经由浏览器对客户端应用进行单点登录验证制造技术

技术编号:18467196 阅读:32 留言:0更新日期:2018-07-18 16:39
在一个实施例中,一种方法包括:在客户端设备处的客户端应用处发起利用安全设备进行的单点登录验证;在客户端应用处,从安全设备接收用于单点登录验证的会话标识符和web入口位置;以及将会话标识符和web入口位置从客户端应用传送到安装在客户端设备处的浏览器,供浏览器执行客户端设备处的单点登录验证时使用。还公开了一种装置和逻辑。

Single sign on verification of client application via browser

In one embodiment, one method includes: initiating single sign on authentication with secure devices at the client application at the client device; receiving the session identifier and the web entry position for single sign on authentication from the security device at the client application, and the location of the speaker identifier and the web entry position from the guest. The client application is sent to the browser installed at the client device for browser to perform single sign on verification at the client device. A device and logic is also disclosed.

【技术实现步骤摘要】
【国外来华专利技术】经由浏览器对客户端应用进行单点登录验证
本公开总体涉及通信网络,更具体地涉及验证。
技术介绍
很多机构出于降低它们基于web的企业服务的复杂性的目的采用各种方案来实现SSO/SLO(单点登录/单点退出)。SSO/SLO技术通过向经核准的应用和数据提供单点登录无客户端入口,极大地提升了用户体验。用户可以被允许在单个位置用单个账户进行验证并访问范围广泛的服务,从而为终端用户提供无缝体验并为机构提供起决定作用的可视性和控制。但是,用来访问云服务的设备和应用的多样性以及不断变化的特点使得SSO/SLO难以实现,并且会导致需要进行多次验证。附图说明图1示出了可以实现本文描述的实施例的网络的示例。图2示出了用于实现本文描述的实施例的网络设备的示例。图3是示出根据一个实施例的经由浏览器对客户端应用进行SSO验证的处理概况的流程图。图4是示出根据一个实施例的安全设备、客户端应用、以及浏览器之间的SSO通信的示意图。图5是示出根据一个实施例的安全设备、客户端应用、以及浏览器之间的SLO通信的示意图。图6是示出根据一个实施例的图1所示的系统的组件之间的针对新客户端登录的通信流的示意图。图7是示出根据一个实施例的在客户端已经完成SSO验证之后图1所示的系统的组件之间的针对访问应用的通信流的示意图。图8是示出根据一个实施例的图1所示的系统的组件之间的针对由AnyConnect发起的退出的通信流的示意图。图9是示出根据一个实施例的图1所示的系统的组件之间的针对由身份提供商发起的退出的通信流的示意图。贯穿各个附图,相应的参考标号指示相应的部分。具体实施方式概述在独立权利要求中给出了本专利技术的多个方面,并且在从属权利要求中给出了优选特征。一方面的特征可以被单独应用于某些方面也可以被集合应用于其他方面。在一个实施例中,一种方法总地包括:在客户端设备处的客户端应用处发起利用安全设备进行的单点登录验证;在客户端应用处,从安全设备接收用于单点登录验证的会话标识符和web入口位置;以及将会话标识符和web入口位置从客户端应用传送到安装在客户端设备处的浏览器,供浏览器执行客户端设备处的单点登录验证时使用。在另一实施例中,一种装置总地包括:接口,用于与包括客户端应用和浏览器的客户端设备通信;以及处理器,用于处理来自客户端应用的针对单点登录验证的请求,生成安全设备和客户端应用之间的客户端会话,向客户端应用发送用于单点登录验证的客户端会话标识符和web入口位置,并使用从浏览器接收的客户端会话标识符和web入口位置来通过浏览器处理单点登录验证。在又一实施例中,一种计算机程序、计算机程序产品、或逻辑被编码在一种或多种非瞬态计算机可读介质上供执行,并且在被执行时可操作以:在客户端设备处的客户端应用处发起利用安全设备进行的单点登录验证;在客户端应用处,处理从安全设备接收的用于单点登录验证的会话标识符和web入口位置;将会话标识符和web入口位置从客户端应用传送到安装在客户端设备处的浏览器,供浏览器执行客户端设备处的单点登录验证时使用。还描述了包括网络节点、计算机程序、计算机程序产品、计算机可读介质、以及编码在有形介质上用于实现本文描述的方法的逻辑在内的用于实现上述方法的系统和装置。示例实施例给出以下描述以使本领域普通技术人员能够实施并使用实施例。具体实施例和应用的描述仅作为示例被提供,并且各种修改对于本领域技术人员来说将是显而易见的。本文描述的总体原理可以应用于其他应用,而不会偏离实施例的范围。因此,实施例不限于所示出的实施例,而可以覆盖遵循本文描述的原理和特征的最宽范围。为了清楚的目的,没有详细描述本
中已知的与实施例相关的技术材料的相关细节。单点登录(SSO)技术允许终端用户在一旦获取了对已核准这些终端用户访问的应用的访问的情况下采用它们现有的安全凭证通过验证。SSO验证消除了客户端对网络上完全不同的应用访问的复杂性,并且用对这些应用的单点访问替代了客户端对应用的访问。SSO还帮助各种机构实现了对于多种应用和服务的安全访问的统一验证,从而提高了总体安全性能。但是,即使有了SSO,仍然有很多应用需要用户登录不止一次。例如,利用嵌入式浏览器的应用可能仍需要额外的验证。本文描述的实施例允许客户端应用使用web浏览器执行SSO验证,从而使得终端用户仅需要登录一次。实施例可以被用来将基于web的SSO/SLO扩展到孤立的客户端应用(桌面应用、移动应用),从而使得客户端应用可以无缝地与基于web浏览器的应用一起工作。例如,终端用户可以就VPN(虚拟专用网)登录一次,然后被自动准许访问支持SSO的其他应用而无需再次登录。一个或多个实施例消除了从web浏览器向客户端应用发送信息的需要,从而消除了对安装ActiveX控件、Java小程序、基于浏览器的插件、或本地web套接字的需要。由于这些实施例不依赖于这些组件,所以不需要额外的努力来支持不同类型的操作系统、web浏览器并避免了由这些额外的组件引入的安全风险。在一些实施例中,不同平台(包括例如,Windows、MACOSX、以及Linux)广泛支持的web浏览器可以被用来针对SSO验证转发单点登录请求。现在参考附图,并首先参考图1,其示出了可以实现本文描述的实施例的简化网络。这些实施例在包括多个网络设备的数据通信网络的背景下实施。该网络可以包括经由任意数目的节点(例如,路由器、交换机、网关、防火墙、控制器、接入设备、聚合设备、核心节点、中心节点、或者其他网络设备)通信的任意数目的网络设备,这些节点有助于数据在网络中的传递。这些节点可以在一个或多个网络(例如,局域网(LAN)、城域网(MAN)、广域网(WAN)、虚拟专用网(VPN)、虚拟局域网(VLAN)、无线网、企业网、互联网、内联网、无线电接入网、公共交换网、或任何其他网络)上通信。图1的示例中所示的网络包括经由网络12(例如,公共网、互联网)与安全设备14和验证服务器15(例如,验证、授权、以及记账(AAA)服务器)通信的多个客户端设备(用户、主机、端点)10。网络12还与一个或多个身份提供商18或包括一个或多个服务应用的服务提供商19通信。验证功能可以在任意网络设备(例如,安全设备14、验证服务器15、身份提供商18)处执行。安全设备14、验证服务器15、身份提供商18、以及服务提供商19、或者它们的任意组合可以位于相同的网络(例如,企业或其他专用网络)中、位于一个或多个不同网络中、或者位于云中。身份提供商(IdP)18可以负责发布想要与服务提供商19交互的网络设备的身份识别信息并负责对用户的实际验证。例如,身份提供商18可以支持各种验证机制,包括针对LDAP(轻量目录访问协议)的基于用户/密码的验证、Kerberos验证、基于智能卡(SmartCard)的验证等。身份提供商18可以支持各种协议,包括例如,SAML(安全断言标记语言)(其是可以用来在身份提供商和服务提供商19之间交换验证和授权数据的基于XML的开放标准数据格式)。身份提供商18和服务提供商19可以在与网络12通信的一个或多个服务器处操作。身份提供商18和服务提供商19中的一者或多者的功能也可以由例如,云计算环境中的数据中心中运行的进程实现。安全设备14可以包括任意电器(例如,本文档来自技高网
...

【技术保护点】
1.一种方法,包括:在客户端设备处的客户端应用处发起利用安全设备进行的单点登录验证;在所述客户端应用处,从所述安全设备接收用于所述单点登录验证的web入口位置和会话标识符;以及将所述会话标识符和所述web入口位置从所述客户端应用传送到安装在所述客户端设备处的浏览器,供所述浏览器执行所述客户端设备处的所述单点登录验证时使用。

【技术特征摘要】
【国外来华专利技术】2015.12.21 US 14/977,5691.一种方法,包括:在客户端设备处的客户端应用处发起利用安全设备进行的单点登录验证;在所述客户端应用处,从所述安全设备接收用于所述单点登录验证的web入口位置和会话标识符;以及将所述会话标识符和所述web入口位置从所述客户端应用传送到安装在所述客户端设备处的浏览器,供所述浏览器执行所述客户端设备处的所述单点登录验证时使用。2.如权利要求1所述的方法,还包括:经由所述浏览器提交登录凭证。3.如权利要求1或2所述的方法,还包括:发送包括所述会话标识符的HTTP(超文本传输协议)GET请求。4.如权利要求3所述的方法,其中,所述HTTP请求将所述客户端设备重定向到所述web入口。5.如前述任意权利要求所述的方法,其中,所述web入口位置包括URL(统一资源定位符)。6.如前述任意权利要求所述的方法,还包括:连同所述会话标识符和所述web入口位置一起接收超时值。7.如前述任意权利要求所述的方法,其中,所述会话标识符包括由所述安全设备在从所述客户端设备接收到登录请求时生成的会话秘钥。8.如前述任意权利要求所述的方法,其中,所述浏览器包括独立于所述客户端应用运行的web应用。9.如前述任意权利要求所述的方法,其中,所述会话标识符标识所述客户端应用和所述安全设备之间的客户端会话,并且其中,所述客户端会话与在所述安全设备处基于所述浏览器和所述安全设备之间的通信生成的web会话相关联。10.一种装置,包括:接口,用于与包括客户端应用和浏览器的客户端设备通信;处理器,用于处理来自所述客户端应用的针对单点登录验证的请求,生成所述装置和所述客户端应用之间的客户端会话,向所述客户端应用发送用于所述单点登录验证的web入口位置和客户端会话标识符,并使用从所述浏览器接收的所述客户端会话标识符和所述web入口位置来通过所述浏览器处理所述单点登录验证,其中,所述客户端会话与用于通过所述浏览器执行所述单点登录验证的web会话相关联。11.如权利要求10所述的装置,其中,通过所述浏览器处理所述单点登录验证包括处理从所述浏览器接收的、包括所述客户端会话标识符的HTTP(超文本传输协议)GET请求。12.如权利要求10或11所述的装置,其中,通过所述浏览器处理所述单点登录验证包括从所述浏览器接收用户凭证。13.如权利要求10至12中任一项所述的装置,其中,所述处理器还能够操作以向所述客户端设备通知成功验证。14.如权利要求10至13中任一项所述的装置,其中,所述会话标识符包括由所述安全设备在从所述客户端设备接收到所述请求时生成的会话秘钥。15.如权利要求10至14中任一项所述的装置,其中,所述浏览器包括独立...

【专利技术属性】
技术研发人员:陆家骏韩松令安杰伊·杰巴斯因斯基彼得·戴维斯
申请(专利权)人:思科技术公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1