特許 5964501 多要素認証を実施するためのシステム及び方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5964501

(24)【登録日】2016年7月8日

(45)【発行日】2016年8月3日

(54)【発明の名称】多要素認証を実施するためのシステム及び方法

(51)【国際特許分類】

   G06F 21/31 20130101AFI20160721BHJP

   G06F 21/62 20130101ALI20160721BHJP

【ＦＩ】

   G06F21/31

   G06F21/62

【請求項の数】13

【全頁数】19

(21)【出願番号】特願2015-515276(P2015-515276)

(86)(22)【出願日】2013年6月3日

(65)【公表番号】特表2015-518228(P2015-518228A)

(43)【公表日】2015年6月25日

(86)【国際出願番号】US2013043855

(87)【国際公開番号】WO2013188146

(87)【国際公開日】20131219

【審査請求日】2014年11月28日

(31)【優先権主張番号】13/493,619

(32)【優先日】2012年6月11日

(33)【優先権主張国】US

(73)【特許権者】

【識別番号】501113353

【氏名又は名称】シマンテック コーポレーション

【氏名又は名称原語表記】Ｓｙｍａｎｔｅｃ Ｃｏｒｐｏｒａｔｉｏｎ

(74)【代理人】

【識別番号】100147485

【弁理士】

【氏名又は名称】杉村 憲司

(74)【代理人】

【識別番号】100134119

【弁理士】

【氏名又は名称】奥町 哲行

(72)【発明者】

【氏名】ロイ・デバシス

【審査官】 打出 義尚

(56)【参考文献】

【文献】 特開２００６−２５２４１８（ＪＰ，Ａ）

【文献】 特表２００８−５４１２４２（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／３１

Ｇ０６Ｆ ２１／６２

(57)【特許請求の範囲】

【請求項1】

多要素認証を実施するためのコンピュータ実施方法であって、前記方法の少なくとも一部分が少なくとも１つのプロセッサを備えるコンピューティングデバイスによって実施され、前記方法が、
２次認証システムの一部として、クライアントシステムから、前記２次認証システムを介して前記クライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信する工程と、
前記認証要求の受信を受けて１次認証システムで第１認証を最初に実施するように前記クライアントシステムをリダイレクトする工程と、
前記第１認証が成功したことを証明する前記クライアントシステムからの前記第１認証のアサーションを受信する工程と、
前記第１認証の前記アサーションの受信を受けて前記クライアントシステムで第２認証を実施する工程と、を含む、コンピュータ実施方法。

【請求項2】

前記アクセスマネージャが、前記クライアントシステムからの保護リソースの要求を阻止した時点で前記認証要求を開始している、請求項１に記載のコンピュータ実施方法。

【請求項3】

前記１次認証システム及び前記アクセスマネージャが、共に単一企業ネットワーク内にインストールされて動作する、請求項１に記載のコンピュータ実施方法。

【請求項4】

前記２次認証システムが、前記単一企業ネットワーク外で動作するように構成されたサービスを含む、請求項３に記載のコンピュータ実施方法。

【請求項5】

前記第２認証の実施後に、前記第２認証のアサーションと同時に前記クライアントシステムを前記アクセスマネージャにリダイレクトする工程を更に含む、請求項１に記載のコンピュータ実施方法。

【請求項6】

前記アクセスマネージャが、前記第２認証の前記アサーションの受信後に前記クライアントシステムに保護リソースへのアクセスを許可するように構成される、請求項５に記載のコンピュータ実施方法。

【請求項7】

前記第２認証を実施する工程が、
前記第１認証の前記アサーションからユーザ識別情報を取得する工程と、
前記クライアントシステムから前記ユーザ識別情報を要求する代わりに前記ユーザ識別情報を使用して前記第２認証を実施する工程と、を含む、請求項１に記載のコンピュータ実施方法。

【請求項8】

前記１次認証システムが、前記クライアントシステムから認証クレデンシャルを受信し、前記第１認証の前記アサーションと同時に前記クライアントシステムを前記２次認証システムにリダイレクトする、請求項１に記載のコンピュータ実施方法。

【請求項9】

多要素認証を実施するためのシステムであって、前記システムが、
２次認証システムの一部として、クライアントシステムから、前記２次認証システムを介して前記クライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信するようにプログラムされた受信モジュールと、
前記認証要求の受信を受けて１次認証システムで第１認証を最初に実施するように前記クライアントシステムをリダイレクトするようにプログラムされたリダイレクションモジュールと、
前記第１認証が成功したことを証明する前記クライアントシステムからの前記第１認証のアサーションを受信するようにプログラムされたアサーションモジュールと、
前記第１認証の前記アサーションの受信を受けて前記クライアントシステムで第２認証を実施するようにプログラムされた認証モジュールと、
前記受信モジュール、前記リダイレクションモジュール、前記アサーションモジュール、及び前記認証モジュールを実行するように構成された少なくとも１つのプロセッサと、
を含む、システム。

【請求項10】

前記アクセスマネージャが、前記クライアントシステムからの保護リソースの要求を阻止した時点で前記認証要求を開始している、請求項９に記載のシステム。

【請求項11】

前記１次認証システム及び前記アクセスマネージャが、共に単一企業ネットワーク内にインストールされて動作する、請求項９に記載のシステム。

【請求項12】

前記２次認証システムが、前記単一企業ネットワーク外で動作するように構成されたサービスを含む、請求項１１に記載のシステム。

【請求項13】

前記認証モジュールが、前記第２認証の実施後に、前記第２認証のアサーションと同時に前記クライアントシステムを前記アクセスマネージャにリダイレクトするように更にプログラムされる、請求項９に記載のシステム。

【発明の詳細な説明】

【背景技術】

【0001】

デジタル時代において、組織は、データを管理するために、並びに内部及び外部サービスを提供するために、コンピューティングリソースに益々依存している。これらの組織は、様々なセキュリティ、機密保持、経営上、及び／又は管理の目的で、これらの企業環境内でリソースへのアクセスを制御することを望むことがある。

【0002】

企業内アクセス制御の従来のシステムは、ユーザアイデンティティを確立するために単一要素認証システム（ユーザ名及びパスワードのサインオンシステムなど）を使用してきた。残念なことに、様々なセキュリティ脅威の急増により、単一要素認証システムは脆弱になり、無効化されることがある。したがって、一部の組織は、ユーザアイデンティティを確立するためにこれらの企業内で多要素認証を採用することを望むことがある。

【0003】

残念なことに、組織は、従来の２次要素認証サービスをこれらの企業内に組み込もうとすると、かなりの困難に直面し得る。例えば、いくつかの従来の２次要素認証サービスは、企業内で２次要素認証を実施するための完全な基盤を購入し、２次要素認証サービスを企業アプリケーションとして導入及び管理するように、組織に求めることがある。別の例では、２次要素認証サービスプロバイダは、機密データを２次要素認証サービスプロバイダに同期させることにより、又は企業ファイアウォールを開いて第三者アプリケーションが企業の外部から機密データにアクセスできるようにすることにより、企業での機密アイデンティティデータにアクセスを与えるように組織に求めることがある。これらの様々な従来の方法は、組織にかなりの費用及び／又はセキュリティの脆弱性を負わせることがある。

【発明の概要】

【発明が解決しようとする課題】

【0004】

したがって、本開示は、多要素認証を実施するための追加の改善されたシステム及び方法に対する必要性を特定し、対処する。

【課題を解決するための手段】

【0005】

以下により詳細に記載されるように、本開示は、一般に、１つのドメインで認証サービスを起動し、別のドメインで別の認証サービスの使用を試みることにより、多要素認証を実施するためのシステム及び方法に関する。一例では、多要素認証を実施するためのコンピュータ実施方法は、１）２次認証システムの一部として、クライアントシステムから認証要求を受信する工程と、２）認証要求の受信を受けて１次認証システムで第１認証を最初に実施するようにクライアントシステムをリダイレクトする工程と、３）第１認証が成功したことを証明するクライアントシステムからの第１認証のアサーションを受信する工程と、４）第１認証のアサーションの受信を受けてクライアントシステムで第２認証を実施する工程と、を含み得る。

【0006】

いくつかの例では、認証要求を受信する工程は、２次認証システムを介してクライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信する工程を含み得る。これらの例では、アクセスマネージャは、クライアントシステムからの保護リソースの要求を阻止した時点で認証要求を開始していてもよい。更に、これらの例では、１次認証システム及びアクセスマネージャは、共に単一企業ネットワーク内にインストールされて動作してもよい。また、これらの例では、２次認証システムは、単一企業ネットワーク外で動作するように構成されたサーバを含んでもよい。

【0007】

更に、コンピュータ実施方法は、第２認証の実施後に、第２認証のアサーションと同時にクライアントシステムをアクセスマネージャにリダイレクトする工程も含み得る。この例では、アクセスマネージャは、第２認証のアサーションの受信後にクライアントシステムに保護リソースへのアクセスを許可するように構成されてもよい。

【0008】

いくつかの実施形態では、１次認証システムは、クライアントシステムから認証クレデンシャルを受信し、第１認証のアサーションと同時にクライアントシステムを２次認証システムにリダイレクトし得る。

【0009】

一例では、第２認証を実施する工程は、１）第１認証のアサーションからユーザ識別情報を取得する工程と、２）クライアントシステムからユーザ識別情報を要求する代わりにユーザ識別情報を使用して第２認証を実施する工程と、を含み得る。

【0010】

一実施形態では、上記の方法を実施するためのシステムは、１）２次認証システムの一部として、クライアントシステムから認証要求を受信するようにプログラムされた受信モジュールと、２）認証要求の受信を受けて１次認証システムで第１認証を最初に実施するようにクライアントシステムをリダイレクトするようにプログラムされたリダイレクションモジュールと、３）第１認証が成功したことを証明するクライアントシステムからの第１認証のアサーションを受信するようにプログラムされたアサーションモジュールと、４）第１認証のアサーションの受信を受けてクライアントシステムと第２認証を実施するようにプログラムされた認証モジュールと、を含み得る。システムはまた、受信モジュール、リダイレクションモジュール、アサーションモジュール、及び認証モジュールを実行するように構成される、少なくとも１つのプロセッサを含んでもよい。

【0011】

いくつかの実施例では、上述の方法は、コンピュータ可読記憶媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読記憶媒体は、コンピューティングデバイスの少なくとも１つのプロセッサにより実行されるとき、コンピューティングデバイスに、１）２次認証システムの一部として、クライアントシステムから認証要求を受信させ、２）認証要求の受信を受けて１次認証システムで第１認証を最初に実施するようにクライアントシステムをリダイレクトさせ、３）第１認証が成功したことを証明するクライアントシステムからの第１認証のアサーションを受信させ、４）第１認証のアサーションの受信を受けてクライアントシステムと第２認証を実施させ得る、コンピュータで実行可能な命令の１つ以上を含み得る。

【0012】

以下により詳細に説明されるように、１つのドメインで認証サービスを起動し、別のドメインで別の認証サービスの使用を試みることにより、本明細書に記載のシステム及び方法は、既に単一要素認証を実施している企業内で、元の単一要素認証システムの制御及び／又はそれに関する機密データを企業から移すことなく、多要素認証の実施を可能にすることができる。更に、これらのシステム及び方法は、費用がかかり複雑な基盤の変更及び保守を必要とせずに、２次認証要素の追加を可能にすることができる。例えば、これらのシステム及び方法は、第２要素認証システムからの認証要求を承認及び信頼するように第１要素認証システムを企業内で再構成するだけで、２次認証要素の追加を可能にすることができる。更に、これらのシステム及び方法は、機密企業認証データへのアクセスをシステム外へ開放することで潜在的にセキュリティホールを生じることなく、企業の単一要素認証システムに２次認証要素の追加を可能にすることができる。

【0013】

上述の実施形態のいずれかの特徴は、本明細書に記載される一般原理に従って、互いと組み合わせて使用されてもよい。これら及び他の実施形態、特徴、並びに利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことにより、更に十分に理解されるであろう。

【図面の簡単な説明】

【0014】

以下の図面は、いくつかの例示的な実施形態を示し、本明細書の一部である。以下の説明と共に、これらの図面は、本開示の様々な原理を例証及び説明する。

【図1】多要素認証を実施するための例示的なシステムのブロック図である。

【図2】多要素認証を実施するための例示的なシステムのブロック図である。

【図3】多要素認証を実施するための例示的な方法のフローチャートである。

【図4】多要素認証を実施するための例示的なシステムのブロック図である。

【図5】例示的な多要素認証の図である。

【図6】本明細書に記載及び／又は例示される実施形態のうちの１つ以上を実装することが可能な例示的なコンピューティングシステムのブロック図である。

【図7】本明細書に記載及び／又は例示される実施形態のうちの１つ以上を実装することが可能な例示的なコンピューティングネットワークのブロック図である。

【0015】

図面を通して、同一の参照文字及び説明は、類似だが必ずしも同一ではない要素を示す。本明細書に記載される例示的な実施形態は、様々な修正及び代替的な形態が可能であるが、特定の実施形態が例として図面に示され、本明細書に詳細に記載されるであろう。しかしながら、本明細書に記載される例示的な実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲の範囲に入る全ての修正、等価物、及び代替物を網羅する。

【発明を実施するための形態】

【0016】

図１〜２を参照することにより、以下に多要素認証を実施するための例示的なシステムの詳細な説明が提供される。対応するコンピュータ実装方法の詳細な説明はまた、図３と併せて提供される。加えて、本明細書に記載の実施形態のうちの１つ以上を実装することが可能な、例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明は、それぞれ、図６及び７と併せて提供される。

【0017】

図１は、多要素認証を実施するための例示的なシステム１００のブロック図である。この図に例示されるように、例示的なシステム１００は、１つ以上のタスクを実施するための１つ以上のモジュール１０２を含み得る。例えば、以下により詳細に説明されるように、例示的なシステム１００は、２次認証システムの一部として、クライアントシステムから認証要求を受信するようにプログラムされた受信モジュール１０４を含み得る。例示的なシステム１００はまた、認証要求の受信を受けて１次認証システムと第１認証を最初に実施するようにクライアントシステムをリダイレクトするようにプログラムされたリダイレクションモジュール１０６も含み得る。

【0018】

更に、以下により詳細に記載されるように、例示的なシステム１００は、第１認証が成功したことを証明するクライアントシステムからの第１認証のアサーションを受信するようにプログラムされたアサーションモジュール１０８を含み得る。例示的なシステム１００は、第１認証のアサーションの受信を受けてクライアントシステムで第２認証を実施するようにプログラムされた認証モジュール１１０も含み得る。別個の要素として例示されるが、図１のモジュール１０２のうちの１つ以上は、単一のモジュール又はアプリケーションの部分を表し得る。

【0019】

ある実施形態において、図１のモジュール１０２のうちの１つ以上は、コンピューティングデバイスにより実行されるとき、コンピューティングデバイスに１つ以上のタスクを実施させ得る、１つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、以下により詳細に記載されるように、モジュール１０２のうちの１つ以上は、図２に例示されるデバイス（例えば、コンピューティングデバイス２０２、クライアントシステム２０６、及び／若しくは認証サーバ２０８）、図６にあるコンピューティングシステム６１０、並びに／又は図７にある例示的なネットワークアーキテクチャ７００の部分のような１つ以上のコンピューティングデバイス上で実行されるように記憶及び構成されるソフトウェアモジュールを表し得る。図１のモジュール１０２のうちの１つ以上はまた、１つ以上のタスクを実施するように構成される、１つ以上の特殊目的のコンピュータの全て又は部分を表し得る。

【0020】

図１の例示的なシステム１００は、多様な方法で実装されてもよい。例えば、例示的なシステム１００の全て又は一部分は、図２の例示的なシステム２００の部分を表し得る。図２に示されるように、システム２００は、（例えば、コンピューティングデバイス２０２により提供される認証要素及び認証サーバ２０８により提供される認証要素を使用してクライアントシステム２０６のユーザのアイデンティティを認証するために）ネットワーク２０４を介してクライアントシステム２０６及び認証サーバ２０８と通信しているコンピューティングデバイス２０２を含み得る。

【0021】

一実施形態では、図１のモジュール１０２のうちの１つ以上は、コンピューティングデバイス２０２の少なくとも１つのプロセッサによって実行されるとき、多要素認証の実施においてコンピューティングデバイス２０２を支援することができる。例えば、以下により詳細に記載されるように、モジュール１０２のうちの１つ以上は、コンピューティングデバイス２０２に、１）（例えば、コンピューティングデバイス２０２上の）２次認証システムの一部として、クライアントシステム２０６から認証要求２１０を受信させ、２）要求２１０の受信を受けて（例えば、認証サーバ２０８上の）１次認証システムと第１認証を最初に実施するようにクライアントシステム２０６をリダイレクトさせ、３）第１認証が成功したことを証明するクライアントシステム２０６からの（例えば、認証サーバ２０８との）第１認証のアサーション２１０を受信させ、４）第１認証のアサーション２１０の受信を受けてクライアントシステム２０６と第２認証を実施させ得る。

【0022】

コンピューティングデバイス２０２は、概して、コンピュータで実行可能な命令を読み取ることが可能な任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス２０２の例としては、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、個人用デジタル補助装置（ＰＤＡ）、マルチメディアプレーヤ、組み込みシステム、これらの１つ以上の組み合わせ、図６の例示的なコンピューティングシステム６１０、又は任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。いくつかの例では、コンピューティングデバイス２０２は、認証サーバ、及び／又は認証サービスの一部として動作するコンピューティングデバイスを表し得る。

【0023】

クライアントシステム２０６は、概して、コンピュータで実行可能な命令を読み取ることが可能な任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス２０２の例としては、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、個人用デジタル補助装置（ＰＤＡ）、マルチメディアプレーヤ、組み込みシステム、これらの１つ以上の組み合わせ、図６の例示的なコンピューティングシステム６１０、又は任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。

【0024】

認証サーバ２０８は、概して、１つ以上の認証動作を実施することが可能な任意のタイプ又は形態のコンピューティングデバイスを表す。認証サーバ２０８の例としては、多様なデータベースサービスを提供する及び／又は特定のソフトウェアアプリケーションを作動させるように構成されるアプリケーションサーバ及びデータベースサーバが挙げられるが、これらに限定されない。

【0025】

ネットワーク２０４は、概して、通信又はデータ転送を容易にすることが可能な任意の媒体又はアーキテクチャを表す。ネットワーク２０４の例としては、イントラネット、広域ネットワーク（ＷＡＮ）、ローカルエリアネットワーク（ＬＡＮ）、パーソナルエリアネットワーク（ＰＡＮ）、インターネット、電力線通信（ＰＬＣ）、セルラーネットワーク（例えば、ＧＳＭネットワーク（「ＧＳＭ」は登録商標））、図７の例示的なネットワークアーキテクチャ７００などが挙げられるが、これらに限定されない。ネットワーク２０４は、無線又は有線接続を使用して通信又はデータ転送を容易にし得る。一実施形態において、ネットワーク２０４は、コンピューティングデバイス２０２、クライアントシステム２０６、及び認証サーバ２０８との間の通信を容易にし得る。

【0026】

図３は、多要素認証を実施するための例示的なコンピュータ実施方法３００のフローチャートである。図３に示される工程は、任意の好適なコンピュータで実行可能なコード及び／又はコンピューティングシステムにより実施されてもよい。一部の実施形態において、図３に示される工程は、図１のシステム１００の構成要素のうちの１つ以上、図２のシステム２００、図６のコンピューティングシステム６１０、及び／又は図７の例示的なネットワークアーキテクチャ７００の一部により実施されてもよい。

【0027】

図３に示されるように、工程３０２において、本明細書に記載の１つ以上のシステムは、２次認証システムの一部として、クライアントシステムから認証要求を受信し得る。例えば、工程３０２において、受信モジュール１０４は、図２のコンピューティングデバイス２０２の一部として、（例えば、コンピューティングデバイス２０２上の）２次認証システムの一部として、クライアントシステム２０６から認証要求２１０を受信し得る。

【0028】

本明細書で使用するとき、語句「認証システム」は、ユーザ及び／又はクライアントのアイデンティティを実証及び／又は確認する任意の方法を指すことができる。認証システムは、任意の様々なクレデンシャルを使用し得る。認証システムに使用され得るクレデンシャルの例としては、知識によるクレデンシャル（例えば、ユーザが知っている何か）、トークンによるクレデンシャル（例えば、ユーザが所有する何か）、生体によるクレデンシャル（例えば、ユーザ自身の何か）、及び／又はこれらの任意の組み合わせが挙げられるが、これらに限定されない。例えば、知識によるクレデンシャルには、パスワード、暗証番号（ＰＩＮ）、及び／又はパスフレーズが挙げられ、トークンによるクレデンシャルには、モバイル及び／又はデスクトップコンピューティングデバイス（例えば、スマートフォン）により生成又は受信されるワンタイムパスワード及び／又はセキュリティコードが挙げられ、生体によるクレデンシャルには、指紋、声紋、及び／又は虹彩スキャンが挙げられ得る。

【0029】

したがって、本明細書で使用するとき、語句「２次認証システム」は、ユーザ及び／又はクライアントを認証するために１つ以上の追加の認証システムと組み合わせて使用され得る認証システムを指すことができる。いくつかの例では、語句「２次認証システム」は、リモート及び／又はオフサイト認証システムを指すことができる。いくつかの例では、語句「２次認証システム」は、多要素認証システムを作成するために、これまで単一要素認証システムで構成されていた企業に導入される認証システムを指すことができる。

【0030】

本明細書で使用するとき、語句「認証要求」は、認証システムに対して認証を求める任意の要求を指すことができる。例えば、認証要求には、セキュリティ表明マーク付け言語（「ＳＡＭＬ」）要求が挙げられ得る。本明細書で使用するとき、語句「クライアントシステム」は、認証を要求できる任意のコンピューティングデバイス、クライアントソフトウェア、及び／又はユーザエージェントを指すことができる。

【0031】

いくつかの例では、認証要求を受信する工程は、２次認証システムを介してクライアントシステムを認証するように構成されるアクセスマネージャにより開始された認証要求を受信する工程を含み得る。本明細書で使用するとき、語句「アクセスマネージャ」は、（例えば、企業内の）リソースにアクセスするための要求及び／又は試行を裁定する任意のシステムを指すことができる。いくつかの例では、アクセスマネージャは、クライアントシステムとのアクティブ認証セッションを検索できないことに基づいて認証要求を開始し得る。例えば、アクセスマネージャは、クライアントシステムからの保護リソースの要求を阻止した時点で認証要求を開始していてもよい。本明細書で使用するとき、用語「リソース」は、任意のファイル、データ、ドキュメント、及び／又はサービスを指すことができる。したがって、語句「保護リソース」は、ユーザアイデンティティに基づいて（例えば、アクセスマネージャにより）アクセスが制御される任意のリソースを指すことができる。

【0032】

いくつかの例では、１次認証システム及びアクセスマネージャは、共に単一企業ネットワーク内にインストールされて動作してもよい。例えば、１次認証システム及びアクセスマネージャは、単一ＬＡＮネットワーク上で、及び／又は単一企業内の多数の組織サイトに接続する企業プライベートネットワーク上で動作し得る。これらの例では、２次認証システムは、単一企業ネットワーク外で動作するように構成されたサーバを含んでもよい。例えば、企業プライベートネットワーク及び２次認証システムのサーバは、別個のエンティティにより所有、制御、管理、保守、及び／又は運営され得る。加えて、又は代替的に、企業プライベートネットワーク及び２次認証システムのサーバは、異なるドメイン内で動作してもよい。いくつかの例では、２次認証システムは、単一企業ネットワーク外で動作するように構成されたサービスを含んでもよい。したがって、単一企業ネットワークの管理者は、２次認証システムを保守することなく、単一企業ネットワークを２次認証システムに加入させることができる。

【0033】

図４は、多要素認証を実施するための例示的なシステム４００を示す。図４に示されるように、例示的なシステム４００は、ゲートウェイ４２０を介してネットワーク４３０に接続される企業４０２と、同様にネットワーク４３０に接続される認証サーバ４４０とを含み得る。企業４０２は、クライアントシステム４１２、企業アクセスマネージャ４１４、企業認証サーバ４１５、及びサーバ４１６に接続する、企業ネットワーク４１０を含み得る。例として図４を使用すると、工程３０２において、受信モジュール１０４は、認証サーバ４４０の一部として、クライアントシステム４１２から認証要求を受信し得る。いくつかの例では、認証要求は、企業アクセスマネージャ４１４により開始されていてもよい。例えば、クライアントシステム４１２は、サーバ４１６上の保護リソース４１８にアクセスするために試行及び／又は要求を行っていてもよい。したがって、企業アクセスマネージャ４１４は、企業アクセスマネージャ４１４に（例えば、クライアントシステム４１２を介した）認証サーバ４４０への認証要求を開始させる、リソース４１８にアクセスするための試行を阻止し、及び／又は要求を確認していてもよい。

【0034】

図５は、例示的な多要素認証５００を示す。図５に示されるように、例示的な多要素認証５００は、ユーザエージェント５０２、企業アクセスマネージャ５０４、クラウド認証サーバ５０６、及び企業認証サーバ５０８を含み得る。例として図５を使用すると、工程５１０において、企業アクセスマネージャ５０４は、ユーザエージェント５０２による保護リソースにアクセスするための試行を阻止し得る。工程５１２において、企業アクセスマネージャ５０４は、認証要求（例えば、ＳＡＭＬ要求）と同時にユーザエージェント５０２をクラウド認証サービス５０６にリダイレクトし得る。したがって、クラウド認証サービス５０６は、認証要求を受信し得る。

【0035】

図３に戻ると、工程３０４において、本明細書に記載の１つ以上のシステムは、認証要求の受信を受けて１次認証システムと第１認証を最初に実施するようにクライアントシステムをリダイレクトし得る。例えば、工程３０４において、リダイレクションモジュール１０６は、図２のコンピューティングデバイス２０２の一部として、要求２１０の受信を受けて（例えば、認証サーバ２０８上の）１次認証システムと第１認証を最初に実施するようにクライアントシステム２０６をリダイレクトし得る。

【0036】

リダイレクションモジュール１０６は、任意の好適な方法で１次認証システムと第１認証を実施するようにクライアントシステムをリダイレクトし得る。例えば、リダイレクションモジュール１０６は、新たな認証要求（例えば、新たなＳＡＭＬ要求）と同時にクライアントシステムを１次認証システムにリダイレクトし得る。

【0037】

いくつかの例では、１次認証システムは、次いで、クライアントシステムで第１認証を実施し得る。例えば、１次認証システムは、クライアントシステムから認証クレデンシャルを受信し、第１認証のアサーションと同時にクライアントシステムを２次認証にリダイレクトし得る。本明細書で使用するとき、用語「アサーション」は、認証を表明できる任意のメッセージを指すことができる。いくつかの例では、アサーションは、認証の時間、認証の発行者、認証の対象者、及び／又は認証の条件を含み得る。前述したように、認証システムは、任意の様々なクレデンシャルを使用することができる。例えば、第１認証の認証クレデンシャルは、ユーザ名及びパスワードの組み合わせを含み得る。

【0038】

例として図４を使用すると、工程３０４において、リダイレクションモジュール１０６は、認証サーバ４４０の一部として、企業認証サーバ４１５と認証を最初に実施するようにクライアントシステム４１２をリダイレクトし得る。いくつかの例では、次いで、企業認証サーバ４１５は、クライアントシステム４１２で認証を実施し得る。

【0039】

例として図５を使用すると、工程５１４において、クラウド認証サーバ５０６は、企業認証サーバ５０８に向けた新たな認証要求と同時にユーザエージェント５０２をリダイレクトし得る。工程５１６において、企業認証サーバ５０８は、ユーザエージェント５０２で第１認証を実施し得る。

【0040】

図３に戻ると、工程３０６において、本明細書に記載の１つ以上のシステムは、第１認証が成功したことを証明するクライアントシステムからの第１認証のアサーションを受信し得る。例えば、工程３０６において、アサーションモジュール１０８は、図２のコンピューティングデバイス２０２の一部として、第１認証が成功したことを証明するクライアントシステム２０６からの（例えば、認証サーバ２０８との）第１認証のアサーション２１０を受信し得る。

【0041】

いくつかの例では、アサーションモジュール１０８はまた、アサーションが有効であると確認し得る。例えば、アサーションは、ＳＡＭＬアサーションを含むことができ、アサーションモジュール１０８は、Ｈｏｌｄｅｒ−ｏｆ−Ｋｅｙ方法及び／又はＳｅｎｄｅｒ−Ｖｏｕｃｈｅｓ方式を使用してアサーションを確認することができる。

【0042】

例として図４を使用すると、工程３０６において、アサーションモジュール１０８は、認証サーバ４４０の一部として、クライアントシステム４１２と企業認証サーバ４１５との間で実施された第１認証のアサーションを受信及び確認し得る。

【0043】

例として図５を使用すると、工程５１８において、企業認証サーバ５０８は、工程５１６で実施された第１認証のアサーションと同時にユーザエージェント５０２をリダイレクトし得る。企業認証サーバ５０８は、それによってユーザエージェント５０２からアサーションを受信し得る。

【0044】

図３に戻ると、工程３０８において、本明細書に記載の１つ以上のシステムは、第１認証のアサーションの受信を受けてクライアントシステムと第２認証を実施し得る。例えば、工程３０８において、認証モジュール１１０は、図２のコンピューティングデバイス２０２の一部として、第１認証のアサーション２１０の受信を受けてクライアントシステム２０６で第２認証を実施し得る。

【0045】

認証モジュール１１０は、任意の好適な方法で第２認証を実施し得る。いくつかの例では、認証モジュール１１０は、第１認証のアサーションからユーザ識別情報を取得し、クライアントシステムからユーザ識別情報を要求する代わりにユーザ識別情報を使用して第２認証を実施し得る。例えば、認証モジュール１１０は、アサーションからユーザ名及びそのユーザ名に適用されるドメイン、電子メールアドレスなどを取得し得る。このように、認証モジュール１１０は、潜在的にコンピューティングリソースを保存し、認証プロセスを加速し得る。

【0046】

前述したように、いくつかの例では、アクセスマネージャは、（例えば、クライアントシステムからの保護リソースの要求を阻止した後）２次認証システムに向けた認証要求を開始していてもよい。これらの例では、認証モジュール１１０はまた、第２認証の実施後に、第２認証のアサーションと同時にクライアントシステムをアクセスマネージャにリダイレクトし得る。これらの例では、アクセスマネージャは、第２認証のアサーションの受信及び確認後に、クライアントシステムに保護リソースへのアクセスを許可するように構成され得る。

【0047】

例として図４を使用すると、工程３０８において、認証モジュール１１０は、認証サーバ４４０の一部として、クライアントシステム４１２からの（例えば、企業認証サーバ４１５で実施した）第１認証のアサーションの受信及び確認を受けてクライアントシステム４１２と第２認証を実施し得る。認証モジュール１１０はまた、第２認証のアサーションと同時にクライアントシステム４１２を企業アクセスマネージャ４１４にリダイレクトし得る。企業アクセスマネージャ４１４は、第２認証を確認した時点でリソース４１８へのアクセスを許可するように構成されてもよい。したがって、企業アクセスマネージャ４１４は、クライアントシステム４１２をリソース４１８にアクセスさせ得る。企業アクセスマネージャ４１４がクライアントシステム４１２から第２認証のみを求め得るが、認証サーバ４４０はクライアントシステム４１２から第１認証を求めるため、本明細書に記載のシステム及び方法は、企業４０２への妨害を最小限に抑えて多要素認証を容易にすることができる。

【0048】

例として図５を使用すると、工程５２０において、クラウド認証サーバ５０６は、ユーザエージェント５０２で第２認証を実施し得る。工程５２２において、クラウド認証サービス５０６は、第２認証からの属性を第２認証のアサーション（例えば、ＳＡＭＬアサーション）の属性にマップし得る。例えば、クラウド認証サーバ５０６は、第２認証に使用されたユーザ識別子を第２認証のアサーション内のユーザ識別子フィールドにマップし得る。工程５２４において、クラウド認証サービス５０６は、第２認証のアサーションと同時にユーザエージェント５０２をアクセスマネージャ５０４にリダイレクトし得る。企業アクセスマネージャ５０４は、次いで、工程５２６において、アサーションを確認し、保護リソースをユーザエージェント５０２に提供し得る。

【0049】

上述したように、１つのドメインで認証サービスを起動し、別のドメインで別の認証サービスの使用を試みることにより、本明細書に記載のシステム及び方法は、既に単一要素認証を実施している企業内で、元の単一要素認証システムの制御及び／又はそれに関する機密データを企業から移すことなく、多要素認証の実施を可能にすることができる。更に、これらのシステム及び方法は、費用がかかり複雑な基盤の変更及び保守を必要とせずに、２次認証要素の追加を可能にすることができる。例えば、これらのシステム及び方法は、第２要素認証システムからの認証要求を承認及び信頼するように第１要素認証システムを企業内で再構成するだけで、２次認証要素の追加を可能にすることができる。更に、これらのシステム及び方法は、機密企業認証データへのアクセスをシステム外へ開放することで潜在的にセキュリティホールを生じることなく、企業の単一要素認証システムに２次認証要素の追加を可能にすることができる。

【0050】

図６は、本明細書に記載される及び／又は例示される実施形態のうちの１つ以上を実装することが可能な例示的なコンピューティングシステム６１０のブロック図である。例えば、コンピューティングシステム６１０の全て又は一部分は、単独で、又は他の要素と組み合わせて、本明細書に記載される受信、開始、阻止、リダイレクト、実施、取得、及び許可の工程のうちの１つ以上を実施し得る、及び／又は実施するための手段であり得る。コンピューティングシステム６１０の全て又は一部分はまた、本明細書に記載される及び／又は例示される任意の他の工程、方法、又は過程を実施し得る、及び／又は実施するための手段であってもよい。

【0051】

コンピューティングシステム６１０は、広範に、コンピュータ可読命令を実行することが可能な任意の単一又は複数プロセッサのコンピューティングデバイス又はシステムを表し得る。コンピューティングシステム６１０の実施例は、これに限定されないが、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、携帯デバイス、又は任意の他のコンピューティングシステム若しくはデバイスを含む。その最も基本的な構成において、コンピューティングシステム６１０は、少なくとも１つのプロセッサ６１４及びシステムメモリ６１６を含み得る。

【0052】

プロセッサ６１４は、概して、データを処理する又は命令を解釈及び実行することが可能な処理ユニットの任意のタイプ又は形態を表し得る。ある実施形態において、プロセッサ６１４は、ソフトウェアアプリケーション又はモジュールから命令を受信することができる。これらの命令は、プロセッサ６１４に、本明細書に記載及び／又は例示される例示的な実施形態のうちの１つ以上の機能を実施させ得る。

【0053】

システムメモリ６１６は、概して、データ及び／又は他のコンピュータ可読命令を記憶することが可能な揮発性又は非揮発性記憶デバイス又は媒体の任意のタイプ又は形態を表し得る。コンピューティングシステム６１６の実施例は、これに限定されないが、ランダムアクセスメモリ（ＲＡＭ）、読み取り専用メモリ（ＲＯＭ）、フラッシュメモリ、又は任意の他の好適なメモリデバイスを含む。必ずしも必要ではないが、ある実施形態において、コンピューティングシステム６１０は、揮発性メモリユニット（例えば、システムメモリ６１６など）及び非揮発性記憶デバイス（例えば、以下に詳細に説明される主要記憶デバイス６３２など）を含み得る。一実施例において、図１のモジュール１０２のうちの１つ以上は、システムメモリ６１６にロードされ得る。

【0054】

ある実施形態において、例示的なコンピューティングシステム６１０はまた、プロセッサ６１４及びシステムメモリ６１６に加えて、１つ以上の構成要素又は要素を含んでもよい。例えば、図６に例示されるように、コンピューティングシステム６１０は、通信基盤６１２を介して各々が相互接続され得る、メモリコントローラ６１８、入力／出力（Ｉ／Ｏ）コントローラ６２０、及び通信インタフェース６２２を含んでもよい。通信基盤６１２は、概して、コンピューティングデバイスの１つ以上の構成要素の間の通信を容易にすることが可能な基盤の任意のタイプ又は形態を表し得る。通信基盤６１２の実施例は、通信バス（ＩＳＡ、ＰＣＩ、ＰＣＩｅ、又は類似のバスなど）及びネットワークを含むが、これらに限定されない。

【0055】

メモリコントローラ６１８は、概して、コンピューティングシステム６１０の１つ以上の構成要素の間でメモリ若しくはデータの処理、又は通信の制御を行うことが可能なデバイスの任意のタイプ又は形態を表し得る。例えば、ある実施形態において、メモリコントローラ６１８は、通信基盤６１２を介して、プロセッサ６１４、システムメモリ６１６、及びＩ／Ｏコントローラ６２０の間の通信を制御することができる。

【0056】

Ｉ／Ｏコントローラ６２０は、概して、コンピューティングデバイスの入力及び出力機能を調整及び／又は制御することが可能なモジュールの任意のタイプ又は形態を表し得る。例えば、ある実施形態において、Ｉ／Ｏコントローラ６２０は、プロセッサ６１４、システムメモリ６１６、通信インタフェース６２２、ディスプレイアダプタ６２６、入力インタフェース６３０、及び記憶インタフェース６３４など、コンピューティングシステム６１０の１つ以上の要素の間のデータの転送を制御するか、又は容易にすることができる。

【0057】

通信インタフェース６２２は、広範に、例示的なコンピューティングシステム６１０と１つ以上の追加のデバイスとの間の通信を容易にすることが可能な通信デバイス又はアダプタの任意のタイプ又は形態を表し得る。例えば、ある実施形態において、通信インタフェース６２２は、コンピューティングシステム６１０と追加のコンピューティングシステムを含む私的又は公的なネットワークとの間の通信を容易にすることができる。通信インタフェース６２２の実施例は、これに限定されないが、有線ネットワークインタフェース（ネットワークインタフェースカードなど）、無線ネットワークインタフェース（無線ネットワークインタフェースカードなど）、モデム、及び任意の他の好適なインタフェースを含む。少なくとも１つの実施形態において、通信インタフェース６２２は、インターネットなど、ネットワークへの直接的な接続を介して、リモートサーバへ直接的な接続を提供し得る。通信インタフェース６２２はまた、例えば、ローカルエリアネットワーク（イーサネットネットワーク（「イーサネット」は登録商標、以下同じ）など）、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、携帯電話接続、衛星データ接続、又は任意の他の好適な接続を通じて、かかる接続を間接的に提供してもよい。

【0058】

ある実施形態において、通信インタフェース６２２はまた、外部バス又は通信チャネルを介してコンピューティングシステム６１０と１つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されるホストアダプタを表し得る。ホストアダプタの例としては、ＳＣＳＩホストアダプタ、ＵＳＢホストアダプタ、ＩＥＥＥ １３９４ホストアダプタ、ＳＡＴＡ及びｅＳＡＴＡホストアダプタ、ＡＴＡ及びＰＡＴＡホストアダプタ、ファイバチャネルインタフェースアダプタ、イーサネットアダプタなどが挙げられるが、これらに限定されない。通信インタフェース６２２はまた、コンピューティングシステム６１０が、分散型又はリモートコンピューティングに関与するのを可能にし得る。例えば、通信インタフェース６２２は、実行のためにリモートデバイスから命令を受信するか、又はリモートデバイスへ命令を送信することができる。

【0059】

図６に例示されるように、コンピューティングシステム６１０はまた、ディスプレイアダプタ６２６を介して通信基盤６１２に連結される少なくとも１つのディスプレイデバイス６２４を含んでもよい。ディスプレイデバイス６２４は、概して、ディスプレイアダプタ６２６によって転送された情報を視覚的に表示することが可能なデバイスの任意のタイプ又は形態を表し得る。同様に、ディスプレイアダプタ６２６は、概して、ディスプレイデバイス６２４上での表示のために、通信基盤６１２から（又は当該分野で周知のフレームバッファから）のグラフィック、テキスト、及び他のデータを転送するように構成されるデバイスの任意のタイプ又は形態を表し得る。

【0060】

図６に例示されるように、例示的なコンピューティングシステム６１０はまた、入力インタフェース６３０を介して通信基盤６１２に連結される少なくとも１つの入力デバイス６２８を含んでもよい。入力デバイス６２８は、概して、例示的なコンピューティングシステム６１０に、コンピュータ又は人間のいずれかが生成した入力を提供することが可能な入力デバイスの任意のタイプ又は形態を表し得る。入力デバイス６２８の実施例は、キーボード、指先指示デバイス、音声認識デバイス、又は任意の他の入力デバイスを含むが、これらに限定されない。

【0061】

図６に例示されるように、例示的なコンピューティングシステム６１０はまた、記憶インタフェース６３４を介して通信基盤６１２に連結される一次記憶デバイス６３２及びバックアップ記憶デバイス６３３を含んでもよい。記憶デバイス６３２及び６３３は、概して、データ及び／又は他のコンピュータ可読命令を記憶することが可能な記憶デバイス又は媒体の任意のタイプ又は形態を表し得る。例えば、記憶デバイス６３２及び６３３は、磁気ディスクドライブ（例えば、いわゆるハードドライブ）、ソリッドステートドライブ、フロッピーディスクドライブ（「フロッピー」は登録商標、以下同じ）、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インタフェース６３４は、概して、記憶デバイス６３２及び６３３とコンピューティングシステム６１０の他の構成要素との間でデータを転送するためのインタフェース又はデバイスの任意のタイプ又は形態を表してもよい。

【0062】

ある実施形態において、記憶デバイス６３２及び６３３は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成される取り外し可能な記憶ユニットから読み出す及び／又は取り外し可能な記憶ユニットに書き込むように構成されてもよい。好適な取り外し可能な記憶ユニットの例としては、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられるが、これらに限定されない。記憶デバイス６３２及び６３３はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令がコンピューティングシステム６１０にロードされることを可能にするための他の類似の構造又はデバイスを含んでもよい。例えば、記憶デバイス６３２及び６３３は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み出し、書き込むように構成され得る。記憶デバイス６３２及び６３３はまた、コンピューティングシステム６１０の一部であってもよく、又は他のインタフェースシステムを通じてアクセスされる別個のデバイスであってもよい。

【0063】

多くの他のデバイス又はサブシステムが、コンピューティングシステム６１０に接続され得る。反対に、本明細書に記載及び／又は例示される実施形態を実践するために、図６に例示される全ての構成要素及びデバイスが存在する必要はない。上に参照されるデバイス及びサブシステムはまた、図６に示されるものとは異なる方法で相互接続されてもよい。コンピューティングシステム６１０はまた、任意の数のソフトウェア、ファームウェア、及び／又はハードウェア構成を用いてもよい。例えば、本明細書に開示される例示的な実施形態のうちの１つ以上は、コンピュータ可読記憶媒体にコンピュータプログラム（コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される）としてコード化されてもよい。語句「コンピュータ可読記憶媒体」は一般的に、コンピュータ可読命令を記憶又は実施することができるあらゆる形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読記憶媒体の例としては、これらに限定されないが、搬送波などの伝送型媒体、並びに磁気記憶媒体（例えば、ハードディスクドライブ及びフロッピーディスク）、光記憶媒体（例えば、ＣＤ−又はＤＶＤ−ＲＯＭ）、電子記憶媒体（例えば、ソリッドステートドライブ及びフラッシュメディア）、及び他の分散システムなどの非一時的型媒体が挙げられる。

【0064】

コンピュータプログラムを含むコンピュータ可読記憶媒体は、コンピューティングシステム６１０にロードされ得る。コンピュータ可読記憶媒体上に記憶される全て又は一部分のコンピュータプログラムは、次いで、システムメモリ６１６並びに／又は記憶デバイス６３２及び６３３の多様な部分に記憶され得る。プロセッサ６１４により実行されると、コンピューティングシステム６１０にロードされたコンピュータプログラムは、プロセッサ６１４に、本明細書に記載及び／又は例示される例示的な実施形態のうちの１つ以上の機能を実施させ得る、及び／又は実施するための手段であり得る。加えて、又は代替的に、本明細書に記載及び／又は図示される例示的な実施形態のうちの１つ以上は、ファームウェア及び／又はハードウェアに実装されてもよい。例えば、コンピューティングシステム６１０は、本明細書に開示される例示的な実施−形態のうちの１つ以上を実装するように適合される、特定用途向け集積回路（ＡＳＩＣ）として構成されてもよい。

【0065】

図７は、クライアントシステム７１０、７２０、及び７３０、並びにサーバ７４０及び７４５が、ネットワーク７５０に連結され得る、例示的なネットワークアーキテクチャ７００のブロック図である。上に詳述されたように、ネットワークアーキテクチャ７００の全て又は一部分は、単独で、又は他の要素と組み合わせて、本明細書に開示される受信、開始、阻止、リダイレクト、実施、取得、及び許可の工程のうちの１つ以上を実施し得る、及び／又は実施するための手段であり得る。ネットワークアーキテクチャ７００の全て又は一部分はまた、本開示に記載される他の工程及び特性を実施するために使用され得る、及び／又は実施する手段であり得る。

【0066】

クライアントシステム７１０、７２０、及び７３０は、概して、図６の例示的なコンピューティングシステム６１０など、コンピューティングデバイス又はシステムの任意のタイプ又は形態を表し得る。同様に、サーバ７４０及び７４５は、概して、アプリケーションサーバ又はデータベースサーバなど、多様なデータベースサービスを提供する、及び／又はあるソフトウェアアプリケーションを起動するように構成される、コンピューティングデバイス又はシステムを表す。ネットワーク７５０は、概して、例えば、イントラネット、広域ネットワーク（ＷＡＮ）、ローカルエリアネットワーク（ＬＡＮ）、パーソナルエリアネットワーク（ＰＡＮ）、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。一実施例において、クライアントシステム７１０、７２０、及び／若しくは７３０、並びに／又はサーバ７４０及び／若しくは７４５は、図１からのシステム１００の全て又は一部分を含み得る。

【0067】

図７に例示されるように、１つ以上の記憶デバイス７６０（１）−（Ｎ）は、直接的にサーバ７４０に接続され得る。同様に、１つ以上の記憶デバイス７７０（１）−（Ｎ）は、直接的にサーバ７４５に接続され得る。記憶デバイス７６０（１）−（Ｎ）及び記憶デバイス７７０（１）−（Ｎ）は、概して、データ及び／又は他のコンピュータ可読命令を記憶することが可能な記憶デバイス又は媒体の任意のタイプ又は形態を表す。ある実施形態において、記憶デバイス７６０（１）−（Ｎ）及び記憶デバイス７７０（１）−（Ｎ）は、ＮＦＳ、ＳＭＢ、又はＣＩＦＳなど、多様なプロトコルを使用してサーバ７４０及び７４５と通信するように構成されるネットワーク接続記憶（ＮＡＳ）デバイスを表し得る。

【0068】

サーバ７４０及び７４５はまた、記憶エリアネットワーク（ＳＡＮ）ファブリック７８０に接続され得る。ＳＡＮファブリック７８０は、概して、複数の記憶デバイスの間の通信を容易にすることが可能なコンピュータネットワーク又はアーキテクチャの任意のタイプ又は形態を表す。ＳＡＮファブリック７８０は、サーバ７４０及び７４５と複数の記憶デバイス７９０（１）−（Ｎ）及び／又は知的記憶アレイ７９５との間の通信を容易にし得る。ＳＡＮファブリック７８０はまた、デバイス７９０（１）−（Ｎ）及びアレイ７９５が、クライアントシステム７１０、７２０、及び７３０にローカルで接続されたデバイスとして現れるような様式で、ネットワーク７５０並びにサーバ７４０及び７４５を介して、クライアントシステム７１０、７２０、及び７３０と記憶デバイス７９０（１）−（Ｎ）及び／又は知的記憶アレイ７９５との間の通信を容易にする可能性がある。記憶デバイス７６０（１）−（Ｎ）及び記憶デバイス７７０（１）−（Ｎ）と同様に、記憶デバイス７９０（１）−（Ｎ）及び知的記憶アレイ７９５は、概して、データ及び／又は他のコンピュータ可読命令を記憶することが可能な記憶デバイス又は媒体の任意のタイプ又は形態を表す。

【0069】

ある実施形態において、及び図６の例示的なコンピューティングシステム６１０を参照して、図６にある通信インタフェース６２２などの通信インタフェースは、各々のクライアントシステム７１０、７２０、及び７３０とネットワーク７５０との間の接続性を提供するために使用することができる。クライアントシステム７１０、７２０、及び７３０は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ７４０及び７４５上の情報にアクセスすることが可能であり得る。そのようなソフトウェアは、クライアントシステム７１０、７２０、及び７３０がサーバ７４０、サーバ７４５、記憶デバイス７６０（１）−（Ｎ）、記憶デバイス７７０（１）−（Ｎ）、記憶デバイス７９０（１）−（Ｎ）、又は知的記憶アレイ７９５によってホストされるデータにアクセスすることを可能にし得る。図７は、データを交換するためのネットワーク（インターネットなど）の使用を描写するが、本明細書に記載及び／又は例示される実施形態は、インターネット又は他の特定のネットワークに基づく環境に限定されない。

【0070】

少なくとも１つの実施形態において、本明細書に開示される例示的な実施形態のうちの１つ以上の全て又は一部分は、コンピュータプログラムとしてコード化され、サーバ７４０、サーバ７４５、記憶デバイス７６０（１）−（Ｎ）、記憶デバイス７７０（１）−（Ｎ）、記憶デバイス７９０（１）−（Ｎ）、知的記憶アレイ７９５、又はそれらの任意の組み合わせ上にロードされ、それによって実行され得る。本明細書に開示される例示的な実施形態のうちの１つ以上の全て又は一部分は、コンピュータプログラムとしてコード化され、サーバ７４０に記憶され、サーバ７４５によって起動され、ネットワーク７５０を通じてクライアントシステム７１０、７２０、及び７３０に分散され得る。

【0071】

上に詳述されるように、コンピューティングシステム６１０及び／又はネットワークアーキテクチャ７００の１つ以上の構成要素は、単独で、又は他の要素と組み合わせて、多要素認証を実施するための例示的な方法の１つ以上の工程を実施し得る、及び／又は実施するための手段であり得る。

【0072】

前述の開示は、特定のブロック図、フローチャート、及び実例を使用して様々な実施形態を記載するが、本明細書に記載及び／又は図示される各ブロック図の構成要素、フローチャートの工程、動作、及び／又は構成要素は、様々なハードウェア、ソフトウェア、又はファームウェア（又はこれらの任意の組み合わせ）構成を使用して、個別及び／又は集合的に実装されてもよい。加えて、他の構成要素内に含まれた構成要素のあらゆる開示は、多くの他のアーキテクチャが同じ機能を達成するために実装され得ることにより、本質的に例示的であると考慮されるべきである。

【0073】

一部の実施例において、図１の例示的なシステム１００の全て又は一部分は、クラウドコンピューティング又はネットワークに基づく環境の部分を表し得る。クラウドコンピューティング環境は、インターネットを介して様々なサービス及びアプリケーションを提供することができる。これらのクラウドベースのサービス（例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など）は、ウェブブラウザ又は他のリモートインタフェースを介してアクセス可能であってもよい。本明細書に記載される様々な機能は、リモートデスクトップ環境又は任意の他のクラウドベースのコンピューティング環境を通じて提供されてもよい。

【0074】

本明細書に記載及び／又は図示される工程のプロセスパラメータ及びシーケンスは、例としてのみ付与され、必要に応じて変更され得る。例えば、本明細書に図示及び／又は記載される工程は、特定の順序で示され、又は考察され得るが、これらの工程は、図示され、又は考察される順序で実行される必要は必ずしもない。本明細書に記載及び／又は図示される様々な例示的な方法はまた、本明細書に記載及び／又は図示される工程のうちの１つ以上を省略するか、又は開示されるものに加えて追加の工程を含むことができる。

【0075】

様々な実施形態は、完全に機能的なコンピューティングシステムとの関連で本明細書に記載及び／又は図示されているが、これらの例示的な実施形態のうちの１つ以上は、実際に配布を実行するために使用される特定のタイプのコンピュータ可読記憶媒体にかかわらず、様々な形態でプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実行するソフトウェアモジュールを使用して実装されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体に、又はコンピューティングシステム内に記憶され得るスクリプト、バッチ、又は他の実行可能なファイルを含むことができる。いくつかの実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態のうちの１つ以上を実行するようにコンピューティングシステムを構成することができる。

【0076】

加えて、本明細書に記載されるモジュールのうちの１つ以上は、データ、物理的デバイス、及び／又は物理的デバイスの表現をある形態から別の形態に変換することができる。例えば、本明細書に列挙されるモジュールのうちの１つ以上は、コンピューティングデバイスを、多要素認証を実施するためのデバイスに変換することができる。別の例としては、本明細書に記載されるモジュールのうちの１つ以上は、企業を、多要素認証を有する企業に変換することができる。

【0077】

前述の説明は、当業者が本明細書に開示される例示的な実施形態の様々な態様を最良に利用するのを可能にするために提供されている。この例示的な説明は、包括的であるか、又は開示されるあらゆる正確な形態に限定されることを意図しない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないと見なされるべきである。本開示の範囲を決定する際に添付の特許請求の範囲及びその等価物を参照するべきである。

【0078】

特に記載されない限り、用語「１つ（ａ）」又は「１つ（ａｎ）」は本明細書及び特許請求の範囲に使用される際、「少なくとも１つの（at least one of）」を意味すると解釈されるべきである。加えて、使いやすさのために、語「含む（including）」及び「有する（having）」は、本明細書及び特許請求の範囲に使用される際、語「含む、備える（comprising）」と同義的であり、それと同じ意味を有する。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】