使用活动目录和一次性口令令牌组合的双因素身份认证制造技术

技术编号:29845589 阅读:29 留言:0更新日期:2021-08-27 14:37
本文所述的方面可利用基于插件的认证系统中的自联合来支持认证过程的组合。所述认证系统可包括执行认证过程的插件,所述认证过程是两个或更多个其他认证过程的组合。此插件可通过自联合回到所述认证接口从而在次级认证过程中的每一个下生成其自己的认证请求来处置组合式认证过程。因此,对应于所述组合式认证过程的所述自联合插件可允许所述认证系统支持指示所述组合式认证过程的认证请求。通过自联合实现的此“链式”认证过程可允许所述认证系统重复使用现有的代码路径并且避免与代码复制相关联的不利面。

【技术实现步骤摘要】
【国外来华专利技术】使用活动目录和一次性口令令牌组合的双因素身份认证相关申请的交叉引用本申请要求于2018年11月21日提交的美国非临时专利申请号16/198,249的优先权,其内容以引用方式整体明确并入本文。
本公开的方面涉及计算机硬件和软件。特别地,本公开的一个或多个方面总体上涉及用于生成和管理认证令牌以与虚拟化环境中的各种身份提供者所提供的多种服务进行交互的计算机硬件和软件。
技术介绍
认证系统可通过借由各种认证过程来认证用户的身份和权限来允许用户访问企业服务。依赖方在试图向客户端装置提供网络服务时可向认证系统提供认证请求,并且认证系统可与一个或多个系统对接以认证用户。认证系统可返回令牌,依赖方可使用所述令牌来提供对企业服务的访问。认证要求可被配置为客户端系统的一部分,并且可包括诸如活动目录(AD)或一次性口令(OTP)的过程。认证系统中的联合可跨多个系统和应用提供针对用户身份的共同认证过程。联合可使用行业标准(诸如OAuth2.0标准)来实现。认证请求可通过负责处理认证过程的方面的软件模块。
技术实现思路
以下呈现本文所述的各种方面的简化概述。此概述不是广泛概述,并且并非意图标识关键或重要元素或描绘权利要求的范围。以下概述仅以简化形式呈现一些概念,作为以下提供的更详细描述的介绍性序言。联合到其他方会带来有关信任、代码流程和其他问题的挑战。当期望向多个身份服务进行认证时,可能会出现问题,并且一些依赖方可能无法自己实现与认证过程相关联的流程的特定要求。这些问题与计算机实现的认证系统相关联,并且根植于此类系统中所使用的计算机结构和功能。为了克服这些限制,并且克服在阅读和理解本说明书后将显而易见的其他限制,本文所述的方面涉及使用多联合认证系统中的自联合来支持组合式认证过程。本文所述的方面可涉及一种基于插件的认证系统。所述认证系统可包括认证接口和对应于不同认证过程的多个插件。当所述认证接口从诸如企业服务器的依赖方接收到对认证客户端装置的请求时,所述认证接口可调用对应于与所述对认证的客户端请求相关联的认证过程的插件。依赖方可以是利用认证系统来认证客户端装置的服务器和/或其他计算机装置或服务。通常,依赖方可响应于对访问由认证系统保护的服务的客户端请求而请求所述认证系统认证客户端装置。在一些情况下,所述认证系统可用作通向诸如第三方系统的其他系统的接口,所述其他系统包括有效于安全地认证所述客户端装置的用户的信息和功能。根据本文进一步描述的一些方面,多个认证过程可在单个请求中组合,并且组合式过程可由对应插件来处置。对应于所述组合式认证过程的所述插件可自联合到所述认证接口,以处理组合式请求中的单独的认证过程中的每一个。例如,对应于所述组合式认证过程的所述插件可生成其自己的单独认证请求以供所述认证接口处置。所述认证接口可调用对应于所述单独认证过程中的每一个的相应插件,并且将结果返回给对应于所述组合式认证过程的所述插件。对应于所述组合式认证过程的所述插件可组合来自与所述单独认证过程相关联的所述插件中的每一个的结果,并且组合式认证令牌可通过所述认证接口返回给所述企业服务器。以这种方式进行的自联合可允许所述认证系统支持认证流程的组合。另外,自联合可允许所述认证系统将流程从一种形式改变为另一形式,诸如从认证代码流程改变为资源所有者流程。因此,本文所述的一些方面可提供用于处理对应于多个认证过程的认证请求的方法、系统和计算机可读介质。认证接口可从企业服务器接收对使用第一类型的认证过程来认证客户端装置的第一请求。所述第一类型的认证过程可以是认证过程的组合。例如,所述第一类型的认证过程可包括通过第二类型的认证过程和第三类型的认证过程来认证用户。所述认证接口可基于所述第一请求调用对应于所述第一类型的认证过程的第一插件以生成第一认证令牌。所述第一插件可被配置来通过自联合到所述认证接口以从其他插件获得对应于所述第二认证过程的第二认证令牌和对应于所述第三认证过程的第三认证令牌来生成所述第一认证令牌,所述其他插件对应于那些认证过程。虽然所述企业服务器是到所述认证接口的所述第一请求中的所述依赖方(基于所述组合式认证过程),但所述第一插件可被认为是到所述认证接口的对处置所述第二类型和所述第三类型的认证过程的单独请求中的依赖方。例如,所述第一插件可生成对使用所述第二类型的认证过程来认证客户端装置的第二请求并将其发送到所述认证接口。所述认证接口可将第二认证令牌返回给所述第一插件,所述第二认证令牌是通过基于所述第二请求调用对应于所述第二类型的认证过程的第二插件来生成。所述第一插件可生成对使用所述第三类型的认证过程来认证所述客户端装置的第三请求并将其发送到所述认证接口。所述认证接口可将第三认证令牌返回给所述第一插件,所述第三认证令牌是通过基于所述第三请求调用对应于所述第三类型的认证过程的第三插件来生成。所述第一插件可在生成对应于所述组合式认证过程的所述第一认证令牌时组合所述第二认证令牌和所述第三认证令牌,并且将所述第一认证令牌提供给所述认证接口。所述认证接口可将所述第一认证令牌提供给所述企业服务器。所述企业服务器可使用所述第一认证令牌来向所述客户端装置提供对由所述第一认证过程保护的网络服务的访问权。对应于所述组合式认证过程中所包括的单独类型的认证过程的插件可被配置来处置和/或处理对应于所述认证过程类型的认证流程。例如,对应于所述第二类型的认证过程的第二插件可采集用户凭证并且向资源所有者系统请求所述第二认证令牌。类似地,对应于所述第三类型的认证过程的第三插件可采集必要的凭证并向资源所有者系统进行认证。根据一些方面,所述认证系统可实现单点登录特征。如果所述用户先前已经向特定资源所有者系统和/或通过特定认证过程进行认证,则所述认证系统可提供所存储的单点登录凭证/令牌,而无需重新采集凭证并且向所述资源所有者系统重新认证。尽管单点登录凭证/令牌可与定时和/或使用限制相关联,但在所述单点登录系统的参数内在重新访问资源时,它们可允许用户避免复制凭证提示。所述第一认证过程可包括基于不同凭证的认证过程的组合。例如,所述第二认证过程可以是基于向所述用户请求用户名和口令,诸如活动目录(AD)认证过程。在所述示例中,所述第三认证过程可以是基于两因素认证过程,诸如一次性口令(OTP)认证过程。在此示例中,客户端应用可请求所述认证接口基于活动目录和一次性口令认证过程的组合来认证所述客户端装置/用户。客户端应用可包括例如用户通过客户端装置访问的服务器上的应用。所述客户端应用可使用网络资源和服务所提供的信息和/或功能向所述用户提供服务。所述网络资源和服务可通过一个或多个认证过程来保护,并且访问可通过所述认证系统来促进和/或控制。继续所述示例,所述认证接口可基于对认证的请求来调用对应于AD+OTP的组合的插件。所述AD+OTP插件可向所述认证接口作出其自己的请求,以调用适当插件来处置所述组合式请求的每个部分。因此,通过自联合,所述AD+OTP插件可通过所述认证接口,以利用现有的和受管的代码路径来处理每种所请求认证类型的认证。受益于以下进一步详细讨论的公开内本文档来自技高网...

【技术保护点】
1.一种计算机实现的方法,其包括:/n通过认证接口并且从企业服务器接收对使用第一认证过程来认证客户端装置的第一请求,其中所述第一认证过程包括通过第二认证过程和第三认证过程来认证用户;/n通过所述认证接口并且基于所述第一请求调用第一插件以生成第一认证令牌;/n通过所述认证接口并且从所述第一插件接收对使用所述第二认证过程进行认证的第二请求;/n通过所述认证接口向所述第一插件并且基于所述第二请求提供由执行所述第二认证过程的第二插件生成的第二认证令牌;/n通过所述认证接口并且从所述第一插件接收对使用所述第三认证过程进行认证的第三请求;/n通过所述认证接口向所述第一插件并且基于所述第三请求提供由执行所述第三认证过程的第三插件生成的第三认证令牌;以及/n通过所述认证接口并且向所述企业服务器提供所述第一认证令牌,其中所述第一认证令牌由所述第一插件基于所述第二认证令牌和所述第三认证令牌生成。/n

【技术特征摘要】
【国外来华专利技术】20181121 US 16/198,2491.一种计算机实现的方法,其包括:
通过认证接口并且从企业服务器接收对使用第一认证过程来认证客户端装置的第一请求,其中所述第一认证过程包括通过第二认证过程和第三认证过程来认证用户;
通过所述认证接口并且基于所述第一请求调用第一插件以生成第一认证令牌;
通过所述认证接口并且从所述第一插件接收对使用所述第二认证过程进行认证的第二请求;
通过所述认证接口向所述第一插件并且基于所述第二请求提供由执行所述第二认证过程的第二插件生成的第二认证令牌;
通过所述认证接口并且从所述第一插件接收对使用所述第三认证过程进行认证的第三请求;
通过所述认证接口向所述第一插件并且基于所述第三请求提供由执行所述第三认证过程的第三插件生成的第三认证令牌;以及
通过所述认证接口并且向所述企业服务器提供所述第一认证令牌,其中所述第一认证令牌由所述第一插件基于所述第二认证令牌和所述第三认证令牌生成。


2.如权利要求1所述的方法,其中所述第一认证令牌使得与所述企业服务器相关联的客户端装置能够跟与所述第一认证过程相关联的网络资源建立会话。


3.如权利要求1所述的方法,其中所述第一认证令牌由所述第一插件通过组合所述第二认证令牌和所述第三认证令牌生成。


4.如权利要求1所述的方法,其中所述第二认证令牌基于将与所述第二认证过程相关联的第一格式的认证令牌转变成与所述认证接口相关联的第二格式生成。


5.如权利要求1所述的方法,其中所述第二插件通过以下方式生成所述第二认证令牌:
接收与所述第二认证过程相关联的用户凭证;
向第一资源所有者系统请求对应于所述用户凭证的认证令牌;以及
基于对应于所述用户凭证的所述认证令牌生成所述第二认证令牌。


6.如权利要求1所述的方法,其中所述第二插件通过以下方式生成所述第二认证令牌:
确定接收到与所述第二认证过程相关联的所述用户凭证,并且与所述第二认证过程相关联的单点登录令牌可用;以及
基于所述确定返回所述单点登录令牌作为所述第二认证令牌。


7.如权利要求1所述的方法,其中所述第二认证过程是活动目录认证过程。


8.如权利要求1所述的方法,其中所述第二认证过程是一次性口令认证过程。


9.如权利要求1所述的方法,其中:
所述第二认证过程是活动目录认证过程,并且
所述第三认证过程是一次性口令认证过程。


10.如权利要求1所述的方法,其中每个对认证的请求与依赖方相关联,并且其中:
所述企业服务器是所述第一对认证的请求的所述依赖方,并且
所述第一插件是所述第二对认证的请求和所述第三对认证的请求的所述依赖方。


11.一种认证系统,其包括:
至少一个处理器;
存储器,所述存储器存储指令,所述指令在由所述至少一个处理器执行时通过致使所述认证系统执行以下操作来致使所述认证系统提供认证接口:
从企业服务器接收对使用第一认证过程来认证客户端装置的第一请求,其中所述第一认证过程包括通过第二认证过程和第三认证过程来认证用户;
基于所述第一请求调用第一插件以生成第一认证令牌;
从所述第一插件接收对使用所述...

【专利技术属性】
技术研发人员:阿尤什·杰恩里卡多·费霍
申请(专利权)人:思杰系统有限公司
类型:发明
国别省市:美国;US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1