CN104205723A - 用于透明地主存在云中的组织的身份服务 - Google Patents
用于透明地主存在云中的组织的身份服务 Download PDFInfo
- Publication number
- CN104205723A CN104205723A CN201380015627.8A CN201380015627A CN104205723A CN 104205723 A CN104205723 A CN 104205723A CN 201380015627 A CN201380015627 A CN 201380015627A CN 104205723 A CN104205723 A CN 104205723A
- Authority
- CN
- China
- Prior art keywords
- service
- territory
- computing platform
- cloud computing
- voucher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2117—User registration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
公开了本发明的用于在云计算平台上建立单一身份/单点登录(SSO)的各实施例。在一个实施例中,用户向云计算平台验证,并且标识域。在确立该用户具有对该域的控制之后,云计算平台配置用于该域的目录服务。该用户可随后使用云计算平台上的该目录服务来登录到他或她的计算机以及主控在云计算平台上的软件服务。
Description
背景
存在允许用户登录一次然后获得对多个软件系统的访问权的技术。也就是说,该用户获得对那些软件系统的每一个的访问权而无需登录到它们中的每一个。这些技术有时被称为“单点登录”(SSO)或者“单一身份”。然而,现有的SSO/单一身份技术存在许多问题,其中有些是众所周知的。
概述
实现SSO/单一身份的一个问题是必须被配置和安装的技术的量。为了实现SSO/单一身份,管理员必须能够配置并部署目录服务、联合服务、同步服务、域名服务(DNS)以及各操作系统。
SSO/单一身份中存在的另一问题与云计算平台所提供的服务有关。这类服务的示例包括基于云的文档和文件管理服务(诸如微软OFFICE 365SHAREPOINT ONLINE)、或者电子邮件服务(诸如微软OFFICE 365EXCHANGE ONLINE)。即使管理员实施场所内目录(即实施在他或她的场所内,而不是实施在云计算平台上),该SSO/单一身份不会延伸到云。另外,当SSO实现在场所内时,系统必须具有很好的可靠性。如果SSO/单一身份不工作,则用户可能既无法登录场所内服务,也无法登录云服务。
此处所描述的发明的主实施例用于SSO。可以理解的是,本发明可被用于以类似方式实施基于云的单一身份。本发明的实施例以将场所内和云SSO两者组合的方式为云中的服务提供SSO,并且提高了SSO的可靠性。本发明的实施例在其中没有场所内目录的云中实施SSO。通过诸如登录名和口令之类的凭证的使用来向云平台验证用户。用户随后标识他想要建立SSO的公共域,并且证明他具有对该域的控制。响应于此,实施例设立域控制器以及联合服务。经由SSO,域的用户随后既可登录到他们的计算机,又可访问云服务。
本发明的第二实施例在其中没有场所内目录服务的云中实施SSO,并且其中用户想要建立用于私有域的SSO。在这一实施例中,可按类似于上述的为公共域建立SSO的方式来建立SSO。然而,用户可不被要求证明他具有对私有域的控制。
本发明的第三实施例在其中没有场所内目录服务的云中实施SSO。在这一实施例中,可按类似于上述的为公共域建立SSO的方式来建立SSO。另外,用户提供凭证,以经由运行在场所内的虚拟专用网(VPN)来访问场所内域控制器。除了以上所执行的,实施例不仅将场所内域的数据复制到云域服务,还设立将在云域服务和场所内域服务之间复制数据、以及将数据从场所内域服务同步到由云计算平台主控的服务的同步服务。实施例还建立与场所内VPN端点的VPN连接,并且同步服务使用这一VPN连接来同步存储在云目录服务中的数据和存储在场所内目录服务中的数据。
本发明的这些实施例可经由VPN或类似连接将私有云扩展到客户的场所内基础结构。从私有云到客户的场所内基础结构的这一扩展允许客户扩展其功能,而无需添加可见的基础结构——所添加的基础结构对客户来说是不可见的,客户仅仅看到添加的功能。如此,场所内基础结构可保持相对简单,但功能增加了。从这一意义上来说,云基础结构可被逻辑地分成两类——(1)促进对公共云服务(例如,电子邮件)的SSO/单一身份访问的场所内基础结构的基于云的扩展,(2)公共云服务(例如,电子邮件)。场所内基础结构的基于云的扩展可插入代表客户的私有云足迹。这一私有云足迹将场所内同步服务、联合服务、以及目录服务等基于云的服务扩展到场所内网络。
附图简述
图1描绘了其中可实现本发明的各实施例的示例计算机。
图2描绘了其中可实现在云计算平台上建立SSO的各实施例的示例系统。
图3描绘了用于在云计算平台上建立SSO的示例操作规程。
图4描绘了用于以公共域在云计算平台上建立SSO的附加示例操作规程。
图5描绘了用于以私有域在云计算平台上建立SSO的附加示例操作规程。
图6描绘了用于在其中没有场所内目录的云计算平台上建立SSO的附加示例操作规程。
说明性实施例的详细描述
本发明的各实施例可以在一个或多个计算机系统上执行。图1及以下讨论旨在提供对其中可实现本发明的各实施例的合适计算环境的简要概括描述。
图1描绘了示例通用计算系统。通用计算系统可包括常规计算机20等,计算机20包括处理单元21。处理单元21可包括一个或多个处理器,它们中的每一个可具有一个或多个处理核。多核处理器(作为通常被称为具有不止一个处理核的处理器)包括单个芯片封装内所包含的多个处理器。
计算机20还可包括图形处理单元(GPU)90。GPU 90是被优化以操纵计算机图形的专用微处理器。处理单元21可将工作卸载到GPU 90。GPU 90可以具有其自己的图形存储器,和/或可以访问系统存储器22的一部分。如处理单元21那样,GPU 90可包括一个或多个处理单元,每一个都具有一个或多个核。
计算机20还可包括系统存储器22和系统总线23,系统总线23在系统处于操作状态时将包括系统存储器22的各个系统组件通信地耦合至处理单元21。系统存储器22可包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统26(BIOS)被存储在ROM 24中,该基本输入/输出系统26包含了诸如在启动期间帮助在计算机20内的元件之间传输信息的基本例程。系统总线23可以是若干类型的总线结构中的任一种,包括实现各种总线体系结构中的任一种的存储器总线或存储器控制器、外围总线、以及局部总线。耦合到系统总线23的可以是直接存储器存取(DMA)控制器80,该DMA控制器80被配置成独立于处理单元21从存储器读取和/或写入存储器。另外,连接到系统总线23(诸如存储驱动器接口32或磁盘驱动器接口33)的设备可被配置成也是独立于处理单元21从存储器读取和/或写入存储器,而无需使用DMA控制器80。
计算机20还包括用于读写硬盘(未示出)或固态盘(SSD)(未示出)的存储驱动器27、用于读写可移动磁盘29的磁盘驱动器28,以及用于读写诸如CD ROM或其他光学介质之类的可移动光盘31的光盘驱动器30。硬盘驱动器27、磁盘驱动器28和光盘驱动器30被示为分别通过硬盘驱动器接口32、磁盘驱动器接口33和光盘驱动器接口34来连接到系统总线23。驱动器及其相关联的计算机可读存储介质为计算机20提供了对计算机可读指令、数据结构、程序模块,及其他数据的非易失性存储。
虽然这里描述的示例环境采用硬盘、可移动磁盘29和可移动光盘31,但本领域技术人员应理解,在该示例操作环境中也能使用可存储能由计算机访问的数据的其他类型的计算机可读介质,如闪存卡、数字视频盘、数字多功能盘((DVD)、随机存取存储器(RAM)、只读存储器(ROM)等。通常,这些计算机可读存储介质能够被用于一些实施例中来存储实现本公开的各方面的处理器可执行指令。计算机20也可包括主适配器55,其通过小型计算机系统接口(SCSI)总线56连接到存储设备62。
包括计算机可读指令的若干程序模块可存储在诸如硬盘、磁盘29、光盘31、ROM 24或RAM 25之类的计算机可读介质上,包括操作系统35、一个或多个应用程序36、其他程序模块37、以及程序数据38。一旦由处理单元执行,计算机可读指令使得下文中更详细描述的动作被执行或使得各种程序模块被实例化。用户可以通过诸如键盘40和定点设备42之类的输入设备向计算机20中输入命令和信息。其他输入设备(未示出)可包括话筒、游戏杆、游戏手柄、圆盘式卫星天线、扫描仪等等。这些及其他输入设备常常通过耦合到系统总线的串行端口接口46连接到处理单元21,但是,也可以通过诸如并行端口、游戏端口、或通用串行总线(USB)之类的其他接口来连接。显示器47或其他类型的显示设备也可以通过诸如视频适配器48之类的接口连接到系统总线23。除了显示器47之外,计算机通常包括其他外围输出设备(未示出),如扬声器和打印机。
计算机20可使用到一个或多个远程计算机(诸如,远程计算机49)的逻辑连接而在联网环境中操作。远程计算机49可以是另一个计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,并通常可包括以上相对于计算机20描述的许多或所有元件,但是在图1中只示出存储器存储设备50。图1中所描绘的逻辑连接可包括局域网(LAN)51和广域网(WAN)52。这样的联网环境在办公室、企业范围的计算机网络、内联网和因特网中是普遍的。
当用于LAN联网环境中时,计算机20可通过网络接口或适配器53连接到LAN 51。当用于WAN联网环境中时,计算机20可通常包括调制解调器54,或用于通过诸如因特网之类的广域网52建立通信的其他手段。可以是内置的或外置的调制解调器54可通过串行端口接口46连接到系统总线23。在联网环境中,相关于计算机20所示的程序模块或其部分可被存储在远程存储器存储设备中。应当理解,所示的网络连接是示例性的,并且可使用在计算机之间建立通信链路的其它手段。
在其中计算机20被配置成在联网环境中操作的实施例中,操作系统35被远程存储在网络上,而计算机20可通过网络启动这一远程存储的操作系统,而不是从本地存储的操作系统中启动。在一实施例中,计算机20包括瘦客户机,其中操作系统35少于完整的操作系统,而是被配置成处理联网以及诸如在监视器47上显示输出的内核。
图2描绘其中可实现在云计算平台上建立SSO的各实施例的示例系统。图2中描绘的计算机可被实现在图1的计算机20中。SSO系统准许用户登录一次,并且从那次登录起,获得对多个软件系统的访问权。在一示例SSO环境中,用户可最初被提示输入凭证(诸如登录名和口令),并且响应于提供有效凭证,用户被授予票据授权票据(TGT,诸如Kerberos票据)。当其它软件系统要求登录时,那些应用查询TGT以获取服务票据,该服务票据向那些软件系统证明用户的身份而无需用户再次登录。在各版本微软WINDOWS操作系统环境中,WINDOWS login(登录)在用户向WINDOWS login提供凭证之后取得TGT。随后,知晓ACTIVE DIRECTORY(活动目录)的应用可查询该TGT以查找服务票据。
如所描绘的,图2的总体部分是云计算平台204,其经由全局网络202连接到企业内联网218和计算机222两者,计算机222位于企业内联网218之外。计算机222不具有场所内目录服务,而企业内联网218具有场所内目录服务——场所内目录服务212。计算机22和企业内联网218可各自建立基于云的SSO。
云计算平台(诸如微软WINDOWS AZURE PLATFORM云计算平台)一般为一个或多个用户提供计算资源作为服务(与物理产品相对)。这类服务的示例是诸如在各版本微软OFFICE 365中所提供的电子邮件服务、日历服务、联系人服务、网页托管服务、文档存储和管理服务、以及电子表格、演示以及文档查看和编辑服务。如此处所描绘的,这些服务中的一个或多个可由云计算平台204中的云服务220来提供。云计算平台可被实施在计算机数据中心中。这一平台可包括用作平台的外部联络点的一个或多个网关计算机、负载平衡计算机(其平衡平台的各计算机之间的负载)、以及虚拟机(VM)主控计算机(其主控在云计算平台上执行的VM)。当用户访问云计算平台时,他或她可与VM中的一个或多个VM(该用户的服务在其中被处理)交互。这些VM可在VM主机之间迁移以优化系统性能(诸如以平衡负载、或使一台VM主机离线以供维护)。用户可不知晓云计算平台的具体实现方式,取而代之地,用户可知晓云计算平台在这一未知系统架构的顶层提供的那些服务。
首先要讨论的是建立用于计算机222的基于云的SSO,计算机222不具有场所内的目录服务。目录服务可包括被用于认证域内的用户和/或计算机的数据库。这一目录服务的示例是微软ACTIVE DIRECTORY目录服务。如所描绘的,计算机222不与企业内联网218相关联,并且因此,建立用于企业内联网218的基于云的SSO不会建立用于计算机222的SSO。计算机222的用户可通过全局网络202(诸如因特网)连接到云计算平台204。如描绘的,云计算平台204包括云目录服务206、联合服务208、以及同步服务210。云计算平台204的这些服务被逻辑地描绘,并且可被实现在少于(或多于)三台计算机上。
计算机222的用户可通过提供凭证(诸如登录名和口令)来登录到云计算平台204,云计算平台204验证所提供的凭证。一旦经验证,可向计算机222呈现用于建立基于云的SSO的用户界面。这一用户界面可以是例如计算机222在web浏览器中显示的网页的一部分。
用户可将指示想要建立基于云的SSO以及要被用于建立SSO的域的标识的数据输入到用户界面中。这一信息可被发送到云计算平台204。在一个实施例中,云计算平台204确定计算机222所标识的域是私有域(例如,contoso.local;私有域有时被称为伪域)。在另一实施例中,云计算平台204确定计算机222所标识的域是公共域(例如,contoso.com)。
当域是私有域时,云计算平台204可确定对于私有域的控制的证明不需要被提供。对于域的控制的证明不需要被提供可能是因为作为私有域,对它的使用已经被限于计算机222的内联网。
当域为公共域时,云计算平台204可建立关于计算机222的用户具有对该公共域的控制的证明。这可通过云计算平台生成并发送数据给计算机222来实现——例如,数据可包括与计算机222提供的凭证相关联的用户标识符(UID),UID具有在云计算平台204上的各UID中的唯一值。这一数据可被计算机222接收,并随后存储在域上一已知的、公共的位置(例如,在域上的邮件交换机(MX)记录中或者域TXT(文本)记录中)。在该数据被移动到已知位置之后,计算机222可通知云计算平台204这已经发生。接着,云计算平台204可获取该存储在已知的公共位置处的数据,并且验证该数据与云计算平台204发送给计算机202的数据相匹配。在其中已知的公共位置是web服务器的实施例中,云计算平台204可通过经由超文本传输协议(HTTP)下载该数据来获取该数据。
在这些已描述的实施例中,证明对域的控制可被视为证明将文件存储在域上的已知的公共位置的能力。
当云计算平台204已确定该域是私有域时,或者确定该域是对其的控制已被证明的公共域时,云计算平台204可随后建立用于该域的基于云的SSO功能。建立其中没有场所内活动目录的基于云的SSO可包括设立联合服务208和目录服务206。联合服务可包括促进跨软件和组织边界(例如,跨执行在云计算平台上的多个软件系统)证明身份的计算机服务。联合服务可与目录服务交互,使得目录服务最初认证用户,而联合服务进一步跨软件或组织边界认证这一身份。联合服务可使用基于主张的认证,藉此基于与受信任的令牌(诸如在用户已向目录服务认证之后从目录服务接收的令牌)内包含的用户的身份有关的一组主张来认证用户。联合服务的示例是微软ACTIVE DIRECTORYFEDERATION SERVICE(AD FS)联合服务。在建立了基于云的SSO之后,计算机222以及计算机222为其建立SSO的域上的其它计算机可登录,并且可经由单一身份/SSO来访问云计算平台204所提供的各个软件系统。
除了建立其中没有场所内目录服务的基于云的SSO,图2还描绘了可为其建立其中确实存在场所内目录服务的基于云的SSO的计算机。如所描绘的,企业内联网218具有场所内目录服务212(以及VPN端点214和计算机216)。场所内目录服务212可提供类似于云目录服务206的功能:场所内目录服务212可验证用户凭证以访问企业内联网218内的计算机和软件系统。VPN端点214可用作为连接到企业内联网218的内联网以及全局网络202两者的通信点。VPN端点214可将企业内联网218内提供的功能提供给企业内联网218之外的已通过VPN端点214认证的计算机。也就是说,已通过VPN端点214认证的计算机可访问企业内联网218的服务和功能,就像那些计算机位于企业内联网218内一样。
企业内联网的计算机216可与云计算平台204通信以建立结合场所内目录服务212的基于云的SSO。验证凭证、标识域、以及设立目录服务206和联合服务208的操作可类似于针对其中没有场所内目录服务的基于云的SSO来描述的那样执行。在凭证已被验证并且域已被标识(并且在公共域的情况下,对公共域的控制已被证明)之后,建立具有场所内目录的基于云的SSO可与建立不具有场所内目录的基于云的SSO不同,因为前者可能涉及在场所内目录服务212和云目录服务206之间复制数据两者。
云计算平台204可最初将数据从场所内目录服务212复制到云目录服务206。在这一最初复制之后,云计算平台204可通过设立同步服务210在场所内目录服务212和云目录服务206之间复制数据。同步服务210可执行在云目录服务206和场所内目录服务212之间复制数据的功能。除了这一复制,同步服务210还可执行在场所内目录服务212和云服务220之间同步数据的功能。云服务220可包括包含应用(例如,电子邮件)和身份基础结构的多承租人服务平台——诸如多承租人目录和身份服务。在各实施例中,在云目录服务206和场所内目录服务212之间复制数据的操作可经由VPN连接224来进行。VPN连接224可被使用,因为这些操作使用一般不可用在因特网上的协议(诸如微软ACTIVE DIRECTORY目录服务的复制协议)。在各实施例中,在场所内目录服务212和云服务220之间同步数据的操作可经由非VPN连接来进行。非VPN连接可被使用,因为用于这些操作的协议一般在因特网上可用(诸如通过公共web服务接口)。
除了设立同步服务210,云计算平台204还可提示计算机216提供可被用于访问企业内联网218和场所内目录服务212两者的凭证。这可以是可被用于访问企业内联网218和场所内目录服务212两者的单个凭证。
云计算平台可使用被提供的凭证来建立与VPN端点的VPN连接224,并且使用这一连接以及该凭证来访问场所内目录服务206。需要注意的是,在各实施例中,企业内联网218和云计算平台204之间的某些通信可能发生在不是VPN连接的网络连接上。于是,同步服务210可在云目录服务206和场所内目录服务212之间复制数据。因此,企业内联网218内的场所内目录服务206所提供的SSO功能被扩展到由云计算平台204提供的云目录服务206以及软件系统。
图3描绘用于在云计算平台上建立SSO的示例操作规程。可以理解,存在本发明的不实施图3(或图4-6)中描绘的全部操作的实施例,以及本发明的以与此处所描绘的不同的顺序实施图3(或图4-6)中描绘的操作的实施例。例如,图3的操作可被实施在图2的云计算平台204上。
操作302描绘了验证用户凭证。在一个实施例中,这一用户凭证可以是从计算机(诸如,计算机222或计算机216)接收的凭证,并且因此,该操作可包括验证与计算机相关联的用户凭证。
操作304描绘了接收要为其建立SSO的域的标识。这一指示可从提供在操作302中所标识的用户凭证的计算机接收。例如,云计算平台204可经由网页向计算机216或计算机222提供用户界面,并且标识要为其建立SSO的域的数据可被输入该网页。
操作306描绘了配置云计算平台以授权来自该域的用户的登录。操作306可在用户凭证已在操作302中被验证的情况下执行。操作306可包括在云计算平台上为该域的用户配置目录服务和联合服务。
操作308描绘了基于确定目录服务授权与对域的计算机的登录相关联的凭证来授权该登录。在各实施例中,操作308包括响应于确定目录服务授权与对另一计算机的登录相关联的凭证来授权该登录。
操作310描绘了授权与该登录相关联的凭证访问云计算平台上提供的软件服务。操作310可响应于确定目录服务授权与该登录相关联的凭证来执行。
图4描绘用于以公共域在云计算平台上建立SSO的附加示例操作规程。在其中图4的操作规程结合图3的操作规程来执行的实施例中,图4的操作规程(其可被用于确定请求者具有对正考虑的域的控制)可在操作306(其中云计算平台可被配置成授权来自域的登录)之前实施。
操作402描绘了确定域是公共域。这可包括解析该提供域(例如,contoso.com)以确定该域包含可公开使用的顶级域名(例如,.COM或.NET)(与例如私有的顶级域名如.LOCAL相对)。
操作404描绘了发送数据给计算机。操作404可响应于确定域是公共域来执行。相反,当确定该域是私有域时,可实施图5的操作规程。数据可包括可被存储在域中一已知的、可公共访问(或者可以其它方式通过使用提供给云计算平台204的凭证来访问)的位置的信息。例如,当云计算平台204维护用于云计算平台204的每个用户的用户标识符(UID)并且这些UID中存储的值在UID之中是唯一的时,云计算平台204可将这一UID作为数据发送给计算机。响应于接收到该数据,计算机可随后将该数据存储在域内一已知的、可公共访问的位置处。
操作406描绘了确定该数据可在域中的已知位置处访问。在各实施例中,操作406包括确定数据存储在域中的邮件交换机(MX)记录内,或确定数据存储在域中的域TXT记录内。当数据存储在web服务器上时,操作406可包括云计算平台204作出获取被存储在该已知位置处的数据的超文本传输协议(HTTP)请求。随后,云计算平台204可将这一获取的数据与其在操作404提供给计算机的数据作比较,并确定值是否匹配(这指示请求者具有访问取或对该域的控制)或者值是否不同(这指示请求者未显示足够的访问权或对域的控制来建立用于该域的基于云的SSO)。
图5描绘了用于以私有域在云计算平台上建立SSO的附加示例操作规程。在其中图5的操作规程结合图3的操作规程来执行的实施例中,图5的操作规程(其可被用于确定请求者具有对正考虑的域的控制)可在操作306(其中云计算平台可被配置成授权来自域的登录)之前实施。
操作502描绘了确定域是私有域。这可包括解析所提供的域(例如,contoso.com)以确定该域包含不可公开使用的顶级域名(例如,.LOCAL)(与例如可公开私有的顶级域名如.COM或NET相对)。
操作504描绘了确定对该域的控制不需要被证明。当域是私有域时,对域的控制可根据该域是私有的这一属性来推测——例如,由于私有域对于该私有域存在于其上的内联网来说是本地的,因此可推测到对它的控制。因此,当域是私有域时,云计算平台204可确定没有额外的对域的控制的证明是必要的(诸如经由图4的操作规程),并且云计算平台可随后开始配置云计算平台以授权来自该私有域的用户的登录。
图6描绘了用于在其中没有场所内目录的云计算平台上建立SSO的附加示例操作规程。在各实施例中,图6的操作规程可被用于建立用于企业内联网218的云计算平台204上的SSO,企业内联网218具有场所内目录212。
操作602描绘了确定域具有场所内目录服务。在各实施例中,操作602可包括提示请求建立基于云的SSO的实体输入对于该实体是否具有场所内目录服务的指示。例如,当云计算平台204在网页中向计算机216提供用户界面时,这一用户界面还可包含被配置成允许对存在场所内目录的指示的用户界面元素。
操作604描绘了配置云计算平台上的同步服务。这一同步服务既可被用于在场所内目录服务和云计算平台之间复制数据,也可被用于在场所内目录服务和云计算平台上的云服务之间同步数据。操作604可响应于确定域具有场所内目录服务而执行。当域不具有场所内目录服务时,云计算平台204可确定不结合建立基于云的SSO来配置同步服务。
操作606描绘了接收对于虚拟专用网(VPN)端点的指示以及用于访问场所内目录服务的凭证。使用图2的示例系统,这一VPN端点可以是VPN端点218。当如操作602中,云计算平台204在网页中向计算机216提供用户界面时,这一用户界面还可包括被配置成用于输入用于该VPN端点和场所内目录服务的凭证的用户界面元素。
操作608描绘了由云计算平台使用该用于访问场所内目录服务的凭证来建立与VPN端点的VPN连接。一旦VPN连接被建立,同步服务210不仅可在场所内目录服务212和云目录服务206之间复制数据,也可在场所内目录服务212和云服务220之间同步数据,如操作610中所描绘的。
从云计算平台204到企业内联网218的这一VPN连接的建立可被视为在与更典型的VPN连接相反方向上建立VPN连接。在更典型的情景中,计算机222可发起与企业内联网218的VPN连接以将企业内联网218提供的功能扩展到计算机222。相反,此处,云计算平台204发起与企业内联网218的连接以将云计算平台204提供的功能扩展到企业内联网218。换句话说,取代计算机222建立VPN连接来增加它从企业内联网218接收的功能,云计算平台204建立VPN连接以增加提供给企业内联网218的功能(这一功能包括扩展到由云计算平台204所提供的软件系统的基于云的SSO,其中需要用于该基于云的SSO的凭证)。
操作610描绘了使用同步服务在云计算平台上的目录服务和场所内目录服务之间复制数据。当数据在云目录服务206或场所内目录服务212中的任意一者上被修改时(例如,在这些目录服务中的一个上创建了一个新的用户帐户),同步服务210可监视这些目录服务上的修改,并且当同步服务210检测到这一修改时,它可修改相应地另一个目录服务,使得目录服务206和场所内目录服务212包含相同的SSO信息。
尽管已经结合各附图所示的较佳方面描述了本发明,但要理解,可使用其他相似方面或者可对所述方面进行修改或添加来执行本发明的相同功能而不脱离本发明。因此,本发明不应该仅限于任何单个方面,而是应该在根据所附权利要求书的广度和范围内解释。例如,本文描述的各种过程可用硬件或软件、或两者的组合来实现。本发明可以用计算机可读存储介质和/或计算机可读通信介质来实现。由此,本发明或其某些方面或部分可采用包含在诸如软盘、CD-ROM、硬盘驱动器或任何其他机器可读存储介质等有形介质中的程序代码(即,指令)的形式。同样,本发明或其某些方面或部分可实现在传播信号中,或任何其他机器可读通信介质。当程序代码被加载到诸如计算机等机器并由其执行时,该机器变为被配置成实施所公开的各实施例的装置。除了此处明确阐述的具体实现之外,考虑此处所公开的说明书,其他方面和实现将对本领域的技术人员是显而易见的。说明书和所示实现旨在仅被认为是示例。
Claims (10)
1.一种用于在云计算平台上建立单一身份的方法,包括:
验证与计算机相关联的用户凭证;
从所述计算机接收对于要为其建立单一身份的域的标识;
响应于验证所述用户凭证,配置所述云计算平台上的目录服务以供来自所述域的用户的登录;
响应于确定所述目录服务授权与对另一计算机的登录相关联的凭证,确定准许该登录;以及
响应于确定所述目录服务授权与用于访问在所述云计算平台上提供的软件服务的登录相关联的凭证,授权与该登录相关联的凭证。
2.如权利要求1所述的方法,其特征在于,还包括:
确定所述域具有场所内目录服务;
响应于确定所述域具有场所内目录服务,配置所述云计算平台上的同步服务以供在所述云计算平台上的目录服务和所述场所内目录服务之间复制数据;
接收对于虚拟专用网(VPN)端点的指示以及用于访问所述场所内目录服务的凭证;
由所述云计算平台使用所述用于访问场所内目录服务的凭证来建立与所述VPN端点的VPN连接;以及
使用所述同步服务在所述云计算平台上的目录服务和所述场所内目录服务之间复制凭证数据。
3.如权利要求1所述的方法,其特征在于,配置所述云计算平台上的目录服务以供来自所述域的用户的登录进一步包括:
为所述域的用户配置所述云计算平台上的联合服务。
4.如权利要求1所述的方法,其特征在于,配置所述云计算平台上的目录服务以供来自所述域的用户的登录包括:
确定所述域是公共域;
响应于确定所述域是公共域,发送数据给所述计算机;
确定所述数据可在所述域中的已知位置处访问。
5.如权利要求4所述的方法,其特征在于,确定所述数据可在所述域中的已知位置处访问包括:
确定所述数据被存储在所述域中的邮件交换机(MX)记录内。
6.如权利要求4所述的方法,其特征在于,确定所述数据可在所述域中的已知位置处访问包括:
确定所述数据被存储在所述域中的域TXT记录(文本记录)内。
7.如权利要求1所述的方法,其特征在于,配置所述云计算平台上的目录服务以供来自所述域的用户的登录包括:
响应于确定所述域是公共域,确定对所述域的控制不需要被证明。
8.一种用于在云计算平台上建立单一身份的系统,包括:
处理器;以及
当所述系统工作时通信地耦合到所述处理器的存储器,所述存储器承载处理器可执行指令,当所述处理器可执行指令在所述处理器上执行时使得所述系统至少执行以下操作:
验证与计算机相关联的用户凭证;
从所述计算机接收对于要为其建立单一身份的域的指示;
响应于验证所述用户凭证,配置所述云计算平台上的目录服务以供来自所述域的用户的登录;
响应于确定所述目录服务授权与对另一计算机的登录相关联的凭证,确定准许该登录;以及
响应于确定所述目录服务授权与用于访问在所述云计算平台上提供的软件服务的登录相关联的凭证,授权与该登录相关联的凭证。
9.如权利要求8所述的系统,其特征在于,所述存储器还承载在所述处理器上执行时使得所述系统至少执行以下操作的处理器可执行指令:
确定所述域具有场所内目录服务;
响应于确定所述域具有场所内目录服务,配置所述云计算平台上的同步服务以供在所述云计算平台上的目录服务和所述场所内目录服务之间复制数据;
接收对于虚拟专用网(VPN)端点的指示以及用于访问所述场所内目录服务的凭证;
由所述云计算平台使用所述用于访问场所内目录服务的凭证来建立与所述VPN端点的VPN连接;以及
使用所述同步服务在所述云计算平台上的目录服务和所述场所内目录服务之间复制凭证数据。
10.如权利要求8所述的系统,其特征在于,在所述处理器上执行时至少使得所述系统配置所述云计算平台上的目录服务以供来自所述域的用户的登录的指令还使所述系统至少执行以下操作:
为所述域的用户配置所述云计算平台上的联合服务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/425,143 | 2012-03-20 | ||
| US13/425,143 US10176335B2 (en) | 2012-03-20 | 2012-03-20 | Identity services for organizations transparently hosted in the cloud |
| PCT/US2013/028121 WO2013142021A1 (en) | 2012-03-20 | 2013-02-28 | Identity services for organizations transparently hosted in the cloud |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104205723A true CN104205723A (zh) | 2014-12-10 |
| CN104205723B CN104205723B (zh) | 2017-09-12 |
Family
ID=49213595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380015627.8A Active CN104205723B (zh) | 2012-03-20 | 2013-02-28 | 用于透明地主存在云中的组织的身份服务 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10176335B2 (zh) |
| EP (1) | EP2829014B1 (zh) |
| JP (1) | JP6140268B2 (zh) |
| KR (1) | KR102060212B1 (zh) |
| CN (1) | CN104205723B (zh) |
| WO (1) | WO2013142021A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603588A (zh) * | 2015-10-14 | 2017-04-26 | 北京国双科技有限公司 | 服务器节点的处理方法及装置 |
| CN108293045A (zh) * | 2015-11-12 | 2018-07-17 | 微软技术许可有限责任公司 | 本地和远程系统之间的单点登录身份管理 |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9716619B2 (en) | 2011-03-31 | 2017-07-25 | NextPlane, Inc. | System and method of processing media traffic for a hub-based system federating disparate unified communications systems |
| US20130269017A1 (en) * | 2012-04-04 | 2013-10-10 | Salesforce.Com, Inc. | Centralized single sign on service for websites and online services |
| JP5893730B2 (ja) * | 2012-05-29 | 2016-03-23 | 株式会社日立システムズ | クラウドセキュリティ管理システム |
| US9639678B2 (en) * | 2012-06-29 | 2017-05-02 | Microsoft Technology Licensing, Llc | Identity risk score generation and implementation |
| US8881244B2 (en) * | 2012-08-13 | 2014-11-04 | International Business Machines Corporation | Authorizing computing resource access based on calendar events in a networked computing environment |
| US10243875B2 (en) * | 2012-12-03 | 2019-03-26 | Hewlett Packard Enterprise Development Lp | Cloud service management system |
| US10205717B1 (en) * | 2013-04-01 | 2019-02-12 | Amazon Technologies, Inc. | Virtual machine logon federation |
| US9426155B2 (en) * | 2013-04-18 | 2016-08-23 | International Business Machines Corporation | Extending infrastructure security to services in a cloud computing environment |
| US9705840B2 (en) | 2013-06-03 | 2017-07-11 | NextPlane, Inc. | Automation platform for hub-based system federating disparate unified communications systems |
| US9438596B2 (en) * | 2013-07-01 | 2016-09-06 | Holonet Security, Inc. | Systems and methods for secured global LAN |
| US9462068B2 (en) * | 2013-09-16 | 2016-10-04 | International Business Machines Corporation | Cross-domain inactivity tracking for integrated web applications |
| US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
| US9407615B2 (en) | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
| US9736159B2 (en) | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
| US10511566B2 (en) * | 2013-11-11 | 2019-12-17 | Amazon Technologies, Inc. | Managed directory service with extension |
| US9942199B2 (en) | 2013-12-31 | 2018-04-10 | Open Invention Network, Llc | Optimizing connections over virtual private networks |
| US10291745B2 (en) | 2014-03-28 | 2019-05-14 | Microsoft Technology Licensing, Llc | Cross-client integration of groups |
| US10924554B2 (en) * | 2014-05-05 | 2021-02-16 | Citrix Systems, Inc. | Application customization |
| US9674698B2 (en) | 2014-07-22 | 2017-06-06 | Nokia Technologies Oy | Method and apparatus for providing an anonymous communication session |
| US10257184B1 (en) | 2014-09-29 | 2019-04-09 | Amazon Technologies, Inc. | Assigning policies for accessing multiple computing resource services |
| US9641503B2 (en) * | 2014-10-03 | 2017-05-02 | Amazon Technologies, Inc. | Using credentials stored in different directories to access a common endpoint |
| US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
| CN104767621B (zh) * | 2015-04-16 | 2018-04-10 | 深圳市高星文网络科技有限公司 | 一种移动应用访问企业数据的单点安全认证方法 |
| US20160330164A1 (en) * | 2015-05-06 | 2016-11-10 | NextPlane, Inc. | System and Method of Federating a Cloud-Based Communications Service with a Unified Communications System |
| US11159527B2 (en) * | 2015-06-02 | 2021-10-26 | JumpCloud, Inc. | Integrated hosted directory |
| US9986019B2 (en) | 2015-06-24 | 2018-05-29 | At&T Intellectual Property I, L.P. | Intelligent route management for diverse ecosystems |
| CN105025035A (zh) * | 2015-08-05 | 2015-11-04 | 全球鹰(福建)网络科技有限公司 | 一种单点安全认证方法及系统 |
| US10291620B2 (en) * | 2015-11-25 | 2019-05-14 | Ricoh Company, Ltd. | Information processing apparatus, terminal apparatus, program, and information processing system for collaborative use of authentication information between shared services |
| JP6677496B2 (ja) | 2015-12-08 | 2020-04-08 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム |
| JP6682254B2 (ja) | 2015-12-08 | 2020-04-15 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー及びプログラム |
| US10244051B2 (en) * | 2015-12-13 | 2019-03-26 | Microsoft Technology Licensing, Llc | Cloud metadata discovery API |
| US10977359B2 (en) | 2017-05-15 | 2021-04-13 | Microsoft Technology Licensing, Llc | Automatic takeover of applications installed on client devices in an enterprise network |
| US10623374B2 (en) * | 2017-06-09 | 2020-04-14 | Microsoft Technology Licensing, Llc | Automatic network identification for enhanced communications administration |
| US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
| US10778691B1 (en) * | 2017-12-07 | 2020-09-15 | Amazon Technologies, Inc. | Dynamic security policy consolidation |
| JP7099198B2 (ja) | 2018-09-03 | 2022-07-12 | 富士フイルムビジネスイノベーション株式会社 | 管理装置、管理システム及びプログラム |
| US10326802B1 (en) * | 2018-12-04 | 2019-06-18 | Xage Security, Inc. | Centrally managing data for orchestrating and managing user accounts and access control and security policies remotely across multiple devices |
| US11159511B1 (en) | 2019-01-10 | 2021-10-26 | Microstrategy Incorporated | Authentication protocol management |
| US11038926B2 (en) * | 2019-01-23 | 2021-06-15 | Vmware, Inc. | System and method for embedding infrastructure security services into management nodes |
| EP4006816A4 (en) * | 2019-07-30 | 2023-08-09 | Kyocera Corporation | INFORMATION PROCESSING SYSTEM |
| US10715484B1 (en) * | 2019-12-11 | 2020-07-14 | CallFire, Inc. | Domain management and synchronization system |
| WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
| US20230127695A1 (en) * | 2021-10-27 | 2023-04-27 | Microsoft Technology Licensing, Llc | Cloud service artifact tokens |
| US20230306038A1 (en) * | 2022-03-22 | 2023-09-28 | Sigma Computing, Inc. | Managing access to usage data on a cloud-based data warehouse |
| US11831633B1 (en) * | 2023-04-12 | 2023-11-28 | Intuit Inc. | Bi-directional federation link for seamless cross-identity SSO |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006103176A1 (en) * | 2005-04-01 | 2006-10-05 | International Business Machines Corporation | Method for a runtime user account creation operation |
| CN101507233A (zh) * | 2006-08-22 | 2009-08-12 | 交互数字技术公司 | 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备 |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
Family Cites Families (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7421083B2 (en) | 2001-04-05 | 2008-09-02 | General Instrument Corporation | System for seamlessly updating service keys with automatic recovery |
| US7000006B1 (en) * | 2001-05-31 | 2006-02-14 | Cisco Technology, Inc. | Implementing network management policies using topology reduction |
| US7185359B2 (en) | 2001-12-21 | 2007-02-27 | Microsoft Corporation | Authentication and authorization across autonomous network systems |
| CA2473793C (en) | 2002-02-28 | 2014-08-26 | Telefonaktiebolaget L M Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US7221935B2 (en) | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US20040128542A1 (en) | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
| JP4617763B2 (ja) | 2003-09-03 | 2011-01-26 | ソニー株式会社 | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム |
| US8522039B2 (en) | 2004-06-09 | 2013-08-27 | Apple Inc. | Method and apparatus for establishing a federated identity using a personal wireless device |
| US7761911B2 (en) * | 2005-11-21 | 2010-07-20 | Oracle International Corporation | Method and apparatus for facilitating single sign-on |
| US20090178131A1 (en) * | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
| US9063993B2 (en) * | 2008-01-31 | 2015-06-23 | Microsoft Technology Licensing, Llc | Coexistence tools for synchronizing properties between on-premises customer locations and remote hosting services |
| EP2396742A2 (en) | 2009-02-10 | 2011-12-21 | Uniloc Usa, Inc. | Web content access using a client device identifier |
| US8566917B2 (en) * | 2010-03-19 | 2013-10-22 | Salesforce.Com, Inc. | Efficient single sign-on and identity provider configuration and deployment in a database system |
| US9461996B2 (en) * | 2010-05-07 | 2016-10-04 | Citrix Systems, Inc. | Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application |
| US9282097B2 (en) | 2010-05-07 | 2016-03-08 | Citrix Systems, Inc. | Systems and methods for providing single sign on access to enterprise SAAS and cloud hosted applications |
| US8370905B2 (en) | 2010-05-11 | 2013-02-05 | Microsoft Corporation | Domain access system |
| US9560036B2 (en) | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
| US8826451B2 (en) | 2010-08-16 | 2014-09-02 | Salesforce.Com, Inc. | Mechanism for facilitating communication authentication between cloud applications and on-premise applications |
| US8607054B2 (en) * | 2010-10-15 | 2013-12-10 | Microsoft Corporation | Remote access to hosted virtual machines by enterprise users |
| JP4892093B1 (ja) | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
| KR20120053369A (ko) * | 2010-11-17 | 2012-05-25 | 한국전자통신연구원 | 동기화 장치 및 방법 |
| US9596122B2 (en) * | 2010-12-03 | 2017-03-14 | International Business Machines Corporation | Identity provider discovery service using a publish-subscribe model |
| US20120179909A1 (en) * | 2011-01-06 | 2012-07-12 | Pitney Bowes Inc. | Systems and methods for providing individual electronic document secure storage, retrieval and use |
| US9497184B2 (en) | 2011-03-28 | 2016-11-15 | International Business Machines Corporation | User impersonation/delegation in a token-based authentication system |
| CN102739603B (zh) | 2011-03-31 | 2015-10-21 | 国际商业机器公司 | 单点登录的方法和设备 |
| US8769622B2 (en) * | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
| US8819801B2 (en) | 2011-10-31 | 2014-08-26 | Microsoft Corporation | Secure machine enrollment in multi-tenant subscription environment |
| US20140013409A1 (en) | 2012-07-06 | 2014-01-09 | Milind I. Halageri | Single sign on for cloud |
| WO2013071087A1 (en) | 2011-11-09 | 2013-05-16 | Unisys Corporation | Single sign on for cloud |
| US9838370B2 (en) | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
| US8850546B1 (en) | 2012-09-30 | 2014-09-30 | Emc Corporation | Privacy-preserving user attribute release and session management |
| US9509694B2 (en) | 2013-12-31 | 2016-11-29 | EMC IP Holding Company LLC | Parallel on-premises and cloud-based authentication |
| US20160014077A1 (en) | 2014-07-10 | 2016-01-14 | Aorato Ltd. | System, Method and Process for Mitigating Advanced and Targeted Attacks with Authentication Error Injection |
| US9544311B2 (en) | 2014-11-14 | 2017-01-10 | Sap Se | Secure identity propagation in a cloud-based computing environment |
| US9986033B2 (en) | 2015-03-17 | 2018-05-29 | Panzura, Inc. | Facilitating access to remote cloud services |
| US9641530B2 (en) | 2015-06-02 | 2017-05-02 | JumpCloud, Inc. | Integrated hosted directory |
| US9450944B1 (en) | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US10749854B2 (en) | 2015-11-12 | 2020-08-18 | Microsoft Technology Licensing, Llc | Single sign-on identity management between local and remote systems |
-
2012
- 2012-03-20 US US13/425,143 patent/US10176335B2/en active Active
-
2013
- 2013-02-28 EP EP13765123.8A patent/EP2829014B1/en active Active
- 2013-02-28 CN CN201380015627.8A patent/CN104205723B/zh active Active
- 2013-02-28 KR KR1020147026141A patent/KR102060212B1/ko active IP Right Grant
- 2013-02-28 WO PCT/US2013/028121 patent/WO2013142021A1/en active Application Filing
- 2013-02-28 JP JP2015501686A patent/JP6140268B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006103176A1 (en) * | 2005-04-01 | 2006-10-05 | International Business Machines Corporation | Method for a runtime user account creation operation |
| CN101507233A (zh) * | 2006-08-22 | 2009-08-12 | 交互数字技术公司 | 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备 |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603588A (zh) * | 2015-10-14 | 2017-04-26 | 北京国双科技有限公司 | 服务器节点的处理方法及装置 |
| CN108293045A (zh) * | 2015-11-12 | 2018-07-17 | 微软技术许可有限责任公司 | 本地和远程系统之间的单点登录身份管理 |
| US10749854B2 (en) | 2015-11-12 | 2020-08-18 | Microsoft Technology Licensing, Llc | Single sign-on identity management between local and remote systems |
| CN108293045B (zh) * | 2015-11-12 | 2021-01-26 | 微软技术许可有限责任公司 | 本地和远程系统之间的单点登录身份管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130254847A1 (en) | 2013-09-26 |
| EP2829014A1 (en) | 2015-01-28 |
| JP2015518198A (ja) | 2015-06-25 |
| KR20140138182A (ko) | 2014-12-03 |
| CN104205723B (zh) | 2017-09-12 |
| US10176335B2 (en) | 2019-01-08 |
| WO2013142021A1 (en) | 2013-09-26 |
| EP2829014A4 (en) | 2015-12-09 |
| EP2829014B1 (en) | 2018-02-21 |
| JP6140268B2 (ja) | 2017-05-31 |
| KR102060212B1 (ko) | 2019-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104205723A (zh) | 用于透明地主存在云中的组织的身份服务 | |
| US10447684B2 (en) | Hosted application sandbox model | |
| US11153296B2 (en) | Privacy-aware ID gateway | |
| EP2756444B1 (en) | Resource access authorization | |
| US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
| US9680964B2 (en) | Programming model for installing and distributing occasionally connected applications | |
| JP5698539B2 (ja) | オンラインアカウントへのアクセスを委任するシステムおよび方法 | |
| JP5928854B2 (ja) | ユーザ認証を管理するための方法、デバイス、及びシステム | |
| JP2022508899A (ja) | 個別化されたネットワークサービスのためのコンテナビルダ | |
| CN105379223A (zh) | 用于移动应用管理的对移动应用的身份的验证 | |
| CN105378744A (zh) | 在企业系统中的用户和设备认证 | |
| US20170041504A1 (en) | Service providing system, information processing apparatus, program, and method for generating service usage information | |
| WO2013119967A1 (en) | Systems and methods for password-free authentication | |
| US20190306169A1 (en) | System and method for managing access to stored objects | |
| US11245681B2 (en) | Authentication in a multi-tenant environment | |
| WO2016191376A1 (en) | Initial provisioning through shared proofs of knowledge and crowdsourced identification | |
| US8302165B2 (en) | Establishing trust relationships between computer systems | |
| TW200522631A (en) | Mobility device platform | |
| JP7222792B2 (ja) | 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム | |
| CN115361270B (zh) | 一种存储集群访问ad域的方法、装置及介质 | |
| US20240146543A1 (en) | Obtaining a domain certificate utilizing a proxy server | |
| Catrinescu et al. | Deploying SharePoint 2016 | |
| KR20240104878A (ko) | 큐버네티스 클러스터의 사용자 통합 인증 방법 및 서버 | |
| CN118043787A (zh) | 用于域内实体的组合授权 | |
| KR20100073884A (ko) | Id 연계 기반의 고객정보 중개 및 동기화 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171016 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |