移動(dòng)應(yīng)用�、單點(diǎn)登錄管理的制作方法
【專利摘要】提供用于管理單點(diǎn)登錄的技術(shù)�。在某些示例中��,單點(diǎn)登錄功能可以通過(guò)利用移動(dòng)應(yīng)用����、云應(yīng)用����、和/或其它基于網(wǎng)絡(luò)的應(yīng)用(208)來(lái)提供以用在移動(dòng)設(shè)備104上�����。例如����,移動(dòng)應(yīng)用或移動(dòng)網(wǎng)絡(luò)瀏覽器(204)可以請(qǐng)求利用一個(gè)或多個(gè)服務(wù)提供者計(jì)算機(jī)(116)認(rèn)證或訪問(wèn)一個(gè)或多個(gè)服務(wù)提供者計(jì)算機(jī)(116)。認(rèn)證證書可以從移動(dòng)設(shè)備(202)的用戶被請(qǐng)求以便于此類認(rèn)證和/或訪問(wèn)�。至少部分地基于成功登入��,在不向用戶連續(xù)或重復(fù)證書請(qǐng)求的情況下,可以提供從相同移動(dòng)設(shè)備(202)上的其它應(yīng)用(226)對(duì)服務(wù)器(212)資源的訪問(wèn)���。
【專利說(shuō)明】移動(dòng)應(yīng)用、單點(diǎn)登錄管理
[0001]對(duì)相關(guān)申請(qǐng)的交叉引用
[0002]本申請(qǐng)要求2011年9月29日提交的題為“MOBILE SECURITY AND SINGLESIGN-ON”的美國(guó)臨時(shí)申請(qǐng)N0.61/541���,034的利益和優(yōu)先權(quán),其全部?jī)?nèi)容為了所有目的通過(guò)引用合并于此����。本申請(qǐng)也要求申請(qǐng)?zhí)枮镹0.13/485,420�、題為“MOBILE APPLICATION,IDENTITY RELATIONSHIP MANAGEMENT” 的代理機(jī)構(gòu)卷號(hào)為 N0.88325-831572,申請(qǐng)?zhí)枮镹0.13/485�,509�、題為 “MOBILE APPLICATION, SINGLE SIGN-ON MANAGEMENT” 的代理機(jī)構(gòu)卷號(hào)為 N0.88325-831573�����,申請(qǐng)?zhí)枮?N0.13/485�����,283、題為 “MOBILE APPLICATION, SINGLESIGN-ON MANAGEMENT” 的代理機(jī)構(gòu)卷號(hào)為 N0.88325-830032���,和申請(qǐng)?zhí)枮?N0.13/485���,569����、題為“MOBILE APPLICATION, RESOURCE MANAGEMENT ADVICE” 的代理機(jī)構(gòu)卷號(hào)為N0.88325-831574的利益和優(yōu)先權(quán),其每個(gè)的全部?jī)?nèi)容就像在這里完全地闡述的一樣通過(guò)引用合并于此��。
【技術(shù)領(lǐng)域】
[0003]本發(fā)明一般涉及移動(dòng)應(yīng)用����,并且更具體地涉及單點(diǎn)登錄管理���。
【背景技術(shù)】
[0004]移動(dòng)設(shè)備通常配置有多個(gè)不同的應(yīng)用,包括網(wǎng)絡(luò)瀏覽器�����、原生移動(dòng)應(yīng)用����,等等����。一般���,每個(gè)應(yīng)用可以請(qǐng)求來(lái)自于移動(dòng)設(shè)備的用戶的個(gè)人認(rèn)證證書��。另外��,每個(gè)應(yīng)用可以在給出對(duì)服務(wù)器的賬戶的訪問(wèn)之前利用服務(wù)器分別地認(rèn)證自身。但是����,從相同的設(shè)備登入多次以便利用多個(gè)不同應(yīng)用中的一個(gè)以上可能是冗長(zhǎng)的���、費(fèi)時(shí)的�����、使人不愉快的���、并且不安全的�。另外�����,多個(gè)登入請(qǐng)求可以使得用戶較少警覺并且較少知道哪些應(yīng)用正在正常地請(qǐng)求證書�。
[0005]因而,訪問(wèn)此類應(yīng)用和相關(guān)的網(wǎng)絡(luò)服務(wù)如果不被恰當(dāng)?shù)亟鉀Q可能引起安全風(fēng)險(xiǎn)���。例如���,在有些情況下�,多個(gè)登入請(qǐng)求可以使得密碼釣魚技術(shù)更可能得手�����。此外,數(shù)據(jù)安全性,尤其隨著移動(dòng)設(shè)備和關(guān)聯(lián)的應(yīng)用和/或網(wǎng)絡(luò)服務(wù)的普遍使用,仍然持續(xù)被關(guān)注�。因而,在本領(lǐng)域找到技術(shù)方案���,并且具體地用于實(shí)施用于移動(dòng)應(yīng)用的安全單點(diǎn)登錄的技術(shù)方案仍然是優(yōu)先考慮的。
【發(fā)明內(nèi)容】
[0006]提供用于管理單點(diǎn)登錄的技術(shù)���。在某些示例中�����,單點(diǎn)登錄功能可以通過(guò)利用移動(dòng)應(yīng)用���、云應(yīng)用���、和/或其它基于網(wǎng)絡(luò)的應(yīng)用為在移動(dòng)設(shè)備上使用而提供���。例如����,移動(dòng)應(yīng)用或移動(dòng)網(wǎng)絡(luò)瀏覽器可以請(qǐng)求認(rèn)證或訪問(wèn)一個(gè)或多個(gè)服務(wù)提供者。認(rèn)證證書可以從移動(dòng)設(shè)備的用戶請(qǐng)求以便于此類認(rèn)證和/或訪問(wèn)���。至少部分地基于成功登入,在沒有向用戶連續(xù)或重復(fù)證書請(qǐng)求的情況下�����,可以提供從相同移動(dòng)設(shè)備上的其它應(yīng)用訪問(wèn)服務(wù)器資源����。
[0007]根據(jù)至少一個(gè)示例��,計(jì)算機(jī)可讀存儲(chǔ)器可以存儲(chǔ)在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使得所述一個(gè)或多個(gè)處理器接收訪問(wèn)服務(wù)提供者的一個(gè)或多個(gè)請(qǐng)求的指令��。在某些示例中����,請(qǐng)求可以從移動(dòng)設(shè)備的第一應(yīng)用接收��。另外����,指令也可以使得所述一個(gè)或多個(gè)處理器登入與第一應(yīng)用相關(guān)聯(lián)的用戶�。指令還可以使得所述一個(gè)或多個(gè)處理器向第一應(yīng)用提供用于訪問(wèn)服務(wù)提供者的令牌�����。第二令牌然后可以被提供給第二應(yīng)用���。
[0008]在某些示例中����,第一應(yīng)用可以被配置為用于為第二應(yīng)用提供單點(diǎn)登錄功能的應(yīng)用代理。
[0009]另外���,在一些示例中,第二應(yīng)用可以被配置為網(wǎng)絡(luò)瀏覽器應(yīng)用或原生應(yīng)用���。
[0010]在一個(gè)示例中�����,第一應(yīng)用可以被配置為與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的瀏覽器應(yīng)用,而第二應(yīng)用可以被配置為與應(yīng)用服務(wù)提供者相關(guān)聯(lián)的原生應(yīng)用��。瀏覽器應(yīng)用和原生應(yīng)用可以被執(zhí)行或由移動(dòng)設(shè)備托管����。
[0011]在某些示例中���,第一應(yīng)用可以被配置為移動(dòng)設(shè)備的原生應(yīng)用�。原生應(yīng)用可以與應(yīng)用服務(wù)提供者相關(guān)聯(lián)��。另外,第二應(yīng)用可以被配置為與網(wǎng)絡(luò)應(yīng)用相關(guān)聯(lián)的瀏覽器應(yīng)用���。瀏覽器應(yīng)用可以被執(zhí)行或由移動(dòng)設(shè)備托管���。此外��,在某些示例中,第二應(yīng)用可以被配置為與第二應(yīng)用服務(wù)相關(guān)聯(lián)的第二原生應(yīng)用����。第二原生應(yīng)用也可以被執(zhí)行或由移動(dòng)設(shè)備托管��。
[0012]在一個(gè)示例中�����,用戶的登入可以包括利用認(rèn)證服務(wù)認(rèn)證用戶����,認(rèn)證服務(wù)使用代表性狀態(tài)轉(zhuǎn)移(REST)調(diào)用����。在另一個(gè)示例中���,提供到第二應(yīng)用的第二令牌可以使得第二應(yīng)用在用戶沒有向與第二應(yīng)用相關(guān)聯(lián)的應(yīng)用服務(wù)提供者提供登入證書的情況下登入到與第二應(yīng)用相關(guān)聯(lián)的應(yīng)用服務(wù)提供者�����。
[0013]上面描述的一些或所有示例可以實(shí)現(xiàn)在各種認(rèn)證服務(wù)的使用便利性方面的改進(jìn)���。另外,以上示例也可以改善用戶交互的安全性�,并且因而可以改善用戶�、移動(dòng)設(shè)備����、和/或移動(dòng)應(yīng)用和關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)安全性。上述技術(shù)效果與下面描述的附加技術(shù)效果一起解決了數(shù)據(jù)安全性和用戶認(rèn)證���,具體地針對(duì)移動(dòng)設(shè)備和他們關(guān)聯(lián)的應(yīng)用�,的正在面臨的問(wèn)題�����。
[0014]也提供用于管理身份的技術(shù)。在某些示例中���,身份管理�����、認(rèn)證�、授權(quán)�、和令牌交換框架可以被提供以用于以移動(dòng)設(shè)備�、移動(dòng)應(yīng)用�、云應(yīng)用、和/或其它基于網(wǎng)絡(luò)的應(yīng)用。例如移動(dòng)客戶端可以請(qǐng)求執(zhí)行與服務(wù)提供者的賬戶相關(guān)聯(lián)的一個(gè)或多個(gè)身份管理操作����。至少部分地基于請(qǐng)求的操作和/或特定服務(wù)提供者,應(yīng)用編程接口(API)可以被使用以生成和/或執(zhí)行用于管理服務(wù)提供者的身份信息的一個(gè)或多個(gè)指令和/或方法調(diào)用���。
[0015]根據(jù)至少一個(gè)示例�����,系統(tǒng)可以接收?qǐng)?zhí)行與服務(wù)提供者相關(guān)聯(lián)的功能的請(qǐng)求���。該請(qǐng)求可以從客戶端應(yīng)用接收到并且可以被格式化為代表性狀態(tài)轉(zhuǎn)移(REST)調(diào)用����。另外���,系統(tǒng)也可以確定與其功能的執(zhí)行正在被請(qǐng)求的服務(wù)提供者對(duì)應(yīng)的訪問(wèn)管理服務(wù)調(diào)用。此外���,系統(tǒng)可以執(zhí)行訪問(wèn)管理服務(wù)調(diào)用�。
[0016]在一個(gè)示例中�����,請(qǐng)求接收自的客戶端應(yīng)用可以被實(shí)施為移動(dòng)設(shè)備的移動(dòng)應(yīng)用�����、軟件作為服務(wù)(SaaS)應(yīng)用�、和/或富互聯(lián)網(wǎng)應(yīng)用(RIA)。另外���,在某些示例中,執(zhí)行與服務(wù)提供者相關(guān)聯(lián)的功能的請(qǐng)求可以包括授權(quán)請(qǐng)求����。認(rèn)證請(qǐng)求可以包括客戶端應(yīng)用的用戶的用戶標(biāo)識(shí)符(ID)�����。認(rèn)證請(qǐng)求也可以包括用戶的密碼和/或用于指示客戶端應(yīng)用已被認(rèn)證的客戶端令牌�����。用戶ID和密碼在一些情況下可以用于針對(duì)訪問(wèn)管理服務(wù)認(rèn)證用戶�。
[0017]在一個(gè)示例中����,由系統(tǒng)執(zhí)行的訪問(wèn)管理服務(wù)調(diào)用可以包括實(shí)施令牌交換的方法調(diào)用�����。
[0018]另外���,在一些示例中�,執(zhí)行與服務(wù)提供者相關(guān)聯(lián)的功能的請(qǐng)求可以包括訪問(wèn)請(qǐng)求。在一些情況下����,訪問(wèn)請(qǐng)求可以包括指示客戶端被認(rèn)證的客戶端令牌、指示用戶被認(rèn)證的用戶令牌�����、和/或?qū)ζ涞脑L問(wèn)正在被請(qǐng)求的服務(wù)提供者的指示���。在一些情況下�,系統(tǒng)可以接收用戶和/或客戶端應(yīng)用已被訪問(wèn)管理服務(wù)授權(quán)訪問(wèn)服務(wù)提供者的指示���。在這種情況下,系統(tǒng)然后可以向客戶端應(yīng)用提供訪問(wèn)令牌。
[0019]在一個(gè)示例中,對(duì)于第一訪問(wèn)管理服務(wù)的服務(wù)調(diào)用可以不同于對(duì)于第二訪問(wèn)管理服務(wù)的服務(wù)調(diào)用�。此外����,在一些情況下���,要被使用的訪問(wèn)管理服務(wù)可以由服務(wù)提供者指定��,而不是向客戶端應(yīng)用指示����。以這種方式,客戶端應(yīng)用可以獨(dú)立于API或服務(wù)提供者的其它配置做出REST調(diào)用����。
[0020]根據(jù)至少一個(gè)示例���,系統(tǒng)可以接收管理身份的指令。系統(tǒng)也可以被配置為將與要被管理的身份相關(guān)聯(lián)的身份關(guān)系建模為統(tǒng)一資源標(biāo)識(shí)符(URI)����。系統(tǒng)也可以根據(jù)要求將URI映射到與服務(wù)提供者相關(guān)聯(lián)的模式和/或?qū)⒛J桨l(fā)送到用于管理身份的服務(wù)提供者。
[0021]在某些示例中�,接收的管理身份的指令可以由移動(dòng)客戶端應(yīng)用�、RIA、或SaaS應(yīng)用接收���。接收的指令也可以被格式化為REST調(diào)用��。另外�,在一些方面,建模的身份關(guān)系可以包括要被管理的身份和/或身份與另一個(gè)實(shí)體之間的關(guān)聯(lián)��。此外����,身份關(guān)系可以至少部分地基于包括身份和關(guān)聯(lián)的一串符號(hào)被建模為URI。
[0022]還提供用于資源管理意見服務(wù)的技術(shù)。在某些示例中����,資源管理意見和/或指令可以為移動(dòng)設(shè)備����、移動(dòng)應(yīng)用、云應(yīng)用、和/或其它基于網(wǎng)絡(luò)的應(yīng)用而提供�。例如����,移動(dòng)客戶端可以請(qǐng)求執(zhí)行與服務(wù)提供者相關(guān)聯(lián)的一個(gè)或多個(gè)資源管理操作����。至少部分地基于請(qǐng)求的操作和/或特定服務(wù)提供者���,可以提供用于管理資源的意見和/或指令。
[0023]根據(jù)至少一個(gè)示例,計(jì)算機(jī)可讀存儲(chǔ)器可以存儲(chǔ)在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使得所述一個(gè)或多個(gè)處理器接收管理服務(wù)提供者的安全資源的請(qǐng)求的指令�����。請(qǐng)求可以從客戶端應(yīng)用接收到并且可以被格式化為代表性狀態(tài)轉(zhuǎn)移(REST)調(diào)用。另外����,指令也可以使得所述一個(gè)或多個(gè)處理器確定用于執(zhí)行安全資源的管理的獲取路徑����。指令還可以使得所述一個(gè)或多個(gè)處理器生成用于遵循獲取路徑的指令集。所述指令集可以包括至少一個(gè)指令。此外,指令可以使得所述一個(gè)或多個(gè)處理器將指令集發(fā)送到客戶端應(yīng)用。
[0024]在一個(gè)示例中���,求接收請(qǐng)自的客戶端應(yīng)用可以被實(shí)施為移動(dòng)設(shè)備的移動(dòng)應(yīng)用���、軟件作為服務(wù)(SaaS)應(yīng)用、和/或富互聯(lián)網(wǎng)應(yīng)用(RIA)���。另外��,在一些示例中����,管理安全資源的請(qǐng)求可以包括訪問(wèn)安全資源的請(qǐng)求、更新安全資源的請(qǐng)求、或刪除安全資源的請(qǐng)求�����。安全資源可以包括與客戶端應(yīng)用的用戶相關(guān)聯(lián)的簡(jiǎn)檔信息����、與客戶端應(yīng)用的用戶相關(guān)聯(lián)的工資信息����、或與客戶端應(yīng)用的用戶相關(guān)聯(lián)的社會(huì)信息。在一些情況下�����,生成的指令可以由安全過(guò)濾器保護(hù)��。在一些方面,獲取路徑可以至少部分地基于安全資源和/或與安全資源相關(guān)聯(lián)的變化動(dòng)態(tài)地確定。
[0025]在一個(gè)示例中�����,指令可以使得所述一個(gè)或多個(gè)處理器至少部分地基于發(fā)送的指令集從客戶端應(yīng)用接收認(rèn)證請(qǐng)求�。指令也可以使得所述一個(gè)或多個(gè)處理器至少部分地基于認(rèn)證請(qǐng)求向客戶端應(yīng)用提供認(rèn)證令牌。
[0026]另外,在一些示例中,指令可以使得所述一個(gè)或多個(gè)處理器確定用于執(zhí)行安全資源的管理的第二獲取路徑����、生成第二指令集�����、以及將第二指令集發(fā)送到客戶端�����。
[0027]上述連同其它特征和實(shí)施例將在參考下列說(shuō)明書、權(quán)利要求書、和附圖時(shí)變得更清晰�����?���!緦@綀D】
【附圖說(shuō)明】
[0028]參考附圖闡述詳細(xì)說(shuō)明����。在圖中,參考數(shù)字的最左數(shù)字標(biāo)識(shí)其中參考數(shù)字首先出現(xiàn)的圖。在不同的圖中相同參考數(shù)字的使用指示相似或相等的項(xiàng)目。
[0029]圖1是示出了根據(jù)至少一個(gè)示例的用于管理移動(dòng)設(shè)備的單點(diǎn)登錄的示例架構(gòu)的簡(jiǎn)化框圖,所述架構(gòu)包括一個(gè)或多個(gè)REST服務(wù)計(jì)算機(jī)����、一個(gè)或多個(gè)用戶設(shè)備����、和經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)連接的一個(gè)或多個(gè)應(yīng)用提供者計(jì)算機(jī)�����。
[0030]圖2是示出了根據(jù)至少一個(gè)示例的這里描述的單點(diǎn)登錄管理的至少一些特征簡(jiǎn)化框圖���。
[0031]圖3是示出了根據(jù)至少一個(gè)示例的這里描述的單點(diǎn)登錄管理的至少一些附加特征的簡(jiǎn)化框圖��。
[0032]圖4-7是示出了根據(jù)至少幾個(gè)示例的這里描述的單點(diǎn)登錄管理的至少一些特征的簡(jiǎn)化處理流程圖�����。
[0033]圖8-10是示出了根據(jù)至少幾個(gè)示例的用于執(zhí)行這里描述的單點(diǎn)登錄管理的至少一些特征的示例處理的簡(jiǎn)化流程圖�。
[0034]圖11是示出了根據(jù)至少一個(gè)示例的可以根據(jù)這里描述的單點(diǎn)登錄管理的實(shí)施例使用的系統(tǒng)環(huán)境的組件的簡(jiǎn)化框圖。
[0035]圖12是示出了根據(jù)至少一個(gè)示例的可以根據(jù)這里描述的單點(diǎn)登錄管理的實(shí)施例使用的計(jì)算機(jī)系統(tǒng)的簡(jiǎn)化框圖。
[0036]圖13是示出了根據(jù)至少一個(gè)示例的單點(diǎn)登錄管理裝置的簡(jiǎn)化框圖�����。
[0037]圖14是示出了根據(jù)至少一個(gè)其它示例的單點(diǎn)登錄管理裝置的簡(jiǎn)化框圖。
[0038]圖15是示出了根據(jù)至少一個(gè)其它示例的單點(diǎn)登錄管理裝置的簡(jiǎn)化框圖�。
【具體實(shí)施方式】
[0039]概述
[0040]在下面說(shuō)明中,將描述各個(gè)實(shí)施例�。為了說(shuō)明,闡述具體配置和細(xì)節(jié)以便提供對(duì)實(shí)施例的更徹底的理解�����。但是���,對(duì)本領(lǐng)域普通技術(shù)人員將顯而易見���,可以不用這些特定的細(xì)節(jié)來(lái)實(shí)踐本實(shí)施例�。此外���,公知的特征可以被省略或簡(jiǎn)化以便不致模糊描述的實(shí)施例�。
[0041]本公開的實(shí)施例針對(duì)經(jīng)由計(jì)算資源和/或身份接口服務(wù)計(jì)算系統(tǒng)向一個(gè)或多個(gè)實(shí)體(例如,移動(dòng)應(yīng)用)提供單點(diǎn)登錄管理等。如這里使用的�����,身份接口服務(wù)可以包括用于管理單點(diǎn)登錄和/或認(rèn)證請(qǐng)求、客戶端令牌��、應(yīng)用令牌����、用戶令牌等的一個(gè)或多個(gè)計(jì)算系統(tǒng)�。另外���,身份接口服務(wù)可以被配置為在客戶端應(yīng)用和其它服務(wù)提供者之間提供可插的接口層。例如身份接口服務(wù)可以從客戶端應(yīng)用(例如,移動(dòng)設(shè)備的移動(dòng)應(yīng)用、SaaS應(yīng)用�、RIA�、上述組合等)接收身份管理指令并且向一個(gè)或多個(gè)服務(wù)提供者、身份提供者�、和/或訪問(wèn)管理提供者提供適當(dāng)?shù)胤g的指令�。在某些示例中����,移動(dòng)應(yīng)用可以包括但是不局限于原生應(yīng)用(例如�����,被配置為在特定的移動(dòng)設(shè)備上執(zhí)行的移動(dòng)設(shè)備應(yīng)用,在某些實(shí)例中,在沒有其它軟件解譯的情況下)、網(wǎng)絡(luò)瀏覽器應(yīng)用(例如,用于向移動(dòng)設(shè)備的用戶顯示網(wǎng)頁(yè))�、安全代理應(yīng)用、幫助應(yīng)用����、和/或認(rèn)證委托應(yīng)用�����。
[0042]在一些方面���,身份接口服務(wù)可以提供移動(dòng)設(shè)備的移動(dòng)應(yīng)用代表移動(dòng)設(shè)備的其它移動(dòng)應(yīng)用執(zhí)行登入操作(例如,認(rèn)證���、授權(quán)等等)的能力���。以這種方式,用戶可以向移動(dòng)應(yīng)用中的一個(gè)提供一次登入信息。移動(dòng)應(yīng)用然后可以登入用戶并且向與登入����、用戶、移動(dòng)設(shè)備��、或應(yīng)用和/或服務(wù)的其它群或子群相關(guān)聯(lián)的其它移動(dòng)應(yīng)用提供訪問(wèn)令牌或其它訪問(wèn)功能。在某些示例中���,登入操作和/或請(qǐng)求可以被向身份接口服務(wù)以REST樣式提供�。此外����,在某些示例中,做出登入操作請(qǐng)求的移動(dòng)應(yīng)用可以是原生移動(dòng)應(yīng)用、瀏覽器應(yīng)用�、和/或安全代理應(yīng)用�。例如,安全代理應(yīng)用可以是幫助應(yīng)用、認(rèn)證委托應(yīng)用�����、或被指定幫助或便于這里描述的單點(diǎn)登錄的其它應(yīng)用�����。即�����,安全代理應(yīng)用可以被配置為充當(dāng)用于原生應(yīng)用、原生應(yīng)用群、瀏覽器應(yīng)用�、原生和/或?yàn)g覽器應(yīng)用的其他群����、移動(dòng)應(yīng)用(原生的和/或?yàn)g覽器)的子群等的單點(diǎn)登錄應(yīng)用��。可替換地,或此外,瀏覽器應(yīng)用或原生應(yīng)用可以被指定并且被配置為充當(dāng)用于其它移動(dòng)應(yīng)用、移動(dòng)應(yīng)用群等等的安全代理應(yīng)用。
[0043]另外��,在一些方面,身份服務(wù)可以提供認(rèn)證�、授權(quán)、審計(jì)���、令牌服務(wù)�、用戶簡(jiǎn)檔管理、密碼管理、和/或ID管理�����。另外,這些服務(wù)可以被公開或提供到可以本來(lái)不能夠與此類服務(wù)(例如��,由企業(yè)解決方案布置的或其內(nèi)的服務(wù))交互的移動(dòng)應(yīng)用�。在一個(gè)示例中���,身份接口服務(wù)可以向移動(dòng)應(yīng)用提供REST接口以允許身份管理請(qǐng)求傳送到身份服務(wù)�����。以這種方式,移動(dòng)應(yīng)用可以利用原生的基于互聯(lián)網(wǎng)的操作�,諸如那些利用但是不限于JavaScript對(duì)象標(biāo)記(JSON)數(shù)據(jù)格式�����、超文本傳輸協(xié)議(HTTP)、和/或超文本標(biāo)記語(yǔ)言(HTML)的操作��。此外����,身份接口服務(wù)可以允許用于服務(wù)提供者的插入能力����,包括但不限于企業(yè)解決方案��、身份服務(wù)�����、訪問(wèn)管理服務(wù)、和/或其它身份有關(guān)的解決方案����。例如,企業(yè)解決方案的身份服務(wù)可以插入到身份接口服務(wù)以允許與通常不能從其接收指令和/或請(qǐng)求的客戶端應(yīng)用的安全交互�����。REST的API可以為此類服務(wù)提供者提供�,并且在某些示例中���,可以提供用于保護(hù)REST的API的安全模型����。
[0044]在一個(gè)非限制示例中��,移動(dòng)設(shè)備的安全代理應(yīng)用可以從移動(dòng)設(shè)備的移動(dòng)應(yīng)用中接收再一個(gè)登入請(qǐng)求�����。請(qǐng)求可以被以任何格式接收�����,可以包括用戶登入信息���,并且可以識(shí)別一個(gè)或多個(gè)服務(wù)提供者��、應(yīng)用提供者、或與移動(dòng)應(yīng)用相關(guān)聯(lián)的其它計(jì)算設(shè)備�����。安全代理應(yīng)用可以向身份接口服務(wù)發(fā)送一個(gè)或多個(gè)登入請(qǐng)求、認(rèn)證請(qǐng)求�、授權(quán)請(qǐng)求等�。這些請(qǐng)求可以以REST形式被發(fā)送給身份接口服務(wù)?���?蛻舳肆钆?、用戶令牌����、和/或訪問(wèn)令牌然后可以被安全代理應(yīng)用從身份接口服務(wù)中接收。在某些示例中��,這些令牌可以用于提供對(duì)請(qǐng)求的服務(wù)提供者�、應(yīng)用提供者���、或其它服務(wù)器的訪問(wèn)。安全代理應(yīng)用可以確定哪些移動(dòng)應(yīng)用在安全群�����、信賴圈���、或其它單點(diǎn)登錄群(以下被稱為信賴圈)之內(nèi)并且與其共享接收到的用戶令牌��。另外����,在一些示例中,安全代理應(yīng)用可以請(qǐng)求用于群內(nèi)的每個(gè)移動(dòng)應(yīng)用的特定的訪問(wèn)令牌����。以這種方式�,當(dāng)用戶試圖使用相同的信賴圈內(nèi)的不同的移動(dòng)應(yīng)用時(shí),用戶信息可以不需要被再次請(qǐng)求����。此外,移動(dòng)設(shè)備的移動(dòng)應(yīng)用可以被給出優(yōu)先級(jí)或其它級(jí)別以指示當(dāng)存在時(shí)最高優(yōu)先級(jí)的移動(dòng)應(yīng)用可以充當(dāng)安全代理應(yīng)用。以這種方式�,這里描述的單點(diǎn)登錄管理不需要依賴專用的安全代理應(yīng)用�����。相反地,移動(dòng)設(shè)備的任何瀏覽器應(yīng)用或原生應(yīng)用可以執(zhí)行用于信賴圈的其它移動(dòng)應(yīng)用的單點(diǎn)登錄操作。
[0045]在其它非限制示例中�����,身份接口服務(wù)可以被配置為從專用的安全代理應(yīng)用�、充當(dāng)安全代理應(yīng)用的瀏覽器應(yīng)用�����、和/或充當(dāng)安全代理應(yīng)用的原生應(yīng)用中接收登入請(qǐng)求(有時(shí)����,作為REST調(diào)用)���。身份接口服務(wù)然后可以利用可以與移動(dòng)設(shè)備的其它應(yīng)用共享的用戶令牌、客戶端令牌����、和/或訪問(wèn)令牌來(lái)響應(yīng)進(jìn)行請(qǐng)求的應(yīng)用。例如�,身份接口服務(wù)可以從試圖訪問(wèn)服務(wù)提供者的移動(dòng)應(yīng)用中接收一個(gè)或多個(gè)身份傳播和/或令牌交換請(qǐng)求�����。請(qǐng)求可以以REST形式接收(即,作為REST調(diào)用)并且可以指示客戶端應(yīng)用、用戶�����、或移動(dòng)設(shè)備已被認(rèn)證或正在請(qǐng)求被認(rèn)證��。身份接口服務(wù)可以至少部分地基于服務(wù)提供者(例如,企業(yè)解決方案的訪問(wèn)管理服務(wù))確定適當(dāng)?shù)纳矸輦鞑ズ?或要被執(zhí)行的令牌交換指令����。身份接口服務(wù)然后可以執(zhí)行該指令以便向移動(dòng)應(yīng)用提供適當(dāng)?shù)牧钆?例如,訪問(wèn)令牌���、用戶令牌���、或客戶端令牌)��??商鎿Q地����,或此外����,身份接口服務(wù)可以通過(guò)服務(wù)提供者可以能夠執(zhí)行指令的方式���、至少部分地基于服務(wù)提供者的API格式化指令����。身份接口服務(wù)然后可以將已格式化的指令或指令發(fā)送到服務(wù)提供者���。服務(wù)提供者然后可以執(zhí)行指令并且在一些情況下向身份接口服務(wù)提供適當(dāng)?shù)脑L問(wèn)令牌�。以這種方式�,移動(dòng)應(yīng)用可以被提供有適當(dāng)?shù)脑L問(wèn)令牌以用于訪問(wèn)服務(wù)提供者(例如,假設(shè)移動(dòng)應(yīng)用和用戶被授權(quán)訪問(wèn))�����,即使沒有直接與服務(wù)提供者通信��,和/或沒有對(duì)服務(wù)提供者的特定和/或?qū)S械腁PI的認(rèn)識(shí)��。雖然此示例描述單點(diǎn)登錄�����、身份傳播(即��,經(jīng)由多個(gè)系統(tǒng)復(fù)制認(rèn)證的身份)�����、和/或令牌交換(即,基于先前認(rèn)證提供訪問(wèn)令牌)����,但是身份接口服務(wù)可以如上所述被配置還用于執(zhí)行其它服務(wù)�����,包括但不限于認(rèn)證����、授權(quán)���、審計(jì)���、簡(jiǎn)檔管理、密碼管理���、ID管理等等����。
[0046]包括章節(jié)標(biāo)題和對(duì)應(yīng)摘要的此簡(jiǎn)介是為讀者方便而提供的并且不預(yù)期限制權(quán)利要求或先前部分的范圍��。此外����,如上和以下描述的技術(shù)可以以許多方式和在許多上下文中執(zhí)行��。參考下列圖提供若干示例實(shí)施方式和上下文����,如同下面更詳細(xì)地描述的。但是��,下列實(shí)施方式和上下文只是眾多中的幾個(gè)���。
[0047]說(shuō)明性架構(gòu)
