S5。在图2中示出的实现中,这个检验通过服务提供者与IDM组件204直接通信来实现。这要求IDM组件204在验证过程期间包括它自己的身份至客户,以便客户能够递送这个身份至服务提供者202上,以及然后服务提供者能够联系相同的IDM组件204来检验断目令牌。
[0056]用于服务提供者检验断言令牌的备选的实现在图3中示出。步骤S1至S4与图2中示出的那些相同,但是在这个实现中,服务提供者202和IDM组件204再次使用公布/预订消息模式来辅助检验过程。一旦服务提供者202已经接收服务请求和断言令牌S4,它公布对于断言令牌检验的请求S6。IDM组件204-206被预订RV点(代理者)207、208以用于检验以及用于验证,以及RV点中的一个207选择合适的被预订它的IDM组件204,以用于解决断言检验希望。选择的IDM组件204然后在步骤S7中联系服务提供者201以检验断言令牌是合法的。
[0057]将领会,IDM组件204-206可以彼此共享验证状态,因此能够是由RV 207选择的另一个IDM组件来联系服务提供者202以及检验断言令牌。IDM组件不需要维持状态一一在一个实现中,它们将每个成功的断言令牌连同令牌策略存储至共享的数据库(图3中未示出)。IDM组件将访问共享的数据库以查找断言令牌的当前状态。这具有另外的优点,没有IDM组件204是单点故障,甚至在验证的完成与断言令牌的检验之间:如果必需,另一个IDM组件能够完成检验过程。这个方法还使得使用任何最适当的(考虑到可用的资源)IDM组件是可能的。
[0058]图4是包括用于图3中示出的实现的示例流程图的信令图,示出客户201、服务提供者202、RV点(代理者)207以及两个IDM组件204、205之间的过程。对此讨论来说,能够假定客户装置具有机制(预装的或者通过一些信任的部件)来检验IDM组件的证书:这在以下更详细地讨论。每个IDM组件204、205可以具有由信任的证书管理机构所签署的公开的/秘密的密钥对。在云系统的情况下,其能够是云提供者的认证管理机构。
[0059]401、402.1DM组件203、205预订RV点207以用于验证请求和检验请求。
[0060]403.客户201公布验证请求,其由RV点207接收。
[0061 ] 404.RV点207实行匹配和过滤操作来挑选满足验证请求的最适当IDM组件。
[0062]405.RV点207转发验证请求至最适当的IDM组件204。
[0063]406.1DM组件204开始与客户的验证协商。例如,IDM组件204发送协商启动消息(包括它的证书)至客户201。客户201检验证书。客户建立与IDM组件204的安全会话。客户201通过例如呈现用户名和密码对来证实它的用户要求权。
[0064]407.1DM组件204检验用户要求权以及对于有效的用户要求权而生成断言令牌。
[0065]408.1DM组件204发送断言令牌至用户201。
[0066]409.用户201连同断言令牌转发服务请求至有意的服务提供者(身份消费者)202。
[0067]410.服务提供者202公布检验请求,其由RV点207接收。
[0068]411.RV点207实行匹配和过滤操作以挑选最适当的IDM组件204来致力于检验请求。这可以是与用于初始验证过程的IDM组件相同的IDM组件204,或者可以是不同的一个。在此示例中,示出为相同的一个。
[0069]412.RV点207转发检验希望请求至所挑选的IDM组件204。
[0070]413.在交换断言令牌之前,IDM组件204(用于检验)和服务提供者202应该建立信任,例如通过预共享的证书。IDM组件204相对断言令牌的策略来检验断言令牌。如果有效,它发送正回复至服务。
[0071]414.在这个阶段,服务提供者202已经证实用户的身份并且开始进行履行用户请求。
[0072]在步骤404和411中可以被实施的过滤操作包括(但是不限于):
[0073]1.如果所有IDM组件204-206是忙碌的,RV 207将消息排队。
[0074]2.如果RV 207能够识别用户属于具体区域,它能够转发请求至那个区域中的IDM组件204。
[0075]3.如果用户请求包括具体的过滤准则,RV207在转发步骤期间能够履行此。
[0076]4.RV 207能够转发消息至处理协议特定验证的IDM组件:例如,一个IDM组件可以负责用户名/密码验证,以及另一个IDM组件可以负责基于PKI的验证。
[0077]5.RV 207可以开始另一个IDM组件以处理系统负载,或者可以联系另一个实体来使得这个其它实体能够这样做。
[0078]图5A是示出客户装置201的一个实现的一些结构的示意图。客户装置201包括处理器510、存储器511以及用于与网络中的其它元件通信的输入/输出单元512。存储器511包括由处理器510可执行的指令以操作输入/输出单元512,以及进一步包括验证请求生成模块513(其具有促使处理器生成验证请求的指令)以及验证请求公布模块514(其促使处理器公布那个请求)。存储器还包括验证协商模块515(其包括用于处理器协商验证信息的接收的指令,所述验证信息比如来自IDM组件的断言令牌),以及服务请求模块516(其包括用于处理器发行服务请求(包括验证信息)至服务提供者的指令)。指令513-516可以是以软件的形式,所述软件从比如⑶、DVD或者磁盘的软件产品517引入至存储器中。
[0079]图5B示出客户装置201的备选实现,其中以上描述的软件模块已经由硬件模块513B、514B、515B、516B 所代替。
[0080]图6A是示出IDM组件204的一个实现的一些结构的示意图。IDM组件包括处理器610、存储器611以及用于与网络中的其它元件通信的输入/输出单元612。存储器611包括由处理器610可执行的指令以操作输入/输出单元612,以及进一步包括预订模块613(其具有促使处理器在一个或者更多代理者预订验证或者检验请求的指令),以及验证请求接收模块614(其促使处理器接收来自代理者的请求)。存储器还包括协商启动模块615(其包括用于在验证请求的接收之后处理器发送协商启动信息(可能包括证书)至客户装置的指令),以及验证模块616(其包括用于处理器验证客户装置的指令)。类似的模块的集合也可以被用于来自服务提供者的检验的请求。指令613-616可以是以软件的形式,所述软件从比如⑶、DVD或者磁盘的软件产品617引入至存储器中。
[0081]图6B示出IDM组件204的备选实现,其中以上描述的软件模块已经由硬件模块613B、614B、615B、616B 所代替。
[0082]图7A是示出服务提供者202的一个实现的一些结构的示意图。服务提供者202包括处理器710、存储器711以及用于与网络中的其它元件通信的输入/输出单元712。存储器711包括由处理器710可执行的指令以操作输入/输出单元712,以及进一步包括服务请求接收模块713(其具有促使处理器从客户装置接收服务请求(包括断言令牌或者其它授权)的指令),以及发送/公布验证请求模块714(其促使处理器发送验证请求至特定的IDM模块(在图2的实现中)或者公布验证请求(在图3的实现中))。存储器还包括检验接收模块715(其包括用于处理器从IDM组件接收检验的指令),以及服务递送模块716(其包括用于处理器提供请求的服务至客户装置的指令)。指令713-716可以是以软件的形式,所述软件从比如CD、DVD或者磁盘的软件产品717引入至存储器中。
[0083]图7B示出服务提供者202的备选实现,其中以上描述的软件模块已经由硬件模块713B、714B、715B、716B 所代替。
[0084]图8A是示出代理者(比如RV点207)的一个实现的一些结构的示意图。代理者207包括处理器810、存储器811以及用于与网络中的其它元件通信的输入/输出单元812。存储器811包括由处理器810可执行的指令以操作输入/输出单元812,以及进一步包括预订接收者模块813(其具有促使处理器从网络中的IDM组件接收预订的指令),以及验证请求接收者模块814(其促使处理器从客户装置和服务提供者接收公布的验证请求和/或检验请求)。存储器还包括公布/预订匹配模块815(其包括用于处理器将公布的验证或检验请求与持有的预订匹配以及指派IDM组件至每个验证或者检验请求的指令),以及验证请求转发模块816(其包括用于处理器转发每个验证或者检验请求至对应的所选择IDM模块的指令)。指令813-816可以是软件的形式,