CN105917630B - 使用单点登录自举到检查代理的重定向 - Google Patents
使用单点登录自举到检查代理的重定向 Download PDFInfo
- Publication number
- CN105917630B CN105917630B CN201580004656.3A CN201580004656A CN105917630B CN 105917630 B CN105917630 B CN 105917630B CN 201580004656 A CN201580004656 A CN 201580004656A CN 105917630 B CN105917630 B CN 105917630B
- Authority
- CN
- China
- Prior art keywords
- agency
- user
- client device
- service supplier
- resource locator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Abstract
认证请求在客户端设备的用户尝试发起与由服务供应商所管理的应用的会话时被生成。认证响应基于从用户接收到的凭证来生成。认证响应包括代表用户的断言。断言的递送资源定位符被重写到代理的资源定位符,以将该断言重定向到代理。认证响应与代理的资源定位符一起发送到客户端设备,从而使得该客户端设备将该断言发送至代理,该代理解码经重写的资源定位符并将断言发送到服务供应商。
Description
技术领域
本公开涉及针对服务供应商应用的单点登录(single-sign-on)技术。
背景技术
企业用户正在采用云中由各种第三方服务供应商提供的更多的服务。当在企业外部时用户可以通过直接连接到云资源来从移动设备访问这些服务供应商的站点。作为企业的安全策略的一部分(例如,针对数据丢失保护),企业仍希望对这种类型的流量进行检查。
这样做的一个挑战是找到将云流量引导至代理层以执行检查的方式。在移动设备平台上尤其如此。尽管人们可能能够将接入点名称(APN)或虚拟专用网(VPN)技术用于某种程度的引导,常常难以在用户的设备上以能够可靠地让流量重定向生效的方式提供这样的方案。例如,APN技术在Wi-FiTM热点处不工作。此外,用户不希望他们的所有流量都受到检查,在使用诸如APN、VPN或全球超文本传输协议(HTTP)代理配置之类的设备层级技术时,这种情况很可能发生。
大多数企业软件即服务(SaaS)方案提供了单点登录(SSO)技术,来为企业提供使得与该企业相关联的认证机制得以生效的方式。然而,一旦SSO交易完成,流量就直接流回云资源并且企业可能会丢失对数据的可视性。
附图说明
图1是示出了多个客户端设备、服务供应商、身份供应商、以及代理的系统图,其中身份供应商或服务供应商被配置为根据本文所提供的技术来执行到代理的重定向。
图2是示出了根据本文所提供的技术的操作流程的阶梯序列图。
图3A-图3D是示出了在根据本文所提供的技术的操作流程期间的用户体验的示例的局部用户界面屏幕。
图4是概括了由身份供应商或服务供应商执行来辅助本文所提供的技术的操作的流程图。
图5是被配置为辅助本文所提供的技术的身份供应商的框图的示例。
具体实施方式
概述
认证请求在客户端设备的用户尝试发起与由服务供应商所管理的应用的会话时被生成。认证响应基于从用户接收到的凭证(credential)来生成。认证响应包括代表用户的断言(assertion)。断言的递送资源定位符被重写到代理的资源定位符,以将该断言重定向到代理。认证响应与代理的资源定位符一起发送到客户端设备,从而使得该客户端设备将该断言发送至代理,该代理解码重写的资源定位符并将断言发送到服务供应商。
示例性实施例
本文提供了建立在现有单点登录技术上的、当用户从设备访问企业云资源时将该用户经由将执行安全服务的反向代理进行重定向的技术。首先参考图1,示出了系统10,系统10包括多个客户端设备20(1)-20(N(每个客户端设备具有相关联的用户)、服务供应商30、身份供应商40、以及代理50。客户端设备20(1)-20(N)可以是台式计算机、膝上型计算机、平板计算机、诸如智能电话之类的无线移动设备、或任何其它物理或虚拟计算设备(例如,在云的数据中心中运行的虚拟机)。
客户端设备20(1)-20(N)可以位于任何位置,并在这样排布时,客户端设备20(1)-20(N)通过以标号60示出的互联网进行通信。例如,客户端设备20(1)-20(N)中的一个或多个可以驻留在企业网络70之外,但仍可以根据本文中所呈现的技术访问由服务供应商30所管理的服务应用32。例如,服务应用32可以是企业web会议应用,客户资源管理应用等。
身份供应商40负责向以任何可能的方式向服务供应商30寻求互动/服务的所有供应商发放标识信息。为此,身份供应商40执行认证以验证安全令牌。通常用户仅(使用单点登录技术)被验证一次,并且安全令牌被传递用于由身份供应商40针对其需要访问的每个服务供应商应用进行处理。身份供应商40支持诸如安全断言标记语言(SAML)之类的各种协议,SAML是用于交换各方之间(特别是身份供应商和服务供应商之间)的认证和授权数据的、基于XML的开放标准数据格式。
在一种形式中,服务供应商30、身份供应商40和代理60可以由具有互联网连接的专用服务器计算机来实现。在另一种形式中,服务供应商30、身份供应商40和代理60中的一个或多个的功能可以由在云计算环境的数据中心中运行的进程来实现。
图1示出存在与每个客户端设备20(1)-20(N)相关联的用户。具体而言,存在与客户端设备20(1)相关联的用户1、与客户端设备20(2)相关联的用户2、以及与客户端设备20(N)相关联的用户N。用户通常是能够访问客户端设备的人。在客户端设备上存在用于由用户访问由服务供应商30所保持的服务应用的应用。该应用可以是,例如web浏览器应用。然而,这仅仅是示例。
现在参考图2来描述根据本文提供的技术的整体流程100。在对图2的描述中也提及图1和图3A-3D。与企业网络70相关联的企业将向由服务供应商30提供的云服务注册(例如,针对服务应用32)。这将允许企业的承包商用户或雇员访问云服务,例如服务应用32。在联系图2描述的示例中,服务应用32被称为“服务应用(serviceapplication)”。服务应用32的统一资源定位符(URL)例如是example.my.serviceapplication.com。代理50的URL例如是cloudproxy.example.com。
企业将向云服务注册。在注册过程中,企业将创建用于由与该企业相关联的用户所使用的认证方案。典型地,这将配置该企业正使用的单点登录(SSO)服务的通用资源定位符(URL),例如sso-idp.example.com。
在110,客户端设备(例如,客户端设备20(1))处的用户将浏览器定向至example.my.serviceapplication.com用于服务供应商发起的SSO。图3A示出了步骤110期间浏览器的屏幕截图。标号111示出了在客户端设备20(1)上运行的浏览器中由用户键入的“example.my.serviceapplication.com”。在112,在客户端设备20(1)上运行的浏览器将被(使用SAML HTTP或HTTP POST绑定)重定向到身份供应商用于114处的认证。112处的重定向包含标示为<AuthenRequest>的认证请求。在114,在客户端设备20(1)上运行的浏览器向身份供应商40做出具有认证请求的HTTP GET。在116,身份供应商40以用户登录表来对认证请求做出响应。图3B示出了步骤116处浏览器的示意性屏幕截图,其中在客户端设备上运行的浏览器已被重定向至身份供应商40,并且已呈现有标号117处示出的用户登录表。在118,用户将他/她的用户凭证提供到用户登录表中,并且将浏览器应用中的凭证提供至身份供应商40。身份供应商可以使用登录表、两要素认证,或者甚至使用来自先前的认证的HTTPcookie。116和118处存在许多可能的登录场景,并且本文所描述并示出于图3B中的一个登陆场景仅仅是一个示例。
如果用户基于他/她的用户凭证得以通过认证,则身份供应商40生成包括代表客户端设备的用户的断言的响应。此外,身份供应商40重写用于断言的递送资源定位符(例如URL)到代理50的资源定位符,以将该断言重定向到代理50。因此,客户端设备的浏览器应用将通过重写检查代理50被重定向回服务供应商,并且将包括一些元数据从而检查代理50可以将原始请求桥接回原始资源。在120,身份供应商将响应与代理50的重写的资源定位符一起发送。
当在客户端设备20(1)上运行的浏览器应用接收120处发送的响应时,这将导致客户端设备的浏览器在122将断言发送到代理50。具体地,在122客户端设备20(1)处的浏览器向代理50做出具有响应的HTTPPOST。如图2所示,120处发送的响应可以由身份供应商签名,并且当响应在122被重定向至代理50时也使用这个相同的签名。应当注意,代理功能可以由与身份供应商相同的设备来执行,或者可以如图2中所示由分别的设备来执行。
当代理50在122处从122客户端设备20(1)接收重定向响应,代理解码重写的资源定位符,并在124将断言发送至服务供应商。这由124处代理50向服务供应商30做出的HTTPPOST所示。图3C示出了步骤122和步骤124之后、当客户端设备20(1)上的浏览器由代理50重定向回服务应用(如图3C中的125所示)时的示例性屏幕截图。
此后,来自服务供应商30响应由代理50接收,资源定位符被重写并且内容被传播到客户端设备。具体而言,在126服务供应商30授予用户访问服务应用的权限。代理50执行内容重写,并且在128向客户端设备通知所授予的访问服务应用的权限。在执行内容重写中,代理50采纳它从服务供应商30接收的任何内容,并将内容重写到其发送回客户端设备的页面。图3D示出了步骤128的内容重写之后运行在客户端设备上的用户浏览器的示例性屏幕截图,并且向“用户XYZ”呈现到服务应用的最初欢迎页面。如图3D所示,服务应用的URL被编码在任何代理请求中(如标号129所示)。
此后执行循环130,在循环130期间运行在客户端设备20(1)上的浏览器应用与服务应用之间具有的交换经由代理发生。即,已在128获知需要向代理做出到服务应用的资源请求,则在132,客户端设备20(1)上的浏览器应用向代理50发送资源请求。代理50在134处发送资源请求到服务供应商。服务供应商在136处向代理发送它的资源响应。在138,代理执行内容重写,并且向客户端设备发送资源响应。
在122,用户的SSO凭证被发布到代理,并且此后无论哪个实体获得了凭证,在一些有限的时间段内这些凭证对于访问服务应用都是有效的。由服务供应商进行的主要验证是相对于以密码加密的SAML响应/断言(代理不对其进行修改)的内容。服务供应商相对于自身的配置来验证源,而不考虑2层或3层地址。SAML断言可以包含由身份供应商发送的、关于主体本地性的信息(身份供应商发送从其验证了终端用户的客户端系统的互联网协议(IP)地址)。这是可选字段,并且通常为服务供应商所忽略(网络地址转换和Web代理使其在实践中的使用是困难的)。然而如果需要的话,经由代理进行重定向的身份供应商可以生成主体本地性字段,主体本地性字段指示将从其发起到服务供应商的请求的代理的IP地址。服务供应商可以独立于SAML/SSO/认证地,通过客户端IP地址/网络的IP白名单/黑名单来限制到服务的访问。在此情景中,代理IP地址需要被列入白名单。
通过使用这些技术,企业能够(以代理50的方法)来检查云流量,甚至当用户正在位于企业网络之外的位置处使用客户端设备访问服务供应商(即“位于外部(off-prem)”)的时候也是如此。此外,身份供应商、服务供应商和代理也可以位于外部。
因此,处理流程涉及用户直接发起到服务供应商的连接,并且在代理处“劫持”或拦截会话。交互由用户尝试连接到服务供应商而开始。当客户端设备尝试为用户发起与服务供应商的会话时,该客户端设备的位置是不相关的。客户端设备可以位于企业网内部(“位于内部(on-prem)”)或位于外部。这以完全基于标准的方式达成,而无需客户端设备上的任何特殊软件。身份供应商通知客户端设备去往代理,而不是返回服务供应商。
代理认证
为了避免容宿互联网上的开放代理,身份供应商可以透明地向代理认证用户会话。这一经认证的会话如何完成的示例包括:
1.(如果身份供应商和代理是相同域的一部分,则)在身份供应商和代理之间共享会话的HTTP cookie。这示于图2中的标号121处。更具体地,会话的HTTP cookie由身份供应商40在120处发送,并且在122处由客户端设备20(1)原样回应(echo back)到代理50。
2.代理基于目的地为服务供应商的SAML断言(上述步骤122)来建立经认证的会话。
总之,向代理认证用户会话可涉及在身份供应商和代理之间共享会话cookie,或者代理分析从用户接收的断言。
反向代理技术
由身份供应商40和代理50来执行资源定位符重写,以迫使(使得)运行在客户端设备上的浏览器应用通过代理50来访问所有服务供应商web页面和所链接的内容,用于经由代理访问的URL可以被模糊化,并被嵌入到代理URL,从而例如经由下述代理来访问https://example.my.serviceapplication.com/home/home.jsp:
https://cloudproxy.example.com/+CSCO+0075676763663A2F2F6E787672796F6E662D7172692D72712E7A6C2E666E79726673626570722E70627A++/home/home.jsp
URL重写可能针对所有内容(例如嵌入URL的定制JavaScript交换、或者使用套接字到硬编码地址的Java小程序)提出。
作为用户的会话的一部分,代理50可以为所代理的内容(例如,由服务供应商设置的HTTP cookies)维护状态。例如,由服务应用在步骤126设置的会话cookie将由代理50保留。这将在步骤128中省略,并且在步骤134的呼出请求中重新加入。
防止对服务供应商的直接访问
如果应当防止客户端设备直接访问服务供应商,则需要一些额外的考虑。由于SAML断言通常通过客户端设备的浏览器传递,用户可以执行其自身的内容重写以直接发布断言到服务供应商,获得直接访问。这可以以一些方式来防止。第一,身份供应商40可在步骤120中以也为代理50所知的共享密文(secret)来加密断言,要求代理50在将断言转发至服务供应商30之前解密该断言。第二,身份供应商可以以下述方式来生成断言:该方式要求代理50在断言将由服务供应商30接受之前重写并重签名该断言。换言之,身份供应商40将生成受到代理信任、但不受服务供应商信任的断言(例如,具有不同的证书、或具有不同实体标识符的断言)。代理可以执行一些将满足服务供应商的SAML配置的修改。
这些相同的技术可以应用到由身份供应商发起的SSO。这种情况下唯一的区别是,在步骤110用户直接发起与身份供应商的SSO过程,而不是与服务供应商的SSO过程。
经由检查代理的流量重定向也可以较早地在步骤112和步骤114中,从服务供应商到身份供应商的重定向期间被执行。在这种情况下,由于服务供应商将把代理设置为认证请求的目标,可能需要代理来修改并重签名SAML请求,以允许身份供应商将该认证请求看作以它为目标而不是以代理为目标的认证请求。
图4是概括根据上文联系图1、图2和图3A-3D所述的技术执行的操作的流程图。这些操作可以由身份供应商40来执行,并且在某些情况下操作某些部分可以由服务供应商30来执行。在200,以响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话而生成的认证请求为基础,基于从用户接收的凭证来生成认证响应。认证响应包括代表用户的断言。在210,断言的递送资源定位符(例如URL)被重写为代理的资源定位符,从而将断言重定向到代理。在220,认证响应被与代理的资源定位符一起发送到客户端设备,从而使该客户端设备发送断言到代理。当代理接收到该响应,就解码经重写的资源定位符,并且发送断言到服务供应商。如上所述,图4中所描绘的所有步骤可以由身份供应商来执行,或者一些步骤可以由服务供应商来执行。在正常的SAML操作中,服务供应商直接重定向到IdP。然而,服务供应商可以被配置为经由代理定向到IdP。服务供应商并不真正“知晓”它被重定向到代理;在这种情况下它将代理视为IdP。
现在参考图5。图5示出了身份供应商40的示例性框图。身份供应商40可以体现为具有网络连接性和计算能力的物理装置。为此,在一种形式中,身份供应商40包括一个或多个处理器42、网络接口单元44、以及存储器46。处理器42可包括微处理器或微控制器。网络接口单元44可包括使得身份供应商40能够经由互联网与服务供应商30、客户端设备、代理50、以及所需的其它实体进行通信的一个或多个网络接口卡或者类似网络连接使能设备。存储器46存储由处理器42执行的软件,例如用于重定向和内容重写处理逻辑48的指令。
存储器46可以包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质设备、光存储介质的设备、闪存设备,电、光、或其它物理/有形存储器存储设备。因此一般情况下,存储器48可以包括编码有软件的一种或多种有形(非暂态)计算机可读存储介质(例如,存储器设备),软件包括计算机可执行指令(例如,用于重定向处理逻辑48的指令),并且当软件被(处理器42)执行时可操作来执行联系图1、图2、图3A-图3D和图4针对身份供应商40所描述的操作。
身份供应商40和代理50的一个或多个功能可以在相同物理设备(即,“盒”)中实现,或者由相同的云托管功能来执行。
存在许多与本文所呈现的技术相关联的优点。首先,客户端设备不需要位于公司/企业内部网络内部来访问服务供应商应用。客户端设备可以位于任何地方,并且特别地,当客户端设备位于公司/企业网络以外(例如,在家中或离开公司网络)时这些技术是特别有用的。此外,身份供应商和代理不必位于公司网络中。
其次,由于用户不需要做不同于平时的任何事情,这些技术对用户是完全透明的。用户就像他/她通常做的那样来访问服务供应商应用,例如,经由浏览器并且指向服务供应商(或视情况而定的身份供应商)的URL。实现这些技术的主要智慧在于身份供应商做出到代理的重定向。“劫持”或“拦截”发生在身份供应商的后端,并且对用户是完全透明的。一旦登录到服务供应商,用户就可能注意到服务器地址并不直接是服务供应商的地址,而实际上是一些其它服务器的地址。
由于这些技术将到其它站点的标准HTTP重定向作为SAML流的一部分来使用,浏览器的安全性不会受到影响。在典型的SAML流中,作为正常SSO过程的一部分,用户代理器(浏览器)可以(经由HTTP POST和HTTP重定向SAML绑定)被重定向到原始站点之外的各种站点。当SSO过程重定向浏览器到代理,代理将端接安全套接字层(SSL)连接,并向客户端浏览器呈现其自身的有效的服务器证书。随后代理充当客户端并且建立到serviceapplication.com的新HTTPS会话。代理还负责对其代表客户端浏览器所发出的请求执行服务器证书验证。由于代理可以应用其自身的验证策略(可以更严格(例如,没有用户可能通常点击的不受信任的证书)),因此这些技术可能更安全。
如果担心用户可能在浏览器中看到这些,服务供应商的主机可以被编码在代理的域名中,其中https://<service provider host>.<companydomain>/<obfuscatedservice provider protocol and path>将在代理请求中变为<service providerprotocol>://<service provider host>/<service provider path>。例如,https://www.serviceapplication.example.com/<path>将映射到http[s]://www.serviceapplication.com/<path>。
第三,这些技术以完全符合标准的方式来实现。基于标准的协议得以使用,并且不会以任何方式改变。不需要特殊的客户端侧软件。没有违反任何信任关系,并且在客户端设备上的web浏览器中没有警告弹出。web浏览器将信任所拦截的连接。代理以不在客户端设备上的浏览器中导致任何安全警告的方式,来桥接客户端设备和服务供应商之间的安全连接。
此外,任何组件可以位于内部或位于外部。即,在客户端设备/端点可以位于内部或位于外部,身份供应商和代理也可以位于内部或位于外部(云托管)。代理功能可以由执行身份供应商的功能的相同设备起来执行,或者在分别的设备/云托管实例中执行。
再者,代理服务器和任何服务供应商之间不需要存在任何预定的关系。所需要的只是对存在于身份供应商(其执行通过代理的重定向/最终绑定)和服务供应商之间的SAML的正常配置。即使serviceapplication.com使用严格主机传输安全和证书pin,联系serviceapplication.com的用户代理器(而不是最终用户的浏览器)依然是代理,其可以遵守严格的主机传输安全和证书pin策略。用户的浏览器和代理之间的连接是单独的SSL隧道。
总之,在一种形式中,提供了一种方法,包括:以响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话所生成的认证请求为基础,基于从用户接收的凭证来生成认证响应,认证响应包括代表用户的断言;将断言的递送资源定位符重写为代理的资源定位符,从而将断言重定向到代理;并且将认证响应与代理的资源定位符一起发送到客户端设备,从而使客户端设备发送断言到代理,该代理解码经重写的资源定位符、并将断言发送至服务供应商。
在另一种形式中,提供了一种方法,包括:在身份供应商处接收响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话而生成的认证请求;基于从用户接收的凭证来生成认证响应,认证响应包括代表用户的断言;将断言的递送资源定位符重写为代理的资源定位符,从而将断言重定向到代理;并且将认证响应与代理的资源定位符一起发送到客户端设备,从而使客户端设备发送断言到代理。
此外,提供了一种装置,包括:网络接口单元,网络接口单元被配置为通过网络发送和接收通信;以及处理器,其中处理器耦接到网络接口单元,并且被配置为:以响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话所生成的认证请求为基础,基于从用户接收的凭证来生成认证响应,认证响应包括代表用户的断言;将断言的递送资源定位符重写为代理的资源定位符,从而将断言重定向到代理;向网络接口单元提供要被与代理的资源定位符一起发送到客户端设备的认证响应,从而使客户端设备发送断言到代理。
以上描述仅意在作为示例。可以对其做出各种修改和结构变化,而不脱离本文所述的概念的范围,并且落入权利要求的等同物的范围和范畴内。
Claims (17)
1.一种方法,包括:
在响应于客户端设备的用户尝试发起与由服务供应商管理的应用的用户会话所生成的认证请求的基础上,基于从所述用户接收的凭证来生成认证响应,所述认证响应包括代表所述用户的断言;
将断言的递送资源定位符重写为代理的资源定位符,从而将所述断言重定向到所述代理并使得所述客户端设备经由所述代理来访问服务供应商web页面以及所链接的内容;以及
将所述认证响应与所述代理的资源定位符一起发送到所述客户端设备,从而使所述客户端设备向所述代理发送所述断言,所述代理解码经重写的资源定位符并将所述断言发送至所述服务供应商。
2.如权利要求1所述的方法,其中生成、重写和发送的操作由身份供应商来执行。
3.如权利要求2所述的方法,还包括:所述身份供应商向所述代理认证所述用户会话。
4.如权利要求2所述的方法,其中向所述代理认证所述用户会话包括:在所述身份供应商和所述代理之间共享会话cookie。
5.如权利要求2所述的方法,其中认证包括:所述代理分析所述断言来确定所述用户会话是否被认证。
6.如权利要求2所述的方法,还包括:所述身份供应商从所述客户端设备接收认证请求。
7.如权利要求1所述的方法,其中重写以经由所述代理的访问被模糊化并且被嵌入在所述代理的资源定位符中的方式来执行。
8.如权利要求1所述的方法,还包括:以也为所述代理所知的共享密文来加密所述断言,从而要求所述代理在将所述断言转发至所述服务供应商之前解密所述断言。
9.如权利要求1所述的方法,还包括以下述方式来生成断言:该方式要求所述代理在所述断言能由所述服务供应商接受之前重写并重签所述断言。
10.一种方法,包括:
在身份供应商处接收响应于客户端设备的用户尝试发起与由服务供应商管理的应用的用户会话而生成的认证请求;
基于从所述用户接收的凭证来生成认证响应,所述认证响应包括代表所述用户的断言;
将断言的递送资源定位符重写为代理的资源定位符,从而将所述断言重定向到所述代理并使得所述客户端设备经由所述代理来访问服务供应商web页面以及所链接的内容;以及
将所述认证响应与所述代理的资源定位符一起发送到所述客户端设备,从而使所述客户端设备发送所述断言到所述代理。
11.如权利要求10所述的方法,其中重写以经由所述代理的访问被模糊化的方式来执行。
12.如权利要求11所述的方法,其中重写包括:重写所述代理的资源定位符。
13.如权利要求10所述的方法,还包括:以也为所述代理所知的共享密文来加密所述断言,从而要求所述代理在将所述断言转发至所述服务供应商之前解密所述断言。
14.一种装置,包括:
网络接口单元,所述网络接口单元被配置为通过网络发送和接收通信;以及
耦接到所述网络接口单元的处理器,其中所述处理器被配置为:
在响应于客户端设备的用户尝试发起与由服务供应商管理的应用的用户会话所生成的认证请求的基础上,基于从所述用户接收的凭证来生成认证响应,所述认证响应包括代表所述用户的断言;
将断言的递送资源定位符重写为代理的资源定位符,从而将所述断言重定向到所述代理并使得所述客户端设备经由所述代理来访问服务供应商web页面以及所链接的内容;以及
向所述网络接口单元提供要被与所述代理的资源定位符一起发送到所述客户端设备的所述认证响应,从而使所述客户端设备发送所述断言到所述代理。
15.如权利要求14所述的装置,其中所述处理器被配置为:以经由所述代理的访问被模糊化并且被嵌入在所述代理的资源定位符中的方式来重写所述资源定位符。
16.如权利要求14所述的装置,其中所述处理器被配置为:以也为所述代理所知的共享密文来加密所述断言。
17.如权利要求14所述的装置,其中所述处理器被配置为以下述方式来生成断言:该方式要求所述代理在所述断言能由所述服务供应商接受之前重写并重签所述断言。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/155,865 | 2014-01-15 | ||
| US14/155,865 US9294462B2 (en) | 2014-01-15 | 2014-01-15 | Redirect to inspection proxy using single-sign-on bootstrapping |
| PCT/US2015/010213 WO2015108718A1 (en) | 2014-01-15 | 2015-01-06 | Redirect to inspection proxy using single-sign-on bootstrapping |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105917630A CN105917630A (zh) | 2016-08-31 |
| CN105917630B true CN105917630B (zh) | 2019-08-13 |
Family
ID=52392248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580004656.3A Active CN105917630B (zh) | 2014-01-15 | 2015-01-06 | 使用单点登录自举到检查代理的重定向 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9294462B2 (zh) |
| EP (1) | EP3095225B1 (zh) |
| CN (1) | CN105917630B (zh) |
| WO (1) | WO2015108718A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9270765B2 (en) | 2013-03-06 | 2016-02-23 | Netskope, Inc. | Security for network delivered services |
| US9654473B2 (en) | 2013-06-28 | 2017-05-16 | Bmc Software, Inc. | Authentication proxy agent |
| US9553867B2 (en) | 2013-08-01 | 2017-01-24 | Bitglass, Inc. | Secure application access system |
| US9294462B2 (en) | 2014-01-15 | 2016-03-22 | Cisco Technology, Inc. | Redirect to inspection proxy using single-sign-on bootstrapping |
| US9729539B1 (en) * | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
| US9928377B2 (en) | 2015-03-19 | 2018-03-27 | Netskope, Inc. | Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS) |
| US9948633B2 (en) * | 2015-10-28 | 2018-04-17 | Citrix Systems, Inc. | Systems and methods for policy driven fine grain validation of servers' SSL certificate for clientless SSLVPN access |
| US9992187B2 (en) * | 2015-12-21 | 2018-06-05 | Cisco Technology, Inc. | Single sign-on authentication via browser for client application |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
| US11405423B2 (en) | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
| US20170317999A1 (en) * | 2016-04-27 | 2017-11-02 | Cisco Technology, Inc. | Security credential protection with cloud services |
| CN109196500B (zh) * | 2016-05-13 | 2022-11-01 | 移动熨斗公司 | 对基于云的服务的基于统一vpn和身份的认证 |
| US10523660B1 (en) | 2016-05-13 | 2019-12-31 | MobileIron, Inc. | Asserting a mobile identity to users and devices in an enterprise authentication system |
| US10291636B2 (en) | 2016-05-23 | 2019-05-14 | International Business Machines Corporation | Modifying a user session lifecycle in a cloud broker environment |
| US10270788B2 (en) | 2016-06-06 | 2019-04-23 | Netskope, Inc. | Machine learning based anomaly detection |
| US10516653B2 (en) | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
| US10469525B2 (en) | 2016-08-10 | 2019-11-05 | Netskope, Inc. | Systems and methods of detecting and responding to malware on a file system |
| CN106612290B (zh) * | 2017-01-19 | 2020-04-03 | 河海大学 | 一种面向系统集成的跨域单点登录方法 |
| US10708233B2 (en) * | 2017-03-30 | 2020-07-07 | Zscaler, Inc. | Identification of certificate pinned mobile applications in cloud based security systems |
| US10819749B2 (en) | 2017-04-21 | 2020-10-27 | Netskope, Inc. | Reducing error in security enforcement by a network security system (NSS) |
| US10587582B2 (en) * | 2017-05-15 | 2020-03-10 | Vmware, Inc | Certificate pinning by a tunnel endpoint |
| US10530746B2 (en) | 2017-10-17 | 2020-01-07 | Servicenow, Inc. | Deployment of a custom address to a remotely managed computational instance |
| US10728218B2 (en) * | 2018-02-26 | 2020-07-28 | Mcafee, Llc | Gateway with access checkpoint |
| US10783270B2 (en) | 2018-08-30 | 2020-09-22 | Netskope, Inc. | Methods and systems for securing and retrieving sensitive data using indexable databases |
| US10938801B2 (en) * | 2018-09-21 | 2021-03-02 | Microsoft Technology Licensing, Llc | Nonce handler for single sign on authentication in reverse proxy solutions |
| US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
| US11297040B2 (en) * | 2019-05-01 | 2022-04-05 | Akamai Technologies, Inc. | Intermediary handling of identity services to guard against client side attack vectors |
| US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
| US11240225B1 (en) * | 2020-03-03 | 2022-02-01 | Amazon Technologies, Inc. | Single sign-on techniques |
| US11394563B2 (en) | 2020-04-30 | 2022-07-19 | Zscaler, Inc. | Encrypted traffic inspection in a cloud-based security system |
| US10867073B1 (en) | 2020-06-03 | 2020-12-15 | Netskope, Inc. | Detecting organization image-borne sensitive documents and protecting against loss of the sensitive documents |
| US10990856B1 (en) | 2020-06-03 | 2021-04-27 | Netskope, Inc. | Detecting image-borne identification documents for protecting sensitive information |
| US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
| US11503038B1 (en) | 2021-10-27 | 2022-11-15 | Netskope, Inc. | Policy enforcement and visibility for IaaS and SaaS open APIs |
| US11683305B1 (en) * | 2022-07-08 | 2023-06-20 | Iboss, Inc. | Computer security system with remote browser isolation using forward proxying |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101569217A (zh) * | 2006-12-28 | 2009-10-28 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7793342B1 (en) | 2002-10-15 | 2010-09-07 | Novell, Inc. | Single sign-on with basic authentication for a transparent proxy |
| US7412539B2 (en) * | 2002-12-18 | 2008-08-12 | Sonicwall, Inc. | Method and apparatus for resource locator identifier rewrite |
| US8027918B2 (en) * | 2004-08-30 | 2011-09-27 | Google Inc. | Micro-payment system architecture |
| US20060069782A1 (en) | 2004-09-16 | 2006-03-30 | Michael Manning | Method and apparatus for location-based white lists in a telecommunications network |
| US20070101145A1 (en) * | 2005-10-31 | 2007-05-03 | Axalto Inc. | Framework for obtaining cryptographically signed consent |
| US8214635B2 (en) | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| US20090178131A1 (en) | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
| US8365271B2 (en) * | 2008-02-27 | 2013-01-29 | International Business Machines Corporation | Controlling access of a client system to access protected remote resources supporting relative URLs |
| US8418238B2 (en) | 2008-03-30 | 2013-04-09 | Symplified, Inc. | System, method, and apparatus for managing access to resources across a network |
| US8327434B2 (en) | 2009-08-14 | 2012-12-04 | Novell, Inc. | System and method for implementing a proxy authentication server to provide authentication for resources not located behind the proxy authentication server |
| US9027093B2 (en) | 2009-12-30 | 2015-05-05 | International Business Machines Corporation | Business process enablement for identity management |
| US8543471B2 (en) | 2010-08-24 | 2013-09-24 | Cisco Technology, Inc. | System and method for securely accessing a wirelessly advertised service |
| US8607054B2 (en) | 2010-10-15 | 2013-12-10 | Microsoft Corporation | Remote access to hosted virtual machines by enterprise users |
| US8484241B2 (en) | 2010-10-29 | 2013-07-09 | Russell Kent Bouse | Systems and methods to consolidate and communicate user profiles and modality preferences information for content delivery or interaction experiences |
| WO2012062915A2 (en) * | 2010-11-11 | 2012-05-18 | Nec Europe Ltd. | Method and system for providing service access to a user |
| US9596122B2 (en) | 2010-12-03 | 2017-03-14 | International Business Machines Corporation | Identity provider discovery service using a publish-subscribe model |
| CA2775247C (en) | 2011-04-27 | 2015-11-17 | Perspecsys Inc. | System and method for tokenization of data for storage in a cloud |
| US20130007867A1 (en) | 2011-06-30 | 2013-01-03 | Cisco Technology, Inc. | Network Identity for Software-as-a-Service Authentication |
| US8949938B2 (en) | 2011-10-27 | 2015-02-03 | Cisco Technology, Inc. | Mechanisms to use network session identifiers for software-as-a-service authentication |
| US8667579B2 (en) | 2011-11-29 | 2014-03-04 | Genband Us Llc | Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains |
| US9424554B2 (en) | 2012-05-07 | 2016-08-23 | Citrix Systems, Inc. | Enterprise managed systems with collaborative application support |
| US9294462B2 (en) | 2014-01-15 | 2016-03-22 | Cisco Technology, Inc. | Redirect to inspection proxy using single-sign-on bootstrapping |
-
2014
- 2014-01-15 US US14/155,865 patent/US9294462B2/en active Active
-
2015
- 2015-01-06 EP EP15700820.2A patent/EP3095225B1/en active Active
- 2015-01-06 WO PCT/US2015/010213 patent/WO2015108718A1/en active Application Filing
- 2015-01-06 CN CN201580004656.3A patent/CN105917630B/zh active Active
-
2016
- 2016-01-29 US US15/010,003 patent/US9894055B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101569217A (zh) * | 2006-12-28 | 2009-10-28 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015108718A1 (en) | 2015-07-23 |
| EP3095225B1 (en) | 2020-03-04 |
| US9894055B2 (en) | 2018-02-13 |
| US20160149898A1 (en) | 2016-05-26 |
| US9294462B2 (en) | 2016-03-22 |
| EP3095225A1 (en) | 2016-11-23 |
| US20150200924A1 (en) | 2015-07-16 |
| CN105917630A (zh) | 2016-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
| US9800681B2 (en) | Network traffic monitoring system and method to redirect network traffic through a network intermediary | |
| CN106209749B (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
| US9306905B2 (en) | Secure access to application servers using out-of-band communication | |
| US9787659B2 (en) | Techniques for secure access management in virtual environments | |
| US20180060559A1 (en) | Disposition engine for single sign on (sso) requests | |
| CN105592003B (zh) | 一种基于通知的跨域单点登录方法及系统 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| US20140359741A1 (en) | Mutually Authenticated Communication | |
| EP3304847B1 (en) | Method for managing a secure channel between a server and a secure element | |
| CN103685187A (zh) | 一种按需转换ssl认证方式以实现资源访问控制的方法 | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| CN109672675A (zh) | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 | |
| US20120254997A1 (en) | Methods and apparatuses for avoiding damage in network attacks | |
| CN103384198A (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
| CN104821951B (zh) | 一种安全通信的方法和装置 | |
| Binu et al. | A mobile based remote user authentication scheme without verifier table for cloud based services | |
| Shaikh et al. | Identity management in cloud computing | |
| CN115314217A (zh) | 跨多接入边缘计算系统登录方法及装置 | |
| CN116170164A (zh) | 请求调度的方法、装置、电子设备及存储介质 | |
| CN104717235B (zh) | 一种虚拟机资源检测方法 | |
| Pfitzmann et al. | BBAE–a general protocol for browser-based attribute exchange | |
| Pokherl | Secure Web System in a Cloud Environment | |
| Jammalamadaka et al. | SIdeCAR: Secure Identity Consent and Authentication Responder |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |