【技术实现步骤摘要】
【国外来华专利技术】针对安全计算资源增强单点登录流程
技术介绍
[0001]有许多不同类型的认证系统可以使用人的电子凭证来授予对不同系统或不同等级的分布式计算系统的访问权限
。
在某些情况下,认证系统使用仅一个凭证集即可授予对虚拟机
、
基于服务器的应用和其他服务的访问权限
。
尽管在认证系统方面已经有了许多发展,但是仍然存在许多场景,这些场景不允许用户无缝地使用提供对不同系统或不同等级的分布式计算系统的访问的一个凭证集
。
[0002]在一个说明性示例中,当人使用客户端计算设备来访问在服务器上运行的虚拟机时,可能要求用户执行多个手动步骤以在平台的多个等级上提供凭证
。
首先,可能需要用户登录客户端设备,该客户端设备可能需要用户提供他们的凭证,例如,标识符和密码
、
智能卡等
。
然后,一旦用户登录到客户端设备,用户可能必须再次手动输入他们的凭证以访问由服务器提供的服务,诸如虚拟机和应用服务
。
这种要求导致需要冗余的手动输入,这除了使系统面临更大的安全风险之外,还会极大地阻碍服务的采用率
。
[0003]在一些现有系统中,令牌可以用于授予对计算系统的多个组件的访问
。
在这样的系统中,当用户提供凭证集
(
本文称为“凭证”)
时,生成令牌
。
令牌可用于允许访问计算设备的应用和其他资源
。
也可以复制令牌以授予操作系统的较低等级的访问权限
...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.
一种用于在计算系统上执行的方法,所述方法包括:在身份提供器处从客户端设备接收凭证集;响应于确定所述凭证集满足一个或多个标准,生成指示所述凭证集的有效性的令牌,所述令牌限定针对与所述凭证集相关联的用户的针对单点登录流程的声明;向所述客户端设备传送所述令牌,其中所述客户端设备被配置为,传送具有发起用于访问服务的安全计算资源的所述单点登录流程的请求的所述令牌;在代理处从所述客户端设备接收用于访问所述服务的所述安全计算资源的所述请求,其中所述请求包括限定针对所述单点登录流程的所述声明的所述令牌;响应于确定所述请求包括由所述身份提供器生成的所述令牌和所述声明,使所述安全计算资源从所述令牌生成证书,其中所述安全计算资源被配置为向所述身份提供器传送所述证书和所述令牌;使所述身份提供器验证所述令牌,并且向证书授权机构发送所述证书以从所述证书生成签名证书,其中所述证书授权机构包括由所述用户提供的用于签署所述证书的安全数据;以及向所述安全计算资源发送所述签名证书,其中所述签名证书使得所述客户端设备能够通过连接访问所述安全计算资源,而不要求所述客户端设备重新提交用于访问所述安全计算资源的所述凭证集
。2.
根据权利要求1所述的方法,其中在所述身份提供器处,从所述客户端设备接收所述凭证集,使所述凭证集登录到所述身份提供器,使所述令牌被生成,其中当所述令牌返回所述身份提供器时,所述身份提供器发起将所述令牌交换为所述证书
。3.
根据权利要求1所述的方法,其中所述安全计算资源是远程虚拟机
、
虚拟机
、
容器或数据存储库
。4.
根据权利要求1所述的方法,其中所述令牌被发送到向与所述凭证相关联的用户注册的所述安全计算资源
。5.
根据权利要求1所述的方法,其中通过将所述令牌从所述代理传送到所述安全计算资源,使所述安全计算资源从所述令牌生成所述证书,其中所述令牌在所述安全计算资源处的接收引起所述证书在所述安全计算资源处的所述生成
。6.
根据权利要求5所述的方法,其中所述证书包括来自所述凭证的用户名和密码,其中所述证书授权机构从所述凭证验证所述用户名和所述密码
。7.
根据权利要求1所述的方法,其中基于由配置文件提供的地址,所述证书被路由到所述证书授权机构,所述配置文件由所述用户配置安全设置建立
。8.
根据权利要求1所述的方法,其中在所述签名证书使得能够访问所述安全计算资源之后的预定时间处所述证书和所述签名证书被删除
。9.
一种用于在计算系统上执行的方法,所述方法包括:在身份...
【专利技术属性】
技术研发人员:V,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。