冊商標(biāo))盤��、硬盤等)����、光盤(⑶一 ROM、DVD等)�����、光磁盤(MO)��、半導(dǎo)體存儲(chǔ)器等存儲(chǔ)介質(zhì)來進(jìn)行發(fā)布����。
[0142]另外,作為該存儲(chǔ)介質(zhì)��,如果是能夠存儲(chǔ)程序且計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì),則其存儲(chǔ)形式可以是任意形態(tài)���。
[0143]另外��,也可以基于從存儲(chǔ)介質(zhì)安裝到計(jì)算機(jī)的程序的指示�,由在計(jì)算機(jī)上運(yùn)轉(zhuǎn)的OS (操作系統(tǒng))��、數(shù)據(jù)庫管理軟件���、網(wǎng)絡(luò)軟件等MW(中間件)等執(zhí)行用于實(shí)現(xiàn)上述實(shí)施方式的各處理的一部分。
[0144]并且��,各實(shí)施方式中的存儲(chǔ)介質(zhì)并不局限于與計(jì)算機(jī)獨(dú)立的介質(zhì)����,也包括下載通過LAN、互聯(lián)網(wǎng)等傳輸?shù)某绦虿⒋鎯?chǔ)或者暫時(shí)存儲(chǔ)的存儲(chǔ)介質(zhì)���。
[0145]另外����,存儲(chǔ)介質(zhì)并不局限于一個(gè)�����,從多個(gè)介質(zhì)執(zhí)行上述各實(shí)施方式中的處理的情況也包含于本發(fā)明中的存儲(chǔ)介質(zhì),介質(zhì)構(gòu)成可以是任意的構(gòu)成���。
[0146]此外�,各實(shí)施方式中的計(jì)算機(jī)也可以是基于存儲(chǔ)介質(zhì)中存儲(chǔ)的程序��,執(zhí)行上述各實(shí)施方式中的各處理的構(gòu)成����,即是一個(gè)個(gè)人計(jì)算機(jī)等構(gòu)成的裝置、多個(gè)裝置與網(wǎng)絡(luò)連接的系統(tǒng)等任意的構(gòu)成���。
[0147]另外��,各實(shí)施方式中的計(jì)算機(jī)并不局限于個(gè)人計(jì)算機(jī)�,也包括信息處理設(shè)備中所含的運(yùn)算處理裝置�、微型計(jì)算機(jī)等,包括能夠通過程序來實(shí)現(xiàn)本發(fā)明的功能的設(shè)備�、裝置。
[0148]此外����,對(duì)本發(fā)明的幾個(gè)實(shí)施方式進(jìn)行了說明����,但這些實(shí)施方式指示例示�����,不意圖限定發(fā)明的范圍�。這些新的實(shí)施方式能夠通過其他各種方式來加以實(shí)施,在不脫離發(fā)明主旨的范圍能夠進(jìn)行各種省略�、置換、變更�。這些實(shí)施方式及其變形包含在發(fā)明的范圍、主旨中�����,并且���,包含于權(quán)利要求所記載的發(fā)明及其等同的范圍。
【主權(quán)項(xiàng)】
1.一種策略管理系統(tǒng)�����,包括:用戶終端�����、對(duì)操作所述用戶終端的用戶的身份進(jìn)行管理的ID提供者系統(tǒng)和向所述用戶終端提供服務(wù)數(shù)據(jù)的服務(wù)提供者系統(tǒng),該策略管理系統(tǒng)的特征在于�����, 所述用戶終端具備: 登錄執(zhí)行單元�,根據(jù)用戶的操作,與所述ID提供者系統(tǒng)之間執(zhí)行登錄處理��; 第一發(fā)送單元��,將包括ID提供者認(rèn)證令牌和識(shí)別所述服務(wù)提供者系統(tǒng)的服務(wù)提供者ID的訪問請(qǐng)求消息發(fā)送給所述ID提供者系統(tǒng)�����,所述ID提供者認(rèn)證令牌在所述登錄處理時(shí)被發(fā)行且包括識(shí)別該用戶的用戶ID ;以及 再生單元�,接收從所述服務(wù)提供者系統(tǒng)發(fā)送的服務(wù)數(shù)據(jù),對(duì)該接收到的服務(wù)數(shù)據(jù)進(jìn)行再生��, 所述ID提供者系統(tǒng)具備: 第一保存單元���,保存將用于確定所述用戶的用戶屬性的項(xiàng)目名和項(xiàng)目值建立關(guān)聯(lián)而成的�����、且至少包含用戶ID的用戶屬性信息���; 第二保存單元�,按每個(gè)所述服務(wù)提供者ID保存至少定義判定條件和過渡期間的一對(duì)舊策略及新策略����,所述判定條件是用于允許由該服務(wù)提供者ID識(shí)別的服務(wù)提供者系統(tǒng)進(jìn)行服務(wù)數(shù)據(jù)的發(fā)送的判定條件,包括由判定ID識(shí)別的多個(gè)條件且該各條件還包括多個(gè)詳細(xì)條件以及職責(zé)����,所述過渡期間表示當(dāng)從舊策略過渡至新策略時(shí),除了新策略之外還參照基于舊策略的判定條件的判定結(jié)果的期間����;