CN116415223A - 第三方应用的单点登录的方法、系统及设备 - Google Patents
第三方应用的单点登录的方法、系统及设备 Download PDFInfo
- Publication number
- CN116415223A CN116415223A CN202111677170.XA CN202111677170A CN116415223A CN 116415223 A CN116415223 A CN 116415223A CN 202111677170 A CN202111677170 A CN 202111677170A CN 116415223 A CN116415223 A CN 116415223A
- Authority
- CN
- China
- Prior art keywords
- application
- party application
- target
- portal
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 63
- 230000004044 response Effects 0.000 claims abstract description 118
- 238000012795 verification Methods 0.000 claims abstract description 89
- 230000015654 memory Effects 0.000 claims description 18
- 238000010586 diagram Methods 0.000 description 17
- 238000013475 authorization Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000005291 magnetic effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 101001072091 Homo sapiens ProSAAS Proteins 0.000 description 2
- 102100036366 ProSAAS Human genes 0.000 description 2
- 230000009191 jumping Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
- G06F21/645—Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请的目的是提供一种第三方应用的单点登录的方法、系统及设备,本申请的系统包括配置管理中心及至少一个边缘节点,边缘节点上配置有应用门户;其中:配置管理中心用于对所述应用门户中的第三方应用进行配置以生成应用配置信息,并将所述应用配置信息向所述边缘节点进行发送;所述边缘节点用于在接收到由目标终端发送的针对所述第三方应用的访问请求时,向所述目标终端反馈响应报文,所述响应报文包括所述第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,所述自动提交表单用以供所述第三方应用进行安全验证。从而第三方应用自动完成认证登录,优化了登录体验。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种第三方应用的单点登录的方法、系统及设备。
背景技术
过去企业员工访问第三方SAAS应用时候,通常是直接使用在第三方应用注册的账号密码进行登录认证,完成认证后再使用第三方应用的服务;然而,随着企业规模的逐渐扩大,采用的第三方应用也逐渐增多,甚至是同一个第三方应用也会创建多个账号来提供不同的服务;过去场景下,企业只能直接将第三方SAAS应用的账密提供给需要使用的员工,如果想要控制账密泄露风险,则需要频繁修改密码,或者不断禁用账号,再创建新的账号,同时对于这些账号的安全管理也存在很大风险。另一方面,解决网页浏览器单点登录的问题时,也可以使用SAML(安全断言标记语言,Security Assertion Markup Language)方式,但是该单点登录方式是在内部网层面比较常见(例如使用Cookie),将其扩展到内部网之外则一直存在问题,并使得不可互操作的专有技术激增,因此使用SAML断言时还需要解决不可互操作、多租户下的SAML协议的配置隔离问题。
发明内容
本申请的一个目的是提供一种第三方应用的单点登录的方法、系统及设备,解决现有技术中用户对第三方应用的统一管理、控制、授权、登录等方面存在低效、不便捷以及不安全的问题。
根据本申请的一个方面,提供了一种第三方应用的单点登录的方法,应用于配置管理中心,该方法包括:
响应于针对应用门户的第三方应用的添加请求,接收并存储与所述第三方应用对应的应用配置信息;
将所述应用门户的元数据向所述第三方应用进行发送,以使所述第三方应用根据所述元数据与所述应用门户建立关联关系;
将所述应用配置信息发送至配置有所述应用门户的边缘节点,以使所述边缘节点在接收到针对所述第三方应用的访问请求时,发送根据所述应用配置信息生成的响应报文给所述目标终端,用以供所述第三方应用进行安全验证。
根据本申请又一方面,提供了一种第三方应用的单点登录的方法,应用于目标终端,该方法包括:
向边缘节点发送针对应用门户的登录请求,所述登录请求包括目标用户的身份信息;
接收并显示由所述边缘节点根据所述身份信息进行身份验证后反馈的第一响应页面;
根据目标用户从应用门户包含的至少一个第三方应用中确定的目标第三方应用,向配置有所述应用门户的边缘节点发送针对所述目标第三方应用的访问请求;
接收所述应用门户发送的响应报文,所述响应报文包括第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单;
向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
根据本申请另一个方面,提供了一种第三方应用的单点登录的方法,应用于边缘节点,所述边缘节点上配置有应用门户,该方法包括:
接收目标终端发送的针对应用门户的登录请求,所述登录请求包括目标用户的身份信息;
根据所述身份信息进行身份验证;
若验证通过,接收目标终端发送的针对所述应用门户中包含的至少一个第三方应用中确定的目标第三方应用的访问请求;
发送响应报文给所述目标终端,所述响应报文包括所述目标第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,以使所述目标终端向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
根据本申请另一个方面,提供了一种第三方应用的单点登录的方法,应用于第三方应用,该方法包括:
接收由目标终端发送的自动提交表单,所述自动提交表单包括所述经过验证的目标用户的身份信息;
根据所述自动提交表单对所述目标用户进行安全验证;
若所述安全验证通过,则向所述目标终端反馈登录后的第一应用页面。
根据本申请另一个方面,提供了一种第三方应用的单点登录系统,该系统包括配置管理中心以及至少一个边缘节点,所述边缘节点上配置有应用门户;其中:
所述配置管理中心用于对所述应用门户中的第三方应用进行配置以生成应用配置信息,并将所述应用配置信息向所述边缘节点进行发送;所述配置管理中心还用于将所述应用门户的元数据向所述第三方应用进行发送以建立所述应用门户与所述第三方应用的关联关系;
所述边缘节点用于在接收到由目标终端发送的针对所述第三方应用的访问请求时,向所述目标终端反馈响应报文,所述响应报文包括所述第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,所述自动提交表单用以供所述第三方应用进行安全验证。
根据本申请又一个方面,还提供了一种基于计算机的设备,所述设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如前述所述方法的操作。
根据本申请再一个方面,还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如前述所述的方法。
与现有技术相比,本申请通过配置管理中心、至少一个边缘节点以及边缘节点上配置的应用门户实现第三方应用的单点登录;其中:所述配置管理中心用于对所述应用门户中的第三方应用进行配置以生成应用配置信息,并将所述应用配置信息向所述边缘节点进行发送;所述配置管理中心还用于将所述应用门户的元数据向所述第三方应用进行发送以建立所述应用门户与所述第三方应用的关联关系;所述边缘节点用于在接收到由目标终端发送的针对所述第三方应用的访问请求时,向所述目标终端反馈响应报文,所述响应报文包括所述第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,所述自动提交表单用以供所述第三方应用进行安全验证。从而通过配置管理中心对多个第三方应用或同一第三方应用多个账号进行统一管理,并通过边缘节点上的应用门户为用户提供快速高效的统一身份认证,用户通过应用门户跳转到第三方应用,第三方应用自动完成认证登录,保证了第三方应用登录的安全性,也优化了登录体验。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请的一个方面提供的一种应用于配置管理中心的第三方应用的单点登录的方法流程示意图;
图2示出本申请一实施例中在配置管理中心进行配置第三方应用的应用配置信息的编辑页面示意图;
图3示出根据本申请又一方面提供的一种应用于目标终端的第三方应用的单点登录的方法的流程示意图;
图4示出本申请一实施例中在应用门户显示的第一响应页面的示意图;
图5示出根据本申请另一个方面提供的一种应用于边缘节点的第三方应用的单点登录的方法的流程示意图;
图6示出根据本申请另一个方面提供的一种应用于第三方应用的第三方应用的单点登录的方法的流程示意图;
图7示出本申请一实施例中一种第三方应用的单点登录系统的架构示意图;
图8示出本申请一实施例中多端进行交互实现第三方应用的单点登录的交互示意图;
图9示出根据本申请一个方面还提供的一种应用于配置管理中心的第三方应用的单点登录的设备的结构示意图;
图10示出根据本申请另一个方面还提供的一种应用于目标终端的第三方应用的单点登录的设备的结构示意图;
图11示出根据本申请又一个方面还提供的一种应用于边缘节点的第三方应用的单点登录的设备的结构示意图;
图12示出根据本申请再一个方面还提供的一种应用于第三方应用的第三方应用的单点登录的设备的结构示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(例如中央处理器(Central Processing Unit,CPU))、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RandomAccess Memory,RAM)和/或非易失性内存等形式,如只读存储器(Read Only Memory,ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(Phase-Change RAM,PRAM)、静态随机存取存储器(Static Random Access Memory,SRAM)、动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、数字多功能光盘(Digital Versatile Disk,DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
图1示出根据本申请的一个方面提供的一种应用于配置管理中心的第三方应用的单点登录的方法流程示意图,该方法包括:步骤S11~步骤S13,其中,
步骤S11,响应于针对应用门户的第三方应用的添加请求,接收并存储与所述第三方应用对应的应用配置信息。
其中,应用门户可以是集成有至少一个第三方应用的应用管理平台,用户可以通过该应用门户便捷登录各第三方应用。
针对应用门户的第三方应用的添加请求可以是请求在应用门户中添加统一管理的第三方应用的信息,从而实现对用户需要点击访问的多个第三方应用的统一管理、授权、控制以及登录。在一示例中,配置管理中心可以提供应用门户配置功能,用户可以通过登录配置管理中心,在该配置管理中心所提供的界面中点击特定区域(例如“添加应用”按键等)以生成针对应用门户的第三方应用的添加请求。
应用配置信息可以包括但不限于应用名称、应用类型、应用图标、应用的会话过期时长以及会话时第三方应用需要应用门户携带的附加信息中的至少一种。由此,应用门户可以通过应用图标以及应用名称对第三方应用进行展示,以供用户进行选择目标第三方应用进行自动登录。而通过应用的会话过期时长、会话时第三方应用需要应用门户携带的附加信息等用于第三方应用与应用门户之间进行交互,例如根据会话过期时间可以确定建立会话后多长时间后过期,根据会话时第三方应用需要应用门户携带的附加信息可以确定进行会话时第三方应用需要应用门户提供哪些信息等。
在本申请一示例实施例中,应用门户用于向第三方应用提供用户身份信息,第三方应用可以是向用户提供服务的网页端应用,配置管理中心可以对应用门户中的第三方应用进行配置和管理。配置管理中心可以响应于对第三方应用的添加请求,接收第三方应用的应用配置信息并将该应用配置信息进行存储,例如配置管理中心可以响应于针对第三方应用的添加请求,提供应用配置信息编辑界面,该应用配置信息编辑界面可以包括至少一个编辑选项以供用户进行输入应用配置信息,配置管理中心可以接收用户所输入的应用配置信息,并进行存储。
步骤S12,将所述应用门户的元数据向所述第三方应用进行发送,以使所述第三方应用根据所述元数据与所述应用门户建立关联关系。
其中,应用门户的元数据可以是用于描述应用门户所传递的数据的数据特征的信息,该应用门户的元数据可以包括但不限于以下至少之一:应用门户的标识信息、证书、所支持的名称标识符的格式以及对外服务地址信息。
在本申请一示例性实施例中,应用门户(IDP)的元数据可以便于第三方应用信任该企业的应用门户,内含标准化的应用门户标识信息,元数据包括以下内容:应用门户的标识信息(Entity ID)用于申明当前应用门户实体,IDP证书用于后续第三方应用进行验证SAML响应报文中签名的准确性,所支持的名称标签符的格式(Name ID Format)用于申明当前IDP支持几种Name ID格式,其中,Name ID格式包括unspecified、emailAddress、persistent、transient等,对外服务地址信息(SSO Location)为单点登录对外服务地址。
在该实施例中,配置管理中心可以将应用门户的元数据发送给第三方应用,从而使得第三方应用在该元数据的基础上与应用门户建立关联关系,以便于第三方应用信任该企业的应用门户,该企业的用户可以通过登录应用门户实现对第三方应用的跳转。
在一示例中,应用门户的元数据可以预先存储于配置管理中心中,当需要向第三方应用发送元数据时,配置管理中心可以从自身的存储空间中获取该元数据并向第三方应用进行发送;在另一示例中,应用门户的元数据也可以存储于其他服务器中,例如应用门户管理数据库、或者SAML服务中心等等,配置管理中心可以向其他服务器请求并接收应用门户的元数据,以将接收到的应用门户的元数据向第三方应用进行转发。需要说明的,本领域技术人员可以根据实际实现需要,确定对应的应用门户的元数据的存储方式,本申请对此不作特殊限定。
步骤S13,将所述应用配置信息发送至配置有所述应用门户的边缘节点,以使所述边缘节点在接收到针对所述第三方应用的访问请求时,发送根据所述应用配置信息生成的响应报文给所述目标终端,用以供所述第三方应用进行安全验证。
其中,边缘节点可以为部署在各地理区域的机房或节点,为应用门户的用户提供就近的数据传输的服务,从而可以降低服务延迟。需要说明的,该边缘节点可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、边缘云以及大数据和人工智能平台等基础云计算服务的云服务器,本申请对此不作特殊限定。
响应报文可以是用于供第三方应用进行安全验证的信息,第三方应用通过对该响应报文进行安全验证,以确定该访问是否合法。在一示例中,响应报文可以是SAML响应报文,具体地,可以在SAML中定义身份提供者(Identity Provider)和服务提供者(ServiceProvider),通过身份提供者和服务提供者构成了不同的安全域,从而在不同的安全域之间交换认证和授权数据。
在本申请一示例实施例中,使用SAML响应报文,可以实现三个角色:SP(ServiceProvider)可以是向用户提供服务的web端应用(即第三方应用),IDP(Identity Provider)(比如企业的应用门户)用于向SP提供用户身份信息,Browser(用户浏览器)用于通过登录IDP获取该SAML响应报文并向SP提交该SAML响应报文,在SP认证通过后使用SP提供的服务。
在本申请一示例性实施例中,边缘节点上可以配置有应用门户,从而用户对应用门户进行访问时,不需要再访问至中心节点,以减少延迟。配置管理中心将第三方应用的应用配置信息下发至配置有应用门户的边缘节点中,从而使得边缘节点与第三方应用以及应用门户建立关联。用户使用目标终端通过应用门户对第三方应用访问时,可以向边缘节点发送针对第三方应用的访问请求,边缘节点在接收到该访问请求后,可以根据该第三方应用对应的应用配置信息生成该访问请求的响应报文,边缘节点将该响应报文发送给目标终端。目标终端可以将该响应报文向第三方应用进行发送,从而进行用户单点登录第三方应用时的安全验证,无需传统的账密,也不需要用户再次登录,直接可以从应用门户跳转即可直接完成登录第三方应用,保证了第三方应用登录的安全性,也优化了登录体验。
在本申请一示例实施例中,步骤S11包括:
根据接收到的针对应用门户的第三方应用的添加请求,显示应用配置信息编辑界面,所述应用配置信息编辑界面包括至少一个应用配置信息编辑选项;
根据所述至少一个应用配置信息编辑选项接收到的编辑信息,生成并存储与所述第三方应用对应的应用配置信息。
在该实施例中,在配置管理中心对第三方应用进行配置时,根据接收到的该第三方应用的添加请求,配置管理中心可以在界面中(例如目标终端的显示界面等)显示出用于配置第三方应用的应用配置信息的应用配置信息编辑界面,以供在该编辑界面上进行配置操作。具体地,在该编辑界面中可以设置至少一个应用配置信息的编辑选项,从而根据界面上的编辑选项接收到的管理人员的编辑信息,根据该编辑信息生成第三方应用对应的应用配置信息,并将生成的应用配置信息进行存储。
由此,通过配置管理中心进行统一配置管理,方便用户管理多个第三方应用或者同一第三方应用多个账号,可以解决用户对多个第三方应用在统一管理、控制、授权以及登录等方面的问题,也可以解决用户对相同第三方应用多个账号的统一管理、控制、授权以及登录等问题。
其中,所述至少一个应用配置信息编辑选项包括所述第三方应用进行安全验证时所需信息的编辑选项。在此,如图2所示,在编辑界面中对应用名称为“第三方应用XXX”的第三方应用进行配置信息时,编辑选项包括第三方应用进行安全验证时所需信息的编辑选项,配置该应用的应用要求的编辑选项以及可以进行调整属性内容的编辑选项,如模板类型、应用类型、应用的所支持的名称标签符的格式(Name ID Format)、应用图标、会话过期时长、第三方应用要求应用门户需要携带过去的附加信息等。
用户可根据编辑选项调整可调整的应用的属性内容,调整的值由第三方应用要求应用门户在提交响应内容时需要携带的内容决定。通过编辑选项可以灵活配置所需的第三方应用的应用配置信息,从而实现应用级别的账号权限控制,通过统一的配置管理中心可便捷给用户分配或移除应用权限。
图3示出根据本申请又一方面提供的一种应用于目标终端的第三方应用的单点登录的方法的流程示意图,该方法至少包括步骤S21~S25,其中,
在步骤S21中,向边缘节点发送针对应用门户的登录请求,所述登录请求包括目标用户的身份信息。
其中,针对应用门户的登录请求可以是用于请求登录应用门户的信息,用户通过浏览器进行访问时需要登录应用门户,登录时会产生对该应用门户的登录请求,以便应用门户对进行访问的用户进行身份验证,确定用户是否可以进行登录。
目标用户为访问应用门户的用户,目标用户的身份信息可以为标识用户身份的一些信息,包括但不限于用户在企业的员工号、花名、登录账号等信息。
在本申请一示例实施例中,用户通过目标终端打开浏览器,向边缘节点发送针对应用门户的登录请求,该登录请求可以携带有当前访问应用门户的目标用户的身份信息,应用门户根据该身份信息进行身份验证,以检测用户是否可以进行登录。
接着,在步骤S22中,接收并显示由所述边缘节点根据所述身份信息进行身份验证后反馈的第一响应页面。
其中,第一响应页面可以是对身份信息进行验证后的页面响应情况,比如用户身份验证通过,则第一响应页面可以为成功登录应用门户后的页面,其可以包括用户可以访问的应用列表信息,以供用户选择其中的目标第三方应用进行跳转。若用户身份验证未通过,则第一响应页面可以为包含了拒绝登录的提示信息的页面,或者包含了提示身份信息错误的信息的页面,等等。
在本申请一示例实施例中,将登录请求向边缘节点发送后,接收由边缘节点反馈的对目标用户的身份信息进行验证的验证结果,从而在浏览器上显示出第一响应页面,该第一响应页面上可以包括边缘节点反馈的验证结果,比如对目标用户的身份信息验证通过后,在第一响应页面上显示出与应用门户关联的第三方应用的应用列表(如图4所示),以方便用户后续通过应用门户完成对第三方应用的访问。
在步骤S23中,根据目标用户从应用门户包含的至少一个第三方应用中确定的目标第三方应用,向配置有所述应用门户的边缘节点发送针对所述目标第三方应用的访问请求。
其中,目标第三方应用可以是用户通过应用门户展示出的第三方应用列表中选择的当前需要使用的第三方应用,比如展示的第三方应用为应用A、应用B和应用C,则用户选择应用A时可以通过点击应用门户上应用A的图标,以确定应用A为目标第三方应用。
继续参考图4,目标用户从应用门户显示出的第一响应页面上选择目标第三方应用,即从应用门户展示的第三方应用列表中选择出所需要登录的第三方应用,从而向配置有该应用门户的边缘节点发送该目标第三方应用的访问请求,以便完成跳转到目标第三方应用并且自动完成登录。
在步骤S24中,接收所述应用门户发送的响应报文,所述响应报文包括第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单。
其中,响应报文可以使用SAML响应报文,通过使用SAML的方式实现第三方应用的单点登录,在SAML响应报文中包括需要进行登录的第三方应用的单点登录地址以及自动提交表单,该自动提交表单是根据经过验证的身份信息得到的。
在本申请一示例实施例中,由应用门户跳转到目标第三方应用前,目标终端接收应用门户发送的携带了有关目标第三方应用进行登录的响应报文,该响应报文可以包括目标第三方应用的单点登录地址以及经过验证的身份信息的自动提交表单。其中,将进行安全登录所需的验证信息包装成自动提交表单可以将SAML响应报文进行提交传递数据,简洁高效且浏览器兼容性好,不需要依赖其他前端组件,可以进行自动提交,使得用户无感知。
在步骤S25中,向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
在该步骤中,由于该单点登录地址与目标第三方应用相对应,目标终端上的浏览器可以向该单点登录地址(即该目标第三方应用)发送自动提交表单,从而使目标第三方应用在接收到该自动提交表单后进行安全验证,以在用户无感知的情况下完成第三方应用的安全登录。
在本申请一些实施例中,所述方法还包括:
接收并显示由所述目标第三方应用根据所述安全验证的验证结果反馈的第二响应页面。
其中,第二响应页面可以为第三方应用根据自动提交表单进行安全验证后所反馈的页面,例如可以为安全验证通过后向用户展示成功登录第三方应用后的页面或为安全验证未通过后向用户提示验证失败的一个提示页面等。
在该实施例中,目标第三方应用对自动提交表单进行验证后得到安全验证的验证结果,从而将该验证结果反馈给目标终端,在目标终端上显示根据该验证结果反馈的第二响应页面,若验证结果为验证通过,则第二响应页面可以为成功登录第三方应用后的页面,若验证结果为验证失败,则第二响应页面可为提示用户验证失败的提示页面。
图5示出根据本申请另一个方面提供的一种第三方应用的单点登录的方法的流程示意图,应用于边缘节点,该边缘节点上配置有应用门户,该方法至少包括步骤S31~步骤S34,其中,
步骤S31,接收目标终端发送的针对应用门户的登录请求,所述登录请求包括目标用户的身份信息。
其中,针对应用门户的登录请求可以是用于请求登录应用门户的信息,用户通过浏览器进行访问时需要登录应用门户,登录时会产生对该应用门户的登录请求,以便应用门户对进行访问的用户进行身份验证,确定用户是否可以进行登录。
在本申请一示例实施例中,目标用户进行访问时为了减少延迟将访问流量引流至就近的边缘节点,该边缘节点上配置了应用门户,从而可以接收目标终端发送的针对该应用门户的登录请求,该登录请求携带了目标用户的身份信息,比如当前使用的登录账号以及密码等。
步骤S32,根据所述身份信息进行身份验证。
在该实施例中,边缘节点可以根据该登录请求中携带的身份信息进行身份验证,以确定该用户是否可以登录该应用门户。
步骤S33,若验证通过,接收目标终端发送的针对所述应用门户中包含的至少一个第三方应用中确定的目标第三方应用的访问请求。
其中,访问请求可以是针对用户选择的需要进行访问的第三方应用的访问请求。用户可以从应用门户中所展示的至少一个第三方应用中选取出需要进行访问的目标第三方应用,目标终端可以根据该目标第三方应用生成对应的访问请求,并将该访问请求向应用门户所在的边缘节点进行发送。
在本申请一示例实施例中,边缘节点接收到登录请求后,根据目标用户的身份信息对该目标用户进行身份验证,若验证通过,则表示用户可以登录该应用门户,并对应用门户中的至少一个第三方应用进行访问。因此,在身份验证通过后,边缘节点可以接收由目标终端发送的针对目标第三方应用访问请求,该访问请求为用户对通过应用门户从至少一个第三方应用中选择出的目标第三方应用进行访问的请求,比如用户的身份验证通过后,在应用门户显示的响应页面上的第三方应用列表中选择出目标第三方应用A,边缘节点接收用户对该目标第三方应用A的访问请求。
接着,步骤S34,发送响应报文给所述目标终端,所述响应报文包括所述目标第三方应用的单点登录地址,以及包含了经过验证的身份信息的自动提交表单,以使所述目标终端向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
在本申请一示例性实施例中,当接收到对目标第三方应用的访问请求后,边缘节点可以将针对于该访问请求生成的响应报文发送给目标终端,以使目标终端根据响应报文中的目标第三方应用的单点登录地址向该目标第三方应用发送响应报文中的包含了经过验证的身份信息的自动提交表单,使得目标第三方应用针对该自动提交表单进行安全验证,以完成用户对目标第三方应用的登录。由此,用户在进入应用门户后,所有第三方应用均可自动完成认证登录,既保证了登录的安全性,也优化了用户的登录体验。
在本申请一些实施例中,所述响应报文包括:根据所述目标第三方应用对应的应用配置信息生成的响应报文。
其中,第三方应用对应的应用配置信息为配置管理中心对该第三方应用进行配置的信息,可以包含应用名称、应用类型、应用图标、应用的会话过期时长以及第三方应用需要应用门户携带的附加信息等,从而可以在应用门户通过应用图标以及应用名称进行展示。
在该实施例中,通过配置管理中心配置目标第三方应用的应用配置信息,从而在用户进行访问目标第三方应用时,可以根据目标第三方应用对应的应用配置信息生成响应报文以利用响应报文完成安全验证,该响应报文可以为SAML响应报文,包含了经过验证的用户的身份信息。生成后的响应报文的原始数据可以包括应用门户的Entity ID、响应签名信息、用户信息以及目标第三方应用(SP)接收方信息等。目标第三方应用可以根据该目标第三方应用对应的应用配置信息生成的响应报文进行安全验证,以确保用户登录的安全性。
接上述实施例,所述方法还包括:从配置管理中心获取预先配置的所述目标第三方应用对应的应用配置信息。
其中,至少一个第三方应用集成在应用门户上,通过应用门户对所包含的第三方应用进行管理,用户可以通过该应用门户便捷登录各个第三方应用,当用户当前需要登录某一个第三方应用时,该第三方应用为目标第三方应用,登录该目标第三方应用时需要获取到对应的应用配置信息,而该应用配置信息可以是由管理人员在配置管理中心中进行配置并预先存储在配置管理中心的。边缘节点可以从该配置管理中心获取目标第三方应用对应的应用配置信息,从而方便后续根据获取到的应用配置信息生成响应报文,以反馈给目标终端。
在本申请一示例性实施例中,所述从配置管理中心获取预先配置的所述目标第三方应用对应的应用配置信息,包括:
检测是否存储有所述目标第三应用对应的应用配置信息;
若有,则获取所述应用配置信息;
若无,则向配置管理中心发送所述应用配置信息的获取请求,并接收由所述配置管理中心根据所述获取请求反馈的应用配置信息。
在该实施例中,当需要获取目标第三方应用对应的配置信息时,边缘节点可以先检测自身是否存储有该目标第三方应用对应的应用配置信息,若有,则边缘节点可以从自身的存储空间中获取该应用配置信息。若无,则边缘节点可以向配置管理中心发送该应用配置信息的获取请求,以使配置管理中心在接收到该获取请求后将配置好的应用配置信息下发至该应用门户所在的边缘节点。
在一示例中,该获取请求可以包含该目标第三方应用的标识信息,以便于配置管理中心根据该目标第三方应用的标识信息查找对应的应用配置信息。
在本申请一示例性实施例中,步骤S34包括:
将所述目标第三方应用对应的应用配置信息向SAML服务中心发送,以使所述SAML服务中心根据所述应用配置信息生成响应报文;
接收由所述SAML服务中心反馈的响应报文,并发送所述响应报文给所述目标终端。
在该实施例中,当边缘节点接收到针对目标第三方应用的访问请求时,边缘节点将该目标第三方应用的应用配置信息向SAML服务中心发送,以使SAML服务中心根据该应用配置信息生成响应报文。边缘节点可以基于第三方应用的单点登录对外服务地址信息以及编码后的SAML响应报文,将该第三方应用的单点登录对外服务地址信息以及编码后的SAML响应报文展示在同一自动提交表单中,并将所述自动提交表单返回至目标终端。
图6示出根据本申请另一个方面提供的一种应用于第三方应用的第三方应用的单点登录的方法的流程示意图,该方法至少包括:
步骤S41,接收由目标终端发送的自动提交表单,所述自动提交表单包括经过验证的目标用户的身份信息。
其中,自动提交表单可以是应用门户将基于第三方应用的应用配置信息所生成的响应报文进行包装而生成的表单,该自动提交表单可以在返馈给目标终端后向第三方应用进行自动提交,便于后续的身份验证,快速实现第三方应用的登录。
在本申请一示例实施例中,应用门户返回一个自动提交表单给目标终端上的用户浏览器,用户浏览器将该自动提交表单发送到第三方应用,该自动提交表单包括了经过验证的目标用户的身份信息,即包括了对用户登录应用门户时的身份信息。
在步骤S42中,根据所述自动提交表单对所述目标用户进行安全验证。
在该实施例中,第三方应用接收到该自动提交表单后,第三方应用可以根据在先接收到的元数据中包含的证书,对自动提交表单里面的签名进行验证,以判定该目标用户是否可以进行安全登录。
接着,在步骤S43中,若所述安全验证通过,则向所述目标终端反馈登录后的第一应用页面。
其中,第一应用页面可以为成功登录目标第三方应用后的首页面,即目标第三方应用的首页面,便于用户对目标第三方应用进行访问和使用。
当验证响应报文通过,即目标用户通过安全验证,第三方应用则将成功登录第三方应用后的第一应用页面反馈给目标终端,表示该用户在第三方应用完成登录认证,用户可以直接使用第三方应用提供的服务,全程无需用户输入第三方应用相关的账号密码。
在本申请一些实施例中,在所述根据所述自动提交表单对所述目标用户进行安全验证之后,还包括:若所述安全验证未通过,则向所述目标终端反馈用以提示拒绝访问的第二应用页面。
其中,第一应用页面和第二应用页面可以包含于上述的第二响应页面中,第二应用页面可以为无法登录目标第三方应用时的一个提示页面,该提示页面可以告知目标用户当前是拒绝目标用户访问该目标第三方应用的。
在本申请一示例实施例中,当根据自动提交表单的内容对目标用户进行安全验证未通过,则将第二应用页面反馈给目标终端,该第二应用页面用于提示用户拒绝访问,以保证登录第三方应用的安全性。
在本申请一些实施例中,根据本申请另一个方面,还提供了一种第三方应用的单点登录系统,该系统包括配置管理中心以及至少一个边缘节点,所述边缘节点上配置有应用门户;其中:
所述配置管理中心用于对所述应用门户中的第三方应用进行配置以生成应用配置信息,并将所述应用配置信息向所述边缘节点进行发送;所述配置管理中心还用于将所述应用门户的元数据向所述第三方应用进行发送以建立所述应用门户与所述第三方应用的关联关系;
所述边缘节点用于在接收到由目标终端发送的针对所述第三方应用的访问请求时,向所述目标终端反馈响应报文,所述响应报文包括所述第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,所述自动提交表单用以供所述第三方应用进行安全验证。
如图7所示,第三方应用的单点登录系统的架构示意图,包括配置管理中心、边缘节点,边缘节点上可以配置有应用门户,该应用门户上集成了至少一个第三方应用,从而通过交互完成第三方应用的单点登录。具体地,图7的架构图可以使用如图8所示的流程示意图中的步骤来实现单点登录。首先,在配置管理中心对部署在边缘节点的应用门户中的第三方应用进行配置从而生成应用配置信息,将这些应用配置信息下发至边缘节点中。配置管理中心将应用门户的元数据向第三方应用进行发送以使第三方应用建立与应用门户之间的关联关系。从而利用关联关系实现应用门户与第三方应用的交互,通过登录应用门户实现对第三方应用的跳转。
当用户通过目标终端的浏览器访问应用门户中的第三方应用时,边缘节点接收到针对第三方应用的访问请求。应用门户可以根据该访问请求向SAML服务中心请求生成SAML响应报文,应用门户可以对该SAML响应报文进行包装以生成携带有该响应报文的自动提交表单,并将该自动提交表单返回给目标终端,目标终端上的用户浏览器则根据该自动提交表单将SAML响应报文自动提交到第三方应用。第三方应用对该SAML响应报文进行验证,当验证通过时返回登录页面给用户浏览器,实现第三方应用的单点登录。
此外,本申请实施例还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现前述一种第三方应用的单点登录的方法。
与上文所述的方法相对应的,本申请还提供一种设备,其包括能够执行上述各个实施例所述的方法步骤的模块或单元,这些模块或单元可以通过硬件、软件或软硬结合的方式来实现,本申请并不限定。例如,在本申请一实施例中,还提供了一种第三方应用的单点登录的设备,所述设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如前述所述方法的操作。
图9示出根据本申请一个方面还提供的一种应用于配置管理中心的第三方应用的单点登录的设备的结构示意图,该设备1包括:响应装置11、第一发送装置12以及第二发送装置13,其中,响应装置11用于响应于针对应用门户的第三方应用的添加请求,接收并存储与所述第三方应用对应的应用配置信息;第一发送装置12用于将所述应用门户的元数据向所述第三方应用进行发送,以使所述第三方应用根据所述元数据与所述应用门户建立关联关系;第二发送装置13用于将所述应用配置信息发送至配置有所述应用门户的边缘节点,以使所述边缘节点在接收到针对所述第三方应用的访问请求时,发送根据所述应用配置信息生成的响应报文给所述目标终端,用以供所述第三方应用进行安全验证。
需要说明的是,响应装置11、第一发送装置12以及第二发送装置13执行的内容分别与上述步骤S11、S12和S13中的内容相同或相应相同,为简明起见,在此不再赘述。
图10示出根据本申请另一个方面还提供的一种应用于目标终端的第三方应用的单点登录的设备的结构示意图,该设备2包括:请求装置21、显示装置22、确定装置23、第一接收装置24以及第三发送装置25,其中,请求装置21用于向所述边缘节点发送针对所述应用门户的登录请求,所述登录请求包括所述目标用户的身份信息;显示装置22用于接收并显示由所述边缘节点根据所述身份信息进行身份验证后反馈的第一响应页面;确定装置23用于根据目标用户从应用门户包含的至少一个第三方应用中确定的目标第三方应用,向配置有所述应用门户的边缘节点发送针对所述目标第三方应用的访问请求;第一接收装置24用于接收所述应用门户发送的响应报文,所述响应报文包括第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单;第三发送装置25用于向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
需要说明的是,请求装置21、显示装置22、确定装置23、第一接收装置24以及第三发送装置25执行的内容分别与上述步骤S21、S22、S23、S24及S25中的内容相同或相应相同,为简明起见,在此不再赘述。
图11示出根据本申请又一个方面还提供的一种应用于边缘节点的第三方应用的单点登录的设备的结构示意图,该设备3包括:第二接收装置31、验证装置32、第三接收装置33及第四发送装置34,其中,第二接收装置31用于接收目标终端发送的针对所述应用门户的登录请求,所述登录请求包括所述目标用户的身份信息;验证装置32用于根据所述身份信息进行身份验证;第三接收装置33用于若验证通过,接收目标终端发送的针对所述应用门户中包含的至少一个第三方应用中确定的目标第三方应用的访问请求;第四发送装置34用于发送响应报文给所述目标终端,所述响应报文包括所述目标第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,以使所述目标终端向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
需要说明的是,第二接收装置31、验证装置32、第三接收装置33及第四发送装置34执行的内容分别与上述步骤S31、S32、S33及S34中的内容相同或相应相同,为简明起见,在此不再赘述。
图12示出根据本申请再一个方面还提供的一种应用于第三方应用的第三方应用的单点登录的设备的结构示意图,该设备4包括:第四接收装置41、用户验证装置42及反馈装置43,其中,第四接收装置41用于接收由目标终端发送的自动提交表单,所述自动提交表单包括所述经过验证的目标用户的身份信息;用户验证装置42用于根据所述自动提交表单对所述目标用户进行安全验证;反馈装置43用于若所述安全验证通过,则向所述目标终端反馈登录后的第一应用页面。
需要说明的是,第四接收装置41、用户验证装置42及反馈装置43执行的内容分别与上述步骤S41、S42及S43中的内容相同或相应相同,为简明起见,在此不再赘述。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (20)
1.一种第三方应用的单点登录的方法,其特征在于,应用于配置管理中心,所述方法包括:
响应于针对应用门户的第三方应用的添加请求,接收并存储与所述第三方应用对应的应用配置信息;
将所述应用门户的元数据向所述第三方应用进行发送,以使所述第三方应用根据所述元数据与所述应用门户建立关联关系;
将所述应用配置信息发送至配置有所述应用门户的边缘节点,以使所述边缘节点在接收到针对所述第三方应用的访问请求时,发送根据所述应用配置信息生成的响应报文给所述目标终端,用以供所述第三方应用进行安全验证。
2.根据权利要求1所述的方法,其特征在于,所述响应于针对应用门户的第三方应用的添加请求,接收并存储与所述第三方应用对应的应用配置信息,包括:
根据接收到的针对应用门户的第三方应用的添加请求,显示应用配置信息编辑界面,所述应用配置信息编辑界面包括至少一个应用配置信息编辑选项;
根据所述至少一个应用配置信息编辑选项接收到的编辑信息,生成并存储与所述第三方应用对应的应用配置信息。
3.根据权利要求2所述的方法,其特征在于,所述至少一个应用配置信息编辑选项包括所述第三方应用进行安全验证时所需信息的编辑选项。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述应用门户的元数据包括以下至少之一:应用门户的标识信息、证书、所支持的名称标识符的格式以及对外服务地址信息。
5.一种第三方应用的单点登录的方法,其特征在于,应用于目标终端,所述方法包括:
向边缘节点发送针对应用门户的登录请求,所述登录请求包括目标用户的身份信息;
接收并显示由所述边缘节点根据所述身份信息进行身份验证后反馈的第一响应页面;
根据目标用户从应用门户包含的至少一个第三方应用中确定的目标第三方应用,向配置有所述应用门户的边缘节点发送针对所述目标第三方应用的访问请求;
接收所述应用门户发送的响应报文,所述响应报文包括第三方应用的单点登录地址,以及包含了经过验证的身份信息的自动提交表单;
向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收并显示由所述目标第三方应用根据所述安全验证的验证结果反馈的第二响应页面。
7.一种第三方应用的单点登录的方法,其特征在于,应用于边缘节点,所述边缘节点上配置有应用门户,所述方法包括:
接收目标终端发送的针对应用门户的登录请求,所述登录请求包括目标用户的身份信息;
根据所述身份信息进行身份验证;
若验证通过,接收目标终端发送的针对所述应用门户中包含的至少一个第三方应用中确定的目标第三方应用的访问请求;
发送响应报文给所述目标终端,所述响应报文包括所述目标第三方应用的单点登录地址,以及包含了经过验证的身份信息的自动提交表单,以使所述目标终端向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
8.根据权利要求7所述的方法,其特征在于,所述响应报文包括:根据所述目标第三方应用对应的应用配置信息生成的响应报文。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:从配置管理中心获取预先配置的所述目标第三方应用对应的应用配置信息。
10.根据权利要求9所述的方法,其特征在于,所述从配置管理中心获取预先配置的所述目标第三方应用对应的应用配置信息,包括:
检测是否存储有所述目标第三应用对应的应用配置信息;
若有,则获取所述应用配置信息;
若无,则向配置管理中心发送所述应用配置信息的获取请求,并接收由所述配置管理中心根据所述获取请求反馈的应用配置信息。
11.根据权利要求8或9所述的方法,其特征在于,所述发送响应报文给所述目标终端,包括:
将所述目标第三方应用对应的应用配置信息向SAML服务中心发送,以使所述SAML服务中心根据所述应用配置信息生成响应报文;
接收由所述SAML服务中心反馈的响应报文,并发送所述响应报文给所述目标终端。
12.一种第三方应用的单点登录的方法,其特征在于,应用于第三方应用,所述方法包括:
接收由目标终端发送的自动提交表单,所述自动提交表单包括所述经过验证的目标用户的身份信息;
根据所述自动提交表单对所述目标用户进行安全验证;
若所述安全验证通过,则向所述目标终端反馈登录后的第一应用页面。
13.根据权利要求12所述的方法,其特征在于,在所述根据所述自动提交表单对所述目标用户进行安全验证之后,还包括:
若所述安全验证未通过,则向所述目标终端反馈用以提示拒绝访问的第二应用页面。
14.一种第三方应用的单点登录系统,其特征在于,包括配置管理中心以及至少一个边缘节点,所述边缘节点上配置有应用门户;其中:
所述配置管理中心用于对所述应用门户中的第三方应用进行配置以生成应用配置信息,并将所述应用配置信息向所述边缘节点进行发送;所述配置管理中心还用于将所述应用门户的元数据向所述第三方应用进行发送以建立所述应用门户与所述第三方应用的关联关系;
所述边缘节点用于在接收到由目标终端发送的针对所述第三方应用的访问请求时,向所述目标终端反馈响应报文,所述响应报文包括所述第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,所述自动提交表单用以供所述第三方应用进行安全验证。
15.一种第三方应用的单点登录的设备,其特征在于,应用于配置管理中心,所述设备包括:
响应装置,用于响应于针对应用门户的第三方应用的添加请求,接收并存储与所述第三方应用对应的应用配置信息;
第一发送装置,用于将所述应用门户的元数据向所述第三方应用进行发送,以使所述第三方应用根据所述元数据与所述应用门户建立关联关系;
第二发送装置,用于将所述应用配置信息发送至配置有所述应用门户的边缘节点,以使所述边缘节点在接收到针对所述第三方应用的访问请求时,发送根据所述应用配置信息生成的响应报文给所述目标终端,用以供所述第三方应用进行安全验证。
16.一种第三方应用的单点登录的设备,其特征在于,应用于目标终端,所述设备包括:
请求装置,用于向边缘节点发送针对应用门户的登录请求,所述登录请求包括目标用户的身份信息;
显示装置,用于接收并显示由所述边缘节点根据所述身份信息进行身份验证后反馈的第一响应页面;
确定装置,用于根据目标用户从应用门户包含的至少一个第三方应用中确定的目标第三方应用,向配置有所述应用门户的边缘节点发送针对所述目标第三方应用的访问请求;
第一接收装置,用于接收所述应用门户发送的响应报文,所述响应报文包括第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单;
第三发送装置,用于向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
17.一种第三方应用的单点登录的设备,其特征在于,应用于边缘节点,所述设备包括:
第二接收装置,用于接收目标终端发送的针对应用门户的登录请求,所述登录请求包括目标用户的身份信息;
验证装置,用于根据所述身份信息进行身份验证;
第三接收装置,用于若验证通过,接收目标终端发送的针对所述应用门户中包含的至少一个第三方应用中确定的目标第三方应用的访问请求;
第四发送装置,用于发送响应报文给所述目标终端,所述响应报文包括所述目标第三方应用的单点登录地址,以及包含了所述经过验证的身份信息的自动提交表单,以使所述目标终端向所述单点登录地址对应的目标第三方应用发送所述自动提交表单以进行安全验证。
18.一种第三方应用的单点登录的设备,其特征在于,应用于第三方应用,所述设备包括:
第四接收装置,用于接收由目标终端发送的自动提交表单,所述自动提交表单包括所述经过验证的目标用户的身份信息;
用户验证装置,用于根据所述自动提交表单对所述目标用户进行安全验证;
反馈装置,用于若所述安全验证通过,则向所述目标终端反馈登录后的第一应用页面。
19.一种基于计算机的设备,其特征在于,所述设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如权利要求1至13中任一项所述方法的操作。
20.一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1至13中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111677170.XA CN116415223A (zh) | 2021-12-31 | 2021-12-31 | 第三方应用的单点登录的方法、系统及设备 |
PCT/CN2022/144019 WO2023125954A1 (zh) | 2021-12-31 | 2022-12-30 | 第三方应用的单点登录的方法、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111677170.XA CN116415223A (zh) | 2021-12-31 | 2021-12-31 | 第三方应用的单点登录的方法、系统及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116415223A true CN116415223A (zh) | 2023-07-11 |
Family
ID=86998214
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111677170.XA Pending CN116415223A (zh) | 2021-12-31 | 2021-12-31 | 第三方应用的单点登录的方法、系统及设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN116415223A (zh) |
WO (1) | WO2023125954A1 (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9690920B2 (en) * | 2012-08-30 | 2017-06-27 | International Business Machines Corporation | Secure configuration catalog of trusted identity providers |
CN109379369A (zh) * | 2018-11-09 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 单点登录方法、装置、服务器及存储介质 |
US11115401B2 (en) * | 2019-07-08 | 2021-09-07 | Bank Of America Corporation | Administration portal for simulated single sign-on |
CN111177686B (zh) * | 2019-12-31 | 2022-07-29 | 华为云计算技术有限公司 | 一种身份认证方法、装置及相关设备 |
-
2021
- 2021-12-31 CN CN202111677170.XA patent/CN116415223A/zh active Pending
-
2022
- 2022-12-30 WO PCT/CN2022/144019 patent/WO2023125954A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2023125954A1 (zh) | 2023-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11323441B2 (en) | System and method for proxying federated authentication protocols | |
US9787664B1 (en) | Methods systems and articles of manufacture for implementing user access to remote resources | |
US10484385B2 (en) | Accessing an application through application clients and web browsers | |
US11706218B2 (en) | Systems and methods for controlling sign-on to web applications | |
US9979712B2 (en) | Synchronizing authentication sessions between applications | |
EP3210107B1 (en) | Method and apparatus for facilitating the login of an account | |
EP3334505B1 (en) | Method and device for managing resources with an external account | |
CN111698250B (zh) | 访问请求处理方法、装置、电子设备及计算机存储介质 | |
US20180205745A1 (en) | System, method and computer program product for access authentication | |
KR101795592B1 (ko) | 기업용 클라우드 서비스의 접근 통제 방법 | |
CN110069909B (zh) | 一种免密登录第三方系统的方法及装置 | |
CN111143814B (zh) | 单点登录方法、微服务接入平台及存储介质 | |
CN105763514A (zh) | 一种处理授权的方法、设备和系统 | |
US20130312068A1 (en) | Systems and methods for administrating access in an on-demand computing environment | |
CN114254289A (zh) | 云平台的访问方法及装置 | |
US9009799B2 (en) | Secure access | |
KR20180024746A (ko) | 서버단 세션 관리 방식 및 쿠키 정보 공유 방식을 병행 지원하는 싱글 사인온 인증 방법 | |
CN111245791A (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
US10735399B2 (en) | System, service providing apparatus, control method for system, and storage medium | |
CN116415223A (zh) | 第三方应用的单点登录的方法、系统及设备 | |
JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
WO2017027301A1 (en) | Method and device for managing resources with an external account | |
CN117675241A (zh) | 访问请求的处理方法及装置、存储介质和处理器 | |
US20060235830A1 (en) | Web content administration information discovery | |
CN118041642A (zh) | Web认证方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |