托管移动设备的单点登录制造技术

公开了通过托管移动设备的单点登录的各种示例。例如，身份提供者服务可以从在客户端设备中执行的应用程序接收对身份断言的请求。身份提供者服务然后可以检测与客户端设备相关联的平台。可以至少部分地基于所述平台发送对所述请求的响应，其中所述响应请求通过管理凭证进行认证。从所述客户端设备接收由所述管理凭证生成的数据，以及确定所述管理凭证对于所述身份断言是有效的。然后，响应于确定所述管理凭证对于所述身份断言是有效的，将所述身份断言发送到所述客户端设备。

Single sign on for hosting mobile devices

A variety of examples of single sign on by hosting mobile devices are disclosed. For example, an identity provider service can receive a request for an identity assertion from an application that is executed in a client device. The identity provider service can then detect a platform associated with the client device. A response to the request may be sent at least in part based on the platform described, in which the response request is authenticated by a management voucher. Receiving data generated from the management voucher from the client device and determining the management credentials are valid for the identity assertion. Then, in response to determining that the management voucher is valid for the identity assertion, the identity assertion is sent to the client device.

【技术实现步骤摘要】
【国外来华专利技术】托管移动设备的单点登录AdamRykowski,AshishJain,DaleRobertOlds,EmilyHongXu,KabirBarday,KyleAustin,SridharaBabuKommireddy,JonathanBrannon,CamiloLotero相关申请的交叉引用本申请要求于2015年6月15日提交的标题为“托管移动设备的单点登录(SINGLESIGN-ONFORMANAGEDMOBILEDEVICES)”的美国非临时专利申请号14/739,975的权益，其全部内容通过引用并入本文。本申请涉及于2015年6月15日提交的代理人案号为W205.02、标题为“托管移动设备的单点登录(SINGLESIGN-ONFORMANAGEDMOBILEDEVICES)”、序列号为14/739,980的美国专利申请，于2015年6月15日提交的代理人案号为W204.01、标题为“非托管移动设备的单点登录(SINGLESIGN-ONFORUNMANAGEDMOBILEDEVICES)”、序列号为14,739,983的美国专利申请，以及于2015年6月15日提交的代理人案号为W204.02、标题为“非托管移动设备的单点登录(SINGLESIGN-ONFORUNMANAGEDMOBILEDEVICES)”、序列号为14/739,972的美国专利申请。
技术介绍
用户可能拥有许多不同的账户用于众多应用程序和服务。应用程序和服务的示例可以包括社交网络服务、文件共享服务、电子邮件服务、语音通信服务、办公生产力服务、任务跟踪服务等等。用户可能必须建立对应的用户名和密码以对每个账户进行认证。在涉及众多账户的情况下，这成为困难且不便的做法。因此，用户可以设置较短或易于记忆的弱密码、在多个账户之间共享密码、使用第三方密码管理器或采用可能被认为不安全的其他做法。身份联合(identityfederation)的概念提出了这个问题的解决方案。在身份联合下，用户使用联合身份提供者建立账户。为此，用户指定单组安全凭证(credential)。然后联合账户链接到由其他组织提供的大量应用程序和服务。当用户试图访问链接到联合账户的应用程序和服务时，用户可以简单地提供联合账户的单个用户名、密码或其他凭证进行认证。以类似的方式，组织(诸如企业)可以使用目录服务(诸如MICROSOFT公司的ACTIVEDIRECTORY)，以便为该组织的多个应用程序和服务中的每一个提供单一登录。尽管身份联合具有可用性，最终用户体验可能仍然是不理想的。即使假设用户能够为多个应用程序和服务使用单个联合账户，用户也可能被要求分别输入联合账户凭证。例如，假设用户登录由社交网络服务提供者所提供的社交网络应用程序，社交网络服务提供者也是联合身份提供者。随后，用户可能想要使用链接至该联合身份提供者的文件共享应用程序。然后用户可能必须提供先前为社交网络应用程序输入的相同的用户名和密码。为每个应用程序和服务重复输入这些安全凭证可能会使用户沮丧。附图说明参照以下附图可以更好地理解本公开的许多方面。附图中的组件不一定按比例绘制，而是着重于清楚地示出本公开的原理。此外，在附图中，贯穿若干视图的相同的附图标记表示相应的部分。图1是示出本公开的示例性场景的图。图2是根据本公开的各种示例的网络化环境的图。图3是示出根据本公开的各种示例的示例性组件交互的顺序图。图4-8是示出根据本公开的各种示例的功能的示例的流程图。具体实施方式本公开涉及为移动设备的用户提供单点登录体验。凭借单点登录体验，用户可以输入或获取账户的单组安全凭证，并且一旦进行认证，用户能够访问链接至该账户的多个不同的应用程序和服务。当用户被要求提供知识、财产或生物认证因素的组合时，也可以采用多因素认证。如本文所考虑的，术语“单点登录”可以包括由于会话超时、不活动时段、可疑活动或可能导致用户认证被怀疑的其他事件而需要用户重新输入安全凭证的情境。在网页浏览器的情况下，可以通过cookie启用单点登录体验。响应于用户使用联合身份提供者登录，可以将cookie存储在用户的设备上，其包含指示认证的令牌(token)。当用户稍后通过联合身份提供者访问支持认证的另一网络站点时，显示Cookie并可以交换令牌以获得站点特定的令牌。因此，用户不必再次登录以访问网络站点。但是，来自浏览器环境的单点登录设计范例在移动应用程序的环境中不起作用。尽管移动应用程序可以调用网页(web)视图，但作为移动应用程序内被调用的网页视图的一部分的cookie不能在其他移动应用程序中或通过浏览器访问。即使假定用户通过第一移动应用程序登录到联合账户，表示成功认证的cookie和应用程序令牌对第二移动应用程序不是可用的，因为它们可能具有不同的网页视图。如将要描述的，本公开的各种实现方式促进了移动应用程序内和体现该限制的其他应用程序内的单点登录。此外，根据本公开，为了实现单点登录，可以无需提出为每个应用程序使用特定软件开发工具包(softwaredevelopmentkit，SDK)的需求。具体地，在本公开中，公开了使能用于被托管的移动设备的单点登录体验的示例。参照图1，示出的是示例性单点登录场景100的示意图。在101，用户启动管理应用程序，其可以管理用户的移动设备上的应用程序。管理应用程序可以是本地移动应用程序或从浏览器访问的基于网页的管理应用程序。管理应用程序呈现被配置为接收设备管理服务的登录信息的用户界面。具体地，在该示例中，用户界面包括被配置为接收用户名和密码的表格。其他安全凭证或认证因素可以在其他示例中引出。用户输入信息后，用户选择登录输入组件。在输入正确的登录信息之后，用户通过认证，然后可以更新用户界面以在102向用户指示登录成功。随后，用户可以启动或访问移动设备上的其他托管应用程序，诸如在103的社交网络应用程序、在104的电子邮件应用程序或在105的文件共享应用程序。这些应用程序可以与外部服务进行通信。由于用户已通过设备管理应用程序进行了认证，因此这些应用程序指示该用户已经通过认证。因此，用户不必分别为多个应用程序提供登录信息，并且用户能够使用通过各个应用程序访问的服务。参照图2，示出的是根据各种示例的网络化环境200。网络化环境200包括客户端设备203、设备管理服务204、身份提供者206以及多个服务提供者209a...209N，其彼此之间可以通过网络212处于数据通信。网络212包括，例如因特网、一个或更多个内联网、外联网、广域网(wideareanetwork，WAN)、局域网(localareanetwork，LAN)、有线网络、无线网络、其他合适的网络或者两个或更多个这种网络的任何组合。例如，网络可以包括卫星网络、电缆网络、以太网和其他类型的网络。设备管理服务204、身份提供者206和服务提供者209可以包括，例如服务器计算机或提供计算能力的任何其他系统。可选地，设备管理服务204、身份提供者206和服务提供者209可以使用多个计算设备，例如，其可以被排布在一个或更多个服务器库(bank)、计算机库或其他布置中。计算设备可以位于单个装置中，或者可以分布在多个不同的地理位置。例如，设备管理服务204、身份提供者206和服务本文档来自技高网...

【技术保护点】
一种非暂时性计算机可读介质，包含在服务器计算设备中可执行的程序，所述程序当由所述服务器计算设备执行时被配置成使所述服务器计算设备至少：从在移动设备中执行的应用程序接收对身份断言的请求；检测与所述移动设备相关联的平台；至少部分地基于所述平台向所述移动设备发送对所述请求的响应，所述响应请求通过管理凭证进行认证；从所述移动设备接收由所述管理凭证生成的数据；确定所述管理凭证对于所述身份断言是有效的；以及响应于确定所述管理凭证对于所述身份断言是有效的，将所述身份断言发送到所述移动设备。

【技术特征摘要】
【国外来华专利技术】2015.06.15 US 14/739,9751.一种非暂时性计算机可读介质，包含在服务器计算设备中可执行的程序，所述程序当由所述服务器计算设备执行时被配置成使所述服务器计算设备至少：从在移动设备中执行的应用程序接收对身份断言的请求；检测与所述移动设备相关联的平台；至少部分地基于所述平台向所述移动设备发送对所述请求的响应，所述响应请求通过管理凭证进行认证；从所述移动设备接收由所述管理凭证生成的数据；确定所述管理凭证对于所述身份断言是有效的；以及响应于确定所述管理凭证对于所述身份断言是有效的，将所述身份断言发送到所述移动设备。2.根据权利要求1所述的非暂时性计算机可读介质，其中响应于通过所述移动设备的用户的设备管理服务进行的认证，所述移动设备访问所述管理凭证。3.根据权利要求1所述的非暂时性计算机可读介质，其中当所述平台是iOS时，所述请求是由iOS特定证书适配器生成的。4.根据权利要求1所述的非暂时性计算机可读介质，其中当所述平台是ANDROID时，所述请求是由证书适配器生成的。5.根据权利要求1所述的非暂时性计算机可读介质，其中所述管理凭证对应于由在所述移动设备中执行的管理应用程序维护的设备管理证书，所述管理应用程序被配置为管理所述应用程序。6.根据权利要求1所述的非暂时性计算机可读介质，其中所述程序当由所述服务器计算设备执行时被进一步配置为使所述服务器计算设备至少：从在所述移动设备中执行的第二应用程序接收对第二身份断言的第二请求；至少部分地基于所述平台向所述移动设备发送对所述第二请求的第二响应，所述响应请求通过所述管理凭证进行认证；从所述移动设备接收由所述管理凭证生成的数据；确定所述管理凭证对于所述第二身份断言是有效的；以及响应于确定所述管理凭证对于所述第二身份断言是有效的，将所述第二身份断言发送到所述移动设备。7.一种系统，包括：至少一个计算设备；以及能够由所述至少一个计算设备执行的身份提供者服务，所述身份提供者服务被配置为使所述至少一个计算设备至少：从在移动设备中执行的应用程序接收对身份断言的请求；确定所述应用程序对应于本地应用程序的网页视图而不是浏览器；向所述移动设备发送响应，所述响应请求通过管理凭证进行认证；从所述移动设备接收由所述管理凭证生成的数据；确定...

【专利技术属性】
技术研发人员：A·雷科夫斯基，A·杰恩，D·奥兹，艾米莉·虹·许，K·巴尔代，K·奥斯丁，S·B·科米雷迪，J·B·布兰农，C·洛特罗，
申请(专利权)人：安维智有限公司，
类型：发明
国别省市：美国,US