CN108293045A - 本地和远程系统之间的单点登录身份管理 - Google Patents
本地和远程系统之间的单点登录身份管理 Download PDFInfo
- Publication number
- CN108293045A CN108293045A CN201680066500.2A CN201680066500A CN108293045A CN 108293045 A CN108293045 A CN 108293045A CN 201680066500 A CN201680066500 A CN 201680066500A CN 108293045 A CN108293045 A CN 108293045A
- Authority
- CN
- China
- Prior art keywords
- cloud
- local
- certification
- endpoint
- netware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供了本地和基于云的系统之间的单点登录身份管理。远程或基于云的认证端点被注册为用户本地目录服务系统中的本地设备、服务或资源。请求对基于云的资源的访问的本地设备和相关联用户然后将认证端点看作内部(在企业内部)服务器,并且可以提供认证票证,认证票证包括用户的处所登入或登录身份。然后远程或基于云的认证端点可以验证认证票证,并且用户然后可以访问与远程或基于云的认证端点相关联地操作的设备、应用和服务,而无需第二次或分离的登入或登录并且无需在用户的企业网络处对附加的认证设备的使用。
Description
背景技术
在联网目录服务系统中,各种组件被用于认证用户并被用于生成用于控制对网络资源的访问的授权数据,以提供授权用户对网络数据的安全网络访问,并且该授权数据拒绝未授权用户的访问。在典型的公司或其他企业网络中,计算设备、应用和服务在企业网络内得被维护和保护,并且通常仅向授权的企业人员提供对这些系统的访问。然而,随着用户经由诸如因特网(也称为基于云的系统)的分布式计算网络可访问的位于远程的计算设备、应用和服务变得越来越可用,存在用于提供对在用户的企业网络之外运行和维护的应用和服务的访问的增长的需要。为了准许对这种远程维护的应用和服务的访问,类似地存在以下增长的需要:使用现有的本地设备和/或用户身份来访问基于远程的应用和服务,使得用户对这些设备、应用和服务的访问并不困难、耗时或繁琐。
在典型的身份管理系统中,用户可能被要求登入或登录到她的本地企业目录服务系统用于访问企业设备、应用和服务,随后进行第二次登入或登录到基于云的目录服务系统,用于访问基于远程的设备、应用或服务。备选地,用户的基于企业的目录服务系统的操作员可以安装和维护附加的本地转换设备/服务器(例如,联合服务器),其将用户的登入或登录身份(例如,诸如用户名和密码的证书)转换为令牌,该令牌可以由远程或基于云的目录服务系统消耗以认证用户对远程设备、应用和服务的访问。首先,必须进行两次登录操作,第二次必须维护附加设备。因此,需要单点登录(SSO)身份管理,其允许用户访问远程或基于云的设备、应用和服务,从而节省时间、处理资源和设备资源,并使登录处理对用户更加高效和令人愉快。
发明内容
提供本发明内容是为了以简化的形式介绍将在以下具体实施方式部分中进一步描述的一些概念。本发明内容不旨在标识要求保护的主题的关键特征或必要特征,也不旨作为确定所要求保护的主题的范围的辅助手段。
本公开的各方面提供了本地系统和基于云的系统之间的单点登录身份管理。根据各方面,远程或基于云的认证端点被注册为用户本地目录服务系统中的本地地址,使得本地目录环境中的客户端应用可以在没有用户交互的情况下对端点执行认证。根据示例实现,端点可以被注册为用户本地目录中的内部网地址。由于认证端点已被注册到本地目录服务系统以被视为内部设备、服务或资源,因此请求访问基于云的资源的本地设备、应用或服务会将认证端点视为内部(在企业内部的)客户端,并且可以提供认证票证,认证票证包括用户的处所登入或登录身份。然后远程或基于云的认证端点可以验证认证票证,并且用户然后可以访问与远程或基于云的认证端点相关联地操作的设备、应用和服务,而无需第二次或分离的登入或登录并且无需在用户的企业网络处对附加的认证设备的使用。
示例被实现为计算机过程、计算系统或者诸如计算机程序产品或计算机可读介质的制品。根据一个方面,该计算机程序产品是计算机存储介质,计算机存储介质由计算机系统可读并且对用于执行计算机处理的指令的计算机程序进行编码。
在下面的附图和描述中阐述了一个或多个方面的细节。通过以下详细描述的阅读和相关联的附图的查看,其他特征和优点将显而易见。应当理解,下面的详细描述仅是解释性的,并不限制权利要求。
附图说明
附图图示了各个方面,该附图被并入并且构成本公开的一部分。
图1是用于从本地计算设备或系统利用远程或基于云的计算资源的系统的简化框图。
图2是用于向本地目录服务系统注册远程认证端点的系统的简化框图。
图3是图示了用于向本地目录服务系统注册远程认证端点的示例方法中涉及的一般阶段的流程图。
图4是用于针对远程或基于云的认证端点的本地客户端设备、应用或服务的运行时认证的系统的简化框图。
图5是示出了用于针对远程或基于云的认证端点的本地客户端设备、应用或服务的运行时认证的示例方法中涉及的一般阶段的流程图。
图6是图示了计算设备的示例物理组件的框图。
图7A和7B是移动计算设备的简化框图。
具体实施方式
以下详细描述参考了附图。只要可能,在附图中使用相同的附图标记,在以下描述中指代相同或相似的元件。尽管示例可以被描述,但是修改、自适应和其他实现是可能的。例如,可以对附图中图示的元件进行替换、添加或修改,并且可以通过对所公开的方法进行替代、重新排序或添加阶段来修改本文描述的方法。因此,以下详细描述不是限制性的,而是适当的范围由所附权利要求限定。示例可以采取硬件实现,或者完全软件实现,或者结合软件和硬件方面的实现的形式。因此,下面的详细描述不应被认为是限制性的。
本公开的方面提供了在两个或多个计算系统之间的单点登录身份管理,例如在相互之间远程操作的两个或更多个本地系统之间或本地和远程或基于云的系统之间的单点登录身份管理。根据各方面,远程或基于云的认证端点在客户端设备/服务或本地目录服务系统处向客户端设备、应用或服务注册。根据一个方面,当本地设备/服务(或其用户)试图使用设备/应用/服务时,认证端点被注册(如下所述)用于允许客户端设备/服务针对端点执行认证,经由端点针对设备/应用/服务的认证是需要的。根据一个示例操作,当本地认证请求应用是因特网浏览应用时,认证端点可以在本地客户端设备/应用/服务或用户的本地目录服务系统中被注册为内联网安全原则。在注册到进行请求的用户的本地目录服务系统的情况下,可以在本地目录服务系统中执行注册以便将认证端点标记为针对本地网络设备的设置集合(例如,在针对本地网络设备/应用/服务的组策略对象(GPO)中)中的本地设备、服务或资源(例如,内联网地址),以便于允许远程认证端点被本地目录视为本地设备。
如下面进一步详细描述的,当将认证端点注册到本地目录服务系统时,用于认证端点的计算机对象被添加到本地目录服务系统以用于认证端点。根据本公开的各方面,为注册认证端点创建专用标识符(例如,服务主体名称(SPN)),用于将端点与本地目录服务系统以及与该本地目录服务系统相关联的设备、应用和服务进行关联或链接,本地目录服务系统可能需要对端点进行认证。当接收到访问远程或基于云的设备、应用或服务的请求时,其中进行请求的客户端试图对远程端点进行认证用于访问所请求的设备/应用/服务,远程认证端点针对进行请求的设备/应用/服务对象要求来自本地目录服务系统的服务票证,该进行请求的设备/应用/服务对象具有与远程或基于云的认证端点(即,请求的目标)相关联的专用标识符(例如,SPN)。
根据一个示例方面,所添加的计算机对象使用离线域加入供应过程与本地目录服务系统相关联,其中加入域的客户端设备、应用或服务将认证端点视为内部(在企业内部)客户端并且能够提供认证票证(例如,Kerberos票证),认证票证包括用户的处所登入或登录身份。应当理解,认证端点的注册过程可以通过以下而被执行:首先向本地目录服务系统添加计算机对象(具有相关联的专用标识符(例如,SPN)),该计算机对象表示远程或基于云的目录服务系统(和相关联的认证端点),随后配置(“通知”或“告知”)将请求访问远程或基于云的资源的应用(例如,浏览器应用)以接受端点地址(例如,URL)作为适当的地址,以便进行请求的应用被允许从本地目录服务系统为进行请求的用户请求服务票证,然后可以在没有用户交互的情况下将其发送到认证端点。添加计算机对象可以在本地目录服务系统中全局地完成一次,以使得进行请求的客户端能够要求本地目录服务系统发布包含进行请求的用户身份的、针对给定计算机对象的服务票证。例如,配置应用以接受端点地址作为适当地址的过程可以经由本地网络设备/应用/服务的设置集合(例如,如上所述在组策略对象(GPO)中)被自动地供应,或者该注册/配置处理可以针对每个设备/应用/服务和相关联的用户手动地执行。
根据请求,远程或基于云的认证端点可以使用秘密元数据(例如,诸如计算机名称或其它计算机标识和密码的加密的标识信息,以及针对给定设备、应用或服务的其他加密标识信息)来对认证票证进行验证,秘密元数据是在对象供应过程中为计算机对象创建的,用于消耗用户的身份。也就是说,如上所述,当新的计算机对象被添加到本地目录服务系统以用于远程或基于云的目录服务系统和相关联的认证端点时,为新计算机对象创建密码。密码(以及对象的计算机名称和相关联的本地目录服务系统域的标识)用于认证将为计算机对象发出的服务票证。根据一个示例性实现,虽然可以使用密码、计算机名称和域标识,但只有密码才足以进行验证。一旦由基于云的认证端点对用户进行认证,则用户然后可以访问与远程或基于云的认证端点相关联地运行的设备、应用和服务,而无需第二次或分离的登入或登录,也无需在用户企业处使用附加的认证设备。
例如,用户可以在诸如她的工作场所的公司网络、学校网络、家庭网络等的本地处所企业环境中操作计算设备。用户对她本地企业的设备、应用和服务的访问可以通过在处所设备处的用户证书(例如,用户名、密码、指纹扫描、视网膜扫描、语音识别等)的输入来获得。在用户那一天的各种时间点,用户可能期望使用远离用户本地网络的基于云的设备、应用或服务或非基于云的设备、应用或服务。例如,用户的雇主可以利用基于云的生产力应用套件(例如,MICROSOFT OFFICE 365),并且用户可以不时地希望针对她的工作或休闲利用基于云的应用中的一个或多个。同样,用户可能希望访问远程或基于云的数据库、数据中心或其他远程或基于云的数据存储装置或数据访问点,以在各种时间点处存储、取回或以其他方式使用数据。其他基于云的设备、应用或服务还可以包括各种通信服务,诸如电子邮件和消息传送服务等。非基于云的设备、应用或服务可驻留在远离用户本地网络运行的一个或多个本地网络上。
根据本公开的各方面,并且如上面简要描述的,远程或基于云的认证端点被注册到在客户端设备/应用/服务上或在本地目录服务系统处的用户的本地设备、应用或服务,以允许客户端对端点执行认证。当用户随后希望从其处所计算机或其他设备访问基于云的资源时,认证票证可以由她的客户端设备/应用/服务或她的处所目录服务系统发布以供客户端用于认证访问期望的远程或基于云的资源。根据这个方面,客户端设备/应用/服务或处所目录服务系统不知道发布的票证用于访问远程或基于云的资源。客户端或本地目录服务系统假定为作为本地设备/应用/服务域或网络的一部分的本地设备/应用/服务发布票证。因此,如本文所述,启用单点登录是因为客户端或本地目录服务系统不知道它启用对远程或基于云的资源的访问。
图1是用于从本地计算设备或系统利用远程或基于云的计算资源的系统100的简化框图。如上面简要描述的,在典型的环境中,用户利用经由本地企业(例如他们的工作场所、教育场所、休闲场所等)运行的各种设备和相关联的应用和服务的计算资源,其中一个或多个设备和相关联的应用和服务可以经由本地网络联网在一起。在这样的本地网络中,个体用户对各种设备、应用和服务的访问可以在本地企业内部被监控和授权。
如图1所示,图示了本地网络101包括一个或多个客户端设备102a-g(统称为设备102)。如本领域技术人员所理解的,网络设备102可以形成处所内联网,处所内联网可以在单个位置或设施处运行或可以跨给定企业的一个或多个分布式位置或设施运行。根据本公开的各方面,可以允许一个或多个设备102经由分布式网络104例如因特网访问在一个或多个远程或基于云的设备(例如,应用服务器108)处运行的各种远程的基于云的应用和/或服务110。非网络设备102h图示了远离本地网络101定位的计算设备,其可以与本地网络101的系统进行通信,包括经由本地网络101访问远程资源。如以下参照图2、3、4、5详细描述的,本地目录服务系统103维护设备102和关联用户的身份信息并管理本地设备102和其他设备102之间的交互,以及与基于云的目录服务系统106的交互,其用于认证对远程或基于云的设备、应用110和服务108的访问,并管理远程或基于云的设备、应用110和服务108的使用。
如上面简要描述的,当设备102的用户期望访问在用户的本地企业网络101之外操作的设备102、应用110或服务108时,用户对远程或基于云的资源的访问必须被认证,并且根据本公开的各方面,期望用户对远程或基于云的资源的访问经由用户的单点登录而被准许,使得用户对远程或基于云的资源的访问和使用对于用户是无缝的,并且使得用户对她的处所计算设备102的单点登录用作对期望的远程或基于云的资源的登录。例如,如果用户期望使用在基于云的应用服务器108处维护和操作的文字处理应用110,则期望用户接收对所请求的文字处理应用110的认证访问作为用户对她的本地设备102的认证访问的一部分。
图2是用于将本地计算资源注册到远程或基于云的目录服务系统的系统200的简化框图。如上面简要描述的,根据本公开的各方面,当处所计算设备102被安装在本地企业网络101中供处所企业中的一个或多个用户使用时,计算机对象(具有关联的专用标识符(例如,SPN))被添加到代表远程或基于云的目录服务系统(和相关联的认证端点)的本地目录服务系统中,随后配置(“通知”或“告知”)应用(例如,浏览器应用),其将请求访问来自安装的设备的远程或基于云的资源,以接受端点地址(例如,URL)作为适当的地址,使得进行请求的应用被允许为进行请求的用户从本地目录服务系统请求服务票证,服务票证然后可以在没有用户交互的情况下被发送到认证端点。如下所述,该安装/注册处理允许经由认证端点对需要认证的资源的单点登录访问,而无需附加登录要求或者无需本地企业网络101处的附加认证设备、系统和资源。即,根据此方面,由于与端点相关联的本地地址,处所设备102可对远程或基于云的认证端点执行自动认证。
参考图2,安装工具210l图示了用于向本地目录服务系统103注册远程或基于云的目录服务系统(以及相关联的认证端点)以及用于将本地设备安装元数据和加密的认证数据(密钥)传递到远程或基于云的目录服务系统106的软件应用、模块、组件或计算机硬件组件。根据示例性方面,安装工具210用于建立本地目录服务系统103和远程或基于云的目录服务系统106之间的信任关系,使得认证端点107被视为本地目录中的另一个设备/应用/服务,使得针对给定的本地设备102的、包含相关联的用户标识信息的认证服务票证被发布,用于允许经由身份认证端点来对远程或基于云的资源进行单点登录访问。
本地目录服务系统103图示了维护每个设备、应用或服务或其本地处所网络101中的用户的身份信息用于为所有设备102分配和实施安全策略的服务或系统,包括由一个或多个处所用户对这些设备102的认证使用、软件安装和更新等。例如,当用户登入到作为设备域的一部分的给定设备102时,设备域包括作为本地网络101的一部分图示的设备和系统102,可以查询本地目录服务系统103以确定用户名和密码或由登入用户提供的其他认证证书是可信的,以允许登入用户访问本地网络101中的期望设备、应用或服务。应当理解,设备102在其中操作的域可以跨经由分布式计算网络104连接在一起的多个物理本地网络101扩展。在一个方面,本地目录服务系统103将网络资源和设备102的名称映射到相应的网络地址,以允许网络资源和设备102之间的通信。本地目录103的一个示例是来自微软公司的活动目录(“ACTIVE DIRECTORY”)。在一些方面,本地目录服务系统103可以包括域控制器,域控制器认证并授权本地网络101内的用户和计算机根据需要彼此通信。
在图2中所图示的系统的基于远程云端的一侧,基于云的目录服务系统106图示了基于云的目录服务系统,其可以充当基于多租户的基于云的目录和标识管理服务。根据本公开的各方面,如本文所述,基于云的目录服务系统106可将处所身份扩展到云中以提供对基于云的设备、应用和服务的访问。基于云的目录服务系统106的示例是来自微软公司的AZURE活动目录。
认证端点107图示了允许系统之间的自动认证连接的认证服务。根据本公开的各方面,端点107可操作以接收由本地目录服务系统发布的认证票证。然后,端点107可以认证接收到的票证,用于允许代表进行请求的客户端设备/应用102、410来访问远程或基于云的资源。认证服务的示例包括来自微软公司的WINDOWS集成认证(WIA),该WINDOWS集成认证(WIA)使用Windows操作系统的安全特征,用于提供对安全设备、应用和服务的认证访问。认证票证的示例是根据Kerberos协议的Kerberos票证。
图2中所图示的安装数据220图示了可以从本地网络101从安装工具210传递到基于云的目录服务系统106的用于向本地目录服务系统注册远程认证端点的认证数据和标识数据。根据一个示例,安装数据220可以包括为计算机对象创建的秘密元数据(例如,加密的标识信息,诸如计算机名称和密码,以及用于给定设备、应用或服务的其他加密标识信息),计算机对象被添加用于对象供应过程中注册的远程认证端点以消耗用户的身份。如上所述,当针对远程或基于云的目录服务系统和相关联的认证端点的新计算机对象被添加到本地目录服务系统时,为新计算机对象创建密码。密码(以及对象的计算机名称和相关联的本地目录服务系统域的标识)用于认证将为计算机对象发布的服务票证。应当理解,这些数据可以作为加密和未加密的元数据和/或密钥传递。
注册过程可以用于将认证端点标记为用于本地目录服务系统103的本地设备、服务或资源,使得当本地目录服务系统103被要求发布用于使用远程认证端点认证本地客户端设备102的服务票证时,本地目录服务系统103将认证端点视为另一本地设备102。如上所述,如果进行请求的本地认证请求应用是因特网浏览应用,则认证端点可以被注册为在本地客户端设备/应用/服务上或在用户的本地目录服务系统103中的用于允许对基于云的资源的单点登录访问的内联网安全原则,如本文所述。
根据另一示例方面,注册过程可以手动执行。如上所述,注册过程的目的是在本地目录服务系统103和远程或基于云的目录服务系统106之间创建信任关系。因此,可以创建具有相关安装数据的计算机对象(例如,标识和认证数据),并且管理人员可以手动地向远程或基于云的目录服务系统106提供安装数据。对于自动或手动注册过程,安装数据可能需要随时地更新、刷新或重新加密,以保护安装数据免受未经授权的使用。
仍然参考图2,安装数据刷新机制215图示了不时地更新安装数据的软件模块或设备,包括更新的用户证书的重新加密和收集,并且将更新的数据经由安装工具210传递到基于云的目录服务系统106并传递到本地目录服务系统103。根据一个示例实现,安装数据220的更新或刷新可能不是必需的,但可以出于安全目的或当基础数据发生变化时而周期性地执行。例如,安装数据的更新或刷新可以包括经由本地目录服务系统103来创建新密码,随后将新密码安全地发送到远程或基于云的目录服务系统106,以便于延长或更新在向本地系统注册远程系统期间在远程或基于云的目录服务系统106和本地目录服务系统103之间建立的信任关系。
根据各方面,密码更新也可以作为备选信任机制的一部分来执行。例如,如果用户以允许将处所身份扩展到云中以提供对基于云的设备、应用和服务(例如前述的AZURE活动目录)的访问的方式利用基于云的目录服务系统106,其中系统106启用密码回写,密码回写允许用户在基于云的目录服务系统106中重置他们的密码,使得重置密码被传播到本地目录服务系统103,那么这样的密码回写特征可以用于重置或更新远程端点计算机对象的密码。
图3是示出了示例方法300中涉及的一般阶段的流程图,示例方法300用于当与本地目录服务系统相关联的设备、应用或服务需要访问远程或基于云的资源时,向本地目录服务系统注册远程或基于云的认证端点,使得远程或基于云的端点将作为本地设备呈现给本地目录服务系统,其中这种访问需要经由远程或基于云的认证端点进行认证。如本文所描述的,为了允许从本地网络设备102对远程或基于云的资源进行单点登录访问,远程或基于云的认证端点必须被向进行请求的本地网络设备102或向其中本地设备进行操作的本地网络目录服务系统103注册,使得在本地设备或目录服务系统与远程或基于云的目录服务系统之间建立信任关系,使得当进行请求的本地设备经由远程或基于云的认证端点请求访问远程或基于云的资源时,远程或基于云的认证端点被本地目录服务系统视为另一本地设备。
图3中示出的方法300图示了安装和注册过程,通过该安装和注册过程,远程基于云的认证端点相对于被添加到本地网络101的、将被用于请求访问远程或基于云的资源计算机对象被注册到本地目录服务系统,如本文所述。作为在远程或基于云的认证端点与本地目录服务系统103之间创建信任关系的一部分,新的计算机对象被添加到针对远程认证端点的网络或域中,如本文所述。根据一个方面,该过程不是每当新的对象被在本地目录服务系统中创建时运行,而是发生一次,然后被更新或扩展以便于在远程和本地目录之间建立信任。
方法300在开始操作305处开始并且前进到操作310,其中用于远程认证端点的计算机对象被添加到本地目录服务系统103,用于允许远程端点作为本地地址链接到本地目录服务系统103,使得本地设备、应用和服务可以对作为本地地址的远程端点进行认证。根据本公开的一个方面,计算机对象被添加到本地目录服务系统103以表示远程或基于云的目录服务系统106(和相关联的认证端点)。添加计算机对象可以在本地目录服务系统103中全局地完成一次,以使得进行请求的客户端能够请求本地目录服务系统103发布包含进行请求的用户身份的、针对给定计算机对象的服务票证。
应当理解,添加到本地目录服务系统103的计算机对象可以包括用于所添加的计算机的各种标识信息,包括针对所添加的计算机的序列号、针对所添加的计算机的网络地址、针对所添加的计算机(例如,计算机、外围设备等)的类型、以及与所添加的计算机的用户相关联的证书。
根据一个方面,使用离线域加入供应过程将新计算机对象添加到本地目录服务系统103,但是应当理解的是,计算机对象可以经由任意其他合适的机制被添加到本地目录服务系统,该其他合适的机制将允许当从所添加的计算机接收到针对远程或基于云的服务的请求时,本地目录服务系统代表所添加的计算机对象来向远程或基于云的认证端点发布认证票证。根据本公开的示例实现,如上面详细描述的,使用离线域加入过程,以便于添加表示远程或基于云的目录和相关联的认证端点的计算机对象。
在操作315处,根据一个示例方面,被添加到本地目录服务系统的、为其注册认证端点的每个对象(例如,设备、应用或服务)可以被分配一个或多个专用标识符(例如,一个或多个服务主体名称(SPN))或可以与一个或多个唯一标识符(例如,一个或多个服务主体名称(SPN))相关联。因此,当接收到访问远程或基于云的资源的请求时,其中进行请求的客户端试图对远程认证端点进行认证以访问所请求资源,当请求客户端尝试对端点进行认证时,客户端从本地目录服务系统请求针对具有专用标识符(例如,SPN)的、与远程或基于云的认证端点相关联的的对象的服务票证。
在操作320处,远程或基于云的认证端点107被向与新添加的计算机对象相关联的本地目录服务系统103注册,以便经由网络本地目录服务系统创建认证端点与新添加的计算机对象之间的链接。在远程或基于云的认证端点与针对端点的新添加的计算机对象之间的链接或关联通过将远程或基于云的认证端点与新添加的计算机对象经由为新添加的计算机对象创建的专用标识符(例如,SPN)进行链接和关联来执行。根据各方面,将认证端点链接到在本地目录服务系统处为认证端点创建的计算机标识对象通过安装数据220(例如,密码或其他秘密数据项)来完成,如下面参考操作330所描述。根据一个示例实现,注册认证端点包括配置(“通知”或“告知”)应用(例如,浏览器应用),其将请求访问远程或基于云的资源以接受端点地址(例如,URL)作为适当的地址,使得进行请求的应用被允许从本地目录服务系统为进行请求的用户请求服务票证,该服务票证然后可以在没有用户交互的情况下被发送到认证端点。例如,该注册/配置过程可以经由本地网络设备/应用/服务的设置集合(例如,如上所述在组策略对象(GPO)中)被自动地供应,或者该注册/配置处理可以针对每个设备/应用/服务和相关用户被手动地执行。
在操作325,作为向本地目录服务系统注册远程或基于云的认证端点的一部分,远程或基于云的认证端点被标记或指定为本地设备或端点(本地于本地目录服务系统),使得当本地目录服务系统随后针对进行请求的客户端发布认证票证以用于认证注册的远程或基于云的认证端点时,本地或处所目录服务系统将不会意识到发出的票证用于远程或基于云端的设备(端点)。也就是说,本地或处所目录服务系统将假定票证被发布用于作为本地域或网络一部分的本地设备、应用或服务。根据一个示例方面,如本文所述,远程或基于云的认证端点被视为本地设备用于允许其他本地设备对端点进行认证以访问远程或基于云的资源。根据备选示例性方面,远程或基于云的认证端点可被标记、指定或被视为在本地目录服务系统处的内联网地址,以允许因特网浏览应用对远程或基于云的认证端点作为内部网站点进行认证。
根据一个示例性方面,端点可因此被指定或标记为本地目录服务系统处的设置集合中的本地设备、服务或资源,该设置定义本地网络101将包括关于设备、应用和服务的哪些内容以及设备、应用和服务中的每一个如何相互作用。通过将基于云的目录认证端点107标记为在该设置集合中的本地设备、服务或资源,基于云的目录服务系统对于本地网络101中的加入计算机和其他设备、应用和服务将显现为另一个本地设备、应用或服务。这种设置集合的示例是组策略对象(GPO),并且这样的设置集合可以与在本地目录服务系统103处维护的诸如站点、域、组织单元等的组织信息容器相关联。
在操作330处,在远程或基于云的端点的安装过程期间创建的所有相关安装数据220被传递到基于云的目录服务系统106和相关联的认证端点107。根据一个示例方面,安装数据220可以被传递到并存储在可以被基于云的目录服务系统106和相关联的认证端点访问的数据库中。安装数据220可以包括加入计算机对象(用于认证端点)的标识信息以及诸如用户名、密码、指纹扫描、视网膜扫描、语音识别标识等的认证信息,被利用用于访问加入计算机对象并且用于安装加入计算机对象并用于将加入计算机对象与基于云的目录服务系统106相关联,如本文所述。应当理解,针对加入的计算机对象被传递到远程或基于云的目录服务系统106的元数据和其他信息可以经由任意合适的安全方法来发送,其中信息可以被加密成一个或多个密码密钥、散列值等,用于安全地将信息传递到远程目的地。
根据一个示例实现,当远程或基于云的目录服务系统最初被创建时,创建信息技术(IT)管理账户。为了使远程或基于云的目录服务系统接受本地目录安装数据220(使得远程目录将接受由本地目录发布的令牌),远程目录和本地目录之间的链接可以在远程目录IT管理员的授权下发生。如上所述,当将信息传递到远程目的地时,执行或监视本文描述的安装过程的企业IT管理人员使用管理人员或远程或基于云的目录的设备向远程或基于云的目录服务系统标识他/她自己,以确保本地和远程目录之间的链接值得信赖。
在操作340处,在加入计算机设备102的初始安装之后,可以执行定期维护以根据需要不时地更新计算机对象安装数据,并且将更新的信息传递到基于云的目录服务系统106,如上所述。例如,如果加入的计算机设备102被移动到不同的网络地址,如果与加入的计算机相关联的组件或外围设备改变等,则用于一个或多个安装数据项的加密密钥过期,更新的计算机对象信息可以被生成并传递到基于云的目录服务系统106以继续从加入的计算机访问基于云的资源。方法300在操作395处结束。
根据本公开的各方面,可以针对多个不同的本地网络或域101执行上述远程或基于云的认证端点的注册。即,一个认证端点可以同时向多个本地目录服务系统103注册。根据这个方面,远程或基于云的目录服务系统是多租户系统,并且认证端点可以处理来自属于不同企业的不同网络的客户端的多个认证请求。根据示例方面,远程或基于云的目录服务系统和相关联的认证端点可以被启用以在单个远程或云计算资源上用租户隔离来执行服务票证验证。也就是说,可以在单个资源上执行验证,而无需逐租户地在远程或基于云的目录中使用专用设备或专用虚拟机(VM)。
图4是一个示例系统400的简化框图,该示例系统400用于针对远程或基于云的认证端点运行时认证本地客户端设备、应用或服务,用于允许本地客户端设备、应用或服务经由处所单点登录来访问远程或基于云的资源。在远程或基于云的认证端点已经向本地目录服务系统103注册之后,如以上参考图2和图3所图示的和所述的,所添加的计算机设备102可以参与运行时操作,包括用于访问基于云的资源108、110,如以上参考图1所述。参考图4所图示的和所描述的系统仅是用于本地客户端设备的运行时认证的系统的一个示例。例如,其他系统结构和布局可以被用于其他类型的进行请求的客户端应用(例如,当地应用和其他非浏览器客户端应用),这些请求客户端应用可以利用本地目录和远程目录之间的信任关系来认证本地客户端应用经由本地设备对远程资源的访问。
然后参照图4,客户端应用410被图示为与客户端设备102相关联,用户可以用客户端设备102来访问基于云的设备、应用110和服务108。根据一个示例,客户端应用410可以包括因特网浏览器应用,用于允许用户经由针对期望的基于云的应用或服务的浏览操作来访问基于因特网的应用110和服务108。应当理解,客户端应用410可以包括其他类型的应用,包括生产力应用、电子邮件应用、日历应用、笔记应用等,其可操作用于在对远程或基于云端的认证端点进行认证之后访问基于云的应用和服务。例如,客户端应用410可以包括可操作用于访问基于网络的系统的电子邮件或消息传送应用,电子邮件/通信系统可以通过基于网络的系统被操作。
HTML页面415图示了页面,该页面由本地目录服务系统103用于将认证服务票证自动传递到基于云的目录服务系统106和相关联的认证服务系统,用于认证由给定设备102对所请求的远程或基于云的资源的访问。经由HTML页面415自动地向基于云的认证服务端点107发布认证服务票证避免向用户提示与第二次登录相关联的认证证书。根据各方面,可以根据任意合适的通信协议来执行去往和来自本地目录服务系统103和基于云的目录服务系统106的信息通信,包括通过将认证信息发布到与Java脚本相关联的Java馈送。根据替代方面,对于非浏览应用,HTML页面415可以不被利用,但是进行请求的应用可以实现某种其他通信方法,以通过利用本地和远程目录之间的信任关系来对远程或基于云的目录自动地进行认证,用于代表登录用户来针对服务票证请求本地目录。
目录服务连接系统420图示了软件应用、模块、设备或其他组件,其可操作用于将针对本地客户端应用和设备410、102的用户和设备认证信息对应于基于云的认证端点107,用于允许对端点107的认证以及设备和用户对基于云的资源的访问,如本文所述。以上参考图2描述了远程或基于云的目录服务系统106和远程或基于云的认证端点107。
图5是示出了示例方法500中涉及的一般阶段的流程图,该方法用于向远程或基于云的认证端点运行时认证本地客户端设备、应用或服务,用于允许本地客户端设备、应用或服务经由处所单点登录来访问远程或基于云的资源。为了描述图5的目的,例如考虑用户期望从她的本地计算机设备102访问基于云的应用110,例如,基于云的文字处理应用,用于准备和/或编辑或查看文档。
方法500在开始操作501处开始并且前进到操作505,其中进行请求的用户在本地计算机设备102处登入用于访问基于云的应用。例如,在设备102处的登入可以包括输入用户名和密码或其他认证信息作为用户的正常日常或定期登入到她的企业计算机的一部分。根据各方面,用户的登入证书(例如,用户名和密码)被传递到本地目录服务系统103。如本领域技术人员所理解的,用户对她本地网络的访问因此被认证(即,用户是她说她是的她),然后用户被授权访问网络资源(即用户具有访问特权)。在操作510处,在登入到她的本地网络之后,期望访问基于云的应用110的用户可以启动应用,例如因特网浏览器应用410,利用该应用用户可以尝试访问期望的基于云的应用110。
在操作515处,进行请求的应用(例如,客户端浏览器应用410)联系基于云的目录服务系统106以访问所请求的远程或基于云的资源。响应于该请求,远程或基于云的目录服务系统106向进行请求的应用返回认证错误,例如有www认证头部的401状态码,用于使进行请求的客户端应用请求服务票证,它可以用服务票证向远程或基于云的认证端点107进行认证。
在操作520,响应于从基于云的目录服务系统106(和相关联的端点107)接收到的错误代码,进行请求的应用410向本地目录服务系统103发出用于获得服务票证的请求,该服务票证可以由进行请求的应用410使用用于向远程或基于云的端点107进行认证以获得进行请求的用户以及相关联的设备和应用102、410用于访问所请求的基于云的应用110的认证。也就是说,进行请求的应用410尝试访问认证端点107并获得具有www认证头部的401错误代码。应用知道它正在具有用户登录会话的进行请求的设备102上运行,因此,进行请求的应用向本地目录(其自身)发出请求以便接收服务票证,以便它可以用接收到的服务票证来向认证端点107重新发布请求。根据替代方面,一个或多个服务票证可能先前已经被生成并被高速缓存,并且客户端应用410可以从高速缓存而不是从本地目录服务系统103请求服务票证。
在操作525处,目录服务连接系统420生成需要用于向基于云的认证服务端点107认证进行请求的设备/应用所需的端点服务票证。如以上参考图2和3所述,当进行请求的设备102被首先安装时,认证端点107被指定并标记为本地企业网络101内的本地设备、服务或资源。另外,如上所述,提供针对认证端点的专用标识符(例如,SPN)用于将认证服务端点107标识为进行请求的本地设备可以与其通信的组件,就像本地设备将与在本地企业网络101内部操作的任意其他设备或服务进行通信一样。
因此,与目录服务连接系统420相关联的本地目录服务系统103生成端点服务票证,用于允许进行请求的应用和设备以与生成服务票证相同的方式与认证端点107连接,用于允许进行请求的设备与本地企业网络101内部的任意其他设备或服务连接。所生成的服务票证可以作为基于网络的HTML页面415被自动地传递到认证端点107。根据各方面,服务票证作为HTTP请求中的头部被传递。浏览器应用410生成该请求是由于嵌入在HTML页面415中的Java脚本代码而发生的,但也可以作为例如用于到达客户端应用的不同协议的一部分来执行。
在操作530处,进行请求的应用410用包括所发布的端点服务票证的HTTP头部将原始请求重新发送到认证服务端点107。在操作535,认证服务端点107认证所接收的端点服务票证以确定所请求的访问可被认证以允许经由进行请求的应用410访问所请求的基于云的资源。根据一个方面,所接收的端点服务票证的认证是使用在进行请求的设备的安装期间传递给认证端点的安装数据220来执行的,如参照图2和图3所图示的和所描述的。在操作540,认证端点107消耗安装数据220以针对远程或基于云的目录服务系统106向用户授权所请求的资源。也就是说,在操作540处,用户身份信息被从服务票证提取,然后用于在远程或基于云的目录中查找关于进行请求的用户的附加信息。应当理解的是,在一些情况下,接收到的服务票证可以包括足以用于认证过程的身份信息,并且附加信息查找是不必要的。
在操作545,用户经由进行请求的设备被准许对所请求的资源的访问。因此,用户用单点登录请求并接收对期望的基于云的资源的访问,而不需要附加的本地设备,例如用于分离地认证用户对基于云的资源的期望访问的联合服务器,而不需要在运行时期间向本地目录服务系统进行通信。方法500在操作595处结束。
在多个不同的本地网络(例如,与不同的公司、学校或其他企业相关联的多个不同的本地企业网络101)利用基于云的目录服务系统106和相关联的认证端点107的服务来访问一个或多个远程或基于云的设备、应用或服务的情况下,可能期望发现与进行请求的用户/应用/设备相关联的租户身份。根据一个方面,当用户输入她的用户名用于在与特定本地目录服务系统相关联的基于云的目录服务系统106中标识租户时,可以取回租户身份信息。有利的是,可以由单个基于云的目录服务系统106和相关联的认证端点107来提供对请求访问基于云的资源的多个租户的认证。
已经在计算设备和系统组件以及程序模块的一般上下文中描述了实现,程序模块结合在计算机上的操作系统上运行的应用来执行。本领域的技术人员将认识到,这些方面也可以结合其他程序模块来实现。通常,程序模块包括例程、程序、组件、数据结构和执行特定任务或实现特定抽象数据类型的其他类型的结构。
本文描述的方面和功能可以经由多种计算系统来操作,包括但不限于台式计算机系统、有线和无线计算系统、移动计算系统(例如移动电话、上网本、平板计算机或平板型计算机、笔记本计算机和膝上型计算机)、手持设备、多处理器系统、基于微处理器或可编程消耗电子产品、小型计算机和大型计算机。
另外,根据一个方面,本文描述的方面和功能性在分布式系统(例如,基于云的计算系统)上操作,其中应用功能、存储器、数据存储和取回以及各种处理功能通过诸如因特网或内联网的分布式计算网络彼此远程操作。根据一个方面,各种类型的用户界面和信息经由机载计算设备显示器或经由与一个或多个计算设备相关联的远程显示单元来显示。例如,用户界面和各种类型的信息在墙面上显示和交互,用户界面和各种类型的信息被投影到墙面上。与实施实现的大量计算系统的交互包括按键输入、触摸屏输入、语音或其他音频输入、手势输入等,在手势输入中,相关联的计算设备配备有检测(例如,相机)功能,用于捕获和解释用于控制计算设备的功能的用户手势。
图6、7A和7B以及相关描述提供了在其中实践示例的各种操作环境的讨论。然而,关于图6、7A和7B所图示和讨论的设备和系统仅用于示例和说明的目的,并不限制用于实践本文所描述的方面的大量计算设备配置。
图6是图示了实施本公开的示例的计算设备600的物理组件(即,硬件)的框图。在基本配置中,计算设备600包括至少一个处理单元602和系统存储器604。根据一个方面,取决于计算设备的配置和类型,系统存储器604包括但不限于易失性存储装置(例如,随机存取存储器)、非易失性存储装置(例如,只读存储器)、闪存或这些存储器的任意组合。根据一个方面,系统存储器604包括操作系统605和适合于运行软件应用410的一个或多个编程模块606。根据一个方面,系统存储器604包括安装工具210。操作系统605,例如适用于控制计算设备600的操作。此外,各个方面结合图形库、其他操作系统或任意其他应用被实践,并且不限于任意特定应用或系统。该基本配置在图6中由虚线608内的那些组件图示。根据一个方面,计算设备600具有附加特征或功能。根据一个方面,计算设备600包括附加数据存储设备(可移动和/或不可移动),诸如例如磁盘、光盘或磁带。这种附加存储装置在图6中由可移动存储设备609和不可移动存储设备610图示。
如上所述,根据一个方面,多个程序模块和数据文件被存储在系统存储器604中。当在处理单元602上执行时,程序模块606(例如,安装工具210)执行包括但不限于图3和5中所图示的方法300和500的一个或多个阶段的处理。根据一个方面,其他程序模块根据示例被使用并且包括诸如电子邮件和联系人应用、文字处理应用、电子表格应用、数据库应用、幻灯片演示应用、绘图或计算机辅助应用等的应用。
根据一个方面,各个方面可以被实施在包括分立电子元件的电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路、或包含电子元件中或被实施在微处理器的单个芯片上。例如,各方面经由片上系统(SOC)来实施,其中图6中所图示的组件中的每个或多个被集成到单个集成电路上。根据一个方面,这样的SOC设备包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元和各种应用功能,所有这些处理单元被集成(或“烧”)到芯片衬底上作为单个集成电路。当经由SOC进行操作时,本文描述的功能经由与单个集成电路(芯片)上的计算设备600的其他组件集成的专用逻辑来操作。根据一个方面,本公开的各个方面使用能够执行诸如例如与(AND)、或(OR)和非(NOT)的逻辑运算的其他技术来实施,该其他技术包括但不限于机械、光学、流体和量子技术。另外,各方面在通用计算机或任意其他电路或系统内被实施。
根据一个方面,计算设备600具有一个或多个输入设备612,诸如键盘、鼠标、笔、声音输入设备、触摸输入设备等。诸如显示器、扬声器、打印机等的输出设备614也根据一个方面被包括。上述设备是示例,并且可以使用其他设备。根据一个方面,计算设备600包括允许与其他计算设备618进行通信的一个或多个通信连接616。合适的通信连接616的示例包括但不限于射频(RF)发射机、接收机和/或收发器电路;通用串行总线(USB)、并行和/或串行端口。
本文使用的术语计算机可读介质包括计算机存储介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构或程序模块的信息的任意方法或技术实现的易失性和非易失性、可移动和不可移动介质。系统存储器604、可移动存储设备609和不可移动存储设备610都是计算机存储介质示例(即存储器存储装置)。根据一个方面,计算机存储介质包括RAM、ROM、电可擦除可编程只读存储器(EEPROM)、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光存储器、磁带盒、磁带、磁盘存储器或其他磁存储设备或可以用于存储信息并且可以由计算设备600访问的任意其他制品。根据一个方面,任意这样的计算机存储介质是计算设备600的一部分。计算机存储介质不包括载波或其他传播的数据信号。
根据一个方面,通信介质由计算机可读指令、数据结构、程序模块或诸如载波或其他传输机制的调制数据信号中的其它数据来实施,并且包括任意信息传递介质。根据一个方面,术语“调制数据信号”描述具有以对信号中的信息进行编码的方式设置或改变的一个或多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质,以及诸如声学、射频(RF)、红外线的无线介质以及其他无线介质。
图7A和图7B图示了移动计算设备700,例如移动电话、智能电话、平板个人计算机、膝上型计算机等,可以利用其来实施这些方面。参照图7A,图示了用于实现这些方面的移动计算设备700的示例。在基本配置中,移动计算设备700是具有输入元件和输出元件的手持式计算机。移动计算设备700通常包括显示器705和允许用户将信息输入到移动计算设备700中的一个或多个输入按钮710。根据一个方面,移动计算设备700的显示器705用作输入设备(例如,触摸屏显示器)。如果包括,则可选的侧输入元件715允许进一步的用户输入。根据一个方面,侧输入元件715是旋转开关、按钮或任意其他类型的手动输入元件。在备选示例中,移动计算设备700集成更多或更少的输入元件。例如,在一些示例中,显示器705可能不是触摸屏。
在替代示例中,移动计算设备700是便携式电话系统,诸如蜂窝电话。根据一个方面,移动计算设备700包括可选小键盘735。根据一个方面,可选小键盘735是物理小键盘。根据另一方面,可选小键盘735是在触摸屏显示器上生成的“软”小键盘。在各个方面,输出元件包括用于示出图形用户界面(GUI)的显示器705、可视指示器720(例如,发光二极管)和/或音频换能器725(例如,扬声器)。在一些示例中,移动计算设备700集成了用于向用户提供触觉反馈的振动换能器。在又一个示例中,移动计算设备700集成了输入和/或输出端口,诸如音频输入(例如麦克风插孔),音频输出(例如,耳机插孔)和视频输出(例如HDMI端口),用于向外部设备发送信号或从外部设备接收信号。在又一示例中,移动计算设备700集成了外围设备端口740,诸如音频输入(例如麦克风插孔)、音频输出(例如耳机插孔)和视频输出(例如HDMI端口),用于向外部设备发送信号或从外部设备接收信号。
图7B是示出移动计算设备的一个示例的架构的框图。也就是说,移动计算设备700集成了用于实现一些示例的系统(即,体系结构)702。在一个示例中,系统702被实现为能够运行一个或多个应用(例如,浏览器、电子邮件、日历、联系人管理器、消息传送客户端、游戏和媒体客户端/播放器)的“智能电话”。在一些示例中,系统702被集成为计算设备,诸如集成个人数字助理(PDA)和无线电话。
根据一个方面,一个或多个应用410被加载到存储器762中,并且在操作系统764上或者与操作系统764相关联地运行。应用程序的示例包括电话拨号程序、电子邮件程序、个人信息管理(PIM)程序、文字处理程序、电子表格程序、因特网浏览器程序、消息程序等等。根据一个方面,安装工具210被加载到存储器762中。系统702还包括存储器762内的非易失性存储区域768。非易失性存储区域768用于存储如果系统702断电时不应当丢失的持久信息。应用程序410可以使用信息并将信息存储在非易失性存储区域768中,诸如由电子邮件应用使用的电子邮件或其他消息等。同步应用(未示出)也驻留在系统702上,并被编程为与驻留在主计算机上的对应同步应用交互,以保持存储在非易失性存储区域768中的信息与存储在主计算机中的对应信息同步。应当理解,其他应用可以被加载到存储器762中并且在移动计算设备700上运行。
根据一个方面,系统702具有电源770,其被实现为一个或多个电池。根据一个方面,电源770还包括外部电源,诸如对电池进行补充或再充电的AC适配器或供电对接支架。
根据一个方面,系统702包括执行发送和接收射频通信的功能的无线电772。无线电772经由通信运营商或服务提供商来促进系统702与“外部世界”之间的无线连接。来自和去往无线电772的传输在操作系统764的控制下进行。换句话说,无线电772接收的通信可以经由操作系统764被传播到应用410,反之亦然。
根据一个方面,可视指示器720用于提供可视通知和/或音频接口774用于经由音频换能器725来产生可听通知。在所图示的示例中,可视指示器720是发光二极管(LED)并且音频换能器725是扬声器。这些设备可以直接耦合到电源770,使得当被激活时,即使处理器760和其他组件可能关闭用于保存电池电力,它们仍然保持开启由通知机构指示的持续时间。LED可被编程为无限期地保持开启,直到用户采取行动指示设备的开机状态。音频接口774被用于向用户提供可听信号并从用户接收可听信号。例如,除了耦合到音频换能器725之外,音频接口774还可以耦合到麦克风以接收可听输入,诸如促进电话对话。根据一个方面,系统702还包括视频接口776,其使得板载相机730的操作能够记录静止图像、视频流等。
根据一个方面,实现系统702的移动计算设备700具有附加特征或功能。例如,移动计算设备700包括附加的数据存储设备(可移除的和/或不可移除的),诸如磁盘、光盘或磁带。这种附加存储在图7B中由非易失性存储区域768示出。
根据一个方面,如上所述,由移动计算设备700生成或捕获并经由系统702存储的数据/信息被本地存储在移动计算设备700上。根据另一方面,数据被存储在由设备经由无线电772或经由移动计算设备700和与移动计算设备700相关联的分离计算设备(例如诸如因特网的分布式计算网络中的服务器计算机)之间的有线连接可访问的任意数量的存储介质上。应当理解,这种数据/信息可以经由无线电772或经由分布式计算网络经由移动计算设备700访问。类似地,根据一个方面,根据众所周知的数据/信息传送和存储部件(包括电子邮件和协作数据/信息共享系统),这些数据/信息容易在计算设备之间传送以用于存储和使用。
例如,以上参照根据各方面的方法、系统和计算机程序产品的框图和/或操作说明来描述实现。框中记录的功能/动作可以不按如在任意流程图中所示的顺序发生。例如,取决于所涉及的功能/动作,连续示出的两个框实际上可以基本上同时执行,或者框有时可以以相反的顺序执行。
本申请中提供的一个或多个示例的描述和说明并不旨在以任意方式限制或约束要求保护的范围。本申请中提供的方面、示例和细节被认为足以传达所有权并使其他人能够制作和使用最佳模式。实现不应当被解释为限于本申请中提供的任意方面、示例或细节。无论是组合还是分离地示出和描述,各种特征(结构和方法两者)都旨在被选择性地包括或省略以产生具有特定特征集合的示例。在被提供有本申请的描述和说明之后,本领域技术人员可以想到落入本申请中实施的总体发明构思的更广泛方面的精神内的、不脱离该更宽泛的范围的变体、修改和备选示例。
Claims (15)
1.一种用于向远程或基于云的计算资源提供单点登录的计算机实现的方法,包括:
经由本地网络计算机请求对基于云的资源的访问;
将针对与基于云的目录服务系统相关联的服务票证的请求从所述本地网络计算机传递到本地目录服务系统,对所述基于云的资源的访问可以通过所述服务票证被准许;
将与所述基于云的目录服务系统相关联的所述服务票证从所述本地网络计算机传递到所述基于云的目录服务系统,以用于针对所请求的所述基于云的资源的访问验证与进行请求的所述本地网络计算机相关联的进行请求的用户;
从所述基于云的目录服务系统接收由所述基于云的目录服务系统对所述服务票证的验证,以用于针对所请求的所述基于云的资源的访问认证所述进行请求的用户;以及
在进行请求的所述本地网络计算机处接收对访问所请求的所述基于云的资源的授权。
2.根据权利要求1所述的计算机实现的方法,其中从所述基于云的目录服务系统接收由所述基于云的目录服务系统对所述服务票证的验证还包括:接收针对所述进行请求的用户的标识信息和授权信息,以用于接收对访问所请求的所述基于云的资源的授权。
3.根据权利要求1所述的计算机实现的方法,在将针对与所述基于云的目录服务系统相关联的服务票证的所述请求从所述本地网络计算机传递到本地目录服务系统之前,从所述基于云的目录服务系统接收认证错误。
4.根据权利要求1所述的计算机实现的方法,在经由本地网络计算机接收针对基于云的资源的访问的请求之前,在所述本地网络计算机处接收登录。
5.根据权利要求1所述的计算机实现的方法,其中将所述请求传递到基于云的目录服务系统包括:基于所述基于云的目录服务系统作为由进行请求的所述本地网络计算机经由所述本地网络可访问的本地设备、服务或资源的指定,将所述请求传递到所述基于云的目录服务系统。
6.根据权利要求5所述的计算机实现的方法,其中将所述请求传递到所述基于云的目录服务系统包括:将所述请求传递到基于云的认证端点。
7.根据权利要求6所述的计算机实现的方法,其中将所述服务票证传递到所述基于云的目录服务系统包括:将所述服务票证传递到所述基于云的认证端点。
8.根据权利要求7所述的计算机实现的方法,在经由所述本地网络计算机来接收针对基于云的资源的访问的请求之前,在所述本地目录服务系统中为所述基于云的认证端点创建计算机标识对象。
9.根据权利要求8所述的计算机实现的方法,在将所述服务票证传递到所述基于云的认证端点之前,向所述本地目录服务系统将所述基于云的认证端点注册为本地设备、服务或资源,以用于允许所述服务票证被传递到作为本地端点的所述基于云的认证端点。
10.根据权利要求9所述的计算机实现的方法,还包括:为所述基于云的认证端点创建用于将所述基于云的认证端点与所述本地目录服务系统相关联的专用标识符,以用于将所述本地目录服务系统和相关联的本地设备、服务或资源与所述基于云的认证端点进行链接。
11.根据权利要求9所述的计算机实现的方法,在向所述本地目录服务系统将所述基于云的认证端点注册为本地设备、服务或资源以用于允许所述服务票证被传递到作为本地端点的所述基于云的认证端点之前,还包括:将用于所述基于云的认证端点的安装数据从所述本地目录服务系统发送到所述基于云的目录服务系统,以用于在将所述基于云的认证端点与所述本地目录服务系统进行链接时使用。
12.一种用于向基于云的计算资源提供单点登录的计算机实现的方法,包括:
将基于云的认证端点注册为内联网寻址系统,以用于允许从请求对基于云的资源的访问的内联网设备对所述基于云的认证端点的访问;
在所述基于云的认证端点处接收来自所述内联网设备的、针对所述基于云的资源的访问的请求;
返回认证错误代码,所述认证错误代码指示所述请求不能被认证;
响应于所述认证错误代码,在所述基于云的认证端点处接收来自与所述内联网设备相关联的本地目录服务系统的服务票证;以及
在所述基于云的认证端点处,针对所述基于云的资源的访问,验证所接收的服务票证并且认证与进行请求的所述内联网设备相关联的进行请求的用户。
13.根据权利要求12所述的计算机实现的方法,其中针对所述基于云的资源的访问认证与进行请求的所述内联网设备相关联的用户包括:生成针对所述进行请求的用户的授权信息,以用于向由所述进行请求的用户对所请求的基于云的资源的访问提供授权。
14.根据权利要求12所述的计算机实现的方法,其中将基于云的认证端点注册为内联网寻址系统以用于允许从请求对基于云的资源的访问的内联网设备对所述基于云的认证端点的访问包括:将所述基于云的认证端点与所述本地目录服务系统进行链接,以用于允许所述基于云的认证端点从与所述内联网设备相关联的所述本地目录服务系统接收所述服务票证。
15.一种用于向远程计算资源提供单点登录的系统,包括:
一个或多个计算机处理器;
存储器,与所述一个或多个处理器可操作地相关联;以及
单点登录安装工具,可操作用于:
为远程认证端点创建计算机标识对象,认证可以比对所述计算机标识对象对于或者针对需要访问一个或多个远程资源的本地网络计算机被做出;
与本地目录服务系统相关联地为所述远程认证端点创建专用标识符,以用于与所述本地目录服务系统相关联地将所述远程认证端点与所述本地网络计算机进行链接,所述本地网络计算机在所述本地目录服务系统中操作;
将所述远程认证端点指定为由所述本地网络计算机经由所述本地目录服务系统可访问的本地寻址系统;
与本地网络计算机相关联的所述本地目录服务系统可操作用于生成认证服务票证并将所述认证服务票证发送到所述远程认证端点,以用于响应于对所述一个或多个远程资源的单点登录尝试来认证由进行请求的用户经由所述本地网络计算机对所述一个或多个远程资源的访问。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/939,811 | 2015-11-12 | ||
| US14/939,811 US10749854B2 (en) | 2015-11-12 | 2015-11-12 | Single sign-on identity management between local and remote systems |
| PCT/US2016/060746 WO2017083209A1 (en) | 2015-11-12 | 2016-11-06 | Single sign-on identity management between local and remote systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108293045A true CN108293045A (zh) | 2018-07-17 |
| CN108293045B CN108293045B (zh) | 2021-01-26 |
Family
ID=57321458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680066500.2A Active CN108293045B (zh) | 2015-11-12 | 2016-11-06 | 本地和远程系统之间的单点登录身份管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10749854B2 (zh) |
| EP (1) | EP3375161B1 (zh) |
| CN (1) | CN108293045B (zh) |
| WO (1) | WO2017083209A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112640383A (zh) * | 2018-08-30 | 2021-04-09 | 微软技术许可有限责任公司 | 安全的基于密码的单一登入 |
| CN113366811A (zh) * | 2019-01-11 | 2021-09-07 | 思杰系统有限公司 | 安全云计算 |
Families Citing this family (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10176335B2 (en) | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
| US10878079B2 (en) | 2016-05-11 | 2020-12-29 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
| US10454940B2 (en) | 2016-05-11 | 2019-10-22 | Oracle International Corporation | Identity cloud service authorization model |
| US10341410B2 (en) | 2016-05-11 | 2019-07-02 | Oracle International Corporation | Security tokens for a multi-tenant identity and data security management cloud service |
| US10425386B2 (en) | 2016-05-11 | 2019-09-24 | Oracle International Corporation | Policy enforcement point for a multi-tenant identity and data security management cloud service |
| US9838377B1 (en) | 2016-05-11 | 2017-12-05 | Oracle International Corporation | Task segregation in a multi-tenant identity and data security management cloud service |
| US9900302B2 (en) * | 2016-06-22 | 2018-02-20 | FinancialForce.com, Inc. | Seamless authentication for an application development platform |
| US10530578B2 (en) | 2016-08-05 | 2020-01-07 | Oracle International Corporation | Key store service |
| US10505941B2 (en) | 2016-08-05 | 2019-12-10 | Oracle International Corporation | Virtual directory system for LDAP to SCIM proxy service |
| US10585682B2 (en) | 2016-08-05 | 2020-03-10 | Oracle International Corporation | Tenant self-service troubleshooting for a multi-tenant identity and data security management cloud service |
| US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
| US10735394B2 (en) | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
| US10255061B2 (en) | 2016-08-05 | 2019-04-09 | Oracle International Corporation | Zero down time upgrade for a multi-tenant identity and data security management cloud service |
| US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
| US10594684B2 (en) * | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
| US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
| US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
| WO2018053258A1 (en) | 2016-09-16 | 2018-03-22 | Oracle International Corporation | Tenant and service management for a multi-tenant identity and data security management cloud service |
| US10567364B2 (en) | 2016-09-16 | 2020-02-18 | Oracle International Corporation | Preserving LDAP hierarchy in a SCIM directory using special marker groups |
| US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
| US10791087B2 (en) | 2016-09-16 | 2020-09-29 | Oracle International Corporation | SCIM to LDAP mapping using subtype attributes |
| US10341354B2 (en) | 2016-09-16 | 2019-07-02 | Oracle International Corporation | Distributed high availability agent architecture |
| US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
| US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
| US10542088B2 (en) | 2017-01-18 | 2020-01-21 | Microsoft Technology Licensing, Llc | Modifying data resources within party-partitioned storage areas |
| US10536465B2 (en) * | 2017-01-18 | 2020-01-14 | Microsoft Technology Licensing, Llc | Security for accessing stored resources |
| US10838819B2 (en) | 2017-01-18 | 2020-11-17 | Microsoft Technology Licensing, Llc | Including personal relationship metadata within duplicated resources shared across partitioned storage |
| US10454915B2 (en) | 2017-05-18 | 2019-10-22 | Oracle International Corporation | User authentication using kerberos with identity cloud service |
| US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
| US10587611B2 (en) | 2017-08-29 | 2020-03-10 | Microsoft Technology Licensing, Llc. | Detection of the network logon protocol used in pass-through authentication |
| US10348858B2 (en) | 2017-09-15 | 2019-07-09 | Oracle International Corporation | Dynamic message queues for a microservice based cloud service |
| US11238855B1 (en) * | 2017-09-26 | 2022-02-01 | Amazon Technologies, Inc. | Voice user interface entity resolution |
| US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
| US10834137B2 (en) | 2017-09-28 | 2020-11-10 | Oracle International Corporation | Rest-based declarative policy management |
| US11271969B2 (en) | 2017-09-28 | 2022-03-08 | Oracle International Corporation | Rest-based declarative policy management |
| US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
| US10778691B1 (en) * | 2017-12-07 | 2020-09-15 | Amazon Technologies, Inc. | Dynamic security policy consolidation |
| JP7106865B2 (ja) * | 2018-01-11 | 2022-07-27 | 富士フイルムビジネスイノベーション株式会社 | 情報処理システム、情報処理装置及びプログラム |
| US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
| US10848478B2 (en) * | 2018-02-21 | 2020-11-24 | JumpCloud, Inc. | Secure endpoint authentication credential control |
| US11700260B2 (en) * | 2018-04-27 | 2023-07-11 | Nelson A. Cicchitto | Method and apparatus for native authentication to cloud services with identity management of on-premise applications from the cloud |
| US10708270B2 (en) * | 2018-06-12 | 2020-07-07 | Sap Se | Mediated authentication and authorization for service consumption and billing |
| US11012444B2 (en) | 2018-06-25 | 2021-05-18 | Oracle International Corporation | Declarative third party identity provider integration for a multi-tenant identity cloud service |
| US10693968B2 (en) * | 2018-09-12 | 2020-06-23 | Pivotal Software, Inc. | Secure binding workflow |
| CN109286626B (zh) * | 2018-09-29 | 2021-06-11 | 张瑞 | 一种信息处理方法、本地设备、远程设备和信息处理系统 |
| US11693835B2 (en) | 2018-10-17 | 2023-07-04 | Oracle International Corporation | Dynamic database schema allocation on tenant onboarding for a multi-tenant identity cloud service |
| US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
| US11159511B1 (en) | 2019-01-10 | 2021-10-26 | Microstrategy Incorporated | Authentication protocol management |
| US11651357B2 (en) | 2019-02-01 | 2023-05-16 | Oracle International Corporation | Multifactor authentication without a user footprint |
| US11061929B2 (en) | 2019-02-08 | 2021-07-13 | Oracle International Corporation | Replication of resource type and schema metadata for a multi-tenant identity cloud service |
| US11477185B2 (en) * | 2019-02-15 | 2022-10-18 | Xiid Corporation | Method and system for single sign-on authentication |
| US11321343B2 (en) | 2019-02-19 | 2022-05-03 | Oracle International Corporation | Tenant replication bootstrap for a multi-tenant identity cloud service |
| US11669321B2 (en) | 2019-02-20 | 2023-06-06 | Oracle International Corporation | Automated database upgrade for a multi-tenant identity cloud service |
| US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
| US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
| US10498583B1 (en) * | 2019-03-04 | 2019-12-03 | FullArmor Corporation | Active directory bridging of external network resources |
| US11468896B2 (en) * | 2019-06-12 | 2022-10-11 | Nvoq Incorporated | Systems, methods, and apparatus for real-time dictation and transcription with multiple remote endpoints |
| US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
| US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
| US11611548B2 (en) | 2019-11-22 | 2023-03-21 | Oracle International Corporation | Bulk multifactor authentication enrollment |
| US11366891B2 (en) * | 2019-11-25 | 2022-06-21 | Jpmorgan Chase Bank, N.A. | Method and system for facilitating an identification of an application |
| US11539787B2 (en) | 2020-04-30 | 2022-12-27 | T-Mobile Usa, Inc. | 5G enabled massively distributed on-demand personal cloud system and method |
| US11418587B2 (en) | 2020-04-30 | 2022-08-16 | T-Mobile Usa, Inc. | 5G on-demand dynamically instantiated blockchain for highly distributed peer-to-peer consumer cloud |
| CN111651739B (zh) * | 2020-05-08 | 2024-05-14 | 腾讯科技(深圳)有限公司 | 登录认证服务系统及方法、认证服务节点、电子设备 |
| CN111651747B (zh) * | 2020-05-11 | 2024-05-24 | 腾讯科技(深圳)有限公司 | 登录票据同步系统及方法、相关设备 |
| KR20220115346A (ko) * | 2021-02-10 | 2022-08-17 | 삼성전자주식회사 | 전자 장치 및 엣지 컴퓨팅 네트워크에서 프로비저닝 장치를 결정하는 방법 |
| US11593472B2 (en) * | 2021-03-25 | 2023-02-28 | Dell Products, L.P. | Systems and methods for consolidated authentication for modern workspaces |
| US20230127695A1 (en) * | 2021-10-27 | 2023-04-27 | Microsoft Technology Licensing, Llc | Cloud service artifact tokens |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6754696B1 (en) * | 1999-03-25 | 2004-06-22 | Micosoft Corporation | Extended file system |
| US20120096271A1 (en) * | 2010-10-15 | 2012-04-19 | Microsoft Corporation | Remote Access to Hosted Virtual Machines By Enterprise Users |
| CN102970292A (zh) * | 2012-11-20 | 2013-03-13 | 无锡成电科大科技发展有限公司 | 一种基于云管理和密钥管理的单点登录系统及方法 |
| WO2013071087A1 (en) * | 2011-11-09 | 2013-05-16 | Unisys Corporation | Single sign on for cloud |
| CN103930897A (zh) * | 2011-09-29 | 2014-07-16 | 甲骨文国际公司 | 移动应用、单点登录管理 |
| CN104205723A (zh) * | 2012-03-20 | 2014-12-10 | 微软公司 | 用于透明地主存在云中的组织的身份服务 |
| US20140373126A1 (en) * | 2013-06-14 | 2014-12-18 | Microsoft Corporation | User authentication in a cloud environment |
| CN104410604A (zh) * | 2014-10-28 | 2015-03-11 | 国云科技股份有限公司 | 实现大规模用户同时登录的SaaS服务系统及其方法 |
| CN104468587A (zh) * | 2014-12-11 | 2015-03-25 | 中标软件有限公司 | 一种云计算环境下的虚拟机单点登录方法和系统 |
| WO2015116609A1 (en) * | 2014-01-31 | 2015-08-06 | Microsoft Technology Licensing, Llc | Tenant based signature validation |
| CN105052105A (zh) * | 2012-11-01 | 2015-11-11 | 微软技术许可有限责任公司 | 为不同服务器间的单一登录使用x.509验证 |
Family Cites Families (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7421083B2 (en) * | 2001-04-05 | 2008-09-02 | General Instrument Corporation | System for seamlessly updating service keys with automatic recovery |
| US7000006B1 (en) | 2001-05-31 | 2006-02-14 | Cisco Technology, Inc. | Implementing network management policies using topology reduction |
| US7185359B2 (en) * | 2001-12-21 | 2007-02-27 | Microsoft Corporation | Authentication and authorization across autonomous network systems |
| GB2401509B (en) | 2002-02-28 | 2006-02-01 | Ericsson Telefon Ab L M | System,method and apparatus for federated single sign-on services |
| US7221935B2 (en) | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US20040128542A1 (en) | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
| JP4617763B2 (ja) | 2003-09-03 | 2011-01-26 | ソニー株式会社 | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム |
| US8522039B2 (en) | 2004-06-09 | 2013-08-27 | Apple Inc. | Method and apparatus for establishing a federated identity using a personal wireless device |
| US7711835B2 (en) * | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
| US7631346B2 (en) | 2005-04-01 | 2009-12-08 | International Business Machines Corporation | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment |
| US8131825B2 (en) * | 2005-10-07 | 2012-03-06 | Citrix Systems, Inc. | Method and a system for responding locally to requests for file metadata associated with files stored remotely |
| US7761911B2 (en) | 2005-11-21 | 2010-07-20 | Oracle International Corporation | Method and apparatus for facilitating single sign-on |
| KR101302889B1 (ko) | 2006-08-22 | 2013-09-06 | 인터디지탈 테크날러지 코포레이션 | 애플리케이션 및 인터넷 기반 서비스들에 신뢰성있는 싱글 사인온 액세스를 제공하는 방법 및 장치 |
| US20090178131A1 (en) | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
| US9063993B2 (en) | 2008-01-31 | 2015-06-23 | Microsoft Technology Licensing, Llc | Coexistence tools for synchronizing properties between on-premises customer locations and remote hosting services |
| US8418222B2 (en) * | 2008-03-05 | 2013-04-09 | Microsoft Corporation | Flexible scalable application authorization for cloud computing environments |
| US8196175B2 (en) * | 2008-03-05 | 2012-06-05 | Microsoft Corporation | Self-describing authorization policy for accessing cloud-based resources |
| WO2010093683A2 (en) | 2009-02-10 | 2010-08-19 | Uniloc Usa, Inc. | Web content access using a client device identifier |
| US8566917B2 (en) | 2010-03-19 | 2013-10-22 | Salesforce.Com, Inc. | Efficient single sign-on and identity provider configuration and deployment in a database system |
| US9461996B2 (en) | 2010-05-07 | 2016-10-04 | Citrix Systems, Inc. | Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application |
| US9282097B2 (en) | 2010-05-07 | 2016-03-08 | Citrix Systems, Inc. | Systems and methods for providing single sign on access to enterprise SAAS and cloud hosted applications |
| US8370905B2 (en) | 2010-05-11 | 2013-02-05 | Microsoft Corporation | Domain access system |
| US8997196B2 (en) | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
| US9560036B2 (en) | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
| US8826451B2 (en) | 2010-08-16 | 2014-09-02 | Salesforce.Com, Inc. | Mechanism for facilitating communication authentication between cloud applications and on-premise applications |
| JP4892093B1 (ja) | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
| KR20120053369A (ko) | 2010-11-17 | 2012-05-25 | 한국전자통신연구원 | 동기화 장치 및 방법 |
| US9596122B2 (en) | 2010-12-03 | 2017-03-14 | International Business Machines Corporation | Identity provider discovery service using a publish-subscribe model |
| US20120179909A1 (en) | 2011-01-06 | 2012-07-12 | Pitney Bowes Inc. | Systems and methods for providing individual electronic document secure storage, retrieval and use |
| US9497184B2 (en) | 2011-03-28 | 2016-11-15 | International Business Machines Corporation | User impersonation/delegation in a token-based authentication system |
| CN102739603B (zh) | 2011-03-31 | 2015-10-21 | 国际商业机器公司 | 单点登录的方法和设备 |
| US8769622B2 (en) | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
| US8819801B2 (en) | 2011-10-31 | 2014-08-26 | Microsoft Corporation | Secure machine enrollment in multi-tenant subscription environment |
| US20140013409A1 (en) * | 2012-07-06 | 2014-01-09 | Milind I. Halageri | Single sign on for cloud |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| US9838370B2 (en) | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
| US8850546B1 (en) | 2012-09-30 | 2014-09-30 | Emc Corporation | Privacy-preserving user attribute release and session management |
| US20140101310A1 (en) * | 2012-10-04 | 2014-04-10 | Box, Inc. | Seamless access, editing, and creation of files in a web interface or mobile interface to a collaborative cloud platform |
| US9225707B1 (en) * | 2013-12-31 | 2015-12-29 | Google Inc. | Cloud computing and integrated cloud drive |
| US9509694B2 (en) | 2013-12-31 | 2016-11-29 | EMC IP Holding Company LLC | Parallel on-premises and cloud-based authentication |
| US20160014077A1 (en) * | 2014-07-10 | 2016-01-14 | Aorato Ltd. | System, Method and Process for Mitigating Advanced and Targeted Attacks with Authentication Error Injection |
| US9544311B2 (en) * | 2014-11-14 | 2017-01-10 | Sap Se | Secure identity propagation in a cloud-based computing environment |
| US9986033B2 (en) * | 2015-03-17 | 2018-05-29 | Panzura, Inc. | Facilitating access to remote cloud services |
| US10116658B2 (en) * | 2015-04-29 | 2018-10-30 | Cyberark Software Ltd. | Privileged access to target services |
| US10382446B2 (en) * | 2015-05-28 | 2019-08-13 | Cameyo Inc. | Computerized system, method and computer program product, for managing a computer program's operations |
| US9641530B2 (en) * | 2015-06-02 | 2017-05-02 | JumpCloud, Inc. | Integrated hosted directory |
| US9450944B1 (en) * | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US9762563B2 (en) * | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US10643160B2 (en) * | 2016-01-16 | 2020-05-05 | International Business Machines Corporation | Order optimization in hybrid cloud networks |
| WO2018004600A1 (en) * | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
| US11429633B2 (en) * | 2017-06-07 | 2022-08-30 | Citrix Systems, Inc. | Data processing system with synchronization of local directory information to cloud system |
-
2015
- 2015-11-12 US US14/939,811 patent/US10749854B2/en active Active
-
2016
- 2016-11-06 CN CN201680066500.2A patent/CN108293045B/zh active Active
- 2016-11-06 WO PCT/US2016/060746 patent/WO2017083209A1/en active Application Filing
- 2016-11-06 EP EP16795524.4A patent/EP3375161B1/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6754696B1 (en) * | 1999-03-25 | 2004-06-22 | Micosoft Corporation | Extended file system |
| US20120096271A1 (en) * | 2010-10-15 | 2012-04-19 | Microsoft Corporation | Remote Access to Hosted Virtual Machines By Enterprise Users |
| CN103930897A (zh) * | 2011-09-29 | 2014-07-16 | 甲骨文国际公司 | 移动应用、单点登录管理 |
| WO2013071087A1 (en) * | 2011-11-09 | 2013-05-16 | Unisys Corporation | Single sign on for cloud |
| CN104205723A (zh) * | 2012-03-20 | 2014-12-10 | 微软公司 | 用于透明地主存在云中的组织的身份服务 |
| CN105052105A (zh) * | 2012-11-01 | 2015-11-11 | 微软技术许可有限责任公司 | 为不同服务器间的单一登录使用x.509验证 |
| CN102970292A (zh) * | 2012-11-20 | 2013-03-13 | 无锡成电科大科技发展有限公司 | 一种基于云管理和密钥管理的单点登录系统及方法 |
| US20140373126A1 (en) * | 2013-06-14 | 2014-12-18 | Microsoft Corporation | User authentication in a cloud environment |
| WO2015116609A1 (en) * | 2014-01-31 | 2015-08-06 | Microsoft Technology Licensing, Llc | Tenant based signature validation |
| CN104410604A (zh) * | 2014-10-28 | 2015-03-11 | 国云科技股份有限公司 | 实现大规模用户同时登录的SaaS服务系统及其方法 |
| CN104468587A (zh) * | 2014-12-11 | 2015-03-25 | 中标软件有限公司 | 一种云计算环境下的虚拟机单点登录方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| WEIXIN_34240520: ""windows azure 联合身份验证服务配置(SSO)"", 《HTTPS://BLOG.CSDN.NET/WEIXIN_34240520/ARTICLE/DETAILS/92322610》 * |
| YOUTUBE: ""WindowsAzureAD:"Windows Azure Active"", 《HTTPS://WWW.YOUTUBE.COM/WATCH?V=DIVVH3SHVG8 》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112640383A (zh) * | 2018-08-30 | 2021-04-09 | 微软技术许可有限责任公司 | 安全的基于密码的单一登入 |
| CN112640383B (zh) * | 2018-08-30 | 2023-06-06 | 微软技术许可有限责任公司 | 安全的基于密码的单一登入的系统、方法和设备 |
| CN113366811A (zh) * | 2019-01-11 | 2021-09-07 | 思杰系统有限公司 | 安全云计算 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017083209A1 (en) | 2017-05-18 |
| CN108293045B (zh) | 2021-01-26 |
| EP3375161B1 (en) | 2019-12-25 |
| US20170142094A1 (en) | 2017-05-18 |
| US10749854B2 (en) | 2020-08-18 |
| EP3375161A1 (en) | 2018-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108293045A (zh) | 本地和远程系统之间的单点登录身份管理 | |
| US11750609B2 (en) | Dynamic computing resource access authorization | |
| US20190173745A1 (en) | Proximity and Context Aware Mobile Workspaces in Enterprise Systems | |
| Gopalakrishnan | Cloud computing identity management | |
| CN109074274A (zh) | 虚拟浏览器集成 | |
| US10635828B2 (en) | Tokenized links with granular permissions | |
| CN109691057A (zh) | 经由私人内容分发网络可交换地取回敏感内容 | |
| CN105247526A (zh) | 提供企业应用商店 | |
| US11456872B2 (en) | Offline protection of secrets | |
| US11803816B2 (en) | Workflow service email integration | |
| WO2016191376A1 (en) | Initial provisioning through shared proofs of knowledge and crowdsourced identification | |
| CN110247758A (zh) | 密码管理的方法、装置及密码管理器 | |
| WO2018022387A1 (en) | Bulk joining of computing devices to an identity service | |
| EP2795522B1 (en) | Techniques to store secret information for global data centers | |
| US20220286435A1 (en) | Dynamic variance mechanism for securing enterprise resources using a virtual private network | |
| CN105052105A (zh) | 为不同服务器间的单一登录使用x.509验证 | |
| Buecker et al. | Enterprise Single Sign-On Design Guide Using IBM Security Access Manager for Enterprise Single Sign-On 8.2 | |
| TWI768307B (zh) | 開源軟體整合方法 | |
| Hicks et al. | Enable Two-Factor Authentication | |
| Behan | Open Personal Identity as a Service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |