[发明专利]策略更新系统以及策略更新装置

说明书

技术领域

本发明的实施方式涉及策略更新系统以及策略更新装置。

背景技术

以社会、经济、生活对在线服务的依赖性增加的情况为背景，对与个人、组织相关的信息进行管理的身份(identity)管理的重要性正在变高。身份管理是指在各种服务、系统中，实现与个人、组织有关的信息的安全性和便利性，对从登记到变更、删除为止的身份的存活周期整体进行管理的技术。

这里，身份是在某一状况下确认个人、分组、组织/企业的信息的总体，包括识别符、证书(credentials)、属性。识别符是用于对身份进行识别的信息，相当于账户、职员编号等。证书是用于表示某个信息内容的合法性的信息，有密码等。属性是带有身份特征的信息，包括姓名、住址、生日等。

作为利用了这样的身份管理的技术的代表例，有单点登录(Single Sign-On，以下简称为SSO)。SSO是通过一次的认证手续能够利用多个应用程序、服务的技术。SSO大多用于在一个企业的内部网那样的单域中，使多个应用程序所具备的认证统一的情况。该情况下，SSO一般在HTTP Cookie中包含认证结果，通过在应用程序间共享认证结果的方式来实现。另外，SI(System Integration)供应商、中间件供应商分别独立地制造这样的SSO方式作为访问管理产品。

近年来，要求了超过单域的不同域间(以下也称为跨域)的SSO。作为理由，可举出企业统一或合并、海外发展等灵活化、以及因逐渐兴起的云计算的SaaS(Software as a Service)等引起的资源外包。例如，SaaS等在想要使用时能够迅速使用的方面是优点之一。

然而，在实现跨域的SSO的情况下，认证结果的共享产生了很大的麻烦。主要的原因有两点。第一点是由于HTTP Cookie的利用被限定为单域，所以在域间无法利用HTTP Cookie来共享认证结果。第二点是由于按每个域采用的访问管理产品的SSO方式在供应商间不同，所以无法简单地引入，需要通过其他途径来采取对策。

为了消除这样的原因，迫切期望SSO的标准化。作为与这样的迫切期望对应的代表性标准技术之一，有非盈利团体OASIS(Organization for the Advancement of Structured Information Standards)制定的SAML(Security Assertion Markup Language：安全断言标记语言)。

SAML是定义了与认证、许可、属性相关的信息的表现形式、以及收发步骤的规格，被成体系地规定为能够根据目的来采取各种的安装形态。主体的构成是身份提供者(Identity Provider，以下简记为IdP，称为ID提供者)、服务提供者(Service Provider，以下简记为SP，称为服务提供者)、用户这三方，通过服务提供者信任ID提供者发行的认证结果，实现了SSO。

在开始基于SAML的SSO的情况下，一般需要事先针对以下两点进行准备。第一点是在服务提供者与ID提供者之间通过业务、技术面的信息交换、协议形成，来预先构建信赖关系。第二点是一个用户按每个服务提供者具有独立的账户，并事先使这些独立的SP账户和ID提供者的账户关联。如果不是这些信赖关系的构建以及账户的事先关联等事先准备完成了的状态，则无法开始SSO。

在这样的事先准备之后，SSO沿着以下那样的步骤(1)～(6)来实现。这里，对借助Web浏览器的SSO的步骤进行说明。

(1)用户对服务提供者请求提供服务。

(2)服务提供者由于尚未进行用户的认证，所以经由用户侧的Web浏览器向ID提供者发送认证要求。

(3)ID提供者通过某种办法来对用户进行认证，制作认证声明。其中，SAML不规定认证办法而规定将认证声明向服务提供者传递的结构。为了判断服务提供者能否相信认证结果，认证声明包含认证办法的种类、证书如何被制作等信息。

(4)ID提供者将包括制作的认证声明在内的认证结果经由用户侧的Web浏览器回信给服务提供者。

(5)服务提供者基于ID提供者的认证结果来决定可否提供服务。

(6)用户接受服务提供者提供服务。

这样，在基于SAML的SSO中，用户能够仅通过向ID提供者进行一次认证手续而不执行进一步的认证手续地使用多个服务。目前，安装了独立的SSO方式的中间件供应商为了确保跨域的相互运用性，而执行SAML的安装了ID提供者/服务提供者功能的访问管理产品的销售、SAML向安装了服务提供者功能的商用Web服务的导入。