JP2015521766A - 仮想デスクトップにアクセスするためのシステムおよび方法 - Google Patents

仮想デスクトップにアクセスするためのシステムおよび方法 Download PDF

Info

Publication number
JP2015521766A
JP2015521766A JP2015517367A JP2015517367A JP2015521766A JP 2015521766 A JP2015521766 A JP 2015521766A JP 2015517367 A JP2015517367 A JP 2015517367A JP 2015517367 A JP2015517367 A JP 2015517367A JP 2015521766 A JP2015521766 A JP 2015521766A
Authority
JP
Japan
Prior art keywords
authentication
user
authentication token
computing device
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015517367A
Other languages
English (en)
Other versions
JP2015521766A5 (ja
JP5877278B2 (ja
Inventor
オロフ ラーション、ペール
オロフ ラーション、ペール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
VMware LLC
Original Assignee
VMware LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by VMware LLC filed Critical VMware LLC
Publication of JP2015521766A publication Critical patent/JP2015521766A/ja
Publication of JP2015521766A5 publication Critical patent/JP2015521766A5/ja
Application granted granted Critical
Publication of JP5877278B2 publication Critical patent/JP5877278B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本明細書に記載の方法、コンピュータ可読ストレージ媒体、及びシステムは、ホストコンピューティングデバイスの仮想デスクトップにアクセスできるようにするのを容易にする。認証システムが認証トークンおよび認証トークンに対するリファレンスのうちの一方を受け取り、この認証トークンは、ユーザによるクライアントコンピューティングシステムを使った認証ポータルへのログインが成功したかを示す。認証システムは、認証トークンおよび認証トークンに対するリファレンスのうちの一方を受け取ったことに応答して、ユーザのための秘密鍵、デジタル証明書、個人識別番号(PIN)を発行する。秘密鍵、デジタル証明書、PINは、仮想スマートカードに保存され、クライアントコンピューティングデバイスはこの仮想スマートカードを使って仮想デスクトップにログインすることが許可される。

Description

仮想マシン(VM:virtual machine)は、ホストコンピューティングデバイスの集合、すなわち「クラスタ」によって動作させてもよい。各VMは、VMを動作させるホストの物理コンピューティングリソース、例えばプロセッサおよびメモリを抽象化する。VM内で実行されるゲストオペレーティングシステムとゲストソフトウェアアプリケーションは、物理リソース上で直接実行されたときに機能する方法と同様に機能しうる。
VMは、1つまたは複数のリモートユーザがネットワークを通じてアクセス可能な仮想デスクトップを提供してもよい。仮想デスクトップは、ゲストオペレーティングシステムと、エンドユーザと対話するように意図された生産性ソフトウェアを使って構成される仮想マシンである。一般に、各仮想デスクトップは標準的な物理デスクトップコンピュータシステムとして構成され、これは、ワードプロセッサ、スプレッドシート、電子メール等の生産性アプリケーションと共に、特定のユーザ、すなわちデスクトップがユーザのために構成され、デスクトップがユーザに割り当てられるユーザと対話するためのリッチユーザインタフェースを提供する。
物理デスクトップと同様に、各仮想デスクトップはユーザに対し、そのユーザがその仮想デスクトップにアクセスできるようにするためにログイン信用証明情報を供給するように求めてもよいが、仮想デスクトップの場合、ユーザはそのシステムに遠隔的にアクセスしていてもよく、ユーザはクライアントコンピューティングデバイスを使ってログイン信用証明情報を供給する必要がある。複数の仮想デスクトップがそのユーザにとってアクセス可能でありうるため、ユーザは各仮想デスクトップについて異なるアクセス信用証明情報(例えば、ユーザ名とパスワード)を保持する必要があることがあり、このアクセス信用証明情報を、そのユーザがアクセスしたい各仮想デスクトップについて入力する必要がありうる。これに加えて、1つまたは複数の仮想デスクトップのためのユーザのパスワードが失効した場合、ユーザはパスワードが変更されるまで、その仮想デスクトップにログインできないこともある。
本明細書で説明する方法、コンピュータ可読ストレージ媒体、システムは、ホストコンピューティングデバイスの仮想デスクトップにアクセスできるようにするのを容易にする。認証システムは、認証トークンおよびその認証トークンへのリファレンスの一方を受け取り、認証トークンは、ユーザによるクライアントコンピューティングデバイスを使った認証ポータルへのログインが成功したかを示す。認証システムは、認証トークンまたは認証トークンへのリファレンスのいずれかを受け取ったことに応答して、そのユーザのための秘密鍵、デジタル証明書、個人識別番号(PIN:personal identification number)を発行する。秘密鍵、デジタル証明書、PINは仮想スマートカードに保存され、クライアントコンピューティングデバイスは、この仮想スマートカードを使って仮想デスクトップにログインすることが許可される。
コンピューティングデバイスの仮想デスクトップにアクセスするための例示的なシステムのブロック図である。 複数のコンピューティングデバイスを含む例示的な認証システムのブロック図である。 図2に示される認証システムで使用してもよい、仮想デスクトップにアクセスするための例示的な方法のフロー図である。
図1は、ネットワークリソース、例えばリモートまたは仮想デスクトップ等にアクセスするための例示的なシステム100のブロック図である。システム100は、例えばクライアントコンピューティングデバイス104(以下、「クライアント104}と呼ぶ)、及びクライアント104にネットワーク108で通信可能に接続されたホストコンピューティングデバイス106(以下、「ホスト106」と呼ぶ)等の複数のコンピューティングデバイス102を含む。ユーザはクライアント104を利用してホスト106のリソースにアクセスし、これについて本明細書でより詳しく説明する。
各コンピューティングデバイス102は命令を実行するためのプロセッサ110を含む。コンピューティングデバイス102は異種かつ多様であってもよい。クライアント104は、例えばステートレスまたはその他のシンクライアントであってもよく、タブレットまたはモバイルデバイスであってもよく、または従来のコンピュータシステム上で実行されるアプリケーションであってもよい。コンピュータ実行可能な命令は、本明細書に記載の動作の1つまたは複数を行うためにメモリ112に保存される。メモリ112は例えば実行可能な命令、構成オプションおよびその他のデータのうちの少なくとも一つ等の情報を保存し、読み出すことができる任意のデバイスである。例えば、メモリ112は、1つまたは複数のコンピュータ可読ストレージ媒体、例えば1つまたは複数のランダムアクセスメモリ(RAM:random access memory)モジュール、フラッシュメモリモジュール、ハードディスク、ソリッドステートディスク、および光ディスクのうちの少なくとも一つを含む。
クライアント104は、プロセッサ110と、メモリ112とを含む。これに加えて、クライアント104はクライアントアクセスプログラム114を含み、このクライアントアクセスプログラム114はプロセッサ110によって実行可能な複数のコンピュータ可読命令としてメモリ112内に保存される。クライアントアクセスプログラム114は、ユーザがホスト106に接続し、ホスト106のリソースにアクセスできるように実行される。クライアント104は、デスクトップコンピュータ、サーバ、スマートフォン、タブレットコンピュータ、シンクライアントまたは、システム100が本明細書に記載されているように機能できるようにする他の任意のコンピューティングデバイスであってもよい。
ホスト106は、プロセッサ110と、メモリ112とを含む。これに加えて、ホスト106は仮想化ソフトウェアレイヤ、例えばハイパーバイザ116を含み、ハイパーバイザ116は、プロセッサ110とメモリ112を含むホスト106のハードウェアプラットフォームにインストールされる。仮想化ソフトウェアレイヤは、複数の仮想マシン実行スペースをサポートしてもよく、その各々において、仮想マシン(VM:virtual machine)118が同時にインスタンス化され、実行されてもよい。ハイパーバイザ116は、ホスト106の物理リソースを各VM 118の仮想リソースにマッピングし、各VM 118に専用の実行スペースとリソースを持たせるようにしてもよい。
これに加えて、VM 118は、各々がゲストオペレーティングシステム122と複数のゲストアプリケーション124を含む仮想デスクトップ120として構成されてもよく、またはこれを含んでいてもよい。ユーザは、仮想デスクトップ120およびホスト106のうちの少なくとも一方に「ログイン」して(すなわち、それによって認証されて)、デスクトップ120のリソース、例えばアプリケーション124とオペレーティングシステム122にアクセスしてもよい。クライアント104と仮想デスクトップ120との間の認証と通信を容易にするために、通信エージェント126が仮想デスクトップ120に含められてもよい。
図2は、クライアント104による仮想デスクトップ120へのアクセスを可能にするために使用可能な例示的な認証システム200のブロック図である。認証システム200は複数のコンピューティングデバイス102を含み、これらは例えばクライアント104、1つまたは複数のホスト106、認証ポータルサーバ202、接続サーバ204、証明書サーバ206、ディレクトリサーバ208である。ある実施形態において、接続サーバ204、証明書サーバ206、ホスト106、ディレクトリサーバ208は、ドメイン210の中にまとめられている。対応する物理デバイス102上にあるように示されているが、理解すべき点として、ディレクトリサーバ208、証明書サーバ206、接続サーバ204の機能は、ドメイン210の中の、またはそこからアクセス可能な、単独のサーバアプリケーションもしくは単独の物理システム上の複数のサーバアプリケーションに合成されてもよく、または同じ物理システムまたは複数の異なる物理システム上の任意の場所で動作する全く異なる仮想マシン上にあってもよく、またはこれらのあらゆる組み合わせであってもよい。
ドメイン210の中のコンピューティングデバイス102は、ユーザに対し、コンピューティングデバイス102にアクセできるようにするために別々の認証プロセスを実行するように求めうる。認証システム200は、クライアント104(すなわち、クライアント104のユーザ)のドメイン210のコンピューティングデバイス102へのシングルサインオン(SSO:single sign−on)を可能にするのを容易にし、それによってクライアント104のユーザは、認証とドメイン210のコンピューティングデバイス102へのアクセスとを可能にするのに、認証信用証明情報、例えばユーザ名とパスワードを1度だけ入力すればよいこともある。
認証ポータルサーバ202は、クライアント104と接続サーバ204に通信可能に接続される。認証ポータルサーバ202は認証ポータル(以下、「AP」(authentication portal))212を含み、これはメモリ112の中に保存された複数のコンピュータ実行可能命令として具体化され、プロセッサ110によって実行されて、本明細書に記載された機能を行う。認証ポータル212は信用された許可として動作し、ユーザが認証ポータル212によって認証されるときにドメイン210内でそのユーザのための信用レベルを確立するのを容易にする。ある実施形態において、認証ポータル212は、ヴイエムウェア・ホライズン・プログラム・マネージャ(VMware Horizon Program Manager)プログラムスイートを含み、これはカリフォルニア州パロアルトのヴイエムウェア社(VMware,Inc.)から市販されている。あるいは、認証ポータル212は認証システム200が本明細書に記載されているように機能できるようにする、他の任意のポータルまたはゲートウェアであってもよい。
接続サーバ204は、クライアント104、認証ポータルサーバ202、証明書サーバ206、ホスト106、ディレクトリサーバ208に通信可能に接続される。接続サーバ204は、認証ポータル212によって確立されたユーザの信用レベルに基づく、ドメイン210でのユーザの認証と、特に1つまたは複数の仮想デスクトップ120でのユーザの認証を容易にする。
証明書サーバ206は、接続サーバ204とディレクトリサーバ208に通信可能に接続される。証明書サーバ206は、ドメイン210内のコンピューティングデバイス102にユーザを認証する際に使用する暗号デジタル証明書を発行し、有効性を確認する。
ディレクトリサーバ208は、証明書サーバ206、接続サーバ204、ホスト106に通信可能に接続される。ディレクトリサーバ208はディレクトリサービス(以下、「DS」(directory service))214を含み、これはメモリ112に保存された複数のコンピュータ実行可能命令として具体化され、プロセッサ110によって実行されて、本明細書に記載された機能が行われる。ある実施形態において、ディレクトリサービス214は、ドメイン210内のユーザアカウントと許可を構成し、管理する。
動作中、仮想デスクトップ120にアクセスしたいユーザはまず、アクセス信用確認情報、例えばユーザ名とパスワードを認証ポータル212に(クライアント104を介して)送信することによって認証ポータル212にログインする。認証ポータル212は、アクセスのための信用確認情報がポータル212にアクセスできるのに有効であるかを判断することによって、ユーザを認証する。アクセス信用確認情報が有効であれば、認証ポータル212は認証が成功したことを示す認証トークンを発行する。ある実施形態において、認証トークンは、ユーザが認証ポータル212によって認証されたというセキュリティ・アサーション・マークアップ・ランゲージ(SAML:Security Assertion Markup Language)によるアサーションである。
ユーザはクライアント104を通じて、接続リクエストを接続サーバ204に送信することによって仮想デスクトップ120へのアクセスをリクエストする。接続サーバ204は、ユーザのアクセス許可をディレクトリサービス214で検証し、認証トークンを使ってそのユーザが信用されるか否かを判断する。ユーザが信用されると、接続サーバ204はそのユーザのための秘密鍵、デジタル証明書、個人識別番号(PIN)を発行する。ある実施形態において、秘密鍵、デジタル証明書、PINは「1回限りの」信用確認情報であり、これはそのユーザによる1回の接続セッションについてのみ有効である。これに加えて、PINはデジタル証明書に関連付けられた、すなわちデジタル証明書に関連付けられた秘密鍵を使って暗号動作を実行する能力に関連付けられた乱数である。あるいは、PINは、他の任意の英数字、記号、および認証システム200が本明細書に記載されているように機能するための入力のうちの少なくとも一つを含んでいてもよい。ある実施形態において、接続サーバ204は、仮想スマートカード216の中に秘密鍵、デジタル証明書、PINを保存する。
仮想スマートカード216はホスト106に保存され、ユーザがアクセスをリクエストしている仮想デスクトップ120に通信可能に接続され、またはその中に保存される。仮想スマートカード216は、秘密鍵、デジタル証明書、および任意選択でPIN等の信用確認情報を保存する物理スマートカードまたは認証デバイスのソフトウェアに基づく表現である。信用確認情報は、仮想スマートカード216に関連付けられたユーザを認証し、そのユーザがユーザ名とパスワードを入力する必要なしにドメイン210内のリソースにアクセスできるようにするために使用される。
クライアント104は仮想デスクトップ120に接続し、仮想デスクトップ120にユーザ名とパスワード等のアクセス信用確認情報を提供する代わりに仮想スマートカード216を使用する。仮想デスクトップ120は、仮想スマートカード216を介して(例えば、秘密鍵、デジタル証明書、PINを使って)ディレクトリサービス214と証明書サーバ206でユーザを認証する。ユーザが認証されると、このユーザには仮想デスクトップ120へのアクセスが認められる。
理解すべき点として、ユーザは各々が異なるアクセス信用確認情報の要求事項を有する複数の仮想デスクトップ120に、仮想スマートカード216と認証システム200を使用してアクセスでき、その際、認証ポータル212においてアクセス信用確認情報(他えばユーザ名とパスワード)を1度入力するだけでよい。したがって、認証システム200は、ユーザが仮想デスクトップ120およびその他のリソースのうちの少なくとも一つへのパスワードを知らなくても、ドメイン210内の仮想デスクトップ120およびその他のリソースのうちの少なくとも一方にアクセスできるようにする。理解すべき点として、認証システム200は、ユーザが仮想デスクトップ以外のリソース、例えば1つまたは複数の物理コンピューティングデバイス102、1つまたは複数の端末サーバのセッションインスタンス、および例えばデスクトップコンピュータおよびサーバのうちの少なくとも一つ等の1つまたは複数のコンピューティングデバイス102上で実行されるアプリケーションのうちの少なくとも一つにアクセスできるようにするために使用されてもよく、その際、認証ポータル212でアクセス信用確認情報を1度だけ入力すればよい。
図3は、クライアントコンピューティングデバイス(以下、「クライアント」)からホストコンピューティングデバイス(以下、「ホスト」)の仮想デスクトップにアクセスするための例示的な方法300のフロー図である。方法300は、システム100(図1に示される)および認証システム200(図2に示される)のうちの少なくとも一方で使用できる。方法300は、1つまたは複数のメモリ、例えば1つまたは複数のコンピュータ可読ストレージ媒体に保存された複数のコンピュータ実行可能命令において具体化される。命令は、1つまたは複数のプロセッサによって実行され、本明細書に記載された機能が実施される。
方法300は、認証システムによって実行または実施され、ユーザがクライアントを介してホスト内のアクセス制限された仮想デスクトップにアクセスできるようにする。これに加えて、方法300によって、ユーザの接続セッション中に、仮想デスクトップへの、かつその他のアクセス制限された仮想デスクトップおよび認証システムのリソースのうちの少なくとも一方へのシングルサインオンアクセスを可能にする。
ユーザの接続セッションは、ユーザが認証ポータルに接続すると開始される。方法300は、認証ポータルにおいて、ユーザによりクライアントを介して供給されるアクセス信用確認情報を使ってユーザを認証すること(302)を含む。アクセス信用確認情報には例えば、認証ポータルのためのユーザ名とパスワードが含まれる。認証ポータルがそのアクセス信用確認情報は認証ポータルへのアクセスを可能にするのに有効であると判断すると、ポータルは、例えばユーザのアカウント設定およびアカウント許可のうちの少なくとも一方に基づいてユーザがアクセス可能な仮想デスクトップリストを表示する(304)。
認証ポータルは、ユーザがアクセスを希望する仮想デスクトップの選択をクライアントから受け取る(306)。仮想デスクトップへの通信と認証を容易にするために、クライアントアクセスプログラムがクライアント内で実行されてもよい。認証ポータルは、ユーザの認証の成功を示す認証トークンを発行し(308)、認証トークンをクライアントに(例えば、クライアントアクセスプログラムに)転送する(310)。ある実施形態において、認証トークンは、ユーザが認証ポータルによって認証されたというSAMLアサーションである。
認証システム内のコネクタサーバは、選択された仮想デスクトップに接続するためのリクエスト(すなわち、接続リクエスト)をクライアントから受け取る(312)。接続リクエストは、認証トークンまたは認証トークンへのリファレンスを含む。接続サーバは、トークン(またはリファレンス)を認証ポータルに送信することによって認証トークンを検証する(314)。認証トークンが有効であると、接続サーバは認証ポータルからトークンの確認を受け取る。この確認は、ユーザが認証ポータルによって信用されたことを検証し、接続サーバもしたがって、ユーザを信用する。
接続サーバは、例えばユーザアカウント許可を含むディレクトリサービスのクエリを行うことによって、ユーザのためのアクセス許可を検証する(316)。ユーザが仮想デスクトップにアクセスするのに十分な許可を有する場合、接続サーバは仮想スマートカードのための信用確認情報を発行する(318)。仮想スマートカードは、それがなければドメイン内でアクセス制限されているコンピューティングデバイスおよび仮想デスクトップのうちの少なくとも一方へのSSOアクセスを容易にするために使用される。仮想スマートカードのための信用確認情報(「スマートカード信用確認情報」とも呼ばれる)には、そのユーザのための秘密鍵、デジタル証明書、個人識別番号(PIN)が含まれる。接続サーバは、スマートカード信用確認情報を仮想スマートカードに保存し(320)、仮想スマートカードを、そのユーザが接続しようとしている仮想デスクトップに関連付ける。例えば、仮想スマートカードは、その仮想デスクトップのホストコンピューティングデバイス内に保存され、仮想デスクトップに通信可能に接続される。あるいは、仮想スマートカードは仮想デスクトップ内に保存される。
接続サーバは、ユーザの仮想デスクトップに接続するためのリクエスト(すなわち、上記312で受け取った接続リクエスト)を許可して、ユーザがクライアントを介して仮想デスクトップへ接続リクエストを送信することができるようにする(322)。仮想デスクトップは、クライアントから接続リクエストを受け取る(324)。接続リクエストは、ユーザ名とパスワードを提供するのではなく、スマートカード信用確認情報を使って、仮想デスクトップへのアクセスを獲得する。
仮想デスクトップは、仮想スマートカード信用確認情報を介してユーザを認証する(326)。認証プロセスの一部として、仮想スマートカード信用確認情報が、ユーザをその仮想デスクトップのあるドメインにログインさせるためにディレクトリサービスに提示する(328)。仮想スマートカード信用確認情報は、ディレクトリサービスによって有効性が確認され(330)、ユーザはドメインにログインする。仮想デスクトップは、ユーザの識別およびそのユーザによるドメインへのログインの成功のうちの少なくとも一方を表すトークンをディレクトリサービスから受け取る(332)。ユーザは、仮想デスクトップおよびその中に含まれるリソースのうちの少なくとも一方へのアクセスが可能となる(334)。理解すべき点として、クライアントおよび認証システムのうちの少なくとも一方は、仮想スマートカードを使って、ユーザ名またはパスワードを仮想デスクトップに入力せずにそのドメイン内の他の仮想デスクトップにログインしてもよい。
本明細書で説明した各種の実施形態は、コンピュータシステム内に保存されるデータに関わる各種のコンピュータ実装動作を利用してもよい。例えば、これらの動作は、物理的数量の物理的操作を必要とすることもあり、通常、ただし必ずしもではないが、これらの数量は電気または磁気信号の形態で得られてもよく、これら、またはこれらを表すものは、保存、転送、合成、比較、またはその他の操作が可能である。さらに、このような操作はしばしば、生成、特定、決定または比較等の用語で呼ばれる。本明細書で説明されている発明の1つまたは複数の実施形態の一部を形成する動作はいずれも、有益なマシン動作であってもよい。これに加えて、本発明の1つまたは複数の実施形態はまた、これらの動作を実行するためのデバイスまたは装置に関連する。装置は、具体的な必要な目的のために特に構成されてもよく、またはコンピュータ内に保存されるコンピュータプログラムによって選択的にアクティベートまたは構成される汎用コンピュータであってもよい。詳しくは。各種の汎用マシンは、本明細書の教示に従って書かれたコンピュータプログラムと共に使用されてもよく、または必要な動作を実行するためのより専門的な装置を構成することがより好都合でありうる。
本明細書で説明した各種の実施形態は他のコンピュータシステム構成、例えばハンドヘルドデバイス、マイクロプロセッサシステム、マイクロプロセッサベースまたはプログラム可能な民生用電子機器、ミニコンピュータ、メインフレームコンピュータおよびその他でも実現できる。
本発明の1つまたは複数の実施形態は、1つまたは複数のコンピュータ可読媒体で具体化される1つまたは複数のコンピュータプログラムとして、または1つまたは複数のコンピュータプログラムモジュールとして実装されてもよい。コンピュータ可読媒体という用語は、その後、コンピュータシステムに入力可能なデータを保存できる任意のデータストレージデバイスを指し、すなわちコンピュータ可読媒体は、コンピュータがそれを読み取ることができるような方法でコンピュータプログラムを具体化する他の任意の既存の、または今後開発される技術に基づいていてもよい。コンピュータ可読媒体の例としては、ハードドライブ、ネットワークアタッチドストレージ(NAS:network attached storage)、リードオンリメモリ、ランダムアクセスメモリ(例えば、フラッシュメモリデバイス)、CD(コンパクトディスク)、例えばCD−ROM、CD−RまたはCD−RW、DVD(デジタルバーサタイルディスク)、磁気テープ、およびその他の光および光以外のデータストレージデバイスがある。コンピュータ可読媒体はまた、ネットワーク接続コンピュータシステム上に分散させて、コンピュータ可読コードが分散的に保存され、実行されるようにすることもできる。
本発明の1つまたは複数の実施形態を明瞭に理解するためにある程度詳しく説明したが、特許請求の範囲内で特定の変更や改変が可能であることは明らかであろう。したがって、説明された実施形態は、限定的ではなく例示的と考えられ、特許請求の範囲は本明細書に記載されている詳細事項に限定されるのではなく、特許請求の範囲の範囲と均等物の中で改変されてもよい。特許請求の範囲において、要素およびステップのうちの少なくとも一方は、特許請求の範囲で明記されていないかぎり、いずれの特定の動作の順序も黙示していない。
これに加えて、説明した仮想化方法は一般に、仮想マシンが特定のハードウェアシステムと適合するインタフェースを示すことを前提としているが、当業者であれば、説明した方法を、いずれの特定のハードウェアシステムにも直接対応しない仮想化に関連して使用してもよいことがわかるであろう。ホストされた実施形態、ホストされていない実施形態、またはこれら2つの区別があいまいになる傾向のある実施形態として実装される各種の実施形態による仮想化システムは、すべて想定される。さらに、各種の仮想化動作は、全体的または部分的にハードウェアで実装され、または従来の仮想化または準仮想化技術により実装されてもよい。多くの変更、改変、追加、改良が、仮想化の程度に関係なく可能である。仮想化ソフトウェアはしたがって、仮想化機能を実行するホスト、コンソール、またはゲストオペレーティングシステムの構成要素を含むことができる。複数のインスタンスが、本明細書で単独のインスタンスとして説明された構成要素、動作または構造のために提供されてもよい。最後に、各種の構成要素、動作、データストア間の境界は幾分任意であり、特定の動作が具体的な例示的構成に関連して示されている。機能のその他の割り振りも想定され、本発明の範囲に含まれる可能性がある。一般に、例示的な構成の中で別々の構成要素として示されている構造と機能は、複合的な構造または構成要素として実装されてもよい。同様に、単独の構成要素として示されている構造と機能は、別々の構成要素として実装されてもよい。これらおよびその他の変更形態、改変形態、追加形態、改良形態は付属の特許請求の範囲に含まれる可能性がある。

Claims (20)

  1. 認証システムであって、
    アクセス制限されたネットワークリソースと、
    前記ネットワークリソースに接続された仮想スマートカードと、
    第一のプロセッサを含む第一のコンピューティングデバイスであって、前記第一のプロセッサは、
    認証トークンおよび前記認証トークンに対するリファレンスの一方を受け取り、ここで、前記認証トークンが、ユーザに関する、ユーザの信用確認情報に基づく認証が成功したかを示し、
    前記認証トークンと前記認証トークンに対する前記リファレンスとのうちの一方を受け取ったことに基づいて、ユーザに秘密鍵および公開鍵を伴うデジタル証明書を発行し、
    前記秘密鍵と前記デジタル証明書を前記仮想スマートカードに保存するように構成されている、前記第一のコンピューティングデバイスと
    を備える認証システム。
  2. 前記認証トークンが、ユーザが認証されたというセキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーションを含む、請求項1に記載の認証システム。
  3. ディレクトリサービスをさらに備え、前記第一のプロセッサが、前記ディレクトリサービスに対して、ユーザが前記ネットワークリソースにアクセスする許可の有効性を確認するリクエストを送信するようにさらに構成される、請求項1に記載の認証システム。
  4. 第二のプロセッサを含む第二のコンピューティングデバイスであって、前記第二のプロセッサは、
    認証ポータルにログインリクエストを送信し、
    前記認証ポータルから前記認証トークンおよび前記認証トークンに対する前記リファレンスのうちの一方を受け取るように構成されている、前記第二のコンピューティングデバイスをさらに備える、請求項1に記載の認証システム。
  5. 前記第二のプロセッサが、前記第一のコンピューティングデバイスに対して、前記認証トークンおよび前記認証トークンに対する前記リファレンスのうちの一方を送信するようにさらに構成される、請求項4に記載の認証システム。
  6. 前記第一のプロセッサが、認証ポータルで前記認証トークンの有効性を確認するようにさらに構成される、請求項1に記載の認証システム。
  7. 前記ネットワークリソースと前記第一のコンピューティングデバイスがドメイン内に含められ、システムが前記ドメイン内に含まれるディレクトリサービスをさらに備える、請求項1に記載の認証システム。
  8. 前記ネットワークリソースが、前記仮想スマートカードを使ってユーザを前記ディレクトリサービスにログインさせるようにさらに構成される、請求項7に記載の認証システム。
  9. 少なくとも1つのコンピュータ可読ストレージ媒体にコンピュータ実行可能命令が実装されている少なくとも1つのコンピュータ可読ストレージ媒体であって、少なくとも1つのプロセッサによって実行されたときに、前記コンピュータ実行可能命令が前記少なくとも1つのプロセッサに、
    認証トークンおよび前記認証トークンに対するリファレンスのうちの一方を受け取り、ここで、前記認証トークンが、ユーザによるクライアントコンピューティングデバイスを使った認証ポータルへのログインが成功したかを示し、
    前記認証トークンおよび前記認証トークンに対する前記リファレンスのうちの一方を受け取ったことに基づいて、ユーザに秘密鍵、デジタル証明書、および個人識別番号(PIN)を発行し、
    前記秘密鍵、前記デジタル証明書および前記PINを仮想スマートカードに保存し、
    前記クライアントコンピューティングデバイスが前記仮想スマートカードを使って仮想デスクトップにログインするのを許可する、
    ことを行わせる、少なくとも1つのコンピュータ可読ストレージ媒体。
  10. 前記コンピュータ実行可能命令がさらに、前記少なくとも1つのプロセッサに、ディレクトリサービスに対して、ユーザが前記仮想デスクトップにアクセスする許可の有効性を確認するリクエストを送信させる、請求項9に記載の少なくとも1つのコンピュータ可読ストレージ媒体。
  11. 前記コンピュータ実行可能命令がさらに、前記少なくとも1つのプロセッサに、前記仮想スマートカードを使ってユーザを前記ディレクトリサービスにログインさせる、請求項10に記載の少なくとも1つのコンピュータ可読ストレージ媒体。
  12. 前記コンピュータ実行可能命令がさらに、前記少なくとも1つのプロセッサに、前記認証ポータルに対してログインリクエストを送信させ、前記ログインリクエストがユーザに関連する信用確認情報を含む、請求項9に記載の少なくとも1つのコンピュータ可読ストレージ媒体。
  13. 前記コンピュータ実行可能命令がさらに、前記少なくとも1つのプロセッサに、前記ログインリクエストに応答して、前記認証トークンおよび前記認証トークンに対する前記リファレンスのうちの一方を前記認証ポータルから受け取らせる、請求項12に記載の少なくとも1つのコンピュータ可読ストレージ媒体。
  14. ホストコンピューティングデバイスの仮想デスクトップにアクセスする方法であって、
    第一のコンピューティングデバイスを使って、認証トークンおよび前記認証トークンに対するリファレンスのうちの一方を受け取るステップと、
    前記認証トークンおよび前記認証トークンに対する前記リファレンスのうちの一方を受け取ったことに基づいて、ユーザのための秘密鍵、デジタル証明書、および個人識別番号(PIN)を発行するステップと、
    前記秘密鍵、前記デジタル証明書、および前記PINを仮想スマートカードに保存するステップと、
    前記仮想スマートカードをネットワークリソースに接続するステップと、
    を含む方法。
  15. ディレクトリサービスに対し、ユーザの前記仮想デスクトップへのアクセスの許可の有効性を確認するリクエストを送信するステップをさらに含む、請求項14に記載の方法。
  16. 第二のコンピューティングデバイスにより、ログインリクエストを認証ポータルに送信するステップをさらに含む、請求項14に記載の方法。
  17. 前記第二のコンピューティングデバイスにより、前記認証ポータルから前記認証トークンおよび前記認証トークンに対する前記リファレンスのうちの一方を受け取るステップをさらに含む、請求項16に記載の方法。
  18. 前記第二のコンピューティングデバイスから前記第一のコンピューティングデバイスに、前記認証トークンおよび前記認証トークンに対する前記リファレンスのうちの一方を送信するステップをさらに含む、請求項17に記載の方法。
  19. 前記仮想スマートカードを使ってユーザをディレクトリサービスにログインさせるステップをさらに含む、請求項14に記載の方法。
  20. 前記ネットワークリソースと前記第一のコンピューティングデバイスがドメイン内に含められ、前記方法が、ユーザを前記ドメインにログインさせて、ユーザがログインリクエストを使って前記ドメイン内の複数の仮想デスクトップにログインできるようにするステップをさらに含む、請求項19に記載の方法。
JP2015517367A 2012-06-15 2013-06-11 仮想デスクトップにアクセスするためのシステムおよび方法 Active JP5877278B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/524,412 2012-06-15
US13/524,412 US8782768B2 (en) 2012-06-15 2012-06-15 Systems and methods for accessing a virtual desktop
PCT/US2013/045253 WO2013188455A1 (en) 2012-06-15 2013-06-11 Systems and methods for accessing a virtual desktop

Publications (3)

Publication Number Publication Date
JP2015521766A true JP2015521766A (ja) 2015-07-30
JP2015521766A5 JP2015521766A5 (ja) 2015-11-12
JP5877278B2 JP5877278B2 (ja) 2016-03-02

Family

ID=48699303

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015517367A Active JP5877278B2 (ja) 2012-06-15 2013-06-11 仮想デスクトップにアクセスするためのシステムおよび方法

Country Status (5)

Country Link
US (1) US8782768B2 (ja)
EP (2) EP3640829B1 (ja)
JP (1) JP5877278B2 (ja)
AU (1) AU2013274350B2 (ja)
WO (1) WO2013188455A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022533889A (ja) * 2019-05-20 2022-07-27 シトリックス・システムズ・インコーポレイテッド 仮想セッション要求をバリデーションするためのシステムおよび方法
JP2022533890A (ja) * 2019-05-20 2022-07-27 シトリックス・システムズ・インコーポレイテッド 異なる認証クレデンシャルを有する認証トークンに基づいてセッションアクセスを提供するコンピューティングシステムおよび方法

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5968077B2 (ja) * 2012-05-22 2016-08-10 キヤノン株式会社 情報処理装置、その制御方法、プログラム、及び画像処理装置
US10200352B2 (en) * 2013-03-15 2019-02-05 Netop Solutions A/S System and method for secure application communication between networked processors
KR101541591B1 (ko) * 2013-05-16 2015-08-03 삼성에스디에스 주식회사 Vdi 환경에서의 싱글 사인온 시스템 및 방법
GB2518367B (en) * 2013-09-18 2020-07-22 Ibm Authorized remote access to an operating system hosted by a virtual machine
EP2953048B1 (en) * 2014-06-03 2019-03-27 Nxp B.V. Mobile device, method of authenticating a user and computer program
US20160077685A1 (en) * 2014-09-15 2016-03-17 Microsoft Technology Licensing, Llc Operating System Virtual Desktop Techniques
EP3201815B8 (en) * 2014-09-30 2019-06-19 Hewlett-Packard Development Company, L.P. User authentication
JP2016095597A (ja) * 2014-11-12 2016-05-26 富士通株式会社 配備制御プログラム、配備制御装置及び配備制御方法
US11615199B1 (en) * 2014-12-31 2023-03-28 Idemia Identity & Security USA LLC User authentication for digital identifications
US10073964B2 (en) * 2015-09-25 2018-09-11 Intel Corporation Secure authentication protocol systems and methods
US10652247B2 (en) * 2017-06-09 2020-05-12 Dell Products, L.P. System and method for user authorization in a virtual desktop access device using authentication and authorization subsystems of a virtual desktop environment
JP7059559B2 (ja) * 2017-10-11 2022-04-26 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム
CN108710528B (zh) * 2018-05-09 2023-02-28 深圳安布斯网络科技有限公司 桌面云虚拟机的访问、控制方法、装置、设备及存储介质
US20220138283A1 (en) * 2020-10-30 2022-05-05 Comcast Cable Communications, Llc Secure Content Access
US20220342976A1 (en) * 2021-04-23 2022-10-27 Microsoft Technology Licensing, Llc Enhance single sign-on flow for secure computing resources
WO2023277859A1 (en) * 2021-06-28 2023-01-05 Hewlett-Packard Development Company, L.P. Remote desktop connection communications
WO2023113821A1 (en) * 2021-12-17 2023-06-22 Hewlett-Packard Development Company, L.P. Cryptographic devices and systems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005513605A (ja) * 2001-12-17 2005-05-12 インテル コーポレイション 仮想トークンの物理トークンへの接続
US20110107409A1 (en) * 2009-11-05 2011-05-05 Vmware, Inc. Single Sign On For a Remote User Session
US20120017271A1 (en) * 2010-07-14 2012-01-19 Smith Ned M Domain-authenticated control of platform resources
US20120096271A1 (en) * 2010-10-15 2012-04-19 Microsoft Corporation Remote Access to Hosted Virtual Machines By Enterprise Users

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6275944B1 (en) 1998-04-30 2001-08-14 International Business Machines Corporation Method and system for single sign on using configuration directives with respect to target types
US7085931B1 (en) 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
EP1320006A1 (en) * 2001-12-12 2003-06-18 Canal+ Technologies Société Anonyme Processing data
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
US7793101B2 (en) * 2006-10-19 2010-09-07 Novell, Inc. Verifiable virtualized storage port assignments for virtual machines
US20090132813A1 (en) * 2007-11-08 2009-05-21 Suridx, Inc. Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
WO2010134996A2 (en) * 2009-05-20 2010-11-25 Intertrust Technologies Corporation Content sharing systems and methods
US9560036B2 (en) 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
US8505083B2 (en) 2010-09-30 2013-08-06 Microsoft Corporation Remote resources single sign on
US20130013727A1 (en) * 2011-07-05 2013-01-10 Robin Edward Walker System and method for providing a mobile persona environment
US8474056B2 (en) * 2011-08-15 2013-06-25 Bank Of America Corporation Method and apparatus for token-based virtual machine recycling
US9361443B2 (en) * 2011-08-15 2016-06-07 Bank Of America Corporation Method and apparatus for token-based combining of authentication methods
US8950002B2 (en) * 2011-08-15 2015-02-03 Bank Of America Corporation Method and apparatus for token-based access of related resources

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005513605A (ja) * 2001-12-17 2005-05-12 インテル コーポレイション 仮想トークンの物理トークンへの接続
US20110107409A1 (en) * 2009-11-05 2011-05-05 Vmware, Inc. Single Sign On For a Remote User Session
US20120017271A1 (en) * 2010-07-14 2012-01-19 Smith Ned M Domain-authenticated control of platform resources
US20120096271A1 (en) * 2010-10-15 2012-04-19 Microsoft Corporation Remote Access to Hosted Virtual Machines By Enterprise Users

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022533889A (ja) * 2019-05-20 2022-07-27 シトリックス・システムズ・インコーポレイテッド 仮想セッション要求をバリデーションするためのシステムおよび方法
JP2022533890A (ja) * 2019-05-20 2022-07-27 シトリックス・システムズ・インコーポレイテッド 異なる認証クレデンシャルを有する認証トークンに基づいてセッションアクセスを提供するコンピューティングシステムおよび方法

Also Published As

Publication number Publication date
EP2862118A1 (en) 2015-04-22
US20130340063A1 (en) 2013-12-19
WO2013188455A1 (en) 2013-12-19
AU2013274350B2 (en) 2015-09-10
AU2013274350A1 (en) 2014-11-27
EP2862118B1 (en) 2019-10-30
US8782768B2 (en) 2014-07-15
JP5877278B2 (ja) 2016-03-02
EP3640829B1 (en) 2023-09-06
EP3640829A1 (en) 2020-04-22

Similar Documents

Publication Publication Date Title
JP5877278B2 (ja) 仮想デスクトップにアクセスするためのシステムおよび方法
US20220255918A1 (en) Single sign on for a remote user session
EP3213487B1 (en) Step-up authentication for single sign-on
CN108475312B (zh) 用于装置安全外壳的单点登录方法
US11190501B2 (en) Hybrid single sign-on for software applications and services using classic and modern identity providers
US8819801B2 (en) Secure machine enrollment in multi-tenant subscription environment
US10922401B2 (en) Delegated authorization with multi-factor authentication
US8966581B1 (en) Decrypting an encrypted virtual machine using asymmetric key encryption
EP3915026B1 (en) Browser login sessions via non-extractable asymmetric keys
CN117751554A (zh) 作为域资源的外部身份提供者

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150918

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150918

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20150918

TRDD Decision of grant or rejection written
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20151222

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160125

R150 Certificate of patent or registration of utility model

Ref document number: 5877278

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350