CN115021991A - 未经管理的移动设备的单点登录 - Google Patents
未经管理的移动设备的单点登录 Download PDFInfo
- Publication number
- CN115021991A CN115021991A CN202210583537.XA CN202210583537A CN115021991A CN 115021991 A CN115021991 A CN 115021991A CN 202210583537 A CN202210583537 A CN 202210583537A CN 115021991 A CN115021991 A CN 115021991A
- Authority
- CN
- China
- Prior art keywords
- client application
- service provider
- application
- identity
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims abstract description 39
- 238000000034 method Methods 0.000 claims description 49
- 230000008569 process Effects 0.000 claims description 19
- 238000012546 transfer Methods 0.000 claims description 9
- 230000007774 longterm Effects 0.000 claims description 8
- 238000013507 mapping Methods 0.000 claims 3
- 230000006855 networking Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000000926 separation method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000011218 segmentation Effects 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Power Engineering (AREA)
Abstract
本申请涉及未经管理的移动设备的单点登录。公开了用于为可被管理或不可被管理的移动设备提供单点登录体验的各种示例。服务提供商从在客户端设备中执行的第一客户端应用程序接收访问请求。所述服务提供商使用将所述访问请求重定向到身份提供商的重定向响应,使所述第一客户端应用程序从在客户端设备中执行的第二客户端应用程序请求认证令牌。所述服务提供商从所述第一客户端应用程序接收所述认证令牌。然后所述服务提供商响应于验证所述认证令牌而认证所述第一客户端应用程序。
Description
分案申请信息
本发明专利申请是申请日为2016年6月14日、申请号为2016800324629、发明名称为“未经管理的移动设备的单点登录”的发明专利申请案的分案申请。
相关申请交叉引用
本申请要求于2015年6月15日提交的申请号为14/739,983、题为“未经管理的移动设备的单点登录(SINGLE SIGN-ON FOR UNMANAGED MOBILE DEVICES)”的美国非临时专利申请的权益,其全部内容通过引用并入本文中。
本申请涉及于2015年6月15日提交的申请号为14/739,975、题为“经管理的移动设备的单点登录(SINGLE SIGN-ON FOR MANAGED MOBILE DEVICES)”、代理人案号为W205.01的美国专利申请;涉及于2015年6月15日提交的申请号为14/739,980、题为“经管理的移动设备的单点登录(SINGLE SIGN-ON FOR MANAGED MOBILE DEVICES)”、代理人案号为W205.02的美国专利申请;以及涉及于2015年6月15日提交的申请号为14/739,972、题为“未经管理的移动设备的单点登录(SINGLE SIGN-ON FOR UNMANAGED MOBILE DEVICES)”、代理人案号为W204.02的美国专利申请。
背景技术
用户可能拥有许多不同的账户,用于多种应用程序和服务。应用程序和服务的示例可以包括社交网络服务、文件共享服务、电子邮件服务、语音通信服务、办公生产力服务、任务跟踪服务等等。用户可能必须建立相应的用户名和密码以对每个账户进行认证。在涉及众多账户的情况下,这变成困难和不方便的实践。因此,用户可以设置较短或易于记忆的弱密码、在多个账户之间共享密码、使用第三方密码管理器,或从事可能被认为不安全的其他实践。另外,如果应用程序需要多因素验证,用户需要为每个应用程序提供每个因素,这可能会令人沮丧。
作为这个问题的解决方法,身份联合(identity federation)的概念应运而生。在身份联合下,用户使用联合身份提供商建立一个账户。为此,用户指定单一的一组安全凭证(credential)。然后,联合账户链接到其他组织提供的大量应用程序和服务。当用户试图***到联合账户的应用程序和服务时,用户可以简单地提供联合账户的单个用户名、密码或其他凭证用于验证。以类似的方式,诸如企业的组织可以使用诸如微软公司(MICROSOFT CORPORATION)的活动目录(ACTIVE DIRECTORY)之类的目录服务,以便为组织的多个应用程序和服务中的每一个提供单一的登录。
尽管有身份联合的可用性,终端用户体验可能仍然是不理想的。即使假设用户能够针对多个应用程序和服务使用单个联合账户,也可能要求用户单独输入联合账户凭证。例如,假设用户使用由同样是联合身份提供商的社交网络服务提供商提供的社交网络应用程序登录。随后,用户可能想要使用链接到联合身份提供商的文件共享应用程序。然后,用户可能必须提供先前为社交网络应用程序输入的相同的用户名和密码。为每个应用程序和服务重复输入这些安全凭证可能会使用户感到沮丧。
附图说明
参照以下附图可以更好地理解本公开的许多方面。附图中的组件不一定按比例绘制,而是着重于清楚地示出本公开的原理。此外,在附图中,贯穿若干视图,相似的参考标号指示相应的部分。
图1是示出了本公开的示例场景的图。
图2是根据本公开的各个示例的联网环境的图。
图3是根据本公开的各个示例的示出示例组件交互的序列图。
图4-7是根据本公开的各个示例的示出功能示例的流程图。
具体实施方式
本公开涉及为移动设备的用户提供单点登录体验。采用单点登录体验,用户可以为账户输入单一的一组安全凭证,并且一旦认证,用户能够***到该账户的多个不同应用程序和服务。当要求用户提供知识、财物或生物认证因素的组合时,也可以采用多因素认证。如本文所构想的,术语“单点登录(single sign-on)”可以包括由于会话超时、不活动时段、可疑活动或可能导致用户认证被怀疑的其他事件而需要用户重新输入安全凭证的情况。
在网页浏览器的情况下,可以通过信息记录程序(cookie)方式启用单点登录体验。响应于用户使用联合身份提供商登录,可以将信息记录程序存储在包含指示认证的令牌(token)的用户设备上。当用户稍后通过联合身份提供商访问另一个支持验证的网站时,会显示信息记录程序,且令牌可被交换为网站特定的令牌。因此,用户不必再次登录以访问网站。
然而,来自浏览器上下文的单点登录设计范例在移动应用程序的上下文中不起作用。尽管移动应用程序可以调用网页视图,但移动应用程序通常是容器化的(containerized)。例如,容器化的应用程序的信息记录程序不能被其他容器化的应用程序使用。即使假设用户通过第一移动应用程序登录到联合账户,指示成功认证的信息记录程序和应用程序令牌也不会可用于第二移动应用程序,因为它们可以具有单独的容器。如将要描述的,本公开的各种实现方式辅助(facilitate)移动应用程序和体现该容器限制的其他应用程序内的单点登录。此外,根据本公开,为了实现单点登录而为每个应用程序使用特定软件开发工具包(software development kit,SDK)的要求可被提供为不是必须的。
具体而言,在本公开中公开了这样的示例,其为不一定受管理服务管理的移动应用程序使能单点登录体验。一旦用户通过特定认证应用程序登录,即使客户端应用程序由不同的发布者或开发商发布,多个客户端应用程序也可以利用该单点登录来认证多个不同的服务提供商。
图1示出了根据本公开的单点登录体验的示例性场景100。首先,在101,用户可以通过特定的单点登录应用程序登录。可以呈现(render)用户界面,其请求来自用户的用户名、密码和/或其他认证因素。用户通过登录按钮或其他用户界面组件提交表单。在102,单点登录应用程序指示登录成功。随后,用户能够在103的社交网络应用程序、104的电子邮件应用程序、105的文件共享应用程序以及可能的其他应用程序内认证他或她的身份,而不必提供安全凭证。
参照图2,示出了根据各个示例的联网环境200。联网环境200包括可以通过网络212彼此进行数据通信的客户端设备203、身份提供商206和多个服务提供商209a...209N。网络212包括例如因特网、一个或更多内联网、外联网、广域网(WAN)、局域网(LAN)、有线网络、无线网络、其他合适的网络,或者两个或更多这样的网络的任何组合。例如,网络可以包括卫星网络、线缆网络、以太网和其他类型的网络。
身份提供商206和服务提供商209可以包括例如服务器计算机或提供计算能力的任何其他***。或者,身份提供商206和服务提供商209可以使用例如可以布置在一个或更多服务器库(bank)、计算机库或其他布置中的多个计算设备。计算设备可以位于单个安装中,或者可以分布在许多不同的地理位置中。例如,身份提供商206和服务提供商209可以包括共同形成托管计算资源、网格计算资源或任何其他分布式计算布置的多个计算设备。在一些情况下,身份提供商206和服务提供商209可以作为弹性计算资源的至少一部分进行操作,其中对处理、网络、存储或其他计算相关资源的分配容量可随时间变化。身份提供商206和服务提供商209还可以包括或操作为一个或更多虚拟化计算机实例。通常,身份提供商206和服务提供商209可以根据特定的安全协议来操作,使得它们被认为是受信的计算环境。
身份提供商206可以代表服务提供商209提供联合身份服务。为此,身份提供商206可以与存储与用户身份相关联的信息的身份数据存储215进行通信。该信息可以包括例如用户名、安全凭证、生物测定身份信息、授权客户端应用程序、未授权客户端应用程序、授权客户端设备203、未授权客户端设备203等等。如将要描述的,用户能够通过身份提供商206进行认证,以便访问由多个服务提供商209提供的服务。
每个服务提供商209为客户端应用程序提供对应的服务。这些服务可以包括例如社交网络服务、电子邮件服务、语音通信服务、企业信息管理服务、生产力服务、游戏服务等等。在一些示例中,服务提供商209中的一个或更多可以与身份提供商206分开认证用户,由此给予用户直接登录身份提供商206或服务提供商209的选项。
服务提供商209和身份提供商206可以通过网络212,经由超文本传输协议(hypertext transfer protocol,HTTP)、简单对象访问协议(simple object accessprotocol,SOAP)、代表性状态传输(representational state transfer,REST)和/或其他协议与客户端设备203进行通信。
客户端设备203可以表示可以以台式计算机、膝上型计算机、个人数字助理、蜂窝电话、智能电话、机顶盒、音乐播放器、联网板、平板电脑***、游戏机、电子书阅读器或具有类似能力的任何其他设备的形式具体化的基于处理器的***,诸如计算机***。客户端设备203可以包括显示器218,其例如包括诸如液晶显示(LCD)显示器或其他类型的显示设备之类的一个或更多设备。客户端设备203还可以配备有联网能力或联网接口,包括诸如NFC能力、RFID读取和/或写入能力、麦克风和/或扬声器的局域联网或通信能力,或其他局域通信能力。
客户端设备203可以执行各种应用程序,诸如认证应用程序221、多个客户端应用程序224a...224N以及其他应用程序、服务或过程。认证应用程序221可以接收来自用户的安全凭证并且向身份提供商206进行认证。一旦向身份提供商206进行了认证,认证应用程序221就能够从身份提供商206请求身份断言(identity assertion),以便如将要描述的那样,通过相应的服务提供商209来认证客户端应用程序224。
例如,采用安全断言标记语言(security assertion markup language,SAML)的身份断言包含服务提供商209用来访问控制决定的安全信息分组。SAML支持三种类型的语句:认证语句、属性语句和授权决定语句。认证语句向服务提供商209断言,客户端设备203在特定的时间使用特定的认证方法向身份提供商206进行认证。属性语句断言客户端设备203与某些属性相关联。授权决定语句断言客户端应用程序224被允许对由服务提供商209提供的资源执行某动作。可以采用可扩展访问控制标记语言(Extensible access controlmarkup language,XACML)和/或其他语言。
客户端应用程序224对应于被用来访问由服务提供商209提供的服务的各种应用程序。客户端应用程序224可以包括网页查看组件,由此,客户端应用程序224通过超文本传输协议(HTTP)请求和响应与服务提供商209交互以获得网络内容。然而,与用于访问各种基于网页的应用程序的浏览器不同,一个或更多客户端应用程序224可以是容器化的应用程序。采用容器化的应用程序,通过一个客户端应用程序224设置的信息记录程序不能被另一个客户端应用程序224访问。客户端应用程序224和认证应用程序221可以在显示器218上单独呈现各自的用户界面227。
现在转到图3,示出了说明客户端应用程序224、认证应用程序221、服务提供商209和身份提供商206之间的交互的一个示例的序列图300。归因于客户端应用程序224、认证应用程序221、服务提供商209和身份提供商206的每一个的功能可以在单个进程或应用程序中或在多个进程或应用程序中实现。仅出于说明的目的而呈现如本文讨论的功能的分离或分割。
在步骤303,客户端应用程序224向服务提供商209发送访问请求。在步骤306,服务提供商209将客户端应用程序224进行重定向,以从身份提供商206请求身份断言。在步骤307,请求被身份提供商206重定向到认证应用程序221。在各种情况下,身份提供商206知道认证应用程序221,但是服务提供商209不知道认证应用程序221。在步骤309,对身份断言的请求被重定向到认证应用程序221。
在步骤312中,认证应用程序221在显示器228上渲染用户界面227。用户界面227从用户请求一个或更多安全凭证。在步骤315,认证应用程序221从用户接收安全凭证。一旦接收到安全凭证,认证应用程序221在步骤318从身份提供商206请求身份断言。在客户端应用程序224的后续访问中,认证应用程序221可以简单地使用长期有效的、经存储的凭证而不是用户提供的凭证,以便向身份提供商206进行认证。
在步骤321,身份提供商206使用用户提供的安全凭证或注册凭证(诸如长期令牌或密码)来认证该认证应用程序221。在步骤324,身份提供商206生成所请求的身份断言,假定客户端应用程序224将被允许使用联合身份访问服务提供商209。在步骤327,身份提供商206将身份断言发送到认证应用程序221。在步骤330,认证应用程序221将身份断言提供给客户端应用程序224。
在步骤333,客户端应用程序224将身份断言发送到服务提供商209。然后在步骤336服务提供商209验证身份断言。在步骤339,服务提供商209用客户端应用程序设置会话信息记录程序,其中会话信息记录程序包括会话令牌,该会话令牌允许客户端应用程序224访问由服务提供商209提供的资源。随后,客户端应用程序224可以简单地呈现会话令牌以访问受保护的资源,而不需要来自用户的明确的登录。此外,假设认证应用程序221的注册凭证保持有效且未到期,其他客户端应用程序224可以以图3所述的方式登录到服务提供商209,而不要求用户提供凭证。也就是说,当其他客户端应用程序224提交访问请求时,该流程可以跳过步骤312和315,并且可以依靠认证应用程序221来使用其注册凭证,以便向身份提供商206进行自我认证。因此,为用户提供单点登录体验。
现在转到图4,示出提供了提供单点登录体验的认证应用程序221的操作的一个示例的流程图。归因于认证应用程序221的功能可以在由客户端设备203执行的单个进程或应用程序中或者在多个进程或应用程序中实现。仅出于说明的目的而呈现如本文讨论的功能的分离或分割。
从步骤403开始,认证应用程序221接收对身份断言的请求。例如,用户可能已经请求访问客户端应用程序224的受保护功能。该请求可以通过本地统一资源定位符(uniformresource locator,URL)被接收,该URL可以为客户端应用程序224指定回调(callback)信息。回调信息指定认证应用程序221如何将身份断言传送回客户端应用程序224。
在步骤404,认证应用程序221确定用户是否已经被认证。如果用户还没有被认证,则认证应用程序221转到步骤406。在步骤406,认证应用程序221可以在显示器218上渲染用户界面227,其可以从用户引出(elicit)一个或更多安全凭证。这可以包括例如用户名、密码、一次性密码、生物标识等等。在步骤409,认证应用程序221通过用户界面227接收安全凭证。
在步骤412,认证应用程序221使用安全凭证向身份提供商206进行认证。如果提供了不正确的安全凭证,则身份提供商206可以向认证应用程序221返回错误,之后可以再次请求安全凭证或者该过程可以终止。
相反,如果在步骤404认证应用程序221确定用户已经被认证,则认证应用程序221直接从步骤404转移到步骤412,并且可以提供令牌来确认先前的认证。在一些情况下,身份提供商206可以向认证应用程序221颁发长期有效的令牌,以避免必须提供安全凭证。也就是说,在随后的认证期间,认证应用程序221可以简单地提供长期有效的令牌,以向身份提供商206识别其自身。
在步骤415,认证应用程序221从身份提供商206请求身份断言。该请求可以包括对客户端应用程序224和/或服务提供商209的识别,针对其请求对客户端应用程序224的认证。在步骤418,假定客户端应用程序224将被提供对服务提供商209的访问,则认证应用程序221从身份提供商206接收身份断言。如果客户端应用程序224不被提供访问,则认证应用程序221可以转而接收错误,而错误可以通过用户界面227呈现给用户。
在步骤421,认证应用程序221返回身份断言。例如,认证应用程序221可以使用与客户端应用程序224相对应的预定义方案名称来调用本地URL。在一些情况下,可以由本地URL中所包括的调用认证应用程序221的回调信息来确定该本地URL。身份断言可以对应于安全断言标记语言(SAML)。此后,该过程可以继续完成。
继续图5,示出了提供身份提供商206的操作的一个示例的流程图。归因于身份提供商206的功能可以在单个进程或应用程序中或者在多个进程或应用程序中实现。仅出于说明的目的而呈现如本文讨论的功能的分离或分割。
从步骤503开始,身份提供商206通过网络212从在客户端设备203中执行的认证应用程序221接收认证请求。认证请求可以包括一个或更多用户指定的安全凭证,或者可以包括先前颁发给认证应用程序221的注册凭证,例如令牌或密码。在步骤506,身份提供商206至少部分地基于来自身份数据存储215的数据来验证认证请求。例如,身份提供商206可以计算由用户提供的密码的散列,然后比较散列密码与在身份数据存储215中存储的散列密码。或者,身份提供商206可以验证注册令牌是真的。如果认证应用程序221的认证不成功,则身份提供商206可以向认证应用程序221返回错误。如果认证应用程序221的认证成功,则身份提供商206继续到步骤509。
在步骤509,身份提供商206从认证应用程序221接收身份断言请求。在一些情况下,认证应用程序221的认证请求可以体现在身份断言请求中。身份断言请求可以包括对客户端应用程序224和/或服务提供商209的识别,针对其请求客户端应用程序224已经请求了访问。或者,身份断言请求可以直接从客户端应用程序224接收,但是,如将要描述的,随后的通信通过认证应用程序221被引导(channel)。在步骤512,身份提供商206验证身份断言请求。例如,身份提供商206可以至少部分地基于来自身份数据存储215的存储数据来确认允许客户端应用程序224提供对服务提供商209的访问。
在步骤515,身份提供商206生成身份断言,该身份断言可以包括认证令牌。在步骤518,身份提供商206将身份断言返回给认证应用程序221。此后,该过程可以继续完成。
接下来参考图6,示出了提供服务提供商209的操作的一个示例的流程图。归因于服务提供商209的功能可以在单个进程或应用程序中或者在多个进程或应用程序中实现。仅出于说明的目的而呈现如本文讨论的功能的分离或分割。
从步骤603开始,服务提供商209从客户端应用程序224接收访问请求。然后,服务提供商209将该访问请求与使用身份提供商206进行认证相关。在步骤606,服务提供商209向客户端应用程序224发送重定向响应。这可以包括具有状态码302的超文本传输协议(HTTP)重定向响应。重定向响应可以将客户端应用程序224重定向到身份提供商206。然后,客户端应用程序224可以通过认证应用程序221与身份提供商206通信。重定向响应可以包括请求身份断言的安全断言标记语言(SAML)。
在步骤609,服务提供商209从客户端应用程序224接收身份断言。在步骤612,服务提供商209验证身份断言。例如,身份断言可以包括由身份提供商206生成的认证令牌,并且服务提供商209可以确认认证令牌是真的。
在步骤615,服务提供商209生成会话令牌。在步骤618,服务提供商209可以返回HTTP响应,该HTTP响应用客户端应用程序224设置包括会话令牌的会话信息记录程序。该信息记录程序可以由客户端应用程序224存储以供以后使用。在步骤621,服务提供商209至少部分地基于代表会话令牌的客户端应用程序224,向客户端应用程序224提供服务访问,该会话令牌被编码为统一资源定位符(URL)的查询字符串的一个或更多参数或编码在会话信息记录程序中。此后,该过程可以继续完成。
参照图7,示出了提供客户端应用程序224的操作的一个示例的流程图。归因于客户端应用程序224的功能可以在由客户端设备203执行的单个进程或应用程序中或在多个进程或应用程序中实现。本文中讨论的分离或分割功能仅用于说明的目的。
从步骤703开始,客户端应用程序224向服务提供商209发送访问请求。例如,用户可能已经启动了客户端应用程序224,或者可能以其他方式请求访问受保护功能,用户必须为之向服务提供商209登录。受保护功能可以包括本地功能和/或由服务提供商209提供的网络内容所使能的功能。在步骤706,客户端应用程序224接收来自服务提供商209的重定向响应,其将客户端应用程序224重定向到身份提供商206。例如,重定向响应可以对应于具有状态码302的超文本传输协议(HTTP)响应。重定向响应可以通过以安全断言标记语言(SAML)表达的请求而从身份提供商206请求身份断言。然后,身份提供商206可以将访问请求重定向到认证应用程序221。
在步骤709,客户端应用程序224被身份提供商206重定向,以从认证应用程序221请求身份断言。例如,该请求可以通过调用具有与认证应用程序221相对应的方案名称的本地统一资源定位符(URL)来发送。本地URL可以将请求编码在查询字符串中。为了说明,本地URL可以以“authapp://”开始,其中“authapp”是向客户端设备203注册以对应于认证应用程序221的预定义方案名称。在一些实现方式中,随机化唯一标识符被替代用来增强安全性。本地URL可以指定回调信息,其可以包括对应于客户端应用程序224的方案名称。该方案名称还可以对应于随机化的唯一标识符。回调信息可以允许认证应用程序221回调客户端应用程序224,以便返回所请求的身份断言。
在步骤712,客户端应用程序224从认证应用程序221接收身份断言。例如,可以通过使用编码身份断言的本地URL来接收身份断言。当调用本地URL时,在一些情况下,可以在显示器218上感知一些屏幕翻转(flipping)。屏幕翻转可能是由应用程序彼此调用或操作***不允许后台应用程序导致的。身份断言可以包括由身份提供商206生成的认证令牌。在步骤715,客户端应用程序224使用身份断言向服务提供商209进行认证。在一个场景中,身份提供商206可以将客户端应用程序224重定向到服务提供商209,以提供身份断言。
在步骤718,客户端应用程序224可以从服务提供商209接收会话令牌。会话令牌可以对应于OAuth令牌。例如,可以在信息记录程序中提供会话令牌,客户端应用程序224可以将会话令牌存储在其容器或数据存储中供以后检索。在步骤721,客户端应用程序224可随后在会话过程期间使用会话令牌向服务提供商209进行认证。在会话期间,客户端应用程序224能够从服务提供商209请求受保护的网络内容或者执行可能需要用户认证的其他动作。此后,该过程可以继续完成。
图4-7的流程图和图3的序列图示出了本文描述的组件的实现方式的功能和操作的示例。本文描述的组件可以具体化在硬件、软件或者硬件和软件的组合中。如果具体化在软件中,则每个元件可以表示包括用于实现一个或更多指定的逻辑功能的程序指令的代码模块或代码部分。程序指令可以以例如包括用编程语言编写的人类可读语句的源代码、或者包括可由合适的执行***(诸如计算机***或其他***中的处理器)识别的机器指令的机器代码的形式来具体化。如果具体化在硬件中,则每个元件可以表示实现一个或更多指定逻辑功能的电路或多个互连电路。
尽管流程图和序列图示出了特定的执行顺序,但是应该理解的是,执行顺序可以不同于所示顺序。例如,两个或更多元件的执行顺序可以相对于所示的顺序进行交换。此外,连续示出的两个或更多元件可以同时执行或部分同时执行。此外,在一些示例中,流程图中示出的一个或更多元件可以被跳过或省略。
客户端设备203、身份提供商206、服务提供商209或本文描述的其他组件可以包括至少一个处理电路。这样的处理电路可以包括例如一个或更多处理器以及耦合到本地接口的一个或更多存储设备。本地接口可以包括例如具有伴随地址/控制总线的数据总线或任何其他合适的总线结构。
用于处理电路的一个或更多存储设备可以存储可由处理电路的一个或更多处理器执行的数据或组件。例如,身份提供商206、服务提供商209、认证应用程序221、客户端应用程序224和/或其他组件可以存储在一个或更多存储设备中,并且可以由一个或更多处理器执行。而且,诸如数据存储121的数据存储可以被存储在一个或更多存储设备中。
本文描述的身份提供商206、服务提供商209、认证应用程序221、客户端应用程序224和/或其他组件可以以硬件形式具体化、具体化为可由硬件执行的软件组件、或者具体化为软件和硬件的组合。如果具体化为硬件,则本文描述的组件可以被实现为采用任何合适的硬件技术的电路或状态机。硬件技术可以包括例如一个或更多微处理器、具有用于在施加一个或更多数据信号时实现各种逻辑功能的逻辑门的分立逻辑电路、具有适当逻辑门的专用集成电路(application specific integrated circuits,ASIC)、可编程逻辑器件(例如现场可编程门阵列(field-programmable gate array,FPGA)和复杂可编程逻辑器件(complex programmable logic devices,CPLD))。
而且,本文描述的包括软件或程序指令的一个或更多组件可以具体化在任何非暂时性计算机可读介质中,以供指令执行***(诸如计算机***或其他***中的处理器)使用或与其结合使用。计算机可读媒介可以包含、存储和/或保持由指令执行***使用或与其结合使用的软件或程序指令。
计算机可读介质可以包括诸如磁、光、半导体和/或其他合适的介质的物理介质。合适的计算机可读介质的示例包括但不限于固态驱动器、磁驱动器或闪存。此外,本文描述的任何逻辑或组件可以以各种方式来实现和构造。例如,所描述的一个或更多组件可以被实现为单个应用程序的模块或组件。此外,本文描述的一个或更多组件可以在一个计算设备中执行或者通过使用多个计算设备来执行。
需要强调的是,本公开的上述示例仅仅是为了清楚地理解本公开的原理而阐述的实现方式示例。可以对上述示例做出许多变型和修改而本质上不会脱离本公开的精神和原理。所有这样的修改和变化旨在被包括在本公开的范围内。
Claims (38)
1.一种用于为客户端设备的用户向服务提供商提供单点登录体验的方法,其中所述客户端设备包括容器化的客户端应用程序和认证应用程序,并且所述客户端应用程序和所述认证应用程序分别在所述客户端设备上被执行,该方法包括:
从所述客户端应用程序向所述服务提供商发送访问请求;
由所述服务提供商重定向所述客户端应用程序以向所述身份提供商请求身份断言;
由所述身份提供商将对所述身份断言的所述请求重定向到所述认证应用程序,其中所述身份提供商知道所述认证应用程序,所述服务提供商不知道所述认证应用程序;
由所述客户端应用程序接收对所述身份断言的所述请求;
由所述客户端应用程序将对所述身份断言的所述请求重定向到所述认证应用程序;
由所述认证应用程序向用户请求一个或多个安全凭证,或者在所述客户端应用程序的后续访问中,使用长期存储的凭证向所述身份提供商进行认证;
由所述认证应用程序向所述身份提供商请求所述身份断言;
由所述身份提供商使用所述一个或多个安全凭证或所述长期存储的凭证来认证所述认证应用程序;
当所述客户端应用程序将被允许访问所述服务提供商时,将请求的身份断言从所述身份提供商发送到所述客户端应用程序;
由所述客户端应用程序将所述身份断言发送到所述服务提供商;
由所述服务提供商验证所述身份断言;以及
由所述服务提供商使用所述客户端应用程序设置会话令牌,其中所述会话令牌包括允许所述客户端应用程序访问由所述服务提供商提供的资源的会话令牌。
2.根据权利要求1所述的方法,其中所述访问请求包括超文本传输协议HTTP请求,并且所述访问请求由具有状态码302的HTTP响应来重定向。
3.根据权利要求1所述的方法,其中由所述客户端应用重定向对所述身份断言的所述请求包括使用与所述认证应用程序相关联的预定义方案名称来调用本地统一资源定位符URL。
4.根据权利要求3所述的方法,其中所述预定义方案名称对应于随机生成的唯一标识符。
5.根据权利要求1所述的方法,还包括
由所述客户端应用程序接收对安全断言标记语言SAML内的所述身份断言的所述请求。
6.根据权利要求1所述的方法,还包括
只要所述会话令牌有效且未到期,由在所述客户端设备上执行的其他客户端应用程序登录到所述服务提供商,而无需所述用户提供一个或多个凭证。
7.一种用于为客户端设备的用户向服务提供商提供单点登录体验的***,所述***包括:
客户端设备,其包括客户端应用程序和认证应用程序,其中所述客户端应用程序被容器化,并且所述客户端应用程序和所述认证应用程序分别在所述客户端设备上被执行;
至少一个执行身份提供商的计算设备,其中所述身份提供商知道所述认证应用程序;以及
至少一个执行所述服务提供商的计算设备,其中所述服务提供商不知道所述认证应用程序;
其中所述客户端应用程序被配置为:
向所述服务提供商发送访问请求;
接收来自所述服务提供商的对于身份断言的请求;
将对所述身份断言的请求重定向到所述认证应用程序;
在所述客户端应用程序将被允许访问所述服务提供商的情况下,从所述认证应用程序接收所述身份断言;以及
响应接收所述身份断言,将所接收的身份断言发送给所述服务提供商;
其中所述认证应用程序被配置为:
响应对所述身份断言的所述请求被重定向到所述认证应用程序,向所述用户请求一个或多个安全凭证,并在一收到来自所述用户的所述一个或多个安全凭证后,向所述身份提供商请求所述身份断言;或者
在所述客户端应用程序的后续访问中,使用长期存储的凭证向所述身份提供商进行认证;
其中所述服务提供商被配置为:
响应于接收到来自所述客户端应用程序的所述访问请求,将所述客户端应用程序重定向以向所述身份提供商请求身份断言;以及
响应从所述客户端应用程序接收到所述身份断言,
验证所述身份断言;以及
当所述身份断言被验证时,使用所述客户端应用程序设置会话令牌,其中所述会话令牌包括允许所述客户端应用程序访问由所述服务提供商提供的资源的会话令牌,以及
其中所述身份提供商被配置为:
响应于接收到来自所述客户端应用程序的对于身份断言的请求,将所述客户端应用程序重定向以向所述认证应用程序请求身份断言;
响应于接收到对身份断言的请求,以使用所述一个或多个安全凭证或所述长期存储的凭证来认证所述认证应用程序;以及
当所述客户端应用程序将被允许访问所述服务提供商时,生成请求的身份断言。
8.根据权利要求7所述的***,其中所述访问请求包括超文本传输协议HTTP请求,所述访问请求由具有状态码302的HTTP响应来重定向。
9.根据权利要求7所述的***,其中将对所述身份断言的所述请求重定向到所述认证应用程序包括使用与所述认证应用程序相关联的预定义方案名称来调用本地统一资源定位符URL。
10.根据权利要求9所述的***,其中所述预定义方案名称对应于随机生成的唯一标识符。
11.根据权利要求7所述的***,其中,所述客户端应用程序被配置为接收对安全断言标记语言SAML内的身份断言的请求。
12.根据权利要求7所述的***,
其中只要所述会话令牌有效且未到期,在所述客户端设备上执行的其他客户端应用程序被配置为登录到所述服务提供商,而无需所述用户提供一个或多个凭证。
13.一种操作客户端设备以向服务提供商提供单点登录体验的方法,所述方法包括:
使用在所述客户端设备上执行的客户端应用程序向服务提供商发送对身份断言的访问请求;
在所述客户端应用程序处接收来自服务提供商的重定向响应;
响应于接收到所述重定向响应,向在所述客户端设备上单独执行的认证应用程序请求身份断言;
将所述身份断言从所述认证应用程序发送到所述客户端应用程序,以及
通过将所接收的所述身份断言从所述客户端应用程序接收到的发送到所述服务提供商来认证所述客户端应用程序;
其中所述认证应用程序被用于向身份提供商认证所述客户端设备,从而在一认证时,所述认证应用程序能够向所述身份提供商请求所述身份断言。
14.根据权利要求13所述的方法,其中所述重定向响应是具有状态码302的HTTP响应。
15.根据权利要求13所述的方法,其中请求身份断言包括使用与所述认证应用程序相关联的预定义方案名称来调用本地统一资源定位符URL。
16.根据权利要求15所述的方法,其中所述预定义方案名称对应于随机生成的唯一标识符。
17.根据权利要求16所述的方法,包括在所述客户端应用程序处接收安全断言标记语言SAML内的身份断言。
18.根据权利要求13所述的方法,其中响应于向所述服务提供商认证所述客户端应用程序,所述方法还包括
在所述客户端应用程序处,接收由所述服务提供商生成的会话令牌;以及
使用所述客户端应用程序设置令牌,所述令牌包括所述会话令牌。
19.根据权利要求18所述的方法,还包括在会话过程期间使用所述会话令牌向所述服务提供商认证所述客户端应用程序。
20.根据权利要求13所述的方法,包括响应于在所述认证应用程序处接收到所述访问请求,确定所述用户是否被认证。
21.根据权利要求20所述的方法,包括响应于确定所述用户未被认证,使用所述认证应用程序向所述客户端设备的用户请求至少一个安全凭证。
22.根据权利要求13所述的方法,包括将所述至少一个安全凭证从所述认证应用程序发送到所述身份提供商以向所述身份提供商认证所述客户端设备。
23.一种***,包括:
至少一个执行服务提供商的计算设备;
至少一个执行身份提供商的计算设备;以及
客户端设备;
其中,所述***被配置为执行如权利要求13至22中任一项所述的方法。
24.一种体现客户端设备中可执行的程序的非暂时性计算机可读介质,所述程序在由所述客户端设备执行时被配置为使所述客户端设备执行根据权利要求1至6或权利要求13至22中任一项所述的方法。
25.一种非暂时性计算机可读介质,包含在至少一个计算设备的服务提供商中可执行的程序,所述程序在由所述至少一个计算设备的所述服务提供商执行时,被配置为使所述至少一个计算设备至少:
使得预定义方案名称和认证应用程序之间的映射被注册到客户端设备;
在所述服务提供商处,接收来自在所述客户端设备中执行的客户端应用程序的访问请求,其中所述客户端应用程序被容器化;
通过所述服务提供商,使用将所述访问请求重定向到身份提供商的重定向响应,使所述客户端应用程序从在所述客户端设备中执行的所述认证应用程序请求身份断言,所述身份断言由所述客户端应用程序使用以所述预定义方案名称开始的本地统一资源定位符来请求,所述预定义方案名称向所述客户端设备注册以对应于所述认证应用程序,其中所述身份提供商知道所述认证应用程序,但是所述服务提供商不知道所述认证应用程序;
在所述服务提供商处从所述客户端应用程序接收所述身份断言,所述身份断言是从所述身份提供商经由所述认证应用程序被提供给所述客户端应用程序的;
通过所述服务提供商验证所述身份断言;
通过所述服务提供商响应于验证所述身份断言来认证所述客户端应用程序;
通过所述服务提供商响应于认证所述客户端应用程序而生成会话令牌;以及
通过所述服务提供商使用所述客户端应用程序设置信息记录程序,所述信息记录程序包括所述会话令牌。
26.根据权利要求25所述的非暂时性计算机可读介质,其中所述预定义方案名称对应于随机生成的唯一标识符。
27.根据权利要求25所述的非暂时性计算机可读介质,其中所述访问请求包括超文本传输协议HTTP请求,并且所述访问请求被具有状态码302的HTTP响应重定向。
28.根据权利要求25所述的非暂时性计算机可读介质,其中所述认证应用程序被配置为从所述身份提供商请求所述身份断言。
29.根据权利要求25所述的非暂时性计算机可读介质,其中所述认证应用程序被配置为从所述客户端设备的用户请求至少一个安全凭证。
30.一种***,包括:
至少一个计算设备;以及
由所述至少一个计算设备可执行的服务提供商,所述服务提供商被配置为使所述至少一个计算设备至少:
使得预定义方案名称和第二客户端应用程序之间的映射被注册到客户端设备;
在所述服务提供商处,接收来自在所述客户端设备中执行的第一客户端应用程序的访问请求,其中所述第一客户端应用程序被容器化;
通过所述服务提供商,使用将所述访问请求重定向到身份提供商的重定向响应,使所述第一客户端应用程序从在所述客户端设备中执行的所述第二客户端应用程序请求认证令牌,所述认证令牌由所述第一客户端应用程序使用以所述预定义方案名称开始的本地统一资源定位符来请求,所述预定义方案名称向所述客户端设备注册以对应于所述第二客户端应用程序,其中所述身份提供商知道所述第二客户端应用程序,但是所述服务提供商不知道所述第二客户端应用程序;
在所述服务提供商处从所述第一客户端应用程序接收所述认证令牌,所述认证令牌是从所述身份提供商经由所述第二客户端应用程序被提供给所述第一客户端应用程序的;
通过所述服务提供商验证所述认证令牌;
通过所述服务提供商响应于验证所述认证令牌来认证所述第一客户端应用程序;
通过所述服务提供商生成会话令牌;以及
通过所述服务提供商使用所述第一客户端应用程序设置信息记录程序,所述信息记录程序包括所述会话令牌。
31.根据权利要求30所述的***,其中所述认证令牌在安全断言标记语言SAML身份断言中被接收。
32.根据权利要求30所述的***,其中所述服务提供商还被配置为使所述至少一个计算设备至少:
确定所述第一客户端应用程序是否被配置为利用由所述第二客户端应用程序支持的单点登录过程;以及
其中响应于确定所述第一客户端应用程序被配置为使用所述单点登录过程,所述第一客户端应用程序被发送所述重定向响应。
33.根据权利要求30所述的***,还包括由所述至少一个计算设备可执行的身份提供商,所述身份提供商被配置为使所述至少一个计算设备至少:
从所述第二客户端应用程序接收认证请求;
验证所述认证请求;
生成所述认证令牌;以及
将所述认证令牌发送到所述第二客户端应用程序。
34.根据权利要求30所述的***,其中所述认证请求包括由所述第二客户端应用程序从用户接收的至少一个安全凭证。
35.一种使用由计算设备可执行的服务提供商的方法,所述方法包括:
使得预定义方案名称和第二客户端应用程序之间的映射被注册到客户端设备;
在所述服务提供商处,从在所述客户端设备中执行的第一客户端应用程序接收访问请求,其中所述第一客户端应用程序被容器化;
使用所述服务提供商,重定向所述第一客户端应用程序,以从在所述客户端设备中执行的所述第二客户端应用程序请求认证令牌,所述认证令牌由所述第一客户端应用程序使用以所述预定义方案名称开始的本地统一资源定位符来请求,所述预定义方案名称向所述客户端设备注册以对应于所述第二客户端应用程序,其中所述身份提供商知道所述第二客户端应用程序,但是所述服务提供商不知道所述第二客户端应用程序;
在所述服务提供商处从所述第一客户端应用程序接收所述认证令牌,所述认证令牌是从所述身份提供商经由所述第二客户端应用程序被提供给所述第一客户端应用程序的;
通过所述服务提供商验证所述认证令牌;
通过所述服务提供商认证所述第一客户端应用程序;
通过所述服务提供商生成会话令牌;以及
通过所述服务提供商使用所述第一客户端应用程序设置信息记录程序,所述信息记录程序包括所述会话令牌。
36.根据权利要求35所述的方法,其中重定向所述第一客户端应用程序还包括将超文本传输协议HTTP重定向响应发送到所述第一客户端应用程序。
37.根据权利要求36所述的方法,其中所述HTTP重定向响应被配置为使所述第一客户端应用程序在所述客户端设备的本地统一资源定位符(URL)处进行HTTP请求。
38.根据权利要求35所述的方法,其中所述预定义方案名称是随机生成的唯一标识符。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/739,983 US10171448B2 (en) | 2015-06-15 | 2015-06-15 | Single sign-on for unmanaged mobile devices |
US14/739,983 | 2015-06-15 | ||
CN201680032462.9A CN107690792A (zh) | 2015-06-15 | 2016-06-14 | 未经管理的移动设备的单点登录 |
PCT/US2016/037353 WO2016205185A1 (en) | 2015-06-15 | 2016-06-14 | Single sign-on for unmanaged mobile devices |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680032462.9A Division CN107690792A (zh) | 2015-06-15 | 2016-06-14 | 未经管理的移动设备的单点登录 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115021991A true CN115021991A (zh) | 2022-09-06 |
Family
ID=57517392
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210583537.XA Pending CN115021991A (zh) | 2015-06-15 | 2016-06-14 | 未经管理的移动设备的单点登录 |
CN201680032462.9A Pending CN107690792A (zh) | 2015-06-15 | 2016-06-14 | 未经管理的移动设备的单点登录 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680032462.9A Pending CN107690792A (zh) | 2015-06-15 | 2016-06-14 | 未经管理的移动设备的单点登录 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10171448B2 (zh) |
EP (2) | EP3308525B1 (zh) |
CN (2) | CN115021991A (zh) |
WO (1) | WO2016205185A1 (zh) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10460313B1 (en) * | 2014-12-15 | 2019-10-29 | United Services Automobile Association (Usaa) | Systems and methods of integrated identity verification |
US10129252B1 (en) * | 2015-12-17 | 2018-11-13 | Wells Fargo Bank, N.A. | Identity management system |
US10341862B2 (en) * | 2016-02-05 | 2019-07-02 | Verizon Patent And Licensing Inc. | Authenticating mobile devices |
US10148646B2 (en) * | 2016-07-20 | 2018-12-04 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
US10057255B2 (en) * | 2016-07-20 | 2018-08-21 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US10057249B2 (en) * | 2016-07-20 | 2018-08-21 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
US10498724B2 (en) * | 2016-12-22 | 2019-12-03 | Fujitsu Limited | Digital community system |
US10484851B2 (en) * | 2016-12-22 | 2019-11-19 | Venuenext, Inc. | Communicating information between applications executing on a client device via authentication information generated by an application |
US11151239B2 (en) * | 2017-10-02 | 2021-10-19 | Red Hat, Inc. | Single sign-on management for multiple independent identity providers |
US20190141125A1 (en) * | 2017-11-03 | 2019-05-09 | Bank Of America Corporation | Cross application access provisioning system |
CN107944919B (zh) * | 2017-11-24 | 2020-01-07 | 平安科技(深圳)有限公司 | 账户查询方法、装置、设备及计算机可读存储介质 |
US10798083B2 (en) * | 2018-02-19 | 2020-10-06 | Red Hat, Inc. | Synchronization of multiple independent identity providers in relation to single sign-on management |
WO2019219205A1 (en) * | 2018-05-18 | 2019-11-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Application program access control |
CN108900561A (zh) * | 2018-09-28 | 2018-11-27 | 北京芯盾时代科技有限公司 | 单点登录的方法、装置及*** |
US11822637B2 (en) * | 2018-10-18 | 2023-11-21 | Oracle International Corporation | Adaptive authentication in spreadsheet interface integrated with web service |
CN111669351B (zh) * | 2019-03-07 | 2022-05-31 | 腾讯科技(深圳)有限公司 | 鉴权方法、业务服务器、客户端及计算机可读存储介质 |
US11935002B2 (en) | 2019-05-23 | 2024-03-19 | Capital One Services, Llc | Multi-lender platform that securely stores proprietary information for generating offers |
US11582229B2 (en) * | 2019-06-01 | 2023-02-14 | Apple Inc. | Systems and methods of application single sign on |
KR102678262B1 (ko) | 2019-09-24 | 2024-06-24 | 매직 랩스, 인크. | 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴 |
US11368461B2 (en) * | 2019-09-30 | 2022-06-21 | Ebay Inc. | Application programming interface authorization transformation system |
US10951606B1 (en) * | 2019-12-04 | 2021-03-16 | Acceptto Corporation | Continuous authentication through orchestration and risk calculation post-authorization system and method |
CN111444495B (zh) * | 2020-05-20 | 2020-11-24 | 江苏易安联网络技术有限公司 | 一种基于容器实现单点登录的***及方法 |
US11783022B2 (en) | 2020-06-01 | 2023-10-10 | Apple Inc. | Systems and methods of account verification upgrade |
US10965674B1 (en) * | 2020-06-08 | 2021-03-30 | Cyberark Software Ltd. | Security protection against threats to network identity providers |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120291114A1 (en) * | 2011-05-13 | 2012-11-15 | Cch Incorporated | Single sign-on between applications |
US20140082715A1 (en) * | 2012-09-19 | 2014-03-20 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
CN103930897A (zh) * | 2011-09-29 | 2014-07-16 | 甲骨文国际公司 | 移动应用、单点登录管理 |
US8850546B1 (en) * | 2012-09-30 | 2014-09-30 | Emc Corporation | Privacy-preserving user attribute release and session management |
Family Cites Families (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5781909A (en) * | 1996-02-13 | 1998-07-14 | Microtouch Systems, Inc. | Supervised satellite kiosk management system with combined local and remote data storage |
US20020078153A1 (en) * | 2000-11-02 | 2002-06-20 | Chit Chung | Providing secure, instantaneous, directory-integrated, multiparty, communications services |
US7424618B2 (en) * | 2001-03-14 | 2008-09-09 | Paladin Electronic Services, Inc. | Biometric access control and time and attendance network including configurable system-on-chip (CSOC) processors with embedded programmable logic |
US7788711B1 (en) | 2003-10-09 | 2010-08-31 | Oracle America, Inc. | Method and system for transferring identity assertion information between trusted partner sites in a network using artifacts |
US7509489B2 (en) * | 2005-03-11 | 2009-03-24 | Microsoft Corporation | Format-agnostic system and method for issuing certificates |
US7827400B2 (en) * | 2005-07-28 | 2010-11-02 | The Boeing Company | Security certificate management |
US8209615B2 (en) * | 2006-11-22 | 2012-06-26 | Qualcomm Incorporated | Apparatus and methods of linking to an application on a wireless device |
US7770214B2 (en) * | 2007-04-17 | 2010-08-03 | International Business Machines Corporation | Apparatus, system, and method for establishing a reusable and reconfigurable model for fast and persistent connections in database drivers |
US8447838B2 (en) * | 2008-01-31 | 2013-05-21 | Bizmobile Inc. | System and method for providing mobile service |
US9037513B2 (en) * | 2008-09-30 | 2015-05-19 | Apple Inc. | System and method for providing electronic event tickets |
WO2010083889A1 (en) | 2009-01-23 | 2010-07-29 | Nokia Siemens Networks Oy | Identity management scheme |
WO2010105184A2 (en) * | 2009-03-13 | 2010-09-16 | Breach Security , Inc. | A method and apparatus for phishing and leeching vulnerability detection |
US20130117831A1 (en) * | 2010-04-30 | 2013-05-09 | Lock Box Pty Ltd | Method and system for enabling computer access |
US8621448B2 (en) | 2010-09-23 | 2013-12-31 | Apple Inc. | Systems and methods for compiler-based vectorization of non-leaf code |
US8881247B2 (en) * | 2010-09-24 | 2014-11-04 | Microsoft Corporation | Federated mobile authentication using a network operator infrastructure |
US9413750B2 (en) | 2011-02-11 | 2016-08-09 | Oracle International Corporation | Facilitating single sign-on (SSO) across multiple browser instance |
US8489450B2 (en) | 2011-03-26 | 2013-07-16 | RS-Software, Inc. | Systems and methods for facilitating customer acquisition by businesses |
US20120290336A1 (en) * | 2011-05-09 | 2012-11-15 | Apple Inc. | System and method for providing event-related incentives |
US8847729B2 (en) * | 2011-08-29 | 2014-09-30 | International Business Machines Corporation | Just in time visitor authentication and visitor access media issuance for a physical site |
US8966118B2 (en) * | 2011-11-14 | 2015-02-24 | Microsoft Technology Licensing, Llc | Unauthenticated redirection requests with protection |
WO2013109857A1 (en) * | 2012-01-20 | 2013-07-25 | Interdigital Patent Holdings, Inc. | Identity management with local functionality |
CN102624737B (zh) * | 2012-03-27 | 2015-05-06 | 武汉理工大学 | 单点登录***中针对Form身份鉴别的单点登录集成方法 |
US20130290226A1 (en) * | 2012-04-05 | 2013-10-31 | Maynard Dokken | System and method for social graph and graph assets valuation and monetization |
DE102012103106A1 (de) * | 2012-04-11 | 2013-10-17 | Vodafone Holding Gmbh | Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System |
US8839376B2 (en) * | 2012-06-29 | 2014-09-16 | Cable Television Laboratories, Inc. | Application authorization for video services |
US20140052548A1 (en) * | 2012-07-18 | 2014-02-20 | Maynard L. Dokken, JR. | System and method for automated advocate marketing with digital rights registration |
GB2508598A (en) * | 2012-12-04 | 2014-06-11 | Ibm | Splitting the processing logic of a distributed application page between client and server |
US20140245411A1 (en) | 2013-02-22 | 2014-08-28 | Nokia Corporation | Method and apparatus for providing account-less access via an account connector platform |
US20140279622A1 (en) * | 2013-03-08 | 2014-09-18 | Sudhakar Bharadwaj | System and method for semantic processing of personalized social data and generating probability models of personal context to generate recommendations in searching applications |
US8997187B2 (en) | 2013-03-15 | 2015-03-31 | Airwatch Llc | Delegating authorization to applications on a client device in a networked environment |
US9009806B2 (en) * | 2013-04-12 | 2015-04-14 | Globoforce Limited | System and method for mobile single sign-on integration |
US9344426B2 (en) * | 2013-05-14 | 2016-05-17 | Citrix Systems, Inc. | Accessing enterprise resources while providing denial-of-service attack protection |
US9414219B2 (en) * | 2013-06-19 | 2016-08-09 | Facebook, Inc. | Detecting carriers for mobile devices |
US20150052584A1 (en) * | 2013-08-13 | 2015-02-19 | News UK & Ireland Limited | Access Control System |
US20150188999A1 (en) * | 2013-12-28 | 2015-07-02 | Johnson Manuel-Devadoss | System and method to extend the capabilities of a web browser to improve the web application performance |
US8984149B1 (en) * | 2014-03-06 | 2015-03-17 | Iboss, Inc. | Applying policies to subnets |
US20150317466A1 (en) * | 2014-05-02 | 2015-11-05 | Verificient Technologies, Inc. | Certificate verification system and methods of performing the same |
US9582301B2 (en) * | 2014-09-17 | 2017-02-28 | International Business Machines Corporation | Method of defining javascript objects |
US9819668B2 (en) | 2014-10-22 | 2017-11-14 | Ca, Inc. | Single sign on for native and wrapped web resources on mobile devices |
US9875481B2 (en) | 2014-12-09 | 2018-01-23 | Verizon Patent And Licensing Inc. | Capture of retail store data and aggregated metrics |
CN113343210A (zh) * | 2015-01-26 | 2021-09-03 | 移动熨斗公司 | 提供访问控制和单点登录的身份代理 |
US9706402B2 (en) * | 2015-03-09 | 2017-07-11 | Neustar, Inc. | System and method for secure device authentication |
-
2015
- 2015-06-15 US US14/739,983 patent/US10171448B2/en active Active
-
2016
- 2016-06-14 EP EP16812221.6A patent/EP3308525B1/en active Active
- 2016-06-14 CN CN202210583537.XA patent/CN115021991A/zh active Pending
- 2016-06-14 WO PCT/US2016/037353 patent/WO2016205185A1/en active Application Filing
- 2016-06-14 CN CN201680032462.9A patent/CN107690792A/zh active Pending
- 2016-06-14 EP EP20177717.4A patent/EP3723341B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120291114A1 (en) * | 2011-05-13 | 2012-11-15 | Cch Incorporated | Single sign-on between applications |
CN103930897A (zh) * | 2011-09-29 | 2014-07-16 | 甲骨文国际公司 | 移动应用、单点登录管理 |
US20140082715A1 (en) * | 2012-09-19 | 2014-03-20 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
US8850546B1 (en) * | 2012-09-30 | 2014-09-30 | Emc Corporation | Privacy-preserving user attribute release and session management |
Also Published As
Publication number | Publication date |
---|---|
CN107690792A (zh) | 2018-02-13 |
US20160366122A1 (en) | 2016-12-15 |
EP3723341B1 (en) | 2022-08-10 |
US10171448B2 (en) | 2019-01-01 |
WO2016205185A1 (en) | 2016-12-22 |
EP3308525A4 (en) | 2019-01-23 |
EP3308525A1 (en) | 2018-04-18 |
EP3723341A1 (en) | 2020-10-14 |
EP3308525B1 (en) | 2020-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10965664B2 (en) | Single sign-on for unmanaged mobile devices | |
EP3723341B1 (en) | Single sign-on for unmanaged mobile devices | |
US10728235B2 (en) | System and method for mobile single sign-on integration | |
US10432608B2 (en) | Selectively enabling multi-factor authentication for managed devices | |
US10880292B2 (en) | Seamless transition between WEB and API resource access | |
US10536447B2 (en) | Single sign-on for managed mobile devices | |
US10187374B2 (en) | Multi-factor authentication for managed applications using single sign-on technology | |
US9882887B2 (en) | Single sign-on for managed mobile devices | |
US11057364B2 (en) | Single sign-on for managed mobile devices | |
EP2761527B1 (en) | Mobile application, single sign-on management | |
US10944738B2 (en) | Single sign-on for managed mobile devices using kerberos | |
US10547599B1 (en) | Multi-factor authentication for managed directories | |
CN116484338A (zh) | 数据库访问方法及装置 | |
Edge et al. | Identity and Device Trust |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |