技术领域
[0001] 本
发明涉及一种支持用户或实体的分布式数据(具体是用户配置文件信息数据)的管理和交换的方法。
背景技术
[0002] 如今和未来的互联网上提供了许多可用的服务,每种服务都要求帐户的创建、用户配置文件数据的认证和存储,用户面临着这样一个事实:他们的配置文件在多种不同的服务提供商之间传播,例如
银行、书店或诸如YouTube和Facebook此类的社区服务。
[0003] 身份管理(IDM)旨在服务提供商(SPs)和身份提供商(IdPs)之间提供用户(配置文件)信息的单点登录(SSO)以及安全隐私的交换。用户的信息可以被身份提供商或所谓的属性权威储存,身份提供商可以向属性权威查询用户数据以便将用户数据分配给
请求SPs。
[0004] 此外,目前大多数服务提供商以专有格式存储配置文件数据,作为他们的服务定义的组成部分,在这种专有格式中每个数据字段有专有名称和相关的语义。这意味着,即使身份管理提供了阅读来自各种属性权威的分布式数据的方法,则始终要求在服务提供商域之间映射数据标识符和/或语义。这往往是非常冗长乏味且不可能的,而如果不这样做,可能会导致在配置文件数据消费者和那些提供配置文件数据的权威之间出现紧密结合。
[0005] 希望从身份管理解决方案中获益的用户可能希望控制他们的分布式配置文件数据,因此需要一种以方便的方式来管理分布式配置文件数据的方法。这将包括尽可能通过
访问控制策略对
修改和查询加以保护并且能够对哪类个人数据存储在哪种地方有一个清晰的概述。
[0006] 此外,不仅用户将对管理分布式配置文件和数据感兴趣,而且SPs也将对提供包括这类操作的服务感兴趣。但同时,提供用户配置文件数据的SP不会愿意放弃对它的控制,这就需要一种允许SP验证/
断言请求方并且在分发数据或允许操作之前执行自己的访问控制的解决方案。
[0007] 最后,支持分布式用户配置文件的管理的
基础架构将需要在不同的服务提供商域的用户标识符之间提供映射以确保已经被识别并且链接至一个SP的域中的特定的配置文件的用户可以被另一个SP的域中的一个(很可能)不同的名称所识别。这是一种属于现有的身份管理解决方案的一个固有部分以及隐私保护的基础之一的属性。
[0008] SAML 2.0是OASIS联盟开发的一种基于XML的
标记语言。它支持单点登录、分布式事务和跨不同安全域的基于断言的认证。定义了几种允许SAML被用于普通HTTP服务以及Web服务的协议绑定,Web服务是例如超越SOAP(简单对象访问协议)和SIP(会话发起协议)。
[0009] 在IEEE Globecom 2008中的“Identity Management for IMS-basedIPTV(基于IMS的IPTV身份管理)”中提出了结合3GPP的IP多媒体子系统(IMS),针对SSO使用SAML。此外,自由联盟采用了SAML作为他们的IdM解决方案。因此,SAML构成了企业环境中交换IdM相关信息的事实标准。
[0010] SAML定义了几种请求和响应类型,例如,查询身份属性或交换关于请求方和响应方的断言。此外,SAML消息可以承载虚拟用户身份的标识符。这些标识符在本文件中统称为
假名,因为它们可以被用来隐藏用户的真实身份。重要的是要注意,假名可以是域特定的,意思是相同的用户可以被不同的服务提供商域中的不同假名识别。
[0011] SAML仅适用于只读访问,既不允许用户、也不允许身份提供商或SP以任何方式管理(即写入或修改)配置文件信息。
[0012] 另一种可能存在的消息格式是https://www.projectliberty.org/resource_center/specifications/liberty_allia nce_id_wsf_data_services_template_v2_0_specifications中规定的自由联盟的数据服务模板(DST)。DST是定义承载用于管理(创建、删除、修改和查询)配置文件数据的信息的基于XML的消息的结构的协议模板的规范。DST假定配置文件数据在XML结构中是可以访问的,并且使用XPATH表达式来选择待处理的配置文件数据的
节点。
[0013] 正如其名字所暗示,如规范所述,DST不是协议而是协议消息的模板,这意味着DST将被每种数据服务单独地执行。执行包括为待采用DST管理的协议消息和数据定义数据服务相关的命名空间。但是,这使得DST完全依赖于执行它的配置文件数据服务,使得它既不能统一又不允许DST客户端和
服务器分离。事实上,它将协议模板的实例绑定至数据服务。
[0014] 目前没有以一种安全隐私的方式来管理和修改分布式配置文件数据的方法,这意味着用户将需要访问单项服务来更新他的配置文件信息的一部分。
[0015] 因此,本发明的一个目的在于,通过利用易于执行的机制,来进一步完善并开发一种在本文开头描述的支持用户或实体的分布式数据(具体是用户配置文件信息数据)的管理和交换的方法,使得用户或实体能够以一种安全隐私的方式来管理和/或修改其分布式数据。
发明内容
[0016] 在根据本发明,上述目的是通过一种包括
权利要求1中所述的特征的方法来实现的。根据此项权利要求,这种方法的特征在于,提供了一种协议,该协议利用安全断言标记语言(SAML)作为承载协议,使得SAML消息用作数据服务模板(DST)或DST类似消息的容器,以构成SAML DST消息,其中所述DST或DST类似消息包括
数据处理信息,并且其中针对所述DST或DST类似消息,统一协议命名空间被定义为协议特定命名空间。
[0017] 根据本发明,人们已经首先认识到,在提供分布式用户数据的安全隐私且能够知晓身份的管理和交换的情况下,通过以一种特定的方式来结合SAML和DST,可以实现极大的改善。SAML和DST的结合是通过提供一种协议来实现的,该协议利用SAML作为承载协议,使得SAML消息用作DST或DST类似消息的容器,以构成SAML DST消息。DST或DST类似消息包括用于管理用户或实体的分布式数据的数据处理信息。此外,人们已经认识到,通过针对DST或DST类似信息将统一协议命名空间定义为协议特定命名空间,可使提供的协议独立于被管理的数据。因此,这些命名空间被绑定至协议消息本身,并且可能不同于DST消息内的可能被用于引用遭到改变的(即被修改和/或管理的)实际分布式数据的元素的其它命名空间
声明。因此,根据本发明所述的方法能够让用户或实体以一种安全隐私的方式来管理和修改分布式数据。
[0018] 根据优选
实施例,SAML DST消息可以包括用作承载单条DST或DST类似消息的容器的元素,即容器元素。因此,可以定义新的SAML消息类型,该新的SAML消息类型衍生自现有的抽象的SAML消息类型、并且可以继承SAML的所有特征、但除此之外还能够作为DST或DST类似消息的容器。应注意的是,现有的SAML消息也可以被重新用作承载协议,该承载协议用作DST或DST类似消息的容器。
[0019] 根据优选实施例,SAML DST消息可以包含SAML DST请求消息或SAML DST响应消息。
[0020] 有利地,SAML DST请求消息可以包括由包括在SAML DST响应消息中的DST或DST类似响应作出应答的DST或DST类似请求。
[0021] 根据优选实施例,SAML DST请求消息包括用作主题字段的元素,该主题字段识别其数据经过包括在SAML DST请求消息中的DST或DST类似消息所
指定的DST处理的用户或实体。因此,所述主题字段能够用于识别用户。希望通过例如身份提供商来检索关于用户的信息并且使用DST的请求服务可以采用主题字段来向身份提供商指定其试图获取信息所属的用户。主题标识符可以是在请求服务中所使用的假名。
[0022] 有利地,SAML DST请求消息可以包括用作识别SAML DST请求消息的始发方的发送方字段的元素。
[0023] 此外,SAML的DST请求消息可以包括用作将SAML DST请求消息发送至特定的目的地(具体是特定的数据服务)的接收方字段的元素。例如,接收方字段可以被作为接收方服务提供商ID利用,接收方服务提供商ID可以是终端URL(统一资源
定位符)或可以由身份提供商解析的服务提供商假名。
[0024] 每种SAML DST请求消息可以正好包括一个构成DST或DST类似请求的容器元素。
[0025] 关于DST处理,所述DST或DST类似请求可以承载关于创建、修改、删除或查询分布式数据的数据处理信息(具体是基于XML的数据处理信息)。DST处理的类型不是以一种特定的消息字段给定的。该类型可以根据DST规范定义的请求类型(RequestType)推断出来。这可以是修改请求(ModifyRequest)、创建请求(CreateRequest)、删除请求(DeleteRequest)或查询请求(QueryRequest)中的一种。
[0026] 有利地,关于创建和/或删除处理的DST或DST类似请求的语义是以这样一种方式来构建的:请求效果仅限于在用户或实体的分布式数据的记录范围内(例如用户配置文件范围内)的数据的创建和/或删除。
[0027] 每种DST或DST类似请求可以包括选择语句,其中该选择语句包含用于指明需要处理分布式数据的哪一部分的XPATH表达式。
[0028] 该XPATH表达式可能会被传递至DST或DST类似请求的预期接收方,具体是被期望要基于XPATH表达式返回信息(例如XPATH查询)的数据服务。
[0029] 有利地,可以假定,在XPATH表达式内用于引用分布式数据的元素的命名空间是DST或DST类似请求中定义的命名空间而不是协议特定命名空间之一。身份提供商可以使用此命名空间以区分哪类信息是需要为用户请求的信息以及需要联系哪类数据服务提供商。例如,身份提供商可以保持将配置文件数据服务的命名空间映射到此种服务提供的配置文件数据(即,类型)的命名空间。可以为每位用户保存此种映射。
[0030] 此外,SAML DST响应消息可以包含用作指明SAML DST响应消息的状态的状态字段的元素。
[0031] 有利地,SAML DST响应消息可以包括用作保存与将在重试请求内使用的主题名称有关的信息的重试主题字段的元素。如果主题标识符被身份提供商以对等(ad noc)的方式在各个域之间映射,那么这种功能是需要的。
[0032] 每一个SAML DST响应消息可以包括一个或多个包括DST或DST类似响应的容器元素。在一个SAML DST响应内需要有几个容器元素可能是由于要求身份提供商能够将几个DST或DST类似响应累积到单个SAML DST响应中的潜在要求引起的。
[0033] SAML DST响应消息所包括的一个或多个容器元素可以包括用于引导到DST响应的发送方的标识符。例如,在响应失败或意外响应的情况下,该标识符能够由作出请求的服务提供商用于联系特定的提供服务的服务提供商。如果特定的DST响应指示失败,那么作出请求的客户可以向DST消息发送失败的那个服务提供商发送另一个请求。该标识符还可进一步用于,例如,在分布式用户配置文件管理
用户界面中,向用户指明哪一个服务提供商作出了何种响应。
[0034] 有利地,SAML DST消息可以包括签名元素,签名元素含有对SAML DST消息进行签名的结果。
[0035] SAML DST消息可以在作出请求的服务提供商和提供服务的服务提供商之间交换以便于管理用户或实体的分布式数据。
[0036] 此外,身份提供商可以参与作出请求的服务提供商和提供服务的服务提供商之间的SAML DST消息交换。
[0037] 有利地,用户或实体可以通过假名标识符访问服务提供商,其中,服务提供商可以利用身份提供商来解析假名标识符和/或将它映射至本地用户账号。
[0038] 作出请求的服务提供商可以向身份提供商发送SAML DST请求消息,SAML DST请求消息包括作为主题的用户或实体的假名标识符和DST或DST类似消息。
[0039] 而且,身份提供商可以创建对于作出请求的服务提供商和提供服务的服务提供商均有效的临时假名标识符。
[0040] 有利地,身份提供商可以使用指明临时假名标识符的SAML DST重试消息对作出请求的服务提供商作出响应。
[0041] 此外或作为一种选择,身份提供商可以使用假名标识符替代SAML DST消息内的临时假名标识符。
[0042] 作出请求的服务提供商可以向身份提供商发送新的SAML DST请求消息,新的SAML DST请求消息包括作为主题的临时假名和DST或DST类似消息。
[0043] 有利地,身份提供商可以查找哪些服务提供商能够对影响DST或DST类似请求中指定的类型的分布式数据(具体是用户配置文件信息数据)的DST或DST类似请求提供服务,并且将SAML DST请求消息转发至提供服务的服务提供商。
[0044] 提供服务的服务提供商可以采用SAML DST响应消息对身份提供商作出响应,其中,身份提供商累积包括在提供服务的服务提供商的SAML DST响应消息中的DST或DST类似响应,并将包含累积的DST或DST类似响应在内的SAML DST响应消息返回至作出请求的服务提供商。
[0045] 在优选实施例中,可以假定身份提供商可以被当作作出请求的服务提供商的发现服务器,用以发现提供服务的服务提供商。身份提供商可以检查作出请求的服务提供商所发送的SAML DST请求消息的签名。随后,身份提供商可以查找哪些服务提供商能够对影响DST或DST类似请求中指定的类型的分布式数据(具体是用户配置文件信息数据)的DST或DST类似请求提供服务。身份提供商可以创建临时假名标识符并使用SAML DST请求消息中的主题替代临时假名,即产生改变的请求。最后,身份提供商对改变的请求进行签名并将包含改变的请求和查找到的提供服务的服务提供商的统一资源标识符在内的SAML DST响应消息发送至作出请求的服务提供商。
[0046] 有利地,作出请求的服务提供商可以对改变的请求重新进行签名并将重新签名的改变的请求发送至查找到的提供服务的服务提供商。
附图说明
[0047] 关于如何以一种有利的方式设计和进一步开发本发明的教导的方法有几种方式。为此,一方面,应该参考
专利权利要求1的
从属权利要求,另一方面,应该参考通过附图所说明的本发明的优选实施例的下面的解释。结合借助附图的下面对本发明的优选实施例的解释,来解释教导的一般的优选实施例和进一步发展。
[0048] 图1是说明了根据本发明的方法的应用情境的一个例子的示意性的SAML DST基础架构概图。
[0049] 图2是说明了根据本发明实施例的SAML DST请求消息的示意图,[0050] 图3是说明了根据本发明实施例的SAML DST响应消息的示意图,[0051] 图4是说明了在身份提供商作为SAML DST代理的情况下的示例消息流的序列图,以及
[0052] 图5是说明了在身份提供商作为作出请求的服务提供商的发现服务器来发现可能的提供服务的服务提供商的情况下的示例消息流的序列图。
具体实施方式
[0053] 图1示出了根据本发明的方法而设想的、能够管理分布式用户配置文件和IdM敏感数据的基础架构和组件的概图。用户将通过给定的假名来访问服务提供商,正如IdM情境的一种常见情况一样。在身份提供商的帮助下,SP可以解析假名并将其映射至本地用户账户,例如提供单点登录。当服务提供商需要访问和/或操作用户的本地不可用的配置文件信息时,它将发送SAML DST请求至身份提供商的扩展点,该SAML DST请求包含自身,作为作出请求的发送方,包含用户的假名,作为消息主题,并包含关于何种配置文件数据受到影响的指示。
[0054] 作为SAML DST代理的身份提供商则负责识别为给定用户提供所请求种类的配置文件信息的SP,以及在作出请求的SP所使用的用户假名和提供服务的SP所使用的用户标识符之间创建映射。这样做之后,身份提供商将请求转发至能够针对用户为请求提供服务的所有的服务提供商。持有用户的配置文件信息的提供服务的SP能够检查包括身份提供商的签名和断言在内的请求的有效性,然后处理SAML消息内发送的DST要求。
[0055] 请求的处理可以包括每一个SP专有的访问和安全策略的执行。这是为了确保配置文件数据的操作或分发得到允许。在处理之后,每个提供服务的SP向身份提供商发送回SAML DST响应,该身份提供商将结果累积在包括关于哪个SP发送哪个响应的信息在内的单个SAML DST响应中。累积的响应然后被发送回至作出请求的SP。
[0056] 为了提供图1的应用情境中所描述的基础架构,对DST作出了修改。DST修改(将在下文中对其作出更详细的解释)被称为DST类似消息。一般地,重要的是要注意,DST是模板,而不是协议,并且通常被命名空间绑定至提供DST作为
接口的数据服务。DST的实现需要定义三个命名空间,一个用于实用程序XML元素,一个用于基于XML DST的消息,以及一个用于DST引用实现模式。
[0057] 为了克服专有权以及因此的绑定的命名空间的限制,为DST消息定义了如下统一协议命名空间:
[0058] 1)um:eu:neclab:nw:util:2009-02,用于实用程序元素
[0059] 2)urn:eu:neclab:nw:dst:2009-02,用于基于DST的消息
[0060] 3)urn:eu:neclab:nw:dst:2009-02:ref,用于DST引用实现模式。
[0061] 通过将它们定义为协议特定命名空间,可以将它们与现在可以用来指明经过DST处理的不同种类的配置文件数据类型的其它的命名空间声明区分开来。
[0062]
[0063] 例如,上述XML样本描述了一种简单的检索用户的所有银行账户的DST查询请求。值得注意的是,选择语句包含了使用另外定义的以指明被查询的用户配置文件的类型的命名空间而非协议命名空间的命名空间的XPATH查询。在原始的DST中,这是不可预见的。上述样本中的命名空间urn:banking:profile:service引用模式已定义的银行业配置文件。
由于自由联盟已经启动了该模板,假设将有更加规范的配置文件模式,例如用于银行业数据、个人配置文件数据等,具有定义明确的元素名称和定义的数据语义。每种这类配置文件类型都将被明确定义,后面跟随一个给定的结构并指定该规范的配置文件内包含了哪些数据。这将使得采用具有明确定义的语义并且以标准化的方式来检索特定种类的信息成为可能。根据本发明的方法独立于可能被操作的配置文件的类型,并且因此将使得SP之间的广泛的协同操作性成为可能。
[0064] 此外,DST的创建和删除消息的语义略有改变。在自由联盟的数据服务模板规范中,创建和删除消息用于创建和删除整个数据记录,在本发明的术语中即整个配置文件或帐户。要创建或删除配置文件内的数据,使用修改(Modify)请求。通过将创建和删除消息的影响仅限制于特定的配置文件内的数据的创建和删除,来改变语义。这样做是因为假设服务提供商需要完全控制整个配置文件/账户的创建和删除,并且由于协议因此变得更容易且更简洁。这种语义上的变化需要向创建(Create)消息添加选择(Select)语句,以采用XPATH表达式来指明应当在配置文件内的哪里创建新数据。
[0065] 就像在DST中提到的一样,配置文件数据、或数据服务应该以XML结构表示。这并不意味着用于DST处理的数据只能是XML结构化数据,但是对于需要采用根据本发明所述的方法来处理的数据,必须存在抽象层,该抽象层暴露该数据,就好比该数据是XML结构化数据一样。
[0066] DST消息并不知道其配置文件数据受到请求的影响的用户(主题)。此外,它们不承载任何可能被用于断言请求方或验证消息完整性的信息。最后,无法在DST消息内提供身份管理。该功能必需由承载协议(即承载DST消息的协议)来提供。SAML 2.0是企业IdM解决方案的事实标准。SAML 2.0是一种很好理解的协议,并且已经得到广泛使用。为了不影响现有的技术,选择通过定义新的请求和响应类型来扩展SAML协议。
[0067] 图2是说明了根据本发明实施例的SAML DST请求消息的示意图。图2所说明的SAM LDST请求是一种衍生自SAML的SubjeciQueryAbsiractType的新类型。通过衍生自现有的请求类型,能够确保身份管理所需的SAML消息的益处和属性得到保存,例如,消息签名、安全、主题等。因此,SAML DST请求包含识别用户的主题字段、可用于识别请求始发方的发送方字段,以及包含消息签名结果的签名元素。
[0068] 如图2所示,另外定义了包含DST请求的新元素。使用SAML DST时,作出请求的SP能够精确地指定谁的(主题所给定的)用户配置文件将要受到SAML消息内发送的DST请求的影响。此外,由于SAML支持标识符映射信息的交换,主题标识符可能是用户的假名,因此不仅隐藏了用户的真实身份而且允许用户标识符在服务提供商域之间映射。这是真正的跨域适用性的先决条件之一。
[0069] 图3是示出了本发明实施例的、作为对SAM LDST请求的应答的SAML DST响应消息的示意图。图3中所示的SAML DST响应衍生自众所周知的SAML响应类型(StatusResponseType),确保了响应能够包含状态、签名等。
[0070] SAML DST响应包含保存关于应当在重试请求中使用的主题名称的信息的元素。如果身份提供商以一种对等的方式在各个域之间映射主题标识符,那么这种功能是需要的。而且,增加了在DST响应内声明几个DST容器(DSTContainer)元素的可能性。
[0071] 每个DSTContainer元素包含对DST请求的响应以及能够用于引导到发出了DST响应的服务提供商的标识符。例如,在响应失败或意外响应的情况下,该标识符能够由作出请求的SP用于联系特定的提供服务的SP。该标识符还可进一步用于,例如,在分布式用户配置文件管理用户界面中,向用户指明哪些服务提供商作出了何种响应。
[0072] 值得注意的是,由于SAML DST请求正好包含一个DST请求,所以每个提供服务的服务提供商将采用DSTContainer元素内的一个DST响应来作出响应。一个SAML DST响应内需要有几个DSTContainer元素是由于让身份提供商将几个DST响应累积到一个SAML DST响应中的要求引起的。但是,这项要求仅适用于图4中所说明的代理模式。
[0073] 图4是示出了在身份提供商作为SAML DST代理的情况下的示例消息流的序列图。SAML DST消息直接用于作出请求的SP和提供服务的SP之间。但是,为了分离请求方和响应方并提供尊重用户隐私的跨域配置文件数据管理,身份提供商参与了SAML DST消息的交换。因此,实施了一种对身份提供商的扩展并将其融入到消息流中。
[0074] 如图4的步骤1.0中的说明,用户通过给定的假名访问SP-A。为了查询或操作该用户的配置文件,SP-A创建了采用该用户的假名作为主题的SAML DST消息以及影响用户的特定的数据的DST消息。在步骤1.2中,SP-A向身份提供商发送SAML DST消息。由于用户的假名仅在SP-A的域范围内有效,所以身份提供商创建对作出请求的SP和提供服务的SP均有效的临时假名。然后身份提供商采用指明应当在查询中使用的临时假名的SAML DST重试消息作出响应。如果SP-A的消息签名需要保存完好,那么这一做法是必要的。一种更简单的方法是,身份提供商在SAML DST消息内更换假名,但是这种做法将会破坏SP-A的签名。提供服务的SP将仅能够验证身份提供商的签名而不再验证始发SP的签名。这并不总是一种
缺陷,但是这取决于SP之间的信任和业务关系。
[0075] 在图4的步骤1.5中,SP-A发送了新的采用临时假名作为主题的SAML DST消息。在步骤1.6中,身份提供商查找哪些SPs能够处理影响在传入的请求中指定的配置文件类型的DST请求。例如,如果DST请求影响um:banking:profiie:data类型的配置文件,那么身份提供商将会查找用户已向其订阅服务的所有银行。此信息必须提供给身份提供商,这通常通过已有帐户联合步骤来建立。
[0076] 在图4的步骤1.7中,身份提供商将请求转发至第一个提供服务的SP(SP-B),第一个提供服务的SP(SP-B)最先尝试将来自请求的临时假名解析为本地用户ID。这将识别用户的配置文件。身份提供商按照IdM情境中的惯例,解析临时ID。在那之后,SP-B处理DST请求,并采用包括对DST请求的响应的SAML DST响应来应答(步骤1.11)。
[0077] 身份提供商针对所有可用的SP重复此过程,并且积累每个提供服务的SP的响应。最后,(步骤1.18)身份提供商返回包含来自提供服务的SP的所有DST应答的SAML DST响应。此外,对于每个DST响应,它包含ID以识别各自的DST响应方,即提供服务的SP。
[0078] 在整个过程中,身份提供商能够根据该用户定义的访问控制策略,拒绝访问特定的配置文件信息或提供服务的SP。而且,每个提供服务的SP对于他存储的配置文件信息具有完全的访问和修改权。因此,每个SP能够确保只允许访问有限子集或根本不允许访问任何信息。
[0079] 通过使用SP发布的元数据(这是自由联盟的IdM解决方案中的一个共同理念),身份提供商或作出请求的SP可以发现SP支持哪种配置文件类型。提供服务的SP仅需指定已发布的元数据内的支持的用户配置文件类型。该配置文件类型可以简单地通过唯一的配置文件模式命名空间来识别,该唯一的配置文件模式命名空间也被用于识别SAML DST消息内的配置文件类型。
[0080] 图5是说明了在身份提供商作为作出请求的服务提供商的发现服务器而发现可能的提供服务的服务提供商的情况下的示例消息流的序列图。作为先决条件,身份提供商、作出请求的SP和提供数据的SP结成联盟。尤其是,提供数据的SP有用户信息(账户)储存库,并且已经将那个账户与身份提供商联合起来。即,在身份提供商处存在提供数据的SP可以用来识别本地用户数据帐户的账户映射标识符。
[0081] 在图5的步骤1.0中,作出请求的SP向身份提供商发送包括作为主题的用户的假名的SAM LDST请求。身份提供商检查签名以确保请求是有效的(步骤1.1),找出哪种配置文件类型将经过DST处理(步骤1.2和1.3),找到可以为这类特定用户的这类请求提供服务的SP(步骤1.4和1.5),并且创建能够被提供服务的SP用于识别用户的临时假名。这将通过名称ID(namelD)映射来建立。
[0082] 然后,身份提供商使用临时假名更换SAML DST消息的主题并且使用其签名来对该消息进行签名。由于更改请求破坏了作出请求的SP的签名,身份提供商向作出请求的SP发送SAML DST响应,该SAMLDST响应包含改变的请求以及能够对改变的请求提供服务并且已经为临时假名建立了名称ID(namelD)映射的提供服务的SP的端点统一资源定位符(URLs)(步骤1.9)。身份提供商可能已经执行了访问政策并且例如已经从URL列表中排除了某些SP。
[0083] 作出请求的SP将对SAM LDST请求重新签名(他这样做,是因为他相信身份提供商)并将请求发送给作出请求的SP已经检索到联系URL的一个或几个SP。然后每个提供服务的SP能够检查身份提供商和作出请求的SP两者的签名。提供服务的SP将假名解析为本地用户ID、对DST请求提供服务并采用SAML DST响应对作出请求的SP作出响应。
[0084] 从而,身份提供商的负担更少并且SP之间的对话更直接。另一方面,身份提供商不在消息循环之列,并且因此降低了他执行访问权限的能
力。此外,通过分发提供服务的SAML DST SP的端点URIs,作出请求的SP能够找到用户在哪里有账户。虽然作出请求的SP可以仅通过假名来识别用户,即,并非其真实身份,但这可能会
泄漏用户的隐私。
[0085] 受益于前面的
说明书和相关附图所呈现的教导,本发明所属领域的技术人员将会联想到本文所述的本发明的许多修改和其他实施例。因此,应理解为本发明并不局限于所公开的特定的实施例,修改和其他实施例也应被视为包含在所附权利要求的范围之内。虽然本文中使用了特殊术语,但仅从普遍的描述性的意义来使用它们,而不是出于限制的目的。
