アイデンティティサービスに対するアクセス権を提供する方法及び装置
ユーザのアイデンティティサービスに対するアクセス権を提供する方法、装置及びコンピュータプログラム。ディスカバリサービスDSサーバ(100)は、ユーザが利用可能であるアイデンティティサービス(IDSRV‐A、IDSRV‐B)の参照情報(RO1A、ROnB)をユーザの集合に対して格納する。それら参照情報は、前記アイデンティティサービスを提供するサービスプロバイダSP(120、130)と接続するのに使用可能である。特定のユーザに対してまだ登録されていない特定のアイデンティティサービスの場合、DSサーバは、そのサービスを提供できるSP(140)を選択し、前記アイデンティティサービスの登録に対応する新しいリソースオファリング(RO2X)を格納する。適切なSPを選択するために、DSサーバは、特定のSPにより提供されるアイデンティティサービスに関する情報及びSPがサポートするアイデンティティサービスを使用してSPから動的に更新される内容に関する情報を含むサービス機能記憶領域(103‐2、301)をチェックできる。DSサーバはユーザと接続し、SP基本設定とサービスデータの収集との少なくともいずれかを実行することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アイデンティティ連携フレームワークにおいてサービスを提供することに関し、特に、ユーザのアイデンティティサービスに対するアクセス権を提供する方法及びそれに関連する装置に関する。
【背景技術】
【0002】
インターネットを介して提供される第1の種類のサービスは、通常、1対1(消費者対企業、ユーザ対プロバイダ)の関係に限定される。この種類のサービスの主な例において、サービスプロバイダ(以下、SPと呼ぶ)は、1つ以上のサービスを複数のユーザに提供できる。これらのサービスのうちのあるものは、(例えば)共通に提供され、例えば、任意のユーザが利用可能な情報サービスか、あるいは、ユーザ毎にカスタマイズや許可を受ける必要のない情報サービスかの少なくともいずれかにすぎない。他のサービスは、供給されるユーザに応じてカスタマイズでき、例えば、ユーザの識別及び許可が事前に行なわれる。このことは、例えば、サービス又はその内容が供給される特定の各ユーザに応じて、若しくはそのユーザの基本設定に応じて適応される場合、或いは、SPに対するサービスアカウントを有するユーザ(例えば、SPのサービスに加入しているユーザ)に対してのみサービスが与えられる場合の、少なくともいずれかの場合に必要となる。
【0003】
サービスの提供がユーザの識別を必要とする特別な場合、SPはユーザ認証を実行する機構を実現し、通常、各SPにおいてユーザの証明書(credential)(例えば、ユーザの識別子及びパスワード)を格納及び管理する。しかし、この簡単化された方法において、種々のSPに対して種々のサービスアカウントを有するユーザの場合、ユーザはそれらSPにより提供される異なるサービスにアクセスするための証明書を覚えておく必要があるため、ユーザ側で不便が生じる。ユーザは、全てのSPにおいて同一の証明書を利用することによりその欠点をなくそうとするだろうが、不可能である場合がある(例えば、SPがユーザ識別子を強制的に与える場合、あるいは、同一SPにおいて、選択された同一のユーザ識別子が既に他のユーザに割り当てられている場合)。しかし、いずれの場合においても、ユーザは、SPにアクセスする度に証明書を提供する必要がある。
【0004】
近年、アイデンティティ連携フレームワークが、主にその問題を解決するために開発された。簡単に説明すると、アイデンティティ連携フレームワークは、機能エンティティの集合(後述するSP及びその他)と、複数のSPがユーザの連携アイデンティティ情報をそれらSP間で共有することを可能にする機構の集合とを含む。この説明において、ユーザの「アイデンティティ」(「ネットワーク・アイデンティティ」としても知られる)とは、前記ユーザが種々のSPにわたり有する各サービスアカウント中に、前記ユーザに対して保持される属性の集合を示す。
【0005】
「リバティ・アライアンス・プロジェクト(Liberty Alliance Project)」LAP(http://www.projectliberty.org/)は、アイデンティティ連携フレームワークの標準化に係る標準化フォーラムである。従って、本出願において、LAPのいくつかの特定の用語である機能手順及び機能エンティティは、例として、周知の標準化されたアイデンティティ連携フレームワークの機能動作を示すために使用される。当業者は、それらの用語をアイデンティティ連携を提供する同様のフレームワークの同義語である機能手順及び機能エンティティと容易に関連付けられるだろう。
【0006】
アイデンティティ連携フレームワークの第1の目標は、所謂SSO(「シングルサインオン」、また「シンプリファイド・サインオン」としても知られる)を提供することであった。SSOにより、ユーザは、異なるサービス及びアプリケーションに安全にアクセスできる。それら異なるサービス及びアプリケーションは、異なるネットワーク又は管理ドメインに分散している可能性のある複数のSPを介して、毎回認証されることなくアクセスされる。SSOの背景にある現在の原理は、ユーザが特定のセッションに対して1度認証すると、そのようなレベルの認証を受け付けるユーザが加入している全てのサービスに対するアクセス権が与えられることを提示する。この原理により、ユーザは、ユーザが要求する特定の異なる各サービスに対する認証を明示的に行なわずに、それら異なるサービスにアクセスできる。SSOは、1度ユーザを認証し、その後、一般に「アイデンティティ・プロバイダ」IDPとして知られるサーバエンティティの仲介によって、結果として得られた認証を他のSPへの入口に対して有効にすることにより実現される。
【0007】
アイデンティティ連携フレームワークの別の目標は、ユーザの連携アイデンティティに基づいて新しい種類のサービスを提供することである。簡単に説明すると、それら新しい種類のサービスは、複数のSPにわたるユーザの連携アイデンティティのリソースの消費を考慮する。用語「リソース」は、包括的な用語であり、より静的な性質を有するデータ属性(ユーザの名前、従業員番号、特定のサービス又はネットワークにおけるユーザ識別子等)、及び、より動的な性質を有するデータ属性(例えば、カレンダデータ、現在の地理的な位置等の前記ユーザに対するサービスに依存するデータ属性)等のユーザの連携アイデンティティのデータ属性を示してもよい。または、ユーザの連携アイデンティティの代わりの役割を果たすサービス(例えば、ショートメッセージの送信、電子メールの送信等、ユーザのアイデンティティに対してある動作を実行するサービス)を示してもよい。この場合、特定のSPは特定のサービスをユーザに提供できるが、ユーザは、そのサービスを完了するために、前記ユーザの連携アイデンティティのリソースの消費(例えば、ユーザのクレジットカード番号の使用、ユーザのウェブを使用したカレンダのデータのチェック、又は、そのカレンダに対するデータの設定、個人情報の使用等)を必要とするだろう(例えば、オプションの機能又は必須の機能として)。ここで、前記リソースは、格納され且つ別のSPにおいて主に処理される。前記「消費」は、前記リソースの検索と更新との少なくともいずれかだけでなく、アイデンティティを生かした動作の実行(例えば、SPにおけるユーザのアイデンティティの属性はユーザの移動電話番号を含み、そのSPからその電話番号へショートメッセージを送信する動作)も含む。従って、新しい種類のサービスは、それらサービスの達成/カスタマイズ等のためにユーザに対してローカルに保持するデータを単に使用する以上のことを行なえるSPから前記ユーザに提供される。
【0008】
この新しい種類のサービスの提供は、一般に、サーバエンティティの介入により達成される。サーバエンティティは、第1のSPが所望のリソースを保持する第2のSPにアクセスするのを可能にする「ディスカバリサービス(Discovery Service)」DSとして一般に知られるサービスを提供する。本出願において、用語「ディスカバリサービスサーバ」(又はDSサーバ)は、任意の他の種類のサービスを提供する、又は、提供しないサーバマシンにサーバエンティティが常駐するか否かに関わらず、ディスカバリサービスDSを提供するサービスエンティティを示すために使用される。
【0009】
アイデンティティ連携フレームワークにおいて一般に使用される専門用語において、上述の第2のSPはWSP(ウェブサービス・プロバイダ)として動作し、上述の第1のSPはWSC(ウェブサービス・コンシューマ)として動作するだろう。アイデンティティに関する情報の検索又は更新のために、あるいは前記アイデンティティのためのある動作を実行するために、WSCがWSPにアクセスし且つリソースに従って動作することを可能にするサービスは、「アイデンティティサービス」として知られる。この専門用語の説明において、DSサーバは、複数のWSCがユーザの登録アイデンティティサービスを動的に発見することを可能にする「ディスカバリサービス」DSを提供するように、対応するWSPにアクセスするのに使用可能な情報をそれらWSCに提供する。
【0010】
DSサーバは、ユーザのアイデンティティサービスに関する情報を格納するレジスタとして動作するとともに、要求があったときに前記情報を提供する機能エンティティである。特定のユーザの各登録アイデンティティサービスに対するDSサーバを格納する情報は、一般に「リソースオファリング」ROとして知られる。その情報の内容は、ユーザの特定のアイデンティティサービス・インスタンスを一意に識別するのに使用できる。例えば、ユーザの約束及びタスクを格納するユーザの「カレンダ」サービスに対するアクセス権を提供するために、DSサーバはROを格納する。ROは、種々のサービスを区別するためのサービスの種類の識別子(Service Type)、前記ユーザと関連のある前記サービスの種類のサービスインスタンスを一意に識別する識別子(例えば、他のユーザの「カレンダ」と区別するために)(Resource ID)、及び、前記ユーザに対する前記サービスを提供するSPを識別する識別子(Provider ID)を特に含む。それら全ての識別子は、統一資源識別子URI(Uniform Resource Identifiers)の形式であってもよい。しかし、特定のユーザの特定のアイデンティティサービスを識別し、且つ、アクセスするために、対応するSPと接続するのに使用可能な参照情報を提供する形式であれば、他の表現形式(例えば、単一のURI)でもよい。
【0011】
ディスカバリサービスDSを提供するために、最新のDSサーバは、以下の2種類の要求を受信し、それに返答するように構成される。第1の種類の要求は、「リソースオファリング」ROの変更(新しいROの挿入、又は、格納されたROの除去)を要求し、以下において「ディスカバリサービス更新」DS更新と呼ばれる。第2の種類の要求は、格納されたROの取得を要求し、対応するROを含む「ディスカバリサービス応答」DS応答でDSサーバにより返答される。この第2の種類の要求は、以下において「ディスカバリサービスクエリ」DSクエリと呼ばれる。
【0012】
「ディスカバリサービス」DSは、DS自体の特性により、「リソース」の特別な集合(すなわち、リソースオファリング、RO)の消費を(発見するという形態で)提供するアイデンティティサービスである。アイデンティティウェブサービスフレームワークにおけるディスカバリサービスを説明する仕様書は、「Liberty ID-WSF Discovery Service Specification」version 1.1(https://www.projectliberty.org/specs/liberty-idwsf-disco-svc-v1.1.pdfにおいて入手可能である)としてLAPにより公開されている。
【0013】
図1及び図2を参照して、この種類の新しいサービスの簡単な例を提供し、アイデンティティ連携フレームワークにおけるエンティティ間の機能関係に関して簡単に説明する。
【0014】
図1において、複数のSP(110、120、130、140)、IDP(90)、DSサーバ(100)及びユーザ端末(150‐1)と対話するユーザ(150‐2)が概略的に示される。尚、LAPの特定の専門用語において、包括的な用語「主体者」は、連携アイデンティティを取得できるエンティティを示すために使用される。用語「主体者」の範囲には、人間ユーザ、人間ユーザのグループ、企業、正当なエンティティ又は機能を供給するエンティティが含まれる。それら全ての種類の「主体者」は、実際にはアイデンティティ連携の「ユーザ」であり(又はユーザとなり)、用語「ユーザ」(150)は、本出願の以下において、ユーザの種類に関係なく、アイデンティティ連携のユーザを示すために使用される。図1のSP(110、120、130、140)は、1つ以上のサービスプロバイダ機関のドメインに属することができる1つ以上のサーバエンティティの各々を表す。ここで、各サーバエンティティは、コンピュータを使用するマシン等の同一のサーバマシン内に共に配置されてもよく、あるいは種々のマシンにわたり分散されてもよい。同様に、IDP又はDSサーバに対して開示される対応する機能性は、2つ以上のマシンにわたり分散されるか(例えば、各マシンが全体の機能性のサブ機能を実行する)、あるいは同一マシン内に共に配置される。しかし、簡単のために、示されるサーバエンティティ(90、100、110、120、130、140)の各々は、各々が対応する開示された機能性を実現する単一マシンを表すものと仮定される。しかし、実用上の実現例において、IDPの機能及びディスカバリサービスの機能は、同一のサーバマシン内に共に配置されて使用される。
【0015】
簡単のために、1つのDSサーバが図1に表される。しかし、2つ以上のDSサーバが、アイデンティティ連携フレームワークを提供する通信システム内に存在してもよい。ここで、例えば各DSサーバは、ディスカバリサービスを前記連携のユーザの集合に供給するために割り当てられる。
【0016】
ユーザ(150)は、2つ以上のSP(110、120、130)と通信し、上述のように、SSO機能を使用してユーザ認証が行なわれる種々のサービスに対するアクセス権を獲得できる。また、SP及びIDPは、ユーザを認証するため及び特に認証アサーションを配信するために通信できる(10)。例えば、ユーザ(150)は、SP110との第1の通信を確立し、そのSPにおいて認証される。IDP(90)はこの認証に関与し、ユーザが例えばSP120との別の通信を確立する時、IDPはSP120に認証アサーションを提供する。ユーザが証明書を再び提供する必要なく、SP120は、そのSPにおける対応するサービスに対するアクセス権を付与する。
【0017】
IDPは、ユーザのSSO認証処理中にIDPとSPとの間で交換されるデータの一部として、DSサーバ(100)と接続するのに使用可能な参照情報をユーザ(110、120、130)が接続する任意のSPに更に提供し、それにより前記DSサーバから前記ユーザのROを(必要に応じて)取得できる。DSと接続するのに使用可能な前記参照情報は、上述のようにDSサーバにより提供されるアイデンティティサービス(すなわち「ディスカバリサービス」DS)にアクセスするために使用されるため、「リソースオファリング」であると考えられる(以下、RO‐DSと呼ぶ)。更なる通信(12)は、ユーザ(150)のアイデンティティサービスにアクセスするためにSP間で確立される。
【0018】
図2に示す信号フローを使用して、ユーザの特定のアイデンティティサービスに対するROをどのようにDSサーバに格納するか、及び、そのROにどのようにして更にアクセスするかを説明する。第1のステップ(フロー201)において、ユーザ(150)は、特定のSP(130)にアクセスし、そのSPにより供給される特定のサービスに加入することを決定する。例えば、SP130(例えば、取引銀行)は、ウェブを介して安全な支払いサービスを提供する。あるいは、例えばSP130は、パーソナルコンピュータ又は移動電話からウェブブラウザアプリケーションを介してユーザによりチェックされ且つ他のサービスを(又は他のサービスの結果)提供するためにチェックされる(又は更新される)カレンダサービスを提供する。特定のサービスへの加入を要求するためのユーザのSPへのアクセスは、ユーザに周知の登録URL(ユニフォームリソースロケータ)又はウェブページ上でSPにより指示される登録URLにHTTPメッセージ(通常、HTTP「Get」)を送信することにより開始してもよい。図示される次のステップ(フロー202)において、SP130は、前記SP130における前記ユーザの前記アイデンティティサービスにアクセスするための対応するROを含むDSサーバ100に、「ディスカバリサービス更新」DS更新を送信する。前記ROを使用することにより、別のSP(110)は、例えば、前記ユーザにより入手される商品に対する支払いアサーションを取得でき、あるいはユーザのカレンダデータをチェック又は更新できる。
【0019】
受信したDS更新の結果、DSサーバは受信ROを格納する(203)。図1に概略的に示すように、DSサーバはデータ記憶領域(103‐1)を有し、ディスカバリサービスを供給するユーザ(USR‐1,USR‐2,...,USR‐n)毎に、又は、前記ユーザの各々に対して登録されたアイデンティティサービス毎に、複数のRO(RO1A、RO1B、RO2A、ROnB)を格納する。
【0020】
その後、ユーザ150はSP110にアクセスする(フロー204)。SP110は、例えば、ウェブを介して支払いを受け付けるフライト予約サービスを供給し、追加機能として、ユーザのカレンダのチェック及び更新(例えば、飛行時間を「利用不可能」としてマークするユーザの利用可能性の確認、チケットを入手するためのタスクの設定等)との少なくともいずれかを更に提供する。ユーザ(150)がIDP(90)の介入により先に認証されていると仮定すると(信号フローは図2には示さない)、SP110は、DSと接続するのに使用可能な参照情報(上述のように、RO、RO‐DS)をIDPから取得する。例えば、ユーザのカレンダをチェック又は更新するために、あるいは予約したフライトに対する支払いアサーションを取得するために、SP110は、「ディスカバリサービスクエリ」DSクエリをDSサーバ(100)に送信する(フロー205)。DSクエリ(205)は、DSサーバにアクセスするために取得されたRO(RO‐DS)のリソース識別子(Resource ID)を含む。このリソース識別子により、DSサーバは、関連する特定のユーザ(150)を識別できる。また、DSクエリ(205)は、要求したアイデンティティサービスの識別子(例えば、「カレンダ」サービスを識別するために設定されたService Type識別子)を更に含むことができる。
【0021】
受信したDSクエリが特定のアイデンティティサービスの識別子(Service Type)を含む場合、DSサーバ(100)は、前記サービス及び前記ユーザに対して登録されたROが存在するかをチェックする。DSクエリがアイデンティティサービスの種類の識別子なしで受信される場合、DSサーバは、参照されたユーザに対して格納された全てのROを含む「ディスカバリサービス応答」DS応答(フロー206)を返す。例えば(図1の記憶領域103‐1の内容を参照して)、DSサーバは、USR‐1の場合はRO1A及びRO1B、又はUSR‐2の場合はRO2Aを含むDS応答を返す。あるいは、受信したDSクエリが特定のアイデンティティサービスの識別子を含む場合、DSサーバは、指示されたアイデンティティサービス(例えば、RO1B)に対応するROのみを返す。DS応答(フロー206)を取得すると、SP110は、アイデンティティサービスにより考慮されるリソースを提供するSP(130)と通信することにより(フロー207、208)、取得したROのデータを使用してアイデンティティサービスを呼び出せる(それにより、例えば、ユーザカレンダにアクセスし又はそれを更新したり、支払いアサーション、ユーザプロファイルデータ等を取得する)。
【発明の開示】
【発明が解決しようとする課題】
【0022】
しかし、DSクエリにおいて指示されるアイデンティティサービスが前記ユーザの未登録アイデンティティサービスである場合(すなわち、そのアイデンティティサービスに対するROがDSサーバ100に格納されていない場合)、あるいはDSサーバにおいて前記ユーザに対して登録されたアイデンティティサービスが全く存在しない場合、後続するDS応答(206)は空で送信される。SP110がユーザ150に提供する予定であるサービスの特性によっては、その事象は、前記サービスが最終的に拒否される原因となる可能性があり、あるいは、最小限の影響として、提供された最終的なサービスの品質の低下の原因となる可能性がある。例えば、これは、アイデンティティサービスが登録されていた場合にそのアイデンティティサービスを介して自動的に取得されたであろう必要なデータの一部を、SP110に対してユーザが手動で提示することを要求する。
【0023】
ユーザは、そのアイデンティティサービスを提供できるSPと接続することにより上述の問題を克服し、この時点まで未登録であるアイデンティティサービスをユーザ自身に対して登録できる。しかし、ユーザは、前記アイデンティティサービスを提供できるSPを最終的に見つけ出すまでに、いくつかのSPと接続しなければならない可能性がある。SPを見つけると、ユーザはそのサービスに加入できる。従って、上述のフロー201及び202が実行され、前記ユーザに対して前記アイデンティティサービスをDSサーバに登録する。その後、例えば、ユーザが放置されたサービスに対するアクセス権をまだ獲得したい場合、ユーザは再び処理を開始し、前記アイデンティティサービスを発見できなかったSP(110)と再び接続できる。
【0024】
しかし、その方法により、ユーザが後で必要とする可能性のあるユーザの未登録アイデンティティサービスとして残っている他のアイデンティティサービスに対して、上述の状況と同一の状況が繰り返されることを防止することはできない。更に、新しいサービスは、SPにより迅速に開発及び実現され、それは、新しいアイデンティティサービスの提供及び要求を最終的に含む。しかし、アイデンティティサービスの登録に対する最新の機構(フロー201及び202を参照して説明した)は、前記新しいサービスの迅速な展開を妨げる。これは、ユーザの所望のアイデンティティサービスをDSサーバに登録する(202)前記SPを実現するように、ユーザが継続して適切なSPを見つけ、かつ、それらSPに接続する(201)必要があるからである。
【課題を解決するための手段】
【0025】
本発明は、ユーザの未登録アイデンティティサービスに対する登録処理をディスカバリサービスサーバからトリガすることにより上記問題を解決する。これは、請求項1記載の方法、請求項16記載のディスカバリサービスサーバ、又は、請求項33記載のコンピュータプログラムにより達成される。本発明の実施形態については、添付の請求の範囲で説明する。
【0026】
ユーザのアイデンティティサービスを登録し、前記登録したアイデンティティサービスに対するアクセス権を提供するために、ディスカバリサービスを提供する周知の機能に加え、本発明による方法、ディスカバリサービスサーバ及びコンピュータプログラムは、それぞれ、ユーザに対してまだ登録されていないアイデンティティサービスを提供するサービスプロバイダをディスカバリサービスサーバから選択するステップ、手段、及び、コンピュータ可読プログラムコードと、前記選択されたサービスプロバイダにより提供された時に前記ユーザの前記アイデンティティサービスを登録するためにリソースオファリングを前記ディスカバリサービスサーバに格納するステップ、手段、及び、コンピュータ可読プログラムコードとを含む。
【0027】
ユーザの未登録アイデンティティサービスを登録する登録処理をディスカバリサービスサーバからトリガすることにより、前記ユーザは、利益を得るアイデンティティサービスの正確な知識を有する必要もなく前記アイデンティティサービスを提供するサービスプロバイダを自身で見つける必要性もない。ディスカバリサービスサーバが特定のユーザに対して登録されたアイデンティティサービスを認識しているため、ディスカバリサービスサーバは、前記ユーザに対してまだ登録されていないアイデンティティサービスの登録を開始し、それにより、前記サービスが最初に要求される前、又は、要求された時に前記アイデンティティサービスへのアクセスが可能になる。更に、ディスカバリサービスサーバにおけるユーザの登録アイデンティティサービスに関する知識により、サービスプロバイダに関するユーザの基本設定と、サービスプロバイダのサービス機能との少なくともいずれかに基づいてサービスプロバイダを選択することが可能になる。その基本設定とサービス機能との少なくともいずれかは、ディスカバリサービスサーバにおいて、先に登録されたアイデンティティサービスのリソースオファリングの内容から取得される。
【0028】
本発明は、サービスプロバイダの選択と、ユーザの未登録アイデンティティサービスを登録するための対応するリソースオファリングの作成とを行なうディスカバリサービスサーバにおいて、有利に実現される種々の実施形態を提供する。しかし、最低限の実現例において、ディスカバリサービスサーバは、適切な候補サービスプロバイダを直接選択し、関連データを使用して対応するリソースオファリングを形成する。
【0029】
一実施形態によると、ディスカバリサービスサーバは、サービス機能記憶領域をチェックし、前記アイデンティティサービスを提供できるサービスプロバイダを選択できる。サービス機能記憶領域は、特に、1つ以上のアイデンティティサービスの識別子と1つ以上のサービスプロバイダの識別子とを関連付けて有することができる。それにより、特定のサービスプロバイダにより提供されるアイデンティティサービスと、特定のアイデンティティサービスを提供できるサービスプロバイダとの少なくともいずれかをチェックできる。従って、特定のアイデンティティを提供するサービスプロバイダを選択することが可能になる。
【0030】
別の実現例において、サービス機能記憶領域は、外部データベース等の外部エンティティに格納される。この場合、ディスカバリサービスサーバは、サービスプロバイダを選択するために、記憶領域をクエリして、サービスプロバイダ/アイデンティティサービスの関係に関する情報を取得する。あるいはそれに加えて、サービス機能記憶領域はディスカバリサービスサーバ内に格納され、それにより、内部チェック処理が可能になり、外部エンティティにクエリを送信することを回避する。
【0031】
サービス機能記憶領域は、ディスカバリサービスサーバに格納されるか、或いは、外部エンティティに格納されるかに関わらず、サービスプロバイダがそれぞれ提供できるアイデンティティサービスに関する情報を含むサービスプロバイダから受信される機能登録を使用して動的に更新されるのが好ましい。しかし、サービス機能記憶領域は、情報を要求及び更新するために複数の周知のサービスプロバイダをクエリすることにより周期的に更新されてもよい。単純なアクセスポリシーは、機能登録を送信することを許可されたサービスプロバイダ、又は、同一の目的でディスカバリサービスサーバからクエリされることを許可されたサービスプロバイダを判定するために確立される。それにより、ユーザに対するアイデンティティサービスを提供するアイデンティティサービスプロバイダをディスカバリサービスサーバにおいて選択する時、要求に応じて、いくつかの信用サービスプロバイダのみを選択可能な候補とすることができる。
【0032】
本発明は、異なる状況において、特定のアイデンティティサービスが1つ以上のユーザの未登録アイデンティティサービスであるかを評価するための種々の実施形態、又は特定のユーザがまだ登録されていないアイデンティティサービスを1つ以上有するかを評価するための種々の実施形態を提供する。それらの実施形態において、提供されるアイデンティティサービスは、ユーザの登録アイデンティティサービスに対してディスカバリサービスサーバに格納されたリソースオファリングの内容と比較してチェックされる。
【0033】
一実施形態において、上記チェックは、対応するアイデンティティサービスにアクセスするために、ユーザの1つ以上のリソースオファリングを要求するディスカバリサービスクエリを前記ディスカバリサービスサーバにおいて受信した際に実行される。別の実施形態において、ディスカバリサービスサーバは、サービスプロバイダから機能登録を受信した際に前記チェックを行なうことができる。更に別の実施形態において、1つ以上のユーザに対する未登録アイデンティティサービスを見つけるためのチェックは、上記サービス機能記憶領域の周期的なチェックの際に実行される。更に別の実施形態において、ユーザの未登録アイデンティティサービスを判定するためのチェックは、前記ユーザからの通信をディスカバリサービスサーバにおいて受信した際に行なわれる。
【0034】
別の実施形態によると、ディスカバリサービスサーバは、特定のユーザに対する未登録アイデンティティサービスを検出した際に、前記ユーザとの通信の確立を要求する。
【0035】
更に別の実施形態によると、ユーザはディスカバリサービスサーバと通信できる。それにより、ディスカバリサービスサーバは、ユーザからサービスプロバイダ基本設定を収集することと、選択したサービスプロバイダからアイデンティティサービスを提供するのに使用可能なサービス関連データを収集することの少なくともいずれかが可能になる。前記通信は、上述のように、ディスカバリサービスサーバから先に行なわれた通信要求の結果であってもよく、あるいはユーザから受信した自発通信であってもよい。前記ユーザに対して未登録の特定のアイデンティティサービスの場合、ディスカバリサービスサーバは、ユーザにより指示されたサービスプロバイダ基本設定に従って前記アイデンティティサービスを提供するサービスプロバイダを選択でき、該当する場合は、そのサービスプロバイダに受信したサービス関連データの一部又は全てを転送できる。従って、当該サービスに対して、選択されたサービスプロバイダはそれらデータをユーザから後で収集する必要はない。
【0036】
本発明の別の実施形態は、ディスカバリサービスサーバにおいて未登録アイデンティティサービスに対するリソースオファリングを提供するために、選択されたサービスプロバイダの介入が必要とされる状況に関する。特に、これは、ディスカバリサービスサーバが対応するリソースオファリングを形成するのに必要とされる全て又は任意のデータを有さず、それらデータの一部又は全てが生成され且つ選択されたサービスプロバイダから後で受信される場合でもよい。あるいは、選択されたサービスプロバイダがサービス関連データをユーザから収集すること又はサービス提供に対するユーザの同意を要求することと、アクセスポリシーを確立することとの少なくともいずれかを必要とする場合でもよい。これらの場合において、ディスカバリサービスサーバは、ユーザに対するアイデンティティサービスの提供の要求を選択されたサービスプロバイダに送信する。ここで、前記提供の要求は、オプションとして、前記ユーザに対する前記サービスの提供を、ユーザ独自のものにすることと、ユーザに適応させることとの少なくともいずれかのために、サービス関連データを更に含む。サービス関連データは、ディスカバリサービスサーバにより収集されてもよい。前記提供の要求の結果、選択されたサービスプロバイダは、対応するアイデンティティサービスをディスカバリサービスサーバに登録するためのリソースオファリングを含むディスカバリサービス更新を前記ディスカバリサービスサーバに送信できる。
【0037】
一実施形態によると、ディスカバリサービスサーバは、選択されたサービスプロバイダに提供の要求を直接送信する。ユーザがディスカバリサービスサーバと通信状態にある時に適用可能である別の実施形態によると、ディスカバリサービスサーバは、選択されたサービスプロバイダに対する前記通信のリダイレクションの内部に埋め込まれた提供の要求を送信する。更に別の実施形態によると、ディスカバリサービスサーバがユーザのまだ登録されていないアイデンティティサービスにアクセスするために、前記ユーザのリソースオファリングを要求するディスカバリサービスクエリを受信した時、提供の要求は、前記ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答内で搬送される。
【発明を実施するための最良の形態】
【0038】
次に、本発明のいくつかの好適な実施形態について、図3〜図9を参照して詳細に説明する。
【0039】
図3は、相互接続ネットワーク(300)を介して相互接続される複数のSP(110、120、130、140)及びDSサーバ(100)を示し、その結果、複数のサブネットワークを形成できる。相互接続ネットワークにより、ユーザ(150)は、1つ以上のSP、並びにDSサーバ(100)又はIDP(図3には示さない)と通信できる。図3に示すエンティティ間の通信(そのうちのいくつかは、図5のフローチャート及び図9の信号フローに表される)は、ウェブサービスを提供するために今日利用される周知のプロトコル(「ハイパーテキスト転送プロトコル」HTTP等)を使用することにより達成され、情報、要求及び応答を通信ネットワークを介して交換する時にエンベロープ及びデータ符号化として使用される別のプロトコル(「シンプル・オブジェクト・アクセス・プロトコル」SOAP等)を組み込むことができる。
【0040】
DSサーバ(100)の一般的な内部構造を図3に示す。通信システムにより又は通信システムを介して提供されるサービスを供給する装置又はそれらサービス間を仲介する装置が、特定の構成の詳細に関わらず、1つ以上の機能モジュールで構成されることは周知である。各機能モジュールは、前記装置により実現される全体の機能の特定のサブ機能を実行するように構成され、最終的には前記装置における他の機能モジュールと協働するように構成される。特に、現代の通信システムにおけるサーバエンティティは、一般に、ソフトウェア及びハードウェアを含むコンピュータを使用する装置である。ここで、1つの前記装置における特定の機能モジュールは、ソフトウェア、ハードウェア又はそれらの組合せの一部を含むことができる。前記一部は、特定の(サブ)機能を実行し、更に継続する場合は、他の機能モジュールを実現するソフトウェア部分とハードウェア部分との少なくともいずれかと協働するように設計される。通信システムに対するサーバ装置の機能が規定されると、前記装置を実現するために機能モジュールを構成することは、当業者にとっての日常業務に該当する。従って、DSサーバ(100)の一般的な内部構造について、その構成に関する具体的な詳細には触れずに、基本的な機能モジュールを参照して説明する。
【0041】
図3に示すDSサーバ(100)の簡略化された内部構造は、処理モジュール(101)、通信モジュール(102)、データ記憶モジュール(103)及び1つ以上の内部通信バス(104)を含む。内部通信バス(104)は、それらモジュール間のデータ通信及び協働を可能にする。処理モジュール(101)は、例えば、負荷分割モード又はアクティブバックアップモードで動作する1つ以上のプロセッサ(1010)を含むことができる。処理モジュール(101)は、従来技術から周知であり、後述する機能性により拡張されるディスカバリサービスを提供するために、サービスロジックを実行して、DSサーバ(100)と他のエンティティ(110、120、130、140、150、301)との間で交換される信号を処理するとともに、DSサーバにおける他の機能モジュール(102、103)を制御する。
【0042】
外部通信は、1つ以上の通信装置(1021、1022)を含むことができる通信モジュール(102)を介して実行される。例えば、各々が特定の種類の通信(例えば、SPのみとの通信、特定の種類の通信プロトコルに対してのみの通信等)を行なう1つ以上の通信装置(1021、1022)が存在する。また、1つ以上の通信装置(1021、1022)は、任意の種類の通信において使用されるのに適切であり、この場合の通信装置の数は、DSサーバに対して推定される全体の外部信号と比較し、外部信号を処理する個々の容量によって異なる。
【0043】
1つ以上のデータ記憶装置(1030)を含むことができるデータ記憶モジュール(103)は、動作するのに必要なデータを格納するためにDSサーバにおいて使用される。データ記憶装置(例えば、メモリチップ、磁気ディスク、光ディスク等)は、最新技術において周知であり、それにより、DSサーバ(100)のデータ記憶モジュール(103)は、同一の又は異なる種類の1つ以上の記憶装置を(例えば、要求されるデータアクセス速度、格納された特定のデータに対する所望の信頼性等の基準に基づいて)使用することが可能になる。2つのデータ記憶領域(103‐1、103‐2)は、図3において強調される。尚、それら2つの記憶領域は論理的に独立しているため、それら記憶領域が必ずしもそれぞれ個別の記憶装置に含まれる必要はない。例えば、データ記憶モジュール(103)のアドレス指定可能な総記憶領域は、周知のアドレシング技術を使用してデータ記憶の詳細を隠蔽することを可能にする2つ以上の記憶装置(1030)のアドレス指定可能な個別の記憶領域を含むことができる。ここで、異なる記憶領域(例えば、103‐1、103‐2)は、アドレス指定可能な異なる領域を割り当てることにより、規定されるとともに区別される。
【0044】
第1のデータ記憶領域(103‐1)は、複数のリソースオファリングRO(RO1A、RO1B、RO2A、ROnB)を格納する。上述のように、ROは、ユーザについて既に登録されているアイデンティティサービス毎にDSサーバに格納され、前記ユーザの前記アイデンティティサービスを提供するSPにアクセスして前記アイデンティティサービスを要求するのに使用できる。例えば、「RO2A」で示されるROは、アイデンティティサービス「A」に対するユーザ「USR‐2」のROを例示する。例示の目的で使用される表記以外に、RO「RO2A」は、アイデンティティサービスの種類(「A」)を他のアイデンティティサービスと区別するためのサービスの種類の識別子(上記LAP DS仕様書においてService Typeと呼ばれる)と、前記ユーザに対するアイデンティティサービス「A」を提供するSPを識別する識別子(上記LAP DS仕様書においてProvider IDと呼ばれる)と、前記SPにおける前記ユーザに対応するアイデンティティサービスのサービスインスタンスを区別するためのサービスインスタンス識別子(上記LAP DS仕様書においてResource IDと呼ばれる)とを含んでもよい。
【0045】
第2のデータ記憶領域(103‐2)は、本発明に従って提供され、複数のSPから提供されるアイデンティティサービスに関するサービス機能情報を格納する。この第2の記憶領域(103‐2)は、1つ以上のアイデンティティサービスの識別子(IDSRV‐A,IDSRV‐B,...,IDSRV‐X)とそれらアイデンティティサービスを提供する1つ以上のSPの識別子(SP‐120,SP‐130,...,SP‐140)とを関連付けて含むことができる。あるいは、サービス機能記憶領域は、上述の内容と本質的には同一の内容を有して外部データベース(301)上に保持されてもよい。サービス機能情報を内部又は外部に記憶するいずれの場合においても、アイデンティティサービスの識別子を使用するサービス機能記憶領域(103‐2、301)に対するチェックにより、前記サービスを提供できる1つ以上のSPに関する情報が提供され、SPの識別子を使用するチェックにより、前記SPが提供する1つ以上のアイデンティティサービスの識別子が提供される。
【0046】
従って、サービス機能記憶領域(103‐2、301)をチェックすることにより、特定のSPにより提供されるアイデンティティサービスに関する情報又は特定のアイデンティティサービスを提供できるSPに関する情報が提供されることが可能である。
【0047】
SPが提供できるアイデンティティサービスに対して影響を与えるSPにおける変更が起こる可能性がある。最も一般的な例は、特定のSPが、以前は提供していなかった新しいアイデンティティサービスを提供するために、新しいサービスロジックが提供されることである。しかし、例えば、SPが特定の日付から特定のアイデンティティサービスの提供を停止する場合、あるいは新しいSPがアイデンティティ連携フレームワークにおける残りのエンティティと協働するように設定されるとともに、1つ以上のアイデンティティサービスを提供できる場合もある。従って、サービス機能記憶領域(103‐2、301)は、SPとSPが提供できるアイデンティティサービスとの関係に関する変更を動的に報告及び更新を行なう中心的な場所となる。前記動的な更新を実行する代わりに、SPは、DSサーバ(機能記憶領域130‐2が使用される場合)又は外部データベース(301)に「機能登録」メッセージを送信する。「機能登録」メッセージは、例えば、SPが関連付けるSPの識別子と、1つ以上のアイデンティティサービスの識別子と、指示されたアイデンティティサービスに対しては提供又は停止するかを示すコードとを含むことができる。尚、簡単のために、1つのDSサーバのみが例において示される。しかし、2つ以上のサーバエンティティがアイデンティティ連携フレームワークにおいて存在してもよい(例えば、各サーバエンティティは、前記連携のユーザの集合にディスカバリサービスDSを提供する)。これらの例において、提供するアイデンティティサービスに関する変更が行なわれるSPは、2つ以上のDSサーバに機能更新を送信してもよい。
【0048】
機能登録メッセージは、後で使用するためにサービス機能記憶領域(103‐2、301)にも格納される更なるデータ(図3において詳細は示さない)を含んでもよい。例えば、提供され得る所与のアイデンティティサービスについて、SPは、データをリスト表示する形式や、サービスの提供に必要なデータ(例えば、言語基本設定、個人の住所、好適なメールアドレス等のサービス関連データ)の収集を、サービスを受けるユーザからDSサーバに委託するか否かを指示してもよい。機能登録メッセージは、アイデンティティサービスを登録するためのエントリポイントを含んでもよい。このとき、そのエントリポイントは、例えばユニフォーム・リソース・ロケータURLでもよく、そのURLは、ユーザ(150)がSP(130)のサービスへの加入をローカルで要求した際(図2のフロー201で示される)に使用したURLと同一でも異なってもよい。更に、機能登録メッセージは、SPから指示された登録基本設定を含むことができ、それは、アイデンティティサービスの登録を完了するために、例えば、前記SPがDSサーバとの直接通信又は他の通信方法を受け入れる(又は、より好ましいと考える)かを指示してもよい。また、メッセージは、1つのユーザ又はユーザの集合に対してROを形成するのに必要なデータの一部又は全てを含んでもよい。
【0049】
あるいは、DSサーバ(100)は、周知の複数のSPを周期的にクエリして、機能登録メッセージに対して上記指示されたデータと同一の種類のデータをそれらSPから要求し、その後、サービス機能記憶領域(103‐2)の内容を更新する。
【0050】
必ずしもSPとの通信(上記機能登録又は機能クエリ)を要求する必要がないDSサーバ(100)においてサービス機能記憶領域(103‐2)を形成する簡単な実施形態は、DSサーバに既に格納される複数のRO(RO1A、RO1B、RO2A、ROnB)に既に格納されるアイデンティティサービス及びSPに関するデータの収集を含んでもよい。すなわち、対応するアイデンティティサービスの識別子(例えば、Service Type)と共に各ROに格納されるSPの識別子(例えば、Provider ID)を収集することは、DSサーバ上に保持されるサービス機能記憶領域(103‐2)を形成することであると考えられ、あるいは、高い探索性能が要求される場合は、前記DSサーバに論理的に分離されたデータベース(103‐2)を構築するのに使用される。従って、この簡単な実施形態において、DSサーバに保持されるサービス機能記憶領域(103‐2)は、SPから受信されるDS更新メッセージで更新される(例えば、図2のフロー202で示される)。例えば、機能記憶領域103‐2は、DS更新202で指示されるアイデンティティサービスを提供する際にSP130が現れなかった場合に更新される。
【0051】
図4〜図7に示されるフローチャートは、本発明によるDSサーバ(100)の動作方法(40)を示すために使用される。この時、図4の簡略化されたフローチャートは基本的なステップ(41、42、43)を示し、それらステップは図5、図6及び図7において更に詳細に示される。
【0052】
ステップ41において、ユーザの未登録アイデンティティサービスを判定するために、提供されるアイデンティティサービスはユーザ毎のROの内容と比較してチェックされ、アイデンティティサービスはDSサーバに格納される。ステップ42において、SPが、未登録アイデンティティサービスを提供するために選択される。ここで、この包括的なステップは、上述のように、サービス機能記憶領域(103‐2、301)のチェック(42‐Q、42‐R)を含んでもよい。最後に、ステップ43において、この時点までにユーザに対して未登録のアイデンティティサービスは、そのサービスに対して対応するROを格納することにより、DSサーバ(100)に登録される。これにより、前記DSサーバから前記アイデンティティサービスへのアクセスが可能になる。
【0053】
図5は、ユーザの未登録アイデンティティサービスの存在に関する初期評価をDSサーバ(100)によって行ない、且つ必要に応じてサービスにアクセスできるように、サービスの登録を可能にする更なる動作を行なういくつかのステップを示す。図5のステップ411及び413を参照して説明されるように、この初期評価は、機能登録(CAP‐UPD)がSPから受信された時又はサービス機能記憶領域(103‐2、301)の周期的なチェックの際に行なわれる。別の方法も可能であり、それら別の方法において、いくつかのユーザのROに対するチェックは、例えば、各ユーザ又はユーザのグループに関連付けられる特定のサービスの種類のパラメータ、あるいはアイデンティティサービス毎に関連付けられる同様のパラメータに依存して、その時点で実行されてもよく、又は、後で実行するように遅延されてもよく、あるいは実行されなくてもよい。例えば、特定のユーザは、DSサーバにおいて登録処理のトリガが初期段階で(例えば、アイデンティティサービスがDSクエリで明示的に要求される前に)実行されるか、或いは後で実行されるかを提示する本発明によるアイデンティティサービスのアクセス権を自動的に提供するために、サービスの種類に関連付けられてもよい。同様に、DSサーバへの登録のトリガは先の段階で実行されるのが好ましいか否かを提示する特定のアイデンティティサービスと関連するパラメータ(これは、機能登録の追加データとして受信され、サービス機能記憶領域に格納される)が存在してもよい。
【0054】
従って、サービス機能更新の受信(411)後又はサービス機能記憶領域の周期的なチェック(413)後に実行される未登録アイデンティティサービスを判定するための評価は、1つ以上のアイデンティティサービス及び1つ以上のユーザに対して実行される。しかし、その評価は、いくつかの他のサービス又はユーザに対しては、後で(例えば、DSクエリを受信した際、又はDSサーバにおいてユーザ通信を受信した際に)実行されてもよい。
【0055】
ステップ411において、機能登録メッセージ(CAP‐UPD)は、DSサーバ(100)においてSPから受信される。次に、ステップ412において、サービス機能記憶領域(103‐2)の内容は、受信メッセージの内容で更新される。別の実現例は、ステップ414への遷移により示されるように、この時点で未登録のアイデンティティサービスに対するチェックを行なうことを含む。例えば、機能登録メッセージがSP140から受信され、新しいアイデンティティサービス(例えば、IDSRV‐X)を提供できることを報告すると仮定する。ステップ414は、そのアイデンティティサービスが1つ以上のユーザに対して既に登録されているか否かを判定するために、DSにおいて前記1つ以上のユーザのROをチェックすることを含む。これは、そのアイデンティティサービスのサービスの種類の識別子がROに含まれるかを1つ以上のROにおいてチェックすることにより達成されてもよい。同様に、機能登録メッセージ(411、CAP‐UPD)は、SP130から受信され、例えば、それまでにSP130が提供していたアイデンティティサービス(例えば、IDSRV‐A)の停止を報告してもよい。この場合、ステップ414のチェックにより、影響を受けるRO(例えば、RO2A)が与えられ、それにより、ユーザに対して先に登録されているアイデンティティサービス(例えば、USR‐2に対するIDSRV‐A)をこの時から未登録とすることができる。
【0056】
あるいは又はそれに加えて(上述のように、特定の処理動作が行なわれるいくつかのユーザ又はアイデンティティサービスが存在する場合)、未登録アイデンティティサービスを判定するためのチェックは、ステップ413により示されるように、サービス機能記憶領域(103‐2、301)の周期的なチェックが実行されるまで遅延される。ユーザの未登録アイデンティティサービスを判定する目的で行なわれるサービス機能記憶領域の周期的なチェックは、トラフィック及びサービス需要が低いと考えられる特定の時間に後続の提供処理を実行させることができるため有利である。ステップ413の後続するチェックを実行する周期は、例えば、毎日特定の時間にチェックを実行するようにセットアップされてもよく、あるいは、例えば、DSサーバで測定された最近の信号トラフィックに依存して動的にセットアップされてもよい。いずれの場合においても、サービス機能記憶領域(103‐2、301)の周期的なチェックにより、特定のSPが新しいサービスを提供することを報告する時期、又は、SPが古いサービスの提供を停止することを報告する時期に依存しないDSサーバに未登録アイデンティティサービスを登録するための登録処理の非同期トリガが可能になる。更に、前記周期的なチェックにより、複数のユーザの未登録アイデンティティサービスに対するバッチ処理を容易にしてもよい。
【0057】
あるユーザに対して登録されていないアイデンティティサービスを評価するためのチェックは、サブフロー「A」、「B」及び「C」で示されるように更に遅延されてもよい。例えば、DSサーバ(100)は、DSクエリの受信を待つか(ステップ418により示される)、あるいは当該ユーザからの通信を待つ(ステップ417により示される)ことができる。そのDSクエリ、又は、通信は、未登録アイデンティティサービスの登録を開始することに対するユーザの同意をDSサーバから取得するために使用されるか、あるいは前記登録を実行するのに使用されるユーザデータ及び基本設定を収集するために使用される。
【0058】
ステップ414のチェックが実行され、アイデンティティサービス(例えば、IDSRV‐X)が特定のユーザ(例えば、USR‐2)の未登録アイデンティティサービスとしてステップ415において見つけられると仮定すると、上記処理の代わりとなる次に説明する種々の処理が存在する。
【0059】
ステップ416において、当該ユーザに対する通信を確立するための要求を送信させる処理が選択される。例えば、未登録アイデンティティサービスの登録を開始することに対するユーザの同意をDSサーバから取得するために、或いは、前記登録に対してユーザデータ基本設定、同意等を収集するために、サービス登録を開始する前にユーザと対話する目的で要求が送信される。前記要求は、異なるベアラを介して送信されてもよく、DSサーバは、前記要求に対処するために、ユーザについて認識する識別子を使用でき、又は別のサーバエンティティから(例えば、IDPから)識別子を取得できる。例えば、要求は、ユーザの移動電話番号に送信されるショートメッセージ(SMS)で搬送されるか、あるいはユーザのメールURLに送信される電子メールで搬送される。要求は、DSサーバのサービスポイントにマップするURLを含んでもよく、あるいは(例えば、ユーザがDSサーバへのアクセス方法を知っている場合)ユーザがまだ加入していない新しいアイデンティティサービスが利用可能であることをユーザに警告するテキストを搬送してもよい。
【0060】
あるいは、先に示したように、DSサーバは、DSクエリの受信を待つことができ(ステップ418)、あるいは当該ユーザからの通信を待つことができる(ステップ417)。ここで、ユーザからの前記通信は、DSサーバから送信される先の通信要求の結果として受信されてもよく(ステップ416)、あるいはDSサーバにおいてユーザから受信される自発通信でもよい。後者の例は、例えば、ユーザがユーザの登録アイデンティティサービスに関連するアクセスポリシーをセットアップするためにDSサーバと通信する(例えば、DSサーバが提供するウェブページを介して)際に起こる可能性がある。
【0061】
図5のステップ42及び43(図4の簡略化されたフローにおいて示されるステップ42及び43に対応する)は、簡単な実施形態に従って、ステップ414及び415において検出される未登録アイデンティティサービスを提供するSPを選択すること及びユーザに対して登録するためにDSサーバ(100)において対応するROを提供することをそれぞれ表す。本実施形態は、ユーザの介入及び選択されたSPとの通信を要求しない。また、本実施形態は、前記SPにより前記ユーザに対して提供される際に前記アイデンティティサービスに対するROを直接形成するために、DSサーバがユーザ及びSPデータに対するアクセス権を有してもよいという状況に適する。例えば、前記データの一部は、機能登録メッセージにおいてSPから受信され、他のデータは、同一のSPにおける同一のユーザに対する別のアイデンティティサービスの登録に関連付けられて再利用されてもよい。この場合(しかし、それに限定されない)、ステップ42において、当該ユーザが既に周知である(例えば、ユーザがSPに対するサービスアカウントを既に有するか、あるいはSPが前記ユーザに対して別のアイデンティティサービスを既に供給している)SPが選択されるのが好ましい。
