MX2011003223A - Acceso al proveedor de servicio. - Google Patents
Acceso al proveedor de servicio.Info
- Publication number
- MX2011003223A MX2011003223A MX2011003223A MX2011003223A MX2011003223A MX 2011003223 A MX2011003223 A MX 2011003223A MX 2011003223 A MX2011003223 A MX 2011003223A MX 2011003223 A MX2011003223 A MX 2011003223A MX 2011003223 A MX2011003223 A MX 2011003223A
- Authority
- MX
- Mexico
- Prior art keywords
- user
- request
- provider
- identity
- location
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/561—Adding application-functional data or data for application control, e.g. adding metadata
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Library & Information Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Se describe un método y aparato para permitir a un usuario tener acceso a un proveedor de servicio. El usuario envía una solicitud desde un explorador a un servidor proxy. El servidor proxy modifica la solicitud al agregar datos (tal como un URL) que se relacionan con una ubicación de un proveedor de identidad capaz de proporcionar credenciales de usuario para el usuario y reenvía la solicitud modificada al proveedor de servicio. La modificación del la solicitud de acceso puede ocurrir antes que se envíe la solicitud al proveedor de servicio, o en respuesta a una solicitud de autenticación del proveedor de servicio. Los datos que se relacionan con la ubicación del proveedor de identidad se pueden proporcionar como un encabezado (por ejemplo un encabezado hhtp).
Description
CAMPO DE j LA INVENCIÓN
La invención se relaciona con la gestión de la identidad y, más especialmente con el acceso a la
!
información de gestión de ijdentidad.
ANTEC ,EDEN ,—E ,—S ¡—D—E LA INV ,ENCION
La gestión de identidad federada, o la "federación" de identidad,} describe las tecnologías que sirven para permitir la portabilidad de la información de identidad aj través de otras formas de
autenticación requerida para el proveedor servic io .
La figura 2 muestra algoritmo, indicado manera general por el numeral de referencia 10, que muestra cómo el sistema puede utilizar para proporcionar acceso al usuario final 4 a un servicio seguro suministrado por el proveedor de servicio 6
El algoritmo 10 inicia en la etapa 12, en cuya etapa el usuario final j 4 envía un mensaje al proveedor de servicio 6 (por ejemplo utilizando un explorador web) solicitando acceso a una aplicación particular suministrada por el proveedor de servicio. El servicio requiere credenciales de usuario, cuyas credenciales no se proporcionan en la solicitud.
El algoritmo 10 se mueve a la etapa 13, en cuya tapa se lleva a cabo proceso de descubrimiento.
El proceso de descubrimiento 13 determina la ubicación del proveedor de identidad 8. Luego, el algoritmo 10 se mueve a la I etapa 14, en cuya etapa el proveedor de servicio (redirige al usuario' al proveedor de identidad 8. j El algoritmo 10 se mueve luego a la etapa 16, e¡n donde el proveedor de identidad 8 proporciona j datos de credencial de usuario al proveedor de sjervicio 6. En respuesta a recibir las credenciales d|e usuario, el proveedor de servicio 6 otorga al usjuario acceso al servicio solicitado (etapa 18) . ¡
i
La etapa de descubrimiento (etapa 13) del algoritmo 10 involucra dejtérminar la ubicación del proveedor de servicio y proporcionar esa información en una forma que se pueda comunicar al usuario. El proveedor de servicio típicamente también requiere información que se relaciona con el protocolo requerido para comunicar con ese proveedor de identidad, incluyendo información tal como el contenido de datos requerido y el formato de esos datos .
Un método para superar necesidad de un proceso de descubrimiento es definir un proveedor de identidad único que se debe utilizar con el fin de utilizar el proveedor de servicio 6; sin embargo, este método es inflexible, ya que este requiere que todos los usuarios tengan una cuenta con ese proveedor de identidad. método alterno es reque al usuario que ingrese manualmente la dirección del proveedor de identidad que es utilizado por ese usuario. Esto es inconveniente para el usuario y es vulnerable a los errores dJl usuario.
presente invención busca superar por lo menos algunos de los problemas bosquejados anteriormente.
De acuerdo con un aspecto de la invención, se proporciona un método que comprende las etapas de: recibir la ; solicitud de un usuario para acceso a un proveedor de servicio; m'odificar la solicitud al agregar datos que se relaaionan con una ubicación de un proveedor de. identidad capaz de proporcionar credenciales de usuario para, el usuario; y reenviar la solicitud modificada al proveedor de servicio, datos de ubicación pueden estar en la forma de dirección- de proveedor dé identidad. Los datos ubicación, pueden, por ejemplo, estar en la forma de una dirección uniforme de localización de recursos
(URL) , una dirección de Protocolo de Internet (IP) , un iderit i f icador extensible; de recurso (XRI) , una identidad OpenID, o cualquier otra forma que permita al proveedor de servicio! hallar al proveedor de identidad. La etapa de modificar la solicitud del usuario se puede implementar mediante un servidor Proxy .
Otro aspecto de la presente invención proporciona un aparato (tal como jun servidor proxy) que comprende: una primer entrada adaptada para recibir una solicitud de acceso de servicio desde un usuario; y una primer salida adaptada para enviar una solicitud de de acceso modificada a un proveedor de servicio, en donde el aparato se adapta para generar dicha solicitud de acceso de servicio modificada al agregar datos (por ejemplo jen forma de un encabezado, tal como un encabezado http) que se relaciona con una
i
ubicación de un proveedojr de identidad capaz de proporcionar credenciales ele usuario al usuario para solicitar el acceso de servicio recibido desde dicho usuario. Los datos de ubicación pueden estar en la forma de una dirección del proveedor de identidad. Los datos de ubicación pueden por ejemplo, estar en la forma de una dirección uniforme de localización de recursos (URL) , una dirección de Protocolo de
Internet (IP) , un identif icador extensible de recurso
i
(XRI), una identidad OpenID, o cualquier otra forma
I
que permita al proveedor , de servicio hallar al proveedor de identidad. j
I
Un aspecto adicional j de la presente invención proporciona un sistema que¡ comprende un proveedor de i
servicio y un servidor proxy, en donde: el servidor
i
proxy se adapta para recib¡ir una solicitud de acceso i
de servició de un usuario; el servidor proxy se adapta para modificar la solicitud al agregar datos que se relacionan con unaj ubicación (frecuentemente una dirección, tal como una dirección uniforme de localización de recursos (URL) , una dirección de Protocolo de Internet (IP), un identif icador extensible de recurso (XRI) , una identidad OpenID, cualquier otra forma que permita al proveedor servicio hallar al proveedor de identidad)
proveedor de ident idad capaz de proporc íonar credenciales de usuario para el usuario y enviar solicitud de acceso servicio modificada al proveedor de servicios el proveedor de servicios se adapta para redirigir : hacia el proveedor de identidad con el propós ito de autenticación de usuario. Se pueden proporcionar datos de ubicación como un encabezado, tal como un encabezado http.
Así, algunas formas de invención permiten proveedor de servicio recibir datos que se relacionan con la ubicación de un proveedor de identidad que es capaz de proporcionar credenciales de usuario para el usuario . Esta etapa se puede llevar a cabo sin requerir ninguna entrada del usuario. En particular, no se requiere que el usuario recuerde e ingrese información, de ubicación (¿al como una URL) para este proveedor de identidad.
Así, los proveedores de servicio de acuerdo con aspectos de la presente invención se pueden disponer para ofrecer una mejor experiencia al usuario, ya que el enfoque \ del usuario necesita cambiar entre el proveedor de servicio ún proveedor de identidad.
Adic ionalmente , los sistemas de acuerdo con aspectos invención se pueden configurar de tal manera que el usuario no necesita iniciar sesión para un proveedor de identidad antes de tener acceso a un proveedor de servicio particular, por lo cual mejora adic ionalmente la experiencia del usuario.
Una ventaja adicional] es que, de acuerdo con
I
aspectos de la presente invención, no es necesario instalar ningún software | o hardware adicional al terminal del usuario con ! el fin de que se pueda utilizar la invenc ion Por ejemplo, cualquier
Terminal con un explorador; web puede tener acceso a un servidor proxy que se |adapta de acuerdo con los aspectos de la invención
En algunas formas de lia, invención, el usuario no necesita ingresar credenciales de usuario en el proveedor de servicio o el proveedor de identidad. Esto no solo es conveniente para el usuario, sino que aumenta la seguridad ají evitar que programas maliciosos busquen credencjiáles de usuario a partir de la pulsación de teclas hechas por el usuario (los denominados ataques de "suplantación de identidad") .
En algunas formas de la invención, la solicitud de acceso de servicio1 modificada se genera directamente , s m requiere ninguna intervención específica del usuario, de| tal manera que .el proceso de modificar la solicitud de acceso de servicio se oculta al usuario. ¡
La solicitud modificada se puede generar en respuesta a la solicitud del usuario para acceso al proveedor de servicio En tal una disposición, no se requiere que el proveedor de servicio solicite detalles al usuario, ya aquellos detalles agregan automáticamente. De hecho, los detalles de usuario se pueden agregar antes de que se envíe cualquier información al prjoveedor de servicio.
Alternativamente, se pueden generar solicitudes modificadas en respuesta al proveedor de servicio que solicita autorización al usuario. Por vía de ejemplo, se puede generar una j solicitud modificada en respuesta a una respuesta 'http 401 no autorizada del proveedor de servicio. j
i
En algunas formas de lia invención, los datos que se relacionan con la ubjicación del proveedor de identidad agregado a la jsolicitud se proporcionan como un encabezado, tal comoiun encabezado http.
Los datos que se relacionan con la ubicación del proveedor de identidad pueden proporcionar
i
mediante el proveedor de identidad en respuesta a una solicitud. Por. ejemplo, un servidor proxy puede solicitar que el proveedo¡r de identidad suministre datos adecuados: el provjeedor de identidad puede regresar datos (tal como ¡una dirección uniforme de localización de recursos) para inserción en un encabezado .
En algunas formas de lia invención, la etapa de modificación se lleva a cabo mediante un servidor Proxy, tal como un servidor proxy http. En el uso de la presente invención, el Usuario puede configurar un explorador que es esté utilizando para enrutar la las solicitudes de servicio a través del servidor proxy.
En algunas formas de la invención, se establece una identidad de usuario en respuesta a la etapa recibir una solicitud desdje el usuario para acceso un proveedor de servicio. La identidad del usuario puede determinar . con base en la configuración suministrada por el usuario. Por ejemplo, la identidad del usuario puede ser una de una identidad
I
pública, una de una identidad privada o una identidad aleatoria. Una identidad pública (tal como nombre de usuario) puede ser apropiajda cuando se trata con un sitio web altamente confiable. Se puede apropiar una identidad aleatoria cuando se trata con un sitio web de menos confianza.
De acuerdo con un aspecto de la presente invención, se proporciona un método que comprende las etapas de: recibir una solicitud de servicio en un proveedor de servicio desde un usuario, la solicitud incluye un encabezado (tal como un encabezado http) que contiene datos que j se relacionan con una t
ubicación de un proveedor de identidad capaz de proporcionar credenciales para el usuario; recuperar la información del proveedor de identidad del encabezado; y solicitar las credenciales del usuario del proveedor de identidad. Los datos de ubicación pueden estar en la forima de una dirección de proveedor de identidad. ¡ Los datos de ubicación
I
pueden, por ejemplo, estar en la forma de una dirección uniforme de localización de recursos (URL), una dirección de Protoccjló de Internet (IP), un identif icador extensible de recurso (XRI), una identidad Openip, o cualqujier otra forma que permita al proveedor de servicio ¡encontrar al proveedor de identidad. ,
i
De acuerdo con un ¡ aspecto de la presente invención, se proporciona < aquí un proveedor de servicio que comprende: una entrada para recibir una solicitud de acceso de servicio para un usuario, la solicitud incluye datos (tal como una dirección) que se relaciona con una ubicación de un proveedor de identidad capaz de proporc ionar credenciales para usuario; medios para recuperar los datos de ubicación que se relacionan con el proveedor de identidad del encabezado; y medios para solicitar las credenciales del usuario desde el proveedor de identidad. Los datos de ubicación pueden, por ejemplo, estar en la forma de una dirección uniforme de localización de recursos (URL) , una dirección de Protocolo de Internet (IP) , un identif icador extensible de recurso (XRI), una identidad OpenlD, o cualquier otra forma que permita al proveedor de servicio hallar al proveedor de identidad. Se pueden proporcionar datos de ubicación como un encabezado, tal como un encabezado htttp.
De acuerdo con un aspecto de la presente invención, se proporciona un producto de programa de computador que comprende entrada adaptada para recibir una solicitud de a!cceso de servicio desde un usuario ; una salida adaptada para enviar una i
solicitud acceso de -servicio modificada un proveedor servicio, en¡ donde el producto programa de computador, adapta., para agregar . datos que se relacionan con ubicación de un . proveedor de identidad capaz de proporcionar credenciales de usuario para el usuario para solicitud de acceso de servicio recibida desde dichp usuario. El producto de programa de computador se puede adaptar para modificar la solicitud en respuesta a la solicitud del usuario, sin requerir que el proveedor de servicio solicite credenciales de usuario .
Alternativamente, el producto de programa de
i
computador se puede adaptar para modificar la solicitud en respuesta al proveedor de servicios que solicita autorización del usuario. El producto programa de computador pujede, por ejemplo, ser .un servidor proxy. El producto de programa, de computador puede incluir el proveedor ¡de identidad.
Un aspecto adicional de la presente invención proporciona una estructura de datos que comprende una solicitud para proporcionar a un usuario acceso a un proveedor de servicio, en ¡donde la solicitud incluye un encabezado que proporciona datos que se relacionan con una ubicación de un proveedor de identidad capaz de proporcionar credenciales para el usuario. Los datos, que se relacionan con. una ubicación de un proveedor de identidad puejde ser una dirección, tal como una dirección uniforme de localización de
i '.
recursos (URL) ,. una dirección de Protocolo de Internet (IP) , un identif icador extensible de recurso (XRI) , una identidad OpenID, o cualquier otra forma que permita al proveedor de servicio hallar proveedor de identidad. La solicitud puede tomar la forma de una solicitud http.
i
Las realizaciones de la invención se describen adelante, solo por vía de ejemplo, con referencia a las siguientes figuras numeradas.
BREVE DESCRIPCIÓN DE LAS FIGURAS
La Figura es un diagrama de bloque demuestra el uso de la gestión de identidad en la técnica anterior; J
La Figura 2 es un diagrama de flujo que demuestra un uso conocido de la disposición de la Figura 1; i
i
La Figura 3 es un diagrama de bloque de. un sistema de acuerdo con un aspecto de la presente invención; |
La Figura 4 muestra unja secuencia de mensajes de acuerdo con un aspecto de la presente invención; y
La Figura 5 muestra una secuencia de mensajes de acuerdo con un aspecto de l¡a presente invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN
La Figura 3 es un diagrama de bloque de un sistema, indicado de manera general con referencia al numeral 30, de acuerdo conj un aspecto de la presente invención. El sistema 30 comprende un explorador de usuario 32, una red de acceso 34, un servidor proxy
i
36 y un proveedor de servicio 38. El servidor proxy 36 comprende un http projxy 35 y un proveedor de identidad 37. El http proxy 35 y el proveedor de identidad 37 se pueden suministrar físicamente en la misma ubicación como parte1 del servidor proxy 36, o pueden estar físicamente separados. ' Adicionalmente , el http proxy 35 y el proveedor de identidad se pueden controlar mediante ía misma compañía (tal como un operador de telecomunicaciones) o mediante compañías separadas. |
i
Con el fin de te er servicios de acceso suministrados por el proveedor de servicio 38, el usuario designa su explorador 32 al servidor proxy 36. Esta conexión se logra a través del acceso de red 34. El servidor proxy 36 comunica con el proveedor de servicio 38 como se discute en detalle adelante. Los
I
datos se transfieren entré el proveedor de servicio
38 y el explorador usuario 32 a través del servidor proxy 36.
La Figura 4 muestra una secuencia de imágenes de ejemplo, indicadas de manera general por el numeral de referencia 40, entre los elementos del sistema 30, de acuerdo con un aspecto dje la presente invención.
Primero, el explorador de usuario 32 fija una conexión de Protocolo de Internet (IP) a través de la red de acceso 34 (como se! indica por el numeral de referencia 39) . 1
usuario se genera con base en las .preferencias establecidas por el usuario!.
La URL generada por el servidor proxy 36 se inserta como un encabezado (X-IDP
<identity_provider_locatiorí> ), en la solicitud GET recibida por el servidor proxy 36 desde el explorador 32. La nueva solicitud GET, indicada por el numeral de referencia 42, incluye el nuevo encabezado, que se reenvía el proveedor de servicio 38.
I
i
I
i
proceder, por ejemplo, | en la forma descrita anteriormente con referencia a la Figura 2.
Así, en la etapa 46, él proveedor de servicio 38 solicita detalles de autenticación para el usuario desde el servidor proxy 36 i La solicitud se enruta al URL dado en el encabezado! (es decir al proveedor de identidad 37) , por ejemplo de acuerdo con la redirección relacionada estándar HTTP. En respuesta a
r
la solicitud para detalles de autenticación, el proveedor de identidad 37 proporciona credenciales de usuario (etapa 48) , por e'jemplo en la forma de una
I
aserción de un Lenguaje de Marcado de Aserción de Seguridad (SAML) . Luego, [el proveedor de servicio otorga al servidor proxy 36 acceso al servicio (etapa 50) y el servidor proxy ¡reenvía estos detalles al explorador 32 (etapa 52) . , El usuario puede entonces utilizar el explorador para tener acceso al servicio suministrado por el proveedor de servicio 38.
I
El http proxy 35 y el- proveedor de identidad 37 que forman el servidor ¡proxy 36 pueden trabajar juntos en un número de formas. Por ejemplo, el http proxy 35 puede solicitar al proveedor de identidad 37
I
que proporcione la URLj para inserción en el encabezado del http. El proveedor de identidad 37
i
puede luego tomar la oportjunidad para generar un URL que permite al proveedor! de identidad buscar el usuario en una forma simple. Adicionalmente si el proveedor de identidad 37 consiste de múltiples máquinas distribuidas, se puede seleccionar el URL de tal manera que este designe a la última máquina
!
cargada .
Como se discutió anteriormente, el servidor proxy 36 genera una ID de usuario en respuesta a la recepción de la solicitud acceso de servicio 41 desde el explorador 32. La de usuario se determina con base en preferencias dje usuario. Por ejemplo, la ID de usuario puede ser uina identidad pública, una
i
identidad persistente o una¡ identidad aleatoria.
Una identidad públicaj es una identidad que se asocia directamente con el usuario. Ejemplos de una identidad pública son el nombre real del usuario (por ejemplo Señor John Smitli) , su dirección postal; número de seguridad social etc. De manera general, un usuario podría utilizar solo una identidad pública cuando visita un sitio web altamente confiable y seguro, tal como un banco e|n línea.
Una identidad persistente es una cadena fija (por
i
ejemplo, " Cléber_boy_007 " )¡ que se asocia con el usuario. En algunos casos!, Un usuario puede desear utilizar la misma identidad cada vez que el tiene i
acceso a un servipio particular. De esta forma, se puede acumular una reputación para esa identidad del usuario. Por supuesto, j se puede utilizar una identidad publica, pero jsi el usuario no desea hacerlo (ya sea por razones de seguridad, o por razones de confidencialidad, se puede utilizar en su lugar una identidad persistiente.
Una identidad aleatorjia es una cadena que se intercambia cada vez que e¡l usuario tiene acceso aun servicio. Por ejemplo, cuando el usuario tiene acceso
I
a un sitio web de entretenimiento particular por primera vez el proxy 36 puede generar
usuario " anonymous_l 234 " . Guando el usuario visita un sitio de web diferente vuelve a visitar el mismo sitio web el proxy 36 puede generar una nueva ID de
t
usuario, tal como "anonymous_5678" . Utilizar las
¡
identidades aleatorias es jmás seguro, ya que es más difícil de identificar la identidad real del usuario. Adicionalmente , utilizar ID aleatorias evita que el sitio web sea capaz de rastrear las actividades de un usuario individual . |
El propósito principal! de seleccionar entre IDs de usuario aleatorias, persistentes y públicas es, permitir al usuario seleccionar un nivel de privacidad adecuado. El tipo de ID a ser utilizado se puede seleccionar dependiendo del nombre o la naturaleza del servicio al que se tiene acceso, Adicionalmente, el usuario puede ser capaz de cambiar las preferencias de usuario al tener acceso a una página web de servicio al cliente del operador.
En el protocolo de'scrito anteriormente con referencia a la Figura 4, se inserta el nuevo encabezado http X- IDP= <jidentity_provider_location> mediante el servidor proxy 36 cuando se busca el primer acceso al proveedor J de servicio 38. Esto no es esencial . j
La Figura 5 muestra uña secuencia de mensajes de ejemplo, indicada de manera general mediante el numeral de referencia 60 entre el explorador usuario 32, la red de acceso 34, el servidor proxy 36 y el proveedor de servicio 38, de acuerdo con un
G7
I ¦ , :
esencial que la ID de usuario sea generada en este momento; sin embargo, debido! a que no se requiere que una ID de usuario sea recibida antes del mensaje de no autorizando HTTP 401, es ¡ cpnveniente , con el fin de reducir el jlímite en el servidor proxy, esperar hasta que este tiempo genere la l¡D de usuario.
A continuación, el servidor proxy 36 construye i !
una URL para el usuario: !pór ejemplo, la 'URL puede
I ! '
tener la forma general http: //idp.operator. com o una forma específica individual tal como http: / /idp , pperator , com/ use'r id. La URL generada por el servidor proxy se inserta como un encabezado (X- IDP = <iden Itity_provider_lp1 ci'a'tion> ) en una solicitud
! 1 !
GET modificada. La solicitud! GET modificada, indicada por el numeral de referencia 66, incluye el nuevo encabezado, que se reenvía ¡al proveedor de servicio
i
38.
Al momento de recibo de la solicitud GET modificada proveedor de servicio
etapa 44, Irecupera la dirección IDP del campo del encabezado ¡insertado por e:l \ servidor proxy 36 en la etapa anterior en la misma1 forma que se describió anteriormente. Luego procede el proceso de autenticación del usuario,; pór ejemplo, en la forma que se describi anteriormente con referencia a la Figura 4.
Así, eri la etapa 46, el proveedor de servicio 38 solicita detalles de autenticación para el usuario del proveedor de identidad/servidor proxy 36. La solicitud se enruta al URL' dado en el encabezado. En respuesta la solicitud de auten icación, el proveedor de identidad suministra credenciales
proxy ¦ puede ser suministrado en una terminal de usuari . i 1 !
La injvención se ha j descrito anteriormente utilizando 'http como un protocolo de ejemplo. Esto no es esencial. El http proxyí 35 se puede reemplazar mediante u'n proxy haciendo uso de un protocolo diferente. .Por ejemplo, se puede utilizar cualquier protocolo que pueda reenviár paquetes de datos en lugar del http. . '
Las realizaciones de, > la invención descritas anteriormente son ilustrativas a diferencia de restrictivas. Será evidente para aquellos expertos en la técnica ! que los anteriores dispositivos y métodos pueden incorporar un número de modificaciones sin apartarse del alcance general de la invención. Se pretende que todas esas modificaciones estén incluidas dentro del alcance de la invención que ellas caen dentro del alcancé de las reivindicaciones adj untas .
Claims (1)
- NOVEDAD DE LA INVENCION Habiéndose descrito la invención como antecedente', se reclama como propiedad lo contenido en etapas de: rio para acceso a un proveedor de servicio modificar la solicitud al agregar datos que se relacionan . con una ubicación de un proveedor de identidad jcapaz de proporcionar credenciales de usuario par el usuario; y i ! reenviar la solicitud modificada al proveedor de servicio. 2. Un ¡ método como ¡ se reivindica en la reivindicación .1, en donde¡ la etapa de modificar la solicitud se desarrolla eri ¡respuesta a la solicitud del usuario para tener i acceso al proveedor de servicio . 3. Un i método como : se reivindica en la reivindicación 1, en donde la etapa de modificar la solicitud sje desarrolla en! respuesta al proveedor de servicio que solicita la autorización de usuario. 4. Un método como se reivindica en una cualquiera de las reivindicaciones 1 a 3, en donde los datos que relacionan la ubicación del proveedor de identidad agregada a la solicitud se proporcionan como un encabezado. ! ' ' 5. Un ; método como se reivindica en cualquier reivindicación precedente, en donde los datos que se relacionan con la ubicación del proveedor de identidad agregado a la ¡solicitud se proporcionan como una dirección uniforme de localización recursos . ¡ ; 6. Un método como sé I reivindica en cualquier rei indicación precedente, ' en donde los datos que se relac ionan con la ubicación del proveedor de identidad se suministran mediante el proveedor de identidad en respuesta a una ' solicitud . 7. Un método como se reivindica en cualquier i ¦ i reivindicacjión precedente,, ¦ en donde la etapa de modificación se lleva a cabo mediante un servidor proxy. 8. Un método como s!e \ reivindica en cualquier reivindicación precedente, que comprende adíe ionalme'nte la etapa dé configurar una identidad del usuario en respuesta a ¡recibir la solicitud del usuario para acceso al proveedor de servicio. 9. Un método corno1 se reivindica en la reivindicac|ión 8, en donde i la identidad de usuario se determina con base en la configuración proporcionada i ; por el usuario. . , ¡ · 10. Un i método que comprende las etapas de: í \ recibir una solicitud de servicio en un proveedor de servicio de un usuario, la solicitud que incluye un encabezado contienen datos que se relacionan con una ubicación de un proveedor de identidad capaz de i : proporcionar credenciales para el usuario; recuperar los datos que se relacionan con la ubicac ión del proveedor i de identidad desde el i encabezado ; y . solicitar las credenciales del usuarios desde el proveedor de identidad. | para recibir una sol un usuario; y una primer salida adaptada para enviar una solicitud de acceso de servicio modificada a un i proveedor de servicio, en donde el aparato se adapta para generar dicha solicitud d|e acceso de servicio modificada al agregar datos que se relacionan cpri un una ubicación de un proveedor de identidad capaz de proporcionar credenciales de usuario j para el usuario a la solicitud de acceso de servicio recibida de dicho usuario ¡ 1 ! i . 1 12. Un¡ aparato como se reivindica en la I reivindicación 11, en donde el aparato se adapta para se relacionan con la dentidad en la recepción de servicio desde dicho se reivindica en la reivindicación 11, que comprende adic ionalmente una segunda entrada adaptada para recibir señales desde i ; i dicho proveedor de servicio,1 en donde el aparato se adapta para I agregar dichos1 1¡ datos que se relacionan con la ubicación del pfoyeedor de identidad en respuesta al proveedor de servicio que solicita la autorización de usuario. 14. Un aparato como) j se reivindica en una cualquiera !de las reivindicaciones 11 a 13, en donde los datos que se relacionan con la ubicación del proveedor de identidad se proporciona como un encabezado . 2,3 15. Un ' aparato como, se reivindica en una cualquiera de las reivindicaciones 11 a 14, en donde dicho aparato es un servidor ¦ proxy . 16. Un aparato como se reivindica en una cualquiera ; de las reivindicaciones 11 a 15, que comprende adic ionalmente el; proveedor de identidad. 17. Un sistema que comprende un proveedor servicio y un servidor proxy, en donde: ! 1 1 el servidor proxy se: adapta para recibir una i ' ! . solicitud de acceso de servicio desde un usuario; i ¦ el ser idor proxy se adapta para modificar la solicitud al agregar datos que se relacionan con una ubicación de un proveedor 1 de identidad capaz de proporcionar credenciales de usuario para el usuario y enviar la solicitud de acceso de servicio modificada al proveedor de servicio; el proveedor de servicio se adapta para redirigir al usuario^ al proveedor1 j de identidad para los una salida adaptada paira ' enviar una solicitud de acceso de servicio modificada a un proveedor de servicio ¡ en donde el producto dé programa de computador se adapta para agregar los datos que se relacionan con una ubicación de un proveedor de identidad capaz de proporcionar credenciales de usuario para el usuario a la solicitud de acceso! de servicio recibida de dicho usuario. i 1 i 19. Una estructura de Idatos que comprende una solicitud fjara proporcionar ! un usuario con acceso a un proveedor de servicio, , en donde la solicitud incluye un encabezado que proporciona datos relacionados con una ubicación de un proveedor de identidad caapz de proporcionar credenciales para el usuario . 20. Una estructura de datos como se reivindica en la reivindicación 19, en .dónde dichos datos que se relacionan : con una ubicación de un proveedor de identidad és una dirección uniforme de localización I de recursos!
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2008/063333 WO2010040378A1 (en) | 2008-10-06 | 2008-10-06 | Service provider access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| MX2011003223A true MX2011003223A (es) | 2011-04-21 |
Family
ID=40863413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| MX2011003223A MX2011003223A (es) | 2008-10-06 | 2008-10-06 | Acceso al proveedor de servicio. |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8881248B2 (es) |
| EP (1) | EP2338262B1 (es) |
| CN (1) | CN102171984B (es) |
| MX (1) | MX2011003223A (es) |
| WO (1) | WO2010040378A1 (es) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8632003B2 (en) | 2009-01-27 | 2014-01-21 | Novell, Inc. | Multiple persona information cards |
| US20100251353A1 (en) * | 2009-03-25 | 2010-09-30 | Novell, Inc. | User-authorized information card delegation |
| US8370509B2 (en) * | 2009-04-09 | 2013-02-05 | Alcatel Lucent | Identity management services provided by network operator |
| CN102916933A (zh) * | 2011-08-03 | 2013-02-06 | 腾讯科技(深圳)有限公司 | 通过第三方网站进行注册或登陆的方法和系统 |
| US8949938B2 (en) * | 2011-10-27 | 2015-02-03 | Cisco Technology, Inc. | Mechanisms to use network session identifiers for software-as-a-service authentication |
| US9519777B2 (en) * | 2011-10-31 | 2016-12-13 | Novell, Inc. | Techniques for controlling authentication |
| US11321414B2 (en) * | 2012-04-17 | 2022-05-03 | Comcast Cable Communications, Llc | Self-validating data object locator for a media asset |
| US9152781B2 (en) | 2012-08-09 | 2015-10-06 | Cisco Technology, Inc. | Secure mobile client with assertions for access to service provider applications |
| US20140280758A1 (en) * | 2013-03-15 | 2014-09-18 | Verizon Patent And Licensing Inc. | Methods and Systems for Providing Location-Based Subsidized Access to Network Content |
| US10554624B2 (en) * | 2013-09-25 | 2020-02-04 | Mcafee, Llc | Proxy authentication for single sign-on |
| CN103688509B (zh) * | 2013-09-29 | 2016-10-12 | 华为技术有限公司 | 业务内容获取方法、提供方法、设备及系统 |
| US9654507B2 (en) * | 2014-07-31 | 2017-05-16 | Zscaler, Inc. | Cloud application control using man-in-the-middle identity brokerage |
| EP3251324B1 (en) | 2015-01-26 | 2020-09-23 | Mobile Iron, Inc. | Secure access to cloud-based services |
| US11171924B2 (en) * | 2015-10-14 | 2021-11-09 | Adp, Inc. | Customized web services gateway |
| CN107026822B (zh) * | 2016-01-29 | 2020-07-10 | 深信服科技股份有限公司 | 根证书的安装方法、网关设备及用户终端 |
| US11102188B2 (en) * | 2016-02-01 | 2021-08-24 | Red Hat, Inc. | Multi-tenant enterprise application management |
| US11516664B2 (en) | 2016-04-05 | 2022-11-29 | Carrier Corporation | Credential licensing service |
| CN108234386B (zh) * | 2016-12-12 | 2021-10-15 | 诺基亚技术有限公司 | 用于认证的方法和设备 |
| US10630668B2 (en) * | 2017-04-28 | 2020-04-21 | Amazon Technologies, Inc. | Single sign-on registration |
| CN107729358A (zh) * | 2017-09-01 | 2018-02-23 | 小草数语(北京)科技有限公司 | 基于浏览器的页面访问方法和装置 |
| CN109587097A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种实现安全访问内部网络的系统、方法和装置 |
| CN109586941B (zh) * | 2017-09-29 | 2021-11-26 | 华为技术有限公司 | 一种基于服务化架构的业务处理方法及装置 |
| US10728245B2 (en) * | 2017-12-07 | 2020-07-28 | Ca, Inc. | HTTP proxy authentication using custom headers |
| US11657401B2 (en) * | 2021-02-08 | 2023-05-23 | Capital One Services, Llc | Systems and methods for warranty coverage alerts based on acquisition data |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2296693T3 (es) * | 2001-09-04 | 2008-05-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Mecanismo de aunteficacion universal. |
| CN1599910A (zh) * | 2001-12-06 | 2005-03-23 | 株式会社爱可信 | 用于向移动设备提供订购内容服务的系统和方法 |
| US20030163575A1 (en) | 2002-02-27 | 2003-08-28 | Perkins Gregory Eugene | Resource location and access |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| CN1252598C (zh) | 2002-09-03 | 2006-04-19 | 国际商业机器公司 | 提供身份相关的信息和防止中间人的攻击的方法和系统 |
| US7340525B1 (en) | 2003-01-24 | 2008-03-04 | Oracle International Corporation | Method and apparatus for single sign-on in a wireless environment |
| US8499153B2 (en) | 2004-06-24 | 2013-07-30 | Nokia Corporation | System and method of authenticating a user to a service provider |
| US9143502B2 (en) * | 2004-12-10 | 2015-09-22 | International Business Machines Corporation | Method and system for secure binding register name identifier profile |
| US20060218629A1 (en) * | 2005-03-22 | 2006-09-28 | Sbc Knowledge Ventures, Lp | System and method of tracking single sign-on sessions |
| US7657639B2 (en) * | 2006-07-21 | 2010-02-02 | International Business Machines Corporation | Method and system for identity provider migration using federated single-sign-on operation |
| US8365244B2 (en) * | 2006-11-17 | 2013-01-29 | At&T Intellectual Property I, L.P. | Systems, methods and computer program products supporting provision of web services using IMS |
| US8689296B2 (en) * | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US8590027B2 (en) * | 2007-02-05 | 2013-11-19 | Red Hat, Inc. | Secure authentication in browser redirection authentication schemes |
-
2008
- 2008-10-06 EP EP08805078A patent/EP2338262B1/en not_active Not-in-force
- 2008-10-06 CN CN200880131426.3A patent/CN102171984B/zh not_active Expired - Fee Related
- 2008-10-06 MX MX2011003223A patent/MX2011003223A/es active IP Right Grant
- 2008-10-06 WO PCT/EP2008/063333 patent/WO2010040378A1/en active Application Filing
- 2008-10-06 US US13/121,015 patent/US8881248B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US8881248B2 (en) | 2014-11-04 |
| WO2010040378A1 (en) | 2010-04-15 |
| CN102171984A (zh) | 2011-08-31 |
| US20110265155A1 (en) | 2011-10-27 |
| EP2338262B1 (en) | 2012-12-12 |
| EP2338262A1 (en) | 2011-06-29 |
| CN102171984B (zh) | 2014-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8881248B2 (en) | Service provider access | |
| US10785037B2 (en) | Managing secure content in a content delivery network | |
| CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
| AU2015324004B2 (en) | Using credentials stored in different directories to access a common endpoint | |
| EP2856702B1 (en) | Policy service authorization and authentication | |
| JP5567011B2 (ja) | インターネットサービスを提供するための方法およびサービス統合プラットフォームシステム | |
| US8032930B2 (en) | Segregating anonymous access to dynamic content on a web server, with cached logons | |
| US20090013063A1 (en) | Method for enabling internet access to information hosted on csd | |
| US8555365B2 (en) | Directory authentication method for policy driven web filtering | |
| KR20110009129A (ko) | 통합 인증을 위한 시스템, 방법 및 프로그램 제품 | |
| US20090165124A1 (en) | Reducing cross-site scripting attacks by segregating http resources by subdomain | |
| CN112261172B (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
| US9973590B2 (en) | User identity differentiated DNS resolution | |
| CN112468481A (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| US9894057B2 (en) | Method and system for managing secure custom domains | |
| JP2009217522A (ja) | 個人属性情報提供システムおよび個人属性情報提供方法 | |
| JP2014026348A (ja) | 情報流通システム、認証連携方法、装置及びそのプログラム | |
| JP5632429B2 (ja) | オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム | |
| Nakamura et al. | Privacy preserved attribute aggregation to avoid correlation of user activities across shibboleth SPs | |
| WO2012028168A1 (en) | Identity gateway |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FG | Grant or registration |