CN110546935B - 用于组织用户的个人标识符登录 - Google Patents

用于组织用户的个人标识符登录 Download PDF

Info

Publication number
CN110546935B
CN110546935B CN201880025717.8A CN201880025717A CN110546935B CN 110546935 B CN110546935 B CN 110546935B CN 201880025717 A CN201880025717 A CN 201880025717A CN 110546935 B CN110546935 B CN 110546935B
Authority
CN
China
Prior art keywords
user
tenant
personal identifier
tenants
receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880025717.8A
Other languages
English (en)
Other versions
CN110546935A (zh
Inventor
A·戈登
S·C·苏布拉马尼亚姆
B·文森特
P·加纳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN110546935A publication Critical patent/CN110546935A/zh
Application granted granted Critical
Publication of CN110546935B publication Critical patent/CN110546935B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

提供了一种计算系统执行的方法和系统,用于使用经由支持多个租户的登录门户输入的个人标识符来进行登录。系统接收包括个人标识符的用户的登录请求。个人标识符唯一地标识个人,但是不包括租户的标识。系统基于个人标识符执行验证以认证用户。系统从映射中标识个人标识符被映射到的租户。映射将用户的个人标识符映射到租户。系统从租户的用户存储库中取回与用户相关的用户信息。然后,系统基于用户信息创建安全令牌。如果用户的验证成功,则系统将安全令牌发送到登录门户作为用户已经被认证的证据。

Description

用于组织用户的个人标识符登录
背景技术
很多应用(或更普遍的是服务)维持用户的帐户。对于每个帐户,服务通常保持单独的一组信息。例如,电子邮件服务存储使用每个帐户发送和接收的电子邮件。在为用户创建帐户时,用户提供凭证,诸如用户主体名称(例如,电子邮件地址)和密码。用户主体名称(“UPN”)通常唯一地标识帐户,并且当用户稍后登录帐户时,密码用于来认证用户。
很多服务采用身份提供者服务来执行用户认证。在创建帐户之后,服务将用户定向到身份提供者服务以输入其帐户的UPN和密码。身份提供者服务维持服务的用户凭证的数据库或用户存储库。当用户随后想要访问帐户时,服务将用户定向到身份提供者服务。用户将凭证提供给身份提供者服务。身份提供者服务根据数据库中的凭证来验证凭证。如果凭证通过验证,则身份提供者服务向服务提供账户的安全令牌(例如,间接地经由用户的设备)。安全令牌由身份提供者服务签名,并且证明用户已经通过认证以便为帐户提供适当凭证。服务可以检查安全令牌的签名以确定它是由身份提供者服务签名的,并且可以检查安全令牌的内容以确认用户已经通过认证。然后,服务允许用户访问帐户。
在云数据中心中,可以托管很多不同组织的服务。这样的组织称为云数据中心的租户。示例租户可以是具有零售商店的家装公司。云数据中心可以为家装公司托管库存应用以供其零售雇员经由商店内的自助服务终端(例如,具有互联网访问权限的计算机)访问库存信息。为了访问库存应用,雇员需要登录到库存应用。在某些情况下,租户将登录过程委托给云数据中心的登录门户。当使用登录门户时,需要为需要访问库存应用的每个雇员利用登录门户创建帐户。帐户的用户主体名称可以是电子邮件地址,诸如“john.doe@hic.com”,其中“hic.com”是家装公司的域名。登录门户可以将认证委托给身份提供者服务。因此,当雇员请求登录时,请求被重定向到身份提供者服务。身份提供者服务可以从域名中标识租户,并且访问用户存储库以供家装公司基于凭证来对雇员进行认证。然后,身份提供者将雇员的安全令牌发送到登录门户以由库存应用用作雇员已经通过认证的证据。
在某些情况下,使用诸如UPN和密码等凭证会带来困难。例如,在春季,家装公司可能会雇用很多季节性工人。尽管可以为每个季节性工人创建具有UPN和密码的帐户,但是这样的工人通常很难记住其凭证。作为另一示例,在某些组织中,很多雇员可能被视为“无办公桌”工人。无办公桌工人是没有带计算机的办公桌的工人,诸如建筑工人、服务员等。这些无办公桌工人可能仍然需要访问组织的某些应用,诸如计划或薪资应用。这些无办公桌工人可能很少访问其帐户,以致于他们可能难以记住其凭证。当工人忘记其凭证时,可能会导致客户不满意、生产力下降、收入下降,等等。
发明内容
提供了一种由计算系统执行的方法和系统,用于使用经由支持多个租户的登录门户输入的个人标识符(例如,电话号码)来进行登录。系统接收包括个人标识符的用户的登录请求。个人标识符唯一地标识个人,但是不包括租户的标识。系统基于个人标识符执行验证以认证用户。系统从映射标识出个人标识符被映射到的租户。映射将用户的个人标识符映射到租户。系统从租户的用户存储库中取回与用户相关的用户信息。然后,系统基于用户信息创建安全令牌。如果用户的验证成功,则该系统将安全令牌发送到登录门户作为用户已经通过认证的证据。
提供本发明内容以便以简化的形式介绍一些概念,这些概念将在下面的具体实施方式中进一步描述。本发明内容既不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
附图说明
图1示出了一些实施例中的PI-IP系统的用户体验元素。
图2是示出一些实施例中的PI-IP系统的组件的框图。
图3是示出一些实施例中的添加电话号码认证组件的处理的流程图。
图4是示出一些实施例中的PI-IP系统的认证组件的处理的流程图。
图5是示出一些实施例中的PI-IP系统的电话号码认证组件的处理的流程图。
具体实施方式
提供了一种用于基于每个人唯一的并且与租户无关的个人标识符来认证用户的方法和系统。例如,电话号码是唯一地标识拥有该号码的电话的某个人的个人标识符。另外,个人电子邮件地址是在知道电子邮件帐户的凭证的情况下唯一地标识个人的个人标识符。电话号码和个人电子邮件地址也与租户无关,因为它们本身不能唯一地标识租户,这与具有可以唯一地标识租户的域名的公司电子邮件地址相反。
在一些实施例中,个人标识符身份提供者(“PI-IP”)系统或服务允许用户使用其个人标识符而不是使用与其帐户相关联的凭证(诸如UPN和密码)来登录租户的帐户。PI-IP系统可以提供一特征,用户可以通过该特征来将其个人标识符与其帐户相关联。例如,当向季节性工人提供其UPN和密码时,工人可以访问PI-IP系统的管理特征以将其手机号码与其帐户相关联。PI-IP系统可以维持每个电话号码到与该电话号码相关联的租户的映射。例如,当咖啡店和餐厅都是租户时,在咖啡店和餐厅兼职的工人可以将其电话号码与咖啡店的帐户以及餐厅的帐户相关联。
当用户请求经由登录门户登录时,登录门户可以将请求重定向到PI-IP系统。在接收到登录请求时,PI-IP系统向用户的设备发送登录用户体验元素(例如,对话框),这可以提示用户输入其凭证或电话号码。如果用户输入其凭证,则PI-IP系统可以使用常规技术来认证用户。但是,如果用户输入其电话号码,则PI-IP系统将使用基于电话的认证来认证用户。
在一些实施例中,为了执行基于电话的认证,PI-IP系统使用电话号码来执行基于电话的验证以认证用户。例如,PI-IP可以经由被寻址到电话号码的消息服务(诸如经由短消息服务或语音呼叫)发送验证码,并且将验证用户体验元素发送到用户通过其输入电话号码的设备。在接收到验证码之后,用户经由验证用户体验元素输入验证码以将验证码发送到PI-IP系统。如果所接收的验证码与所发送的验证码相匹配,则PI-IP系统已经将用户认证为拥有电话。然后,PI-IP系统可以通过检查电话号码到租户的映射来确定用户是否拥有租户的帐户。如果电话号码与租户相关联,则PI-IP系统从租户的用户存储库中取回帐户的用户信息。PI-IP系统然后可以生成安全令牌并且将其发送到登录门户(例如,经由设备,其将安全令牌重定向到登录门户)。然后,登录门户可以基于由安全令牌提供的认证来完成用户的登录。
在一些实施例中,如果电话号码与多个租户相关联,则PI-IP系统可以向用户发送列出租户并且请求用户选择租户的租户选择用户体验元素。然后,用户可以选择用户想要登录的租户(例如,咖啡店或餐馆)。为了帮助保护用户的隐私,在使用基于电话的验证对用户进行验证之前,PI-IP系统不会发送选择用户体验元素。如果PI-IP系统要在基于电话的验证之前发送租户选择用户体验元素,则拥有电话号码的任何人都可以确定用户拥有其帐户的租户,这可能会带来隐私问题。
尽管主要在使用电话号码作为个人标识符的上下文中描述了PI-IP系统,但是也可以使用其他个人标识符。例如,个人标识符可以是个人电子邮件地址、政府发放的标识符(例如,电子标识符、社会保险号码、护照号码或驾驶执照号码)、用户创建的唯一标识符等。优选地,个人标识符易于用户记住。在接收到个人标识符之后,PI-IP系统可以访问租户的用户存储库以标识用于发送与电话号码相关联的帐户的验证码的模式。例如,该模式可以是用于经由短消息服务或语音呼叫发送验证码的电子邮件地址或发送验证码的电话号码。
图1示出了一些实施例中的PI-IP系统的用户体验元素。用户体验元素110被发送到用户的设备以用于凭证的输入。用户体验元素110包括用户输入字段111、密码输入字段112、组织输入字段113和提交按钮119。用户体验元素110允许用户通过在用户输入字段中输入UPN并且在密码输入字段中输入密码或者在用户输入字段中输入电话号码(而无需输入密码)来登录。如果用户具有多个租户的账户,则用户体验元素110允许用户还经由组织输入字段来指定组织或租户。然后,用户选择提交按钮以提交登录信息。
用户体验元素120被发送到用户的设备以用于凭证的输入,并且提供用户体验元素110的简化版本。用户体验元素120包括用户输入字段121、密码输入字段122和提交按钮129。用户体验元素120允许用户使用UPN和密码或电话号码来登录。用户体验元素120不允许用户还指定组织或租户。因此,如果用户拥有多个租户的帐户,则PI-IP系统将在基于电话的验证之后请求用户选择租户。然后,用户选择提交按钮以提交登录信息。
用户体验元素130被发送到用户的设备以用于验证码的输入。用户体验元素130包括验证码输入字段131和提交按钮139。在接收到验证码时,用户将验证码输入到验证码输入字段并且选择提交按钮。
图2是示出一些实施例中的PI-IP系统的组件的框图。云数据中心可以包括PI-IP系统210、登录服务220、和被托管在云数据中心的服务器上的各种租户230。云数据中心可以经由通信信道260连接到客户端计算机240。PI-IP系统还可以连接到用于向诸如电话250等电话发送短消息服务消息的服务(未示出)。PI-IP系统包括添加电话号码认证组件211、认证组件212、电话号码认证组件213和UPN认证组件214。PI-IP系统还可以包括电话号码到租户映射存储库215,并且对于每个租户包括用户存储库216。添加电话号码认证组件协调电话号码与租户的帐户的关联。认证组件执行用户的认证,并且根据用户提供电话号码还是UPN和密码来调用电话号码认证组件或UPN认证组件。电话号码到租户映射存储库可以将每个电话号码映射到帐户和租户的UPN,或者简单地映射到租户。如果仅映射到租户,则PI-IP系统可能需要在用户存储库中搜索与电话号码相关联的租户的帐户。为了加快处理速度,用户存储库可以维持将电话号码映射到帐户的索引。或者,PI-IP系统可以不使用电话号码到租户映射存储库。在这种情况下,PI-IP系统将需要在用户存储库中搜索与电话号码相关联的帐户。通信信道可以是诸如因特网等网络。
由PI-IP系统使用的计算系统(也称为计算机系统)可以包括中央处理单元、输入设备、输出设备(例如,显示设备和扬声器)、存储设备(例如,存储器和磁盘驱动器)、网络接口、图形处理单元、加速计、蜂窝无线链路接口、全球定位系统设备等。计算系统可以包括多个设备,诸如数据中心的服务器、大规模并行系统等。计算系统可以访问计算机可读介质,其包括计算机可读存储介质和数据传输介质。计算机可读存储介质是有形存储装置,其不包括暂态传播信号。计算机可读存储介质的示例包括诸如主存储器、高速缓冲存储器和辅助存储器(例如,DVD)等存储器以及其他存储装置。计算机可读存储介质上可以记录有或者可以编码有用于实现PI-IP系统的计算机可执行指令或逻辑。数据传输介质用于经由有线或无线连接经由暂态传播信号或载波(例如,电磁)来传输数据。
可以在由一个或多个计算机、处理器或其他设备执行的计算机可执行指令(诸如程序模块和组件)的一般上下文中描述PI-IP系统。通常,程序模块或组件包括执行任务或实现数据类型的例程、程序、对象、数据结构等。通常,在各种实施例中,程序模块的功能可以根据需要进行组合或分布。PI-IP系统的各方面可以使用例如专用集成电路(ASIC)以硬件来实现。
图3是示出一些实施例中的添加电话号码认证组件的处理的流程图。在用户登录到帐户之后,当用户请求时,添加电话号码认证组件300被调用以将电话号码与租户帐户相关联。在框301中,组件将电话号码输入用户体验元素发送到用户的设备以用于电话号码的输入。在框302中,组件接收电话号码。在框303中,组件将验证码发送到电话号码。在框304中,组件接收经由用户体验元素输入的验证码。在判定框305中,如果所发送的验证码与所接收的验证码相匹配,则该组件在框306处继续,否则该组件完成。在框306中,组件添加电话号码到帐户的映射,并且然后完成。
图4是示出一些实施例中的PI-IP系统的认证组件的处理的流程图。当PI-IP系统从登录门户接收到认证请求时,认证组件400被调用。在框401中,组件接收认证请求。在框402中,组件发送登录用户体验元素以供用户输入其凭证或电话号码。在框403中,组件接收登录响应。在判定框404中,如果登录响应包括电话号码,则组件在框405继续,否则组件在框406处继续。在框405中,组件调用电话号码认证组件以认证电话号码,并且完成。在框406中,该组件调用UPN认证组件以执行传统认证,并且然后完成。
图5是示出一些实施例中的PI-IP系统的电话号码认证组件的处理的流程图。当用户请求使用电话号码进行认证时,电话号码认证组件500被调用。在框501中,组件执行基于电话的验证以验证用户拥有电话。在判定框502中,如果验证用户拥有电话,则组件在框503处继续,否则组件循环到框501以重试该验证。在判定框503中,如果电话号码在电话号码到租户映射中,则组件在框505处继续,否则该组件在框504处继续。在框504中,组件向用户发送错误消息,并且然后完成。在判定框505中,如果电话号码与多个租户相关联,如电话号码到租户映射存储库所指示的,则组件在框506处继续,否则该组件在框508处继续。在框506中,组件向用户的设备发送请求用户选择多个租户之一的多租户用户体验元素。在框507中,组件接收标识租户的多租户响应。在框508中,组件从用户存储库中取回与电话号码相关联的租户的用户信息。在框509中,组件为与帐户相关联的用户生成安全令牌。在框510中,组件将安全令牌发送到登录门户以完成用户的登录,并且然后完成。
以下段落描述PI-IP系统的各方面的各个实施例。PI-IP系统的实现可以采用实施例的任何组合。以下描述的处理可以由具有处理器的计算设备执行,处理器执行被存储在计算机可读存储介质上的实现PI-IP系统的计算机可执行指令。
提供了一种由计算系统执行的方法。该方法接收用户的登录请求。登录请求包括个人标识符,其中个人标识符唯一地标识个人。该方法基于个人标识符执行验证以认证用户。该方法从映射中标识个人标识符被映射到的租户,其中映射将用户的个人标识符映射到租户。该方法从租户的用户存储库中取回与该用户有关的用户信息。该方法基于用户信息创建安全令牌。在用户的成功验证之后,该方法将发送安全令牌作为用户已经通过认证的证据。在一些实施例中,当个人标识符被映射到多个租户时,该方法从用户接收对用户要被认证所针对的租户的选择。在一些实施例中,个人标识符是电话号码。在一些实施例中,验证的执行包括发送被寻址到电话号码的验证码。在一些实施例中,验证码是经由短消息服务消息发送的。在一些实施例中,验证码是经由电话呼叫发送的。在一些实施例中,个人标识符是政府发放的标识符。在一些实施例中,验证包括向与个人标识符相关联的地址发送电子消息。在一些实施例中,用户的个人标识符到租户的映射被存储为该租户的用户存储库的一部分。在一些实施例中,个人标识符被映射到的租户的标识包括访问租户的用户存储库以确定个人标识符被映射到的租户。
在一些实施例中,提供了一种计算系统,其包括一个或多个计算机可读存储介质和用于执行被存储在一个或多个计算机可读存储介质中的计算机可执行指令的一个或多个处理器。该存储介质存储个人标识符到租户的映射,每个个人标识符唯一地标识个人。该存储介质存储在被执行时控制计算系统接收用户的登录请求的计算机可执行指令,该登录请求包括个人标识符。这些指令还控制计算系统经由与个人标识符相关联的服务向用户发送验证请求。这些指令还控制计算系统从映射中标识个人标识符被映射到的租户。这些指令还控制计算系统从租户的用户存储库中取回与用户有关的用户信息。这些指令还控制计算系统在接收到对验证用户的验证请求的响应之后,发送安全令牌作为用户已经通过认证的证据。在一些实施例中,计算机可执行指令在被执行时还控制计算系统:当个人标识符被映射到多个租户时,并且在接收到对验证用户的验证请求的响应之后,从用户接收对要针对其来认证用户的租户的选择。在一些实施例中,计算机可执行指令在被执行时还控制计算系统:当个人标识符被映射到多个租户时,并且在接收到对验证用户的验证请求的响应之后,向用户发送选择多个租户之一的请求。在一些实施例中,个人标识符到租户的映射被存储为租户的用户存储库的一部分。在一些实施例中,标识个人标识符被映射到的租户的计算机可执行指令访问租户的用户存储库以确定个人标识符被映射到的租户。在一些实施例中,计算机可执行指令在被执行时还控制计算系统基于用户信息来创建安全令牌。
在一些实施例中,提供了一个或多个存储计算机可执行指令的计算机可读存储介质。计算机可执行指令包括用于接收用户的登录请求的指令,登录请求包括电话号码。计算机可执行指令包括用于经由与电话号码相关联的消息服务发送验证请求的指令。计算机可执行指令包括用于从电话号码到租户的映射标识电话号码被映射到的租户的指令。计算机可执行指令包括用于从租户的用户存储库取回与用户有关的用户信息的指令。计算机可执行指令包括用于进行以下操作的指令:在接收到对验证用户的验证请求的响应之后,向租户的服务发送安全令牌作为用户已经通过认证的证据。在一些实施例中,计算机可执行指令还包括用于进行以下操作的指令:当电话号码被映射到多个租户时,并且在接收到对验证用户的验证请求的响应之后,从用户接收对要针对其来认证用户的租户的选择。在一些实施例中,计算机可执行指令还包括用于进行以下操作的指令:当电话号码被映射到多个租户时,并且在接收到对验证用户的验证请求的响应之后,向用户发送选择多个租户之一的请求。在一些实施例中,用于标识电话号码被映射到的租户的指令包括用于访问租户的用户存储库以确定电话号码被映射到的租户的指令。
在一些实施例中,提供了存储计算机可执行指令的一个或多个计算机可读存储介质。计算机可执行指令包括用于接收用户的登录请求的指令,登录请求包括个人电子邮件地址。计算机可执行指令包括用于发送被寻址到个人电子邮件地址的验证请求的指令。计算机可执行指令包括用于从个人电子邮件地址到租户的映射标识个人电子邮件地址被映射到的租户的指令。计算机可执行指令包括用于从租户的用户存储库中取回与用户相关的用户信息的指令。计算机可执行指令包括用于进行以下操作的指令:在接收到对验证用户的验证请求的响应之后,向租户的服务发送安全令牌作为用户已经通过认证的证据。
尽管已经用特定于结构特征和/或动作的语言描述了主题,但是应当理解,所附权利要求书中定义的主题不必限于上述特定特征或动作。相反,上述特定特征和动作被公开作为实现权利要求的示例形式。因此,本发明除了所附权利要求书之外不受限制。

Claims (18)

1.一种由计算系统执行的方法,所述方法包括:
接收针对用户访问被托管在云数据中心上的服务的登录请求,所述登录请求包括个人标识符,其中所述个人标识符唯一地标识个人而不具有用户名称,并且所述个人标识符是租户无关的;
基于所述个人标识符来执行验证以认证所述用户;
将所述个人标识符映射到由所述云数据中心托管的多个租户;
从所述用户接收对所述多个租户中的、所述用户要被认证所针对的所选租户的选择;
从所述所选租户的数据取回与所述用户有关的用户信息;
基于所述用户信息来创建安全令牌;以及
在对所述用户的成功验证之后,发送所述安全令牌作为所述用户已经被认证的证据。
2.根据权利要求1所述的方法,其中所述个人标识符是电话号码。
3.根据权利要求2所述的方法,还包括:发送被寻址到所述电话号码的验证码以验证所述用户。
4.根据权利要求3所述的方法,其中所述验证码经由短消息服务消息被发送。
5.根据权利要求3所述的方法,其中所述验证码经由电话呼叫被发送。
6.根据权利要求1所述的方法,其中所述个人标识符是政府发放的标识符。
7.根据权利要求1所述的方法,其中所述验证包括向与所述个人标识符相关联的地址发送电子消息。
8.根据权利要求1所述的方法,其中用户的个人标识符到租户的所述映射被存储作为针对该租户的所述用户存储库的一部分。
9.根据权利要求1所述的方法,其中所述个人标识符是具有租户无关的域名的个人电子邮件账户。
10.一种计算系统,包括:
至少一个处理器和存储器;
所述存储器包括计算机可执行指令,所述计算机可执行指令在所述至少一个处理器上被执行时,控制所述计算系统:
接收针对用户访问被托管在云数据中心上的服务的登录请求,所述登录请求包括租户无关的个人标识符,所述个人标识符不是用户名称;
经由与所述个人标识符相关联的电信服务向所述用户发送验证请求以验证所述用户执行所述登录请求;
执行所述个人标识符到由所述云数据中心托管的多个租户的映射;
从所述用户接收对所述用户要被认证所针对的意图租户的选择;
从针对所选租户的用户存储库取回与所述用户有关的用户信息;以及
在接收到对验证所述用户的所述验证请求的响应之后,发送安全令牌作为所述用户已经被认证的证据。
11.根据权利要求10所述的计算系统,其中所述计算机可执行指令在被执行时还控制所述计算系统以:当所述个人标识符被映射到多个租户时,并且在接收到对验证所述用户的所述验证请求的所述响应之后,向所述用户发送用于选择所述多个租户中的一个租户的请求。
12.根据权利要求10所述的计算系统,其中个人标识符到租户的所述映射被存储作为针对该租户的所述用户存储库的一部分。
13.根据权利要求12所述的计算系统,其中标识所述个人标识符被映射到的所述租户的所述计算机可执行指令包括:访问租户的用户存储库以确定所述个人标识符被映射到的租户。
14.根据权利要求10所述的计算系统,其中所述计算机可执行指令在被执行时还控制所述计算系统以:
基于所述用户信息创建安全令牌。
15.一种电子设备,包括:
至少一个处理器和存储器;
其中所述至少一个处理器被配置为:
接收针对用户访问被托管在云数据中心上的租户的服务的登录请求,所述登录请求包括电话号码;
经由与所述电话号码相关联的电信服务发送验证请求以验证所述用户拥有与所述电话号码相关联的电话;
将所述用户映射到多个租户;
从所述用户接收所述多个租户中的所选租户;
从针对所述所选租户的用户存储库取回与所述用户有关的用户信息;以及
在接收到对验证所述用户的所述验证请求的响应之后,向所述所选租户的服务发送安全令牌作为所述用户已经被认证的证据。
16.根据权利要求15所述的设备,其中所述至少一个处理器还被配置为:当所述电话号码被映射到多个租户时,并且在接收到对验证所述用户的所述验证请求的所述响应之后,向所述用户发送用于选择所述多个租户中的一个租户的请求。
17.根据权利要求15所述的设备,其中所述至少一个处理器还被配置为:访问租户的用户存储库以确定所述电话号码被映射到的租户。
18.一种计算系统,包括:
一个或多个处理器,其耦合到存储器;
其中所述一个或多个处理器执行动作,所述动作包括:
获得针对用户访问由云数据中心托管的服务的登录请求,所述登录请求包括租户无关的个人电子邮件地址;
发送被寻址到所述个人电子邮件地址的验证请求以验证所述用户发起所述登录请求;
将所述个人电子邮件地址映射到多个租户;
从所述用户接收所选租户;
从针对所述所选租户的用户存储库取回与所述用户有关的用户信息;以及
在接收到对验证所述用户的所述验证请求的响应之后,向所述所选租户的服务发送安全令牌作为所述用户已经被认证的证据。
CN201880025717.8A 2017-04-18 2018-04-06 用于组织用户的个人标识符登录 Active CN110546935B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/490,657 US10536450B2 (en) 2017-04-18 2017-04-18 Personal identifier sign-in for organizational users
US15/490,657 2017-04-18
PCT/US2018/026364 WO2018194855A1 (en) 2017-04-18 2018-04-06 Personal identifier sign-in for organizational users

Publications (2)

Publication Number Publication Date
CN110546935A CN110546935A (zh) 2019-12-06
CN110546935B true CN110546935B (zh) 2021-10-26

Family

ID=62067828

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880025717.8A Active CN110546935B (zh) 2017-04-18 2018-04-06 用于组织用户的个人标识符登录

Country Status (4)

Country Link
US (1) US10536450B2 (zh)
EP (1) EP3613188B1 (zh)
CN (1) CN110546935B (zh)
WO (1) WO2018194855A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108093026B (zh) * 2017-11-17 2020-04-07 阿里巴巴集团控股有限公司 多租户请求的处理方法及装置
US11516220B1 (en) 2018-12-28 2022-11-29 Juniper Networks, Inc. Creating roles and controlling access within a computer network
US11070540B1 (en) * 2018-12-28 2021-07-20 Juniper Networks, Inc. Dynamic provisioning of user groups within computer networks based on user attributes
CN110636505A (zh) * 2019-10-24 2019-12-31 王恩惠 一种保护账号安全的方法及系统
CN113129466B (zh) * 2020-01-10 2023-06-27 阿里巴巴集团控股有限公司 签到验证方法、签到验证装置及电子设备
US11829507B2 (en) 2020-04-22 2023-11-28 DataGrail, Inc. Methods and systems for privacy protection verification
US11526627B2 (en) * 2020-07-27 2022-12-13 DataGrail, Inc. Data discovery and generation of live data map for information privacy
US12093427B2 (en) 2020-10-28 2024-09-17 DataGrail, Inc. Methods and systems for processing agency-initiated privacy requests

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532981A (zh) * 2013-10-31 2014-01-22 中国科学院信息工程研究所 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法
CN103984600A (zh) * 2014-05-07 2014-08-13 丽水桉阳生物科技有限公司 一种基于云计算的财务数据处理方法
CN104769908A (zh) * 2012-09-07 2015-07-08 甲骨文国际公司 基于ldap的多租户云中身份管理系统
CN106384028A (zh) * 2016-09-12 2017-02-08 浪潮软件股份有限公司 一种支持多租户的统一身份认证服务实现的方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI446774B (zh) 2010-11-12 2014-07-21 Chunghwa Telecom Co Ltd 簡訊認證方法
CN103283204B (zh) 2010-11-24 2015-12-16 西班牙电信公司 对受保护内容的访问进行授权的方法
US20140053250A1 (en) 2012-02-10 2014-02-20 University Of Utah Research Foundation Access to Web Application via a Mobile Computing Device
US9378356B2 (en) 2012-04-13 2016-06-28 Paypal, Inc. Two factor authentication using a one-time password
US9959420B2 (en) 2012-10-02 2018-05-01 Box, Inc. System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment
US20140181992A1 (en) * 2012-12-21 2014-06-26 Michael Alexander Janson Multi-tenant content provider
US9058481B2 (en) * 2013-01-31 2015-06-16 Hewlett-Packard Development Company, L.P. Security token based user authentication in a multi-tenanted application
US9191384B2 (en) * 2013-06-26 2015-11-17 Vmware, Inc. Maintaining privacy in a multi-tenant cloud service participating in a federated identity platform
US10044723B1 (en) * 2015-06-30 2018-08-07 EMC IP Holding Company LLC Principal/user operation in the context of a tenant infrastructure
US20170230368A1 (en) * 2016-02-10 2017-08-10 Tahir Khan System and method of logging into a web server
US10742628B2 (en) * 2016-08-11 2020-08-11 Unisys Corporation Secured cloud storage broker with enhanced security

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104769908A (zh) * 2012-09-07 2015-07-08 甲骨文国际公司 基于ldap的多租户云中身份管理系统
CN103532981A (zh) * 2013-10-31 2014-01-22 中国科学院信息工程研究所 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法
CN103984600A (zh) * 2014-05-07 2014-08-13 丽水桉阳生物科技有限公司 一种基于云计算的财务数据处理方法
CN106384028A (zh) * 2016-09-12 2017-02-08 浪潮软件股份有限公司 一种支持多租户的统一身份认证服务实现的方法

Also Published As

Publication number Publication date
CN110546935A (zh) 2019-12-06
US10536450B2 (en) 2020-01-14
EP3613188A1 (en) 2020-02-26
WO2018194855A1 (en) 2018-10-25
US20180302392A1 (en) 2018-10-18
EP3613188B1 (en) 2021-12-01

Similar Documents

Publication Publication Date Title
CN110546935B (zh) 用于组织用户的个人标识符登录
US10454924B1 (en) Systems and methods for providing credentialless login using a random one-time passcode
US10764278B2 (en) Authentication on a computing device
US20200234287A1 (en) Method and system for utilizing authorization factor pools
CA2832754C (en) Method and system for enabling merchants to share tokens
US9818111B2 (en) Merchant-based token sharing
US9608977B2 (en) Credential validation using multiple computing devices
US8544072B1 (en) Single sign-on service
US8719911B2 (en) Methods, systems, and computer program products for authenticating an identity of a user by generating a confidence indicator of the identity of the user based on a combination of multiple authentication techniques
US20170201518A1 (en) Method and system for real-time authentication of user access to a resource
US11159510B2 (en) Utilizing federated user identifiers to enable secure information sharing
US9356968B1 (en) Managing authentication using common authentication framework circuitry
US10523665B2 (en) Authentication on thin clients using independent devices
US9756028B2 (en) Methods, systems and computer program products for secure access to information
US20180302405A1 (en) Organizational sign-in across sovereign environments
US8856954B1 (en) Authenticating using organization based information
US20200162253A1 (en) Authentication in non-secure communication channels via secure out-of-bands channels
US11790076B2 (en) Vault password controller for remote resource access authentication
US12045459B2 (en) Using a virtual keyboard to enter particular input
US20240319870A1 (en) Using a virtual keyboard to enter particular input

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant