CN105229987A - 主动联合的移动认证 - Google Patents
主动联合的移动认证 Download PDFInfo
- Publication number
- CN105229987A CN105229987A CN201480015693.XA CN201480015693A CN105229987A CN 105229987 A CN105229987 A CN 105229987A CN 201480015693 A CN201480015693 A CN 201480015693A CN 105229987 A CN105229987 A CN 105229987A
- Authority
- CN
- China
- Prior art keywords
- service
- token
- service request
- user
- relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
为了作出受信任的web服务调用,客户机应用发送一系列消息以获得允许服务请求传递通过服务中继的令牌。用户通过提供用户凭证来获得第一安全令牌。第二令牌获得自确认第一令牌的信任中介。两个令牌都随服务请求被发送至服务中继。服务中继确认该第二令牌并且然后将第一令牌和服务请求传递至连接器服务。连接器服务确认第一令牌并且将服务请求传递至目标后端服务。连接器服务在与后端服务通信时充当用户。服务响应通过连接器服务和服务中继被路由回用户。
Description
背景
许多企业为员工提供诸如企业资源规划(ERP)和客户关系管理(CRM)应用之类的后勤服务。这些应用典型地使用并存储诸如财务数据、联系信息、以及人事档案之类的机密且专有的公司信息。企业将对这些应用和相关联的信息的访问仅限于授权用户。
当用户在场时,企业能认证通过企业网络访问后勤服务的用户。然而,当用户离场时,就变得更难以认证用户以及以安全的方式提供服务。为了保持安全性,需要通过诸如智能电话或平板之类的移动客户端访问后勤服务的用户在被允许执行由所述服务暴露的动作之前必须被认证为被授权。
例如,许多公司使用花费报告系统来为员工报销他们为业务目的而产生的花费,以及使用时间报告系统来捕捉员工工时数。对员工而言,众多挑战之一是跟踪为业务目的而产生的各种花费以及在公司业务上工作的小时数,尤其在花费是在员工远离他的或她的计算机时产生的情况下。在现有系统中,员工需要使用某种其他过程,例如保存纸质收据以及记录工作的小时数,以便保持对花费和时间的跟踪。那些花费然后被添加到花费报告,而时间条目被归档在计时卡上。
概述
提供概述以便以简化形式介绍将在以下详细描述中进一步描述的一些概念的选集。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
为了作出受信任的web服务调用,客户端应用发送一系列消息以获得允许服务请求传递通过服务中继的安全令牌。用户通过提供用户凭证来获得第一令牌。第二令牌获得自确认第一令牌的信任中介。两个令牌都随服务请求被发送至服务中继。服务中继确认该第二令牌并且然后将第一令牌和服务请求传递至连接器服务。连接器服务确认第一令牌并且将服务请求传递至目标后端服务。连接器服务在与后端服务通信时充当用户。服务响应通过连接器服务和服务中继被路由回用户。
例如,在一实施例中,本发明帮助解决在雇员旅行或以其他方式远离其计算机时捕捉已发生的费用和工作时间的问题。移动电话应用出于费用报告目的而捕捉关键的费用信息和相关联的收据。也可以捕捉雇员时间条目。费用(例如,收据)和时间信息通过移动电话数据连接被发送至公司的费用和时间报告系统。这帮助雇员在旅行或以其他方式远离办公室时容易地捕捉信息,而无须保持跟踪纸质收据、现金付款金额或者远离办公室的工作时间。
附图简述
为了进一步阐明本发明的各实施例的以上和其他优点和特征,将参考附图来呈现本发明的各实施例的更具体的描述。可以理解,这些附图只描绘本发明的典型实施例,因此将不被认为是对其范围的限制。本发明将通过使用附图用附加特征和细节来描述和解释,附图中:
图1图示了为移动设备提供将数据发送至后勤服务和从后勤服务接收数据的能力的系统的各组件。
图2图示了在一实施例中的系统中的消息流程以允许移动设备与后勤服务通信。
图3图示其中来自在线授权服务的令牌可用于确认服务请求的示例系统。
图4图示不需要移动设备直接联系身份提供者的替代的消息流程。
图5是图示用于由移动设备获得凭证以使web服务调用经由服务中继访问企业服务的方法或过程的流程图。
图6是图示用于处理在企业网络中的连接器服务处的服务请求的方法的流程图。
图7解说了其上可以实现本发明各实施例的计算和联网环境的示例。
详细描述
本发明的各实施例允许与web服务调用耦合的用户身份信息从移动设备上的服务客户端(诸如客户端软件应用)通过服务中继流至后勤系统。
图1解说了向移动设备101(诸如智能电话或平板)提供将数据发送至后勤服务102(诸如ERP或CRM系统)和从后勤服务102接收数据的能力的系统的各组件。后勤服务102可以是企业网络103中受防火墙104保护的一部分。取代与后勤服务102直接通信,移动设备101通过全局可用的服务中继105来发送服务请求。使用服务中继105避免了在企业网络103或后端服务102上提供公共端点的需要。服务中继105可以跨防火墙104通信并且滤除不具有所需安全令牌的未授权话务。
身份提供者和安全令牌服务106用于联合认证并且用于提供凭证以认证移动设备101。身份提供者106和后勤服务102具有信任关系111。信任关系允许两个实体加密地验证始发自任一实体的特定消息。信任关系使用对称的或非对称的密钥来向接收方实体确认所接收的消息的内容尚未被篡改。身份提供者106可以将令牌连同一声明提供至移动设备101,所述声明用于通过服务中继105来认证移动设备101所发送的服务请求。然而,服务中继105本身与移动设备101或身份提供者106没有关系并且不知道移动设备101或身份提供者106,因此服务中继105不会在没有进一步验证的情况下就简单地传递来自移动设备101的服务请求和令牌。
服务中继105与在线授权服务107具有信任关系112。服务中继105和在线授权服务107可以是例如云服务环境110的组件。在线授权服务107被适配成将用于认证移动设备101的令牌发放给服务中继105。如果在线授权服务107也与身份提供者106具有信任关系113,则来自身份提供者106的令牌将向后勤服务102和在线认证服务107两者认证移动设备101。
在服务中继105上监听的服务从移动设备101接收请求108a,并且使用来自在线授权服务107的令牌来验证移动设备101的身份。为了为后勤服务102提供附加的保护层和灵活性,服务中继105不直接与后勤服务102通信。相反,经认证的服务请求108b被发送至企业网络103中的连接器服务109。然后,连接器服务109将请求108c转发至后勤服务102。
移动设备101可运行被适配成适合于设备所使用的操作系统和/或浏览器的客户端应用。在本文所例示的示例中,移动设备101所采取的动作由客户端应用执行或在客户端应用的控制下执行。客户端应用被配置成与身份提供者106和在线授权服务107通信来从安全令牌服务获得合适的令牌。客户端应用还与服务中继105通信来交换服务请求/响应以及令牌。移动服务101可以是任何移动设备,诸如运行微软iOS或安卓操作系统的智能电话或平板。客户端应用不必在移动设备上。在其他实施例中,客户端应用可以是微软.NET软件应用、服务、网站、或企业网络103内部或外部的能够对后勤服务102作出服务请求的任何固定或移动点。
图2图示了在一实施例中的系统中的消息流程以允许移动设备101与后勤服务102通信。移动设备101首先向身份提供者106发送对安全令牌(RST)消息201的请求。请求201包括用户凭证,诸如用户名和口令。移动设备101和身份提供者106可以使用诸如WS-Trust这样的web服务安全协议。包括在消息201中的用户凭证由身份提供者106用来向后勤服务102认证用户。身份提供者106在消息202中用令牌A应答,令牌A例如可以是安全断言标记语言(SAML)令牌。
令牌A将向后勤服务102认证移动设备101;然而,移动设备101必须也向服务中继105认证。移动设备101在请求203中将SAML令牌A发送至在线授权服务107,在线授权服务107作为信任中介操作。由于在线授权服务107和身份提供者106具有信任关系113,因此在线授权服务107可以验证、确认和接受令牌A并且在应答204中返回新的令牌B。令牌B可以是例如简单web令牌(SWT)。
然后,移动设备101将服务请求205以及令牌A和B发送至服务中继105。服务请求可以是后勤服务102所支持的任何操作。令牌B向服务中继105提供允许中继发生的许可。然后,服务中继105将服务请求206和令牌A发送至连接器服务109,连接器服务109用令牌A来确认和批准用户。然后,连接器服务109将服务请求207发送至后勤服务102用于处理。连接器服务可以用作转换服务,该转换服务确认服务请求、标识用户、然后充当对于后端服务102的用户(即,扮演用户)。以此方式,后端服务102不需要关心认证并且不需要知道客户端或者服务请求的实际起源或来源,并且可以处理来自各种不同客户端平台或实现方式的请求。作为推论,客户端不需要知道后端服务102或服务请求的实际目的地。以此方式,在其他实施例中,后勤服务102可实际上是几个不同的且可能不相关的企业系统。
后勤服务102将服务响应208发送至连接器服务109,连接器服务109将响应209转发至服务中继105。然后,移动设备101从服务中继接收服务响应210。
移动设备101上的客户端应用被适配成生成适合于后勤服务102的服务请求。将理解,后勤服务102可包括任何企业资源规划、客户关系管理、或其他企业或后端服务,包括例如但不限于时间捕捉、花费捕捉、项目管理、资源管理、或审批应用,或可暴露web服务(可以是例如SOAP服务或REST性质的服务)的其他后端系统。在另一实施例中,后勤服务102可以是具有任何这种服务的不同系统的集合。一组系统可以通过连接器服务109合作地将所选服务提供给用户。或者,多个系统可以通过连接器服务109将不同服务提供给用户。
例如,云服务环境110可以是微软WindowsAzureTM服务,其中WindowsAzureTM服务总线充当服务中继105,WindowsAzureTM访问控制服务充当在线授权服务107。在其他实施例中,云服务环境110可以是例如AmazonWeb服务或任何其他分布式计算服务,所述任何其他分布式计算服务具有服务中继以及与所述服务中继兼容并且与身份提供者建立信任的任何安全令牌服务。尽管在线授权服务107被描述为通过WRAP协议来发放SWT令牌,但将理解,在线授权服务可以使用任何安全协议来发放任何安全令牌。
在一示例实施例中,身份提供者106可以是具有活动目录联合服务(ActiveDirectoryFederationServices)的微软的活动目录,或任何其他身份提供者和安全令牌服务。尽管身份提供者106在以上被描述为通过WS-Security和WS-Trust协议来发放SAML令牌,但将理解,身份提供者可以通过任何安全协议来发放任何安全令牌。
服务中继105主控一中间层服务端点,该中间层服务端点可以是能够主控一web服务端点且处理来自身份提供者的令牌的任何中继服务。在一个实施例中,web服务使用SSL上的HTTP协议,尽管将会理解,服务消息可以使用任何传输协议和相关联的传输层安全,诸如Net.TCP。
在基于SOAP的服务中,安全令牌可被置于SOAP报头或HTTP报头中。在基于REST的服务中,用于向服务中继授权的安全令牌可如服务中继105所要求并理解的那样被置于HTTP报头中,而其他令牌可被置于消息体或HTTP报头中。
尽管连接器服务109被图示为使用令牌A来确认来自移动设备101的服务请求,但将理解,可以使用任何令牌(包括来自在线授权服务107的令牌B)来确认服务请求。相应地,在另一实施例(图3中所图示的)中,如果连接器服务109与在线授权服务107有信任关系300,则令牌B单独(即,无令牌A)能够在消息206中连同服务请求被传递。在该场景中,连接器服务109会使用令牌B中的声明来确认服务请求。
图3图示其中来自在线授权服务107(诸如WindowsAzureTM访问控制服务)的令牌可用于确认服务请求的示例系统。信任关系300在连接器服务109和在线授权服务107之间建立。当移动设备101需要与后勤服务102通信时,它向身份提供者106发送对安全令牌消息301的请求,所述请求可以包括例如用户名和口令或者用于移动设备101的其他凭证。身份提供者106在消息302中用令牌A应答,所述令牌A诸如SAML令牌。
然后,移动设备101在请求303中将SAML令牌A发送至在线授权服务107。由于在线授权服务107和身份提供者106具有信任关系,因此在线授权服务107可以验证、确认和接受令牌A并且在应答304中返回新的令牌B,所述令牌B可以是例如SWT令牌。不再需要令牌A,因为令牌B现在可用于向后勤服务102认证移动设备101。此外,令牌B可用于向服务中继105认证移动设备101。
移动设备101在消息305中将服务请求和令牌B发送至服务中继105。服务请求可以是后勤服务102所支持的任何操作。令牌B向服务中继105提供允许中继发生的许可。然后,服务中继105在消息306中将服务请求和令牌B发送至连接器服务109。连接器服务109用令牌B来确认和批准用户。然后,连接器服务109将服务请求307发送至后勤服务102用于处理。
后勤服务102将服务响应308发送至连接器服务109,连接器服务109将响应309转发至服务中继105。然后,移动设备101从服务中继接收服务响应310。
在一实施例中,本发明将多个现有技术组合成使用主动联合模式的认证解决方案。在其他实施例中,可以使用被动联合。图4图示不需要移动设备直接联系身份提供者106的替代的消息流程。相反,请求安全令牌的第一消息401从移动设备101去往在线授权服务107。作为响应,在线授权服务107在消息402中发送服务107已与其具有信任关系的身份提供者(IdP)的列表。移动设备101选择身份提供者403中它所识别并且将接受移动设备101的凭证的一个或多个身份提供者,诸如身份提供者106。身份提供者可以是例如任何WS-Trust、OpenID或其他身份提供者。移动设备101在消息403中指示在线认证服务107关于要使用哪个身份提供者(例如,安全令牌服务106)。移动设备101可以在消息401或消息403或在另一消息中提供用户凭证。
在其他实施例中,在线授权服务107可以向移动客户端101发送去往宿主于身份提供者106上的网页的重定向消息,以使客户端可以安全地输入其凭证而不被移动客户端101或在线授权服务107看到所述凭证。
在线授权服务107在消息404中将用户凭证发送至身份提供者106,并且请求SAML或其他令牌以用于向后勤服务102确认。身份提供者106确认用户凭证并且然后在消息405中发送SAML令牌A。在线认证服务器107确认令牌A并且然后生成SWT令牌B,所述SWT令牌B在消息406中连同令牌A一起被发送至移动设备101。在其他实施例中,仅令牌B在消息406中被发送且被用于进一步认证。
然后,移动设备101在消息407中将服务请求以及令牌A和B发送至服务中继105。服务请求可以是后勤服务102所支持的任何操作。令牌B向服务中继105提供允许中继发生的许可。然后,服务中继105在消息408中将服务请求和令牌A发送至连接器服务109,连接器服务109用令牌A来确认用户。然后,连接器服务109在消息409中将服务请求发送至后勤服务102用于处理。后勤服务102将服务响应410发送至连接器服务109,连接器服务109将响应411转发至服务中继105。然后,移动设备101从服务中继接收服务响应412。
图5是图示使移动设备获得身份令牌以便作出受信任的web服务调用以经由服务中继访问企业服务或后勤服务的方法或过程的流程图。在步骤501中,移动设备将用户凭证提供至身份提供者以获得第一令牌。身份提供者与企业服务具有已建立的信任关系。令牌为在企业服务处接收到的服务请求提供认证。在步骤502中,移动设备从身份提供者接收第一令牌。第一令牌包含关于用户身份(例如,他或她的用户名)的信息(即,声明)以唯一地标识该用户。在步骤503中,移动设备101将第一令牌提供至信任中介。信任中介与服务中继和身份提供者具有已建立的信任关系。
在步骤504中,移动设备从信任中介接收第二令牌以交换第一令牌第二令牌为服务中继提供认证。在步骤505中,移动设备向服务中继发送服务请求连同第一令牌和第二令牌。
企业服务可以是处理服务请求的后勤服务或者是确认服务请求并将服务请求传递至后勤服务的连接器服务。第一令牌在声明中包含用户身份的表示(例如,用户名或其他唯一标识符),其允许连接器服务好像它是用户那样向后勤服务作出web服务调用。第一令牌可以是SAML令牌,而第二令牌可以是SWT令牌。
图6是图示用于处理在企业网络中的连接器服务处的服务请求的方法的流程图。在步骤601中,连接器服务从服务中继接收服务请求和令牌。服务请求被定向至企业网络中的后勤服务。令牌包括与发送服务请求的用户相对应的用户凭证。在步骤602中,连接器服务确认令牌并且提取表示用户身份的声明。
在步骤603中,连接器服务使用该声明来代替用户与后勤服务通信。在步骤604中,连接器服务将服务请求发送至后勤服务。在步骤605中,连接器服务接收对服务请求的响应。在步骤606中,连接器服务将该响应发送至服务中继。
可以理解,图5中所示的过程的步骤501-504和图6中所示的过程的步骤601-606可被同时和/或顺序执行。还可以理解,每个步骤可以按任何顺序执行,且可被执行一次或重复执行。
图7示出了在其上可以实现图1-6的示例的合适的计算和联网环境700的示例。计算系统环境700仅仅是用于移动设备101或者用于能够运行服务102、105、106、107或109的服务器或计算机的合适的计算环境的一个示例。图7不旨在对本发明的使用或功能范围提出任何限制。本发明可用众多其他通用或专用计算系统环境或配置来操作。适用于本发明的公知计算系统、环境、和/或配置的示例包括但不限于:个人计算机、服务器计算机、手持式或膝上型设备、平板设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、微型计算机、大型计算机、包括任何以上系统或设备的分布式计算环境等等。
本发明可在诸如程序模块等由计算机执行的计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。本发明也可被实践在分布式计算环境中,分布式计算环境中任务是由通过通信网络链接的远程处理设备执行的。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和/或远程计算机存储介质中。
参考图7,用于实现本发明的各个方面的示例性系统可以包括计算机700形式的通用计算设备。组件可包括但不限于诸如处理单元701之类的各种硬件组件、诸如系统存储器之类的数据存储702、以及将包括数据存储702在内的各种系统组件耦合到处理单元701的系统总线703。系统总线703可以是若干类型的总线结构中的任一种,包括存储器总线或存储器控制器、外围总线和使用各种总线体系结构中的任一种的局部总线。作为示例而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也称为夹层(Mezzanine)总线)。
计算机700通常包括各种计算机可读介质704。计算机可读介质704可以是能由计算机700访问的任何可用介质,并同时包含易失性和非易失性介质以及可移动、不可移动介质,但不包括传播信号。作为示例而非限制,计算机可读介质704可包括计算机存储介质和通信介质。计算机存储介质包括以存储诸如计算机可读的指令、数据结构、程序模块或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不仅限于,RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁带盒、磁带、磁盘存储或其他磁存储设备,或可以用来存储所需信息并可以被计算机700访问的任何其他介质。通信介质通常以诸如载波或其他传输机制之类的已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息传送介质。术语“已调制数据信号”是指使得以在信号中编码信息的方式来设置或改变其一个或多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。上面各项中的任何项的组合也包括在计算机可读介质的范围内。计算机可读介质可被实现为计算机程序产品,诸如存储在计算机存储介质上的软件。
数据存储或系统存储器702包括诸如只读存储器(ROM)和/或随机存取存储器(RAM)之类的易失性和/或非易失性存储器形式的计算机存储介质。基本输入/输出系统(BIOS)包含有助于诸如启动时在计算机700中元件之间传递信息的基本例程,它通常被存储在ROM中。RAM通常包含处理单元701可立即访问和/或当前正在操作的数据和/或程序模块。作为示例而非限制性,数据存储702保存操作系统、应用程序、其他程序模块、和程序数据。
数据存储702还可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,数据存储702可以是对不可移动、非易失性磁介质进行读写的硬盘驱动器,对可移动、非易失性磁盘进行读写的磁盘驱动器,或对诸如CDROM或其它光学介质等可移动、非易失性光盘进行读写的光盘驱动器。可在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。上文所描述的并且在图7中所显示的驱动器以及它们的关联的计算机存储介质,为计算机700提供对计算机可读取的指令、数据结构、程序模块及其他数据的存储。
用户可通过用户接口705或诸如平板、电子数字化仪、话筒、键盘和/或定点设备(通常指的是鼠标、跟踪球或触摸垫)等其它输入设备输入命令和信息。其他输入设备可以包括操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。另外,语音输入、使用手或手指的手势输入、或其它自然用户接口(NUI)也可与适当的输入设备(诸如话筒、相机、平板、触摸垫、手套、或其它传感器)一起使用。这些及其他输入设备常常通过耦合到系统总线703的用户输入接口705连接到处理单元701,但是,也可以通过其他接口和总线结构,如并行端口、游戏端口、通用串行总线(USB)端口来进行连接。监视器706或其他类型的显示设备也通过诸如视频接口之类的接口连接至系统总线703。监视器706也可以与触摸屏面板等集成。注意到监视器和/或触摸屏面板可以在物理上耦合至其中包括计算设备700的外壳,诸如在平板型个人计算机中。此外,诸如计算设备700等计算机还可以包括其他外围输出设备,诸如扬声器和打印机,它们可以通过输出外围接口等连接。
计算机700可使用至一个或多个远程设备(诸如远程计算机)的逻辑连接707在网络化或云计算环境中操作。远程计算机可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见的网络节点,并且一般包括上面关于计算机700所述的许多或全部元件。图7中所描述的逻辑连接包括一个或多个局域网(LAN)和一个或多个广域网(WAN),但是,也可以包括其他网络。此类联网环境在办公室、企业范围的计算机网络、内联网和因特网中是常见的。
当在联网或云计算环境中使用时,计算机700可通过网络接口或适配器707连接至公共或私有网络。在一些实施例中,使用调制解调器或用于在网络上建立通信的其它装置。调制解调器可以是内置或外置的,它经由网络接口707或其它适当的机制连接至系统总线703。诸如包括接口和天线的无线联网组件可通过诸如接入点或对等计算机之类的合适的设备耦合到网络。在联网环境中,相关于计算机700所示的程序模块或其部分可被存储在远程存储器存储设备中。可以理解,所示的网络连接是示例性的,也可以使用在计算机之间建立通信链路的其他手段。
尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。相反,上述具体特征和动作是作为实现权利要求的示例形式公开的。
Claims (10)
1.一种用于作出对企业服务的web服务调用的方法,包括:
将用户凭证提供至身份提供者以获得第一安全令牌,所述身份提供者与所述企业服务具有已建立的信任关系,所述令牌为在所述企业服务处接收到的服务请求提供认证;
将所述第一令牌提供至信任中介,所述信任中介与服务中继和所述身份提供者具有已建立的信任关系;
从所述信任中介接收第二令牌以交换所述第一令牌,所述第二令牌向服务中继提供认证;以及
将服务请求连同所述第一令牌和所述第二令牌发送至所述服务中继。
2.如权利要求1所述的方法,其特征在于,所述企业服务是处理所述服务请求的后勤服务。
3.如权利要求1所述的方法,其特征在于,所述企业服务是确认服务请求并将所述服务请求传递至后勤服务的连接器服务。
4.如权利要求3所述的方法,其特征在于,所述第一令牌包括用户标识信息,所述用户标识信息允许所述连接器服务好像其为用户一般向所述后勤服务作出web服务调用。
5.一种计算机系统,包括:
一个或多个处理器;
系统存储器;
其上存储有计算机可执行指令的一个或多个计算机可读存储介质,所述计算机可执行指令在由所述一个或多个处理器执行时使处理器执行一种用于处理企业网络中的连接器服务处的服务请求的方法,所述处理器用于:
从服务中继接收服务请求和令牌,所述服务请求被定向至所述企业网络中的后端服务,所述令牌包含与发送所述服务请求的用户相对应的用户身份信息;
确认所述令牌并且提取所述用户身份信息;
使用所述用户身份信息以代替所述用于与后端服务通信;
将所述服务请求发送至所述后端服务;
接收对所述服务请求的响应;以及
将所述响应发送至所述服务中继。
6.如权利要求5所述的计算机系统,其特征在于,所述后端服务是合作地提供单个服务的一组不同的系统。
7.如权利要求5所述的计算机系统,其特征在于,所述后端服务是提供多个不同服务的一组不同的系统。
8.如权利要求5所述的计算机系统,其特征在于,所述令牌由与所述企业网络具有信任关系的身份提供者发放给移动设备。
9.如权利要求5所述的计算机系统,其特征在于,所述后端服务是企业资源计划应用,且其中所述服务请求对应于由所述用户在远程设备上发起的金融交易。
10.如权利要求5所述的计算机系统,其特征在于,所述后端服务是企业资源计划应用,且其中所述服务请求对应于由所述用户在远程设备上记录的时间条目。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361786375P | 2013-03-15 | 2013-03-15 | |
| US61/786,375 | 2013-03-15 | ||
| US13/893,029 US9294454B2 (en) | 2013-03-15 | 2013-05-13 | Actively federated mobile authentication |
| US13/893,029 | 2013-05-13 | ||
| PCT/US2014/026926 WO2014143640A1 (en) | 2013-03-15 | 2014-03-14 | Actively federated mobile authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105229987A true CN105229987A (zh) | 2016-01-06 |
| CN105229987B CN105229987B (zh) | 2019-09-27 |
Family
ID=51535057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480015693.XA Active CN105229987B (zh) | 2013-03-15 | 2014-03-14 | 主动联合的移动认证 |
Country Status (5)
| Country | Link |
|---|---|
| US (3) | US9294454B2 (zh) |
| EP (1) | EP2974208B1 (zh) |
| KR (1) | KR102205941B1 (zh) |
| CN (1) | CN105229987B (zh) |
| WO (1) | WO2014143640A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105719137A (zh) * | 2016-01-18 | 2016-06-29 | 连连银通电子支付有限公司 | 一种电子账户的认证系统及其认证方法 |
| WO2018153353A1 (zh) * | 2017-02-23 | 2018-08-30 | 华为技术有限公司 | 实现认证/授权的方法、装置、云计算系统及计算机系统 |
| CN109792441A (zh) * | 2016-10-13 | 2019-05-21 | 霍尼韦尔国际公司 | 跨安全层安全通信 |
| CN113630750A (zh) * | 2016-06-03 | 2021-11-09 | 维萨国际服务协会 | 用于被连接的装置的子令牌管理系统 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6716829B2 (en) | 2000-07-27 | 2004-04-06 | Pharmacia Corporation | Aldosterone antagonist and cyclooxygenase-2 inhibitor combination therapy to prevent or treat inflammation-related cardiovascular disorders |
| US8745718B1 (en) * | 2012-08-20 | 2014-06-03 | Jericho Systems Corporation | Delivery of authentication information to a RESTful service using token validation scheme |
| US9294454B2 (en) | 2013-03-15 | 2016-03-22 | Microsoft Technology Licensing, Llc | Actively federated mobile authentication |
| WO2014193896A2 (en) * | 2013-05-28 | 2014-12-04 | Raytheon Company | Message content ajudication based on security token |
| US10243945B1 (en) * | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| US10547599B1 (en) * | 2015-02-19 | 2020-01-28 | Amazon Technologies, Inc. | Multi-factor authentication for managed directories |
| CN108496380B (zh) * | 2016-01-26 | 2021-02-02 | 株式会社宙连 | 服务器和存储介质 |
| US10873583B2 (en) * | 2017-09-20 | 2020-12-22 | Microsoft Technology Licensing, Llc | Extensible framework for authentication |
| US11316689B2 (en) * | 2017-09-29 | 2022-04-26 | Oracle International Corporation | Trusted token relay infrastructure |
| US11997077B2 (en) | 2017-11-10 | 2024-05-28 | Microsoft Technology Licensing, Llc | Identity experience framework |
| US10609082B2 (en) | 2017-11-10 | 2020-03-31 | Microsoft Technology Licensing, Llc | Identity experience framework |
| US10999272B2 (en) * | 2018-03-30 | 2021-05-04 | Lendingclub Corporation | Authenticating and authorizing users with JWT and tokenization |
| US10326802B1 (en) * | 2018-12-04 | 2019-06-18 | Xage Security, Inc. | Centrally managing data for orchestrating and managing user accounts and access control and security policies remotely across multiple devices |
| US11356458B2 (en) | 2019-03-15 | 2022-06-07 | Mastercard International Incorporated | Systems, methods, and computer program products for dual layer federated identity based access control |
| US20200364354A1 (en) * | 2019-05-17 | 2020-11-19 | Microsoft Technology Licensing, Llc | Mitigation of ransomware in integrated, isolated applications |
| US20230318832A1 (en) * | 2020-10-09 | 2023-10-05 | Visa International Service Association | Token failsafe system and method |
| US11689924B2 (en) * | 2021-04-02 | 2023-06-27 | Vmware, Inc. | System and method for establishing trust between multiple management entities with different authentication mechanisms |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| US20060233180A1 (en) * | 2005-04-14 | 2006-10-19 | Alcatel | Systems and methods for managing network services between private networks |
| CN101110824A (zh) * | 2006-07-20 | 2008-01-23 | 国际商业机器公司 | 在联盟计算环境中处理事务的方法和设备 |
| CN101127757A (zh) * | 2006-08-18 | 2008-02-20 | 国际商业机器公司 | 控制Web服务策略的方法和装置 |
| CN101534192A (zh) * | 2008-03-14 | 2009-09-16 | 西门子公司 | 一种提供跨域令牌的系统和方法 |
| CN101552784A (zh) * | 2009-04-30 | 2009-10-07 | 浙江大学 | 一种Web服务链的联合身份认证方法 |
| US20100299366A1 (en) * | 2009-05-20 | 2010-11-25 | Sap Ag | Systems and Methods for Generating Cloud Computing Landscapes |
| US20110307948A1 (en) * | 2010-06-15 | 2011-12-15 | Microsoft Corporation | Extending a customer relationship management eventing framework to a cloud computing environment in a secure manner |
| US20120096271A1 (en) * | 2010-10-15 | 2012-04-19 | Microsoft Corporation | Remote Access to Hosted Virtual Machines By Enterprise Users |
| US20120216268A1 (en) * | 2011-02-17 | 2012-08-23 | Ebay Inc. | Identity assertion framework |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030112931A1 (en) * | 2001-12-19 | 2003-06-19 | Wendell Brown | Facilitating navigation of an interactive voice response (IVR) menu to establish a telephone connection |
| US7269732B2 (en) * | 2003-06-05 | 2007-09-11 | Sap Aktiengesellschaft | Securing access to an application service based on a proximity token |
| US7607008B2 (en) * | 2004-04-01 | 2009-10-20 | Microsoft Corporation | Authentication broker service |
| US20050273502A1 (en) * | 2004-05-21 | 2005-12-08 | Patrick Paul B | Service oriented architecture with message processing stages |
| US7721328B2 (en) * | 2004-10-01 | 2010-05-18 | Salesforce.Com Inc. | Application identity design |
| US8014433B2 (en) * | 2005-03-16 | 2011-09-06 | Apollo Instruments | Laser apparatuses with large-number multi-reflection pump systems |
| US20110179477A1 (en) * | 2005-12-09 | 2011-07-21 | Harris Corporation | System including property-based weighted trust score application tokens for access control and related methods |
| US7657639B2 (en) * | 2006-07-21 | 2010-02-02 | International Business Machines Corporation | Method and system for identity provider migration using federated single-sign-on operation |
| US8275985B1 (en) * | 2006-08-07 | 2012-09-25 | Oracle America, Inc. | Infrastructure to secure federated web services |
| US8327428B2 (en) * | 2006-11-30 | 2012-12-04 | Microsoft Corporation | Authenticating linked accounts |
| ATE429119T1 (de) | 2007-05-18 | 2009-05-15 | Sap Ag | Verfahren und system zum schutz einer nachricht vor einem xml-angriff beim austausch in einem verteilten und dezentralisierten netzwerksystem |
| KR101467174B1 (ko) * | 2007-08-16 | 2014-12-01 | 삼성전자주식회사 | 통신 수행 방법 및 그 장치와, 통신 수행 제어 방법 및 그장치 |
| US20090064107A1 (en) * | 2007-08-29 | 2009-03-05 | International Business Machines Corporation | Token Transformation Profiles and Identity Service Mediation Node for Dynamic Identity Token |
| US8402508B2 (en) | 2008-04-02 | 2013-03-19 | Microsoft Corporation | Delegated authentication for web services |
| US9735964B2 (en) * | 2008-06-19 | 2017-08-15 | Microsoft Technology Licensing, Llc | Federated realm discovery |
| US8671274B2 (en) * | 2008-10-28 | 2014-03-11 | Dell Products L.P. | Delivery of multiple third-party services to networked devices |
| US20110030794A1 (en) * | 2009-08-10 | 2011-02-10 | Edward Teng | Apparatus And Method For Depositing A CIGS Layer |
| US8321909B2 (en) * | 2009-12-22 | 2012-11-27 | International Business Machines Corporation | Identity mediation in enterprise service bus |
| US8918842B2 (en) * | 2010-02-19 | 2014-12-23 | Accenture Global Services Limited | Utility grid command filter system |
| US8997196B2 (en) * | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
| US8914544B2 (en) * | 2010-06-23 | 2014-12-16 | Smartek21, Llc | Computer-implemented system and method for transparently interfacing with legacy line of business applications |
| CN201774078U (zh) * | 2010-07-21 | 2011-03-23 | 富士康(昆山)电脑接插件有限公司 | 电子卡连接器 |
| US8832271B2 (en) * | 2010-12-03 | 2014-09-09 | International Business Machines Corporation | Identity provider instance discovery |
| JP2012146197A (ja) * | 2011-01-13 | 2012-08-02 | Konica Minolta Business Technologies Inc | 印刷支援装置及び印刷システム並びに印刷支援プログラム |
| US9009070B2 (en) | 2011-04-06 | 2015-04-14 | Microsoft Technology Licensing, Llc | Mobile expense capture and reporting |
| TW201345217A (zh) * | 2012-01-20 | 2013-11-01 | Interdigital Patent Holdings | 具區域功能性身份管理 |
| US9369456B2 (en) * | 2012-09-21 | 2016-06-14 | Intuit Inc. | Single sign-on in multi-tenant environments |
| US20140280494A1 (en) * | 2013-03-14 | 2014-09-18 | Microsoft Corporation | Relay Service for Different Web Service Architectures |
| US9294454B2 (en) | 2013-03-15 | 2016-03-22 | Microsoft Technology Licensing, Llc | Actively federated mobile authentication |
-
2013
- 2013-05-13 US US13/893,029 patent/US9294454B2/en active Active
-
2014
- 2014-03-14 WO PCT/US2014/026926 patent/WO2014143640A1/en active Application Filing
- 2014-03-14 KR KR1020157029479A patent/KR102205941B1/ko active IP Right Grant
- 2014-03-14 EP EP14717023.7A patent/EP2974208B1/en active Active
- 2014-03-14 CN CN201480015693.XA patent/CN105229987B/zh active Active
-
2016
- 2016-02-18 US US15/047,207 patent/US9825948B2/en active Active
-
2017
- 2017-10-05 US US15/725,800 patent/US10382434B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| US20060233180A1 (en) * | 2005-04-14 | 2006-10-19 | Alcatel | Systems and methods for managing network services between private networks |
| CN101110824A (zh) * | 2006-07-20 | 2008-01-23 | 国际商业机器公司 | 在联盟计算环境中处理事务的方法和设备 |
| CN101127757A (zh) * | 2006-08-18 | 2008-02-20 | 国际商业机器公司 | 控制Web服务策略的方法和装置 |
| CN101534192A (zh) * | 2008-03-14 | 2009-09-16 | 西门子公司 | 一种提供跨域令牌的系统和方法 |
| CN101552784A (zh) * | 2009-04-30 | 2009-10-07 | 浙江大学 | 一种Web服务链的联合身份认证方法 |
| US20100299366A1 (en) * | 2009-05-20 | 2010-11-25 | Sap Ag | Systems and Methods for Generating Cloud Computing Landscapes |
| US20110307948A1 (en) * | 2010-06-15 | 2011-12-15 | Microsoft Corporation | Extending a customer relationship management eventing framework to a cloud computing environment in a secure manner |
| US20120096271A1 (en) * | 2010-10-15 | 2012-04-19 | Microsoft Corporation | Remote Access to Hosted Virtual Machines By Enterprise Users |
| US20120216268A1 (en) * | 2011-02-17 | 2012-08-23 | Ebay Inc. | Identity assertion framework |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105719137A (zh) * | 2016-01-18 | 2016-06-29 | 连连银通电子支付有限公司 | 一种电子账户的认证系统及其认证方法 |
| CN113630750A (zh) * | 2016-06-03 | 2021-11-09 | 维萨国际服务协会 | 用于被连接的装置的子令牌管理系统 |
| CN113630750B (zh) * | 2016-06-03 | 2024-04-05 | 维萨国际服务协会 | 用于被连接的装置的子令牌管理系统 |
| CN109792441A (zh) * | 2016-10-13 | 2019-05-21 | 霍尼韦尔国际公司 | 跨安全层安全通信 |
| WO2018153353A1 (zh) * | 2017-02-23 | 2018-08-30 | 华为技术有限公司 | 实现认证/授权的方法、装置、云计算系统及计算机系统 |
| CN108471395A (zh) * | 2017-02-23 | 2018-08-31 | 华为技术有限公司 | 实现认证/授权的方法、装置、云计算系统及计算机系统 |
| CN108471395B (zh) * | 2017-02-23 | 2019-12-17 | 华为技术有限公司 | 实现认证/授权的方法、装置、云计算系统及计算机系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160164869A1 (en) | 2016-06-09 |
| KR102205941B1 (ko) | 2021-01-20 |
| WO2014143640A1 (en) | 2014-09-18 |
| US9294454B2 (en) | 2016-03-22 |
| EP2974208B1 (en) | 2020-10-14 |
| US9825948B2 (en) | 2017-11-21 |
| US20180219862A1 (en) | 2018-08-02 |
| US20140282989A1 (en) | 2014-09-18 |
| EP2974208A1 (en) | 2016-01-20 |
| KR20150130545A (ko) | 2015-11-23 |
| CN105229987B (zh) | 2019-09-27 |
| US10382434B2 (en) | 2019-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105229987A (zh) | 主动联合的移动认证 | |
| US11206247B2 (en) | System and method for providing controlled application programming interface security | |
| US11870775B2 (en) | Biometric identification and verification among IoT devices and applications | |
| JP6648110B2 (ja) | クライアントをデバイスに対して認証するシステム及び方法 | |
| CN105144111A (zh) | 用于不同web服务架构的中继服务 | |
| JP6979966B2 (ja) | アカウントリンキング及びサービス処理提供の方法及びデバイス | |
| US11539526B2 (en) | Method and apparatus for managing user authentication in a blockchain network | |
| US20150047003A1 (en) | Verification authority and method therefor | |
| CN102047262A (zh) | 用于分布式安全内容管理系统的认证 | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| JP2014504069A (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| CA2914426A1 (en) | Method for authenticating a user, corresponding server, communications terminal and programs | |
| CN110278179A (zh) | 单点登录方法、装置和系统以及电子设备 | |
| CN108462671A (zh) | 一种基于反向代理的认证保护方法及系统 | |
| CN107911379A (zh) | 一种cas服务器 | |
| CN109684818A (zh) | 一种防止机主登录密码泄露的跨终端式的服务器登录方法 | |
| CN109286626B (zh) | 一种信息处理方法、本地设备、远程设备和信息处理系统 | |
| CN118611969A (zh) | 单点登录方法、装置、系统、电子设备及存储介质 | |
| CN112637164A (zh) | 一种基于区块链的设备认证管理系统、方法及装置 | |
| CN116187937A (zh) | 一种业务处理方法、设备和存储介质 | |
| CN117614934A (zh) | 资源转移方法、装置、电子设备及存储介质 | |
| KR101257715B1 (ko) | 전화 승인을 이용한 접근 통제 방법 | |
| CN116702108A (zh) | 鉴权方法、装置和系统 | |
| CN116962023A (zh) | 请求处理方法、金融网关及服务器 | |
| KR20130035258A (ko) | 전화 승인을 이용한 접근 통제 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |