针对安全计算资源增强单点登录流程制造技术

本文公开的技术为诸如虚拟机或托管应用的安全计算资源提供了增强的单点登录流程

【技术实现步骤摘要】
【国外来华专利技术】针对安全计算资源增强单点登录流程

技术介绍

[0001]有许多不同类型的认证系统可以使用人的电子凭证来授予对不同系统或不同等级的分布式计算系统的访问权限
。
在某些情况下，认证系统使用仅一个凭证集即可授予对虚拟机
、
基于服务器的应用和其他服务的访问权限
。
尽管在认证系统方面已经有了许多发展，但是仍然存在许多场景，这些场景不允许用户无缝地使用提供对不同系统或不同等级的分布式计算系统的访问的一个凭证集
。
[0002]在一个说明性示例中，当人使用客户端计算设备来访问在服务器上运行的虚拟机时，可能要求用户执行多个手动步骤以在平台的多个等级上提供凭证
。
首先，可能需要用户登录客户端设备，该客户端设备可能需要用户提供他们的凭证，例如，标识符和密码
、
智能卡等
。
然后，一旦用户登录到客户端设备，用户可能必须再次手动输入他们的凭证以访问由服务器提供的服务，诸如虚拟机和应用服务
。
这种要求导致需要冗余的手动输入，这除了使系统面临更大的安全风险之外，还会极大地阻碍服务的采用率
。
[0003]在一些现有系统中，令牌可以用于授予对计算系统的多个组件的访问
。
在这样的系统中，当用户提供凭证集
(
本文称为“凭证”)
时，生成令牌
。
令牌可用于允许访问计算设备的应用和其他资源
。
也可以复制令牌以授予操作系统的较低等级的访问权限
。
尽管现有系统具有灵活性，但令牌不能提供对分布式计算系统的所有方面的访问，例如在远程服务器上执行的虚拟机
。
因此，要求用户在尝试访问此类资源时重新输入他们的凭证，可能会对用户体验产生负面影响
。
[0004]关于这些和其他技术挑战，本文提出了本公开
。

技术实现思路

[0005]本文公开的技术为诸如虚拟机或托管应用的安全计算资源提供了增强的单点登录流程
。
在一些配置中，该技术在系统的特定计算实体处处理不同类型的安全数据，例如凭证
、
令牌
、
证书和参考对象，以提供用于提供从客户端计算设备对安全计算资源的访问的单点登录流程
。
在一个说明性示例中，从特定计算资源处的令牌和声明生成选择类型的安全数据，诸如证书，该特定计算资源诸如在虚拟机上操作的代理
。
在另一示例中，可以在虚拟机处存储和验证证书的签名版本
。
通过在这样的特定计算资源处生成证书，计算资源可以使用安全的单点登录流程来验证人的凭证，而不需要此人多次提供凭证
。
[0006]在一个说明性示例中，当在身份提供器处接收到凭证时，系统可以生成令牌
。
该令牌和声明可以被传送到特定计算资源，诸如虚拟机，其中该虚拟机上的代理处理该令牌以生成证书
。
响应于检测到一个或多个标准，可以向证书授权机构传送证书，其中可以对证书进行签名
。
然后，可以向代理传送签名证书，该代理将签名证书路由到计算资源，其中代理可以将签名证书处理成安全对象
。
然后，可以将安全对象插入到客户端计算设备与计算资源之间的连接中，以允许从客户端计算设备对计算资源的安全访问
。
[0007]通过阅读下面的具体实施方式和回顾关联附图，除了上文明确描述的特征和技术优势将是清楚的
。
提供本
技术实现思路
是为了以简化形式介绍一组概念，这些概念将在下面的
具体实施方式中进一步描述
。
本
技术实现思路
不是为了确定所要求保护的主题的关键或必要特征，也不是为了帮助确定所要求保护的主题的范围
。
术语“技术”例如可以指
(
多个
)
系统
、(
多个
)
方法
、
计算机可读指令
、(
多个
)
模块
、
算法
、
硬件逻辑和
/
或
(
多个
)
操作，如上所述的上下文和贯穿本文档所允许的
。
附图说明
[0008]参考附图描述具体实施方式
。
在附图中，附图标记的最左边的
(
多个
)
数字标识附图标记首次出现的附图
。
不同附图中相同的附图标记表示相似或相同的项目
。
对多个项目中的各个项目进行的引用可以使用带有字母序列中的字母的附图标记来引用每个单独项目
。
对这些项目的通用引用可以使用不带字母序列的特定附图标记
。
[0009]图1是用于认证系统的安全计算资源的单点登录流程的系统的框图
。
[0010]图
2A
示出了在认证系统的单点登录流程的过程的第一状态下用于安全计算资源的单点登录流程的系统的各方面
。
[0011]图
2B
示出了在认证系统的单点登录流程的过程的第二状态下用于安全计算资源的单点登录流程的系统的各方面
。
[0012]图
2C
示出了在认证系统的单点登录流程的过程的第三状态下用于安全计算资源的单点登录流程的系统的各方面
。
[0013]图
2D
示出了在认证系统的单点登录流程的过程的第四状态下用于安全计算资源的单点登录流程的系统的各方面
。
[0014]图
2E
示出了在认证系统的单点登录流程的过程的第五状态下用于安全计算资源的单点登录流程的系统的各方面
。
[0015]图
3A
示出了在认证系统的单点登录流程的过程的第一状态下使用安全计算资源的参考对象的单点登录流程的系统的各方面
。
[0016]图
3B
示出了在认证系统的单点登录流程的过程的第二状态下使用安全计算资源的参考对象的单点登录流程的系统的各方面
。
[0017]图
3C
示出了在认证系统的单点登录流程的过程的第三状态下使用安全计算资源的参考对象的单点登录流程的系统的各方面
。
[0018]图
3D
示出了在认证系统的单点登录流程的过程的第四状态下使用安全计算资源的参考对象的单点登录流程的系统的各方面
。
[0019]图
3E
示出了在认证系统的单点登录流程的过程的第五状态下使用安全计算资源的参考对象的单点登录流程的系统的各方面
。
[0020]图
3F
示出了在认证系统的单点登录流程的过程的第六状态下使用安全计算资源的参考对象的单点登录流程的系统的各方面
。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种用于在计算系统上执行的方法，所述方法包括：在身份提供器处从客户端设备接收凭证集；响应于确定所述凭证集满足一个或多个标准，生成指示所述凭证集的有效性的令牌，所述令牌限定针对与所述凭证集相关联的用户的针对单点登录流程的声明；向所述客户端设备传送所述令牌，其中所述客户端设备被配置为，传送具有发起用于访问服务的安全计算资源的所述单点登录流程的请求的所述令牌；在代理处从所述客户端设备接收用于访问所述服务的所述安全计算资源的所述请求，其中所述请求包括限定针对所述单点登录流程的所述声明的所述令牌；响应于确定所述请求包括由所述身份提供器生成的所述令牌和所述声明，使所述安全计算资源从所述令牌生成证书，其中所述安全计算资源被配置为向所述身份提供器传送所述证书和所述令牌；使所述身份提供器验证所述令牌，并且向证书授权机构发送所述证书以从所述证书生成签名证书，其中所述证书授权机构包括由所述用户提供的用于签署所述证书的安全数据；以及向所述安全计算资源发送所述签名证书，其中所述签名证书使得所述客户端设备能够通过连接访问所述安全计算资源，而不要求所述客户端设备重新提交用于访问所述安全计算资源的所述凭证集
。2.
根据权利要求1所述的方法，其中在所述身份提供器处，从所述客户端设备接收所述凭证集，使所述凭证集登录到所述身份提供器，使所述令牌被生成，其中当所述令牌返回所述身份提供器时，所述身份提供器发起将所述令牌交换为所述证书
。3.
根据权利要求1所述的方法，其中所述安全计算资源是远程虚拟机
、
虚拟机
、
容器或数据存储库
。4.
根据权利要求1所述的方法，其中所述令牌被发送到向与所述凭证相关联的用户注册的所述安全计算资源
。5.
根据权利要求1所述的方法，其中通过将所述令牌从所述代理传送到所述安全计算资源，使所述安全计算资源从所述令牌生成所述证书，其中所述令牌在所述安全计算资源处的接收引起所述证书在所述安全计算资源处的所述生成
。6.
根据权利要求5所述的方法，其中所述证书包括来自所述凭证的用户名和密码，其中所述证书授权机构从所述凭证验证所述用户名和所述密码
。7.
根据权利要求1所述的方法，其中基于由配置文件提供的地址，所述证书被路由到所述证书授权机构，所述配置文件由所述用户配置安全设置建立
。8.
根据权利要求1所述的方法，其中在所述签名证书使得能够访问所述安全计算资源之后的预定时间处所述证书和所述签名证书被删除
。9.
一种用于在计算系统上执行的方法，所述方法包括：在身份...

【专利技术属性】
技术研发人员：V，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：