【0062】
更に別の処理方法(図5には示さない)は、ステップ414及び415の判定後に選択されてもよい。その方法は、DSサーバと選択されたSPとの間の通信を含むが、ユーザの介入を要求せず、またDSサーバが未登録アイデンティティサービスに対応するROを要求するDSクエリの受信を待つ必要がない。この方法を達成する処理ステップについては、図6に示すステップを参照して後述する。
【0063】
図6に示されるフローは、ユーザからの通信が受信された時にDSサーバ(100)により実行されるいくつかの処理ステップを示す。先のサブフロー「A」及び「B」により示されるように、ユーザからの通信は、DSサーバ(416)からユーザに先に送信される要求の結果であってもよく、あるいはDSサーバにおいてユーザから受信される自発通信であってもよい。
【0064】
ステップ420において、ユーザの通信(例えばHTTP「Get」メッセージ)は、DSサーバ(100)において受信される。次に、ステップ421において、ユーザの登録アイデンティティサービスに対するユーザのために格納されたROについてのチェックは、ユーザに提供され、かつ、まだ登録されていない1つ以上のアイデンティティサービスに対して実行される。未登録アイデンティティサービスがそのユーザに対して発見された場合(ステップ422)、ステップ423において、SPが選択されてもよい。上述のように、サービス機能記憶領域(103‐2、301)のチェックは、未登録アイデンティティサービスの判定及び後続のSPの選択の際に評価するために使用されてもよい。
【0065】
単純な実現例は、DSサーバ(100)における後続する対応するROの提供及び格納(ステップ43)で構成される。これは、図5のステップ42及び43を参照して上述したように達成される。
【0066】
SPを選択するためのステップ423において実行されるサービス機能記憶領域(103‐2、301)に対するチェックの結果、2つ以上のSPが当該アイデンティティサービスを提供するために発見されてもよい。この場合の適切な解決策は、ユーザが既にサービスアカウントを有する1つのSPを選択することを含んでもよい。例えば、ステップ423において発見されたSPのうちの1つと一致するSPを見つけるために、DSサーバにおいて、検索がユーザのために格納された他のROに対して実行される。2つ以上のSPがその条件を満たし、実現例のオプションとして、DSサーバはそれらSPのうち任意のSPを直接選択できる。ステップ423において、当該アイデンティティサービスを供給するのに適切なSPとして見つけられたSPがユーザからのある特定のサービス専用関連データ(例えば、言語基本設定、個人の住所、クレジットアカウント番号等)の収集をDSによって行なうことを提示した(例えば、そのサービスに対する機能登録の際)ことが発見される。更に、未登録アイデンティティサービスの登録をトリガする前に明確なユーザの同意を取得することが要求される場合がある。
【0067】
従って、そのような場合(選択可能なSPが複数存在する場合、ユーザの同意が必要とされる場合、サービスデータ収集が指示される場合)、複数のSPの中から1つのSPを選択するようにユーザに指示し、それらサービス関連データの一部又は全てを入力するようにユーザに指示することが望ましい。ステップ424において、通信はその目的でユーザに送信され、ステップ425において、ユーザからの通信はその結果として受信され、それは、サービスプロバイダ基本設定(SP‐PREF)とサービス関連データ(SRV‐DAT)との少なくともいずれかを含むことができる。また、ユーザに送信される通信要求(416、424)において(又は、前記ユーザに対して確立された通信において)、DSサーバは、前記プロバイダ基本設定(SP‐PREF)とサービス関連データ(SRV‐DAT)との少なくともいずれかを入力するように前記ユーザに指示してもよい。サービスプロバイダ基本設定(SP‐PREF)は、異なる形式であってもよく、ユーザの同意であると仮定されてもよい(しかし、その目的に対する特定のアサーションは、ユーザ通信425においても使用できる)。例えば、ユーザが複数のSPのURIを含むリストを受信した場合、サービスプロバイダ基本設定(SP‐PREF)は、それらSPのうち1つのSPのURIを含むことができる。また、ユーザは好適なドメイン(例えば、「xzy.com」)を指示することができ、それにより、DSサーバはそのドメインに属する適切なSPを選択する。更に、ユーザは、選択可能なSPのうち「任意」のSPが選択されてもよいことを指示でき、この場合、DSサーバは任意の更なる基準(例えば、完全ランダム、より負荷の少ないSP等)に従って1つのSPを自由に選択できる。次に、ステップ426において、ユーザが提示した基本設定に従ってSPが選択される。
【0068】
上述のように、選択されたSPが当該ユーザを知っているのが好ましい場合がある。アイデンティティ連携フレームワークにおいて、一般にその知識は、ユーザが前記SPに対して連携サービスアカウントを有することを示し、その結果、それらフレームワークにおいて周知の機構に従って、ユーザに対するユーザ識別子が前記SPと中央供給エンティティ(例えば、既に説明したように、同一のサーバマシン内に共に配置されて使用するIDPサービスを提供するサーバエンティティ又はディスカバリサービスDSを提供するサーバエンティティ)との間で共有されることを示す。プライバシーの理由から、一般に「ユーザ別名」として知られる前記ユーザ識別子は、異なるSP間では同一ユーザに対しても異なる。
【0069】
ステップ427は、選択されたSPにおいてユーザが周知であるか否か(又は、換言すると、例えばユーザがSPを介してアイデンティティを連携したために、SPがユーザを知っているか否か)を考慮するSP選択処理の一部を集約する。ユーザが選択されたSPにより既に知られている場合、前記SPと共有される前記ユーザのユーザ別名は、前記SPとの更なる通信の際に前記ユーザを参照するために選択される。あるいは、ユーザは、選択されたSPにおいて連携される必要があり、これは、例えば、図6の後続するステップを参照して説明される別の方法のうち1つを使用して達成されてもよい。
【0070】
ユーザが選択されたSPに対して周知であるか否かに関わらず、未登録アイデンティティサービスの登録を完了し、次にDSサーバにおいて対応するROを提供するための2つの基本的なモードが存在する。それらモードは、選択されたSPとの通信がROを提供するために必要とされる時、又は、要求される時に常に存在する。
【0071】
ステップ428Aは、選択されたSPにユーザをリダイレクトすることを示す第1のモードを表す。これは、例えば、当該アイデンティティサービスを提供するウェブサービスプロバイダ(WSP)として動作するように選択されたSP(例えば、140)に対して、ユーザ(150)とDSサーバ(100)との間に確立された通信をリダイレクトするHTTP「redirect」により達成されてもよい。ステップ428Bは、DSサーバ(100)と選択されたSP(例えば、140)との間の直接通信の確立(例えば、サーバエンティティ間の通信に対する所謂「バックチャネル」に対して、SOAP等の周知のプロトコル・バインディングを使用する)を示す第2のモードを表す。
【0072】
ステップ428A及び428Bの通信は、実際には、それら通信を受信するSPからアイデンティティサービスを提供するための要求であり、特に、未登録アイデンティティサービスの登録が要求されることを提示する特定のコードと、当該アイデンティティサービスの識別子と、DSサーバにおいて当該ユーザを識別するのに使用可能な識別子(例えば、そのユーザに対するRO‐DS)とを含んでもよい。それら通信は、ユーザから収集されたサービス関連データ(SRV-DAT)を更に含んでもよく、選択されたSPから機能登録メッセージで受信された(411)サービスエントリポイントの識別子を使用すること又は含むことにより対処される。ステップ428Bに対して使用された用語「直接通信」は、間にいくつかのルーティングエンティティを含んでもよいDSサーバと選択されたSPとの間に確立された通信を含み、ステップ428Aのようにリダイレクション要求に埋め込んで提供の要求を送信するような「間接的」な方法とは対照的であることを理解するべきである。
【0073】
ユーザが選択されたSPにおいて周知である場合、そのSPにおけるユーザの共有される(連携される)ユーザ別名は、ステップ428A又は428Bにおいて送信される要求に含まれてもよい。ユーザが選択されたSPにおいて周知でない場合、DSサーバは、ユーザに対してダミーの識別子(あるいは、「デフォルト」として合意された他の指標又はデフォルトとして認識される指標)を含んでもよい。ダミーの識別子は、受信機SPにおいて、前記SPから前記ユーザのアイデンティティを連携する必要があると解釈される。例えば、ユーザが選択されたSPに対してリダイレクトされる場合(428A)、DSサーバは、ユーザに対してダミーの識別子を含んでもよい(又は識別子を含まなくてもよい)。従って、選択されたSPがユーザを識別できないため、SPは、ユーザが既にサービスアカウントをそのSPに対して有するかを調査するために又はそのSPにおいて新しいアカウントを作成するためにユーザと対話してもよい。その後、SPは、ユーザ連携を要求し(例えば、認証要求メッセージをIDPに対して送信する)、IDPは、特にユーザ別名及びそのユーザに対するDSサーバと通信するための情報(すなわち、更なるDSクエリ、又は、DS更新のためのユーザに対するRO‐DS)を返す。あるいは、DSサーバは、ユーザに対して事前に割当てられた別名を作成し、且つ、選択されたSPと関連付けてIDP(90)に格納するために、必要なステップを行なってもよい(図6においては詳細に示さないが、ステップ427において実行されると考えられる)。ここで、前記別名は、対応するRO‐DSと共に提供の要求において送信されてもよい(428A、428B)。いずれの場合においても(ユーザが選択されたSPにおいて周知であるか又は周知でない場合)、選択されたSPはユーザと対話する必要がある(例えば、サービスを最終的に提供するために必要とされる更なるデータを収集するため)。従って、当該ユーザと選択されたSPとの間の更なる対話が必要とされる(予測される)場合には、ステップ428Aのリダイレクトする方法が選択されるのが好ましい。
【0074】
ステップ428A又は428Bにおける選択されたSPに送信される未登録アイデンティティサービスの提供の要求の結果、ステップ429において、DS更新(又は他の同等のメッセージ)は前記SPから受信され、DS更新は前記SPにより形成されたRO(RO2X)を含む。これを達成するために、SPにおける処理手段は、ユーザがSPと接続する(図2のフロー201)時の方法と同様の方法でDSサーバから行なわれるアイデンティティサービスの提供の要求に応答するように変更されてもよく、それにより、同様の要求を行なう(202、429)。あるいは、RO又はROを形成するのに使用可能なデータを搬送できる限り、特定のメッセージが、一般に使用されるDS更新の代わりに使用されてもよい。その後、ステップ430において、受信されたROはDSサーバにより格納される。それにより、これまでに未登録のアイデンティティサービスを登録し、ROを使用して更なるDSクエリに対して応答することが可能になる。そのDSクエリは、前記ユーザの前記アイデンティティサービスに対するアクセス権を要求するために、最終的に前記DSサーバにおいて受信されてもよい。
【0075】
尚、上記ステップ423、427及び428Bに対応する実行フローは、未登録アイデンティティサービスが先の段階(図5のステップ414及び415)で検出された場合にROを提供するための別の実行方法を構成する。これは、ユーザの介入を必要としない。従って、例えば、機能登録後(ステップ411)又はサービス機能記憶領域の周期的なチェック後(ステップ413)に、ユーザの未登録アイデンティティサービスがユーザの介入なく先の段階で検出された場合、DSサーバは、適切なSPを選択し、前記アイデンティティサービスの提供の要求を前記SPに直接送信できる(ステップ428B)。これは、SPからの後続するDS更新において受信される対応するRO(RO2X)(ステップ429)を格納する(ステップ430)ことで終了する。
【0076】
図7に示されるフローチャートは、DSクエリがSPから受信された時(ステップ4210)にDSサーバ(100)により実行される処理ステップを示す。ウェブサービスコンシューマ(WSC)として動作する前記SPは、ユーザのアイデンティティサービスに対するアクセス権を要求し、前記アイデンティティサービスは、前記ユーザに対してまだ登録されていない。上述のように、それら処理ステップは、本発明のDSサーバが何らかの理由によりユーザの未登録アイデンティティサービスの登録を遅延させた場合(例えば、DSクエリを待つという条件がユーザ又はサービスに対して設定されている場合、更新されたサービス機能記憶領域の周期的なチェックが行なわれる前にDSクエリが受信される場合、未登録アイデンティティサービスのバッチ処理がいくつかのユーザに対して待ち状態である場合等)に実行される。
【0077】
ステップ4211及び4212は、最新技術によるDSにおける現在の処理を表してもよい。これは、背景の節で提示したように、受信されたDSクエリにおいて指示されるアイデンティティサービスが、関連するユーザに対して格納された任意のROに対応するかを判定するためのチェックを示す。要求されたアイデンティティサービスが前記ユーザに対するDSサーバに登録されていない場合に本発明に従って処理するための3つの別の方法を図7に示す。
【0078】
第1の方法(ステップ4213A)において、リダイレクション要求は、DSクエリを送信したSPに送信され、ユーザをDSサーバにリダイレクトするように要求する。リダイレクション要求は、DS応答内に埋め込まれて送信されてもよく、あるいはリダイレクトすることを要求する別の種類のメッセージで送信されてもよい。リダイレクション要求は、DSサーバのサービスポイントにマップするURLを含むことができる(ステップ416の通信の場合と同様)。第2の方法(ステップ4213B及び4214B)において、DSサーバは、ステップ416を参照して先に説明したように、当該ユーザに対する通信を確立するための要求を送信してもよい。この第2の方法において、DSサーバは、ROを含まないDS応答を送信してもよく(ステップ4213B)、あるいは要求されたアイデンティティサービスの対応するROが利用可能になるまでDS応答を待ち状態にしてもよい。第3の方法は、対応するROの提供及び格納のためにユーザの介入も選択されたSPとの通信も必要としない簡単な実施形態に対応する。簡単な本実施形態の処理ステップは、サブフロー「E」への遷移により示され、図6の適切なSPの選択を行なうステップ423、並びに生成されたROの提供及び格納を行なうステップ43に継続する。これは、サブフロー「D」により示されるように図7のステップ4216Bに戻り、生成されたRO(RO2X)を含むDS応答は、DSクエリを送信したSPに送信される。
【0079】
個別には示さないが、第4の方法がステップ4212の後に選択される。これは、ユーザとの通信の確立を必要とせず、図6を参照して上述したステップ423、427、428B、429及び430の実行を含む。この方法の実行は、遷移「G」を介して図7に示す処理フローに継続する。
【0080】
上述の最初の2つの方法(それぞれステップ4213A、及びステップ4214B(ステップ4213Bに先行する又は先行しない))の場合、実行フローはユーザ通信の受信に継続する(図6のフロー「A」への遷移により示される)。これは、図6に示す処理フローを参照して上述したように処理される。遷移「G」及び「F」により指示されるように、実行フローは図7に戻る。ここで、提供の要求が選択されたSPに直接送信された場合(図6のステップ428B)、実行フローは直接継続し(フロー「G」)、あるいは提供の要求がリダイレクションで送信された場合(図6のステップ428A)、実行フローは、ステップ4215において、選択されたSPから受信されるリダイレクションの受信を待つ(フロー「F」)。選択されたSPから受信されるリダイレクションは、SPが生成したRO(RO2X)を含んでもよく、これは、受信された提供の要求の結果として前記SPが送信したDS更新の送信(ステップ429)を不必要にするオプションとなる。また、ステップ4215において受信されるリダイレクション及びステップ429において受信されるDS更新(又は同等のメッセージ)は、アイデンティティサービスが示すリソースに対して、供給されるユーザがアクセス、管理等を行なうことを容易にするためのデータを含んでもよく、それらデータは後続する通信(例えばカレンダのチェックを容易にする又は個人データを変更するなど、当該リソースのアクセス又は管理に対処するのに使用可能なURL等)を介してユーザに配信されてもよい。
【0081】
ステップ4215の後又は遷移サブフロー「G」の後、2つの処理方法が選択される。第1の方法は、ステップ4216Bにより示されるように、選択されたSPから受信されたROを含むDS応答の送信を含む。また、実行はステップ4216Aに継続してもよく、ステップ4216Aにおいて、ユーザはDSクエリを送信したSPにリダイレクトされる。後続するステップ4217A及び4218Aにより示されるように、WSCとして動作するSP(すなわち、アイデンティティサービスの呼出しを介して前記ユーザのアイデンティティのリソースの消費を必要とするサービスをユーザに供給するSP)からの後続するDSクエリは、対応するRO(RO2X)を使用して正常に返答されてもよい。
【0082】
図5〜図7を参照して上述したいくつかの処理ステップに対応する信号フローを図8及び図9に示す。それら信号フローは、DSサーバからユーザの未登録アイデンティティサービスに対するアクセス権を提供する例を示すために使用される。ここで、前記提供は、DSクエリの受信の際に実行される。
【0083】
図8のフロー411において、機能登録は、DSサーバ100においてSP140から受信される。例えば、SP140は、IDSRV‐X等のアイデンティティサービスを今後提供できることを報告する。DSサーバは、SP140がそのアイデンティティサービスを供給できる(図3に示す)ことを提示するために、サービス機能記憶領域(103‐2)を更新する(412)。図5〜図7を参照して上述したように、DSサーバは、機能登録において受信された更新により、いくつかのユーザに対して未登録である(又は未登録となった)アイデンティティサービスの提供を開始できる。しかし、上述のように、図8及び図9で示される例において、DSサーバ100が、ユーザに対応する未登録アイデンティティサービスのROの不足を示すDSクエリの受信を待つ場合の例が示される。
【0084】
その後フロー204において、ユーザ150は、SP110にアクセスし、特定のサービスを要求する。簡単にするため、ユーザ150と、アクセスされたSP110と、認証アサーションをSP110に提供するIDP90との間で一般に実行される認証フローは、図8及び図9には示さない。SP110においてユーザ150によりアクセスされるサービスは、例えば、ユーザのカレンダの更新を含む追加サービスを提供するフライト予約サービスであってもよい。これは、SPが他のSP、すなわちリソースに対してWSPとして動作するSPにより提供される前記ユーザのリソース(この場合、カレンダデータ)に対するアクセス権をアイデンティティサービスを介して取得する必要があるため、SPは前記追加サービスを提供するためにWSCとなる必要があることを示す。従って、SP110は、ユーザに対して格納されたROに対処するためのリソース識別子及び要求されたアイデンティティサービスの種類の識別子を含むDSサーバにDSクエリを送信する(フロー4210)。この例を示す目的で、「IDSRV‐X」が「カレンダ」サービスを識別するために設定されたサービスの種類の識別子であると仮定される。受信されたDSクエリはDSサーバにおいて処理され(C)、例えば、DSサーバ記憶領域103-1に格納されたサービス(IDSRV‐X)及びユーザ(150)に対するROが存在しないことが分かる。上述のように、DSサーバは、ユーザに対してアイデンティティサービスIDSRV‐Xを登録するために対応するROを提供することを続行する前に、ユーザ150と対話してもよい(A)。
【0085】
図8は、DSサーバ100が選択されたSP140に対して提供の要求を送信する(フロー428B)上述の可能な方法を示している。その結果、DS更新(フロー429)は、そのユーザ及び指示されたサービス(例えば、RO02X)に対するROを搬送するSP140から受信され、それは、ユーザに対するDSサーバによりRO記憶領域(103‐1)に格納される(430)。次にDSサーバは、最近登録されたRO(RO02X)を含む受信されたDSクエリ(フロー4210)に対するDS応答を送信する(フロー4216B)。その後、WSCとして動作するSP110は、受信したRO(RO02X)のデータを使用して、SP140にアクセスする(フロー207)。SP140は、要求されたアイデンティティサービスを供給するWSPとして動作する。SP110がSP140に対して要求する動作の種類に応じて(本質的にはサービスに対して規定された動作におけるサービスの特質に応じて)、WSC(SP110)とWSP(SP140)との対話は、図8に示す1往復以上の通信を含んでもよい。例えば、フロー208は、単純な動作(例えば、カレンダデータの読出し又は更新)に対する応答を表してもよいが、より複雑な動作に対しては、より多くの信号フローが存在するだろう。
【0086】
図9のフロー411、204及び4210は、図8を参照して説明されたように実行され且つ処理される。しかし、図9は、SP140に提供の要求を送信するための別の方法及びユーザと接続するための方法を示す。
【0087】
フロー4213Aにおいて、リダイレクションがSP110に送信される。リダイレクションは、前記SPが有するユーザ150との通信をDSサーバ100に対してリダイレクトすることを要求し、DSサーバと接続するために使用可能な参照情報(例えば、DSサーバのサービスポイントにマップするURL)を含んでもよい(例えば、ユーザにとってDSサーバが不明であると考えられる場合)。ユーザは、その後リダイレクトされ、DSサーバとの通信を開始する(フロー420)。DSサーバは、例えばユーザ基本設定を収集してSPを選択するために又は提供されるサービスに対するサービス関連データを収集するために、ユーザ150と対話してもよい(A)。ユーザ150との通信は、選択されたSP140にリダイレクトされる(フロー428A)。ユーザ150とSP140との間の後続する通信は、特に、他のいくつかの実施形態に従ってDSサーバにより収集される先に参照されたデータと同一の種類のデータを収集するため、又は前記データの収集を完了するために使用されてもよい(例えば、DSサーバが必要な全てのデータをユーザから収集しなかった場合)。
【0088】
その後、DS更新(フロー429)は、ユーザ及び指示されたサービス(例えば、RO02X)に対するROを搬送するSP140から受信され、図8の先の例のフローと同様に、ユーザに対するDSサーバによりRO記憶領域(103‐1)に格納される(430)。SP140は、ユーザ150との通信をDSサーバ100にリダイレクトする(フロー4215)。上述のように、このリダイレクションは、生成されたRO(RO02X)を搬送してもよく、それによりDS更新の送信(429)を不必要にする。DSサーバにおけるユーザとの通信は、クエリしているSP110に対してリダイレクトされる(フロー4216A)。ここで、前記リダイレクションは、アイデンティティサービスが提供されたことを示す指標、又は、要求されたアイデンティティサービスにアクセスするのに使用可能な対応するRO(RO2X)を含んでもよい。あるいは、それら連鎖リダイレクションは、SP110にアドレス指定された戻り情報を含むことにより低減される。それにより、SP140は、ユーザを直接SP110に対してリダイレクトすることが可能になる(これは、DS更新の送信429を必要にするだろう)。
【0089】
図9に示される後続するフローは、ROがSP110に送信されていないことを考慮する。フロー4217Aにおいて、DSクエリが受信され、新しく登録されたRO(RO02X)を要求する。これに対して、フロー4218Aにおいて、DSサーバ100からDS応答で返答される。後続するフロー207及び208は、図8を参照して説明したように実行される。
【0090】
図7又は図8には示さないが、例えばユーザが要求したサービスが完全に達成されたことを確認するために、要求したアイデンティティサービスにSP110からアクセスした結果、SP110とユーザ150との間で更なる対話が行なわれる。上述の例に続き、SP100は、ユーザ150のカレンダが更新されたことをユーザ150に更に指示してもよい。
【0091】
最新技術の通信システムにおけるサーバエンティティは、一般に、コンピュータを使用するマシンにおいて実現される。従って、コンピュータ可読プログラムコードを含むコンピュータプログラムは、通信システムのコンピュータを使用するサーバエンティティにロードされ、それにより、前記サーバエンティティの各々は、それぞれの特定の機能性に従った所定の方法に応じて動作する。当業者は、コンピュータを使用するDSサーバにロードされることを意図されたコンピュータプログラムについて、作成と変更との少なくともいずれかを行う際、本発明の範囲から逸脱せずに、コンピュータプログラムの作成と変更との少なくともいずれかを行うのにそれら技術を容易に適用できる。それらコンピュータプログラムは、コンピュータを使用するDSサーバにおいて実行される際、DSサーバを上述の任意の実施形態に従って動作させる。
【0092】
例示としての限定しない方法で、いくつかの好適な実施形態に関して本発明を説明した。当業者には、種々の変形例が容易に理解される。そのため、本発明は、請求の範囲を考慮して解釈され限定される。
【図面の簡単な説明】
【0093】
【図1】最新技術によるアイデンティティ連携フレームワークにおける協働するいくつかのエンティティを示す概略図である。
【図2】ディスカバリサービスサーバにおいてアイデンティティサービスをサービスプロバイダから登録し、前記アイデンティティサービスにアクセスする最新技術による簡略化された信号フローを示す図である。
【図3】図1に示される図と同様の図であり、本発明によるいくつかの機能モジュール及びディスカバリサービスサーバのデータ内容を概略的に示す図である。
【図4】本発明による方法を示す簡略化されたフローチャートである。
【図5】図4の簡略化されたフローチャートに示されるステップの実施形態を示す詳細なフローチャートである。
【図6】図4の簡略化されたフローチャートに示されるステップの実施形態を示す詳細なフローチャートである。
【図7】図4の簡略化されたフローチャートに示されるステップの実施形態を示す詳細なフローチャートである。
【図8】図5〜図7のフローチャートに示される実施形態のうちいくつかの実施形態に対応する簡略化された信号フローを示す図である。
【図9】図5〜図7のフローチャートに示される実施形態のうちいくつかの実施形態に対応する簡略化された信号フローを示す図である。
【技術分野】
【0001】
本発明は、アイデンティティ連携フレームワークにおいてサービスを提供することに関し、特に、ユーザのアイデンティティサービスに対するアクセス権を提供する方法及びそれに関連する装置に関する。
【背景技術】
【0002】
インターネットを介して提供される第1の種類のサービスは、通常、1対1(消費者対企業、ユーザ対プロバイダ)の関係に限定される。この種類のサービスの主な例において、サービスプロバイダ(以下、SPと呼ぶ)は、1つ以上のサービスを複数のユーザに提供できる。これらのサービスのうちのあるものは、(例えば)共通に提供され、例えば、任意のユーザが利用可能な情報サービスか、あるいは、ユーザ毎にカスタマイズや許可を受ける必要のない情報サービスかの少なくともいずれかにすぎない。他のサービスは、供給されるユーザに応じてカスタマイズでき、例えば、ユーザの識別及び許可が事前に行なわれる。このことは、例えば、サービス又はその内容が供給される特定の各ユーザに応じて、若しくはそのユーザの基本設定に応じて適応される場合、或いは、SPに対するサービスアカウントを有するユーザ(例えば、SPのサービスに加入しているユーザ)に対してのみサービスが与えられる場合の、少なくともいずれかの場合に必要となる。
【0003】
サービスの提供がユーザの識別を必要とする特別な場合、SPはユーザ認証を実行する機構を実現し、通常、各SPにおいてユーザの証明書(credential)(例えば、ユーザの識別子及びパスワード)を格納及び管理する。しかし、この簡単化された方法において、種々のSPに対して種々のサービスアカウントを有するユーザの場合、ユーザはそれらSPにより提供される異なるサービスにアクセスするための証明書を覚えておく必要があるため、ユーザ側で不便が生じる。ユーザは、全てのSPにおいて同一の証明書を利用することによりその欠点をなくそうとするだろうが、不可能である場合がある(例えば、SPがユーザ識別子を強制的に与える場合、あるいは、同一SPにおいて、選択された同一のユーザ識別子が既に他のユーザに割り当てられている場合)。しかし、いずれの場合においても、ユーザは、SPにアクセスする度に証明書を提供する必要がある。
【0004】
近年、アイデンティティ連携フレームワークが、主にその問題を解決するために開発された。簡単に説明すると、アイデンティティ連携フレームワークは、機能エンティティの集合(後述するSP及びその他)と、複数のSPがユーザの連携アイデンティティ情報をそれらSP間で共有することを可能にする機構の集合とを含む。この説明において、ユーザの「アイデンティティ」(「ネットワーク・アイデンティティ」としても知られる)とは、前記ユーザが種々のSPにわたり有する各サービスアカウント中に、前記ユーザに対して保持される属性の集合を示す。
【0005】
「リバティ・アライアンス・プロジェクト(Liberty Alliance Project)」LAP(http://www.projectliberty.org/)は、アイデンティティ連携フレームワークの標準化に係る標準化フォーラムである。従って、本出願において、LAPのいくつかの特定の用語である機能手順及び機能エンティティは、例として、周知の標準化されたアイデンティティ連携フレームワークの機能動作を示すために使用される。当業者は、それらの用語をアイデンティティ連携を提供する同様のフレームワークの同義語である機能手順及び機能エンティティと容易に関連付けられるだろう。
【0006】
アイデンティティ連携フレームワークの第1の目標は、所謂SSO(「シングルサインオン」、また「シンプリファイド・サインオン」としても知られる)を提供することであった。SSOにより、ユーザは、異なるサービス及びアプリケーションに安全にアクセスできる。それら異なるサービス及びアプリケーションは、異なるネットワーク又は管理ドメインに分散している可能性のある複数のSPを介して、毎回認証されることなくアクセスされる。SSOの背景にある現在の原理は、ユーザが特定のセッションに対して1度認証すると、そのようなレベルの認証を受け付けるユーザが加入している全てのサービスに対するアクセス権が与えられることを提示する。この原理により、ユーザは、ユーザが要求する特定の異なる各サービスに対する認証を明示的に行なわずに、それら異なるサービスにアクセスできる。SSOは、1度ユーザを認証し、その後、一般に「アイデンティティ・プロバイダ」IDPとして知られるサーバエンティティの仲介によって、結果として得られた認証を他のSPへの入口に対して有効にすることにより実現される。
【0007】
アイデンティティ連携フレームワークの別の目標は、ユーザの連携アイデンティティに基づいて新しい種類のサービスを提供することである。簡単に説明すると、それら新しい種類のサービスは、複数のSPにわたるユーザの連携アイデンティティのリソースの消費を考慮する。用語「リソース」は、包括的な用語であり、より静的な性質を有するデータ属性(ユーザの名前、従業員番号、特定のサービス又はネットワークにおけるユーザ識別子等)、及び、より動的な性質を有するデータ属性(例えば、カレンダデータ、現在の地理的な位置等の前記ユーザに対するサービスに依存するデータ属性)等のユーザの連携アイデンティティのデータ属性を示してもよい。または、ユーザの連携アイデンティティの代わりの役割を果たすサービス(例えば、ショートメッセージの送信、電子メールの送信等、ユーザのアイデンティティに対してある動作を実行するサービス)を示してもよい。この場合、特定のSPは特定のサービスをユーザに提供できるが、ユーザは、そのサービスを完了するために、前記ユーザの連携アイデンティティのリソースの消費(例えば、ユーザのクレジットカード番号の使用、ユーザのウェブを使用したカレンダのデータのチェック、又は、そのカレンダに対するデータの設定、個人情報の使用等)を必要とするだろう(例えば、オプションの機能又は必須の機能として)。ここで、前記リソースは、格納され且つ別のSPにおいて主に処理される。前記「消費」は、前記リソースの検索と更新との少なくともいずれかだけでなく、アイデンティティを生かした動作の実行(例えば、SPにおけるユーザのアイデンティティの属性はユーザの移動電話番号を含み、そのSPからその電話番号へショートメッセージを送信する動作)も含む。従って、新しい種類のサービスは、それらサービスの達成/カスタマイズ等のためにユーザに対してローカルに保持するデータを単に使用する以上のことを行なえるSPから前記ユーザに提供される。
【0008】
この新しい種類のサービスの提供は、一般に、サーバエンティティの介入により達成される。サーバエンティティは、第1のSPが所望のリソースを保持する第2のSPにアクセスするのを可能にする「ディスカバリサービス(Discovery Service)」DSとして一般に知られるサービスを提供する。本出願において、用語「ディスカバリサービスサーバ」(又はDSサーバ)は、任意の他の種類のサービスを提供する、又は、提供しないサーバマシンにサーバエンティティが常駐するか否かに関わらず、ディスカバリサービスDSを提供するサービスエンティティを示すために使用される。
【0009】
アイデンティティ連携フレームワークにおいて一般に使用される専門用語において、上述の第2のSPはWSP(ウェブサービス・プロバイダ)として動作し、上述の第1のSPはWSC(ウェブサービス・コンシューマ)として動作するだろう。アイデンティティに関する情報の検索又は更新のために、あるいは前記アイデンティティのためのある動作を実行するために、WSCがWSPにアクセスし且つリソースに従って動作することを可能にするサービスは、「アイデンティティサービス」として知られる。この専門用語の説明において、DSサーバは、複数のWSCがユーザの登録アイデンティティサービスを動的に発見することを可能にする「ディスカバリサービス」DSを提供するように、対応するWSPにアクセスするのに使用可能な情報をそれらWSCに提供する。
【0010】
DSサーバは、ユーザのアイデンティティサービスに関する情報を格納するレジスタとして動作するとともに、要求があったときに前記情報を提供する機能エンティティである。特定のユーザの各登録アイデンティティサービスに対するDSサーバを格納する情報は、一般に「リソースオファリング」ROとして知られる。その情報の内容は、ユーザの特定のアイデンティティサービス・インスタンスを一意に識別するのに使用できる。例えば、ユーザの約束及びタスクを格納するユーザの「カレンダ」サービスに対するアクセス権を提供するために、DSサーバはROを格納する。ROは、種々のサービスを区別するためのサービスの種類の識別子(Service Type)、前記ユーザと関連のある前記サービスの種類のサービスインスタンスを一意に識別する識別子(例えば、他のユーザの「カレンダ」と区別するために)(Resource ID)、及び、前記ユーザに対する前記サービスを提供するSPを識別する識別子(Provider ID)を特に含む。それら全ての識別子は、統一資源識別子URI(Uniform Resource Identifiers)の形式であってもよい。しかし、特定のユーザの特定のアイデンティティサービスを識別し、且つ、アクセスするために、対応するSPと接続するのに使用可能な参照情報を提供する形式であれば、他の表現形式(例えば、単一のURI)でもよい。
【0011】
ディスカバリサービスDSを提供するために、最新のDSサーバは、以下の2種類の要求を受信し、それに返答するように構成される。第1の種類の要求は、「リソースオファリング」ROの変更(新しいROの挿入、又は、格納されたROの除去)を要求し、以下において「ディスカバリサービス更新」DS更新と呼ばれる。第2の種類の要求は、格納されたROの取得を要求し、対応するROを含む「ディスカバリサービス応答」DS応答でDSサーバにより返答される。この第2の種類の要求は、以下において「ディスカバリサービスクエリ」DSクエリと呼ばれる。
【0012】
「ディスカバリサービス」DSは、DS自体の特性により、「リソース」の特別な集合(すなわち、リソースオファリング、RO)の消費を(発見するという形態で)提供するアイデンティティサービスである。アイデンティティウェブサービスフレームワークにおけるディスカバリサービスを説明する仕様書は、「Liberty ID-WSF Discovery Service Specification」version 1.1(https://www.projectliberty.org/specs/liberty-idwsf-disco-svc-v1.1.pdfにおいて入手可能である)としてLAPにより公開されている。
【0013】
図1及び図2を参照して、この種類の新しいサービスの簡単な例を提供し、アイデンティティ連携フレームワークにおけるエンティティ間の機能関係に関して簡単に説明する。
【0014】
図1において、複数のSP(110、120、130、140)、IDP(90)、DSサーバ(100)及びユーザ端末(150‐1)と対話するユーザ(150‐2)が概略的に示される。尚、LAPの特定の専門用語において、包括的な用語「主体者」は、連携アイデンティティを取得できるエンティティを示すために使用される。用語「主体者」の範囲には、人間ユーザ、人間ユーザのグループ、企業、正当なエンティティ又は機能を供給するエンティティが含まれる。それら全ての種類の「主体者」は、実際にはアイデンティティ連携の「ユーザ」であり(又はユーザとなり)、用語「ユーザ」(150)は、本出願の以下において、ユーザの種類に関係なく、アイデンティティ連携のユーザを示すために使用される。図1のSP(110、120、130、140)は、1つ以上のサービスプロバイダ機関のドメインに属することができる1つ以上のサーバエンティティの各々を表す。ここで、各サーバエンティティは、コンピュータを使用するマシン等の同一のサーバマシン内に共に配置されてもよく、あるいは種々のマシンにわたり分散されてもよい。同様に、IDP又はDSサーバに対して開示される対応する機能性は、2つ以上のマシンにわたり分散されるか(例えば、各マシンが全体の機能性のサブ機能を実行する)、あるいは同一マシン内に共に配置される。しかし、簡単のために、示されるサーバエンティティ(90、100、110、120、130、140)の各々は、各々が対応する開示された機能性を実現する単一マシンを表すものと仮定される。しかし、実用上の実現例において、IDPの機能及びディスカバリサービスの機能は、同一のサーバマシン内に共に配置されて使用される。
【0015】
簡単のために、1つのDSサーバが図1に表される。しかし、2つ以上のDSサーバが、アイデンティティ連携フレームワークを提供する通信システム内に存在してもよい。ここで、例えば各DSサーバは、ディスカバリサービスを前記連携のユーザの集合に供給するために割り当てられる。
【0016】
ユーザ(150)は、2つ以上のSP(110、120、130)と通信し、上述のように、SSO機能を使用してユーザ認証が行なわれる種々のサービスに対するアクセス権を獲得できる。また、SP及びIDPは、ユーザを認証するため及び特に認証アサーションを配信するために通信できる(10)。例えば、ユーザ(150)は、SP110との第1の通信を確立し、そのSPにおいて認証される。IDP(90)はこの認証に関与し、ユーザが例えばSP120との別の通信を確立する時、IDPはSP120に認証アサーションを提供する。ユーザが証明書を再び提供する必要なく、SP120は、そのSPにおける対応するサービスに対するアクセス権を付与する。
【0017】
IDPは、ユーザのSSO認証処理中にIDPとSPとの間で交換されるデータの一部として、DSサーバ(100)と接続するのに使用可能な参照情報をユーザ(110、120、130)が接続する任意のSPに更に提供し、それにより前記DSサーバから前記ユーザのROを(必要に応じて)取得できる。DSと接続するのに使用可能な前記参照情報は、上述のようにDSサーバにより提供されるアイデンティティサービス(すなわち「ディスカバリサービス」DS)にアクセスするために使用されるため、「リソースオファリング」であると考えられる(以下、RO‐DSと呼ぶ)。更なる通信(12)は、ユーザ(150)のアイデンティティサービスにアクセスするためにSP間で確立される。
【0018】
図2に示す信号フローを使用して、ユーザの特定のアイデンティティサービスに対するROをどのようにDSサーバに格納するか、及び、そのROにどのようにして更にアクセスするかを説明する。第1のステップ(フロー201)において、ユーザ(150)は、特定のSP(130)にアクセスし、そのSPにより供給される特定のサービスに加入することを決定する。例えば、SP130(例えば、取引銀行)は、ウェブを介して安全な支払いサービスを提供する。あるいは、例えばSP130は、パーソナルコンピュータ又は移動電話からウェブブラウザアプリケーションを介してユーザによりチェックされ且つ他のサービスを(又は他のサービスの結果)提供するためにチェックされる(又は更新される)カレンダサービスを提供する。特定のサービスへの加入を要求するためのユーザのSPへのアクセスは、ユーザに周知の登録URL(ユニフォームリソースロケータ)又はウェブページ上でSPにより指示される登録URLにHTTPメッセージ(通常、HTTP「Get」)を送信することにより開始してもよい。図示される次のステップ(フロー202)において、SP130は、前記SP130における前記ユーザの前記アイデンティティサービスにアクセスするための対応するROを含むDSサーバ100に、「ディスカバリサービス更新」DS更新を送信する。前記ROを使用することにより、別のSP(110)は、例えば、前記ユーザにより入手される商品に対する支払いアサーションを取得でき、あるいはユーザのカレンダデータをチェック又は更新できる。
【0019】
受信したDS更新の結果、DSサーバは受信ROを格納する(203)。図1に概略的に示すように、DSサーバはデータ記憶領域(103‐1)を有し、ディスカバリサービスを供給するユーザ(USR‐1,USR‐2,...,USR‐n)毎に、又は、前記ユーザの各々に対して登録されたアイデンティティサービス毎に、複数のRO(RO1A、RO1B、RO2A、ROnB)を格納する。
【0020】
その後、ユーザ150はSP110にアクセスする(フロー204)。SP110は、例えば、ウェブを介して支払いを受け付けるフライト予約サービスを供給し、追加機能として、ユーザのカレンダのチェック及び更新(例えば、飛行時間を「利用不可能」としてマークするユーザの利用可能性の確認、チケットを入手するためのタスクの設定等)との少なくともいずれかを更に提供する。ユーザ(150)がIDP(90)の介入により先に認証されていると仮定すると(信号フローは図2には示さない)、SP110は、DSと接続するのに使用可能な参照情報(上述のように、RO、RO‐DS)をIDPから取得する。例えば、ユーザのカレンダをチェック又は更新するために、あるいは予約したフライトに対する支払いアサーションを取得するために、SP110は、「ディスカバリサービスクエリ」DSクエリをDSサーバ(100)に送信する(フロー205)。DSクエリ(205)は、DSサーバにアクセスするために取得されたRO(RO‐DS)のリソース識別子(Resource ID)を含む。このリソース識別子により、DSサーバは、関連する特定のユーザ(150)を識別できる。また、DSクエリ(205)は、要求したアイデンティティサービスの識別子(例えば、「カレンダ」サービスを識別するために設定されたService Type識別子)を更に含むことができる。
【0021】
受信したDSクエリが特定のアイデンティティサービスの識別子(Service Type)を含む場合、DSサーバ(100)は、前記サービス及び前記ユーザに対して登録されたROが存在するかをチェックする。DSクエリがアイデンティティサービスの種類の識別子なしで受信される場合、DSサーバは、参照されたユーザに対して格納された全てのROを含む「ディスカバリサービス応答」DS応答(フロー206)を返す。例えば(図1の記憶領域103‐1の内容を参照して)、DSサーバは、USR‐1の場合はRO1A及びRO1B、又はUSR‐2の場合はRO2Aを含むDS応答を返す。あるいは、受信したDSクエリが特定のアイデンティティサービスの識別子を含む場合、DSサーバは、指示されたアイデンティティサービス(例えば、RO1B)に対応するROのみを返す。DS応答(フロー206)を取得すると、SP110は、アイデンティティサービスにより考慮されるリソースを提供するSP(130)と通信することにより(フロー207、208)、取得したROのデータを使用してアイデンティティサービスを呼び出せる(それにより、例えば、ユーザカレンダにアクセスし又はそれを更新したり、支払いアサーション、ユーザプロファイルデータ等を取得する)。
【発明の開示】
【発明が解決しようとする課題】
【0022】
しかし、DSクエリにおいて指示されるアイデンティティサービスが前記ユーザの未登録アイデンティティサービスである場合(すなわち、そのアイデンティティサービスに対するROがDSサーバ100に格納されていない場合)、あるいはDSサーバにおいて前記ユーザに対して登録されたアイデンティティサービスが全く存在しない場合、後続するDS応答(206)は空で送信される。SP110がユーザ150に提供する予定であるサービスの特性によっては、その事象は、前記サービスが最終的に拒否される原因となる可能性があり、あるいは、最小限の影響として、提供された最終的なサービスの品質の低下の原因となる可能性がある。例えば、これは、アイデンティティサービスが登録されていた場合にそのアイデンティティサービスを介して自動的に取得されたであろう必要なデータの一部を、SP110に対してユーザが手動で提示することを要求する。
【0023】
ユーザは、そのアイデンティティサービスを提供できるSPと接続することにより上述の問題を克服し、この時点まで未登録であるアイデンティティサービスをユーザ自身に対して登録できる。しかし、ユーザは、前記アイデンティティサービスを提供できるSPを最終的に見つけ出すまでに、いくつかのSPと接続しなければならない可能性がある。SPを見つけると、ユーザはそのサービスに加入できる。従って、上述のフロー201及び202が実行され、前記ユーザに対して前記アイデンティティサービスをDSサーバに登録する。その後、例えば、ユーザが放置されたサービスに対するアクセス権をまだ獲得したい場合、ユーザは再び処理を開始し、前記アイデンティティサービスを発見できなかったSP(110)と再び接続できる。
【0024】
しかし、その方法により、ユーザが後で必要とする可能性のあるユーザの未登録アイデンティティサービスとして残っている他のアイデンティティサービスに対して、上述の状況と同一の状況が繰り返されることを防止することはできない。更に、新しいサービスは、SPにより迅速に開発及び実現され、それは、新しいアイデンティティサービスの提供及び要求を最終的に含む。しかし、アイデンティティサービスの登録に対する最新の機構(フロー201及び202を参照して説明した)は、前記新しいサービスの迅速な展開を妨げる。これは、ユーザの所望のアイデンティティサービスをDSサーバに登録する(202)前記SPを実現するように、ユーザが継続して適切なSPを見つけ、かつ、それらSPに接続する(201)必要があるからである。
【課題を解決するための手段】
【0025】
本発明は、ユーザの未登録アイデンティティサービスに対する登録処理をディスカバリサービスサーバからトリガすることにより上記問題を解決する。これは、請求項1記載の方法、請求項16記載のディスカバリサービスサーバ、又は、請求項33記載のコンピュータプログラムにより達成される。本発明の実施形態については、添付の請求の範囲で説明する。
【0026】
ユーザのアイデンティティサービスを登録し、前記登録したアイデンティティサービスに対するアクセス権を提供するために、ディスカバリサービスを提供する周知の機能に加え、本発明による方法、ディスカバリサービスサーバ及びコンピュータプログラムは、それぞれ、ユーザに対してまだ登録されていないアイデンティティサービスを提供するサービスプロバイダをディスカバリサービスサーバから選択するステップ、手段、及び、コンピュータ可読プログラムコードと、前記選択されたサービスプロバイダにより提供された時に前記ユーザの前記アイデンティティサービスを登録するためにリソースオファリングを前記ディスカバリサービスサーバに格納するステップ、手段、及び、コンピュータ可読プログラムコードとを含む。
【0027】
ユーザの未登録アイデンティティサービスを登録する登録処理をディスカバリサービスサーバからトリガすることにより、前記ユーザは、利益を得るアイデンティティサービスの正確な知識を有する必要もなく前記アイデンティティサービスを提供するサービスプロバイダを自身で見つける必要性もない。ディスカバリサービスサーバが特定のユーザに対して登録されたアイデンティティサービスを認識しているため、ディスカバリサービスサーバは、前記ユーザに対してまだ登録されていないアイデンティティサービスの登録を開始し、それにより、前記サービスが最初に要求される前、又は、要求された時に前記アイデンティティサービスへのアクセスが可能になる。更に、ディスカバリサービスサーバにおけるユーザの登録アイデンティティサービスに関する知識により、サービスプロバイダに関するユーザの基本設定と、サービスプロバイダのサービス機能との少なくともいずれかに基づいてサービスプロバイダを選択することが可能になる。その基本設定とサービス機能との少なくともいずれかは、ディスカバリサービスサーバにおいて、先に登録されたアイデンティティサービスのリソースオファリングの内容から取得される。
【0028】
本発明は、サービスプロバイダの選択と、ユーザの未登録アイデンティティサービスを登録するための対応するリソースオファリングの作成とを行なうディスカバリサービスサーバにおいて、有利に実現される種々の実施形態を提供する。しかし、最低限の実現例において、ディスカバリサービスサーバは、適切な候補サービスプロバイダを直接選択し、関連データを使用して対応するリソースオファリングを形成する。
【0029】
一実施形態によると、ディスカバリサービスサーバは、サービス機能記憶領域をチェックし、前記アイデンティティサービスを提供できるサービスプロバイダを選択できる。サービス機能記憶領域は、特に、1つ以上のアイデンティティサービスの識別子と1つ以上のサービスプロバイダの識別子とを関連付けて有することができる。それにより、特定のサービスプロバイダにより提供されるアイデンティティサービスと、特定のアイデンティティサービスを提供できるサービスプロバイダとの少なくともいずれかをチェックできる。従って、特定のアイデンティティを提供するサービスプロバイダを選択することが可能になる。
【0030】
別の実現例において、サービス機能記憶領域は、外部データベース等の外部エンティティに格納される。この場合、ディスカバリサービスサーバは、サービスプロバイダを選択するために、記憶領域をクエリして、サービスプロバイダ/アイデンティティサービスの関係に関する情報を取得する。あるいはそれに加えて、サービス機能記憶領域はディスカバリサービスサーバ内に格納され、それにより、内部チェック処理が可能になり、外部エンティティにクエリを送信することを回避する。
【0031】
サービス機能記憶領域は、ディスカバリサービスサーバに格納されるか、或いは、外部エンティティに格納されるかに関わらず、サービスプロバイダがそれぞれ提供できるアイデンティティサービスに関する情報を含むサービスプロバイダから受信される機能登録を使用して動的に更新されるのが好ましい。しかし、サービス機能記憶領域は、情報を要求及び更新するために複数の周知のサービスプロバイダをクエリすることにより周期的に更新されてもよい。単純なアクセスポリシーは、機能登録を送信することを許可されたサービスプロバイダ、又は、同一の目的でディスカバリサービスサーバからクエリされることを許可されたサービスプロバイダを判定するために確立される。それにより、ユーザに対するアイデンティティサービスを提供するアイデンティティサービスプロバイダをディスカバリサービスサーバにおいて選択する時、要求に応じて、いくつかの信用サービスプロバイダのみを選択可能な候補とすることができる。
【0032】
本発明は、異なる状況において、特定のアイデンティティサービスが1つ以上のユーザの未登録アイデンティティサービスであるかを評価するための種々の実施形態、又は特定のユーザがまだ登録されていないアイデンティティサービスを1つ以上有するかを評価するための種々の実施形態を提供する。それらの実施形態において、提供されるアイデンティティサービスは、ユーザの登録アイデンティティサービスに対してディスカバリサービスサーバに格納されたリソースオファリングの内容と比較してチェックされる。
【0033】
一実施形態において、上記チェックは、対応するアイデンティティサービスにアクセスするために、ユーザの1つ以上のリソースオファリングを要求するディスカバリサービスクエリを前記ディスカバリサービスサーバにおいて受信した際に実行される。別の実施形態において、ディスカバリサービスサーバは、サービスプロバイダから機能登録を受信した際に前記チェックを行なうことができる。更に別の実施形態において、1つ以上のユーザに対する未登録アイデンティティサービスを見つけるためのチェックは、上記サービス機能記憶領域の周期的なチェックの際に実行される。更に別の実施形態において、ユーザの未登録アイデンティティサービスを判定するためのチェックは、前記ユーザからの通信をディスカバリサービスサーバにおいて受信した際に行なわれる。
【0034】
別の実施形態によると、ディスカバリサービスサーバは、特定のユーザに対する未登録アイデンティティサービスを検出した際に、前記ユーザとの通信の確立を要求する。
【0035】
更に別の実施形態によると、ユーザはディスカバリサービスサーバと通信できる。それにより、ディスカバリサービスサーバは、ユーザからサービスプロバイダ基本設定を収集することと、選択したサービスプロバイダからアイデンティティサービスを提供するのに使用可能なサービス関連データを収集することの少なくともいずれかが可能になる。前記通信は、上述のように、ディスカバリサービスサーバから先に行なわれた通信要求の結果であってもよく、あるいはユーザから受信した自発通信であってもよい。前記ユーザに対して未登録の特定のアイデンティティサービスの場合、ディスカバリサービスサーバは、ユーザにより指示されたサービスプロバイダ基本設定に従って前記アイデンティティサービスを提供するサービスプロバイダを選択でき、該当する場合は、そのサービスプロバイダに受信したサービス関連データの一部又は全てを転送できる。従って、当該サービスに対して、選択されたサービスプロバイダはそれらデータをユーザから後で収集する必要はない。
【0036】
本発明の別の実施形態は、ディスカバリサービスサーバにおいて未登録アイデンティティサービスに対するリソースオファリングを提供するために、選択されたサービスプロバイダの介入が必要とされる状況に関する。特に、これは、ディスカバリサービスサーバが対応するリソースオファリングを形成するのに必要とされる全て又は任意のデータを有さず、それらデータの一部又は全てが生成され且つ選択されたサービスプロバイダから後で受信される場合でもよい。あるいは、選択されたサービスプロバイダがサービス関連データをユーザから収集すること又はサービス提供に対するユーザの同意を要求することと、アクセスポリシーを確立することとの少なくともいずれかを必要とする場合でもよい。これらの場合において、ディスカバリサービスサーバは、ユーザに対するアイデンティティサービスの提供の要求を選択されたサービスプロバイダに送信する。ここで、前記提供の要求は、オプションとして、前記ユーザに対する前記サービスの提供を、ユーザ独自のものにすることと、ユーザに適応させることとの少なくともいずれかのために、サービス関連データを更に含む。サービス関連データは、ディスカバリサービスサーバにより収集されてもよい。前記提供の要求の結果、選択されたサービスプロバイダは、対応するアイデンティティサービスをディスカバリサービスサーバに登録するためのリソースオファリングを含むディスカバリサービス更新を前記ディスカバリサービスサーバに送信できる。
【0037】
一実施形態によると、ディスカバリサービスサーバは、選択されたサービスプロバイダに提供の要求を直接送信する。ユーザがディスカバリサービスサーバと通信状態にある時に適用可能である別の実施形態によると、ディスカバリサービスサーバは、選択されたサービスプロバイダに対する前記通信のリダイレクションの内部に埋め込まれた提供の要求を送信する。更に別の実施形態によると、ディスカバリサービスサーバがユーザのまだ登録されていないアイデンティティサービスにアクセスするために、前記ユーザのリソースオファリングを要求するディスカバリサービスクエリを受信した時、提供の要求は、前記ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答内で搬送される。
【発明を実施するための最良の形態】
【0038】
次に、本発明のいくつかの好適な実施形態について、図3〜図9を参照して詳細に説明する。
【0039】
図3は、相互接続ネットワーク(300)を介して相互接続される複数のSP(110、120、130、140)及びDSサーバ(100)を示し、その結果、複数のサブネットワークを形成できる。相互接続ネットワークにより、ユーザ(150)は、1つ以上のSP、並びにDSサーバ(100)又はIDP(図3には示さない)と通信できる。図3に示すエンティティ間の通信(そのうちのいくつかは、図5のフローチャート及び図9の信号フローに表される)は、ウェブサービスを提供するために今日利用される周知のプロトコル(「ハイパーテキスト転送プロトコル」HTTP等)を使用することにより達成され、情報、要求及び応答を通信ネットワークを介して交換する時にエンベロープ及びデータ符号化として使用される別のプロトコル(「シンプル・オブジェクト・アクセス・プロトコル」SOAP等)を組み込むことができる。
【0040】
DSサーバ(100)の一般的な内部構造を図3に示す。通信システムにより又は通信システムを介して提供されるサービスを供給する装置又はそれらサービス間を仲介する装置が、特定の構成の詳細に関わらず、1つ以上の機能モジュールで構成されることは周知である。各機能モジュールは、前記装置により実現される全体の機能の特定のサブ機能を実行するように構成され、最終的には前記装置における他の機能モジュールと協働するように構成される。特に、現代の通信システムにおけるサーバエンティティは、一般に、ソフトウェア及びハードウェアを含むコンピュータを使用する装置である。ここで、1つの前記装置における特定の機能モジュールは、ソフトウェア、ハードウェア又はそれらの組合せの一部を含むことができる。前記一部は、特定の(サブ)機能を実行し、更に継続する場合は、他の機能モジュールを実現するソフトウェア部分とハードウェア部分との少なくともいずれかと協働するように設計される。通信システムに対するサーバ装置の機能が規定されると、前記装置を実現するために機能モジュールを構成することは、当業者にとっての日常業務に該当する。従って、DSサーバ(100)の一般的な内部構造について、その構成に関する具体的な詳細には触れずに、基本的な機能モジュールを参照して説明する。
【0041】
図3に示すDSサーバ(100)の簡略化された内部構造は、処理モジュール(101)、通信モジュール(102)、データ記憶モジュール(103)及び1つ以上の内部通信バス(104)を含む。内部通信バス(104)は、それらモジュール間のデータ通信及び協働を可能にする。処理モジュール(101)は、例えば、負荷分割モード又はアクティブバックアップモードで動作する1つ以上のプロセッサ(1010)を含むことができる。処理モジュール(101)は、従来技術から周知であり、後述する機能性により拡張されるディスカバリサービスを提供するために、サービスロジックを実行して、DSサーバ(100)と他のエンティティ(110、120、130、140、150、301)との間で交換される信号を処理するとともに、DSサーバにおける他の機能モジュール(102、103)を制御する。
【0042】
外部通信は、1つ以上の通信装置(1021、1022)を含むことができる通信モジュール(102)を介して実行される。例えば、各々が特定の種類の通信(例えば、SPのみとの通信、特定の種類の通信プロトコルに対してのみの通信等)を行なう1つ以上の通信装置(1021、1022)が存在する。また、1つ以上の通信装置(1021、1022)は、任意の種類の通信において使用されるのに適切であり、この場合の通信装置の数は、DSサーバに対して推定される全体の外部信号と比較し、外部信号を処理する個々の容量によって異なる。
【0043】
1つ以上のデータ記憶装置(1030)を含むことができるデータ記憶モジュール(103)は、動作するのに必要なデータを格納するためにDSサーバにおいて使用される。データ記憶装置(例えば、メモリチップ、磁気ディスク、光ディスク等)は、最新技術において周知であり、それにより、DSサーバ(100)のデータ記憶モジュール(103)は、同一の又は異なる種類の1つ以上の記憶装置を(例えば、要求されるデータアクセス速度、格納された特定のデータに対する所望の信頼性等の基準に基づいて)使用することが可能になる。2つのデータ記憶領域(103‐1、103‐2)は、図3において強調される。尚、それら2つの記憶領域は論理的に独立しているため、それら記憶領域が必ずしもそれぞれ個別の記憶装置に含まれる必要はない。例えば、データ記憶モジュール(103)のアドレス指定可能な総記憶領域は、周知のアドレシング技術を使用してデータ記憶の詳細を隠蔽することを可能にする2つ以上の記憶装置(1030)のアドレス指定可能な個別の記憶領域を含むことができる。ここで、異なる記憶領域(例えば、103‐1、103‐2)は、アドレス指定可能な異なる領域を割り当てることにより、規定されるとともに区別される。
【0044】
第1のデータ記憶領域(103‐1)は、複数のリソースオファリングRO(RO1A、RO1B、RO2A、ROnB)を格納する。上述のように、ROは、ユーザについて既に登録されているアイデンティティサービス毎にDSサーバに格納され、前記ユーザの前記アイデンティティサービスを提供するSPにアクセスして前記アイデンティティサービスを要求するのに使用できる。例えば、「RO2A」で示されるROは、アイデンティティサービス「A」に対するユーザ「USR‐2」のROを例示する。例示の目的で使用される表記以外に、RO「RO2A」は、アイデンティティサービスの種類(「A」)を他のアイデンティティサービスと区別するためのサービスの種類の識別子(上記LAP DS仕様書においてService Typeと呼ばれる)と、前記ユーザに対するアイデンティティサービス「A」を提供するSPを識別する識別子(上記LAP DS仕様書においてProvider IDと呼ばれる)と、前記SPにおける前記ユーザに対応するアイデンティティサービスのサービスインスタンスを区別するためのサービスインスタンス識別子(上記LAP DS仕様書においてResource IDと呼ばれる)とを含んでもよい。
【0045】
第2のデータ記憶領域(103‐2)は、本発明に従って提供され、複数のSPから提供されるアイデンティティサービスに関するサービス機能情報を格納する。この第2の記憶領域(103‐2)は、1つ以上のアイデンティティサービスの識別子(IDSRV‐A,IDSRV‐B,...,IDSRV‐X)とそれらアイデンティティサービスを提供する1つ以上のSPの識別子(SP‐120,SP‐130,...,SP‐140)とを関連付けて含むことができる。あるいは、サービス機能記憶領域は、上述の内容と本質的には同一の内容を有して外部データベース(301)上に保持されてもよい。サービス機能情報を内部又は外部に記憶するいずれの場合においても、アイデンティティサービスの識別子を使用するサービス機能記憶領域(103‐2、301)に対するチェックにより、前記サービスを提供できる1つ以上のSPに関する情報が提供され、SPの識別子を使用するチェックにより、前記SPが提供する1つ以上のアイデンティティサービスの識別子が提供される。
【0046】
従って、サービス機能記憶領域(103‐2、301)をチェックすることにより、特定のSPにより提供されるアイデンティティサービスに関する情報又は特定のアイデンティティサービスを提供できるSPに関する情報が提供されることが可能である。
【0047】
SPが提供できるアイデンティティサービスに対して影響を与えるSPにおける変更が起こる可能性がある。最も一般的な例は、特定のSPが、以前は提供していなかった新しいアイデンティティサービスを提供するために、新しいサービスロジックが提供されることである。しかし、例えば、SPが特定の日付から特定のアイデンティティサービスの提供を停止する場合、あるいは新しいSPがアイデンティティ連携フレームワークにおける残りのエンティティと協働するように設定されるとともに、1つ以上のアイデンティティサービスを提供できる場合もある。従って、サービス機能記憶領域(103‐2、301)は、SPとSPが提供できるアイデンティティサービスとの関係に関する変更を動的に報告及び更新を行なう中心的な場所となる。前記動的な更新を実行する代わりに、SPは、DSサーバ(機能記憶領域130‐2が使用される場合)又は外部データベース(301)に「機能登録」メッセージを送信する。「機能登録」メッセージは、例えば、SPが関連付けるSPの識別子と、1つ以上のアイデンティティサービスの識別子と、指示されたアイデンティティサービスに対しては提供又は停止するかを示すコードとを含むことができる。尚、簡単のために、1つのDSサーバのみが例において示される。しかし、2つ以上のサーバエンティティがアイデンティティ連携フレームワークにおいて存在してもよい(例えば、各サーバエンティティは、前記連携のユーザの集合にディスカバリサービスDSを提供する)。これらの例において、提供するアイデンティティサービスに関する変更が行なわれるSPは、2つ以上のDSサーバに機能更新を送信してもよい。
【0048】
機能登録メッセージは、後で使用するためにサービス機能記憶領域(103‐2、301)にも格納される更なるデータ(図3において詳細は示さない)を含んでもよい。例えば、提供され得る所与のアイデンティティサービスについて、SPは、データをリスト表示する形式や、サービスの提供に必要なデータ(例えば、言語基本設定、個人の住所、好適なメールアドレス等のサービス関連データ)の収集を、サービスを受けるユーザからDSサーバに委託するか否かを指示してもよい。機能登録メッセージは、アイデンティティサービスを登録するためのエントリポイントを含んでもよい。このとき、そのエントリポイントは、例えばユニフォーム・リソース・ロケータURLでもよく、そのURLは、ユーザ(150)がSP(130)のサービスへの加入をローカルで要求した際(図2のフロー201で示される)に使用したURLと同一でも異なってもよい。更に、機能登録メッセージは、SPから指示された登録基本設定を含むことができ、それは、アイデンティティサービスの登録を完了するために、例えば、前記SPがDSサーバとの直接通信又は他の通信方法を受け入れる(又は、より好ましいと考える)かを指示してもよい。また、メッセージは、1つのユーザ又はユーザの集合に対してROを形成するのに必要なデータの一部又は全てを含んでもよい。
【0049】
あるいは、DSサーバ(100)は、周知の複数のSPを周期的にクエリして、機能登録メッセージに対して上記指示されたデータと同一の種類のデータをそれらSPから要求し、その後、サービス機能記憶領域(103‐2)の内容を更新する。
【0050】
必ずしもSPとの通信(上記機能登録又は機能クエリ)を要求する必要がないDSサーバ(100)においてサービス機能記憶領域(103‐2)を形成する簡単な実施形態は、DSサーバに既に格納される複数のRO(RO1A、RO1B、RO2A、ROnB)に既に格納されるアイデンティティサービス及びSPに関するデータの収集を含んでもよい。すなわち、対応するアイデンティティサービスの識別子(例えば、Service Type)と共に各ROに格納されるSPの識別子(例えば、Provider ID)を収集することは、DSサーバ上に保持されるサービス機能記憶領域(103‐2)を形成することであると考えられ、あるいは、高い探索性能が要求される場合は、前記DSサーバに論理的に分離されたデータベース(103‐2)を構築するのに使用される。従って、この簡単な実施形態において、DSサーバに保持されるサービス機能記憶領域(103‐2)は、SPから受信されるDS更新メッセージで更新される(例えば、図2のフロー202で示される)。例えば、機能記憶領域103‐2は、DS更新202で指示されるアイデンティティサービスを提供する際にSP130が現れなかった場合に更新される。
【0051】
図4〜図7に示されるフローチャートは、本発明によるDSサーバ(100)の動作方法(40)を示すために使用される。この時、図4の簡略化されたフローチャートは基本的なステップ(41、42、43)を示し、それらステップは図5、図6及び図7において更に詳細に示される。
【0052】
ステップ41において、ユーザの未登録アイデンティティサービスを判定するために、提供されるアイデンティティサービスはユーザ毎のROの内容と比較してチェックされ、アイデンティティサービスはDSサーバに格納される。ステップ42において、SPが、未登録アイデンティティサービスを提供するために選択される。ここで、この包括的なステップは、上述のように、サービス機能記憶領域(103‐2、301)のチェック(42‐Q、42‐R)を含んでもよい。最後に、ステップ43において、この時点までにユーザに対して未登録のアイデンティティサービスは、そのサービスに対して対応するROを格納することにより、DSサーバ(100)に登録される。これにより、前記DSサーバから前記アイデンティティサービスへのアクセスが可能になる。
【0053】
図5は、ユーザの未登録アイデンティティサービスの存在に関する初期評価をDSサーバ(100)によって行ない、且つ必要に応じてサービスにアクセスできるように、サービスの登録を可能にする更なる動作を行なういくつかのステップを示す。図5のステップ411及び413を参照して説明されるように、この初期評価は、機能登録(CAP‐UPD)がSPから受信された時又はサービス機能記憶領域(103‐2、301)の周期的なチェックの際に行なわれる。別の方法も可能であり、それら別の方法において、いくつかのユーザのROに対するチェックは、例えば、各ユーザ又はユーザのグループに関連付けられる特定のサービスの種類のパラメータ、あるいはアイデンティティサービス毎に関連付けられる同様のパラメータに依存して、その時点で実行されてもよく、又は、後で実行するように遅延されてもよく、あるいは実行されなくてもよい。例えば、特定のユーザは、DSサーバにおいて登録処理のトリガが初期段階で(例えば、アイデンティティサービスがDSクエリで明示的に要求される前に)実行されるか、或いは後で実行されるかを提示する本発明によるアイデンティティサービスのアクセス権を自動的に提供するために、サービスの種類に関連付けられてもよい。同様に、DSサーバへの登録のトリガは先の段階で実行されるのが好ましいか否かを提示する特定のアイデンティティサービスと関連するパラメータ(これは、機能登録の追加データとして受信され、サービス機能記憶領域に格納される)が存在してもよい。
【0054】
従って、サービス機能更新の受信(411)後又はサービス機能記憶領域の周期的なチェック(413)後に実行される未登録アイデンティティサービスを判定するための評価は、1つ以上のアイデンティティサービス及び1つ以上のユーザに対して実行される。しかし、その評価は、いくつかの他のサービス又はユーザに対しては、後で(例えば、DSクエリを受信した際、又はDSサーバにおいてユーザ通信を受信した際に)実行されてもよい。
【0055】
ステップ411において、機能登録メッセージ(CAP‐UPD)は、DSサーバ(100)においてSPから受信される。次に、ステップ412において、サービス機能記憶領域(103‐2)の内容は、受信メッセージの内容で更新される。別の実現例は、ステップ414への遷移により示されるように、この時点で未登録のアイデンティティサービスに対するチェックを行なうことを含む。例えば、機能登録メッセージがSP140から受信され、新しいアイデンティティサービス(例えば、IDSRV‐X)を提供できることを報告すると仮定する。ステップ414は、そのアイデンティティサービスが1つ以上のユーザに対して既に登録されているか否かを判定するために、DSにおいて前記1つ以上のユーザのROをチェックすることを含む。これは、そのアイデンティティサービスのサービスの種類の識別子がROに含まれるかを1つ以上のROにおいてチェックすることにより達成されてもよい。同様に、機能登録メッセージ(411、CAP‐UPD)は、SP130から受信され、例えば、それまでにSP130が提供していたアイデンティティサービス(例えば、IDSRV‐A)の停止を報告してもよい。この場合、ステップ414のチェックにより、影響を受けるRO(例えば、RO2A)が与えられ、それにより、ユーザに対して先に登録されているアイデンティティサービス(例えば、USR‐2に対するIDSRV‐A)をこの時から未登録とすることができる。
【0056】
あるいは又はそれに加えて(上述のように、特定の処理動作が行なわれるいくつかのユーザ又はアイデンティティサービスが存在する場合)、未登録アイデンティティサービスを判定するためのチェックは、ステップ413により示されるように、サービス機能記憶領域(103‐2、301)の周期的なチェックが実行されるまで遅延される。ユーザの未登録アイデンティティサービスを判定する目的で行なわれるサービス機能記憶領域の周期的なチェックは、トラフィック及びサービス需要が低いと考えられる特定の時間に後続の提供処理を実行させることができるため有利である。ステップ413の後続するチェックを実行する周期は、例えば、毎日特定の時間にチェックを実行するようにセットアップされてもよく、あるいは、例えば、DSサーバで測定された最近の信号トラフィックに依存して動的にセットアップされてもよい。いずれの場合においても、サービス機能記憶領域(103‐2、301)の周期的なチェックにより、特定のSPが新しいサービスを提供することを報告する時期、又は、SPが古いサービスの提供を停止することを報告する時期に依存しないDSサーバに未登録アイデンティティサービスを登録するための登録処理の非同期トリガが可能になる。更に、前記周期的なチェックにより、複数のユーザの未登録アイデンティティサービスに対するバッチ処理を容易にしてもよい。
【0057】
あるユーザに対して登録されていないアイデンティティサービスを評価するためのチェックは、サブフロー「A」、「B」及び「C」で示されるように更に遅延されてもよい。例えば、DSサーバ(100)は、DSクエリの受信を待つか(ステップ418により示される)、あるいは当該ユーザからの通信を待つ(ステップ417により示される)ことができる。そのDSクエリ、又は、通信は、未登録アイデンティティサービスの登録を開始することに対するユーザの同意をDSサーバから取得するために使用されるか、あるいは前記登録を実行するのに使用されるユーザデータ及び基本設定を収集するために使用される。
【0058】
ステップ414のチェックが実行され、アイデンティティサービス(例えば、IDSRV‐X)が特定のユーザ(例えば、USR‐2)の未登録アイデンティティサービスとしてステップ415において見つけられると仮定すると、上記処理の代わりとなる次に説明する種々の処理が存在する。
【0059】
ステップ416において、当該ユーザに対する通信を確立するための要求を送信させる処理が選択される。例えば、未登録アイデンティティサービスの登録を開始することに対するユーザの同意をDSサーバから取得するために、或いは、前記登録に対してユーザデータ基本設定、同意等を収集するために、サービス登録を開始する前にユーザと対話する目的で要求が送信される。前記要求は、異なるベアラを介して送信されてもよく、DSサーバは、前記要求に対処するために、ユーザについて認識する識別子を使用でき、又は別のサーバエンティティから(例えば、IDPから)識別子を取得できる。例えば、要求は、ユーザの移動電話番号に送信されるショートメッセージ(SMS)で搬送されるか、あるいはユーザのメールURLに送信される電子メールで搬送される。要求は、DSサーバのサービスポイントにマップするURLを含んでもよく、あるいは(例えば、ユーザがDSサーバへのアクセス方法を知っている場合)ユーザがまだ加入していない新しいアイデンティティサービスが利用可能であることをユーザに警告するテキストを搬送してもよい。
【0060】
あるいは、先に示したように、DSサーバは、DSクエリの受信を待つことができ(ステップ418)、あるいは当該ユーザからの通信を待つことができる(ステップ417)。ここで、ユーザからの前記通信は、DSサーバから送信される先の通信要求の結果として受信されてもよく(ステップ416)、あるいはDSサーバにおいてユーザから受信される自発通信でもよい。後者の例は、例えば、ユーザがユーザの登録アイデンティティサービスに関連するアクセスポリシーをセットアップするためにDSサーバと通信する(例えば、DSサーバが提供するウェブページを介して)際に起こる可能性がある。
【0061】
図5のステップ42及び43(図4の簡略化されたフローにおいて示されるステップ42及び43に対応する)は、簡単な実施形態に従って、ステップ414及び415において検出される未登録アイデンティティサービスを提供するSPを選択すること及びユーザに対して登録するためにDSサーバ(100)において対応するROを提供することをそれぞれ表す。本実施形態は、ユーザの介入及び選択されたSPとの通信を要求しない。また、本実施形態は、前記SPにより前記ユーザに対して提供される際に前記アイデンティティサービスに対するROを直接形成するために、DSサーバがユーザ及びSPデータに対するアクセス権を有してもよいという状況に適する。例えば、前記データの一部は、機能登録メッセージにおいてSPから受信され、他のデータは、同一のSPにおける同一のユーザに対する別のアイデンティティサービスの登録に関連付けられて再利用されてもよい。この場合(しかし、それに限定されない)、ステップ42において、当該ユーザが既に周知である(例えば、ユーザがSPに対するサービスアカウントを既に有するか、あるいはSPが前記ユーザに対して別のアイデンティティサービスを既に供給している)SPが選択されるのが好ましい。
【0062】
更に別の処理方法(図5には示さない)は、ステップ414及び415の判定後に選択されてもよい。その方法は、DSサーバと選択されたSPとの間の通信を含むが、ユーザの介入を要求せず、またDSサーバが未登録アイデンティティサービスに対応するROを要求するDSクエリの受信を待つ必要がない。この方法を達成する処理ステップについては、図6に示すステップを参照して後述する。
【0063】
図6に示されるフローは、ユーザからの通信が受信された時にDSサーバ(100)により実行されるいくつかの処理ステップを示す。先のサブフロー「A」及び「B」により示されるように、ユーザからの通信は、DSサーバ(416)からユーザに先に送信される要求の結果であってもよく、あるいはDSサーバにおいてユーザから受信される自発通信であってもよい。
【0064】
ステップ420において、ユーザの通信(例えばHTTP「Get」メッセージ)は、DSサーバ(100)において受信される。次に、ステップ421において、ユーザの登録アイデンティティサービスに対するユーザのために格納されたROについてのチェックは、ユーザに提供され、かつ、まだ登録されていない1つ以上のアイデンティティサービスに対して実行される。未登録アイデンティティサービスがそのユーザに対して発見された場合(ステップ422)、ステップ423において、SPが選択されてもよい。上述のように、サービス機能記憶領域(103‐2、301)のチェックは、未登録アイデンティティサービスの判定及び後続のSPの選択の際に評価するために使用されてもよい。
【0065】
単純な実現例は、DSサーバ(100)における後続する対応するROの提供及び格納(ステップ43)で構成される。これは、図5のステップ42及び43を参照して上述したように達成される。
【0066】
SPを選択するためのステップ423において実行されるサービス機能記憶領域(103‐2、301)に対するチェックの結果、2つ以上のSPが当該アイデンティティサービスを提供するために発見されてもよい。この場合の適切な解決策は、ユーザが既にサービスアカウントを有する1つのSPを選択することを含んでもよい。例えば、ステップ423において発見されたSPのうちの1つと一致するSPを見つけるために、DSサーバにおいて、検索がユーザのために格納された他のROに対して実行される。2つ以上のSPがその条件を満たし、実現例のオプションとして、DSサーバはそれらSPのうち任意のSPを直接選択できる。ステップ423において、当該アイデンティティサービスを供給するのに適切なSPとして見つけられたSPがユーザからのある特定のサービス専用関連データ(例えば、言語基本設定、個人の住所、クレジットアカウント番号等)の収集をDSによって行なうことを提示した(例えば、そのサービスに対する機能登録の際)ことが発見される。更に、未登録アイデンティティサービスの登録をトリガする前に明確なユーザの同意を取得することが要求される場合がある。
【0067】
従って、そのような場合(選択可能なSPが複数存在する場合、ユーザの同意が必要とされる場合、サービスデータ収集が指示される場合)、複数のSPの中から1つのSPを選択するようにユーザに指示し、それらサービス関連データの一部又は全てを入力するようにユーザに指示することが望ましい。ステップ424において、通信はその目的でユーザに送信され、ステップ425において、ユーザからの通信はその結果として受信され、それは、サービスプロバイダ基本設定(SP‐PREF)とサービス関連データ(SRV‐DAT)との少なくともいずれかを含むことができる。また、ユーザに送信される通信要求(416、424)において(又は、前記ユーザに対して確立された通信において)、DSサーバは、前記プロバイダ基本設定(SP‐PREF)とサービス関連データ(SRV‐DAT)との少なくともいずれかを入力するように前記ユーザに指示してもよい。サービスプロバイダ基本設定(SP‐PREF)は、異なる形式であってもよく、ユーザの同意であると仮定されてもよい(しかし、その目的に対する特定のアサーションは、ユーザ通信425においても使用できる)。例えば、ユーザが複数のSPのURIを含むリストを受信した場合、サービスプロバイダ基本設定(SP‐PREF)は、それらSPのうち1つのSPのURIを含むことができる。また、ユーザは好適なドメイン(例えば、「xzy.com」)を指示することができ、それにより、DSサーバはそのドメインに属する適切なSPを選択する。更に、ユーザは、選択可能なSPのうち「任意」のSPが選択されてもよいことを指示でき、この場合、DSサーバは任意の更なる基準(例えば、完全ランダム、より負荷の少ないSP等)に従って1つのSPを自由に選択できる。次に、ステップ426において、ユーザが提示した基本設定に従ってSPが選択される。
【0068】
上述のように、選択されたSPが当該ユーザを知っているのが好ましい場合がある。アイデンティティ連携フレームワークにおいて、一般にその知識は、ユーザが前記SPに対して連携サービスアカウントを有することを示し、その結果、それらフレームワークにおいて周知の機構に従って、ユーザに対するユーザ識別子が前記SPと中央供給エンティティ(例えば、既に説明したように、同一のサーバマシン内に共に配置されて使用するIDPサービスを提供するサーバエンティティ又はディスカバリサービスDSを提供するサーバエンティティ)との間で共有されることを示す。プライバシーの理由から、一般に「ユーザ別名」として知られる前記ユーザ識別子は、異なるSP間では同一ユーザに対しても異なる。
【0069】
ステップ427は、選択されたSPにおいてユーザが周知であるか否か(又は、換言すると、例えばユーザがSPを介してアイデンティティを連携したために、SPがユーザを知っているか否か)を考慮するSP選択処理の一部を集約する。ユーザが選択されたSPにより既に知られている場合、前記SPと共有される前記ユーザのユーザ別名は、前記SPとの更なる通信の際に前記ユーザを参照するために選択される。あるいは、ユーザは、選択されたSPにおいて連携される必要があり、これは、例えば、図6の後続するステップを参照して説明される別の方法のうち1つを使用して達成されてもよい。
【0070】
ユーザが選択されたSPに対して周知であるか否かに関わらず、未登録アイデンティティサービスの登録を完了し、次にDSサーバにおいて対応するROを提供するための2つの基本的なモードが存在する。それらモードは、選択されたSPとの通信がROを提供するために必要とされる時、又は、要求される時に常に存在する。
【0071】
ステップ428Aは、選択されたSPにユーザをリダイレクトすることを示す第1のモードを表す。これは、例えば、当該アイデンティティサービスを提供するウェブサービスプロバイダ(WSP)として動作するように選択されたSP(例えば、140)に対して、ユーザ(150)とDSサーバ(100)との間に確立された通信をリダイレクトするHTTP「redirect」により達成されてもよい。ステップ428Bは、DSサーバ(100)と選択されたSP(例えば、140)との間の直接通信の確立(例えば、サーバエンティティ間の通信に対する所謂「バックチャネル」に対して、SOAP等の周知のプロトコル・バインディングを使用する)を示す第2のモードを表す。
【0072】
ステップ428A及び428Bの通信は、実際には、それら通信を受信するSPからアイデンティティサービスを提供するための要求であり、特に、未登録アイデンティティサービスの登録が要求されることを提示する特定のコードと、当該アイデンティティサービスの識別子と、DSサーバにおいて当該ユーザを識別するのに使用可能な識別子(例えば、そのユーザに対するRO‐DS)とを含んでもよい。それら通信は、ユーザから収集されたサービス関連データ(SRV-DAT)を更に含んでもよく、選択されたSPから機能登録メッセージで受信された(411)サービスエントリポイントの識別子を使用すること又は含むことにより対処される。ステップ428Bに対して使用された用語「直接通信」は、間にいくつかのルーティングエンティティを含んでもよいDSサーバと選択されたSPとの間に確立された通信を含み、ステップ428Aのようにリダイレクション要求に埋め込んで提供の要求を送信するような「間接的」な方法とは対照的であることを理解するべきである。
【0073】
ユーザが選択されたSPにおいて周知である場合、そのSPにおけるユーザの共有される(連携される)ユーザ別名は、ステップ428A又は428Bにおいて送信される要求に含まれてもよい。ユーザが選択されたSPにおいて周知でない場合、DSサーバは、ユーザに対してダミーの識別子(あるいは、「デフォルト」として合意された他の指標又はデフォルトとして認識される指標)を含んでもよい。ダミーの識別子は、受信機SPにおいて、前記SPから前記ユーザのアイデンティティを連携する必要があると解釈される。例えば、ユーザが選択されたSPに対してリダイレクトされる場合(428A)、DSサーバは、ユーザに対してダミーの識別子を含んでもよい(又は識別子を含まなくてもよい)。従って、選択されたSPがユーザを識別できないため、SPは、ユーザが既にサービスアカウントをそのSPに対して有するかを調査するために又はそのSPにおいて新しいアカウントを作成するためにユーザと対話してもよい。その後、SPは、ユーザ連携を要求し(例えば、認証要求メッセージをIDPに対して送信する)、IDPは、特にユーザ別名及びそのユーザに対するDSサーバと通信するための情報(すなわち、更なるDSクエリ、又は、DS更新のためのユーザに対するRO‐DS)を返す。あるいは、DSサーバは、ユーザに対して事前に割当てられた別名を作成し、且つ、選択されたSPと関連付けてIDP(90)に格納するために、必要なステップを行なってもよい(図6においては詳細に示さないが、ステップ427において実行されると考えられる)。ここで、前記別名は、対応するRO‐DSと共に提供の要求において送信されてもよい(428A、428B)。いずれの場合においても(ユーザが選択されたSPにおいて周知であるか又は周知でない場合)、選択されたSPはユーザと対話する必要がある(例えば、サービスを最終的に提供するために必要とされる更なるデータを収集するため)。従って、当該ユーザと選択されたSPとの間の更なる対話が必要とされる(予測される)場合には、ステップ428Aのリダイレクトする方法が選択されるのが好ましい。
【0074】
ステップ428A又は428Bにおける選択されたSPに送信される未登録アイデンティティサービスの提供の要求の結果、ステップ429において、DS更新(又は他の同等のメッセージ)は前記SPから受信され、DS更新は前記SPにより形成されたRO(RO2X)を含む。これを達成するために、SPにおける処理手段は、ユーザがSPと接続する(図2のフロー201)時の方法と同様の方法でDSサーバから行なわれるアイデンティティサービスの提供の要求に応答するように変更されてもよく、それにより、同様の要求を行なう(202、429)。あるいは、RO又はROを形成するのに使用可能なデータを搬送できる限り、特定のメッセージが、一般に使用されるDS更新の代わりに使用されてもよい。その後、ステップ430において、受信されたROはDSサーバにより格納される。それにより、これまでに未登録のアイデンティティサービスを登録し、ROを使用して更なるDSクエリに対して応答することが可能になる。そのDSクエリは、前記ユーザの前記アイデンティティサービスに対するアクセス権を要求するために、最終的に前記DSサーバにおいて受信されてもよい。
【0075】
尚、上記ステップ423、427及び428Bに対応する実行フローは、未登録アイデンティティサービスが先の段階(図5のステップ414及び415)で検出された場合にROを提供するための別の実行方法を構成する。これは、ユーザの介入を必要としない。従って、例えば、機能登録後(ステップ411)又はサービス機能記憶領域の周期的なチェック後(ステップ413)に、ユーザの未登録アイデンティティサービスがユーザの介入なく先の段階で検出された場合、DSサーバは、適切なSPを選択し、前記アイデンティティサービスの提供の要求を前記SPに直接送信できる(ステップ428B)。これは、SPからの後続するDS更新において受信される対応するRO(RO2X)(ステップ429)を格納する(ステップ430)ことで終了する。
【0076】
図7に示されるフローチャートは、DSクエリがSPから受信された時(ステップ4210)にDSサーバ(100)により実行される処理ステップを示す。ウェブサービスコンシューマ(WSC)として動作する前記SPは、ユーザのアイデンティティサービスに対するアクセス権を要求し、前記アイデンティティサービスは、前記ユーザに対してまだ登録されていない。上述のように、それら処理ステップは、本発明のDSサーバが何らかの理由によりユーザの未登録アイデンティティサービスの登録を遅延させた場合(例えば、DSクエリを待つという条件がユーザ又はサービスに対して設定されている場合、更新されたサービス機能記憶領域の周期的なチェックが行なわれる前にDSクエリが受信される場合、未登録アイデンティティサービスのバッチ処理がいくつかのユーザに対して待ち状態である場合等)に実行される。
【0077】
ステップ4211及び4212は、最新技術によるDSにおける現在の処理を表してもよい。これは、背景の節で提示したように、受信されたDSクエリにおいて指示されるアイデンティティサービスが、関連するユーザに対して格納された任意のROに対応するかを判定するためのチェックを示す。要求されたアイデンティティサービスが前記ユーザに対するDSサーバに登録されていない場合に本発明に従って処理するための3つの別の方法を図7に示す。
【0078】
第1の方法(ステップ4213A)において、リダイレクション要求は、DSクエリを送信したSPに送信され、ユーザをDSサーバにリダイレクトするように要求する。リダイレクション要求は、DS応答内に埋め込まれて送信されてもよく、あるいはリダイレクトすることを要求する別の種類のメッセージで送信されてもよい。リダイレクション要求は、DSサーバのサービスポイントにマップするURLを含むことができる(ステップ416の通信の場合と同様)。第2の方法(ステップ4213B及び4214B)において、DSサーバは、ステップ416を参照して先に説明したように、当該ユーザに対する通信を確立するための要求を送信してもよい。この第2の方法において、DSサーバは、ROを含まないDS応答を送信してもよく(ステップ4213B)、あるいは要求されたアイデンティティサービスの対応するROが利用可能になるまでDS応答を待ち状態にしてもよい。第3の方法は、対応するROの提供及び格納のためにユーザの介入も選択されたSPとの通信も必要としない簡単な実施形態に対応する。簡単な本実施形態の処理ステップは、サブフロー「E」への遷移により示され、図6の適切なSPの選択を行なうステップ423、並びに生成されたROの提供及び格納を行なうステップ43に継続する。これは、サブフロー「D」により示されるように図7のステップ4216Bに戻り、生成されたRO(RO2X)を含むDS応答は、DSクエリを送信したSPに送信される。
【0079】
個別には示さないが、第4の方法がステップ4212の後に選択される。これは、ユーザとの通信の確立を必要とせず、図6を参照して上述したステップ423、427、428B、429及び430の実行を含む。この方法の実行は、遷移「G」を介して図7に示す処理フローに継続する。
【0080】
上述の最初の2つの方法(それぞれステップ4213A、及びステップ4214B(ステップ4213Bに先行する又は先行しない))の場合、実行フローはユーザ通信の受信に継続する(図6のフロー「A」への遷移により示される)。これは、図6に示す処理フローを参照して上述したように処理される。遷移「G」及び「F」により指示されるように、実行フローは図7に戻る。ここで、提供の要求が選択されたSPに直接送信された場合(図6のステップ428B)、実行フローは直接継続し(フロー「G」)、あるいは提供の要求がリダイレクションで送信された場合(図6のステップ428A)、実行フローは、ステップ4215において、選択されたSPから受信されるリダイレクションの受信を待つ(フロー「F」)。選択されたSPから受信されるリダイレクションは、SPが生成したRO(RO2X)を含んでもよく、これは、受信された提供の要求の結果として前記SPが送信したDS更新の送信(ステップ429)を不必要にするオプションとなる。また、ステップ4215において受信されるリダイレクション及びステップ429において受信されるDS更新(又は同等のメッセージ)は、アイデンティティサービスが示すリソースに対して、供給されるユーザがアクセス、管理等を行なうことを容易にするためのデータを含んでもよく、それらデータは後続する通信(例えばカレンダのチェックを容易にする又は個人データを変更するなど、当該リソースのアクセス又は管理に対処するのに使用可能なURL等)を介してユーザに配信されてもよい。
【0081】
ステップ4215の後又は遷移サブフロー「G」の後、2つの処理方法が選択される。第1の方法は、ステップ4216Bにより示されるように、選択されたSPから受信されたROを含むDS応答の送信を含む。また、実行はステップ4216Aに継続してもよく、ステップ4216Aにおいて、ユーザはDSクエリを送信したSPにリダイレクトされる。後続するステップ4217A及び4218Aにより示されるように、WSCとして動作するSP(すなわち、アイデンティティサービスの呼出しを介して前記ユーザのアイデンティティのリソースの消費を必要とするサービスをユーザに供給するSP)からの後続するDSクエリは、対応するRO(RO2X)を使用して正常に返答されてもよい。
【0082】
図5〜図7を参照して上述したいくつかの処理ステップに対応する信号フローを図8及び図9に示す。それら信号フローは、DSサーバからユーザの未登録アイデンティティサービスに対するアクセス権を提供する例を示すために使用される。ここで、前記提供は、DSクエリの受信の際に実行される。
【0083】
図8のフロー411において、機能登録は、DSサーバ100においてSP140から受信される。例えば、SP140は、IDSRV‐X等のアイデンティティサービスを今後提供できることを報告する。DSサーバは、SP140がそのアイデンティティサービスを供給できる(図3に示す)ことを提示するために、サービス機能記憶領域(103‐2)を更新する(412)。図5〜図7を参照して上述したように、DSサーバは、機能登録において受信された更新により、いくつかのユーザに対して未登録である(又は未登録となった)アイデンティティサービスの提供を開始できる。しかし、上述のように、図8及び図9で示される例において、DSサーバ100が、ユーザに対応する未登録アイデンティティサービスのROの不足を示すDSクエリの受信を待つ場合の例が示される。
【0084】
その後フロー204において、ユーザ150は、SP110にアクセスし、特定のサービスを要求する。簡単にするため、ユーザ150と、アクセスされたSP110と、認証アサーションをSP110に提供するIDP90との間で一般に実行される認証フローは、図8及び図9には示さない。SP110においてユーザ150によりアクセスされるサービスは、例えば、ユーザのカレンダの更新を含む追加サービスを提供するフライト予約サービスであってもよい。これは、SPが他のSP、すなわちリソースに対してWSPとして動作するSPにより提供される前記ユーザのリソース(この場合、カレンダデータ)に対するアクセス権をアイデンティティサービスを介して取得する必要があるため、SPは前記追加サービスを提供するためにWSCとなる必要があることを示す。従って、SP110は、ユーザに対して格納されたROに対処するためのリソース識別子及び要求されたアイデンティティサービスの種類の識別子を含むDSサーバにDSクエリを送信する(フロー4210)。この例を示す目的で、「IDSRV‐X」が「カレンダ」サービスを識別するために設定されたサービスの種類の識別子であると仮定される。受信されたDSクエリはDSサーバにおいて処理され(C)、例えば、DSサーバ記憶領域103-1に格納されたサービス(IDSRV‐X)及びユーザ(150)に対するROが存在しないことが分かる。上述のように、DSサーバは、ユーザに対してアイデンティティサービスIDSRV‐Xを登録するために対応するROを提供することを続行する前に、ユーザ150と対話してもよい(A)。
【0085】
図8は、DSサーバ100が選択されたSP140に対して提供の要求を送信する(フロー428B)上述の可能な方法を示している。その結果、DS更新(フロー429)は、そのユーザ及び指示されたサービス(例えば、RO02X)に対するROを搬送するSP140から受信され、それは、ユーザに対するDSサーバによりRO記憶領域(103‐1)に格納される(430)。次にDSサーバは、最近登録されたRO(RO02X)を含む受信されたDSクエリ(フロー4210)に対するDS応答を送信する(フロー4216B)。その後、WSCとして動作するSP110は、受信したRO(RO02X)のデータを使用して、SP140にアクセスする(フロー207)。SP140は、要求されたアイデンティティサービスを供給するWSPとして動作する。SP110がSP140に対して要求する動作の種類に応じて(本質的にはサービスに対して規定された動作におけるサービスの特質に応じて)、WSC(SP110)とWSP(SP140)との対話は、図8に示す1往復以上の通信を含んでもよい。例えば、フロー208は、単純な動作(例えば、カレンダデータの読出し又は更新)に対する応答を表してもよいが、より複雑な動作に対しては、より多くの信号フローが存在するだろう。
【0086】
図9のフロー411、204及び4210は、図8を参照して説明されたように実行され且つ処理される。しかし、図9は、SP140に提供の要求を送信するための別の方法及びユーザと接続するための方法を示す。
【0087】
フロー4213Aにおいて、リダイレクションがSP110に送信される。リダイレクションは、前記SPが有するユーザ150との通信をDSサーバ100に対してリダイレクトすることを要求し、DSサーバと接続するために使用可能な参照情報(例えば、DSサーバのサービスポイントにマップするURL)を含んでもよい(例えば、ユーザにとってDSサーバが不明であると考えられる場合)。ユーザは、その後リダイレクトされ、DSサーバとの通信を開始する(フロー420)。DSサーバは、例えばユーザ基本設定を収集してSPを選択するために又は提供されるサービスに対するサービス関連データを収集するために、ユーザ150と対話してもよい(A)。ユーザ150との通信は、選択されたSP140にリダイレクトされる(フロー428A)。ユーザ150とSP140との間の後続する通信は、特に、他のいくつかの実施形態に従ってDSサーバにより収集される先に参照されたデータと同一の種類のデータを収集するため、又は前記データの収集を完了するために使用されてもよい(例えば、DSサーバが必要な全てのデータをユーザから収集しなかった場合)。
【0088】
その後、DS更新(フロー429)は、ユーザ及び指示されたサービス(例えば、RO02X)に対するROを搬送するSP140から受信され、図8の先の例のフローと同様に、ユーザに対するDSサーバによりRO記憶領域(103‐1)に格納される(430)。SP140は、ユーザ150との通信をDSサーバ100にリダイレクトする(フロー4215)。上述のように、このリダイレクションは、生成されたRO(RO02X)を搬送してもよく、それによりDS更新の送信(429)を不必要にする。DSサーバにおけるユーザとの通信は、クエリしているSP110に対してリダイレクトされる(フロー4216A)。ここで、前記リダイレクションは、アイデンティティサービスが提供されたことを示す指標、又は、要求されたアイデンティティサービスにアクセスするのに使用可能な対応するRO(RO2X)を含んでもよい。あるいは、それら連鎖リダイレクションは、SP110にアドレス指定された戻り情報を含むことにより低減される。それにより、SP140は、ユーザを直接SP110に対してリダイレクトすることが可能になる(これは、DS更新の送信429を必要にするだろう)。
【0089】
図9に示される後続するフローは、ROがSP110に送信されていないことを考慮する。フロー4217Aにおいて、DSクエリが受信され、新しく登録されたRO(RO02X)を要求する。これに対して、フロー4218Aにおいて、DSサーバ100からDS応答で返答される。後続するフロー207及び208は、図8を参照して説明したように実行される。
【0090】
図7又は図8には示さないが、例えばユーザが要求したサービスが完全に達成されたことを確認するために、要求したアイデンティティサービスにSP110からアクセスした結果、SP110とユーザ150との間で更なる対話が行なわれる。上述の例に続き、SP100は、ユーザ150のカレンダが更新されたことをユーザ150に更に指示してもよい。
【0091】
最新技術の通信システムにおけるサーバエンティティは、一般に、コンピュータを使用するマシンにおいて実現される。従って、コンピュータ可読プログラムコードを含むコンピュータプログラムは、通信システムのコンピュータを使用するサーバエンティティにロードされ、それにより、前記サーバエンティティの各々は、それぞれの特定の機能性に従った所定の方法に応じて動作する。当業者は、コンピュータを使用するDSサーバにロードされることを意図されたコンピュータプログラムについて、作成と変更との少なくともいずれかを行う際、本発明の範囲から逸脱せずに、コンピュータプログラムの作成と変更との少なくともいずれかを行うのにそれら技術を容易に適用できる。それらコンピュータプログラムは、コンピュータを使用するDSサーバにおいて実行される際、DSサーバを上述の任意の実施形態に従って動作させる。
【0092】
例示としての限定しない方法で、いくつかの好適な実施形態に関して本発明を説明した。当業者には、種々の変形例が容易に理解される。そのため、本発明は、請求の範囲を考慮して解釈され限定される。
【図面の簡単な説明】
【0093】
【図1】最新技術によるアイデンティティ連携フレームワークにおける協働するいくつかのエンティティを示す概略図である。
【図2】ディスカバリサービスサーバにおいてアイデンティティサービスをサービスプロバイダから登録し、前記アイデンティティサービスにアクセスする最新技術による簡略化された信号フローを示す図である。
【図3】図1に示される図と同様の図であり、本発明によるいくつかの機能モジュール及びディスカバリサービスサーバのデータ内容を概略的に示す図である。
【図4】本発明による方法を示す簡略化されたフローチャートである。
【図5】図4の簡略化されたフローチャートに示されるステップの実施形態を示す詳細なフローチャートである。
【図6】図4の簡略化されたフローチャートに示されるステップの実施形態を示す詳細なフローチャートである。
【図7】図4の簡略化されたフローチャートに示されるステップの実施形態を示す詳細なフローチャートである。
【図8】図5〜図7のフローチャートに示される実施形態のうちいくつかの実施形態に対応する簡略化された信号フローを示す図である。
【図9】図5〜図7のフローチャートに示される実施形態のうちいくつかの実施形態に対応する簡略化された信号フローを示す図である。
【特許請求の範囲】
【請求項1】
ディスカバリサーバ(100)からユーザのアイデンティティサービスに対するアクセス権を提供する方法であって、
a)前記ユーザの登録アイデンティティサービスに対するリソースオファリング(RO2A)を前記ディスカバリサービスサーバに格納するステップ(203)であって、前記アイデンティティサービスはサービスプロバイダ(130)により提供され、前記リソースオファリングは前記アイデンティティサービスにアクセスするために前記サービスプロバイダと接続するのに使用可能な参照情報を有する、ステップと、
b)前記ユーザのリソースオファリングを取得するために、前記ディスカバリサービスサーバにおいてディスカバリサービスクエリを受信するステップ(205)と、
c)前記ユーザの登録アイデンティティサービスのリソースオファリングを含むディスカバリサービス応答で前記クエリに返答するステップ(206)と、
を備え、
ユーザの未登録アイデンティティサービスに対するアクセス権を前記ディスカバリサービスサーバから提供するために、
d)前記ユーザの前記未登録アイデンティティサービスを提供するサービスプロバイダ(140)を前記ディスカバリサービスサーバから選択するステップ(42)と、
e)前記選択されたサービスプロバイダにより提供されたときに前記ユーザの前記アイデンティティサービスを登録するために、リソースオファリング(RO2X)を前記ディスカバリサービスサーバに格納するステップ(43)と、
を更に備えることを特徴とする方法。
【請求項2】
前記ステップ「d」は、
d.1)前記アイデンティティサービスを提供できるサービスプロバイダを選択するために、サービス機能記憶領域(103‐2、301)をチェックするステップ(42‐Q、42‐R)
を備え、
前記サービス機能記憶領域は、サービスプロバイダの少なくとも1つの識別子(SP‐140)と、前記サービスプロバイダから提供される少なくとも1つのアイデンティティサービス(IDSRV‐X)の少なくとも1つの識別子と、
を有する請求項1記載の方法。
【請求項3】
前記ステップ「d.1」のチェックは周期的に繰り返される(413)請求項2記載の方法。
【請求項4】
d.0)前記ディスカバリサービスサーバに前記サーバ機能記憶領域(103‐2)を格納する先行するステップを更に備え、
前記ステップ「d.1」は、前記ディスカバリサービスサーバに格納された内部サービス機能記憶領域をチェックするステップを備える
請求項2又は3記載の方法。
【請求項5】
f)前記ディスカバリサービスサーバにおいて、サービスプロバイダから提供されるアイデンティティサービスの識別子を有する機能登録を前記サービスプロバイダから受信するステップ(411)と、
g)前記ディスカバリサービスサーバに格納される前記サーバ機能記憶領域(103‐2)を前記機能登録の内容で更新するステップ(412)と、
を更に備える請求項4記載の方法。
【請求項6】
前記ステップ「d.1」は、
d.1.1)アイデンティティサービスの識別子を有するサービス機能クエリを外部サービス機能記憶領域(301)に送信するステップ(42‐Q)と、
d.1.2)前記アイデンティティサービスを提供できるサービスプロバイダの識別子を有する前記クエリに対する応答を受信するステップ(42‐R)と、
を備える請求項2又は3記載の方法。
【請求項7】
h)前記ディスカバリサービスサーバにおいて、第1のアイデンティティサービス(IDSRV‐X)をユーザの前記登録アイデンティティサービスに対して登録された前記リソースオファリング(RO2A)と比較してチェックし、前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスであるかを判定する先行するステップ(414、421、4211)
を更に備える請求項1から6のいずれか1項に記載の方法。
【請求項8】
前記ステップ「h」は、
‐請求項1のステップ「b」に記載されるように、前記ディスカバリサービスサーバにおけるディスカバリサービスクエリを受信すること(205、4210)と、
‐請求項5のステップ「f」に記載されるように、前記ディスカバリサービスサーバにおけるサービスプロバイダから機能登録を受信すること(411)と、
‐請求項3に記載されるように、サービス機能記憶領域を周期的にチェックすること(413)と、
‐前記ディスカバリサービスサーバにおいて前記ユーザから通信を受信すること(420)と、
から選択される少なくとも1つのステップの後に実行される
請求項7記載の方法。
【請求項9】
i)前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスである場合、前記ユーザとの通信の確立の要求を前記ディスカバリサービスサーバから送信するステップ(416、4214B、4213A)と、
j.0)前記確立の要求に対する応答として、前記ディスカバリサービスサーバにおいて前記ユーザから通信を受信するステップ(420)と、
を更に備える請求項7記載の方法。
【請求項10】
j.1)前記ディスカバリサービスサーバにおいて、通信において前記ユーザにより指示されるサービスプロバイダ基本設定(SP‐PREF)を有する前記ユーザからの前記通信を受信するステップ(425)を更に備え、
前記ステップ「d」は、
d.2)前記サービスプロバイダ基本設定に従って、前記アイデンティティサービスを提供できる複数のサービスプロバイダから1つのサービスプロバイダを選択するステップ(426)を備える
請求項1から9のいずれか1項に記載の方法。
【請求項11】
j.2)前記ディスカバリサービスサーバにおいて、通信において前記ユーザにより指示されるサービス関連データ(SRV-DAT)を有する前記ユーザからの前記通信を受信するステップ(425)を更に備え、
前記サービス関連データは、選択されたサービスプロバイダからの前記アイデンティティサービスの提供に使用可能である
請求項1から10のいずれか1項に記載の方法。
【請求項12】
前記ステップ「d」は、
d.3)前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供の要求を前記ディスカバリサービスサーバから前記選択されたサービスプロバイダに送信するステップ(428A、428B)と、
d.4)前記要求の結果、前記ディスカバリサービスサーバにおいて、前記ユーザの前記アイデンティティサービスを前記ディスカバリサービスサーバに登録するためのリソースオファリング(RO2X)を有するディスカバリサービス更新を前記選択されたサービスプロバイダから受信するステップ(429)と、
を更に備え、
前記ステップ「e」は、前記受信したリソースオファリングを前記ディスカバリサービスサーバに格納するステップ(430)を備える
請求項1から11のいずれか1項に記載の方法。
【請求項13】
ステップ「d.3」で送信された前記提供の要求は、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供に使用可能なサービス関連データを有する
請求項12記載の方法。
【請求項14】
前記サービス関連データは、前記ステップ「j.2」で受信した前記サービス関連データ(SRV‐DAT)の少なくとも一部を有する請求項13記載の方法。
【請求項15】
前記ステップ「d.3」は、
d.3.1)前記ディスカバリサービスサーバにおいて受信された受信ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答に含まれる前記提供の要求を送信するステップ(428A)と、
d.3.2)前記ディスカバリサービスサーバと前記ユーザとの間に確立された通信を前記選択されたサービスプロバイダにリダイレクトするリダイレクション要求に含まれる前記提供の要求を送信するステップ(428A)と、
d.3.3)前記ディスカバリサービスサーバから前記選択されたサービスプロバイダに前記提供の要求を直接送信するステップ(428B)とから選択される1つのステップと、
を備える請求項12から14のいずれか1項に記載の方法。
【請求項16】
ユーザのアイデンティティサービスに対するアクセス権を提供するディスカバリサービスサーバ(100)であって、
‐ユーザの登録アイデンティティサービスに対するリソースオファリング(RO2A)を格納する第1のデータ記憶領域(103‐1)を有するデータ記憶モジュール(103)であり、前記アイデンティティサービスは、サービスプロバイダ(130)により提供され、前記リソースオファリングは、前記アイデンティティサービスにアクセスするために前記サービスプロバイダと接続するのに使用可能な参照情報を有するデータ記憶モジュール(103)と、
‐他の通信エンティティ(110、120、130、140、150、301)と通信するために信号を交換する通信モジュール(102)と、
‐前記信号を処理し且つ前記データ記憶モジュールのデータの格納及び検索を制御する処理モジュール(101)とを具備し、
前記信号は、
‐ユーザのリソースオファリングを取得するためにディスカバリサービスクエリを受信すること(205)と、
‐前記ユーザの登録アイデンティティサービスのリソースオファリングが含まれるディスカバリサービス応答を送信すること(206)と
を少なくとも有し、
前記処理モジュールは、前記第1のデータ記憶領域の内容をチェックし且つ前記通信モジュールに前記ディスカバリ応答を送信するように指示するために、ディスカバリクエリの受信に応答可能であるディスカバリサービスサーバであって、
ユーザの未登録アイデンティティサービスに対するアクセス権を提供するために、前記処理モジュールは、
‐前記ユーザの前記未登録アイデンティティサービスを提供するサービスプロバイダ(140)を選択し、
‐前記選択されたサービスプロバイダにより提供された時に前記ユーザの前記アイデンティティサービスを登録するために、リソースオファリング(RO2X)を前記第1のデータ記憶領域に格納するように構成されることを特徴とするディスカバリサービスサーバ。
【請求項17】
前記サービスプロバイダを選択するために、前記処理モジュールは、サービスプロバイダの少なくとも1つの識別子(SP‐140)及び前記サービスプロバイダから提供される少なくとも1つのアイデンティティサービスの少なくとも1つの識別子(IDSRV‐X)を有するサービス機能記憶領域(103‐2、301)をチェックする(42‐Q、42‐R)ように構成される
請求項16記載のディスカバリサービスサーバ。
【請求項18】
前記処理モジュールは、前記チェックを周期的に繰り返す(413)ように構成される請求項17記載のディスカバリサービスサーバ。
【請求項19】
前記データ記憶モジュール(103)は、
前記サーバ機能記憶領域を格納する第2のデータ記憶領域(103‐2)を更に具備し、
前記処理モジュールは、前記サービスプロバイダを選択するために前記ディスカバリサービスサーバの前記第2のデータ記憶領域をチェックするように構成される
請求項17又は18記載のディスカバリサービスサーバ。
【請求項20】
前記通信モジュールは、
サービスプロバイダから提供されるアイデンティティサービスの識別子を有する機能登録を前記サービスプロバイダから受信する(411)ように構成され、
前記処理モジュールは、前記第2のデータ記憶領域(103‐2)の内容を前記機能登録の内容で更新する(412)ために、前記機能登録の受信に応答可能である
請求項19記載のディスカバリサービスサーバ。
【請求項21】
前記処理モジュールは、アイデンティティサービスの識別子を有するサービス機能クエリを外部サービス機能記憶領域(301)に送信する(42‐Q)ことを前記通信モジュールに指示するように構成され、
前記通信モジュールは、前記アイデンティティサービスを提供できるサービスプロバイダの識別子を有する前記クエリに対する応答を受信する(42‐R)ように構成され、
前記処理モジュールは、前記応答の内容に応じてサービスプロバイダを選択するために、前記応答の受信に応答可能である
請求項17又は18記載のディスカバリサービスサーバ。
【請求項22】
前記処理モジュールは、
第1のアイデンティティサービス(IDSRV‐X)を前記第1のデータ記憶領域のユーザの前記登録アイデンティティサービスに対して格納された前記リソースオファリング(RO2A)と比較してチェックし(414、421、4211)、前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスであるかを判定するように構成される
請求項16から21のいずれか1項に記載のディスカバリサービスサーバ。
【請求項23】
前記処理モジュールは、
‐請求項16に記載されるように、前記ユーザのリソースオファリングを取得することを要求するディスカバリサービスクエリを受信する(205、4210)際、又は
‐請求項20に記載されるように、サービスプロバイダから機能登録を受信する(411)際、又は
‐請求項18に記載されるように、サービス機能記憶領域を周期的にチェックする(413)際、又は
‐前記ディスカバリサービスサーバにおいて前記ユーザから通信を受信する(420)際に、前記第1のアイデンティティサービス及び前記ユーザに対する前記チェックを実行するように応答可能である
請求項22記載のディスカバリサービスサーバ。
【請求項24】
前記処理モジュールは、ユーザとの通信の確立の要求を送信することを前記通信モジュールに指示する(416、4214B、4213A)ために、前記ユーザの未登録アイデンティティサービスの検出に応答可能である
請求項22記載のディスカバリサービスサーバ。
【請求項25】
前記通信モジュールは、前記ユーザにより指示されたサービスプロバイダ基本設定(SP‐PREF)を有する前記ユーザからの通信を受信する(425)ように構成され、
前記処理モジュールは、前記サービスプロバイダ基本設定に従ってサービスプロバイダを選択するために、前記通信に応答可能である
請求項16から24のいずれか1項に記載のディスカバリサービスサーバ。
【請求項26】
前記通信モジュールは、前記ユーザにより指示されたサービス関連データ(SRV‐DAT)を有する前記ユーザからの通信を受信する(425)ように構成され、
前記サービス関連データは、選択されたサービスプロバイダからの前記アイデンティティサービスの提供に使用可能である
請求項16から25のいずれか1項に記載のディスカバリサービスサーバ。
【請求項27】
ユーザの未登録アイデンティティサービスに対するアクセス権を提供するために、前記処理モジュールは、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供の要求(428A、428B)を前記選択されたサービスプロバイダに送信することを前記通信モジュールに指示するように更に構成される
請求項16から26のいずれか1項に記載のディスカバリサービスサーバ。
【請求項28】
前記提供の要求(428A、428B)は、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供に使用可能であるサービス関連データを備える
請求項27記載のディスカバリサービスサーバ。
【請求項29】
前記サービス関連データは、前記ユーザからの通信で受信される前記サービス関連データ(SRV‐DAT)の少なくとも一部を備える
請求項28記載のディスカバリサービスサーバ。
【請求項30】
前記提供の要求は、
‐前記ディスカバリサービスサーバにおいて受信される受信ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答(428A)に含まれるか、又は
‐前記ディスカバリサービスサーバと前記ユーザとの間に確立された通信を前記選択されたサービスプロバイダにリダイレクトするリダイレクション要求(428A)に含まれるか、又は
‐前記ディスカバリサービスサーバから前記サービスプロバイダに対する直接通信(428A)に含まれる
請求項27から29のいずれか1項に記載のディスカバリサービスサーバ。
【請求項31】
前記通信モジュールは、前記提供の要求(428A、428B)の結果、前記ディスカバリサービスサーバに前記ユーザの前記アイデンティティサービスを登録するためのリソースオファリング(RO2X)を有するディスカバリサービス更新(429)を前記選択されたサービスプロバイダから受信するように構成され、
前記処理モジュールは、前記受信したリソースオファリングを前記第1のデータ記憶領域(103‐1)に格納する(430)ために、前記ディスカバリサービス更新の受信に応答可能である
請求項27から30のいずれか1項に記載のディスカバリサービスサーバ。
【請求項32】
前記データ記憶モジュール(103)は少なくとも1つのデータ記憶領域(1030)を具備し、
前記通信モジュール(102)は、信号を交換する少なくとも1つの通信装置(1021)を具備し、
前記処理モジュール(101)は、通信装置により受信される前記信号を処理し且つ送信される前記信号の送信を通信装置に指示する少なくとも1つのプロセッサ(1010)を具備する
請求項16から31のいずれか1項に記載のディスカバリサービスサーバ。
【請求項33】
コンピュータを使用するディスカバリサービスサーバ(100)からユーザのアイデンティティサービスに対するアクセス権を提供するコンピュータプログラムであって、
‐前記コンピュータを使用するディスカバリサービスサーバによって前記ユーザの登録アイデンティティサービスに対するリソースオファリング(RO2A)を格納する(203)ためのコンピュータ可読プログラムコードであり、前記アイデンティティサービスは、サービスプロバイダ(130)により提供され、前記リソースオファリングは、前記アイデンティティサービスにアクセスするために前記サービスプロバイダと接続するのに使用可能な参照情報を有するコンピュータ可読プログラムコードと、
‐前記ユーザのリソースオファリングを取得することを要求するディスカバリサービスクエリ(205)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理し、前記コンピュータを使用するディスカバリサービスサーバによって前記ユーザの登録アイデンティティサービスのリソースオファリングが含まれるディスカバリサービス応答(206)で前記クエリに返答するためのコンピュータ可読プログラムコードと、
を備えるコンピュータプログラムであって、
ユーザの未登録アイデンティティサービスに対するアクセス権を前記ディスカバリサービスサーバから提供するために、
‐前記ユーザに対して前記未登録アイデンティティサービスを提供するサービスプロバイダ(140)を前記コンピュータを使用するディスカバリサービスサーバによって選択する(42)ためのコンピュータ可読プログラムコードと、
‐前記選択されたサービスプロバイダにより提供された時に前記ユーザの前記アイデンティティサービスを登録するためにリソースオファリング(RO2X)を前記コンピュータを使用するディスカバリサービスサーバによって格納する(43)ためのコンピュータ可読プログラムコードと、
を更に備えることを特徴とするコンピュータプログラム。
【請求項34】
前記アイデンティティサービスを提供できるサービスプロバイダを選択するためにサービス機能記憶領域(103‐2、301)を前記コンピュータを使用するディスカバリサービスサーバによってチェックする(42‐Q、42‐R)ためのコンピュータ可読プログラムコードを更に備え、
前記サービス機能記憶領域は、サービスプロバイダの少なくとも1つの識別子(SP‐140)及び前記サービスプロバイダから提供される少なくとも1つのアイデンティティサービスの少なくとも1つの識別子(IDSRV‐X)を備える
請求項33記載のコンピュータプログラム。
【請求項35】
前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを周期的に繰り返す(413)ためのコンピュータ可読プログラムコードを更に備える
請求項34記載のコンピュータプログラム。
【請求項36】
前記コンピュータを使用するディスカバリサービスサーバによって前記ディスカバリサービスサーバに前記サービス機能記憶領域(103‐2)を格納するためのコンピュータ可読プログラムコードと、
前記コンピュータを使用するディスカバリサービスサーバによって前記内部サービス機能記憶領域をチェックし、前記サービスプロバイダを選択するためのコンピュータ可読プログラムコードと、
を更に備える請求項34又は35記載のコンピュータプログラム。
【請求項37】
サービスプロバイダからの機能登録(411)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理し、前記コンピュータを使用するディスカバリサービスサーバによって前記内部サービス機能記憶領域(103‐2)の内容を前記機能登録の内容で更新する(412)ためのコンピュータ可読プログラムコードを更に備え、
前記機能登録は、前記サービスプロバイダから提供されるアイデンティティサービスの識別子を備える
請求項36記載のコンピュータプログラム。
【請求項38】
前記コンピュータを使用するディスカバリサービスサーバによってアイデンティティサービスの識別子を有するサービス機能クエリ(42‐Q)を外部サービス機能記憶領域(301)に送信して、応答の内容に従ってサービスプロバイダを選択するようにアイデンティティサービスを提供できる前記サービスプロバイダの識別子を有する前記クエリに対する前記応答(42‐R)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理するためのコンピュータ可読プログラムコードを更に備える
請求項34又は35記載のコンピュータプログラム。
【請求項39】
前記コンピュータを使用するディスカバリサービスサーバによって第1のアイデンティティサービス(IDSRV‐X)をユーザの登録アイデンティティサービスに対して格納された前記リソースオファリング(RO2A)と比較してチェックし(414、421、4211)、前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスであるかを判定するためのコンピュータ可読プログラムコードを更に備える
請求項33から38のいずれか1項に記載のコンピュータプログラム。
【請求項40】
前記チェックを行なうための前記コンピュータ可読プログラムコードは、
‐請求項33に記載されるように、前記ユーザのリソースオファリングを取得することを要求するディスカバリサービスクエリ(205、4210)の受信の処理の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードと、
‐請求項37に記載されるように、サービスプロバイダからの機能登録(411)の受信の処理の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードと、
‐請求項35に記載されるように、サービス機能記憶領域の周期的なチェック(413)の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードと、
‐前記ディスカバリサービスサーバにおける前記ユーザからの通信(420)の受信の処理の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードとから選択される少なくとも1つのコンピュータ可読プログラムコードと、
を備える請求項39記載のコンピュータプログラム。
【請求項41】
前記ユーザとの通信の確立の要求(416、4214B、4213A)を前記コンピュータを使用するディスカバリサービスサーバによって送信するためのコンピュータ可読プログラムコードを更に備える
請求項39記載のコンピュータプログラム。
【請求項42】
前記ユーザにより指示されるサービスプロバイダ基本設定(SP‐PREF)を有する前記ユーザからの通信の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理し、前記サービスプロバイダ基本設定に従ってサービスプロバイダを選択するためのコンピュータ可読プログラムコードを更に備える
請求項33から41のいずれか1項に記載のコンピュータプログラム。
【請求項43】
前記ユーザにより指示されるサービス関連データ(SRV‐DAT)を有する前記ユーザからの通信(425)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理するためのコンピュータ可読プログラムコードを更に備え、
前記サービス関連データは、選択されたサービスプロバイダからの前記アイデンティティサービスの提供に使用可能である
請求項33から42のいずれか1項に記載のコンピュータプログラム。
【請求項44】
前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供の要求(428A、428B)を前記コンピュータを使用するディスカバリサービスサーバによって前記選択されたサービスプロバイダに送信するためのコンピュータ可読プログラムを更に備える
請求項33から43のいずれか1項に記載のコンピュータプログラム。
【請求項45】
前記提供の要求(428A、428B)は、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供に使用可能なサービス関連データを有する
請求項44記載のコンピュータプログラム。
【請求項46】
前記サービス関連データは、前記ユーザからの通信において受信される前記サービス関連データ(SRV‐DAT)の少なくとも一部を有する
請求項45記載のコンピュータプログラム。
【請求項47】
前記提供の要求は、
‐前記コンピュータを使用するディスカバリサービスサーバにおいて受信される受信ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答(428A)に含まれるか、又は
‐前記コンピュータを使用するディスカバリサービスサーバと前記ユーザとの間に確立された通信を前記選択されたサービスプロバイダにリダイレクトするリダイレクション要求(428A)に含まれるか、又は
‐前記コンピュータを使用するディスカバリサービスサーバから前記サービスプロバイダに対する直接通信(428B)に含まれる
請求項44から46のいずれか1項に記載のコンピュータプログラム。
【請求項48】
前記提供の要求(428A、428B)の結果、前記ユーザの前記アイデンティティサービスを登録するために前記受信リソースオファリングを格納するように(430)、前記ユーザの前記アイデンティティサービスを前記ディスカバリサービスサーバに登録するためのリソースオファリング(RO2X)を有するディスカバリサービス更新(429)の前記選択されたサービスプロバイダからの受信を前記コンピュータを使用するディスカバリサービスサーバによって処理するためのコンピュータ可読プログラムコードを更に備える
請求項44から47のいずれか1項に記載のコンピュータプログラム。
【請求項1】
ディスカバリサーバ(100)からユーザのアイデンティティサービスに対するアクセス権を提供する方法であって、
a)前記ユーザの登録アイデンティティサービスに対するリソースオファリング(RO2A)を前記ディスカバリサービスサーバに格納するステップ(203)であって、前記アイデンティティサービスはサービスプロバイダ(130)により提供され、前記リソースオファリングは前記アイデンティティサービスにアクセスするために前記サービスプロバイダと接続するのに使用可能な参照情報を有する、ステップと、
b)前記ユーザのリソースオファリングを取得するために、前記ディスカバリサービスサーバにおいてディスカバリサービスクエリを受信するステップ(205)と、
c)前記ユーザの登録アイデンティティサービスのリソースオファリングを含むディスカバリサービス応答で前記クエリに返答するステップ(206)と、
を備え、
ユーザの未登録アイデンティティサービスに対するアクセス権を前記ディスカバリサービスサーバから提供するために、
d)前記ユーザの前記未登録アイデンティティサービスを提供するサービスプロバイダ(140)を前記ディスカバリサービスサーバから選択するステップ(42)と、
e)前記選択されたサービスプロバイダにより提供されたときに前記ユーザの前記アイデンティティサービスを登録するために、リソースオファリング(RO2X)を前記ディスカバリサービスサーバに格納するステップ(43)と、
を更に備えることを特徴とする方法。
【請求項2】
前記ステップ「d」は、
d.1)前記アイデンティティサービスを提供できるサービスプロバイダを選択するために、サービス機能記憶領域(103‐2、301)をチェックするステップ(42‐Q、42‐R)
を備え、
前記サービス機能記憶領域は、サービスプロバイダの少なくとも1つの識別子(SP‐140)と、前記サービスプロバイダから提供される少なくとも1つのアイデンティティサービス(IDSRV‐X)の少なくとも1つの識別子と、
を有する請求項1記載の方法。
【請求項3】
前記ステップ「d.1」のチェックは周期的に繰り返される(413)請求項2記載の方法。
【請求項4】
d.0)前記ディスカバリサービスサーバに前記サーバ機能記憶領域(103‐2)を格納する先行するステップを更に備え、
前記ステップ「d.1」は、前記ディスカバリサービスサーバに格納された内部サービス機能記憶領域をチェックするステップを備える
請求項2又は3記載の方法。
【請求項5】
f)前記ディスカバリサービスサーバにおいて、サービスプロバイダから提供されるアイデンティティサービスの識別子を有する機能登録を前記サービスプロバイダから受信するステップ(411)と、
g)前記ディスカバリサービスサーバに格納される前記サーバ機能記憶領域(103‐2)を前記機能登録の内容で更新するステップ(412)と、
を更に備える請求項4記載の方法。
【請求項6】
前記ステップ「d.1」は、
d.1.1)アイデンティティサービスの識別子を有するサービス機能クエリを外部サービス機能記憶領域(301)に送信するステップ(42‐Q)と、
d.1.2)前記アイデンティティサービスを提供できるサービスプロバイダの識別子を有する前記クエリに対する応答を受信するステップ(42‐R)と、
を備える請求項2又は3記載の方法。
【請求項7】
h)前記ディスカバリサービスサーバにおいて、第1のアイデンティティサービス(IDSRV‐X)をユーザの前記登録アイデンティティサービスに対して登録された前記リソースオファリング(RO2A)と比較してチェックし、前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスであるかを判定する先行するステップ(414、421、4211)
を更に備える請求項1から6のいずれか1項に記載の方法。
【請求項8】
前記ステップ「h」は、
‐請求項1のステップ「b」に記載されるように、前記ディスカバリサービスサーバにおけるディスカバリサービスクエリを受信すること(205、4210)と、
‐請求項5のステップ「f」に記載されるように、前記ディスカバリサービスサーバにおけるサービスプロバイダから機能登録を受信すること(411)と、
‐請求項3に記載されるように、サービス機能記憶領域を周期的にチェックすること(413)と、
‐前記ディスカバリサービスサーバにおいて前記ユーザから通信を受信すること(420)と、
から選択される少なくとも1つのステップの後に実行される
請求項7記載の方法。
【請求項9】
i)前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスである場合、前記ユーザとの通信の確立の要求を前記ディスカバリサービスサーバから送信するステップ(416、4214B、4213A)と、
j.0)前記確立の要求に対する応答として、前記ディスカバリサービスサーバにおいて前記ユーザから通信を受信するステップ(420)と、
を更に備える請求項7記載の方法。
【請求項10】
j.1)前記ディスカバリサービスサーバにおいて、通信において前記ユーザにより指示されるサービスプロバイダ基本設定(SP‐PREF)を有する前記ユーザからの前記通信を受信するステップ(425)を更に備え、
前記ステップ「d」は、
d.2)前記サービスプロバイダ基本設定に従って、前記アイデンティティサービスを提供できる複数のサービスプロバイダから1つのサービスプロバイダを選択するステップ(426)を備える
請求項1から9のいずれか1項に記載の方法。
【請求項11】
j.2)前記ディスカバリサービスサーバにおいて、通信において前記ユーザにより指示されるサービス関連データ(SRV-DAT)を有する前記ユーザからの前記通信を受信するステップ(425)を更に備え、
前記サービス関連データは、選択されたサービスプロバイダからの前記アイデンティティサービスの提供に使用可能である
請求項1から10のいずれか1項に記載の方法。
【請求項12】
前記ステップ「d」は、
d.3)前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供の要求を前記ディスカバリサービスサーバから前記選択されたサービスプロバイダに送信するステップ(428A、428B)と、
d.4)前記要求の結果、前記ディスカバリサービスサーバにおいて、前記ユーザの前記アイデンティティサービスを前記ディスカバリサービスサーバに登録するためのリソースオファリング(RO2X)を有するディスカバリサービス更新を前記選択されたサービスプロバイダから受信するステップ(429)と、
を更に備え、
前記ステップ「e」は、前記受信したリソースオファリングを前記ディスカバリサービスサーバに格納するステップ(430)を備える
請求項1から11のいずれか1項に記載の方法。
【請求項13】
ステップ「d.3」で送信された前記提供の要求は、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供に使用可能なサービス関連データを有する
請求項12記載の方法。
【請求項14】
前記サービス関連データは、前記ステップ「j.2」で受信した前記サービス関連データ(SRV‐DAT)の少なくとも一部を有する請求項13記載の方法。
【請求項15】
前記ステップ「d.3」は、
d.3.1)前記ディスカバリサービスサーバにおいて受信された受信ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答に含まれる前記提供の要求を送信するステップ(428A)と、
d.3.2)前記ディスカバリサービスサーバと前記ユーザとの間に確立された通信を前記選択されたサービスプロバイダにリダイレクトするリダイレクション要求に含まれる前記提供の要求を送信するステップ(428A)と、
d.3.3)前記ディスカバリサービスサーバから前記選択されたサービスプロバイダに前記提供の要求を直接送信するステップ(428B)とから選択される1つのステップと、
を備える請求項12から14のいずれか1項に記載の方法。
【請求項16】
ユーザのアイデンティティサービスに対するアクセス権を提供するディスカバリサービスサーバ(100)であって、
‐ユーザの登録アイデンティティサービスに対するリソースオファリング(RO2A)を格納する第1のデータ記憶領域(103‐1)を有するデータ記憶モジュール(103)であり、前記アイデンティティサービスは、サービスプロバイダ(130)により提供され、前記リソースオファリングは、前記アイデンティティサービスにアクセスするために前記サービスプロバイダと接続するのに使用可能な参照情報を有するデータ記憶モジュール(103)と、
‐他の通信エンティティ(110、120、130、140、150、301)と通信するために信号を交換する通信モジュール(102)と、
‐前記信号を処理し且つ前記データ記憶モジュールのデータの格納及び検索を制御する処理モジュール(101)とを具備し、
前記信号は、
‐ユーザのリソースオファリングを取得するためにディスカバリサービスクエリを受信すること(205)と、
‐前記ユーザの登録アイデンティティサービスのリソースオファリングが含まれるディスカバリサービス応答を送信すること(206)と
を少なくとも有し、
前記処理モジュールは、前記第1のデータ記憶領域の内容をチェックし且つ前記通信モジュールに前記ディスカバリ応答を送信するように指示するために、ディスカバリクエリの受信に応答可能であるディスカバリサービスサーバであって、
ユーザの未登録アイデンティティサービスに対するアクセス権を提供するために、前記処理モジュールは、
‐前記ユーザの前記未登録アイデンティティサービスを提供するサービスプロバイダ(140)を選択し、
‐前記選択されたサービスプロバイダにより提供された時に前記ユーザの前記アイデンティティサービスを登録するために、リソースオファリング(RO2X)を前記第1のデータ記憶領域に格納するように構成されることを特徴とするディスカバリサービスサーバ。
【請求項17】
前記サービスプロバイダを選択するために、前記処理モジュールは、サービスプロバイダの少なくとも1つの識別子(SP‐140)及び前記サービスプロバイダから提供される少なくとも1つのアイデンティティサービスの少なくとも1つの識別子(IDSRV‐X)を有するサービス機能記憶領域(103‐2、301)をチェックする(42‐Q、42‐R)ように構成される
請求項16記載のディスカバリサービスサーバ。
【請求項18】
前記処理モジュールは、前記チェックを周期的に繰り返す(413)ように構成される請求項17記載のディスカバリサービスサーバ。
【請求項19】
前記データ記憶モジュール(103)は、
前記サーバ機能記憶領域を格納する第2のデータ記憶領域(103‐2)を更に具備し、
前記処理モジュールは、前記サービスプロバイダを選択するために前記ディスカバリサービスサーバの前記第2のデータ記憶領域をチェックするように構成される
請求項17又は18記載のディスカバリサービスサーバ。
【請求項20】
前記通信モジュールは、
サービスプロバイダから提供されるアイデンティティサービスの識別子を有する機能登録を前記サービスプロバイダから受信する(411)ように構成され、
前記処理モジュールは、前記第2のデータ記憶領域(103‐2)の内容を前記機能登録の内容で更新する(412)ために、前記機能登録の受信に応答可能である
請求項19記載のディスカバリサービスサーバ。
【請求項21】
前記処理モジュールは、アイデンティティサービスの識別子を有するサービス機能クエリを外部サービス機能記憶領域(301)に送信する(42‐Q)ことを前記通信モジュールに指示するように構成され、
前記通信モジュールは、前記アイデンティティサービスを提供できるサービスプロバイダの識別子を有する前記クエリに対する応答を受信する(42‐R)ように構成され、
前記処理モジュールは、前記応答の内容に応じてサービスプロバイダを選択するために、前記応答の受信に応答可能である
請求項17又は18記載のディスカバリサービスサーバ。
【請求項22】
前記処理モジュールは、
第1のアイデンティティサービス(IDSRV‐X)を前記第1のデータ記憶領域のユーザの前記登録アイデンティティサービスに対して格納された前記リソースオファリング(RO2A)と比較してチェックし(414、421、4211)、前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスであるかを判定するように構成される
請求項16から21のいずれか1項に記載のディスカバリサービスサーバ。
【請求項23】
前記処理モジュールは、
‐請求項16に記載されるように、前記ユーザのリソースオファリングを取得することを要求するディスカバリサービスクエリを受信する(205、4210)際、又は
‐請求項20に記載されるように、サービスプロバイダから機能登録を受信する(411)際、又は
‐請求項18に記載されるように、サービス機能記憶領域を周期的にチェックする(413)際、又は
‐前記ディスカバリサービスサーバにおいて前記ユーザから通信を受信する(420)際に、前記第1のアイデンティティサービス及び前記ユーザに対する前記チェックを実行するように応答可能である
請求項22記載のディスカバリサービスサーバ。
【請求項24】
前記処理モジュールは、ユーザとの通信の確立の要求を送信することを前記通信モジュールに指示する(416、4214B、4213A)ために、前記ユーザの未登録アイデンティティサービスの検出に応答可能である
請求項22記載のディスカバリサービスサーバ。
【請求項25】
前記通信モジュールは、前記ユーザにより指示されたサービスプロバイダ基本設定(SP‐PREF)を有する前記ユーザからの通信を受信する(425)ように構成され、
前記処理モジュールは、前記サービスプロバイダ基本設定に従ってサービスプロバイダを選択するために、前記通信に応答可能である
請求項16から24のいずれか1項に記載のディスカバリサービスサーバ。
【請求項26】
前記通信モジュールは、前記ユーザにより指示されたサービス関連データ(SRV‐DAT)を有する前記ユーザからの通信を受信する(425)ように構成され、
前記サービス関連データは、選択されたサービスプロバイダからの前記アイデンティティサービスの提供に使用可能である
請求項16から25のいずれか1項に記載のディスカバリサービスサーバ。
【請求項27】
ユーザの未登録アイデンティティサービスに対するアクセス権を提供するために、前記処理モジュールは、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供の要求(428A、428B)を前記選択されたサービスプロバイダに送信することを前記通信モジュールに指示するように更に構成される
請求項16から26のいずれか1項に記載のディスカバリサービスサーバ。
【請求項28】
前記提供の要求(428A、428B)は、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供に使用可能であるサービス関連データを備える
請求項27記載のディスカバリサービスサーバ。
【請求項29】
前記サービス関連データは、前記ユーザからの通信で受信される前記サービス関連データ(SRV‐DAT)の少なくとも一部を備える
請求項28記載のディスカバリサービスサーバ。
【請求項30】
前記提供の要求は、
‐前記ディスカバリサービスサーバにおいて受信される受信ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答(428A)に含まれるか、又は
‐前記ディスカバリサービスサーバと前記ユーザとの間に確立された通信を前記選択されたサービスプロバイダにリダイレクトするリダイレクション要求(428A)に含まれるか、又は
‐前記ディスカバリサービスサーバから前記サービスプロバイダに対する直接通信(428A)に含まれる
請求項27から29のいずれか1項に記載のディスカバリサービスサーバ。
【請求項31】
前記通信モジュールは、前記提供の要求(428A、428B)の結果、前記ディスカバリサービスサーバに前記ユーザの前記アイデンティティサービスを登録するためのリソースオファリング(RO2X)を有するディスカバリサービス更新(429)を前記選択されたサービスプロバイダから受信するように構成され、
前記処理モジュールは、前記受信したリソースオファリングを前記第1のデータ記憶領域(103‐1)に格納する(430)ために、前記ディスカバリサービス更新の受信に応答可能である
請求項27から30のいずれか1項に記載のディスカバリサービスサーバ。
【請求項32】
前記データ記憶モジュール(103)は少なくとも1つのデータ記憶領域(1030)を具備し、
前記通信モジュール(102)は、信号を交換する少なくとも1つの通信装置(1021)を具備し、
前記処理モジュール(101)は、通信装置により受信される前記信号を処理し且つ送信される前記信号の送信を通信装置に指示する少なくとも1つのプロセッサ(1010)を具備する
請求項16から31のいずれか1項に記載のディスカバリサービスサーバ。
【請求項33】
コンピュータを使用するディスカバリサービスサーバ(100)からユーザのアイデンティティサービスに対するアクセス権を提供するコンピュータプログラムであって、
‐前記コンピュータを使用するディスカバリサービスサーバによって前記ユーザの登録アイデンティティサービスに対するリソースオファリング(RO2A)を格納する(203)ためのコンピュータ可読プログラムコードであり、前記アイデンティティサービスは、サービスプロバイダ(130)により提供され、前記リソースオファリングは、前記アイデンティティサービスにアクセスするために前記サービスプロバイダと接続するのに使用可能な参照情報を有するコンピュータ可読プログラムコードと、
‐前記ユーザのリソースオファリングを取得することを要求するディスカバリサービスクエリ(205)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理し、前記コンピュータを使用するディスカバリサービスサーバによって前記ユーザの登録アイデンティティサービスのリソースオファリングが含まれるディスカバリサービス応答(206)で前記クエリに返答するためのコンピュータ可読プログラムコードと、
を備えるコンピュータプログラムであって、
ユーザの未登録アイデンティティサービスに対するアクセス権を前記ディスカバリサービスサーバから提供するために、
‐前記ユーザに対して前記未登録アイデンティティサービスを提供するサービスプロバイダ(140)を前記コンピュータを使用するディスカバリサービスサーバによって選択する(42)ためのコンピュータ可読プログラムコードと、
‐前記選択されたサービスプロバイダにより提供された時に前記ユーザの前記アイデンティティサービスを登録するためにリソースオファリング(RO2X)を前記コンピュータを使用するディスカバリサービスサーバによって格納する(43)ためのコンピュータ可読プログラムコードと、
を更に備えることを特徴とするコンピュータプログラム。
【請求項34】
前記アイデンティティサービスを提供できるサービスプロバイダを選択するためにサービス機能記憶領域(103‐2、301)を前記コンピュータを使用するディスカバリサービスサーバによってチェックする(42‐Q、42‐R)ためのコンピュータ可読プログラムコードを更に備え、
前記サービス機能記憶領域は、サービスプロバイダの少なくとも1つの識別子(SP‐140)及び前記サービスプロバイダから提供される少なくとも1つのアイデンティティサービスの少なくとも1つの識別子(IDSRV‐X)を備える
請求項33記載のコンピュータプログラム。
【請求項35】
前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを周期的に繰り返す(413)ためのコンピュータ可読プログラムコードを更に備える
請求項34記載のコンピュータプログラム。
【請求項36】
前記コンピュータを使用するディスカバリサービスサーバによって前記ディスカバリサービスサーバに前記サービス機能記憶領域(103‐2)を格納するためのコンピュータ可読プログラムコードと、
前記コンピュータを使用するディスカバリサービスサーバによって前記内部サービス機能記憶領域をチェックし、前記サービスプロバイダを選択するためのコンピュータ可読プログラムコードと、
を更に備える請求項34又は35記載のコンピュータプログラム。
【請求項37】
サービスプロバイダからの機能登録(411)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理し、前記コンピュータを使用するディスカバリサービスサーバによって前記内部サービス機能記憶領域(103‐2)の内容を前記機能登録の内容で更新する(412)ためのコンピュータ可読プログラムコードを更に備え、
前記機能登録は、前記サービスプロバイダから提供されるアイデンティティサービスの識別子を備える
請求項36記載のコンピュータプログラム。
【請求項38】
前記コンピュータを使用するディスカバリサービスサーバによってアイデンティティサービスの識別子を有するサービス機能クエリ(42‐Q)を外部サービス機能記憶領域(301)に送信して、応答の内容に従ってサービスプロバイダを選択するようにアイデンティティサービスを提供できる前記サービスプロバイダの識別子を有する前記クエリに対する前記応答(42‐R)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理するためのコンピュータ可読プログラムコードを更に備える
請求項34又は35記載のコンピュータプログラム。
【請求項39】
前記コンピュータを使用するディスカバリサービスサーバによって第1のアイデンティティサービス(IDSRV‐X)をユーザの登録アイデンティティサービスに対して格納された前記リソースオファリング(RO2A)と比較してチェックし(414、421、4211)、前記第1のアイデンティティサービスが前記ユーザの未登録アイデンティティサービスであるかを判定するためのコンピュータ可読プログラムコードを更に備える
請求項33から38のいずれか1項に記載のコンピュータプログラム。
【請求項40】
前記チェックを行なうための前記コンピュータ可読プログラムコードは、
‐請求項33に記載されるように、前記ユーザのリソースオファリングを取得することを要求するディスカバリサービスクエリ(205、4210)の受信の処理の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードと、
‐請求項37に記載されるように、サービスプロバイダからの機能登録(411)の受信の処理の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードと、
‐請求項35に記載されるように、サービス機能記憶領域の周期的なチェック(413)の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードと、
‐前記ディスカバリサービスサーバにおける前記ユーザからの通信(420)の受信の処理の際に、前記コンピュータを使用するディスカバリサービスサーバによって前記チェックを実行するためのコンピュータ可読プログラムコードとから選択される少なくとも1つのコンピュータ可読プログラムコードと、
を備える請求項39記載のコンピュータプログラム。
【請求項41】
前記ユーザとの通信の確立の要求(416、4214B、4213A)を前記コンピュータを使用するディスカバリサービスサーバによって送信するためのコンピュータ可読プログラムコードを更に備える
請求項39記載のコンピュータプログラム。
【請求項42】
前記ユーザにより指示されるサービスプロバイダ基本設定(SP‐PREF)を有する前記ユーザからの通信の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理し、前記サービスプロバイダ基本設定に従ってサービスプロバイダを選択するためのコンピュータ可読プログラムコードを更に備える
請求項33から41のいずれか1項に記載のコンピュータプログラム。
【請求項43】
前記ユーザにより指示されるサービス関連データ(SRV‐DAT)を有する前記ユーザからの通信(425)の受信を前記コンピュータを使用するディスカバリサービスサーバによって処理するためのコンピュータ可読プログラムコードを更に備え、
前記サービス関連データは、選択されたサービスプロバイダからの前記アイデンティティサービスの提供に使用可能である
請求項33から42のいずれか1項に記載のコンピュータプログラム。
【請求項44】
前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供の要求(428A、428B)を前記コンピュータを使用するディスカバリサービスサーバによって前記選択されたサービスプロバイダに送信するためのコンピュータ可読プログラムを更に備える
請求項33から43のいずれか1項に記載のコンピュータプログラム。
【請求項45】
前記提供の要求(428A、428B)は、前記選択されたサービスプロバイダからの前記ユーザに対する前記アイデンティティサービスの提供に使用可能なサービス関連データを有する
請求項44記載のコンピュータプログラム。
【請求項46】
前記サービス関連データは、前記ユーザからの通信において受信される前記サービス関連データ(SRV‐DAT)の少なくとも一部を有する
請求項45記載のコンピュータプログラム。
【請求項47】
前記提供の要求は、
‐前記コンピュータを使用するディスカバリサービスサーバにおいて受信される受信ディスカバリサービス要求に対する返答として送信されるディスカバリサービス応答(428A)に含まれるか、又は
‐前記コンピュータを使用するディスカバリサービスサーバと前記ユーザとの間に確立された通信を前記選択されたサービスプロバイダにリダイレクトするリダイレクション要求(428A)に含まれるか、又は
‐前記コンピュータを使用するディスカバリサービスサーバから前記サービスプロバイダに対する直接通信(428B)に含まれる
請求項44から46のいずれか1項に記載のコンピュータプログラム。
【請求項48】
前記提供の要求(428A、428B)の結果、前記ユーザの前記アイデンティティサービスを登録するために前記受信リソースオファリングを格納するように(430)、前記ユーザの前記アイデンティティサービスを前記ディスカバリサービスサーバに登録するためのリソースオファリング(RO2X)を有するディスカバリサービス更新(429)の前記選択されたサービスプロバイダからの受信を前記コンピュータを使用するディスカバリサービスサーバによって処理するためのコンピュータ可読プログラムコードを更に備える
請求項44から47のいずれか1項に記載のコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2007−537536(P2007−537536A)
【公表日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願番号】特願2007−513095(P2007−513095)
【出願日】平成16年5月11日(2004.5.11)
【国際出願番号】PCT/SE2004/000720
【国際公開番号】WO2005/109822
【国際公開日】平成17年11月17日(2005.11.17)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願日】平成16年5月11日(2004.5.11)
【国際出願番号】PCT/SE2004/000720
【国際公開番号】WO2005/109822
【国際公開日】平成17年11月17日(2005.11.17)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]