JP6987931B2 - クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス - Google Patents
クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス Download PDFInfo
- Publication number
- JP6987931B2 JP6987931B2 JP2020115524A JP2020115524A JP6987931B2 JP 6987931 B2 JP6987931 B2 JP 6987931B2 JP 2020115524 A JP2020115524 A JP 2020115524A JP 2020115524 A JP2020115524 A JP 2020115524A JP 6987931 B2 JP6987931 B2 JP 6987931B2
- Authority
- JP
- Japan
- Prior art keywords
- user device
- authentication
- user
- computing device
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
Description
拠しているかどうかを判定するための要求を送信することに応じて、アイデンティティプロバイダゲートウェイデバイスは、デバイス管理サーバから、モバイルデバイスがセキュリティポリシーに準拠しているかどうかの指標を受信することができる。アイデンティティプロバイダゲートウェイデバイスは、モバイルデバイスがセキュリティポリシーに準拠しているかどうかの指標に基づいて、モバイルデバイスで作動しているアプリケーションに、モバイルデバイスで作動しているアプリケーションに関連付けられたサービスへのアクセスを許可するかどうかを判定することができる。
バイスのユーザに関連付けられたユーザ識別子を抽出することができる。アイデンティティプロバイダゲートウェイデバイスは、ユーザ識別子を使用して、認証トークンを生成することができる。アイデンティティプロバイダゲートウェイデバイスは、モバイルデバイスに認証トークンを送信することができる。
細書に記載された範囲から逸脱することなく、他の実施形態を利用することができ、構造的及び機能的改変を行うことができる。種々の態様は、他の実施形態が可能であり、かつ様々な異なる方法で実施され、または成し遂げられる。
上の、外部に露出されたウェブサイトを介し、データサーバ103に接続するためウェブブラウザを使用して、データサーバ103と対話することができる。クライアントコンピュータ107、109は、そこに記憶されたデータにアクセスするためにデータサーバ103と協働して使用されてもよく、または他の目的のために使用されてもよい。例えば、クライアントデバイス107から、ユーザは、当該技術分野で知られているように、インターネットブラウザを使用して、またはコンピュータネットワーク(インターネットなど)を越えてウェブサーバ105及び/またはデータサーバ103と通信するソフトウェアアプリケーションを実行することによって、ウェブサーバ105にアクセスすることができる。
作用することができる。端末240は、汎用コンピューティングデバイス103または201に関して上記の要素の多く、または全てを含む、プライベートコンピュータ、モバイルデバイス、ラップトップコンピュータ、タブレット、またはサーバであってもよい。図2に示すネットワーク接続は、ローカルエリアネットワーク(LAN)225及びワイドエリアネットワーク(WAN)229を含むが、他のネットワークを含むこともできる。LANネットワーキング環境で使用されるとき、コンピューティングデバイス201は、ネットワークインターフェースまたはアダプタ223を通じてLAN225に接続され得る。WANネットワーキング環境で使用されるとき、コンピューティングデバイス201は、コンピュータネットワーク230(例えば、インターネット)などのWAN229を越えて通信を確立するためのモデム227または他のワイドエリアネットワークインターフェースを含むことができる。示されたネットワーク接続は例示であり、コンピュータ間の通信リンクを確立する他の手段を使用することができることが理解されるであろう。コンピューティングデバイス201及び/または端末240は、バッテリ、スピーカ、及びアンテナ(図示せず)などの様々な他のコンポーネントを含むモバイル端末(例えば、携帯電話、スマートフォン、PDA、ノートブックなど)であってもよい。
、Citrix Systems、IBM、VMwareまたはその他のハイパーバイザーによって開発されるハイパーバイザーであってもよい。いくつかの態様では、仮想マシンはハイパーバイザーによって管理され、態様では仮想マシンはサーバ206上で実行されるハイパーバイザーまたはクライアント240上で実行されるハイパーバイザーによって管理されてもよい。
録商標)、LINUX、iOS、ANDROID(登録商標)、SYMBIANなど)を
実行するサーバ206を含むことができる。他の実施形態では、サーバファーム206は、第1のタイプのオペレーティングシステムプラットフォームを実行する1つ以上のサーバの第1のグループと、第2のタイプのオペレーティングシステムプラットフォームを実
行する1つ以上のサーバの第2のグループとを含むことができる。
、物理メモリ316のメモリ要素に記憶され、1つ以上の物理プロセッサ308によって実行されるオペレーティングシステム314をさらに含むことができる。なおさらに、ハイパーバイザー302が、物理メモリ316のメモリ要素に記憶され、1つ以上の物理プロセッサ308によって実行され得る。
バ301実行することができる。すなわち、タイプ2のハイパーバイザー302は、図示されるように、ホストオペレーティングシステム314を通じてシステムリソースにアクセスするが、タイプ1のハイパーバイザーは、ホストオペレーティングシステム314なしで全てのシステムリソースに直接アクセスすることができる。タイプ1のハイパーバイザーは、仮想化サーバ301の1つ以上の物理プロセッサ308で直接実行することができ、物理メモリ316に記憶されたプログラムデータを含むことができる。
は実行することができる。仮想マシン332は、プロセッサ308によって実行されるときに、仮想マシン332が物理コンピューティングデバイスのようにプログラム及びプロセスを実行できるように、物理コンピュータの動作を模倣する実行可能命令のセットである。図3は、仮想化サーバ301が3つの仮想マシン332をホストする実施形態を示しているが、他の実施形態においては、仮想化サーバ301は任意の数の仮想マシン332をホストすることができる。ハイパーバイザー302は、いくつかの実施形態においては、各仮想マシン332に利用可能な物理ハードウェア、メモリ、プロセッサ及び他のシステムリソースの一意の仮想ビューを各仮想マシン332に提供する。いくつかの実施形態においては、一意の仮想ビューは、1つ以上の仮想マシン許可、1つ以上の仮想マシン識別子へのポリシーエンジンの適用、仮想マシンにアクセスするユーザ、仮想マシンで実行されるアプリケーション、仮想マシンによってアクセスされるネットワーク、または任意の他の所望の基準に基づくことができる。例えば、ハイパーバイザー302は、1つ以上のセキュアでない仮想マシン332及び1つ以上のセキュアな仮想マシン332を作成することができる。セキュアでない仮想マシン332は、セキュアな仮想マシン332がアクセスすることが許可され得るリソース、ハードウェア、メモリロケーション、及びプログラムへアクセスすることを防止される。他の実施形態においては、ハイパーバイザー302は、仮想マシン332に利用可能な物理ハードウェア、メモリ、プロセッサ及び他のシステムリソースの実質的に類似した仮想ビューを各仮想マシン332に提供することができる。
ードウェア及びソフトウェアリソースには、プライベート及び/または公衆コンポーネントが含まれている場合がある。例えば、クラウドは、1つ以上の特定の顧客またはクライアントコンピュータ411〜414によって、及び/またはプライベートネットワークを越えて使用されるプライベートクラウドとして構成されてもよい。他の実施形態において、公衆クラウドまたはハイブリッド公衆−プライベートクラウドは、オープンまたはハイブリッドネットワークを越えて他の顧客によって使用されてもよい。
、そうでないこともある。例えば、エンドユーザは、メモリの指定量、処理能力、及びネットワーク能力を有する仮想マシンの作成を要求することができる。管理サーバ410は、ユーザの要求に応答することができ、仮想マシンがゾーン401またはゾーン402からのリソースを使用して作成されたかどうかをユーザが知らずに、仮想マシンを作成するためにリソースを割り当てることができる。他の例において、クラウドシステムは、エンドユーザが、固有のゾーンまたはゾーン内の固有のリソース403〜405に仮想マシン(または他のクラウドリソース)が割り当てられることを要求することを可能にすることができる。
BLUE CLOUD(IBM Corporation of Armonk,New York)などの既知のクラウドシステムを代わりに使用することができる。
にモバイルデバイス502を利用することができる。モバイルデバイスは、iOSペレーティングシステム、及びAndroid(登録商標)オペレーティングシステムなどを作動させることができる。企業は、モバイルデバイス504を管理するポリシーを実装することを選択することができる。ポリシーは、モバイルデバイスが識別され、セキュリティ保護され、またはセキュリティ検証され、企業リソースへの選択的または完全なアクセスが提供されることができるように、ファイアウォールまたはゲートウェイを通じて埋め込まれてもよい。ポリシーは、モバイルデバイス管理ポリシー、モバイルアプリケーション管理ポリシー、モバイルデータ管理ポリシー、またはモバイルデバイス、アプリケーション、及びデータ管理ポリシーのいくつかの組み合わせであってもよい。モバイルデバイス管理ポリシーのアプリケーションを通じて管理されるモバイルデバイス504は、登録デバイスと称され得る。
ンランチャ518によって実行されるセキュアなリモートアプリケーション522は、セキュアなアプリケーションランチャアプリケーション518内で実行されてもよい。セキュアなアプリケーションランチャ518によって実行される仮想化アプリケーション526は、モバイルデバイス502上、企業リソース504上などのリソースを利用することができる。セキュアなアプリケーションランチャ518によって実行される仮想化アプリケーション526によってモバイルデバイス502で使用されるリソースは、ユーザ対話リソース、処理リソースなどを含むことができる。ユーザ対話リソースは、キーボード入力、マウス入力、カメラ入力、触覚入力、音声入力、視覚入力、ジェスチャ入力などを収集し、送信するために使用されてもよい。処理リソースは、ユーザインターフェース、企業リソース504から受信したプロセスデータなどを提示するために使用することができる。セキュアなアプリケーションランチャ518によって実行される仮想化アプリケーション526によって企業リソース504で使用されるリソースは、ユーザインターフェース生成リソース、処理リソースなどを含むことができる。ユーザインターフェース生成リソースは、ユーザインターフェースをアセンブルし、ユーザインターフェースを改変し、ユーザインターフェースをリフレッシュするなどのために使用することができる。処理リソースは、情報の作成、情報の読み取り、情報の更新、情報の削除などに使用することができる。例えば、仮想化アプリケーションは、グラフィカルユーザインターフェース(GUI)に関連するユーザ対話を記録し、それらをサーバアプリケーションに通信することができ、サーバアプリケーションは、サーバで動作しているアプリケーションへの入力としてユーザ対話データを使用することができる。この構成では、企業はアプリケーションをサーバ側だけでなく、アプリケーションに関連するデータ、ファイルなどに維持することを選ぶことができる。企業は、本明細書の原理に従っていくつかのアプリケーションをモバイルデバイス上に展開するために確保することによって、それらを「動員」することを選ぶことができるが、この構成は、特定のアプリケーションのために選ぶこともできる。例えば、いくつかのアプリケーションはモバイルデバイスで使用するために保護されているかもしれないが、他のアプリケーションはモバイルデバイス上での展開のために準備されていないか、または適切でないかもしれないので、企業は仮想化技術を通じて、準備されていないアプリケーションにモバイルユーザがアクセスすることを選ぶことを可能にすることができる。別の例として、企業は、モバイルデバイスのアプリケーションをカスタマイズすることが非常に困難または望ましくない、大規模かつ複雑なデータセットを有する大規模な複雑なアプリケーション(例えば、物質リソース計画アプリケーション)を有することがあり、そのため、企業は、仮想化技術を通じてアプリケーションにアクセスすることを選ぶことができる。なお別の例として、企業は、セキュリティ保護されたモバイル環境でさえも非常に敏感であると、企業によって見なすことができる高度に保護されたデータ(例えば、人事データ、顧客データ、エンジニアリングデータ)を維持するアプリケーションを有することができ、企業は、仮想化技術を使用することを選んで、そのようなアプリケーション及びデータへのモバイルアクセスを許可することができる。企業は、完全にセキュリティ保護されたアプリケーションと完全に機能するアプリケーションの両方をモバイルデバイスと仮想化アプリケーションの両方で提供し、サーバ側でより適切に作用していると見なされるアプリケーションにアクセスできるようにすることを選ぶことできる。実施形態において、仮想化アプリケーションは、セキュアな記憶場所の1つに携帯電話上のデータ、ファイルなどを記憶することができる。企業は、例えば、特定の情報を電話に記憶し、他の情報は許可しないようにすることを選ぶことができる。
的ページ、アニメーションなどであってもよく、それにより、遠隔に位置するリソースへのアクセスを提供する。
VPN552によって示されるような)モバイルデバイス上の特定のセキュアな領域などに特有であり得る。例えば、電話機のセキュアな領域内のラップされたアプリケーションのそれぞれは、アプリケーション固有のVPNを通じて企業リソースにアクセスすることができ、その結果、アプリケーションに関連付けられた属性に基づいて、おそらくはユーザまたはデバイスの属性情報と組み合わされて、VPNへのアクセスが許可される。仮
想プライベートネットワーク接続は、Microsoft Exchangeトラフィック、Microsoft Active Directoryトラフィック、HTTP(HyperText Transfer Protocol)トラフィック、HTTPS(HyperText Transfer Protocol Secure)トラフィック、アプリケーション管理トラフィックなどを搬送することができる。仮想プライベートネットワーク接続により、シングルサインオン認証プロセスをサポートし、使用可能にすることができる(554)。シングルサインオンプロセスにより、ユーザは認証証明書の単一のセットを提供することができ、次に認証証明書は認証サービス558によって検証される。次に、認証サービス558により、ユーザに、それぞれ個々の企業リソース504に認証証明書を提供することを要求することなく、複数の企業リソース504へのアクセスをユーザに許可することができる。
証時に使用するためにモバイルデバイス502などに一時的に記憶されてもよい。脅威検出サービス564は、侵入検出サービス、不正アクセス試行検出サービスなどを含むことができる。不正アクセス試行検出サービスには、デバイス、アプリケーション、データなどにアクセスするための不正試行が含まれる場合がある。デバイス管理サービス524は、構成、提供、セキュリティ、サポート、監視、報告、及びサービス停止サービスを含むことができる。ファイル共有サービス568は、ファイル管理サービス、ファイル記憶サービス、ファイル共同作業サービスなどを含むことができる。ポリシーマネージャサービス570は、デバイスポリシーマネージャサービス、アプリケーションポリシーマネージャサービス、データポリシーマネージャサービスなどを含むことができる。ソーシャル統合サービス572は、連絡先統合サービス、共同サービス、Facebook、Twitter、及びLinkedlnなどのソーシャルネットワークとの統合などを含むことができる。アプリケーションコントローラサービス574は、管理サービス、提供サービス、展開サービス、割り当てサービス、失効サービス、ラッピングサービスなどを含むことができる。
、Certificate Issuanceサービスなど、様々な企業リソース608及びサービス609にアクセスする。特に図示していないが、モバイルデバイス602は、アプリケーションの選択及びダウンロードのために企業アプリケーションストア(StoreFront)と対話することもできる。
ーを取得することができる。アプリケーション管理フレームワーク614は、クライアントエージェントのログイン依存性、及び、どのようにローカルOSサービスが使用され得るか、またはどのようにそれらがアプリケーション610との対話し得るかを制限するいくつかの包含ポリシーなど、ローカルに適用されるポリシーの関連部分を施行することができる。
庫の場合、キーはサーバ(ゲートウェイサーバ606)に記憶され、オフライン保管庫の場合、キーのローカルコピーはユーザパスワードまたはバイオメトリック検証によって保護されてもよい。データがセキュアなコンテナ616内のデバイス602にローカルに記憶されるとき、最小限のAES256暗号化アルゴリズムが利用されることが好ましい。
ている可能性があるため、クリアする必要がある。
では、プライベートなメモリ内キーストレージを用いるHTTPS実装が使用される場合がある。クライアント証明書は決してiOSキーチェーンに存在しない可能性があり、強く保護された「オンラインのみ」のデータ値においてを潜在的に除いては永続化されない可能性がある。
きる。本明細書に記載する1つ以上のSSO及び/または条件付きアクセス能力は、どのユーザ、デバイス、及び/またはアプリケーションがその機能にアクセスできるかをIT管理者が制御することができることを犠牲にすることなく、セキュアに達成することができる。いくつかの態様では、条件付きアクセス決定は、ユーザアイデンティティ、デバイスアイデンティティ、アプリケーションアイデンティティ、アクセスのロケーションなどの様々な要因に基づいて行われてもよい。
DPゲートウェイ725に接続するために使用することができる。
システム及び方法を示す。
PN715は確認を受信し、確認をクライアントアプリケーション710に転送することができる。クライアントアプリケーション710とアイデンティティプロバイダゲートウェイ725との間のセキュアな通信トンネルを確立することができる。
を判定することができる。この機能は、デバイスセキュリティプロファイルに基づくような条件付きアクセスを提供する可能性がある。
イアントアプリケーション710を介して)クライアントデバイスに送信することができる。この要求は、新しい認証要求をアイデンティティプロバイダ735にリダイレクトする要求を含むことができる。リダイレクトする要求は、アイデンティティプロバイダゲートウェイ725をリクエスタとして示すことができる。
バイダ720に提示して、サービスプロバイダ720のリソースへのアクセスを取得することができる。ステップ860において、サービスプロバイダ720は、トークンを処理し、クライアントデバイスにリソースへのアクセスを許可することができる。
キャッシュされた認証データを使用して認証トークンを生成し、サービスプロバイダ720のトークンに署名し、及び/またはセキュアな通信トンネルを介して認証トークンをクライアントアプリケーション710に送信する。先に記載したように、アイデンティティプロバイダゲートウェイデバイス725は、所定の時間(例えば、満了時間)の後に、クライアントデバイスに関連付けられたキャッシュされた認証データを除去することができる。
[予備的な特許請求の範囲]
[予備請求項1]
モバイルデバイスで作動しているアプリケーションとアイデンティティプロバイダゲートウェイデバイスとの間にセキュアな通信トンネルを確立することと、
前記モバイルデバイスで作動している前記アプリケーションから、前記セキュアな通信トンネルを介して、クライアント証明書を含む認証要求を前記アイデンティティプロバイダゲートウェイデバイスによって、受信することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、前記クライアント証明書から、前記モバイルデバイスに関連付けられたデバイス識別子を抽出することと、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための要求を、前記アイデンティティプロバイダゲートウェイデバイスによってデバイス管理サーバに送信することであって、前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための前記要求が、前記モバイルデバイスに関連付けられた前記デバイス識別子を含む、送信することと、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための前記要求を送信することに応じて、前記アイデンティティプロバイダゲートウェイデバイスによって、前記デバイス管理サーバから、前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかの指標を受信することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかの前記指標に基づいて、前記モバイルデバイスで作動している前記アプリケーションに、前記モバイルデバイスで作動している前記アプリケーションに関連付けられたサービスへのアクセスを許可するかどうかを判定することと、を含む、方法。
[予備請求項2]
前記セキュアな通信トンネルを確立することが、
前記アイデンティティプロバイダゲートウェイデバイスにアクセスするための要求を、前記モバイルデバイスで作動している前記アプリケーションによって検出することと、
前記アイデンティティプロバイダゲートウェイデバイスにアクセスするための前記要求を、トンネリングアプリケーションによってインターセプトすることと、
前記モバイルデバイスで作動している前記アプリケーションと前記アイデンティティプロバイダゲートウェイデバイスとの間の前記セキュアな通信トンネルを、前記トンネリン
グアプリケーションによって、かつ前記クライアント証明書を使用して、確立することと、を含む、予備請求項1に記載の方法。
[予備請求項3]
前記セキュアな通信トンネルが、仮想プライベートネットワーク(VPN)トンネルを含む、予備請求項1に記載の方法。
[予備請求項4]
前記セキュアな通信トンネルを確立することが、前記認証要求を前記アイデンティティプロバイダゲートウェイデバイスにリダイレクトするための、前記サービスのサービスプロバイダからの要求に応じて行われる、予備請求項1に記載の方法。
[予備請求項5]
前記サービスへのアクセスを許可することを判定した後に、前記モバイルデバイスに関連付けられたキャッシュされた認証データを前記アイデンティティプロバイダゲートウェイデバイスによって取り出すことと、
前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記キャッシュされた認証データを使用して、認証トークンを生成することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記モバイルデバイスに、前記認証トークンを送信することと、をさらに含む、予備請求項1に記載の方法。
[予備請求項6]
前記認証トークンが、前記モバイルデバイスで作動している前記アプリケーションに関連付けられた前記サービスにアクセスするために、前記モバイルデバイスによって使用されるように構成されている、予備請求項5に記載の方法。
[予備請求項7]
前記モバイルデバイスに関連付けられた認証データが前記アイデンティティプロバイダゲートウェイデバイスでキャッシュされていないことを、前記アイデンティティプロバイダゲートウェイデバイスによって判定することと、
前記認証データが前記アイデンティティプロバイダゲートウェイデバイスでキャッシュされていないと判定することに応じて、前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記モバイルデバイスに、アイデンティティプロバイダデバイスからの前記認証データに対する要求を送信することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、前記モバイルデバイスから、かつ前記アイデンティティプロバイダデバイスを介して、前記モバイルデバイスに関連付けられた前記認証データを受信することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、前記モバイルデバイスに関連付けられた前記認証データをキャッシュすることと、をさらに含む、予備請求項1に記載の方法。
[予備請求項8]
前記アイデンティティプロバイダゲートウェイデバイスによって、前記モバイルデバイスに関連付けられた前記キャッシュされた認証データを取り出すことと、
前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記キャッシュされた認証データを使用して、認証トークンを生成することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記モバイルデバイスに、前記認証トークンを送信することと、をさらに含む、予備請求項7に記載の方法。
[予備請求項9]
所定の時間後に、前記モバイルデバイスに関連付けられた前記キャッシュされた認証データを、前記アイデンティティプロバイダゲートウェイデバイスによって削除することをさらに含む、予備請求項7に記載の方法。
[予備請求項10]
前記サービスへのアクセスを許可することを判定した後に、アイデンティティプロバイダゲートウェイデバイスによって、かつ前記クライアント証明書から、前記モバイルデバイスのユーザに関連付けられたユーザ識別子を抽出することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記ユーザ識別子を使用して、認証トークンを生成することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記モバイルデバイスに、前記認証トークンを送信することと、をさらに含む、予備請求項1に記載の方法。
[予備請求項11]
前記ユーザ識別子を抽出した後に、前記アイデンティティプロバイダゲートウェイデバイスによって、かつディレクトリサービスに、前記モバイルデバイスの前記ユーザに関連付けられた追加データに対する要求を送信することと、
前記アイデンティティプロバイダゲートウェイデバイスによって、かつ前記ディレクトリサービスから、前記モバイルデバイスの前記ユーザに関連付けられた前記追加データを受信することであって、前記認証トークンを生成することが、前記ディレクトリサービスから受信した前記ユーザに関連付けられた前記ユーザ識別子及び前記追加データを使用して前記認証トークンを生成することを含む、受信することと、をさらに含む、予備請求項10に記載の方法。
[予備請求項12]
装置であって、
プロセッサと、
メモリであって、前記プロセッサによって実行されると、前記装置に、
モバイルデバイスで作動しているアプリケーションから、かつ前記装置と、前記モバイルデバイスで作動している前記アプリケーションとの間のセキュアな通信トンネルを介して、クライアント証明書を含む認証要求を受信させ、
前記クライアント証明書から、前記モバイルデバイスに関連付けられたデバイス識別子を抽出させ、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための要求を、デバイス管理サーバへ送信させ、前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための前記要求は、前記モバイルデバイスに関連付けられた前記デバイス識別子を含み、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための前記要求を送信することに応じて、前記デバイス管理サーバから、前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかの指標を受信させ、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかの前記指標に基づいて、前記モバイルデバイスで作動している前記アプリケーションに前記モバイルデバイスで作動している前記アプリケーションに関連付けられたサービスへのアクセスを許可するかどうかを判定させる、コンピュータ実行可能命令を記憶するメモリと、を備える、装置。
[予備請求項13]
前記メモリが、前記プロセッサによって実行されると、前記装置に、
前記サービスへのアクセスを許可することを判定した後に、前記モバイルデバイスに関連付けられたキャッシュされた認証データを取り出させ、
前記キャッシュされた認証データを使用して、認証トークンを生成させ、
前記モバイルデバイスへ前記認証トークンを送信させる、コンピュータ実行可能命令を記憶する、予備請求項12に記載の装置。
[予備請求項14]
前記認証トークンが、前記モバイルデバイスで作動している前記アプリケーションに関連付けられた前記サービスにアクセスするために、前記モバイルデバイスによって使用されるように構成されている、予備請求項13に記載の装置。
[予備請求項15]
前記メモリが、前記プロセッサによって実行されると、前記装置に、
前記モバイルデバイスに関連付けられた認証データが前記装置でキャッシュされていないことを判定させ、
前記認証データが前記装置でキャッシュされていないと判定することに応じて、前記モバイルデバイスへアイデンティティプロバイダデバイスからの前記認証データに対する要求を送信させ、
前記モバイルデバイスから、かつ前記アイデンティティプロバイダデバイスを介して、前記モバイルデバイスに関連付けられた前記認証データを受信させ、
前記モバイルデバイスに関連付けられた前記認証データをキャッシュさせる、コンピュータ実行可能命令を記憶する、予備請求項12に記載の装置。
[予備請求項16]
前記メモリが、前記プロセッサによって実行されると、前記装置に、
前記モバイルデバイスに関連付けられた前記キャッシュされた認証データを取り出させ、
前記キャッシュされた認証データを使用して認証トークンを生成させ、
前記モバイルデバイスへ前記認証トークンを送信させる、コンピュータ実行可能命令を記憶する、予備請求項15に記載の装置。
[予備請求項17]
前記メモリが、前記プロセッサによって実行されると、前記装置に、
前記サービスへのアクセスを許可することを判定した後に、前記クライアント証明書から、前記モバイルデバイスのユーザに関連付けられたユーザ識別子を抽出させ、
前記ユーザ識別子を使用して認証トークンを生成させ、
前記モバイルデバイスへ前記認証トークンを送信させる、コンピュータ実行可能命令を記憶する、予備請求項12に記載の装置。
[予備請求項18]
システムであって、
モバイルデバイスであって、
第1のプロセッサと、
メモリであって、前記モバイルデバイスの前記第1のプロセッサによって実行されると、前記モバイルデバイスに、
前記モバイルデバイスで作動しているアプリケーションとコンピューティングデバイスとの間にセキュアな通信トンネルを確立させ、
前記モバイルデバイスで作動している前記アプリケーションから、かつ前記セキュアな通信トンネルを介して、前記コンピューティングデバイスへクライアント証明書を含む認証要求を送信させる、コンピュータ実行可能命令を記憶する、メモリと、を備える、
モバイルデバイスを備え、
前記コンピューティングデバイスが、
第2のプロセッサと、
メモリであって、前記コンピューティングデバイスの前記第2のプロセッサによって実行されると、前記コンピューティングデバイスに、
前記モバイルデバイスで作動している前記アプリケーションから、かつ前記セキュアな通信トンネルを介して、前記クライアント証明書を含む前記認証要求を受信させ、
前記クライアント証明書から、前記モバイルデバイスに関連付けられたデバイス識別子を抽出させ、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための要求を、デバイス管理サーバへ送信させ、前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための前記要求は、前記モバイルデバイスに関連付けられた前記デバイス識別子を含み、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかを判定するための前記要求を送信することに応じて、前記デバイス管理サーバから、前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかの指標を受信させ、
前記モバイルデバイスがセキュリティポリシーに準拠しているかどうかの前記指標に基づいて、前記モバイルデバイスで作動している前記アプリケーションに前記モバイルデバ
イスで作動している前記アプリケーションに関連付けられたサービスへのアクセスを許可するかどうかを判定させる、コンピュータ実行可能命令を記憶する、メモリと、を備える、システム。
[予備請求項19]
前記セキュアな通信トンネルを確立することが、
前記コンピューティングデバイスにアクセスするための要求を、前記モバイルデバイスで作動している前記アプリケーションによって検出することと、
前記コンピューティングデバイスにアクセスするための前記要求を、トンネリングアプリケーションによってインターセプトすることと、
前記モバイルデバイスで作動している前記アプリケーションと前記コンピューティングデバイスとの間の前記セキュアな通信トンネルを、前記トンネリングアプリケーションによって、かつ前記クライアント証明書を使用して、確立することと、を含む、予備請求項18に記載のシステム。
[予備請求項20]
前記セキュアな通信トンネルを確立することが、前記認証要求を前記コンピューティングデバイスにリダイレクトするための、前記サービスのサービスプロバイダからの要求に応じて行われる、予備請求項18に記載のシステム。
Claims (20)
- 方法であって、
コンピューティングデバイスによって、ユーザデバイスから、前記ユーザデバイスと前記コンピューティングデバイスとの間のセキュアなチャネルを通して認証要求を受信し、
前記コンピューティングデバイスによって、前記ユーザデバイスと前記コンピューティングデバイスとの間の前記セキュアなチャネルを通して要求された前記認証要求の受信を判定したことに基づいて、前記認証要求から前記ユーザデバイスに関連付けられた識別子を抽出し、
前記コンピューティングデバイスからサーバに対して、前記ユーザデバイスに関連付けられた前記識別子を示すデータを送信し、
前記コンピューティングデバイスによって、前記サーバから、前記ユーザデバイスが1または複数のセキュリティポリシーに準拠しているかどうかを示すデータを受信し、
前記コンピューティングデバイスによって、前記ユーザデバイスが1または複数のセキュリティポリシーに準拠しているかどうかを示すデータに基づいて、前記ユーザデバイスがサービスにアクセスすることを許可するかどうかを判定する、各ステップを含む方法。 - 前記ユーザデバイスによって、前記コンピューティングデバイスにアクセスしたいという要求を検知し、
通信アプリケーションによって、前記コンピューティングデバイスにアクセスする要求をインターセプトし、
前記通信アプリケーションによって、前記ユーザデバイスと前記コンピューティングデバイスとの間に前記セキュアなチャネルを確立する、各ステップをさらに含む、請求項1に記載の方法。 - 前記セキュアなチャネルは、仮想プライベートネットワーク(VPN)トンネルを含む、請求項1に記載の方法。
- 要求に応じて前記ユーザデバイスと前記コンピューティングデバイスとの間に、前記サービスのサービス・プロバイダから前記コンピューティングデバイスへ前記認証要求をリダイレクトするためのセキュアなチャネルを確立するステップをさらに含む、請求項1に記載の方法。
- 前記サービスへのアクセスを許可することを決定した後、前記コンピューティングデバイスによって、前記ユーザデバイスに関連付けられたキャッシュされた認証データを抽出し、
前記キャッシュされた認証データを用いて前記コンピューティングデバイスによって、認証トークンを生成し、
前記コンピューティングデバイスによって、前記ユーザデバイスに対して前記認証トークンを送信する各ステップをさらに含む、請求項1に記載の方法。 - 前記認証トークンは、前記ユーザデバイスが前記サービスにアクセスするために使用するように構成されている、請求項5に記載の方法。
- 前記コンピューティングデバイスによって、前記ユーザデバイスに関連付けられた認証データが前記コンピューティングデバイスでキャッシュされていないことを判定し、
前記認証データが前記コンピューティングデバイスでキャッシュされていないと判定されたことに応答して、前記コンピューティングデバイスによって、前記ユーザデバイスに対して、アイデンティティプロバイダデバイスからの認証データの要求を送信し、
前記コンピューティングデバイスによって、前記ユーザデバイスから前記アイデンティティプロバイダデバイスを介して、前記ユーザデバイスに関連付けられた前記認証データを受信し、
前記コンピューティングデバイスによって、前記ユーザデバイスに関連付けられた前記認証データをキャッシュする各ステップをさらに含む、請求項1に記載の方法。 - 前記コンピューティングデバイスによって、前記ユーザデバイスに関連付けられた前記キャッシュされた認証データを抽出し、
前記コンピューティングデバイスによって、前記キャッシュされた認証データを使用して認証トークンを生成し、
前記コンピューティングデバイスによって、前記ユーザデバイスに対して前記認証トークンを送信する各ステップをさらに含む、請求項7に記載の方法。 - 所定の時間の経過後、前記コンピューティングデバイスによって、前記ユーザデバイスに関連して前記キャッシュされた認証データを削除するステップをさらに含む、請求項7に記載の方法。
- 前記サービスへのアクセス許可を決定した後、前記コンピューティングデバイスによって、前記認証要求に関連付けられた情報から、前記ユーザデバイスのユーザに関連付けられたユーザ識別子を決定し、
前記コンピューティングデバイスによって、前記ユーザ識別子を使用して、認証トークンを生成し、
前記コンピューティングデバイスによって、前記ユーザデバイスに対して、前記認証トークンを送信する各ステップをさらに含む、請求項1に記載の方法。 - 前記ユーザ識別子を決定した後、前記コンピューティングデバイスによって、ディレクトリサービスに対して、前記ユーザデバイスのユーザに関連付けられた追加データの要求を送信し、
前記コンピューティングデバイスによって、前記ディレクトリサービスから、前記ユーザデバイスのユーザに関連付けられた追加データを受け取る、各ステップをさらに含み、
前記認証トークンを生成するステップは、前記ユーザ識別子と前記ディレクトリサービスから受信したユーザに関連付けられた追加データとを使用して前記認証トークンを生成する、請求項10に記載の方法。 - 装置であって、
プロセッサと、コンピュータ実行可能命令を記憶しているメモリとを備え、
前記メモリは、前記プロセッサによって実行されると、前記装置に、
(a)ユーザデバイスから、前記装置と前記ユーザデバイスとの間のセキュアなチャネルを通して、認証要求を受け取り、
(b)前記認証要求が前記ユーザデバイスと前記装置との間の前記セキュアなチャネルを通して受信されたとの判定に基づいて、前記認証要求から前記ユーザデバイスに関連付けられた識別子を抽出し、
(c)前記ユーザデバイスに関連付けられた識別子を示すデータを、サーバへ送信し、
(d)前記サーバから、前記ユーザデバイスが1または複数のセキュリティポリシーに準拠しているかどうかを示すデータを受信し、
(e)前記ユーザデバイスが1または複数のセキュリティポリシーに準拠しているかどうかを示す前記データに基づいて、前記ユーザデバイスがサービスにアクセスすることを許可するかどうかを決定する、
各ステップを実行させる、装置。 - 前記メモリは、前記プロセッサによって実行されると、前記装置に、
(f)前記サービスへのアクセスを許可することを判定した後に、前記ユーザデバイスに関連付けてキャッシュされた認証データを抽出し、
(g)前記キャッシュされた認証データを使用して、認証トークンを生成し、
(h)前記ユーザデバイスへ前記認証トークンを送信する、
各ステップを実行させるコンピュータ実行可能命令を記憶している、請求項12に記載の装置。 - 前記認証トークンが、前記サービスにアクセスするために、前記ユーザデバイスによって使用されるように構成されている、請求項13に記載の装置。
- 前記メモリは、前記プロセッサによって実行されると、前記装置に、
(i)前記ユーザデバイスに関連付けられた認証データが前記装置でキャッシュされていないことを判定し、
(j)前記認証データが前記装置でキャッシュされていないと判定したことに応じて、前記ユーザデバイスへ、アイデンティティプロバイダデバイスからの前記認証データのための要求を送信し、
(k)前記ユーザデバイスから、かつ前記アイデンティティプロバイダデバイスを介して、前記ユーザデバイスに関連付けられた前記認証データを受信し、
(l)前記ユーザデバイスに関連付けられた前記認証データをキャッシュする、各ステップを実行させるコンピュータ実行可能命令を記憶している、請求項12に記載の装置。 - 前記メモリは、前記プロセッサによって実行されると、前記装置に、
(m)前記ユーザデバイスに関連付けられた前記キャッシュされた認証データを取り出し、
(n)前記キャッシュされた認証データを使用して認証トークンを生成し、
(o)前記ユーザデバイスへ前記認証トークンを送信する、
各ステップを実行させるコンピュータ実行可能命令を記憶している、請求項15に記載の装置。 - 前記メモリは、前記プロセッサによって実行されると、前記装置に、
(p)前記サービスへのアクセスを許可することを決定した後に、前記認証要求に関連付けられた情報から、前記ユーザデバイスのユーザに関連付けられたユーザ識別子を判定し、
(q)前記ユーザ識別子を使用して認証トークンを生成し、
(r)前記ユーザデバイスへ前記認証トークンを送信する、
各ステップを実行させるコンピュータ実行可能命令を記憶している、請求項12に記載の装置。 - システムであって、
ユーザデバイスと、コンピューティングデバイスとを有し、
前記ユーザデバイスは、プロセッサと、メモリとを備え、
前記メモリは、前記ユーザデバイスの前記プロセッサによって実行されると、前記ユーザデバイスに、前記ユーザデバイスと前記コンピューティングデバイスとの間のセキュアなチャネルを通して前記コンピューティングデバイスに向かって認証要求を送信させるコンピュータ実行可能命令を記憶し、
前記コンピューティングデバイスは、プロセッサと、メモリとを備え、
前記メモリは、前記コンピューティングデバイスの前記プロセッサによって実行されると、前記コンピューティングデバイスに、
(a)前記ユーザデバイスから、かつ前記セキュアなチャネルを介して、前記認証要求を受け取り、
(b)前記ユーザデバイスと前記コンピューティングデバイスとの間の前記セキュアなチャネルを通した前記認証要求の受け取りを判定したことに基づいて、前記認証要求から前記ユーザデバイスに関連付けられた識別子を抽出し、
(c)サーバに対して、前記ユーザデバイスに関連付けられた前記識別子を示すデータを送信し、
(d)前記サーバから、前記ユーザデバイスが1または複数のセキュリティポリシーに準拠しているかどうかを示すデータを受信し、
(e)前記ユーザデバイスが1または複数のセキュリティポリシーに準拠しているかどうかを示すデータに基づいて、前記ユーザデバイスがサービスにアクセスすることを許可するかどうかを判定する、
各ステップを実行させるコンピュータ実行可能命令を記憶している、システム。 - 前記ユーザデバイスの前記メモリは、前記ユーザデバイスの前記プロセッサによって実行されると、前記ユーザデバイスに、
(f)前記コンピューティングデバイスにアクセスするための要求を検出し、
(g)前記コンピューティングデバイスにアクセスするための前記要求を、通信アプリケーションによってインターセプトし、
(h)前記通信アプリケーションによって、前記ユーザデバイスと前記コンピューティングデバイスとの間の前記セキュアなチャネルを確立する、
各ステップを実行させるコンピュータ実行可能命令を記憶している、請求項18に記載のシステム。 - 前記ユーザデバイスの前記メモリは、前記ユーザデバイスの前記プロセッサによって実行されると、前記ユーザデバイスに、前記サービスのサービスプロバイダからの、前記コンピューティングデバイスへの前記認証要求をリダイレクトする要求に応答して、前記セキュアなチャネルを、前記ユーザデバイスと前記コンピューティングデバイスとの間に確立するステップを実行させるコンピュータ実行可能命令を記憶している、請求項18に記載のシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/716,871 | 2017-09-27 | ||
US15/716,871 US9948612B1 (en) | 2017-09-27 | 2017-09-27 | Secure single sign on and conditional access for client applications |
JP2018175020A JP6731023B2 (ja) | 2017-09-27 | 2018-09-19 | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018175020A Division JP6731023B2 (ja) | 2017-09-27 | 2018-09-19 | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020166906A JP2020166906A (ja) | 2020-10-08 |
JP6987931B2 true JP6987931B2 (ja) | 2022-01-05 |
Family
ID=61873169
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018175020A Expired - Fee Related JP6731023B2 (ja) | 2017-09-27 | 2018-09-19 | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス |
JP2020115524A Active JP6987931B2 (ja) | 2017-09-27 | 2020-07-03 | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018175020A Expired - Fee Related JP6731023B2 (ja) | 2017-09-27 | 2018-09-19 | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス |
Country Status (5)
Country | Link |
---|---|
US (3) | US9948612B1 (ja) |
EP (1) | EP3462759B1 (ja) |
JP (2) | JP6731023B2 (ja) |
KR (1) | KR102188919B1 (ja) |
CN (1) | CN109558721B (ja) |
Families Citing this family (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3062142B1 (en) | 2015-02-26 | 2018-10-03 | Nokia Technologies OY | Apparatus for a near-eye display |
US10147984B2 (en) | 2015-07-31 | 2018-12-04 | SynCells, Inc. | Portable and modular energy storage for multiple applications |
US10523660B1 (en) | 2016-05-13 | 2019-12-31 | MobileIron, Inc. | Asserting a mobile identity to users and devices in an enterprise authentication system |
WO2017197400A1 (en) * | 2016-05-13 | 2017-11-16 | Mobile Iron, Inc. | Unified vpn and identity based authentication to cloud-based services |
US10650552B2 (en) | 2016-12-29 | 2020-05-12 | Magic Leap, Inc. | Systems and methods for augmented reality |
EP3343267B1 (en) | 2016-12-30 | 2024-01-24 | Magic Leap, Inc. | Polychromatic light out-coupling apparatus, near-eye displays comprising the same, and method of out-coupling polychromatic light |
US11394573B2 (en) | 2017-06-13 | 2022-07-19 | SynCells, Inc. | Energy virtualization layer with a universal smart gateway |
US11125461B2 (en) | 2017-06-13 | 2021-09-21 | Gerard O'Hora | Smart vent system with local and central control |
US11271766B2 (en) * | 2017-06-13 | 2022-03-08 | SynCells, Inc. | Energy virtualization layer with a universal smart gateway |
US10578870B2 (en) | 2017-07-26 | 2020-03-03 | Magic Leap, Inc. | Exit pupil expander |
US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
CN116990888A (zh) | 2017-12-10 | 2023-11-03 | 奇跃公司 | 光波导上的抗反射涂层 |
US11187923B2 (en) | 2017-12-20 | 2021-11-30 | Magic Leap, Inc. | Insert for augmented reality viewing device |
WO2019178567A1 (en) | 2018-03-15 | 2019-09-19 | Magic Leap, Inc. | Image correction due to deformation of components of a viewing device |
EP3803488A4 (en) | 2018-05-30 | 2021-07-28 | Magic Leap, Inc. | COMPACT VARIABLE FOCUS CONFIGURATIONS |
WO2019231850A1 (en) | 2018-05-31 | 2019-12-05 | Magic Leap, Inc. | Radar head pose localization |
WO2019236495A1 (en) | 2018-06-05 | 2019-12-12 | Magic Leap, Inc. | Homography transformation matrices based temperature calibration of a viewing system |
JP7421505B2 (ja) | 2018-06-08 | 2024-01-24 | マジック リープ, インコーポレイテッド | 自動化された表面選択設置およびコンテンツ配向設置を用いた拡張現実ビューア |
WO2020010097A1 (en) | 2018-07-02 | 2020-01-09 | Magic Leap, Inc. | Pixel intensity modulation using modifying gain values |
WO2020010226A1 (en) | 2018-07-03 | 2020-01-09 | Magic Leap, Inc. | Systems and methods for virtual and augmented reality |
US11856479B2 (en) | 2018-07-03 | 2023-12-26 | Magic Leap, Inc. | Systems and methods for virtual and augmented reality along a route with markers |
WO2020023543A1 (en) | 2018-07-24 | 2020-01-30 | Magic Leap, Inc. | Viewing device with dust seal integration |
EP4270016A3 (en) | 2018-07-24 | 2024-02-07 | Magic Leap, Inc. | Temperature dependent calibration of movement detection devices |
US11112862B2 (en) | 2018-08-02 | 2021-09-07 | Magic Leap, Inc. | Viewing system with interpupillary distance compensation based on head motion |
WO2020028191A1 (en) | 2018-08-03 | 2020-02-06 | Magic Leap, Inc. | Unfused pose-based drift correction of a fused pose of a totem in a user interaction system |
CN112955073A (zh) | 2018-08-22 | 2021-06-11 | 奇跃公司 | 患者观察*** |
CN109257209A (zh) * | 2018-09-04 | 2019-01-22 | 山东浪潮云投信息科技有限公司 | 一种数据中心服务器集中管理***及方法 |
JP7472127B2 (ja) | 2018-11-16 | 2024-04-22 | マジック リープ, インコーポレイテッド | 画像鮮明度を維持するための画像サイズによってトリガされる明確化 |
US20220046023A1 (en) * | 2018-12-11 | 2022-02-10 | Visa International Service Association | Trust tokens for resource access |
CN109617907B (zh) * | 2019-01-04 | 2022-04-08 | 平安科技(深圳)有限公司 | 认证方法、电子装置及计算机可读存储介质 |
US11190521B2 (en) * | 2019-01-18 | 2021-11-30 | Vmware, Inc. | TLS policy enforcement at a tunnel gateway |
US10944743B2 (en) * | 2019-01-22 | 2021-03-09 | Adp, Llc | Rich communication services security authentication system |
JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
EP4369151A2 (en) | 2019-02-06 | 2024-05-15 | Magic Leap, Inc. | Target intent-based clock speed determination and adjustment to limit total heat generated by multiple processors |
US11375043B2 (en) * | 2019-03-06 | 2022-06-28 | Citizen Watch Co., Ltd. | Program management system, external device and terminal device for controlling a program developer's ability to access, publish and manage marketing of a program |
US11818129B2 (en) * | 2019-03-07 | 2023-11-14 | Lookout, Inc. | Communicating with client device to determine security risk in allowing access to data of a service provider |
JP2022523852A (ja) | 2019-03-12 | 2022-04-26 | マジック リープ, インコーポレイテッド | 第1および第2の拡張現実ビューア間でのローカルコンテンツの位置合わせ |
CN113632437B (zh) * | 2019-03-29 | 2023-05-30 | Abb瑞士股份有限公司 | 工业物联网中的安全远程连接 |
US11445232B2 (en) | 2019-05-01 | 2022-09-13 | Magic Leap, Inc. | Content provisioning system and method |
NL2023545B1 (en) * | 2019-07-22 | 2021-02-10 | Mobuyou B V | A computer implemented method of authorizing a user of a communication device access to restricted content on a server. |
JP2022542363A (ja) | 2019-07-26 | 2022-10-03 | マジック リープ, インコーポレイテッド | 拡張現実のためのシステムおよび方法 |
CN110557320B (zh) * | 2019-09-11 | 2022-01-28 | 太仓市同维电子有限公司 | 基于家庭智能网关实现vpn插件海淘加速功能的***及其方法 |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
KR102119257B1 (ko) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
US11190494B2 (en) | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
CN110535884B (zh) * | 2019-09-26 | 2021-10-22 | 招商局金融科技有限公司 | 跨企业***间访问控制的方法、装置及存储介质 |
EP3817327A1 (en) * | 2019-10-28 | 2021-05-05 | Lookout Inc. | Monitoring security of a client device to provide continuous conditional server access |
JP2023502927A (ja) | 2019-11-15 | 2023-01-26 | マジック リープ, インコーポレイテッド | 外科手術環境において使用するための視認システム |
CN111125674B (zh) * | 2019-12-20 | 2022-03-22 | ***股份有限公司 | 开放式数据处理***、开放式数据***及数据处理方法 |
CN113127223B (zh) * | 2019-12-31 | 2022-10-11 | 武汉斗鱼鱼乐网络科技有限公司 | 一种Windows客户端程序模块间的加密数据传输的方法和装置 |
US11425098B2 (en) * | 2020-02-28 | 2022-08-23 | Cisco Technology, Inc. | Streamlined authentication and authorization for virtual private network tunnel establishment |
CN111416822B (zh) * | 2020-03-20 | 2022-10-18 | 数篷科技(深圳)有限公司 | 访问控制的方法、电子设备和存储介质 |
KR102181608B1 (ko) * | 2020-05-08 | 2020-11-24 | 한국과학기술정보연구원 | 연합 인증 장치 및 그것의 연합 인증 방법 |
CN111988314A (zh) * | 2020-08-19 | 2020-11-24 | 杭州铂钰信息科技有限公司 | 一种动态部署网络安全服务的***架构及其方法 |
US11457008B2 (en) * | 2020-10-13 | 2022-09-27 | Cisco Technology, Inc. | Steering traffic on a flow-by-flow basis by a single sign-on service |
KR20220064676A (ko) | 2020-11-12 | 2022-05-19 | 김정호 | Fido 방식 기반 통합 인증 관리 시스템 및 방법 |
KR20220066692A (ko) | 2020-11-16 | 2022-05-24 | 김정호 | 업무 포탈의 통합 인증 관리 시스템 및 방법 |
CN112383557B (zh) * | 2020-11-17 | 2023-06-20 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
US11610011B2 (en) * | 2021-01-29 | 2023-03-21 | Akamai Technologies, Inc. | Secure transfer of data between programs executing on the same end-user device |
US20220294788A1 (en) * | 2021-03-09 | 2022-09-15 | Oracle International Corporation | Customizing authentication and handling pre and post authentication in identity cloud service |
CN113114638A (zh) * | 2021-03-26 | 2021-07-13 | 湖南和信安华区块链科技有限公司 | 联盟链的访问和验证方法及*** |
US20220366050A1 (en) * | 2021-04-22 | 2022-11-17 | Talon Cyber Security Ltd. | Cyber secure communications system |
KR102500733B1 (ko) | 2021-06-07 | 2023-02-20 | 한국전자통신연구원 | 원격업무용 사용자 단말의 보안성 보장을 위한 원격업무환경 구축 방법 및 이를 이용한 장치 |
US11909723B2 (en) * | 2021-06-15 | 2024-02-20 | Microsoft Technology Licensing, Llc | Mobile VPN autostart through app-only management |
CN113422768B (zh) * | 2021-06-21 | 2022-05-31 | 深圳竹云科技有限公司 | 零信任中的应用接入方法、装置及计算设备 |
CN113691378B (zh) * | 2021-08-24 | 2024-07-05 | 平安国际智慧城市科技股份有限公司 | 基于网关的Oauth2单点登录方法、装置、电子设备及存储介质 |
US20230068880A1 (en) * | 2021-08-27 | 2023-03-02 | EMC IP Holding Company LLC | Function-based service framework with trusted execution platform |
KR102379720B1 (ko) * | 2021-09-03 | 2022-03-29 | 프라이빗테크놀로지 주식회사 | 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 |
CN114422212A (zh) * | 2021-12-31 | 2022-04-29 | 中煤科工集团信息技术有限公司 | 一种工业互联网装置云连接方法、***及装置 |
US20230254321A1 (en) * | 2022-02-09 | 2023-08-10 | Microsoft Technology Licensing, Llc | Adaptive authorization with local route identifier |
US20230315830A1 (en) * | 2022-03-30 | 2023-10-05 | Landis+Gyr Innovations, Inc. | Web-based authentication for desktop applications |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100759489B1 (ko) * | 2004-11-18 | 2007-09-18 | 삼성전자주식회사 | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 |
IL177904A0 (en) * | 2006-09-05 | 2007-07-04 | Worklight Ltd | Secured web syndication |
US8990910B2 (en) * | 2007-11-13 | 2015-03-24 | Citrix Systems, Inc. | System and method using globally unique identities |
US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
CN101431517B (zh) * | 2008-12-08 | 2011-04-27 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
EP2334034B1 (en) * | 2009-11-11 | 2018-06-27 | BlackBerry Limited | Using a trusted token and push for validating the request for single sign on |
KR101630755B1 (ko) * | 2010-01-15 | 2016-06-15 | 삼성전자주식회사 | 모바일 디바이스 간 보안 통신 방법 및 장치 |
EP2355439A1 (en) * | 2010-02-02 | 2011-08-10 | Swisscom AG | Accessing restricted services |
US8549300B1 (en) * | 2010-02-23 | 2013-10-01 | Juniper Networks, Inc. | Virtual single sign-on for certificate-protected resources |
CN102333090A (zh) * | 2011-09-28 | 2012-01-25 | 辽宁国兴科技有限公司 | 一种内控堡垒主机及安全访问内网资源的方法 |
CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
US9690920B2 (en) * | 2012-08-30 | 2017-06-27 | International Business Machines Corporation | Secure configuration catalog of trusted identity providers |
US8910239B2 (en) * | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US20140109171A1 (en) * | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network tunnels |
EP3633954B1 (en) * | 2012-10-15 | 2022-08-10 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US9264905B2 (en) * | 2013-02-21 | 2016-02-16 | Digi International Inc. | Establishing secure connection between mobile computing device and wireless hub using security credentials obtained from remote security credential server |
US9098687B2 (en) * | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
US9363251B2 (en) * | 2013-10-01 | 2016-06-07 | Google Technology Holdings LLC | Systems and methods for credential management between electronic devices |
US9450955B2 (en) * | 2014-01-13 | 2016-09-20 | Oracle International Corporation | Authenticator for user state management |
US9584515B2 (en) * | 2014-04-30 | 2017-02-28 | Citrix Systems, Inc. | Enterprise system authentication and authorization via gateway |
US10021088B2 (en) * | 2014-09-30 | 2018-07-10 | Citrix Systems, Inc. | Fast smart card logon |
EP3251324B1 (en) * | 2015-01-26 | 2020-09-23 | Mobile Iron, Inc. | Secure access to cloud-based services |
US9882887B2 (en) * | 2015-06-15 | 2018-01-30 | Airwatch Llc | Single sign-on for managed mobile devices |
US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
-
2017
- 2017-09-27 US US15/716,871 patent/US9948612B1/en active Active
-
2018
- 2018-03-13 US US15/919,935 patent/US10218679B1/en active Active
- 2018-09-19 JP JP2018175020A patent/JP6731023B2/ja not_active Expired - Fee Related
- 2018-09-21 EP EP18196098.0A patent/EP3462759B1/en active Active
- 2018-09-26 CN CN201811123175.6A patent/CN109558721B/zh active Active
- 2018-09-27 KR KR1020180115172A patent/KR102188919B1/ko active IP Right Grant
-
2019
- 2019-01-10 US US16/244,598 patent/US10992473B2/en active Active
-
2020
- 2020-07-03 JP JP2020115524A patent/JP6987931B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
CN109558721A (zh) | 2019-04-02 |
KR102188919B1 (ko) | 2020-12-09 |
US10218679B1 (en) | 2019-02-26 |
US9948612B1 (en) | 2018-04-17 |
JP2020166906A (ja) | 2020-10-08 |
US20190149514A1 (en) | 2019-05-16 |
US10992473B2 (en) | 2021-04-27 |
JP2019079504A (ja) | 2019-05-23 |
CN109558721B (zh) | 2023-08-08 |
JP6731023B2 (ja) | 2020-07-29 |
KR20190036504A (ko) | 2019-04-04 |
EP3462759B1 (en) | 2021-12-08 |
EP3462759A1 (en) | 2019-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6987931B2 (ja) | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス | |
CN111052706B (zh) | 将单点登录扩展到联合登录提供者的依赖方的方法 | |
US11258780B2 (en) | Securing a data connection for communicating between two end-points | |
JP6539357B2 (ja) | ハイブリッドクラウドサービスのためのパスワードの暗号化 | |
US20210218722A1 (en) | Dynamic crypto key management for mobility in a cloud environment | |
JP7023377B2 (ja) | 仮想アプリケーションの即時起動 | |
JP2019526842A (ja) | 仮想ブラウザ統合 | |
US11652613B2 (en) | Secure information exchange in federated authentication | |
US20220094547A1 (en) | Enhanced token transfer | |
US11748312B2 (en) | Sharing of data with applications | |
US11770454B2 (en) | Native application integration for enhanced remote desktop experiences | |
JP2021535521A (ja) | 仮想デスクトップでのローカルマップアカウント | |
WO2022026316A1 (en) | Secure token transfer between untrusted entities | |
US11366883B2 (en) | Reflection based endpoint security test framework | |
US11722461B2 (en) | Connecting client devices to anonymous sessions via helpers | |
WO2024065247A1 (en) | On-demand virtual secure session |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200717 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210819 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211027 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211125 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211201 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6987931 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |