CN105359491B

CN105359491B - 云环境中的用户认证

Info

Publication number: CN105359491B
Application number: CN201480033771.9A
Authority: CN
Inventors: A·侯赛因; A·叶廖缅科; M·K·阿拉迪; S·萨姆帕斯; T·W·斯科特; T·M·霍尔; I·M·本-沙查
Original assignee: Microsoft Technology Licensing LLC
Current assignee: Microsoft Technology Licensing LLC
Priority date: 2013-06-14
Filing date: 2014-06-10
Publication date: 2018-10-02
Anticipated expiration: 2034-06-10
Also published as: EP3008877B1; US9124569B2; CN105359491A; WO2014200950A1; EP3008877A1; US20140373126A1

Abstract

各实施例涉及向远程应用提供服务认证用户。在一个情形中，客户端计算机系统从用户接收认证凭证，以向提供虚拟机主存的远程应用的远程应用提供服务认证该用户。客户端计算机系统将所接收的认证凭证发送到认证服务，其被配置来基于所接收到的认证凭证生成经加密的令牌。客户端计算机系统接着从认证服务接收所生成的经加密的令牌，将所接收的经加密的令牌和所接收的认证凭证存储在数据存储中，并且将经加密的令牌发送到远程应用提供服务。经加密的令牌向远程应用提供服务指示用户是有效用户。

Description

云环境中的用户认证

背景

出于各种原因，云计算变得越来越流行。例如，云计算允许应用及其相关联的数据在远程云服务器上被处理并存储。这些云服务器可被物理地位于世界上任何地方。典型地，一旦用户被认证到云网络，这些基于云的应用就向用户提供数据。然而，这些云服务器是面向公众的，并且因此，某些应用提供者可能不愿意提供需要访问敏感数据的应用。

简要概述

在此描述的各实施例涉及向远程应用提供服务认证用户。在一个实施例中，客户端计算机系统从用户接收认证凭证，以向提供虚拟机主存的远程应用的远程应用提供服务认证该用户。客户端计算机系统将所接收的认证凭证发送到认证服务，其被配置来基于所接收到的认证凭证生成经加密的令牌。客户端计算机系统接着从认证服务接收所生成的经加密的令牌，将所接收的经加密的令牌和所接收的认证凭证存储在数据存储中，并且将经加密的令牌发送到远程应用提供服务。经加密的令牌向远程应用提供服务指示用户是有效用户。

可选地，该客户端计算机系统进一步从远程应用提供服务接收用户被允许访问的远程应用的指示。该客户端计算机系统，从用户，接收指示至少一个远程应用要被实例化的指示。该客户端计算机系统接着将用户的存储的认证凭证和所存储的经加密的令牌发送到主存指定远程应用的虚拟机，并且一旦被认证到主存该指定远程应用的虚拟机，就访问该指定远程应用。

在另一实施例中，远程应用提供服务从客户端计算机系统接收经加密令牌，其中经加密令牌基于用户提供的认证凭证来生成。该远程应用提供服务解密所接收到的经加密的令牌，从经解密的令牌中确定用户的身份，基于用户的身份确定用户被授权访问哪些远程应用，并向用户提供指示可供使用的那些远程应用的指示。

在又一个实施例中，远程应用提供服务接收来自用户的指示指定远程应用要被实例化的指示。该指示包括基于认证凭证生成的经加密的令牌。该远程应用提供服务接着解密所接收到的经加密的令牌来确定用户的身份，验证用户具有访问指定远程应用的许可，并将经加密的令牌发送到使用经加密的令牌和用户的认证凭证提供到指定远程应用的访问的远程应用虚拟机主机。

提供本概述以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。该概述不旨在标识所要求保护的主题的关键特征或基本特征，也不旨在被用来帮助确定所要求保护的主题的范围。

本发明的附加特征和优点将在以下描述中叙述，且其一部分根据本描述对本领域的技术人员将是显而易见的，或可通过对此处的原理的实践来获知。此处所描述的各实施例的特征和优点可通过在所附权利要求书中特别指出的工具和组合来实现和获得。通过下列描述以及所附的权利要求，此处所描述的各实施例的特征将变得更加显而易见。

附图简述

为进一步阐明此处所描述的各实施例的上述及其他特征，将参考附图，呈现更具体的描述。应该理解，这些附图只描述了此处所描述的各实施例的示例，因此，不应该被视为限制其范围。将通过使用附图并利用附加特征和细节来描述和解释各实施例，在附图中：

图1示出了本文所描述的各实施例可以在其中操作(包括向远程应用提供服务认证用户)的计算机体系结构。

图2示出了用于向远程应用提供服务认证用户的示例方法的流程图。

图3示出了用于在远程应用提供服务认证用户的替换示例方法的流程图。

图4示出了用于在远程应用提供服务认证用户的替换示例方法的流程图。

图5示出了在其中在远程应用提供服务认证用户的计算机体系结构。

详细描述

在此描述的各实施例涉及向远程应用提供服务认证用户。在一个实施例中，客户端计算系统从用户接收认证凭证，以向提供虚拟机主存的远程应用的远程应用提供服务认证该用户。客户端计算机系统将所接收的认证凭证发送到认证服务，其被配置来基于所接收到的认证凭证生成经加密的令牌。客户端计算机系统接着从认证服务接收所生成的经加密的令牌，将所接收的经加密的令牌和所接收的认证凭证存储在数据存储中，并且将经加密的令牌发送到远程应用提供服务。经加密的令牌向远程应用提供服务指示用户是有效用户。

可选地，该客户端计算系统进一步从远程应用提供服务接收用户被允许访问的远程应用的指示。该客户端计算系统，从用户，接收指示至少一个远程应用要被实例化的指示。该客户端计算机系统接着将用户的存储的认证凭证和所存储的经加密的令牌发送到主存指定远程应用的虚拟机，并且一旦被认证到主存该指定远程应用的虚拟机，就访问该指定远程应用。

在又一个实施例中，远程应用提供服务接收来自用户的指示指定远程应用要被实例化的指示。该指示包括基于认证凭证生成的经加密的令牌。该远程应用提供服务接着解密所接收到的经加密的令牌以确定用户的身份，验证用户具有访问该指定远程应用的许可，并将经加密的令牌发送到使用经加密的令牌和用户的认证凭证提供对指定远程应用的访问的远程应用虚拟机主机。

下面的讨论现在涉及可被执行的多个方法和方法动作。值得注意的是，虽然可以以某一顺序讨论或在流程图中按特定顺序发生而示出了方法动作，但是，没有特定顺序是一定需要的，除非特别声明，或者是必需的，因为在一个动作被执行之前该动作取决于另一动作被完成。

本文中描述的各实施例可包括或利用专用或通用计算机，该专用或通用计算机包括诸如例如一个或多个处理器和系统存储器等计算机硬件，如以下更详细讨论的本文中描述的各实施例还包括用于承载或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。以数据的形式存储计算机可执行指令的计算机可读介质是计算机存储介质。承载计算机可执行指令的计算机可读介质是传输介质。由此，作为示例而非限制，本文中描述的各实施例可包括至少两种显著不同的计算机可读介质：计算机存储介质和传输介质。

计算机存储介质包括RAM、ROM、EPROM、EEPROM、CD-ROM、基于RAM的固态驱动器(SSD)、闪存、相变存储器(PCM)或其他类型的存储器，或其他光盘存储、磁盘存储、或前台磁存储设备，或可被用来存储计算机可执行指令、数据、或数据结构的形式的所需程序代码装置且可由通用或专用计算机访问的任何其他介质。

“网络”被定义成允许在计算机系统和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链路和/或数据交换机。当信息通过网络(硬连线、无线、或者硬连线或无线的组合)传输或提供给计算机时，该计算机将该连接适当地视为传输介质。传输介质可包括可用于携带计算机可执行指令或数据结构形式的数据或所需程序代码装置且可由通用或专用计算机访问的网络。上述的组合应当也被包括在计算机可读介质的范围内。

此外，在到达各种计算机系统组件之后，计算机可执行指令或数据结构形式的程序代码资料可从传输介质自动传输到计算机存储介质(或反之亦然)。例如，通过网络或数据链路接收到的计算机可执行指令或数据结构可被缓冲在网络接口模块(例如，网络接口卡或“NIC”)内的RAM中，然后最终被传输给计算机系统RAM和/或计算机系统处的较不易失性的计算机存储介质。因而，应当理解，计算机存储介质可被包括在还利用(或甚至主要利用)传输介质的计算机系统组件中。

计算机可执行的(或计算机可解释的)指令包括，例如使通用计算机、专用计算机，或专用处理设备执行某一功能或功能组的指令。计算机可执行指令可以是例如二进制代码、诸如汇编语言之类的中间格式指令、或甚至源代码。尽管用结构特征和/或方法动作专用的语言描述了本主题，但可以理解，所附权利要求书中定义的主题不必限于上述特征或动作。相反，上述特征和动作是作为实现权利要求的示例形式而公开的。

本领域的技术人员将理解，各实施例可以在具有许多类型的计算机系统配置的网络计算环境中实践，这些计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器的或可编程消费电子设备、网络PC、小型计算机、大型计算机、移动电话、PDA、平板、寻呼机、路由器、交换机等等。此处所描述的各实施例也可在其中通过网络链接(或者通过硬连线数据链路、无线数据链路，或者通过硬连线和无线数据链路的组合)的本地和远程计算机系统各自都执行任务(例如，云计算、云服务等等)的分布式系统环境中实施。在分布式系统环境中，程序模块可以位于本地和远程存储器存储设备二者中。

在该说明书和下面的权利要求书中，“云计算”被定义为用于允许对可配置计算资源(例如，网络、服务器、存储、应用和服务)的共享池的按需网络访问的模型。“云计算”的定义不限于可从这样的模型(在被合适地部署时)中获得的任何其他多个优点。

例如，云计算当前用于市场中，以便提供对可配置的计算资源的共享的池的无所不在的并且方便的按需的访问。此外，可配置的计算资源的共享的池还可以通过虚拟化快速地提供，利用低的管理努力或服务提供商交互，释放，然后，相应地缩放。

云计算模型可以由各种特征构成，诸如按需自助、宽的网络接入、资源汇聚、快速的弹性、测量的服务，以此类推。云计算模型还可形成各种服务模型，诸如例如软件即服务(“SaaS”)、平台即服务(“PaaS”)以及基础结构即服务(“IaaS”)。也可以使用不同的部署模型，诸如私有的云、社区云、公开的云、混合型云，等等，来部署云计算模型。在该描述和权利要求书中，“云计算环境”是其中采用了云计算的环境。

除此之外或作为替代，本文所述的功能可至少部分地由一个或多个硬件逻辑组件来执行。例如，并且但不仅限于，可以使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、程序特定的集成电路(ASIC)、程序特定的标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)，及其他类型的可编程硬件。

更进一步，此处所描述的系统架构可包括多个独立组件，每一组件都对作为整体的系统的功能有贡献。当开始考虑平台可缩放性的问题时，此模块性允许提高灵活性，为此，提供各种优点。可以通过使用带有有限的功能范围的较小规模部件，比较轻松地管理系统复杂性和增长。通过使用这些松散耦合的模块，增强平台容错。随着业务需要规定，单个组件可以增量地增长。对于新的功能，模块化开发还转换为缩短的上市时间。可以添加或减去新功能，而不会影响核心系统。

图1示出了其中可以使用至少一个实施例的计算机体系结构100。计算机体系结构100包括客户端计算机系统101和公共云计算机系统110。计算机系统101和110可以是任何类型的本地或分布式计算机系统，包括云计算系统。每一计算系统包括用于执行各种不同的功能的各种模块。例如，客户端计算机系统101包括通信模块102。通信模块允许数据在客户端计算机系统被接收和传送。例如，用户105可发送或输入认证凭证104，所述认证凭证接着被从客户端计算机系统101传送到公共云计算机系统110的认证服务114。至少在某些实施例中，公共云计算机系统110是可主存各种不同应用和服务的面向公众的云计算系统。这些服务可遍布可物理地位于世界上基本上任何地方的各种不同物理计算机系统或处理器。

认证服务器114可因此接收来自客户端计算机系统101的认证凭证104(其可包括用户名、口令、生物测地数据或其它凭证)。认证服务114的经加密令牌生成模块115可接着基于所接收的用户凭证104来生成经加密的令牌107。经加密的令牌107可接着被发送回客户端计算机系统101。至少在某些实施例中，经加密的令牌107，连同用户的凭证104，可被存储在对于客户端计算机系统101而言本地或远程的数据存储103中。

客户端计算机系统101可接着将经加密的令牌107发送到远程应用提供服务108，该远程应用提供服务是运行在公共云计算机系统110上的虚拟网络113的部分。虚拟网络可以是与企业或其它实体相关联的私有网络。这个虚拟网络可以提供对敏感数据的访问，并且因此，外部用户在被授权访问虚拟网络113之前将通常需要认证。为了认证到虚拟网络113，客户端计算机系统101发送基于用户的认证凭证104生成的经加密的令牌107。然而，用户的凭证(至少在某些实施例中)不被发送到远程应用提供服务108。令牌解密模块109解密经加密的令牌107，并确定用户是谁，以及他们是不是有效用户。如果他们是有效用户，那么远程应用提供模块108向客户端计算机系统101发送对用户105可用的远程应用的指示117。

用户105可接着提供他们想要打开所述可用应用中的哪些应用的指示106。该指示被发送到远程应用提供模块108。此时，用户的存储的认证凭证104和存储的经加密令牌107被发送到运行在虚拟网络中的虚拟机111的一个或多个。这些虚拟机是实际主存拥有或管理虚拟网络113的企业或其它实体的远程应用112的计算系统。所存储的认证凭证104和所存储的经加密令牌107接着被用于登录并向虚拟机认证。一旦被认证，虚拟机111提供用户请求(即，在指示106中)的远程应用的远程应用数据116。

以此方式，终端用户认证和单次登录(SSO)方案被提供。该方案包括允许终端用户通过去浏览器或订阅馈源(企业或其它组织已经为他们设置)来连接到他们的远程应用的客户端侧组件。用户105输入他们的凭证104来连接到应用提供服务108。客户端侧组件接收用户的凭证104并与认证服务114交谈以获得经加密的令牌107。该令牌连同用户凭证104随后被用于认证、授权并完成远程登录。认证服务被配置来接受用于认证的令牌。认证服务114能够对使用该令牌的用户作出认证决策(例如，终端用户“x”是“y”公司中的有效帐户)。

在某些情况中，远程应用提供服务108的客户(例如，企业)已经设置了可访问指定远程资源(例如应用112)的一组指定雇员。服务108接着通过作出到企业的目录服务中的合适的目录调用来作出授权决策(例如，终端用户“x”被允许访问远程资源“y”吗？)。一旦用户被授权，远程登录可被建立到虚拟机应用主机。在某些实施例中，远程桌面协议(RDP)可被用于建立去往连接到客户的域(即，作为虚拟网络113的部分)的虚拟机(VM)的远程交互登录。这允许终端用户105访问他们的远程应用112。因此，这向企业提供使用他们的企业登录账号来运行他们的虚拟桌面工作负载的途径。下面将分别进一步参考图2，3以及4的方法200、300以及400来说明这些概念。

鉴于上文所描述的系统和构架，参考图2、3以及4的流程图，将更好地理解可以根据所公开的主题实现的方法。为了简洁起见，作为一系列框示出和描述了方法。然而，应了解和明白，所要求保护的主题不受方框的顺序的限制，因为某些方框可以按不同的顺序进行，和/或与此处所描绘和描述的其他方框同时进行。此外，并非所有的所示出的方框都是实现下面所描述的方法所必需的。

图2示出了用于向远程应用提供服务认证用户的方法200的流程图。现在将频繁地参考环境100的组件以及数据来描述方法200。

方法200包括从位于客户端计算系统的用户接收一个或多个认证凭证以向提供虚拟机主存的远程应用的远程应用提供服务认证该用户的动作(动作210)。例如，客户端计算机系统101可接收来自正在使用计算机系统101或正向计算机系统101提供输入的用户105的认证凭证104。该认证凭证可包括可用于验证和认证用户(特别是试图访问虚拟机主存的远程应用112的用户)的用户名、口令、生物测定信息或其它信息。客户端计算机系统101的通信模块102可接着将这些认证凭证传递到运行在公共云计算系统110上的认证服务114。经加密令牌生成模块115可使用接收到的凭证来生成经加密的令牌107。经加密的令牌107因此是基于用户105提供的认证凭证104的。

方法200接着包括从认证服务接收所生成的经加密的令牌的动作(动作220)。客户端计算机系统101因此接收来自运行在公共云110上的认证服务114的经加密的令牌107。该经加密的令牌107接着连同所接收的认证凭证104一起被存储在数据存储103中(动作230)。如上所述，该数据存储103可相对于计算机系统101而言在本地或远程，并且可包括单个存储设备，或这样的设备的阵列，诸如存储区域网络(SAN)或其它云存储系统。客户端计算机系统101接着将经加密的令牌107发送到远程应用提供服务108。经加密的令牌向远程应用提供服务指示用户是有效用户(动作240)。由于用户是有效用户，远程应用提供模块108还可确定用户105可访问哪些远程应用112。指示117可被发送到客户端计算机系统101，指示用户可访问的远程应用的列表。

用户可访问的远程应用112可以列表或其它安排的形式被显示。每个远程应用可由一个图标、缩略图或其它图像来代表。为启动该远程应用，用户可点击、触摸或以其他方式选择该应用的图标。响应于用户的输入106，该客户端计算机系统101将用户的存储的认证凭证104及所存储的经加密令牌107发送到主存指定远程应用112的虚拟机111。接着，在被认证到主存指定远程应用的虚拟机时，用户被允许访问用户指定的实例化了的远程应用112。

经加密令牌生成模块115可生成经加密的令牌107，使得它仅可由远程应用提供服务108和/或主存指定远程应用112的虚拟机111来解密。一旦用户已经被使用令牌107和凭证104认证，远程应用数据116被发送到用户105。可使用在虚拟机112和客户端计算系统101之间建立的远程桌面协议(RDP)会话来访问用户指定的远程应用。在RDP会话内，用户还可访问已由管理虚拟网络113的实体给予访问权的其它远程应用。

在某些实施例中，先前生成的，经高速缓存的经加密令牌107可连同用户的认证凭证104一起被发送到远程应用提供服务。因此，在用户正在通过浏览器访问远程应用的情况中，浏览器可查看高速缓存(例如数据存储103)，并且如果经加密的令牌已经存在，(至少在某些情况中)其可将那个令牌而不是用户的凭证发送到认证服务114用于经加密令牌的生成。在某些情况中，除了经加密的令牌107之外，连接数据也可被发送到远程应用提供服务108。连接数据指示客户端计算系统101和远程应用提供服务108之间的连接要如何被建立。该连接数据可包括端口号、协议、硬件ID或任何用于建立连接的其它数据。

如图5所示，认证服务502还可验证用户(例如105)是提供虚拟机主存的远程应用的组织的成员。例如，企业508可以是提供或管理图1的虚拟网络113的组织。该企业可具有被分配不同远程应用的不同用户组509。用户可因此将他们的凭证504发送到认证服务502，该认证服务基于凭证来生成经加密令牌505。认证服务502的目录服务503可被使用来发送企业组查询507，以基于用户的配置504来确定用户是否被允许访问指定应用，或用户是否是对指定远程应用具有访问权的组的成员。如果目录服务503确定用户确属对用户指定应用具有访问权的企业组509，则用户将被允许访问那个应用，并且远程应用提供服务506将被通知该用户的组成员资格。至少在某些情况中，在公共云501内的认证服务和远程应用提供服务之间存在信任关系。

客户端计算机系统101可用各种方式向用户呈现可用应用。例如，用户可在远程应用提供服务108(或由运行在云110上的另一服务)提供的web页上输入他们的认证凭证104。一旦合适地认证，对用户可用的远程应用112可被呈现在web页上。在其它情况中，用户可通过用户订阅的远程应用列表中存在的远程应用来输入他们的认证凭证104。该应用列表可被显示在客户端计算机系统的操作系统的控制面板或其它窗口中。在某些实施例中，应当注意，客户端计算机系统101可确定自从经加密的令牌107被生成后指定时间段已过。如果该指定的时间量期满，那么用户的认证凭证104可被重新发送到认证服务108供令牌的重新发行。该令牌可接着例如，以超文本传输协议(HTTP)头部，或经由某个其它传输，被发送到远程应用提供服务。

图3示出了用于在远程应用提供服务处认证用户的方法300的流程图。现在将频繁地参考环境100的组件以及数据来描述方法300。

方法300包括，在远程应用提供服务处，从客户端计算机系统接收经加密令牌的动作，该经加密令牌是基于用户提供的认证凭证来生成的(动作310)。如上所述，远程应用提供服务108可从客户端计算机系统101接收经加密令牌107，其中经加密令牌基于用户的凭证104由模块115来生成。令牌解密模块109可接着解密所接收到的经加密的令牌(动作302)。

该远程应用提供模块108还可从所解密的令牌确定用户的身份(动作330)，基于用户的身份确定用户被授权访问哪些远程应用(动作340)，并向用户提供指示可供使用的那些远程应用的指示117(动作350)。这些应用可以以web界面、操作系统(OS)文件夹或以某个其它方式被提供给用户。可用应用的每一个可具有它们自己的各自的图标或缩略图像。web页面或OS文件夹可包括用户订阅的或以其他方式被允许访问的那些远程应用。

图4示出了用于向远程应用提供服务认证用户的方法400的流程图。现在将频繁地参考环境100的组件以及数据来描述方法400。

方法400包括在远程应用提供服务接收来自用户的指示指定远程应用要被实例化的指示的动作，该指示包括基于认证凭证生成的经加密令牌(动作410)。远程应用提供服务108可因此接收来自用户105的指示用户指定的远程应用112要被打开的指示106。该指示可包括基于用户的认证凭证生成的经加密的令牌107。该令牌和凭证在被传送到远程应用提供服务108之前可以已经被存储在数据存储103中。令牌解密模块109可接着解密所接收到的经加密的令牌以确定用户的身份(动作420)，并验证用户具有访问指定远程应用的许可(动作430)。远程应用提供服务108可接着将经加密的令牌107发送到使用该经加密令牌及用户的认证凭证来提供对指定远程应用112的访问的远程应用虚拟机主机111(动作440)。

由虚拟网络113内的虚拟机提供的远程应用112可提供对属于用户所属的企业508或其它组织的私有资源的访问。用户的认证凭证既可被用于确定哪些应用对用户可用也可被用于将用户登录到提供指定远程应用的虚拟机主机。因此，图1中所示的各实施例促进基于声明的认证(其通常包括用户名和口令)，以及基于令牌的认证(其使用经加密令牌107)。该经加密令牌107可被(它自己)发送到远程应用提供服务108来确定哪些应用对用户可用。令牌和用户名/口令接着被用于向提供用户指定远程应用112的虚拟机认证用户。以此方式，两个不同且分开的认证系统一起工作以认证用户并允许他们对他们的(企业提供的)远程应用的访问。相应地，提供了向远程应用提供服务认证用户的方法、系统和计算机程序产品。

此处所描述的概念和特征可以以其他特定形式实现，而不背离其精神或描述性的特征。所描述的实施例在所有方面都应被认为仅是说明性而非限制性的。从而，本发明的范围由所附权利要求书而非前述描述指示。落入权利要求书的等效方案的含义和范围内的所有改变应被权利要求书的范围所涵盖。

Claims

1.一种客户端计算机系统，包括下列各项：

一个或多个处理器；

系统存储器；

其上存储有计算机可执行指令的一个或多个计算机可读存储介质，所述计算机可执行指令在由所述一个或多个处理器执行时使得所述计算机系统执行一种用于向远程应用提供服务认证用户的方法，所述方法包括以下：

从位于所述客户端计算机系统的用户接收一个或多个认证凭证以向提供虚拟机主存的远程应用的远程应用提供服务认证所述用户的动作；

将所接收到的认证凭证发送到认证服务的动作，所述认证服务被配置来基于所接收到的认证凭证生成经加密的令牌；

从所述认证服务接收所生成的经加密的令牌的动作；

将所接收到的经加密的令牌及所接收到的认证凭证存储在数据存储中的动作；

将所述经加密的令牌发送到所述远程应用提供服务的动作，所述经加密的令牌向所述远程应用提供服务指示所述用户是有效用户；

从所述远程应用提供服务接收所述用户被允许访问的一个或多个远程应用的指示的动作；

从所述用户接收指示所述远程应用中的至少一个远程应用要被实例化的指示的动作；

将用户的所存储的认证凭证和所存储的经加密的令牌发送到正主存所指定的远程应用的虚拟机的动作；以及

在被认证到正主存所指定的远程应用的所述虚拟机时，访问所指定的经实例化的远程应用的动作。

2.如权利要求1所述的客户端计算机系统，其特征在于，所述令牌被加密使得它仅能被正主存所指定的远程应用的所述虚拟机解密。

3.如权利要求1所述的客户端计算机系统，其特征在于，除了所述经加密的令牌之外，连接数据的一个或多个部分也被发送到所述远程应用提供服务，所述连接数据指示所述客户端计算机系统和所述远程应用提供服务之间的连接要如何被建立。

4.如权利要求1所述的客户端计算机系统，其特征在于，还包括：

确定自所述经加密的令牌被生成起，所指定的一段时间已流逝的动作；以及

将所述用户的认证凭证重新发送到所述认证服务供所述令牌的重新发布的动作。

5.一种计算机系统，包括下列各项：

一个或多个处理器；

系统存储器；

其上存储有计算机可执行指令的一个或多个计算机可读存储介质，所述计算机可执行指令在由所述一个或多个处理器执行时使得所述计算机系统执行一种用于在远程应用提供服务上认证用户的方法，所述方法包括以下：

在远程应用提供服务处，接收来自客户端计算机系统的经加密的令牌的动作，所述经加密的令牌是基于用户提供的认证凭证来生成的；

所述远程应用提供服务解密所接收到的经加密的令牌的动作；

从经解密的令牌确定所述用户的身份的动作；

基于所述用户的身份确定所述用户被授权访问哪些远程应用的动作；

向所述用户提供能供使用的那些远程应用的指示的动作；

6.如权利要求5所述的计算机系统，其特征在于，使用基于云的认证服务来生成所述经加密的令牌。

7.如权利要求5所述的计算机系统，其特征在于，所述远程应用在web界面中被提供给所述用户。

8.一种计算机系统，包括下列各项：

一个或多个处理器；

系统存储器；

在远程应用提供服务处，接收来自用户的指示指定远程应用要被实例化的指示的动作，所述指示包括基于从所述用户接收的认证凭证生成的经加密的令牌；

解密所接收到的经加密的令牌以确定所述用户的身份的动作；

验证所述用户具有对所指定的远程应用的访问的许可的动作；以及

所述远程应用提供服务将所述经加密的令牌发送到使用所述经加密的令牌及所述用户的认证凭证来提供对所指定的远程应用的访问的远程应用虚拟机主机的动作，其中，所述用户的认证凭证既可被用于确定哪些应用对所述用户可用也可被用于将所述用户登录到提供所指定的远程应用的所述虚拟机主机。