CN106688220A - 基于设备声明的对服务的有条件访问 - Google Patents
基于设备声明的对服务的有条件访问 Download PDFInfo
- Publication number
- CN106688220A CN106688220A CN201580049885.7A CN201580049885A CN106688220A CN 106688220 A CN106688220 A CN 106688220A CN 201580049885 A CN201580049885 A CN 201580049885A CN 106688220 A CN106688220 A CN 106688220A
- Authority
- CN
- China
- Prior art keywords
- service
- user
- identity
- computing device
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
向用户设备提供对一个或多个资源的访问。一种方法包括在用户设备处向身份服务注册以获得身份凭证。该方法还包括在用户设备处通过呈现身份凭证向策略管理服务注册。该方法还包括在用户设备处向策略管理服务提供对用户设备的当前状态的指示。策略管理服务然后可以向身份服务指示用户设备的合规性级别。该方法还包括用户设备基于与策略集相比的、用户设备的策略管理级别从身份服务接收令牌。
Description
背景技术
手持移动计算设备已经变得普遍存在。例如,许多人具有所谓的智能电话或平板计算机。这样的设备允许用户使用蜂窝数据系统或其他网络系统来访问广泛的服务。例如,使用这样的设备,用户可以访问电子邮件、因特网、在线数据库等。具有个人智能电话(或其他智能设备)的人可能经常想要使用这些个人设备来访问属于雇佣他们的公司的公司资源。
如今IT管理员能够通过各种策略管理系统来配置、监视和评估移动设备的合规性。他们这样做以保护公司服务和数据。然而,一个关键的挑战是如何在允许设备访问这些资源之前强制通过策略管理系统管理设备或者强制它们符合各种策略。如今存在的某些解决方案要求在公司服务和策略管理系统之间建立直接连接,以在允许对公司服务的访问之前确定设备是否被管理和合规。然而,随着更多的服务和客户端应用程序被添加,这种方法难以扩展。
本文所要求保护的主题不限于解决任何缺点或仅在诸如上述那些环境之类的环境中操作的实施例。相反,该背景技术仅被提供为示出其中可以实践本文所描述的一些实施例的一个示例性技术领域。
发明内容
本文所示的一个实施例包括可以在计算环境中实施的方法。该方法包括用于向用户设备提供对一个或多个资源的访问的动作。该方法包括在用户设备处向身份服务注册以获得身份凭证。该方法还包括在用户设备处通过呈现身份凭证来向策略管理服务注册。该方法还包括在用户设备处向策略管理服务提供对用户设备的当前状态的指示。该方法还包括用户设备基于与策略集相比的、用户设备的策略管理级别从身份服务接收令牌,因为策略管理服务已经向身份服务提供了对符合策略集的指示。
另一实施例包括可在计算环境中实施的方法。该方法包括用于向用户设备提供对一个或多个资源的访问的动作。该方法包括在身份管理服务处,从用户设备接收用于从身份管理服务获得身份凭证的注册请求。该方法还包括在身份管理服务处,使用通过设备使用用于向身份管理服务标识该设备的身份凭证而提供的信息,从策略管理服务接收由策略管理服务对用户设备是否符合一个或多个策略的指示。该方法还包括在身份管理服务处,从服务端点接收验证设备符合一个或多个策略的请求。该方法还包括在身份管理服务处,基于来自策略管理服务的对用户设备是否符合一个或多个策略的指示,向服务端点提供具有对关于一个或多个策略的设备合规性状态的指示的令牌。
本文所示的另一实施例包括用于访问来自服务端点的资源的用户设备。用户设备包括客户端组件。客户端组件被配置为向身份服务注册以获得身份凭证。客户端组件还被配置为通过呈现身份凭证来向策略管理服务注册。客户端组件还被配置为向策略管理服务提供对用户设备的当前状态的指示。客户端组件还被配置为基于与策略集相比的、用户设备的合规性级别从身份服务接收令牌响应,因为策略管理服务已经向身份服务提供了对符合策略集的指示。用户设备还包括客户端应用程序,其被配置为使用来自令牌响应的令牌来尝试访问服务端点处的一个或多个资源。
提供本发明内容以便以简化形式介绍下面在详细描述中进一步描述的概念的选集。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附加的特征和优点将在下面的描述中阐述,并且部分地将从描述中显而易见,或者可以通过本文的教导的实践而习得。本发明的特征和优点可以借助于在所附权利要求中特别指出的仪器和组合来实现和获得。从下面的描述和所附权利要求中,本发明的特征将变得更加完全得显而易见,或者可以通过如下所述的本发明的实践而被习得。
附图说明
为了描述可以获得上述和其他优点和特征的方式,将通过参考在附图中示出的具体实施例来呈现上面简要描述的主题的更具体的描述。应当理解,这些附图仅描绘了典型的实施例并且因此不被认为是范围上的限制,将通过使用附图利用附加的特征和细节来描述和说明实施例,在附图中:
图1示出了用户设备、服务端点、身份管理服务和策略管理服务之间的交互;
图2示出了用户设备、服务端点、身份管理服务和策略管理服务之间的交互的另一示例;
图3示出了向用户设备提供对一个或多个资源的访问的一种方法;以及
图4示出了向用户设备提供对一个或多个资源的访问的另一种方法。
具体实施方式
本文所示的一些实施例允许IT管理员通过借助于设备声明来跟踪公共身份管理系统中的设备状态来允许和/或阻止对服务的访问。在一些实施例中,这允许在没有到策略管理系统的任何直接连接的情况下各种服务和客户端应用简单地通过利用相同的身份管理系统和传递设备声明来实现条件访问。
现在参考图1,示出了示例拓扑结构。该拓扑结构包括客户端设备102。这可以例如是客户端计算机、平板、电话或者运行能够运行应用程序的操作系统并由策略管理系统108管理的其他设备。
客户端设备102包括客户端组件104。在客户端设备102上运行的客户端组件104解释、评估和执行由策略管理系统108发送给它的策略。
拓扑结构包括身份管理系统106。身份管理系统106出于安全、认证和授权的目的而管理用户、设备和服务主体的身份。在一些实施例中,身份管理系统106可以是可从华盛顿州雷德蒙德的微软公司获得的Active Directory或Azure Active Directory。
拓扑结构包括策略管理系统108。策略管理系统108是IT专业人员用来创建策略、使策略针对并部署到被管理的应用程序内的身份或帐户的接口。在一些实施例中,这可以使用可从华盛顿州雷德蒙德的微软公司获得的Intune服务或Confituration Manager来实现。
拓扑结构包括一个或多个服务端点,诸如服务端点110。服务端点110向客户端应用程序提供服务。对客户端应用程序的访问应当仅限于在由策略管理系统108管理并被其评估为合规的设备上运行的客户端应用程序,尽管如将在下面更详细地解释的,这对于一些特定用户或用户组可能存在一些例外。服务端点的示例实际上是无限的,但可以包括诸如邮件服务(诸如可从华盛顿州雷德蒙德的微软公司获得的Exchange)、数据共享和文档管理服务(诸如可从华盛顿州雷德蒙德的微软公司获得的SharePoint)、时间输入和考勤管理服务、公司内网等。
客户端设备102还可以包括诸如客户端应用程序112之类的一个或多个客户端应用程序。这可以例如是邮件客户端(诸如可从华盛顿雷德蒙德的微软公司获得的MobileOutlook Web Access)或在客户端设备102上运行的其他客户端应用(诸如可从华盛顿雷德蒙德的微软公司获得的OneDrive For Business)等。
以下示出了示例工作流。IT管理员在服务端点110或身份管理106内设置条件访问策略,以要求将访问限制于在被管理并符合该策略的设备102上运行的客户端应用程序112。并非该策略所针对的用户和设备不服从条件访问,不具有策略管理系统108的客户也不服从条件访问。
IT管理员创建针对特定用户、用户组、设备等的一个或多个合规性策略。创建合规性策略并将其部署到策略管理服务108。
在一个示例中,用户尝试从未被管理的设备102上的客户端应用程序112连接服务端点110。在用户向身份管理系统106认证之后,客户端应用程序112从身份管理系统106接收令牌114并将其传递给服务端点110。服务端点110检查令牌以寻找客户端设备102被管理的声明。客户端应用程序112未能认证,因为该声明不存在。
用户被服务端点110重定向到策略管理系统108,策略管理系统108引导用户通过注册客户端设备102以用于管理的过程。策略管理系统108将任何针对性合规性策略116部署到客户端设备102。例如,针对性合规性策略116可以向设备102部署策略,以使得设备102将符合用于访问服务端点110的策略。在一些实施例中,这可以使得设备102自动设置设备102的状态以符合策略。在其他实施例中,可以向用户呈现目标合规性策略116,以使得用户可以对设备102手动地进行改变。
备选地,除了引导用户通过注册过程之外,策略管理系统108可以指示用户需要改变关于设备102状态的什么以符合用于使用端点110的策略。然而,在一些实施例中,这可以不被执行,或者可以在稍后的时间被执行。
在一些实施例中,合规性策略116可以简单地从客户端设备102请求各条状态,而不是强制客户端状态。该请求可以包括综合列表,其包括在策略管理系统108处设置的策略感兴趣的状态以及在策略管理系统108处设置的策略几乎不感兴趣或不感兴趣的状态。备选地,该请求可以简单地是针对关于感兴趣的状态的信息的请求。该请求可以请求确认在客户端设备102处存在针对在策略管理系统108处设置的策略感兴趣的状态的某种状态。备选地或附加地,该请求可以简单地请求客户端设备102的状态,其可以然后稍后用于确定设备是否处于与服务端点110一起使用的合规性状态。例如,在策略管理系统108处设置的策略可以要求使用服务端点110的任何设备具有某长度的密码。合规性策略116中的请求可以请求对设备102上的密码保护的指示。设备102可以返回指示,即在设备102上正在使用的4字符个人标识码。策略管理系统108然后可以确定该设备是否在策略约束内。
客户端组件104解释和处理在该示例中为合规性策略的策略116,并且将处理的结果118返回到策略管理系统108。策略管理系统108汇总结果118并且设置身份管理系统106中的合规性状态设定120。该设定120可以指示设备是否符合用于访问服务端点110的策略。备选地,如果设备102不符合用于访问服务端点110的策略,则策略管理系统108可以不在身份管理系统106中设置任何状态。因此,例如,策略管理系统可以在身份管理系统106中设置设备102具有符合某合规性策略的状态的状态、设备102具有不符合其他合规性策略的状态的状态、或根本不在身份管理系统106中设置状态。在一些实施例中,策略管理系统108可以简单地指示身份管理系统106中的安全级别。安全级别可以指示加密的级别、设备上的密码的强度、设备102是否被破解,和/或关于设备状态的其他信息。
身份管理系统106然后可以重新发布令牌114,但是这次令牌114将包括指示设备102是合规的(当设备102事实上是合规的)的设备声明或者指示合规性级别的设备声明。这基于策略管理系统108在身份管理系统106中的一个或多个设定中指示合规性。备选地,如果设备102仍然不符合用于访问服务端点110的策略,则令牌可以指示不合规。这可以通过一般地指示设备102是不合规的、通过不包括设备102为合规的声明、通过指示设备102为何不合规等
用户尝试从客户端应用程序112连接到服务端点110。这一次,由身份管理系统发布的令牌114包含表示客户端设备102被管理以及它是否合规的声明。
如果客户端设备102是合规的,则服务端点提供所请求的服务。如果客户端设备102不是合规的,则将用户引导到关于合规性违规以及如何补救的信息。例如,在一些实施例中,用户可以再次被引导到策略管理系统108,策略管理系统108可以标识不合规的区域以及可以采取的补救动作。备选地,在令牌114中可以有足够的信息使设备102能够向用户指示设备102为何不合规。在又一可选实施例中,身份管理系统106可以能够从策略管理系统108获得可以传递到设备102的信息。
以下参考图2示出又一替代流程。IT管理员在身份管理系统106内设置条件访问策略,以要求将访问限制于在被管理和合规的设备上运行的客户端应用程序。IT管理员在策略管理系统108内设置合规性策略,其规定使用服务端点110的任何设备都应当符合这些策略。例如,策略可以规定设备102应当被保护和加密。
设备102向策略管理系统108注册设备状态。策略管理系统108在身份管理系统106中设置策略合规性状态设定120。设备102尝试从服务端点110访问资源。服务端点110通过直接从身份管理系统106查询设备管理和合规性状态而不是从设备102自身接收它们来作出认证决定。
根据前述,可以由拓扑结构的一个或多个元件展现各种特性。在一些实施例中,如上所述,策略管理系统108能够将诸如设备102状态之类的状态写入到身份管理系统106中。这甚至可以在策略管理系统108和身份管理系统106是由不同实体管理和/或拥有时被执行。例如,在一些实施例中,策略管理系统108可以能够将表示客户端设备102是否由策略管理系统108管理的状态写入到身份管理系统106中。备选地或附加地,在一些实施例中,策略管理系统108能够概括针对一个或多个策略的合规性并将该概括的状态写入到身份管理系统106中。备选地或附加地,在一些实施例中,策略管理系统106能够基于客户端设备102的被管理和合规性状态在身份管理系统106内设置访问控制规则。在一些实施例中,策略管理系统108被配置为报告对概括的合规性状态做出贡献的合规性规则的状态。因此,策略管理系统可以标识导致设备102不合规的特定状态或导致设备合规的特定状态。该信息可以被报告给设备102本身、身份管理系统106或其他适当的感兴趣实体。
在一些实施例中,策略管理系统108能够重定向客户端设备102.例如,在一些实施例中,策略管理服务108能够提供接口来重定向客户端设备102,以参与注册过程。例如,策略管理服务108可以能够将设备102引导到身份管理系统106,以使设备102向身份管理系统106注册。
备选地或附加地,可以实现实施例,其中策略管理系统108提供将客户端设备102重定向到策略合规性违规和补救信息的接口。例如,策略管理系统108可以将设备102重定向到身份管理系统106或另一系统,该另一系统可以向客户端标识设备102不符合什么策略以及设备如何进行改变以使设备102合规。
可以实现实施例,其中身份管理系统106包括用于存储关于客户端设备的策略合规性的信息并基于客户端设备的策略合规性执行动作的功能。例如,可以实现实施例,其中身份管理系统106能够跟踪表示设备被策略管理系统管理的状态。备选地或附加地,可以实现实施例,其中身份管理系统106包括用于跟踪以下状态的功能:该状态表示设备102符合已经被策略管理系统108评估的策略。备选地或附加地,可以实现实施例,其中身份管理系统106包括用于发布具有表示被管理状态和/或合规性状态的状态的设备声明(诸如在令牌中)的功能。备选地或附加地,可以实现实施例,其中身份管理系统106包括用于基于设备被管理状态和/或合规性状态强制执行访问策略的功能。
在一些实施例中,模式可以用于跟踪身份管理服务106中的设备管理状态和设备合规性状态。当构造消息来标识消息类型、合规性状态、被管理状态或感兴趣的其他因素时,可以使用该模式。
以下讨论现在指代可以执行的多种方法和方法动作。尽管方法动作可以以某次序被讨论或者在流程图中示出为以特定次序发生,但是除非特别声明或者由于动作依赖于在正在执行的动作之前完成的另一动作而需要特定排序,否则不需要特定排序。
现在参考图3,示出了方法300。方法300可以在计算环境中被实践。方法300包括用于向用户设备提供对一个或多个资源的访问的动作。在图1所示的描述中示出了方法300的一个实施例。例如,示例,用户设备102可以尝试访问服务端点110处的资源。
方法300包括在用户设备处向身份服务注册以获得身份凭证(动作302)。例如,用户设备102可以向身份管理服务106注册以获得身份凭证。身份凭证可以用于标识设备102。
方法300还包括在用户设备处通过呈现身份凭证向策略管理服务注册(动作304)。因此,例如,从身份管理服务106获得的身份凭证可以被呈现给策略管理服务108。
方法300还包括在用户设备处向策略管理服务提供对用户设备的当前状态的指示(动作306)。因此,例如,用户设备102可以向策略管理服务108指示设备102的状态。这种状态可以用于确定设备102是否符合某些管理策略。
方法300还包括,用户设备基于与策略集相比的、用户设备的策略管理级别从身份服务接收令牌(动作308)。这能够被执行是因为策略管理服务已经通过使用在身份服务中将合规性与设备相关联的身份凭证来向身份服务提供对符合管理策略的指示。
方法300还可以包括,当状态符合在策略管理服务处定义的策略集时,从身份服务接收具有可以用于访问服务端点处的资源的声明的令牌。因此,例如,设备102可以从身份管理服务106接收令牌114。设备然后可以使用令牌114从服务端点110获得资源。
可以实践方法300,其中基于与策略集相比的、用户设备的合规性级别接收令牌包括接收具有标识用户设备的合规性状态的声明的令牌。例如,可以将合规性状态标识为符合、不符合、符合某些策略、设备的原始状态、其中更高级别具有更高安全性的状态级别等。
可以实施方法300,其中基于与策略集相比的、用户设备的合规性级别接收令牌包括接收不包括合规性声明的令牌,因为用户设备具有不符合策略集的状态。
方法300还可以包括用户设备向服务端点呈现令牌以尝试访问服务端点处的资源。因此,例如,用户设备102可以向服务端点110呈现令牌114以尝试访问服务端点110处的资源。
可以实践方法300,其中令牌指示用户设备由策略管理服务管理。因此,例如,令牌114可以在令牌中包括指示用户设备102由身份管理服务106管理的声明。
可以实践方法300,其中基于用户状态、组状态、角色状态、IP地址或平台类型(即,在设备上运行的操作系统的类型)中的至少一项在策略管理服务处评估合规性。因此,例如,策略管理服务108可以基于外部因素做出合规性决定。例如,如果可以确定设备102的用户是公司的CEO,则策略管理服务108可以总是向身份管理服务106指示设备102是合规的,而不管设备的状态是什么。或者,在这种情况下,可以使用更宽松的标准来确定设备102是否合规。因此,合规性可以基于用户的身份、用户所属的组(例如管理组)、角色(例如CEO)等。在另一实施例中,如果设备102正在使用指示设备在被策略管理服务认为是安全的网络上的ip地址进行通信,则该设备可以被策略管理服务108向身份管理服务106指示为合规,即使设备不符合某些策略规定的状态条件。关于平台类型,示例可能是存在总是阻止(或允许)在其上具有某操作系统的设备的豁免规则。
可以实践方法300,其中基于令牌发布策略来发布允许访问服务端点处的资源的合规性声明。因此,与上面示出的示例类似,身份管理服务106本身可以基于诸如用户身份、用户组、用户角色和/或各种其他外部因素之类的因素来确定是否要在令牌114中发布声明。因此,例如,策略管理服务108可能已经向身份管理服务106指示设备102不合规。然而,身份管理服务106可以确定设备102属于公司的CEO,并且因此无论如何都可以在令牌114中发布允许设备102访问服务端点110处的资源的声明。在一些实施例中,将向某些用户组的成员提供令牌中的声明以允许他们获得访问资源。在一些实施例中,这可以与合规性级别无关。备选地,与其他用户组相比,其可以具有降低的合规性级别要求。备选地或附加地,可以基于某些外部因素来在令牌中提供声明。例如,在一些实施例上,设备102可能不合规但在受信IP地址范围内。在一些实施例中,这对于身份管理服务106向设备发布令牌可能是足够的。
在一些实施例中,可以执行方法300,其中所发布的令牌包括到期的合规性声明。合规性声明可以根据合规状态新鲜度标准来发布。可以这么做来平衡可扩展性和安全性。具体地,检查关于设备102对服务端点110的每次访问的合规性将需要大量的资源。通过以某个周期性速率检查合规性,可能需要较少的资源。然而,存在不合规设备可能能够访问服务端点110处的资源的可能性。
可以实践方法300,其中身份服务确定用户设备不合规并发起补救。例如,在一些实施例中,补救可以包括将设备102重定向到策略管理服务108,其中策略管理服务108可以引导用户执行动作以使设备102合规。备选地,策略管理服务可以提供可以在设备102处应用以使设备102合规的状态或脚本。在备选实施例中,身份管理服务106可以具有允许身份管理服务106直接促进补救的信息。例如,身份管理服务106可以从策略管理服务108获得信息,然后可以指示设备102的用户做什么以使设备102合规或者向设备102提供用来使设备102合规的状态或脚本。
现在参考图4,示出了方法400。方法400可以被实践在计算环境中。方法400包括用于向用户设备提供对一个或多个资源的访问的动作。方法400的示例在上述图2中示出。
方法400包括,在身份管理服务处,从用户设备接收用于从身份管理服务获得身份凭证的注册请求(动作402)。因此,例如,身份管理服务106可以从用户设备102接收针对身份凭证的请求。
方法400还包括,在身份管理服务处,使用通过设备使用用于向身份管理服务标识设备的身份凭证而提供的信息,从策略管理服务接收由策略管理服务对用户设备是否符合一个或多个策略的指示(动作404)。例如,设备102可以向策略管理服务108呈现身份凭证。策略管理服务108可以确定设备符合某些策略。策略管理服务108然后可以向身份管理服务106提供对设备102符合策略的指示。
方法400还包括,在身份管理服务处,从服务端点接收用于验证设备符合一个或多个策略的请求(动作406)。例如,设备102可以向服务端点110请求资源。服务端点110可以直接向身份管理服务106查询令牌114,令牌114包括针对设备102的设备声明,其指示设备102符合某些策略。
方法400还包括,在身份管理服务处,基于来自策略管理服务的对用户设备是否符合一个或多个策略的指示,向服务端点提供具有对关于一个或多个策略的设备合规性状态的指示的令牌(动作408)。身份管理服务106可以直接向服务端点110提供具有合规性声明的令牌114,服务端点110然后可以基于令牌114和合规性声明向设备102提供资源。
方法400还可以包括,当状态符合在策略管理服务处定义的策略集时,身份服务提供具有指示设备符合一个或多个策略的声明的令牌。
可以实践方法400,其中令牌包括指示关于策略的、用户设备的合规性级别的声明。
可以实践方法400,其中令牌不包括合规性声明,因为用户设备具有不符合策略的状态。
可以实施方法400,其中令牌指示用户设备由策略管理服务管理。
可以实践方法400,其中基于令牌发布策略来发布允许访问服务端点处的资源的合规性声明。
可以实践方法400,其中所发布的令牌包括到期的合规性声明。
可以实施方法400,其中身份服务确定用户设备不合规并且发起补救。
另外,所述方法可以通过包括一个或多个处理器和诸如计算机存储器之类的计算机可读介质的计算机系统来实现。具体地,计算机存储器可以存储计算机可执行指令,计算机可执行指令当被一个或多个处理器执行时导致执行各种功能,诸如实施例中所述的动作。
如在下面更详细地讨论的,本发明的实施例可以包括或利用包括计算机硬件的专用或通用计算机。在本发明的范围内的实施例还包括用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可以由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,作为示例而非限制,本发明的实施例可以包括至少两种截然不同种类的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储(诸如CD、DVD等)、磁盘存储或其他磁存储设备、固态存储设备等,其可以用于以计算机可执行指令或数据结构的形式存储期望的程序代码装置并且可以由通用或专用计算机访问。
“网络”被定义为使得能够在计算机系统和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链路。当通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)向计算机传送或提供信息时,计算机适当地将该连接视为传输介质。传输介质可以包括网络和/或数据链路,其可以用于以计算机可执行指令或数据结构的形式携带期望的程序代码装置并且可以由通用或专用计算机访问。上述的组合也包括在计算机可读介质的范围内。
此外,在到达各种计算机系统组件时,计算机可执行指令或数据结构形式的程序代码装置可以从传输计算机可读介质被自动传送到物理计算机可读存储介质(反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以被缓存在网络接口模块(例如,“NIC”)内的RAM中,然后最终被传送到计算机系统RAM和/或传送到计算机系统处的较不易失性的计算机可读物理存储介质。因此,计算机可读物理存储介质可以被包括在也(或甚至主要)利用传输介质的计算机系统组件中。
计算机可执行指令包括例如使通用计算机、专用计算机或专用处理设备执行某一功能或某一组功能的指令和数据。计算机可执行指令可以例如是二进制文件、诸如汇编语言之类的中间格式指令,或甚至源代码。尽管已经以特定于结构特征和/或方法动作的语言描述了主题,但是将会理解,所附权利要求中限定的主题不一定限于所描述的特征或上述动作。相反,所描述的特征和动作作为实现权利要求的示例形式被公开。
本领域技术人员将认识到,本发明可以被实践在具有许多类型的计算机系统配置的网络计算环境中,这些计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程的消费电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等。本发明还可以被实践在分布式系统环境中,在分布式系统环境中通过网络(通过硬连线数据链路、无线数据链路,或通过硬连线和无线数据链路的组合)链接的本地和远程计算机系统都执行任务。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备中。
备选地或附加地,本文所描述的功能性可以至少部分地由一个或多个硬件逻辑组件执行。例如但不限于,可以使用的说明性类型的硬件逻辑组件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。
在不脱离本发明的精神或特征的情况下,本发明可以以其它具体形式被体现。所描述的实施例在所有方面都将被认为仅是说明性的而不是限制性的。因此,本发明的范围由所附权利要求指示而不是由前面的描述指示。在权利要求的等同物的含义和范围内进行的所有变化将被包括在它们的范围内。
Claims (10)
1.一种向用户计算设备提供对一个或多个资源的访问的计算机实现的方法,所述计算机实现的方法通过一个或多个处理器执行用于所述计算机实现的方法的计算机可执行指令来被执行,并且所述计算机实现的方法包括:
在用户计算设备处,向身份服务注册以获得身份凭证;
在所述用户计算设备处,通过呈现所述身份凭证来向策略管理服务注册;
在所述用户计算设备处,向所述策略管理服务提供对所述用户计算设备的当前状态的指示;以及
所述用户计算设备基于与策略集相比的、所述用户计算设备的策略管理级别从所述身份服务接收令牌,因为所述策略管理服务已经向所述身份服务提供了对符合所述策略集的指示。
2.根据权利要求1所述的计算机实现的方法,还包括当所述状态符合在所述策略管理服务处定义的策略集时,从所述身份服务接收具有能够被用于访问服务端点处的资源的声明的令牌。
3.根据权利要求1所述的计算机实现的方法,其中基于与所述策略集相比的、所述用户计算设备的合规性级别来接收令牌包括以下至少一项:接收具有标识所述用户计算设备的合规性状态的声明的令牌,以及当所述用户计算设备具有不符合所述策略集的状态时接收不包括合规性声明的令牌。
4.根据权利要求1所述的计算机实现的方法,还包括所述用户计算设备向服务端点呈现所述令牌以尝试访问所述服务端点处的资源。
5.根据权利要求1所述的计算机实现的方法,其中所述令牌指示所述用户计算设备由所述策略管理服务管理。
6.根据权利要求1所述的计算机实现的方法,其中合规性基于用户状态、组状态、角色状态、IP地址或平台状态中的至少一项在所述策略管理服务处被评估。
7.根据权利要求1所述的计算机实现的方法,其中允许对服务端点处的资源进行访问的合规性声明基于令牌发布策略被发布。
8.根据权利要求1所述的计算机实现的方法,其中所发布的所述令牌包括过期的合规性声明。
9.一种计算系统,包括:
一个或多个处理器;以及
包括计算机可执行指令的一个或多个计算机可读介质,所述计算机可执行指令在被所述一个或多个处理器中的至少一个处理器执行时,使所述一个或多个处理器利用用于执行向用户计算设备提供对一个或多个资源的访问的计算机实现的方法的架构来配置所述计算系统,所述计算系统的所述架构包括:
身份管理服务,其从用户计算设备接收用于从所述身份管理服务获得身份凭证的注册请求;
在所述身份管理服务处,使用通过所述设备使用所述身份凭证以向所述身份管理服务标识所述设备而提供的信息,从策略管理服务接收由所述策略管理服务对所述用户计算设备是否符合一个或多个策略的指示;
在所述身份管理服务处,从服务端点接收用于验证所述设备符合一个或多个策略的请求;以及
在所述身份管理服务处,基于来自所述策略管理服务的对所述用户计算设备是否符合一个或多个策略的指示,向所述服务端点提供具有对关于所述一个或多个策略的设备合规性状态的指示的令牌。
10.一种用户计算设备,包括:
一个或多个处理器;以及
包括计算机可执行指令的一个或多个计算机可读介质,所述计算机可执行指令在被所述一个或多个处理器中的至少一个处理器执行时,使所述一个或多个处理器利用用于执行向用户计算设备提供对一个或多个资源的访问的计算机实现的方法的架构来配置所述用户计算设备,所述用户计算设备的所述架构包括:
客户端组件,其向身份服务注册;
所述客户端组件还向策略管理服务注册;
所述客户端组件向所述策略管理服务提供对所述用户计算设备的当前状态的指示;
所述客户端组件基于与策略集相比的、所述用户计算设备的合规性级别从所述身份服务接收令牌响应,因为所述策略管理服务已经向所述身份服务提供了对符合所述策略集的指示;以及
客户端应用程序,其使用来自令牌响应的令牌来尝试访问服务端点处的一个或多个资源。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/491,819 US9444848B2 (en) | 2014-09-19 | 2014-09-19 | Conditional access to services based on device claims |
| US14/491,819 | 2014-09-19 | ||
| PCT/US2015/050540 WO2016044500A1 (en) | 2014-09-19 | 2015-09-17 | Conditional access to services based on device claims |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106688220A true CN106688220A (zh) | 2017-05-17 |
| CN106688220B CN106688220B (zh) | 2020-03-31 |
Family
ID=54337342
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580049885.7A Active CN106688220B (zh) | 2014-09-19 | 2015-09-17 | 用于提供对资源的访问的方法、计算机系统和存储设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9444848B2 (zh) |
| EP (1) | EP3195174B1 (zh) |
| CN (1) | CN106688220B (zh) |
| WO (1) | WO2016044500A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9756047B1 (en) * | 2013-10-17 | 2017-09-05 | Mobile Iron, Inc. | Embedding security posture in network traffic |
| US9444848B2 (en) * | 2014-09-19 | 2016-09-13 | Microsoft Technology Licensing, Llc | Conditional access to services based on device claims |
| EP3479222A4 (en) * | 2016-06-29 | 2020-01-15 | Duo Security, Inc. | SYSTEMS AND METHODS FOR CLASSIFYING END POINT MANAGEMENT |
| US10326671B2 (en) * | 2016-10-18 | 2019-06-18 | Airwatch Llc | Federated mobile device management |
| US10785227B2 (en) * | 2017-01-04 | 2020-09-22 | International Business Machines Corporation | Implementing data security within a synchronization and sharing environment |
| US11316897B2 (en) * | 2017-05-19 | 2022-04-26 | Vmware, Inc. | Applying device policies using a management token |
| US10097490B1 (en) | 2017-09-01 | 2018-10-09 | Global Tel*Link Corporation | Secure forum facilitator in controlled environment |
| US11328115B2 (en) * | 2018-05-10 | 2022-05-10 | Microsoft Technology Licensing, Llc. | Self-asserted claims provider |
| US10867044B2 (en) * | 2018-05-30 | 2020-12-15 | AppOmni, Inc. | Automatic computer system change monitoring and security gap detection system |
| US10826771B2 (en) * | 2018-09-28 | 2020-11-03 | Cisco Technology, Inc. | State identity vector for system self awareness |
| US11563733B2 (en) | 2020-02-26 | 2023-01-24 | Microsoft Technology Licensing, Llc. | Security token validation using partial policy validations |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| US20090300512A1 (en) * | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Preference editor to facilitate privacy controls over user identities |
| CN101682509A (zh) * | 2007-05-15 | 2010-03-24 | 微软公司 | 使用生物测定表示来标识令牌 |
| US20140020072A1 (en) * | 2012-07-13 | 2014-01-16 | Andrew J. Thomas | Security access protection for user data stored in a cloud computing facility |
| US20140040979A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
| US20140122873A1 (en) * | 2012-10-31 | 2014-05-01 | Steven W. Deutsch | Cryptographic enforcement based on mutual attestation for cloud services |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
| WO2004072834A1 (en) | 2003-02-14 | 2004-08-26 | Whale Communications Ltd. | System and method for providing conditional access to server-based applications from remote access devices |
| US7437441B1 (en) * | 2003-02-28 | 2008-10-14 | Microsoft Corporation | Using deltas for efficient policy distribution |
| US10275723B2 (en) * | 2005-09-14 | 2019-04-30 | Oracle International Corporation | Policy enforcement via attestations |
| US7590705B2 (en) * | 2004-02-23 | 2009-09-15 | Microsoft Corporation | Profile and consent accrual |
| US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| EP1829332A2 (en) * | 2004-12-15 | 2007-09-05 | Exostar Corporation | Enabling trust in a federated collaboration of networks |
| US10764264B2 (en) * | 2005-07-11 | 2020-09-01 | Avaya Inc. | Technique for authenticating network users |
| US7827545B2 (en) | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| US20070150934A1 (en) * | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
| US7739744B2 (en) * | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
| US8689296B2 (en) * | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US8352743B2 (en) * | 2007-02-07 | 2013-01-08 | Nippon Telegraph And Telephone Corporation | Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium |
| US8370913B2 (en) * | 2007-03-16 | 2013-02-05 | Apple Inc. | Policy-based auditing of identity credential disclosure by a secure token service |
| US20090086740A1 (en) * | 2007-10-01 | 2009-04-02 | General Instrument Corporation | Customer Premises Gateway providing User Devices with Access to Internet Protocol Multimedia Subsystem (IMS) Services and Non-IMS Services |
| US8418238B2 (en) | 2008-03-30 | 2013-04-09 | Symplified, Inc. | System, method, and apparatus for managing access to resources across a network |
| WO2010127380A1 (en) | 2009-05-08 | 2010-11-11 | Hewlett-Packard Development Company, L.P. | Access control of distributed computing resources system and method |
| US8806566B2 (en) * | 2009-11-19 | 2014-08-12 | Novell, Inc. | Identity and policy enforced inter-cloud and intra-cloud channel |
| US20110126197A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
| US8474009B2 (en) * | 2010-05-26 | 2013-06-25 | Novell, Inc. | Dynamic service access |
| US20120331518A1 (en) * | 2011-06-23 | 2012-12-27 | Salesforce.Com, Inc. | Flexible security token framework |
| US20130086669A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Mobile application, single sign-on management |
| US8832840B2 (en) * | 2011-10-26 | 2014-09-09 | Verizon Patent And Licensing Inc. | Mobile application security and management service |
| US8682802B1 (en) * | 2011-11-09 | 2014-03-25 | Amazon Technologies, Inc. | Mobile payments using payment tokens |
| IN2014KN01302A (zh) * | 2011-12-23 | 2015-10-16 | Ericsson Telefon Ab L M | |
| TW201345217A (zh) * | 2012-01-20 | 2013-11-01 | Interdigital Patent Holdings | 具區域功能性身份管理 |
| US8726343B1 (en) * | 2012-10-12 | 2014-05-13 | Citrix Systems, Inc. | Managing dynamic policies and settings in an orchestration framework for connected devices |
| US9218145B2 (en) * | 2013-01-30 | 2015-12-22 | Hewlett-Packard Development Company, L.P. | Print job management |
| US9027114B2 (en) * | 2013-03-12 | 2015-05-05 | Cisco Technology, Inc. | Changing group member reachability information |
| US20130254889A1 (en) * | 2013-03-29 | 2013-09-26 | Sky Socket, Llc | Server-Side Restricted Software Compliance |
| US9270709B2 (en) * | 2013-07-05 | 2016-02-23 | Cisco Technology, Inc. | Integrated signaling between mobile data networks and enterprise networks |
| US9998438B2 (en) * | 2013-10-23 | 2018-06-12 | Microsoft Technology Licensing, Llc | Verifying the security of a remote server |
| US9407615B2 (en) * | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
| US9444848B2 (en) * | 2014-09-19 | 2016-09-13 | Microsoft Technology Licensing, Llc | Conditional access to services based on device claims |
-
2014
- 2014-09-19 US US14/491,819 patent/US9444848B2/en active Active
-
2015
- 2015-09-17 WO PCT/US2015/050540 patent/WO2016044500A1/en active Application Filing
- 2015-09-17 CN CN201580049885.7A patent/CN106688220B/zh active Active
- 2015-09-17 EP EP15782108.3A patent/EP3195174B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101682509A (zh) * | 2007-05-15 | 2010-03-24 | 微软公司 | 使用生物测定表示来标识令牌 |
| US20090300512A1 (en) * | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Preference editor to facilitate privacy controls over user identities |
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| US20140040979A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
| US20140020072A1 (en) * | 2012-07-13 | 2014-01-16 | Andrew J. Thomas | Security access protection for user data stored in a cloud computing facility |
| US20140122873A1 (en) * | 2012-10-31 | 2014-05-01 | Steven W. Deutsch | Cryptographic enforcement based on mutual attestation for cloud services |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106688220B (zh) | 2020-03-31 |
| EP3195174B1 (en) | 2018-08-22 |
| EP3195174A1 (en) | 2017-07-26 |
| US9444848B2 (en) | 2016-09-13 |
| US20160088017A1 (en) | 2016-03-24 |
| WO2016044500A1 (en) | 2016-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106688220A (zh) | 基于设备声明的对服务的有条件访问 | |
| Kuperberg | Blockchain-based identity management: A survey from the enterprise and ecosystem perspective | |
| Wang et al. | Self-sovereign identity in a globalized world: Credentials-based identity systems as a driver for economic inclusion | |
| US11847197B2 (en) | System and method for identity management | |
| EP3036675B1 (en) | Method for identity management | |
| Mendel et al. | Global survey on internet privacy and freedom of expression | |
| King et al. | What do They Really Know about Me in the Cloud: A Comparative Law Perspective on Protecting Privacy and Security of Sensitive Consumer Data | |
| US9641535B2 (en) | Apparatus and data processing systems for accessing an object | |
| Crossler et al. | Robbing Peter to pay Paul: Surrendering privacy for security’s sake in an identity ecosystem | |
| WO2018213519A1 (en) | Secure electronic transaction authentication | |
| CN110326251A (zh) | 提供使用交叉验证特征来验证用户的通用分散解决方案的系统和方法 | |
| CN106134154A (zh) | 利用机器生成的认证令牌操作服务的技术 | |
| CN107113313A (zh) | 将数据从源上传到目的地的代理服务 | |
| CN109741800A (zh) | 基于区块链技术的医疗数据内外网交互的安全保护方法 | |
| US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
| Adjei et al. | Keeping identity private | |
| Nasirinejad et al. | SASy username and password management on the cloud | |
| JP2020166601A (ja) | 仲介サーバ、プログラム、及び情報処理方法 | |
| Nguyen et al. | IBM MobileFirst in Action for mGovernment and Citizen Mobile Services | |
| KR102119383B1 (ko) | 간편동의 서비스 시스템 및 방법과, 이를 위한 사용자 장치 및 컴퓨터 프로그램 | |
| Clarke | Identity management | |
| Jaafar et al. | Blockchain and Artificial Intelligence-Based Solution to Enhance the Privacy in Digital Identity and IoT | |
| Dung et al. | Cybersecurity Risk Discussion with Relevant Laws | |
| Charney | Trustworthy computing next | |
| Simone | The Digital Wallet paradigm for identity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |