ホーム > 特許ランキング > ザ・ボーイング・カンパニー
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6981824
(24)【登録日】2021年11月22日
(45)【発行日】2021年12月17日
(54)【発明の名称】共通認証管理サービス
(51)【国際特許分類】
G06F 21/62 20130101AFI20211206BHJP
G06F 21/41 20130101ALI20211206BHJP
G06Q 50/10 20120101ALI20211206BHJP
【FI】
G06F21/62
G06F21/41
G06Q50/10
【請求項の数】10
【外国語出願】
【全頁数】19
(21)【出願番号】特願2017-174640(P2017-174640)
(22)【出願日】2017年9月12日
(65)【公開番号】特開2018-92600(P2018-92600A)
(43)【公開日】2018年6月14日
【審査請求日】2020年8月25日
(31)【優先権主張番号】15/353,122
(32)【優先日】2016年11月16日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】500520743
【氏名又は名称】ザ・ボーイング・カンパニー
【氏名又は名称原語表記】The Boeing Company
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(74)【代理人】
【識別番号】100163522
【弁理士】
【氏名又は名称】黒田 晋平
(74)【代理人】
【識別番号】100154922
【弁理士】
【氏名又は名称】崔 允辰
(72)【発明者】
【氏名】マーティン・シュリーフ
(72)【発明者】
【氏名】アンソニー・アンドリュー・クロバ
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特開2002−334062(JP,A)
【文献】
特開2013−171349(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G06F 21/31−21/46
G06Q 50/10
(57)【特許請求の範囲】
【請求項1】
複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するための方法(700)であって、
共通認証管理(CAM)サービスが、企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信するステップ(701)と、
前記CAMサービスが、セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別する、ステップ(702)と、
前記CAMサービスが、受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、受信した前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択するステップ(703)と、
前記CAMサービスが、前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)と、
を含む、方法。
共通認証管理(CAM)サービスが、企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信するステップ(701)と、
前記CAMサービスが、セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別する、ステップ(702)と、
前記CAMサービスが、受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、受信した前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択するステップ(703)と、
前記CAMサービスが、前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)と、
を含む、方法。
【請求項2】
前記セキュリティ・データは各サービス・プロバイダの管理者により定義されたデータである、請求項1に記載の方法。
【請求項3】
企業の1つまたは複数の個人を含むように生成された複数のグループは、前記企業の管理者(801)により作成されるように構成され、セキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人に提供される、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力は、前記企業の管理者(801)により定義されるように構成される、請求項1または2に記載の方法。
【請求項4】
企業(201、208、215)の1つまたは複数の個人(202乃至204、209乃至211、216乃至218)を含むように生成された複数のグループ(205乃至207、212乃至214、219乃至221)は、1つまたは複数の個人を追加することができるように構成され、または1つまたは複数の個人を前記複数のグループから除去するように構成される、請求項1乃至3の何れか1項に記載の方法。
【請求項5】
複数のサービス・プロバイダ(230、239、248)により提供される1つまたは複数のサービス(223乃至225、232乃至234、241乃至243)に個人がアクセスするのを認証するためのシステム(100)であって、前記システムは少なくとも1つのプロセッサ(802)およびメモリ(804)を備え、前記少なくとも1つのメモリは前記少なくとも1つのプロセッサに通信可能に接続され、前記少なくとも1つのメモリは、前記少なくとも1つのプロセッサにより実行されたとき、前記システムに、
企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信し、
セキュリティ・データを複数のサービス・プロバイダから受信し、
受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、受信した前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択し、
前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けさせる
コンピュータ可読命令を含み、
前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別するように構成される、
システム。
企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信し、
セキュリティ・データを複数のサービス・プロバイダから受信し、
受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、受信した前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択し、
前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けさせる
コンピュータ可読命令を含み、
前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別するように構成される、
システム。
【請求項6】
前記セキュリティ・データは各サービス・プロバイダの管理者により定義されたデータである、請求項5に記載のシステム。
【請求項7】
企業の1つまたは複数の個人を含むように生成された複数のグループは、1つまたは複数の個人を追加することができるように構成され、または1つまたは複数の個人を前記複数のグループから除去することができるように構成される、請求項5または6に記載のシステム。
【請求項8】
複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するためのコンピュータ可読媒体であって、コンピュータで実行されたとき、前記コンピュータに、
企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信するステップ(701)と、
セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別する、ステップ(702)と、
受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択するステップ(703)と、
前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)と、
を含む動作を実施させるコンピュータ実行可能命令を含む、コンピュータ可読媒体。
企業の1つまたは複数の個人を含むように生成された複数のグループに関するデータを受信するステップ(701)と、
セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、前記セキュリティ・データは、前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスのうちどれが前記企業に利用可能であるかを識別する、ステップ(702)と、
受信した前記複数のグループに関するデータ及び受信した前記セキュリティ・データに基づき、受信した前記セキュリティ・データのうち、前記複数のグループのサブセットによるアクセスに利用可能な前記セキュリティ・データのサブセットを選択するステップ(703)と、
前記選択されたセキュリティ・データの前記サブセットに基づいて、前記複数のグループの前記サブセット内の個人を前記複数のサービス・プロバイダの各々により提供される前記1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)と、
を含む動作を実施させるコンピュータ実行可能命令を含む、コンピュータ可読媒体。
【請求項9】
前記セキュリティ・データは各サービス・プロバイダの管理者により定義されたデータである、請求項8に記載のコンピュータ可読媒体。
【請求項10】
企業の1つまたは複数の個人を含むように生成された複数のグループは、1つまたは複数の個人を追加することができるように構成され、または1つまたは複数の個人を前記複数のグループから除去することができるように構成される、請求項8または9に記載のコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は一般に、しかし排他的にではなく、サービス・プロバイダにより提供された利用可能サービスを複数の企業に雇われている個人に移譲するように構成されたコンピューティング環境に関し、より詳細にはこれらの企業の各々の個人の間のアクセス権限を、サービス・プロバイダにより提供された1つまたは複数のサービスで確立することに関する。
【背景技術】
【0002】
複数のサービス・プロバイダ内のサービスに個人がアクセスするための管理認証(例えば、アクセス権限)を管理することは歴史的に困難な課題である。換言すれば、各企業での個人およびそれらのそれぞれの役割の追跡と、各個人が特定のサービスに対してどのアクセスのレベルを有すべきかは、管理者が管理するには厄介である。
【発明の概要】
【課題を解決するための手段】
【0003】
本要約は、概念の選択を、詳細な説明でさらに以下で説明される簡単な形で導入するために提供される。本要約は、当該クレームした主題の主要な特徴または本質的な特徴を特定しようとするものではなく、当該クレームした主題の当該範囲を限定するために使用されるものでもない。
【0004】
以下で説明する例示的な例はコンピューティング環境に対する改善された方法を少なくとも1つの企業に提供する。各企業は、複数のサービス・プロバイダ内の1つまたは複数のサービスへのアクセスを取得することを求めるグループ化された個人を含む。一般に、或る企業の管理者は、当該企業と関連してサービス・プロバイダにより提供されるサービスへの個々のアクセス権限を管理する権限を有する。しかし、管理者はしばしば、各個人に対するアクセス権限を割り当てるためのサービス・プロバイダにより提供された管理ツールに精通していない。幾つかのインスタンスにおいて、管理者にはしばしば、複数のサービス・プロバイダでの個人に対するアクセス権限を関連付ける作業が与えられる。これに基づいて、管理者は、当該役割を理解し個人のポリシにアクセスすることを要求されるのみならず、それら自身の企業と複数のサービス・プロバイダの両方においてどのように管理ツールを使用するかも理解することを要求される。
【0005】
したがって、1企業内の個人のグループの間のアクセス権限を、複数のサービス・プロバイダにより提供された1つまたは複数のサービスで確立するためのコンピューティング環境に対する改善された方法は有利であろう。即ち、サービス・プロバイダ管理者が企業管理者と対話しアクセス権限を個人に関連付けるタスクを企業管理者に移譲できるように、ウェブ・インタフェースで構成された共通認証管理(CAM)サービスを改善されたコンピューティング環境が含む。当該複数のサービス・プロバイダ内の1つまたは複数のサービスへのアクセス権限を識別するセキュリティ・データがそのように移譲されると、企業管理者は、CAMサービスを介して、当該企業からの個人のグループのサブセットを、当該複数のサービス・プロバイダにより提供された特定のサービスへのアクセス権限に関連付けることができる。CAMサービスは、したがって、異なる個人に対する複数のアクセス権限の管理に関連付けられた複雑性および非効率性を大幅に削減する対話的サービスを企業およびサービス・プロバイダ管理者に提供する。
【0006】
本開示の例示的な例では、企業内の個人と複数のサービス・プロバイダ内の1つまたは複数のサービスとの間のアクセスを確立するための方法、システム、およびコンピュータ可読媒体が提供される。1つの特定の実装に従って方法が本明細書で開示される。進歩的な方法の1例は、企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データを複数のサービス・プロバイダから受信するステップとを含む。当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される1つまたは複数のサービスへのアクセスを識別する。さらに、進歩的な方法は、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするために利用可能な当該セキュリティ・データのサブセットを決定するステップと、当該グループに関連付けられたセキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップとを含む。
【0007】
別の特定の実装によれば、システムは少なくともプロセッサおよびメモリを含む。当該メモリは、当該少なくとも1つのプロセスにより実行されると、当該システムに、企業の1つまたは複数の個人を含むように複数のグループを生成し、セキュリティ・データを複数のサービス・プロバイダから受信させる当該少なくとも1つのプロセッサおよびコンピュータ可読命令に通信可能に接続される。当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される1つまたは複数のサービスへのアクセスを識別する。さらに、当該システムはさらに、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするために利用可能な当該セキュリティ・データのサブセットを決定し、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるように構成される。
【0008】
さらに別の特定の実装によれば、コンピュータ可読媒体は、コンピュータで実行されると、当該コンピュータに、企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データを複数のサービス・プロバイダから受信するステップとを含む動作を実施させるコンピュータ実行可能命令を有する。当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される1つまたは複数のサービスへのアクセスを識別する。当該コンピュータ可読媒体はまた、コンピュータで実行されると、さらに当該コンピュータに、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするために利用可能な当該セキュリティ・データのサブセットを決定するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップとを含む動作を実施させる命令を含む。
【0009】
以上の要約および以下の詳細な説明は、添付図面と関連して読んだときより良く理解される。本開示を示すために、本開示の様々な態様が示される。しかし、本開示は論じられた当該特定の態様に限定されない。以下の図面が含まれる。
【図面の簡単な説明】
【0010】
【図1】共通認証管理(CAM)サービスを介して複数のサービス・プロバイダと接続する少なくとも1つの企業のコンピューティング環境を示す図である。
【図2】個人のグループを企業から複数のサービス・プロバイダ内の1つまたは複数のサービスに関連付ける図である。
【図3】個人の特定のグループにアクセス可能な1つまたは複数のサービスの例を示す図である。
【図4】CAMサービスから取得されセキュリティ・アサーション・マークアップ・ランゲージ(SAML)内でサービス・プロバイダに運搬されるセキュリティ・データにより決定されるように、個人が認証サービスで認証しついで1つまたは複数のサービスにサービス・プロバイダからアクセスする例示的な方法を示す図である。
【図5A】サービス・プロバイダにより発行された要求に応答してCAMサービスから取得されたセキュリティ・データにより決定されるように、個人がサービス・プロバイダで認証しついで1つまたは複数のサービスにサービス・プロバイダからアクセスする例示的な方法を示す図である。
【図5B】サービス・プロバイダにより発行された要求に応答してCAMサービスから取得されたセキュリティ・データにより決定されるように、個人が認証サービスで認証しついで1つまたは複数のサービスにサービス・プロバイダからアクセスする例示的な方法を示す図である。
【図6A】サービス・プロバイダのデータ・ストア内のセキュリティ・データにより決定されるように、CAMサービスを介してサービス・プロバイダに定期的に同期され、その後、サービス・プロバイダで認証するユーザが1つまたは複数のサービスにサービス・プロバイダからアクセスできるセキュリティ・データを示す図である。
【図6B】サービス・プロバイダのデータ・ストア内のセキュリティ・データにより決定されるように、CAMサービスを介してサービス・プロバイダに定期的に同期され、その後、SAMLアサーションで認証するユーザが1つまたは複数のサービスにサービス・プロバイダからアクセスできる、セキュリティ・データを示す図である。
【図7】CAMサービスを介して、少なくとも1つの企業内のグループ化された個人に対するアクセスを複数のサービス・プロバイダ内の1つまたは複数のサービスで確立する例示的な方法の流れ図である。
【図8】企業およびサービス・プロバイダの間のアクセスを確立するように構成されたコンピューティング・デバイスを有するシステムの例示的な略図である。
【発明を実施するための形態】
【0011】
上で簡単に説明したように、本発明の例は、コンピューティング環境に関し、特に少なくとも1つの企業内の個人のグループの間のアクセスを、複数のサービス・プロバイダにより提供された1つまたは複数のサービスで確立するためのコンピューティング環境における改善された方法に関する。本明細書で説明する様々な例では、共通認証管理(CAM)サービスが提供される。CAMサービスは、或るサービス・プロバイダの管理者が、サービス・プロバイダでの1つまたは複数のサービスへのアクセス権限を識別するセキュリティ・データを定義することを可能とする。CAMサービスはまた、或るサービス・プロバイダの管理者が、当該セキュリティ・データのサブセットを少なくとも1つの企業に移譲することを可能とする。セキュリティ・データが企業に移譲されると、当該企業の管理者は、当該セキュリティ・データを当該企業のグループのサブセットに関連付けてもよい。当該企業のグループのサブセットはアクセス権限を確立し、その結果、企業からの個人の各グループは当該1つまたは複数の利用可能サービスに当該複数のサービス・プロバイダからアクセスすることができる。CAMサービスにより当該企業の管理者は、個人の特定のグループから個人を割り当てる(割当て解除する)ことができる。
【0012】
図1を参照すると、少なくとも1つの企業101乃至103および複数のサービス・プロバイダ109乃至112でコンピューティング環境100が示されている。さらに、図1は、企業101乃至103および複数のサービス・プロバイダ109乃至112から情報を受信するように構成された共通認証管理(CAM)サービス150を示す。CAMサービス150が、コンピューティング環境100が実施するためのタスクと管理者またはユーザが対話し指示できるようにするウェブ・インタフェースで構成される。
【0013】
図2乃至7で以下でより詳細に説明するように、各企業101乃至103の管理者は、CAMサービス150を介して、同一の企業内から特定の個人をグループ化することができる。即ち、各企業の管理者は、それらの判断により、それら自身の企業に意味があるかまたは重要である特定の企業グループを決定することができる。さらに、CAMサービス150はさらに、セキュリティ・データを複数のサービス・プロバイダ109乃至112から受信するように構成される。CAMサービス150は、当該セキュリティ・データのどのサブセットがどの企業によるアクセスに利用可能であるかを示す情報を受信するように構成される。換言すれば、サービス・プロバイダ109乃至112の管理者は、セキュリティ・データを各企業の個人に関連付けるタスクを企業101乃至103の管理者に移譲してもよい。
【0014】
この情報に基づいて、企業の管理者はついでセキュリティ・データを当該企業の個人のグループのサブセットに関連付けることができ、それにより当該グループ内の個人は、サービス・プロバイダ109乃至112により提供された1つまたは複数のサービスにアクセスすることができる。換言すれば、もともと企業101乃至103の管理者により生成された当該複数のグループのサブセット内の個人は、複数のサービス・プロバイダ109乃至112の各々により提供された特定のサービスにアクセスする能力で構成される。
【0015】
幾つかのインスタンスでは、CAMサービス150は、当該企業およびサービス・プロバイダとは別のサービスからアクセス可能であってもよい。さらに別のインスタンスでは、CAMサービス150は、コンピューティング環境100内の企業のシステム101乃至103またはサービス・プロバイダ109乃至112の何れか1つに直接的にインストールされてもよい。
【0016】
図2は、個人202乃至204、209乃至211、216乃至218のグループを少なくとも1つの企業201、208、215から複数のサービス・プロバイダ230、239、248内の1つまたは複数のサービス223乃至225、232乃至234、241乃至243に関連付ける図を示す。例えば、企業A201の管理者は、(図2では示さないが図1に示す)CAMサービスを介して、企業A201の技術者である個人202を「技術者」205と呼ばれるグループに割り当てることができる。別のインスタンスでは、当該管理者は、企業A201の特定の個人204を「スーパバイザ」207と呼ばれるグループに割り当ててもよい。本質的には、当該管理者は、異なる基準に基づいて個人202乃至204、209乃至211、219乃至221のグループを動的に生成し修正する能力を有する。即ち、当該管理者は、企業の各グループ内の個人を任意の時点で追加または削除することができる。各グループに対する個人の数は変化してもよい(例えば、グループはたった1人の個人を含んでもよく、グループは複数人の個人を含んでもよく、またはグループは個人を含まなくてもよい)。
【0017】
グループ205乃至207、212乃至214、219乃至221が生成された後、企業の管理者は、ついで当該企業に移譲されたセキュリティ・データ222、231、240を当該企業の各グループに関連付けることができ、それにより、複数のサービス・プロバイダ230、239、248により提供された少なくとも1つまたは複数のサービス223乃至225、232乃至234、241乃至243にアクセスするためのアクセス権限または能力を確立する。
【0018】
図2のサービス・プロバイダ230、239、248はセキュリティ・データ222、231、240をCAMサービスに送信するように構成される。セキュリティ・データ222、231、240は、複数のサービス・プロバイダ221、228、235内の1つまたは複数のサービス223乃至225、232乃至234、241乃至243のアクセス可能性を識別する情報を含む。特に、セキュリティ・データ222、231、240はまず、サービス・プロバイダ230、239、248の管理者により定義されることができる。当該セキュリティ・データは、提供された1つまたは複数のサービス223乃至235、232乃至234、241乃至243のどれが企業201、208、215に利用可能であるかを識別する情報を含む。換言すれば、複数のサービス・プロバイダ221、228、235からのサービス223乃至235、232乃至234、241乃至243の利用可能性に関する情報がCAMサービスに送信され、その結果、企業201、208、215の管理者は、個人202乃至204、209乃至211、216乃至218のグループに、これらのサービス223乃至235、232乃至234、241乃至243にアクセスするための能力を関連付け、マッチし、またはマップすることができる。言い換えると、サービス・プロバイダ230、239、248の各々は、特定の企業への権限付与226、235、244を定義することができる。これらの権限付与226、235、244に基づいて、CAMサービスに送信されたセキュリティ・データ222、231、240は本質的に、セキュリティ・データのサブセットに関連付けられることができる企業を識別する。
【0019】
より具体的には、セキュリティ・データがCAMサービスで受信されると、企業201、208、215の各々の管理者は、当該グループのサブセットを決定し、当該グループのサブセットを当該セキュリティ・データのサブセットに関連付けてアクセスを確立することができる。それに続いて、企業201、208、215の各々の管理者はついで、当該グループのサブセット内の個人202乃至204、209乃至211、216乃至218を、1つまたは複数のサービス223乃至235、232乃至234、241乃至243にアクセスするための能力に関連付けることができる。換言すれば、企業201、208、215の各々の管理者は、企業201、208、215の各々に配置された幾つかのグループ205乃至207、212乃至214、219乃至221に、当該受信されたセキュリティ・データに基づいて複数のサービス・プロバイダ230、239、248内の1つまたは複数のサービス223乃至235、232乃至234、241乃至243にアクセスするための能力を提供する。
【0020】
図3は、図2に示すように個人301乃至309の特定のグループにアクセス可能な1つまたは複数のサービス310乃至318を示す。図2で説明するように、各企業の管理者は、CAMサービスを用いるが、先ず個人を企業のグループ301乃至309に割り当てる。そして、セキュリティ・データがCAMサービスで受信されたとき、各企業の管理者は、当該複数のグループから特定のグループによりアクセスするために利用可能な当該セキュリティ・データのサブセットを決定する。各企業の管理者は、ついで当該セキュリティ・データのサブセットを当該複数のグループのサブセットに関連付けることができる。それにより、各企業の管理者は、個人301乃至309を、アクセス可能な当該複数のサービス・プロバイダ内の1つまたは複数のサービス310乃至318を識別するセキュリティ・データに関連付けることができる。例えば、図3において、グループ「技術者」301に、「Read Stuff」310のようなサービスにサービス・プロバイダA230(図2に示す)からアクセスし、サービス・プロバイダB239(図2に示す)内で「AAA」316を実施し、サービス・プロバイダC248(図2に示す)内で「App1」318を使用する能力が提供される。別の例では、図3は、グループ「Designers」304に、サービス・プロバイダA230(図2に示すように)内の「Read Stuff」310のサービスのみにアクセスするが、サービス・プロバイダA230内の他のサービス、または任意の他のサービス・プロバイダ239、248からのサービスにはアクセスしない能力が提供されることを示す。
【0021】
図1乃至3で上述したように、CAMサービスは、各企業の管理者に、企業の各個人に対するサービスへのアクセス権限を効率的に管理する能力を提供するように構成される。各企業の個人のグループに対してアクセス権限が確立されると、そのグループ内の個人はこれらのサービスへのアクセスを求めてもよい。CAMサービスは、各企業に対するこれらの確立されたアクセス権限に関する情報(例えば、セキュリティ・データ)を受信し格納する。したがって、図4乃至6は、アクセス権限が図1乃至3で説明するように確立された後、少なくとも1つのサービス・プロバイダから少なくとも1つのサービスへのアクセスを求める個人の例示的な方法を示す。
【0022】
図4は、共通認証管理(CAM)サービス403から取得されセキュリティ・アサーション・マークアップ・ランゲージ(SAML)内でサービス・プロバイダ404に運搬されるセキュリティ・データにより決定されるように、個人401が認証サービスで認証しついで1つまたは複数のサービスにサービス・プロバイダ404からアクセスする例示的な方法400である。特に、図4は、企業の個人401がサービス・プロバイダ404内のサービスへのアクセスを求めることを示す。当該個人はまず、当該ターゲット・サービス・プロバイダに関するユーザID、パスワード、および情報を提供する。SAML可能認証サービス(AS)402は、当該ユーザIDとパスワードを許可し、認証し、または検証する。ASはついで当該認証されたユーザIDおよびターゲット・サービス・プロバイダ情報をCAMサービス403に転送する(406)。代替的には、ASは、当該ユーザIDの代わりに当該個人の顧客グループIDを提供することができる。これは、CAMシステムにおいてグループ・メンバーシップを管理する必要性を軽減し、ASがそのグループ/役割管理能力を利用できるようにすることができる。
【0023】
CAMサービス403が当該ユーザIDを受信すると、CAMサービス403は、当該個人の確立されたアクセス権限に関する情報をサービス・プロバイダのサービス407に返すように構成される。即ち、CAMサービス403は、サービス・プロバイダ404内のサービスへのアクセス権限を当該個人が有するかどうかを示す情報(例えば、セキュリティ・データ)を提供する。当該セキュリティ・データは、個人がサービスへのアクセス権限を有するかどうかの、特権、認証、または権限付与のような情報を提供する。セキュリティ・データは、クレーム、アサーション、セキュリティ・トークン、またはSAMLアサーションの形であってもよい。
【0024】
引き続いて、AS402は、当該サービスへの個人のアクセス権限に関する関連情報全てを運搬するSAMLアサーションで当該個人のブラウザをサービス・プロバイダのブラウザにリダイレクトする(408)。ブラウザはついでサービス・プロバイダのウェブサイトに転送され、サービス・プロバイダ404が当該SAMLアサーションを検証し、サービス・プロバイダ404内のサービスへの個人アクセス409を可能とするかどうかを検討する。判定が行われると、サービス・プロバイダ404はついで適切な応答を当該個人のブラウザ410に送信する。特に、当該適切な応答は、当該個人が当該サービスにアクセスするのを許可することまたは当該個人が当該サービスにアクセスするのを許可しないことのような応答を含んでもよい。
【0025】
図5Aは、サービス・プロバイダ503により発行された要求に応答してCAMサービス502から取得されたセキュリティ・データにより決定されるように、個人501がサービス・プロバイダ503で認証し、ついで1つまたは複数のサービスにサービス・プロバイダ503からアクセスする例示的な方法500を示す。即ち、当該個人のユーザIDおよびパスワードが、最初にASまたはCAMサービスを通じて処理されることなく、サービス・プロバイダ504に直接送信される。サービス・プロバイダ503がこの情報を受信する。サービス・プロバイダ503はついでこの情報を認証、許可、または検証し、ついでこの認証されたユーザのユーザIDをCAMサービス502に送信して当該個人のアクセス権限(例えば、クレームまたはセキュリティ・トークン)505を要求する(これは、当該個人のサービス・プロバイダのユーザIDのマッピングがCAM内の同一の個々のアイデンティティであることを想定している)。上述のように、CAMサービス502は、サービス・プロバイダ503により提供された1つまたは複数のサービスにアクセスする能力を各個人が有するかどうかを示す情報を含む。
【0026】
さらに図5Aを参照すると、当該個人がアクセス権限506を有するかどうかに関する情報をCAMサービス502が提供すると、サービス・プロバイダ503が個人501に応答する。即ち、サービス・プロバイダ503が適切な応答を個人501に送信する(507)。再度、当該適切な応答は、当該個人が当該サービスにアクセスするのを許可することまたは当該個人が当該サービスにアクセスするのを許可しないことのような応答を含む。
【0027】
図5Bは、サービス・プロバイダ554により発行された要求に応答して共通認証管理(CAM)サービス553から取得されたセキュリティ・データにより決定されるように、個人551が認証サービスで認証し、ついで1つまたは複数のサービスにサービス・プロバイダ554からアクセスする例示的な方法550を示す。図5Bに示す例示的な方法550は、図5Aに関して上述した例示的な方法と同様である。相違点は、図5Bでは、ユーザIDおよびパスワードが最初にSAML可能認証サービス(AS)552で検証され、認証され、または許可される(555)ことである。AS552は当該個人にSAMLアサーション556を提供する。サービス・プロバイダ554がこの情報(例えば、SAMLアサーションおよび当該個人のアイデンティティ)を受信すると、サービス・プロバイダ554は、557で受信されたSAMLアサーションから取得された当該個人のアイデンティティに基づいてこの個人551に対するアクセス権限をCAMサービス553に要求する。換言すれば、当該受信されたSAMLアサーションを検証した後(557)、サービス・プロバイダは、当該ユーザのアイデンティティ(例えば、ユーザID)を当該SAMLアサーションから取得し、サービス・コール(例えば、RESTfulまたはシンプル・オブジェクト・アクセス・プロトコル)をCAMに対して生成して、サービス・プロバイダに関連するそのユーザのクレームを要求する。これに基づいて、適切な応答がついで個人560に転送される。
【0028】
図6Aは、サービス・プロバイダ603のデータ・ストア604内のセキュリティ・データにより決定されるように、CAMサービス602を介してサービス・プロバイダ603に定期的に同期され、その後サービス・プロバイダ603で認証したユーザ601が1つまたは複数のサービスにサービス・プロバイダ603からアクセスするセキュリティ・データを表す図600を示す。図1乃至3で上述したように、アクセス権限がまず、複数のサービス・プロバイダ内の特定のサービスを使用する権限をどの個人のグループが有するかを判定するために確立される。これが行われた後、CAMサービス602を、個人605の各グループに対する確立されたアクセス権限に関する情報をサービス・プロバイダ603に定期的にプッシュまたは送信するように構成することができる。特に、CAMサービス602は定期的に(または指示されたとき)、セキュリティ・データ(例えば、セキュリティ・トークンまたはクレーム)をサービス・プロバイダ603にプッシュする。サービス・プロバイダ603は、これらのセキュリティ・トークンまたはクレームを格納するように構成されたアイデンティティ・データ・ストア604を含んでもよい。したがって、個人601がアクセス606を要求し、サービス・プロバイダ603にユーザIDおよびパスワードを提供するとき、サービス・プロバイダ603は、ユーザのクレームをデータ・ストア604に要求してもよく(607)、データ・ストア604が当該ユーザのクレームに応答する。これは、サービス・プロバイダ603内の当該サービスに対して要求側の個人601がアクセス権限を有するかどうかを判定する(607、608)。この判定に基づいて、適切な応答がついで個人601に送信し戻される(609)。
【0029】
図6Bは、サービス・プロバイダ654のデータ・ストア655内のセキュリティ・データにより決定されるように、CAMサービス653を介してサービス・プロバイダに定期的に同期され、その後、SAMLアサーションで認証したユーザ651が1つまたは複数のサービスにサービス・プロバイダ654からアクセスできるセキュリティ・データを表す図650を示す。図6Bは上述した図6Aと同様な例示的な方法を示すが、図6Bは、まず個人651に対するSAML可能認証サービス(AS)652での決定656、658を含む。上で分析したように、AS652は、アクセスを要求する個人651に対するSAMLアサーションをまず提供するように構成される。これは、個人651がサービス・プロバイダ654内のサービスにアクセスできるかどうかをサービス・プロバイダ654が判定する660、661前に行われる。この判定に基づいて、適切な応答がついで個人651に送信し戻される(662)。
【0030】
図7は、少なくとも1つの企業内のグループ化された個人に対するCAMサービスを介して複数のサービス・プロバイダ内の1つまたは複数のサービスとのアクセスを確立する例示的な方法の流れ図700である。ブロック701で、企業の管理者は、CAMサービスを介して、当該企業での個人のグループを生成する。即ち、当該企業の管理者は、当該企業に対して有意なまたは重要な企業グループに個人を統合する。例えば、企業Aの全ての技術者は「技術者」グループにグループ化される。当該「技術者」グループ内のこれらの個人はついで、当該グループ内のこれらの個人が複数のサービス・プロバイダ内の特定のサービスにアクセスする能力を有するように、セキュリティ・データのサブセットに関連付けられる。
【0031】
ブロック702で、サービス・プロバイダ管理者には、利用可能とされ、どの企業が当該サービスにアクセスできるかを示す情報を含むセキュリティ・データ(例えば、セキュリティ・トークンまたはクレーム)を定義する作業を与えられる。このセキュリティ・データが引き続いてCAMサービスに送信される。さらに、ブロック703で示すように、サービス・プロバイダ管理者はまた、当該セキュリティ・データのサブセットを各企業に関連付ける責任を企業管理者に移譲することができる。換言すれば、CAMサービスで、当該セキュリティ・データのサブセットを、当該複数のグループのサブセットによるアクセスのために利用可能とできるかどうかの判定を行うことができる。
【0032】
ブロック704で、CAMサービスは、ウェブ・インタフェースを介して、セキュリティ・データのどのサブセットがどの企業によりアクセスするために利用可能であるかに関する情報を企業管理者に提供するように構成される。即ち、サービス・プロバイダは、どの企業が当該サービスへのアクセス権限を有しうるかを示し、企業管理者が参照し管理できるようにこの情報をCAMサービスにプッシュする。
【0033】
換言すれば、ブロック704で、CAMサービスは、セキュリティ・データを当該複数のサービス・プロバイダから受信し、企業管理者は、CAMサービスのインタフェースを介して、当該複数の企業の個人の複数のグループのサブセットを、当該複数のサービス・プロバイダから受信されたセキュリティ・データのサブセットに関連付ける。特に、企業管理者は、例えば、「技術者」グループを当該セキュリティ・データのサブセットに関連付けてもよい。それにより、「技術者」にはついで、当該複数のサービス・プロバイダ内の1つまたは複数のサービスにアクセスするための能力が提供される。即ち、図3で説明するように、「技術者」グループの個人が企業Aのシステムに当該個人のユーザIDおよびパスワードで後にログインすると、当該個人は、サービス・プロバイダAからの「Read Stuff」またはサービス・プロバイダCからの「App1」のようなサービスにアクセスすることができる。
【0034】
ブロック705および706で、各企業の管理者は、個々のユーザを当該複数のグループの各々に追加すること、/または、個々のユーザを当該複数のグループの各々から除去することの作業を与えられる。本質的には、各企業の管理者は、当該個人グループを異なる基準に基づいて動的に生成し修正する能力を有する。即ち、当該管理者は、企業の各グループ内の個人を任意の時点で追加または削除することができる。上述のように、各グループに対する個人の数は変化してもよい(例えば、グループはたった1人の個人を含んでもよく、グループは複数人の個人を含んでもよく、またはグループは個人を含まなくてもよい)。
【0035】
図8は、CAMサービス810を介して企業およびサービス・プロバイダの間のアクセスを確立するように構成されたコンピューティング・デバイス899を有するシステムの例示的な略図800を示す。さらに、ユーザまたは管理者801は、企業の個人のどのグループが複数のサービス・プロバイダ内のどのサービスへのアクセス権限を有するかに関する情報を求めてCAMサービス810にアクセスするように当該コンピューティング・デバイスに指示してもよい。
【0036】
1例において、コンピューティング・デバイス899はプロセッサ802、プロセッサ802に接続されるメモリ・デバイス804、1つまたは複数の無線送信器806、1つまたは複数の無線受信機808、出力コンポーネント889、および入力コンポーネント888を含んでもよい。
【0037】
プロセッサ802は、1つまたは複数のシステムおよびマイクロコントローラ、マイクロプロセッサ、縮小命令セット回路(RISC)、特殊用途向け集積回路(ASIC)、プログラム可能ロジック回路(PLC)、フィールド・プログラム可能ゲートアレイ(FPGA)、および本明細書で説明した機能を実行できる任意の他の回路を含む任意の適切なプログラム可能回路を含む。上述の例は、「プロセッサ」という用語の定義および/または意味を決して限定するものではない。
【0038】
メモリ・デバイス804は、限定ではなく、ランダム・アクセスメモリ(RAM)、フラッシュメモリ、ハード・ディスクドライブ、固体ドライブ、ディスク、フラッシュ・ドライブ、コンパクト・ディスク、デジタルビデオディスク、および/または任意の適切なメモリのような非一時的コンピュータ可読記憶媒体を含む。当該例示的な実装では、メモリ・デバイス804は、プロセッサ802が本明細書で説明した機能を実施できるようにするようにプロセッサ802(例えば、プロセッサ802は当該命令によりプログラム可能であってもよい)により実行可能である本開示の諸態様を具体化するデータおよび/または命令を含む。さらに、当該メモリ・デバイス804は動作システムおよびアプリケーションを備えてもよい。
【0039】
無線送信器806は制御信号およびデータ信号をネットワーク上で送信するように構成される。1例において、無線送信器806は無線周波数スペクトルで送信してもよく、適切な通信プロトコルを用いて動作してもよい。
【0040】
無線受信機808は制御信号およびデータ信号をネットワーク上で受信するように構成される。1例において、無線受信機808は、適切な通信プログラムを用いて信号を無線周波数スペクトル上で受信してもよい。
【0041】
コンピューティング・デバイス899はまた、情報をユーザまたは管理者801に提供するための少なくとも1つの出力コンポーネント889を含んでもよい。出力コンポーネント889は、情報をユーザまたは管理者801に運搬できる任意のコンポーネントであってもよい。幾つかの実装では、出力コンポーネント889は、ビデオアダプタおよび/またはオーディオ・アダプタ等のような出力アダプタを含む。出力アダプタは、プロセッサ802に動作可能に接続され、ディスプレイデバイス(例えば、液晶ディスプレイ(LCD)、有機発光ダイオード(OLED)ディスプレイ、カソード・レイ・チューブ(CRT)、「電子ink」ディスプレイ、等)またはオーディオ出力デバイス(例えば、スピーカ、ヘッドフォン、等)のような出力デバイスに動作可能に接続されるように構成される。幾つかの実装では、少なくとも1つのかかるディスプレイデバイスおよび/またはオーディオ・デバイスは出力コンポーネント889とともに含まれる。
【0042】
コンピューティング・デバイス899はまた、ユーザまたは管理者801からの入力を受信するための少なくとも1つの入力コンポーネント888を含んでもよい。入力コンポーネント888は、例えば、キーボード、ポインティング・デバイス、マウス、スタイラスペン、タッチセンシティブなパネル(例えば、タッチ・パッドまたはタッチ・スクリーン)、ジャイロスコープ、加速度計、位置検出器、オーディオ入力デバイス等を含んでもよい。タッチ・スクリーンのような単一のコンポーネントは、出力コンポーネント889の出力デバイスおよび入力コンポーネント888の両方として機能してもよい。幾つかの実装では、出力コンポーネント889および/または入力コンポーネント888は、当該ノードおよびそれに接続されたコンピュータの間のデータおよび/または命令を通信するためのアダプタを含む。
【0043】
幾つかの例では、システムメモリを使用してもよく、当該システムメモリは、当該対応する方法および装置の例を実装するための図1乃至7について上述したプログラム命令およびデータを格納するように構成されたコンピュータ可読記憶媒体の1例である。しかし、他の例では、プログラム命令および/またはデータを受信し、送信し、または異なるタイプのコンピュータアクセス可能媒体に格納してもよい。一般的に述べると、コンピュータ可読記憶媒体は、コンピュータシステムまたはゲートウェイデバイスに接続された磁気または光媒体、例えば、ディスクまたはDVD/CDのような非一時的および有形記憶媒体またはメモリ媒体を含んでもよい。コンピュータ可読記憶媒体はまた、システムメモリ、ゲートウェイデバイス、または別のタイプのメモリとして上述のコンピュータシステムの幾つかの例に含めうるRAM(例えば、SDRAM、DDRSDRAM、RDRAM、SRAM等)、ROM等のような任意の揮発性または非揮発性媒体を含んでもよい。本明細書で示したもののような複数のコンピュータシステムの一部または全部を使用して、様々な例における当該説明された機能を実装してもよい。例えば、多数の異なるデバイスおよびサービスで実行されるソフトウェアコンポーネントが協働して当該機能を提供してもよい。
【0044】
さらに、本開示は以下の項に従う実施形態を含む:
【0045】
項1:複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するための方法(700)であって、企業の1つまたは複数の個人を含むように複数のグループを生成するステップ(701)と、セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスのうちどれが当該企業に利用可能であるかを識別するステップ(702)と、当該複数のグループのサブセットによるアクセスに利用可能な当該セキュリティ・データのサブセットを決定するステップ(703)と、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップ(704)とを含む、方法。
【0046】
項2:当該セキュリティ・データは各サービス・プロバイダの管理者により定義される、項1に記載の方法。
【0047】
項3:当該セキュリティ・データは、アクセス権限、特権、認証、クレーム、セキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーション、および権限付与のうち少なくとも1つを含む、項2に記載の方法。
【0048】
項4:当該セキュリティ・データは共通認証管理(CAM)サービス(150)によりアクセス可能である、項3に記載の方法。
【0049】
項5:企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップはCAMサービスを介して当該企業の管理者(801)により実施される、項1に記載の方法。
【0050】
項6:CAMサービスがユーザ対話のためのウェブ・インタフェースで構成される、項5に記載の方法。
【0051】
項7:企業(201、208、215)の1つまたは複数の個人(202乃至204、209乃至211、216乃至218)を含むように複数のグループ(205乃至207、212乃至214、219乃至221)を生成するステップは、1つまたは複数の個人を追加するステップまたは1つまたは複数の個人を当該複数のグループから除去するステップを含む、項1に記載の方法。
【0052】
項8:複数のサービス・プロバイダ(230、239、248)により提供される1つまたは複数のサービス(223乃至225、232乃至234、241乃至243)に個人がアクセスするのを認証するためのシステム(100)であって、当該システムは少なくとも1つのプロセッサ(802)およびメモリ(804)を備え、当該少なくとも1つのメモリは当該少なくとも1つのプロセッサに通信可能に接続され、当該少なくとも1つのメモリは、当該少なくとも1つのプロセッサにより実行されたとき、当該システムに、企業の1つまたは複数の個人を含むように複数のグループを生成し、セキュリティ・データを複数のサービス・プロバイダから受信し、当該複数のグループのサブセットによるアクセスに利用可能な当該セキュリティ・データのサブセットを決定し、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けさせるコンピュータ可読命令を含み、当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスのうちどれが当該企業に利用可能であるかを識別する、システム(100)。
【0053】
項9:当該セキュリティ・データは各サービス・プロバイダの管理者により定義される、項8に記載のシステム。
【0054】
項10:当該セキュリティ・データは、アクセス権限、特権、認証、クレーム、セキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーション、および権限付与のうち少なくとも1つを含む、項9に記載のシステム。
【0055】
項11:当該セキュリティ・データは共通認証管理(CAM)サービスによりアクセス可能である、項10に記載のシステム。
【0056】
項12:企業の1つまたは複数の個人を含むように複数のグループを生成することおよびセキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けることはCAMサービスを介して管理者により実施される、項8に記載のシステム。
【0057】
項13:CAMサービスがユーザ対話のためのウェブ・インタフェースで構成される、項12に記載のシステム。
【0058】
項14:企業の1つまたは複数の個人を含むように複数のグループを生成することは、1つまたは複数の個人を追加するステップまたは1つまたは複数の個人を当該複数のグループから除去するステップを含む、項8に記載のシステム。
【0059】
項15:複数のサービス・プロバイダにより提供される1つまたは複数のサービスに個人がアクセスするのを認証するためのコンピュータ可読媒体であって、コンピュータで実行されたとき、企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データを複数のサービス・プロバイダから受信するステップであって、当該セキュリティ・データは、当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスのうちどれが当該企業に利用可能であるかを識別する、ステップと、当該複数のグループのサブセットによるアクセスに利用可能な当該セキュリティ・データのサブセットを決定するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップとを含む動作を当該コンピュータに実施させるコンピュータ実行可能命令を有する、コンピュータ可読媒体。
【0060】
項16:当該セキュリティ・データは各サービス・プロバイダの管理者により定義される、項15に記載のコンピュータ可読媒体。
【0061】
項17:当該セキュリティ・データは、アクセス権限、特権、認証、クレーム、セキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーション、および権限付与のうち少なくとも1つを含む、項16に記載のコンピュータ可読媒体。
【0062】
項18:当該セキュリティ・データは共通認証管理(CAM)サービスによりアクセス可能である、項17に記載のコンピュータ可読媒体。
【0063】
項19:企業の1つまたは複数の個人を含むように複数のグループを生成するステップと、セキュリティ・データの当該サブセットに基づいて、当該複数のグループの当該サブセット内の個人を当該複数のサービス・プロバイダの各々により提供される当該1つまたは複数のサービスにアクセスするための能力に関連付けるステップはCAMサービスを介して管理者により実施される、項15に記載のコンピュータ可読媒体。
【0064】
項20:企業の1つまたは複数の個人を含むように複数のグループを生成するステップは、1つまたは複数の個人を追加するステップまたは1つまたは複数の個人を当該複数のグループから除去するステップを含む、項15に記載のコンピュータ可読媒体。
【0065】
とりわけ、「〜することができる」、「〜してもよい」「例えば、」等のような本明細書で使用される条件的言葉は、特に明記しない限り、または使用される文脈内で理解されるように、一般に、特定の例が含むが他の例では含まない特定の特徴、要素、および/またはステップを運搬することを意図している。したがって、かかる条件的言葉は一般に、特徴、要素および/またはステップが1つまたは複数の例に必要とされることを示唆せず、または、1つまたは複数の例が必ずしも、著者の入力または促しとともにまたはそれなしに、これらの特徴、要素および/またはステップが任意の特定の例に含まれるかまたは当該例で実施されるかどうかを判定するためのロジックを含むことは示唆しない。「〜を備える」、「〜を含む」、「〜を有する」等の用語は同義語であり、包含的に、オープンな形式で使用され、追加の要素、特徴、作用、動作等を排除しない。また、「または」という用語はその包含的な意味で(その排他的な意味ではなく)使用され、その結果、例えば、要素のリストを接続するために使用されるとき、「または」という用語は、当該リスト内の要素の1つ、一部、または全てを意味する。本開示の説明および添付の特許請求の範囲で使用される際、単数形「a」、「an」および「the」は、特に明記しない限り、複数形も同様に含むものである。さらに、「〜を含む」または「〜を備える」という用語は、本明細書で使用するとき、述べた特徴、整数、ステップ、動作、要素、および/またはコンポーネントの存在を規定するが、1つまたは複数の他の特徴、整数、ステップ、動作、要素、コンポーネント、および/またはそのグループの存在または追加を排除しないことは理解される。さらに、「資産」および「コンピューティング・デバイス」という用語を、本明細書で使用するとき、交互に使用してもよい。
【0066】
本明細書の教示事項の範囲から逸脱することなく、様々な変更を加えてもよく、その要素を均等物で置き換えてもよいことは当業者により理解される。さらに、その当該範囲から逸脱することなく、本明細書の教示事項を特定の状況に適合させるように多くの修正を行ってもよい。したがって、当該クレームは本明細書で開示した特定の実装に限定されないことが意図されている。
【符号の説明】
【0067】
101 企業A102 企業B
103 企業Z
109 サービス・プロバイダA
110 サービス・プロバイダX
111 サービス・プロバイダY
112 サービス・プロバイダZ
150 共通認証管理(CAM)サービス