信頼関係に対するクレーム変換
本開示は、信頼関係において複数のクレーム変換モジュールを使用する能力に関する。クレーム変換モジュールは、クレーム又はクレームセットを変換して、信頼されたパートナーおよび/又はアプリケーションにより使用される変換されたクレーム又はクレームセットにする。複数のクレーム変換モジュールに、パイプライン形式でクレーム又はクレームセット上で作動する機会を与えることができる。別の実施形態では、複数のクレーム変換モジュールが存在するが、適切なクレーム変換モジュール(単数又は複数)だけに、クレーム又はクレームセット上で作動する機会を与える。ある実施形態では、関連するクレームは、連合認証システム内の信頼されたパートナー間の認証目的で使用されるセキュリティクレームである。
【発明の詳細な説明】
【背景技術】
【0001】
他と異なる個々のコンピュータシステムを持つ個々の組織では、お互いに、特に互いの従業員や顧客に効率よく情報を提供することをしばしば望んでいる。組織から情報を入手するために、ユーザは一般に、例えばユーザ名およびパスワードといった信用証明物を所有していることを証明することにより、情報を求める組織に対して自分のアイデンティティを認証又は証明することを要求される。しかしながら、個々の組織のウェブサイトより提供される情報にアクセスするために、例えばユーザ名やパスワードといった個々のセキュリティログオン信用証明物を要求する代わりに、個々の組織は情報を共有しアクセスするようお互いにビジネスレベルで合意することがある。連合認証システムは、パートナーが自分の連合サービスを展開することにより、情報を共有してアクセスできるようにしたシステムの例である。そのような情報を共有してアクセスするために、第1のパートナーはアイデンティティデータおよび/又は認証に関するデータを使用して、第2のパートナーに対して「クレーム」を作成することができる。そのような関係では、第2のパートナーは、第1のパートナーがユーザを認証し、そのユーザについてのあるクレームを作成するよう任せる。しかしながら、第2のパートナーは、第1のパートナーにより提示されたクレームを理解することができない場合もある。例えば、そのクレームが第2のパートナーが承認できるフォーマットになっていないこともある。組織が複数のパートナーと通信する場合、問題は深刻である。
【0002】
この「背景技術」の元で特定の問題に取組んでいるが、本開示は決してそれらの特定の問題を解決することに限定するよう意図していない。
【0003】
【特許文献1】米国特許出願第11/119236号 (MS312161.01)
【発明の開示】
【課題を解決するための手段】
【0004】
本発明の実施形態は、一般的に信頼されたパートナー間で共有するためのクレーム又は認証情報の変換に関する。さらに、実施形態は連合システム内の複数のクレーム変換モジュールの使用に関する。
【0005】
本明細書で議論するように、ある特定の実施形態の態様は、拡張ポイントの一部としての複数のカスタムクレーム変換モジュールの使用に関する。1実施形態では、複数のクレーム変換モジュールに、クレーム又はクレームセット上でパイプライン形式で作動して変換されたクレーム又はクレームセットを作成する機会を与えることができる。別の実施形態では、複数のクレーム変換モジュールが存在するが、適切なクレーム変換モジュール(単数又は複数)だけにクレーム又はクレームセット上で作動する機会を与える。
【0006】
この「課題を解決するための手段」は、下記「発明を実施するための最良の形態」で詳細に記述する、概念の選択を簡易な形態で紹介するために提供される。この「課題を解決するための手段」は、特許請求の主題の主要な、又は本質的な特徴を特定することを意図しておらず、決して特許請求の主題の範囲を限定するために使用することを意図していない。
【発明を実施するための最良の形態】
【0007】
本開示では、幾つかの実施形態を示す添付図面を参照して、幾つかの例示的実施形態についてより詳細に記述する。しかしながら、多数の異なる形態で具現化される他の態様もあり、本開示中の特定の実施形態を含めることは、そのような態様を本明細書で説明する実施形態に限定すると解釈してはならない。むしろ、図面に描かれた実施形態は、綿密でおよび完全ならびに当業者に意図している範囲を十分に伝える開示を提供するために含まれる。図面を参照する際、全体を通して示す同様の構造や要素は、同じ参照番号で指示される。
【0008】
アイデンティティプロバイダ102とも呼ばれ、トークンがアイデンティティプロバイダ102により暗号を使用して署名され1つのクレーム又は複数のクレームを含むセキュリティトークン108を共有する第1の組織102を、リソースプロバイダ104とも呼ばれる第2の組織104と共に示す環境100を図1に示す。本発明の1実施形態では「クレーム」と呼ぶが、本発明の別の実施形態に従ってセキュリティトークン108には単一のクレームを含むこともできる。この例示的な実施形態では、ユーザ103は、ネットワーク105上でアイデンティティプロバイダ102に送信される何らかの信用証明物を使用して認証を行う。ユーザは、リソースプロバイダ104に対して認証するのに使用することができるセキュリティトークン108を要求する。元の認証イベントを活用して、アイデンティティプロバイダ102は、ユーザについての様々なクレームを含むセキュリティトークン108を形成する。ユーザ103はセキュリティトークン108をリソースプロバイダ104に提示して、リソースプロバイダ104が、セキュリティトークンが信頼されたパーティにより発行され、そのパーティはその中でクレームを作成することを承認されたということを検証してから、そのリソースプロバイダ104は、それらのクレームに基づいたリソースへのアクセスを許可する。
【0009】
1実施形態では、暗号を使用して署名されたセキュリティトークンは、アイデンティティプロバイダ102、又は「クレーム作成者(claimant)」がリソースプロバイダ104に信頼されているという暗号化証明を構成する。このように、リソースプロバイダ104は、アイデンティティプロバイダ102がユーザ103を認証し、そのユーザについてのあるクレームを作成するよう任せる。リソースプロバイダ104がアイデンティティプロバイダ102を「信頼する」ので、この関係を「信頼関係」と呼ぶ。リソースプロバイダ104とアイデンティティプロバイダ102との間の信頼関係は、リソースプロバイダ104ドメインとアイデンティティプロバイダ102ドメインとの間の論理的な関係としてこのように定義され、その関係においてリソースプロバイダ104はそのユーザ(複数)103についてのアイデンティティプロバイダ102のクレームを尊重する。「信頼関係」という用語を使用するが、この関係は決して相互的ではない。その代り、リソースプロバイダ104がアイデンティティプロバイダ102を信頼し、アイデンティティプロバイダ102およびリソースプロバイダ104は、信頼パートナーと呼ばれる。
【0010】
図1の例示的な実施形態において、組織102および104はこのように、リソースプロバイダ104に対して認証するのに使用できるセキュリティトークン108を、ネットワーク106上で組織104に送信するというような信頼関係を有する。図1に示す例示的な実施形態に従って、セキュリティトークン108が信頼されたパーティ、即ちアイデンティティプロバイダ102により発行されるリソースプロバイダ104に対してセキュリティトークン108は、ユーザ103を認証する。セキュリティトークン108に含まれるクレームは、ユーザ103の体験をカスタマイズするおよび/又は承認決定を行うことに対する認証を行った後で使用される。信頼関係はこのように、アイデンティティプロバイダ102とリソースプロバイダ104との間の異なった情報のフローを可能にする。情報のフローは存在するが、1実施形態では、セキュリティトークン108内で送信されたクレームは、共用する前にあるフォーマットから別のフォーマットに変換されている。セキュリティトークン108内のクレーム情報のこのような変換は、アイデンティティプロバイダ102のドメイン内の拡張ポイント124の一部として挿入されたクレーム変換モジュールを使用することにより行われる。単一のクレーム変換モジュールを使用することもできるが、拡張ポイントの一部として複数のクレーム変換モジュールをプラグインすることもできる。別の実施形態では、クレーム情報を拡張性のあるクレーム変換モジュール126の使用を通してネットワーク106上で送信した後、変換することができる。この実施形態の態様も、複数のクレーム変換モジュールの使用を可能にする。
【0011】
図1は、アイデンティティプロバイダ102からリソースプロバイダ104へのクレーム情報108のフローを示す。本発明の1実施形態に従って、セキュリティトークン108内のクレーム情報は、クレームセット110として示すように、実際は特定のクレームのセットである。各々のクレームは、一般に特定の人又はユーザに関する識別情報に関する。例えば、あるクレームはユーザ名112を含むことができ、別のクレームはユーザの電子メールアドレスを含むことができる。他のクレームは、ユーザの従業員識別番号116、社会保障番号118、例えば髪の色等の身体的特徴120、その他122に関することができる。セキュリティトークン108内に含まれるクレーム情報は、ユーザの体験をカスタマイズする、および/又は承認決定をするために使用する。とは言っても以下で議論するように、クレームのフォーマット(又は内容)を、リソースプロバイダに依存して修正することができる。1実施形態では、アイデンティティプロバイダ102のユーザに対するアカウントを検証又は認証するために、クレームはリソースプロバイダ104により使用される。図1に示すセキュリティトークン108内に含まれる複数のクレームを有する実施形態もあれば、単一のクレームからなるフローを伴う実施形態もある。
【0012】
上述のように本発明の実施形態では、アイデンティティプロバイダ102およびリソースプロバイダ104は信頼パートナーである。アイデンティティプロバイダ102およびリソースプロバイダ104は、例えば、ほんの一例としては、会社、企業、個人等 エンティティのいずれのタイプであってもよい。認識されているように、どのようなコンピュータシステムでも、そのようなエンティティとして動作できる。同様に、認識されているように、そのようなエンティティ間の信頼関係は当業者には周知されている。一般に、信頼関係は、組織のリソースへのアクセスを許可する前に、ユーザを認証するためにセキュリティ認証を要求する。ウェブサービス(WS)連合は、組織の境界を越えてアイデンティティ情報の共有を可能にする機構であり、各信頼パートナーは連合化されたサービスを展開して情報の共有やアクセスができるようにする。そのような信頼関係は、「連合」認証関係とも呼ばれ、クレームはネットワークを通じてアイデンティティプロバイダ102からリソースプロバイダ104へ「連合されている」と言うことができる。そのような共有を可能にするために、WS連合は一般にXML(Extensible Markup Language)セキュリティトークンを使用するが、そのようなセキュリティトークンはSAML(Security Assertion Markup Language)又はXrML(Extensible Rights Markup Language)等のフォーマットを利用している。これらのセキュリティトークンは、限定はしないが、クレーム情報を含む。WS連合は、通信プロトコルを記述する仕様である。WS連合プロトコルは、マイクロソフト社製Active Directory Federated Services(「ADFS」)により実装されている。
【0013】
本発明の1実施形態では、アイデンティティプロバイダ102は拡張性のあるクレーム変換モジュール124を有し、1つのフォーマットからリソースプロバイダ104により指定されたフォーマットへクレーム情報の変換を遂行する。変換モジュール124が作動して、クレーム又はクレームセットを望ましいフォーマットへ変換する。同様に別の実施形態では、リソースプロバイダが複数の異なったアプリケーションを展開することもでき、そのようなアプリケーションは同じフォーマットで全てのセキュリティクレームを受信することはできない。ほんの一例だが、ユーザの誕生日を要求するリソースプロバイダのアプリケーションもあれば、ユーザの年齢を年数で要求するアプリケーションもある。従って、リソースプロバイダは、アイデンティティプロバイダにより提供されたクレームのフォーマットを、特定のリソースアプリケーションが要求するフォーマットに変換することが必要になる。したがって、1実施形態では、限定はしないが、アイデンティティプロバイダ102がリソースプロバイダ104に承認又は要求された適切なフォーマットでクレームを提供しない場合、又は特定のリソースアプリケーションのために、クレームのさらなる又は異なる変換を要求された場合を含む状況で、拡張性のあるリソースプロバイダクレーム変換モジュール126が使用される。実施形態において、アイデンティティプロバイダクレーム変換モジュールおよびリソースプロバイダクレーム変換モジュールは、信頼関係にある特定のアイデンティティプロバイダ102および特定のリソースプロバイダ104に対して(又は、同様に、特定のリソースアプリケーションに対して)このようにカスタマイズされ、「カスタム」クレーム変換モジュールとも呼ぶこともできる。
【0014】
上述のように、アイデンティティプロバイダ102およびリソースプロバイダ104は、ネットワーク106を通じて情報を共有してアクセスする。ネットワーク105および106は、従来当業者に周知のネットワークのいずれのタイプであってもよい。1例示的実施形態に従って、ネットワークはグローバルネットワーク(即ち、インターネット、又はワールドワイドウェブ)であることができる。ローカルエリアネットワーク、又は広域ネットワークの場合もある。別の実施形態では、組織が全体として個々の他と異なる管理のドメインを持つことになるが、ネットワークは例えばイントラネットのようなプライベートネットワークであることもできる。ネットワーク106は従来当業者に周知のネットワークのいずれのタイプであってもよいが、「ワールドワイドウェブ」(即ち、略して「ウェブ」)として1例示的実施形態に従って記述される。そのため、1又は複数の標準のパケットベースのフォーマット(例えば、H.323、IP、イーサネット、ATM)に従って、ネットワーク106上の通信が発生する。
【0015】
次に本発明の1実施形態に従って連合認証システムのさらに詳細な説明ついて見ると、図2はアイデンティティプロバイダ102とリソースプロバイダ104との間のネットワーク106を通じたクレームデータのフローを示す。ゼネラルフロー200は、アイデンティティプロバイダ102側のアカウントストア202で始まるが、アイデンティティプロバイダ102がクレームを作成するのに使用するアイデンティティ情報をアカウントストア202が提供する。この実施形態では、アカウントストア202は、アイデンティティプロバイダ102に関連づけたアカウント(例えば、ユーザ)を認証するためのデータを管理するコンポーネントである。ほんの一例だが、アカウントストア202はActive Directory(AD)、Active Directory Application Mode(ADAM)、SQL(Structured Query Language)システム、又は同様のシステムを含むことができる。
【0016】
アカウントストア202は、セキュリティ情報と共にアカウント組織クレーム(「クレーム」)206をポピュレートする204。次いでクレーム206は、拡張性のあるアイデンティティプロバイダ変換モジュール208内で、アカウントストアに特有のフォーマットから、リソースプロバイダ104に承認された連合フォーマットに変換される。変換されたクレームは、セキュリティトークン108等のセキュリティトークン内にパッケージされる出力クレーム210として変換モジュール208から離れ、ネットワーク106上でリソースプロバイダ104に送信される212。出力クレーム210は入来クレーム214として、リソースプロバイダ104側に入る。「出力クレーム」210および「入来クレーム」214という用語を使用するが、そのようなクレームは例えばセキュリティトークン108等のセキュリティトークン内に含まれ、又はパッケージされると理解されるべきである。リソースプロバイダ側104でのさらなる処理の前に、セキュリティトークン108の暗号化署名は、発行者、即ち図1の例示的実施形態内のアイデンティティプロバイダ102がセキュリティトークン108内でクレームを作成することを任されていることを保証することを検証される。一旦検証されると、リソースプロバイダ側104で処理が継続される。セキュリティトークン108内のクレームのフォーマットは、リソースプロバイダ104により承認されたフォーマットに既に変換されているが、そのような変換が発生していない、又はさらなる変換が必要な実施形態では、拡張性のあるリソースプロバイダ変換モジュール216は入来クレーム214を、連合フォーマットから、リソース組織クレーム(「クレーム」)としてリソースアプリケーション222により承認されたフォーマットへ変換、又はさらに変換することができる。このステップはオプションと考えられるので、リソースプロバイダカスタムクレーム変換モジュール216は、図2では破線のフォーマットで示される。1実施形態では、アイデンティティプロバイダカスタムクレーム変換モジュール208もオプションと考えられる。別の実施形態では、リソースプロバイダカスタムクレーム変換モジュール216だけが、あるいは、アイデンティティプロバイダカスタムクレーム変換モジュール208だけがオプションと考えられる。クレームは次いでリソースアプリケーション222により使用するためにイネーブル220される。クレームデータの全てがリソースアプリケーション222に送付されないように、イネーブル220ステップはクレームデータのフィルタリングを含む。アイデンティティプロバイダおよびリソースプロバイダ変換モジュール208および216は、連合認証システム200内で単一ブロックとして示されているが、これらの変換モジュールは議論したように、複数のクレーム変換モジュール又はサブモジュールの使用に対して拡張性ポイントになりうるということには留意すべきである。
【0017】
図2のクレームデータのフローは、特定のアイデンティティプロバイダ102と特定のリソースプロバイダ104との間のものである。例えば、アイデンティティプロバイダ102側では、アイデンティティプロバイダ変換モジュール208は、入来するアカウント組織クレーム206をアカウントストア202に特定のフォーマットからリソースプロバイダ104により承認された連合フォーマットに変換する。この変換には1つ又は複数の中間ステップを含むことができる。その例示的な実施形態は、一般出願人マイクロソフト社に譲渡された、「特許文献1」に「Security Claim Transformation with Intermediate Claims」と題して記述され、その開示全体は本明細書に組み込まれている。本発明の実施形態に従って、その結果のクレーム情報を、複数のカスタムクレーム変換モジュール又はサブモジュールを使用して変換することができる。
【0018】
実施形態のいくつかに従って、所与のアイデンティティプロバイダが連合に加わり、クレーム情報を幾つかの異なったリソースプロバイダに送信することができる。図2に戻ると、拡張性のあるクレーム変換モジュール、例えばアイデンティティプロバイダクレーム変換モジュール208、が図中に描かれているが、本発明の1実施形態はアイデンティティプロバイダ「A」102側の拡張ポイントの一部として挿入された単一のカスタムクレーム変換モジュールの使用を含み、この変換モジュールは、そのアイデンティティプロバイダが信頼関係にある、予め決められたリソースプロバイダ「A」104に承認されたフォーマットにクレームを変換するようにカスタマイズされている。しかしながら、アイデンティティプロバイダ「A」102により異なったリソースプロバイダ「B」との新しい信頼関係が生成されると、アイデンティティプロバイダカスタムクレーム変換モジュールを変更して、新しいリソースプロバイダ「B」により、そしてその後は各々の新しいリソースプロバイダ「n」により承認された連合フォーマットにクレームの変換をカスタマイズする必要がある。
【0019】
複数の信頼関係およびカスタムクレーム変換モジュールがこのように可能であり、それらを図3においてネットワーク環境300の論理的表現中に示す。アイデンティティプロバイダ「A」102はリソースプロバイダ「A」104と信頼関係があり、クレームはカスタムクレーム変換モジュールTx1 304により変換される。新しい信頼関係が、アイデンティティプロバイダ「A」102と異なるリソースプロバイダ「B」302との間に生成され、クレーム変換モジュールはこの新しいペアに対して書き換えられTx2 306としてカスタマイズされる。そのような関係およびカスタムクレーム変換モジュールは、楕円312で示すように、不確定数のリソースプロバイダ「n」308および対応するカスタムクレーム変換モジュールTxn 310まで存在することができる。同様に、可能なかぎり多数の予め決められた個々で他と異なるリソースアプリケーション222に対して変換されたある特定の連合フォーマットを入来クレームが有する一般的な連合認証システムのリソースプロバイダ側104で、複数の変換が必要となる。
【0020】
しかしながら、対になるアイデンティティおよびリソースプロバイダ各々に対して単一のカスタムクレーム変換モジュールを有する代わりに、および新しいリソースプロバイダと各々新しい信頼関係を生成するとその単一のモジュールを変更しなければならない代わりに、本発明の実施形態は、連合認証システムの変換モジュール208および/又は216の拡張ポイントにプラグインされた複数のカスタムクレーム変換サブモジュールを有する。本明細書では「サブモジュール」という用語を使用するが、これらの「サブモジュール」は技術的に独立したエンティティであり、本発明の実施形態に従って単独、又は組み合わせて使用することができる。このように、「モジュール」という用語はこれらの独立したエンティティを記述するのに使用できる。しかしながら、「サブモジュール」という用語は、本明細書では拡張性のある変換モジュール208および/又は216全体を備えるそれらのモジュールを指すという単純な目的で使用する。図4について見ると、変換モジュールの実施形態400を示し、変換モジュール208および/又は216の拡張ポイントにおいて、接続(又はパイプライン)形式でそのようなサブモジュールを連合認証システムにプラグインすることができる。これらのパイプライン状の変換サブモジュールを、次いでパイプライン形式で呼び出し、変換サブモジュール各々は適用可能な場所であるクレームセット上で動作して、リソースプロバイダの信頼パートナーへの送信用に結果のクレームセットを構築することができる。これら複数のカスタムクレーム変換サブモジュールは、パイプライン形式で呼び出され、1つのクレームセットを片付ける。上述のように、本発明の実施形態は単一のクレームを含むこともあれば、他の実施形態ではクレームセットを含むこともある。図4に示すように、入来するアカウント組織クレーム206(又は別の実施形態では入来クレーム214)は、先ず変換サブモジュール1(「Tx1」)304により処理され、次いでTx2 306により処理され、というように「n」個の異なった変換モジュールTxn 310に対してパイプライン形式で、出力クレーム210に向けて(又は別の実施形態ではイネーブル220に向けて)処理される。変換サブモジュール各々はパイプライン形式で呼び出されるが、要求された特定の変換のために書かれたそれらのサブモジュールだけが、実際にはクレーム、又はクレームセットに作用、即ちそれらを変換する。
【0021】
図4に描かれた例示的な実施形態を参照すると、Tx1 304がアイデンティティプロバイダ102からリソースプロバイダ104に承認されたフォーマットにクレームを変換するように書かれている場合、次いで入来クレームがアイデンティティプロバイダ102からのもので、出力クレーム210がリソースプロバイダ104に向かうものである場合だけ、そのクレームに作用する。例えば、アイデンティティプロバイダ102およびリソースプロバイダ302が関係しているが、Tx1 304がアイデンティティプロバイダ102からリソースプロバイダ104にクレームを変換するように書かれている場合、Tx1 304はそのクレームには作用せず、クレームは(図4に示すように)Tx2 306に移る。同様に、Tx1 304は入来クレーム214を特定の連合フォーマットで特定のリソースアプリケーション222に変換するように書かれ、一方Tx2 306は異なる個々のリソースアプリケーションに対してそのような変換を生じさせるように書かれている場合もある。
【0022】
図5に関しては、パイプライン形式で編成された複数のカスタムクレーム変換サブモジュールの使用を通じて、クレーム又はクレームセットを変換するプロセス500が、本開示の1実施形態に従って示されている。ここでは、本発明の1実施形態に従って、クレームセットが変換されるが、その変換はクレームセット内の全てのクレームに適用されるものであり、個々のクレームに適用されるものではない。したがって、1実施形態では、幾つかのクレーム値に基づいて変更がなされるか、あるいは1つのクレームが結果として幾つかの新しいクレームになることもある。変換モジュール208および216は、一般的な意味では一定量のクレームの操作が可能だが、パイプライン形式で編成された複数のカスタムクレーム変換モジュール又はサブモジュールを使用することにより、クレームのこれらの操作をモジュール化することが可能となる。開始操作502で始まる操作フローを使用して変換プロセス500が行われる。
【0023】
開始操作502は、アカウント組織クレーム206(又は別の実施形態では入来クレーム214)のポピュレートに引き続いて開始される。プロセス500の操作フローは、開始操作502から受信操作504に進む。受信操作504は、入来するアカウント組織クレーム206(又は別の実施形態では入来クレーム214)を受信する。操作フローは、受信操作504からカスタムクレーム変換操作Tx1 506に移る。Tx1変換操作は、適用可能であればクレームを変換する。次いで操作はクエリ操作508に移る。クエリ操作508は、別のカスタムクレーム変換サブモジュールおよびその結果の変換操作が存在するかどうかを判定する。クエリ操作508が別のカスタムクレーム変換が存在すると判定する場合、フローはYESの方に分岐して、不定数のカスタムクレーム変換サブモジュールおよびクエリ操作のためにカスタムクレーム変換サブモジュールTxn510に進む。クエリ操作508で別のカスタムクレーム変換サブモジュールが検出されない場合、フローはNOに分岐して、何らかの変更がされたかどうかを判定するクエリ操作518に進む。変更が検出される場合、フローはYESの方に分岐してカスタムクレーム変換サブモジュールパイプラインを通して繰り返し処理するために受信操作504に戻る。変更に基づいたクレームの再処理は、1つの変換サブモジュールが、別のカスタムクレーム変換のそれとは矛盾した変更をするのを許可しないよう、セキュリティの特徴として作動する。
【0024】
一方、クエリ操作518がクレームに対する変更を検出しない場合、定常状態が実現され変換プロセス500の操作フローはNOの方に分岐して、終了操作520に進む。終了操作520は、変換プロセスを終了させる。セキュリティの特徴の追加として、変換チェッククエリ操作522を通して、操作フローを移し、いかなるカスタムクレーム変換サブモジュール(複数)によっても、矛盾する又はそうでなければ許可されない変更がされていないことを確認することも可能である。この最終チェックステップはオプションであり、したがって図5では破線フォーマットでクエリ操作522として示す。クエリ操作522が、最終チェックを十分ではない、即ち許可されない変更が存在すると判定する場合、フローはNOの方に分岐して修正操作524に進む。修正操作524は、矛盾する又は許可されない如何なるクレームも修正する。プロセス500は、修正操作524から訂正したクレーム(又はクレームセット)を作成する作成操作526に進む。訂正されたクレーム又はクレームセットの作成に引き続いて、フローは、変更が再処理されるように処理を再スタートするべきかどうかを判定する再スタートクエリ528へ進む。再スタートクエリ528が再処理を行うべきと判定する場合、フローはYESの方に分岐して受信操作504に進む。再スタートクエリ528が再処理を行うべきでないと判定する場合、フローはNOの方に分岐して終了処理520に進む。同様にして、クエリ操作522が最終チェックは十分である、即ち変更が許可され、および/又は矛盾がないと判定する場合、フローはYESの方に分岐して終了操作520に進む。終了操作520は、変換プロセス500を終了させる。そこから、出力クレームがネットワーク106を介してリソースプロバイダ104に送信される。あるいは、しかし同様に、リソースプロバイダ変換モジュール216により変換されたクレームは、リソースアプリケーション222のためにイネーブル220される。クレームをイネーブル220する際、必要であればクレームデータはフィルタリングされる。
【0025】
次に図6を見ると、複数のカスタムクレーム変換モジュール又はサブモジュールを含むマッピングプロセス600が、本開示の1実施形態に従って示される。マッピングプロセス600とは、適切なカスタムクレーム変換サブモジュール(単数又は複数)だけが、セキュリティクレーム又はクレームセットに作用する機会が与えられている実施形態のことをいう。例えば、本発明の1実施形態に関して記述された連合認証システムのアイデンティティプロバイダ側102上の変換の場合、「適切な」とは特定のアイデンティティプロバイダおよび信頼関係に関与する一対となったリソースプロバイダのために書かれたそれらのカスタムクレーム変換サブモジュールのことを言う。同様に、一般的な連合認証システムリソースプロバイダ側104上の変換を含む別の実施形態でも、「適切な」とは、例えば、ある特定の連合クレームフォーマットおよび予め決められたリソースアプリケーション又はサービス222のために書かれたそれらの変換のことを言う。
【0026】
アカウント組織クレーム206のポピュレート(又は別の実施形態では入来クレーム214の受信)に引き続いて開始される開始操作602で開始する操作フローを使用して行われる1例示的実施形態に従って、変換マッピングプロセス600を記述する。上で議論したように、単一のクレームを含む実施形態もあれば、1つのクレームセットを含む別の実施形態もある。1つのクレームセットが変換される場合、その変換はそのクレームセット内のクレーム全てに適用される。開始操作602から、プロセス600の操作フローは受信操作604に進む。受信操作604は、アカウント組織クレーム206(又は別の実施形態では入来クレーム214)を受信する。操作フローは、受信操作604から評価操作606に移る。評価操作606は、適切なカスタムクレーム変換サブモジュール、すなはちTx1 608、Tx2 610、...Txn 612のいずれに、変換のためにクレームを送信すべきかを判定する。本発明の1実施形態に従って、楕円611で示されるように、1又は複数のクレーム変換サブモジュールが使用できる。どのカスタムクレーム変換サブモジュールが適切かを判定するために、評価操作606はクレームを解析して626、マッピング選択628を調べ、もしあれば変更(受信操作604で受信したクレームが既に変換されている実施形態では変更が既になされている)を比較630する、等を行う。更に、1つ以上の変換サブモジュールが「適切」で1実施形態では、そのような適切なクレーム変換サブモジュール各々はクレーム上で動作する機会が与えられていることを、評価操作606は保証している。例えば、1実施形態では、評価操作606は適切なカスタムクレーム変換モジュールを判定する。そして1つ以上のそのようなモジュールが適切であると思われる場合、万一クレームが同じカスタムクレーム変換サブモジュールに繰返し送信される場合そうなる可能性のある、定常状態変化の間違った出現が起こらないように、評価操作606はクレームを交互方式632で適切なカスタムクレーム変換サブモジュールに送信する。
【0027】
クレームを送信すべき適切な変換サブモジュールを判定すると、クレームはTx1 608、Tx2 610、...Txn 612に送信される。カスタムクレーム変換Tx1 608、Tx2 610、...Txn 612に引き続いて、操作はクエリ操作614に進む。クエリ操作614は、クレームに対して何らかの変更が行われたかどうかを判定する。クエリ操作がクレームに対する変更が存在すると判定する場合、フローはYESの方に分岐して受信操作604に進み、次いで評価操作606に進み、そこでクレームは再び解釈され626、マッピングが評価され628、変更が比較され630、交互方式の「適切な」変換サブモジュールパターンが、もしあれば、検出される632、等が行われる。
【0028】
クエリ操作614が、クレームの変更が存在せず、定常状態が達成されたことを判定するまで、この操作フローは繰り返される。変更が存在しないとクエリ操作614が判定する場合、フローはNOの方に分岐して終了操作616に進む。セキュリティの特徴の追加として、変換チェッククエリ操作618を通して操作フローを移し、矛盾した又はそうでなければ許可されない変更がカスタムクレーム変換サブモジュール(複数)によりなされていないことを確認することも可能である。この最終チェックステップはオプションであり、したがって図6では破線フォーマットでクエリ操作618として示す。クエリ操作618が、最終チェックは十分でない、即ち許可されない変更(複数)が存在すると判定する場合、フローはNOの方に分岐して訂正操作620に進む。訂正操作620は、矛盾する又は許可されない如何なる変更も訂正する。プロセス600は、訂正操作620から訂正されたクレーム(又は1実施形態ではクレームセット)を作成する作成操作622に進む。訂正されたクレームの作成に引き続いて、フローは、変更が再処理されるように処理を再スタートすべきかどうかを判定する再スタートクエリ624へ進む。再スタートクエリ624が再処理を行うべきであると判定する場合、フローはYESの方に分岐して受信操作604に進む。再スタートクエリ624が、再処理を行うべきでないと判定する場合、フローはNOの方に分岐して終了操作616に進む。同様に、クエリ操作618が、最終チェックは十分である、即ち変更が許可されていると判定する場合、フローはYESの方に分岐して終了操作616に進む。終了操作616は変換プロセス600を終了する。そこから、出力クレームはネットワーク106を介してリソースプロバイダ104に送信される。あるいは、しかし同様に、リソースプロバイダ変換モジュール216により変換されたクレームは、リソースアプリケーション222のためにイネーブル220される。クレームをイネーブル220する際に、必要であればクレームデータはフィルタリングされる。
【0029】
当然のことながら、図5と図6に示した、従って本明細書に記述したプロセスは、一般的な連合認証システムのアイデンティティプロバイダ102側、又はリソースプロバイダ104側のどちらかでのクレームの変換に適用可能である。例えば、アイデンティティプロバイダ側の適切なクレーム変換サブモジュールにマッピングすることは、アイデンティティプロバイダ102およびリソースプロバイダ104のアイデンティティを判定することを含む。同様に、適切なリソースプロバイダクレーム変換サブモジュールにマッピングすることは、同様の判定プロセスを含むが、連合入来クレームのフォーマット、およびクレームを提供するよう意図する特定のリソースアプリケーション又はサービスが要求するフォーマットについての判定を含む。したがって、受信操作604は、本発明の実施形態に従って、アカウント組織セキュリティクレーム206、又は入来クレーム214に適用することができる。
【0030】
次に図7、図8を見ると、本開示の例示的な実施形態に従ってプロセス700およびプロセス800が示されており、そこでは各変換サブモジュールが元のクレーム又はクレームセットのみに作用するように、各カスタムクレーム変換サブモジュールからの結果クレーム又はクレームセットが分離されている。次いでプロセス700および800は結果クレームを維持して統合する。開始操作702は、アカウント組織クレーム206のポピュレート(又はリソースプロバイダ側104を含む別の実施形態では入来クレーム214の送信)に応じて開始される。プロセス700の操作フローは、開始操作702から受信操作704に進む。受信操作704は、アカウント組織クレーム206(又は別の実施形態では入来クレーム214)を受信する。フローは、受信操作704から、適用可能であれば、クレームを結果クレーム1 708に変換するカスタム変換操作Tx1 706に移る。元のクレームの変更されていない形式は、適用可能であれば、クレームを結果クレーム2 712に変換するTx2 710に移る。本発明の実施形態に従って、楕円711と楕円713で示すように、単一の変換モジュール706又は「n」個の変換モジュール714、および単一の結果クレーム708又は「n」個の結果クレーム716が使用できる。元のクレームは、パイプライン形式でTxnサブモジュール714および結果クレーム「n」716に移る。結果クレーム708、712および716は維持されて、次いでフローは、結果クレームを統合して最終的なクレーム又はクレームセットを作成する720統合操作718に進む。終了操作722がプロセスを終了させる。
【0031】
同様に、プロセス800は、上記の開始操作702に関しての記述と同様に開始される開始操作802で開始する。次いで操作フローはまた、上記受信操作704についての記述と同様に、受信操作804に進む。操作フローは、受信操作804から、元のクレームを送信すべき適切な変換サブモジュールを判定する評価操作806(上記図6に記述され描かれているように)に移る。本発明の実施形態に従って、楕円815と楕円817で示すように、単一の変換サブモジュール808又は「n」個の変換サブモジュール816、および単一の結果クレーム810又は「n」個の結果クレーム818が使用できる。次いで変換サブモジュールTx1 808、Tx2 812、...Txn 816が、元のクレーム又はクレームセット上で分離して動作して、結果クレーム810、814および818をそれぞれ作成する。操作は、結果クレームを統合して最終クレーム又はクレームセットを作成する822統合操作820に進む。終了操作824がプロセスを終了させる。図7とプロセス700について記述したように、図8に関する別の実施形態は受信操作804への入来クレーム214を含み、入来クレーム214は図2で描かれているリソースプロバイダ104側に存在している。
【0032】
当然のことながら、本発明の他の実施形態は、定常状態操作を実現するために、例えばクレームの変更に関するチェックを許可するようにプロセス700およびプロセス800に追加する追加のステップを提供することができる。プロセス700およびプロセス800は、カスタムクレーム変換サブモジュール各々から結果クレーム又はクレームセットを分離するコンセプトを示すように、一般化された形式で示されている。その他の図に関しては、図7および図8の一般化された形式は、本明細書で描かれ、又は記述された特定のステップに限定されると決して解釈されてはならない。
【0033】
図9に示す1実施形態の態様に従って、図1および図3を参照して上で議論したように、組織はクレーム要件および変換能力をカスタマイズすることができる。それに関するフロー操作を図9に示す。プロセス900は開始操作902で開始するが、図1および図2に特定の実施形態として描かれているように、拡張性のある認証システムとの信頼環境の生成に応じて開始操作902は開始される。フローは、拡張ポイント124、126、208および/又は216の存在を識別する識別操作904に進む。1実施形態においては、フローは識別操作904から、アイデンティティプロバイダ102のクレームフォーマット、およびリソースプロバイダ104に必要な又は好ましいクレームフォーマットを判定するフォーマット判定操作906に進む。図2に示すクレームデータのフローのリソースプロバイダ104側を含む別の実施形態においては、フォーマット判定操作906は、入来クレーム214のクレームフォーマットおよび予め決められたリソースアプリケーション222に必要なフォーマットを判定する。フォーマット判定操作906に引続き、フローはカスタムクレーム変換サブモジュール生成操作908に進む。1実施形態に従って、生成操作908はカスタムクレーム変換サブモジュール、例えば、304、306又は310を生成し、アイデンティティプロバイダ102のクレームフォーマットからリソースプロバイダ104に必要な又は好ましいクレームフォーマットにクレームフォーマットを変更する。別の実施形態では、操作908はカスタムクレーム変換サブモジュール、例えば304を生成して、入来クレーム214のクレームフォーマットから予め決められたリソースアプリケーション又はサービス222に必要なクレームフォーマットへクレームフォーマットを変更する。
【0034】
フローは、生成操作908から、生成操作908内で生成されたカスタムクレーム変換サブモジュールが識別操作904内で識別された拡張ポイントの一部としてプラグインされる、プラグイン及び構成操作910に進む。1実施形態では、カスタムクレーム変換サブモジュール304は拡張性のある変換モジュール124、126、208および/又は216の一部としてパイプライン形式で構成された他のカスタムクレーム変換サブモジュールと共にプラグインされる。別の実施形態では、カスタムクレーム変換サブモジュール304は、図6を参照して上で説明、議論したように、そのような処理に対して適切であると判定されたそれらのサブモジュールに対してのみ変換のためのクレームを送信するように構成されている拡張性のある変換、例えば124、の一部としてプラグインされることができる。その他の実施形態は追加の、および/又は異なる構成を含むことができるが、本明細書に記述されたタイプは決して制限するものと解釈してはならない。更に、変換304又は124への参照は、例示的な目的のためだけである。変換モジュール又はサブモジュールはいずれも使用可能である。終了プロセス912がプロセス900を終了させる。
【0035】
本明細書に記述し、説明したシステムおよび方法を実装する例示的なコンピューティング環境を図10に示す。非常に基本的な構成では、コンピューティングシステム1000は一般に、少なくとも1つのCPU(central processing unit)1002、および1実施形態でのアカウントストア202と同様にセキュリティトークン108内にクレーム情報を格納するというようなメモリ1004を含む。コンピューティング装置の正確な構成とタイプにより、メモリ1004は揮発性(例えば、RAM)、不揮発性(例えば、ROM、フラッシュメモリ等)、又はその2つのなんらかの組み合わせであることができる。あるいは、コンピューティング装置1000は、追加の特徴/機能性を有することもできる。例えば、コンピューティング装置1000は、複数のCPUを含むことができる。記述した方法は、コンピューティング装置1000内のどの処理ユニットによっても如何なる方法によっても実行可能である。例えば、記述したプロセスは複数のCPUによって並行して実行できる。
【0036】
コンピューティング装置1000は、1実施形態によるアカウントストア202と同様にセキュリティトークン108内にクレーム情報を格納するための、限定はしないが、磁気もしくは光ディスク又はテープを含む追加のストレージ1006(取り外し可能、および/又は取り外し不能)も含むことができる。コンピュータストレージ媒体は、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータ等の情報の格納のために任意の方法又は技術で実装された、揮発性及び不揮発性、取り外し可能及び取り外し不能媒体を含む。メモリ1004およびストレージ1006は、全てコンピュータストレージ媒体の例である。コンピュータストレージ媒体は、限定はしないが、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、DVD(digital versatile disks)又は他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又は他の磁気ストレージ装置、又は所望の情報を格納するのに使用でき、コンピューティング装置1000によりアクセス可能な任意のその他の媒体を含む。そのようなコンピュータストレージ媒体はいずれもコンピューティング装置1000の一部になることができる。
【0037】
本発明の1実施形態に従って、コンピューティング装置1000は、信頼パートナー102と104との間において、セキュリティトークン108内のクレーム情報を送信するというような、他の装置と通信することを可能にする通信装置(複数)1012も含むことができる。通信装置(複数)1012は、通信媒体の一例である。通信媒体は一般に、コンピュータ可読命令、データ構造、プログラムモジュール、又は搬送波等の変調データ信号もしくは他のトランスポート機構における他のデータを具現化し、任意の媒体を含む。「変調データ信号」という用語は、1又は複数の自己の特性セットを有する信号、又は信号中の情報を符号化するといった方法で変更された信号を意味する。例をあげれば、限定するものではないが、通信媒体は、有線ネットワーク(例えば、1実施形態に従って示されるネットワーク105又は106)、又は直接有線接続等の有線媒体、および音響、RF、赤外線および他の無線媒体等の無線媒体を含む。本明細書で使用するコンピュータ可読媒体という用語は、コンピュータストレージ媒体および通信媒体の両方を含む。記述した方法は、いかなるコンピュータ可読媒体でも、データ、コンピュータ実行可能命令等の任意の形態で符号化することができる。
【0038】
コンピューティング装置1000は又、キーボード、マウス、ペン、音声入力装置、タッチ入力装置等の入力装置(複数)1010を有することができる。更に、表示装置、スピーカ、プリンタ等の出力装置(複数)1008も含むことができる。これらの装置は、当業者には周知のものであり、詳細に議論する必要はない。コンピューティング装置1000のコンポーネントに関して特定の例が与えられているが、これらの例は決して限定することは意図していない。
【0039】
上に提供した開示を考慮すると、本発明が多数の利点を提供するということは当業者にとっては容易に明らかになる。例えば、クレーム又はクレームセットの単一認証のために図4、図5および図6を参照して議論した複数の変換サブモジュールを呼び出すことができるのは、機能を統合する目的には有益である。本発明は、図4、図5および図6で描かれているように、クレーム変換コードを、例えば、複数のモジュール又はサブモジュールに分割して、コアランタイムライブラリの異種のバージョンと共に統合するという能力においても有利である。本発明では、複数のカスタムクレーム変換モジュール又はサブモジュールが、変換モジュール208および/又は216の拡張ポイントでプラグインできるようにしているので、本発明はサードパーティのクレーム変換モジュール又はサブモジュールをシステムにプラグインすることができる。更に本発明は、例えば図5および図6に描かれているように、および上述のように順方向連鎖変換のための定常状態を判定する構成概念の導入を可能にする。
【0040】
更に本発明は、複数のセキュリティの特徴を提供において有益である。例えば、変換チェック操作522および618として示し、記述しているように、他の変換の最後に動作することが保証されている追加のクレーム変換モジュール又はサブモジュールを使用してクレームを完成させるという本発明の能力により、セキュリティの強化を実現する。例えば、評価操作606、および解析基準628、630ならびに632に関して示し、記述しているように、各変換モジュールはどのクレーム(複数)又はクレームセット(複数)を操作することを許可されているかを制御する管理者の能力の中にセキュリティの特徴の追加が提供されている。図7および図8に示すように、セキュリティの特徴はさらに本開示の1実施形態に関連づけられており、変換モジュール又はサブモジュール各々が元のクレーム又はクレームセットのコンテキストでのみ動作するように、結果のクレームセットは変換モジュール又はサブモジュール各々とは分離されている。次いでそのシステムは結果クレームを維持して統合する。最終クレーム又はクレームセットの制御を保持することによりセキュリティを提供する能力において、そのようなシステムは有益である。
【0041】
上図を参照して本開示の実施形態を記述したが、当然のことながら、すぐに当業者の念頭に浮かび、開示した本発明の範囲と精神に含まれ、かつ添付した特許請求の範囲に定義されているような多数の修正を本発明に対して行うことができる。事実、現在好適な実施形態は、本開示の目的のために記述されているが、十分本発明の範囲内にある変更や修正を多数行うことができる。
【0042】
同様にして、本開示は構造特徴、方法論的な行為、およびそのような行為を含むコンピュータ可読媒体に特有な言語を使用しているが、添付した特許請求の範囲で定義している本発明は、本明細書に記述されている特定の構造、行為、又は媒体に必ずしも限定されないことは理解されるべきである。例えば、本開示はリソースプロバイダを信頼関係のある信頼パートナーと呼んでいるが、どのようなタイプのパートナーでも本発明から利益を得ることができる。ほんの一例だが、リソースプロバイダはサービスプロバイダ又は信頼するパーティと呼ぶことができる。当業者であれば、本発明の範囲と精神内にある他の実施形態又は改善を認識できるであろう。従って、特定の構造、行為又は媒体は主張する発明を実装している例示的な実施形態として開示している。本発明は添付した特許請求の範囲により定義される。
【図面の簡単な説明】
【0043】
【図1】本発明の1実施形態に従って、第1の組織はアイデンティティプロバイダ、および第2の組織はリソースプロバイダである2つの組織間で、アイデンティティデータおよび/又は認証に関係するデータからなる「クレーム」情報を共有するためのネットワーク環境の論理的表現を示す図である。
【図2】本発明の1実施形態に従って、1つの組織から別の組織へ、例えば図1に示すアイデンティティプロバイダからリソースプロバイダへのクレームデータのフローを示し、拡張性のあるクレーム変換モジュールを有する、一般的な認証環境を示す図である。
【図3】本発明の1実施形態に従って、図1に示すサンプル関係に加えての複数の信頼関係および複数のカスタムクレーム変換モジュールの使用を示すネットワーク環境の論理的表現を示す図である。
【図4】本発明の1実施形態に従って、図4の複数のカスタムクレーム変換モジュールを拡張ポイントの一部として、およびパイプライン形式で配置して描いた図である。
【図5】本発明の1実施形態に従って、図4に示す複数の、パイプライン状のカスタムクレーム変換サブモジュールの使用を通じて、クレーム情報を変換するプロセスの操作特性を示すフロー図である。
【図6】本発明の別の実施形態に従って、図3の複数のカスタムクレーム変換サブモジュールを含み、クレームを適切なカスタムクレーム変換サブモジュールへマッピングするプロセスの操作特性を示すフロー図である。
【図7】分離された結果クレームを統合するための図5に関連する別の実施形態を示す図である。
【図8】分離された結果クレームを統合するための図6に関連する追加の1実施形態を示す図である。
【図9】図3のカスタムクレーム変換サブモジュールの生成、プラグインおよび構成を含むプロセスの操作特性を示すフロー図である。
【図10】本開示の実施形態を実装することができる、例示的なコンピュータシステムを示す図である。
【背景技術】
【0001】
他と異なる個々のコンピュータシステムを持つ個々の組織では、お互いに、特に互いの従業員や顧客に効率よく情報を提供することをしばしば望んでいる。組織から情報を入手するために、ユーザは一般に、例えばユーザ名およびパスワードといった信用証明物を所有していることを証明することにより、情報を求める組織に対して自分のアイデンティティを認証又は証明することを要求される。しかしながら、個々の組織のウェブサイトより提供される情報にアクセスするために、例えばユーザ名やパスワードといった個々のセキュリティログオン信用証明物を要求する代わりに、個々の組織は情報を共有しアクセスするようお互いにビジネスレベルで合意することがある。連合認証システムは、パートナーが自分の連合サービスを展開することにより、情報を共有してアクセスできるようにしたシステムの例である。そのような情報を共有してアクセスするために、第1のパートナーはアイデンティティデータおよび/又は認証に関するデータを使用して、第2のパートナーに対して「クレーム」を作成することができる。そのような関係では、第2のパートナーは、第1のパートナーがユーザを認証し、そのユーザについてのあるクレームを作成するよう任せる。しかしながら、第2のパートナーは、第1のパートナーにより提示されたクレームを理解することができない場合もある。例えば、そのクレームが第2のパートナーが承認できるフォーマットになっていないこともある。組織が複数のパートナーと通信する場合、問題は深刻である。
【0002】
この「背景技術」の元で特定の問題に取組んでいるが、本開示は決してそれらの特定の問題を解決することに限定するよう意図していない。
【0003】
【特許文献1】米国特許出願第11/119236号 (MS312161.01)
【発明の開示】
【課題を解決するための手段】
【0004】
本発明の実施形態は、一般的に信頼されたパートナー間で共有するためのクレーム又は認証情報の変換に関する。さらに、実施形態は連合システム内の複数のクレーム変換モジュールの使用に関する。
【0005】
本明細書で議論するように、ある特定の実施形態の態様は、拡張ポイントの一部としての複数のカスタムクレーム変換モジュールの使用に関する。1実施形態では、複数のクレーム変換モジュールに、クレーム又はクレームセット上でパイプライン形式で作動して変換されたクレーム又はクレームセットを作成する機会を与えることができる。別の実施形態では、複数のクレーム変換モジュールが存在するが、適切なクレーム変換モジュール(単数又は複数)だけにクレーム又はクレームセット上で作動する機会を与える。
【0006】
この「課題を解決するための手段」は、下記「発明を実施するための最良の形態」で詳細に記述する、概念の選択を簡易な形態で紹介するために提供される。この「課題を解決するための手段」は、特許請求の主題の主要な、又は本質的な特徴を特定することを意図しておらず、決して特許請求の主題の範囲を限定するために使用することを意図していない。
【発明を実施するための最良の形態】
【0007】
本開示では、幾つかの実施形態を示す添付図面を参照して、幾つかの例示的実施形態についてより詳細に記述する。しかしながら、多数の異なる形態で具現化される他の態様もあり、本開示中の特定の実施形態を含めることは、そのような態様を本明細書で説明する実施形態に限定すると解釈してはならない。むしろ、図面に描かれた実施形態は、綿密でおよび完全ならびに当業者に意図している範囲を十分に伝える開示を提供するために含まれる。図面を参照する際、全体を通して示す同様の構造や要素は、同じ参照番号で指示される。
【0008】
アイデンティティプロバイダ102とも呼ばれ、トークンがアイデンティティプロバイダ102により暗号を使用して署名され1つのクレーム又は複数のクレームを含むセキュリティトークン108を共有する第1の組織102を、リソースプロバイダ104とも呼ばれる第2の組織104と共に示す環境100を図1に示す。本発明の1実施形態では「クレーム」と呼ぶが、本発明の別の実施形態に従ってセキュリティトークン108には単一のクレームを含むこともできる。この例示的な実施形態では、ユーザ103は、ネットワーク105上でアイデンティティプロバイダ102に送信される何らかの信用証明物を使用して認証を行う。ユーザは、リソースプロバイダ104に対して認証するのに使用することができるセキュリティトークン108を要求する。元の認証イベントを活用して、アイデンティティプロバイダ102は、ユーザについての様々なクレームを含むセキュリティトークン108を形成する。ユーザ103はセキュリティトークン108をリソースプロバイダ104に提示して、リソースプロバイダ104が、セキュリティトークンが信頼されたパーティにより発行され、そのパーティはその中でクレームを作成することを承認されたということを検証してから、そのリソースプロバイダ104は、それらのクレームに基づいたリソースへのアクセスを許可する。
【0009】
1実施形態では、暗号を使用して署名されたセキュリティトークンは、アイデンティティプロバイダ102、又は「クレーム作成者(claimant)」がリソースプロバイダ104に信頼されているという暗号化証明を構成する。このように、リソースプロバイダ104は、アイデンティティプロバイダ102がユーザ103を認証し、そのユーザについてのあるクレームを作成するよう任せる。リソースプロバイダ104がアイデンティティプロバイダ102を「信頼する」ので、この関係を「信頼関係」と呼ぶ。リソースプロバイダ104とアイデンティティプロバイダ102との間の信頼関係は、リソースプロバイダ104ドメインとアイデンティティプロバイダ102ドメインとの間の論理的な関係としてこのように定義され、その関係においてリソースプロバイダ104はそのユーザ(複数)103についてのアイデンティティプロバイダ102のクレームを尊重する。「信頼関係」という用語を使用するが、この関係は決して相互的ではない。その代り、リソースプロバイダ104がアイデンティティプロバイダ102を信頼し、アイデンティティプロバイダ102およびリソースプロバイダ104は、信頼パートナーと呼ばれる。
【0010】
図1の例示的な実施形態において、組織102および104はこのように、リソースプロバイダ104に対して認証するのに使用できるセキュリティトークン108を、ネットワーク106上で組織104に送信するというような信頼関係を有する。図1に示す例示的な実施形態に従って、セキュリティトークン108が信頼されたパーティ、即ちアイデンティティプロバイダ102により発行されるリソースプロバイダ104に対してセキュリティトークン108は、ユーザ103を認証する。セキュリティトークン108に含まれるクレームは、ユーザ103の体験をカスタマイズするおよび/又は承認決定を行うことに対する認証を行った後で使用される。信頼関係はこのように、アイデンティティプロバイダ102とリソースプロバイダ104との間の異なった情報のフローを可能にする。情報のフローは存在するが、1実施形態では、セキュリティトークン108内で送信されたクレームは、共用する前にあるフォーマットから別のフォーマットに変換されている。セキュリティトークン108内のクレーム情報のこのような変換は、アイデンティティプロバイダ102のドメイン内の拡張ポイント124の一部として挿入されたクレーム変換モジュールを使用することにより行われる。単一のクレーム変換モジュールを使用することもできるが、拡張ポイントの一部として複数のクレーム変換モジュールをプラグインすることもできる。別の実施形態では、クレーム情報を拡張性のあるクレーム変換モジュール126の使用を通してネットワーク106上で送信した後、変換することができる。この実施形態の態様も、複数のクレーム変換モジュールの使用を可能にする。
【0011】
図1は、アイデンティティプロバイダ102からリソースプロバイダ104へのクレーム情報108のフローを示す。本発明の1実施形態に従って、セキュリティトークン108内のクレーム情報は、クレームセット110として示すように、実際は特定のクレームのセットである。各々のクレームは、一般に特定の人又はユーザに関する識別情報に関する。例えば、あるクレームはユーザ名112を含むことができ、別のクレームはユーザの電子メールアドレスを含むことができる。他のクレームは、ユーザの従業員識別番号116、社会保障番号118、例えば髪の色等の身体的特徴120、その他122に関することができる。セキュリティトークン108内に含まれるクレーム情報は、ユーザの体験をカスタマイズする、および/又は承認決定をするために使用する。とは言っても以下で議論するように、クレームのフォーマット(又は内容)を、リソースプロバイダに依存して修正することができる。1実施形態では、アイデンティティプロバイダ102のユーザに対するアカウントを検証又は認証するために、クレームはリソースプロバイダ104により使用される。図1に示すセキュリティトークン108内に含まれる複数のクレームを有する実施形態もあれば、単一のクレームからなるフローを伴う実施形態もある。
【0012】
上述のように本発明の実施形態では、アイデンティティプロバイダ102およびリソースプロバイダ104は信頼パートナーである。アイデンティティプロバイダ102およびリソースプロバイダ104は、例えば、ほんの一例としては、会社、企業、個人等 エンティティのいずれのタイプであってもよい。認識されているように、どのようなコンピュータシステムでも、そのようなエンティティとして動作できる。同様に、認識されているように、そのようなエンティティ間の信頼関係は当業者には周知されている。一般に、信頼関係は、組織のリソースへのアクセスを許可する前に、ユーザを認証するためにセキュリティ認証を要求する。ウェブサービス(WS)連合は、組織の境界を越えてアイデンティティ情報の共有を可能にする機構であり、各信頼パートナーは連合化されたサービスを展開して情報の共有やアクセスができるようにする。そのような信頼関係は、「連合」認証関係とも呼ばれ、クレームはネットワークを通じてアイデンティティプロバイダ102からリソースプロバイダ104へ「連合されている」と言うことができる。そのような共有を可能にするために、WS連合は一般にXML(Extensible Markup Language)セキュリティトークンを使用するが、そのようなセキュリティトークンはSAML(Security Assertion Markup Language)又はXrML(Extensible Rights Markup Language)等のフォーマットを利用している。これらのセキュリティトークンは、限定はしないが、クレーム情報を含む。WS連合は、通信プロトコルを記述する仕様である。WS連合プロトコルは、マイクロソフト社製Active Directory Federated Services(「ADFS」)により実装されている。
【0013】
本発明の1実施形態では、アイデンティティプロバイダ102は拡張性のあるクレーム変換モジュール124を有し、1つのフォーマットからリソースプロバイダ104により指定されたフォーマットへクレーム情報の変換を遂行する。変換モジュール124が作動して、クレーム又はクレームセットを望ましいフォーマットへ変換する。同様に別の実施形態では、リソースプロバイダが複数の異なったアプリケーションを展開することもでき、そのようなアプリケーションは同じフォーマットで全てのセキュリティクレームを受信することはできない。ほんの一例だが、ユーザの誕生日を要求するリソースプロバイダのアプリケーションもあれば、ユーザの年齢を年数で要求するアプリケーションもある。従って、リソースプロバイダは、アイデンティティプロバイダにより提供されたクレームのフォーマットを、特定のリソースアプリケーションが要求するフォーマットに変換することが必要になる。したがって、1実施形態では、限定はしないが、アイデンティティプロバイダ102がリソースプロバイダ104に承認又は要求された適切なフォーマットでクレームを提供しない場合、又は特定のリソースアプリケーションのために、クレームのさらなる又は異なる変換を要求された場合を含む状況で、拡張性のあるリソースプロバイダクレーム変換モジュール126が使用される。実施形態において、アイデンティティプロバイダクレーム変換モジュールおよびリソースプロバイダクレーム変換モジュールは、信頼関係にある特定のアイデンティティプロバイダ102および特定のリソースプロバイダ104に対して(又は、同様に、特定のリソースアプリケーションに対して)このようにカスタマイズされ、「カスタム」クレーム変換モジュールとも呼ぶこともできる。
【0014】
上述のように、アイデンティティプロバイダ102およびリソースプロバイダ104は、ネットワーク106を通じて情報を共有してアクセスする。ネットワーク105および106は、従来当業者に周知のネットワークのいずれのタイプであってもよい。1例示的実施形態に従って、ネットワークはグローバルネットワーク(即ち、インターネット、又はワールドワイドウェブ)であることができる。ローカルエリアネットワーク、又は広域ネットワークの場合もある。別の実施形態では、組織が全体として個々の他と異なる管理のドメインを持つことになるが、ネットワークは例えばイントラネットのようなプライベートネットワークであることもできる。ネットワーク106は従来当業者に周知のネットワークのいずれのタイプであってもよいが、「ワールドワイドウェブ」(即ち、略して「ウェブ」)として1例示的実施形態に従って記述される。そのため、1又は複数の標準のパケットベースのフォーマット(例えば、H.323、IP、イーサネット、ATM)に従って、ネットワーク106上の通信が発生する。
【0015】
次に本発明の1実施形態に従って連合認証システムのさらに詳細な説明ついて見ると、図2はアイデンティティプロバイダ102とリソースプロバイダ104との間のネットワーク106を通じたクレームデータのフローを示す。ゼネラルフロー200は、アイデンティティプロバイダ102側のアカウントストア202で始まるが、アイデンティティプロバイダ102がクレームを作成するのに使用するアイデンティティ情報をアカウントストア202が提供する。この実施形態では、アカウントストア202は、アイデンティティプロバイダ102に関連づけたアカウント(例えば、ユーザ)を認証するためのデータを管理するコンポーネントである。ほんの一例だが、アカウントストア202はActive Directory(AD)、Active Directory Application Mode(ADAM)、SQL(Structured Query Language)システム、又は同様のシステムを含むことができる。
【0016】
アカウントストア202は、セキュリティ情報と共にアカウント組織クレーム(「クレーム」)206をポピュレートする204。次いでクレーム206は、拡張性のあるアイデンティティプロバイダ変換モジュール208内で、アカウントストアに特有のフォーマットから、リソースプロバイダ104に承認された連合フォーマットに変換される。変換されたクレームは、セキュリティトークン108等のセキュリティトークン内にパッケージされる出力クレーム210として変換モジュール208から離れ、ネットワーク106上でリソースプロバイダ104に送信される212。出力クレーム210は入来クレーム214として、リソースプロバイダ104側に入る。「出力クレーム」210および「入来クレーム」214という用語を使用するが、そのようなクレームは例えばセキュリティトークン108等のセキュリティトークン内に含まれ、又はパッケージされると理解されるべきである。リソースプロバイダ側104でのさらなる処理の前に、セキュリティトークン108の暗号化署名は、発行者、即ち図1の例示的実施形態内のアイデンティティプロバイダ102がセキュリティトークン108内でクレームを作成することを任されていることを保証することを検証される。一旦検証されると、リソースプロバイダ側104で処理が継続される。セキュリティトークン108内のクレームのフォーマットは、リソースプロバイダ104により承認されたフォーマットに既に変換されているが、そのような変換が発生していない、又はさらなる変換が必要な実施形態では、拡張性のあるリソースプロバイダ変換モジュール216は入来クレーム214を、連合フォーマットから、リソース組織クレーム(「クレーム」)としてリソースアプリケーション222により承認されたフォーマットへ変換、又はさらに変換することができる。このステップはオプションと考えられるので、リソースプロバイダカスタムクレーム変換モジュール216は、図2では破線のフォーマットで示される。1実施形態では、アイデンティティプロバイダカスタムクレーム変換モジュール208もオプションと考えられる。別の実施形態では、リソースプロバイダカスタムクレーム変換モジュール216だけが、あるいは、アイデンティティプロバイダカスタムクレーム変換モジュール208だけがオプションと考えられる。クレームは次いでリソースアプリケーション222により使用するためにイネーブル220される。クレームデータの全てがリソースアプリケーション222に送付されないように、イネーブル220ステップはクレームデータのフィルタリングを含む。アイデンティティプロバイダおよびリソースプロバイダ変換モジュール208および216は、連合認証システム200内で単一ブロックとして示されているが、これらの変換モジュールは議論したように、複数のクレーム変換モジュール又はサブモジュールの使用に対して拡張性ポイントになりうるということには留意すべきである。
【0017】
図2のクレームデータのフローは、特定のアイデンティティプロバイダ102と特定のリソースプロバイダ104との間のものである。例えば、アイデンティティプロバイダ102側では、アイデンティティプロバイダ変換モジュール208は、入来するアカウント組織クレーム206をアカウントストア202に特定のフォーマットからリソースプロバイダ104により承認された連合フォーマットに変換する。この変換には1つ又は複数の中間ステップを含むことができる。その例示的な実施形態は、一般出願人マイクロソフト社に譲渡された、「特許文献1」に「Security Claim Transformation with Intermediate Claims」と題して記述され、その開示全体は本明細書に組み込まれている。本発明の実施形態に従って、その結果のクレーム情報を、複数のカスタムクレーム変換モジュール又はサブモジュールを使用して変換することができる。
【0018】
実施形態のいくつかに従って、所与のアイデンティティプロバイダが連合に加わり、クレーム情報を幾つかの異なったリソースプロバイダに送信することができる。図2に戻ると、拡張性のあるクレーム変換モジュール、例えばアイデンティティプロバイダクレーム変換モジュール208、が図中に描かれているが、本発明の1実施形態はアイデンティティプロバイダ「A」102側の拡張ポイントの一部として挿入された単一のカスタムクレーム変換モジュールの使用を含み、この変換モジュールは、そのアイデンティティプロバイダが信頼関係にある、予め決められたリソースプロバイダ「A」104に承認されたフォーマットにクレームを変換するようにカスタマイズされている。しかしながら、アイデンティティプロバイダ「A」102により異なったリソースプロバイダ「B」との新しい信頼関係が生成されると、アイデンティティプロバイダカスタムクレーム変換モジュールを変更して、新しいリソースプロバイダ「B」により、そしてその後は各々の新しいリソースプロバイダ「n」により承認された連合フォーマットにクレームの変換をカスタマイズする必要がある。
【0019】
複数の信頼関係およびカスタムクレーム変換モジュールがこのように可能であり、それらを図3においてネットワーク環境300の論理的表現中に示す。アイデンティティプロバイダ「A」102はリソースプロバイダ「A」104と信頼関係があり、クレームはカスタムクレーム変換モジュールTx1 304により変換される。新しい信頼関係が、アイデンティティプロバイダ「A」102と異なるリソースプロバイダ「B」302との間に生成され、クレーム変換モジュールはこの新しいペアに対して書き換えられTx2 306としてカスタマイズされる。そのような関係およびカスタムクレーム変換モジュールは、楕円312で示すように、不確定数のリソースプロバイダ「n」308および対応するカスタムクレーム変換モジュールTxn 310まで存在することができる。同様に、可能なかぎり多数の予め決められた個々で他と異なるリソースアプリケーション222に対して変換されたある特定の連合フォーマットを入来クレームが有する一般的な連合認証システムのリソースプロバイダ側104で、複数の変換が必要となる。
【0020】
しかしながら、対になるアイデンティティおよびリソースプロバイダ各々に対して単一のカスタムクレーム変換モジュールを有する代わりに、および新しいリソースプロバイダと各々新しい信頼関係を生成するとその単一のモジュールを変更しなければならない代わりに、本発明の実施形態は、連合認証システムの変換モジュール208および/又は216の拡張ポイントにプラグインされた複数のカスタムクレーム変換サブモジュールを有する。本明細書では「サブモジュール」という用語を使用するが、これらの「サブモジュール」は技術的に独立したエンティティであり、本発明の実施形態に従って単独、又は組み合わせて使用することができる。このように、「モジュール」という用語はこれらの独立したエンティティを記述するのに使用できる。しかしながら、「サブモジュール」という用語は、本明細書では拡張性のある変換モジュール208および/又は216全体を備えるそれらのモジュールを指すという単純な目的で使用する。図4について見ると、変換モジュールの実施形態400を示し、変換モジュール208および/又は216の拡張ポイントにおいて、接続(又はパイプライン)形式でそのようなサブモジュールを連合認証システムにプラグインすることができる。これらのパイプライン状の変換サブモジュールを、次いでパイプライン形式で呼び出し、変換サブモジュール各々は適用可能な場所であるクレームセット上で動作して、リソースプロバイダの信頼パートナーへの送信用に結果のクレームセットを構築することができる。これら複数のカスタムクレーム変換サブモジュールは、パイプライン形式で呼び出され、1つのクレームセットを片付ける。上述のように、本発明の実施形態は単一のクレームを含むこともあれば、他の実施形態ではクレームセットを含むこともある。図4に示すように、入来するアカウント組織クレーム206(又は別の実施形態では入来クレーム214)は、先ず変換サブモジュール1(「Tx1」)304により処理され、次いでTx2 306により処理され、というように「n」個の異なった変換モジュールTxn 310に対してパイプライン形式で、出力クレーム210に向けて(又は別の実施形態ではイネーブル220に向けて)処理される。変換サブモジュール各々はパイプライン形式で呼び出されるが、要求された特定の変換のために書かれたそれらのサブモジュールだけが、実際にはクレーム、又はクレームセットに作用、即ちそれらを変換する。
【0021】
図4に描かれた例示的な実施形態を参照すると、Tx1 304がアイデンティティプロバイダ102からリソースプロバイダ104に承認されたフォーマットにクレームを変換するように書かれている場合、次いで入来クレームがアイデンティティプロバイダ102からのもので、出力クレーム210がリソースプロバイダ104に向かうものである場合だけ、そのクレームに作用する。例えば、アイデンティティプロバイダ102およびリソースプロバイダ302が関係しているが、Tx1 304がアイデンティティプロバイダ102からリソースプロバイダ104にクレームを変換するように書かれている場合、Tx1 304はそのクレームには作用せず、クレームは(図4に示すように)Tx2 306に移る。同様に、Tx1 304は入来クレーム214を特定の連合フォーマットで特定のリソースアプリケーション222に変換するように書かれ、一方Tx2 306は異なる個々のリソースアプリケーションに対してそのような変換を生じさせるように書かれている場合もある。
【0022】
図5に関しては、パイプライン形式で編成された複数のカスタムクレーム変換サブモジュールの使用を通じて、クレーム又はクレームセットを変換するプロセス500が、本開示の1実施形態に従って示されている。ここでは、本発明の1実施形態に従って、クレームセットが変換されるが、その変換はクレームセット内の全てのクレームに適用されるものであり、個々のクレームに適用されるものではない。したがって、1実施形態では、幾つかのクレーム値に基づいて変更がなされるか、あるいは1つのクレームが結果として幾つかの新しいクレームになることもある。変換モジュール208および216は、一般的な意味では一定量のクレームの操作が可能だが、パイプライン形式で編成された複数のカスタムクレーム変換モジュール又はサブモジュールを使用することにより、クレームのこれらの操作をモジュール化することが可能となる。開始操作502で始まる操作フローを使用して変換プロセス500が行われる。
【0023】
開始操作502は、アカウント組織クレーム206(又は別の実施形態では入来クレーム214)のポピュレートに引き続いて開始される。プロセス500の操作フローは、開始操作502から受信操作504に進む。受信操作504は、入来するアカウント組織クレーム206(又は別の実施形態では入来クレーム214)を受信する。操作フローは、受信操作504からカスタムクレーム変換操作Tx1 506に移る。Tx1変換操作は、適用可能であればクレームを変換する。次いで操作はクエリ操作508に移る。クエリ操作508は、別のカスタムクレーム変換サブモジュールおよびその結果の変換操作が存在するかどうかを判定する。クエリ操作508が別のカスタムクレーム変換が存在すると判定する場合、フローはYESの方に分岐して、不定数のカスタムクレーム変換サブモジュールおよびクエリ操作のためにカスタムクレーム変換サブモジュールTxn510に進む。クエリ操作508で別のカスタムクレーム変換サブモジュールが検出されない場合、フローはNOに分岐して、何らかの変更がされたかどうかを判定するクエリ操作518に進む。変更が検出される場合、フローはYESの方に分岐してカスタムクレーム変換サブモジュールパイプラインを通して繰り返し処理するために受信操作504に戻る。変更に基づいたクレームの再処理は、1つの変換サブモジュールが、別のカスタムクレーム変換のそれとは矛盾した変更をするのを許可しないよう、セキュリティの特徴として作動する。
【0024】
一方、クエリ操作518がクレームに対する変更を検出しない場合、定常状態が実現され変換プロセス500の操作フローはNOの方に分岐して、終了操作520に進む。終了操作520は、変換プロセスを終了させる。セキュリティの特徴の追加として、変換チェッククエリ操作522を通して、操作フローを移し、いかなるカスタムクレーム変換サブモジュール(複数)によっても、矛盾する又はそうでなければ許可されない変更がされていないことを確認することも可能である。この最終チェックステップはオプションであり、したがって図5では破線フォーマットでクエリ操作522として示す。クエリ操作522が、最終チェックを十分ではない、即ち許可されない変更が存在すると判定する場合、フローはNOの方に分岐して修正操作524に進む。修正操作524は、矛盾する又は許可されない如何なるクレームも修正する。プロセス500は、修正操作524から訂正したクレーム(又はクレームセット)を作成する作成操作526に進む。訂正されたクレーム又はクレームセットの作成に引き続いて、フローは、変更が再処理されるように処理を再スタートするべきかどうかを判定する再スタートクエリ528へ進む。再スタートクエリ528が再処理を行うべきと判定する場合、フローはYESの方に分岐して受信操作504に進む。再スタートクエリ528が再処理を行うべきでないと判定する場合、フローはNOの方に分岐して終了処理520に進む。同様にして、クエリ操作522が最終チェックは十分である、即ち変更が許可され、および/又は矛盾がないと判定する場合、フローはYESの方に分岐して終了操作520に進む。終了操作520は、変換プロセス500を終了させる。そこから、出力クレームがネットワーク106を介してリソースプロバイダ104に送信される。あるいは、しかし同様に、リソースプロバイダ変換モジュール216により変換されたクレームは、リソースアプリケーション222のためにイネーブル220される。クレームをイネーブル220する際、必要であればクレームデータはフィルタリングされる。
【0025】
次に図6を見ると、複数のカスタムクレーム変換モジュール又はサブモジュールを含むマッピングプロセス600が、本開示の1実施形態に従って示される。マッピングプロセス600とは、適切なカスタムクレーム変換サブモジュール(単数又は複数)だけが、セキュリティクレーム又はクレームセットに作用する機会が与えられている実施形態のことをいう。例えば、本発明の1実施形態に関して記述された連合認証システムのアイデンティティプロバイダ側102上の変換の場合、「適切な」とは特定のアイデンティティプロバイダおよび信頼関係に関与する一対となったリソースプロバイダのために書かれたそれらのカスタムクレーム変換サブモジュールのことを言う。同様に、一般的な連合認証システムリソースプロバイダ側104上の変換を含む別の実施形態でも、「適切な」とは、例えば、ある特定の連合クレームフォーマットおよび予め決められたリソースアプリケーション又はサービス222のために書かれたそれらの変換のことを言う。
【0026】
アカウント組織クレーム206のポピュレート(又は別の実施形態では入来クレーム214の受信)に引き続いて開始される開始操作602で開始する操作フローを使用して行われる1例示的実施形態に従って、変換マッピングプロセス600を記述する。上で議論したように、単一のクレームを含む実施形態もあれば、1つのクレームセットを含む別の実施形態もある。1つのクレームセットが変換される場合、その変換はそのクレームセット内のクレーム全てに適用される。開始操作602から、プロセス600の操作フローは受信操作604に進む。受信操作604は、アカウント組織クレーム206(又は別の実施形態では入来クレーム214)を受信する。操作フローは、受信操作604から評価操作606に移る。評価操作606は、適切なカスタムクレーム変換サブモジュール、すなはちTx1 608、Tx2 610、...Txn 612のいずれに、変換のためにクレームを送信すべきかを判定する。本発明の1実施形態に従って、楕円611で示されるように、1又は複数のクレーム変換サブモジュールが使用できる。どのカスタムクレーム変換サブモジュールが適切かを判定するために、評価操作606はクレームを解析して626、マッピング選択628を調べ、もしあれば変更(受信操作604で受信したクレームが既に変換されている実施形態では変更が既になされている)を比較630する、等を行う。更に、1つ以上の変換サブモジュールが「適切」で1実施形態では、そのような適切なクレーム変換サブモジュール各々はクレーム上で動作する機会が与えられていることを、評価操作606は保証している。例えば、1実施形態では、評価操作606は適切なカスタムクレーム変換モジュールを判定する。そして1つ以上のそのようなモジュールが適切であると思われる場合、万一クレームが同じカスタムクレーム変換サブモジュールに繰返し送信される場合そうなる可能性のある、定常状態変化の間違った出現が起こらないように、評価操作606はクレームを交互方式632で適切なカスタムクレーム変換サブモジュールに送信する。
【0027】
クレームを送信すべき適切な変換サブモジュールを判定すると、クレームはTx1 608、Tx2 610、...Txn 612に送信される。カスタムクレーム変換Tx1 608、Tx2 610、...Txn 612に引き続いて、操作はクエリ操作614に進む。クエリ操作614は、クレームに対して何らかの変更が行われたかどうかを判定する。クエリ操作がクレームに対する変更が存在すると判定する場合、フローはYESの方に分岐して受信操作604に進み、次いで評価操作606に進み、そこでクレームは再び解釈され626、マッピングが評価され628、変更が比較され630、交互方式の「適切な」変換サブモジュールパターンが、もしあれば、検出される632、等が行われる。
【0028】
クエリ操作614が、クレームの変更が存在せず、定常状態が達成されたことを判定するまで、この操作フローは繰り返される。変更が存在しないとクエリ操作614が判定する場合、フローはNOの方に分岐して終了操作616に進む。セキュリティの特徴の追加として、変換チェッククエリ操作618を通して操作フローを移し、矛盾した又はそうでなければ許可されない変更がカスタムクレーム変換サブモジュール(複数)によりなされていないことを確認することも可能である。この最終チェックステップはオプションであり、したがって図6では破線フォーマットでクエリ操作618として示す。クエリ操作618が、最終チェックは十分でない、即ち許可されない変更(複数)が存在すると判定する場合、フローはNOの方に分岐して訂正操作620に進む。訂正操作620は、矛盾する又は許可されない如何なる変更も訂正する。プロセス600は、訂正操作620から訂正されたクレーム(又は1実施形態ではクレームセット)を作成する作成操作622に進む。訂正されたクレームの作成に引き続いて、フローは、変更が再処理されるように処理を再スタートすべきかどうかを判定する再スタートクエリ624へ進む。再スタートクエリ624が再処理を行うべきであると判定する場合、フローはYESの方に分岐して受信操作604に進む。再スタートクエリ624が、再処理を行うべきでないと判定する場合、フローはNOの方に分岐して終了操作616に進む。同様に、クエリ操作618が、最終チェックは十分である、即ち変更が許可されていると判定する場合、フローはYESの方に分岐して終了操作616に進む。終了操作616は変換プロセス600を終了する。そこから、出力クレームはネットワーク106を介してリソースプロバイダ104に送信される。あるいは、しかし同様に、リソースプロバイダ変換モジュール216により変換されたクレームは、リソースアプリケーション222のためにイネーブル220される。クレームをイネーブル220する際に、必要であればクレームデータはフィルタリングされる。
【0029】
当然のことながら、図5と図6に示した、従って本明細書に記述したプロセスは、一般的な連合認証システムのアイデンティティプロバイダ102側、又はリソースプロバイダ104側のどちらかでのクレームの変換に適用可能である。例えば、アイデンティティプロバイダ側の適切なクレーム変換サブモジュールにマッピングすることは、アイデンティティプロバイダ102およびリソースプロバイダ104のアイデンティティを判定することを含む。同様に、適切なリソースプロバイダクレーム変換サブモジュールにマッピングすることは、同様の判定プロセスを含むが、連合入来クレームのフォーマット、およびクレームを提供するよう意図する特定のリソースアプリケーション又はサービスが要求するフォーマットについての判定を含む。したがって、受信操作604は、本発明の実施形態に従って、アカウント組織セキュリティクレーム206、又は入来クレーム214に適用することができる。
【0030】
次に図7、図8を見ると、本開示の例示的な実施形態に従ってプロセス700およびプロセス800が示されており、そこでは各変換サブモジュールが元のクレーム又はクレームセットのみに作用するように、各カスタムクレーム変換サブモジュールからの結果クレーム又はクレームセットが分離されている。次いでプロセス700および800は結果クレームを維持して統合する。開始操作702は、アカウント組織クレーム206のポピュレート(又はリソースプロバイダ側104を含む別の実施形態では入来クレーム214の送信)に応じて開始される。プロセス700の操作フローは、開始操作702から受信操作704に進む。受信操作704は、アカウント組織クレーム206(又は別の実施形態では入来クレーム214)を受信する。フローは、受信操作704から、適用可能であれば、クレームを結果クレーム1 708に変換するカスタム変換操作Tx1 706に移る。元のクレームの変更されていない形式は、適用可能であれば、クレームを結果クレーム2 712に変換するTx2 710に移る。本発明の実施形態に従って、楕円711と楕円713で示すように、単一の変換モジュール706又は「n」個の変換モジュール714、および単一の結果クレーム708又は「n」個の結果クレーム716が使用できる。元のクレームは、パイプライン形式でTxnサブモジュール714および結果クレーム「n」716に移る。結果クレーム708、712および716は維持されて、次いでフローは、結果クレームを統合して最終的なクレーム又はクレームセットを作成する720統合操作718に進む。終了操作722がプロセスを終了させる。
【0031】
同様に、プロセス800は、上記の開始操作702に関しての記述と同様に開始される開始操作802で開始する。次いで操作フローはまた、上記受信操作704についての記述と同様に、受信操作804に進む。操作フローは、受信操作804から、元のクレームを送信すべき適切な変換サブモジュールを判定する評価操作806(上記図6に記述され描かれているように)に移る。本発明の実施形態に従って、楕円815と楕円817で示すように、単一の変換サブモジュール808又は「n」個の変換サブモジュール816、および単一の結果クレーム810又は「n」個の結果クレーム818が使用できる。次いで変換サブモジュールTx1 808、Tx2 812、...Txn 816が、元のクレーム又はクレームセット上で分離して動作して、結果クレーム810、814および818をそれぞれ作成する。操作は、結果クレームを統合して最終クレーム又はクレームセットを作成する822統合操作820に進む。終了操作824がプロセスを終了させる。図7とプロセス700について記述したように、図8に関する別の実施形態は受信操作804への入来クレーム214を含み、入来クレーム214は図2で描かれているリソースプロバイダ104側に存在している。
【0032】
当然のことながら、本発明の他の実施形態は、定常状態操作を実現するために、例えばクレームの変更に関するチェックを許可するようにプロセス700およびプロセス800に追加する追加のステップを提供することができる。プロセス700およびプロセス800は、カスタムクレーム変換サブモジュール各々から結果クレーム又はクレームセットを分離するコンセプトを示すように、一般化された形式で示されている。その他の図に関しては、図7および図8の一般化された形式は、本明細書で描かれ、又は記述された特定のステップに限定されると決して解釈されてはならない。
【0033】
図9に示す1実施形態の態様に従って、図1および図3を参照して上で議論したように、組織はクレーム要件および変換能力をカスタマイズすることができる。それに関するフロー操作を図9に示す。プロセス900は開始操作902で開始するが、図1および図2に特定の実施形態として描かれているように、拡張性のある認証システムとの信頼環境の生成に応じて開始操作902は開始される。フローは、拡張ポイント124、126、208および/又は216の存在を識別する識別操作904に進む。1実施形態においては、フローは識別操作904から、アイデンティティプロバイダ102のクレームフォーマット、およびリソースプロバイダ104に必要な又は好ましいクレームフォーマットを判定するフォーマット判定操作906に進む。図2に示すクレームデータのフローのリソースプロバイダ104側を含む別の実施形態においては、フォーマット判定操作906は、入来クレーム214のクレームフォーマットおよび予め決められたリソースアプリケーション222に必要なフォーマットを判定する。フォーマット判定操作906に引続き、フローはカスタムクレーム変換サブモジュール生成操作908に進む。1実施形態に従って、生成操作908はカスタムクレーム変換サブモジュール、例えば、304、306又は310を生成し、アイデンティティプロバイダ102のクレームフォーマットからリソースプロバイダ104に必要な又は好ましいクレームフォーマットにクレームフォーマットを変更する。別の実施形態では、操作908はカスタムクレーム変換サブモジュール、例えば304を生成して、入来クレーム214のクレームフォーマットから予め決められたリソースアプリケーション又はサービス222に必要なクレームフォーマットへクレームフォーマットを変更する。
【0034】
フローは、生成操作908から、生成操作908内で生成されたカスタムクレーム変換サブモジュールが識別操作904内で識別された拡張ポイントの一部としてプラグインされる、プラグイン及び構成操作910に進む。1実施形態では、カスタムクレーム変換サブモジュール304は拡張性のある変換モジュール124、126、208および/又は216の一部としてパイプライン形式で構成された他のカスタムクレーム変換サブモジュールと共にプラグインされる。別の実施形態では、カスタムクレーム変換サブモジュール304は、図6を参照して上で説明、議論したように、そのような処理に対して適切であると判定されたそれらのサブモジュールに対してのみ変換のためのクレームを送信するように構成されている拡張性のある変換、例えば124、の一部としてプラグインされることができる。その他の実施形態は追加の、および/又は異なる構成を含むことができるが、本明細書に記述されたタイプは決して制限するものと解釈してはならない。更に、変換304又は124への参照は、例示的な目的のためだけである。変換モジュール又はサブモジュールはいずれも使用可能である。終了プロセス912がプロセス900を終了させる。
【0035】
本明細書に記述し、説明したシステムおよび方法を実装する例示的なコンピューティング環境を図10に示す。非常に基本的な構成では、コンピューティングシステム1000は一般に、少なくとも1つのCPU(central processing unit)1002、および1実施形態でのアカウントストア202と同様にセキュリティトークン108内にクレーム情報を格納するというようなメモリ1004を含む。コンピューティング装置の正確な構成とタイプにより、メモリ1004は揮発性(例えば、RAM)、不揮発性(例えば、ROM、フラッシュメモリ等)、又はその2つのなんらかの組み合わせであることができる。あるいは、コンピューティング装置1000は、追加の特徴/機能性を有することもできる。例えば、コンピューティング装置1000は、複数のCPUを含むことができる。記述した方法は、コンピューティング装置1000内のどの処理ユニットによっても如何なる方法によっても実行可能である。例えば、記述したプロセスは複数のCPUによって並行して実行できる。
【0036】
コンピューティング装置1000は、1実施形態によるアカウントストア202と同様にセキュリティトークン108内にクレーム情報を格納するための、限定はしないが、磁気もしくは光ディスク又はテープを含む追加のストレージ1006(取り外し可能、および/又は取り外し不能)も含むことができる。コンピュータストレージ媒体は、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータ等の情報の格納のために任意の方法又は技術で実装された、揮発性及び不揮発性、取り外し可能及び取り外し不能媒体を含む。メモリ1004およびストレージ1006は、全てコンピュータストレージ媒体の例である。コンピュータストレージ媒体は、限定はしないが、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、DVD(digital versatile disks)又は他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又は他の磁気ストレージ装置、又は所望の情報を格納するのに使用でき、コンピューティング装置1000によりアクセス可能な任意のその他の媒体を含む。そのようなコンピュータストレージ媒体はいずれもコンピューティング装置1000の一部になることができる。
【0037】
本発明の1実施形態に従って、コンピューティング装置1000は、信頼パートナー102と104との間において、セキュリティトークン108内のクレーム情報を送信するというような、他の装置と通信することを可能にする通信装置(複数)1012も含むことができる。通信装置(複数)1012は、通信媒体の一例である。通信媒体は一般に、コンピュータ可読命令、データ構造、プログラムモジュール、又は搬送波等の変調データ信号もしくは他のトランスポート機構における他のデータを具現化し、任意の媒体を含む。「変調データ信号」という用語は、1又は複数の自己の特性セットを有する信号、又は信号中の情報を符号化するといった方法で変更された信号を意味する。例をあげれば、限定するものではないが、通信媒体は、有線ネットワーク(例えば、1実施形態に従って示されるネットワーク105又は106)、又は直接有線接続等の有線媒体、および音響、RF、赤外線および他の無線媒体等の無線媒体を含む。本明細書で使用するコンピュータ可読媒体という用語は、コンピュータストレージ媒体および通信媒体の両方を含む。記述した方法は、いかなるコンピュータ可読媒体でも、データ、コンピュータ実行可能命令等の任意の形態で符号化することができる。
【0038】
コンピューティング装置1000は又、キーボード、マウス、ペン、音声入力装置、タッチ入力装置等の入力装置(複数)1010を有することができる。更に、表示装置、スピーカ、プリンタ等の出力装置(複数)1008も含むことができる。これらの装置は、当業者には周知のものであり、詳細に議論する必要はない。コンピューティング装置1000のコンポーネントに関して特定の例が与えられているが、これらの例は決して限定することは意図していない。
【0039】
上に提供した開示を考慮すると、本発明が多数の利点を提供するということは当業者にとっては容易に明らかになる。例えば、クレーム又はクレームセットの単一認証のために図4、図5および図6を参照して議論した複数の変換サブモジュールを呼び出すことができるのは、機能を統合する目的には有益である。本発明は、図4、図5および図6で描かれているように、クレーム変換コードを、例えば、複数のモジュール又はサブモジュールに分割して、コアランタイムライブラリの異種のバージョンと共に統合するという能力においても有利である。本発明では、複数のカスタムクレーム変換モジュール又はサブモジュールが、変換モジュール208および/又は216の拡張ポイントでプラグインできるようにしているので、本発明はサードパーティのクレーム変換モジュール又はサブモジュールをシステムにプラグインすることができる。更に本発明は、例えば図5および図6に描かれているように、および上述のように順方向連鎖変換のための定常状態を判定する構成概念の導入を可能にする。
【0040】
更に本発明は、複数のセキュリティの特徴を提供において有益である。例えば、変換チェック操作522および618として示し、記述しているように、他の変換の最後に動作することが保証されている追加のクレーム変換モジュール又はサブモジュールを使用してクレームを完成させるという本発明の能力により、セキュリティの強化を実現する。例えば、評価操作606、および解析基準628、630ならびに632に関して示し、記述しているように、各変換モジュールはどのクレーム(複数)又はクレームセット(複数)を操作することを許可されているかを制御する管理者の能力の中にセキュリティの特徴の追加が提供されている。図7および図8に示すように、セキュリティの特徴はさらに本開示の1実施形態に関連づけられており、変換モジュール又はサブモジュール各々が元のクレーム又はクレームセットのコンテキストでのみ動作するように、結果のクレームセットは変換モジュール又はサブモジュール各々とは分離されている。次いでそのシステムは結果クレームを維持して統合する。最終クレーム又はクレームセットの制御を保持することによりセキュリティを提供する能力において、そのようなシステムは有益である。
【0041】
上図を参照して本開示の実施形態を記述したが、当然のことながら、すぐに当業者の念頭に浮かび、開示した本発明の範囲と精神に含まれ、かつ添付した特許請求の範囲に定義されているような多数の修正を本発明に対して行うことができる。事実、現在好適な実施形態は、本開示の目的のために記述されているが、十分本発明の範囲内にある変更や修正を多数行うことができる。
【0042】
同様にして、本開示は構造特徴、方法論的な行為、およびそのような行為を含むコンピュータ可読媒体に特有な言語を使用しているが、添付した特許請求の範囲で定義している本発明は、本明細書に記述されている特定の構造、行為、又は媒体に必ずしも限定されないことは理解されるべきである。例えば、本開示はリソースプロバイダを信頼関係のある信頼パートナーと呼んでいるが、どのようなタイプのパートナーでも本発明から利益を得ることができる。ほんの一例だが、リソースプロバイダはサービスプロバイダ又は信頼するパーティと呼ぶことができる。当業者であれば、本発明の範囲と精神内にある他の実施形態又は改善を認識できるであろう。従って、特定の構造、行為又は媒体は主張する発明を実装している例示的な実施形態として開示している。本発明は添付した特許請求の範囲により定義される。
【図面の簡単な説明】
【0043】
【図1】本発明の1実施形態に従って、第1の組織はアイデンティティプロバイダ、および第2の組織はリソースプロバイダである2つの組織間で、アイデンティティデータおよび/又は認証に関係するデータからなる「クレーム」情報を共有するためのネットワーク環境の論理的表現を示す図である。
【図2】本発明の1実施形態に従って、1つの組織から別の組織へ、例えば図1に示すアイデンティティプロバイダからリソースプロバイダへのクレームデータのフローを示し、拡張性のあるクレーム変換モジュールを有する、一般的な認証環境を示す図である。
【図3】本発明の1実施形態に従って、図1に示すサンプル関係に加えての複数の信頼関係および複数のカスタムクレーム変換モジュールの使用を示すネットワーク環境の論理的表現を示す図である。
【図4】本発明の1実施形態に従って、図4の複数のカスタムクレーム変換モジュールを拡張ポイントの一部として、およびパイプライン形式で配置して描いた図である。
【図5】本発明の1実施形態に従って、図4に示す複数の、パイプライン状のカスタムクレーム変換サブモジュールの使用を通じて、クレーム情報を変換するプロセスの操作特性を示すフロー図である。
【図6】本発明の別の実施形態に従って、図3の複数のカスタムクレーム変換サブモジュールを含み、クレームを適切なカスタムクレーム変換サブモジュールへマッピングするプロセスの操作特性を示すフロー図である。
【図7】分離された結果クレームを統合するための図5に関連する別の実施形態を示す図である。
【図8】分離された結果クレームを統合するための図6に関連する追加の1実施形態を示す図である。
【図9】図3のカスタムクレーム変換サブモジュールの生成、プラグインおよび構成を含むプロセスの操作特性を示すフロー図である。
【図10】本開示の実施形態を実装することができる、例示的なコンピュータシステムを示す図である。
【特許請求の範囲】
【請求項1】
クレームを1つのフォーマットから異なるフォーマットに変換するクレーム変換システムであって、
第1のクレーム変換サブモジュールと、
第2のクレーム変換サブモジュールと
を備え、
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、クレームを1つのフォーマットから複数の異なるフォーマットへ変換する能力を有することを特徴とするシステム。
【請求項2】
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、パイプライン形式で配置されることを特徴とする請求項1に記載のクレーム変換システム。
【請求項3】
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、前記クレームに対する変更が検出されなくなるまで前記クレームを変換するよう配置されることを特徴とする請求項2に記載のクレーム変換システム。
【請求項4】
前記システムは、他のサブモジュールによりなされた如何なる変更も許可しないかどうかを検証するクレーム変換サブモジュールをさらに備えることを特徴とする請求項3に記載のクレーム変換システム。
【請求項5】
前記第1のクレーム変換サブモジュールは、元のフォーマットの前記クレームを変換して第1の結果クレームを作成することと、
前記第2のクレーム変換サブモジュールは、元のフォーマットの前記クレームを処理して第2の結果クレームを作成することと、
統合モジュールは、前記第1の結果クレームおよび前記第2の結果クレームを統合して最終クレームを作成すること
を特徴とする請求項1に記載のクレーム変換システム。
【請求項6】
前記第1のクレーム変換サブモジュールは前記処理に適切であると判定される場合、前記システムは前記クレームを前記第1のクレーム変換サブモジュールに向けること、
前記第2のクレーム変換サブモジュールは前記処理に適切であると判定される場合、前記システムは前記クレームを前記第2のクレーム変換サブモジュールに向けること
を特徴とする請求項1に記載のクレーム変換システム。
【請求項7】
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、変更が検出されなくなるまで前記クレームを変換することを特徴とする請求項6に記載のクレーム変換システム。
【請求項8】
前記システムは、他のサブモジュールによりなされた如何なる変更も許可しないかどうかを検証するクレーム変換サブモジュールをさらに備えることを特徴とする請求項7に記載のクレーム変換システム。
【請求項9】
前記第1のクレーム変換サブモジュールは、元のフォーマットの前記クレームを変換して第1の結果のクレームを作成することと、
前記第2のクレーム変換サブモジュールは、元のフォーマットの前記クレームを変換して第2の結果のクレームを作成することと、
統合モジュールは、前記結果クレームを統合して最終クレームを作成すること
を特徴とする請求項6に記載のクレーム変換システム。
【請求項10】
信頼関係環境内の拡張ポイントでクレームを変換する方法であって、
信頼関係環境内で拡張ポイントを維持するステップであって、単一のクレーム変換サブモジュール又は複数のクレーム変換サブモジュールをプラグインできるステップと、
前記クレームの第1のフォーマットを判定するステップと、
前記クレームの第2のフォーマットを判定するステップと、
前記クレームフォーマットを前記第1のフォーマットから前記第2のフォーマットに変更するようにカスタマイズされたクレーム変換サブモジュールを生成するステップと、
前記変換サブモジュールを前記拡張ポイントにプラグインするステップと
を含むことを特徴とする方法。
【請求項11】
前記方法は、前記拡張ポイントの一部として前記サブモジュールをパイプライン状に構成するステップをさらに含むことを特徴とする請求項10に記載の方法。
【請求項12】
前記方法は、追加のサブモジュールをプラグインするステップをさらに含むことを特徴とする請求項11に記載の方法。
【請求項13】
前記方法は、前記クレームを送信すべき適切なクレーム変換モジュールを判定するステップをさらに含むことを特徴とする請求項10に記載の方法。
【請求項14】
前記方法は、定常状態が達成されるまで前記クレームを処理するステップをさらに含むことを特徴とする請求項10に記載の方法。
【請求項15】
クレームセットが含まれること、および前記変換を前記クレームセット内のクレーム全てに適用することを特徴とする請求項10に記載の方法。
【請求項16】
元のフォーマットの前記クレームをクレーム変換モジュールに送信して前記クレームを結果クレームに変換するステップと、
クレーム変換サブモジュールからの前記結果クレームを、他のクレーム変換サブモジュールからの前記結果クレームから分離するステップと、
前記結果クレームを集めるステップと、
前記結果のクレームを統合して最終クレームを作成するステップと
をさらに含むことを特徴とする請求項10に記載の方法。
【請求項17】
信頼関係においてクレーム情報を共有して変換する拡張性のあるシステムであって、
アカウントを認証する情報を要求するリソースプロバイダと、
前記リソースプロバイダに認証情報を提供するアイデンティティプロバイダと、
認証情報を維持して前記要求するリソースプロバイダに送信するクレームをポピュレートするアカウントストアと、
拡張ポイントであって、1又は複数のクレーム変換サブモジュールをそのようなポイントの一部としてプラグインして、前記アイデンティティプロバイダにより提供される第1のフォーマットから前記リソースプロバイダにより承認される第2のフォーマットへクレームを変換することができる拡張ポイントと
をさらに備えることを特徴とするシステム。
【請求項18】
前記クレーム変換サブモジュールがパイプライン形式で配置されることを特徴とする請求項17に記載の拡張性のあるシステム。
【請求項19】
前記クレームを処理するために適切と思われる前記クレーム変換サブモジュールにのみ前記クレームを送信することを特徴とする請求項17に記載の拡張性のあるシステム。
【請求項20】
前記アイデンティティプロバイダから受信したクレームの前記フォーマットをリソースアプリケーションに承認されるフォーマットに変換するために、追加の拡張ポイントが存在することを特徴とする請求項17に記載の拡張性のあるシステム。
【請求項1】
クレームを1つのフォーマットから異なるフォーマットに変換するクレーム変換システムであって、
第1のクレーム変換サブモジュールと、
第2のクレーム変換サブモジュールと
を備え、
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、クレームを1つのフォーマットから複数の異なるフォーマットへ変換する能力を有することを特徴とするシステム。
【請求項2】
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、パイプライン形式で配置されることを特徴とする請求項1に記載のクレーム変換システム。
【請求項3】
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、前記クレームに対する変更が検出されなくなるまで前記クレームを変換するよう配置されることを特徴とする請求項2に記載のクレーム変換システム。
【請求項4】
前記システムは、他のサブモジュールによりなされた如何なる変更も許可しないかどうかを検証するクレーム変換サブモジュールをさらに備えることを特徴とする請求項3に記載のクレーム変換システム。
【請求項5】
前記第1のクレーム変換サブモジュールは、元のフォーマットの前記クレームを変換して第1の結果クレームを作成することと、
前記第2のクレーム変換サブモジュールは、元のフォーマットの前記クレームを処理して第2の結果クレームを作成することと、
統合モジュールは、前記第1の結果クレームおよび前記第2の結果クレームを統合して最終クレームを作成すること
を特徴とする請求項1に記載のクレーム変換システム。
【請求項6】
前記第1のクレーム変換サブモジュールは前記処理に適切であると判定される場合、前記システムは前記クレームを前記第1のクレーム変換サブモジュールに向けること、
前記第2のクレーム変換サブモジュールは前記処理に適切であると判定される場合、前記システムは前記クレームを前記第2のクレーム変換サブモジュールに向けること
を特徴とする請求項1に記載のクレーム変換システム。
【請求項7】
前記第1のクレーム変換サブモジュールおよび前記第2のクレーム変換サブモジュールは、変更が検出されなくなるまで前記クレームを変換することを特徴とする請求項6に記載のクレーム変換システム。
【請求項8】
前記システムは、他のサブモジュールによりなされた如何なる変更も許可しないかどうかを検証するクレーム変換サブモジュールをさらに備えることを特徴とする請求項7に記載のクレーム変換システム。
【請求項9】
前記第1のクレーム変換サブモジュールは、元のフォーマットの前記クレームを変換して第1の結果のクレームを作成することと、
前記第2のクレーム変換サブモジュールは、元のフォーマットの前記クレームを変換して第2の結果のクレームを作成することと、
統合モジュールは、前記結果クレームを統合して最終クレームを作成すること
を特徴とする請求項6に記載のクレーム変換システム。
【請求項10】
信頼関係環境内の拡張ポイントでクレームを変換する方法であって、
信頼関係環境内で拡張ポイントを維持するステップであって、単一のクレーム変換サブモジュール又は複数のクレーム変換サブモジュールをプラグインできるステップと、
前記クレームの第1のフォーマットを判定するステップと、
前記クレームの第2のフォーマットを判定するステップと、
前記クレームフォーマットを前記第1のフォーマットから前記第2のフォーマットに変更するようにカスタマイズされたクレーム変換サブモジュールを生成するステップと、
前記変換サブモジュールを前記拡張ポイントにプラグインするステップと
を含むことを特徴とする方法。
【請求項11】
前記方法は、前記拡張ポイントの一部として前記サブモジュールをパイプライン状に構成するステップをさらに含むことを特徴とする請求項10に記載の方法。
【請求項12】
前記方法は、追加のサブモジュールをプラグインするステップをさらに含むことを特徴とする請求項11に記載の方法。
【請求項13】
前記方法は、前記クレームを送信すべき適切なクレーム変換モジュールを判定するステップをさらに含むことを特徴とする請求項10に記載の方法。
【請求項14】
前記方法は、定常状態が達成されるまで前記クレームを処理するステップをさらに含むことを特徴とする請求項10に記載の方法。
【請求項15】
クレームセットが含まれること、および前記変換を前記クレームセット内のクレーム全てに適用することを特徴とする請求項10に記載の方法。
【請求項16】
元のフォーマットの前記クレームをクレーム変換モジュールに送信して前記クレームを結果クレームに変換するステップと、
クレーム変換サブモジュールからの前記結果クレームを、他のクレーム変換サブモジュールからの前記結果クレームから分離するステップと、
前記結果クレームを集めるステップと、
前記結果のクレームを統合して最終クレームを作成するステップと
をさらに含むことを特徴とする請求項10に記載の方法。
【請求項17】
信頼関係においてクレーム情報を共有して変換する拡張性のあるシステムであって、
アカウントを認証する情報を要求するリソースプロバイダと、
前記リソースプロバイダに認証情報を提供するアイデンティティプロバイダと、
認証情報を維持して前記要求するリソースプロバイダに送信するクレームをポピュレートするアカウントストアと、
拡張ポイントであって、1又は複数のクレーム変換サブモジュールをそのようなポイントの一部としてプラグインして、前記アイデンティティプロバイダにより提供される第1のフォーマットから前記リソースプロバイダにより承認される第2のフォーマットへクレームを変換することができる拡張ポイントと
をさらに備えることを特徴とするシステム。
【請求項18】
前記クレーム変換サブモジュールがパイプライン形式で配置されることを特徴とする請求項17に記載の拡張性のあるシステム。
【請求項19】
前記クレームを処理するために適切と思われる前記クレーム変換サブモジュールにのみ前記クレームを送信することを特徴とする請求項17に記載の拡張性のあるシステム。
【請求項20】
前記アイデンティティプロバイダから受信したクレームの前記フォーマットをリソースアプリケーションに承認されるフォーマットに変換するために、追加の拡張ポイントが存在することを特徴とする請求項17に記載の拡張性のあるシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公表番号】特表2009−535729(P2009−535729A)
【公表日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願番号】特願2009−509562(P2009−509562)
【出願日】平成19年3月15日(2007.3.15)
【国際出願番号】PCT/US2007/006575
【国際公開番号】WO2007/130226
【国際公開日】平成19年11月15日(2007.11.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.EEPROM
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願日】平成19年3月15日(2007.3.15)
【国際出願番号】PCT/US2007/006575
【国際公開番号】WO2007/130226
【国際公開日】平成19年11月15日(2007.11.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.EEPROM
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]