[发明专利]提供访问控制和单点登录的身份代理

权利要求书

1.一种方法，包括：

接收与设备上的客户端应用程序相关联的连接到与基于云的服务相关联的安全性代理的请求，其中所述安全性代理远离于所述基于云的服务；

在所述设备与所述安全性代理之间建立安全隧道；

基于与所述设备相关联的信息来确定进行请求的客户端应用程序被授权从所述设备访问所述基于云的服务；

获得被所述基于云的服务信任的安全性令牌；以及

将所述安全性令牌提供给所述客户端应用程序，其中所述安全性令牌被所述客户端应用程序使用以访问所述基于云的服务。

2.如权利要求1所述的方法，其中与所述设备相关联的信息包括与所述设备相关联的安全性态势。

3.如权利要求2所述的方法，其中与所述设备相关联的安全性态势指示所述设备是依从的。

4.如权利要求1所述的方法，其中所述请求是由所述客户端应用程序响应于从所述基于云的服务接收到的重定向消息而发送的。

5.如权利要求4所述的方法，其中所述重定向消息包括与所述安全性代理相关联的统一资源定位符（URL）或其他定位符。

6.如权利要求1所述的方法，其中在所述设备与所述安全性代理之间建立安全隧道包括：从所述设备接收安全性证书。

7.如权利要求6所述的方法，进一步包括：利用所述安全性证书以确定设备、应用程序、用户和/或证书信息中的一个或多个。

8.如权利要求6所述的方法，进一步包括：利用与所述安全性证书相关联的信息以确定进行请求的客户端应用程序被授权访问所述基于云的服务。

9.如权利要求1所述的方法，其中所述安全性代理使用与所述设备相关联的信息，以至少部分地通过执行关于所述设备的依从性检验来确定进行请求的客户端应用程序被授权从所述设备访问所述基于云的服务。

10.如权利要求1所述的方法，其中所述安全性代理包括：身份提供商代理，被配置成具有链式身份提供商或者与关联于所述基于云的服务的身份提供商的其他基于信任的关系。

11.如权利要求1所述的方法，进一步包括：监视与所述设备相关联的依从性态势。

12.如权利要求11所述的方法，进一步包括：至少部分地基于所述设备的依从性态势已经改变的指示来阻拦对所述基于云的服务的访问。

13.如权利要求1所述的方法，其中所述安全性令牌包括安全性断言标记语言（SAML）断言。

14.如权利要求1所述的方法，其中所述安全性令牌是高速缓存的，且允许使用所述安全隧道将所述设备上的一个或多个其他客户端应用程序认证到一个或多个对应的基于云的服务。

15.如权利要求1所述的方法，其中所述安全性代理包括所委托的身份提供商。

16.如权利要求1所述的方法，其中所述安全性代理包括服务提供商代理。

17.如权利要求16所述的方法，其中所述服务提供商代理作为以及代表与所述基于云的服务相关联的身份提供商代理而对所述安全性令牌进行签名。