JP6609086B1 - フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施 - Google Patents

フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施 Download PDF

Info

Publication number
JP6609086B1
JP6609086B1 JP2019520017A JP2019520017A JP6609086B1 JP 6609086 B1 JP6609086 B1 JP 6609086B1 JP 2019520017 A JP2019520017 A JP 2019520017A JP 2019520017 A JP2019520017 A JP 2019520017A JP 6609086 B1 JP6609086 B1 JP 6609086B1
Authority
JP
Japan
Prior art keywords
assertion
proxy
idp
url
acs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019520017A
Other languages
English (en)
Other versions
JP2020502616A (ja
Inventor
カルティク クマール チャトナリ デシュパンデ スリダール,
カルティク クマール チャトナリ デシュパンデ スリダール,
レビン チェン,
レビン チェン,
クリシュナ ナラヤナスワミー,
クリシュナ ナラヤナスワミー,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netskope Inc
Original Assignee
Netskope Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netskope Inc filed Critical Netskope Inc
Application granted granted Critical
Publication of JP6609086B1 publication Critical patent/JP6609086B1/ja
Publication of JP2020502616A publication Critical patent/JP2020502616A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【解決手段】サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく、フェデレーテッド・シングル・サインオン(SSO)の認証中に非侵入的にセキュリティを実行すること、ユーザがSPにログインするときに生成されるアサーションを転送するために、SPのアサーション・コンシューマ・サービス(ACS)URLに代えて、プロキシURLを使用するようにIDPを構成すること、アサーションをSPに転送するためにSPのACS−URLを使用するように、プロキシURLにおいてアサーション・プロキシを構成すること、アサーションをSPのACS−URLに転送することによって、ユーザのクライアントとSPのACSの間にアサーション・プロキシを挿入し、挿入されたアサーション・プロキシを介してフェデレーテッド・シングル・サインオン(SSO)の認証されたセッションを確立することに関する。【選択図】 図1

Description

他の出願の相互参照
本出願は、2016年11月4日出願の「クラウドベースのフェデレーテッド・シングル・サインオン(SSO)のための非侵入型セキュリティの実施」と題する米国仮特許出願第62/417,939号(代理人事件整理番号:NSKO 1006−1)に対する優先権及びその利益を主張する。該優先仮出願は、すべての目的のために参照により組み込まれる。
本出願は、2017年10月27日出願の「フェデレーテッド・シングル・サインオン(SSO)のための非侵入型セキュリティの実施」と題する米国特許出願第15/795,957号(代理人事件整理番号:NSKO 1006−2)に対する優先権及びその利益を主張する。該優先仮出願は、すべての目的のために参照により組み込まれる。
本出願は、2014年3月5日出願の「ネットワーク配信サービス」と題する米国特許出願第14/198,499号(代理人事件整理番号:NSKO 1000−2)(現在は2016年7月19日発行の米国特許第9,398,102号)を参照により組み込む。
本出願は、2015年8月25日出願の「クラウドコンピューティングサービス(CCS)に格納された企業情報を監視及び制御するシステム及び方法」と題する米国特許出願第14/835,640号(代理人事件整理番号:NSKO 1001−2)を参照により組み込む。
本出願は、2016年3月11日出願の「クラウド・コンピューティング・サービスのデータ欠損トランザクションにおいてマルチパート・ポリシーを実施するシステム及び方法」と題する米国仮特許出願第62/307,305号(代理人事件整理番号:NSKO 1003−1)を参照により組み込む。
開示される技術は、一般にネットワーク配信サービスのセキュリティに関し、特に、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を保持することによるフェデレーテッド(認証連携した)・シングル・サインオン(SSO)中の非侵入型のセキュリティ実施に関する。
本項で議論される主題は、本項におけるその言及の結果、単に従来技術であると仮定すべきではない。同様に、本項で述べた問題または背景技術として提供された主題に関連する問題は、従来技術内で既に認識されたものと仮定すべきではない。本項の主題は単に様々なアプローチを示しているに過ぎず、また、それ自体または自発的に、請求項に記載の技術の実施に対応し得る。
開示される技術は、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく、フェデレーテッド・シングル・サインオン(SSO)の認証中に非侵入的にセキュリティを実行することに関する。特に、ユーザがSPにログインするときに生成されるアサーションを転送するために、前記SPのアサーション・コンシューマ・サービス(ACS)URLに代えて、プロキシURLを使用するようにIDPを構成することに関する。また、アサーションをSPに転送するためにSPのACS−URLを使用するために、プロキシURLにおいてアサーション・プロキシを構成することに関する。更に、アサーションをSPのACS−URLに転送することによって、ユーザのクライアントとSPのACSの間にアサーション・プロキシを挿入し、挿入されたアサーション・プロキシを介してフェデレーテッド・シングル・サインオン(SSO)の認証されたセッションを確立することに関する。
クラウド・アプリケーション、特に、ソフトウェア・アズ・ア・サービス(SaaS)アプリケーションの爆発的な成長は、組織のビジネス方法を変えた。メンテナンス費用の削減、稼働時間の増加、機能の迅速な導入、現場でのハードウェアの必要性の低減は、クラウドベースのSaaSソリューションが以前は自社ITスタッフだけで支配されていたタスクに深く迅速に浸透している理由の一部です。
しかしながら、SaaSアプリケーション上のユーザ・アイデンティティ管理(UIM)は、困難で時間がかかり、高価である。SaaSアプリケーションに加入している多くの企業は、UIMの課題とコストに対処するために、通常複数のプラットフォームに及び、頻繁に変化し得るSaaSアプリケーションのサブスクリプションのポートフォリオ全体に亘りユーザ・アイデンティティを簡単に作成及び管理するアイデンティティ・アズ・ア・サービス(IDaaS)ソリューションを始めている。
IDaaSソリューションは、組織の全てのSaaSアプリケーションのサブスクリプションに亘って、ユーザにフェデレーテッド・シングル・サインオン(SSO)機能またはフェデレーテッド・アイデンティティを提供する。SSOによって、組織のユーザは単一の場所で単一のアカウントで認証でき、幅広いSaaSアプリケーションにアクセスできる。SSOを使用すると、ユーザは様々なアプリケーションを呼び出すために何度もサイン・オンする必要はなく、同じセッションで以前のアプリケーションの認証済みステータスを再利用できる。SSOを使用する利点は、人的エラーを減らし、同じアイデンティティに対して異なるSaaSアプリケーションでの認証に費やす時間を節約できることである。多数のメカニズムが、IDaaSプロバイダと複数のSaaSアプリケーションとの間でSSOを実行する。例えば、SSOは、セキュリティ・アサーション・マークアップ言語(SAML)によって容易となる。 SAMLは、ユーザ・アイデンティティを提供するエンティティ、つまりアイデンティティ・プロバイダ(IDaaS等)と、ユーザがログインする必要があるサービスを提供するエンティティ、つまりサービス・プロバイダ(SaaSアプリケーション等)間でセキュリティ情報(認証及び認可データ)を通信するための拡張マークアップ言語(XML)ベースのオープン標準データ形式である。SSO実行メカニズムの他の例には、WSフェデレーション、OAuth、OpenID、LDAP、Kerberos、SecureID、Shibboleth System、拡張アクセス・コントロール・マークアップ言語(XACML)、サービス・プロビジョニング・マークアップ言語(SPML)等がある。
SSOに加えて、組織は、いわゆるクラウド・アクセス・セキュリティ・ブローカ(CASB)を介して、加入したSaaSアプリケーションへのアクセスを監視し、モデレートし、抑制するための要件を有する。しかし、殆どの組織では、IDaaSプロバイダとSaaSアプリケーション間の直接通信による信頼関係の確立を必要とするSSOを実行するIDaaSソリューションと、SSOに必要な直接通信を中断して信頼関係を変更するCASBサーバの両方を効果的に使用できていない。
企業によるSaaSの採用が拡大し続けるにつれて、SaaSアプリケーションへのアクセスを監視し、モデレートし、管理する必要性も増している。既存のCASBサーバの限られた機能には、組織のIDaaSサブスクリプションとSaaSアプリケーション・サブスクリプション間の信頼関係を変更することなく、クラウド・セキュリティを非侵入的に強化する改良されたCASBサーバの設定が必要である。
従って、既存のCASBの上述の限界を克服するために、強化されたCASBの開発の機会が生じる。
図面において、同様の参照符号は一般的に異なる図を通して同様の部品を指す。また、図面は必ずしも一定の縮尺ではなく、代わりに、開示された技術の原理を図解することに一般的に重点が置かれている。以下の説明では、以下の図面を参照して、開示された技術の様々な実施態様が説明される。
開示された技術の実施態様によるシステムのアーキテクチャ・レベルの概略図を示す。
サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を確立する一実施態様を示す。
図2で確立された信頼に基づくフェデレーテッド・シングル・サインオン(SSO)のメッセージ交換チャートの一実施態様を示す。
サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更する一実施態様を示す。
図4で変更された信頼に基づくフェデレーテッド・シングル・サインオン(SSO)のメッセージ交換チャートの一実施態様を示す。
ポリシー実行のための非管理デバイスからネットワーク・セキュリティ・システムへのトラフィックをルーティングするリバース・プロキシの一実施態様を示す。
N−CASBアサーション・プロキシ(AP)によるフェデレーテッドSSOセッション中の信頼関係保持の一実施態様を示す。
ポリシー実行のために非管理デバイスからネットワーク・セキュリティ・システムへトラフィックをルーティングするリバース・プロキシの別実施態様を示す。
N−CASBアサーション・プロキシ(AP)によるフェデレーテッドSSOセッション中の信頼関係保持の別実施態様を示す。
N−CASBアサーション・プロキシ(AP)によるフェデレーテッドSSOセッション中の信頼関係保持の一実施態様を示す。
フェデレーテッド・シングル・サインオン(SSO)認証のための非侵入型セキュリティ実施の代表的な方法を示す。
サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更せずにフェデレーテッド・シングル・サインオン(SSO)認証中にセキュリティを非侵入的に実行する方法を示すフローチャートである。
サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更せずにフェデレーテッド・シングル・サインオン(SSO)認証中にセキュリティを非侵入的に実行するする方法を示すフローチャートである。
開示された技術を実施するために使用できるコンピュータ・システムの簡略ブロック図である。
以下の説明は、当業者が開示された技術を製作し使用することを可能にするために提示され、特定の用途及びその要件に即して提供される。開示された実施態様に対する様々な修正は、当業者には容易に明らかであり、本明細書で定義される一般原則は、開示される技術の精神及び範囲から逸脱することなく、他の実施態様及び用途に適用され得る。従って、開示された技術は、示された実施態様に限定されることを意図するものではなく、本明細書に開示された原理及び特徴と一致する最も広い範囲が与えられるべきである。
説明は以下のように構成されている。先ず、説明を通して使用される用語の説明が提供される。次に、様々な実施態様によって対処された技術的問題の幾つかを説明する序論が提示される。次に、一実施態様の高レベルの説明がアーキテクチャ・レベルで議論される。最後に、システムを実施するためのより詳細なアーキテクチャとその方法について説明する。
[用語]
サービス・プロバイダ(SP):本明細書で使用されるように、ユーザがサインインしようとしているアプリケーションまたはウェブサイトは、「サービス・プロバイダ」と呼ばれる。SPは、Salesforce.com(商標)、Box(商標)、Dropbox(商標)、Google Apps(商標)、Amazon AWS(商標)、Microsoft Office 365(商標)、Workday(商標)、Oracle on Demand(商標)、Taleo(商標)、Yammer(商標)、Concur(商標)等のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションである。SPは、Webアーキテクチャのアプリケーションまたはクラウド配信レガシー・サービスとして提供され得る。また、SPは、オンプレミス・サービスとしても運用可能である。
ソフトウェア・アズ・ア・サービス(SaaS)アプリケーション:本明細書で使用されるように、クラウドベースのSP、ホストされたサービス、クラウド・サービス、クラウド・アプリケーション、クラウド・ストレージ・プロバイダ、クラウド・ストレージ・アプリケーション、または、クラウド・コンピューティング・サービス(CCS)は、「SaaSアプリケーション」と呼ばれ、及びその逆も同様である。また、本明細書においては、クラウド・コンピューティング・サービス(CCS)、ホストされたサービス、または、クラウド・アプリケーションとして時々呼ばれるクラウド・サービスは、ネットワーク・クラウド・サービスまたはアプリケーション、ウェブベース(例えば、統合リソース・ロケータ(URL)を介してアクセスされる)または同期クライアント等のネイティブと呼ばれる。実施例は、URLを介して公開される内部の企業アプリケーションと同様に、SaaSの提供、プラットフォーム・アズ・ア・サービス(PaaS)の提供、及び、インフラストラクチャ・アズ・ア・サービス(IaaS)の提供を含む。今日一般的なSaaSアプリケーションの実施例は、Salesforce.com(商標)、Box(商標)、Dropbox(商標)、Google Apps(商標)、Amazon AWS(商標)、Microsoft Office 365(商標)、Workday(商標)、Oracle on Demand(商標)、Taleo(商標)、Yammer(商標)、及び、Concur(商標)を含む。SaaSアプリケーションは、単純なウェブサイト及び電子商取引サイトの提供とは対照的に、クラウド内で実行される機能であって、例えば、ログイン、ドキュメント編集、大量データのダウンロード、得意先情報の読み出し、支払勘定への入力、ドキュメント消去、等のポリシーの目標である機能を、ユーザに提供する。ここで留意すべきは、Facebook(商標)及びYammer(商標)等のソーシャルネットワークを提供する幾つかの消費者対応ウェブサイトは、ここで考えられるSaaSアプリケーションのタイプである点である。グーグルのGmail(商標)等の幾つかのSaaSアプリケーションは、幾つかの自由なユーザが該アプリケーションを一般的に使用すると同時に、他の企業がそれを企業のサブスクリプションとして使用するハイブリッドなものも可能である。ここで留意すべきは、SaaSアプリケーションは、URLベースのアプリケーション・プログラミング・インターフェイス(API)を使用するウェブ・ブラウザ・クライアント及びアプリケーション・クライアントの両方によってサポートされ得る点である。従って、一例としてDropbox(商標)を用いて、Dropbox(商標)ウェブサイト上のユーザ活動、並びにコンピュータ上のDropbox(商標)クライアントの活動を監視し得る。
アイデンティティ・プロバイダ(IDP):本明細書で使用されるように、ユーザを実際に認証するエンティティは、「アイデンティティ・プロバイダ」と呼ばれる。 IDPはまた、ユーザのアイデンティティを提供し、氏名、ジョブコード、電話番号、住所等のユーザに関する追加情報を含むユーザのプロファイルも含む。アプリケーションによっては、或るIDPは、非常に単純なプロファイル(例えば、ユーザネーム、電子メール)を必要とし、他のIDPは、ユーザデータ(例えば、ジョブコード、部門、住所、場所、マネージャ等)のより豊富な集合を必要とする場合がある。IDPは、アイデンティティ・アズ・ア・サービス(IDaaS)としても機能する。
アイデンティティ・アズ・ア・サービス(IDaaS):本明細書で使用されるように、対象のSPに一連のアイデンティティ及びアクセス管理機能を提供するクラウドベースのIDPは、「IDaaS」と呼ばれる。 IDaaS機能には、対象のSPが保持するアイデンティティをプロビジョニングする機能を含むアイデンティティのガバナンスと管理(IGA)が含まれる。また、IDaaSは、ユーザ認証、SSO、及び、承認の実行を提供する。今日の一般的なIDaaSプロバイダの例には、Okta(商標)、Ping Identity(商標)、Windows Azure Active Directory(商標)、EmpowerID(商標)、OneLogin(商標)、Bitium(商標)、Centrify(商標)、Identacor(商標)、LastPass(商標)等が含まれる。
信頼関係:本明細書で使用されるように、SPとIDP間の信頼関係は、ディジタル証明書及び/または暗号鍵を使用して確立される。証明書または鍵は、信頼できる証明機関によって発行され、ディジタルトランザクションの両端にインストールされる。証明書または鍵は、IDPによってSPに配信される情報が真正で妥協のないことを保証する。 IDPがアサーションをSPに配信すると、証明書または鍵はその情報が信頼できることを保証する。信頼関係は、SPにおいてIDP−URLを構成し、IDPにおいてSPのアサーション・コンシューマ・サービス(ACS)のURLを構成することによって確立される。
信頼関係の変更:本明細書で使用されるように、SPとIDP間の信頼関係の変更は、SPが、IDP自体を直接信頼するのではなく、SPとIDPの間に位置する中間エンティティを信頼する必要があることを指す。信頼関係は、中間エンティティがCASBまたはリバース・プロキシの場合に変更される。その場合、SPにおいてIDPのディジタル証明書または鍵を設定する代わりに、CASBまたはリバース・プロキシのディジタル証明書または鍵がSPで設定される。信頼関係は、SPにおいてアサーションを検証するために使用される公開鍵が、SPとIDP間で共有されるのではなく、CASBまたはリバース・プロキシとSPの間で共有される場合にも変更される。信頼関係は、SPがIDP−URLではなくCASB−URLまたはリバース・プロキシURLに認証要求を転送するように構成されている場合にも変更される。信頼関係は、IDPによって生成されたアサーションの内容がCASBやリバース・プロキシ等の中間物によって変更された場合にも変更される。
Netskope−CASB(N−CASB):本明細書で使用されるように、「Netskope−CASB」は、クラウドベースのセキュリティ装置またはオンプレミス・ポリシー実行ポイントとして機能するネットワーク・セキュリティ・システムであり、SaaSアプリケーションがアクセスされるときにエンタープライズ・セキュリティ・ポリシーを統合し、差し挟むために、ユーザとSaaSアプリケーションの間に配置される。N−CASBは、複数のタイプのセキュリティ・ポリシーの実行を統合する。セキュリティ・ポリシーの例には、認証、フェデレーテッド・シングル・サインオン(SSO)、認可、資格マッピング、デバイス・プロファイリング、暗号化、トークン化、データ漏洩防止(DLP)、ロギング、アラート、マルウェア検出/防止等が含まれる。N−CASBは、APIを使用してアプリケーション層のトラフィックを分析し、リアルタイムでSaaSアプリケーションのトランザクションを深く検査する。N−CASBに関する追加情報については、例えば、同一出願人の米国特許出願第14/198,499号、第14/198,508号、第14/835,640号、第14/835,632号、及び、第62/307,305号; チェン、イタール、ナラヤナスワミー、及びマルムスコッグ、「ダミーのためのクラウド・セキュリティ、ネットスコープ・スペシャルエディション、John Wiley&Sons,Inc.2015; ネットスコープ,インクの「ネットスコープ内観」; ネットスコープ,インクの「クラウドにおけるデータ損失防止と監視」; ネットスコープ,インクの「クラウド・データ損失防止参照アーキテクチャ」; ネットスコープ,インクの「クラウド信頼への5つのステップ」; ネットスコープ,インクの「ネットスコープ・アクティブ・プラットフォーム」; ネットスコープ,インクの「ネットスコープの利点:クラウド・アクセス・セキュリティ・ブローカのための3つの“必携”要件」; ネットスコープ,インクの「重要な15のCASB使用事例」; ネットスコープ,インクの「ネットスコープ・アクティブ・クラウドDLP」; ネットスコープ,インクの「クラウド・データ侵害の衝突コースを修復する」; ネットスコープ,インクの「Netskope Cloud Confidence Index(商標)」を参照されたい。
更に、既存のCASBとは異なり、N−CASBは、IDPまたはIDaaSとSPまたはSaaSアプリケーションとの間の信頼関係を保持するアサーション・プロキシとして動作する。N−CASBは、IDPからアサーションを受信するアサーション・コンシューマ・サービス(ACS)としても機能し得る。N−CASBは、IDPから受信したアサーションを(例えば、SPまたはSaaS公開鍵を使用して)暗号化し、暗号化されたアサーションをSPに転送する。
非管理デバイス:本明細書で使用されるように、「非管理デバイス」は、トラフィックがポリシー実行サーバを介してトンネリングされていない個人保有デバイスの持ち込み(BYOD)、及び/または、オフ・ネットワーク・デバイスと呼ばれる。N−CASBは、着信トラフィックを分析して、SaaSアプリケーションのトランザクションが企業ネットワークの範囲内で行われているか、セキュリティ・エージェントまたはセキュリティプロファイルがインストールされているデバイスから行われているか否かを判断する。デバイスは、エンドポイント・ルーティング・エージェント(ERC)によって収集された特定のデバイス特性に基づいて、非管理デバイスまたは管理デバイスとして分類できる。デバイスのタイプによっては、ERCは、オンデマンドVPNや証明書ベースの認証を使用するアプリケーション別VPN等の仮想プライベート・ネットワーク(VPN)であり得る。例えば、iOS(商標)デバイスの場合、それは、アプリケーション別VPNでも、ドメインベースのVPNプロファイルの集合でも良い。 Android(商標)デバイスの場合、それは、クラウド・ディレクタ・モバイル・アプリであり得る。Windows(商標)デバイスの場合、それは、アプリケーション別VPNでも、ドメインベースのVPNプロファイルの集合でも良い。ERCは、電子メールを使用してダウンロードされたか、または、ConfigMgr(商標)、Altris(商標)、及びJamf(商標)等の大量展開ツールを使用して、サイレントインストールされたエージェントでもあり得る。
ERCは、レジストリキー、アクティブ・ディレクトリ(AD)、メンバーシップ、プロセスの存在、オペレーティング・システム・タイプ、ファイルの存在、ADドメイン、暗号化チェック、OPSWATチェック、メディア・アクセス・コントロール(MAC)アドレス、IMEI番号、及び、デバイスのシリアル番号等のデバイス情報を収集する。。収集されたデバイス情報に基づいて、ERCはデバイスを非管理デバイスまたは管理デバイスとして分類する。追加または異なるカテゴリを使用して、デバイスを半管理デバイスカテゴリまたは未知のデバイスカテゴリ等に分類することができる。
N−CASBが、着信トラフィックが管理デバイスまたは非管理デバイスからルーティングされるか否かを決定する方法に関する追加情報については、例えば、同一出願人の米国特許出願第14/198,499号、 第14/198,508号、第14/835,640号、第14/835,632号、及び、第62/307,305号を参照されたい。
ポリシー:本明細書で使用されるように、ポリシー規定、ポリシー・データ、または、コンテント・ポリシーとして時々呼ばれる用語「ポリシー」は、SaaSアプリケーションに対するフロー・コントロール及びコンテンツ・コントロール要求の機械可読表現を指す。典型的に、ポリシーは、企業または他のエンティティにおいて1以上の管理者によって規定され、当該企業またはエンティティ内でユーザに対して実行される。個人が当該個人に対して実行される当該個人自身の使用のためのポリシーを規定することも可能であるが、企業利用がより一般的である。また、SaaSアプリケーションのビジターまたは顧客に対して、ポリシーを実行することも可能であり、その場合、例えば、企業がSaaSアプリケーションをホストし、或いは、に加入し、訪れる顧客、ユーザ、または、従業員に対して使用のためのポリシーを順守するように要求する。特に留意すべきは、ここで考えられるポリシーは、SaaSアプリケーションの意味に対して敏感であり得る、つまり、ポリシーは、SaaSアプリケーションにログインすることと、SaaSアプリケーション上のドキュメントを編集することを区別することができる。
使用を理解するのに文脈は重要である。エンティティに対して、数十または数百の個別のポリシー(例えば、大量ダウンロードの記録、サービス上のドキュメントの編集禁止、「副社長」グループ内のユーザに対してのみ大量ダウンロードを許可)は、特に、1つのポリシーまたは1つのポリシー規定と呼ばれる。従って、複数のエンティティをサポートするシステムは、一般的に、エンティティ当たり、数十または数百の個別のフロー・コントロール及びコンテンツ・コントロール・ポリシーからなる1つのポリシーを有するであろう。同様に、個々のコンピュータに転送されるポリシーは、完全な企業ポリシーの一部、例えば、フロー・コントロール及び/またはコンテンツ操作を記述する各URLに対する完全なポリシーの仕様ではなく、単に関心のあるURLの機械可読表現だけとすることができる。
マルチパート・ポリシー:本明細書で使用されるように、「マルチパート・ポリシー」は、トランザクションに関する少なくとも1つの条件が満たされたときに、少なくとも1つのセキュリティ処置のトリガを指定するポリシーを指す。マルチパート・ポリシーは、単一のトランザクションに適用されるが、マルチパート・ポリシーの少なくとも1つのポリシー条件は、単一トランザクションで利用できないデータまたはメタデータの評価を必要とする。また、マルチパート・ポリシーは、単一のトランザクションに適用されるが、マルチパート・ポリシーの少なくとも1つのポリシー条件は、外部データまたはメタデータストアで利用可能なデータまたはメタデータの評価を必要とする。更に、マルチパート・ポリシーは、単一のトランザクションに適用されるが、マルチパート・ポリシーの少なくとも1つのポリシー条件は、外部エンジンによって生成されるデータまたはメタデータの評価を必要とする。マルチパート・ポリシーは、アクティブな分析中にリアルタイムで適用されるが、マルチパート・ポリシーの少なくとも1つのポリシー条件は、延期中または非リアルタイム検査で収集されたデータまたはメタデータの評価を必要とする。マルチパート・ポリシーの例には、「ユーザが異常検出によって指摘されたリスクにある場合に、ユーザのフォームのアップロード/ダウンロードを防止する」、「ファイルが機密の場合、ファイルの共有を防止する」、「デバイスがマルウェア検出エンジンによって指摘されたリスクにある場合、デバイスへのファイルのダウンロードを防止する」、「仮想マシンが重要なサーバである場合は、仮想マシンの削除を防止する」等が含まれる。
アプリケーション・プログラミング・インターフェイス(API):本明細書で使用されるように、「アプリケーション・プログラミング・インターフェイス」は、そのインターフェイスタイプを含む一連のクラスに属するコード・ライブラリ、ルーチン、プロトコル・メソッド、及び、フィールドのパッケージ化されたコレクションを指す。APIは、関連するクラスをインポートし、クラスをインスタンス化して、それらのメソッドとフィールドを呼び出す命令文を記述するだけで、開発者とプログラマが独自のソフトウェア開発にクラスを使用できる方法を規定する。APIは、ソフトウェア・コンポーネントが互いに通信するためのインターフェイスとして使用されることを意図したソースコード・ベースの仕様である。APIには、ルーチン、データ構造、オブジェクト・クラス、及び、変数の仕様を含めることができる。基本的に、APIは、開発者とプログラマがオンライン・ソーシャル・ネットワークの基本的なプラットフォームの機能と特徴にアクセスするためのインターフェイスを提供する。開示される技術には、SOAP、Bulk、XML−RPC、及び、JSON−RPC等のHTTPまたはHTTPベースのAPIや、REST API(例えば、Flickr(商標)、Google Static Maps(商標)、Google Geolocation(商標))等のWebサービスAPI、WebソケットAPI、JavaScript(登録商標)及びTWAIN(例えば、Google Maps(商標)、JavaScript API、Dropbox(商標)、JavaScriptデータストアAPI、Twilio(商標)API、Oracle Call Interface(OCI))等のライブラリ・ベースのAPI、Java APIやAndroid API(例えば、Google Maps(商標)、Android API、.NET Framework用MSDNクラスライブラリ、Java(登録商標)とC#用Twilio(商標)API)等のクラス・ベースのAPI、ファイル・システムへのアクセスやユーザ・インターフェイスへのアクセス等のOS関数とルーチン、CORBAや.NET Remoting等のオブジェクト・リモーティングAPI、及び、ビデオ・アクセラレーション、ハードディスク・ドライブ、PCIバス等のハードウェアAPIを含む様々なタイプのAPIを使用する。開示される技術によって使用されるAPIの他の例には、Amazon EC2 API(商標)、Box Content API(商標)、Microsoft Graph(商標)、Dropbox API(商標)、Dropbox API v2(商標)、Dropbox Core API(商標)、Dropbox Core API v2(商標)、Facebook Graph API(商標)、Foursquare API(商標)、Geonames API(商標)、Force.com API(商標)、Force.com Metadata API(商標)、Apex API(商標)、Visualforce API(商標)、Force.com Enterprise WSDL(商標)、Salesforce.com Streaming API(商標)、Salesforce.com Tooling API(商標)、Google Drive API(商標)、Drive REST API(商標)、AccuWeather API(商標)、CloudRail(商標)API等の集約型単一API等がある。
モバイル及びタブレット対コンピュータ:明細書の一部では、SaaSアプリケーションにアクセスするためにユーザによって使用される2つのタイプのクライアント・デバイスを区別する。主な区別は、クライアント・デバイスをN−CASBに接続するためのメカニズムの違いである。クライアント・デバイスに関して、「コンピュータ」という用語は、N−CASBがソフトウェアをより直接的にインストールし、ネットワーキング・スタックを変更できる、よりオープンなシステムを指す。同様に、クライアント・デバイスに関して、「モバイル」または「タブレット」という用語は、ネットワーク・スタックを変更するためのネットワーク・セキュリティ・システムのオプションがより限定されている、より閉じたシステムを指す。この用語は、Mac OS X、Windowsデスクトップ・バージョン、Android、及び/または、Linux(登録商標)上で動作するコンピュータ・クライアント・デバイスが、iOS及び/またはWindows Mobile上で動作するモバイルデバイスまたはタブレットデバイスよりも簡単に変更できるという今日の状況を反映している。従って、この用語は、クライアント・デバイスのタイプ間の基本的な技術的な違いとは対照的に、ネットワーク・セキュリティ・システムへのアクセスを提供するためにサードパーティのオペレーティング・システム・ベンダの制限がどのように対処されるかを参考にする。更に、モバイルOSベンダがシステムを更にオープンにした場合、クライアント・デバイスのより多くクラスにおいて、当該区別をなくせる可能性がある。更に、組織内の特定のサーバ・コンピュータ及び他のコンピューティング・デバイスが、マシン間通信をカバーするためにクライアントをインストールできる場合があり得る。
密接に関連する点は、一部のクライアントがN−CASBに異なる方法でインターフェイスすることである。例えば、ブラウザ・アドオン・クライアントは、ブラウザを明示的なプロキシにリダイレクトする。ポリシーを適用するために必要なトラフィックのみがルート変更され、アプリケーション内でトラフィックがルート変更される。N−CASBに到着するトラフィックは、データ内にまたは安全なトンネル・ヘッダ内に埋め込まれたユーザ・アイデンティティ、例えば、追加のヘッダまたはSSLクライアント側の証明書を有することができる。他のクライアントは、透過プロキシを通じて選択されたネットワーク・トラフィックをリダイレクトする。これらの接続では、ポリシーで必要とされる要求を超えるトラフィックがN−CASBにルーティングされる可能性がある。更に、ユーザ・アイデンティティ情報は、一般にデータそのもの中にはなく、N−CASBへの安全なトンネルを設定する際にクライアントによって確立される。
ユーザ・アイデンティティ:本明細書で使用されるように、「ユーザ・アイデンティティ」または「ユーザ識別(identification)」は、クライアント・デバイスに提供されるインジケータを指す。これは、トークン、UUID等の一意の識別子、公開鍵証明書等の形式を取り得る。ユーザ・アイデンティティを特定のユーザ及び特定のデバイスにリンクすることができる。従って、同じ個人が、自分の携帯電話とコンピュータとで異なるユーザ・アイデンティティを持つことができる。ユーザ・アイデンティティは、エントリまたはユーザIDのコーポレート・アイデンティティ・ディレクトリにリンクできるが、それとは区別される。暗号証明書がユーザ・アイデンティティとして使用される。ユーザ・アイデンティティは、ユーザにのみ固有であり、デバイス間で同一とすることもできる。
[序論]
既存のCASBの限界を克服する目的で、改良されたCASBがネットスコープ,インクによって開発された。この改善されたCASBは、本明細書では「Netskope−CASB(N−CASB)」と呼ばれ、その特徴及び実施態様が以下に説明される。
既存のCASBサーバは、SPとIDPの間の信頼できる認証会話の途中に自身を挿入する侵入的プロキシとして動作する。開示された技術は、改善されたCASB(Netskope−CASB(N−CASB)と呼ばれる)がアサーション・プロキシとして動作し、SPとIDPの間の信頼関係を保持するシステム及び方法を提案する。このように、N−CASBは、IDPがSaaSアプリケーションによるフェデレーテッドSSO認証用に提供するセキュリティとユーザ・アイデンティティ管理(UID)を妨げずに、SaaSアプリケーションへのアクセスを管理するという本来の目的のために使用することができる。
[信頼関係]
図2は、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)との間の信頼関係を確立する一実施態様を示す。図2に対して補完的に、図3は、図2で確立された信頼に基づくフェデレーテッド・シングル・サインオン(SSO)のメッセージ交換チャートの一実施態様を示す。
SSO認証方法が機能できる前に、ユーザに代って、組織、会社、または企業が、図2に示す別個のオフラインまたは帯域外プロセスでIDP208と信頼関係を確立する。これは、SP202においてIDP公開鍵を構成することによって行われる。同様に、SP202は、IDP208と独立した信頼関係を有する。SSO認証方法は、IDP208及び複数のSaaSアプリケーションに対し、1対1の関係を動的に確立できる機能を提供する。簡単に説明すると、IDP208とSP202が互いに信頼する方法は、それらが暗号化と復号化のための鍵を共有することであり、その場合、SSOの実施態様が図2において最初に設定された時に、当該鍵が確立される。
図2は、SP202、IDP208、及び組織の信頼関係確立器226を含む。SP 202、IDP208、及び確立器226は、ネットワーク115等のネットワークを介して接続される。SP202及びIDP208は、ワークステーション、サーバ、コンピューティングクラスタ、ブレードサーバ、サーバファーム、または任意の他のデータ処理システムもしくはコンピューティング・デバイスとすることができる。幾つかの実施態様では、SP202はSaaSアプリケーションであり、IDP208はIDaaSプロバイダである。一実施態様では、SP202は、ACS−URLによってアクセス可能なアサーション・コンシューマ・サービス(ACS)を含む。別の実施態様では、IDP208は、IDP−URLによってアクセス可能である。
図2において、確立器226は、SP202とIDP208との間の信頼関係を確立するために使用される。実施態様では、組織、企業、または企業は、SaaSアプリケーション・サブスクリプションのポートフォリオを有する。一実施態様では、組織は、IDP 208としてIDaaSプロバイダを使用して、SaaSアプリケーション・サブスクリプションのポートフォリオ全体にわたってユーザ・アイデンティティ管理(UID)を実行する。図2において、SP202は、明確にするために、1つのSaaSアプリケーションのみを表す。他の実施態様では、確立器226は、複数のSaaSアプリケーションとIDP208との間の信頼関係を確立することができる。
ある実施態様では、SP202とIDP208との間の信頼関係は、SP202でIDP−URLを構成し、IDP208でSPのACS−URLを構成することによって確立される。他の実施態様では、信頼関係は、IDP208の公開鍵またはディジタル証明書をSP202で構成することによって確立される。図2では、図示のように、確立器226を使用して、SP202におけるIDP−URL及びIDP公開鍵、並びにIDP 208におけるSPのACS−URLを構成することができる。
図3は、図2で確立された信頼に基づくフェデレーテッドSSO認証のメッセージ交換チャートの一実施態様を示す。図3に示す例では、SSOはSAMLを用いて実現される。SAMLフェデレーテッド認証は、「アイデンティティ・プロバイダ始動」または「サービス・プロバイダ始動」とすることができる。更に他の実施態様では、WSフェデレーション、OAuth、OpenID、SecureID、LDAP、Kerberos、SecureID、Shibboleth System、拡張アクセス・コントロール・マークアップ言語 (XACML)、及びサービス・プロビジョニング・マークアップ言語(SPML)等の様々なSSO技術が使用できる。
SAMLに関して、SAMLは、SaaSアプリケーションであってもよいサービス・プロバイダ(例えば、SP202)と、IDaaSプロバイダであってもよいアイデンティティ・プロバイダ(例えば、IDP208)との間でユーザセキュリティ情報を交換するための安全なXMLベースのソリューションを提供する。SAML 2.0 の記述は、Web の<https://en.wikipedia.org/wiki/SAML_2.0>; <http://saml.xml.org/saml−specifications>; 及び<http://docs.oasis−open.org/security/saml/Post2.0/sstc−saml−tech−overview−2.0.html> にある。SAMLを用いたSSOの別の記述は、<https://developer.salesforce.com/page/Single_Sign−On_with_SAML_on_Force.com>で見つけることができる。
図3において、IDP208はアサートパーティであり、SP202はアサーションに依存するパーティであり、ブラウザ336でクライアントを操作するユーザ326はアサーションの対象である。IDP208は、ユーザのアイデンティティを確認する情報を提供する権限システムである。SP202は、アイデンティティ・プロバイダのユーザ情報を信頼し、この情報を使用してSaaSアプリケーションへのアクセスを提供するシステムである。IDP208からSP202へのトランザクションは、SAMLアサーションと呼ばれる。SAMLアサーションの構造は、構造化情報標準促進協会(OASIS)のSAML規格によって指定されるXMLスキーマによって定義される。SAMLアサーションは、ヘッダ情報と、開始URL及びログアウトURL等の属性及び条件の形式で、サブジェクトに関するステートメントとを含む。WebブラウザSSOは、SAMLの最も広く使用されている機能であり、典型的には、ハイパーテキスト転送プロトコル(HTTP) POSTバインディング及び認証要求プロトコルと共に使用される。ウェブブラウザSSOは、ユーザのセッションが確立されていない場合、IDP208によって、またはSP202によって開始することができる。アサーションはまた、IDP208によってディジタル署名される。
図3において、SP202とIDP208との間の全ての通信は、ブラウザ336を介して行われる。交換1では、ユーザ326は、SP202によって表されるSaaSアプリケーション、または、SP202によってホストまたは提供される任意の他のリソースまたはサービスにログインしようと試みる。しかし、ユーザ326がSP202によって提供されるサービスを使用することができる前に、ユーザ326の「アイデンティティ」は、IDP208によって提供され、SP202によって認証され、受け入れられなければならない。これが、「認証」の意味するところである。「アイデンティティ」は、IDP208がユーザ326のアイデンティティを確認すると、IDP208がユーザ326に提供する「アサーション」である。これはIDP208とSP202によってホストされたSaaSアプリケーションとの間の信頼関係を形成する。なぜなら、ユーザ326は、IDP208によって提供されたアサーションを受け取り、認証のためにSP202に別のクレデンシャルセットで再度ログインしなければならないのではなく、それを認証としてSaaSアプリケーションにアクセスするために使用するからである。一実施態様では、SAML 2.0プロトコルは、他のSaaSアプリケーションが、認証検査がすでにIDP208によって成功裏に実行されたことの証拠として、提供されたアサーションを受け入れるので、認証信頼関係が確立され、実現される処理及び規格を提供し、ユーザ326がIDP208に対して一度認証し、次いで、セッション中に再認証する必要なく、アサーションを使用してSaaSアプリケーションにアクセスすることを可能にする。
それに応答して、交換2において、SP202は、IDP208からの認証を要求するための認証要求、すなわち「SAML要求」を生成する。交換3において、SP202は、ブラウザ336をIDP−URLにリダイレクトする。他の実施態様では、リダイレクトは、ユーザ326のアプリケーションプログラムからのAPI呼び出しを介して行われる。交換4において、IDP208は、例えば、IDP208がより大きな信頼関係の一部であり、ユーザ326が別のIDPからそれに提供されたアサーションを既に有する、マルチファクタ認証機構または以前のIDP認証セッションによって、ユーザ326を認証する。
ユーザ326の認証が成功すると、IDP208は、XMLペイロードの形で交換5で「アサーション」または「SAMLアサーション」を生成してブラウザ336に戻し、ユーザ326は、例えばSP202によってホストされるアプリケーション等のSaaSアプリケーションにアクセスするために使用することができる。ユーザ326は、別のタイプの認証(例えば、ユーザ名/パスワードログイン)を実行する代わりに、アサーションをサービス・プロバイダ(例えば、SP202)に提示することができる。従って、交換6において、IDP208は、アサーションをブラウザ336を介してSP202のACSに送信し、ブラウザ336は、アサーションをACS−URLにポストする。
アサーション自体は、XML文書の形態の実際のアサーションと、本質的にXML文書の暗号化されたバージョンであるアサーション署名との2つのコンポーネントを含む。署名は暗号化されているので、SP202は、図2に示すように、信頼関係の初期構成中に鍵を与えられていなければならない。交換7で、SP202のACSは、信頼関係の別個のオフラインまたは帯域外での確立中にSP202で構成されたIDP公開鍵を使用してアサーションを検証する。一実施態様では、SP202は、アサーション文書を開き、クリアテキストXMLコンポーネントと、一方向ハッシュ型署名であるため暗号化されていないディジタルXML署名とを見る。XML署名構文及び処理に関する詳細を提供するドキュメントは、<https://www.w3.org/TR/xmldsig−core/> にある。ディジタルXML署名は、クリアテキストXML コンテンツをハッシュし、得られた署名をディジタルXML署名と比較することによって検証される。ブラウザ336は、実際には、XML署名生成に使用される鍵を有していない。ブラウザ336は、アサーションと共にSAML認証要求及びSAML応答を送信するが、署名または認証のために鍵を使用しない。ブラウザ336は、単なる経路であり、IDP208からSP202に署名されたアサーション応答を転送するだけである。
交換1〜7を通じた成功した進行の後、SP202内の要求されたリソースは、交換8において、SP202にログインしているユーザ326に返される。交換1〜7は、ユーザ326のための完全なIDP認証セッションを構成する。ユーザがIDP208に対して認証され、アサーションが提供されると、ユーザ326は、このアサーションを繰り返し使用することができる。幾つかの実施態様では、様々なサービス・プロバイダ及びSaaSアプリケーションが、暗号化公開鍵の共有によって、同じIDP208からのアサーションを受け入れるようにすでに構成されている場合、ユーザ326は、当該サービス・プロバイダ及びSaaSアプリケーションと共に該アサーションを使用することができる。
[信頼関係の修正]
フェデレーテッドSSOに即して理解される信頼関係の確立を用いて、次に、既存のCASBがこの信頼関係をどのように変更するかについて議論する。
上述したように、既存のCASBは、図2及び図3で説明したように、IDP暗号鍵を構成するのではなく、SPにおいてCASBまたはリバース・プロキシ暗号鍵を構成することによって、SPとIDPとの間の信頼関係を変更する。その結果、アサーションは、SPとIDPとの間で共有されるのではなく、SPとCASBまたはリバース・プロキシとの間で共有されるディジタル証明書または鍵を使用して、SPにおいて検証される。
サービス・プロバイダとアイデンティティ・プロバイダとの間の信頼関係の既存のCASBの修正は、様々な理由でほとんどの組織にとって望ましくない。例えば、信頼の修正は、現存するCASBがアサーションのコンテンツにアクセスし、しばしばそれを修正するので、セキュリティ侵害の危険性を増大させる。アサーションは、ユーザクレデンシャル等の機密データを含むので、組織は、そのような機密データがCASBに公開されることを好まない。開示されたテクノロジは、IDPにおいてアサーションを暗号化し、N−CASBがアサーションのコンテンツを変更することもアクセスすることも防止することによって、フェデレーテッドSSO認証セキュリティギャップを閉じる。
また、多くの場合、組織は、フェデレーテッドSSOを容易にする、IDaaSプロバイダ等のアイデンティティ・プロバイダとのサービスレベルアグリーメント(SLA)を有す。必然的に、SLAの技術的要件は、組織が、IDaaSプロバイダとそのSaaSアプリケーション・サブスクリプションとの間の直接的な信頼関係を確立し、維持することである。組織のSaaSアプリケーション・サブスクリプションとIDaaSプロバイダとの間にそれらを挿入し、信頼関係を変更することによって、既存のCASBは、当事者にそれらのSLAの条件に違反させる。開示された技術は、図7−14において以下に詳細に説明されるように、IDPとSPとの間の信頼関係を保持し、従って、SLAのコンプライアンスを実施することによって、この技術的問題を克服する。
図4では、このSSO認証方法が機能する前に、組織、会社、または企業は、ユーザの代わりに、IDP公開鍵を構成する代わりに、SP402でCASB公開鍵を構成することによって、別個のオフラインまたは帯域外プロセスでSP402とIDP408との間の信頼関係を変更する。幾つかの実施態様では、IDP408のURLではなく、SP402でCASBのIDP−URLが構成され、それによってSP402が認証リクエストをIDP408ではなくCASBのIDPに転送するので、信頼関係も変更される。図4に示す例では、信頼関係は変更子426を使用して変更される。従って、SP402は、IDP408との独立した信頼関係をもはや有さない。
図4を補足すると、図5は、SP402とIDP408との間の信頼できる認証会話の途中に挿入されたインラインCASBによって図4で修正された信頼に基づくフェデレーテッド・シングル・サインオン(SSO)のメッセージ交換チャートの一実施態様を示す。図5に示す例では、SP402はCASB公開鍵とCASBのIDP−URLで構成され、IDP408はCASBのACS−URLで構成されている。従って、SP402は、IDP408の代わりにCASBのIDP548を信頼する。また、IDP408は、SP402の代わりにCASBのSP542を信頼する。
図5において、SP402とIDP408との間の全ての通信は、ブラウザ336を介して行われる。交換1では、ユーザ326は、SP402によって表されるSaaSアプリケーション、または、SP402によってホストまたは提供される任意の他のリソースまたはサービスにログインしようと試みる。しかし、ユーザ326がSP402によって提供されるサービスを使用することができる前に、ユーザ326の「アイデンティティ」は、IDP408によって提供され、SP402によって認証され、受け入れられなければならない。これが、「認証」の意味するところである。これに応答して、交換2において、SP402は認証要求、すなわち「SAML要求」を生成し、これはIDP−URLではなくCASBのIDP−URLに転送される。交換3において、SP402は、ブラウザ336をCASBのIDP−URLにリダイレクトする。交換4において、CASB IDP 548は、ブラウザ336をIDP−URLにリダイレクトする。他の実施態様では、リダイレクトは、ユーザ326のアプリケーションプログラムからのAPI呼び出しを介して行われる。
交換5において、IDP408は、例えば、IDP408がより大きな信頼関係の一部であり、ユーザ326が別のIDPからそれに提供されたアサーションを既に有する、マルチファクタ認証機構または以前のIDP認証セッションによって、ユーザ326を認証する。ユーザ326の認証が成功すると、IDP408は、XMLペイロードの形で交換6で「アサーション」または「SAMLアサーション」を生成してブラウザ336に戻し、ユーザ326は、それを、例えばSP402によってホストされるアプリケーション等のSaaSアプリケーションにアクセスするために使用することができる。ユーザ326は、別のタイプの認証(例えば、ユーザ名/パスワードログイン)を実行する代わりに、アサーションをサービス・プロバイダ(例えば、SP402)に提示することができる。従って、交換7において、IDP408は、アサーションを、SP402のACSではなく、ブラウザ336を介してCASB SP542のACSに送信する。
交換8において、IDP公開鍵で構成されるCASB SP542は、IDP公開鍵を使用してアサーションを検証し、CASB秘密鍵を使用してアサーションを再認証する。また、交換8において、CASBはトラフィックを評価して、トラフィックが管理デバイスからルーティングされているか、非管理デバイスからルーティングされているかを判定する。トラフィックが管理デバイスからルーティングされる場合、交換9において、CASB SP542は、ブラウザ336を介してSPのACS−URLに再認証されたアサーションをポストする。次に、交換10において、SPのACSは、CASB公開鍵を使用して再認証されたアサーションを検証する。アサーションがSP402によって検証されると、ユーザは交換11でSaaSアプリケーションにログインする。
対照的に、交換8において、トラフィックが非管理デバイスからルーティングされているとCASBが判定した場合、交換12において、CASB SP542は、再認証されたアサーションを、SPのACS−URLにポストする代わりに、ブラウザ336を介してリバース・プロキシ602にポストする。一実施態様では、これは、リバース・プロキシ・ドメインを、再認証されたアサーションがポストされるべきであったSPのACS−URLまたはSaaSアプリケーションURL(SP402によって提供される)に追加することによって行われる。例えば、SaaSアプリケーションURLが「login.saasapplication.com」である場合、再認証されたアサーションは、「login.saasapplication.com/reverseproxydomian」にポストされる。
図6は、ポリシー実施のための、非管理デバイスからネットワーク・セキュリティ・システムへのリバース・プロキシルーティングトラフィックの一実施態様を示す。ネットワーク・セキュリティ・システムは、フォワード・プロキシまたはプロキシ・サーバとしても機能することができる。リバース・プロキシの一般的な使用法の一覧は、<https://en.wikipedia.org/wiki/Reverse_proxy>にある。
交換13では、リバース・プロキシ(RP)602は、復号化されたアサーションを伴う検証トークンを検証した後、再認証されたアサーションのSPのACS−URLからリバース・プロキシ・ドメインを取り除き、交換14で再認証されたアサーションをネットワーク・セキュリティ・システムまたはフォワード・プロキシ(FP)604に転送する。検証トークンは、クッキー、変更されたURLに埋め込まれたパラメータ、及び/または要求において識別されたヘッダであってもよい。FP 604は、交換15において、SP402へのアクセスを制御するために、ルーティングされたトラフィックにセキュリティ・ポリシーを実行する。ルーティングされたトラフィックが、ネットワーク・セキュリティ・システムまたはフォワード・プロキシ604によって、ブロッキングまたはセキュリティ・ポリシーに基づく別のセキュリティ・アクションに適格でないと判定された場合、再認証されたアサーションは、交換16でSP402に送信される。
交換17において、SP402のACSは、管理されたデバイスの場合に交換10において有するように、CASB公開鍵を使用してアサーションを検証する。更に、交換18でSP402によって返されるページは、複数のURLを含み、これらのURLは、交換機19でネットワーク・セキュリティ・システムまたはフォワード・プロキシ604によってリバース・プロキシ602に転送される。リバース・プロキシ602は、ユーザ326がURLをクリックすると、ユーザが直接SP402に行く代わりに、ポリシー実施のためにネットワーク・セキュリティ・システムまたはフォワード・プロキシ604を介してユーザがトンネリングされるように、これらのURLを書き換える。このようにして、非管理デバイスからの任意の後続のトラフィックは、ネットワーク・セキュリティ・システムまたはフォワード・プロキシ604を介して強制的にルーティングされる。
[システム概要]
フェデレーテッドSSO認証に即して理解される信頼関係の修正を用いて、ここで、開示されるN−CASBが、どのようにして、サービス・プロバイダとアイデンティティ・プロバイダとの間の信頼関係または信頼チェーンまたは信頼会話を保持するかについて議論する。
サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)の間のフェデレーテッドSSOのために確立された信頼関係を保持し、SPを含むトランザクションにネットワークセキュリティ・ポリシーを実行するためのシステムと様々な実施態様について述べた。本システムは、図1を参照して説明され、本実施態様によるシステムのアーキテクチャ・レベルの概略図を示す。図1はアーキテクチャ図であるので、説明の明確さを改善するために、特定の詳細は意図的に省略される。図1の説明は以下のように構成される。最初に、図の要素が説明され、その後にそれらの相互接続が続く。次に、システムにおける要素の使用をより詳細に説明する。最後に、プロセスを図7−13に示す。
図1は、SP102(1または複数の SaaSアプリケーションをホストする)及びIDP108(IDaaSを表す)を含む。このシステムは、Netskope−CASB(N−CASB)160、アサーション・プロキシ170、リバース・プロキシ180、及びネットワーク・セキュリティ・システム190も含む。幾つかの実施態様では、プロキシ170、180、及び190は、N−CASB160の結合されたユニット部分として一緒にホストされる。他の実施態様では、それらは別々にホストされる。一実施態様では、アサーション・プロキシ170及びリバース・プロキシ180は、アサーション・プロキシ170及びリバース・プロキシ180の両方の機能を実行する単一のプロキシに結合される。幾つかの実施態様では、プロキシ170、180、及び190は、クラウドベースのプロキシである。他の実施態様では、プロキシ170、180、及び190は、オンプレミス・プロキシである。ネットワーク・セキュリティ・システム190は、とりわけ、コンテンツポリシー191、コンテンツプロファイル192、コンテンツ検査ルール193、企業データ194、及びユーザ・アイデンティティ196を格納する。幾つかの実施態様では、ネットワーク・セキュリティ・システム190は、1または複数のテナントからの情報を共有データベース画像のテーブルに格納して、オンデマンドデータベースサービス(ODDS)を形成することができ、これは、マルチテナントデータベースシステム(MTDS)等の多くの方法で実施することができる。データベース画像は、1または複数のデータベースオブジェクトを含むことができる。他の実装形態では、データベースは、リレーショナル・データベース管理システム(RDBMS)、オブジェクト指向データベース管理システム(OODBMS)、分散ファイル・システム(DFS)、ノースキーマデータベース、または任意の他のデータ記憶システムもしくはコンピューティング・デバイスとすることができる。クライアント・デバイス150は、モバイル152及びコンピュータ154を含む。
実施態様では、図1に示されるシステムは、ログベースディスカバリ、ディープAPI検査(DAPII)、イントロスペクション、インラインエージェントレスステアリング、インラインシンエージェントまたはモバイルプロファイルステアリング等の様々な機構及びコンポーネントを使用してSaaSアプリケーションへのアクセスを制御しながら、SP102とIDP108との間の信頼関係を保持する、本明細書では「Netskope−CASB」と呼ばれる改良されたCASB、リバース・プロキシ180、ネットワーク・セキュリティ・システム190、モニタ120、アクティブアナライザ130、検査アナライザ140、抽出エンジン121、分類エンジン122、セキュリティエンジン123、マネジメントプレーン124、及びデータプレーン125を含む。N−CASB160の機能性に関する追加の情報については、例えば、同一出願人の米国特許出願第14/198,499号、第14/198,508号、第14/835,640号、第14/835,632号、及び、第62/307,305号; チェン、イタール、ナラヤナスワミー、及びマルムスコッグ、「ダミーのためのクラウド・セキュリティ、ネットスコープ・スペシャルエディション、John Wiley&Sons,Inc.2015; ネットスコープ,インクの「ネットスコープ内観」; ネットスコープ,インクの「クラウドにおけるデータ損失防止と監視」; ネットスコープ,インクの「クラウド・データ損失防止参照アーキテクチャ」; ネットスコープ,インクの「クラウド信頼への5つのステップ」; ネットスコープ,インクの「ネットスコープ・アクティブ・プラットフォーム」; ネットスコープ,インクの「ネットスコープの利点:クラウド・アクセス・セキュリティ・ブローカのための3つの“必携”要件」; ネットスコープ,インクの「重要な15のCASB使用事例」; ネットスコープ,インクの「ネットスコープ・アクティブ・クラウドDLP」; ネットスコープ,インクの「クラウド・データ侵害の衝突コースを修復する」; ネットスコープ,インクの「Netskope Cloud Confidence Index(商標)」を参照されたい。
次に、図1に示すシステムの要素の相互接続について説明する。ネットワーク115は、モバイル152、コンピュータ154、SP102、IDP108、及びN−CASB160を通信可能に結合する(実線で示す)。実際の通信経路は、公衆及び/またはプライベート・ネットワーク上のポイントツーポイントであり得る。通信の全ては、様々なネットワーク、例えば、プライベート・ネットワーク、VPN、MPLS回路、またはインターネットを介して行うことができ、適切なAPI及びデータ交換フォーマット、例えば、REST、JSON、XML、SOAP、及び/またはJMSを使用することができる。全ての通信を暗号化することができる。この通信は、一般に、LAN (ローカルエリアネットワーク)、WAN(ワイドエリアネットワーク)、電話ネットワーク(公衆交換電話ネットワーク(PSTN))、セッション開始プロトコル(SIP)、無線ネットワーク、ポイントツーポイントネットワーク、星型ネットワーク、トークンリング型ネットワーク、ハブ型ネットワーク、インターネット等のネットワークを通して行われる。尚、インターネットは、EDGE、3G、4GLTE、Wi−Fi、及びWiMAX等のプロトコルを介するモバイルインターネットを含む。更に、ユーザ名/パスワード、OAuth、Kerberos、SecureID、ディジタル証明書等の様々な承認及び認証技術を使用して、通信を保護することができる。
モニタ120及びネットワーク・セキュリティ・システム190は、互いに通信するように結合された1または複数のコンピュータ及びコンピュータ・システムを含むことができる。また、それらは、1または複数の仮想コンピューティング及び/または記憶リソースであってもよい。例えば、モニタ120は、1または複数ののAmazon EC2インスタンスとすることができ、ネットワーク・セキュリティ・システム190は、Amazon S3ストレージとすることができる。直接物理コンピュータまたは従来の仮想マシン上でN−CASB160を実装するのではなく、Salesforce(商標)のForce.Com(商標)、Rackspace(商標)、またはHeroku(商標)等の他のコンピューティング・アズ・サービス・プラットフォームを、使用することができる。更に、N−CASB160の機能を実施するために、1または複数のエンジンを使用することができ、1または複数の ポイント・オブ・プレゼンス(POP)を確立することができる。エンジンは、ワークステーション、サーバ、コンピューティング・クラスタ、ブレード・サーバ、サーバ・ファーム、または任意の他のデータ処理システムもしくはコンピューティング・デバイスを含む様々なタイプのものとすることができる。該エンジンは、異なるネットワーク接続を介してデータベースに通信可能に接続し得る。例えば、抽出エンジン121は、ネットワーク115(例えば、インターネット)を介して結合することができ、分類エンジン122は、直接ネットワークリンクを介して結合することができ、セキュリティエンジン123は、更に異なるネットワーク接続によって結合することができる。他の例では、データプレーン125のPOPは、地理的に分散されることができ、及び/または特定のクラウド・サービス及び共同ホストされることができる。同様に、管理プレーン124のPOPは、地理的に分散することができる。2つのタイプのPOPは、別々にホストすることも、共同ホストすることもできる。
図1の要素及びそれらの相互接続を説明したので、図の要素をここでより詳細に説明する。N−CASB160は、管理プレーン124及びデータプレーン125を介して様々な機能を提供する。データプレーン125は、一実施態様によれば、抽出エンジン121、分類エンジン122、及びセキュリティエンジン123を含む。他の機能、例えば、制御プレーンを提供することもできる。これらの機能は、集合的に、クライアント・デバイス150によるSP102との安全なインターフェイスを提供する。ネットワーク・セキュリティ・システムという用語を使用してN−CASB160を説明するが、より一般的には、システムは、アプリケーションの視認性及び制御機能並びにセキュリティを提供する。
一実施態様によれば、ネットワーク・セキュリティ・システム190は、コンテンツポリシー191を定義し管理するためにN−CASB160によって提供される安全なウェブ配信インターフェイスを有するウェブブラウザを有する複数のコンピュータデバイスを含む。幾つかの実施態様によれば、N−CASB160は、マルチテナントシステムであるので、管理クライアントのユーザは、自分の組織に関連するコンテンツポリシー191のみを変更することができる。幾つかの実装形態では、ポリシーをプログラムで定義及び/または更新するためにAPIを提供することができる。そのような実施態様では、ネットワーク・セキュリティ・システム190は、コンテンツポリシー191に対する更新のためのプル要求に応答する、例えば、マイクロソフトアクティブディレクトリ等の企業IDディレクトリ等の1または複数のサーバを含むことができる。両システムは共存できる。例えば、幾つかの会社は、組織内のユーザの要求に対してポリシーを調整するためのウェブインターフェイスを用いるとともに、組織内のユーザの識別を自動化する企業IDディレクトリを用いることもできる。管理クライアントには役割が割り当てられており、ネットワーク・セキュリティ・システム190のデータへのアクセスは、読み出し専用、対、読み出し書き込み等の役割に基づいて制御される。
N−CASB160がどのように機能するかの一般的な考えが提供された。SaaSアプリケーションの使用をより安全にすることを望む企業、またはより一般的には任意の個人またはエンティティは、N−CASB160に契約する。ウェブベースのインターフェイス及びコンピュータ装置を使用して、企業は、ユーザのためのコンテンツポリシー191内にポリシーを確立することができる。コンテンツの操作を伴う各アクティビティについて、1または複数のコンテンツ検査ルールがN−CASB160によってコンテンツに適用される。コンテンツがコンテンツ制御の対象である、すなわち機密データであると判定された場合、コンテンツに含まれる機密データの漏洩または侵害を防止するために、1または複数のセキュリティ・アクションが起動される。さて、これらのアプローチは、両方ともより詳細に議論される。
図1に示されるシステムは、特定のブロックを参照して本明細書で説明されるが、ブロックは、説明の便宜のために定義され、コンポーネント部品の特定の物理的配置を必要とすることを意図しないことを理解されたい。更に、ブロックは、物理的に異なるコンポーネントに対応する必要はない。物理的に異なるコンポーネントが使用される限り、(例えば、データ通信のための)コンポーネント間の接続は、必要に応じて有線及び/または無線とすることができる。異なる要素またはコンポーネントは、単一のソフトウェア・モジュールに組み合わせることができ、複数のソフトウェア・モジュールは、同じハードウェア上で実行することができる。
[信頼関係の保持]
図7は、N−CASBアサーション・プロキシ(AP)170によるフェデレーテッドSSOセッション中の信頼関係保持の一実施態様を示す。特に、図7は、SAMLに基づくフェデレーテッドSSOのメッセージ交換チャートの一実施態様を示す。N−CASBのAP170を有するSAMLフェデレーテッド認証方法としての「サービス・プロバイダ始動」ログイン方法だけの詳細な記述が、開示された技術の一実施態様で開示されているが、「アイデンティティ・プロバイダ始動」ログインを含む他のタイプのSAML認証方法が、本開示から容易に導出され、開示された技術の範囲内であることを理解されたい。代替のメッセージ交換及びシーケンスも可能である。例えば、「アイデンティティ・プロバイダ始動」ログインでは、初期ログインはアイデンティティ・プロバイダ(その公開鍵はサービス・プロバイダで構成される)に向けられ、アイデンティティ・プロバイダはアサーションをN−CASBのAP170に転送する。他の実施態様では、WSフェデレーション、OAuth、OpenID、SecureID、LDAP、Kerberos、SecureID、Shibboleth System、eXtensible Access Control Markup Language (XACML)、及びサービス・プロビジョニング・マークアップ言語(SPML)等の様々なフェデレーテッドSSO技術が使用できる。
図7は、サービス・プロバイダ(SP)702及びアイデンティティ・プロバイダ(ID)708を含む。図3に示す構成と同様に、別個のオフラインまたは帯域外プロセスにおいて、SP702は、IDP708の公開鍵及びIDP708のURLで構成される。また、別個のオフラインまたは帯域外プロセスでは、IDP708は、SP702のACS−URL、N−CASBのAP170のURL、及びN−CASBのAP170の公開鍵で構成される。
一実施態様では、開示された技術は、SP702とIDP708との間の信頼チェーンではなく、SP702とIDP708との間のアサーション転送チェーンにN−CASBのAP170を挿入することによって、フェデレーテッドSSO中にSP702とIDP 708との間の信頼関係を保持する。
別の実施態様では、開示された技術は、N−CASB160またはN−CASBのAP170のディジタル証明書または鍵を構成する代わりに、SP702においてIDP708のディジタル証明書または鍵を構成し、SP702において、N−CASB160またはN−CASBのAP170の公開鍵を使用するのではなく、IDP708の公開鍵を使用してIDP708によって生成されたアサーションを検証することによって、フェデレーテッドSSO中にSP702とIDP708との間の信頼関係を保持する。
更に別の実施態様では、開示された技術は、N−CASB160またはN−CASBのAP170のURLではなく、IDP708のURLに認証リクエストを転送するようにSP702を構成することによって、フェデレーテッドSSO中にSP702とIDP 708との間の信頼関係を保持する。
さらなる実施態様では、開示された技術は、N−CASB160またはN−CASBのAP170が、IDP708によって生成されるアサーションのコンテンツにアクセスし、それを変更することを防止することによって、フェデレーテッドSSO中にSP702とIDP708との間の信頼関係を保持する。
図7において、SP702とIDP708との間の全ての通信は、ブラウザ336を介して行われる。交換1では、ユーザ326は、SP702によって表されるSaaSアプリケーション、またはSP702によってホストされるかまたは提供される任意の他のリソースまたはサービスにログインしようと試みる。しかし、ユーザ326がSP702によって提供されるサービスを使用することができる前に、ユーザ326の「アイデンティティ」は、IDP708によって提供され、SP702によって認証され、受け入れられなければならない。これが、「認証」の意味するところである。これに応答して、交換2において、SP702は認証要求、すなわち「SAML要求」を生成し、これはIDP708のURLに転送される。交換3において、SP702は、ブラウザ336をIDP708のURLにリダイレクトする。他の実施態様では、リダイレクトは、ユーザ326のアプリケーションプログラムからのAPI呼び出しを介して行われる。
交換4において、IDP708は、例えば、IDP708がより大きな信頼関係の一部であり、ユーザ326が別のIDPからそれに提供されたアサーションを既に有する、マルチファクタ認証機構または以前のIDP認証セッションによって、ユーザ326を認証する。ユーザ326の認証が成功すると、IDP708は、交換5で「アサーション」または「SAMLアサーション」を生成する。
アサーション自体の中で、IDP708は宛先/受信者URLを識別する。IDP708は、宛先/受信者URLをSP702のACS−URLとして識別するように構成される。このようなIDP及びアサーション構成は、アサーション内の宛先/受信者URLを、SPのACS−URLではなく、CASB−URLまたはリバース・プロキシURLに変更または修正する、既存のCASBによって実施されるIDP及びアサーション構成とは異なる。幾つかの実施態様によれば、開示された技術は、N−CASB160及び/またはN−CASBのAP170が、IDP708によって生成されたアサーションのコンテンツ(例えば、アサーションの宛先/受信者URL)にアクセスし、それを変更することを防止することによって、これを達成する。
生成されると、IDP708は、IDP秘密鍵を使用してアサーションを証明し、N−CASBのAP170の公開鍵を使用して証明されたアサーションを暗号化する。N−CASBのAP170またはN−CASB160が暗号化されたアサーションを復号化しなければ、ユーザ326は暗号化されたアサーションを使用してSP702にアクセスすることができないので、暗号化は、ユーザ326がN−CASBのAP170またはN−CASB 160をバイパスすることができないことを保証する。
交換6において、IDP708は、暗号化され証明されたアサーションをN−CASBのAP170に転送する。暗号化され証明されたアサーションのN−CASBのAP170へのポスティングは、IDP708によって生成されたアサーションのコンテンツにアクセスまたは変更することなく達成されることに留意されたい。特に、ポスティングは、アサーションの宛先/受信者URLを変更または修正することなく行われる。一実施態様では、これは、上述のように、N−CASBのAP170のURLを有するIDP708のオフラインまたは帯域外構成によって達成される。この構成は、暗号化され証明されたアサーションがN−CASBのAP170にポストされることを確実にし、従って、アサーション内の宛先/受信者URLを変更または修正する必要を未然に回避する。
交換7において、N−CASBのAP170は、N−CASBのAP170の秘密鍵を使用して暗号化されたアサーションを復号化する。また、交換7において、N−CASB 160またはN−CASBのAP170は、トラフィックを評価して、トラフィックが管理されたデバイスからルーティングされているか、または非管理デバイスからルーティングされているかを判定する。トラフィックが管理デバイスからルーティングされる場合、交換8において、N−CASBのAP170は、アサーション内で識別されたSP702のACS−URLに、復号化されたアサーションをポストする。次に、交換10において、SP702のACSは、IDP公開鍵を使用して、復号化されたアサーションを検証する。これは、フェデレーテッドSSO認証の場合、IDP公開鍵の代わりにCASB公開鍵を使用し、その結果、SPとIDPとの間の信頼関係を変更する既存のCASBとは対照的である。
アサーションがSP702によって検証されると、ユーザは交換10でSaaSアプリケーションにログインする。
対照的に、交換7において、N−CASB160またはN−CASBのAP170が、トラフィックが非管理デバイスからルーティングされていると判定した場合、交換10において、N−CASB160またはN−CASBのAP170は、復号化されたアサーションを、SP702のACSにポストする代わりに、ブラウザ336を介してリバース・プロキシ180にポストする。一実施態様では、これは、リバース・プロキシ・ドメインを、SP702のACS−URLに、または復号化されたアサーションがポストされるべきであったSaaSアプリケーションURL(SP702によって提供される)に追加することによって行われる。例えば、SaaSアプリケーションURLが「login.saasapplication.com」である場合、復号化されたアサーションは、「login.saasapplication.com/reverseproxydomian」にポストされる。
図8は、ポリシー実行のための、非管理デバイスからネットワーク・セキュリティ・システムへのリバース・プロキシルーティングトラフィックの別の実施態様を示す。リバース・プロキシの一般的な使用法の一覧は、<https://en.wikipedia.org/wiki/Reverse_proxy>にある。
交換12において、リバース・プロキシ(RP)180は、復号化されたアサーションのSP702のACS−URLからリバース・プロキシ・ドメインを取り除き、復号化されたアサーションを交換13のネットワーク・セキュリティ・システムまたはフォワード・プロキシ(FP)190に転送する。FP190は、交換14において、図1の説明で上述したように、SP702へのアクセスを制御するために、ルーティングされたトラフィックにセキュリティ・ポリシーを実施する。ルーティングされたトラフィックが、ネットワーク・セキュリティ・システム190によって、セキュリティ・ポリシーに基づいてブロッキングまたは別のセキュリティ・アクションに適格でないと判定された場合、復号化されたアサーションは、交換15でSP702に送信される。
交換16で、SP702のACSは、管理デバイスの場合に交換9で有するように、IDP708の公開鍵を使用してアサーションを検証する。更に、交換17でSP702によって返されるページは、交換18でネットワーク・セキュリティ・システム190によってリバース・プロキシ180に転送される複数のURLを含む。リバース・プロキシ602は、ユーザ326がURLをクリックすると、ユーザが直接SP702に行く代わりに、ポリシー実行のためにネットワーク・セキュリティ・システム190を介してトンネリングされるように、これらのURLを書き換える。このようにして、非管理デバイスからの任意の後続のトラフィックは、ネットワーク・セキュリティ・システム190を介して強制的にルーティングされる。
図9は、N−CASBアサーション・プロキシ(AP)170によるフェデレーテッドSSOセッション中の信頼関係保持の別の実施態様を示す。特に、図9は、WSフェデレーション・プロトコルに基づくフェデレーテッドSSOのメッセージ交換チャートの一実施態様を示す。幾つかの実施態様では、WS−フェデレーションは、Office 365(商標)のようなMicrosoft製品で使用されるフェデレーテッドSSO認証方法である。
図9において、サービス・プロバイダ、アイデンティティ・プロバイダ、N−CASB、及びN−CASBのAP170の構成は、図7のSP702、IDP708、N−CASB160、及びN−CASB170の構成とよく似ており、その結果、サービス・プロバイダとアイデンティティ・プロバイダとの間の信頼関係は、上述のように保持される。従って、交換1〜5及び交換7〜20は、図7−8において、それぞれの交換1〜5及び交換7〜20に直接対応する。しかし、WS−フェデレーション・プロトコルに従い、図9の交換6において、IDP708は、ブラウザ336にリダイレクトすることなく、認証され暗号化されたアサーションをN−CASBのAP170に直接提供する。これは、認証され暗号化されたアサーションがブラウザ336を介してN−CASBのAP170に提供されるSAMLプロトコルとは異なる。
図10は、N−CASBアサーション・プロキシ(AP)170によるフェデレーテッドSSOセッション中の信頼関係保持の一実施態様を示す。特に、図10は、アイデンティティ・プロバイダがサービス・プロバイダの公開鍵を使用してアサーションを暗号化するように構成される、SAMLに基づくフェデレーテッドSSOのメッセージ交換チャートの一実施態様を示す。斯かる構成は、Box(商標)等の特定のSaaSアプリケーションにおいて一般的である。開示された技術は、IDPがSP公開鍵の代わりにN−CASB公開鍵を使用して第1のアサーション暗号化を実行し、N−CASBのAP170がIDPで構成された同じSP公開鍵を使用して第2のアサーション暗号化を実行する「二重暗号化」技術を使用することによって、そのような構成を処理する。第2のアサーション暗号化の前に、N−CASBのAP170は、N−CASBのAP秘密鍵を使用してアサーションを復号化する。
図10は、サービス・プロバイダ(SP)1002及びアイデンティティ・プロバイダ(ID)1008を含む。別個のオフラインまたは帯域外プロセスでは、SP1002は、IDP1008の公開鍵及びIDP1008のURLで構成される。これらのステップは、請求項70のシステムの構成手段において具現化される。また、別途のオフラインまたは帯域外プロセスにおいて、IDP1008は、SP1002のACS−URL、N−CASBのAP170のURL、SP1002の公開鍵、及びN−CASBのAP170の公開鍵で構成される。また、別個のオフラインまたは帯域外プロセスでは、N−CASB170は、SP1002の同じ公開鍵をIDP1008と共有するように構成される。
図10において、SP1002とIDP1008との間の全ての通信は、ブラウザ336を介して行われる。交換1では、ユーザ326は、SP1002によって表されるSaaSアプリケーション、または、SP1002によってホストまたは提供される任意の他のリソースまたはサービスにログインしようと試みる。しかし、ユーザ326がSP1002によって提供されるサービスを使用することができる前に、ユーザ326の「アイデンティティ」は、IDP1008によって提供され、SP1002によって認証され、受け入れられなければならない。これが、「認証」の意味するところである。これに応答して、交換2において、SP1002は認証要求、すなわち「SAML要求:」を生成し、該要求はIDP1008のURLに転送される。交換3において、SP1002は、ブラウザ336をIDP1008のURLにリダイレクトする。他の実施態様では、リダイレクトは、ユーザ326のアプリケーションプログラムからのAPI呼び出しを介して行われる。
交換4において、IDP1008は、例えば、IDP1008がより大きな信頼関係の一部であり、ユーザ326が別のIDPからそれに提供されたアサーションを既に有する、マルチファクタ認証機構または以前のIDP認証セッションによって、ユーザ326を認証する。ユーザ326の認証が成功すると、IDP1008は、交換5で「アサーション」または「SAMLアサーション」を生成する。
アサーション自体の中で、IDP1008は、宛先/受信者URLを識別する。IDP1008は、宛先/受信者URLをSP1002のACS−URLとして識別するように構成される。このIDP及びアサーション構成は、アサーション内の宛先/受信者URLを、SPのACS−URLではなく、CASB URLまたはリバース・プロキシURLに変更または修正する、既存のCASBによって実装されるIDP及びアサーション構成とは異なる。幾つかの実施態様によれば、開示されるテクノロジは、アサーションの宛先/受信者URLを変更する等、N−CASB160及び/またはN−CASBのAP170が、IDP1008によって生成されるアサーションのコンテンツにアクセスし、それを変更することを防止することによって、これを達成する。
生成されると、IDP1008は、IDP秘密鍵を使用してアサーションを証明し、SP1008の構成された公開鍵を使用する代わりに、N−CASBのAP170の構成された公開鍵を使用して証明されたアサーションを暗号化する。
交換6において、IDP1008は、暗号化され証明されたアサーションをN−CASBのAP170に転送する。暗号化され証明されたアサーションのN−CASBのAP 170へのポスティングは、IDP1008によって生成されたアサーションのコンテンツにアクセスまたは変更することなく達成されることに留意されたい。特に、ポスティングは、アサーションの宛先/受信者URLを変更または修正することなく行われる。一実施態様では、これは、上述のように、N−CASBのAP170のURLを有するIDP1008のオフラインまたは帯域外構成によって達成される。この構成は、暗号化され証明されたアサーションがN−CASBのAP170にポストされることを確実にし、よって、アサーション内の宛先/受信者URLを変更または修正する必要をなくす。
交換7において、N−CASBのAP170は、N−CASBのAP170の秘密鍵を使用して暗号化されたアサーションを復号化し、IDP1008と共有するSP1002の同じ公開鍵を使用してアサーションを再暗号化する。これらのステップは、それぞれ、請求項69に記載のシステムの復号器及び請求項70に記載のシステムの再暗号器において具現化される。また、交換7において、N−CASB160またはN−CASBのAP170は、トラフィックを評価して、トラフィックが管理デバイスからルーティングされているか、または非管理デバイスからルーティングされているかを判定する。トラフィックが管理デバイスからルーティングされる場合、交換8において、N−CASBのAP170は、アサーション内で識別されたSP1002のACS−URLに、復号化されたアサーションをポストする。次に、交換10において、SP1002のACSは、IDP公開鍵を使用して、復号化されたアサーションを検証する。これは、フェデレーテッドSSO認証のため、IDP公開鍵に代えてCASB公開鍵を使用し、その結果、SPとIDPとの間の信頼関係を変更する既存のCASBとは対照的である。
アサーションがSP1002によって検証されると、ユーザは交換10でSaaSアプリケーションにログインする。
対照的に、交換7において、N−CASB160またはN−CASBのAP170が、トラフィックが非管理デバイスからルーティングされていると判定した場合、交換10において、N−CASB160またはN−CASBのAP170は、復号されたアサーションを、SP1002のACSにポストする代わりに、ブラウザ336を介してリバース・プロキシ180にポストする。再暗号化されたアサーションのさらなる処理は、図8のそれぞれの交換11〜20に直接対応する。
[アサーション・プロキシでのセキュリティ実行]
幾つかの実施態様、1または複数のセキュリティ・ポリシーは、アサーション・プロキシで実行することができる。一例では、アイデンティティ・プロバイダ(IDaaS)によって提供されるアサーションに含まれる情報に基づいて、要求されたサービス・プロバイダ(SaaSアプリケーション)へのアクセスを許可または阻止することを含む。実施態様において、アサーション・プロキシは、受信されたアサーションが許可されたアイデンティティ・プロバイダによって発行されたか、または許可されていない、潜在的に悪意のある中間者(MITM)によって発行されたかを検証するために、アイデンティティ・プロバイダの公開鍵を用いて構成することができる。アイデンティティ・プロバイダの公開鍵に基づいて検証されると、アサーション・プロキシは、検証されたアサーションを使用して、要求されたSaaSアプリケーションへのアクセスを許可または阻止することができる。
[処理]
図11は、フェデレーテッド・シングル・サインオン(SSO)認証のための非侵入型セキュリティ実行の代表的な方法を示す。一部の実施態様では、認証はクラウドベースのフェデレーテッド・シングル・サインオン(SSO)である。図11のフローチャートは、例えば、情報を受信または検索し、情報を処理し、結果を格納し、結果を送信するように構成された1または複数のプロセッサによって、コンピュータまたは他のデータプロセッシングシステムを用いて少なくとも部分的に実施することができる。他の実施態様は、異なる順序で、及び/または図11に示されたものとは異なる、より少ない、または追加のアクションで、アクションを実行することができる。幾つかの実施態様では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、方法を実行するシステムを参照して説明される。システムは、必ずしも方法の一部ではない。
図11は、ユーザがサービス・プロバイダ(SP)にログインするときに生成されるアサーションを、SPのアサーション・コンシューマ・サービス(ACS)−URLの代わりに転送するために、プロキシ統合リソースロケータ(URL)を使用し、プロキシ公開鍵を使用してアサーションを暗号化するようにアイデンティティ・プロバイダ(IDP)を構成することによって、アクション1110で始まるプロセスを含む。これらのステップは、請求項69に記載のシステムのIDP構成手段において具現化される。
SPとIDPは、SPにおいてIDPのSSO統合リソースロケータ(URL)及び公開鍵を構成し、IDPにおいてSPのACS−URLを構成し、IDP署名を使用して生成されたアサーションをディジタル的に証明することによって確立された信頼関係にある。SPとIDPとの間の信頼関係は、フェデレーテッドSSO認証セッションを確立するために、生成されたアサーションのIDP署名ベースのディジタル証明書を維持し、IDPの公開鍵を使用して、SPにおいて復号化されたアサーションを検証することにより保持される。
一実施態様では、SPは、ソフトウェア・アズ・ア・サービス(SaaS)アプリケーションである。別の実施態様では、IDPは、SPに対するフェデレーテッドSSO認証のためにエンティティによって使用されるサードパーティのアイデンティティ・アズ・ア・サービス(IDaaS)である。
アクション1120で、アサーション・プロキシがプロキシURLで構成される。アサーション・プロキシは、転送のためにSPのACS−URLを使用する。一実施態様では、アサーション・プロキシは、クラウド・アクセス・セキュリティ・ブローカ(CASB)によってホストされるクラウド・サービスである。別の実施態様では、アサーション・プロキシは、エンティティを前提としてCASBによってホストされるローカル・プロキシである。更に別の実施態様では、アサーション・プロキシは、IDPとは異なり、IDPをホストするIDaaSとは別のCASBによってホストされる。
アクション1130で、暗号化されたアサーションがアサーション・プロキシで受信され、補完的プロキシ秘密鍵で復号化される。
アクション1140で、アサーション・プロキシは、復号化されたアサーションをSPのACS−URLに転送することによって、ユーザのクライアントとSPのACSとの間に挿入され、挿入されたアサーション・プロキシを介してフェデレーテッド・シングル・サインオン(SSO)認証セッションを確立する。幾つかの実施態様では、挿入されたアサーション・プロキシを介して、クラウドベースのフェデレーテッド・シングル・サインオン(SSO)認証セッションが確立される。
開示された技術の本セクション及び他のセクションに記載される方法は、以下の特徴及び/または開示される追加の方法に関連して記載される特徴の内の1つ以上を含み得る。説明の簡潔のために、本出願で開示される特徴の組み合わせは個別に列挙されず、特徴の各基本集合を用いて繰り返されない。読者は、本方法で特定された特徴が、用語、序論、及びシステムの概要等の実施態様として特定された基本特徴のセットとどのように容易に組み合わせることができるかを理解するであろう。
一実施態様では、ユーザのクライアントが非管理デバイスであると判定したことに応じて、SPのACS−URLは、挿入されたアサーション・プロキシにおいて追加されたリバース・プロキシ・ドメインで符号化され、復号化されたアサーションは、ユーザのクライアントを介してリバース・プロキシに転送される。幾つかの実施態様では、非管理デバイスは、トラフィックがポリシー実行サーバを介してトンネリングされていない個人保有デバイスの持ち込み(BYOD)及び/またはオフ・ネットワーク・デバイスである。更に、リバース・プロキシは、リバース・プロキシ・ドメインを取り除き、復号化されたアサーションをネットワーク・セキュリティ・システムに転送する。ネットワーク・セキュリティ・システムは、1以上のセキュリティ・ポリシーに基づいて復号されたアサーションを評価し、評価されたアサーションをSPのACSに転送する。次に、リバース・プロキシでは、SPによってサービスされるページに含まれるURLが、リバース・プロキシを介してフェデレーテッドSSO認証セッション中にユーザのクライアントから後続のトラフィックをリダイレクトする書き換えられたURLで書き換えられる。
一実施態様では、アサーション・プロキシ及びリバース・プロキシは、単一のプロキシとして組み合わされ、ホストされる。
幾つかの実施態様では、ユーザのクライアントが非管理デバイスであると判定されたことに応じて、ユーザのクライアントのSPへのアクセス許可がブロックされる。他の実施態様では、ユーザのクライアントが管理されているという判定に応じて、復号化されたアサーションは、フェデレーテッドSSO認証セッションを確立するために、ネットワーク・セキュリティ・システムを介して、挿入されたアサーション・プロキシからSPのACSに転送される。更に他の実施態様では、復号化されたアサーションは、1または複数のセキュリティ・ポリシーに基づいてリバース・プロキシで評価され、評価されたアサーションは、SPのACSに転送される。
IDPがセキュリティ・アサーション・マークアップ言語(SAML)プロトコルを使用する一実施態様では、暗号化されたアサーションは、ユーザのクライアントを介してアサーション・プロキシで受信される。IDPがアクティブ認証のためにウェブ・サービス(WS)−フェデレーション・プロトコルを使用する別の実施態様では、暗号化されたアサーションは、アサーション・プロキシにおいてIDPから受信される。そのような実施態様では、IDPは、アクティブ・ディレクトリ・フェデレーション・サービス(ADFS)である。
幾つかの実施態様、1または複数のIDPは、複数のSPのACS−URLの代わりにプロキシURLを使用し、プロキシ公開鍵を使用してアサーションを暗号化するように構成される。
幾つかの実施態様では、IDPは、SP公開鍵の代わりに、アサーションを暗号化するためにプロキシ公開鍵を使用するように構成される。また、暗号化されたアサーションは、補完的プロキシ秘密鍵を使用してアサーション・プロキシで復号化され、復号化されたアサーションは、SP公開鍵を使用してアサーション・プロキシで再暗号化される。次に、再暗号化されたアサーションがSPのACSに転送される。
このセクションで説明される方法の他の実施態様は、上述の方法の何れかを実行するためにプロセッサによって実行可能である、命令を非一時的に格納するコンピュータ可読記憶媒体を含むことができる。このセクションで説明される方法の更に別の実施態様は、上述の方法の何れかを実行するために、メモリ及びメモリ内に格納された命令を実行するように動作可能な1または複数のプロセッサを含むシステムを含むことができる。
図12は、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)との間の信頼関係を変更することなく、フェデレーテッド・シングル・サインオン(SSO)認証中にセキュリティを非侵入的に実行する方法を示すフローチャートである。幾つかの実施態様では、認証はクラウドベースのフェデレーテッド・シングル・サインオン(SSO) である。図12のフローチャートは、例えば、情報を受信または検索し、情報を処理し、結果を格納し、結果を送信するように構成された1または複数のプロセッサによって、コンピュータまたは他のデータプロセッシングシステムを用いて少なくとも部分的に実施することができる。他の実施態様は、異なる順序で、及び/または図12に示されるものとは異なる、より少ない、または追加のアクションで、アクションを実行することができる。幾つかの実施態様では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、方法を実行するシステムを参照して説明される。システムは、必ずしも方法の一部ではない。
図12は、SPにおいてIDPのSSO統合リソースロケータ(URL)及び公開鍵を構成し、IDPにおいてSPのアサーション・コンシューマ・サービス(ACS)−URLを構成することによって、SPとIDPとの間に信頼関係が確立されるアクション1210で始まるプロセスを含む。
アクション1220において、この方法は、ユーザがSPにログインするときにIDPにおいてアサーションを生成することと、生成されたアサーションにおいてSPのACS−URLを識別することと、IDP証明書を使用して生成されたアサーションにディジタル署名することとを含む。
アクション1230において、この方法は、アサーション・プロキシのプロキシ公開鍵を使用して署名されたアサーションを暗号化し、SPのACS−URLではなくアサーション・プロキシのプロキシURLに暗号化されたアサーションを転送するようにIDPを構成することを含む。
アクション1240において、この方法は、アサーション・プロキシにおける暗号化されたアサーションを、補完的プロキシ秘密鍵で復号化することと、復号化されたアサーションにおいて識別されたSPのACS−URLを使用して、復号化されたアサーションをSPのACSに転送することとを含む。
アクション1250において、この方法は、アサーション・プロキシを介してフェデレーテッドSSO認証セッションを確立するために、IDPの公開鍵を使用して、SPにおいて復号化されたアサーションを検証することによって、SPとIDPとの間の信頼関係を保持することを含む。
開示された技術の本セクション及び他のセクションに記載された方法は、1または複数の以下の特徴及び/または開示された追加の方法に関連して記載された特徴を含むことができる。説明の簡潔のために、本出願で開示される特徴の組み合わせは個別に列挙されず、特徴の各基本集合を用いて繰り返されない。読者は、本方法で特定された特徴が、用語、序論、及びシステムの概要等の実施態様として特定された基本特徴のセットとどのように容易に組み合わせることができるかを理解するであろう。
一実施態様では、ユーザのクライアントが非管理デバイスであると判定したことに応じて、SPのACS−URLは、挿入されたアサーション・プロキシにおいて追加されたリバース・プロキシ・ドメインで符号化され、復号化されたアサーションは、ユーザのクライアントを介してリバース・プロキシに転送される。幾つかの実施態様では、非管理デバイスは、トラフィックがポリシー実行サーバを介してトンネリングされていない個人保有デバイスの持ち込み(BYOD)及び/またはオフ・ネットワーク・デバイスである。更に、リバース・プロキシは、リバース・プロキシ・ドメインを取り除き、復号化されたアサーションをネットワーク・セキュリティ・システムに転送する。ネットワーク・セキュリティ・システムは、1以上のセキュリティ・ポリシーに基づいて復号化されたアサーションを評価し、評価されたアサーションをSPのACSに転送する。次に、リバース・プロキシでは、SPによってサービスされるページに含まれるURLが、リバース・プロキシを介してフェデレーテッドSSO認証セッション中にユーザのクライアントから後続のトラフィックをリダイレクトする書き換えられたURLで書き換えられる。
一実施態様では、アサーション・プロキシ及びリバース・プロキシは、単一のプロキシとして組み合わされ、ホストされる。
幾つかの実施態様では、ユーザのクライアントが非管理デバイスであると判定されたことに応じて、ユーザのクライアントのSPへのアクセス許可がブロックされる。他の実施態様では、ユーザのクライアントが管理されるという決定に応じて、復号化されたアサーションは、フェデレーテッドSSO認証セッションを確立するために、ネットワーク・セキュリティ・システムを介して、挿入されたアサーション・プロキシからSPのACSに転送される。更に他の実施態様では、復号化されたアサーションは、1または複数のセキュリティ・ポリシーに基づいてリバース・プロキシで評価され、評価されたアサーションは、SPのACSに転送される。
IDPがセキュリティ・アサーション・マークアップ言語(SAML)プロトコルを使用する一実施態様では、暗号化されたアサーションは、ユーザのクライアントを介してアサーション・プロキシで受信される。IDPがアクティブ認証のためにウェブ・サービス(WS)−フェデレーション・プロトコルを使用する別の実施態様では、暗号化されたアサーションは、アサーション・プロキシにおいてIDPから受信される。そのような実施態様では、IDPは、アクティブディレクトリフェデレーションサービス(ADFS)である。
幾つかの実施態様、1または複数のIDPは、複数のSPのACS−URLの代わりにプロキシURLを使用し、プロキシ公開鍵を使用してアサーションを暗号化するように構成される。
幾つかの実施態様では、IDPは、SP公開鍵の代わりに、アサーションを暗号化するためにプロキシ公開鍵を使用するように構成される。また、暗号化されたアサーションは、補完的プロキシ秘密鍵を使用してアサーション・プロキシで復号化され、復号化されたアサーションは、SP公開鍵を使用してアサーション・プロキシで再暗号化される。次に、再暗号化されたアサーションがSPのACSに転送される。
このセクションで説明される方法の他の実施態様は、上述の方法の何れかを実行するためにプロセッサによって実行可能である、命令を非一時的に格納するコンピュータ可読記憶媒体を含むことができる。このセクションで説明される方法の更に別の実施態様は、上述の方法の何れかを実行するために、メモリ及びメモリ内に格納された命令を実行するように動作可能な1または複数のプロセッサを含むシステムを含むことができる。
図13は、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更せずにフェデレーテッド・シングル・サインオン(SSO)認証中にセキュリティを非侵入的に実行するする方法を示すフローチャートである。一部の実施態様では、認証はクラウドベースのフェデレーテッド・シングル・サインオン(SSO) である。図13のフローチャートは、少なくとも部分的に、コンピュータ、または、例えば、情報を受信または検索し、情報を処理し、結果を保存し、該結果を送信するように構成された1以上のプロセッサ等による他のデータ処理システムにより実施できる。他の実施態様では、図13に図示したものと異なる順序で、及び/または、異なるまたは少ないまたは追加の処置とともに、該処置を実施してもよい。幾つかの実施態様では、複数の処置を合体することができる。便宜上、該フローチャートは、方法を実行するシステムを参照して説明される。該システムは、必ずしも、該方法の一部ではない。
図13は、SPとIDPとの間に信頼関係が確立されるアクション1310で始まるプロセスを含む。
アクション1320で、ユーザがSPにログインする時に生成されたアサーションを、SPのアサーション・コンシューマ・サービスに代えて、アサーション・プロキシに転送するよう、IDPが構成されている。
アクション1330で、アサーション・プロキシを用いて1以上のセキュリティ・ポリシーと対照してアサーションを評価し、評価したアサーションをSPに転送する。
アクション1340で、アサーション・プロキシを介してフェデレーテッドSSOの認証されたセッションを確立するために、IDPの証明書を用いてSPにおいて評価されたアサーションを検証することによりSPとIDP間の信頼関係が保持される。
このセクションで説明される方法の他の実施態様は、上述の方法の何れかを実行するためにプロセッサによって実行可能である、命令を非一時的に格納するコンピュータ可読記憶媒体を含むことができる。このセクションで説明される方法の更に別の実施態様は、上述の方法の何れかを実行するために、メモリ及びメモリ内に格納された命令を実行するように動作可能な1または複数のプロセッサを含むシステムを含むことができる。
[特定の実施態様]
フェデレーテッド・シングル・サインオン(SSO)中の非侵入型のセキュリティ実施することによるサービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を維持する様々な実施態様について述べる。幾つかの実施態様では、認証はクラウドベースのフェデレーテッド・シングル・サインオン(SSO)である。
開示された技術は、システム、方法、または製品として実施することができる。実施態様の1つ以上の機能を基本実施態様と組み合わせることができる。互いに排他的ではない実施態様は組み合わせ可能であると教示される。実施態様の1つ以上の機能を他の実施態様と組み合わせることができる。この開示は、定期的にこれらのオプションをユーザに想起させる。これらのオプションを繰り返す記述の幾つかの実施態様からの省略は、前節で教示された組み合わせを限定するものとして解釈されるべきではない。これらの記載は、以下の実施態様のそれぞれに参考として援用される。
開示された技術のシステムの実施態様は、メモリと接続した1以上のプロセッサを含む。メモリには、プロセッサ上で実行されると、フェデレーテッド・シングル・サインオン(SSO)認証中に非侵入型のセキュリティ実施を引き起こすコンピュータ命令がロードされている。システムはアサーション・プロキシを含む。
ユーザがサービス・プロバイダ(SP)にログインする時にアサーションが生成される。システムは、アサーションを転送するために、SPのアサーション・コンシューマ・サービス(ACS)URLに代えて、プロキシ統合リソース・ロケータ(URL)を用いるよう、アイデンティティ・プロバイダ(IDP)を構成する。また、IDPはプロキシ公開鍵を用いてアサーションを暗号化するよう構成されている。これらのステップは、請求項69に記載のシステムのIDP構成手段において具現化される。
プロキシURLで、システムは、転送のためにSPのACS−URLを使用するようアサーション・プロキシを構成する。アサーション・プロキシは、クラウド・アクセス・セキュリティ・ブローカ(CASB)によってホストされるクラウド・サービスであり得る。アサーション・プロキシはまた、エンティティを前提としてCASBによってホストされるローカル・プロキシであり得る。実施態様では、アサーション・プロキシは、IDPとは異なり、IDPをホストするIDaaSとは別のCASBによってホストされる。
次に、アサーション・プロキシが、暗号化されたアサーションを受信し、暗号化されたアサーションを補完的プロキシ秘密鍵で復号化する。システムは、アサーション・プロキシを、復号化されたアサーションをSPのACS−URLに転送することによって、ユーザのクライアントとSPのACSとの間に挿入し、挿入されたアサーション・プロキシを介してフェデレーテッド・シングル・サインオン(SSO)認証セッションを確立する。
本システムの実施態様と開示された他のシステムは、以下の特徴の内の1つ以上を任意に含み得る。システムはまた、開示された方法に関連する特徴を含み得る。説明の簡潔のために、本出願で開示される特徴の別の組み合わせは個別に列挙されない。システム、方法、そして製品に適用可能な特徴は、基本特徴の各法定クラスセットに対して繰り返されない。読者は、本セクションで特定された特徴が、他の法定クラスにおける基本特徴とどのように容易に組み合わせることができるかを理解するであろう。
SPは、ソフトウェア・アズ・ア・サービス(SaaS)アプリケーションであり得る。SPの例には、Salesforce.com(商標)、Box(商標)、Dropbox(商標)、Google Apps(商標)、Amazon AWS(商標)、Microsoft Office 365(商標)、Workday(商標)、Oracle on Demand(商標)、Taleo(商標)、Yammer(商標)、Concur(商標)等が含まれる。IDPは、SPに対するフェデレーテッドSSO認証のためにエンティティによって使用されるサードパーティのアイデンティティ・アズ・ア・サービス(IDaaS)であり得る。IDPの例には、Okta(商標)、Ping Identity(商標)、Windows Azure Active Directory(商標)、EmpowerID(商標)、OneLogin(商標)、Bitium(商標)、Centrify(商標)、Identacor(商標)、LastPass(商標)等が含まれる。
ユーザのクライアントは、トラフィックがポリシー実行サーバを介してトンネリングされていない個人保有デバイスの持ち込み(BYOD)、及び/または、オフ・ネットワーク・デバイスといった非管理デバイスであり得る。ユーザのクライアントが非管理デバイスであるとシステムが判断した際、SPのACS−URLが、挿入されたアサーション・プロキシにおいて追加されたリバース・プロキシ・ドメインを用いて符号化され、復号化されたアサーションが、検証トークンと共にユーザのクライアントを介してリバース・プロキシに転送され得る。検証トークンが検証された後、リバース・プロキシにおいてリバース・プロキシ・ドメインが取り除かれ、復号化されたアサーションがネットワーク・セキュリティ・システムに転送される得る。
その後、1以上のセキュリティ・ポリシーに基づいたネットワーク・セキュリティ・システムにおいて復号化されたアサーションが評価され、評価されたアサーションがSPのACSに転送され得る。最後に、リバース・プロキシは、リバース・プロキシを介したフェデレーテッドSSOの認証されたセッションの間、ユーザのクライアントから後続のトラフィックをリダイレクトする書き換えられたURLを用いて、SPにより供給されたページ内に含まれるURLを書き換えることができる。
更に、ユーザのクライアントが非管理デバイスであると判定されたことに応じて、システムは、ユーザのクライアントのSPへのアクセス許可をブロックできる。
ユーザのクライアントが管理されているという判定に応じて、復号化されたアサーションが、フェデレーテッドSSO認証セッションを確立するために、ネットワーク・セキュリティ・システムを介して、挿入されたアサーション・プロキシからSPのACSに転送され得る。
復号化されたアサーションは、1または複数のセキュリティ・ポリシーに基づいてリバース・プロキシで評価され、SPのACSに転送され得る。
アサーション・プロキシ及びリバース・プロキシは、幾つかの実施態様によると、単一のプロキシとして組み合わされ、ホストされ得る。
セキュリティ・ポリシーは、リバース・プロキシに加えて、またはリバース・プロキシに代えて、アサーション・プロキシで実行することができる。このような実施態様は、リバース・プロキシの必要性を除去する。セキュリティ実行は、アサーション・プロキシにおいて構成されたIDPの公開鍵に従ったアサーション・プロキシによるIDPのアイデンティティのアサーション及びベリフィケーションにおけるIDPの提供された情報に基づいて、SPへのアクセスを許可または阻止することを含む。
IDPはセキュリティ・アサーション・マークアップ言語(SAML)プロトコルを使用することができる。このような実施態様では、暗号化されたアサーションは、幾つかの実施態様によると、ユーザのクライアントを介してアサーション・プロキシで受信される。IDPはまた、アクティブ認証のためにウェブ・サービス(WS)−フェデレーション・プロトコルを使用することができる。このような実施態様では、暗号化されたアサーションは、ユーザのクライアントを迂回してアサーション・プロキシにおいてIDPから受信され得る。IDPは、アクティブ・ディレクトリ・フェデレーション・サービス(ADFS)も使用することができる。
SPとIDPとの間の信頼関係は、SPにおいてIDPのSSO統合リソースロケータ(URL)及び公開鍵を構成し、IDPにおいてSPのACS−URLを構成し、IDP署名を使用して生成されたアサーションをディジタル的に証明することによって確立され得る。SPとIDPとの間の信頼関係は、フェデレーテッドSSO認証セッションを確立するために、生成されたアサーションのIDP署名ベースのディジタル証明書を維持し、IDPの公開鍵を使用して、SPにおいて復号化されたアサーションを検証することにより保持され得る。
このシステムは、1または複数のIDPを、複数のSPのACS−URLの代わりにプロキシURLを使用し、更に、プロキシ公開鍵を使用してアサーションを暗号化するように構成することができる。
このシステムは、SPの公開鍵を用いてアサーション・プロキシにおいて復号化されたアサーションを再暗号化し、再暗号化されたアサーションをSPのACSに転送することができる。
他の実施態様は、上述のシステムの機能を実行するために、プロセッサによって実行される命令を非一時的に格納するコンピュータ可読記憶媒体を含むことができる。更に別の実施態様は、上述のシステムの機能を実行する方法を含むことができる。
開示された技術の他のシステムの実施態様は、メモリと接続した1以上のプロセッサを含む。メモリには、プロセッサ上で実行されると、フェデレーテッド・シングル・サインオン(SSO)認証中に二重暗号化を引き起こすコンピュータ命令がロードされている。システムはアサーション・プロキシを含む。
このシステムは、サービス・プロバイダ(SP)の公開鍵に代えて、アサーション・プロキシの公開鍵を用いてアサーションを暗号化するようアサーション・プロキシIDPを構成する。
このシステムは、アサーション・プロキシの補完的プロキシ秘密鍵を用いてアサーション・プロキシにおいて暗号化されたアサーションを復号化する。
このシステムは、アサーション・プロキシにおいてSPの公開鍵を用いて復号化されたアサーションを再暗号化し、再暗号化されたアサーションをSPのアサーション・コンシューマ・サービス(ACS)に転送する。
他の実施態様は、上述のシステムの機能を実行するために、プロセッサによって実行される命令を非一時的に格納するコンピュータ可読記憶媒体を含むことができる。更に別の実施態様は、上述のシステムの機能を実行する方法を含むことができる。
開示された技術の他のシステムの実施態様は、メモリと接続した1以上のプロセッサを含む。メモリには、プロセッサ上で実行されると、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく、フェデレーテッド・シングル・サインオン(SSO)の認証中に非侵入型のセキュリティ実施を引き起こすコンピュータ命令がロードされている。システムはアサーション・プロキシを含む。
最初に、SPにおいてIDPのSSO統合リソースロケータ(URL)及び公開鍵を構成し、IDPにおいてSPのアサーション・コンシューマ・サービス(ACS)−URLを構成することによって、SPとIDPとの間に信頼関係が確立される。ユーザがSPにログインするときに、IDPにおいてアサーションが生成される。生成されたアサーションにおいてSPのACS−URLが識別される。生成されたアサーションはそして、IDP証明書を使用してディジタル署名される。
このシステムはそして、アサーション・プロキシのプロキシ公開鍵を使用して署名されたアサーションを暗号化し、SPのACS−URLではなくアサーション・プロキシのプロキシURLに暗号化されたアサーションを転送するようにIDPを構成する。
これに続いて、暗号化されたアサーションはアサーション・プロキシにおいて補完的プロキシ秘密鍵で復号化され、復号化されたアサーションは、復号化されたアサーションにおいて識別されたSPのACS−URLを使用してSPのACSに転送される。
最後に、アサーション・プロキシを介してフェデレーテッドSSO認証セッションを確立するために、IDPの公開鍵を使用して、SPにおいて復号化されたアサーションを検証することによって、SPとIDPとの間の信頼関係が保持される。
第1のシステム実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、この特定の実施態様に対して等しく適用される。上述したように、全てのシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
他の実施態様は、上述のシステムの機能を実行するために、プロセッサによって実行される命令を非一時的に格納するコンピュータ可読記憶媒体を含むことができる。更に別の実施態様は、上述のシステムの機能を実行する方法を含むことができる。
開示された技術の更に他のシステムの実施態様は、メモリと接続した1以上のプロセッサを含む。メモリには、プロセッサ上で実行されると、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく、フェデレーテッド・シングル・サインオン(SSO)の認証中に非侵入型のセキュリティ実施を引き起こすコンピュータ命令がロードされている。システムはアサーション・プロキシを含む。
最初に、SPとIDPとの間に信頼関係が確立される。
次に、このシステムは、ユーザがSPにログインする時に生成されたアサーションを、SPのアサーション・コンシューマ・サービスに代えて、アサーション・プロキシに転送するよう、IDPを構成する。
これに続いて、アサーション・プロキシを用いて1以上のセキュリティ・ポリシーと対照してアサーションを評価し、評価したアサーションをSPに転送する。
最後に、アサーション・プロキシを介してフェデレーテッドSSOの認証されたセッションを確立するために、IDPの証明書を用いてSPにおいて評価されたアサーションを検証することによりSPとIDP間の信頼関係を保持する。
第1のシステム実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、この特定の実施態様に対して等しく適用される。上述したように、全てのシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
他の実施態様は、上述のシステムの機能を実行するために、プロセッサによって実行される命令を非一時的に格納するコンピュータ可読記憶媒体を含むことができる。更に別の実施態様は、上述のシステムの機能を実行する方法を含むことができる。
開示された技術の方法の実施態様は、フェデレーテッド・シングル・サインオン(SSO)認証のための非侵入型セキュリティ実行を含む。この方法は、SPのアサーション・コンシューマ・サービス(ACS)−URLの代わりに、ユーザがサービス・プロバイダ(SP)にログインするときに生成されるアサーションを転送するために、プロキシ統合リソースロケータ(URL)を使用し、プロキシ公開鍵を使用してアサーションを暗号化するように、アイデンティティ・プロバイダ(IDP)を構成することを含む。これらのステップは、請求項69に記載のシステムのIDP構成手段において具現化される。
この方法は、引き続き、転送用にSPのACS−URLを用いるために、プロキシURLにおいてアサーション・プロキシを構成する。これらのステップは、請求項69に記載のシステムのアサーション・プロキシ構成手段において具現化される。
その後、この方法は、アサーション・プロキシにおいて暗号化されたアサーションを受け取り、補完的プロキシ秘密鍵を用いて暗号化されたアサーションを復号化することを含む。これらのステップは、請求項69に記載のシステムの受信手段において、また、請求項69に記載のシステムの復号化手段において、それぞれ具現化される。
最後に、この方法は、SPのACS−URLへ復号化されたアサーションを転送することにより、ユーザのクライアントとSPのACSの間にアサーション・プロキシを挿入し、挿入されたアサーション・プロキシを介してフェデレーテッド・シングル・サインオン(SSO)の認証されたセッションを確立することを含む。これらのステップは、請求項69に記載のシステムの挿入手段において具現化される。
第1のシステム実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、この方法の実施態様に対して等しく適用される。上述したように、全てのシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
他の実施態様は、上述の方法を実行するために、プロセッサによって実行可能な命令を格納する非一時的なコンピュータ可読記憶媒体を含むことができる。更に別の実施態様は、上述の方法を実行するために、メモリ及びメモリ内に格納された命令を実行するように動作可能な1または複数のプロセッサを含むシステムを含むことができる。
開示された技術の別の方法の実施態様は、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく、フェデレーテッド・シングル・サインオン(SSO)の認証中に非侵入的にセキュリティを実行することを含む。この方法は、SPにおいてIDPのSSO統合リソース・ロケータ(URL)と公開鍵を構成し、IDPにおいてSPのアサーション・コンシューマ・サービス(ACS)URLを構成することにより、SPとIDP間の信頼関係を確立することを含む。
この方法は、引き続き、ユーザがSPにログインする時にIDPにおいてアサーションを生成し、生成されたアサーション内のSPのACS−URLを識別し、且つ、IDP証明書を用いて生成されたアサーションにディジタル署名する。
これに続いて、この方法は、アサーション・プロキシのプロキシ公開鍵を用いて署名されたアサーションを暗号化し、SPのACS−URLに代えてアサーション・プロキシのプロキシURLに暗号化されたアサーションを転送するようにIDPを構成することを含む。
次に、この方法は、補完的プロキシ秘密鍵を用いてアサーション・プロキシにおいて暗号化されたアサーションを復号化し、復号化されたアサーション内で識別されたSPのACS−URLを用いてSPのACSに復号化されたアサーションを転送することを含む。
最後に、この方法は、アサーション・プロキシを介してフェデレーテッドSSOの認証されたセッションを確立するために、IDPの公開鍵を用いてSPにおいて復号化されたアサーションを検証することによりSPとIDP間の信頼関係を保持することを含む。
第1のシステム実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、この方法の実施態様に対して等しく適用される。上述したように、全てのシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
他の実施態様は、上述の方法を実行するために、プロセッサによって実行可能な命令を格納する非一時的なコンピュータ可読記憶媒体を含むことができる。更に別の実施態様は、上述の方法を実行するために、メモリ及びメモリ内に格納された命令を実行するように動作可能な1または複数のプロセッサを含むシステムを含むことができる。
開示された技術の別の方法の実施態様は、サービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく、フェデレーテッド・シングル・サインオン(SSO)の認証中に非侵入的にセキュリティを実行することを含む。
先ず、この方法は、SPとIDP間の信頼関係を確立することを含む。
この方法は、引き続き、ユーザがSPにログインする時に生成されたアサーションを、SPのアサーション・コンシューマ・サービスに代えて、アサーション・プロキシに転送するよう、IDPを構成する。
これに続いて、この方法は、アサーション・プロキシを用いて1以上のセキュリティ・ポリシーと対照してアサーションを評価し、評価したアサーションをSPに転送することを含む。
最後に、この方法は、アサーション・プロキシを介してフェデレーテッドSSOの認証されたセッションを確立するために、IDPの証明書を用いてSPにおいて評価されたアサーションを検証することによりSPとIDP間の信頼関係を保持することを含む。
第1のシステム実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、この方法の実施態様に対して等しく適用される。上述したように、全てのシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
他の実施態様は、上述の方法を実行するために、プロセッサによって実行可能な命令を格納する非一時的なコンピュータ可読記憶媒体を含むことができる。更に別の実施態様は、上述の方法を実行するために、メモリ及びメモリ内に格納された命令を実行するように動作可能な1または複数のプロセッサを含むシステムを含むことができる。
本技術が開示したコンピュータ可読媒体(CRM)の実施態様は、プロセッサ上で実行されることで上述した方法を実施するコンピュータ・プログラム命令を記憶した非一時的なコンピュータ可読記憶媒体を含む。
第1のシステム実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、このCRMの実施態様に対して等しく適用される。上述したように、全てのシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
一実施態様では、開示された技術は、フェデレーテッド・シングル・サインオン(SSO)の認証のため非侵入的にセキュリティを実行するシステムを備える。
このシステムは、ユーザがサービス・プロバイダ(SP)にログインする時に生成されたアサーションを転送するために、SPのアサーション・コンシューマ・サービス(ACS)URLに代えて、プロキシ統合リソース・ロケータ(URL)を用い、且つ、プロキシ公開鍵を用いてアサーションを暗号化するように、アイデンティティ・プロバイダ(IDP)を構成するIDP構成手段を備える。
このシステムは、転送用にSPのACS−URLを用いるために、プロキシURLにおいてアサーション・プロキシを構成するアサーション・プロキシ構成手段を備える。
このシステムは、アサーション・プロキシにおいて暗号化されたアサーションを受け取る受信手段を備える。
このシステムは、補完的プロキシ秘密鍵を用いて暗号化されたアサーションを復号化する復号化手段を備える。
このシステムは、SPのACS−URLへ復号化されたアサーションを転送することにより、ユーザのクライアントとSPのACSの間にアサーション・プロキシを挿入する挿入手段を備え、挿入されたアサーション・プロキシを介してフェデレーテッド・シングル・サインオン(SSO)の認証されたセッションを確立する。
前の方法及びシステムの実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、このシステムの実施態様に対して等しく適用される。上述したように、全ての方法及びシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
他の実施態様は、上述のシステムのアクションを実行するために、プロセッサによって実行可能な命令を格納する非一時的なコンピュータ可読記憶媒体を含むことができる。
別の一実施態様では、開示された技術は、フェデレーテッド・シングル・サインオン(SSO)の認証中にサービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく非侵入的にセキュリティを実行するシステムを備える。
このシステムは、SPのSP公開鍵に代えて、アサーションを暗号化するために、アサーション・プロキシのプロキシ公開鍵を用いるようにIDPを構成する構成手段を備える。
このシステムは、アサーション・プロキシの補完的プロキシ秘密鍵を用いてアサーション・プロキシにおいて暗号化されたアサーションを復号化する復号化手段を備える。
このシステムは、SP公開鍵を用いてアサーション・プロキシにおいて復号化されたアサーションを再暗号化し、再暗号化されたアサーションをSPのアサーション・コンシューマ・サービス(ACS)に転送する再暗号化手段を備える。
前の方法及びシステムの実施態様のためにこの特定の実施態様セクションで議論した特徴のそれぞれは、このシステムの実施態様に対して等しく適用される。上述したように、全ての方法及びシステムの特徴は、ここでは繰り返されず、参照により繰り返されると見なされるべきである。
他の実施態様は、上述のシステムのアクションを実行するために、プロセッサによって実行可能な命令を格納する非一時的なコンピュータ可読記憶媒体を含むことができる。
[コンピュータ・システム]
図14は、開示された技術を実施するために使用できるコンピュータ・システムの簡略ブロック図である。コンピュータ・システム1410は、典型的には、バス・サブシステム1412を介して幾つかの周辺装置と通信する少なくとも1つのプロセッサ1414を含む。これらの周辺装置は、例えば、メモリ装置及びファイル・ストレージ・サブシステムを含むストレージ・サブシステム1424、ユーザ・インターフェイス入力装置1422、ユーザ・インターフェイス出力装置1418、及びネットワーク・インターフェイス・サブシステム1416を含むことができる。入力及び出力装置は、コンピュータ・システム1410とのユーザ対話を可能にする。ネットワーク・インターフェイス・サブシステム1416は、他のコンピュータ・システム内の対応するインターフェイス装置へのインターフェイスを含む、外部ネットワークへのインターフェイスを提供する。
一実施態様では、N−CASB160は、記憶サブシステム1424及びユーザ・インターフェイス入力装置1422に通信可能にリンクされる。
ユーザ・インターフェイス入力装置1422は、キーボード、マウス、トラックボール、タッチパッド、またはグラフィックス・タブレット等のポインティングデバイス、スキャナ、ディスプレイに組み込まれたタッチスクリーン、音声認識システム及びマイクロフォン等のオーディオ入力装置、並びに他のタイプの入力装置を含むことができる。一般に、「入力装置」という用語の使用は、コンピュータ・システム1410に情報を入力するためのすべての可能なタイプの装置及び方法を含むことが意図される。
ユーザ・インターフェイス出力装置1418は、ディスプレイ・サブシステム、プリンタ、ファックスマシン、またはオーディオ出力装置等の非視覚ディスプレイを含むことができる。ディスプレイ・サブシステムは、陰極線管(CRT)、液晶ディスプレイ(LCD)等のフラットパネル装置、投影装置、または可視画像を生成するための他の何らかのメカニズムを含むことができる。ディスプレイ・サブシステムはまた、オーディオ出力装置等の非視覚ディスプレイを提供することができる。一般に、「出力装置」という用語の使用は、コンピュータ・システム1410からユーザに、または別の機械もしくはコンピュータ・システムに情報を出力するためのすべての可能なタイプの装置及び方法を含むことが意図される。
ストレージ・サブシステム1424は、本明細書で説明するモジュール及び方法の一部または全部の機能を提供するプログラミング及びデータ構造を記憶する。これらのソフトウェア・モジュールは、一般に、プロセッサ1414によって単独で、または他のプロセッサと組み合わせて実行される。
ストレージ・サブシステムで使用されるメモリ1426は、プログラム実行中に命令及びデータを格納するためのメインランダムアクセスメモリ(RAM)1434と、固定命令が格納される読み取り専用メモリ(ROM)1432とを含む、幾つかのメモリを含むことができる。ファイル・ストレージ・サブシステム1428は、プログラム及びデータファイルのための永続的ストレージを提供することができ、ハードディスク・ドライブ、関連するリムーバブル・メディアと共にフロッピー(商標)ディスク・ドライブ、CD−ROMドライブ、光ドライブ、またはリムーバブル・メディア・カートリッジを含むことができる。特定の実施態様の機能を実施するモジュールは、ストレージ・サブシステム1424内のファイル・ストレージ・サブシステム1428によって、またはプロセッサによってアクセス可能な他のマシン内に格納することができる。
バス・サブシステム1412は、コンピュータ・システム1410の様々なコンポーネント及びサブシステムに、意図されたように互いに通信させるためのメカニズムを提供する。バス・サブシステム1412は、単一のバスとして概略的に示されているが、バス・サブシステムの他に採り得る実施態様は、多数のバスを使用することができる。アプリケーション・サーバ1420は、ハードウェア及び/またはソフトウェア、例えば、オペレーティング・システム等、コンピュータ・システム1410のアプリケーションを実行することを可能にするフレームワークとすることができる。
コンピュータ・システム1410は、ワークステーション、サーバ、コンピューティング・クラスタ、ブレード・サーバ、サーバ・ファーム、または任意の他のデータ処理システムもしくはコンピューティング・デバイスを含む様々なタイプのものとすることができる。コンピュータ及びネットワークの絶えず変化する性質のために、図14に示されるコンピュータ・システム1410の説明は、一例としてのみ意図される。コンピュータ・システム1410の多くの他の構成は、図14に示されたコンピュータ・システムよりも多いまたは少ないコンポーネントを有することが可能である。
開示される技術は、データベースシステム、マルチテナント環境、または、Oracle(商標)と互換性のあるデータベース実施態様、IBM DB2 Enterprise Server(商標)と互換性のあるリレーショナル・データベース実施態様、MySQL(商標)またはPostgreSQL(商標)と互換性のあるリレーショナル・データベース実施態様またはMicrosoft SQL Server(商標)と互換性のあるリレーショナル・データベース実施態様等のリレーショナル・データベース実施態様、または、Vampire(商標)と互換性のある非リレーショナル・データベース実施態様、Apache Cassandra(商標)と互換性のある非リレーショナル・データベース実施態様、 BigTable(商標)と互換性のある非リレーショナル・データベース実施態様、またはHBase(商標)またはDynamoDB(商標)と互換性のある非リレーショナル・データベース実施態様、等のNoSQL(商標)の非リレーショナル・データベース実施態様を含む何かのコンピュータ実装システムという状況下で実施され得る。更に、開示された技術は、MapReduce(商標)、バルク同期プログラミング、MPIプリミティブ等の様々なプログラミングモデル、または、Apache Storm(商標)、Apache Spark(商標)、Apache Kafka(商標)、Apache Flink(商標)、Truviso(商標)、Amazon Elasticsearch Service(商標)、Amazon Web Services(AWS)(商標)、IBM Info‐Sphere(商標)、Borealis(商標)、及びYahoo! S4(商標)等の様々なスケーラブルなバッチ及びストリーム管理システムを使用して実施され得る。
上記で説明または参照された如何なるデータ構造及びコードも、多くの実施態様に基づいて、コンピュータ・システムによる使用のためにコード及び/またはデータを保存できる任意のデバイスまたは媒体であり得るコンピュータ可読記憶媒体上に保存される。コンピュータ可読記憶媒体は、揮発性メモリ、不揮発性メモリ、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲートアレイ(FPGA)、ディスク・ドライブ、磁気テープ、CD(コンパクトディスク)、DVD(ディジタル・ヴァーサタイル・ディスクまたはディジタル・ビデオ・ディスク)等の磁気及び光学記憶装置、または、既知または今後開発されるコンピュータ可読媒体を保存可能な他の媒体、但し、これらに制限されないものを含む。
以上の説明は、開示された技術の作成及び使用を可能にすべく提示された。説明した実施態様に対する種々の変形は明白であり、ここに規定された一般的原理は、開示された技術の精神と範囲から逸脱することなく、他の実施態様及びアプリケーションに適用し得る。従って、開示された技術は、示された実施態様に限定されることを意図されておらず、ここに開示された原理及び特徴に合致する最大範囲が与えられる。開示された技術の範囲は、添付の請求項により規定される。

Claims (15)

  1. フェデレーテッド・シングル・サインオン(SSO)の認証中にサービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく非侵入的にセキュリティを実行するコンピュータによって実行される方法であって、
    前記SPにおいて前記IDPのSSO統合リソース・ロケータ(URL)と公開鍵を構成し、前記IDPにおいて前記SPのアサーション・コンシューマ・サービス(ACS)URLを構成することにより、前記SPと前記IDP間の前記信頼関係を確立すること、
    ユーザが前記SPにログインする時に前記IDPにおいてアサーションを生成し、前記生成されたアサーション内の前記SPのACS−URLを識別し、且つ、IDP証明書を用いて前記生成されたアサーションにディジタル署名すること、
    アサーション・プロキシのプロキシ公開鍵を用いて前記署名されたアサーションを暗号化し、前記SPのACS−URLに代えて前記アサーション・プロキシのプロキシURLに前記暗号化されたアサーションを転送するように前記IDPを構成すること、
    補完的プロキシ秘密鍵を用いて前記アサーション・プロキシにおいて前記暗号化されたアサーションを復号化し、前記復号化されたアサーション内で識別された前記SPのACS−URLを用いて前記SPのACSに前記復号化されたアサーションを転送すること、及び、
    前記アサーション・プロキシを介してフェデレーテッドSSOの認証されたセッションを確立するために、前記IDPの公開鍵を用いて前記SPにおいて前記復号化されたアサーションを検証することにより前記SPと前記IDP間の前記信頼関係を保持すること、
    を含む方法。
  2. 前記ユーザのクライアントが非管理デバイスであると判断したことに応答して、
    記アサーション・プロキシにおいて追加されたリバース・プロキシ・ドメインを用いて前記SPのACS−URLを符号化し、検証トークンと共に前記ユーザのクライアントを介してリバース・プロキシに前記復号化されたアサーションを転送すること、
    前記検証トークンを検証した後、前記リバース・プロキシにおいて前記リバース・プロキシ・ドメインを取り除き、前記復号化されたアサーションをネットワーク・セキュリティ・システムに転送すること、
    1以上のセキュリティ・ポリシーに基づいて前記ネットワーク・セキュリティ・システムにおいて前記復号化されたアサーションを評価し、前記評価したアサーションを前記SPのACSに転送すること、及び、
    前記リバース・プロキシを介した前記フェデレーテッドSSOの認証されたセッションの間、前記ユーザのクライアントから後続のトラフィックをリダイレクトする書き換えられたURLを用いて、前記リバース・プロキシにおいて、前記SPにより供給されたページ内に含まれるURLを書き換えること、
    を更に含む請求項1に記載のコンピュータによって実行される方法。
  3. 前記アサーション・プロキシにおいて構成された前記IDPの公開鍵に従った前記アサーション・プロキシによるIDPのアイデンティティの前記アサーション及びベリフィケーションにおけるIDPの提供された情報に基づいて、前記SPへのアクセスを許可または阻止することを含んで、前記アサーション・プロキシにおいて前記セキュリティ・ポリシーが実行される請求項2に記載のコンピュータによって実行される方法。
  4. 前記アサーション・プロキシと前記リバース・プロキシが結合され、単一のプロキシとしてホストされる請求項2または3に記載のコンピュータによって実行される方法。
  5. 1以上のセキュリティ・ポリシーに基づいて前記リバース・プロキシにおいて前記復号化されたアサーションを評価し、前記評価したアサーションを前記SPのACSに転送することを更に含む請求項の何れか1項に記載のコンピュータによって実行される方法。
  6. 前記ユーザのクライアントが非管理デバイスであると判断したことに応答して、
    前記SPへの前記ユーザのクライアントのアクセス許可を阻止することを更に含む請求項1〜の何れか1項に記載のコンピュータによって実行される方法。
  7. 前記非管理デバイスが、トラフィックがポリシー実行サーバを介してトンネリングされていない個人保有デバイスの持ち込み(BYOD)、及び/または、オフ・ネットワーク・デバイスである請求項の何れか1項に記載のコンピュータによって実行される方法。
  8. 前記ユーザのクライアントが管理されていると判断したことに応答して、
    前記フェデレーテッドSSOの認証されたセッションを確立するためにフォワード・プロキシを介して、前記アサーション・プロキシから前記SPのACSへ前記復号化されたアサーションを転送することを更に含む請求項1〜の何れか1項に記載のコンピュータによって実行される方法。
  9. 前記IDPが、セキュリティ・アサーション・マークアップ言語(SAML)プロトコルを使用する請求項1〜8の何れか1項に記載のコンピュータによって実行される方法。
  10. 前記ユーザのクライアントを介して前記アサーション・プロキシにおいて前記暗号化されたアサーションを受け取ることを更に含む請求項1〜9の何れか1項に記載のコンピュータによって実行される方法。
  11. 前記IDPが、アクティブ認証のためにウェブ・サービス(WS)・フェデレーション・プロトコルを使用する請求項1〜10の何れか1項に記載のコンピュータによって実行される方法。
  12. 前記アサーション・プロキシにおいて前記IDPから前記暗号化されたアサーションを受け取ることを更に含む請求項1〜11の何れか1項に記載のコンピュータによって実行される方法。
  13. 前記アサーション・プロキシが、クラウド・アクセス・セキュリティ・ブローカ(CASB)によりホストされるクラウド・サービスである請求項1〜12の何れか1項に記載のコンピュータによって実行される方法。
  14. フェデレーテッド・シングル・サインオン(SSO)の認証中にサービス・プロバイダ(SP)とアイデンティティ・プロバイダ(IDP)間の信頼関係を変更することなく非侵入的にセキュリティを実行するためのコンピュータ・プログラム命令を記憶した非一時的なコンピュータ可読記憶媒体であって、
    前記命令がプロセッサ上で実行されることにより、
    前記SPにおいて前記IDPのSSO統合リソース・ロケータ(URL)と公開鍵を構成し、前記IDPにおいて前記SPのアサーション・コンシューマ・サービス(ACS)URLを構成することにより、前記SPと前記IDP間の前記信頼関係を確立すること、
    ユーザが前記SPにログインする時に前記IDPにおいてアサーションを生成し、前記生成されたアサーション内の前記SPのACS−URLを識別し、且つ、IDP証明書を用いて前記生成されたアサーションにディジタル署名すること、
    アサーション・プロキシのプロキシ公開鍵を用いて前記署名されたアサーションを暗号化し、前記SPのACS−URLに代えて前記アサーション・プロキシのプロキシURLに前記暗号化されたアサーションを転送するように前記IDPを構成すること、
    補完的プロキシ秘密鍵を用いて前記アサーション・プロキシにおいて前記暗号化されたアサーションを復号化し、前記復号化されたアサーション内で識別された前記SPのACS−URLを用いて前記SPのACSに前記復号化されたアサーションを転送すること、及び、
    前記アサーション・プロキシを介してフェデレーテッドSSOの認証されたセッションを確立するために、前記IDPの公開鍵を用いて前記SPにおいて前記復号化されたアサーションを検証することにより前記SPと前記IDP間の前記信頼関係を保持すること、
    を含む方法が、前記命令により実行される非一時的なコンピュータ可読記憶媒体。
  15. フェデレーテッド・シングル・サインオン(SSO)の認証に対し非侵入的にセキュリティを実行するシステムであって、
    ユーザがサービス・プロバイダ(SP)にログインする時に生成されたアサーションを転送するために、前記SPのアサーション・コンシューマ・サービス(ACS)URLに代えて、プロキシ統合リソース・ロケータ(URL)を用い、且つ、プロキシ公開鍵を用いて前記アサーションを暗号化するように、アイデンティティ・プロバイダ(IDP)を構成するIDP構成手段、
    転送用に前記SPのACS−URLを用いるために、前記プロキシURLにおいてアサーション・プロキシを構成するアサーション・プロキシ構成手段、
    前記アサーション・プロキシにおいて前記暗号化されたアサーションを受け取る受信手段、
    補完的プロキシ秘密鍵を用いて前記暗号化されたアサーションを復号化する復号化手段、及び、
    前記アサーション・プロキシを介してフェデレーテッド・シングル・サインオン(SSO)の認証されたセッションを確立するために、前記SPのACS−URLへ前記復号化されたアサーションを転送することにより、前記ユーザのクライアントと前記SPのACSの間に前記アサーション・プロキシを挿入する挿入手段、
    を備えるシステム。
JP2019520017A 2016-11-04 2017-11-03 フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施 Active JP6609086B1 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201662417939P 2016-11-04 2016-11-04
US62/417,939 2016-11-04
US15/795,957 US10243946B2 (en) 2016-11-04 2017-10-27 Non-intrusive security enforcement for federated single sign-on (SSO)
US15/795,957 2017-10-27
PCT/US2017/060062 WO2018085733A1 (en) 2016-11-04 2017-11-03 Non-intrusive security enforcement for federated single sign-on (sso)

Publications (2)

Publication Number Publication Date
JP6609086B1 true JP6609086B1 (ja) 2019-11-20
JP2020502616A JP2020502616A (ja) 2020-01-23

Family

ID=62065753

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019520017A Active JP6609086B1 (ja) 2016-11-04 2017-11-03 フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施

Country Status (4)

Country Link
US (4) US10243946B2 (ja)
EP (1) EP3535949B1 (ja)
JP (1) JP6609086B1 (ja)
WO (1) WO2018085733A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11546358B1 (en) 2021-10-01 2023-01-03 Netskope, Inc. Authorization token confidence system

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9083739B1 (en) 2014-05-29 2015-07-14 Shape Security, Inc. Client/server authentication using dynamic credentials
GB2545818B (en) * 2015-02-11 2017-11-22 J2 Global Ip Ltd Access permissions for sensitive information
US11985129B2 (en) * 2016-03-28 2024-05-14 Zscaler, Inc. Cloud policy enforcement based on network trust
US11210412B1 (en) * 2017-02-01 2021-12-28 Ionic Security Inc. Systems and methods for requiring cryptographic data protection as a precondition of system access
US10757103B2 (en) * 2017-04-11 2020-08-25 Xage Security, Inc. Single authentication portal for diverse industrial network protocols across multiple OSI layers
US10972453B1 (en) * 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11012441B2 (en) * 2017-06-30 2021-05-18 Open Text Corporation Hybrid authentication systems and methods
US11438337B2 (en) * 2017-12-15 2022-09-06 Sap Se Multi-tenant support user cloud access
US11367323B1 (en) 2018-01-16 2022-06-21 Secureauth Corporation System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score
US10841313B2 (en) * 2018-02-21 2020-11-17 Nutanix, Inc. Substituting callback URLs when using OAuth protocol exchanges
KR102106770B1 (ko) * 2018-05-28 2020-05-07 (주)유엠로직스 4-tier 방식 CASB의 메타데이터 기반 보안정책 동기화 시스템 및 그 방법
KR102120225B1 (ko) * 2018-05-30 2020-06-08 (주)유엠로직스 4-tier 방식 CASB의 접근통제 관리 시스템 및 그 방법
US11140145B1 (en) * 2018-06-25 2021-10-05 NortonLifeLock Inc. Systems and methods for providing single sign-on capability
US11245683B2 (en) * 2018-07-06 2022-02-08 Citrix Systems, Inc. Single-sign-on for third party mobile applications
US20200028879A1 (en) 2018-07-17 2020-01-23 Microsoft Technology Licensing, Llc Queryless device configuration determination-based techniques for mobile device management
US11184223B2 (en) * 2018-07-31 2021-11-23 Microsoft Technology Licensing, Llc Implementation of compliance settings by a mobile device for compliance with a configuration scenario
US11379263B2 (en) * 2018-08-13 2022-07-05 Ares Technologies, Inc. Systems, devices, and methods for selecting a distributed framework
US10938801B2 (en) 2018-09-21 2021-03-02 Microsoft Technology Licensing, Llc Nonce handler for single sign on authentication in reverse proxy solutions
US10771435B2 (en) * 2018-11-20 2020-09-08 Netskope, Inc. Zero trust and zero knowledge application access system
US11113370B2 (en) 2018-12-05 2021-09-07 Bank Of America Corporation Processing authentication requests to secured information systems using machine-learned user-account behavior profiles
US11159510B2 (en) * 2018-12-05 2021-10-26 Bank Of America Corporation Utilizing federated user identifiers to enable secure information sharing
US11048793B2 (en) 2018-12-05 2021-06-29 Bank Of America Corporation Dynamically generating activity prompts to build and refine machine learning authentication models
US11176230B2 (en) 2018-12-05 2021-11-16 Bank Of America Corporation Processing authentication requests to secured information systems based on user behavior profiles
US11120109B2 (en) 2018-12-05 2021-09-14 Bank Of America Corporation Processing authentication requests to secured information systems based on machine-learned event profiles
US11036838B2 (en) 2018-12-05 2021-06-15 Bank Of America Corporation Processing authentication requests to secured information systems using machine-learned user-account behavior profiles
US10986150B2 (en) * 2019-03-01 2021-04-20 Netskope, Inc. Load balancing in a dynamic scalable services mesh
US11297040B2 (en) 2019-05-01 2022-04-05 Akamai Technologies, Inc. Intermediary handling of identity services to guard against client side attack vectors
US11096059B1 (en) 2019-08-04 2021-08-17 Acceptto Corporation System and method for secure touchless authentication of user paired device, behavior and identity
US11601413B2 (en) * 2019-10-14 2023-03-07 Netsia, Inc. Single sign-on control function (SOF) for mobile networks
US10951606B1 (en) * 2019-12-04 2021-03-16 Acceptto Corporation Continuous authentication through orchestration and risk calculation post-authorization system and method
FR3105849B1 (fr) * 2019-12-27 2022-01-07 Bull Sas Procede et systeme de gestion d’autorisation pour une plateforme de gouvernance unifiee d’une pluralite de solutions de calcul intensif
CN113127821A (zh) * 2019-12-31 2021-07-16 远景智能国际私人投资有限公司 身份验证方法、装置、电子设备及存储介质
US11405427B2 (en) * 2020-01-23 2022-08-02 Cisco Technology, Inc. Multi-domain policy orchestration model
US20220027469A1 (en) * 2020-07-22 2022-01-27 Zscaler, Inc. Cloud access security broker systems and methods for active user identification and load balancing
US11870781B1 (en) * 2020-02-26 2024-01-09 Morgan Stanley Services Group Inc. Enterprise access management system for external service providers
US11140148B1 (en) * 2020-03-30 2021-10-05 Konica Minolta Business Solution U.S.A., Inc. Method and system for instant single sign-on workflows
US11991292B2 (en) * 2020-04-03 2024-05-21 Mastercard International Incorporated Systems and methods for use in appending log entries to data structures
US11032270B1 (en) * 2020-04-07 2021-06-08 Cyberark Software Ltd. Secure provisioning and validation of access tokens in network environments
US11722475B2 (en) * 2020-07-30 2023-08-08 Rubrik, Inc. Federated login with centralized control
US11329998B1 (en) 2020-08-31 2022-05-10 Secureauth Corporation Identification (ID) proofing and risk engine integration system and method
EP3979109A1 (fr) 2020-10-02 2022-04-06 Evidian Procédé et système d'authentification d'un utilisateur sur un appareil utilisateur
US11457008B2 (en) 2020-10-13 2022-09-27 Cisco Technology, Inc. Steering traffic on a flow-by-flow basis by a single sign-on service
US11968201B2 (en) * 2021-01-04 2024-04-23 Cisco Technology, Inc. Per-device single sign-on across applications
US11159419B1 (en) 2021-01-29 2021-10-26 Netskope, Inc. Policy-driven data locality and residency
US20220261761A1 (en) * 2021-02-17 2022-08-18 Atlassian Pty Ltd. Displaying content in a collaborative work environment
US11653206B2 (en) * 2021-04-20 2023-05-16 Cisco Technology, Inc. Trusted roaming for federation-based networks
US11983261B2 (en) 2021-04-23 2024-05-14 Microsoft Technology Licensing, Llc Enhance single sign-on flow for secure computing resources
US11997127B2 (en) 2021-05-07 2024-05-28 Netskope, Inc. Policy based vulnerability identification, correlation, remediation, and mitigation
US11671430B2 (en) 2021-05-26 2023-06-06 Netskope, Inc. Secure communication session using encryption protocols and digitally segregated secure tunnels
US20230078632A1 (en) * 2021-09-10 2023-03-16 Rockwell Automation Technologies, Inc. Security and safety of an industrial operation using opportunistic sensing
US20230099355A1 (en) * 2021-09-29 2023-03-30 Dell Products L.P. Single sign-on services for database clusters
EP4187409A1 (fr) * 2021-11-29 2023-05-31 Bull SAS Procédé et système d'authentification d'un utilisateur sur un serveur d'identité as a service
US11553008B1 (en) 2021-12-30 2023-01-10 Netskope, Inc. Electronic agent scribe and communication protections

Family Cites Families (93)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011238A1 (en) 1998-03-04 2001-08-02 Martin Forest Eberhard Digital rights management system
US7478434B1 (en) 2000-05-31 2009-01-13 International Business Machines Corporation Authentication and authorization protocol for secure web-based access to a protected resource
JP3526435B2 (ja) 2000-06-08 2004-05-17 株式会社東芝 ネットワークシステム
US20020093527A1 (en) 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US7305085B2 (en) 2000-06-30 2007-12-04 Kabushiki Kaisha Toshiba Encryption apparatus and method, and decryption apparatus and method based on block encryption
US7587499B1 (en) 2000-09-14 2009-09-08 Joshua Haghpassand Web-based security and filtering system with proxy chaining
US7370351B1 (en) 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
US20030135465A1 (en) 2001-08-27 2003-07-17 Lee Lane W. Mastering process and system for secure content
US7546465B2 (en) 2002-10-17 2009-06-09 At&T Intellectual Property I, L.P. Instant messaging private tags
US7475146B2 (en) 2002-11-28 2009-01-06 International Business Machines Corporation Method and system for accessing internet resources through a proxy using the form-based authentication
US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US20050086197A1 (en) 2003-09-30 2005-04-21 Toufic Boubez System and method securing web services
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US20060048216A1 (en) * 2004-07-21 2006-03-02 International Business Machines Corporation Method and system for enabling federated user lifecycle management
US7698375B2 (en) * 2004-07-21 2010-04-13 International Business Machines Corporation Method and system for pluggability of federation protocol runtimes for federated user lifecycle management
US20060021018A1 (en) * 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for enabling trust infrastructure support for federated user lifecycle management
US20060021017A1 (en) * 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for establishing federation relationships through imported configuration files
US20060075481A1 (en) 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US7562382B2 (en) * 2004-12-16 2009-07-14 International Business Machines Corporation Specializing support for a federation relationship
US8302178B2 (en) 2005-03-07 2012-10-30 Noam Camiel System and method for a dynamic policies enforced file system for a data storage device
US20060218628A1 (en) * 2005-03-22 2006-09-28 Hinton Heather M Method and system for enhanced federated single logout
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
US7624436B2 (en) 2005-06-30 2009-11-24 Intel Corporation Multi-pattern packet content inspection mechanisms employing tagged values
US8151317B2 (en) * 2006-07-07 2012-04-03 International Business Machines Corporation Method and system for policy-based initiation of federation management
US7860883B2 (en) * 2006-07-08 2010-12-28 International Business Machines Corporation Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments
US20080021866A1 (en) * 2006-07-20 2008-01-24 Heather M Hinton Method and system for implementing a floating identity provider model across data centers
US7657639B2 (en) * 2006-07-21 2010-02-02 International Business Machines Corporation Method and system for identity provider migration using federated single-sign-on operation
US8275985B1 (en) * 2006-08-07 2012-09-25 Oracle America, Inc. Infrastructure to secure federated web services
US8543810B1 (en) * 2006-08-07 2013-09-24 Oracle America, Inc. Deployment tool and method for managing security lifecycle of a federated web service
JP5205380B2 (ja) * 2006-08-22 2013-06-05 インターデイジタル テクノロジー コーポレーション アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置
US8914461B2 (en) 2006-08-23 2014-12-16 Cyberstation, Inc. Method and device for editing web contents by URL conversion
US20080320576A1 (en) * 2007-06-22 2008-12-25 Microsoft Corporation Unified online verification service
US20090022319A1 (en) 2007-07-19 2009-01-22 Mark Shahaf Method and apparatus for securing data and communication
US8694787B2 (en) 2007-08-07 2014-04-08 Christophe Niglio Apparatus and method for securing digital data with a security token
US8280986B2 (en) 2007-11-23 2012-10-02 Lg Electronics Inc. Mobile terminal and associated storage devices having web servers, and method for controlling the same
WO2009110622A1 (ja) 2008-03-05 2009-09-11 富士フイルム株式会社 代理サーバ、その制御方法及びその制御プログラム
US11864051B2 (en) 2008-04-01 2024-01-02 Blancco Technology Group IP Oy Systems and methods for monitoring and managing use of mobile electronic devices
US8855318B1 (en) 2008-04-02 2014-10-07 Cisco Technology, Inc. Master key generation and distribution for storage area network devices
US9836702B2 (en) * 2008-10-16 2017-12-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
US8196177B2 (en) * 2008-10-16 2012-06-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for a service provider in a federated environment
US8856869B1 (en) 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
CN101621801B (zh) 2009-08-11 2012-11-28 华为终端有限公司 无线局域网的认证方法、系统及服务器、终端
US8190675B2 (en) 2010-02-11 2012-05-29 Inditto, Llc Method and system for providing access to remotely hosted services through a normalized application programming interface
WO2011126911A1 (en) 2010-03-30 2011-10-13 Authentic8, Inc Disposable browsers and authentication techniques for a secure online user environment
US8452957B2 (en) 2010-04-27 2013-05-28 Telefonaktiebolaget L M Ericsson (Publ) Method and nodes for providing secure access to cloud computing for mobile users
US9189615B2 (en) * 2010-04-28 2015-11-17 Openlane, Inc. Systems and methods for system login and single sign-on
US9461996B2 (en) 2010-05-07 2016-10-04 Citrix Systems, Inc. Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application
US9455892B2 (en) 2010-10-29 2016-09-27 Symantec Corporation Data loss monitoring of partial data streams
US9596122B2 (en) * 2010-12-03 2017-03-14 International Business Machines Corporation Identity provider discovery service using a publish-subscribe model
US8832271B2 (en) * 2010-12-03 2014-09-09 International Business Machines Corporation Identity provider instance discovery
US9311495B2 (en) 2010-12-09 2016-04-12 International Business Machines Corporation Method and apparatus for associating data loss protection (DLP) policies with endpoints
US9237142B2 (en) * 2011-01-07 2016-01-12 Interdigital Patent Holdings, Inc. Client and server group SSO with local openID
US8800031B2 (en) 2011-02-03 2014-08-05 International Business Machines Corporation Controlling access to sensitive data based on changes in information classification
JP5289480B2 (ja) 2011-02-15 2013-09-11 キヤノン株式会社 情報処理システム、情報処理装置の制御方法、およびそのプログラム。
US9647989B2 (en) * 2011-04-27 2017-05-09 Symantec Corporation System and method of data interception and conversion in a proxy
US20130006865A1 (en) 2011-06-29 2013-01-03 Mckesson Financial Holdings Limited Systems, methods, apparatuses, and computer program products for providing network-accessible patient health records
US9727733B2 (en) 2011-08-24 2017-08-08 International Business Machines Corporation Risk-based model for security policy management
US9143530B2 (en) 2011-10-11 2015-09-22 Citrix Systems, Inc. Secure container for protecting enterprise data on a mobile device
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US9246907B2 (en) * 2012-07-12 2016-01-26 International Business Machines Corporation Confidence-based authentication discovery for an outbound proxy
US9237170B2 (en) 2012-07-19 2016-01-12 Box, Inc. Data loss prevention (DLP) methods and architectures by a cloud service
US9690920B2 (en) * 2012-08-30 2017-06-27 International Business Machines Corporation Secure configuration catalog of trusted identity providers
US9959420B2 (en) 2012-10-02 2018-05-01 Box, Inc. System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment
US9137131B1 (en) * 2013-03-12 2015-09-15 Skyhigh Networks, Inc. Network traffic monitoring system and method to redirect network traffic through a network intermediary
US8572757B1 (en) 2012-11-30 2013-10-29 nCrypted Cloud LLC Seamless secure private collaboration across trust boundaries
US9276869B2 (en) * 2013-01-02 2016-03-01 International Business Machines Corporation Dynamically selecting an identity provider for a single sign-on request
US9398102B2 (en) * 2013-03-06 2016-07-19 Netskope, Inc. Security for network delivered services
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
CA2930106A1 (en) 2013-11-11 2015-05-14 Adallom, Inc. Cloud service security broker and proxy
US9805185B2 (en) * 2014-03-10 2017-10-31 Cisco Technology, Inc. Disposition engine for single sign on (SSO) requests
US9521001B2 (en) 2014-04-28 2016-12-13 Adobe Systems Incorporated Privacy preserving electronic document signature service
US9654507B2 (en) * 2014-07-31 2017-05-16 Zscaler, Inc. Cloud application control using man-in-the-middle identity brokerage
US9825881B2 (en) 2014-09-30 2017-11-21 Sony Interactive Entertainment America Llc Methods and systems for portably deploying applications on one or more cloud systems
US10250584B2 (en) 2014-10-15 2019-04-02 Zuora, Inc. System and method for single sign-on technical support access to tenant accounts and data in a multi-tenant platform
US10904234B2 (en) * 2014-11-07 2021-01-26 Privakey, Inc. Systems and methods of device based customer authentication and authorization
US10305882B2 (en) * 2015-11-24 2019-05-28 International Business Machines Corporation Using a service-provider password to simulate F-SSO functionality
US9807087B2 (en) * 2015-11-24 2017-10-31 International Business Machines Corporation Using an out-of-band password to provide enhanced SSO functionality
EP3394779B1 (en) * 2015-12-22 2021-11-03 Financial & Risk Organisation Limited Methods and systems for identity creation, verification and management
US10341410B2 (en) * 2016-05-11 2019-07-02 Oracle International Corporation Security tokens for a multi-tenant identity and data security management cloud service
US9838376B1 (en) * 2016-05-11 2017-12-05 Oracle International Corporation Microservices based multi-tenant identity and data security management cloud service
US10425386B2 (en) * 2016-05-11 2019-09-24 Oracle International Corporation Policy enforcement point for a multi-tenant identity and data security management cloud service
US10291636B2 (en) * 2016-05-23 2019-05-14 International Business Machines Corporation Modifying a user session lifecycle in a cloud broker environment
US10516672B2 (en) * 2016-08-05 2019-12-24 Oracle International Corporation Service discovery for a multi-tenant identity and data security management cloud service
US10255061B2 (en) * 2016-08-05 2019-04-09 Oracle International Corporation Zero down time upgrade for a multi-tenant identity and data security management cloud service
US10530578B2 (en) * 2016-08-05 2020-01-07 Oracle International Corporation Key store service
US10735394B2 (en) * 2016-08-05 2020-08-04 Oracle International Corporation Caching framework for a multi-tenant identity and data security management cloud service
US10484382B2 (en) * 2016-08-31 2019-11-19 Oracle International Corporation Data management for a multi-tenant identity cloud service
US10594684B2 (en) * 2016-09-14 2020-03-17 Oracle International Corporation Generating derived credentials for a multi-tenant identity cloud service
US10846390B2 (en) * 2016-09-14 2020-11-24 Oracle International Corporation Single sign-on functionality for a multi-tenant identity and data security management cloud service
US10511589B2 (en) * 2016-09-14 2019-12-17 Oracle International Corporation Single logout functionality for a multi-tenant identity and data security management cloud service
US10445395B2 (en) * 2016-09-16 2019-10-15 Oracle International Corporation Cookie based state propagation for a multi-tenant identity cloud service
US10791087B2 (en) * 2016-09-16 2020-09-29 Oracle International Corporation SCIM to LDAP mapping using subtype attributes
WO2018053258A1 (en) * 2016-09-16 2018-03-22 Oracle International Corporation Tenant and service management for a multi-tenant identity and data security management cloud service

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11546358B1 (en) 2021-10-01 2023-01-03 Netskope, Inc. Authorization token confidence system

Also Published As

Publication number Publication date
US11647010B2 (en) 2023-05-09
US20200177578A1 (en) 2020-06-04
WO2018085733A1 (en) 2018-05-11
US20180131685A1 (en) 2018-05-10
EP3535949B1 (en) 2020-06-24
US20210336946A1 (en) 2021-10-28
EP3535949A1 (en) 2019-09-11
US10659450B2 (en) 2020-05-19
US11057367B2 (en) 2021-07-06
JP2020502616A (ja) 2020-01-23
US20190222568A1 (en) 2019-07-18
US10243946B2 (en) 2019-03-26

Similar Documents

Publication Publication Date Title
JP6609086B1 (ja) フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施
US10320801B2 (en) Identity proxy to provide access control and single sign on
CN109155780B (zh) 基于隧道客户端网络请求的设备认证
US11848962B2 (en) Device authentication based upon tunnel client network requests
JP6348661B2 (ja) サードパーティの認証サポートを介した企業認証
CN107743702B (zh) 托管移动设备的单点登录
US20180375648A1 (en) Systems and methods for data encryption for cloud services
US10375055B2 (en) Device authentication based upon tunnel client network requests
US11611541B2 (en) Secure method to replicate on-premise secrets in a cloud environment

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190606

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190606

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190606

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191024

R150 Certificate of patent or registration of utility model

Ref document number: 6609086

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250