A security architecture has been developed in which a single sign-on is provided for multiple information resources. Rather than specifying a single authentication scheme for all information resources, the security architecture associates trust-level requirements with information resources. Authentication schemes (e.g., those based on passwords, certificates, biometric techniques, smart cards, etc.) are employed depending on the trust-level requirement(s) of an information resource (or information resources) to be accessed. Once credentials have been obtained for an entity and the entity has been authenticated to a given trust level, access is granted, without the need for further credentials and authentication, to information resources for which the authenticated trust level is sufficient. The security architecture allows upgrade of credentials for a given session. This capability is particularly advantageous in the context of a single, enterprise-wide log-on. An entity (e.g., a user or an application) may initially log-on with a credential suitable for one or more resources in an initial resource set, but then require access to resource requiring authentication at higher trust level. In such case, the log-on service allows additional credentials to be provided to authenticate at the higher trust level. The log-on service allows upgrading and/or downgrading without loss of session continuity (i.e., without loss of identity mappings, authorizations, permissions, and environmental variables, etc.).

Een veiligheidsarchitectuur is ontwikkeld waarin één enkele sign-on voor veelvoudige informatiehulpbronnen wordt verstrekt. Eerder dan het specificeren van één enkele authentificatieregeling voor alle informatiehulpbronnen, associëert de veiligheidsarchitectuur vertrouwen-vlakke vereisten met informatiehulpbronnen. De regelingen van de authentificatie (b.v., die gebaseerd op wachtwoorden, certificaten, biometrische technieken, slimme kaarten, enz.) zijn tewerkgesteld afhankelijk van het vertrouwen-vlakke vereiste (s) van een informatiehulpbron (of informatiehulpbronnen) dat moet worden betreden. Zodra de geloofsbrieven voor een entiteit zijn verkregen en de entiteit op een bepaald vertrouwensniveau voor authentiek is verklaard, wordt de toegang verleend, zonder de behoefte aan verdere geloofsbrieven en authentificatie, aan informatiehulpbronnen waarvoor het voor authentiek verklaarde vertrouwensniveau volstaat. De veiligheidsarchitectuur staat verbetering van geloofsbrieven voor een bepaalde zitting toe. Dit vermogen is bijzonder voordelig in de context van een enige, op bedrijfsniveau opening van een sessie. Een entiteit (b.v., een gebruiker of een toepassing) kan aanvankelijk met geloofsbrieven het programma openen geschikt voor één of meerdere middelen in een eerste middelreeks, maar vereist dan toegang tot middel dat authentificatie vereist op hoger vertrouwensniveau. In dergelijk geval, laat de openings van een sessiedienst extra geloofsbrieven toe worden verstrekt om op het hogere vertrouwensniveau voor authentiek te verklaren. De openings van een sessiedienst staat bevorderend toe en/of degraderend zonder verlies van zittingscontinuïteit (d.w.z., zonder verlies van identiteitsafbeeldingen, vergunningen, toestemmingen, en milieuvariabelen, enz.).