客户端应用程序的安全单点登录和条件访问制造技术

本文中描述了用于实施客户端应用程序的单点登录(SSO)和/或条件访问的方法和系统。所述系统可包括身份提供商网关，且所述系统可使用所述身份提供商网关认证所述客户端应用程序的用户。在一些方面中，安全通信隧道可建立在所述客户端应用程序与所述身份提供商网关之间，且所述安全通信隧道可使用例如客户端证书。所述身份提供商网关可基于与所述客户端证书相关联的信息授权或拒绝所述客户端应用程序访问一个或多个资源。

【技术实现步骤摘要】
客户端应用程序的安全单点登录和条件访问
本文中所描述的方面大体上涉及计算机联网和数据安全。更具体地说，本文中所描述的方面涉及授权客户端装置使用单点登录和/或条件访问机制访问一个或多个资源。
技术介绍
越来越多地，可使用可能并非是公司发布的装置的装置消耗软件应用程序(例如，企业应用程序)，所述装置例如自带装置办公(BYOD)装置。终端用户可期望他们的企业应用程序具有消费者喜欢的用户体验。举例来说，用户可期望能够对企业应用程序进行单点登录(SSO)。同时，IT部门可期望经授权用户使用经授权应用程序在经授权端点上安全地消耗企业数据。IT部门还可期望充分利用例如机器学习等技术来辨识异常行为且使用条件访问机制限制访问企业数据。SSO和条件访问对于例如移动装置平台等某些平台可能具有挑战性。举例来说，移动平台(例如，iOS、Android、Windows10)可擅长应用程序沙箱化，这可避免在台式计算机上使用的用于SSO的传统方案(例如，共享系统密钥链或共享认证cookies)。移动端点可以是BYOD装置且可具有由例如终端用户安装的非企业应用程序。需要控制哪些应用程序能够访问SSO功能性。还需要考虑影响条件访问决策的因素。
技术实现思路
以下呈现了本文中所描述的各种方面的简化概述。此概述并非广泛综述，且并不打算识别关键或重要元件或划定权利要求书的范围。以下概述仅按简化形式提出一些概念，作为对以下提供的更详细描述的介绍性序言。可在移动装置上运行的应用程序与身份提供商网关装置之间建立安全通信隧道。身份提供商网关装置可从在移动装置上运行的应用程序且经由安全通信隧道接收包括客户端证书的认证请求。身份提供商网关装置可从客户端证书提取与移动装置相关联的装置识别符。身份提供商网关装置可向装置管理服务器传输确定移动装置与安全策略是否兼容的请求。确定移动装置与安全策略是否兼容的请求可包括与移动装置相关联的装置识别符。响应于传输确定移动装置与安全策略是否兼容的请求，身份提供商网关装置可从装置管理服务器接收移动装置与安全策略是否兼容的指示。身份提供商网关装置可基于移动装置与安全策略是否兼容的指示确定是否授权在移动装置上运行的应用程序访问与在移动装置上运行的应用程序相关联的服务。在一些方面中，建立安全通信隧道可包括检测在移动装置上运行的应用程序访问身份提供商网关装置的请求。隧道应用程序可截取访问身份提供商网关装置的请求。隧道应用程序可使用客户端证书在移动装置上运行的应用程序与身份提供商网关装置之间建立安全通信隧道。建立安全通信隧道可响应于来自服务的服务提供商的将认证请求重新定向到身份提供商网关装置的请求而进行。安全通信隧道可包括虚拟专用网络(VPN)隧道。在一些方面中，在确定授权访问服务之后，身份提供商网关装置可检索与移动装置相关联的高速缓存的认证数据。身份提供商网关装置可使用高速缓存的认证数据产生认证令牌。身份提供商网关装置可向移动装置传输认证令牌。认证令牌可由移动装置使用来访问与在移动装置上运行的应用程序相关联的服务。在一些方面中，身份提供商网关装置可确定与移动装置相关联的认证数据未被高速缓存在身份提供商网关装置处。响应于确定认证数据未被高速缓存在身份提供商网关装置处，身份提供商网关装置可向移动装置传输对来自身份提供商装置的认证数据的请求。身份提供商网关装置可从移动装置且经由身份提供商装置接收与移动装置相关联的认证数据。身份提供商网关装置可高速缓存与移动装置相关联的认证数据。在预定时间量之后，身份提供商网关装置可移除与移动装置相关联的高速缓存的认证数据。在一些方面中，身份提供商网关装置可检索与移动装置相关联的高速缓存的认证数据。身份提供商网关装置可使用高速缓存的认证数据产生认证令牌。身份提供商网关装置可向移动装置传输认证令牌。在一些方面中，在确定授权访问服务之后，身份提供商网关装置可从客户端证书提取与移动装置的用户相关联的用户识别符。身份提供商网关装置可使用用户识别符产生认证令牌。身份提供商网关装置可向移动装置传输认证令牌。在一些方面中，在提取用户识别符之后，身份提供商网关装置可向目录服务传输对与移动装置的用户相关联的额外数据的请求。身份提供商网关装置可从目录服务接收与移动装置的用户相关联的额外数据。产生认证令牌可包括使用用户识别符以及从目录服务接收的与用户相关联的额外数据产生认证令牌。通过在下文进一步详细论述的本公开的益处，将了解这些和额外方面。附图说明可通过参考考虑附图的以下描述来获取对本文中所描述的方面和其优点的更完整理解，在附图中相同附图标记指示相同特征，且其中：图1描绘可根据本文中所描述的一个或多个说明性方面使用的说明性计算机系统架构。图2描绘可根据本文中所描述的一个或多个说明性方面使用的说明性远程访问系统架构。图3描绘可根据本文中所描述的一个或多个说明性方面使用的说明性虚拟化(管理程序)系统架构。图4描绘可根据本文中所描述的一个或多个说明性方面使用的说明性基于云的系统架构。图5描绘说明性企业移动性管理系统。图6描绘另一说明性企业移动性管理系统。图7描绘根据本文中所描述的一个或多个说明性方面的用于客户端应用程序的单点登录和/或条件访问的说明性系统和方法。图8A到8B描绘根据本文中所描述的一个或多个说明性方面的用于客户端应用程序的单点登录和/或条件访问的说明性系统和方法。图9描绘根据本文中所描述的一个或多个说明性方面的用于客户端应用程序的单点登录和/或条件访问的另一说明性系统和方法。图10描绘根据本文中所描述的一个或多个说明性方面的用于客户端应用程序的单点登录和/或条件访问的又一说明性系统和方法。具体实施方式在各种实施例的以下描述中，参考上文识别且形成本文的一部分的附图，且其中借助于说明展示可实践本文中所描述的方面的各种实施例。应理解，在不脱离本文中所描述的范围的情况下，可利用其它实施例，且可进行结构和功能修改。各种方面能够有其它实施例且能够实践或以各种不同方式实行。应理解，本文中所使用的措词和术语是出于描述的目的且不应被视为是限制性的。相反地，应对本文中所使用的短语和术语给予其最广泛的解释和含义。“包含”和“包括”和其变体的使用打算涵盖其后列出的项目和其等效物以及额外项目和其等效物。术语“安装”、“连接”、“耦合”、“定位”、“接合”和类似术语的使用打算包含直接和间接安装、连接、耦合、定位和接合两者。计算架构可在包含独立式、联网、远程访问(也被称为远程桌面)、虚拟化和/或基于云的环境等各种不同系统环境中利用计算机软件、硬件和网络。图1说明可用于在独立式和/或联网环境中实施本文中所描述的一个或多个说明性方面的系统架构和数据处理装置的一个实例。各种网络节点103、105、107和109可经由例如因特网等广域网(WAN)101互连。也可或替代地使用其它网络，包含专用内联网、公司网络、LAN、城域网(MAN)无线网络、个人网络(PAN)等。网络101是出于说明的目的，且可由更少或额外计算机网络替换。局域网(LAN)可具有任何已知LAN拓扑中的一个或多个，且可使用各种不同协议中的一个或多个，例如以太网。装置103、105、107、109和其它装置(未示出)可经由双绞线电线、同轴电缆、光纤、无线电波或其它通信媒体连接到网络中的一本文档来自技高网...

【技术保护点】
1.一种方法，其包括：在移动装置上运行的应用程序与身份提供商网关装置之间建立安全通信隧道；通过所述身份提供商网关装置从在所述移动装置上运行的所述应用程序且经由所述安全通信隧道接收包括客户端证书的认证请求；通过所述身份提供商网关装置且从所述客户端证书提取与所述移动装置相关联的装置识别符；通过所述身份提供商网关装置且向装置管理服务器传输确定所述移动装置与安全策略是否兼容的请求，其中所述确定所述移动装置与安全策略是否兼容的请求包括与所述移动装置相关联的所述装置识别符；响应于传输所述确定所述移动装置与安全策略是否兼容的请求，通过所述身份提供商网关装置且从所述装置管理服务器接收所述移动装置与安全策略是否兼容的指示；和通过所述身份提供商网关装置且基于所述移动装置与安全策略是否兼容的所述指示确定是否授权在所述移动装置上运行的所述应用程序访问与在所述移动装置上运行的所述应用程序相关联的服务。

【技术特征摘要】
2017.09.27 US 15/716,8711.一种方法，其包括：在移动装置上运行的应用程序与身份提供商网关装置之间建立安全通信隧道；通过所述身份提供商网关装置从在所述移动装置上运行的所述应用程序且经由所述安全通信隧道接收包括客户端证书的认证请求；通过所述身份提供商网关装置且从所述客户端证书提取与所述移动装置相关联的装置识别符；通过所述身份提供商网关装置且向装置管理服务器传输确定所述移动装置与安全策略是否兼容的请求，其中所述确定所述移动装置与安全策略是否兼容的请求包括与所述移动装置相关联的所述装置识别符；响应于传输所述确定所述移动装置与安全策略是否兼容的请求，通过所述身份提供商网关装置且从所述装置管理服务器接收所述移动装置与安全策略是否兼容的指示；和通过所述身份提供商网关装置且基于所述移动装置与安全策略是否兼容的所述指示确定是否授权在所述移动装置上运行的所述应用程序访问与在所述移动装置上运行的所述应用程序相关联的服务。2.根据权利要求1所述的方法，其中建立所述安全通信隧道包括：检测在所述移动装置上运行的所述应用程序访问所述身份提供商网关装置的请求；通过隧道应用程序截取所述访问所述身份提供商网关装置的请求；和通过所述隧道应用程序且使用所述客户端证书在所述移动装置上运行的所述应用程序与所述身份提供商网关装置之间建立所述安全通信隧道。3.根据权利要求1所述的方法，其中所述安全通信隧道包括虚拟专用网络(VPN)隧道。4.根据权利要求1所述的方法，其中建立所述安全通信隧道响应于来自所述服务的服务提供商的使所述认证请求重新定向到所述身份提供商网关装置的请求而进行。5.根据权利要求1所述的方法，其进一步包括：在确定授权访问所述服务之后，通过所述身份提供商网关装置检索与所述移动装置相关联的高速缓存的认证数据；通过所述身份提供商网关装置且使用所述高速缓存的认证数据产生认证令牌；和通过所述身份提供商网关装置且向所述移动装置传输所述认证令牌。6.根据权利要求5所述的方法，其中所述认证令牌被配置成由所述移动装置使用来访问与在所述移动装置上运行的所述应用程序相关联的所述服务。7.根据权利要求1所述的方法，其进一步包括：通过所述身份提供商网关装置确定与所述移动装置相关联的认证数据未被高速缓存在所述身份提供商网关装置处；响应于确定所述认证数据未被高速缓存在所述身份提供商网关装置处，通过所述身份提供商网关装置且向所述移动装置传输对来自身份提供商装置的所述认证数据的请求；通过所述身份提供商网关装置从所述移动装置且经由所述身份提供商装置接收与所述移动装置相关联的所述认证数据；和通过所述身份提供商网关装置高速缓存与所述移动装置相关联的所述认证数据。8.根据权利要求7所述的方法，其进一步包括：通过所述身份提供商网关装置检索与所述移动装置相关联的所述高速缓存的认证数据；通过所述身份提供商网关装置且使用所述高速缓存的认证数据产生认证令牌；和通过所述身份提供商网关装置且向所述移动装置传输所述认证令牌。9.根据权利要求7所述的方法，其进一步包括：在预定时间量之后，通过所述身份提供商网关装置移除与所述移动装置相关联的所述高速缓存的认证数据。10.根据权利要求1所述的方法，其进一步包括：在确定授权访问所述服务之后，通过所述身份提供商网关装置且从所述客户端证书提取与所述移动装置的用户相关联的用户识别符；通过所述身份提供商网关装置且使用所述用户识别符产生认证令牌；和通过所述身份提供商网关装置且向所述移动装置传输所述认证令牌。11.根据权利要求10所述的方法，其进一步包括：在提取所述用户识别符之后，通过所述身份提供商网关装置且向目录服务传输对与所述移动装置的所述用户相关联的额外数据的请求；和通过所述身份提供商网关装置且从所述目录服务接收与所述移动装置的所述用户相关联的所述额外数据，其中产生所述认证令牌包括使用所述用户识别符和从所述目录服务接收的与所述用户相关联的所述额外数据产生所述认证令牌。12.一种设备，其包括：处理器；和存储计算机可执行指令的存储器，所述计算机可执行指令...

【专利技术属性】
技术研发人员：加纳达南·贾瓦哈，
申请(专利权)人：思杰系统有限公司，
类型：发明
国别省市：美国,US