CN111385100B - 用于访问资源的方法、计算机可读介质以及移动设备 - Google Patents
用于访问资源的方法、计算机可读介质以及移动设备 Download PDFInfo
- Publication number
- CN111385100B CN111385100B CN201911341467.1A CN201911341467A CN111385100B CN 111385100 B CN111385100 B CN 111385100B CN 201911341467 A CN201911341467 A CN 201911341467A CN 111385100 B CN111385100 B CN 111385100B
- Authority
- CN
- China
- Prior art keywords
- mobile device
- authentication
- relying party
- server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000004044 response Effects 0.000 claims abstract description 43
- 235000014510 cooky Nutrition 0.000 claims abstract description 38
- 230000008569 process Effects 0.000 claims description 11
- 230000015654 memory Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 5
- 239000003795 chemical substances by application Substances 0.000 description 37
- 238000004891 communication Methods 0.000 description 13
- 230000001419 dependent effect Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 235000019801 trisodium phosphate Nutrition 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
公开了一种用于访问资源的方法、计算机可读介质以及移动设备。方法包括:在移动设备上托管本机应用,本机移动设备具有用于被预认证的用户的用户代理;响应于对托管在依赖方服务器上的资源的请求,从认证服务器接收对针对被预认证的用户的认证令牌的重定向请求;响应于来自认证服务器的重定向请求,将来自移动设备的用户代理的针对被预认证的用户的认证令牌发送到认证服务器;以及在认证服务器上认证来自用户代理的认证令牌,并且生成针对被认证的用户的认证cookie以访问依赖方服务器上的资源。
Description
技术领域
本公开总体上涉及用于本机移动应用发起的OpenID连接(OIDC)和安全断言标记语言(Security Assertion Markup Language,SAML)流的无缝单点登录(single sign-on,SSO)的计算机联网系统及方法。
背景技术
OpenID连接(OIDC)1.0是OAuth 2.0协议之上的简单身份层。OpenID连接允许客户端基于由授权服务器执行的认证来验证终端用户的身份,并且以可互操作且类似于REST的方式(类似于表述性状态转移(Representational State Transfer)的方式)获得关于终端用户的基本配置文件信息。
安全断言标记语言(SAML)是用于在断言用户身份的SAML联合身份提供者(Identity Provider,IdP)与消费用户身份信息的SAML联合服务提供者(ServiceProvider,SP)之间交换单点登录信息的XML标准。
虽然这两种技术都被用作单点登录(SSO)解决方案,但OIDC和SAML完全交托认证提供者来确定如何认证用户的过程。支持这些针对SSO的开放标准(Open Standard)的若干认证提供者具有它们自己的“认证用户”的方法或过程,其输出/结果是所有OIDC和SAML流中的一个重要步骤,因为在OIDC流的这一阶段,认证代码(“Auth Code”)由认证提供者产生并被提供给OIDC依赖方,在SAML流的情况下,SAML断言被构造并被发送到SAML依赖方(Relying Party,SP)。
单点登录(SSO)是允许用户通过一组登录凭据访问多个应用的认证过程。例如,单点登录是企业中的常见手续,其中客户端访问连接到局域网(LAN)的多个资源。
发明内容
考虑到以上问题,期望具有启用OIDC和SAML流的方法,该OIDC和SAML流作为来自移动设备上的移动应用(例如本机应用)的登录动作的结果而经由单点登录(SSO)发起,并且其中由于用户已经被认证,因此用户不受系统的认证的干扰。
公开了一种用于从移动设备访问托管在依赖方服务器上的资源的方法,该方法包括:在移动设备上托管本机应用,本机移动设备具有用于被预认证的用户的用户代理;响应于对托管在依赖方服务器上的资源的请求,从认证服务器接收对针对被预认证的用户的认证令牌的重定向请求;响应于来自认证服务器的重定向请求,将来自移动设备的用户代理的针对被预认证的用户的认证令牌发送到认证服务器;在认证服务器上认证来自用户代理的认证令牌并生成针对被认证的用户的认证cookie以访问依赖方服务器上的资源;向移动设备发送认证cookie;以及当依赖方服务器接收到认证cookie时,向被预认证的用户授权对托管在依赖方服务器上的资源的访问。
一种非暂时性计算机可读介质,存储由处理器执行的计算机可读程序代码,用于从移动设备访问托管在依赖方服务器上的资源,过程包括:在移动设备上托管本机应用,本机移动设备具有用于被预认证的用户的用户代理;响应于对托管在依赖方服务器上的资源的请求,从认证服务器接收对针对被预认证的用户的认证令牌的重定向请求;响应于来自认证服务器的重定向请求,将来自移动设备的用户代理的针对被预认证的用户的认证令牌发送到认证服务器;在认证服务器上认证来自用户代理的认证令牌并生成针对被认证的用户的认证cookie以访问依赖方服务器上的资源;向移动设备发送认证cookie;以及当依赖方服务器接收到认证cookie时,向被预认证的用户授权对托管在依赖方服务器上的资源的访问。
一种移动设备,具有本机应用,用于从该移动设备访问托管在依赖方服务器上的资源,移动设备包括:处理器;用户界面;以及具有操作系统的存储器和具有针对被预认证的用户的认证令牌的用户代理,操作系统和用户代理被配置为:响应于对托管在依赖方服务器上的资源的请求,从认证服务器接收对针对被预认证的用户的认证令牌的重定向请求;响应于来自认证服务器的重定向请求,将来自移动设备的用户代理的针对被预认证的用户的认证令牌发送到认证服务器;接收根据来自用户代理的认证令牌的认证在认证服务器上生成的认证cookie,所述认证cookie被配置为向被认证的用户授权对依赖方服务器上的资源的访问;以及通过认证cookie访问托管在依赖方服务器上的资源。
应当理解,前面的总体描述和下面的详细描述这二者都是示例性和解释性的,并且旨在提供对所要求保护的本发明的进一步解释。
附图说明
包括附图以提供对本发明的进一步理解,并且附图被并入本说明书中并构成本说明书的一部分。附图例示说明本发明的实施例,并且与描述一起用于解释本发明的原理。
图1是具有用于本机移动应用触发的OpenID连接(OIDC)和安全断言标记语言(SAML)流的无缝单点登录(SSO)的系统的例示说明。
图2是根据示例性实施例的计算机或服务器的例示说明。
图3A是根据示例性实施例的移动设备的例示说明。
图3B是根据示例性实施例的移动设备的显示单元或用户界面的例示说明。
图4A是如图3B所示的移动设备的显示单元或用户界面的例示说明。
图4B是如图3B所示的移动设备的显示单元或用户界面的例示说明。
图5A和5B是例示说明支持通过OIDC进行SSO登录的本机移动应用的流程的流程图。
图6A和6B是例示说明支持通过SAML进行SSO登录的本机移动应用的流程的流程图。
具体实施方式
现在将详细参考本发明的当前优选实施例,其示例在附图中例示说明。在附图和说明书中尽可能使用相同的附图标记指代相同或相似的部分。
图1是具有用于本机移动应用触发的OpenID连接(OIDC)和安全断言标记语言(SAML)流的无缝单点登录(SSO)的系统100的例示说明。如图1所示,系统100可以包括计算机或客户端设备110、至少一个移动计算机112、一个或多个SAML-SP依赖服务器(SAML-SPA,SAML-SP B,SAML-SP C)120、一个或多个OIDC依赖方服务器(OIDC依赖方A,OIDC依赖方B)121、一个或多个SAML-IdP服务器130、以及一个或多个OIDC提供者服务器131。根据示例性实施例,计算机或客户端设备110、至少一个移动计算机112、一个或多个SAML-SP依赖服务器120、一个或多个OIDC依赖方服务器121、一个或多个SAML-IdP服务器130、以及一个或多个OIDC提供者服务器131可以经由通信网络150连接。根据示例性实施例,通信网络或网络150可以是公共电信线路和/或网络(例如LAN或WAN)。通信网络150的示例可以包括与本公开的实施例一致的任何电信线路和/或网络,包括但不限于电信或电话线、因特网、内联网、所示出的局域网(LAN)、广域网(WAN)和/或使用射频(RF)和/或红外(IR)传输的无线连接。
另外,例如,接入点140可以与通信网络150通信,以提供移动计算机(例如智能电话)112和通信网络150之间的无线或蜂窝数据通信。根据示例性实施例,接入点140可以是允许Wi-Fi设备连接到有线网络的任何联网硬件设备,或者可以允许蜂窝设备(例如移动计算机(或智能电话)112)连接到有线网络150的硬件设备。
OpenID连接(OIDC)是OAuth 2.0协议之上的身份层,允许计算客户端基于由授权服务器执行的认证来验证终端用户的身份,并且以可互操作且类似于REST的方式获得关于终端用户的基本配置文件信息。用技术术语来说,OpenID连接使用JSON(JavaScriptObjection Notation,JavaScript对象简谱)作为数据格式来指定RESTful(Representational State Transfer,表述性状态转移)、HTTP(hypertext transferprotocol,超文本传输协议)和API(application program interface,应用程序接口)。例如,OpenID连接允许一些客户端(包括基于Web的客户端、移动客户端和JavaScript客户端)请求并接收关于认证的会话和终端用户的信息。规范套件还可以支持可选特征,诸如身份数据的加密、OpenID提供者的发现以及会话管理。
如图1所示,例如,可以由一个或多个OIDC提供者131(例如认证提供者)产生认证代码,然后该认证代码被提供给一个或多个OIDC依赖方服务器121。根据示例性实施例,一个或多个OIDC依赖方服务器121可以是被配置为例如提供对如本文所公开的一个或多个安全软件应用的客户端访问的服务器。
安全断言标记语言(SAML)是用于在断言用户身份的SAML联合身份提供者(SAML-IdP)与消费用户身份信息的SAML联合服务提供者(SAML-SP)之间交换单点登录(SSO)信息的XML标准。SAMLv2.0(安全断言标记语言版本2)支持IDP发起的流和SP发起的流。在IdP发起的SAML SSO流中,SAML-IdP为用户身份创建SAML单点登录断言,并且以未经请求的方式将SAML单点登录断言发送到SP(Service Provider,服务提供者)120。在SP发起的SAML SSO流中,SP生成SAML2.0 AuthnRequest(例如认证请求),作为联合过程中的第一步将其发送到SAML-IdP 130,然后SAML-IdP通过SAML响应进行响应,这两个交互都是彼此异步的。
根据示例性实施例,SAML-IdP是结合安全断言标记语言(SAML)的单点登录(SSO)配置文件发出认证断言的系统实体。在SAML域模型中,SAML机构是发出SAML断言的任何系统实体。SAML机构的两个重要示例是认证机构和属性机构。
根据示例性实施例,多个SAML-SP服务器120被配置为结合安全断言标记语言的单点登录(SSO)配置文件来接收并接受认证断言。在SAML域模型中,SAML-SP服务器120(例如SAML依赖方)是从另一系统实体接收并接受信息的任何系统实体。特别感兴趣的是接收并接受由SAML机构发出的SAML断言的SAML依赖方。SAML机构的一个重要类型是SAML身份提供者,它是结合SAML的SSO配置文件发出认证断言的系统实体。消费这样的断言的依赖方被称为SAML服务提供者(如果理解域,则简称为服务提供者)。因此,SAML服务提供者(SAML-SP)是接收并接受由SAML身份提供者(SAML-IdP)发出的认证断言的系统实体。
根据示例性实施例,一个或多个SAML-SP依赖服务器120和/或一个或多个OIDC依赖方服务器121可以是向组织提供企业服务器的任何实体,例如咨询、法律、房地产、通信、存储、处理。例如,一个或多个SAML-SP依赖服务器120和/或一个或多个OIDC依赖方服务器121可以是第三方或者外包供应商,例如电信服务提供者(telecommunication serviceprovider,TSP)、应用服务提供者(application service provider,ASP)、存储服务提供者(storages service provider,SSP)和因特网服务提供者(internet service provider,ISP)。
例如,TSP是具有传统地提供的电话和类似服务的一种通信服务提供者,可以包括现任本地交换运营商、竞争性本地交换运营商以及移动无线通信公司。ASP是通过网络为客户提供基于计算机的服务的业务。例如,ASP可以使用标准协议(例如诸如HTTP)提供对特定的软件应用(诸如客户关系管理)的访问。SSP是提供计算机存储空间和相关管理服务、定期备份和归档的任何公司。
图2是计算设备200的例示说明,计算设备可以是计算机110、移动计算机112、SAML-SP服务器(或SAML-SP依赖服务器)120、ODIC依赖方服务器121、SAML-IdP服务器130、或者OIDC提供者服务器131。如图2所示,示例性计算设备200可以包括处理器或中央处理单元(CPU)202以及用于存储软件程序和数据的一个或多个存储器204。处理器或CPU 202执行计算机程序的指令,该计算机程序操作和/或控制计算设备200的功能的至少一部分。计算设备200还可以包括输入单元206、显示单元或图形用户界面(GUI)208、以及连接到通信网络(或网络)150的网络接口(I/F)210。总线212能够连接计算设备200中的各种组件202、204、206、208、210。
根据示例性实施例,计算设备200可以包括能够访问例如计算设备200的存储器204中的web浏览器(未示出)的显示单元或图形用户界面(GUI)208。计算设备200还包括管理计算机硬件并提供用于有效执行各种软件程序的通用服务的操作系统(OS)。根据示例性实施例,CPU 202的OS是基于Linux或的操作系统。软件程序可以包括例如应用软件和打印机驱动软件。例如,打印机驱动软件控制例如经由通信网络150与安装有打印机驱动软件的计算设备200连接的多功能打印机或打印机(未示出)。在某些实施例中,打印机驱动软件能够基于图像和/或文档数据产生打印作业和/或文档。
图3A是根据示例性实施例的移动设备300的例示说明。如图3A所示,示例性移动设备300可以包括处理器或中央处理单元(CPU)302、和用于存储软件程序和数据的一个或多个存储器304、操作系统320以及SPS-SSO代理322。根据示例性实施例,存储器304包括SPS-SSO代理322,其中SPS-SSI代理332被配置为执行用于经由单点登录(SSO)协议在移动设备300上的移动应用上启用OIDC和SAML流的一个或多个过程。处理器或CPU 302执行计算机程序的指令,该计算机程序操作和/或控制移动设备300的功能的至少一部分。移动设备300还可以包括输入单元306、显示单元或图形用户界面(GUI)308、以及连接到通信网络(或网络)150的网络接口(I/F)310。总线312能够连接移动设备300中的各种组件302、304、306、308、310。
根据示例性实施例,移动设备300可以包括能够访问例如移动设备300的存储器304中的web浏览器(未示出)的显示单元或图形用户界面(GUI)308。移动设备300还包括管理计算机硬件并提供用于有效执行各种软件程序的通用服务的操作系统(OS)320。根据示例性实施例,移动设备300的OS 320是基于Linux或的操作系统。软件程序可以包括例如应用软件和打印机驱动软件。例如,打印机驱动软件控制例如经由通信网络150与安装有打印机驱动软件的移动设备300连接的多功能打印机或打印机(未示出)。在某些实施例中,打印机驱动软件能够基于图像和/或文档数据产生打印作业和/或文档。
根据示例性实施例,移动设备300还可以优选地包括例如通过指纹识别或认证或者移动设备上当前实施或将要实施的其他认证协议来认证用户的认证模块。例如,使用诸如用户名和密码的凭据的密码认证协议可以被使用。根据示例性实施例,认证模块可以用于访问移动设备300和/或结合如本文所公开的单点登录(SSO)过程使用。
图3B是根据示例性实施例的移动设备300的显示单元或用户界面(也被已知为图形用户界面(GUI))306的例示说明。如图3B所示,显示单元或用户界面306可以是触摸屏(或触摸板)307,具有用于频繁使用的应用(例如电话模块、电子邮件客户端模块、浏览器模块、视频和音乐播放器模块、消息模块、日历、相机模块、地图、天气、以及提供对移动设备300和各种应用的设置的访问的应用或模块)的多个图标330。根据示例性实施例,显示单元或用户界面306还包括例如用于通过OIDC进行SSO登录的应用的图标332(“App A”),以及用于通过SAML进行SSO登录的应用的图标334(“App B”)。
图4A是如图3B所示的移动设备300的显示单元或用户界面400的例示说明。如图4A所示,当在移动设备300的用户界面400上通过触摸或其他已知方法选择图标332(“App A”)时,用户界面400向用户显示例如对“用户名或电子邮件”410和“密码”412的请求。另外,显示单元或用户界面400向用户呈现提供“登录”420的图标,或者替代地向用户呈现“使用SSO”430的图标,这将向用户提示如图4B所示的用户界面450。
图4B是用于SSO登录的如图3B所示的移动设备300的显示单元或用户界面450的例示说明。如图4B所示,SSO页面请求例如“电子邮件或域”460,并且包括“登录”图标470。
根据示例性实施例,公开用户的移动设备112上的用于本机移动应用发起的OpenID连接(OIDC)和安全断言标记语言(SAML)流的单点登录(SSO)的方法和系统,如本文所公开的方法和系统在用户(例如客户端设备或移动设备112)和认证提供者(例如SAML-IdP服务器130或者OIDC提供者服务器131)之间引入充当用于预认证目的的代理/代表(agent/proxy)的应用(例如移动应用(或软件组件)。根据示例性实施例,移动应用(或软件组件)是移动设备112上的接口332、334,其中在用户可以从例如本地软件(on premisessoftware)(例如On Premises Legacy(本地遗留))和/或非本地软件(off premisessoftware)(例如云服务)利用(或访问)任何服务之前对用户进行认证。根据示例性实施例,可以例如经由生物测定(诸如指纹、面部辨识或面部识别、虹膜检测)和/或用户名和PIN(个人识别号码)来完成经由单点登录(SSO)方法(或协议)对用户进行的认证。如本文所公开的移动应用可以在成功的认证结束时包含例如代表用户的JSON Web令牌(JSON Web Token,JWT)。
根据示例性实施例,移动设备112可以包括例如代理代码软件组件形式的应用,该应用持续地等待来自认证提供者(例如OIDC提供者(或OIDC-OP)131或者SAML-IdP服务器130)的重定向请求,并且经由对被处理的重定向请求的响应提交与被预认证的用户对应的当前活动的JSON Web令牌(JWT)(即,唯一地辨识用户)。
根据示例性实施例,从OIDC-OP 131或SAML-IdP 130到运行在对应的认证解决方案移动应用322上的代理的重定向可以添加到常规的OIDC/SAML流。根据示例性实施例,例如,对被指配并被登记的移动应用的附加重定向访问可以窃取原始流(例如由本机移动应用开始的流),从而不丢失上下文。根据示例性实施例,流的目标可以是避免提示用户对提交任何认证细节的查询,因为该流从没有任何关于被预认证的用户的上下文的移动应用开始。
根据示例性实施例,仅当认证提供者(SAML-IdP 130或OIDC-OP131)检测到流起源的用户代理(user agent,UA)时,认证提供者(SAML-IdP 130或OIDC-OP 131)才窃取流以查询移动应用副本(counterpart)上的代理。例如,被支持的移动用户代理可以包括WebKit、移动Safari以及537.36(KHTML,例如Gecko)Chrome。此外,根据浏览器的版本、设备型号、操作系统(OS)和其他因素,利用移动浏览器的用户代理可能不同。
根据示例性实施例,在认证提供者(SAML-IdP 130或OIDC提供者131)上,随着流进行以上公开的修改并且发生附加的重定向,命中“Auth”端点的OIDC“Auth”流或SAML的“Authentication Request(认证请求)”流可以进行暂时挂起状态以检索认证提供者之前为用户生成的JWT令牌。
在认证提供者经由对认证提供者的查询重定向的响应来接收JWT令牌后,认证提供者使令牌有效并生成域cookie,恢复停止的OIDC或SAML流,并且当认证响应被发回时设置生成的cookie(即设置的Cookie HTTP响应头)。根据示例性实施例,进一步的通信将使用在本机移动应用(原始OIDC流和SAML流起源于此)用户代理上设置的域cookie。
根据示例性实施例,用于移动设备的各种本机应用关于哪些UI渲染技术用于应用登录流而存在。例如,一些应用启动外部浏览器,一些应用使用诸如WebView的应用内浏览器,其他应用使用诸如SFSafariViewController和ChromeTab的最新趋势。根据示例性实施例,公开三个示例以传达:本公开中再提供的代理代码是用户代理不可知的(即与许多类型的平台或操作系统兼容),基于代理的行为以实现为用于本机移动应用(例如Google Drive和Box,支持代理上的基于单点登录(SSO)的登录流以及相应的重定向行为)中的OIDC和SAML的SSO流提供无缝性的最终目标。
根据示例性实施例,例如,应用使用诸如Safari或者Chrome的系统浏览器,系统浏览器充当具有其自己的用户代理的不同应用。根据示例性实施例,代理接收重定向请求,解密被加密的URI参数以验证被加密的URI来自真实的认证提供者。该验证是为了避免恶意应用,并且服务器尝试查询代理以得到用户的JWT(即令牌)。如果成功,则服务器重定向用户代理以命中认证服务器,并且提供JWT。如果不成功,则丢弃请求,将消息记入日志,并且可以使用ALERT消息(例如弹出窗口)来警告应用用户通过管理员报告问题。
根据示例性实施例,例如,应用使用诸如WKWebView的WebView组件,每个WebView是沙盒的(sandboxed),并且浏览器出现在应用内容内(用户从不离开应用)。根据示例性实施例,代理接收重定向请求,解密被加密的URI参数以验证其真的来自真实的认证提供者。该验证是为了避免恶意应用,并且服务器尝试查询代理以得到用户的JWT(即令牌)。如果成功,则重定向用户代理以命中认证服务器,并且提供JWT。如果不成功,则丢弃请求,将消息记入日志,并且可以使用ALERT消息(例如弹出窗口)来警告应用用户通过管理员报告问题。
根据示例性实施例,例如,对于使用SFSafariViewController(IOS)或ChromeTab的应用,浏览器出现在应用内容内(即用户从不离开应用)。根据示例性实施例,代理接收重定向请求,解密被加密的URI参数以验证被加密的URI来自真实的认证提供者。该验证是为了避免恶意应用,并且服务器尝试查询代理以得到用户的JWT(即令牌)。如果成功,则服务器重定向用户代理以命中认证服务器,并且提供JWT。如果不成功,则丢弃请求,将消息记入日志,并且可以使用ALERT消息(例如弹出窗口)来警告应用用户通过管理员报告问题。
图5A和5B是例示说明支持通过OIDC进行SSO登录的本机移动应用的流程的流程图500。如图5A和5B所示,在步骤501中,带有移动设备(例如智能电话)112的用户点击用户界面(或图形用户界面(GUI))上的移动应用图标“App A”332。一旦图标“App A”332被打开,用户则选择如图4B所示的图形用户界面上的“使用SSO”图标。如图4B所示,用户随后输入电子邮件或域并且通过“通过SPS登录”来登录。在步骤502中,SPS-移动SSO代理(运行在SPS客户端上)通过移动设备112的操作系统(OS)登记要被调用的意向(例如handler:SpsMobileSsoAuthAgent;/call_back)。
在步骤503中,移动应用向服务提供者web服务器(OIDC-RP)121发送登录请求(例如“GET:Login”)。在步骤504中,服务提供者web服务器(OIDC-RP)121向移动应用332发送URL重定向响应(例如302Redirect(例如URL重定向))。在步骤505中,移动应用332向身份提供者(例如SPS-Auth服务(OIDC-OP)131)发送认证请求(例如“GET:OAuth2 Auth EndPoint,Flow:Auth Code Flow,resp_type=code”)。根据示例性实施例,在步骤505中,认证请求不包括关于登录的用户的任何细节(例如用户名/域名)。在步骤506中,OIDC-OP检查步骤505中的来自移动应用的认证请求,以判定是否存在cookie认证(例如cookie认证是否有效)。如果cookie认证有效(即存在认证cookie),则过程继续至步骤515。然而,如果在步骤506中cookie认证无效(即不存在认证cookie),则过程继续至步骤507,其中OIDC-OP 131寻找用户代理,在目标移动设备上的SPS客户端上得到被映射的“Registered Mobile SSO AuthIntent Handler(登记的移动SSO认证意向处理程序)”回调。
在步骤508中,OIDC-OP 131构造将用户代理重定向以访问“Registered MobileSSO Auth Intent Handler”的URL重定向请求(例如HTTP 302)。在步骤509中,OIDC-OP 131向移动应用332发送URL重定向响应(例如302:SPS Custom Mobile ApplicationRedirection,Redirection Scheme:“SpsMobileSsoAuthAgent”,instead of a regular“https”)。在步骤510中,URL重定向响应(例如HTTP 302request triggersSpsMobileSsoAuthAgent:/call_back)被发送到SPS-SSO代理(例如(运行在SPS客户端内的)SPS-移动Sso代理)322。在步骤511中,SPS-SSO代理向移动应用332发送当前活动的JWT(即令牌)(例如302:/mobileid/v1/jwt/(JWT Value))。在步骤512中,从SPS-SSO代理接收的当前活动的JWT与请求(例如GET:/mobiledi/v1/jwt/(JWT Value))一起发送到OIDC-OP131。
在步骤513中,OIDC-OP 131例如使JWT(即令牌)有效以排除伪装成SPS代理的“流氓移动App/代理”。在步骤514中,如果OIDC-OP 131使JWT(即令牌)有效,则生成cookie。在步骤515中,OIDC-OP 131将响应(例如带有所生成的带有“OIDC Registered CallBackPlease”的会话Cookie的302Redirect)与被生成的cookie一起发送,该cookie指示认证代码(例如cookie)在URL查询串中可用。移动应用332接收认证码,并且在步骤516中向OIDC-RP 121发送对服务的请求(例如,GET:ODIC Registered Callback,code=XXXXX)。在步骤517中,OIDC-RP从移动应用332接收请求并且向OIDC-OP 131发送请求以认证用户(例如POST:ID Token Request(Exchange),Authentication code=XXXXX)。在步骤518中,OIDC-OP 131接收请求并(经由JWT(令牌)和对应的cookie)验证用户被认证,并且向OIDC-RP 121发送OK成功状态响应(例如HTTP 200OK:ID Token---->JWT which Base-64 Encoded IDToken,Signed by SPS)。在步骤519中,OIDC-RP 121向移动应用发送指示JWT(即令牌)被验证并且请求已成功(例如200OK:ID Token as JWT)的响应。在步骤520中,移动应用接收成功响应并且向OIDC-RP 121发送对应用或服务的请求,例如“GET:Either Home Page orany page referring to Configured‘StartURL’Param”。在步骤521中,OIDC-RP确认ID令牌,并且如果ID令牌有效,则认为用户被认证并且创建会话标识符(ID)。在步骤522中,成功响应(例如200OK响应)被发送到移动应用332。
图6A和6B是例示说明支持通过SAML进行SSO登录的本机移动应用的流程的流程图600。如图6A和6B所示,在步骤601中,带有移动设备(例如智能电话)112的用户点击用户界面(或图形用户界面(GUI))上的移动应用图标“App B”334。一旦图标“App B”334被打开,用户则在如图4B所示的图形用户界面上输入电子邮件ID和/或域名。在步骤602中,SPS-移动SSO代理(运行在SPS客户端上)320在移动设备112的IOS或Android(OS)上登记“http://localhoste/sps-sso-redirect/”(即列入白名单)。
在步骤603中,移动应用程序334向服务提供者web服务器(SAML-SP)120发送请求(例如“GET:Login”)。在步骤604中,响应于来自移动应用334的请求,服务提供者web服务器(SAML-SP)120向SPS认证服务(SAML-IdP)130发送认证请求,例如SP发起的SAML2认证请求。到SPS认证服务(SAML-IdP)130的认证请求(例如SP发起的SAML2认证请求)不包括关于登录的用户的任何细节(例如用户名/域名)。在步骤605中,SPS认证服务(SAML-IdP)130接收认证请求(例如SP发起的SAML2认证请求),并判定cookie认证是否有效。如果cookie认证有效,则过程继续至步骤615。然而,如果cookie认证无效,则过程继续至步骤606,其中SAML-IDP 130定位(或寻找)用户代理,并且将“Registered Mobile SSO AuthenticationIntent Handler(登记的移动SSO认证意向处理程序)”回调映射到目标移动设备上的SPS客户端上。在步骤607中,SAML-IdP 130构造URL重定向请求(例如构造HTTP 302,将用户代理重定向以访问“Registered Mobile SSO Auth Intent Handler(登记的移动SSO认证意向处理程序)”)。在步骤608中,SAML-IdP 130向移动应用334发送URL重定向请求(例如“302:SPS Custom Mobile App Redirection,Redirection Scheme:http://localhost/sps-sso-redirect/challenge=8971982jhjhsbjhs”),该URL重定向请求包括如在步骤609中生成的被加密的消息。如图6A所示,在步骤609中,SAML-IdP 130对预共享的秘密(仅被该服务器和代理已知)进行加密,并且发送响应以重定向移动设备112上的代理。
在步骤610中,移动应用334将请求(例如“Triggers http://localhost/sps-sso-redirect/challenge=897198jhjhsbjhs”)发送到SPS-SSO代理322,以在步骤611中使由SAML-IdP 130提供的私钥有效(例如,通过认证服务器公钥使被加密的挑战有效,如果成功(挑战由仅服务器才会具有的服务器的私钥加密),则通过提供JWT继续进行。否则丢弃请求(例如无响应),结束SSO流挂起,直到用户处的HTTP超时为止)。
在步骤612中,SPS-SSO代理322将URL重定向响应与JWT(令牌)(例如“302/mobileid/v1/jwt(JWT Value)/”)一起发送到移动应用334。在步骤613中,移动应用334将请求使JWT(令牌)有效的请求发送到SAML-IdP 130(例如,“GET:/mobileid/v1/jwt/(JWTvalue)/”)。在步骤614中,SAML-IdP 130从移动应用接收请求,并且使JWT(令牌)有效(例如“使JWT有效以排除例如伪装成SPS代理的流氓移动App/代理)”。在步骤615中,如果JWT(令牌)有效,则SAML-IDP 130构造SAML断言和SAML响应。在步骤616中,SAML-IDP 130向移动应用334发送URL重定向响应(例如“302Redirect,带有SAML响应和所生成的会话Cookie”)。在步骤617中,移动应用接收SAML响应,并且针对登录的用户将SAML响应发送到服务提供者(SAML-SP)120。在步骤618中,SAML-SP 120向移动应用334发送指示登录的用户已被认证的成功响应(例如“200OK:SAML响应被验证,用户被认证,本机移动应用可以对用户使用的SP的Oauth2访问令牌”)。在步骤619中,将移动应用(即箱体本机应用)的用户视为被“箱体认证”的用户,并且对SAML-SP 120上的服务的所有访问都携带Oauth2访问令牌。
根据示例性实施例,可以在非暂时性计算机可读介质上实现所公开的方法和过程。非暂时性计算机可读介质可以是磁记录介质、磁光记录介质、或者将来将要开发的任何其他记录介质,所有这些都可以被认为以相同的方式适用于本发明。毫无疑问,认为包括一级和二级复制产品和其他的这样的介质的复制品均等同于上述介质。此外,即使本发明的实施例是软件和硬件的组合,它也完全不脱离本发明的概念。本公开可以被实现为使得其软件部分已被预先写到记录介质上并且将在操作中根据需要被读取。
如本文所使用的,以单数形式记载并且前面有词语“一”或“一个”的元素或步骤应被理解为不排除多个元素或步骤,除非明确地记载了这样的排除。此外,对本公开的“示例实施例”或“一个实施例”的参考并非意图被解释为排除也包含所记载的特征的附加示例的存在。
本文档末尾的专利权利要求书并非意图根据35U.S.C.§112(f)进行解释,除非明确地记载了传统的装置加功能的语言,诸如在权利要求中明确地记载的“装置”或“步骤”语言。
对本领域技术人员而言显而易见的是,可以不脱离本发明的范围或精神而对本发明的结构进行各种修改和变形。鉴于前述内容,意图使本发明涵盖本发明的修改和变型,只要它们落入所附权利要求书及其等同物的范围内。
Claims (20)
1.一种用于从移动设备访问托管在依赖方服务器上的资源的方法,所述方法包括:
在所述移动设备上托管本机应用,所述移动设备包括用于被预认证的用户的用户代理;
响应于对托管在所述依赖方服务器上的资源的请求,在所述移动设备上的所述本机应用上从认证服务器接收对针对被预认证的用户的认证令牌的重定向请求;
响应于来自所述认证服务器的重定向请求,将针对所述被预认证的用户的认证令牌从所述移动设备上的用户代理发送到所述认证服务器;
在所述移动设备上的所述本机应用上接收针对被认证的用户的认证cookie,以访问所述依赖方服务器上的资源,所述认证cookie是响应于所述认证服务器认证从所述移动设备的用户代理接收到的认证令牌而接收的;
由所述移动设备上的本机应用向所述依赖方服务器发送所述认证cookie;以及
由所述移动设备上的本机应用访问托管在所述依赖方服务器上的资源。
2.根据权利要求1所述的方法,还包括:
经由单点登录(SSO)方法在所述移动设备上认证所述被预认证的用户。
3.根据权利要求2所述的方法,还包括:
当认证所述被预认证的用户时,通过所述移动设备的操作系统(OS)登记针对所述被预认证的用户的要被调用的意向,所述要被调用的意向被配置为当接收时,用来自所述移动设备的用户代理的针对所述被预认证的用户的认证令牌来响应来自所述认证服务器的所述重定向请求。
4.根据权利要求1所述的方法,其中,所述认证服务器是OpenID连接(OIDC)提供者或者安全断言标记语言(SAML)身份提供者,并且所述依赖方服务器是OIDC依赖方或者SAML服务提供者。
5.根据权利要求1所述的方法,其中,所述认证令牌是JSON Web令牌(JWT)。
6.根据权利要求1所述的方法,其中,所述移动设备的操作系统持续地等待对于来自所述移动设备的用户代理的针对所述被预认证的用户的认证令牌的、来自所述认证服务器的所述重定向请求,以避免对托管在所述依赖方服务器上的资源的请求的流的丢失。
7.根据权利要求6所述的方法,其中,经由所述用户代理的来自所述认证服务器的所述重定向请求被配置为经由所述移动设备上的Web浏览器与对托管在所述依赖方服务器上的资源的请求同时操作。
8.根据权利要求1所述的方法,还包括:
将对托管在所述依赖方服务器上的资源的请求从所述移动设备上的本机应用发送到所述依赖方服务器;
在所述移动设备上的本机应用上从所述依赖方服务器接收重定向请求;
由所述移动设备上的本机应用将不带关于所述被预认证的用户的细节的请求发送到所述认证服务器;以及
响应于对托管在所述依赖方服务器上的资源的请求,在所述移动设备的本机应用上接收来自所述认证服务器的对针对所述被预认证的用户的认证令牌的重定向请求。
9.根据权利要求1所述的方法,还包括:
将所述移动设备上的所述本机应用配置为针对由所述依赖方服务器托管的资源对用户进行认证,由所述依赖方服务器托管的资源是本地服务或者云服务。
10.根据权利要求1所述的方法,其中,来自所述认证服务器的对针对所述被预认证的用户的认证令牌的重定向请求由所述认证服务器构造,以寻找所述用户代理并获得所述被预认证的用户的认证令牌。
11.根据权利要求1所述的方法,还包括:
仅当所述认证服务器检测出所述用户代理来自被支持的移动用户代理时,查询所述用户代理。
12.根据权利要求11所述的方法,其中,所述被支持的移动用户代理是以下中的一个或多个:
AppleWebKit、移动Safari或者537.36Chrome。
13.根据权利要求1所述的方法,其中,所述依赖方服务器是电信服务提供者(TSP)、应用服务提供者(ASP)、存储服务提供者(SSP)和/或因特网服务提供者(ISP)。
14.根据权利要求1所述的方法,其中,一旦所述被预认证的用户已被授权对托管在所述依赖方服务器上的资源的访问,则不需要进一步登录。
15.一种非暂时性计算机可读介质,存储由处理器执行的计算机可读程序代码,用于从移动设备访问托管在依赖方服务器上的资源,过程包括:
在所述移动设备上托管本机应用,所述移动设备包括用于被预认证的用户的用户代理;
响应于对托管在所述依赖方服务器上的资源的请求,在所述移动设备上的所述本机应用上从认证服务器接收对针对被预认证的用户的认证令牌的重定向请求;
响应于来自所述认证服务器的重定向请求,将针对所述被预认证的用户的认证令牌从所述移动设备上的用户代理发送到所述认证服务器;
在所述移动设备上的所述本机应用上接收针对被认证的用户的认证cookie,以访问所述依赖方服务器上的资源,所述认证cookie是响应于所述认证服务器认证从所述移动设备的用户代理接收到的认证令牌而接收的;
由所述移动设备上的本机应用向所述依赖方服务器发送所述认证cookie;以及
由所述移动设备上的本机应用访问托管在所述依赖方服务器上的资源。
16.根据权利要求15所述的非暂时性计算机可读介质,还包括:
经由单点登录(SSO)方法在所述移动设备上认证所述被预认证的用户。
17.根据权利要求16所述的非暂时性计算机可读介质,还包括:
当认证所述被预认证的用户时,通过所述移动设备的操作系统(OS)登记针对所述被预认证的用户的要被调用的意向,所述要被调用的意向被配置为当接收时,用来自所述移动设备的用户代理的针对所述被预认证的用户的认证令牌来响应来自所述认证服务器的所述重定向请求。
18.根据权利要求15所述的非暂时性计算机可读介质,其中,所述认证服务器是OpenID连接(OIDC)提供者或者安全断言标记语言(SAML)身份提供者,并且所述依赖方服务器是OIDC依赖方或者SAML服务提供者;并且
所述认证令牌是JSON Web令牌(JWT)。
19.一种移动设备,具有本机应用,用于从所述移动设备访问托管在依赖方服务器上的资源,所述移动设备包括:
处理器;
用户界面;以及
存储器,具有操作系统、具有针对被预认证的用户的认证令牌的用户代理和所述本机应用,所述操作系统、所述用户代理和所述本机应用被配置为:
响应于对托管在所述依赖方服务器上的资源的请求,在所述移动设备上的所述本机应用上从认证服务器接收对针对被预认证的用户的认证令牌的重定向请求;
响应于来自所述认证服务器的重定向请求,将针对所述被预认证的用户的认证令牌从所述移动设备上的用户代理发送到所述认证服务器;
在所述移动设备上的所述本机应用上接收针对被认证的用户的认证cookie,以访问所述依赖方服务器上的资源,所述认证cookie是响应于所述认证服务器认证从所述移动设备的用户代理接收到的认证令牌而接收的;
由所述移动设备上的本机应用向所述依赖方服务器发送所述认证cookie;以及
由所述移动设备上的本机应用访问托管在所述依赖方服务器上的资源。
20.根据权利要求19所述的移动设备,其中,所述被预认证的用户经由单点登录(SSO)方法在所述移动设备上被认证,并且当认证所述被预认证的用户时,所述用户代理被配置为通过所述移动设备的操作系统登记针对所述被预认证的用户的要被调用的意向,所述要被调用的意向被配置为当接收时,用来自所述移动设备的用户代理的针对所述被预认证的用户的认证令牌来响应来自所述认证服务器的所述重定向请求;并且
其中,所述认证服务器是OpenID连接(OIDC)提供者或者安全断言标记语言(SAML)身份提供者,并且所述依赖方服务器是OIDC依赖方或者SAML服务提供者,并且所述认证令牌是JSON Web令牌(JWT)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/233,998 | 2018-12-27 | ||
| US16/233,998 US11140146B2 (en) | 2018-12-27 | 2018-12-27 | Method and system for seamless single sign-on (SSO) for native mobile-application initiated open-ID connect (OIDC) and security assertion markup language (SAML) flows |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385100A CN111385100A (zh) | 2020-07-07 |
| CN111385100B true CN111385100B (zh) | 2023-12-26 |
Family
ID=68531356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911341467.1A Active CN111385100B (zh) | 2018-12-27 | 2019-12-24 | 用于访问资源的方法、计算机可读介质以及移动设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11140146B2 (zh) |
| EP (1) | EP3675451B1 (zh) |
| JP (1) | JP7382818B2 (zh) |
| CN (1) | CN111385100B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) * | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US12041039B2 (en) * | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11190514B2 (en) * | 2019-06-17 | 2021-11-30 | Microsoft Technology Licensing, Llc | Client-server security enhancement using information accessed from access tokens |
| US11394724B1 (en) | 2019-06-21 | 2022-07-19 | Early Warning Services, Llc | Digital identity |
| US11888849B1 (en) | 2019-06-21 | 2024-01-30 | Early Warning Services, Llc | Digital identity step-up |
| US11140148B1 (en) * | 2020-03-30 | 2021-10-05 | Konica Minolta Business Solution U.S.A., Inc. | Method and system for instant single sign-on workflows |
| US11695769B2 (en) * | 2020-08-10 | 2023-07-04 | Cisco Technology, Inc. | Dynamic user authorization with a service provider |
| CN112738021B (zh) * | 2020-12-02 | 2023-10-24 | 海能达通信股份有限公司 | 单点登录方法、终端、应用服务器、认证服务器及介质 |
| CN112541190B (zh) * | 2020-12-03 | 2024-03-12 | 园测信息科技股份有限公司 | 基于统一用户信息的地图分权控制方法及控制系统 |
| US11516204B1 (en) | 2020-12-14 | 2022-11-29 | Express Scripts Strategic Development, Inc. | System and method for secure single sign on using security assertion markup language |
| CN112488799B (zh) * | 2020-12-14 | 2024-04-09 | 北京易兴元石化科技有限公司 | 一种基于加油站端的石油数据处理方法、装置及存储介质 |
| JP7547997B2 (ja) * | 2020-12-22 | 2024-09-10 | 富士フイルムビジネスイノベーション株式会社 | 画像形成装置、画像形成プログラム及び連携システム |
| CN112671796B (zh) * | 2020-12-31 | 2022-03-25 | 深圳软牛科技有限公司 | Google Driver云服务的认证获取方法、装置、设备及存储介质 |
| CN112822675B (zh) * | 2021-01-11 | 2021-11-23 | 北京交通大学 | 面向MEC环境的基于OAuth2.0的单点登录机制 |
| CN113703999B (zh) * | 2021-08-26 | 2024-06-25 | 众安信息技术服务有限公司 | 一种Web端与iOS端的交互方法及工具 |
| US20230185893A1 (en) * | 2021-12-10 | 2023-06-15 | Konica Minolta Business Solutions U.S.A., Inc. | Method and system for secure cloud access via password-less single sign-on (sso) for native marketplace applications on multifunction printers |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025495A (zh) * | 2009-09-17 | 2011-04-20 | 成都康赛电子科大信息技术有限责任公司 | 基于saml2.0的身份认证和管理 |
| CN102624737A (zh) * | 2012-03-27 | 2012-08-01 | 武汉理工大学 | 单点登录系统中针对Form身份鉴别的单点登录集成方法 |
| CN104255007A (zh) * | 2011-09-29 | 2014-12-31 | 甲骨文国际公司 | Oauth框架 |
| AU2013318497A1 (en) * | 2012-09-19 | 2015-04-02 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
| CN106063308A (zh) * | 2014-03-17 | 2016-10-26 | 瑞典爱立信有限公司 | 基于用户标识符的装置、身份和活动管理系统 |
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| WO2017196774A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
| CN108701182A (zh) * | 2016-08-31 | 2018-10-23 | 甲骨文国际公司 | 多租户身份云服务的数据管理 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6826696B1 (en) * | 1999-10-12 | 2004-11-30 | Webmd, Inc. | System and method for enabling single sign-on for networked applications |
| US7500262B1 (en) * | 2002-04-29 | 2009-03-03 | Aol Llc | Implementing single sign-on across a heterogeneous collection of client/server and web-based applications |
| US7356694B2 (en) * | 2004-03-10 | 2008-04-08 | American Express Travel Related Services Company, Inc. | Security session authentication system and method |
| WO2011128183A2 (en) * | 2010-04-13 | 2011-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for interworking with single sign-on authentication architecture |
| US8650622B2 (en) * | 2011-07-01 | 2014-02-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for authorizing and authentication interworking |
| JP5743786B2 (ja) * | 2011-07-28 | 2015-07-01 | キヤノン株式会社 | サーバー装置、情報処理方法及びプログラム |
| WO2013177687A1 (en) * | 2012-05-31 | 2013-12-05 | Netsweeper Inc. | Policy service authorization and authentication |
| US8745718B1 (en) | 2012-08-20 | 2014-06-03 | Jericho Systems Corporation | Delivery of authentication information to a RESTful service using token validation scheme |
| US8762731B2 (en) * | 2012-09-14 | 2014-06-24 | Sap Ag | Multi-system security integration |
| JP6256116B2 (ja) * | 2014-03-10 | 2018-01-10 | 富士通株式会社 | 通信端末、セキュアログイン方法、及びプログラム |
| US9729539B1 (en) * | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
| US9985953B2 (en) * | 2014-11-10 | 2018-05-29 | Amazon Technologies, Inc. | Desktop application fulfillment platform with multiple authentication mechanisms |
| US9578015B2 (en) * | 2014-10-31 | 2017-02-21 | Vmware, Inc. | Step-up authentication for single sign-on |
| US9467457B2 (en) * | 2015-01-13 | 2016-10-11 | Oracle International Corporation | Identity management and authentication system for resource access |
| US9503452B1 (en) * | 2016-04-07 | 2016-11-22 | Automiti Llc | System and method for identity recognition and affiliation of a user in a service transaction |
| AU2017278239B2 (en) * | 2016-06-06 | 2020-06-25 | Illumina, Inc. | Tenant-aware distributed application authentication |
| US10511589B2 (en) * | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
| US10445395B2 (en) * | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
| US10462124B2 (en) * | 2016-12-30 | 2019-10-29 | Google Llc | Authenticated session management across multiple electronic devices using a virtual session manager |
| US10708053B2 (en) * | 2017-05-19 | 2020-07-07 | Intuit Inc. | Coordinating access authorization across multiple systems at different mutual trust levels |
| US10735423B2 (en) * | 2017-05-25 | 2020-08-04 | Michael Boodaei | User authentication and authorization system for a mobile application |
| US11050730B2 (en) * | 2017-09-27 | 2021-06-29 | Oracle International Corporation | Maintaining session stickiness across authentication and authorization channels for access management |
-
2018
- 2018-12-27 US US16/233,998 patent/US11140146B2/en active Active
-
2019
- 2019-11-07 EP EP19207679.2A patent/EP3675451B1/en active Active
- 2019-12-19 JP JP2019228885A patent/JP7382818B2/ja active Active
- 2019-12-24 CN CN201911341467.1A patent/CN111385100B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025495A (zh) * | 2009-09-17 | 2011-04-20 | 成都康赛电子科大信息技术有限责任公司 | 基于saml2.0的身份认证和管理 |
| CN104255007A (zh) * | 2011-09-29 | 2014-12-31 | 甲骨文国际公司 | Oauth框架 |
| CN102624737A (zh) * | 2012-03-27 | 2012-08-01 | 武汉理工大学 | 单点登录系统中针对Form身份鉴别的单点登录集成方法 |
| AU2013318497A1 (en) * | 2012-09-19 | 2015-04-02 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
| CN106063308A (zh) * | 2014-03-17 | 2016-10-26 | 瑞典爱立信有限公司 | 基于用户标识符的装置、身份和活动管理系统 |
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| WO2017196774A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
| CN108701182A (zh) * | 2016-08-31 | 2018-10-23 | 甲骨文国际公司 | 多租户身份云服务的数据管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11140146B2 (en) | 2021-10-05 |
| CN111385100A (zh) | 2020-07-07 |
| EP3675451B1 (en) | 2023-11-01 |
| JP2020126602A (ja) | 2020-08-20 |
| JP7382818B2 (ja) | 2023-11-17 |
| EP3675451A1 (en) | 2020-07-01 |
| US20200213297A1 (en) | 2020-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111385100B (zh) | 用于访问资源的方法、计算机可读介质以及移动设备 | |
| US10397239B2 (en) | Secure access to cloud-based services | |
| JP7382753B2 (ja) | セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム | |
| EP3723341B1 (en) | Single sign-on for unmanaged mobile devices | |
| EP2055077B1 (en) | Method and apparatus for providing trusted single sign-on access to applications and internet-based services | |
| JP2020126602A5 (zh) | ||
| US10218691B2 (en) | Single sign-on framework for browser-based applications and native applications | |
| US8966594B2 (en) | Proxy authentication | |
| US10320771B2 (en) | Single sign-on framework for browser-based applications and native applications | |
| US8418234B2 (en) | Authentication of a principal in a federation | |
| US9485246B2 (en) | Distributed authentication with data cloud | |
| US9264420B2 (en) | Single sign-on for network applications | |
| US11811750B2 (en) | Mobile device enabled desktop tethered and tetherless authentication | |
| US20210099441A1 (en) | Method and system for one-time multiple registration chain with pki-credential anchoring and universal registration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |