エンドポイントの独立解決によるデジタルアイデンティティ又はトークンの取得
フェデレートされたアイデンティティプロビジョニングシステムは、信頼当事者、アイデンティティプロバイダ、およびクライアントを含み、クライアントは、信頼当事者のサービスにアクセスするためのトークンをアイデンティティプロバイダから取得する。クライアントが、新しい信頼当事者に接触するとき、信頼当事者は、クライアントが信頼性を独立して解決、および評価できる情報を提供する。例えば、信頼当事者は、汎用ドメイン名アドレスを提供する。そうすると、クライアントは、様々な認証ステップを通してそのドメイン名アドレスを解決し、デジタルアイデンティティプロビジョニングサービスのエンドポイントを識別することができる。クライアントは、さらに、プロビジョニングサービスと対話し、認証して(例えば、デジタル署名の要求)、信頼関係を確立することができる。クライアント/ユーザが、そのプロビジョニングサービスを信頼すると判定すると、クライアント/ユーザは、情報を提供して、デジタルアイデンティティ表示を取得することができる。そして、クライアントは、対応するアイデンティティプロバイダにそのデジタルアイデンティティ表示を使用して、信頼当事者が有効にすることができる1つ又は複数のトークンを取得することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、信頼当事者と使用するトークンを取得する際に、デジタルアイデンティティ表示プロビジョニングサービスを、ユーザ/クライアントが独立して検証するように構成された、システム、方法、および、コンピュータプログラムに関する。
【背景技術】
【0002】
従来型のコンピュータシステムは、生産や娯楽など、幅広い目的に広く使用されている。その理由の1つは、コンピュータシステムは、タスクの自動化で効率をよくする傾向があると共に、ある種の取引をより効率的にするからである。例えば、過去には、ユーザが何時間又は何日もかかって完了するような種類の取引があった。具体的には、銀行の預金や振替、店舗の物の購入では、ユーザのアイデンティティを検証し、取引の指示を与えるために、ユーザは実際に銀行や店舗のある場所まで出かける必要があっただろう。ユーザのアイデンティティを検証後、銀行や店舗が、要求された取引を開始、確認するだろう。このシナリオでは、銀行又は店舗を「信頼当事者」とみなすことができ、信頼当事者は、ユーザが実際に訪れて提供したアイデンティティを信用し、ユーザは「アイデンティティプロバイダ」となる。
【0003】
しかしながら、最近では、自動化された(コンピュータ化された)機構を用いて、このような取引は数秒又は数分に短縮された。具体的には、上記のような取引は、端末が自動化されたため、ますます効率的で複雑になり、そのような端末を用いて、ユーザは、離れた場所から取引を行うことができる。しかしながら、ユーザが出向いて行うアイデンティティの検証に代って、自動化された端末は、サービスへのアクセスを提供する前に、ユーザにいくつかの課題や応答のシナリオを満足させるよう求める。例えば、ユーザは、口座のカードおよび暗証番号を提示する必要があるかもしれない。口座のカードおよび暗証番号は、ユーザと信頼当事者との間で信頼関係を確立したとき、予め、信頼当事者から受け取ったものである。
【0004】
自動化された端末と同様に、より最近のインターネットベースの信頼当事者は、エンドユーザがある種の信頼関係を確立することも要求する。よく用いられるのは、ユーザに検証可能な個人情報(例えば、名前、住所、誕生日など)を提供するよう要求するなどである。信頼当事者は、クレジットカード情報、運転免許証情報、ソーシャルセキュリティカード情報などの他の第三者の検証情報を提示するようにユーザに要求することもある。このような場合、信頼当事者は、ユーザの自己検証情報だけでなく、信頼当事者が既に信頼関係を確立している他の当事者(例えば、クレジットカード会社、又は政府機関)の検証にも頼ることになる。従って、その後、ユーザが信頼当事者のサービスにアクセスすると、信頼当事者は、予め交換した個人情報および第三者情報の一部又は全てを提示するようユーザに要求することができる。
【0005】
通常、オンライン取引を行うと効率性を得られるので、ますます多くの団体がこのようなサービスを提供するようになり、ユーザがこのようなサービスを使用する需要もますます増加している。しかしながら、オンライン取引のこのような増加は、一連の別の問題を引き起こしている。すなわち、ユーザは、多くの異なるオンライン口座を監視、保持することが必要となり、その数はますます増えていくことが多い。特に、異なる信頼当事者の各々にユーザが異なる検証情報を提供する場合、ユーザは、増え続ける、異なるユーザ名、パスワード、その他の有り得る検証情報を、覚えるか、それらにアクセスする必要がある。
【0006】
従来の機構には、「フェデレートされた」アイデンティティ検証システムを実装することによって、これらの懸念の一部を軽減しようと試みたものもある。フェデレートされたシステムでは、個々のアイデンティティプロバイダが保持するデータを用いて、様々な信頼当事者に存在するユーザの異なる口座の多くに対して1つ又は複数のセキュリティトークンを生成することができる。一般には、「セキュリティトークン」は、アイデンティティプロバイダが、ユーザのアイデンティティを信頼当事者に主張する手段である。セキュリティトークンを多くの異なる信頼当事者間を移動して利用できるように、この種のアイデンティティプロバイダは、ユーザがアクセスを望む異なる信頼当事者の各々と信頼関係を確立する必要がある。
【0007】
こうすると、ユーザは、ある信頼当事者の特定のサービスへのアクセスを望むとき、アイデンティティプロバイダに接触して、ユーザ自身をアイデンティティプロバイダに検証し、アイデンティティプロバイダからトークンを取得することができる。そして、ユーザは、アイデンティティプロバイダから取得したトークンを信頼当事者に提示することができる。トークンには、ユーザおよび/又はユーザのクライアントシステムに関する何らかの主張(およびアイデンティティプロバイダに関する何らかの情報)が含まれる。信頼当事者は、アイデンティティプロバイダおよびユーザを信頼しているので、提供された情報を用いてトークンを有効にすることができる。有効にされると、ユーザは様々な要求したサービス又は取引にアクセスすることができる。
【0008】
一部の信頼当事者は、ある一部のアイデンティティプロバイダのみを信頼する、すなわち、ある一部のアイデンティティプロバイダとのみ信頼関係を有するので、ユーザは、また、複数の異なるアイデンティティプロバイダに口座を設立しているかもしれない。従来のシステムでは、ユーザは、各アイデンティティプロバイダでセキュリティトークン取得に用いることができる1つ又は複数のデジタルアイデンティティ表示を、保持又は記憶する。次に、ユーザのクライアントコンピュータシステムに記憶されたアイデンティティ選択サービスが、任意の所与のアイデンティティプロバイダに対してどのアイデンティティ表示を使うべきかを、管理、識別することができる。
【0009】
例えば、ユーザは、1つの特定のアイデンティティプロバイダで1つのデジタルアイデンティティ表示を使って、1つの特定の信頼当事者用のトークンを発行してもらうことが必要かもしれない。そして、ユーザは、同一の(又は異なる)アイデンティティプロバイダで、別のデジタルアイデンティティ表示を用いて、その信頼当事者(又は別の信頼当事者)用のさらに他のトークンを要求するかもしれない。このように、アイデンティティ選択サービスは、適切な1つ又は複数のデジタルアイデンティティ表示を、適切なアイデンティティプロバイダ(単数又は複数)に提供する。
【0010】
一般的に、上記のフェデレーションシステムは、ユーザが要求されたアイデンティティプロバイダと既に信頼関係を確立している場合は、うまくいく傾向がある。しかしながら、ユーザは、ユーザ(又はクライアントシステム)が信頼関係を確立していないアイデンティティプロバイダからのトークンを承認する信頼当事者に遭遇する場合がある。ユーザは、ある特定のアイデンティティプロバイダとの関係を確立する処理を行うことができるが、さらに、そのアイデンティティプロバイダの名前とロケーションを識別できる必要がある。しかしながら、アイデンティティプロバイダの名前とロケーションに関する情報を提供することは、多くのセキュリティリスクを伴う可能性がある。
【0011】
例えば、仮に信頼当事者が自動的にクライアントシステムを、ある特定のアイデンティティプロバイダに導くように上記シナリオを確立すると、ユーザは、「フィッシング」攻撃のリスクにさらされるであろう。具体的には、ユーザが合法であると信じている悪意の信頼当事者が、悪意のアイデンティティプロバイダにユーザを自動的に導くかもしれない。ユーザが、悪意のアイデンティティプロバイダとアイデンティティ表示を確立しようと試みると、アイデンティティプロバイダは、簡単にユーザのアイデンティティを盗み、ユーザを不正に利用することができるであろう。そのアイデンティティプロバイダは、その悪意の信頼当事者にアクセスするためのトークンを提供することもでき、従って、より長い期間、出現し続けることになる。
【発明の概要】
【発明が解決しようとする課題】
【0012】
合法的な信頼当事者の場合でさえ、信頼当事者が、デジタルアイデンティティ表示プロビジョニングサービスの正確なエンドポイントを提供すると、ユーザ(および/又は信頼当事者)になんらかのリスクがある。安全なオンライン取引サービスの提供を志向する団体が増えるにつれて、このような問題は増える一方であることは理解される。従って、フェデレートされたシステムには取組むことができる多くの課題がある。
【課題を解決するための手段】
【0013】
信頼当事者と使用するトークンを取得する前に、デジタルアイデンティティ表示プロビジョニングサービスを、ユーザ/クライアントが独立して検証するように構成されたシステム、方法、および、コンピュータプログラムの形で、本発明を実装することにより、当分野の1つ又は複数の課題を解決する。少なくとも1つの実装形態においては、例えば、信頼当事者のサービスの要求に応答して、クライアントは、その信頼当事者が信頼する1つ又は複数のアイデンティティプロバイダに関するメタデータを受信する。そして、クライアントは、独立して、そのメタデータを解決して、アイデンティティプロバイダが提供するデジタルアイデンティティプロビジョニングサービスを識別し、クライアントがそのプロビジョニングサービスを信頼できるか否かを判定する。信頼できれば、クライアントは、そのプロビジョニングサービスを通して、対応するアイデンティティプロバイダとデジタルアイデンティティ表示を確立し、信頼当事者と使用する1つ又は複数のトークンを取得することができる。
【0014】
例えば、デジタルアイデンティティ表示および/又はセキュリティトークンを取得するクライアントコンピュータシステム側から見た方法には、信頼当事者に接触して、信頼当事者における1つ又は複数のサービスにアクセスすることも含むことができる。その方法には、信頼当事者から1つ又は複数のポリシーファイルを受信することも含むことができる。この場合、その1つ又は複数のポリシーファイルは、1つ又は複数の信頼されるアイデンティティプロバイダのセットに対応する汎用名を識別する情報を含む。さらに、その方法には、識別された汎用名を自動的に解決して、信頼されるアイデンティティプロバイダのうちの1つの、1つ又は複数のネットワークエンドポイントを取得することを含むことができる。さらに、その方法には、1つ又は複数のネットワークエンドポイントを認証すると、1つの解決したアイデンティティプロバイダに接触して、1つ又は複数のセキュリティトークンの取得に使用する、1つ又は複数のデジタルアイデンティティ表示を取得することを含むことができる。
【0015】
さらに、1つ又は複数のデジタルアイデンティティ表示および/又は1つ又は複数のセキュリティトークンをクライアントに提供するアイデンティティプロバイダ側から見た方法には、1つ又は複数のデジタルアイデンティティ表示プロビジョニングサービスを求めるクライアントからの1つ又は複数の要求を、アイデンティティプロバイダで受信することを含むことができる。その方法には、アイデンティティプロバイダが提供する1つ又は複数のデジタルアイデンティティプロビジョニングサービスを識別する情報を、クライアントに提供することを含むことができる。さらに、その方法には、クライアントから受信する1つ又は複数のデジタルアイデンティティ表示を認証することを含むことができる。この場合には、アイデンティティプロバイダは、受信した1つ又は複数のデジタルアイデンティティ表示が有効であることを判定する。さらに、その方法には、認証した1つ又は複数のデジタルアイデンティティ表示に対応する1つ又は複数のセキュリティトークンを提供することを含むことができる。
【0016】
本「発明の概要」は、「発明を実施するための形態」でさらに詳しく述べる概念の一部を簡単に紹介したものである。本「発明の概要」は、特許を請求する主題の重要な特徴又は必須の特徴を特定することを意図したものではなく、特許を請求する主題の範囲を決定するための目的に使用されることも意図してはいない。
【0017】
本発明のさらなる特徴および利点は、下記の説明に記載しており、その説明からある程度明らかであり、本発明の実践によって理解されるものである。本発明の特徴および利点は、添付の請求項で詳細に具体的に指摘した装置およびその組合せによって実現し、得られるものである。本発明のこれらの特徴および他の特徴は、下記の説明、添付の請求項より十分に明らかとなり、また、以下に記載の発明の実践により理解されよう。
【図面の簡単な説明】
【0018】
本発明の上述および他の利点および特徴が得られる方法を記載するために、上記で簡単に述べた本発明を、具体的な実施形態とそれに付随する図面を参照しながら、より詳細に記載する。これらの図面は、本発明の典型的な実施形態のみを描いたものであり、本発明の範囲を制限することを意図してはいないことを理解して頂き、添付図面を使用しながら、本発明のさらに具体的な記載、説明を行う。
【0019】
【図1A】クライアントが、信頼当事者からの1つ又は複数のポリシーを解決して適切なアイデンティティプロバイダを識別する、フェデレートされたアイデンティティシステム全体の概略図である。
【図1B】クライアントが、アイデンティティプロバイダが参照するデジタルアイデンティティ表示プロビジョニングサービスに接触し、そのサービスを使ってデジタルアイデンティティ表示を取得する、全体の概略図である。
【図2】クライアントが、図1Bのプロビジョニングサービスによって提供されたデジタルアイデンティティ表示を用いて、トークンを取得し、そのトークンを用いてクライアントが信頼当事者のサービスにアクセスする、図1A、図1Bに示すシステムの概略図である。
【図3】信頼されているエンドポイントからデジタルアイデンティティ表示を取得する、クライアント側から見た方法における1つ又は複数のアクトのフローチャートである。
【図4】新しく提供されたデジタルアイデンティティ表示を認証して、クライアントにトークンを提供する、アイデンティティプロバイダ側から見た方法のフローチャートである。
【発明を実施するための形態】
【0020】
本発明の実装形態は、信頼当事者と使用するトークンを取得する前に、デジタルアイデンティティ表示プロビジョニングサービスを、ユーザ/クライアントが独立して検証するように構成された、システム、方法、および、コンピュータプログラムにおよぶ。少なくとも1つの実装形態において、例えば、信頼当事者のサービスの要求に応答して、クライアントは、信頼当事者が信頼する1つ又は複数のアイデンティティプロバイダに関するメタデータを受信する。そして、クライアントは、独立してそのメタデータを解決して、アイデンティティプロバイダが提供するデジタルアイデンティティプロビジョニングサービスを識別し、クライアントがそのプロビジョニングサービスを信頼できるか否かを判定する。信頼できれば、クライアントは、そのプロビジョニングサービスを通して、対応するアイデンティティプロバイダとデジタルアイデンティティ表示を確立し、信頼当事者と使用する1つ又は複数のトークンを取得することができる。
【0021】
従って、本明細書でより詳しく理解されるように、本発明の実装形態は、アイデンティティプロバイダが、デジタルアイデンティティ表示 (又は、DIR、「情報カード」とも呼ぶ)を発行することができるサービスのロケーションを公開することができる、1つ又は複数の機構を提供する。本発明の実装形態は、アイデンティティプロバイダが代替の情報を公開することができる1つ又は複数の機構も提供する。その情報によって、ユーザは、DIRを取得する前に、アイデンティティプロバイダとの関係を確立することができる。さらに、本発明の実装形態は、ある特定のアイデンティティプロバイダのDIRが利用可能か否かをアイデンティティセレクタ(例えば、クライアントシステム上のコンポーネント又はアプリケーション)が見つけ出し、その情報をユーザに提示してユーザがDIRを取得するのを助ける、1つ又は複数の機構を提供する。
【0022】
一般的には、本発明のこれらの態様および他の態様は、WS−FEDERATIONの規格に従って構成されたメタデータ要素を用いて、少なくとも1つの実装形態において達成することができる。少なくとも1つの実装形態においては、例えば、アイデンティティプロバイダおよび信頼当事者は両方とも、ユーザが特定のエンドポイントを独立して検証するために用いることができる様々なメタデータ要素を用いて、ユーザを様々なエンドポイントに導くことができる。例えば、あるメタデータ要素は、クライアントがカードを取得しに行く必要のあるDIR発行サービスの実際のロケーションを記述することができる。あるメタデータ要素は、カードを発行するためのセキュリティ用件も記述することができる。さらに、そのメタデータ要素は、ユーザが発行者/アイデンティティプロバイダと関係を有しておらず、デジタルアイデンティティ表示(すなわち、DIR)をダウンロードする前に、そのような関係が必要である場合、どこに行くべきかをユーザに示すことができる。次に、これらのメタデータ要素によって、ユーザのクライアントアイデンティティセレクタは、本明細書に記載されている1つ又は複数の追加のコンポーネントと協働して、ユーザが必要とするDIRを見つけ、又は、確立して、関連するセキュリティトークン(単数又は複数)を取得する。
【0023】
図1Aは、本発明の実装形態による、フェデレートされたアイデンティティプロビジョニングシステム100を示す。図に示すように、フェデレートされたアイデンティティプロビジョニングシステム100は、少なくとも1つのクライアント105、およびクライアント105(すなわち、ユーザに代って)が特定のサービスへのアクセスを要求する1つ又は複数の信頼当事者(依拠当事者)120(a、b他)を含む。例えば、信頼当事者120は、様々な口座や購買機能を提供するオンラインバンク又はオンラインストアである。図1Aはまた、各信頼当事者120(a、b他)が、判定モジュール140(a、b他)、および信頼しているアイデンティティプロバイダのリスト125(a、b他)を含むことを示す。これらモジュールおよびリストの各々については、以下により詳しく記載する。
【0024】
さらに、図1Aに示すように、フェデレートされたアイデンティティプロビジョニングシステム100は、1つ又は複数のアイデンティティプロバイダ110(a、b他)を含み、各アイデンティティプロバイダ110はまた、それ自身の判定モジュール145(a、b他)、および対応する1つ又は複数のデジタルアイデンティティプロビジョニングサービス150(a、b他)を含む。本明細書でより詳しく理解されるように、1つ又は複数のアイデンティティプロバイダ110は、1つ又は複数の「セキュリティトークン」(すなわち、図2の210)を用いて、ユーザ/クライアントのアイデンティティを信頼当事者に検証する。一般的には、セキュリティトークンは、信頼当事者120および信頼されているアイデンティティプロバイダ110が互いに合意したフォーマット/構成でユーザに関する様々な主張を提供する。例えば、銀行又はオンラインストアの形の信頼当事者120が、クライアント105に要求されたサービスを提供する前に、ユーザ/クライアント105の信用証明を独立して検証することを要求すると、信頼されているアイデンティティプロバイダ110は、ユーザの信用証明の検証に使用されると予測されたデータを含む1つ又は複数のセキュリティトークンを通してこの検証を行う。
【0025】
しかしながら、クライアント105は、示されたアイデンティティプロバイダ110からのセキュリティトークンを簡単に要求することはできない。それどころか、クライアント105は、アイデンティティプロバイダ110と信頼関係を確立する必要がある。さらに、クライアント105は、任意のある特定の信頼当事者120と対話するために、任意の所与のアイデンティティプロバイダ110との信頼関係を簡単に得ることはできない。それどころか、クライアント105は、クライアントがサービスを要求する信頼当事者120も信頼する特定のアイデンティティプロバイダ110と信頼関係を取得する必要がある。すなわち、必ずしも全ての信頼当事者120が、全てのアイデンティティプロバイダ110と信頼関係を有するわけではなく、逆もまた同様である。例えば、図1Aに示すように、信頼当事者120は、信頼しているアイデンティティプロバイダ110のリスト125aを保持し、そのリストには、この場合では、アイデンティティプロバイダ110bではなく、アイデンティティプロバイダ110aが含まれる。同様に、図1Aに示すように、信頼当事者120bは、信頼しているアイデンティティプロバイダ100のリスト125bを含み、そのリストには、この場合は、アイデンティティプロバイダ110aではなく、アイデンティティ プロバイダ110bが含まれる。
【0026】
一般的には、クライアント(ユーザに代って)と所与のアイデンティティプロバイダとの信頼関係は、上記デジタルアイデンティティ表示、すなわちDIR(113)の形で明らかになる。次に、クライアントは、ある特定のアイデンティティプロバイダ110との、そして最終的には、その特定のアイデンティティプロバイダを信頼する1つ又は複数の信頼当事者のサービスに使用するための、セキュリティトークンを取得するために、ある特定のDIR113(a、b他)を用いる。従って、例えば、図1Aに示すように、クライアント105は、DIRストア107を保持し、DIRストア107は、この場合は、アイデンティティプロバイダ110bのためのDIR113aを含み、信頼当事者120aではなく、信頼当事者120bだけが、アイデンティティプロバイダ110aを信頼しているので、DIR113aは、信頼当事者120bとのサービスに用いられる。従って、任意の所与のDIR113は、複数の異なる信頼当事者120と用いてもよいことは、理解されよう。
【0027】
さらに、クライアント105は、ストア107に、任意の数のDIR113を保持できるが、簡単にするために、図1Aでは、クライアント105は、単一のDIR113aのみを有しているよう示してある。この例においては、図示のDIR113aによって、クライアント105は、信頼当事者120bと使用するセキュリティトークンをアイデンティティプロバイダ110bから取得することができる。一方、図1Aに示すように、クライアント105は、アイデンティティプロバイダ110aに対応する、および/又は信頼当事者120aのサービスで使用するDIRを持たない。
【0028】
従って、図1Aに示すように、クライアント105が、信頼当事者120aのサービスにアクセスしようとすると(例えば、メッセージ155)、信頼当事者120aは、最終的に、クライアント105がまだ関係を確立していない(すなわち、DIR113のない)アイデンティティプロバイダ(すなわち、110a)に、クライアント105を導く。例えば、図1Aに示すように、メッセージ155に応答して、信頼当事者120aは(例えば、判定モジュール140aを介して)、クライアント105がサービスにアクセスするためにセキュリティトークンを提示する必要があると判定する。従って、図1Aは、信頼当事者120aが1つ又は複数のポリシー160で応答することを示している。
【0029】
信頼当事者120aが、任意の数の方法で、1つ又は複数のポリシー160を提供できることは理解されよう。例えば、信頼当事者120aは、適切なトークン発行者(すなわち、アイデンティティプロバイダ)に関する情報を含む、1つ又は複数のドキュメントを公開することができる。そして、クライアント105は、関連のある情報を求めて、公開されたドキュメントを見ることができる。追加又は代替の実装形態においては、信頼当事者120aは、信頼しているアイデンティティプロバイダ110の名前に関する特定の情報で応答する。
【0030】
次に、信頼当事者120aによって提供される情報/ポリシー160は、任意の数又は任意の種類の情報を含むことができる。前述したように、例えば、ポリシー160は、ある特定のアイデンティティプロバイダ110のネットワークエンドポイントに関する様々なメタデータ要素(例えば、WS−FEDERATION規格に従った)を含むことができる。追加又は代替の実装形態においては、1つ又は複数のメタデータ要素は、1つ又は複数の汎用ドメイン名を含むか、又は示し、クライアント105は、適切なエンドポイントをさらに判定するためにその汎用ドメイン名を解決する必要がある。例えば、1つ又は複数のポリシー160は、「BANK.comからのアイデンティティプロバイダを使用すること」などの情報を含むことができる。そのような場合、クライアント105は、BANK.comを解決して、1つ又は複数のアイデンティティプロバイダ110を識別し、そこから、セキュリティトークンを取得することが必要となる。
【0031】
従って、図1Aに示すように、クライアント105は、適切なアイデンティティプロバイダ(単数又は複数)110に関する情報160を、サービスリクエスタ130を介して処理する。サービスリクエスタ130は、受信した情報160を、アイデンティティセレクタ135を通して比較する。詳細には、図1Aに示すように、サービスリクエスタ130は、1つ又は複数のメッセージ165をアイデンティティセレクタ135に送信し、信頼当事者120aに対するアイデンティティプロバイダ110aに対応するDIRが(すなわち、ストア107に)あるか否かを問い合わせる。この場合、図1Aに示すように、アイデンティティセレクタ135は、そのようなDIRはないということを示すか、又はアイデンティティプロバイダ110aのDIRを確立する必要があるということを示す、1つ又は複数のメッセージ170で応答する。追加又は代替の実装形態においては、アイデンティティセレクタ135は、1つ又は複数のインタフェースをユーザにさらに提示して、信頼当事者120aと使用する適切なDIR113をユーザが選択できるように、又は必要であれば、オプションとして、新しいDIR113を取得できるようにする。
【0032】
図に示した場合においては、図1Aに示すように、サービスリクエスタ130は、アイデンティティプロバイダ110aを見つけ出し(そして通信して)、適切なDIR113を取得するように指示される。図1Aは、また、アイデンティティプロバイダ110aに関する情報160は、正確なネットワークエンドポイントを表していないので、さらに解決する必要があるということを示している。従って、図1Aに示すように、サービスリクエスタ130は、1つ又は複数のメッセージ175で、1つ又は複数のドメイン名解決サービス115に接触する。追加又は代替の実装形態においては、サービスリクエスタ130は、1つ又は複数の他のエージェント又はサービスに接触し、そのエージェント又はサービスが、次に、メッセージ 175でネットワーク解決サービス115に接触する。どちらの場合においても、図1Aに示すように、クライアント105は、解決された情報180を有する1つ又は複数のメッセージ180を最終的に受信し、その情報180は、この場合では、アイデンティティプロバイダ110aのある特定のネットワークエンドポイントを含む。
【0033】
ネットワーク解決サービス115が、追加的に又は代替の方法として、他のサービス又はエージェントのために、1つ又は複数の他のドメイン名で応答することができることは、当然理解されよう。このような応答のためには、アイデンティティプロバイダ110aに対応するエンドポイントを取得する前に、サービスリクエスタ130は、さらに他の団体に接触し、追加の情報/解決を取得する必要がある。例えば、応答180は、アイデンティティプロバイダ110aの名前に対応する可能性のあるアイデンティティプロバイダのリストを含み得る。そして、サービスリクエスタ130は、信頼当事者120aが示したアイデンティティプロバイダ110aの適切かつ特定のネットワークエンドポイントを識別するまで、リストにある識別されたアイデンティティプロバイダのいずれか、又は全てに連続して接触することができる。どのように行っても、クライアント105(例えば、ユーザに代って)が、信頼当事者120aからの特定の指示なしに、ネットワークエンドポイントを独立して判定又は解決することは、注目に値する。
【0034】
いずれにしても、メッセージ180を介してエンドポイントを受信すると、図1Aに示すように、サービスリクエスタ130は、アイデンティティプロバイダ110a(すなわち、それに対応する解決されたエンドポイント)に、そのDIRプロビジョニングサービスに関する情報を取得するために、1つ又は複数のメッセージ185を送信する。クライアント105が、予め確立した信頼関係を有し、かつ、適切なDIR113を既に有していれば、クライアント105は、そのDIRを用いて(例えば、図2では、メッセージ200を介して)、信頼当事者120aの適切なセキュリティトークン(図2では210)を要求することができる。この場合、クライアント105は、アイデンティティプロバイダ110aのDIRを持たないので、クライアント105は、適切なDIRプロビジョニングサービスのロケーションを求める。
【0035】
それに応じて、図1Aに示すように、アイデンティティプロバイダ110aは、1つ又は複数のメッセージ190を送信する。メッセージ190は、一般的に、デジタルアイデンティティ表示プロビジョニングサービス150a(すなわち、「DIRプロビジョニングサービス」)を識別するものである。ポリシー160と同様に、1つ又は複数のメッセージ190も、1つ又は複数の特定のネットワークエンドポイントを有するメタデータ要素を含む公開されたドキュメントを含むことができる。しかしながら、追加又は代替の実装形態においては、メッセージ190の情報は、解決可能なドメイン名を含むことができ、サービスリクエスタ130は、1つ又は複数の追加のステップでその解決可能なドメイン名を、(例えば、解決サービス115を介して)解決して、DIRプロビジョニングサービス150のネットワークエンドポイントを識別しなければならない。どちらの場合においても、DIRプロビジョニングサービス150(すなわち、150a)の正確なネットワークエンドポイントを識別すると、次に、クライアント105は、DIR113の取得を試みる。
【0036】
例えば、図1Bに示すように、サービスリクエスタ130は、識別したデジタルアイデンティティプロビジョニングサービス150aに、1つ又は複数のメッセージ193を送信し、信頼当事者120aなどの信頼当事者と使用する1つ又は複数のDIR113を要求する。一般的には、これは、DIR113を開始/作成するという一般的な要求だけでなく、DIR113の確立し、取得するための一連の要求や応答(すなわち、複数の異なるメッセージ)を含むことができる。例えば、DIRプロビジョニングサービス150aは、(クライアント105を通して)ユーザに関する個人情報を要求してもよく、ユーザは、クライアント105を介して、数回のそれに対応する応答を行う必要があるかもしれない。このような要求は、クレジットカード情報、運転免許証情報、ソーシャルセキュリティカード情報、および、何らかの方法でユーザを個人的に識別するために使うことができる他のチャレンジベースの情報を含むことができる。(サービスリクエスタ130が提供する)ユーザの情報/信用証明を有効にすると、DIRプロビジョニングサービス150aは、適切なDIR113を用いて応答することができる。例えば、図1Bに示すように、DIRプロビジョニングサービス150aは、アイデンティティプロバイダ110aに関連する新しく作成されたDIR113bに関する1つ又は複数のメッセージ195を、クライアント105に送信し、この場合では、クライアント105が、そのDIR113bを信頼当事者120aと使用することができる。
【0037】
図2に示すように、クライアント105は、この新しいDIR113bをそのDIRストア107に記憶する。さらに、クライアント105は、信頼当事者120aのサービスにアクセスするために、新しいDIR113bを用いて、1つ又は複数のセキュリティトークン210を取得することができる。図2に示すように、例えば、クライアント105は、(すなわち、サービスリクエスタ130を介して)1つ又は複数の新しいメッセージ200をアイデンティティプロバイダ110aに送信する。この場合、その1つ又は複数のメッセージ200は、新しく作成されたDIR113bに対応する情報、および信頼当事者120aのサービスにアクセスするための1つ又は複数のセキュリティトークンの要求を含む。
【0038】
それに応じて、アイデンティティプロバイダ110aの判定モジュール150aは、提供されたDIR113bを有効にする。例えば、アイデンティティプロバイダ110の判定モジュール145aは、新しいDIR113bが、メッセージ190の1つ又は複数のメタデータ要素に基づいたDIRプロビジョニングサービス150に対応している(又は、これに作成された)ことを判定する。このように、DIR113bが、認証又は有効にされると、図2に示すように、アイデンティティプロバイダ110aは、1つ又は複数の対応するセキュリティトークン210で、応答する。具体的には、図2に示すように、アイデンティティプロバイダ110aは、1つ又は複数のセキュリティトークン210を、クライアント105に直接送信し、その後、クライアント105は、1つ又は複数の対応するメッセージ220の形で1つ又は複数のセキュリティトークン210を信頼当事者120aに提供する。アイデンティティプロバイダ110aが、追加的又は代替の方法として、1つ又は複数のセキュリティトークン210を直接信頼当事者120aに送信してもよいことは、当然理解されよう。
【0039】
さらに、図2に示すように、信頼当事者120aは、1つ又は複数のメッセージ220の形で受信したセキュリティトークン210を、判定モジュール140を通して処理する。例えば、判定モジュール140aは、セキュリティトークン210を処理して、そのセキュリティトークン210が、予め与えられた情報160(図1)の1つ又は複数のデータ要素に一致するか否かを判定する。一実装形態においては、これは、受信したセキュリティトークン210が、信頼しているアイデンティティプロバイダ(例えば、110a)からのものであり、かつ、そのセキュリティトークンが、サービスを要求しているユーザを検証するための予定していたデータを含むことを信頼当事者120aが判定することを含む。セキュリティトークン210が有効であること、および/又は(セキュリティトークン210と共に)クライアント105が提供したユーザ情報が検証されたことが識別されると、信頼当事者120aは、要求されたサービスへのアクセスを許可することができる。例えば、図2に示すように、信頼当事者120aは、1つ又は複数のメッセージ230をクライアント105に返信し、そうすることによって、クライアント105は要求したサービスにアクセスすることができる。
【0040】
従って、図1A、図1Bおよび図2は、クライアント105が情報を安全に解決することのできる1つ又は複数の機構を示している。具体的には、図1A、図1Bおよび図2、それらの図に対応する文章は、クライアント105が、アイデンティティプロバイダとの信頼関係を安全、かつ確実に得ることを保証する多くのコンポーネントおよび機構を示すものである。少なくとも一実装形態においては、このようなコンポーネントおよび機構は、クライアントレベルでの独立した解決およびアクションを伴い、それによって、例えば、従来のフィッシング攻撃に関連するセキュリティ違反など、多くのセキュリティ違反を避けることができる。
【0041】
前述したものに加えて、本発明の実装形態を、ある特定の結果を達成するための1つ又は複数のアクトを含む方法という形で、記載することもできる。例えば、図3に示すのは、信頼当事者からの情報を解決して、アイデンティティプロバイダ110などの信頼しているエンドポイントからデジタルアイデンティティ表示を取得するための、クライアント105側から見たフローチャートである。さらに、図4に示すのは、デジタルアイデンティティ表示を認証し、対応するセキュリティトークンをクライアントに与えるための、アイデンティティプロバイダ110側から見たフローチャートである。図3および図4のアクトは、コンポーネントおよび図1A、図1B、ならびに図2を参照して、以下により詳細に記載する。
【0042】
例えば、図3に示すように、クライアント105側から見た方法は、サービスを求めて信頼当事者(RP)に接触するアクト300を含むことができる。アクト300は、信頼当事者に接触して、信頼当事者の1つ又は複数のサービスにアクセスすることを含む。例えば、図1Aに示すように、クライアント105は、1つ又は複数のメッセージ155を、信頼当事者120aに送信し、そのメッセージによって、信頼当事者120aの1つ又は複数のサービスへのアクセスを要求する。
【0043】
図3に示すように、クライアント105側から見た方法は、信頼されているアイデンティティプロバイダ(IP)に関する情報を受信するアクト310を含むこともできる。アクト310は、1つ又は複数のポリシーファイルを信頼当事者から受信することを含み、その1つ又は複数のポリシーファイルは、1つ又は複数の信頼しているアイデンティティプロバイダのセットに対応する汎用名を識別する情報を含む。例えば、図1Aに示すように、クライアント105は、信頼当事者120と関係を確立していないので、信頼当事者は、1つ又は複数のメッセージ160をクライアント105に返信する。この具体的な例においては、1つ又は複数のメッセージ160は、信頼しているアイデンティティプロバイダ110aに関する一般化された情報を示す情報を含む。本明細書でより詳細に理解されるように、このような情報160は、アイデンティティプロバイダ110aの具体的なネットワークエンドポイントを含み得る。当然、このような情報160は、追加又はその代替として、アイデンティティプロバイダ110aの汎用ドメイン名、又は、接触することによって、アイデンティティプロバイダ110aのネットワークアドレスを識別することができるさらに別のサービス110aを含むことができる。
【0044】
さらに、図3に示すように、クライアント105側から見た方法は、アイデンティティプロバイダ名を解決して、信頼されているネットワークエンドポイントに到達するアクト320を含むことができる。アクト320は、汎用名を自動で解決して、信頼されているアイデンティティプロバイダの1つの、1つ又は複数のネットワークエンドポイントを取得する。例えば、クライアント105のサービスリクエスタ130は、1つ又は複数のメッセージ175をネットワーク解決サービス115に自動的に送信し、情報160で見つけられた汎用ドメイン名の解決を要求する。次に、サービスリクエスタ130は、アイデンティティプロバイダ110aに対応する、1つ又は複数の特定のネットワークエンドポイントに最初に与えられた汎用名を解決する1つ又は複数のメッセージ180を受信する。あるいは、サービスリクエスタ130は、情報160で見つけられた特定のネットワークエンドポイントに自動的に接触し、ネットワークエンドポイントにある団体に、適切なアイデンティティプロバイダ110のロケーションを教えるように頼む。
【0045】
さらに、図3に示すように、クライアント105側から見た方法は、信頼されているネットワークエンドポイントを通して、デジタルアイデンティティ表示を取得するアクト330を含むことができる。アクト330は、1つ又は複数のネットワークエンドポイントを認証すると、1つの解決したアイデンティティプロバイダに接触して、1つ又は複数のセキュリティトークンの取得に使用する1つ又は複数のデジタルアイデンティティ表示を取得することを含む。例えば、図1Aおよび図1Bに示すように、アイデンティティプロバイダ110aは、1つ又は複数のメッセージ190をクライアント105に返信する。1つ又は複数のメッセージ190は、次に、DIRプロビジョニングサービス(例えば、150a)の1つ又は複数のエンドポイントを示す1つ又は複数のメタデータ要素(例えば、WS−FEDERATION規格に従った)を含むことができる。同様に、1つ又は複数のメッセージ190は、DIRプロビジョニングサービス(例えば、150a)に対応する1つ又は複数のエンドポイントに到達するために、さらに解決する必要がある1つ又は複数のメタデータ要素を含むことができる。どちらの場合においても、次に、サービスリクエスタ130は、メッセージ190のその情報を用いて、適切なDIRプロビジョニングサービス(例えば、150a)に最終的に接触し、デジタルアイデンティティ表示(例えば、113b)を取得する。
【0046】
前述に加えて、図4に示すように、アイデンティティプロバイダ110側から見た方法は、DIRプロビジョニングサービスに関する情報を求めるクライアントの要求を受信するアクト400を含むことができる。アクト400は、アイデンティティプロバイダで、1つ又は複数のDIRを確立するための1つ又は複数のDIRプロビジョニングサービスを求めるクライアントからの1つ又は複数の要求を受信することを含む。その後、その1つ又は複数のDIRを使用して、ユーザを信頼当事者に検証することができる1つ又は複数のセキュリティトークンを取得することができる。前述のように、例えば、図1Aは、アイデンティティプロバイダ110aが、1つ又は複数のセキュリティトークンを最終的に取得するための取組みの一部として、DIRプロビジョニングサービス情報を求める1つ又は複数の要求185をクライアント105から受信することを示している。
【0047】
図4に示すように、アイデンティティプロバイダ110側から見た方法は、デジタルアイデンティティ表示プロビジョニングサービスの情報を与えるアクト410も含むことができる。アクト410は、アイデンティティプロバイダが信頼する1つ又は複数のデジタルアイデンティティプロビジョニングサービスを識別する情報を、クライアントに与えることも含む。例えば、前述のように、図1Aは、要求185に応答して、アイデンティティプロバイダ110aが1つ又は複数のメッセージ190を介して情報を与えることを示している。少なくとも1つの実装形態においては、1つ又は複数のメッセージ190は、公開されたセキュリティドキュメント、又はそのドキュメントに含まれる情報の少なくとも一部を含む。このような情報は、DIRプロビジョニングサービス150aのドメイン名(ネットワーク解決サービス115を介してさらなる解決が必要となる場合がある)、又は 単に、サービス150aの具体的なネットワークエンドポイントを含むことができる。
【0048】
さらに、図4に示すように、アイデンティティプロバイダ110側から見た方法は、クライアントが与えたデジタルアイデンティティ表示を認証するアクト420を含む。アクト420は、クライアントから受信した1つ又は複数のデジタルアイデンティティ表示を認証することを含み、アイデンティティプロバイダは、受信した1つ又は複数のデジタルアイデンティティ表示が有効であることを判定する。例えば、図2に示すように、アイデンティティプロバイダ110aは、(例えば、判定モジュール145aを介して)メッセージ200の形でクライアント105が与えたDIR113bを評価する。具体的には、アイデンティティプロバイダ110aは、DIR113bが、1つ又は複数のメッセージ190の形で以前参照した、DIRプロビジョニングサービス150aが作成、提供したものであることを判定する。従って、アイデンティティプロバイダ110aは、メッセージ200を介してDIR113bを与えたクライアント105は、メッセージ185を介してDIRプロビジョニング情報を要求したのと同じクライアント105であることを確認する。
【0049】
さらに、図4に示すように、アイデンティティプロバイダ110側から見た方法は、セキュリティトークンをクライアントに提供するアクト430を含むことができる。アクト430は、認証された1つ又は複数のデジタルアイデンティティ表示に対応する1つ又は複数のセキュリティトークンを提供することを含む。例えば、図2に示すように、メッセージ200のデジタルアイデンティティ表示113bを有効にすると、アイデンティティプロバイダ110aは、1つ又は複数のセキュリティトークン210をクライアント105に返信する。そして、クライアント105は、提供されたセキュリティトークン210を用いて、要求を行っているユーザのアイデンティティを信頼当事者120aと検証することができる。
【0050】
従って、本発明の実装形態は、クライアントが、安全、確実、かつ効率的に、適切なセキュリティトークンにアクセスすることができる、多くの異なるコンポーネントや機構を提供する。本明細書で述べたように、例えば、このような機構は、クライアントのアイデンティティセレクタが、ある特定のアイデンティティプロバイダのDIRが利用可能か否かを判定する手段を含み、もし、利用可能でなければ、ユーザが適切なDIRを取得するのを手伝う方法を含む。このような機構によって、アイデンティティプロバイダが、(例えば、公開又は他の方法で)様々なメタデータ要素をユーザに提供することも可能となり、メタデータ要素は、適切なDIRを発行することができるDIRプロビジョニングサービスのロケーションを示す。本明細書で前述したように、このような情報を(例えば、メタデータ要素の形で)、様々なエンドポイントのクライアントが独立して解決できるように公開することができ、それによって、フェデレートされたシステム全体の安全性を向上させる。
【0051】
本発明の実施形態は、以下でより詳細に述べるように、様々なコンピュータハードウェアを含む、専用コンピュータ又は汎用コンピュータを含んでよい。本発明の範囲にある実施形態は、コンピュータ実行可能命令を実行又は有するコンピュータ可読媒体、又は、その媒体に記憶されたデータ構造も含む。このようなコンピュータ可読媒体は、汎用コンピュータ又は専用コンピュータがアクセス可能な任意の利用可能な媒体であってよい。
【0052】
一例として、このようなコンピュータ可読媒体に含まれるのは、RAM、ROM、EEPROM、CD−ROMもしくは他の光ディスク記憶装置、磁気ディスク記憶装置もしくは他の磁気記憶装置、又は、コンピュータ実行可能命令又はデータ構造の形で、所望のプログラムコード手段を実行又は記憶するために用いることができ、かつ、汎用コンピュータ又は専用コンピュータがアクセス可能な、他の任意の媒体であるが、これらに限定されない。ネットワーク又は別の通信接続(配線接続、無線、又はその両方の組合せのいずれか)を通して、情報をコンピュータに転送又は提供すると、コンピュータは、適宜、その接続をコンピュータ可読媒体と見る。従って、任意のこのような接続を、コンピュータ可読媒体と称することは適切である。上記を組合せたものも、コンピュータ可読媒体の範囲に含まれるべきである。
【0053】
コンピュータ実行可能命令は、例えば、汎用コンピュータ、専用コンピュータ、又は、専用処理装置に、ある機能又は機能群を実施させる命令およびデータを含む。構造的特徴および/又は方法論的アクトに固有の言葉で主題を記載してきたが、添付の請求項で規定する主題は、上述の具体的な特徴又はアクトに必ずしも限定されないことは理解されたい。上述の具体的な特徴およびアクトは、請求項を実装する例示の形として開示したものである。
【0054】
発明は、本発明の精神又は不可欠な特徴から逸脱することなく、他の具体的な形で実現してもよい。上述の実施形態は、あらゆる点で、例示的なものであり、限定的なものとして考えてはならない。従って、発明の範囲は、前述の記載ではなく添付の請求項によって示される。請求項と等価の意味および範囲内のあらゆる変更は、発明の範囲に包含されるものとする。
【技術分野】
【0001】
本発明は、信頼当事者と使用するトークンを取得する際に、デジタルアイデンティティ表示プロビジョニングサービスを、ユーザ/クライアントが独立して検証するように構成された、システム、方法、および、コンピュータプログラムに関する。
【背景技術】
【0002】
従来型のコンピュータシステムは、生産や娯楽など、幅広い目的に広く使用されている。その理由の1つは、コンピュータシステムは、タスクの自動化で効率をよくする傾向があると共に、ある種の取引をより効率的にするからである。例えば、過去には、ユーザが何時間又は何日もかかって完了するような種類の取引があった。具体的には、銀行の預金や振替、店舗の物の購入では、ユーザのアイデンティティを検証し、取引の指示を与えるために、ユーザは実際に銀行や店舗のある場所まで出かける必要があっただろう。ユーザのアイデンティティを検証後、銀行や店舗が、要求された取引を開始、確認するだろう。このシナリオでは、銀行又は店舗を「信頼当事者」とみなすことができ、信頼当事者は、ユーザが実際に訪れて提供したアイデンティティを信用し、ユーザは「アイデンティティプロバイダ」となる。
【0003】
しかしながら、最近では、自動化された(コンピュータ化された)機構を用いて、このような取引は数秒又は数分に短縮された。具体的には、上記のような取引は、端末が自動化されたため、ますます効率的で複雑になり、そのような端末を用いて、ユーザは、離れた場所から取引を行うことができる。しかしながら、ユーザが出向いて行うアイデンティティの検証に代って、自動化された端末は、サービスへのアクセスを提供する前に、ユーザにいくつかの課題や応答のシナリオを満足させるよう求める。例えば、ユーザは、口座のカードおよび暗証番号を提示する必要があるかもしれない。口座のカードおよび暗証番号は、ユーザと信頼当事者との間で信頼関係を確立したとき、予め、信頼当事者から受け取ったものである。
【0004】
自動化された端末と同様に、より最近のインターネットベースの信頼当事者は、エンドユーザがある種の信頼関係を確立することも要求する。よく用いられるのは、ユーザに検証可能な個人情報(例えば、名前、住所、誕生日など)を提供するよう要求するなどである。信頼当事者は、クレジットカード情報、運転免許証情報、ソーシャルセキュリティカード情報などの他の第三者の検証情報を提示するようにユーザに要求することもある。このような場合、信頼当事者は、ユーザの自己検証情報だけでなく、信頼当事者が既に信頼関係を確立している他の当事者(例えば、クレジットカード会社、又は政府機関)の検証にも頼ることになる。従って、その後、ユーザが信頼当事者のサービスにアクセスすると、信頼当事者は、予め交換した個人情報および第三者情報の一部又は全てを提示するようユーザに要求することができる。
【0005】
通常、オンライン取引を行うと効率性を得られるので、ますます多くの団体がこのようなサービスを提供するようになり、ユーザがこのようなサービスを使用する需要もますます増加している。しかしながら、オンライン取引のこのような増加は、一連の別の問題を引き起こしている。すなわち、ユーザは、多くの異なるオンライン口座を監視、保持することが必要となり、その数はますます増えていくことが多い。特に、異なる信頼当事者の各々にユーザが異なる検証情報を提供する場合、ユーザは、増え続ける、異なるユーザ名、パスワード、その他の有り得る検証情報を、覚えるか、それらにアクセスする必要がある。
【0006】
従来の機構には、「フェデレートされた」アイデンティティ検証システムを実装することによって、これらの懸念の一部を軽減しようと試みたものもある。フェデレートされたシステムでは、個々のアイデンティティプロバイダが保持するデータを用いて、様々な信頼当事者に存在するユーザの異なる口座の多くに対して1つ又は複数のセキュリティトークンを生成することができる。一般には、「セキュリティトークン」は、アイデンティティプロバイダが、ユーザのアイデンティティを信頼当事者に主張する手段である。セキュリティトークンを多くの異なる信頼当事者間を移動して利用できるように、この種のアイデンティティプロバイダは、ユーザがアクセスを望む異なる信頼当事者の各々と信頼関係を確立する必要がある。
【0007】
こうすると、ユーザは、ある信頼当事者の特定のサービスへのアクセスを望むとき、アイデンティティプロバイダに接触して、ユーザ自身をアイデンティティプロバイダに検証し、アイデンティティプロバイダからトークンを取得することができる。そして、ユーザは、アイデンティティプロバイダから取得したトークンを信頼当事者に提示することができる。トークンには、ユーザおよび/又はユーザのクライアントシステムに関する何らかの主張(およびアイデンティティプロバイダに関する何らかの情報)が含まれる。信頼当事者は、アイデンティティプロバイダおよびユーザを信頼しているので、提供された情報を用いてトークンを有効にすることができる。有効にされると、ユーザは様々な要求したサービス又は取引にアクセスすることができる。
【0008】
一部の信頼当事者は、ある一部のアイデンティティプロバイダのみを信頼する、すなわち、ある一部のアイデンティティプロバイダとのみ信頼関係を有するので、ユーザは、また、複数の異なるアイデンティティプロバイダに口座を設立しているかもしれない。従来のシステムでは、ユーザは、各アイデンティティプロバイダでセキュリティトークン取得に用いることができる1つ又は複数のデジタルアイデンティティ表示を、保持又は記憶する。次に、ユーザのクライアントコンピュータシステムに記憶されたアイデンティティ選択サービスが、任意の所与のアイデンティティプロバイダに対してどのアイデンティティ表示を使うべきかを、管理、識別することができる。
【0009】
例えば、ユーザは、1つの特定のアイデンティティプロバイダで1つのデジタルアイデンティティ表示を使って、1つの特定の信頼当事者用のトークンを発行してもらうことが必要かもしれない。そして、ユーザは、同一の(又は異なる)アイデンティティプロバイダで、別のデジタルアイデンティティ表示を用いて、その信頼当事者(又は別の信頼当事者)用のさらに他のトークンを要求するかもしれない。このように、アイデンティティ選択サービスは、適切な1つ又は複数のデジタルアイデンティティ表示を、適切なアイデンティティプロバイダ(単数又は複数)に提供する。
【0010】
一般的に、上記のフェデレーションシステムは、ユーザが要求されたアイデンティティプロバイダと既に信頼関係を確立している場合は、うまくいく傾向がある。しかしながら、ユーザは、ユーザ(又はクライアントシステム)が信頼関係を確立していないアイデンティティプロバイダからのトークンを承認する信頼当事者に遭遇する場合がある。ユーザは、ある特定のアイデンティティプロバイダとの関係を確立する処理を行うことができるが、さらに、そのアイデンティティプロバイダの名前とロケーションを識別できる必要がある。しかしながら、アイデンティティプロバイダの名前とロケーションに関する情報を提供することは、多くのセキュリティリスクを伴う可能性がある。
【0011】
例えば、仮に信頼当事者が自動的にクライアントシステムを、ある特定のアイデンティティプロバイダに導くように上記シナリオを確立すると、ユーザは、「フィッシング」攻撃のリスクにさらされるであろう。具体的には、ユーザが合法であると信じている悪意の信頼当事者が、悪意のアイデンティティプロバイダにユーザを自動的に導くかもしれない。ユーザが、悪意のアイデンティティプロバイダとアイデンティティ表示を確立しようと試みると、アイデンティティプロバイダは、簡単にユーザのアイデンティティを盗み、ユーザを不正に利用することができるであろう。そのアイデンティティプロバイダは、その悪意の信頼当事者にアクセスするためのトークンを提供することもでき、従って、より長い期間、出現し続けることになる。
【発明の概要】
【発明が解決しようとする課題】
【0012】
合法的な信頼当事者の場合でさえ、信頼当事者が、デジタルアイデンティティ表示プロビジョニングサービスの正確なエンドポイントを提供すると、ユーザ(および/又は信頼当事者)になんらかのリスクがある。安全なオンライン取引サービスの提供を志向する団体が増えるにつれて、このような問題は増える一方であることは理解される。従って、フェデレートされたシステムには取組むことができる多くの課題がある。
【課題を解決するための手段】
【0013】
信頼当事者と使用するトークンを取得する前に、デジタルアイデンティティ表示プロビジョニングサービスを、ユーザ/クライアントが独立して検証するように構成されたシステム、方法、および、コンピュータプログラムの形で、本発明を実装することにより、当分野の1つ又は複数の課題を解決する。少なくとも1つの実装形態においては、例えば、信頼当事者のサービスの要求に応答して、クライアントは、その信頼当事者が信頼する1つ又は複数のアイデンティティプロバイダに関するメタデータを受信する。そして、クライアントは、独立して、そのメタデータを解決して、アイデンティティプロバイダが提供するデジタルアイデンティティプロビジョニングサービスを識別し、クライアントがそのプロビジョニングサービスを信頼できるか否かを判定する。信頼できれば、クライアントは、そのプロビジョニングサービスを通して、対応するアイデンティティプロバイダとデジタルアイデンティティ表示を確立し、信頼当事者と使用する1つ又は複数のトークンを取得することができる。
【0014】
例えば、デジタルアイデンティティ表示および/又はセキュリティトークンを取得するクライアントコンピュータシステム側から見た方法には、信頼当事者に接触して、信頼当事者における1つ又は複数のサービスにアクセスすることも含むことができる。その方法には、信頼当事者から1つ又は複数のポリシーファイルを受信することも含むことができる。この場合、その1つ又は複数のポリシーファイルは、1つ又は複数の信頼されるアイデンティティプロバイダのセットに対応する汎用名を識別する情報を含む。さらに、その方法には、識別された汎用名を自動的に解決して、信頼されるアイデンティティプロバイダのうちの1つの、1つ又は複数のネットワークエンドポイントを取得することを含むことができる。さらに、その方法には、1つ又は複数のネットワークエンドポイントを認証すると、1つの解決したアイデンティティプロバイダに接触して、1つ又は複数のセキュリティトークンの取得に使用する、1つ又は複数のデジタルアイデンティティ表示を取得することを含むことができる。
【0015】
さらに、1つ又は複数のデジタルアイデンティティ表示および/又は1つ又は複数のセキュリティトークンをクライアントに提供するアイデンティティプロバイダ側から見た方法には、1つ又は複数のデジタルアイデンティティ表示プロビジョニングサービスを求めるクライアントからの1つ又は複数の要求を、アイデンティティプロバイダで受信することを含むことができる。その方法には、アイデンティティプロバイダが提供する1つ又は複数のデジタルアイデンティティプロビジョニングサービスを識別する情報を、クライアントに提供することを含むことができる。さらに、その方法には、クライアントから受信する1つ又は複数のデジタルアイデンティティ表示を認証することを含むことができる。この場合には、アイデンティティプロバイダは、受信した1つ又は複数のデジタルアイデンティティ表示が有効であることを判定する。さらに、その方法には、認証した1つ又は複数のデジタルアイデンティティ表示に対応する1つ又は複数のセキュリティトークンを提供することを含むことができる。
【0016】
本「発明の概要」は、「発明を実施するための形態」でさらに詳しく述べる概念の一部を簡単に紹介したものである。本「発明の概要」は、特許を請求する主題の重要な特徴又は必須の特徴を特定することを意図したものではなく、特許を請求する主題の範囲を決定するための目的に使用されることも意図してはいない。
【0017】
本発明のさらなる特徴および利点は、下記の説明に記載しており、その説明からある程度明らかであり、本発明の実践によって理解されるものである。本発明の特徴および利点は、添付の請求項で詳細に具体的に指摘した装置およびその組合せによって実現し、得られるものである。本発明のこれらの特徴および他の特徴は、下記の説明、添付の請求項より十分に明らかとなり、また、以下に記載の発明の実践により理解されよう。
【図面の簡単な説明】
【0018】
本発明の上述および他の利点および特徴が得られる方法を記載するために、上記で簡単に述べた本発明を、具体的な実施形態とそれに付随する図面を参照しながら、より詳細に記載する。これらの図面は、本発明の典型的な実施形態のみを描いたものであり、本発明の範囲を制限することを意図してはいないことを理解して頂き、添付図面を使用しながら、本発明のさらに具体的な記載、説明を行う。
【0019】
【図1A】クライアントが、信頼当事者からの1つ又は複数のポリシーを解決して適切なアイデンティティプロバイダを識別する、フェデレートされたアイデンティティシステム全体の概略図である。
【図1B】クライアントが、アイデンティティプロバイダが参照するデジタルアイデンティティ表示プロビジョニングサービスに接触し、そのサービスを使ってデジタルアイデンティティ表示を取得する、全体の概略図である。
【図2】クライアントが、図1Bのプロビジョニングサービスによって提供されたデジタルアイデンティティ表示を用いて、トークンを取得し、そのトークンを用いてクライアントが信頼当事者のサービスにアクセスする、図1A、図1Bに示すシステムの概略図である。
【図3】信頼されているエンドポイントからデジタルアイデンティティ表示を取得する、クライアント側から見た方法における1つ又は複数のアクトのフローチャートである。
【図4】新しく提供されたデジタルアイデンティティ表示を認証して、クライアントにトークンを提供する、アイデンティティプロバイダ側から見た方法のフローチャートである。
【発明を実施するための形態】
【0020】
本発明の実装形態は、信頼当事者と使用するトークンを取得する前に、デジタルアイデンティティ表示プロビジョニングサービスを、ユーザ/クライアントが独立して検証するように構成された、システム、方法、および、コンピュータプログラムにおよぶ。少なくとも1つの実装形態において、例えば、信頼当事者のサービスの要求に応答して、クライアントは、信頼当事者が信頼する1つ又は複数のアイデンティティプロバイダに関するメタデータを受信する。そして、クライアントは、独立してそのメタデータを解決して、アイデンティティプロバイダが提供するデジタルアイデンティティプロビジョニングサービスを識別し、クライアントがそのプロビジョニングサービスを信頼できるか否かを判定する。信頼できれば、クライアントは、そのプロビジョニングサービスを通して、対応するアイデンティティプロバイダとデジタルアイデンティティ表示を確立し、信頼当事者と使用する1つ又は複数のトークンを取得することができる。
【0021】
従って、本明細書でより詳しく理解されるように、本発明の実装形態は、アイデンティティプロバイダが、デジタルアイデンティティ表示 (又は、DIR、「情報カード」とも呼ぶ)を発行することができるサービスのロケーションを公開することができる、1つ又は複数の機構を提供する。本発明の実装形態は、アイデンティティプロバイダが代替の情報を公開することができる1つ又は複数の機構も提供する。その情報によって、ユーザは、DIRを取得する前に、アイデンティティプロバイダとの関係を確立することができる。さらに、本発明の実装形態は、ある特定のアイデンティティプロバイダのDIRが利用可能か否かをアイデンティティセレクタ(例えば、クライアントシステム上のコンポーネント又はアプリケーション)が見つけ出し、その情報をユーザに提示してユーザがDIRを取得するのを助ける、1つ又は複数の機構を提供する。
【0022】
一般的には、本発明のこれらの態様および他の態様は、WS−FEDERATIONの規格に従って構成されたメタデータ要素を用いて、少なくとも1つの実装形態において達成することができる。少なくとも1つの実装形態においては、例えば、アイデンティティプロバイダおよび信頼当事者は両方とも、ユーザが特定のエンドポイントを独立して検証するために用いることができる様々なメタデータ要素を用いて、ユーザを様々なエンドポイントに導くことができる。例えば、あるメタデータ要素は、クライアントがカードを取得しに行く必要のあるDIR発行サービスの実際のロケーションを記述することができる。あるメタデータ要素は、カードを発行するためのセキュリティ用件も記述することができる。さらに、そのメタデータ要素は、ユーザが発行者/アイデンティティプロバイダと関係を有しておらず、デジタルアイデンティティ表示(すなわち、DIR)をダウンロードする前に、そのような関係が必要である場合、どこに行くべきかをユーザに示すことができる。次に、これらのメタデータ要素によって、ユーザのクライアントアイデンティティセレクタは、本明細書に記載されている1つ又は複数の追加のコンポーネントと協働して、ユーザが必要とするDIRを見つけ、又は、確立して、関連するセキュリティトークン(単数又は複数)を取得する。
【0023】
図1Aは、本発明の実装形態による、フェデレートされたアイデンティティプロビジョニングシステム100を示す。図に示すように、フェデレートされたアイデンティティプロビジョニングシステム100は、少なくとも1つのクライアント105、およびクライアント105(すなわち、ユーザに代って)が特定のサービスへのアクセスを要求する1つ又は複数の信頼当事者(依拠当事者)120(a、b他)を含む。例えば、信頼当事者120は、様々な口座や購買機能を提供するオンラインバンク又はオンラインストアである。図1Aはまた、各信頼当事者120(a、b他)が、判定モジュール140(a、b他)、および信頼しているアイデンティティプロバイダのリスト125(a、b他)を含むことを示す。これらモジュールおよびリストの各々については、以下により詳しく記載する。
【0024】
さらに、図1Aに示すように、フェデレートされたアイデンティティプロビジョニングシステム100は、1つ又は複数のアイデンティティプロバイダ110(a、b他)を含み、各アイデンティティプロバイダ110はまた、それ自身の判定モジュール145(a、b他)、および対応する1つ又は複数のデジタルアイデンティティプロビジョニングサービス150(a、b他)を含む。本明細書でより詳しく理解されるように、1つ又は複数のアイデンティティプロバイダ110は、1つ又は複数の「セキュリティトークン」(すなわち、図2の210)を用いて、ユーザ/クライアントのアイデンティティを信頼当事者に検証する。一般的には、セキュリティトークンは、信頼当事者120および信頼されているアイデンティティプロバイダ110が互いに合意したフォーマット/構成でユーザに関する様々な主張を提供する。例えば、銀行又はオンラインストアの形の信頼当事者120が、クライアント105に要求されたサービスを提供する前に、ユーザ/クライアント105の信用証明を独立して検証することを要求すると、信頼されているアイデンティティプロバイダ110は、ユーザの信用証明の検証に使用されると予測されたデータを含む1つ又は複数のセキュリティトークンを通してこの検証を行う。
【0025】
しかしながら、クライアント105は、示されたアイデンティティプロバイダ110からのセキュリティトークンを簡単に要求することはできない。それどころか、クライアント105は、アイデンティティプロバイダ110と信頼関係を確立する必要がある。さらに、クライアント105は、任意のある特定の信頼当事者120と対話するために、任意の所与のアイデンティティプロバイダ110との信頼関係を簡単に得ることはできない。それどころか、クライアント105は、クライアントがサービスを要求する信頼当事者120も信頼する特定のアイデンティティプロバイダ110と信頼関係を取得する必要がある。すなわち、必ずしも全ての信頼当事者120が、全てのアイデンティティプロバイダ110と信頼関係を有するわけではなく、逆もまた同様である。例えば、図1Aに示すように、信頼当事者120は、信頼しているアイデンティティプロバイダ110のリスト125aを保持し、そのリストには、この場合では、アイデンティティプロバイダ110bではなく、アイデンティティプロバイダ110aが含まれる。同様に、図1Aに示すように、信頼当事者120bは、信頼しているアイデンティティプロバイダ100のリスト125bを含み、そのリストには、この場合は、アイデンティティプロバイダ110aではなく、アイデンティティ プロバイダ110bが含まれる。
【0026】
一般的には、クライアント(ユーザに代って)と所与のアイデンティティプロバイダとの信頼関係は、上記デジタルアイデンティティ表示、すなわちDIR(113)の形で明らかになる。次に、クライアントは、ある特定のアイデンティティプロバイダ110との、そして最終的には、その特定のアイデンティティプロバイダを信頼する1つ又は複数の信頼当事者のサービスに使用するための、セキュリティトークンを取得するために、ある特定のDIR113(a、b他)を用いる。従って、例えば、図1Aに示すように、クライアント105は、DIRストア107を保持し、DIRストア107は、この場合は、アイデンティティプロバイダ110bのためのDIR113aを含み、信頼当事者120aではなく、信頼当事者120bだけが、アイデンティティプロバイダ110aを信頼しているので、DIR113aは、信頼当事者120bとのサービスに用いられる。従って、任意の所与のDIR113は、複数の異なる信頼当事者120と用いてもよいことは、理解されよう。
【0027】
さらに、クライアント105は、ストア107に、任意の数のDIR113を保持できるが、簡単にするために、図1Aでは、クライアント105は、単一のDIR113aのみを有しているよう示してある。この例においては、図示のDIR113aによって、クライアント105は、信頼当事者120bと使用するセキュリティトークンをアイデンティティプロバイダ110bから取得することができる。一方、図1Aに示すように、クライアント105は、アイデンティティプロバイダ110aに対応する、および/又は信頼当事者120aのサービスで使用するDIRを持たない。
【0028】
従って、図1Aに示すように、クライアント105が、信頼当事者120aのサービスにアクセスしようとすると(例えば、メッセージ155)、信頼当事者120aは、最終的に、クライアント105がまだ関係を確立していない(すなわち、DIR113のない)アイデンティティプロバイダ(すなわち、110a)に、クライアント105を導く。例えば、図1Aに示すように、メッセージ155に応答して、信頼当事者120aは(例えば、判定モジュール140aを介して)、クライアント105がサービスにアクセスするためにセキュリティトークンを提示する必要があると判定する。従って、図1Aは、信頼当事者120aが1つ又は複数のポリシー160で応答することを示している。
【0029】
信頼当事者120aが、任意の数の方法で、1つ又は複数のポリシー160を提供できることは理解されよう。例えば、信頼当事者120aは、適切なトークン発行者(すなわち、アイデンティティプロバイダ)に関する情報を含む、1つ又は複数のドキュメントを公開することができる。そして、クライアント105は、関連のある情報を求めて、公開されたドキュメントを見ることができる。追加又は代替の実装形態においては、信頼当事者120aは、信頼しているアイデンティティプロバイダ110の名前に関する特定の情報で応答する。
【0030】
次に、信頼当事者120aによって提供される情報/ポリシー160は、任意の数又は任意の種類の情報を含むことができる。前述したように、例えば、ポリシー160は、ある特定のアイデンティティプロバイダ110のネットワークエンドポイントに関する様々なメタデータ要素(例えば、WS−FEDERATION規格に従った)を含むことができる。追加又は代替の実装形態においては、1つ又は複数のメタデータ要素は、1つ又は複数の汎用ドメイン名を含むか、又は示し、クライアント105は、適切なエンドポイントをさらに判定するためにその汎用ドメイン名を解決する必要がある。例えば、1つ又は複数のポリシー160は、「BANK.comからのアイデンティティプロバイダを使用すること」などの情報を含むことができる。そのような場合、クライアント105は、BANK.comを解決して、1つ又は複数のアイデンティティプロバイダ110を識別し、そこから、セキュリティトークンを取得することが必要となる。
【0031】
従って、図1Aに示すように、クライアント105は、適切なアイデンティティプロバイダ(単数又は複数)110に関する情報160を、サービスリクエスタ130を介して処理する。サービスリクエスタ130は、受信した情報160を、アイデンティティセレクタ135を通して比較する。詳細には、図1Aに示すように、サービスリクエスタ130は、1つ又は複数のメッセージ165をアイデンティティセレクタ135に送信し、信頼当事者120aに対するアイデンティティプロバイダ110aに対応するDIRが(すなわち、ストア107に)あるか否かを問い合わせる。この場合、図1Aに示すように、アイデンティティセレクタ135は、そのようなDIRはないということを示すか、又はアイデンティティプロバイダ110aのDIRを確立する必要があるということを示す、1つ又は複数のメッセージ170で応答する。追加又は代替の実装形態においては、アイデンティティセレクタ135は、1つ又は複数のインタフェースをユーザにさらに提示して、信頼当事者120aと使用する適切なDIR113をユーザが選択できるように、又は必要であれば、オプションとして、新しいDIR113を取得できるようにする。
【0032】
図に示した場合においては、図1Aに示すように、サービスリクエスタ130は、アイデンティティプロバイダ110aを見つけ出し(そして通信して)、適切なDIR113を取得するように指示される。図1Aは、また、アイデンティティプロバイダ110aに関する情報160は、正確なネットワークエンドポイントを表していないので、さらに解決する必要があるということを示している。従って、図1Aに示すように、サービスリクエスタ130は、1つ又は複数のメッセージ175で、1つ又は複数のドメイン名解決サービス115に接触する。追加又は代替の実装形態においては、サービスリクエスタ130は、1つ又は複数の他のエージェント又はサービスに接触し、そのエージェント又はサービスが、次に、メッセージ 175でネットワーク解決サービス115に接触する。どちらの場合においても、図1Aに示すように、クライアント105は、解決された情報180を有する1つ又は複数のメッセージ180を最終的に受信し、その情報180は、この場合では、アイデンティティプロバイダ110aのある特定のネットワークエンドポイントを含む。
【0033】
ネットワーク解決サービス115が、追加的に又は代替の方法として、他のサービス又はエージェントのために、1つ又は複数の他のドメイン名で応答することができることは、当然理解されよう。このような応答のためには、アイデンティティプロバイダ110aに対応するエンドポイントを取得する前に、サービスリクエスタ130は、さらに他の団体に接触し、追加の情報/解決を取得する必要がある。例えば、応答180は、アイデンティティプロバイダ110aの名前に対応する可能性のあるアイデンティティプロバイダのリストを含み得る。そして、サービスリクエスタ130は、信頼当事者120aが示したアイデンティティプロバイダ110aの適切かつ特定のネットワークエンドポイントを識別するまで、リストにある識別されたアイデンティティプロバイダのいずれか、又は全てに連続して接触することができる。どのように行っても、クライアント105(例えば、ユーザに代って)が、信頼当事者120aからの特定の指示なしに、ネットワークエンドポイントを独立して判定又は解決することは、注目に値する。
【0034】
いずれにしても、メッセージ180を介してエンドポイントを受信すると、図1Aに示すように、サービスリクエスタ130は、アイデンティティプロバイダ110a(すなわち、それに対応する解決されたエンドポイント)に、そのDIRプロビジョニングサービスに関する情報を取得するために、1つ又は複数のメッセージ185を送信する。クライアント105が、予め確立した信頼関係を有し、かつ、適切なDIR113を既に有していれば、クライアント105は、そのDIRを用いて(例えば、図2では、メッセージ200を介して)、信頼当事者120aの適切なセキュリティトークン(図2では210)を要求することができる。この場合、クライアント105は、アイデンティティプロバイダ110aのDIRを持たないので、クライアント105は、適切なDIRプロビジョニングサービスのロケーションを求める。
【0035】
それに応じて、図1Aに示すように、アイデンティティプロバイダ110aは、1つ又は複数のメッセージ190を送信する。メッセージ190は、一般的に、デジタルアイデンティティ表示プロビジョニングサービス150a(すなわち、「DIRプロビジョニングサービス」)を識別するものである。ポリシー160と同様に、1つ又は複数のメッセージ190も、1つ又は複数の特定のネットワークエンドポイントを有するメタデータ要素を含む公開されたドキュメントを含むことができる。しかしながら、追加又は代替の実装形態においては、メッセージ190の情報は、解決可能なドメイン名を含むことができ、サービスリクエスタ130は、1つ又は複数の追加のステップでその解決可能なドメイン名を、(例えば、解決サービス115を介して)解決して、DIRプロビジョニングサービス150のネットワークエンドポイントを識別しなければならない。どちらの場合においても、DIRプロビジョニングサービス150(すなわち、150a)の正確なネットワークエンドポイントを識別すると、次に、クライアント105は、DIR113の取得を試みる。
【0036】
例えば、図1Bに示すように、サービスリクエスタ130は、識別したデジタルアイデンティティプロビジョニングサービス150aに、1つ又は複数のメッセージ193を送信し、信頼当事者120aなどの信頼当事者と使用する1つ又は複数のDIR113を要求する。一般的には、これは、DIR113を開始/作成するという一般的な要求だけでなく、DIR113の確立し、取得するための一連の要求や応答(すなわち、複数の異なるメッセージ)を含むことができる。例えば、DIRプロビジョニングサービス150aは、(クライアント105を通して)ユーザに関する個人情報を要求してもよく、ユーザは、クライアント105を介して、数回のそれに対応する応答を行う必要があるかもしれない。このような要求は、クレジットカード情報、運転免許証情報、ソーシャルセキュリティカード情報、および、何らかの方法でユーザを個人的に識別するために使うことができる他のチャレンジベースの情報を含むことができる。(サービスリクエスタ130が提供する)ユーザの情報/信用証明を有効にすると、DIRプロビジョニングサービス150aは、適切なDIR113を用いて応答することができる。例えば、図1Bに示すように、DIRプロビジョニングサービス150aは、アイデンティティプロバイダ110aに関連する新しく作成されたDIR113bに関する1つ又は複数のメッセージ195を、クライアント105に送信し、この場合では、クライアント105が、そのDIR113bを信頼当事者120aと使用することができる。
【0037】
図2に示すように、クライアント105は、この新しいDIR113bをそのDIRストア107に記憶する。さらに、クライアント105は、信頼当事者120aのサービスにアクセスするために、新しいDIR113bを用いて、1つ又は複数のセキュリティトークン210を取得することができる。図2に示すように、例えば、クライアント105は、(すなわち、サービスリクエスタ130を介して)1つ又は複数の新しいメッセージ200をアイデンティティプロバイダ110aに送信する。この場合、その1つ又は複数のメッセージ200は、新しく作成されたDIR113bに対応する情報、および信頼当事者120aのサービスにアクセスするための1つ又は複数のセキュリティトークンの要求を含む。
【0038】
それに応じて、アイデンティティプロバイダ110aの判定モジュール150aは、提供されたDIR113bを有効にする。例えば、アイデンティティプロバイダ110の判定モジュール145aは、新しいDIR113bが、メッセージ190の1つ又は複数のメタデータ要素に基づいたDIRプロビジョニングサービス150に対応している(又は、これに作成された)ことを判定する。このように、DIR113bが、認証又は有効にされると、図2に示すように、アイデンティティプロバイダ110aは、1つ又は複数の対応するセキュリティトークン210で、応答する。具体的には、図2に示すように、アイデンティティプロバイダ110aは、1つ又は複数のセキュリティトークン210を、クライアント105に直接送信し、その後、クライアント105は、1つ又は複数の対応するメッセージ220の形で1つ又は複数のセキュリティトークン210を信頼当事者120aに提供する。アイデンティティプロバイダ110aが、追加的又は代替の方法として、1つ又は複数のセキュリティトークン210を直接信頼当事者120aに送信してもよいことは、当然理解されよう。
【0039】
さらに、図2に示すように、信頼当事者120aは、1つ又は複数のメッセージ220の形で受信したセキュリティトークン210を、判定モジュール140を通して処理する。例えば、判定モジュール140aは、セキュリティトークン210を処理して、そのセキュリティトークン210が、予め与えられた情報160(図1)の1つ又は複数のデータ要素に一致するか否かを判定する。一実装形態においては、これは、受信したセキュリティトークン210が、信頼しているアイデンティティプロバイダ(例えば、110a)からのものであり、かつ、そのセキュリティトークンが、サービスを要求しているユーザを検証するための予定していたデータを含むことを信頼当事者120aが判定することを含む。セキュリティトークン210が有効であること、および/又は(セキュリティトークン210と共に)クライアント105が提供したユーザ情報が検証されたことが識別されると、信頼当事者120aは、要求されたサービスへのアクセスを許可することができる。例えば、図2に示すように、信頼当事者120aは、1つ又は複数のメッセージ230をクライアント105に返信し、そうすることによって、クライアント105は要求したサービスにアクセスすることができる。
【0040】
従って、図1A、図1Bおよび図2は、クライアント105が情報を安全に解決することのできる1つ又は複数の機構を示している。具体的には、図1A、図1Bおよび図2、それらの図に対応する文章は、クライアント105が、アイデンティティプロバイダとの信頼関係を安全、かつ確実に得ることを保証する多くのコンポーネントおよび機構を示すものである。少なくとも一実装形態においては、このようなコンポーネントおよび機構は、クライアントレベルでの独立した解決およびアクションを伴い、それによって、例えば、従来のフィッシング攻撃に関連するセキュリティ違反など、多くのセキュリティ違反を避けることができる。
【0041】
前述したものに加えて、本発明の実装形態を、ある特定の結果を達成するための1つ又は複数のアクトを含む方法という形で、記載することもできる。例えば、図3に示すのは、信頼当事者からの情報を解決して、アイデンティティプロバイダ110などの信頼しているエンドポイントからデジタルアイデンティティ表示を取得するための、クライアント105側から見たフローチャートである。さらに、図4に示すのは、デジタルアイデンティティ表示を認証し、対応するセキュリティトークンをクライアントに与えるための、アイデンティティプロバイダ110側から見たフローチャートである。図3および図4のアクトは、コンポーネントおよび図1A、図1B、ならびに図2を参照して、以下により詳細に記載する。
【0042】
例えば、図3に示すように、クライアント105側から見た方法は、サービスを求めて信頼当事者(RP)に接触するアクト300を含むことができる。アクト300は、信頼当事者に接触して、信頼当事者の1つ又は複数のサービスにアクセスすることを含む。例えば、図1Aに示すように、クライアント105は、1つ又は複数のメッセージ155を、信頼当事者120aに送信し、そのメッセージによって、信頼当事者120aの1つ又は複数のサービスへのアクセスを要求する。
【0043】
図3に示すように、クライアント105側から見た方法は、信頼されているアイデンティティプロバイダ(IP)に関する情報を受信するアクト310を含むこともできる。アクト310は、1つ又は複数のポリシーファイルを信頼当事者から受信することを含み、その1つ又は複数のポリシーファイルは、1つ又は複数の信頼しているアイデンティティプロバイダのセットに対応する汎用名を識別する情報を含む。例えば、図1Aに示すように、クライアント105は、信頼当事者120と関係を確立していないので、信頼当事者は、1つ又は複数のメッセージ160をクライアント105に返信する。この具体的な例においては、1つ又は複数のメッセージ160は、信頼しているアイデンティティプロバイダ110aに関する一般化された情報を示す情報を含む。本明細書でより詳細に理解されるように、このような情報160は、アイデンティティプロバイダ110aの具体的なネットワークエンドポイントを含み得る。当然、このような情報160は、追加又はその代替として、アイデンティティプロバイダ110aの汎用ドメイン名、又は、接触することによって、アイデンティティプロバイダ110aのネットワークアドレスを識別することができるさらに別のサービス110aを含むことができる。
【0044】
さらに、図3に示すように、クライアント105側から見た方法は、アイデンティティプロバイダ名を解決して、信頼されているネットワークエンドポイントに到達するアクト320を含むことができる。アクト320は、汎用名を自動で解決して、信頼されているアイデンティティプロバイダの1つの、1つ又は複数のネットワークエンドポイントを取得する。例えば、クライアント105のサービスリクエスタ130は、1つ又は複数のメッセージ175をネットワーク解決サービス115に自動的に送信し、情報160で見つけられた汎用ドメイン名の解決を要求する。次に、サービスリクエスタ130は、アイデンティティプロバイダ110aに対応する、1つ又は複数の特定のネットワークエンドポイントに最初に与えられた汎用名を解決する1つ又は複数のメッセージ180を受信する。あるいは、サービスリクエスタ130は、情報160で見つけられた特定のネットワークエンドポイントに自動的に接触し、ネットワークエンドポイントにある団体に、適切なアイデンティティプロバイダ110のロケーションを教えるように頼む。
【0045】
さらに、図3に示すように、クライアント105側から見た方法は、信頼されているネットワークエンドポイントを通して、デジタルアイデンティティ表示を取得するアクト330を含むことができる。アクト330は、1つ又は複数のネットワークエンドポイントを認証すると、1つの解決したアイデンティティプロバイダに接触して、1つ又は複数のセキュリティトークンの取得に使用する1つ又は複数のデジタルアイデンティティ表示を取得することを含む。例えば、図1Aおよび図1Bに示すように、アイデンティティプロバイダ110aは、1つ又は複数のメッセージ190をクライアント105に返信する。1つ又は複数のメッセージ190は、次に、DIRプロビジョニングサービス(例えば、150a)の1つ又は複数のエンドポイントを示す1つ又は複数のメタデータ要素(例えば、WS−FEDERATION規格に従った)を含むことができる。同様に、1つ又は複数のメッセージ190は、DIRプロビジョニングサービス(例えば、150a)に対応する1つ又は複数のエンドポイントに到達するために、さらに解決する必要がある1つ又は複数のメタデータ要素を含むことができる。どちらの場合においても、次に、サービスリクエスタ130は、メッセージ190のその情報を用いて、適切なDIRプロビジョニングサービス(例えば、150a)に最終的に接触し、デジタルアイデンティティ表示(例えば、113b)を取得する。
【0046】
前述に加えて、図4に示すように、アイデンティティプロバイダ110側から見た方法は、DIRプロビジョニングサービスに関する情報を求めるクライアントの要求を受信するアクト400を含むことができる。アクト400は、アイデンティティプロバイダで、1つ又は複数のDIRを確立するための1つ又は複数のDIRプロビジョニングサービスを求めるクライアントからの1つ又は複数の要求を受信することを含む。その後、その1つ又は複数のDIRを使用して、ユーザを信頼当事者に検証することができる1つ又は複数のセキュリティトークンを取得することができる。前述のように、例えば、図1Aは、アイデンティティプロバイダ110aが、1つ又は複数のセキュリティトークンを最終的に取得するための取組みの一部として、DIRプロビジョニングサービス情報を求める1つ又は複数の要求185をクライアント105から受信することを示している。
【0047】
図4に示すように、アイデンティティプロバイダ110側から見た方法は、デジタルアイデンティティ表示プロビジョニングサービスの情報を与えるアクト410も含むことができる。アクト410は、アイデンティティプロバイダが信頼する1つ又は複数のデジタルアイデンティティプロビジョニングサービスを識別する情報を、クライアントに与えることも含む。例えば、前述のように、図1Aは、要求185に応答して、アイデンティティプロバイダ110aが1つ又は複数のメッセージ190を介して情報を与えることを示している。少なくとも1つの実装形態においては、1つ又は複数のメッセージ190は、公開されたセキュリティドキュメント、又はそのドキュメントに含まれる情報の少なくとも一部を含む。このような情報は、DIRプロビジョニングサービス150aのドメイン名(ネットワーク解決サービス115を介してさらなる解決が必要となる場合がある)、又は 単に、サービス150aの具体的なネットワークエンドポイントを含むことができる。
【0048】
さらに、図4に示すように、アイデンティティプロバイダ110側から見た方法は、クライアントが与えたデジタルアイデンティティ表示を認証するアクト420を含む。アクト420は、クライアントから受信した1つ又は複数のデジタルアイデンティティ表示を認証することを含み、アイデンティティプロバイダは、受信した1つ又は複数のデジタルアイデンティティ表示が有効であることを判定する。例えば、図2に示すように、アイデンティティプロバイダ110aは、(例えば、判定モジュール145aを介して)メッセージ200の形でクライアント105が与えたDIR113bを評価する。具体的には、アイデンティティプロバイダ110aは、DIR113bが、1つ又は複数のメッセージ190の形で以前参照した、DIRプロビジョニングサービス150aが作成、提供したものであることを判定する。従って、アイデンティティプロバイダ110aは、メッセージ200を介してDIR113bを与えたクライアント105は、メッセージ185を介してDIRプロビジョニング情報を要求したのと同じクライアント105であることを確認する。
【0049】
さらに、図4に示すように、アイデンティティプロバイダ110側から見た方法は、セキュリティトークンをクライアントに提供するアクト430を含むことができる。アクト430は、認証された1つ又は複数のデジタルアイデンティティ表示に対応する1つ又は複数のセキュリティトークンを提供することを含む。例えば、図2に示すように、メッセージ200のデジタルアイデンティティ表示113bを有効にすると、アイデンティティプロバイダ110aは、1つ又は複数のセキュリティトークン210をクライアント105に返信する。そして、クライアント105は、提供されたセキュリティトークン210を用いて、要求を行っているユーザのアイデンティティを信頼当事者120aと検証することができる。
【0050】
従って、本発明の実装形態は、クライアントが、安全、確実、かつ効率的に、適切なセキュリティトークンにアクセスすることができる、多くの異なるコンポーネントや機構を提供する。本明細書で述べたように、例えば、このような機構は、クライアントのアイデンティティセレクタが、ある特定のアイデンティティプロバイダのDIRが利用可能か否かを判定する手段を含み、もし、利用可能でなければ、ユーザが適切なDIRを取得するのを手伝う方法を含む。このような機構によって、アイデンティティプロバイダが、(例えば、公開又は他の方法で)様々なメタデータ要素をユーザに提供することも可能となり、メタデータ要素は、適切なDIRを発行することができるDIRプロビジョニングサービスのロケーションを示す。本明細書で前述したように、このような情報を(例えば、メタデータ要素の形で)、様々なエンドポイントのクライアントが独立して解決できるように公開することができ、それによって、フェデレートされたシステム全体の安全性を向上させる。
【0051】
本発明の実施形態は、以下でより詳細に述べるように、様々なコンピュータハードウェアを含む、専用コンピュータ又は汎用コンピュータを含んでよい。本発明の範囲にある実施形態は、コンピュータ実行可能命令を実行又は有するコンピュータ可読媒体、又は、その媒体に記憶されたデータ構造も含む。このようなコンピュータ可読媒体は、汎用コンピュータ又は専用コンピュータがアクセス可能な任意の利用可能な媒体であってよい。
【0052】
一例として、このようなコンピュータ可読媒体に含まれるのは、RAM、ROM、EEPROM、CD−ROMもしくは他の光ディスク記憶装置、磁気ディスク記憶装置もしくは他の磁気記憶装置、又は、コンピュータ実行可能命令又はデータ構造の形で、所望のプログラムコード手段を実行又は記憶するために用いることができ、かつ、汎用コンピュータ又は専用コンピュータがアクセス可能な、他の任意の媒体であるが、これらに限定されない。ネットワーク又は別の通信接続(配線接続、無線、又はその両方の組合せのいずれか)を通して、情報をコンピュータに転送又は提供すると、コンピュータは、適宜、その接続をコンピュータ可読媒体と見る。従って、任意のこのような接続を、コンピュータ可読媒体と称することは適切である。上記を組合せたものも、コンピュータ可読媒体の範囲に含まれるべきである。
【0053】
コンピュータ実行可能命令は、例えば、汎用コンピュータ、専用コンピュータ、又は、専用処理装置に、ある機能又は機能群を実施させる命令およびデータを含む。構造的特徴および/又は方法論的アクトに固有の言葉で主題を記載してきたが、添付の請求項で規定する主題は、上述の具体的な特徴又はアクトに必ずしも限定されないことは理解されたい。上述の具体的な特徴およびアクトは、請求項を実装する例示の形として開示したものである。
【0054】
発明は、本発明の精神又は不可欠な特徴から逸脱することなく、他の具体的な形で実現してもよい。上述の実施形態は、あらゆる点で、例示的なものであり、限定的なものとして考えてはならない。従って、発明の範囲は、前述の記載ではなく添付の請求項によって示される。請求項と等価の意味および範囲内のあらゆる変更は、発明の範囲に包含されるものとする。
【特許請求の範囲】
【請求項1】
クライアント、1つ又は複数のアイデンティティプロバイダ(110)、および1つ又は複数の信頼当事者(120)を有するフェデレートされたコンピュータシステム(100)の前記クライアントコンピュータ(105)において、前記信頼当事者の1つ又は複数のサービスにアクセスするために、前記クライアントが用いることができるセキュリティトークンを取得することに関して、前記クライアントが独立して前記アイデンティティプロバイダのロケーションを解決する方法であって、
前記信頼当事者(120)に接触して、前記信頼当事者の1つ又は複数のサービスにアクセスするステップ(300)と、
1つ又は複数のポリシーファイルを前記信頼当事者から受信するステップ(310)と、 前記1つ又は複数のポリシーファイルは、1つ又は複数の信頼されているアイデンティティプロバイダのセットに対応する汎用名を識別する情報(160)を含み、
前記識別された汎用名を自動的に解決して、前記信頼されているアイデンティティプロバイダ(110)の1つの、1つ又は複数のネットワークエンドポイントを取得するステップ(320)と、
前記1つ又は複数のネットワークエンドポイントを認証すると、前記1つの解決したアイデンティティプロバイダ(110)に接触して、1つ又は複数のセキュリティトークン(210)を取得するために用いる1つ又は複数のデジタルアイデンティティ表示(113)を取得するステップ(330)と
を具えたことを特徴とする方法。
【請求項2】
前記汎用名は、前記1つの信頼されているアイデンティティプロバイダ(110a)のネットワークエンドポイントを具えたことを特徴とする請求項1記載の方法。
【請求項3】
前記汎用名は、前記1つの信頼されているアイデンティティプロバイダ(110a)に対応するドメイン名を具えたことを特徴とする請求項1記載の方法。
【請求項4】
前記識別された汎用名を自動的に解決するステップ(320)は、1つ又は複数の要求(175)を解決サービス(115)に送信するステップをさらに具えたことを特徴とする請求項3記載の方法。
【請求項5】
前記解決したアイデンティティプロバイダと接触するステップ(330)は、
1つ又は複数の要求(185)を、前記解決したアイデンティティプロバイダ(110a)に送信して、任意の利用可能なデジタルアイデンティティ表示プロビジョニングサービスに関する情報を取得するステップと、
前記解決したアイデンティティプロバイダ(110)と用いられるデジタルアイデンティティ表示プロビジョニングサービス(150a)に関する情報を含む1つ又は複数のメッセージ(190)を受信するステップと
をさらに具えたことを特徴とする請求項3記載の方法。
【請求項6】
前記1つ又は複数のポリシーファイルの前記情報(160)、および前記アイデンティティプロバイダ(110a)からの前記1つ又は複数のメッセージ(190)で受信した前記情報の1つ又は両方が、1つ又は複数のメタデータ要素をさらに具えたことを特徴とする請求項5記載の方法。
【請求項7】
1つ又は複数の追加のメッセージを前記解決サービス(115)に送信するステップをさらに具え、前記1つ又は複数の追加のメッセージは、前記解決したアイデンティティプロバイダ(110a)からの前記1つ又は複数のメッセージ(190)で受信した前記情報の解決を要求することを特徴とする請求項5記載の方法。
【請求項8】
前記デジタルアイデンティティ表示プロビジョニングサービス(150a)に対応するネットワークエンドポイントを識別するステップと、
前記クライアント(105)が、1つ又は複数のメッセージ(193)を前記デジタルアイデンティティ表示プロビジョニングサービス(150a)に送信して、デジタルアイデンティティ表示(113)を取得するステップと
をさらに具えたことを特徴とする請求項5記載の方法。
【請求項9】
前記解決したアイデンティティプロバイダ(110a)と使用する1つ又は複数のデジタルアイデンティティ表示(113b)を、前記プロビジョニングサービス(150a)から受信するステップをさらに具えたことを特徴とする請求項8記載の方法。
【請求項10】
前記クライアント(105)が、前記受信したデジタルアイデンティティ表示(113b)に対応する情報を含む1つ又は複数の追加のメッセージ(200)を前記解決したアイデンティティプロバイダ(110a)に送信するステップと、
前記解決したアイデンティティプロバイダ(110a)から、1つ又は複数のセキュリティトークン(210)を含む1つ又は複数のメッセージを受信するステップと
をさらに具えたことを特徴とする請求項9記載の方法。
【請求項11】
前記クライアント(105)が、前記アイデンティティプロバイダから受信した前記1つ又は複数のトークン(210)を含む1つ又は複数のメッセージ(220)を前記信頼当事者(120)に送信するステップと、
前記1つ又は複数のサービスへのアクセスを許可したことを示す前記信頼当事者(120)からの1つ又は複数の応答(230)を受信するステップと
をさらに具えたことを特徴とする請求項10記載の方法。
【請求項12】
アイデンティティプロバイダ(110)、1つ又は複数のクライアント(105)、および1つ又は複数の信頼当事者(120)を有するフェデレートされたコンピュータシステム(100)の前記アイデンティティプロバイダ(110)において、前記信頼当事者が与えた情報を解決する前記クライアントに、1つ又は複数のデジタルアイデンティティ表示、および1つ又は複数のセキュリティトークンを提供する方法であって、
ユーザを前記信頼当事者(120)に検証するために用いる1つ又は複数のセキュリティトークンを取得するために後に使うことができる1つ又は複数のDIRを確立するための、1つ又は複数のデジタルアイデンティティ表示プロビジョニングサービスを求める前記クライアント(105)からの1つ又は複数の要求(185)を前記アイデンティティプロバイダ(110)で受信するステップ(400)と、
前記アイデンティティプロバイダ(110)が信頼する少なくとも1つのデジタルアイデンティティプロビジョニングサービス(150)を識別する情報(190)を、前記クライアント(105)に提供するステップ(410)と、
前記クライアント(105)から受信した1つ又は複数のデジタルアイデンティティ表示(113)を認証するステップ(420)と、
前記アイデンティティプロバイダ(110)は、前記受信した1つ又は複数のデジタルアイデンティティ表示(113)が有効であると判定し、
前記認証された1つ又は複数のデジタルアイデンティティ表示(113)に対応する1つ又は複数のセキュリティトークン(210)を提供するステップ(430)と
を具えたことを特徴とする方法。
【請求項13】
前記クライアント(105)に情報(190)を提供するステップ(410)は、
前記1つ又は複数のデジタルアイデンティティプロビジョニングサービス(150)を識別する前記情報(190)を含む1つ又は複数のドキュメントを公開するステップと、
前記1つ又は複数のドキュメントにデジタル署名を行うステップと
をさらに具えたことを特徴とする請求項12記載の方法。
【請求項14】
前記公開された1つ又は複数のドキュメントの前記提供された情報(190)は、1つ又は複数のメタデータ要素を具えたことを特徴とする請求項13記載の方法。
【請求項15】
前記クライアント(105)に提供された前記情報(190)は、前記1つ又は複数のデジタルアイデンティティプロビジョニングサービス(150)に対応する1つ又は複数の汎用名を具えたことを特徴とする請求項12記載の方法。
【請求項16】
前記クライアント(105)が前記デジタルアイデンティティプロビジョニングサービス(150)にアクセス可能とする前に、前記1つ又は複数の汎用名を解決して、1つ又は複数のネットワークエンドポイントに到達する必要があることを特徴とする請求項15記載の方法。
【請求項17】
前記クライアント(105)に提供された前記情報(190)は、前記信頼されている1つ又は複数のデジタルアイデンティティプロビジョニングサービス(150)に対応する前記1つ又は複数のネットワークエンドポイントを具えたことを特徴とする請求項12記載の方法。
【請求項18】
前記1つ又は複数のデジタルアイデンティティ表示(113)を認証するステップ(410)は、
前記信頼当事者(120)と使用する前記1つ又は複数のセキュリティトークン(210)を求める前記クライアント(105)からの1つ又は複数の新しい要求(200)を、前記アイデンティティプロバイダ(110)で受信するステップと、
前記1つ又は複数の新しい要求(200)の前記1つ又は複数の有効なデジタルアイデンティティ表示(113)を識別するステップと
をさらに具えたことを特徴とする請求項12記載の方法。
【請求項19】
前記1つ又は複数のデジタルアイデンティティ表示(113)を認証するアクト(410)は、前記受信した1つ又は複数のデジタルアイデンティティ表示(113)が、前記信頼されているデジタルアイデンティティプロビジョニングサービス(150)の1つから取得されたことを判定するステップをさらに具えたことを特徴とする請求項18記載の方法。
【請求項20】
クライアント、1つ又は複数のアイデンティティプロバイダ(110)、および1つ又は複数の信頼当事者(120)を有するフェデレートされたコンピュータシステム(100)の前記クライアントコンピュータ(105)において、コンピュータ実行可能命令をそのコンピュータプログラム上に記憶したコンピュータプログラムであって、前記コンピュータ実行可能命令を実行すると、前記クライアントコンピュータの1つ又は複数の処理装置が、
前記信頼当事者 (120)に接触して、前記信頼当事者の1つ又は複数のサービスにアクセスするステップ(300)と、
1つ又は複数のポリシーファイルを前記信頼当事者から受信するステップ(310)であって、前記1つ又は複数のポリシーファイルは1つ又は複数の信頼されているアイデンティティプロバイダのセットに対応する汎用名を識別する情報(160)を含むステップと、
前記識別された汎用名を自動的に解決して、前記信頼されているアイデンティティプロバイダ(110)の1つの、1つ又は複数のネットワークエンドポイントを取得するステップ(320)と、
前記1つ又は複数のネットワークエンドポイントを認証すると、前記1つの解決したアイデンティティプロバイダ (110)に接触して、1つ又は複数のセキュリティトークン(210)を取得するために用いる1つ又は複数のデジタルアイデンティティ表示(113)を取得するステップ(330)と
を含む方法を実行するコンピュータプログラム。
【請求項1】
クライアント、1つ又は複数のアイデンティティプロバイダ(110)、および1つ又は複数の信頼当事者(120)を有するフェデレートされたコンピュータシステム(100)の前記クライアントコンピュータ(105)において、前記信頼当事者の1つ又は複数のサービスにアクセスするために、前記クライアントが用いることができるセキュリティトークンを取得することに関して、前記クライアントが独立して前記アイデンティティプロバイダのロケーションを解決する方法であって、
前記信頼当事者(120)に接触して、前記信頼当事者の1つ又は複数のサービスにアクセスするステップ(300)と、
1つ又は複数のポリシーファイルを前記信頼当事者から受信するステップ(310)と、 前記1つ又は複数のポリシーファイルは、1つ又は複数の信頼されているアイデンティティプロバイダのセットに対応する汎用名を識別する情報(160)を含み、
前記識別された汎用名を自動的に解決して、前記信頼されているアイデンティティプロバイダ(110)の1つの、1つ又は複数のネットワークエンドポイントを取得するステップ(320)と、
前記1つ又は複数のネットワークエンドポイントを認証すると、前記1つの解決したアイデンティティプロバイダ(110)に接触して、1つ又は複数のセキュリティトークン(210)を取得するために用いる1つ又は複数のデジタルアイデンティティ表示(113)を取得するステップ(330)と
を具えたことを特徴とする方法。
【請求項2】
前記汎用名は、前記1つの信頼されているアイデンティティプロバイダ(110a)のネットワークエンドポイントを具えたことを特徴とする請求項1記載の方法。
【請求項3】
前記汎用名は、前記1つの信頼されているアイデンティティプロバイダ(110a)に対応するドメイン名を具えたことを特徴とする請求項1記載の方法。
【請求項4】
前記識別された汎用名を自動的に解決するステップ(320)は、1つ又は複数の要求(175)を解決サービス(115)に送信するステップをさらに具えたことを特徴とする請求項3記載の方法。
【請求項5】
前記解決したアイデンティティプロバイダと接触するステップ(330)は、
1つ又は複数の要求(185)を、前記解決したアイデンティティプロバイダ(110a)に送信して、任意の利用可能なデジタルアイデンティティ表示プロビジョニングサービスに関する情報を取得するステップと、
前記解決したアイデンティティプロバイダ(110)と用いられるデジタルアイデンティティ表示プロビジョニングサービス(150a)に関する情報を含む1つ又は複数のメッセージ(190)を受信するステップと
をさらに具えたことを特徴とする請求項3記載の方法。
【請求項6】
前記1つ又は複数のポリシーファイルの前記情報(160)、および前記アイデンティティプロバイダ(110a)からの前記1つ又は複数のメッセージ(190)で受信した前記情報の1つ又は両方が、1つ又は複数のメタデータ要素をさらに具えたことを特徴とする請求項5記載の方法。
【請求項7】
1つ又は複数の追加のメッセージを前記解決サービス(115)に送信するステップをさらに具え、前記1つ又は複数の追加のメッセージは、前記解決したアイデンティティプロバイダ(110a)からの前記1つ又は複数のメッセージ(190)で受信した前記情報の解決を要求することを特徴とする請求項5記載の方法。
【請求項8】
前記デジタルアイデンティティ表示プロビジョニングサービス(150a)に対応するネットワークエンドポイントを識別するステップと、
前記クライアント(105)が、1つ又は複数のメッセージ(193)を前記デジタルアイデンティティ表示プロビジョニングサービス(150a)に送信して、デジタルアイデンティティ表示(113)を取得するステップと
をさらに具えたことを特徴とする請求項5記載の方法。
【請求項9】
前記解決したアイデンティティプロバイダ(110a)と使用する1つ又は複数のデジタルアイデンティティ表示(113b)を、前記プロビジョニングサービス(150a)から受信するステップをさらに具えたことを特徴とする請求項8記載の方法。
【請求項10】
前記クライアント(105)が、前記受信したデジタルアイデンティティ表示(113b)に対応する情報を含む1つ又は複数の追加のメッセージ(200)を前記解決したアイデンティティプロバイダ(110a)に送信するステップと、
前記解決したアイデンティティプロバイダ(110a)から、1つ又は複数のセキュリティトークン(210)を含む1つ又は複数のメッセージを受信するステップと
をさらに具えたことを特徴とする請求項9記載の方法。
【請求項11】
前記クライアント(105)が、前記アイデンティティプロバイダから受信した前記1つ又は複数のトークン(210)を含む1つ又は複数のメッセージ(220)を前記信頼当事者(120)に送信するステップと、
前記1つ又は複数のサービスへのアクセスを許可したことを示す前記信頼当事者(120)からの1つ又は複数の応答(230)を受信するステップと
をさらに具えたことを特徴とする請求項10記載の方法。
【請求項12】
アイデンティティプロバイダ(110)、1つ又は複数のクライアント(105)、および1つ又は複数の信頼当事者(120)を有するフェデレートされたコンピュータシステム(100)の前記アイデンティティプロバイダ(110)において、前記信頼当事者が与えた情報を解決する前記クライアントに、1つ又は複数のデジタルアイデンティティ表示、および1つ又は複数のセキュリティトークンを提供する方法であって、
ユーザを前記信頼当事者(120)に検証するために用いる1つ又は複数のセキュリティトークンを取得するために後に使うことができる1つ又は複数のDIRを確立するための、1つ又は複数のデジタルアイデンティティ表示プロビジョニングサービスを求める前記クライアント(105)からの1つ又は複数の要求(185)を前記アイデンティティプロバイダ(110)で受信するステップ(400)と、
前記アイデンティティプロバイダ(110)が信頼する少なくとも1つのデジタルアイデンティティプロビジョニングサービス(150)を識別する情報(190)を、前記クライアント(105)に提供するステップ(410)と、
前記クライアント(105)から受信した1つ又は複数のデジタルアイデンティティ表示(113)を認証するステップ(420)と、
前記アイデンティティプロバイダ(110)は、前記受信した1つ又は複数のデジタルアイデンティティ表示(113)が有効であると判定し、
前記認証された1つ又は複数のデジタルアイデンティティ表示(113)に対応する1つ又は複数のセキュリティトークン(210)を提供するステップ(430)と
を具えたことを特徴とする方法。
【請求項13】
前記クライアント(105)に情報(190)を提供するステップ(410)は、
前記1つ又は複数のデジタルアイデンティティプロビジョニングサービス(150)を識別する前記情報(190)を含む1つ又は複数のドキュメントを公開するステップと、
前記1つ又は複数のドキュメントにデジタル署名を行うステップと
をさらに具えたことを特徴とする請求項12記載の方法。
【請求項14】
前記公開された1つ又は複数のドキュメントの前記提供された情報(190)は、1つ又は複数のメタデータ要素を具えたことを特徴とする請求項13記載の方法。
【請求項15】
前記クライアント(105)に提供された前記情報(190)は、前記1つ又は複数のデジタルアイデンティティプロビジョニングサービス(150)に対応する1つ又は複数の汎用名を具えたことを特徴とする請求項12記載の方法。
【請求項16】
前記クライアント(105)が前記デジタルアイデンティティプロビジョニングサービス(150)にアクセス可能とする前に、前記1つ又は複数の汎用名を解決して、1つ又は複数のネットワークエンドポイントに到達する必要があることを特徴とする請求項15記載の方法。
【請求項17】
前記クライアント(105)に提供された前記情報(190)は、前記信頼されている1つ又は複数のデジタルアイデンティティプロビジョニングサービス(150)に対応する前記1つ又は複数のネットワークエンドポイントを具えたことを特徴とする請求項12記載の方法。
【請求項18】
前記1つ又は複数のデジタルアイデンティティ表示(113)を認証するステップ(410)は、
前記信頼当事者(120)と使用する前記1つ又は複数のセキュリティトークン(210)を求める前記クライアント(105)からの1つ又は複数の新しい要求(200)を、前記アイデンティティプロバイダ(110)で受信するステップと、
前記1つ又は複数の新しい要求(200)の前記1つ又は複数の有効なデジタルアイデンティティ表示(113)を識別するステップと
をさらに具えたことを特徴とする請求項12記載の方法。
【請求項19】
前記1つ又は複数のデジタルアイデンティティ表示(113)を認証するアクト(410)は、前記受信した1つ又は複数のデジタルアイデンティティ表示(113)が、前記信頼されているデジタルアイデンティティプロビジョニングサービス(150)の1つから取得されたことを判定するステップをさらに具えたことを特徴とする請求項18記載の方法。
【請求項20】
クライアント、1つ又は複数のアイデンティティプロバイダ(110)、および1つ又は複数の信頼当事者(120)を有するフェデレートされたコンピュータシステム(100)の前記クライアントコンピュータ(105)において、コンピュータ実行可能命令をそのコンピュータプログラム上に記憶したコンピュータプログラムであって、前記コンピュータ実行可能命令を実行すると、前記クライアントコンピュータの1つ又は複数の処理装置が、
前記信頼当事者 (120)に接触して、前記信頼当事者の1つ又は複数のサービスにアクセスするステップ(300)と、
1つ又は複数のポリシーファイルを前記信頼当事者から受信するステップ(310)であって、前記1つ又は複数のポリシーファイルは1つ又は複数の信頼されているアイデンティティプロバイダのセットに対応する汎用名を識別する情報(160)を含むステップと、
前記識別された汎用名を自動的に解決して、前記信頼されているアイデンティティプロバイダ(110)の1つの、1つ又は複数のネットワークエンドポイントを取得するステップ(320)と、
前記1つ又は複数のネットワークエンドポイントを認証すると、前記1つの解決したアイデンティティプロバイダ (110)に接触して、1つ又は複数のセキュリティトークン(210)を取得するために用いる1つ又は複数のデジタルアイデンティティ表示(113)を取得するステップ(330)と
を含む方法を実行するコンピュータプログラム。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図1B】
【図2】
【図3】
【図4】
【公表番号】特表2011−525028(P2011−525028A)
【公表日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願番号】特願2011−514676(P2011−514676)
【出願日】平成21年6月2日(2009.6.2)
【国際出願番号】PCT/US2009/045989
【国際公開番号】WO2009/155129
【国際公開日】平成21年12月23日(2009.12.23)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願日】平成21年6月2日(2009.6.2)
【国際出願番号】PCT/US2009/045989
【国際公開番号】WO2009/155129
【国際公開日】平成21年12月23日(2009.12.23)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]