[发明专利]认证协作系统以及ID提供商装置

说明书

技术领域

本发明的实施方式涉及认证协作系统（authentication collaboration system）以及ID提供商装置。

背景技术

以社会、经济、生活对在线服务的依存度增加的趋势为背景，对与个人或组织相关的信息进行管理的身份（identity）管理的重要性高涨。所谓身份管理为如下技术：在各种各样的服务和系统中，谋求与个人或组织相关的信息的安全性与便利性，对从登录到变更、删除的身份生命周期整体进行管理。

这里，所谓身份为某种状况下用于确定个人、集团、组织和企业的信息总体，包含有标识符、证书（credential）和属性。所谓标识符为用于识别身份的信息，相当于账户和职员编号等。所谓证书为用于表示某个信息内容的合法性的信息，具有密码等。所谓属性为对身份附加特征的信息，指名字、住址和出生年月日等。

作为利用了这样的身份管理技术的代表例，存在单点登录（Single Sign-On，以后简称为SSO）。SSO为能够通过一次认证手续来利用多个应用和服务的技术。在像在一个企业的内联网（intranet）那样的单域（single domain）中，SSO使多个应用具有的认证统一的情况较多。这种情况，SSO一般将认证结果包含在HTTP Cookie中，通过在应用间以使认证结果共享的方式来实现。另外，SI（System Integration：系统集成）厂商或中间件厂商有个别地还将这样的SSO方式作为访问管理产品来制造。

近年，要求超越单域的不同域间（以下，称为交叉域）的SSO。作为理由，列举基于企业统合与合并、海外发展等的活跃化、以及崛起了的云计算（cloud computing）的SaaS（Software as a Service：软件即服务）等的外包（outsourcing）。例如，SaaS等的优点之一是在想使用时能够快速使用。

但是，在实现交叉域的SSO时，在共享认证结果中产生了较大的麻烦。作为主要原因有2点。第1点是因为HTTP Cookie的利用限于单域，所以在域间不能利用HTTP Cookie来共享认证结果。第2点是因为每个域中采用的访问管理产品的SSO方式在厂商间不同，所以不能简单地导入，需要准备其它途径、对策。

为了消除这样的原因，SSO的标准化的需求变得高涨。作为一个与这样的需求相对应的代表性的标准技术，有非营利团体OASIS（Organization for the Advancement of Structured Information Standards：结构化信息标准促进组织）制定的SAML（Security Assertion Markup Language：安全断言标记语言）。

SAML是定义了与认证/认可/属性相关的信息的表现形式以及收发过程的标准，系统性地规定了能够与目的相对应的各种实际安装方式。主体结构为身份提供者（Identity Provider，以后简写为IdP，称为ID提供商）、服务提供者（Service Provider，以后简写为SP，称为服务提供商）和用户这3者，通过服务提供商信任ID提供商发行的认证结果来实现SSO。

在开始基于SAML的SSO时，一般需要针对以下2点在事先进行准备。第1点是在服务提供商与ID提供商之间通过商业和技术面的信息交换和达成共识来构筑信任关系。第2点是一个用户针对每个服务提供商持有专用账户，事先使这些专用SP账户与ID提供商的账户协作。在这些信任关系的构筑以及事先账户协作这样的事先准备没有结束的状态下就不能开始SSO。

在这样的事先准备结束后，按以下那样的过程（1）～（6）实现SSO。这里，对经Web浏览器的SSO的过程进行说明。

（1）用户请求服务提供商提供服务。

（2）因为服务提供商还没有对用户进行认证，所以经用户侧的Web浏览器将认证请求发送到ID提供商。

（3）ID提供商以某种手段对用户进行认证，并制作认证声明（assertion）。另外，SAML不规定认证手段，而规定了将认证声明传递给服务提供商的架构。所谓认证声明为了服务提供商判断能否信任认证结果而包含认证手段的种类和如何制作证书等信息。

（4）ID提供商经用户侧的Web浏览器将包含所制作的认证声明的认证结果返回给服务提供商。

（5）服务提供商根据ID提供商的认证结果决定是否提供服务。

（6）用户从服务提供商接受提供服务。