【技术实现步骤摘要】
客户端应用程序的安全单点登录和条件访问
本文中所描述的方面大体上涉及计算机联网和数据安全。更具体地说,本文中所描述的方面涉及授权客户端装置使用单点登录和/或条件访问机制访问一个或多个资源。
技术介绍
越来越多地,可使用可能并非是公司发布的装置的装置消耗软件应用程序(例如,企业应用程序),所述装置例如自带装置办公(BYOD)装置。终端用户可期望他们的企业应用程序具有消费者喜欢的用户体验。举例来说,用户可期望能够对企业应用程序进行单点登录(SSO)。同时,IT部门可期望经授权用户使用经授权应用程序在经授权端点上安全地消耗企业数据。IT部门还可期望充分利用例如机器学习等技术来辨识异常行为且使用条件访问机制限制访问企业数据。SSO和条件访问对于例如移动装置平台等某些平台可能具有挑战性。举例来说,移动平台(例如,iOS、Android、Windows10)可擅长应用程序沙箱化,这可避免在台式计算机上使用的用于SSO的传统方案(例如,共享系统密钥链或共享认证cookies)。移动端点可以是BYOD装置且可具有由例如终端用户安装的非企业应用程序。需要控制哪些应用程序能够访问SSO功能性。还需要考虑影响条件访问决策的因素。
技术实现思路
以下呈现了本文中所描述的各种方面的简化概述。此概述并非广泛综述,且并不打算识别关键或重要元件或划定权利要求书的范围。以下概述仅按简化形式提出一些概念,作为对以下提供的更详细描述的介绍性序言。可在移动装置上运行的应用程序与身份提供商网关装置之间建立安全通信隧道。身份提供商网关装置可从在移动装置上运行的应用程序且经由安全通信隧道接收包括客户端证书 ...
【技术保护点】
1.一种方法,其包括:在移动装置上运行的应用程序与身份提供商网关装置之间建立安全通信隧道;通过所述身份提供商网关装置从在所述移动装置上运行的所述应用程序且经由所述安全通信隧道接收包括客户端证书的认证请求;通过所述身份提供商网关装置且从所述客户端证书提取与所述移动装置相关联的装置识别符;通过所述身份提供商网关装置且向装置管理服务器传输确定所述移动装置与安全策略是否兼容的请求,其中所述确定所述移动装置与安全策略是否兼容的请求包括与所述移动装置相关联的所述装置识别符;响应于传输所述确定所述移动装置与安全策略是否兼容的请求,通过所述身份提供商网关装置且从所述装置管理服务器接收所述移动装置与安全策略是否兼容的指示;和通过所述身份提供商网关装置且基于所述移动装置与安全策略是否兼容的所述指示确定是否授权在所述移动装置上运行的所述应用程序访问与在所述移动装置上运行的所述应用程序相关联的服务。
【技术特征摘要】
2017.09.27 US 15/716,8711.一种方法,其包括:在移动装置上运行的应用程序与身份提供商网关装置之间建立安全通信隧道;通过所述身份提供商网关装置从在所述移动装置上运行的所述应用程序且经由所述安全通信隧道接收包括客户端证书的认证请求;通过所述身份提供商网关装置且从所述客户端证书提取与所述移动装置相关联的装置识别符;通过所述身份提供商网关装置且向装置管理服务器传输确定所述移动装置与安全策略是否兼容的请求,其中所述确定所述移动装置与安全策略是否兼容的请求包括与所述移动装置相关联的所述装置识别符;响应于传输所述确定所述移动装置与安全策略是否兼容的请求,通过所述身份提供商网关装置且从所述装置管理服务器接收所述移动装置与安全策略是否兼容的指示;和通过所述身份提供商网关装置且基于所述移动装置与安全策略是否兼容的所述指示确定是否授权在所述移动装置上运行的所述应用程序访问与在所述移动装置上运行的所述应用程序相关联的服务。2.根据权利要求1所述的方法,其中建立所述安全通信隧道包括:检测在所述移动装置上运行的所述应用程序访问所述身份提供商网关装置的请求;通过隧道应用程序截取所述访问所述身份提供商网关装置的请求;和通过所述隧道应用程序且使用所述客户端证书在所述移动装置上运行的所述应用程序与所述身份提供商网关装置之间建立所述安全通信隧道。3.根据权利要求1所述的方法,其中所述安全通信隧道包括虚拟专用网络(VPN)隧道。4.根据权利要求1所述的方法,其中建立所述安全通信隧道响应于来自所述服务的服务提供商的使所述认证请求重新定向到所述身份提供商网关装置的请求而进行。5.根据权利要求1所述的方法,其进一步包括:在确定授权访问所述服务之后,通过所述身份提供商网关装置检索与所述移动装置相关联的高速缓存的认证数据;通过所述身份提供商网关装置且使用所述高速缓存的认证数据产生认证令牌;和通过所述身份提供商网关装置且向所述移动装置传输所述认证令牌。6.根据权利要求5所述的方法,其中所述认证令牌被配置成由所述移动装置使用来访问与在所述移动装置上运行的所述应用程序相关联的所述服务。7.根据权利要求1所述的方法,其进一步包括:通过所述身份提供商网关装置确定与所述移动装置相关联的认证数据未被高速缓存在所述身份提供商网关装置处;响应于确定所述认证数据未被高速缓存在所述身份提供商网关装置处,通过所述身份提供商网关装置且向所述移动装置传输对来自身份提供商装置的所述认证数据的请求;通过所述身份提供商网关装置从所述移动装置且经由所述身份提供商装置接收与所述移动装置相关联的所述认证数据;和通过所述身份提供商网关装置高速缓存与所述移动装置相关联的所述认证数据。8.根据权利要求7所述的方法,其进一步包括:通过所述身份提供商网关装置检索与所述移动装置相关联的所述高速缓存的认证数据;通过所述身份提供商网关装置且使用所述高速缓存的认证数据产生认证令牌;和通过所述身份提供商网关装置且向所述移动装置传输所述认证令牌。9.根据权利要求7所述的方法,其进一步包括:在预定时间量之后,通过所述身份提供商网关装置移除与所述移动装置相关联的所述高速缓存的认证数据。10.根据权利要求1所述的方法,其进一步包括:在确定授权访问所述服务之后,通过所述身份提供商网关装置且从所述客户端证书提取与所述移动装置的用户相关联的用户识别符;通过所述身份提供商网关装置且使用所述用户识别符产生认证令牌;和通过所述身份提供商网关装置且向所述移动装置传输所述认证令牌。11.根据权利要求10所述的方法,其进一步包括:在提取所述用户识别符之后,通过所述身份提供商网关装置且向目录服务传输对与所述移动装置的所述用户相关联的额外数据的请求;和通过所述身份提供商网关装置且从所述目录服务接收与所述移动装置的所述用户相关联的所述额外数据,其中产生所述认证令牌包括使用所述用户识别符和从所述目录服务接收的与所述用户相关联的所述额外数据产生所述认证令牌。12.一种设备,其包括:处理器;和存储计算机可执行指令的存储器,所述计算机可执行指令...
【专利技术属性】
技术研发人员:加纳达南·贾瓦哈,
申请(专利权)人:思杰系统有限公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。