CN110036387A - 集成同意*** - Google Patents
集成同意*** Download PDFInfo
- Publication number
- CN110036387A CN110036387A CN201780075479.7A CN201780075479A CN110036387A CN 110036387 A CN110036387 A CN 110036387A CN 201780075479 A CN201780075479 A CN 201780075479A CN 110036387 A CN110036387 A CN 110036387A
- Authority
- CN
- China
- Prior art keywords
- user
- account
- identity provider
- information
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种用于向身份提供者创建账户的***。该***接收用以向身份提供者创建用于在登录到第三方***中使用的身份提供者账户的请求。该***生成用于提供集成同意用户体验的一个或多个显示页面。集成同意用户体验包括用于收集新账户信息和同意范围信息两者的显示页面,借此用户同意与第三方***共享信息。在用户提供了包括针对身份提供者账户的用户证书和用以与第三方***共享身份提供者账户的账户信息的同意的新账户信息之后,该***针对用户创建身份提供者账户。当用户随后使用针对身份提供者账户的用户证书登录到第三方***时,第三方***基于同意范围信息来访问身份提供者账户的账户信息。
Description
背景技术
许多web服务允许或要求用户向它们创建账户。例如,银行的客户被要求向银行创建在线账户以经由它们的网站或它们的应用(“app”)访问他们的银行账户信息。作为另一示例,新闻服务可以允许用户访问它的新闻网站或app而无需创建账户。然而,如果用户想要向新闻网站或app定制体验,则用户可以被允许向该新闻服务创建账户。当账户针对服务提供商而被创建时,用户证书被建立以用于访问该账户。用户证书通常包括用户名和口令。服务提供商可以将用户证书与新账户相关联地存储在账户存储库中。为了访问(例如,登录到)账户,用户随后向网站或应用提供用户证书。服务提供商使用被称为认证的过程来检查账户存储库以确保用户证书与账户相关联。如果是,则用户得到认证并且被允许访问账户。
服务提供商对用户证书的管理可以对服务提供商造成相当大的负担。服务提供商将需要获取(例如,开发或购买)软件***来管理它的用户证书。软件***的初始获取成本和持续维护两者都可能是昂贵的。另外,服务提供商将需要采用复杂的安全技术来确保用户证书的安全,这也可能是昂贵的。如果用户的用户证书被偷窃,则偷窃者不仅能够访问用户与服务提供商自己的网站或应用的账户,而且可以能够访问用户与其他服务的账户。访问与其他服务的账户的能力大部分归因于用户倾向于针对不同网站和应用使用相同用户名和口令,因此他们仅需要记住一组证书。
为了帮助减轻对web服务管理用户证书的负担,被称为身份提供者的一些web服务代表被称为第三方***的其他web服务管理用户证书。为了创建第三方账户,用户将需要利用相关联的用户证书来具有与身份提供者的身份提供者账户。当用户试图创建第三方账户时,第三方***将用户引导到身份提供者。身份提供者从用户收集用户证书并且检查用户证书是否与身份提供者账户相关联。如果它们是,则身份提供者向第三方***提供用户已经得到认证的证据(例如,由身份提供者的私钥签发的证书或令牌)。第三方***然后创建第三方账户并将其与例如被用于访问身份提供者账户的用户名相关联。当用户想要访问他们的第三方账户时,第三方***将用户引导到身份提供者以用于基于用户证书来对用户认证。当用户得到认证时,身份提供者向第三方***提供用户已经得到认证的证据。第三方***然后允许用户访问他们的第三方账户。因为第三方***不需要存储完整的用户证书,所以第三方***可以避免管理用户证书的支出和风险。此外,由于身份提供者提供专门化服务,所以其可以能够花费相当大的资源(即,比针对单个服务提供商将可行的多得多)来确保用户证书的安全。
各种在线服务提供商(诸如社交网络和电子邮件提供商)还向其他web服务提供身份服务。例如,电子邮件提供商还可以操作为针对各种电子商务网站的身份提供者。这样的身份提供者可以维持关于他们的用户并且代表他们的用户的相当大量的信息。这一信息可以包括人口统计信息、用户通信、用户提供的数据(例如,照片和文档)、交互历史等等。用户与第三方***的体验可以在第三方***具有对身份提供者维持的用户的信息的访问的情况下得到改进。例如,通过访问人口统计信息,新闻服务可以能够呈现可能与用户更相关的新闻故事。作为示例,用户的年龄的知识可以在决定如何将关于退休的文章定位在显示页面(例如,网页)中有用。
由于隐式关注,身份提供者通常要求用户同意与第三方***共享与用户的账户相关联的信息。身份提供者还可以允许用户通过标识什么类型的信息可以被与第三方***共享来指定同意的范围。例如,用户可以同意(或给予许可)共享他们的人口统计信息和通信,但是不同意共享他们的图片。用户指明的同意范围可以针对不同web服务是不同的。例如,用户可以同意与照片处理web服务共享图片,但是不与银行web服务共享图片。当用户直接前进到身份提供者并且创建账户时,身份提供者通常将没有任何理由来获得与任何第三方***共享信息的同意。因此,账户创建用户体验当创建身份提供者账户时将不请求同意范围。然而,当用户被第三方***指引到身份提供者时,针对该第三方***的同意范围将需要被请求。在这样的情况中,身份提供者提供账户创建用户体验(即,与当未被第三方***引导时被使用的相同)并且然后提供同意范围用户体验。身份提供者期望提供使身份提供者账户的创建对于用户而言尽可能简单且快速以及使创建账户需要的计算资源(例如,网络流量)最小化两者的用户体验。
发明内容
提供了用于使用集成了账户创建用户体验和同意范围用户体验的集成同意用户体验来向身份提供者创建账户的方法和***。集成同意***接收用以向身份提供者创建用于在登录到第三方***中使用的身份提供者账户的请求。该集成同意***生成用于提供集成同意用户体验的一个或多个显示页面。集成同意用户体验包括用于收集一些新账户信息和同意范围信息两者的显示页面,借此用户同意与第三方***共享信息。在用户提供了包括针对身份提供者账户的用户证书和用以与第三方***共享身份提供者账户的账户信息的同意的新账户信息之后,该***针对用户创建身份提供者账户。当用户随后使用针对身份提供者账户的用户证书登录到第三方***时,第三方***基于同意范围信息来访问身份提供者账户的账户信息。
提供本发明内容从而以简化的形式介绍下面在具体实施方式中进一步描述的一系列概念。本发明内容不旨在确定要求保护的主题的关键特征或必要特征,也不旨在用于限制要求保护的主题的范围。
附图说明
图1图示了发起对第三方***账户的创建的显示页面。
图2图示了在一些实施例中提供集成用户体验的身份提供者的显示页面。
图3是图示了用以在一些实施例中使用集成同意用户体验来创建账户的用户与第三方***之间以及用户与身份提供者之间的通信的通信图。
图4是图示了一些实施例中的身份提供者的部件的框图。
图5是图示了集成同意***的一些实施例中针对第三方部件的建立账户的处理的流程图。
具体实施方式
提供了用于将账户创建用户体验与同意范围用户体验集成的方法和***。在一些实施例中,一种集成同意***提供如下集成用户体验,该集成用户体验用以建立用于由身份提供者在代表第三方***对用户认证中使用的针对用户的用户证书并且获得第三方***访问与用户相关的身份提供者的信息的同意范围。集成同意***接收用以建立针对用户的用户证书(例如,创建账户)的请求,从而使得身份提供者能够基于用户证书代表第三方***对用户认证。例如,使用智能电话(或其他用户设备)的用户可能已经访问了第三方***的网页并且请求了使用与身份提供者账户相关联的用户证书来创建第三方账户。如果用户尚未建立与身份提供者账户的用户证书,则第三方***可能已经将网页提供给用户,从而使得用户能够选择第三方***与其具有建立的关系的身份提供者。当用户选择了这样的身份提供者时,用以建立用户证书的请求可以从用户设备被发送给身份提供者。
在请求由身份提供者接收之后,集成同意***生成用于建立用户证书的集成显示页面。集成显示页面允许收集建立用户证书需要的信息和共享的同意。例如,显示页面可以请求用户录入用户名和口令并且从信息的类型(例如,简档信息)的列表选择用户同意以与第三方共享。集成同意***然后将显示页面发送到用户。
响应于发送显示页面,集成同意***基于用户与显示页面的交互来接收建立用户证书需要的信息和与第三方***共享与用户证书相关联的信息的同意。例如,用户录入期望的用户名和口令(即,证书),选择复选框以指示同意范围,并且然后选择按钮以请求身份提供者账户被创建。响应于从用户接收信息,集成同意***通过例如创建与用户名和口令相关联的身份提供者账户来建立用户证书。集成同意***然后通知第三方***用户证书已经针对用户而被建立。第三方***然后可以创建第三方账户并且依靠身份提供者来对用户认证。通过提供集成显示页面,集成同意***将建立证书用户体验(例如,账户创建用户体验)和同意范围用户体验集成在集成显示页面上以改进总体用户体验,改进开始账户创建过程的用户实际上完成该过程的机会,并且减少创建账户需要的身份提供者的计算资源(例如,减少网络流量)。
图1和图2图示了在一些实施例中的用于在向第三方***认证中使用的身份提供者账户的创建。图1图示了用以发起对第三方***账户的创建的显示页面。显示页面100包括网址区域110和内容区域120。网址区域包含第三方***的登录页面的统一资源定位符或网址。内容区域包含登录按钮121和注册按钮122。如果用户已经建立了第三方账户,则用户将选择登录按钮以使用用户的针对身份提供者的用户证书来登录。然而,如果用户尚未建立第三方账户,则用户将选择注册按钮(例如,将光标悬在其上)。作为响应,列表123将被显示,其包含到第一身份提供者的链接124和到第二身份提供者的链接125。当用户选择了链接之一时,用户被引导到所选择的身份提供者的网页以用于创建身份提供者账户。
图2图示了在一些实施例中提供集成用户体验的身份提供者的显示页面。显示页面200包括网址区域210和内容区域220。网址区域包含身份提供者的创建账户网页的统一资源定位符。统一资源定位符还可以标识第三方***。内容区域包括账户用户名输入区域211、账户口令输入区域212、名字输入区域213、同意范围区域214以及创建账户按钮215。账户用户名输入区域和账户口令区域允许用户提供他们的选择的用户证书。名字输入区域允许用户提供他们的名字。名字输入区域是创建身份提供者账户可能需要的信息的示例。尽管未被图示,但是显示页面还可以包括用于用户输入创建身份提供者账户需要的其他信息(诸如街道地址、电子邮件地址等等)的输入区域。同意范围区域概述身份提供者与第三方***共享用户的信息的同意的范围。在这一示例中,同意的范围指示简档信息、日历信息以及被存储在身份提供者的云驱动上的信息要被与第三方***共享。更详细链接216可以允许用户通过例如不同意共享云驱动的信息来进一步定制同意的范围。当用户选择创建账户按钮时,身份提供者针对用户创建与指定的用户名和口令的用户证书相关联的身份提供者账户。身份提供者可以然后将用户引导到第三方***的网页以完成第三方***账户的创建。输入区域211-213(例如,用于收集新账户信息)和创建账户按钮可以是常见账户创建用户体验的部分,并且同意范围区域被包括在相同网页上以形成集成同意用户体验。以这种方式,身份提供者提供用于收集创建身份提供者账户需要的信息以及获得与第三方***共享信息的同意两者的集成网页。
在一些实施例中,账户创建用户体验可以本身包含用户与多个网页交互。在这样的情况中,集成同意用户体验可以包括相同数量的网页,但是其中至少一个网页被修改以支持获得同意范围。而且,同意范围用户体验还可以包括用以共享身份提供者的资源的前瞻性同意。例如,当用户创建身份提供者账户时,用户可以由于成本而不注册以使用身份提供者的云存储装置。然而,同意范围用户体验可以允许用户在用户稍后决定注册的情况中同意共享被存储在云存储装置上的数据。以这种方式,用户不具有必须在稍后时间处理第二同意范围用户体验的负担。在一些实施例中,集成同意用户体验可以将可以被共享的信息的类型的列表提供给用户并且允许用户(例如,通过选择或取消选择复选框)选择要被共享的信息的类型。
图3是图示了用以在一些实施例中使用集成同意用户体验来创建账户的用户与第三方***之间以及用户与身份提供者之间的通信的通信图。使用用户设备310的用户与第三方***320和身份提供者330交互以创建是第三方账户和身份提供者账户。响应于用户经由显示页面请求创建第三方账户,用户设备将用以创建第三方账户的请求发送331给第三方***。作为响应,第三方***发送332显示页面,用户可以通过该显示页面(例如,假设用户当前没有身份提供者账户)可以选择身份提供者以在对用户认证中使用。响应于用户选择身份提供者,用户设备将用以创建身份提供者账户的请求发送333给身份提供者。响应于接收到该请求,身份提供者生成集成同意显示页面并将该集成同意显示页面发送334给用户设备。在用户填好账户信息并且指明同意范围之后,用户设备将账户信息和同意范围发送335给身份提供者。身份提供者然后创建身份提供者账户并且将用户证书与该身份提供者账户相关联。身份提供者然后将身份提供者账户已经被创建的指示发送336给用户设备。该指示还可以引导用户设备返回到第三方***的创建账户过程。用户然后完成第三方账户的创建(未示出)。随后,当用户想要登录到第三方账户时,用户提供他们的用户名,并且用户设备将请求以及用户名一起发送337给第三方***。第三方***然后将用以访问身份提供者的认证网页的指示发送338给用户设备。用户设备然后将用以对用户认证的请求发送339给身份提供者。身份提供者向认证网页做出响应340。用户然后经由认证网页提供他们的用户证书,并且用户设备将认证请求加用户证书发送341给身份提供者。在一些情况中,身份提供者可以采用使用多因素认证的更安全的认证过程,例如,通过将一次性代码发送给用户的智能电话,通过请求生物识别(例如,指纹)等等。在对用户认证之后,身份提供者将认证已经得到确认的指示以及作为认证的证据的令牌一起发送342给用户设备。用户设备然后将令牌发送343给第三方***。在确认了(例如,使用身份提供者的公钥)令牌确认对用户的认证之后,第三方***将用户登录到第三方账户。在一些实施例中,第三方***可以直接与身份提供者***交互。例如,当身份提供者对用户认证时,身份提供者可以将认证的证据直接提供给第三方***。第三方***可以然后完成第三方账户的创建。
图4是图示了一些实施例中的身份提供者的部件的框图。用户设备420经由通信通道440被连接到身份提供者410和第三方***430。通信通道可以是互联网。用户设备可以是智能电话、膝上型计算机、平板计算机、台式计算机、或其他计算设备。第三方***是计算***。身份提供者是计算***,并且可以包括建立账户部件411、认证部件412、访问部件413、建立第三方账户部件414、账户数据存储库415、以及用户数据存储库416。建立账户部件、认证部件、以及访问部件可以是身份提供者的传统部件。建立账户部件可以用于独立于任何第三方***建立关于身份提供者的账户。认证部件可以用于在给出用户证书的情况下对用户认证。访问部件可以允许第三方***访问身份提供者的信息。账户数据存储库存储(例如,在磁盘驱动器上)对身份提供者的账户信息(诸如用户证书、用户名、用户地址、用户人口统计信息、等等)。用户数据存储库存储对诸如图片、通信、文档等等的用户数据。建立第三方账户部件控制对身份提供者账户的建立使得用户能够使用用户证书来登录到第三方***。建立第三方账户部件提供集成同意用户体验使得不需要收集仅同意范围的单独的显示页面。
身份提供者、第三方***、以及用户设备的计算***可以包括中央处理单元、输入设备、输出设备(例如,显示设备和扬声器)、存储设备(例如,存储器和磁盘驱动器)、网络接口、图形处理单元、加速度计、蜂窝无线电链接接口、全球定位***设备、等等。计算***可以包括数据中心的服务器、大规模并行***、等等。计算***可以访问包括计算机可读存储介质和数据传输介质的计算机可读介质。计算机可读存储介质是不包括瞬态的传播信号的有形存储装置。计算机可读存储介质的示例包括诸如主存储器、高速缓存存储器、以及辅助存储器(例如,DVD)以及其他存储的存储器。计算机可读存储介质可以在其上记录了或可以被编码有实施集成同意***的计算机可执行指令或逻辑。数据传输介质用于经由瞬态的传播信号或经由有线或无线连接的载波(例如,电磁)传输数据。
集成同意***可以在计算机可执行指令的总体上下文中被描述,计算机可执行指令诸如为由一个或多个计算机、处理器、或其他设备执行的程序模块和部件。总体上,程序模块或部件包括例程、程序、对象、数据结构、等等,其执行任务或实现数据类型。通常,程序模块的功能可以在各种实施例中根据期望来组合或分布。集成同意***的各方面可以使用例如专用集成电路(ASIC)被实施在硬件中。
图5是图示了一些实施例中的集成同意***的第三方部件的建立账户的处理的流程图。针对第三方部件500的建立账户协同由身份提供者对用户证书的建立以用于在对访问第三方***的用户认证中使用。在框501中,部件接收建立用于使用户登录到第三方***的用户证书的请求。在框502中,部件生成不仅收集创建身份提供者账户需要的信息而且收集同意范围的集成显示页面。在框503中,部件将集成显示页面发送到用户设备。在框504中,部件接收创建身份提供者账户需要的信息以及同意范围。在框505中,部件建立用户证书,记录同意范围的指示,并将它们与新创建的身份提供者账户相关联。在框506中,部件通过用户设备将用户证书已经被建立的通知发送到第三方***或者直接将其发送到第三方***。部件然后完成。
以下段落描述集成同意***的各方面的各种实施例。集成同意***的实施方式可以采用这些实施例的任何组合。下面描述的处理可以由具有运行存储在计算机可读存储介质上的实施集成同意***的计算机可执行指令的处理器的计算设备执行。
在一些实施例中,提供了一种由计算***执行的用于向身份提供者创建针对用户的账户的方法。该方法包括接收用以向身份提供者创建用于在登录到第三方***中使用的身份提供者账户的请求。该方法生成用于提供集成同意用户体验的一个或多个显示页面,一个或多个显示页面包括用于收集一些新账户信息和用于同意与第三方***共享账户信息的同意范围信息两者的一个或多个显示页面中的至少一个显示页面。在用户提供包括针对身份提供者账户的用户证书和用以与第三方***共享身份提供者账户的账户信息的同意范围的新账户信息之后,该方法针对用户创建身份提供者账户并且记录同意范围的指示。当用户随后使用针对身份提供者账户的用户证书登录到第三方***时,第三方***基于用户已经提供同意范围来访问身份提供者账户的账户信息。在一些实施例中,请求基于用户在显示页面上选择用于创建由第三方***提供的身份提供者账户的创建账户指示符而从用户的设备被接收。在一些实施例中,用于收集身份提供者的一些新账户信息和同意范围信息两者的显示页面包括可选择指示符,可选择指示符用以指示一些新账户信息已经被提供并且用以指示同意范围。在一些实施例中,同意范围包括用以共享尚未被创建的账户信息的前瞻性同意。在一些实施例中在创建身份提供者账户之后,该方法将第三方***的显示页面引导为被显示在用户的设备上,其中第三方***基于身份提供者账户的用户证书创建针对用户的第三方账户。在一些实施例中,将显示页面引导为被显示包括向第三方***提供身份提供者账户的账户信息。在一些实施例中,第三方***维持针对用户的第三方账户,第三方账户使用身份提供者账户的用户证书可访问。
在一些实施例中,提供了一种用于向身份提供者创建身份提供者账户的计算***。计算***包括存储计算机可执行指令的计算机可读存储介质,处理器适于执行存储在计算机可读存储介质中的计算机可执行指令。用于控制计算***接收用户已经请求使用身份提供者的身份提供者账户的证书来向第三方***创建第三方账户的指示的指令,其中身份提供者账户尚未被创建。用于控制计算***生成用于利用所述第三方***收集针对身份提供者账户的新账户信息并且收集身份提供者账户的同意范围信息两者的显示页面,以避免生成用于收集仅同意范围信息的分离的显示页面的指令。用于控制计算***向用户的设备发送显示页面的指令。用于控制计算***从用户的设备接收经由显示页面输入的新账户信息和同意范围信息。新账户信息包括创建身份提供者账户需要的用户证书。用于控制计算***针对用户创建身份提供者账户并记录同意范围信息的指示的指令。用于控制计算***向第三方***提供已经创建了身份提供者账户的通知的通知。在一些实施例中,第三方***响应于接收到通知创建第三方账户,第三方账户使用身份提供者账户的用户证书而被登录。在一些实施例中,通知包括一些新账户信息。在一些实施例中,多个显示页面被生成以收集新账户信息。在一些实施例中,同意范围信息包括用以共享资源的账户信息的前瞻性同意,用户尚未针对资源注册。在一些实施例中,显示页面列出要被与第三方***共享的信息的类型。在一些实施例中,指示基于用户在由第三方***提供的显示页面上选择创建账户指示符而从用户的设备被接收。在一些实施例中,显示页面包括可选择指示符,可选择指示符指示新账户信息和同意范围信息要由用户提供。
在一些实施例中,提供了一种计算机可读存储介质,其存储用于控制计算***建立关于身份提供者的用户证书的计算机可执行指令。用于控制计算***接收建立针对用户的用户证书的请求使得身份提供者能够代表第三方***对用户认证的指令。用于控制计算***生成用于建立用户证书的集成显示页面的指令。集成显示页面用于收集建立用户证书需要的信息以及收集用于与第三方***共享与用户证书相关联的信息的同意范围信息两者。用于控制计算***发送集成显示页面并基于用户与集成显示页面的交互来接收信息的指令。用于控制计算***在接收建立用户证书需要的信息和同意范围信息之后建立用户证书的指令。用于控制计算***向第三方***提供用户证书已经针对用户而被建立的通知的指令。与用户证书相关联的同意范围信息未被提供在仅用于获取同意范围信息的显示页面上。在一些实施例中,用户随后使用用户证书登录到第三方***,并且第三方***基于同意范围信息来访问与用户证书相关联的信息。在一些实施例中,请求基于用户在由第三方***提供的显示页面上选择创建身份提供者账户指示符而被接收。在一些实施例中,集成显示页面包括可选择指示符,可选择指示符用以指示建立用户证书需要的信息和同意范围信息正被提供。在一些实施例中,同意范围信息包括共享尚未被创建的信息的前瞻性同意。
尽管已经以对结构特征和/或动作特定的语言描述了本主题,但是应理解在权利要求中限定的主题不必限于以上描述的特定特征或动作。相反,以上描述的特定特征和动作被公开为实施权利要求的示例形式。因此,除了随附权利要求之外,本发明不受限制。
Claims (15)
1.一种由计算***执行的用于向身份提供者创建针对用户的账户的方法,所述方法包括:
接收用以向所述身份提供者创建用于在登录到第三方***中使用的身份提供者账户的请求;
生成用于提供集成同意用户体验的一个或多个显示页面,所述一个或多个显示页面包括用于收集一些新账户信息和用于同意与所述第三方***共享账户信息的同意范围信息两者的所述一个或多个显示页面中的至少一个显示页面;以及
在所述用户提供包括针对所述身份提供者账户的用户证书和用以与所述第三方***共享所述身份提供者账户的账户信息的同意范围的所述新账户信息之后,针对所述用户创建所述身份提供者账户并且记录所述同意范围的指示,
其中所述用户随后使用针对所述身份提供者账户的所述用户证书登录到所述第三方***,并且所述第三方***基于所述用户已经提供所述同意范围来访问所述身份提供者账户的账户信息。
2.根据权利要求1所述的方法,其中所述请求基于所述用户在显示页面上选择用于创建由所述第三方***提供的身份提供者账户的创建账户指示符而从所述用户的设备被接收。
3.根据权利要求1所述的方法,其中用于收集所述身份提供者的一些新账户信息和同意范围信息两者的显示页面包括可选择指示符,所述可选择指示符用以指示所述一些新账户信息已经被提供并且用以指示所述同意范围。
4.根据权利要求1所述的方法,其中所述同意范围包括用以共享尚未被创建的账户信息的前瞻性同意。
5.根据权利要求1所述的方法,还包括在创建所述身份提供者账户之后,将所述第三方***的显示页面引导为被显示在所述用户的设备上,其中所述第三方***基于所述身份提供者账户的所述用户证书创建针对所述用户的第三方账户。
6.根据权利要求1所述的方法,其中所述第三方***维持针对所述用户的第三方账户,所述第三方账户使用所述身份提供者账户的所述用户证书可访问。
7.一种用于向身份提供者创建身份提供者账户的计算***,所述计算***包括:
计算机可读存储介质,其存储计算机可执行指令,所述计算机可执行指令用于控制所述计算***以:
接收用户已经请求使用所述身份提供者的身份提供者账户的证书来向第三方***创建第三方账户的指示,其中所述身份提供者账户尚未被创建;
生成用于利用所述第三方***收集针对所述身份提供者账户的新账户信息并且收集所述身份提供者账户的同意范围信息两者的显示页面,以避免生成用于收集仅所述同意范围信息的分离的显示页面;
向所述用户的设备发送所述显示页面;
经由所述显示页面从所述用户的所述设备接收所述新账户信息和所述同意范围信息,所述新账户信息包括创建所述身份提供者账户需要的用户证书;
针对所述用户创建所述身份提供者账户;
记录所述同意范围信息的指示;以及
向所述第三方***提供所述身份提供者账户已经被创建的通知;以及
处理器,其适于执行被存储在所述计算机可读存储介质中的所述计算机可执行指令。
8.根据权利要求7所述的计算***,其中所述第三方***响应于接收到所述通知创建所述第三方账户,所述第三方账户使用所述身份提供者账户的所述用户证书而被登录。
9.根据权利要求7所述的计算***,其中所述同意范围信息包括用以共享资源的账户信息的前瞻性同意,所述用户尚未针对所述资源注册。
10.根据权利要求7所述的计算***,其中所述显示页面列出要被与所述第三方***共享的信息的类型。
11.根据权利要求7所述的计算***,其中所述指示基于所述用户在由所述第三方***提供的显示页面上选择创建账户指示符而从所述用户的设备被接收。
12.一种计算机可读存储介质,其存储用于控制计算***以向身份提供者建立用户证书的计算机可执行指令,所述计算机可读存储介质存储计算机可执行指令,所述计算机可执行指令用以:
接收用以建立针对用户的用户证书的请求,从而使得所述身份提供者能够代表第三方***对所述用户认证;
生成用于建立所述用户证书的集成显示页面,所述集成显示页面用于收集建立所述用户证书需要的信息以及收集用于与所述第三方***共享与所述用户证书相关联的信息的同意范围信息两者;
发送所述集成显示页面;
基于所述用户与所述集成显示页面交互来接收信息;
在接收建立所述用户证书需要的所述信息和所述同意范围信息之后,建立所述用户证书;以及
向所述第三方***提供所述用户证书已经针对所述用户而被建立的通知,
其中与所述用户证书相关联的所述同意范围信息未被提供在仅用于获取所述同意范围信息的显示页面上。
13.根据权利要求12所述的计算机可读存储介质,其中所述用户随后使用所述用户证书登录到所述第三方***,并且所述第三方***基于所述同意范围信息来访问与所述用户证书相关联的信息。
14.根据权利要求12所述的计算机可读存储介质,其中所述请求基于所述用户在由所述第三方***提供的显示页面上选择创建身份提供者账户指示符而被接收。
15.根据权利要求12所述的计算机可读存储介质,其中所述集成显示页面包括可选择指示符,所述可选择指示符用以指示建立所述用户证书需要的信息和同意范围信息正被提供。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/375,034 US10397199B2 (en) | 2016-12-09 | 2016-12-09 | Integrated consent system |
| US15/375,034 | 2016-12-09 | ||
| PCT/US2017/064790 WO2018106743A1 (en) | 2016-12-09 | 2017-12-06 | Integrated consent system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110036387A true CN110036387A (zh) | 2019-07-19 |
Family
ID=60782384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780075479.7A Pending CN110036387A (zh) | 2016-12-09 | 2017-12-06 | 集成同意*** |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10397199B2 (zh) |
| EP (1) | EP3552135B1 (zh) |
| CN (1) | CN110036387A (zh) |
| WO (1) | WO2018106743A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6250595B2 (ja) * | 2015-07-01 | 2017-12-20 | e−Janネットワークス株式会社 | 通信システム及びプログラム |
| CN106130881B (zh) * | 2016-07-07 | 2019-10-22 | 腾讯科技(深圳)有限公司 | 一种帐号登录方法及装置 |
| US11025436B2 (en) * | 2017-03-01 | 2021-06-01 | Banco Bilbao Vizcaya Argentaria, S.A. | Self-authenticating digital identity |
| US10158982B2 (en) | 2017-04-25 | 2018-12-18 | Vmware, Inc. | Message-based management service enrollment |
| US10742651B2 (en) * | 2017-09-07 | 2020-08-11 | The Toronto-Dominion Bank | Digital identity network interface system |
| US10715610B2 (en) * | 2017-12-15 | 2020-07-14 | Slack Technologies, Inc. | System, method, and apparatus for generating a third party resource usage map in a group based communication system |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010037451A1 (en) * | 2000-03-06 | 2001-11-01 | Bhagavatula Ravishankar S. | Centralized identity authentication for electronic communication networks |
| US20030149781A1 (en) * | 2001-12-04 | 2003-08-07 | Peter Yared | Distributed network identity |
| US20040128558A1 (en) * | 2002-12-31 | 2004-07-01 | Barrett Michael Richard | Method and system for transmitting authentication context information |
| EP1569405A1 (en) * | 2004-02-27 | 2005-08-31 | Telefonaktiebolaget LM Ericsson (publ) | Technique for creation and linking of communications network user accounts |
| CN101006680A (zh) * | 2004-06-24 | 2007-07-25 | 诺基亚公司 | 向服务提供者认证用户的***和方法 |
| CN102067145A (zh) * | 2008-06-18 | 2011-05-18 | 微软公司 | 通过独立端点解析来获得数字身份或令牌 |
| CN102801808A (zh) * | 2012-07-30 | 2012-11-28 | 武汉理工大学 | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 |
| US20120311663A1 (en) * | 2010-02-05 | 2012-12-06 | Nokia Siemens Networks Oy | Identity management |
| US20130086645A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Oauth framework |
| WO2013121476A1 (ja) * | 2012-02-17 | 2013-08-22 | 株式会社 東芝 | 認証連携システム、idプロバイダ装置およびプログラム |
| US20140173754A1 (en) * | 2012-12-18 | 2014-06-19 | Bank Of America Corporation | Identity Attribute Exchange and Validation Broker |
| US9098675B1 (en) * | 2012-09-13 | 2015-08-04 | Amazon Technologies, Inc. | Authorized delegation of permissions |
| US9203829B1 (en) * | 2012-07-18 | 2015-12-01 | Google Inc. | Unified user login |
| CN105659641A (zh) * | 2013-08-09 | 2016-06-08 | 贝宝公司 | 使用功能电话进行账户创建的***和方法 |
| CN105830388A (zh) * | 2013-11-11 | 2016-08-03 | 亚马逊技术有限公司 | 用于管理目录服务的身份池桥接 |
| US9466051B1 (en) * | 2013-02-06 | 2016-10-11 | Amazon Technologies, Inc. | Funding access in a distributed electronic environment |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL150728A0 (en) | 2000-01-14 | 2003-02-12 | Catavault | Method and system for secure registration, storage, management and linkage of personal authentication credentials data over a network |
| US7590705B2 (en) | 2004-02-23 | 2009-09-15 | Microsoft Corporation | Profile and consent accrual |
| US7631346B2 (en) * | 2005-04-01 | 2009-12-08 | International Business Machines Corporation | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment |
| US20070101145A1 (en) * | 2005-10-31 | 2007-05-03 | Axalto Inc. | Framework for obtaining cryptographically signed consent |
| US20100071046A1 (en) | 2008-09-17 | 2010-03-18 | Yahoo! Inc. | Method and System for Enabling Access to a Web Service Provider Through Login Based Badges Embedded in a Third Party Site |
| JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
| US20120290445A1 (en) * | 2011-05-09 | 2012-11-15 | Microsoft Corporation | Delegated application authorization with inline purchase |
| EP2759123B1 (en) | 2011-09-21 | 2018-08-15 | Twilio, Inc. | System and method for authorizing and connecting application developers and users |
| US8682698B2 (en) * | 2011-11-16 | 2014-03-25 | Hartford Fire Insurance Company | System and method for secure self registration with an insurance portal |
| US9043870B1 (en) | 2011-12-16 | 2015-05-26 | Google Inc. | Automated sign up based on existing online identity |
| US8819795B2 (en) * | 2012-02-01 | 2014-08-26 | Amazon Technologies, Inc. | Presenting managed security credentials to network sites |
| SG11201502282QA (en) * | 2012-09-26 | 2015-05-28 | Toshiba Kk | Policy management system, id provider system, and policy evaluation device |
| US9197643B2 (en) * | 2013-07-22 | 2015-11-24 | Bank Of America Corporation | Application and permission integration |
| US20150121462A1 (en) * | 2013-10-24 | 2015-04-30 | Google Inc. | Identity application programming interface |
| US20160065552A1 (en) * | 2014-08-28 | 2016-03-03 | Drfirst.Com, Inc. | Method and system for interoperable identity and interoperable credentials |
| EP3910515A1 (en) | 2014-10-02 | 2021-11-17 | Trunomi Ltd. | Systems and methods for context-based permissioning of personally identifiable information |
| US9948630B2 (en) * | 2015-06-30 | 2018-04-17 | United States Postal Service | System and method of providing identity verification services |
-
2016
- 2016-12-09 US US15/375,034 patent/US10397199B2/en active Active
-
2017
- 2017-12-06 EP EP17818396.8A patent/EP3552135B1/en active Active
- 2017-12-06 CN CN201780075479.7A patent/CN110036387A/zh active Pending
- 2017-12-06 WO PCT/US2017/064790 patent/WO2018106743A1/en unknown
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010037451A1 (en) * | 2000-03-06 | 2001-11-01 | Bhagavatula Ravishankar S. | Centralized identity authentication for electronic communication networks |
| US20030149781A1 (en) * | 2001-12-04 | 2003-08-07 | Peter Yared | Distributed network identity |
| US20040128558A1 (en) * | 2002-12-31 | 2004-07-01 | Barrett Michael Richard | Method and system for transmitting authentication context information |
| EP1569405A1 (en) * | 2004-02-27 | 2005-08-31 | Telefonaktiebolaget LM Ericsson (publ) | Technique for creation and linking of communications network user accounts |
| CN101006680A (zh) * | 2004-06-24 | 2007-07-25 | 诺基亚公司 | 向服务提供者认证用户的***和方法 |
| CN102067145A (zh) * | 2008-06-18 | 2011-05-18 | 微软公司 | 通过独立端点解析来获得数字身份或令牌 |
| US20120311663A1 (en) * | 2010-02-05 | 2012-12-06 | Nokia Siemens Networks Oy | Identity management |
| US20130086645A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Oauth framework |
| WO2013121476A1 (ja) * | 2012-02-17 | 2013-08-22 | 株式会社 東芝 | 認証連携システム、idプロバイダ装置およびプログラム |
| US9203829B1 (en) * | 2012-07-18 | 2015-12-01 | Google Inc. | Unified user login |
| CN102801808A (zh) * | 2012-07-30 | 2012-11-28 | 武汉理工大学 | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 |
| US9098675B1 (en) * | 2012-09-13 | 2015-08-04 | Amazon Technologies, Inc. | Authorized delegation of permissions |
| US20140173754A1 (en) * | 2012-12-18 | 2014-06-19 | Bank Of America Corporation | Identity Attribute Exchange and Validation Broker |
| US9466051B1 (en) * | 2013-02-06 | 2016-10-11 | Amazon Technologies, Inc. | Funding access in a distributed electronic environment |
| CN105659641A (zh) * | 2013-08-09 | 2016-06-08 | 贝宝公司 | 使用功能电话进行账户创建的***和方法 |
| CN105830388A (zh) * | 2013-11-11 | 2016-08-03 | 亚马逊技术有限公司 | 用于管理目录服务的身份池桥接 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180167371A1 (en) | 2018-06-14 |
| EP3552135B1 (en) | 2021-04-21 |
| WO2018106743A1 (en) | 2018-06-14 |
| EP3552135A1 (en) | 2019-10-16 |
| US10397199B2 (en) | 2019-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110036387A (zh) | 集成同意*** | |
| EP2915310B1 (en) | Method of processing requests for digital services | |
| US7010582B1 (en) | Systems and methods providing interactions between multiple servers and an end use device | |
| US20150200928A1 (en) | Techniques for secure access management in virtual environments | |
| US8973123B2 (en) | Multifactor authentication | |
| CN109286633A (zh) | 单点登陆方法、装置、计算机设备及存储介质 | |
| US20150135257A1 (en) | Single set of credentials for accessing multiple computing resource services | |
| US10110587B2 (en) | Entity to authorize delegation of permissions | |
| US10009328B2 (en) | System, apparatus and method for providing privacy preserving interaction with a computing system | |
| US9313257B2 (en) | Method for starting a client program | |
| US9659180B2 (en) | Personalized website theme | |
| WO2013066766A1 (en) | Enterprise social media management platform with single sign-on | |
| US11936639B2 (en) | Using client certificates to communicate trusted information | |
| US11870902B2 (en) | Authenticating a messaging program session | |
| US10692087B2 (en) | Electronic financial service risk evaluation | |
| CN112543169A (zh) | 一种认证方法、装置、终端及计算机可读存储介质 | |
| CN110069909A (zh) | 一种免密登录第三方***的方法及装置 | |
| US11770418B2 (en) | Methods, systems, and apparatus for credential format and protocol management | |
| US9830436B1 (en) | Managing authenticated user access to public content | |
| US10911404B1 (en) | Attribute based authorization | |
| Riti et al. | Identity and Access Management with Google Cloud Platform | |
| US11061969B1 (en) | Instance backed mobile devices with multiple instances | |
| CN116405572A (zh) | 云浏览器访问方法、设备、***及存储介质 | |
| CN101601022A (zh) | 数字身份表示的供应 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |