策略管理系統、id提供者系統以及策略評價裝置的制造方法
【技術領域】
[0001]本發明的實施方式涉及策略管理系統、ID提供者系統以及策略評價裝置。
【背景技術】
[0002]以社會、經濟、生活對在線服務的依賴性增加的情況為背景,對與個人、組織相關的信息進行管理的身份(identity)管理的重要性正在變高。身份管理是指在各種服務、系統中,實現與個人、組織有關的信息的安全性和便利性,對從登記到變更、刪除為止的身份的存活周期整體進行管理的技術。
[0003]這里,身份是在某一狀況下確認個人、分組、組織/企業的信息的總體,包括識別符、證書(credentials)、屬性。識別符是用于對身份進行識別的信息,相當于賬戶、職員編號等。證書是用于表示某個信息內容的合法性的信息,有密碼等。屬性是帶有身份特征的信息,包括姓名、住址、生日等。
[0004]作為利用了這樣的身份管理的技術的代表例,有單點登錄(Single Sign_On,以下簡稱為SSO)。SSO是通過一次的認證手續能夠利用多個應用程序、服務的技術。SSO大多用于在一個企業的內部網那樣的單域中,使多個應用程序所具備的認證統一的情況。該情況下,SSO—般在HTTP Cookie中包含認證結果,通過在應用程序間共享認證結果的方式來實現。另外,SI (System Integrat1n)供應商、中間件供應商分別獨立地制造這樣的SSO方式作為訪問管理產品。
[0005]近年來,要求了超過單域的不同域間(以下也稱為跨域)的SS0。作為理由,可舉出企業統一或合并、海外發展等靈活化、以及因逐漸興起的云計算的SaaS(Software as aService)等引起的資源外包。例如,SaaS等在想要使用時能夠迅速使用的方面是優點之
O
[0006]然而,在實現跨域的SSO的情況下,認證結果的共享產生了很大的麻煩。主要的原因有兩點。第一點是由于HTTP Cookie的利用被限定為單域,所以在域間無法利用HTTPCookie來共享認證結果。第二點是由于按每個域采用的訪問管理產品的SSO方式在供應商間不同,所以無法簡單地引入,需要通過其他途徑來采取對策。
[0007]為了消除這樣的原因,迫切期望SSO的標準化。作為與這樣的迫切期望對應的代表性標準技術之一,有非盈利團體OASIS (Organizat1n for the Advancementof Structured Informat1n Standards)制定的 SAML(Security Assert1n MarkupLanguage:安全斷言標記語言)。
[0008]SAML是定義了與認證、許可、屬性相關的信息的表現形式、以及收發步驟的規格,被成體系地規定為能夠根據目的來采取各種的安裝形態。主體的構成是身份提供者(Identity Provider,以下簡記為IdP,稱為ID提供者)、服務提供者(Service Provider,以下簡記為SP,稱為服務提供者)、用戶這三方,通過服務提供者信任ID提供者發行的認證結果,實現了 SS0。
[0009]在開始基于SAML的SSO的情況下,一般需要事先針對以下兩點進行準備。第一點是在服務提供者與ID提供者之間通過業務、技術面的信息交換、協議形成,來預先構建信賴關系。第二點是一個用戶按每個服務提供者具有獨立的賬戶,并事先使這些獨立的SP賬戶和ID提供者的賬戶關聯。如果不是這些信賴關系的構建以及賬戶的事先關聯等事先準備完成了的狀態,則無法開始SSO。
[0010]在這樣的事先準備之后,SSO沿著以下那樣的步驟(I)?(6)來實現。這里,對借助Web瀏覽器的SSO的步驟進行說明。
[0011](I)用戶對服務提供者請求提供服務。
[0012](2)服務提供者由于尚未進行用戶的認證,所以經由用戶側的Web瀏覽器向ID提供者發送認證要求。
[0013](3) ID提供者通過某種辦法來對用戶進行認證,生成認證聲明。其中,SAML不規定認證辦法而規定將認證聲明向服務提供者傳遞的結構。為了判斷服務提供者能否相信認證結果,認證聲明包含認證辦法的種類、證書如何被生成等信息。
[0014](4) ID提供者將包括生成的認證聲明在內的認證結果經由用戶側的Web瀏覽器回信給服務提供者。
[0015](5)服務提供者基于ID提供者的認證結果來決定可否提供服務。
[0016](6)用戶接受服務提供者提供服務。
[0017]這樣,在基于SAML的SSO中,用戶能夠僅通過向ID提供者進行一次認證手續而不執行進一步的認證手續地使用多個服務。目前,安裝了獨立的SSO方式的中間件供應商為了確保跨域的相互運用性,而執行SAML的安裝了 ID提供者/服務提供者功能的訪問管理產品的銷售、SAML向安裝了服務提供者功能的商用Web服務的導入。
[0018]在基于SAML的SSO中,如上述那樣需要事先關聯以及登記賬戶。通常,當在企業中利用服務提供者提供的服務時,IS (Informat1n System)部門針對服務提供者進行賬戶登記以及關聯。
[0019]IS部門統一進行與屬于企業的多數用戶對應的大量的事先處理,或者在經過了由用戶在任意的定時通過了一系列批準流程的手續之后進行針對該用戶的賬戶登記以及關聯。
[0020]這里,在前者的進行事先處理的情況下,由于在SSO的過程中不需執行賬戶登記以及關聯,所以與上述的數據處理系統無關系。
[0021]另一方面,在后者的通過批準流程的情況下,除了用戶之外,還需要借助用戶所屬的每個組織階層的上司、籌備部門、IS部門等很多的人手,需要大量的工時。并且,由于IS部門不統一進行事先處理,所以產生基于人手的作業,不僅負擔大,而且效率、便利性也差。例如,無法發揮SaaS等中的可迅速使用的優點。
[0022]因此,在SSO的過程中執行賬戶登記以及關聯的系統中,希望具備不借助人手來決定可否利用服務的無縫結構。
[0023]因此,有一種如下所述的技術:在SSO的步驟的(2)與(3)之間基于事先定義的與服務利用相關的策略和服務的利用狀況評價了服務提供者提供的服務的能否利用之后,通過插入執行賬戶關聯以及登記的處理,來使服務提供者提供的服務的從利用申請到SSO的一系列處理自動化。
[0024]現有技術文獻
[0025]專利文獻I
[0026]專利文獻:日本專利第4892093號公報
【發明內容】
[0027]發明要解決的技術問題
[0028]以上說明的技術通常沒有問題。但是,根據本發明人的研宄,如以下所述那樣存在改進的余地。
[0029]通常,在企業中,如果進行組織變更、人事變動,則從安全的觀點出發會對策略進行更新。然而,在進行組織變更、人事變動的情況下,需要進行與組織變更、人事變動相伴的交接作業,如果不借助人手地立即更新策略,則可能產生要利用的服務在該交接作業中無法利用等不良情況。因此,一般,因組織變更、人事變動引起的策略的更新經由人手來進行(即,用戶進行策略更新作業)。
[0030]然而,基于人手的作業對用戶的負擔很大,而且有可能發生作業錯誤(人為錯誤)。
[0031]本發明想要解決的課題是,提供一種能夠不經過人手來實現策略更新作業的策略管理系統、ID提供者系統以及策略評價裝置。
[0032]用于解決問題的手段
[0033]實施方式的策略管理系統包括:用戶終端、對操作所述用戶終端的用戶的身份進行管理的ID提供者系統和向所述用戶終端提供服務數據的服務提供者系統。
[0034]所述用戶終端具備登錄執行單元、第一發送單元以及再生單元。
[0035]所述登錄執行單元根據用戶的操作,與所述ID提供者系統之間執行登錄處理。
[0036]所述第一發送單元將包括ID提供者認證令牌和識別所述服務提供者系統的服務提供者ID的訪問請求消息發送給所述ID提供者系統,所述ID提供者認證令牌在所述登錄處理時被發行且包括識別該用戶的用戶ID。
[0037]所述再生單元接收從所述服務提供者系統發送的服務數據,對該接收到的服務數據進行再生。
[0038]所述ID提供者系統具備第一保存單元、第二保存單元、第三保存單元、第一取得單元、第一判定單元、第二取得單元、確認單元、通知接受單元、策略評價單元、第二判定單元、第三取得單元、決定單元、執行請求單元、第二發送單元以及第三發送單元。
[0039]所述第一保存單元保存將用于確定所述用戶的用戶屬性的項目名與項目值建立關聯而成的、且至少包含用戶ID的用戶屬性信息。
[0040]所述第二保存單元按每個所述服務提供者ID保存至少定義判定條件和過渡期間的一對舊策略以及新策略,所述判定條件是用于允許由該服務提供者ID識別的服務提供者系統進行服務數據的發送的判定條件,包括由判定ID識別的多個條件且該各條件還包括多個詳細條件以及職責,所述過渡期間表示當從舊策略過渡至新策略時,除了新策略之外還參照基于舊策略的判定條件的判定結果的期間。
[0041]所述第三保存單元按每個所述服務提供者ID保存至少定義第一差分判定條件和第二差分判定條件的差分對應定義信息,所述第一差分判定條件在所述發送來的訪問請求消息的發送日期為所述過渡期間內時被參照,所述第二差分判定條件在所述發送來的訪問請求消息的發送日期為所述過渡期間外時被參照,并且包括由差分對應ID識別的條件以及職責。
[0042]所述第一取得單元在接收到所述發送來的訪問請求消息時,取得與該訪問請求消息內的服務提供者ID對應的新策略。
[0043]所述第一判定單元判定該訪問請求消息的發送日期是否包含在所述取得的新策略中定義的過渡期間內。
[0044]所述第二取得單元在所述第一判定單元的判定結果表示包含在所述過渡期間內時,取得與所述取得的新策略對應的舊策略。
[0045]所述確認單元基于該訪問請求消息內的ID提供者認證令牌所含的用戶ID,來取得所述第一保存單元中保存的用戶屬性信息,并且確認由該訪問請求消息內的服務提供者ID識別的服務提供者系統中是否保存有該用戶ID。
[0046]所述通知接受單元接受從所述服務提供者系統發送的針對所述確認單元