CN106170964B - 基于不同身份服务的用户虚拟身份 - Google Patents
基于不同身份服务的用户虚拟身份 Download PDFInfo
- Publication number
- CN106170964B CN106170964B CN201580014671.6A CN201580014671A CN106170964B CN 106170964 B CN106170964 B CN 106170964B CN 201580014671 A CN201580014671 A CN 201580014671A CN 106170964 B CN106170964 B CN 106170964B
- Authority
- CN
- China
- Prior art keywords
- identity
- virtual
- user
- identity service
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
本公开提供了一种虚拟身份和上下文模块,所述虚拟身份和上下文模块可为用户生成虚拟身份。不同类别的用户的虚拟身份可来源于不同身份服务。例如,可识别第一身份服务所提供的所述用户的第一身份验证。可基于与所述第一身份服务关联的第一属性字段来填充或填写所述虚拟身份的第一虚拟属性字段。还可识别与所述用户关联的第二身份服务。可基于与所述第二身份服务关联的第二属性字段来填充或填写所述虚拟身份的第二虚拟属性字段。可基于已为所述用户生成的所述虚拟身份的所述虚拟属性字段来为所述用户提供应用程序的访问权。
Description
技术领域
本公开涉及虚拟身份,更具体地讲,涉及基于不同身份服务的用户虚拟身份。
背景技术
基于云的单点登录(SSO)系统提供了对多个独立软件或网络系统的访问。例如,利用基于云的SSO系统,用户可登录基于云的SSO系统并且获得对多个独立软件或网络系统的访问权,而不需要在后续时间被提示连续登录每个软件或网络系统。
基于云的SSO系统可管理多个身份服务,这些身份服务各自提供一种类型的身份验证服务或机制并且/或者是与已验证用户关联的信息来源。例如,身份服务可提供身份验证服务以及已由该身份验证服务验证的用户的属性。一旦用户完成身份验证,基于根据身份服务以及与该身份服务所提供的用户相关信息对用户进行的身份验证,基于云的SSO系统可允许或授权访问软件或网络应用程序。例如,基于身份服务处存储的用户的属性,可授权用户访问应用程序。
可基于用户的属性将策略分配给软件或网络应用程序,并且/或者可将属性传输到软件或网络应用程序。例如,基于云的SSO系统的管理员可定义策略,该策略在用户的属性与该策略条件匹配的情况下允许用户访问应用程序。
因此,可能需要基于云的SSO系统的管理员来识别来自身份服务的用户的特定属性,以便定义策略。然而,身份服务可以不同格式(例如,不同属性名称)存储用户的属性。不同身份服务处存储的此类不同属性信息可使将属性分配给策略或将此类属性传输到应用程序的过程变得复杂和困难。
附图说明
从下文给出的详细描述和本公开的各种具体实施的附图可以更完整地了解本公开。
图1示出了根据各种具体实施的示例系统体系结构。
图2为根据本公开一些实施例的示例身份服务代理的框图。
图3为根据一些实施例的虚拟身份和上下文模块的一个例子的框图。
图4为流程图,其示出了根据本公开一些实施例的填充虚拟身份的虚拟属性字段的示例方法。
图5为根据一些实施例的通过不同身份服务填充的示例虚拟身份的示意图。
图6为根据本发明一些实施例的基于一个或多个身份服务来填充虚拟身份的虚拟属性字段的示例方法。
图7为可执行本文所述操作中的一者或多者的示例计算机系统的框图。
发明内容
可识别与第一身份服务关联的用户第一身份验证。可生成包括多个虚拟属性字段的用户虚拟身份。可基于第一身份服务处与用户关联的第一属性来生成多个虚拟属性字段中的第一虚拟属性字段。还可识别与用户关联的第二身份服务。可基于第二身份服务处与用户关联的第二属性来填充多个虚拟属性字段中的第二虚拟属性字段。可基于虚拟身份的虚拟属性字段来允许用户访问应用程序。
在一些实施例中,可基于虚拟身份的多个虚拟属性字段的值来定义策略,并且还可基于所述策略来允许用户访问应用程序。
在一些实施例中,还可基于所述策略来允许用户访问应用程序,使得用户虚拟身份的多个虚拟属性字段中的第一虚拟属性字段或第二虚拟属性字段和与第一虚拟属性字段或第二虚拟属性字段关联的策略条件匹配。
在一些实施例中,基于第一身份服务处与用户关联的第一属性填充第一虚拟属性字段之后,可确定多个虚拟属性字段中的至少一个虚拟属性字段未分配值。基于第二身份服务处与用户关联的第二属性来
识别与用户关联的第二身份服务并填充第二虚拟属性字段可响应于确定多个虚拟属性字段中的至少一个虚拟属性字段未分配值而执行。
在一些实施例中,可识别第一身份服务处的第一属性字段和第二身份服务处的第二属性字段之间的链接,并且可基于所述链接识别第二身份服务处与用户关联的第二属性字段。
在一些实施例中,第一身份验证是根据第一身份服务执行的主要身份验证,而第二身份服务是一类不同于第一身份服务的身份服务。此外,所述链接可以是用户的联合身份。
在一些实施例中,可将多个虚拟属性字段中的至少一个虚拟属性字段的值传输到用户已访问的应用程序。
具体实施方式
本文涉及用于基于不同或多个身份服务来创建用户虚拟身份的方法和装置。身份验证可指实体或用户通过使用一种类型的身份验证机制来源(例如,身份服务)来表明实体或用户的检验。例如,用户可登录集中身份验证服务器,该集中身份验证服务器通过利用多种类型或来源的身份验证机制向多个独立软件或网络系统提供单点登录访问控制机制。身份验证机制的类型或来源也可被称为身份服务。由于集中身份验证服务器可管理多个身份服务,因此其可被称为身份服务代理。
用户已登录身份服务代理(例如,通过SSO访问控制)之后,用户还可通过或根据由身份服务代理管理的身份服务进行身份验证。在一些实施例中,可将身份服务分类或分组为各种类型或角色的身份服务。例如,可将身份服务分类为(但不限于)主要身份验证服务、辅助身份验证服务或补充属性服务。
身份服务可与单个角色或多个角色关联。例如,身份服务可仅提供身份验证服务,或者可仅提供用于提供用户信息(例如,属性)的补充属性服务。在一些实施例中,身份服务既可提供身份验证服务,也可提供补充属性服务。
在一些实施例中,身份服务代理还可提供对软件或网络应用程序的访问控制(例如,授权)。身份服务代理的管理员可指定分配给每个软件或网络应用程序的策略,用户要访问该软件或网络应用程序时必须满足该策略。例如,管理员可基于同样由身份服务提供的用户的属性来指定或定义策略。此类属性也可被称为补充属性。此外,身份服务代理可将身份服务所提供的用户的属性传输到用户将要访问的软件或网络应用程序。在一些实施例中,为了基于角色进行访问、授权、及时调配、应用程序账户、识别和映射,可将属性传输到应用程序。
然而,身份服务所提供的用户的属性可以不同格式存储。例如,可将对应于用户的用户名的属性以字段“用户名”存储在第一身份服务中,并以字段“名称”存储在第二身份服务中。第一身份服务还可包括同一用户以字段“电子邮箱”命名的属性,并且第二身份服务也可包括同一用户以字段“位置”命名的属性。
本公开的具体实施可包括虚拟身份和上下文模块(下文进行更详细地描述),其用于识别身份服务的属性字段之间的链接或关系并且基于来自身份服务的属性字段生成虚拟身份。使用虚拟身份可产生可用于定义应用程序策略的标称虚拟属性字段集。虚拟身份和上下文模块(下文进行更详细地描述)的特征
可包括身份服务识别器子模块、生成器子模块、填充子模块、链接子模块、传输器子模块以及会话数据子模块。
图1示出了各种具体实施的示例系统体系结构100。系统体系结构100可包括一个或多个计算设备110、身份服务代理150以及经由网络120彼此耦接的网络应用程序130和140。网络120可以是公用网络、专用网络、无线网络、蜂窝网络或它们的组合。
身份服务代理可以是集中身份验证服务器,其将计算设备110客户端的虚拟身份生成和身份验证提供给由独立的网络或软件系统托管或提供的应用程序130和140。例如,身份服务代理可被视为基于云的计算系统,其管理身份服务以访问远程网络或软件系统。计算设备110可以是台式计算机、膝上型计算机或便携式计算设备,例如但不限于移动电话、个人数字助理(PDA)、便携式媒体播放器、上网本、平板电脑、便携式游戏控制台、便携式电视机、电子书阅读器等等。如图所示,一个或多个用户可使用计算设备110来利用身份服务代理150进行身份验证,并获得访问应用程序130和140的授权。
身份服务代理150可基于一个或多个身份服务160,170,180来验证用户。例如,身份服务代理150可管理身份服务160,170,180所提供的不同类型或来源的身份验证机制或身份验证信息。身份验证机制的例子可包括但不限于主要身份验证、辅助身份验证和补充属性信息。主要身份验证可指基于用户提供用户名和密码进行的身份验证。例如,用户可输入用户名和密码,并且该用户名和密码可与身份验证机制或来源(例如,可包含有效用户名和密码组合的库的活动目录(AD))匹配。在一些实施例中,辅助身份验证可指除了主要身份验证之外必须提供的身份验证机制。例如,主要身份验证可对应于用户名和密码,而辅助身份验证可对应于(但不限于)安全令牌、数字证书(例如,公钥基础设施(PKI)证书等)。主要身份验证与辅助身份验证的组合可被称为双重身份验证,因为用户需要两个不同的身份验证机制或来源来进行成功的身份验证。此外,补充属性信息可指用户的用户的属性。在一些实施例中,用户的用户的属性可存储在单独的身份服务中,或者也可与提供主要身份验证或辅助身份验证的身份服务关联或包括在其中。
如图1所示,身份服务代理150可管理身份服务160,170,180。身份服务160,170,180中的每一者可提供不同身份验证服务。例如,身份服务160可以是基于用户名和密码提供主要身份验证的活动目录或安全断言标记语言(SAML)来源。在一些实施例中,主要身份验证还可基于响应于用户首次登录所提供给用户的票证(例如,基于Kerberos的票证)。此外,身份服务170可提供基于PKI证书、令牌或任何其他此类信息的辅助身份验证机制。身份服务180可提供对应于用户的补充信息。在一些实施例中,身份服务160和170也可提供对应于用户的补充信息。
身份服务代理150可与应用程序130和140关联和/或存储与应用程序130和140关联的策略。在一些实施例中,策略可包括基于用户的属性的条件,并且可将策略分配给应用程序130和140。例如,可将指定对应于用户的位置属性的属性值“加利福尼亚州(California)”的第一策略分配给应用程序130,并且将指定对应于用户的工作组织属性的属性值“工程(Engineering)”的第二策略分配给应用程序140。如在下文更详细地论述,将属性分配给策略可基于虚拟身份的虚拟属性字段进行。
当计算设备110的用户利用身份服务代理150根据身份服务160,170,180进行身份验证时,该用户的虚拟身份可基于该用户已成功验证的身份服务160,170,180处存储的属性来生成。例如,身份服务160可包括多个属性,其包括“位置”属性字段,并且身份服务170可包括多个属性,其包括“工作组织”属性字段。身份服务代理150可识别身份服务160和身份服务170之间的链接或关系,并且基于身份服务160和身份服务170处的属性来为用户生成虚拟身份。
身份服务代理150可包括用以定义策略、将策略分配给应用程序、提供单点登录访问控制、检索身份服务处存储的属性的功能,以及用以生成包括基于身份服务160,170,180处存储的属性的标称虚拟属性在内的虚拟身份。下文中更详细地公开了有关身份服务代理150以及虚拟身份和上下文模块的更多细节。
图2为根据一些实施例的身份服务代理200的框图。一般来说,身份服务代理200可对应于图1所示的身份服务代理150。身份服务代理200可包括单点登录(SSO)模块210、虚拟身份和上下文模块220、策略引擎模块230以及授权模块240。在替代实施例中,可对这些模块中一者或多者的功能进行组合或划分。
如图2所示,身份服务代理200可包括单点登录模块210。在一些实施例中,单点登录模块210可为用户提供对多个网络或系统的访问控制。例如,用户可向单点登录模块210提供用户名和密码,并基于与来自活动目录(AD)、SAML来源等的有效用户名和密码组合匹配的用户名和密码来进行身份验证或提供Kerberos票证。在一些实施例中,单点登录可产生主要身份验证。在相同或替代实施例中,单点登录还可包括辅助身份验证。此外,身份服务代理200可包括策略引擎模块230。在一些实施例中,策略引擎模块230可用于定义策略属性值或将属性值分配给策略,并且将该策略分配给一个或多个应用程序。例如,可将需要属性值“Robert”的策略分配给一个应用程序,并且可将需要属性值“Jeff”的另一策略分配给另一应用程序。策略引擎模块230可为策略指定来自用户虚拟身份的属性,如下文参考图4-图6更详细地公开的那样。身份服务代理200还可包括授权模块240。在一些实施例中,基于用户满足分配给应用程序的策略,授权模块240可允许或授权访问一个或多个应用程序。
身份服务代理200可包虚拟身份和上下文模块220。在一些实施例中,虚拟身份和上下文模块220可为已登录身份服务代理200的单点登录模块210的用户生成虚拟身份。例如,虚拟身份和上下文模块220可基于不同身份服务处存储的属性来填充分配给用户的虚拟身份的虚拟属性字段。参考图3更详细地公开了有关虚拟身份和上下文模块220的更多细节。
因此,身份服务代理200可提供对基于云的系统和/或提供应用程序或服务的其他独立网络和系统的单点登录访问控制。身份服务代理200可用于为策略指定属性,并将策略分配给应用程序或服务。此外,用户可被分配包括来与用户关联的身份服务的虚拟属性字段和值在内的虚拟身份。身份服务代理200可在来自虚拟身份的用户虚拟属性值满足策略条件的情况下授权用户访问应用程序,并且/或者可将来自虚拟身份的虚拟属性传输到应用程序。
图3为根据一些实施例的虚拟身份和上下文模块300的框图。一般来说,虚拟身份和上下文模块300可对应于图1和图2所示的身份服务代理150或200中的虚拟身份和上下文模块220。虚拟身份和上下文模块300可包括身份服务识别器子模块310、生成器子模块320、字段填充子模块330、链接子模块340、传输器子模块350以及会话数据子模块360。在替代实施例中,可对这些子模块中一者或多者的功能进行组合或划分。
如图3所示,虚拟身份和上下文模块300可包括身份服务识别器子模块310。在一些实施例中,身份服务识别器子模块310可识别与用户关联的身份服务。例如,身份服务识别器子模块310可识别用户已由提供主要身份验证、辅助身份验证的身份服务成功验证,或者识别身份服务提供用户的属性。在一些实施例中,身份服务识别器子模块310可接收一种识别,该识别表明用户已将已验证的用户名和密码或其他此类主要身份验证信息提供给身份服务代理的单点登录访问控制服务。响应于用户身份验证,身份服务识别器子模块310可识别与用户关联的一个或多个身份服务。在一些实施例中,身份服务识别器子模块310可识别与用户关联的身份来源(包括用户的属性,如补充属性)。虚拟身份和上下文模块300还可包括生成器子模块320。在一些实施例中,生成器子模块320可为用户创建或生成虚拟身份。在相同或替代实施例中,虚拟身份可包括基于与用户关联的策略和/或与应用程序关联的策略的
一个或多个所生成的虚拟属性字段。例如,生成器子模块320可针对由身份服务代理管理的策略所需的每个属性来为虚拟身份创建虚拟属性字段。举例来说,第一策略可为“名称”和“位置”指定属性,而第二策略可为“电子邮箱地址”指定属性。响应于识别出由第一策略和第二策略指定的属性,生成器子模块320可为用户创建或生成虚拟身份,该虚拟身份包括对应于“名称”、“位置”和“电子邮箱地址”属性的虚拟属性字段。结合图5公开了有关属性的更多细节。
返回图3,虚拟身份和上下文模块300可包括字段填充子模块330。在一些实施例中,字段填充子模块330可利用来自一个或多个身份服务的属性值来填写或填充虚拟身份的虚拟属性字段。例如,字段填充子模块330可利用已由身份服务识别器子模块310识别的身份服务处存储的属性来填充由生成器子模块320创建的虚拟身份的虚拟属性字段。此外,链接子模块340可识别第一身份服务和第二身份服务之间的链接。响应于此类确定结果,字段填充子模块330可基于所识别的链接利用来自第二身份服务的属性来填充虚拟身份的虚拟属性字段。下文中更详细地公开了有关此类机制的更多细节。
在一些实施例中,虚拟身份和上下文模块300可包括会话数据子模块360。会话数据子模块360可以是永久存储单元。在一些实施例中,永久存储单元可以是本地存储单元或远程存储单元。永久存储单元可以是磁性存储单元、光学存储单元、固态存储单元、电子存储单元(主存储器)或类似存储单元。永久存储单元可以是单片设备或分布式设备集。如本文所用的“集”是指任何正整数数量的项目。在一些实施例中,会话数据子模块360可存储用户虚拟身份以及与用户关联的会话上下文信息。
虚拟身份和上下文模块300还可包括传输器子模块350。在一些实施例中,传输器子模块350可将虚拟身份和/或会话数据信息传输到策略引擎模块(例如,策略引擎模块230)或已授权用户访问的应用程序。
因此,虚拟身份和上下文模块300可识别与用户关联的一个或多个身份服务。在一些实施例中,所识别的身份服务中的每一者可包括已根据身份服务被成功授权的用户的属性信息。虚拟身份和上下文模块300还可为用户生成虚拟身份。例如,虚拟身份可包括可包含属性值的一个或多个虚拟属性字段。在一些实施例中,虚拟身份可包括一个或多个策略中所指定的每种类型属性的虚拟属性字段。虚拟身份和上下文模块300还可利用来自身份服务的属性值来填充或填写虚拟身份的虚拟属性字段。
图4为示出用于填充虚拟身份的虚拟属性字段的示例方法400的流程图。方法400可由处理逻辑执行,该处理逻辑可包括硬件(例如,处理设备、电路、专用逻辑、可编程逻辑、微代码等)、软件(例如,处理设备上运行的指令)或它们的组合。在一些实施例中,方法400可由图1和图2的身份服务代理150或200中图2和图3的虚拟身份和上下文模块220或300执行。
如图4所示,方法400可从处理逻辑识别与用户关联的第一身份服务(框410)开始。例如,处理逻辑可识别用户已对身份服务代理的单点登录功能进行了访问,并且已根据第一身份服务进行了身份验证。在一些实施例中,此类第一身份验证可被称为主要身份验证。处理逻辑可基于第一身份服务处的用户的属性值来填充或填写分配给用户的虚拟身份的虚拟属性字段(框420)。例如,处理逻辑可检索第一身份服务处存储的用户的属性值,并将检索的属性值分配给虚拟身份的对应虚拟属性字段。处理逻辑可识别与用户关联的第二身份服务(框430)。在一些实施例中,第二身份服务可独立且不同于第一身份服务。例如,第二身份服务可提供辅助身份验证和/或可仅提供用户的属性。处理逻辑可识别第一身份服务和第二身份服务之间的链接属性字段(框440)。在一些实施例中,链接字段可被称为联合识别。例如,第一身份服务中存储的第一属性字段可与第二身份服务中存储的第二属性字段链接。在一些实施例中,身份服务代理的管理员可预先配置第一身份服务和第二身份服务之间的两个属性字段的链接。下文中参考图5更详细地公开了有关链接属性字段的更多细节。
返回图4,处理逻辑还可基于已由链接属性字段识别的第二身份服务处存储的用户的属性值来填充分配给用户的虚拟身份的虚拟属性字段(框450)。例如,链接属性字段可被视为将第一身份服务中的用户的属性值与第二身份服务中的用户的属性值链接起来的联合身份。因此,链接属性字段可识别单个用户在不同身份服务之间的对应属性。举例来说,身份服务代理的管理员可利用第二身份服务中被命名为“员工编号(Emp.Number)”的链接属性字段来指定第一身份服务中被命名为“员工ID(Employee-ID)”的链接属性字段。处理逻辑可识别第一身份服务的记录(包括“员工ID”字段的属性值)中的用户的属性值,并且可在第二身份服务中的“员工编号”字段中搜索第二身份服务中的记录来获得相同属性值。如果在第二身份服务的链接属性字段中发现相同属性值,则包括有该属性值的记录的属性值可用于填充或填写虚拟身份的另外虚拟属性字段。
因此,可识别第一身份服务,并且可基于位于第一身份服务中的属性值填写虚拟身份的虚拟属性字段。可基于第一身份服务和第二身份服务中的链接字段来确定第一身份服务是否链接至第二身份服务。此外,在一些实施例中,身份服务代理的管理员可预先配置第一身份服务和第二身份服务之间的关系。然后可基于位于第二身份服务中的属性值来填充虚拟身份的另外虚拟属性字段。在一些实施例中,可将多个辅助身份
服务链接起来,以创建聚合虚拟身份。例如,提供主要身份验证的第一身份服务可链接至第二身份服务和第三身份服务。因此,可基于可由身份服务代理的管理员预先配置的链接字段来链接任何数量和任何不同类型的身份服务。因此,举例来说,用户可根据第一身份服务进行成功身份验证(例如,主要身份验证),并且可利用第二身份服务的链接字段来识别来自第一身份服务的链接字段。此外,还可利用第三身份服务的链接字段来识别来自第一身份服务的链接字段。因此,可基于链接字段来链接多个不同身份服务,并且可使用多个不同身份服务来创建虚拟身份。
图5为通过不同身份服务填充的示例虚拟身份的示意图。一般来说,身份服务520和530可对应于图1的身份服务160,170,180。此外,用户会话信息510可对应于图3的会话数据360。虚拟身份540可由身份服务代理中图2和图3的虚拟身份和上下文模块220或300创建。
如图5所示,虚拟身份540可包括由身份服务520和身份服务530填充或填写的多个虚拟属性字段。举例来说,虚拟身份540可包括被标记或命名为“Virt_Name”、“Virt_EmployeeID”、“Virt_Location”和“Virt_email”的虚拟属性字段。虽然图5示出了四个虚拟属性字段,但是可使用任何数量的虚拟属性字段和不同类型的虚拟属性字段。在一些实施例中,虚拟身份540可提供身份服务520和530处存储的属性字段的抽象内容,以用于策略并传输到应用程序。例如,策略可通过指定与身份服务520和530处存储的不同属性字段相反的虚拟属性字段来创建。因此,虚拟身份可被视为包括
可用于定义身份服务代理的策略的标称属性字段集(例如,虚拟属性字段)。在一些实施例中,虚拟属性字段的值可以是变换函数或聚合函数的结果(例如,子串、转换为整数、组合等),而非仅仅对该值进行归一化处理。例如,当填充虚拟属性字段时,可对来自属性字段的值进行变换或聚合。
返回图5,用户会话信息510可包括会话上下文信息530。在一些实施例中,会话上下文信息530可在用户登录身份服务代理的SSO时指定与用户会话关联的信息。会话上下文信息530可包括但不限于已登录身份服务代理的用户的用户名、用户已验证的身份服务的身份验证类型、与用户关联的安全等级、用户会话的时间和日期、用户使用的设备类型、设备名誉、设备互联网协议(IP)地址等。
如图所示,虚拟身份540可由来自身份服务520和身份服务530中的属性字段的值填充。例如,在一些实施例中,身份服务520可为用户提供主要身份验证,并且提供用户补充属性的来源。例如,身份服务520可包括每个用户的记录,该记录包括例如“用户名”、“密码”和“员工ID”的属性字段。在一些实施例中,用户和身份服务520可链接至身份服务530。例如,身份服务530可利用身份服务520提供的主要身份验证来提供辅助身份验证,作为双重身份验证的一部分。身份服务530还可提供补充属性的来源。例如,身份服务530可包括每个用户的记录,该记录包括例如“员工ID”、“位置”和“电子邮箱”的属性字段。在一些实施例中,身份服务代理的管理员可预先配置身份服务520和身份服务530的属性字段之间的链接。例如,链接525可表示身份服务520处的属性字段“员工ID”和身份服务530处的属性字段“员工ID”之间的此类预先配置的链接。在一些实施例中,链接525可被称为联合识别(ID),因为其用于建立身份服务520中的记录和身份服务530中的记录之间的关系。例如,链接525可用于利用对应于身份服务520中的记录的记录来搜索身份服务530。在一些实施例中,在链接属性字段中具有共同值的身份服务520中的记录和身份服务530中的记录可以是与同一用户关联的记录。因此,来自身份服务的记录的属性字段可用于填充或填写虚拟身份的虚拟属性字段。例如,如图所示,来自身份服务520的一个或多个属性字段值可用于填充一个或多个虚拟属性字段,来自身份服务530的对应记录的一个或多个属性字段值可用于填充同一虚拟身份的一个或多个虚拟属性字段。
在一些实施例中,身份服务可包括但不限于集成Windows身份验证(WA)身份服务、公钥基础设施(PKI)身份服务、Kerberos身份服务、令牌、活动目录、第三方网站凭症(例如,另一网络的用户名和密码)、轻量目录访问协议(LDAP)、安全断言标记语言(SAML)等。
虽然图5示出了由两个身份服务填充单个用户的虚拟身份,但是可使用任何数量和任何类型的身份服务来填充多个用户的多个虚拟身份。此外,虚拟身份可用于同时覆盖多个不同身份服务。例如,虚拟身份可覆盖或映射来自于不同身份服务的不同用户分类。举例来说,包括来自企业目录的员工属性在内的第一身份服务、包括对应于合作用户目录的客户或合作人属性在内的第二身份服务以及包括来自外部潜在公共身份服务的访客属性在内的第三身份服务全都可映射到多个用户的虚拟身份或多个虚拟身份的虚拟属性字段。在一些实施例中,身份服务代理的管理员可预先配置映射到此类不同身份服务和其中不同分类的虚拟身份之间的关系。例如,身份服务代理的管理员可指明对应于来自企业目录的员工、来自合作用户目录的客户或合伙人和来自外部身份服务的访客的信息全都可关联或映射到特定虚拟属性字段。
举例来说,可基于第一身份服务和第二身份服务的属性字段来填充第一用户的虚拟身份。可基于第一身份服务、第三身份服务和第四身份服务的属性字段来填充第二用户的虚拟身份。因此,虚拟身份可以是第一用户和第二用户与第一身份服务、第二身份服务、第三身份服务和第四身份服务的各种属性字段之间的映射。
图6为基于一个或多个身份服务来填充虚拟身份的虚拟属性字段的示例方法600。方法600可由处理逻辑执行,该处理逻辑可包括硬件(例如,处理设备、电路、专用逻辑、可编程逻辑、微代码等)、软件(例如,处理设备上运行的指令)或它们的组合。在一些实施例中,方法600可由身份服务代理150或200中图2和图3的虚拟身份和上下文模块220或300执行。
如图6所示,方法600可从处理逻辑基于虚拟身份的虚拟属性字段定义策略(框610)开始。例如,处理逻辑可生成策略以包括基于一个或多个用户补充属性的条件,所述补充属性对应于用户虚拟身份的虚拟属性字段。处理逻辑还可识别根据第一身份服务的用户身份验证(框620)。例如,用户身份验证可以是主要身份验证。此外,处理逻辑可基于存储在第一身份服务的属性字段中的用户补充属性来填充或填写用户虚拟身份的虚拟属性字段(框630)。例如,处理逻辑可识别存储在对应于虚拟身份的虚拟属性字段的第一身份服务处的用户的属性(例如,补充属性)。在一些实施例中,身份服务代理的管理员可预先配置第一身份服务处存储的用户的属性和虚拟身份的虚拟属性之间的关系或对应性。处理逻辑还可确定用户虚拟身份的虚拟属性字段是否完整(框640)。如果虚拟属性字段完整(例如,所有虚拟属性字段都具有来自第一身份服务的属性值),则不基于第二身份服务处的用户补充属性来填充其他虚拟属性字段(框650)。然而,如果确定用户虚拟身份的虚拟属性字段中的至少一个不完整,则可识别与用户关联的第二身份服务(框660)。在一些实施例中,身份服务代理的管理员可预先配置或选择第一身份服务和第二身份服务之间的链接。处理逻辑还可识别第一身份服务和第二身份服务之间的链接属性字段(框670)。在一些实施例中,身份服务代理的管理员可预先配置所选择的第一身份服务和第二身份服务之间的链接属性字段。此外,处理逻辑可基于第二身份服务处存储的用户补充属性来填充虚拟身份的虚拟属性字段。例如,可基于链接属性字段的共同属性值来识别包括存储在第二身份服务处的多个用户的属性在内的记录。
图7示出了计算机系统700的示例机器,其中可执行指令集以使机器执行本文所述的任何一种或多种方法。在替代具体实施中,该机器可连接到(例如,经网络连接到)LAN、内联网、外部网和/或互联网中的其他机器。该机器可在客户端-服务器网络环境中以服务器或客户机身份运行,作为对等(或分布式)网络环境中的对等机或者作为云计算基础设施或环境中的服务器或客户机。
该机器可以是个人计算机、平板电脑、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、网络设备、服务器、网络路由器、交换机或网桥,或能够(按顺序或以其他方式)执行规定该机器操作的指令集合的任何机器。此外,虽然本例所示为单个机器,但术语“机器”还应视为包括机器的任何集合,该集合独立地或联合地执行一个指令集(或多个指令集),用以执行本文所述的任何一种或多种方法。
示例计算机系统700包括处理设备702、主存储器704(例如,只读存储器(ROM)、闪存、如同步DRAM(SDRAM)或DRAM(RDRAM)的动态随机存取存储器(DRAM)等)、静态存储器706(例如,闪存、静态随机存取存储器(SRAM)等)以及数据存储设备718,它们彼此之间经由总线730通信。
处理设备702代表一个或多个通用处理设备,例如微处理器、中央处理单元等等。具体地讲,该处理设备可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器,或实施其他指令集的处理器或实施指令集组合的处理器。处理设备1202还可以是一个或多个专用处理设备,例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等等。处理设备702被配置为执行指令722以执行本文所述的操作和步骤。
计算机系统700还可包括网络接口设备708。计算机系统700还可包括视频显示单元710(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备712(例如,键盘)、光标控制设备714(例如,鼠标)以及信号生成设备716(例如,扬声器)。
数据存储设备718可包括机器可读存储介质728(也被称为计算机可读介质),在该机器可读存储介质上存储有体现本文所述的任何一种或多种方法或功能的指令或软件722或软件的一个或多个集合。在计算机系统700执行指令722期间,该指令还可完整或至少部分地驻留在主存储器704和/或处理设备702中,主存储器704和处理设备702还构成机器可读存储介质。
在一个具体实施中,指令722包括用于虚拟身份和上下文模块(例如,图2的虚拟身份和上下文模块220或图3的虚拟身份和上下文模块300)以及/或者软件库的指令,所述软件库包括调用虚拟身份和上下文模块中的模块或子模块的方法。虽然机器可读存储介质728在示例具体实施中示为单个介质,但是术语“机器可读存储介质”应视为包括存储一个或多个指令集的单个介质或多个介质(例如,集中式或分布式数据库和/或相关缓存和服务器)。术语“机器可读存储介质”还应视为包括任何介质,其能够存储或编码由机器执行并使机器执行本公开的任何一种或多种方法的指令集。因此,术语“机器可读存储介质”应视为包括但不限于固态存储器、光学介质以及磁性介质。
以上详细描述的某些部分以对计算机存储器内的数据位操作的算法和符号表示的方式来呈现。这些算法描述和表示为数据处理领域技术人员向本领域其他技术人员传达其工作实质的有效方式。算法在此通常被设想为可达到所需结果的一系列有条理的操作。所述操作是需要物理量的物理操作的那些操作。通常(但并非必须),这些物理量的形式为能够存储、组合、比较以及以其他方式操作的电信号或磁信号。已经证明,主要出于常见用途原因,有时可将这些信号方便地称为位、值、元素、符号、字符、项、数等等。
然而,应该牢记,所有这些名称和类似术语均将与适当的物理量关联,并且仅仅是应用于这些量的方便标记。除非另有具体说明,否则根据以上论述显而易见的是,应当理解,在所有描述中,使用例如“识别”或“确定”或“执行”或“进行”或“收集”或“创建”或“发送”等术语的论述是指计算机系统或类似电子计算设备的操作和过程,所述操作和过程将体现为计算机系统寄存器和存储器内的物理(电子)量的数据操作和转换为计算机系统存储器或寄存器或其他此类信息存储设备内的其他物理量数据。
本公开还涉及一种用于执行本文所述操作的装置。该装置可出于预期目的专门制造,或者其可包括一台通用计算机,该计算机可由存储在其中的计算机程序选择性地启动或重新配置。此类计算机程序可存储在一种计算机可读存储介质中,例如其不限于如软盘、光盘、CD-ROM和磁光盘在内的任何类型的磁盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁卡或光卡,或适用于存储电子指令的任何类型的介质,每种介质均都被耦接至计算机系统总线。
本文所述算法和显示并非必然与任何特定计算机或其他装置相关。按照本文中的教导,各种通用系统可以与程序一起使用,或者构造更专用的设备来执行方法可证明是便利的。各种这些系统的结构将根据以下描述呈现。另外,并未结合任何具体的编程语言来描述本公开。应当理解,可使用各种编程语言来实施本文所述的本公开的教导。
本公开可作为计算机程序产品或软件提供,所述计算机程序产品或软件可包括其上存储有指令的机器可读介质,所述指令可用于对计算机系统(或其他电子设备)编程,以执行根据本公开的过程。机器可读介质包括以机器(例如,计算机)可读形式存储信息的任何机构。例如,机器可读(例如,计算机可读)介质包括机器(例如,计算机)可读存储介质,例如只读存储器(“ROM”)、随机存取存储器(“RAM”)、磁盘存储介质、光学存储介质、闪存设备等等。
在前述说明中,已参考特定示例具体实施描述了本公开的具体实施。很显然,在不脱离以下权利要求书所述的本公开具体实施的广泛精神和范围的情况下,可对本公开的具体实施作出各种修改。因此,本说明书和附图应以说明性而非限制性意义考虑。
Claims (14)
1.一种用于创建虚拟身份的方法,包括:
识别与第一身份服务关联的用户的第一身份验证;
生成包括多个虚拟属性字段的所述用户的虚拟身份;
基于在所述第一身份服务处与所述用户关联的第一属性,填充所述多个虚拟属性字段中的第一虚拟属性字段;
填充所述第一虚拟属性字段之后,基于在所述第一身份服务处的与所述用户关联的第一属性,确定所述多个虚拟属性字段中的至少一个虚拟属性字段未分配值;
响应于确定所述多个虚拟属性字段中的所述至少一个虚拟属性字段未分配值,基于识别在所述第一身份服务处的所述第一属性和在第二身份服务处的第二属性之间的链接,识别与所述用户关联的第二身份服务;
基于在所述第二身份服务处与所述用户关联的第三属性,填充所述多个虚拟属性字段中的第二虚拟属性字段;并且
基于所述用户的所述虚拟身份的所述多个虚拟属性字段,通过处理设备允许所述用户访问应用程序。
2.根据权利要求1所述的方法,还包括:
基于所述虚拟身份的所述多个虚拟属性字段的值来定义策略,其中所述允许所述用户访问所述应用程序还基于所述策略。
3.根据权利要求2所述的方法,其中所述允许所述用户访问所述应用程序还基于所述策略,使得所述用户的所述虚拟身份的所述多个虚拟属性字段中的所述第一虚拟属性字段和所述第二虚拟属性字段和与所述第一虚拟属性字段或所述第二虚拟属性字段关联的所述策略的条件匹配。
4.根据权利要求1所述的方法,其中所述第一身份验证是根据所述第一身份服务执行的主要身份验证,而所述第二身份服务是一类不同于所述第一身份服务的身份服务,并且所述链接是所述用户的联合身份。
5.根据权利要求1所述的方法,还包括:
将所述多个虚拟属性字段中的至少一个虚拟属性字段的值传输到所述用户访问的所述应用程序。
6.一种用于创建虚拟身份的系统,包括:
存储器;以及
处理设备,所述处理设备与所述存储器耦接用于:
识别与第一身份服务关联的用户的第一身份验证;
生成包括多个虚拟属性字段的所述用户的虚拟身份;
基于在所述第一身份服务处与所述用户关联的第一属性,填充所述多个虚拟属性字段中的第一虚拟属性字段;
填充所述第一虚拟属性字段之后,基于在所述第一身份服务处的与所述用户关联的第一属性,确定所述多个虚拟属性字段中的至少一个虚拟属性字段未分配值,
响应于确定所述多个虚拟属性字段中的所述至少一个虚拟属性字段未分配值,基于识别在所述第一身份服务处的所述第一属性和在第二身份服务处的第二属性之间的链接,识别与所述用户关联的第二身份服务;
基于在所述第二身份服务处与所述用户关联的第三属性,填充所述多个虚拟属性字段中的第二虚拟属性字段;并且
基于所述用户的所述虚拟身份的所述多个虚拟属性字段,允许所述用户访问应用程序。
7.根据权利要求6所述的系统,所述处理设备还:
基于所述虚拟身份的所述多个虚拟属性字段的值来定义策略,其中所述允许所述用户访问所述应用程序还基于所述策略进行。
8.根据权利要求7所述的系统,其中所述允许所述用户访问所述应用程序还基于所述策略,使得所述用户的所述虚拟身份的所述多个虚拟属性字段中的所述第一虚拟属性字段和所述第二虚拟属性字段和与所述第一虚拟属性字段或所述第二虚拟属性字段关联的所述策略的条件匹配。
9.根据权利要求6所述的系统,其中所述第一身份验证是根据所述第一身份服务执行的主要身份验证,而所述第二身份服务是一类不同于所述第一身份服务的身份服务,并且所述链接是所述用户的联合身份。
10.根据权利要求6所述的系统,所述处理设备还:
将所述多个虚拟属性字段中的至少一个虚拟属性字段的值传输到所述用户访问的所述应用程序。
11.一种包括指令的非暂态计算机可读存储介质,所述指令由处理设备执行时,致使所述处理设备执行用于创建虚拟身份的操作,所述操作包括:
识别与第一身份服务关联的用户的第一身份验证;
生成包括多个虚拟属性字段的所述用户的虚拟身份;
基于在所述第一身份服务处与所述用户关联的第一属性,填充所述多个虚拟属性字段中的第一虚拟属性字段;
填充所述第一虚拟属性字段之后,基于在所述第一身份服务处的与所述用户关联的第一属性,确定所述多个虚拟属性字段中的至少一个虚拟属性字段未分配值;
响应于确定所述多个虚拟属性字段中的所述至少一个虚拟属性字段未分配值,基于识别在所述第一身份服务处的所述第一属性和在第二身份服务处的第二属性之间的链接,识别与所述用户关联的第二身份服务;
基于在所述第二身份服务处与所述用户关联的第三属性,填充所述多个虚拟属性字段中的第二虚拟属性字段;并且
基于所述用户的所述虚拟身份的所述多个虚拟属性字段,允许所述用户访问应用程序。
12.根据权利要求11所述的非暂态计算机可读存储介质,所述操作还包括:
基于所述虚拟身份的所述多个虚拟属性字段的值来定义策略,其中所述允许所述用户访问所述应用程序还基于所述策略。
13.根据权利要求12所述的非暂态计算机可读存储介质,其中所述允许所述用户访问所述应用程序还基于所述策略,使得所述用户的所述虚拟身份的所述多个虚拟属性字段中的所述第一虚拟属性字段和所述第二虚拟属性字段和与所述第一虚拟属性字段或所述第二虚拟属性字段关联的所述策略的条件匹配。
14.根据权利要求11所述的非暂态计算机可读存储介质,其中所述第一身份验证是根据所述第一身份服务执行的主要身份验证,而所述第二身份服务是一类不同于所述第一身份服务的身份服务,并且所述链接是所述用户的联合身份。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/168,659 US10142378B2 (en) | 2014-01-30 | 2014-01-30 | Virtual identity of a user based on disparate identity services |
| US14/168659 | 2014-01-30 | ||
| PCT/US2015/013584 WO2015116850A1 (en) | 2014-01-30 | 2015-01-29 | Virtual identity of a user based on disparate identity services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106170964A CN106170964A (zh) | 2016-11-30 |
| CN106170964B true CN106170964B (zh) | 2020-03-27 |
Family
ID=52469351
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580014671.6A Active CN106170964B (zh) | 2014-01-30 | 2015-01-29 | 基于不同身份服务的用户虚拟身份 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10142378B2 (zh) |
| EP (1) | EP3100432B1 (zh) |
| JP (1) | JP2017509964A (zh) |
| CN (1) | CN106170964B (zh) |
| WO (1) | WO2015116850A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9654507B2 (en) * | 2014-07-31 | 2017-05-16 | Zscaler, Inc. | Cloud application control using man-in-the-middle identity brokerage |
| US9432379B1 (en) * | 2014-10-09 | 2016-08-30 | Emc Corporation | Dynamic authorization in a multi-tenancy environment via tenant policy profiles |
| US10187374B2 (en) * | 2015-10-29 | 2019-01-22 | Airwatch Llc | Multi-factor authentication for managed applications using single sign-on technology |
| US9866546B2 (en) | 2015-10-29 | 2018-01-09 | Airwatch Llc | Selectively enabling multi-factor authentication for managed devices |
| US11388174B2 (en) * | 2016-02-29 | 2022-07-12 | Secret Double Octopus Ltd | System and method for securing a communication channel |
| US20170316433A1 (en) * | 2016-04-29 | 2017-11-02 | Ncr Corporation | Identity aggregation and integration |
| US20170316434A1 (en) * | 2016-04-29 | 2017-11-02 | Ncr Corporation | Identity aggregation and integration |
| US11238176B1 (en) * | 2016-06-17 | 2022-02-01 | BigID Inc. | System and methods for privacy management |
| US10375177B1 (en) * | 2016-06-21 | 2019-08-06 | Amazon Technologies, Inc. | Identity mapping for federated user authentication |
| CN107018121B (zh) * | 2016-10-13 | 2021-07-20 | 创新先进技术有限公司 | 用户身份验证的方法及装置 |
| US10637849B2 (en) | 2017-06-08 | 2020-04-28 | Sap Se | Logon file import and export for online working environments |
| EP3837615A4 (en) | 2018-08-13 | 2022-05-18 | Bigid Inc. | MACHINE LEARNING SYSTEM AND METHODS FOR DETERMINING CONFIDENCE LEVELS OF PERSONAL INFORMATION RESULTS |
| US11233637B2 (en) | 2018-10-18 | 2022-01-25 | Secret Double Octopus Ltd | System and method for validating an entity |
| US11379838B2 (en) | 2020-02-05 | 2022-07-05 | Hong Kong Applied Science And Technology Research Institute Co., Ltd. | Virtualization of user and data source identification |
| US11100252B1 (en) * | 2020-02-17 | 2021-08-24 | BigID Inc. | Machine learning systems and methods for predicting personal information using file metadata |
| US20230102169A1 (en) * | 2021-09-27 | 2023-03-30 | UiPath, Inc. | System and computer-implemented method for controlling a robot of a virtual machine |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004536364A (ja) * | 2000-12-06 | 2004-12-02 | ウェーブセット テクノロジーズ インコーポレイテッド | 情報オブジェクトを管理するためのシステムおよび方法 |
| JP2005128672A (ja) * | 2003-10-22 | 2005-05-19 | Hitachi Ltd | アカウントサービス情報の統合管理を支援する情報処理装置、アカウントサービス情報の統合管理方法、プログラム、および記録媒体 |
| JP2008282388A (ja) * | 2007-04-10 | 2008-11-20 | Symantec Corp | 単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置 |
| WO2012171081A1 (en) * | 2011-01-26 | 2012-12-20 | Lin.K.N.V. | Device and method for providing authenticated access to internet based services and applications |
Family Cites Families (82)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5864868A (en) | 1996-02-13 | 1999-01-26 | Contois; David C. | Computer control system and user interface for media playing devices |
| WO2003104947A2 (en) * | 2002-06-06 | 2003-12-18 | Hardt Dick C | Distributed hierarchical identity management |
| US7254573B2 (en) * | 2002-10-02 | 2007-08-07 | Burke Thomas R | System and method for identifying alternate contact information in a database related to entity, query by identifying contact information of a different type than was in query which is related to the same entity |
| US7350192B2 (en) * | 2003-12-08 | 2008-03-25 | Ebay Inc. | Method and system to automatically generate software code |
| US7509672B1 (en) * | 2004-04-01 | 2009-03-24 | Compuware Corporation | Cross-platform single sign-on data sharing |
| WO2006006704A2 (en) * | 2004-07-09 | 2006-01-19 | Matsushita Electric Industrial Co., Ltd. | System and method for managing user authentication and service authorization to achieve single-sign-on to access multiple network interfaces |
| US20060123472A1 (en) * | 2004-12-07 | 2006-06-08 | Microsoft Corporation | Providing tokens to access federated resources |
| US9330134B2 (en) * | 2005-05-31 | 2016-05-03 | Fairwarning Ip, Llc | User identity mapping system and method of use |
| US7752215B2 (en) * | 2005-10-07 | 2010-07-06 | International Business Machines Corporation | System and method for protecting sensitive data |
| US20070157124A1 (en) | 2005-12-30 | 2007-07-05 | Tobias Haug | Reduction of graphical clutter in computer displays |
| US8214394B2 (en) * | 2006-03-01 | 2012-07-03 | Oracle International Corporation | Propagating user identities in a secure federated search system |
| USD564540S1 (en) | 2006-05-22 | 2008-03-18 | Microsoft Corporation | Transitional image for a portion of a display screen |
| US8060612B1 (en) * | 2006-09-29 | 2011-11-15 | Sprint Communications Company L.P. | NAI (Network Access Identifier) embedding |
| US8327428B2 (en) * | 2006-11-30 | 2012-12-04 | Microsoft Corporation | Authenticating linked accounts |
| WO2008074133A1 (en) * | 2006-12-21 | 2008-06-26 | Sxip Identity Corp. | System and method for simplified login using an identity manager |
| US20080168539A1 (en) * | 2007-01-05 | 2008-07-10 | Joseph Stein | Methods and systems for federated identity management |
| US10007895B2 (en) * | 2007-01-30 | 2018-06-26 | Jonathan Brian Vanasco | System and method for indexing, correlating, managing, referencing and syndicating identities and relationships across systems |
| US20090164248A1 (en) | 2007-12-21 | 2009-06-25 | Providence Medical Group, A Division Of Providence Health System | System and Method for Patient Management/Communication with Intervention |
| CA3089409A1 (en) | 2008-05-21 | 2009-11-21 | Canadian National Railway Company | Linear assets inspection system |
| US20100017740A1 (en) | 2008-07-17 | 2010-01-21 | Microsoft Corporation | Pan and zoom control |
| USD640265S1 (en) | 2008-09-10 | 2011-06-21 | Trimble Navigation Limited | Global navigation satellite system apparatus display screen with user interface for configuration data |
| US9749309B2 (en) * | 2008-09-12 | 2017-08-29 | Nokia Solutions And Networks Oy | Identity management system |
| US8171057B2 (en) * | 2008-10-23 | 2012-05-01 | Microsoft Corporation | Modeling party identities in computer storage systems |
| US8413210B2 (en) * | 2008-12-09 | 2013-04-02 | Microsoft Corporation | Credential sharing between multiple client applications |
| USD634749S1 (en) | 2009-02-09 | 2011-03-22 | Harold Lee Brown | Scorecard graphical user interface for a portion of a display screen |
| US20100223572A1 (en) | 2009-02-27 | 2010-09-02 | Oracle International Corporation | Creating Manager Views In An Employee Compensation System |
| US8938684B2 (en) | 2009-09-30 | 2015-01-20 | Sap Se | Modification free cutting of business application user interfaces |
| US8239290B2 (en) | 2009-12-15 | 2012-08-07 | Shutterfly, Inc. | Graphical user interface, system and method for managing contacts within an online stationery system |
| US8924569B2 (en) * | 2009-12-17 | 2014-12-30 | Intel Corporation | Cloud federation as a service |
| US20110162034A1 (en) * | 2009-12-30 | 2011-06-30 | International Business Machines Corporation | Discovery and management of context-based entitlements across loosely-coupled environments |
| US20120311663A1 (en) * | 2010-02-05 | 2012-12-06 | Nokia Siemens Networks Oy | Identity management |
| USD658667S1 (en) | 2010-02-25 | 2012-05-01 | Broadsoft Casabi, Llc | Graphical user interface for a computer |
| US8566917B2 (en) * | 2010-03-19 | 2013-10-22 | Salesforce.Com, Inc. | Efficient single sign-on and identity provider configuration and deployment in a database system |
| US9307034B1 (en) * | 2010-04-13 | 2016-04-05 | Facebook, Inc. | Token-activated, federated access to social network information |
| USD678306S1 (en) | 2010-04-23 | 2013-03-19 | Karl Storz Gmbh & Co. Kg | Computer screen display and portion of a computer screen display with a graphical user interface |
| US9189615B2 (en) * | 2010-04-28 | 2015-11-17 | Openlane, Inc. | Systems and methods for system login and single sign-on |
| US8549597B1 (en) * | 2010-05-14 | 2013-10-01 | Amazon Technologies, Inc. | Temporary virtual identities in a social networking system |
| USD699260S1 (en) | 2010-07-02 | 2014-02-11 | Dreampark AB | Display screen or portion thereof with graphical user interface |
| US8733935B2 (en) | 2010-07-15 | 2014-05-27 | Corinthian Ophthalmic, Inc. | Method and system for performing remote treatment and monitoring |
| USD667834S1 (en) | 2010-10-18 | 2012-09-25 | Apple Inc. | Display screen or portion thereof with graphical user interface |
| US20120209735A1 (en) * | 2010-10-20 | 2012-08-16 | Peruvemba Subramanian | Federated third-party authentication apparatuses, methods and systems |
| US9690915B2 (en) * | 2010-11-29 | 2017-06-27 | Biocatch Ltd. | Device, method, and system of detecting remote access users and differentiating among users |
| US8832271B2 (en) * | 2010-12-03 | 2014-09-09 | International Business Machines Corporation | Identity provider instance discovery |
| USD670726S1 (en) | 2011-01-24 | 2012-11-13 | Microsoft Corporation | Display screen with animated graphical user interface |
| US8947374B2 (en) | 2011-02-07 | 2015-02-03 | Healthfusion, Inc. | Electronic medical system touch phrase technology |
| US20120204248A1 (en) * | 2011-02-09 | 2012-08-09 | Verizon Patent And Licensing Inc. | Provisioner for single sign-on and non-single sign-on sites, applications, systems, and sessions |
| US8875269B2 (en) * | 2011-02-23 | 2014-10-28 | International Business Machines Corporation | User initiated and controlled identity federation establishment and revocation mechanism |
| US8544069B1 (en) * | 2011-04-29 | 2013-09-24 | Intuit Inc. | Methods systems and articles of manufacture for implementing user access to remote resources |
| US8869244B1 (en) * | 2011-05-03 | 2014-10-21 | Symantec Corporation | Techniques for providing role-based access control using dynamic shared accounts |
| USD667835S1 (en) | 2011-06-04 | 2012-09-25 | Apple Inc. | Display screen or portion thereof with graphical user interface |
| USD696689S1 (en) | 2011-06-16 | 2013-12-31 | Samsung Electronics Co., Ltd. | Display screen or portion thereof with a graphical user interface |
| USD696684S1 (en) | 2011-06-16 | 2013-12-31 | Samsung Electronics Co., Ltd. | Display screen or portion thereof with a graphical user interface |
| USD696681S1 (en) | 2011-06-16 | 2013-12-31 | Samsung Electronics Co., Ltd. | Display screen or portion thereof with a graphical user interface |
| US20120323786A1 (en) * | 2011-06-16 | 2012-12-20 | OneID Inc. | Method and system for delayed authorization of online transactions |
| JP5433659B2 (ja) * | 2011-09-30 | 2014-03-05 | 株式会社東芝 | ユーザ情報提供装置及びプログラム |
| USD677687S1 (en) | 2011-10-27 | 2013-03-12 | Mcafee, Inc. | Computer display screen with graphical user interface |
| US8955079B2 (en) * | 2011-10-31 | 2015-02-10 | Avaya Inc. | Single sign-on for applications |
| US20140013409A1 (en) * | 2012-07-06 | 2014-01-09 | Milind I. Halageri | Single sign on for cloud |
| US9122863B2 (en) * | 2011-12-19 | 2015-09-01 | International Business Machines Corporation | Configuring identity federation configuration |
| US8856957B1 (en) * | 2011-12-22 | 2014-10-07 | Amazon Technologies, Inc. | Federated identity broker |
| JP5925910B2 (ja) * | 2011-12-28 | 2016-05-25 | インテル コーポレイション | シングルサインオンサービスを容易にする方法及び装置 |
| US20130179824A1 (en) | 2012-01-06 | 2013-07-11 | International Business Machines Corporation | Tag-Based User Interface Management |
| US9203819B2 (en) * | 2012-01-18 | 2015-12-01 | OneID Inc. | Methods and systems for pairing devices |
| US9165332B2 (en) * | 2012-01-27 | 2015-10-20 | Microsoft Technology Licensing, Llc | Application licensing using multiple forms of licensing |
| US20140066044A1 (en) * | 2012-02-21 | 2014-03-06 | Manoj Ramnani | Crowd-sourced contact information and updating system using artificial intelligence |
| US9171081B2 (en) * | 2012-03-06 | 2015-10-27 | Microsoft Technology Licensing, Llc | Entity augmentation service from latent relational data |
| CN102611705B (zh) * | 2012-03-20 | 2015-09-23 | 广东电子工业研究院有限公司 | 一种通用计算账户管理系统及其实现方法 |
| US20130263237A1 (en) | 2012-03-30 | 2013-10-03 | Ebay Inc. | User authentication and authorization using personas |
| US8966571B2 (en) * | 2012-04-03 | 2015-02-24 | Google Inc. | Detection of potentially copyrighted content in user-initiated live streams |
| US20130269017A1 (en) * | 2012-04-04 | 2013-10-10 | Salesforce.Com, Inc. | Centralized single sign on service for websites and online services |
| US20130298215A1 (en) * | 2012-05-04 | 2013-11-07 | Rawllin International Inc. | Single sign-on user registration for online or client account services |
| US8745728B2 (en) * | 2012-05-10 | 2014-06-03 | Bank Of America Corporation | Creating federated associate identifiers to positively identify associates interfacing across multiple business applications |
| USD727342S1 (en) | 2012-06-05 | 2015-04-21 | P&W Solutions Co., Ltd. | Display screen with graphical user interface |
| USD688685S1 (en) | 2012-06-20 | 2013-08-27 | Microsoft Corporation | Display screen with graphical user interface |
| US9372972B2 (en) * | 2012-06-29 | 2016-06-21 | Id Dataweb, Inc. | System and method for establishing and monetizing trusted identities in cyberspace with personal data service and user console |
| US20140025796A1 (en) | 2012-07-19 | 2014-01-23 | Commvault Systems, Inc. | Automated grouping of computing devices in a networked data storage system |
| US8990734B2 (en) | 2012-10-15 | 2015-03-24 | Nextep Systems, Inc. | Method and assembly for displaying menu options |
| US9075860B2 (en) * | 2012-10-18 | 2015-07-07 | Oracle International Corporation | Data lineage system |
| US20170277775A1 (en) * | 2012-10-30 | 2017-09-28 | FHOOSH, Inc. | Systems and methods for secure storage of user information in a user profile |
| US20140149942A1 (en) | 2012-11-23 | 2014-05-29 | Cleon Hill Wood-Salomon | System and method for actionable reporting of a radiology image study |
| US8782766B1 (en) * | 2012-12-27 | 2014-07-15 | Motorola Solutions, Inc. | Method and apparatus for single sign-on collaboration among mobile devices |
| USD731531S1 (en) | 2013-01-04 | 2015-06-09 | Samsung Electronics Co., Ltd. | Display screen or portion thereof with graphical user interface |
-
2014
- 2014-01-30 US US14/168,659 patent/US10142378B2/en active Active
-
2015
- 2015-01-29 WO PCT/US2015/013584 patent/WO2015116850A1/en active Application Filing
- 2015-01-29 JP JP2016549393A patent/JP2017509964A/ja active Pending
- 2015-01-29 EP EP15704177.3A patent/EP3100432B1/en active Active
- 2015-01-29 CN CN201580014671.6A patent/CN106170964B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004536364A (ja) * | 2000-12-06 | 2004-12-02 | ウェーブセット テクノロジーズ インコーポレイテッド | 情報オブジェクトを管理するためのシステムおよび方法 |
| JP2005128672A (ja) * | 2003-10-22 | 2005-05-19 | Hitachi Ltd | アカウントサービス情報の統合管理を支援する情報処理装置、アカウントサービス情報の統合管理方法、プログラム、および記録媒体 |
| JP2008282388A (ja) * | 2007-04-10 | 2008-11-20 | Symantec Corp | 単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置 |
| WO2012171081A1 (en) * | 2011-01-26 | 2012-12-20 | Lin.K.N.V. | Device and method for providing authenticated access to internet based services and applications |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017509964A (ja) | 2017-04-06 |
| US10142378B2 (en) | 2018-11-27 |
| US20150215348A1 (en) | 2015-07-30 |
| EP3100432B1 (en) | 2020-08-05 |
| EP3100432A1 (en) | 2016-12-07 |
| WO2015116850A1 (en) | 2015-08-06 |
| CN106170964A (zh) | 2016-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106170964B (zh) | 基于不同身份服务的用户虚拟身份 | |
| US11711219B1 (en) | PKI-based user authentication for web services using blockchain | |
| US10461939B2 (en) | Secure device registration for multi-factor authentication | |
| JP6527179B2 (ja) | パラメータベースのキー導出 | |
| US9525679B2 (en) | Sending session tokens through passive clients | |
| EP2984589B1 (en) | System and method for mobile single sign-on integration | |
| Chadwick et al. | Adding federated identity management to openstack | |
| US9276869B2 (en) | Dynamically selecting an identity provider for a single sign-on request | |
| CN105592011A (zh) | 一种账号登录方法及装置 | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| US10387498B2 (en) | Polymorphic configuration management for shared authorization or authentication protocols | |
| AU2015210957A1 (en) | Authentication sequencing based on normalized levels of assurance of identity services | |
| Kumar et al. | Multi-authentication for cloud security: A framework | |
| US20180144122A1 (en) | Platform for generation of passwords and/or email addresses | |
| US10972455B2 (en) | Secure authentication in TLS sessions | |
| Zouari et al. | AIDF: An identity as a Service Framework for the Cloud | |
| US11695561B2 (en) | Decentralized authorization of user access requests in a multi-tenant distributed service architecture | |
| EP3766221B1 (en) | Relying party certificate validation when client uses relying party's ip address | |
| US11146558B2 (en) | Stateless multi-party authorization system in web applications | |
| CN110611656B (zh) | 一种基于主身份多重映射的身份管理方法、装置及系统 | |
| Heijmink et al. | Secure single sign-on | |
| CN117278562A (zh) | 负载均衡方法、装置、系统、电子设备及存储介质 | |
| CN110557259A (zh) | 一种基于多重身份的身份管理方法、装置及系统 | |
| Bersenev et al. | An approach for integrating kerberized non web-based services with web-based identity federations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200103 Address after: California, USA Applicant after: CA,INC. Address before: California, USA Applicant before: Symantec Corporation |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |