策略更新系统以及策略更新装置的制造方法

策略更新系统以及策略更新装置的制造方法
【技术领域】
[0001]本发明的实施方式涉及策略更新系统以及策略更新装置。
【背景技术】
[0002]以社会、经济、生活对在线服务的依赖性增加的情况为背景，对与个人、组织相关的信息进行管理的身份(identity)管理的重要性正在变高。身份管理是指在各种服务、系统中，实现与个人、组织有关的信息的安全性和便利性，对从登记到变更、删除为止的身份的存活周期整体进行管理的技术。
[0003]这里，身份是在某一状况下确认个人、分组、组织/企业的信息的总体，包括识别符、证书(credentials)、属性。识别符是用于对身份进行识别的信息，相当于账户、职员编号等。证书是用于表示某个信息内容的合法性的信息，有密码等。属性是带有身份特征的信息，包括姓名、住址、生日等。
[0004]作为利用了这样的身份管理的技术的代表例，有单点登录(Single Sign_On，以下简称为SSO)。SSO是通过一次的认证手续能够利用多个应用程序、服务的技术。SSO大多用于在一个企业的内部网那样的单域中，使多个应用程序所具备的认证统一的情况。该情况下，SSO—般在HTTP Cookie中包含认证结果，通过在应用程序间共享认证结果的方式来实现。另外，SI (System Integrat1n)供应商、中间件供应商分别独立地制造这样的SSO方式作为访问管理产品。
[0005]近年来，要求了超过单域的不同域间(以下也称为跨域)的SS0。作为理由，可举出企业统一或合并、海外发展等灵活化、以及因逐渐兴起的云计算的SaaS(Software as aService)等引起的资源外包。例如，SaaS等在想要使用时能够迅速使用的方面是优点之
O
[0006]然而，在实现跨域的SSO的情况下，认证结果的共享产生了很大的麻烦。主要的原因有两点。第一点是由于HTTP Cookie的利用被限定为单域，所以在域间无法利用HTTPCookie来共享认证结果。第二点是由于按每个域采用的访问管理产品的SSO方式在供应商间不同，所以无法简单地引入，需要通过其他途径来采取对策。
[0007]为了消除这样的原因，迫切期望SSO的标准化。作为与这样的迫切期望对应的代表性标准技术之一，有非盈利团体OASIS (Organizat1n for the Advancementof Structured Informat1n Standards)制定的 SAML(Security Assert1n MarkupLanguage:安全断言标记语言)。
[0008]SAML是定义了与认证、许可、属性相关的信息的表现形式、以及收发步骤的规格，被成体系地规定为能够根据目的来采取各种的安装形态。主体的构成是身份提供者(Identity Provider，以下简记为IdP，称为ID提供者)、服务提供者(Service Provider,以下简记为SP，称为服务提供者)、用户这三方，通过服务提供者信任ID提供者发行的认证结果，实现了 SS0。
[0009]在开始基于SAML的SSO的情况下，一般需要事先针对以下两点进行准备。第一点是在服务提供者与ID提供者之间通过业务、技术面的信息交换、协议形成，来预先构建信赖关系。第二点是一个用户按每个服务提供者具有独立的账户，并事先使这些独立的SP账户和ID提供者的账户关联。如果不是这些信赖关系的构建以及账户的事先关联等事先准备完成了的状态，则无法开始SSO。
[0010]在这样的事先准备之后，SSO沿着以下那样的步骤(I)?(6)来实现。这里，对借助Web浏览器的SSO的步骤进行说明。
[0011](I)用户对服务提供者请求提供服务。
[0012](2)服务提供者由于尚未进行用户的认证，所以经由用户侧的Web浏览器向ID提供者发送认证要求。
[0013](3) ID提供者通过某种办法来对用户进行认证，制作认证声明。其中，SAML不规定认证办法而规定将认证声明向服务提供者传递的结构。为了判断服务提供者能否相信认证结果，认证声明包含认证办法的种类、证书如何被制作等信息。
[0014](4) ID提供者将包括制作的认证声明在内的认证结果经由用户侧的Web浏览器回信给服务提供者。
[0015](5)服务提供者基于ID提供者的认证结果来决定可否提供服务。
[0016](6)用户接受服务提供者提供服务。
[0017]这样，在基于SAML的SSO中，用户能够仅通过向ID提供者进行一次认证手续而不执行进一步的认证手续地使用多个服务。目前，安装了独立的SSO方式的中间件供应商为了确保跨域的相互运用性，而执行SAML的安装了 ID提供者/服务提供者功能的访问管理产品的销售、SAML向安装了服务提供者功能的商用Web服务的导入。
[0018]在基于SAML的SSO中，如上述那样需要事先关联以及登记账户。通常，当在企业中利用服务提供者提供的服务时，IS (Informat1n System)部门针对服务提供者进行账户登记以及关联。
[0019]IS部门统一进行与属于企业的多数用户对应的大量的事先处理，或者在经过了由用户在任意的定时通过了一系列批准流程的手续之后进行针对该用户的账户登记以及关联。
[0020]这里，在前者的进行事先处理的情况下，由于在SSO的过程中不需执行账户登记以及关联，所以与上述的数据处理系统无关系。
[0021]另一方面，在后者的通过批准流程的情况下，除了用户之外，还需要借助用户所属的每个组织阶层的上司、筹备部门、IS部门等很多的人手，需要大量的工时。并且，由于IS部门不统一进行事先处理，所以产生基于人手的作业，不仅负担大，而且效率、便利性也差。例如，无法发挥SaaS等中的可迅速使用的优点。
[0022]因此，在SSO的过程中执行账户登记以及关联的系统中，希望具备不借助人手来决定可否利用服务的无缝结构。
[0023]因此，有一种如下所述的技术:在SSO的步骤的(2)与(3)之间基于事先定义的与服务利用相关的策略和服务的利用状况评价了服务提供者提供的服务的能否利用之后，通过插入执行账户关联以及登记的处理，来使服务提供者提供的服务的从利用申请到SSO的一系列处理自动化。
[0024]现有技术文献
[0025]专利文献
[0026]专利文献1:日本专利第4892093号公报
[0027]专利文献2:日本特开2007 — 323357号公报
[0028]非专利文献
[0029]非专利文献I 'Assert1ns and Protocols for the OASIS Security Assert1nMarkupLanguage (SAML)V2.0”，OASIS Standard,15March2005, http://docs, oasis-open,org/security/saml/v2.0/saml-core-2.0-os.pdf

【发明内容】

[0030]发明要解决的技术问题
[0031]以上说明的技术通常没有问题。但是，根据本发明人的研宄，如以下所述那样存在改进的余地。
[0032]通常，在企业中，如果进行组织变更、人事变动，则作为与用户相关的身份信息的用户属性信息会被更新。与之相伴，需要进行策略的更新作业、系统环境的更新作业，一般这些作业经由人手来进行(即，用户进行策略更新作业、系统环境更新作业)。
[0033]然而，基于人手的作业对用户的负担很大，而且有可能发生作业错误(人为错误)。
[0034]用于解决技术问题的手段
[0035]本发明想要解决的课题是，提供一种能够不经由人手来实现策略更新作业以及系统环境更新作业的策略更新系统以及策略更新装置。
[0036]实施方式的策略更新系统包括:服务器装置，能够对用户提供多个服务，具有按每个所述服务至少存储第一用户ID的存储单元，该第一用户ID对能够利用所述各服务的用户进行识别；策略存储装置，存储多个策略，所述多个策略由记述了用户属性信息的至少一个条件构成，规定了所述用户属性信息的值满足所述条件时允许所述服务的利用的所述各服务的利用权限，所述用户属性信息是与所述用户相关的身份信息，由至少包含与所述第一用户ID对应的第二用户ID在内的多个项目建立关联而成；策略更新装置，在所述用户属性信息被变更时能够更新所述存储的各策略；以及用户属性信息存储装置，存储变更后的用户属性信息以及变更内容，所述变更内容是在变更前的用户属性信息与变更后的用户属性信息之间示出不同值的变更内容，是包括变更前的用户属性信息的值与变更后的用户属性信息的值在内的、每个所述第二用户ID的变更内容。
[0037]所述策略更新装置具备检测单元、制作单元、收集单元、评价单元、确定单元、更新单元以及删除单元。
[0038]所述检测单元基于所述用户属性信息存储装置中存储的变更内容，来检测所述策略存储装置中存储的各策略中需要修正的修正对象策略。
[0039]所述制作单元制作将所述检测到的修正对象策略中记述的