策略管理系统、ID提供者系统以及策略评价装置

摘要

本发明涉及策略管理系统、ID提供者系统以及策略评价装置，实施方式的策略管理系统包括用户终端、对操作所述用户终端的用户的身份进行管理的ID提供者系统、和向所述用户终端提供服务数据的服务提供者系统。所述ID提供者系统按每个所述服务提供者ID，保存一对旧策略以及新策略。另外，所述ID提供者系统按每个所述服务提供者ID，保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息，所述第一差分判定条件在访问请求消息的发送日期为从旧策略向新策略的过渡期间内时被参照，所述第二差分判定条件在访问请求消息的发送日期为过渡期间外时被参照。

说明书

技术领域

本发明的实施方式涉及策略管理系统、ID提供者系统以及策略评价装 置。

背景技术

以社会、经济、生活对在线服务的依赖性增加的情况为背景，对与个 人、组织相关的信息进行管理的身份(identity)管理的重要性正在变高。 身份管理是指在各种服务、系统中，实现与个人、组织有关的信息的安全 性和便利性，对从登记到变更、删除为止的身份的存活周期整体进行管理 的技术。

这里，身份是在某一状况下确认个人、分组、组织/企业的信息的总体， 包括识别符、证书(credentials)、属性。识别符是用于对身份进行识别的 信息，相当于账户、职员编号等。证书是用于表示某个信息内容的合法性 的信息，有密码等。属性是带有身份特征的信息，包括姓名、住址、生日 等。

作为利用了这样的身份管理的技术的代表例，有单点登录(Single  Sign-On，以下简称为SSO)。SSO是通过一次的认证手续能够利用多个应 用程序、服务的技术。SSO大多用于在一个企业的内部网那样的单域中， 使多个应用程序所具备的认证统一的情况。该情况下，SSO一般在HTTP  Cookie中包含认证结果，通过在应用程序间共享认证结果的方式来实现。 另外，SI(System Integration)供应商、中间件供应商分别独立地制造这样 的SSO方式作为访问管理产品。

近年来，要求了超过单域的不同域间(以下也称为跨域)的SSO。作 为理由，可举出企业统一或合并、海外发展等灵活化、以及因逐渐兴起的 云计算的SaaS(Software as a Service)等引起的资源外包。例如，SaaS等 在想要使用时能够迅速使用的方面是优点之一。

然而，在实现跨域的SSO的情况下，认证结果的共享产生了很大的麻 烦。主要的原因有两点。第一点是由于HTTP Cookie的利用被限定为单域， 所以在域间无法利用HTTP Cookie来共享认证结果。第二点是由于按每个 域采用的访问管理产品的SSO方式在供应商间不同，所以无法简单地引入， 需要通过其他途径来采取对策。

为了消除这样的原因，迫切期望SSO的标准化。作为与这样的迫切期 望对应的代表性标准技术之一，有非盈利团体OASIS(Organization for the  Advancement of Structured Information Standards)制定的SAML(Security  Assertion Markup Language：安全断言标记语言)。

SAML是定义了与认证、许可、属性相关的信息的表现形式、以及收 发步骤的规格，被成体系地规定为能够根据目的来采取各种的安装形态。 主体的构成是身份提供者(Identity Provider，以下简记为IdP，称为ID提 供者)、服务提供者(Service Provider，以下简记为SP，称为服务提供者)、 用户这三方，通过服务提供者信任ID提供者发行的认证结果，实现了SSO。

在开始基于SAML的SSO的情况下，一般需要事先针对以下两点进行 准备。第一点是在服务提供者与ID提供者之间通过业务、技术面的信息交 换、协议形成，来预先构建信赖关系。第二点是一个用户按每个服务提供 者具有独立的账户，并事先使这些独立的SP账户和ID提供者的账户关联。 如果不是这些信赖关系的构建以及账户的事先关联等事先准备完成了的状 态，则无法开始SSO。

在这样的事先准备之后，SSO沿着以下那样的步骤(1)～(6)来实 现。这里，对借助Web浏览器的SSO的步骤进行说明。

(1)用户对服务提供者请求提供服务。

(2)服务提供者由于尚未进行用户的认证，所以经由用户侧的Web 浏览器向ID提供者发送认证要求。

(3)ID提供者通过某种办法来对用户进行认证，生成认证声明。其中， SAML不规定认证办法而规定将认证声明向服务提供者传递的结构。为了 判断服务提供者能否相信认证结果，认证声明包含认证办法的种类、证书 如何被生成等信息。

(4)ID提供者将包括生成的认证声明在内的认证结果经由用户侧的 Web浏览器回信给服务提供者。

(5)服务提供者基于ID提供者的认证结果来决定可否提供服务。

(6)用户接受服务提供者提供服务。

这样，在基于SAML的SSO中，用户能够仅通过向ID提供者进行一 次认证手续而不执行进一步的认证手续地使用多个服务。目前，安装了独 立的SSO方式的中间件供应商为了确保跨域的相互运用性，而执行SAML 的安装了ID提供者/服务提供者功能的访问管理产品的销售、SAML向安 装了服务提供者功能的商用Web服务的导入。

在基于SAML的SSO中，如上述那样需要事先关联以及登记账户。通 常，当在企业中利用服务提供者提供的服务时，IS(Information System) 部门针对服务提供者进行账户登记以及关联。

IS部门统一进行与属于企业的多数用户对应的大量的事先处理，或者 在经过了由用户在任意的定时通过了一系列批准流程的手续之后进行针对 该用户的账户登记以及关联。

这里，在前者的进行事先处理的情况下，由于在SSO的过程中不需执 行账户登记以及关联，所以与上述的数据处理系统无关系。

另一方面，在后者的通过批准流程的情况下，除了用户之外，还需要 借助用户所属的每个组织阶层的上司、筹备部门、IS部门等很多的人手， 需要大量的工时。并且，由于IS部门不统一进行事先处理，所以产生基于 人手的作业，不仅负担大，而且效率、便利性也差。例如，无法发挥SaaS 等中的可迅速使用的优点。

因此，在SSO的过程中执行账户登记以及关联的系统中，希望具备不 借助人手来决定可否利用服务的无缝结构。

因此，有一种如下所述的技术：在SSO的步骤的(2)与(3)之间基 于事先定义的与服务利用相关的策略和服务的利用状况评价了服务提供者 提供的服务的能否利用之后，通过插入执行账户关联以及登记的处理，来 使服务提供者提供的服务的从利用申请到SSO的一系列处理自动化。

现有技术文献

专利文献1

专利文献：日本专利第4892093号公报

发明内容

发明要解决的技术问题

以上说明的技术通常没有问题。但是，根据本发明人的研究，如以下 所述那样存在改进的余地。

通常，在企业中，如果进行组织变更、人事变动，则从安全的观点出 发会对策略进行更新。然而，在进行组织变更、人事变动的情况下，需要 进行与组织变更、人事变动相伴的交接作业，如果不借助人手地立即更新 策略，则可能产生要利用的服务在该交接作业中无法利用等不良情况。因 此，一般，因组织变更、人事变动引起的策略的更新经由人手来进行(即， 用户进行策略更新作业)。

然而，基于人手的作业对用户的负担很大，而且有可能发生作业错误 (人为错误)。

本发明想要解决的课题是，提供一种能够不经过人手来实现策略更新 作业的策略管理系统、ID提供者系统以及策略评价装置。

用于解决问题的手段

实施方式的策略管理系统包括：用户终端、对操作所述用户终端的用 户的身份进行管理的ID提供者系统和向所述用户终端提供服务数据的服务 提供者系统。

所述用户终端具备登录执行单元、第一发送单元以及再生单元。

所述登录执行单元根据用户的操作，与所述ID提供者系统之间执行登 录处理。

所述第一发送单元将包括ID提供者认证令牌和识别所述服务提供者系 统的服务提供者ID的访问请求消息发送给所述ID提供者系统，所述ID提 供者认证令牌在所述登录处理时被发行且包括识别该用户的用户ID。

所述再生单元接收从所述服务提供者系统发送的服务数据，对该接收 到的服务数据进行再生。

所述ID提供者系统具备第一保存单元、第二保存单元、第三保存单元、 第一取得单元、第一判定单元、第二取得单元、确认单元、通知接受单元、 策略评价单元、第二判定单元、第三取得单元、决定单元、执行请求单元、 第二发送单元以及第三发送单元。

所述第一保存单元保存将用于确定所述用户的用户属性的项目名与项 目值建立关联而成的、且至少包含用户ID的用户属性信息。

所述第二保存单元按每个所述服务提供者ID保存至少定义判定条件和 过渡期间的一对旧策略以及新策略，所述判定条件是用于允许由该服务提 供者ID识别的服务提供者系统进行服务数据的发送的判定条件，包括由判 定ID识别的多个条件且该各条件还包括多个详细条件以及职责，所述过渡 期间表示当从旧策略过渡至新策略时，除了新策略之外还参照基于旧策略 的判定条件的判定结果的期间。

所述第三保存单元按每个所述服务提供者ID保存至少定义第一差分判 定条件和第二差分判定条件的差分对应定义信息，所述第一差分判定条件 在所述发送来的访问请求消息的发送日期为所述过渡期间内时被参照，所 述第二差分判定条件在所述发送来的访问请求消息的发送日期为所述过渡 期间外时被参照，并且包括由差分对应ID识别的条件以及职责。

所述第一取得单元在接收到所述发送来的访问请求消息时，取得与该 访问请求消息内的服务提供者ID对应的新策略。

所述第一判定单元判定该访问请求消息的发送日期是否包含在所述取 得的新策略中定义的过渡期间内。

所述第二取得单元在所述第一判定单元的判定结果表示包含在所述过 渡期间内时，取得与所述取得的新策略对应的旧策略。

所述确认单元基于该访问请求消息内的ID提供者认证令牌所含的用户 ID，来取得所述第一保存单元中保存的用户属性信息，并且确认由该访问 请求消息内的服务提供者ID识别的服务提供者系统中是否保存有该用户 ID。

所述通知接受单元接受从所述服务提供者系统发送的针对所述确认单 元的通知，并且该通知表示保存有所述用户ID或者没有保存所述用户ID。

所述策略评价单元基于所述取得的用户属性信息，来评价所述取得的 新策略或者所述取得的新策略以及旧策略。

所述第二判定单元基于所述策略评价单元的评价结果和由所述通知接 受单元接受到的通知，来判定是否需要取得所述差分对应定义信息。

所述第三取得单元在所述第二判定单元的判定结果表示需要时，取得 所述差分对应定义信息。

所述决定单元至少基于所述评价结果(但是在由所述第三取得单元取 得了差分对应定义信息的情况下还参照该差分对应定义信息)，来决定适 应的判定ID。

所述执行请求单元请求执行由所述决定的判定ID识别的条件内的职责 (但是，在由所述决定单元参照了所述差分对应定义信息中定义的第二差 分判定条件的情况下，请求还执行该第二差分判定条件内的职责)。

所述第二发送单元根据来自所述执行请求单元的请求，将至少包括该 访问请求消息内的所述ID提供者认证令牌中包含的用户ID在内的认证协 作消息发送给由该访问请求消息内的服务提供者ID识别的服务提供者系 统。

所述第三发送单元根据来自所述执行请求单元的请求，将拒绝画面信 息发送给所述用户终端，该拒绝画面信息对由该访问请求消息内的服务提 供者ID识别的服务提供者所进行的服务数据的发送被拒绝的内容进行显 示。

所述服务提供者系统具备第四保存单元、发行单元以及第四发送单元。

所述第四保存单元保存用户属性信息，该用户属性信息将用于对利用 服务数据的用户进行确定的用户属性的项目名与项目值建立关联而成。

所述发行单元在接收到所述发送来的认证协作请求消息时，基于该认 证协作请求消息内的用户ID来验证该认证协作请求消息的合法性，在该验 证的结果合法的情况下，发行包括该验证所使用的用户ID的服务提供者认 证令牌。

所述第四发送单元对由所述发行的服务提供者认证令牌内的用户ID识 别的用户终端发送服务数据。

附图说明

图1是表示一个实施方式涉及的策略管理系统的构成例的示意图。

图2是表示该实施方式涉及的策略保存装置中保存的旧策略的一个例 子的示意图。

图3是表示该实施方式涉及的策略保存装置中保存的新策略的一个例 子的示意图。

图4是表示该实施方式涉及的差分对应定义保存装置中保存的差分对 应定义信息的一个例子的示意图。

图5是表示该实施方式涉及的策略评价装置的构成例的示意图。

图6是表示该实施方式涉及的策略管理系统的动作的一个例子的序列 图。

图7是表示该实施方式涉及的策略管理系统的动作的一个例子的序列 图。

图8是表示该实施方式的变形例涉及的策略管理系统的动作的一个例 子的序列图。

具体实施方式

图1是表示一个实施方式涉及的策略管理系统的构成例的示意图，图2 是表示该实施方式涉及的策略保存装置中保存的旧策略的一个例子的示意 图，图3是表示该实施方式涉及的策略保存装置中保存的新策略的一个例 子的示意图，图4是表示该实施方式涉及的策略差分对应定义保存装置中 保存的策略差分对应定义信息的一个例子的示意图，图5是表示该实施方 式涉及的策略评价装置的构成例的示意图，

策略管理系统1如图1所示，具备用户操作的用户终端100、ID提供 者系统200以及多个服务提供者系统300。其中，服务提供者系统300通常 为多台，但这里仅图示了1台。以下，对各装置100至300的详细功能进 行说明。

用户终端100是具有通常的计算机功能而能够与ID提供者系统200以 及各服务提供者系统300通信的装置，例如具有：根据用户的操作来发送 希望利用由服务提供者系统300提供的服务的访问请求消息的功能、与ID 提供者系统200之间执行登录处理的功能、从服务提供者系统300接收服 务数据的功能、和通过CPU执行预先存储于存储器的服务利用应用程序来 再生该接收到的服务数据的功能。另外，用户终端100具有对从ID提供者 系统200以及各服务提供者系统300发送来的各种消息进行回信(redirect) 的功能。

这里，ID提供者系统200用于管理用户的身份，具备：用户属性信息 保存装置201、策略保存装置202、策略差分对应定义保存装置203、认证 协作请求消息装置204、企业入口装置205、策略评价装置206、ID供应装 置207以及拒绝画面显示装置208。

用户属性信息保存装置201保存作为与配置有ID提供者系统200的组 织的用户相关的身份信息的用户属性信息。具体而言，用户属性信息保存 装置201保存多个用户属性信息，该用户属性信息将用于对用户进行确定 的用户属性的项目名与项目值建立关联，项目名中包括用于识别用户的用 户ID、用户的姓名、用户的所属、用户的职务、和用户的登录处理时参照 的参照信息。

其中，用户属性信息是使个人的信息带有特征的信息的集合体，作为 用户属性信息的例子，如上述那样，可举出用户的姓名、用户的所属、用 户的职务、用户的登录处理时参照的参照信息等，但并不限定于这些，例 如也可以还包括电话号码、工作状态等任意的项目名和项目值。另外，用 户的登录处理时参照的参照信息采用通常密码，但并不局限于此，例如也 可以是用户的指纹等生物体认证信息。

策略保存装置202如图2以及图3所示，按对服务提供者系统300进 行识别的每个服务提供者ID，保存一对旧策略202a以及新策略202b。具 体而言，策略保存装置202按每个服务提供者ID，保存一对旧策略202a 以及新策略202b，该一对旧策略202a以及新策略202b包括：用于允许由 该服务提供者ID识别的服务提供者系统300向用户终端100发送服务数据 的判定条件、使基于该判定条件的判定的结果有效的有效期间、以及当从 旧策略202a过渡新策略202b时还参照基于旧策略的判定条件的判定的结 果的过渡期间(也称为过渡缓期期间)。其中，判定条件包括由判定ID识 别的多个条件，这些条件还包括多个详细条件以及职责。

这里，策略一般定义了谁(对象)针对哪个系统资源(资源)能够进 行怎样的操作(行为)(即允许或者拒绝)，作为选项对职责也进行了定 义。

策略差分对应定义保存装置203如图4所示，按每个对服务提供者系 统300进行识别的服务提供者ID，保存策略差分对应定义信息203a。具体 而言，策略差分对应定义保存装置203保存策略差分对应定义信息203a， 该策略差分对应定义信息203a包括从用户终端100发送来的访问请求消息 的发送日期是过渡期间内时参照的第一差分判定条件、和从用户终端100 发送来的访问请求消息的发送日期是过渡期间外时参照的第二差分判定条 件。其中，第一差分判定条件包括由差分对应ID识别的多个条件，这些条 件还包括与多个详细条件应用的判定ID的启示。另外，第二差分对应判定 条件包括由差分对应ID识别的条件和职责。

认证协作装置204具有单点登录的ID提供者功能。具体而言，认证协 作装置204具有以下的各功能(f204-1)至(f204-4)。

(f204-1)是执行基于用户属性信息保存装置201内的用户ID以及参 照信息对从用户终端100发送来的用户ID以及用户认证信息进行认证的登 录处理的功能。

(f204-2)是在登录处理成功时，将包括在该登录处理中使用的用户 ID的ID提供者认证令牌向用户终端100发行的功能。

(f204-3)是当从ID供应装置207接收到认证协作请求时，针对ID 提供者认证令牌内的包括用户ID的声明正文，生成基于未图示的密钥存储 装置内的署名生成密钥(秘密密钥)的署名，来生成包括该声明正文、该 数字署名、与该署名生成密钥对应的署名验证密钥(公开密钥)的认证声 明的功能。

(f204-4)是将包括生成的认证声明的认证协作请求消息经由用户终 端100向服务提供者系统300内的认证协作装置302发送的功能、即是使 用用户终端100的回信功能来将认证协作请求消息向服务提供者系统300 内的认证协作装置302发送的功能。

企业入口装置205在受理到来自用户终端100的访问请求消息的输入 时，将受理了该输入的访问请求消息转送给策略评价装置206。其中，访问 请求消息中包括由认证协作装置204发行的ID提供者认证令牌、和对能够 提供用户希望利用的服务数据的服务提供者系统300进行表示的服务提供 者ID。

策略评价装置206在受理到来自企业入口装置205的访问请求消息的 输入时，基于策略保存装置202中保存的旧策略202a以及/或者新策略 202b，来判定是否允许由受理了该输入的访问请求消息内的服务提供者ID 识别的服务提供者系统300向用户终端100发送服务数据。其中，关于策 略评价装置206的详细情况将后述。

ID供应装置207除了根据来自策略评价装置206的指示，来向认证协 作装置204发送认证协作请求之外，还针对服务提供者系统300内的用户 属性信息保存装置301中保存的用户属性信息执行用户属性信息的登记请 求处理、更新请求处理、删除请求处理以及检索请求处理。

拒绝画面显示装置208根据来自策略评价装置206的指示，向用户终 端100发送表示内容为由访问请求消息内的服务提供者ID识别的服务提供 者系统300发送服务数据被拒绝的拒绝画面信息、即、使用户终端100显 示拒绝画面。

这里，参照图5对策略评价装置206详细进行说明。策略评价装置206 如图2所示，具备策略评价请求部211、新策略取得部212、旧策略要否判 定部213、旧策略取得部214、属性信息收集部215、策略评价部216、策 略差分对应判定部217、策略差分对应定义取得部218以及ID供应执行请 求部219。

策略评价请求部211在受理到来自企业入口装置205的访问请求消息 的输入时，经由新策略取得部212取得对用于允许由受理了该输入的访问 请求消息内的服务提供者ID识别的服务提供者系统300向用户终端100发 送服务数据的判定条件进行了定义的策略中的新策略202b。

旧策略要否判定部213使用由策略评价请求部211取得的新策略中定 义的过渡期间，判定用户终端100对访问请求消息的发送日期是否包含在 该过渡期间。当该判定的结果表示包含于该过渡期间时，旧策略要否判定 部213经由旧策略取得部214取得与由策略评价请求部211取得的新策略 202b对应的旧策略202a。另外，在判定的结果表示否时，旧策略要否判定 部213判断为不需要取得旧策略202a而不取得旧策略。

属性信息收集部215使用访问请求消息内的ID提供者认证令牌所含的 用户ID，从用户属性信息保存装置201取得用户属性信息。属性信息收集 部215经由ID供应装置207来确认服务提供者系统300内的用户属性信息 保存装置301中是否保存有所取得的用户属性信息、即指示ID供应装置207 使用所取得的用户属性信息对服务提供者系统300内的用户属性信息保存 装置301进行检索。

策略评价部216使用由属性信息收集部215取得的用户属性信息，来 评价所取得的策略，具体而言，评价旧策略202a以及新策略202b双方或 者仅评价新策略202b。

策略差分对应判定部217基于策略评价部216的评价结果(即，策略 中定义的多个条件中的任意一个条件的成立)，来判定是否需要取得策略 差分对应定义保存装置203中保存的策略差分对应定义信息203a。具体而 言，策略差分对应判定部217具有以下的各功能(f217-1)至(f217-7)。

(f217-1)是判定由策略评价部216针对旧策略202a以及新策略202b 双方进行了评价，还是仅针对新策略202b进行了评价的功能。

(f217-2)是当(f217-1)的判定的结果表示针对双方进行了评价时， 策略差分对应判定部217判定策略评价部216对旧策略202a的评价结果与 对新策略202b的评价结果是否一致。

(f217-3)是当(f217-2)的判定的结果表示一致时，判断为不需要 取得策略差分对应定义信息203a的功能。

(f217-4)是在(f217-2)的判定的结果表示否时，判断为需要取得 策略差分对应定义信息203a，并经由差分对应定义取得部218取得策略差 分对应定义信息203a的功能。

(f217-5)是在(f217-1)的判定的结果表示仅对新策略202b进行了 评价时，对是否是新策略202b的评价结果为拒绝(即，图3所示的 NEW-DENY-3成立)、且由属性信息收集部215保存了用户属性信息进行 判定的功能。

(f217-6)是当基于(f217-5)的判定的结果表示新策略202b的评价 结果为拒绝且确认了用户属性信息的保存时，判断为需要取得策略差分对 应定义信息203a，并经由差分对应定义取得部218取得策略差分对应定义 信息203a的功能。

(f217-7)是当基于(f217-5)的判定的结果表示否时，判断为不需 要取得策略差分对应定义信息203a的功能。

ID供应执行请求部219在通过策略差分对应判定部217取得策略差分 对应定义信息203a的情况下，执行遵照根据该取得的策略差分对应定义信 息203a的定义在优先的策略中定义的条件内的职责的处理。另外，ID供应 执行请求部219在没有通过策略差分对应判定部217取得策略差分对应定 义信息203a的情况下，执行遵照基于策略评价部216的评价结果而成立的 条件内的职责的处理。其中，作为由ID供应执行请求部219执行的处理的 一个例子，可举出为了使ID供应装置207发送认证协作请求而将认证协作 发送请求发送给ID供应装置207的处理、为了发送将服务提供者系统300 内的用户属性信息保存装置301中保存的用户属性信息删除的删除请求而 将删除发送请求发送给ID供应装置207的处理、为了使拒绝画面显示装置 208发送拒绝画面信息而将拒绝画面信息发送请求发送给拒绝画面显示装 置208的处理等。

另外，服务提供者系统300用于对用户终端100提供服务数据，如图1 所示，具备用户属性信息保存装置301、认证协作装置302、服务提供装置 303以及ID供应装置304。

用户属性信息保存装置301保存用户属性信息，该用户属性信息是利 用由该服务提供者系统300提供的服务数据的用户的身份信息。该用户属 性信息可以由与ID提供者系统200内的用户属性信息保存装置201中保存 的用户属性信息同样的项目名构成，也可以由用户属性信息保存装置201 中保存的用户属性信息的一部分的项目名构成。

认证协作装置302具有单点登录的服务提供者功能。具体而言，认证 协作装置302具有以下的各功能(f302-1)至(f302-3)。

(f302-1)是当受理到来自ID提供者系统200内的认证协作装置204 的认证协作请求消息的输入时，对受理了该输入的认证协作请求消息内的 认证声明所含的数字署名使用该认证声明所含的署名验证密钥来进行验证 的功能。

具体而言，首先使用认证声明所含的署名验证密钥来解码与数字署名 对应的声明正文。然后，通过判定用户属性信息保存装置301内是否保存 有解码后的声明正文所含的用户ID，来验证认证协作请求消息的合法性。

(f302-2)是当基于(f302-1)的功能的验证的结果表示合法时，发 行包括该验证所使用的用户ID的服务提供者认证令牌的功能。其中，所发 行的服务提供者认证令牌在来自用户的访问请求消息是HTTP请求的形态 的情况下，被保存在该HTTP请求所含的Cookie之中。

(f302-3)是将包括通过(f302-2)的功能发行的服务提供者认证令 牌的服务提供请求消息发送给用户终端100的功能。

服务提供装置303在受理到基于用户终端100的回信功能而回信的服 务提供请求消息的输入时，将由该服务提供者系统300能够提供的服务数 据发送给用户终端100。

ID供应装置304根据来自ID提供者系统200内的ID供应装置207的 请求，来执行用户属性信息保存装置301中保存的用户属性信息的登记处 理、更新处理、删除处理以及检索处理。

接下来，参照图2至4的示意图、图6以及图7的序列图来对如以上 那样构成的策略管理系统的动作的一个例子进行说明。其中，在本动作例 中，设预先执行使用了认证协作装置204的(f204-1)以及(f204-2)的功 能的预先处理(登录处理)，已经发行了ID提供者认证令牌。另外，在本 动作例中，设操作用户终端的用户的所属为“X部门”，职务为“主任”， 由用户终端发送了访问请求消息的日期(发送日期)为“2011/10/10”。

首先，用户终端100根据用户的操作，将包括预先处理时发行的ID提 供者认证令牌、和表示能够提供用户希望利用的服务数据的服务提供者系 统300的服务提供者ID的访问请求消息发送给ID提供者系统200(步骤 S1)。

接着，ID提供者系统200内的企业入口装置205在受理到来自用户终 端100的访问请求消息的输入时，将受理了该输入的访问请求消息转送给 策略评价装置206(步骤S2)。

接下来，策略评价装置206内的策略评价请求部211在受理到来自企 业入口装置205的访问请求消息的输入时，经由新策略取得部212取得对 用于允许由受理了该输入的访问请求消息内的服务提供者ID识别的服务提 供者系统300向用户终端100发送服务数据的判定条件进行了定义的策略 中的新策略202b(步骤S3)。这里，取得图3所示的新策略202b。

接着，旧策略要否判定部213使用在步骤S3的处理中取得的新策略 202b中定义的过渡期间，来判定该过渡期间中是否包括用户终端100的访 问请求消息的发送日期(步骤S4)。该情况下，由于访问请求消息的发送 日期为“2011/10/10”，新策略202b中定义的过渡期间为“2011/10/1～ 2011/10/30”，所以判定为该访问请求消息的发送日期包含于该过渡期间内。

此外，在步骤S4的判定的结果表示否的情况下，进入后述的步骤S6 的处理。

在步骤S4的判定的结果表示包含于过渡期间内的情况下，旧策略要否 判定部213经由旧策略取得部214取得与在步骤S3的处理中取得的新策略 202b对应的旧策略202a(步骤S5)。这里，取得了图2所示的旧策略202a。

接下来，属性信息收集部215使用该访问请求消息内的ID提供者认证 令牌所含的用户ID，从用户属性信息保存装置201取得用户属性信息。然 后，为了确认该取得的用户属性信息是否被存储在用户属性信息保存装置 301中，属性信息收集部215将包括该取得的用户属性信息内的用户ID(也 可以是用户的姓名、用户属性信息本身)的确认请求消息经由ID供应装置 207发送给ID供应装置304。ID供应装置304在受理到从属性信息收集部 215发送来的确认请求消息的输入时，判定(检索)受理了该输入的确认请 求消息内的用户ID是否包含在用户属性信息保存装置301中，并将该判定 的结果通知给ID提供者系统200(步骤S6)。这里，ID提供者系统200 接收到用户属性信息保存装置301中保存有由属性信息收集部215取得的 用户属性信息内的用户ID这一通知。

接着，策略评价部216使用在步骤S6的处理中取得的用户属性信息， 来评价到该处理为止取得的策略、即评价新策略202b以及旧策略202a双 方或者仅评价新策略202b(步骤S7)。这里，评价新策略202b以及旧策 略202a双方。在新策略202b的评价中，由于用户的所属为“X部门”、 职务为“主任”、“服务提供者系统的用户ID登记完毕”，所以满足图3 所示的新策略202b的判定ID“NEW-DENY-3”的判定条件(即，判定ID “NEW-DENY-3”成立)。另外，在旧策略202a的评价中，同样由于用户 的所属为“X部门”、职务为“主任”、“服务提供者系统的用户ID登记 完毕”，所以满足图2所示的旧策略202a的判定ID“OLD-PERMIT-2”的 判定条件(即，判定ID“OLD-PERMIT-2”成立)。

接下来，策略差分对应判定部217使用上述的(f217-1)至(f217-7) 的功能，判定是否需要取得策略差分对应定义保存装置203中保存的策略 差分对应定义信息203a(步骤S8)。这里，由于在步骤S7的处理中评价 新策略202b以及旧策略202a双方，在新策略202b中判定ID “NEW-DENY-3”成立(即，拒绝)，在旧策略202a中判定ID “OLD-PERMIT-2”成立(即，允许)，所以策略差分对应判定部217判 断为需要取得策略差分对应定义信息203a，并经由策略差分对应定义取得 部218取得图4所示的策略差分对应定义信息203a。

接着，ID供应执行请求部219执行遵照由适应的判定ID识别的条件 内的职责的处理(步骤S9)。这里，由于在步骤S8的处理取得了策略差 分对应定义信息203a，所以ID供应执行请求部219在参照了该策略差分对 应定义信息203a的基础上，根据由差分对应ID“DIFF-2”识别的条件，来 执行由判定ID“OLD-PERMIT-2”识别的条件内的职责“认证协作请求的 执行”、即将认证协作发送请求发送给ID供应装置207。

接下来，ID供应装置207在从ID供应执行请求部219受理到认证协 作发送请求时，将认证协作请求发送给认证协作装置204(步骤S10)。

接着，认证协作装置204在从ID供应装置207受理到认证协作请求时， 针对包括ID提供者认证令牌内的用户ID的声明正文，生成基于未图示的 密钥存储装置内的署名生成密钥(秘密密钥)的署名，并生成包括该声明 正文、该数字署名、和与该署名生成密钥对应的署名验证密钥(公开密钥) 的认证声明(步骤S11)。

接下来，认证协作装置204将包括在步骤S11的处理中生成的认证声 明的认证协作请求消息经由用户终端100发送给认证协作装置302(步骤 S12)。

接着，服务提供者系统300内的认证协作装置302在受理到从认证协 作装置204发送来的认证协作请求消息的输入时，对受理了该输入的认证 协作请求消息内的认证声明所含的数字署名使用该认证声明中包含的署名 验证密钥来进行验证。具体而言，认证协作装置302使用认证声明所含的 署名验证密钥来对与数字署名对应的声明正文进行解码，然后，通过判定 用户属性信息保存装置301内是否保存有解码后的声明正文所含的用户 ID，来验证认证协作请求消息的合法性(步骤S13)。这里，由于在步骤 S6的处理中已经确认为用户属性信息保存装置301内保存有用户ID，所以 认证协作装置302判断为该认证协作请求消息是合法的，并发行包括该用 户ID的服务提供者认证令牌。

接下来，认证协作装置302将包括在步骤S13的处理中发行的服务提 供者认证令牌的服务提供请求消息发送给用户终端100(步骤S14)。

接着，用户终端100在受理到从认证协作装置302发送来的服务提供 请求消息的输入时，将受理了该输入的服务提供请求消息回信(redirect) 给服务提供者系统300(步骤S15)。

接下来，服务提供者系统300内的服务提供装置303在受理到从用户 终端100回信的服务提供请求消息的输入时，将由该服务提供者系统300 能够提供的服务数据发送给用户终端100(步骤S16)。

然后，用户终端100在受理到从服务提供者系统300发送来的服务数 据的输入时，对受理了该输入的服务数据进行再生(步骤S17)。

根据以上说明的一个实施方式，通过具备包括差分对应定义信息保存 装置203以及策略评价装置206的ID提供者系统200的构成，能够不借助 人手地实现策略更新作业。

以下，对上述的一个实施方式的变形例进行说明。

[变形例]

这里，参照图2以及图4的示意图、图6以及图8的序列图来对策略 管理系统的动作的变形例进行说明。其中，在本动作例中，设预先执行使 用了认证协作装置204的(f204-1)以及(f204-2)的功能的预先处理(登 录处理)，已经发行了ID提供者认证令牌。另外，在本动作例中，设操作 用户终端的用户的所属为“X部门”、职务为“主任”、由用户终端发送 了访问请求消息的日期(发送日期)为“2011/11/1”。

步骤S1至S3的处理与上述的一个实施方式同样地执行。

在步骤S4的处理中，由于访问请求消息的发送日期为“2011/11/1”、 新策略202b中定义的过渡期间为“2011/10/1～2011/10/30”，所以判定为 该过渡期间中不包含该访问请求消息的发送日期(即，判定为在过渡期间 外)。因此，省略步骤S5的处理、进入步骤S6的处理。

另外，步骤S6的处理与上述的一个实施方式同样地执行。

在步骤S7的处理中，策略评价部216仅评价新策略202b。该情况下， 由于用户的所属为“X部门”、职务为“主任”、“服务提供者系统的用 户ID登记完毕”，所以满足图3所示的新策略202b的判定ID “NEW-DENY-3”的判定条件(即，判定ID“NEW-DENY-3”成立)。

在步骤S8的处理中，由于在步骤S7的处理中仅评价新策略202b，在 新策略202b中判定ID“NEW-DENY-3”成立(即，拒绝)，且(基于上 述的步骤S6的处理)由属性信息收集部215确认为保存有用户属性信息， 所以策略差分对应判定部217判断为需要取得策略差分对应定义信息 203a，并经由策略差分对应定义取得部218取得图4所示的策略差分对应 定义信息203a。

在步骤S9的处理中，由于在步骤S8的处理中取得了策略差分对应定 义信息203a，所以ID供应执行请求部219在参照了该策略差分对应定义信 息203a的基础上，根据由差分对应ID“DIFF-5”识别的条件，来进行由判 定ID“NEW-DENY-3”识别的条件内的职责“拒绝画面显示的执行”，并 且进行职责“执行服务提供者系统的用户ID的删除”。即，ID供应执行 请求部219对拒绝画面显示装置208发送拒绝画面信息发送请求，并且对 ID供应装置207发送删除发送请求。

接着，ID供应装置207在从ID供应执行请求部219接收到删除发送 请求时，将包括ID提供者认证令牌内的用户ID的删除请求消息发送给ID 供应装置304(步骤S18)。

接下来，服务提供者系统300内的ID供应装置304在受理到从ID供 应装置207发送来的删除请求消息的输入时，将受理了该输入的删除请求 消息内的用户ID(用户属性信息)从用户属性信息保存装置301删除(步 骤S19)。

另外，拒绝画面显示装置208当接收到在步骤S9的处理中发送的拒绝 画面信息发送请求时，将拒绝画面信息发送给用户终端100(步骤S20)。

然后，用户终端100在受理到从拒绝画面显示装置208发送来的拒绝 画面信息的输入时，根据受理了该输入的拒绝画面信息，来显示拒绝画面 (步骤S21)。

根据上述的变形例，与策略更新相伴的系统环境的更新作业(即，用 户属性信息保存装置301中保存的用户ID(用户属性信息)的删除)也能 够不借助人手地实现。

此外，上述的各实施方式中记载的方法也可以作为能够使计算机执行 的程序，保存到磁盘(软(注册商标)盘、硬盘等)、光盘(CD－ROM、 DVD等)、光磁盘(MO)、半导体存储器等存储介质来进行发布。

另外，作为该存储介质，如果是能够存储程序且计算机可读取的存储 介质，则其存储形式可以是任意形态。

另外，也可以基于从存储介质安装到计算机的程序的指示，由在计算 机上运转的OS(操作系统)、数据库管理软件、网络软件等MW(中间件) 等执行用于实现上述实施方式的各处理的一部分。

并且，各实施方式中的存储介质并不局限于与计算机独立的介质，也 包括下载通过LAN、互联网等传输的程序并存储或者暂时存储的存储介质。

另外，存储介质并不局限于一个，从多个介质执行上述各实施方式中 的处理的情况也包含于本发明中的存储介质，介质构成可以是任意的构成。

此外，各实施方式中的计算机也可以是基于存储介质中存储的程序， 执行上述各实施方式中的各处理的构成，即是一个个人计算机等构成的装 置、多个装置与网络连接的系统等任意的构成。

另外，各实施方式中的计算机并不局限于个人计算机，也包括信息处 理设备中所含的运算处理装置、微型计算机等，包括能够通过程序来实现 本发明的功能的设备、装置。

此外，对本发明的几个实施方式进行了说明，但这些实施方式指示例 示，不意图限定发明的范围。这些新的实施方式能够通过其他各种方式来 加以实施，在不脱离发明主旨的范围能够进行各种省略、置换、变更。这 些实施方式及其变形包含在发明的范围、主旨中，并且，包含于权利要求 所记载的发明及其等同的范围。