[发明专利]由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品

说明书

技术领域

本发明的领域涉及数据处理，或者更具体地说，涉及对联盟(federation)中的客户(principal)进行认证的方法、系统和产品。 

背景技术

联盟是被管理的安全空间的集合。联盟可以执行单次登入(sign-on)功能，其中在一个联盟安全空间内的访问管理器依赖另一个安全空间内的访问管理器执行认证服务。目前联盟访问管理器的认证过程限制在特定的访问管理器所知的或安装在其上的非定制认证方法和定制认证方法。在单次登入会话期间，对于客户的认证需求的变化，例如逐步提高的需求，通常可以用非定制的认证方法来完成，因为访问管理器一般了解如何利用非定制认证方法。但是，在联盟环境内的其他安全域内支持多个定制方法不是很容易完成的，因为现有技术中访问管理器没有设置成根据另一个安全空间或域内的实体的定制需求来执行认证。当前访问管理器的方法不足以灵活地执行认证过程中涉及的其他实体的定制认证方法。 

发明内容

本发明公开了方法、系统和计算机程序产品，通过由身份提供商根据服务提供商的认证策略来认证客户，并把满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据内，为联盟内的客户认证提供了额外的灵活性。对联盟中的客户进行认证还可以通过由身份提供商根据身份提供商的认证策略认证客户来实现。对联盟中的客户进行认证还可以通过在身份提供商内从服务提供商接收一个认证请 求来实现，该认证请求规定了服务提供商的认证策略。 

对联盟中的客户进行认证还可以通过如下方式实现：在服务提供商内接收客户要求访问服务提供商的资源的请求，由服务提供商确定该请求的认证证书不满足服务提供商的认证策略，以及由服务提供商向身份提供商发送一个规定了服务提供商的认证策略的认证请求。对联盟中的客户进行认证还可以通过如下方式实现：由服务提供商从身份提供商接收一个认证响应，该认证响应包括满足服务提供商的认证策略的认证证书，并将该认证证书记录在服务提供商的会话数据中。 

对联盟中的客户进行认证包括由身份提供商的访问管理器来认证客户。对联盟中的客户进行认证还包括由身份提供商的认证代理来认证客户。 

本发明的上述和其他目标、特征以及优点通过附图所示的示例性实施例的更具体的描述将更加明显，其中相同的附图标记通常表示本发明的示例性实施例中相同的部分。 

附图说明

现在参考附图通过实例来具体描述本发明，其中： 

图1示出了一个网络图，其阐释了根据本发明的实施例的对联盟中的客户进行认证的示例性系统； 

图2示出了一个模块图，其阐释了根据本发明的实施例的对联盟中的客户进行认证的示例性系统； 

图3示出了自动计算机器的模块图，其包括根据本发明的实施例的用于对联盟中的客户进行认证的示例性计算机； 

图4示出了一个流程图，其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的示例性方法； 

图5示出了一个流程图，其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的另一个示例性方法； 

图6示出了一个流程图，其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的又一个示例性方法；以及 

图7A和7B示出了一个调用序列框图，其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的示例性方法。 

具体实施方式

下面参考附图来描述的根据本发明的实施例对联盟中的客户进行认证的示例性方法、系统和产品，首先从图1开始。图1示出了一个网络图，其阐释了根据本发明的实施例的对联盟中的客户进行认证的示例性系统。图1的系统通常操作以根据本发明的实施例对联盟中的客户进行认证，通过以下方式实现：由身份提供商根据服务提供商的认证策略来认证客户，并将满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据中。 

联盟是被管理的安全空间的集合，其中资源请求的源和目标能够确定来自源的特定安全信息组是否满足目标的相关安全策略。在图1的实例中，联盟100的被管理安全空间被逻辑边界130划分成客户132、身份提供商126、以及服务提供商128，其中每个都可以是请求的源和目标。源的安全信息是否满足目标的安全策略可以由除了资源请求的源和目标之外的实体来确定。例如根据图1，资源请求的源可以是客户132，请求目标可以是服务提供商128，而且身份提供商126可以确定客户的安全信息是否满足服务提供商的安全策略。