认证计算实体。一种方法包括:在身份提供方处,向实体提供第一访问令牌以用于由实体在从资源提供方获得资源时使用。方法还包括:在身份提供方处,从实体接收响应信息。作为资源提供方在资源提供方处强制执行策略的结果,来自实体的响应信息从资源提供方被提供给实体。在身份提供方处,第二访问令牌被提供给实体。第二访问令牌基于响应信息而被提供,使得第二访问令牌能够由实体使用以从资源提供方获得资源。资源。资源。
【技术实现步骤摘要】
【国外来华专利技术】丰富的令牌拒绝系统
技术介绍
[0001]计算机和计算系统几乎影响了现代生活的每个方面。计算机一般涉及工作、休闲、医疗保健、交通、娱乐、家务管理等。
[0002]进一步地,计算系统功能性可以通过计算系统经由网络连接与其他计算系统互连的能力来增强。网络连接可以包括但不限于经由有线或无线以太网的连接、蜂窝连接,甚或通过串行、并行、USB或其他连接的计算机到计算机的连接。这些连接允许计算系统访问其他计算系统处的服务,并且快速有效地接收来自其他计算系统的应用数据。
[0003]例如,实体可以被配置为从资源提供方访问资源,其中资源提供方是远程计算系统。为了获得对这些资源的访问,实体通常会利用身份提供方进行认证以接收访问令牌和刷新令牌,其中访问令牌可以在对资源的请求中呈现给资源提供方。如果访问令牌有效,则经过认证的用户会话在资源提供方和实体之间创建以提供资源。
[0004]然而,通常身份提供方和资源提供方不具有用于针对发起的每个用户会话彼此通信的通信信道。相反,身份提供方和资源提供方都在促进用户会话时与实体有自己的通信,但在创建用户会话时或者在用户会话被创建后没有相对于用户会话彼此通信的能力。
[0005]本文要求保护的技术方案不被限于解决任何缺点或者仅在诸如上述那些环境中操作的实施例。相反,该背景被提供仅是为了图示本文描述的一些实施例可以被实践的一个示例性
技术实现思路
[0006]本文图示的一个实施例包括一种可以在计算环境中实践的方法。该方法包括用于认证计算实体的动作。该方法包括:在身份提供方处,向实体提供第一访问令牌以用于由实体在从资源提供方获得资源时使用。该方法还包括:在身份提供方处,从实体接收响应信息。作为资源提供方在资源提供方处强制执行策略的结果,来自实体的响应信息从资源提供方被提供给实体。在身份提供方处,第二访问令牌被提供给实体。第二访问令牌基于响应信息而被提供,使得第二访问令牌可以由实体用于从资源提供方获得资源。
[0007]该
技术实现思路
被提供来以简化的形式介绍对于下面在详细描述中进一步描述的概念的选择。该
技术实现思路
不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在被用于辅助确定要求保护的技术方案的范围。
[0008]附加特征和优点将在以下描述中陈述,并且部分地将从描述变得明显,或者可以通过实践本文的教导来学习。本专利技术的特征和优点可以借助于所附权利要求中特别指出的仪器和组合来实现和获得。本专利技术的特征将从以下描述和所附权利要求中变得更全面地显而易见,或者可以通过下文陈述的本专利技术的实践来学习。
附图说明
[0009]为了描述上面列举的和其他优点和特征可以被获得的方式,上面简要描述的主题的更具体的描述将通过参照在附图中图示的具体实施例来呈现。要理解的是,这些附图仅
描绘了典型实施例并因此不被认为是范围的限制,实施例将通过使用附图来利用附加的特异性和细节描述并解释,其中:
[0010]图1图示了用于强制执行系统范围策略的系统;
[0011]图2图示了用于强制执行系统范围策略的消息流程图;
[0012]图3图示了资源提供方获得用于在资源提供方处强制执行的策略;
[0013]图4图示了策略门户处的管理员设置策略;
[0014]图5图示了认证计算实体的方法;
[0015]图6图示了强制执行策略的方法;以及
[0016]图7图示了实施例可以被实践的计算机系统。
具体实施方式
[0017]本文图示的实施例涉及一种智能客户端,其可以充当中介以从资源提供方向身份提供方提供信息。这允许并且促进身份提供方和资源提供方之间针对特定用户会话的通信。具体地,存在一个技术问题,即,身份提供方通常无法在用户会话已被建立之后从资源提供方和用户获得关于用户会话的信息。通常,配置资源提供方来强制执行策略是不可行的,因为这样做会影响企业系统的可伸缩性。具体地,在任何时候有策略变化或任何时候有需要撤销用户会话的变化时重新配置资源提供方在计算资源和管理员资源方面是昂贵的。随着这种系统中资源提供方的数目的增加,计算资源和管理员资源方面的成本也成比例地增加。因此,要求重新配置每个资源提供方计算机系统的系统必然需要限制可以被实施的资源提供方计算机系统的数量。进一步地,要求重新配置每个资源提供方将需要能够以允许重新配置它们的方式追踪和管理所有资源提供方的系统。进一步地,与简单地允许令牌到期相比,要求重新配置每个资源提供方实际上会花费更多时间,从而否定通过重新配置资源提供方计算机系统所实现的任何益处。因此,需要允许高度可缩放数量的资源提供方被添加到企业系统的系统,同时仍然能够解决使未到期令牌无效的需要。这在资源提供方可以被快速添加的基于云的系统中可能尤其重要,除非诸如上面图示的那些外部约束被置于系统时。
[0018]本文图示的实施例可以通过实施使用计算机硬件传输计算机消息的技术手段来解决该技术问题,其中消息包括在用户会话期间从资源提供方到用户的信息,其中信息被进一步传递给身份提供方,从而促进在用户会话期间从资源提供方到身份提供方的通信。即,在本专利技术的一个实际应用中,在资源提供方和尝试从资源提供方获得资源的实体之间的活动用户会话期间,促进了从资源提供方到身份提供方的通信。对实体进行认证并且充当中央策略机构的身份提供方与从资源提供方接收响应信息的实体相同,这一点可能很重要。这允许中央策略机构以闭环方式管理特定用户会话的实体的策略,其中身份提供方从资源提供方接收相对于策略强制执行的反馈。相比之下,先前的系统是开环的,因为该策略以有限的方式在身份提供方处强制执行;通过确定是否发布令牌。一旦令牌被发布,身份提供方就无法获得关于策略被如何强制执行的任何附加信息。
[0019]例如,在一些实施例中,解决了这个问题,其中资源提供方可以向实体提供信息,指示来自该实体的访问令牌为何已被拒绝。这会向身份提供方提供响应信息,指示策略被如何强制执行。在一些实施例中,实体可以使用该信息来了解令牌为何被拒绝并且相应地
做出响应。例如,如果信息指示实体需要更高级别的认证,则实体可以使用更高级别的认证从身份提供方获得新的访问令牌。在一些实施例中,作为该过程的一部分,实体可以向身份提供方指示信息已经从资源提供方接收到,该信息指示需要比在当前用户会话中使用的认证更高级别的认证。
[0020]备选地,在一些实施例中,该信息可以被简单地提供给实体,并且实体将不使用该信息,而是简单地将信息传递回可以相应地做出响应的身份提供方。例如,身份提供方可以向实体发布新的访问令牌,以校正由信息提供者标识的问题。这个新的访问令牌可以由实体使用,以访问资源提供方处的资源。
[0021]现在参照图1,图示了示例。图1图示了实体102。在所图示的示例中,实体102可以包括用户、设备和由用户在设备上使用的关联客户端。注意,用户不一定是人类用户。实体102可能需要访问来自资源提供方104的资源。资源提供方104是被配置为向用户管理计算资源的计算机系统。资源可以被存储在资源提供方104本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种在计算环境中,认证计算实体的方法,所述方法包括:在身份提供方处,向实体提供第一访问令牌以用于由所述实体在从资源提供方获得资源时使用;在所述身份提供方处,从所述实体接收响应信息,作为所述资源提供方在所述资源提供方处强制执行策略的结果,来自所述实体的所述响应信息已从所述资源提供方被提供给所述实体;以及在所述身份提供方处,向所述实体提供第二访问令牌,所述第二访问令牌基于所述响应信息而被提供,使得所述第二访问令牌能够由所述实体用于从所述资源提供方获得所述资源。2.根据权利要求1所述的方法,其中所述响应信息指示针对所述实体从所述资源提供方获得所述资源需要比用于获得所述第一访问令牌更高级别的认证。3.根据权利要求1所述的方法,其中所述响应信息指示关于以下至少一项的所述策略已被强制执行:用户状态变化、客户端状态变化、策略状态变化、条件访问、位置或者行为模式。4.根据权利要求1所述的方法,其中所述响应信息指示先前由所述身份提供方提供给所述资源提供方的策略已被强制执行。5.根据权利要求1所述的方法,其中所述响应信息指示先前由订阅服务提供给所述资源提供方的策略已被强制执行。6.根据权利要求1所述的方法,其中除了由所述身份提供方可消耗的信息之外,所述响应信息还包括由所述实体可消耗的信息。7.根据权利要求1所述的方法,其中作为所述策略指示所述响应信息在强制执行所述策略时被需要的结果,所述响应信息被提供。8.一种在计算环境中强制执行策略的方法,所述方法包括:在资源提供方处,从实体接收针对资源的请求中的第一访问令牌,以用于由所述实体在从所述资源提供方获得所述资源...
【专利技术属性】
技术研发人员:V,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。