[发明专利]提供访问控制和单点登录的身份代理

说明书

公开了提供对基于云的服务的安全访问的技术。在各种实施例中，从设备上的客户端app接收连接到与所述基于云的服务相关联的安全性代理的请求。使用所述设备与所述安全性代理与之相关联的节点之间的安全隧道连接以建立所请求的到所述安全性代理的连接。使用与安全隧道相关联的信息，以确定进行请求的客户端app被授权从所述设备访问所述基于云的服务并从与所述基于云的服务相关联的身份提供商获得安全性令牌，所述安全性令牌要由所述客户端app使用以认证到所述基于云的服务。

本申请为分案申请，其母案的发明名称为“提供访问控制和单点登录的身份代理”，申请日为2016年1月26日，申请号为201680012311.7。

对其他申请的交叉引用

本申请要求2015年1月26日提交的名称为IDENTITY PROXY TO PROVIDE MOBILEAPP ACCESS CONTROL AND SINGLE SIGN ON的美国临时专利申请No. 62/107,927的优先权，该美国临时专利申请出于所有目的通过引用并入本文。

背景技术

越来越多地，移动设备正在将安全性保护和技术并入到操作系统中。在许多类型的设备中，应用被“沙盒化”且不能被设备上的其他app（应用程序）攻击。这也意味着：其自身的沙盒中的每一个应用典型地执行认证和授权过程。例如，应用典型地不能共享下述会话或令牌：其可以允许一个应用认证且允许其他应用利用相同的会话/令牌来得到单点登录。

安全性断言标记语言（SAML）是允许用户认证和授权数据被交换的XML标准。使用SAML，在线服务提供商（SP）可以联系分离的在线身份提供商（IDP）以认证正在尝试访问安全资源的用户。在移动设备中，例如，可以使用SAML或其他标准和/或协议以将移动app用户认证到关联的在线服务。然而，一些app可能不支持某些协议/标准，和/或可能不支持某些技术，诸如到分离的IDP的重定向。

使用基本认证可能不是期望的，例如以便防止用户的企业凭证（诸如企业用户名和密码）暴露在移动设备上和/或暴露于基于云的服务提供商（SP）。

附图说明

在以下详细描述和附图中公开了本发明的各种实施例。

图1A是图示了提供对基于云的服务的安全移动访问的系统的实施例的框图。

图2是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。

图3是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。

图1B是图示了提供对基于云的服务的安全移动访问的系统的实施例的框图。

图4是图示了代表移动客户端app建立安全隧道且请求连接的过程的实施例的流程图。

图5是图示了基于设备安全性态势监视和控制对基于云的服务的访问的过程的实施例的流程图。

图6是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。

图7是图示了提供对基于云的服务的安全移动单点登录访问的过程的实施例的流程图。

图8是图示了基于设备安全性态势监视和控制对基于云的服务的访问的过程的实施例的流程图。

图9是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。

图10是图示了经由所委托身份提供商架构和模型提供对基于云的服务的安全访问的系统的实施例的框图。

图11A和11B是图示了在各种实施例中提供对服务的安全访问的图10中表示的实体之间的呼叫的序列的示例的序列图。

具体实施方式