[0048]圖1描述可以實(shí)施用于管理用于移動(dòng)應(yīng)用的單點(diǎn)登錄的技術(shù)的簡(jiǎn)化的示例系統(tǒng)或架構(gòu)100����。在架構(gòu)100中,一個(gè)或多個(gè)用戶102(即���,賬戶持有者)可以利用用戶計(jì)算設(shè)備104(1)-(N)(共同地�,用戶設(shè)備104)以經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)114分別與一個(gè)或多個(gè)網(wǎng)絡(luò)應(yīng)用110和/或應(yīng)用服務(wù)112通信地訪問(wèn)一個(gè)或多個(gè)瀏覽器應(yīng)用106或原生應(yīng)用108�����。在某些方面�,網(wǎng)絡(luò)應(yīng)用110和/或應(yīng)用服務(wù)可以由計(jì)算資源服務(wù)或服務(wù)提供者諸如通過(guò)利用一個(gè)或多個(gè)應(yīng)用提供者計(jì)算機(jī)116被托管�、管理����、和/或提供。在某些示例中����,所述一個(gè)或多個(gè)應(yīng)用提供者計(jì)算機(jī)116可以提供計(jì)算資源和/或服務(wù)����,諸如而不是限制于網(wǎng)絡(luò)服務(wù)����、數(shù)據(jù)存儲(chǔ)、電子郵件���、身份管理、授權(quán)和/或認(rèn)證服務(wù)等。所述一個(gè)或多個(gè)應(yīng)用提供者計(jì)算機(jī)116也可以是可操作以向所述一個(gè)或多個(gè)用戶102提供網(wǎng)絡(luò)托管���、應(yīng)用開發(fā)平臺(tái)���、實(shí)施平臺(tái)等��。
[0049]在某些示例中��,瀏覽器應(yīng)用106可以是被配置為經(jīng)由用戶設(shè)備104代表用戶102或?yàn)橛脩?02檢索�、呈現(xiàn)、和/或遍歷網(wǎng)絡(luò)內(nèi)容的任何類型網(wǎng)絡(luò)瀏覽器。在一些情況下�,瀏覽器應(yīng)用106可以經(jīng)由網(wǎng)絡(luò)114訪問(wèn)網(wǎng)絡(luò)應(yīng)用110或其他網(wǎng)頁(yè)�。在某些示例中����,原生應(yīng)用108可以是被設(shè)計(jì)和/或配置為由用戶設(shè)備104執(zhí)行的任何類型的移動(dòng)應(yīng)用�����,包括但不限于稅應(yīng)用、目錄應(yīng)用���、費(fèi)用報(bào)告應(yīng)用��、登入應(yīng)用�����、圖書館應(yīng)用��、客戶關(guān)系管理(CRM)軟件等���。此夕卜,在一些情況下�����,原生應(yīng)用108可以經(jīng)由網(wǎng)絡(luò)114訪問(wèn)由應(yīng)用服務(wù)112存儲(chǔ)和/或提供的數(shù)據(jù)和/或其它資源。例如�����,原生應(yīng)用可以被配置為訪問(wèn)應(yīng)用提供者計(jì)算機(jī)114的目錄服務(wù)或服務(wù)器以尋找目錄信息和/或在用戶設(shè)備104沒有本地存儲(chǔ)的任何數(shù)據(jù)的目錄應(yīng)用�。
[0050]用戶102也可以經(jīng)由網(wǎng)絡(luò)114與可以被執(zhí)行或由身份接口服務(wù)計(jì)算機(jī)120托管的身份服務(wù)或其他服務(wù)提供者通信地訪問(wèn)一個(gè)或多個(gè)安全代理應(yīng)用118。在某些示例中����,安全代理應(yīng)用118可以是幫助應(yīng)用�、認(rèn)證委托應(yīng)用、單點(diǎn)登錄(SSO)移動(dòng)應(yīng)用、安全代理���、應(yīng)用代理等(在下文中��,“安全代理應(yīng)用”)���。安全代理應(yīng)用118可以被配置為代表用戶設(shè)備104的其它移動(dòng)應(yīng)用(例如����,瀏覽器應(yīng)用106和/或原生應(yīng)用108)或代表用戶設(shè)備104的用戶102執(zhí)行單點(diǎn)登錄功能和/或操作。此外,在某些示例中�����,安全代理應(yīng)用118可以將登入證書、安全信息、令牌等等發(fā)送到身份接口服務(wù)計(jì)算機(jī)120的REST模塊122和/或從身份接口服務(wù)計(jì)算機(jī)120的REST模塊122接收����,以用于執(zhí)行這里描述的單點(diǎn)登錄功能�?���?商鎿Q地��,安全代理應(yīng)用118可以與身份接口服務(wù)計(jì)算機(jī)120的一個(gè)或多個(gè)其它模塊和/或可以便于用于移動(dòng)設(shè)備的單點(diǎn)登錄操作的其它計(jì)算設(shè)備的一個(gè)或多個(gè)其它模塊通信。
[0051]在某些示例中�,網(wǎng)絡(luò)114可以包括多個(gè)不同類型網(wǎng)絡(luò)�,諸如電纜網(wǎng)�、互聯(lián)網(wǎng)��、無(wú)線網(wǎng)絡(luò)���、蜂窩網(wǎng)絡(luò)����、內(nèi)部網(wǎng)系統(tǒng)�、和/或其它專用的和/或公共網(wǎng)絡(luò)�,的任何一個(gè)或組合��。雖然示出的示例表示用戶102通過(guò)網(wǎng)絡(luò)114訪問(wèn)網(wǎng)絡(luò)應(yīng)用110�����、應(yīng)用服務(wù)112��、和/或REST模塊122,但是描述的技術(shù)可以同樣地應(yīng)用在用戶102經(jīng)由一個(gè)或多個(gè)用戶設(shè)備104通過(guò)陸上電話機(jī)、經(jīng)由信息站���、或任何其它方式與一個(gè)或多個(gè)服務(wù)提供者計(jì)算機(jī)交互的實(shí)例中����。也注意描述的技術(shù)可以應(yīng)用在其它客戶端/服務(wù)器布置中(例如,機(jī)頂盒等等)����,以及在非客戶段/服務(wù)器布置中(例如����,本地存儲(chǔ)的應(yīng)用���,等等)�。
[0052]瀏覽器應(yīng)用106和/或原生應(yīng)用108可以允許用戶102與應(yīng)用提供者計(jì)算機(jī)116交互����,以便存儲(chǔ)、訪問(wèn)、和/或管理數(shù)據(jù)、開發(fā)和/或布置計(jì)算機(jī)的應(yīng)用��、和/或托管網(wǎng)絡(luò)內(nèi)容�����。用戶設(shè)備104可以是諸如但是不限于移動(dòng)電話��、智能電話���、個(gè)人數(shù)字助理(PDA)、膝上型計(jì)算機(jī)����、桌上型計(jì)算機(jī)����、薄客戶端設(shè)備��、平板PC等等之類的任何類型的計(jì)算設(shè)備。在某些示例中,用戶設(shè)備104可以與應(yīng)用提供者計(jì)算機(jī)116和/或身份接口服務(wù)計(jì)算機(jī)120經(jīng)由網(wǎng)絡(luò)114或經(jīng)由其它網(wǎng)絡(luò)連接通信���。此外��,用戶設(shè)備104也可以被配置為執(zhí)行一個(gè)或多個(gè)移動(dòng)應(yīng)用、RIA�����、或SaaS應(yīng)用�。但是��,在某些示例中�,這些移動(dòng)應(yīng)用可以不被編程有或知道用于與應(yīng)用提供者計(jì)算機(jī)116交互以登入或訪問(wèn)網(wǎng)絡(luò)應(yīng)用110和/或應(yīng)用服務(wù)112的指令�����。但是�,在一些情況下�,移動(dòng)應(yīng)用(例如����,安全代理應(yīng)用118��、瀏覽器應(yīng)用106��、和/或原生應(yīng)用108)可以能夠與身份接口服務(wù)計(jì)算機(jī)120通信或與其交互�。以這種方式,身份接口服務(wù)計(jì)算機(jī)120可以充當(dāng)移動(dòng)應(yīng)用與應(yīng)用提供者計(jì)算機(jī)116之間的接口層���。另外���,身份接口服務(wù)計(jì)算機(jī)120可以向安全代理應(yīng)用118提供適當(dāng)?shù)闹噶詈?或代碼以用于與網(wǎng)絡(luò)應(yīng)用110和/或應(yīng)用服務(wù)112通信或向網(wǎng)絡(luò)應(yīng)用110和/或應(yīng)用服務(wù)112提供登入功能和/或訪問(wèn)�����。
[0053]在一個(gè)說(shuō)明性的配置中,用戶設(shè)備104可以包括至少一個(gè)存儲(chǔ)器124和一個(gè)或多個(gè)處理單元(或處理器)126�����。處理器126可以被視情況以硬件�、計(jì)算機(jī)可執(zhí)行指令、固件�����、或其組合實(shí)施���。處理器126的計(jì)算機(jī)可運(yùn)行指令或固件實(shí)施方式可以包括以任何適當(dāng)?shù)某绦蛟O(shè)計(jì)語(yǔ)言編寫以執(zhí)行描述的各種功能的計(jì)算機(jī)可執(zhí)行或機(jī)器可執(zhí)行指令�。
[0054]存儲(chǔ)器124可以存儲(chǔ)在處理器126上可裝載和可執(zhí)行的程序指令,以及在這些程序的執(zhí)行期間生成的數(shù)據(jù)。根據(jù)用戶設(shè)備104的配置和類型����,存儲(chǔ)器124可以是易失性的(諸如隨機(jī)存取存儲(chǔ)器(RAM))和/或非易失性的(諸如只讀存儲(chǔ)器(ROM)���、閃速存儲(chǔ)器�,等等)��。用戶設(shè)備104也可以包括附加存儲(chǔ)器(例如����,可移除的和/或不可移除的存儲(chǔ)器)128����,包括但不限于磁存儲(chǔ)器��、光盤�、和/或磁帶存儲(chǔ)器�����。盤驅(qū)動(dòng)器和他們關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)可以提供計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)���、程序模塊、和用于計(jì)算設(shè)備的其它數(shù)據(jù)的非易失性存儲(chǔ)�����。在某些實(shí)施方式中�,存儲(chǔ)器114可以包括多個(gè)不同類型的存儲(chǔ)器,諸如靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)����、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)、ROM��。
[0055]存儲(chǔ)器124�����、可移除的和不可移除的附加存儲(chǔ)器128是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的全部示例����。例如,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以包括以任何方法或技術(shù)執(zhí)行的易失性的或非易失性的�����、可移除的或不可移除的介質(zhì)以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)、程序模塊����、或其它數(shù)據(jù)之類的信息�。存儲(chǔ)器124和附加存儲(chǔ)器128全部是計(jì)算機(jī)存儲(chǔ)介質(zhì)的示例����。
[0056]用戶設(shè)備104也可以包含允許用戶設(shè)備104與存儲(chǔ)的數(shù)據(jù)庫(kù)、另一個(gè)計(jì)算設(shè)備或服務(wù)器(例如,應(yīng)用提供者計(jì)算機(jī)116����、身份接口服務(wù)計(jì)算機(jī)120等等)、用戶終端����、和/或網(wǎng)絡(luò)114上的其它設(shè)備通信的通信連接130�。用戶設(shè)備104也可以包括輸入/輸出(I/O)設(shè)備132,諸如鍵盤��、鼠標(biāo)、筆���、語(yǔ)音輸入設(shè)備����、觸摸式輸入設(shè)備����、顯示器�、揚(yáng)聲器、打印機(jī)����,等等。
[0057]更詳細(xì)地轉(zhuǎn)向存儲(chǔ)器124的內(nèi)容�����,存儲(chǔ)器124可以包括操作系統(tǒng)134和用于執(zhí)行這里公開的特征的一個(gè)或多個(gè)應(yīng)用或服務(wù)�����,至少包括瀏覽器應(yīng)用106�����、原生應(yīng)用108(例如���,稅應(yīng)用�、目錄應(yīng)用、CRM應(yīng)用等等)�����、和/或安全代理應(yīng)用118���。如上所述,在某些示例中���,安全代理應(yīng)用118可以是用于便于用于其它移動(dòng)應(yīng)用的單點(diǎn)登錄的獨(dú)立的應(yīng)用�����。但是���,在某些示例中���,瀏覽器應(yīng)用106���、或原生應(yīng)用108可以被配置為充當(dāng)用于移動(dòng)應(yīng)用群的安全代理應(yīng)用(例如����,基于優(yōu)先級(jí)�、預(yù)先確定的應(yīng)用列表等)。另外����,存儲(chǔ)器124可以存儲(chǔ)訪問(wèn)證書和/或其他用戶信息,諸如但是不限于用戶ID�����、密碼����、其它用戶信息、和/或要被發(fā)送給身份接口服務(wù)計(jì)算機(jī)120的登入請(qǐng)求���。在某些示例中����,其它客戶端信息可以包括用于認(rèn)證賬戶訪問(wèn)請(qǐng)求的信息,諸如但是不限于設(shè)備ID�、C00kie、IP地址����、位置等�。此外�,其它客戶端信息可以包括用戶102提供的對(duì)安全問(wèn)題的響應(yīng)或由用戶設(shè)備104獲得的地理位置。
[0058]在某些方面,身份接口服務(wù)計(jì)算機(jī)120也可以是任何類型的計(jì)算設(shè)備�,諸如但是不限于移動(dòng)、桌上型計(jì)算機(jī)�、薄客戶端����、和/或云計(jì)算設(shè)備、諸如服務(wù)器����。在某些示例中�,身份接口服務(wù)計(jì)算機(jī)120可以與用戶設(shè)備104經(jīng)由網(wǎng)絡(luò)114、或經(jīng)由其它網(wǎng)絡(luò)連接通信��。身份接口服務(wù)計(jì)算機(jī)120可以包括一個(gè)或多個(gè)服務(wù)器�,或許布置成群作為服務(wù)器場(chǎng),或布置成彼此不相關(guān)聯(lián)的各個(gè)服務(wù)器��。這些服務(wù)器可以被配置為執(zhí)行或托管這里描述的特征�����,包括但不限于單點(diǎn)登錄服務(wù)和/或身份接口服務(wù)。另外��,在一些方面���,身份接口服務(wù)計(jì)算機(jī)120可以配置為集成�、分布式計(jì)算環(huán)境的一部分�����。
[0059]在一個(gè)說(shuō)明性的配置中��,身份接口服務(wù)計(jì)算機(jī)120可以包括至少一個(gè)存儲(chǔ)器136和一個(gè)或多個(gè)處理單元(或處理器)138���。處理器138可以被視情況以硬件、計(jì)算機(jī)可執(zhí)行指令�、固件、或其組合實(shí)施�����。處理器138的計(jì)算機(jī)可執(zhí)行指令或固件伸縮縫可以包括以任何適當(dāng)?shù)某绦蛟O(shè)計(jì)語(yǔ)言編寫以執(zhí)行描述的各種功能的計(jì)算機(jī)可執(zhí)行或機(jī)器可執(zhí)行指令��。
[0060]存儲(chǔ)器136可以存儲(chǔ)在處理器138上可裝載和可執(zhí)行的程序指令�,以及在這些程序的執(zhí)行期間生成的數(shù)據(jù)�。根據(jù)身份接口服務(wù)計(jì)算機(jī)120的配置和類型,存儲(chǔ)器136可以是易失性的(諸如隨機(jī)存取存儲(chǔ)器(RAM))和/或非易失性的(諸如只讀存儲(chǔ)器(ROM)�����、閃速存儲(chǔ)器�,等等)。身份接口服務(wù)計(jì)算機(jī)120也可以包括附加存儲(chǔ)器(例如�,可移除的和/或不可移除的存儲(chǔ)器)140,包括但不限于磁存儲(chǔ)器、光盤���、和/或磁帶存儲(chǔ)器�。盤驅(qū)動(dòng)器和他們關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)可以提供計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)�、程序模塊����、和用于計(jì)算設(shè)備的其它數(shù)據(jù)的非易失性存儲(chǔ)。在某些實(shí)施方式中��,存儲(chǔ)器136可以包括多個(gè)不同類型的存儲(chǔ)器�,諸如靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)��、ROM。
[0061]存儲(chǔ)器136���、可移除的和不可移除的附加存儲(chǔ)器140是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的全部示例。例如�����,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以包括以任何方法或技術(shù)執(zhí)行的易失性的或非易失性的�����、可移除的或不可移除的介質(zhì)以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)����、程序模塊�、或其它數(shù)據(jù)之類的信息。存儲(chǔ)器136和附加存儲(chǔ)器140全部是計(jì)算機(jī)存儲(chǔ)介質(zhì)的示例��。
[0062]身份接口服務(wù)計(jì)算機(jī)114也可以包含允許身份接口計(jì)算機(jī)120與存儲(chǔ)的數(shù)據(jù)庫(kù)、另一個(gè)計(jì)算設(shè)備或服務(wù)器��、用戶終端�、和/或網(wǎng)絡(luò)114上的其它設(shè)備通信的通信連接142。身份接口服務(wù)計(jì)算機(jī)120也可以包括輸入/輸出(I/O)設(shè)備134����,諸如鍵盤�����、鼠標(biāo)、筆�����、語(yǔ)音輸入設(shè)備�、觸摸式輸入設(shè)備、顯示器�����、揚(yáng)聲器�、打印機(jī)���,等等����。
[0063]更詳細(xì)地轉(zhuǎn)向存儲(chǔ)器136的內(nèi)容�,存儲(chǔ)器136可以包括操作系統(tǒng)146和用于執(zhí)行這里公開的特征的包括REST接口模塊122的一個(gè)或多個(gè)應(yīng)用或服務(wù)。在某些示例中���,REST接口模塊122可以被配置為提供REST AP1���、接收REST API調(diào)用�����、確定適當(dāng)?shù)纳矸莘?wù)和/或登入方法調(diào)用(即API調(diào)用)���、提供方法調(diào)用���、和/或執(zhí)行與方法調(diào)用相關(guān)聯(lián)的指令����。換句話說(shuō)����,REST接口模塊122可以用于與用戶設(shè)備104的安全代理應(yīng)用118交互。
[0064]例如但不限于,用戶設(shè)備104的安全代理應(yīng)用118可以發(fā)送用于執(zhí)行特定身份管理操作(例如�,用戶登入)的REST API調(diào)用。REST接口模塊122可以接收API調(diào)用并且確定用于應(yīng)用提供者計(jì)算機(jī)116的適當(dāng)?shù)姆椒ㄕ{(diào)用����。在某些示例中,REST接口模塊122可以被配置為向安全代理應(yīng)用118提供訪問(wèn)令牌(例如,用戶令牌�����、客戶端令牌���、和/或訪問(wèn)令牌)����。這些令牌然后可以被適當(dāng)?shù)嘏c用戶設(shè)備104的其它移動(dòng)應(yīng)用共享以使得對(duì)于在信賴群內(nèi)的移動(dòng)應(yīng)用�����,用戶102可以不需要登入多次����。以下更詳細(xì)描述安全代理應(yīng)用118和/或身份接口服務(wù)計(jì)算機(jī)120的操作的幾個(gè)示例。
[0065]可以被呈現(xiàn)在身份接口服務(wù)計(jì)算機(jī)120和/或用戶設(shè)備104中的附加類型的計(jì)算機(jī)存儲(chǔ)介質(zhì)(其也可以是非瞬時(shí)的)可以包括但是不局限于可編程隨機(jī)存取存儲(chǔ)器(PRAM)�����、SRAM����、DRAM、RAM���、ROM���、電可擦除可編程只讀存儲(chǔ)器(EEPROM)����、閃速存儲(chǔ)器或其它存儲(chǔ)技術(shù)���、光盤只讀存儲(chǔ)器(CD-ROM)��、數(shù)字通用盤(DVD)或其它光存儲(chǔ)器�、磁帶盒、磁帶���、磁盤存儲(chǔ)器或其它磁存儲(chǔ)器、或可以用于存儲(chǔ)期望的信息并且可以由身份接口服務(wù)計(jì)算機(jī)120和/或用戶設(shè)備104訪問(wèn)的任何其它介質(zhì)����。以上中的任何一個(gè)組合也應(yīng)當(dāng)被包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。
[0066]可替換地���,計(jì)算機(jī)可讀通信介質(zhì)可以包括計(jì)算機(jī)可讀指令��、程序模塊�����、或在數(shù)據(jù)信號(hào)之內(nèi)發(fā)送的其它數(shù)據(jù)����,諸如載波、或其它傳輸�。但是��,如同這里使用的�,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)并不包括計(jì)算機(jī)可讀通信介質(zhì)。
[0067]圖2描述可以實(shí)施用于管理用于移動(dòng)應(yīng)用的單點(diǎn)登錄的附加技術(shù)的簡(jiǎn)化的示例系統(tǒng)或架構(gòu)200�。在架構(gòu)200中,用戶設(shè)備202 (例如����,至少類似于用戶設(shè)備104的移動(dòng)設(shè)備)可以被配置有瀏覽器應(yīng)用204����、一個(gè)或多個(gè)原生應(yīng)用(例如,原生應(yīng)用一 206和原生應(yīng)用二 208)�、和用于經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)216與一個(gè)或多個(gè)服務(wù)提供者計(jì)算機(jī)212和/或一個(gè)或多個(gè)身份服務(wù)計(jì)算機(jī)214交互的安全代理應(yīng)用210。在某些示例中���,每個(gè)移動(dòng)應(yīng)用(SP���,至少瀏覽器應(yīng)用204和/或原生應(yīng)用206、208)可以包括用于適當(dāng)?shù)嘏c網(wǎng)絡(luò)應(yīng)用224�、應(yīng)用服務(wù)一 226、和應(yīng)用服務(wù)二 228分別交互的軟件開發(fā)工具包(SDK)信息218���、220��、222�����?����?商鎿Q地�,SDK218�����、220�、222可以被配置為提供用于適當(dāng)?shù)嘏c身份服務(wù)計(jì)算機(jī)214,或更具體地��,與身份服務(wù)計(jì)算機(jī)214的REST模塊230交互的開發(fā)信息。此外����,在某些示例中�����,安全代理應(yīng)用210可以與工具包232耦接����。工具包232可以是用于存儲(chǔ)與用戶設(shè)備202的用戶相關(guān)聯(lián)的用戶證書和/或登入信息的存儲(chǔ)器中的位置或獨(dú)立的存儲(chǔ)設(shè)備����。
[0068]如同圖1的網(wǎng)絡(luò)114 一樣���,網(wǎng)絡(luò)216可以包括多個(gè)不同類型網(wǎng)絡(luò)的任何一個(gè)的或組合�����,諸如電纜網(wǎng)、互聯(lián)網(wǎng)��、無(wú)線網(wǎng)絡(luò)��、蜂窩網(wǎng)絡(luò)、內(nèi)部網(wǎng)系統(tǒng)�����、和/或其它專用的和/或公共網(wǎng)絡(luò)��。雖然示出的示例表示用戶設(shè)備202通過(guò)網(wǎng)絡(luò)216訪問(wèn)網(wǎng)絡(luò)應(yīng)用224�、應(yīng)用服務(wù)226、228�����、和/或REST模塊230����,但是描述的技術(shù)可以同樣地應(yīng)用在用戶設(shè)備202通過(guò)陸地電話機(jī)��、經(jīng)由信息站��、或以任何其它方式與此類應(yīng)用和/或模塊交互的實(shí)例中����。也注意描述的技術(shù)可以應(yīng)用在其它客戶端/服務(wù)器布置中(例如����,機(jī)頂盒等等)���,以及在非客戶端/服務(wù)器布置(例如����,本地存儲(chǔ)的應(yīng)用�����,等等)���。
[0069]在一個(gè)非限制不例中����,瀏覽器應(yīng)用204和原生應(yīng)用一 206可以被包括在位于用戶設(shè)備202上的移動(dòng)應(yīng)用的信賴圈、或其它信賴群中�����。在此示例中,原生應(yīng)用二 208可以不是群的成員���。即�,信賴圈可以被定義為以因?yàn)槟承┨囟ㄔ騼H僅包括瀏覽器應(yīng)用204和原生應(yīng)用一 206�。因而,單點(diǎn)登錄功能可以僅僅對(duì)于群的成員(即�����,信賴圈)被執(zhí)行�����。但是,在其它示例中����,用戶設(shè)備202的更多或更少的移動(dòng)應(yīng)用可以被包括在信賴群中。這里��,安全代理應(yīng)用210可以從瀏覽器應(yīng)用204接收登入到網(wǎng)絡(luò)應(yīng)用224的請(qǐng)求�����。在響應(yīng)中�,安全代理應(yīng)用210可以請(qǐng)求來(lái)自于用戶設(shè)備202的用戶的登入證書,諸如但是不限于用戶名��、密碼等等。安全代理應(yīng)用210然后可以經(jīng)由網(wǎng)絡(luò)216將用戶和/或上下文信息234發(fā)送到REST模塊230�����。此信息234可以被以REST形式發(fā)送����。
[0070]REST模塊230然后可以將REST調(diào)用翻譯成為用于認(rèn)證用戶設(shè)備202的用戶、用戶設(shè)備202、和/或?yàn)g覽器應(yīng)用204的登入指令���。身份服務(wù)計(jì)算機(jī)214可以執(zhí)行或指示其它計(jì)算設(shè)備或模塊執(zhí)行認(rèn)證指令��。在認(rèn)證時(shí)�,REST模塊230可以提供用戶令牌和/或客戶端令牌回到安全代理應(yīng)用210��。在一些情況下���,用戶令牌和/或客戶端令牌可以意味著用戶設(shè)備202的用戶和/或用戶設(shè)備自身202已被認(rèn)證。類似地��,用戶令牌和/或客戶端令牌可以意味著或指示請(qǐng)求的應(yīng)用(在這種情況下�����,瀏覽器應(yīng)用204)已被認(rèn)證����。在成功地登入時(shí),安全應(yīng)用也可以接收用于訪問(wèn)應(yīng)用提供者計(jì)算機(jī)212的適當(dāng)?shù)姆?wù)(例如����,網(wǎng)絡(luò)應(yīng)用224和/或應(yīng)用服務(wù)226、228)的訪問(wèn)令牌�����。在圖2中��,訪問(wèn)令牌可以由條紋菱形的形狀標(biāo)識(shí)����。因而,在一個(gè)示例中����,安全代理應(yīng)用210可以至少部分地基于登入到網(wǎng)絡(luò)應(yīng)用224的初始請(qǐng)求來(lái)請(qǐng)求用于瀏覽器應(yīng)用204的訪問(wèn)令牌(例如�,具有對(duì)角條形的令牌)���。安全代理應(yīng)用210然后可以向?yàn)g覽器應(yīng)用204提供訪問(wèn)令牌���,其然后可以向網(wǎng)絡(luò)應(yīng)用224提供訪問(wèn)令牌(再次,具有對(duì)角條形的令牌)。此訪問(wèn)令牌可以向網(wǎng)絡(luò)應(yīng)用指示用戶設(shè)備202的瀏覽器應(yīng)用204已被對(duì)身份服務(wù)計(jì)算機(jī)214認(rèn)證��。網(wǎng)絡(luò)應(yīng)用224然后可以安全地與瀏覽器應(yīng)用交互����。[0071 ] 另外,在一些示例中�����,安全代理應(yīng)用210可以以后接收來(lái)自于原生應(yīng)用一 206的訪問(wèn)應(yīng)用服務(wù)一 226的請(qǐng)求。在這種情況下���,因?yàn)樵鷳?yīng)用一 206處于與瀏覽器應(yīng)用204相同的信賴圈����,并且因?yàn)榘踩響?yīng)用210已經(jīng)認(rèn)證了用戶和/或用戶設(shè)備202(8卩���,用戶和/或客戶端令牌已經(jīng)被接收)�,所以安全代理應(yīng)用210能請(qǐng)求來(lái)自于身份服務(wù)計(jì)算機(jī)214的訪問(wèn)令牌(這次���,令牌具有橫條紋)而不必重新請(qǐng)求用戶設(shè)備202的用戶的用戶證書�����。SP���,一旦安全代理應(yīng)用210已經(jīng)認(rèn)證了用戶和設(shè)備202�,安全代理應(yīng)用210對(duì)于信賴圈的其它應(yīng)用可以能執(zhí)行單點(diǎn)登錄功能。但是,如果用戶請(qǐng)求經(jīng)由原生應(yīng)用二 208 (假設(shè)�,如上所述����,原生應(yīng)用二 208可以不處于信賴圈)登入應(yīng)用服務(wù)二 228�,則安全代理應(yīng)用210將不能夠請(qǐng)求和/或接收用于該操作的訪問(wèn)令牌。
[0072]另外��,在其它示例中,用戶設(shè)備202可以不被配置有專用的安全代理應(yīng)用210����。在這種情況下,一個(gè)或多個(gè)移動(dòng)應(yīng)用(即����,瀏覽器應(yīng)用204和/或原生應(yīng)用206、208)可以充當(dāng)安全代理應(yīng)用210�。即��,一旦信賴圈形成����,信賴圈的每個(gè)應(yīng)用可以被給定優(yōu)先級(jí)��。優(yōu)先級(jí)可以確定或指示哪個(gè)移動(dòng)應(yīng)用應(yīng)當(dāng)充當(dāng)用于群的單點(diǎn)登錄幫助(或安全)應(yīng)用。在一個(gè)非限制示例中��,圖2所示的所有三個(gè)移動(dòng)應(yīng)用204�、206���、208可以是信賴圈的一部分���。另外�,原生應(yīng)用二 208可以被給定最高優(yōu)先級(jí),繼之以瀏覽器應(yīng)用204����。因而�����,當(dāng)用戶試圖登入到三個(gè)移動(dòng)應(yīng)用中的一個(gè)時(shí)��,用戶設(shè)備可以首先檢查最高優(yōu)先級(jí)應(yīng)用(在此示例中���,原生應(yīng)用二 208)是否被安裝在用戶設(shè)備202上�。如果是的話���,則原生應(yīng)用二 208可以充當(dāng)安全代理應(yīng)用210并且將REST請(qǐng)求發(fā)送到身份服務(wù)計(jì)算機(jī)214或執(zhí)行用于信賴圈的認(rèn)證和/或接收并共享訪問(wèn)令牌??商鎿Q地,如果原生應(yīng)用二 208沒有被安裝在用戶設(shè)備上�,則瀏覽器應(yīng)用204可以充當(dāng)安全代理應(yīng)用210以執(zhí)行用于信賴圈的單點(diǎn)登錄操作�。無(wú)論哪種方式,一旦用戶已經(jīng)登入到信賴圈的一個(gè)應(yīng)用�����,訪問(wèn)信賴圈的其它應(yīng)用將不需要用戶證書。
[0073]如注意�����,在至少一個(gè)示例中,環(huán)境或架構(gòu)100和/或200的一個(gè)或多個(gè)方面可以合并和/或被并入到諸如由身份服務(wù)計(jì)算機(jī)120�、214托管的那些之類的分布式程序執(zhí)行服務(wù)中。圖3描述示出了圖1和2的身份服務(wù)計(jì)算機(jī)120���、214的附加方面和/或特征的簡(jiǎn)化架構(gòu)300���。此外,在某些示例中��,身份接口服務(wù)可以實(shí)際上實(shí)施REST服務(wù)作為它的許多服務(wù)的一個(gè)��。例如���,圖3示出了諸如由圖1的身份服務(wù)計(jì)算機(jī)120和/或圖2的身份服務(wù)計(jì)算機(jī)214實(shí)施的身份接口服務(wù)302����,從諸如而不是限制于SaaS應(yīng)用304、移動(dòng)應(yīng)用306���、和/或RIA308之類的一個(gè)或多個(gè)客戶端應(yīng)用中接收信息����、請(qǐng)求�����、和/或指令����。如上所述�����,這些請(qǐng)求可以被客戶端應(yīng)用304�����、306��、308格式化為REST調(diào)用并且可以至少部分地基于由身份接口服務(wù)302提供的REST API�。另外,身份接口服務(wù)302可以經(jīng)由可插層314與一個(gè)或多個(gè)服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310和/或數(shù)據(jù)層312進(jìn)行通信�����。如上所述���,通過(guò)提供可插層314����,所述一個(gè)或多個(gè)服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310可以在運(yùn)行中和/或獨(dú)立于它可以與之交互的客戶端應(yīng)用的類型被增加到服務(wù)302和/或移除��。以這種方式���,服務(wù)302可以維持靈活性。
[0074]在某些示例中�����,服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310可以包括一個(gè)或多個(gè)安全策略服務(wù)316���、訪問(wèn)管理服務(wù)318�����、目錄服務(wù)320��、數(shù)據(jù)庫(kù)322�����、和/或身份存儲(chǔ)器324 (例如�����,輕型目錄訪問(wèn)協(xié)議(LDAP)服務(wù)器)���。另外,根據(jù)某些方面,服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310可以與一個(gè)或多個(gè)可插服務(wù)通信����,諸如但是不限于訪問(wèn)軟件開發(fā)包(SDK)326、信賴服務(wù)328�����、和/或身份庫(kù)330����。在某些示例中���,訪問(wèn)SDK326���、信賴服務(wù)328�����、和/或身份庫(kù)330可以共同地構(gòu)成用于經(jīng)由可插層314將服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310插入到身份接口服務(wù)302中的接口層����。例如�,訪問(wèn)SDK326可以負(fù)責(zé)將訪問(wèn)管理服務(wù)318插入到服務(wù)302中。
[0075]身份接口服務(wù)302也可以包括用于控制�����、管理或與數(shù)據(jù)層312的一個(gè)或多個(gè)運(yùn)行時(shí)間數(shù)據(jù)存儲(chǔ)器334�����、審計(jì)數(shù)據(jù)存儲(chǔ)器336���、和/或配置數(shù)據(jù)存儲(chǔ)器338通信的管理模塊332���。數(shù)據(jù)層312可以經(jīng)由可以被配置為連接數(shù)據(jù)層312以及執(zhí)行內(nèi)部文件管理、記錄�����、監(jiān)控�、和/或其它管理任務(wù)的基礎(chǔ)設(shè)施平臺(tái)340與服務(wù)302進(jìn)行通信。在一些情況下�����,管理模塊332和數(shù)據(jù)層312可以負(fù)責(zé)控制���、配置���、管理、和/或管理與身份接口服務(wù)302相關(guān)聯(lián)的服務(wù)和/或數(shù)據(jù)���。另外����,身份接口服務(wù)302也可以包括安全過(guò)濾器342��、請(qǐng)求/響應(yīng)處理器344����、一個(gè)或多個(gè)REST服務(wù)引擎346���、和/或服務(wù)提供者接口(SPI)框架348。
[0076]在某些方面���,安全過(guò)濾器342可以被配置為維護(hù)由身份接口服務(wù)302提供的RESTAPI的安全���。以這種方式,僅僅授權(quán)和/或認(rèn)證的客戶端應(yīng)用可以被提供有REST API和/或僅僅來(lái)自于授權(quán)和/或認(rèn)證的客戶端應(yīng)用的API調(diào)用可以被處理���。請(qǐng)求/響應(yīng)處理器344可以被配置為從客戶端應(yīng)用304���、306、308等等接收請(qǐng)求��、并且向其提供響應(yīng)�����。在某些示例中,REST服務(wù)引擎346可以被配置為操縱身份接口服務(wù)302的策略��,諸如但是不限于迫使符合規(guī)則�、增強(qiáng)基礎(chǔ)設(shè)施安全、和/或流線化身份接口服務(wù)302的服務(wù)操作���。
[0077]此外�,SPI框架348可以翻譯��、映射���、或確定用于服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310的適當(dāng)?shù)姆椒ㄕ{(diào)用和/或指令�。這些方法調(diào)用和/或指令可以至少部分地基于接收的RESTAPI調(diào)用和/或請(qǐng)求與其關(guān)聯(lián)的服務(wù)提供者。例如����,并且不限于�����,請(qǐng)求/響應(yīng)處理器344可以接收更新身份關(guān)系的請(qǐng)求���。響應(yīng)可以被格式化為來(lái)自于客戶端應(yīng)用304����、306��、308中的一個(gè)的REST調(diào)用��。請(qǐng)求/響應(yīng)處理器344可以將請(qǐng)求轉(zhuǎn)發(fā)到SPI框架348,其中可以確定一個(gè)或多個(gè)不同的指令或指令集�����。例如,指令可以根據(jù)請(qǐng)求所預(yù)期的服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310而不同��。即�����,如果請(qǐng)求用于數(shù)據(jù)庫(kù)320�����,則SPI框架348可以確定用于更新身份關(guān)系的指令(或指令集)����,不同于如果請(qǐng)求用于LDAP身份存儲(chǔ)器324時(shí)的指令。
[0078]在某些方面����,SPI框架348的實(shí)施方式可以包括利用一個(gè)或多個(gè)SPI����,諸如但是不限于認(rèn)證SPI350�����、授權(quán)SPI352����、簡(jiǎn)檔SPI354�����、和/或其它ID SPI356��。另外���,認(rèn)證SPI350可以被配置為提供與一個(gè)或多個(gè)訪問(wèn)管理提供者358和/或一個(gè)或多個(gè)信賴服務(wù)提供者360的交互��。授權(quán)SPI352可以被配置為提供與一個(gè)或多個(gè)訪問(wèn)管理提供者358的交互。簡(jiǎn)檔SPI354可以被配置為提供與一個(gè)或多個(gè)身份服務(wù)提供者362和/或目錄服務(wù)提供者364的交互�。此外,其它ID SPI356可以被配置為提供與諸如但是不限于密碼管理服務(wù)��、策略管理服務(wù)、令牌交換服務(wù)���、和/或用戶供應(yīng)服務(wù)的一個(gè)或多個(gè)其它服務(wù)提供者366的交互��。以這種方式�����,一個(gè)或多個(gè)各個(gè)SPI可以負(fù)責(zé)經(jīng)由可插層314與服務(wù)提供者/數(shù)據(jù)儲(chǔ)存庫(kù)310進(jìn)行通信����。即����,SPI框架348可以充當(dāng)客戶端應(yīng)用304、306���、308與所述一個(gè)或多個(gè)服務(wù)提供者310之間的代理�����。
[0079]如上所述���,如上所述的某些或所有示例和/或方面可以提供用于在各種認(rèn)證的服務(wù)(例如�����,移動(dòng)應(yīng)用等等)的使用便利性方面實(shí)現(xiàn)改進(jìn)的技術(shù)效果���。另外�,以上示例也可以改善用戶與此類移動(dòng)應(yīng)用交互的安全性,因而可以改善用戶���、移動(dòng)設(shè)備�����、和/或移動(dòng)應(yīng)用和層關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)安全性�。上述技術(shù)效果與下面描述的附加技術(shù)效果一起解決了數(shù)據(jù)安全性和用戶認(rèn)證的正在發(fā)生的問(wèn)題,具體地針對(duì)移動(dòng)設(shè)備和他們關(guān)聯(lián)的應(yīng)用和數(shù)據(jù)����。
[0080]此外�,圖1、3所示的示例架構(gòu)�、工具和計(jì)算設(shè)備僅僅以示例方式提供���。許多其它操作環(huán)境����、系統(tǒng)架構(gòu)、和設(shè)備配置是可能的�。因此,本公開的實(shí)施例不應(yīng)該被認(rèn)為是局限于任何特定操作環(huán)境�����、系統(tǒng)架構(gòu)、或設(shè)備配置���。
[0081]說(shuō)明性處理
[0082]圖4描述結(jié)合如上所述的單點(diǎn)登錄(SSO)管理執(zhí)行的示例設(shè)備注冊(cè)的簡(jiǎn)化的處理流程400。在某些示例中��,簡(jiǎn)化的處理流程400可以由一個(gè)或多個(gè)計(jì)算設(shè)備執(zhí)行���,諸如但是不限于圖1所述的用戶設(shè)備104和/或身份接口服務(wù)計(jì)算機(jī)120�。在一些方面���,移動(dòng)用戶402可以訪問(wèn)移動(dòng)設(shè)備���,諸如但是不限于圖1的用戶設(shè)備104和/或圖2的用戶設(shè)備202�����。另外���,在一些示例中��,移動(dòng)設(shè)備可以包括商業(yè)應(yīng)用404(例如�����,瀏覽器應(yīng)用��、原生應(yīng)用等等)和/或SSO應(yīng)用406 (例如�����,以上至少參考圖1�����、2討論到的安全代理應(yīng)用)�����。此外��,在某些示例中�,移動(dòng)設(shè)備可以經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)412與REST服務(wù)器408 (或其它身份服務(wù))和/或一個(gè)或多個(gè)服務(wù)提供者410(例如��,訪問(wèn)管理服務(wù)和/或托管用于移動(dòng)設(shè)備的移動(dòng)應(yīng)用的數(shù)據(jù)的服務(wù)器)交互�。如上所述�,至少參考圖1的網(wǎng)絡(luò)114和/或圖2的網(wǎng)絡(luò)216,任何數(shù)量和/或組合的網(wǎng)絡(luò)(有線和/或無(wú)線的)可以是適合的��。
[0083]在至少一個(gè)非限制示例中,處理流程400可以在414處當(dāng)移動(dòng)用戶402試圖訪問(wèn)商業(yè)應(yīng)用404時(shí)開始����。在響應(yīng)中,在416處����,商業(yè)應(yīng)用404可以試圖從安全代理應(yīng)用406獲得(例如���,做出請(qǐng)求)會(huì)話和/或訪問(wèn)令牌����。在418處��,安全代理應(yīng)用406可以向移動(dòng)用戶402呈現(xiàn)登入頁(yè)以便請(qǐng)求用戶證書(例如����,用戶標(biāo)識(shí)符(ID)�����、密碼等等)�����。在響應(yīng)中�,在420處���,移動(dòng)用戶402可以向安全代理應(yīng)用406提供此類用戶證書�����。在某些示例中�����,在422處��,安全代理應(yīng)用406然后可以試圖通過(guò)經(jīng)由網(wǎng)絡(luò)412向REST服務(wù)器408提供用戶證書�、屬性���、和/或上下文信息(例如����,安全代理應(yīng)用ID)來(lái)注冊(cè)移動(dòng)用戶402的設(shè)備�。在424處��,REST服務(wù)器408可以將包括至少用戶證書的認(rèn)證請(qǐng)求發(fā)送到服務(wù)提供者410����。在某些示例中,可以在426處生成SSO應(yīng)用處理以指示登入和/或注冊(cè)會(huì)話�,在某些示例中��,在428處����,結(jié)合REST服務(wù)408向服務(wù)提供者410提供屬性和/或SSO應(yīng)用ID。在430處��,服務(wù)提供者410可以返回設(shè)備處理以用于指示用于移動(dòng)設(shè)備的注冊(cè)會(huì)話�����。此外��,在432處,REST服務(wù)器408可以將SSO應(yīng)用處理和設(shè)備處理發(fā)送到安全代理應(yīng)用406��,因此指示移動(dòng)設(shè)備已被注冊(cè)�����。即�,處理400可以向移動(dòng)設(shè)備提供可以用于指示移動(dòng)設(shè)備已被注冊(cè)SSO服務(wù)的設(shè)備令牌�����。
[0084]圖5描述結(jié)合如上所述的單點(diǎn)登錄(SSO)管理執(zhí)行的示例應(yīng)用注冊(cè)的簡(jiǎn)化的處理流程500����。在某些示例中,簡(jiǎn)化的處理流程500可以由一個(gè)或多個(gè)計(jì)算設(shè)備執(zhí)行,諸如但是不限于圖1所述的用戶設(shè)備104和/或身份接口服務(wù)計(jì)算機(jī)120��。在一些方面�,移動(dòng)用戶502可以訪問(wèn)移動(dòng)設(shè)備,諸如但是不限于圖1的用戶設(shè)備104和/或圖2的用戶設(shè)備202���。另外,在一些示例中�����,移動(dòng)設(shè)備可以包括商業(yè)應(yīng)用504(例如��,瀏覽器應(yīng)用��、原生應(yīng)用等等)和/或SSO應(yīng)用506 (例如,以上至少參考圖1����、2討論到的安全代理應(yīng)用)。此外��,在某些示例中��,移動(dòng)設(shè)備可以經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)512與REST服務(wù)器508 (或其它身份服務(wù))和/或一個(gè)或多個(gè)服務(wù)提供者510 (例如�����,訪問(wèn)管理服務(wù)和/或托管用于移動(dòng)設(shè)備的移動(dòng)應(yīng)用的數(shù)據(jù)的服務(wù)器)交互�����。如上所述�����,任何數(shù)量和/或組合的網(wǎng)絡(luò)(有線和/或無(wú)線的)可以是適合的�����。
[0085]在至少一個(gè)非限制示例中,處理流程500可以在514處當(dāng)移動(dòng)用戶502試圖訪問(wèn)商業(yè)應(yīng)用504時(shí)開始�����。在響應(yīng)中���,在516處�����,商業(yè)應(yīng)用504可以試圖從安全代理應(yīng)用506獲得(例如���,做出請(qǐng)求)會(huì)話和/或訪問(wèn)令牌���。在518處,安全代理應(yīng)用506可以向移動(dòng)用戶502呈現(xiàn)登入頁(yè)以便請(qǐng)求用戶證書(例如����,用戶ID�、密碼等等)。在響應(yīng)中����,移動(dòng)用戶502可以在520處向安全代理應(yīng)用506提供此類用戶證書。在某些示例中��,在522處����,安全代理應(yīng)用506然后可以試圖通過(guò)經(jīng)由網(wǎng)絡(luò)512向REST服務(wù)器508提供用戶證書����、屬性����、和/或上下文信息(例如,安全代理應(yīng)用ID)來(lái)注冊(cè)商業(yè)應(yīng)用���。在524處��,REST服務(wù)器508可以將包括至少用戶證書的認(rèn)證請(qǐng)求發(fā)送到服務(wù)提供者510��。在某些示例中�����,可以在526處生成SSO應(yīng)用處理以指示登入和/或注冊(cè)會(huì)話���,在某些示例中�����,在528處���,結(jié)合REST服務(wù)508向服務(wù)提供者510提供屬性和/或SSO應(yīng)用ID�����。在530處����,服務(wù)提供者510可以返回設(shè)備處理以用于指示商業(yè)應(yīng)用的注冊(cè)會(huì)話��。此外�,在532處�����,REST服務(wù)器508可以將SSO應(yīng)用處理和設(shè)備處理發(fā)送到安全代理應(yīng)用506����,因此指示商業(yè)應(yīng)用已被注冊(cè)。在534處�����,安全代理應(yīng)用506然后可以將應(yīng)用處理發(fā)送到商業(yè)應(yīng)用�����。即����,處理500可以向商業(yè)應(yīng)用提供可以用于指示應(yīng)用已被注冊(cè)用于SSO服務(wù)的應(yīng)用(或客戶端)令牌��。在536處��,商業(yè)應(yīng)用504可以發(fā)送從REST服務(wù)器508獲得訪問(wèn)令牌的請(qǐng)求���。在538處,REST服務(wù)器可以提供訪問(wèn)令牌和/或可以將請(qǐng)求轉(zhuǎn)發(fā)到適當(dāng)?shù)姆?wù)提供者510��。
[0086]圖6描述結(jié)合如上所述的單點(diǎn)登錄(SSO)管理執(zhí)行的示例用戶登入的簡(jiǎn)化的處理流程600����。在某些示例中,簡(jiǎn)化的處理流程600可以由一個(gè)或多個(gè)計(jì)算設(shè)備執(zhí)行,諸如但是不限于圖1所述的用戶設(shè)備104和/或身份接口服務(wù)計(jì)算機(jī)120����。在此示例中,移動(dòng)用戶602可以訪問(wèn)移動(dòng)設(shè)備����,諸如但是不限于圖1的用戶設(shè)備104和/或圖2的用戶設(shè)備202。另外�����,在一些示例中�����,移動(dòng)設(shè)備可以包括商業(yè)應(yīng)用604(例如����,原生應(yīng)用,包括但不限于稅應(yīng)用����、目錄應(yīng)用、費(fèi)用報(bào)告應(yīng)用�����,等等)和/或SSO應(yīng)用606 (例如���,以上至少參考圖1�、2討論到的安全代理應(yīng)用)����。此外,在某些示例中�����,移動(dòng)設(shè)備可以經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)612與REST服務(wù)器608 (或其它身份服務(wù))和/或一個(gè)或多個(gè)服務(wù)提供者610 (例如,訪問(wèn)管理服務(wù)���、身份服務(wù)、和/或托管用于移動(dòng)設(shè)備的移動(dòng)應(yīng)用的數(shù)據(jù)的服務(wù)器)交互��。如上所述����,任何數(shù)量和/或組合的網(wǎng)絡(luò)(有線和/或無(wú)線的)可以是適合的。
[0087]在至少一個(gè)非限制示例中����,處理流程600可以描述當(dāng)移動(dòng)用戶602具體地使用移動(dòng)設(shè)備的商業(yè)應(yīng)用604時(shí)(即,與移動(dòng)設(shè)備的瀏覽器應(yīng)用相反,使用移動(dòng)設(shè)備的原生應(yīng)用)的情況����。處理流程600可以在614處當(dāng)移動(dòng)用戶602試圖訪問(wèn)商業(yè)應(yīng)用604時(shí)開始��。在響應(yīng)中,在616處����,商業(yè)應(yīng)用604可以試圖從安全代理應(yīng)用606獲得(例如,做出請(qǐng)求)會(huì)話和/或訪問(wèn)令牌���。在618處,安全代理應(yīng)用606可以向移動(dòng)用戶602呈現(xiàn)登入頁(yè)以便請(qǐng)求用戶證書(例如����,用戶ID、密碼等等)��。在響應(yīng)中�����,在620處����,移動(dòng)用戶602可以向安全代理應(yīng)用606提供此類用戶證書�����。在某些示例中����,在622處�,安全代理應(yīng)用606然后可以通過(guò)經(jīng)由網(wǎng)絡(luò)612向REST服務(wù)器608提供用戶證書�����、屬性���、和/或上下文信息(例如�����,安全代理應(yīng)用ID)試圖注冊(cè)和/或認(rèn)證商業(yè)應(yīng)用604��。在一個(gè)示例中�����,在623處����,REST服務(wù)器608可以認(rèn)證移動(dòng)用戶602����,并且生成或獲得用于移動(dòng)設(shè)備和/或移動(dòng)用戶602的用戶和/或訪問(wèn)令牌。但是�,在其它示例中����,諸如服務(wù)提供者610之類的任何其它服務(wù)提供者可以執(zhí)行認(rèn)證。在這種情況下�,在626處�����,REST服務(wù)器608可以從服務(wù)提供者610接收用戶和/或訪問(wèn)令牌。無(wú)論何種方式�����,在628處,REST服務(wù)器608可以經(jīng)由網(wǎng)絡(luò)612向安全代理應(yīng)用606提供用戶和/或訪問(wèn)令牌�����。在630處,安全代理應(yīng)用606可以向商業(yè)應(yīng)用604和/或向移動(dòng)用戶602提供用戶和/或訪問(wèn)令牌�。在632處,商業(yè)應(yīng)用604然后可以向移動(dòng)用戶602提供應(yīng)用內(nèi)容(例如�,來(lái)自于服務(wù)器中的頁(yè)面或者包含本地內(nèi)容的頁(yè)面)��。
[0088]圖7描述結(jié)合如上所述的單點(diǎn)登錄(SSO)管理執(zhí)行的示例用戶登入的簡(jiǎn)化的處理流程700�����。在某些示例中���,簡(jiǎn)化的處理流程700可以由一個(gè)或多個(gè)計(jì)算設(shè)備執(zhí)行,諸如但是不限于圖1所述的用戶設(shè)備104和/或身份接口服務(wù)計(jì)算機(jī)120��。在此示例中����,移動(dòng)用戶702可以訪問(wèn)移動(dòng)設(shè)備��,諸如但是不限于圖1的用戶設(shè)備104和/或圖2的用戶設(shè)備202�。另外,在一些示例中�����,移動(dòng)設(shè)備可以包括瀏覽器應(yīng)用704(例如���,網(wǎng)絡(luò)瀏覽器)和/或安全代理應(yīng)用706 (例如,以上至少參考圖1、2討論的安全代理應(yīng)用)��。此外,在某些示例中,移動(dòng)設(shè)備可以經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)712與網(wǎng)絡(luò)服務(wù)器707(例如�,被配置為提供網(wǎng)頁(yè)的圖1的網(wǎng)絡(luò)應(yīng)用110)、REST服務(wù)器708 (或其它身份服務(wù))����、和/或一個(gè)或多個(gè)服務(wù)提供者710 (例如,訪問(wèn)管理服務(wù)�����、身份服務(wù)��、和/或托管用于移動(dòng)設(shè)備的移動(dòng)應(yīng)用的數(shù)據(jù)的服務(wù)器)交互��。如上所述���,任何數(shù)量和/或組合的網(wǎng)絡(luò)(有線和/或無(wú)線的)可以是適合的��。[0089]在至少一個(gè)非限制示例中�,處理流程700可以描述當(dāng)移動(dòng)用戶702具體地使用移動(dòng)設(shè)備的瀏覽器應(yīng)用704時(shí)(即,與移動(dòng)設(shè)備的原生的和/或商業(yè)應(yīng)用相反����,使用移動(dòng)設(shè)備的網(wǎng)絡(luò)瀏覽器)的情況��。處理流程700可以在714處當(dāng)移動(dòng)用戶702試圖訪問(wèn)瀏覽器應(yīng)用704時(shí)開始��。在響應(yīng)中��,在716處�����,瀏覽器應(yīng)用704可以經(jīng)由網(wǎng)絡(luò)712向網(wǎng)絡(luò)服務(wù)器707傳送此訪問(wèn)嘗試�����。在有些情況下,在718處,網(wǎng)絡(luò)服務(wù)器708可以向服務(wù)提供者710 (例如�,身份管理應(yīng)用或服務(wù))提供訪問(wèn)請(qǐng)求信息,以向服務(wù)提供者710指示認(rèn)證可以在將來(lái)通信中被請(qǐng)求����。在720處,服務(wù)提供者710可以經(jīng)由網(wǎng)絡(luò)712指示或指令瀏覽器應(yīng)用704從移動(dòng)用戶702請(qǐng)求用戶證書�。在722處,至少基于某些配置����,瀏覽器應(yīng)用704可以向安全代理應(yīng)用706重定向用戶證書請(qǐng)求。在724處����,安全代理應(yīng)用706可以向移動(dòng)用戶702呈現(xiàn)登入頁(yè)以便請(qǐng)求用戶證書(例如,用戶ID���、密碼等等)��。在響應(yīng)中�,在726處�,移動(dòng)用戶702可以向安全代理應(yīng)用706提供此類用戶證書。
[0090]在某些示例中��,在728處���,安全代理應(yīng)用706然后可以通過(guò)經(jīng)由網(wǎng)絡(luò)712向REST服務(wù)器708提供用戶證書�����、屬性、和/或上下文信息(例如,安全代理應(yīng)用ID)試圖注冊(cè)和/或認(rèn)證瀏覽器應(yīng)用704����。在一個(gè)示例中����,REST服務(wù)器708可以認(rèn)證移動(dòng)用戶702并且生成或獲得用于移動(dòng)設(shè)備和/或移動(dòng)用戶702的用戶和/或訪問(wèn)令牌�。但是�,在其它示例中,諸如服務(wù)提供者710之類的任何其它服務(wù)提供者可以執(zhí)行認(rèn)證�����。在這種情況下�,在730處REST服務(wù)器708可以將證書發(fā)送到服務(wù)提供者710,并且在732處從服務(wù)提供者710接收用戶和/或訪問(wèn)令牌�。無(wú)論何種方式,在734處�,REST服務(wù)器708可以經(jīng)由網(wǎng)絡(luò)712向安全代理應(yīng)用提供用戶和/或訪問(wèn)令牌。在736處�,安全代理應(yīng)用706可以對(duì)服務(wù)提供者710做出網(wǎng)絡(luò)觀看或者其它方法調(diào)用以便注入cookie�����。在某些方面,在738處��,安全代理應(yīng)用706也可以重定向適當(dāng)?shù)男畔⒌綖g覽器應(yīng)用�����,指示哪些網(wǎng)頁(yè)應(yīng)當(dāng)向移動(dòng)用戶702服務(wù)���。在740處���,瀏覽器應(yīng)用704可以重定向此信息到網(wǎng)絡(luò)服務(wù)器707。此外�����,在742處�����,網(wǎng)絡(luò)服務(wù)器707可以向移動(dòng)用戶702提供請(qǐng)求的網(wǎng)頁(yè)�。
[0091]圖8-10示出了顯示用于提供單點(diǎn)登錄管理的各個(gè)處理800����、900、和1000的簡(jiǎn)化的示例流程圖�。這些處理被作為邏輯流程圖示出���,其每個(gè)操作表示可以以硬件��、計(jì)算機(jī)指令�、或其組合實(shí)施的操作序列。在計(jì)算機(jī)指令的上下文中�����,操作表示存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上���、當(dāng)由一個(gè)或多個(gè)處理器執(zhí)行時(shí)執(zhí)行敘述的操作的計(jì)算機(jī)可執(zhí)行指令。一般地����,計(jì)算機(jī)可執(zhí)行指令包括執(zhí)行特定功能或執(zhí)行特定數(shù)據(jù)類型的例程、程序��、對(duì)象�����、組件��、數(shù)據(jù)結(jié)構(gòu)等�。描述操作的順序不意欲被理解為是局限的,并且任何數(shù)目的描述的操作可以被以任何順序和/或并行結(jié)合以執(zhí)行處理�。
[0092]另外,某些�、任何、或所有處理可以在配置有可執(zhí)行指令的一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)的控制下執(zhí)行并且可以被實(shí)施為在一個(gè)或多個(gè)處理器上��、由硬件、或其組合共同地執(zhí)行的代碼(例如���,可執(zhí)行指令���、一個(gè)或多個(gè)計(jì)算機(jī)程序、或一個(gè)或多個(gè)應(yīng)用)。如上所述���,代碼可以被存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上�,例如�����,以包括由一個(gè)或多個(gè)處理器可執(zhí)行的多個(gè)指令的計(jì)算機(jī)程序的形式�����。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是非瞬時(shí)的�����。
[0093]在某些方面�����,圖8的處理800可以由圖1所述的一個(gè)或多個(gè)用戶設(shè)備102和/或身份接口服務(wù)計(jì)算機(jī)120執(zhí)行�。處理800可以從802通過(guò)接收訪問(wèn)服務(wù)提供者的請(qǐng)求開始�。請(qǐng)求可以從移動(dòng)設(shè)備的第一應(yīng)用接收����。在某些方面中,第一應(yīng)用可以是原生應(yīng)用或?yàn)g覽器應(yīng)用����。另外�����,在一些情況下��,請(qǐng)求可以由移動(dòng)設(shè)備的安全代理應(yīng)用(例如�����,幫助應(yīng)用和/或認(rèn)證委托應(yīng)用)接收到����。在804處�����,處理800可以登入與第一應(yīng)用相關(guān)聯(lián)的用戶(例如����,移動(dòng)設(shè)備的用戶)。在某些示例中��,響應(yīng)于登入用戶����,在806處�����,處理800可以向第一應(yīng)用提供用于訪問(wèn)服務(wù)提供者的令牌�����。處理800可以在808處通過(guò)向與用戶相關(guān)聯(lián)的移動(dòng)設(shè)備的第二應(yīng)用提供第二令牌結(jié)束��。以這種方式��,可以實(shí)現(xiàn)單點(diǎn)登錄并且用戶不需要被認(rèn)證多次來(lái)經(jīng)由多個(gè)應(yīng)用訪問(wèn)多個(gè)服務(wù)提供者�����。
[0094]圖9示出了顯示用于提供單點(diǎn)登錄管理的特征的處理900的簡(jiǎn)化的示例流程圖�����。在某些方面,圖9所述的處理900可以由圖1所述的一個(gè)或多個(gè)用戶設(shè)備102和/或身份接口服務(wù)計(jì)算機(jī)120執(zhí)行�。處理900可以從902處通過(guò)接收訪問(wèn)第一遠(yuǎn)程應(yīng)用開始的請(qǐng)求。遠(yuǎn)程應(yīng)用可以是被配置為向移動(dòng)應(yīng)用或移動(dòng)設(shè)備提供應(yīng)用功能的服務(wù)器或其它計(jì)算機(jī)�。在一些情況下�����,請(qǐng)求可以從移動(dòng)設(shè)備的第一本地應(yīng)用接收����,本地應(yīng)用被配置為通信或從遠(yuǎn)程應(yīng)用接收內(nèi)容�����。第一本地應(yīng)用可以是“本地的”因?yàn)樗梢苿?dòng)設(shè)備執(zhí)行或駐留在移動(dòng)設(shè)備中。在904處���,處理900可以向遠(yuǎn)程認(rèn)證提供者提供認(rèn)證請(qǐng)求(例如���,至少部分地基于訪問(wèn)請(qǐng)求)�����。在906處���,處理900也可以接收用于訪問(wèn)第一遠(yuǎn)程應(yīng)用的第一訪問(wèn)令牌���。在一些情況下����,第一訪問(wèn)令牌可以從遠(yuǎn)程認(rèn)證提供者接收。在908處����,處理900可以向第一本地應(yīng)用提供第一訪問(wèn)令牌。在910處�,處理900可以通過(guò)向移動(dòng)設(shè)備的第二本地應(yīng)用提供第二訪問(wèn)令牌結(jié)束。此第二訪問(wèn)令牌可以用于允許第二本地應(yīng)用訪問(wèn)第二遠(yuǎn)程應(yīng)用��。在一些情況下����,至少部分地基于用戶、移動(dòng)設(shè)備�、和/或第一和/或第二本地應(yīng)用的成功登入,處理900可以向第一和/或第二本地應(yīng)用分別提供第一和/或第二訪問(wèn)令牌��。
[0095]圖10示出了顯示用于提供單點(diǎn)登錄管理的特征的處理1000的簡(jiǎn)化的示例流程圖��。在某些方面�,圖10所述的處理1000可以由圖1所述的一個(gè)或多個(gè)用戶設(shè)備102和/或身份接口服務(wù)計(jì)算機(jī)120執(zhí)行�����。處理1000可以通過(guò)從移動(dòng)設(shè)備的第一本地應(yīng)用接收請(qǐng)求訪問(wèn)第一遠(yuǎn)程應(yīng)用的請(qǐng)求開始�。如上所述,遠(yuǎn)程應(yīng)用可以是網(wǎng)絡(luò)服務(wù)��、網(wǎng)絡(luò)服務(wù)器�����、和/或被配置為向本地應(yīng)用提供數(shù)據(jù)���、處理���、和/或服務(wù)的任何服務(wù)。在1004處�����,處理1000可以向遠(yuǎn)程認(rèn)證提供者提供認(rèn)證請(qǐng)求����。在某些示例中,在1006處��,處理1000也可以從遠(yuǎn)程應(yīng)用接收用于訪問(wèn)第一遠(yuǎn)程應(yīng)用的第一訪問(wèn)令牌�����。即,第一本地應(yīng)用可以需要訪問(wèn)令牌以便訪問(wèn)第一遠(yuǎn)程應(yīng)用,指示用戶�����、移動(dòng)設(shè)備�、和/或本地應(yīng)用已被認(rèn)證。在1008處,處理1000可以向第一本地應(yīng)用提供第一訪問(wèn)令牌�。在某些示例中,在1010處����,處理1000也可以從遠(yuǎn)程認(rèn)證提供者接收用于訪問(wèn)第二遠(yuǎn)程應(yīng)用的第二訪問(wèn)令牌���。即�����,因?yàn)橛脩簟⒁苿?dòng)設(shè)備��、和/或本地應(yīng)用已經(jīng)被認(rèn)證�����,因此遠(yuǎn)程認(rèn)證設(shè)備可以主動(dòng)提供用于訪問(wèn)特定信賴群(例如�����,信賴圈或信賴圈)內(nèi)的其它遠(yuǎn)程應(yīng)用的訪問(wèn)令牌����。在1012處,處理1000可以從移動(dòng)設(shè)備的第二本地應(yīng)用中接收訪問(wèn)第二遠(yuǎn)程應(yīng)用的請(qǐng)求�����。在此示例中����,處理1000已經(jīng)接收到用于訪問(wèn)第二遠(yuǎn)程應(yīng)用的訪問(wèn)令牌。因此��,處理1000可以在1014處通過(guò)向第二本地應(yīng)用提供第二訪問(wèn)令牌來(lái)結(jié)束���。
[0096]說(shuō)明性系統(tǒng)
[0097]圖11是示出了可以根據(jù)本公開的實(shí)施例的系統(tǒng)環(huán)境1100的組件的簡(jiǎn)化框圖。如圖所示,系統(tǒng)環(huán)境1100包括一個(gè)或多個(gè)客戶端計(jì)算設(shè)備1102�����、1104�����、1106�、1108����,其被配置為操作諸如網(wǎng)絡(luò)瀏覽器、專有客戶端(例如����,Oracle Forms)等之類的客戶端應(yīng)用。在各個(gè)實(shí)施例中���,客戶端計(jì)算設(shè)備1102�、1104、1106��、和1108可以與服務(wù)器1112交互�。
[0098]客戶端計(jì)算設(shè)備1102、1104����、1106、1108可以是通用的個(gè)人計(jì)算機(jī)(包括���,例如運(yùn)行各種版本Microsoft Windows和/或Apple Macintosh操作系統(tǒng)的個(gè)人計(jì)算機(jī)和/或膝上型計(jì)算機(jī))��、蜂窩電話機(jī)或PDA(運(yùn)行諸如Microsoft Windows Mobile之類的軟件和互聯(lián)網(wǎng)����、電子郵件�、SMS、Blackberry���、或使能的其他通信協(xié)議)、和/或運(yùn)行各種商業(yè)上可用的UNIX或類似UNIX的操作系統(tǒng)(包括但不限于各種GNU/Linux操作系統(tǒng))的工作站計(jì)算機(jī)?���?商鎿Q地,客戶端計(jì)算設(shè)備1102����、1104、1106���、和1108可以是能夠通過(guò)網(wǎng)絡(luò)(例如����,下面描述的網(wǎng)絡(luò)1110)通信的任何其它電子設(shè)備���,諸如薄客戶端計(jì)算機(jī)�����、使能互聯(lián)網(wǎng)的游戲系統(tǒng)�、和/或個(gè)人消息設(shè)備���。雖然示出示范性系統(tǒng)環(huán)境1100具有四個(gè)客戶端計(jì)算設(shè)備���,但是可以支持任何數(shù)目的客戶端計(jì)算設(shè)備��。諸如具有傳感器的設(shè)備等之類的其它設(shè)備可以與服務(wù)器1112交互���。
[0099]系統(tǒng)1100可以包括網(wǎng)絡(luò)1110���。網(wǎng)絡(luò)1110可以是為本領(lǐng)域技術(shù)人員所熟知的任何類型的網(wǎng)絡(luò)��,其可以利用包括但不限于TCP/IP����、SNA��、IPX���、AppleTalk等等的各種商業(yè)上可用的協(xié)議中的任何一個(gè)支持?jǐn)?shù)據(jù)通信�����。僅僅例如,網(wǎng)絡(luò)1110可以是諸如以太網(wǎng)��、令牌環(huán)網(wǎng)和/或同樣之類的局域網(wǎng)(“LAN”)���;廣域網(wǎng)�����;包括但不限于虛擬專用網(wǎng)絡(luò)(“VPN”)的虛擬網(wǎng)絡(luò)�����;互聯(lián)網(wǎng)��;內(nèi)部網(wǎng)���;外部網(wǎng)��;公用交換電話網(wǎng)(“PSTN”)����;紅外線網(wǎng)絡(luò)�����;無(wú)線網(wǎng)絡(luò)(例如�,在IEEE802.11協(xié)議套��、在本領(lǐng)域中已知的藍(lán)牙協(xié)議、和/或任何其它無(wú)線協(xié)議中的任何一個(gè)下操作的網(wǎng)絡(luò))��;和/或這些和/或其他網(wǎng)絡(luò)的任何組合���。
[0100]系統(tǒng)環(huán)境1100也包括一個(gè)或多個(gè)服務(wù)器計(jì)算機(jī)1112�����,其可以是通用計(jì)算機(jī)�����、專門服務(wù)器計(jì)算機(jī)(包括,僅僅例如PC服務(wù)器���、UNIX服務(wù)器����、中值服務(wù)器��、大型計(jì)算機(jī)�����、安裝在機(jī)架上的服務(wù)器�����,等等)、服務(wù)器場(chǎng)�����、服務(wù)器群、或任何其它適當(dāng)?shù)牟贾煤?或組合����。在各個(gè)實(shí)施例中,服務(wù)器1112可以被適配為運(yùn)行在上文公開描述的一個(gè)或多個(gè)服務(wù)或軟件應(yīng)用��。例如����,服務(wù)器1112可以對(duì)應(yīng)于用于根據(jù)本公開的實(shí)施例執(zhí)行如上所述的處理的服務(wù)器�。
[0101]服務(wù)器1112可以運(yùn)行包括上述討論到中的任何一個(gè)的操作系統(tǒng)�,以及任何商業(yè)上可用的服務(wù)器操作系統(tǒng)。服務(wù)器1112也可以運(yùn)行各種附加服務(wù)器應(yīng)用和/或中層應(yīng)用中的任何一個(gè)�,包括HTTP服務(wù)器�����、FTP服務(wù)器�����、CGI服務(wù)器��、Java服務(wù)器�����、數(shù)據(jù)庫(kù)服務(wù)器�����,等等�。示范性數(shù)據(jù)庫(kù)服務(wù)器包括但不限于來(lái)自于Oracle����、Microsoft、Sybase�、IBM等等那些商業(yè)上可用的。
[0102]系統(tǒng)環(huán)境1100也可以包括一個(gè)或多個(gè)數(shù)據(jù)庫(kù)1114�����、1116。數(shù)據(jù)庫(kù)1114�、1116可以位于各種位置。例如���,一個(gè)或多個(gè)數(shù)據(jù)庫(kù)1114��、1116可以駐留在服務(wù)器1112本地(和/或存在于其中)的非瞬時(shí)存儲(chǔ)介質(zhì)����。可替換地���,數(shù)據(jù)庫(kù)1114、1116可以遠(yuǎn)離服務(wù)器1112并且與服務(wù)器1112經(jīng)由基于網(wǎng)絡(luò)的或?qū)S玫倪B接進(jìn)行通信�。在一組實(shí)施例中,數(shù)據(jù)庫(kù)1114���、1116可以存在于為本領(lǐng)域技術(shù)人員所熟知的存儲(chǔ)區(qū)域網(wǎng)(“SAN”)中��。類似地����,用于執(zhí)行歸屬于服務(wù)器1112的功能的任何必需的文件可以視情況本地地和/或遠(yuǎn)程地存儲(chǔ)在服務(wù)器1112上�。在一組實(shí)施例中��,數(shù)據(jù)庫(kù)1114����、1116可以包括關(guān)系數(shù)據(jù)庫(kù),諸如由Oracle提供的數(shù)據(jù)庫(kù),其被適配為響應(yīng)于SQL格式化的命令存儲(chǔ)�、更新、并檢索數(shù)據(jù)��。
[0103]圖12是可以根據(jù)本公開的實(shí)施例使用的計(jì)算機(jī)系統(tǒng)1200的簡(jiǎn)化框圖�。例如服務(wù)器122和/或1212可以利用諸如系統(tǒng)1200之類的系統(tǒng)實(shí)施。計(jì)算機(jī)系統(tǒng)1200被示出為包括可以經(jīng)由總線1224電子地耦接的硬件元件�����。硬件元件可以包括一個(gè)或多個(gè)中央處理單元(CPU) 1202�����、一個(gè)或多個(gè)輸入設(shè)備1204(例如�,鼠標(biāo)��、鍵盤等等)�、以及一個(gè)或多個(gè)輸出設(shè)備1206(例如,顯示設(shè)備����、打印機(jī)等等)。計(jì)算機(jī)系統(tǒng)1200也可以包括一個(gè)或多個(gè)存儲(chǔ)設(shè)備1208���。例如����,存儲(chǔ)設(shè)備1208可以包括諸如磁盤驅(qū)動(dòng)器、光存儲(chǔ)器設(shè)備����、和諸如隨機(jī)存取存儲(chǔ)器(RAM)和/或只讀存儲(chǔ)器(ROM)之類的固態(tài)存儲(chǔ)設(shè)備之類的設(shè)備����,其可以是可編程的、閃速可更新的和/或同樣的東西��。
[0104]計(jì)算機(jī)系統(tǒng)1200另外可以包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)讀取器1212、通信子系統(tǒng)1214(例如��,調(diào)制解調(diào)器��、網(wǎng)卡(無(wú)線的或有線的)、紅外線通信設(shè)備��,等等)��、和工作存儲(chǔ)器1218�����,其可以包括如上所述的RAM和ROM設(shè)備���。在一些實(shí)施例中���,計(jì)算機(jī)系統(tǒng)1200也可以包括處理加速單元1216,其可以包括數(shù)字信號(hào)處理器(DSP)�、專用的處理器���,和/或同樣的東西�。
[0105]計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)讀取器1212還可以被連接到計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1210,一起(并且可選地與存儲(chǔ)設(shè)備1208結(jié)合)包括地表示遠(yuǎn)程�、本地���、固定���、和/或可移除存儲(chǔ)設(shè)備加上用于臨時(shí)地和/或更永久地包含計(jì)算機(jī)可讀信息的存儲(chǔ)介質(zhì)。通信系統(tǒng)1214可以允許數(shù)據(jù)與網(wǎng)絡(luò)1212和/或如上參考系統(tǒng)1200所述的任何其它計(jì)算機(jī)交換�����。
[0106]計(jì)算機(jī)系統(tǒng)1200也可以包括被顯示為當(dāng)前位于工作存儲(chǔ)器1218內(nèi)的軟件元件,包括操作系統(tǒng)1220和/或其它代碼1222���,諸如應(yīng)用(其可以是客戶端應(yīng)用����、網(wǎng)絡(luò)瀏覽器�、中層應(yīng)用�、RDBMS等等)���。在示范性實(shí)施例中�,工作存儲(chǔ)器1218可以包括可執(zhí)行代碼和用于依賴方和如上所述的公開授權(quán)有關(guān)的處理的關(guān)聯(lián)數(shù)據(jù)架構(gòu)。應(yīng)當(dāng)理解�����,計(jì)算機(jī)系統(tǒng)1200的可替換實(shí)施例可以具有與如上所述的許多變化���。例如,也可以使用自定義的硬件和/或以硬件��、軟件(包括諸如小程序之類的可移植軟件)���、或兩者實(shí)施特定元件�����。此外���,可以采用到諸如網(wǎng)絡(luò)輸入/輸出設(shè)備之類的其它計(jì)算設(shè)備的連接����。
[0107]圖13是示出了根據(jù)至少一個(gè)示例的單點(diǎn)登錄管理裝置1300的簡(jiǎn)化框圖���。可以由硬件、軟件��、或硬件和軟件組合實(shí)施單點(diǎn)登錄管理裝置1300的塊以實(shí)現(xiàn)本發(fā)明的原理����。本領(lǐng)域技術(shù)人員將理解,圖13中描述的塊可以被組合或分成子塊以實(shí)施如上所述的本發(fā)明的原理��。因此����,這里的描述可以支持這里描述的功能塊的任何可能的組合或分離或者進(jìn)一步定義。
[0108]如圖13所示���,在一些實(shí)施例中���,單點(diǎn)登錄管理裝置1300包括接收單元1301和提供單元。在其它實(shí)施例中�����,單點(diǎn)登錄管理裝置1300還包括確定單元1303��。
[0109]在一些實(shí)施例中�����,接收單元1301被配置為從第一應(yīng)用接收與第二應(yīng)用相關(guān)聯(lián)的認(rèn)證請(qǐng)求�����。提供單元1302被配置為向第一應(yīng)用提供用于允許第二應(yīng)用訪問(wèn)第一應(yīng)用或第二應(yīng)用可訪問(wèn)的服務(wù)提供者的訪問(wèn)令牌����。確定單元1303被配置為至少部分地基于包括在認(rèn)證請(qǐng)求中的證書確定用戶什么時(shí)候被認(rèn)證,并且其中該確定至少部分地基于從第三方服務(wù)中接收用戶被認(rèn)證的指示。
[0110]優(yōu)選地,第一應(yīng)用包括移動(dòng)設(shè)備的安全代理應(yīng)用���,安全代理應(yīng)用被配置為為移動(dòng)設(shè)備的第二應(yīng)用和其它應(yīng)用的至少一個(gè)提供單點(diǎn)登錄��。
[0111]優(yōu)選地,第一應(yīng)用包括移動(dòng)設(shè)備的原生應(yīng)用��,所述原生應(yīng)用被配置為為移動(dòng)設(shè)備的第二應(yīng)用和其它應(yīng)用的至少一個(gè)提供單點(diǎn)登錄���。
[0112]優(yōu)選地,原生應(yīng)用被配置有嵌入的網(wǎng)絡(luò)瀏覽器�。
[0113]圖14是示出了根據(jù)另一個(gè)示例的單點(diǎn)登錄管理裝置1400的簡(jiǎn)化框圖?��?梢杂捎布④浖?����、或硬件和軟件組合實(shí)施單點(diǎn)登錄管理裝置1400的塊以實(shí)現(xiàn)本發(fā)明的原理����。本領(lǐng)域技術(shù)人員將理解�����,圖14中描述的塊可以被結(jié)合或分成子塊以實(shí)現(xiàn)如上所述的本發(fā)明的原理���。因此,這里的描述可以支持這里描述的功能塊的任何可能的組合或分離或者進(jìn)一步定義����。
[0114]如圖14所示����,單點(diǎn)登錄管理裝置1400包括接收單元1401���、登入單元1402�����、第一提供單元1403和第二提供單元1404�。
[0115]在一些實(shí)施例中���,接收單元1401被配置為從第一應(yīng)用中接收訪問(wèn)服務(wù)提供者的請(qǐng)求���。登入單元1402被配置為登入與第一應(yīng)用相關(guān)聯(lián)的用戶���。第一提供單元1403被配置為向第一應(yīng)用提供用于訪問(wèn)服務(wù)提供者的令牌。第二提供單元1404被配置為向與用戶相關(guān)聯(lián)的第二應(yīng)用提供第二令牌��。
[0116]優(yōu)選地���,第一應(yīng)用包括被配置為提供用于第二應(yīng)用的單點(diǎn)登錄的移動(dòng)設(shè)備的安全代理應(yīng)用����。
[0117]優(yōu)選地�,第二應(yīng)用包括與網(wǎng)絡(luò)應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的瀏覽器應(yīng)用、與應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的原生應(yīng)用��、或配置為具有與混合應(yīng)用服務(wù)提供者相關(guān)聯(lián)的嵌入瀏覽器的原生應(yīng)用的移動(dòng)設(shè)備的混合應(yīng)用���。
[0118]優(yōu)選地����,第一應(yīng)用包括與網(wǎng)絡(luò)應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的瀏覽器應(yīng)用,并且第二應(yīng)用包括與應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的原生應(yīng)用���。
[0119]優(yōu)選地����,第一應(yīng)用包括與應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的原生應(yīng)用���。
[0120]優(yōu)選地�����,第二應(yīng)用包括與網(wǎng)絡(luò)應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的瀏覽器應(yīng)用。
[0121]優(yōu)選地���,第二應(yīng)用包括與第二應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的第二原生應(yīng)用��。
[0122]優(yōu)選地���,登入單元1402包括認(rèn)證單元���,其利用使用代表性狀態(tài)轉(zhuǎn)移(REST)方法調(diào)用的認(rèn)證服務(wù)認(rèn)證用戶。
[0123]優(yōu)選地�����,向第二應(yīng)用提供的第二令牌使得第二應(yīng)用能夠在用戶沒有提供登入與第二應(yīng)用相關(guān)聯(lián)的應(yīng)用服務(wù)提供者的登入證書的情況下代表用戶登入到與第二應(yīng)用相關(guān)聯(lián)的應(yīng)用服務(wù)提供者�。
[0124]圖15是示出了根據(jù)另一個(gè)示例的單點(diǎn)登錄管理裝置1500的簡(jiǎn)化框圖??梢杂捎布?��、軟件�����、或硬件和軟件組合實(shí)施單點(diǎn)登錄管理裝置1500的塊以實(shí)現(xiàn)本發(fā)明的原理���。本領(lǐng)域技術(shù)人員將理解,圖15中描述的塊可以被結(jié)合或分成子塊以實(shí)現(xiàn)如上所述的本發(fā)明的原理���。因此�����,這里的描述可以支持這里描述的功能塊的任何可能的組合或分離或者進(jìn)一步定義���。
[0125]如圖15所示�����,單點(diǎn)登錄管理裝置1500包括第一接收單元1501���、第一提供單元1502、第二接收單元1503�、第二提供單元1504和第三提供單元1505����。
[0126]在一些實(shí)施例中,第一接收單元1501被配置為接收訪問(wèn)第一遠(yuǎn)程應(yīng)用的請(qǐng)求,所述請(qǐng)求從移動(dòng)設(shè)備的第一本地應(yīng)用接收�。第一提供單元1502被配置為向遠(yuǎn)程認(rèn)證服務(wù)提供者計(jì)算機(jī)提供認(rèn)證請(qǐng)求�。第二接收單元1503被配置為接收用于訪問(wèn)第一遠(yuǎn)程應(yīng)用的第一訪問(wèn)令牌。第二提供單元1504被配置為向第一本地應(yīng)用提供第一訪問(wèn)令牌�。第三提供單元1505被配置為提供用于訪問(wèn)第二遠(yuǎn)程應(yīng)用的第二訪問(wèn)令牌�����,所述第二訪問(wèn)令牌向移動(dòng)設(shè)備的第二本地應(yīng)用提供����。
[0127]優(yōu)選地,認(rèn)證請(qǐng)求作為代表性狀態(tài)轉(zhuǎn)移(REST)方法調(diào)用向遠(yuǎn)程認(rèn)證服務(wù)提供者提供�����。[0128]優(yōu)選地����,提供請(qǐng)求認(rèn)證移動(dòng)設(shè)備的用戶的認(rèn)證請(qǐng)求。
[0129]優(yōu)選地�,第一訪問(wèn)令牌至少部分地基于用戶的認(rèn)證從遠(yuǎn)程認(rèn)證服務(wù)提供者接收。
[0130]優(yōu)選地��,單點(diǎn)登錄管理裝置1400還包括第三接收單元1506��,其從遠(yuǎn)程認(rèn)證服務(wù)提供者中接收第二訪問(wèn)令牌����。
[0131]優(yōu)選地�����,至少響應(yīng)于來(lái)自于第二本地應(yīng)用的訪問(wèn)第二遠(yuǎn)程應(yīng)用的請(qǐng)求向第二本地應(yīng)用提供第二訪問(wèn)令牌���。
[0132]根據(jù)本發(fā)明的一方面����,提供用于單點(diǎn)登錄管理的方法��,其包括:從第一應(yīng)用接收與第二應(yīng)用相關(guān)聯(lián)的認(rèn)證請(qǐng)求�����;并且向第一應(yīng)用提供用于允許第二應(yīng)用訪問(wèn)第一應(yīng)用或第二應(yīng)用可訪問(wèn)的服務(wù)提供者的訪問(wèn)令牌�����。
[0133]根據(jù)本發(fā)明的另一個(gè)方面����,提供用于單點(diǎn)登錄管理的系統(tǒng),其包括:用于從第一應(yīng)用接收與第二應(yīng)用相關(guān)聯(lián)的認(rèn)證請(qǐng)求的裝置�;和用于向第一應(yīng)用提供用于允許第二應(yīng)用訪問(wèn)第一應(yīng)用或第二應(yīng)用可訪問(wèn)的服務(wù)提供者的訪問(wèn)令牌的裝置。
[0134]根據(jù)本發(fā)明的一方面����,還提供用于單點(diǎn)登錄管理的方法,其包括:從第一應(yīng)用接收訪問(wèn)服務(wù)提供者的請(qǐng)求��;登入與第一應(yīng)用相關(guān)聯(lián)的用戶����;向第一應(yīng)用提供用于訪問(wèn)服務(wù)提供者的令牌;并且向與用戶相關(guān)聯(lián)的第二應(yīng)用提供第二令牌����。
[0135]根據(jù)本發(fā)明的一方面,還提供用于單點(diǎn)登錄管理的系統(tǒng)�,其包括:用于從第一應(yīng)用接收訪問(wèn)服務(wù)提供者的請(qǐng)求的裝置;用于登入與第一應(yīng)用相關(guān)聯(lián)的用戶的裝置�����;用于向第一應(yīng)用提供用于訪問(wèn)服務(wù)提供者的令牌的裝置;和用于向與用戶相關(guān)聯(lián)的第二應(yīng)用提供第二令牌的裝置���。
[0136]根據(jù)本發(fā)明的一方面,還提供用于單點(diǎn)登錄管理的系統(tǒng)�����,其包括:用于接收訪問(wèn)第一遠(yuǎn)程應(yīng)用的請(qǐng)求的裝置����,所述請(qǐng)求從移動(dòng)設(shè)備的第一本地應(yīng)用接收;用于向遠(yuǎn)程認(rèn)證服務(wù)提供者計(jì)算機(jī)提供認(rèn)證請(qǐng)求的裝置����;用于接收用于訪問(wèn)第一遠(yuǎn)程應(yīng)用的第一訪問(wèn)令牌的裝置;用于向第一本地應(yīng)用提供第一訪問(wèn)令牌的裝置�;和用于提供用于訪問(wèn)第二遠(yuǎn)程應(yīng)用的第二訪問(wèn)令牌的裝置,所述第二訪問(wèn)令牌向移動(dòng)設(shè)備的第二本地應(yīng)用提供����。
[0137]用于包含代碼、或部分代碼的存儲(chǔ)介質(zhì)和計(jì)算機(jī)可讀介質(zhì)可以包括已知的或用在本領(lǐng)域中的任何適當(dāng)?shù)慕橘|(zhì)�����,包括存儲(chǔ)介質(zhì)和通信介質(zhì)���,諸如但是不限于在用于存儲(chǔ)和/或發(fā)送諸如計(jì)算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)、程序模塊����、或其它數(shù)據(jù)之類的信息的任何方法或技術(shù)中實(shí)施的易失性的和非易失性的(非瞬時(shí)的)、可移除的和不可移除的介質(zhì)����,包括RAM、ROM��、EEPR0M��、閃速存儲(chǔ)器或其它存儲(chǔ)技術(shù)����、CD-ROM���、數(shù)字通用盤(DVD)或其它光存儲(chǔ)器�、磁帶盒�、磁帶、磁盤存儲(chǔ)器或其它磁存儲(chǔ)器��、數(shù)據(jù)信號(hào)�����、數(shù)據(jù)傳輸�����、或可以用于存儲(chǔ)或發(fā)送期望的信息并可以由計(jì)算機(jī)訪問(wèn)的任何其它介質(zhì)���。
[0138]雖然已經(jīng)描述了公開的具體實(shí)施例��,但是各種修改�、改變、可替換結(jié)構(gòu)��、和相等物也涵蓋在公開的范圍內(nèi)。本公開的實(shí)施例不局限于某些具體的數(shù)據(jù)處理環(huán)境內(nèi)的操作����,而是可以在多個(gè)數(shù)據(jù)處理環(huán)境之內(nèi)任意操作��。另外����,雖然已經(jīng)利用具體事務(wù)和步驟系列描述了本公開的實(shí)施例,但是對(duì)本領(lǐng)域技術(shù)人員應(yīng)當(dāng)清晰��,本公開的范圍不局限于描述的事務(wù)和步驟系列�����。
[0139]此外,雖然已經(jīng)利用硬件和軟件的具體組合描述了本公開的實(shí)施例���,但是應(yīng)當(dāng)承認(rèn)硬件和軟件的其它組合也在本公開的范圍內(nèi)。本公開的實(shí)施例可以僅僅以硬件�����、或僅僅以軟件、或利用其組合執(zhí)行����。[0140]因此,說(shuō)明書和附圖應(yīng)當(dāng)被認(rèn)為是說(shuō)明性的�����,而不是限制的意義上的����。但是,本領(lǐng)域普通技術(shù)人員將顯然可知�,在不脫離本發(fā)明的更寬的范圍的情況下可以對(duì)其做出添加���、減去��、刪除�����、和其它修改和變化��。上面描述用于提供統(tǒng)計(jì)地觸發(fā)的數(shù)據(jù)安排的說(shuō)明性方法和系統(tǒng)���。一些或所有這些系統(tǒng)和方法可以���、而不必要至少部分地由諸如在以上圖1-10中示出的那些架構(gòu)執(zhí)行。
[0141]雖然以特定于結(jié)構(gòu)特征和/或方法動(dòng)作的語(yǔ)言描述了實(shí)施例�����,但是應(yīng)當(dāng)理解本公開不必然局限于描述的具體的特征或動(dòng)作��。相反地�,具體的特征和動(dòng)作被作為實(shí)施本實(shí)施例的說(shuō)明性的形式公開。諸如“能”�、“可能”、“可能”或“可以”之類的條件語(yǔ)言除非另有具體陳述����、或在使用的上下文內(nèi)理解,一般預(yù)期表達(dá)某些實(shí)施例可以包括某些特征����、元素��、和/或步驟,而其它實(shí)施例沒有包括����。因此,此類條件語(yǔ)言一般不預(yù)期意味著特征�、元素、和/或步驟以一個(gè)或多個(gè)實(shí)施例所需的任何方式或一個(gè)或多個(gè)實(shí)施例一定地包括用于有或者沒有用戶輸入或提示的情況下決定這些特征���、元素���、和/或步驟是否被包括或被以任何具體實(shí)施例執(zhí)行的邏輯。
【權(quán)利要求】
1.一種系統(tǒng)�,包括: 存儲(chǔ)器;以及 一個(gè)或多個(gè)處理器�,被配置為訪問(wèn)存儲(chǔ)器,其中存儲(chǔ)器存儲(chǔ)多個(gè)指令��,所述指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使得系統(tǒng): 從第一應(yīng)用接收與第二應(yīng)用相關(guān)聯(lián)的認(rèn)證請(qǐng)求;以及 向第一應(yīng)用提供用于允許第二應(yīng)用訪問(wèn)第一應(yīng)用或第二應(yīng) 用可訪問(wèn)的服務(wù)提供者的訪問(wèn)令牌。
2.如權(quán)利要求1所述的系統(tǒng)�,其中第一應(yīng)用包括移動(dòng)設(shè)備的安全代理應(yīng)用,所述安全代理應(yīng)用被配置為提供用于移動(dòng)設(shè)備的第二應(yīng)用或其它應(yīng)用的單點(diǎn)登錄�����。
3.如權(quán)利要求1所述的系統(tǒng)��,其中第一應(yīng)用包括移動(dòng)設(shè)備的原生應(yīng)用���,所述原生應(yīng)用被配置為提供用于移動(dòng)設(shè)備的第二應(yīng)用或其它應(yīng)用的單點(diǎn)登錄��。
4.如權(quán)利要求3所述的系統(tǒng)����,其中原生應(yīng)用被配置有嵌入式網(wǎng)絡(luò)瀏覽器���。
5.如前述權(quán)利要求中的任何一個(gè)所述的系統(tǒng),其中所述一個(gè)或多個(gè)處理器還被配置為執(zhí)行多個(gè)指令以至少部分地基于包括在認(rèn)證請(qǐng)求中的證書確定用戶什么時(shí)候被認(rèn)證,并且其中所述確定至少部分地基于從第三方服務(wù)接收用戶被認(rèn)證的指示�。
6.一種計(jì)算機(jī)可讀存儲(chǔ)器,存儲(chǔ)由一個(gè)或多個(gè)處理器可執(zhí)行的多個(gè)指令,所述多個(gè)指令包括: 使得所述一個(gè)或多個(gè)處理器從第一應(yīng)用接收訪問(wèn)服務(wù)提供者的請(qǐng)求的指令��; 使得所述一個(gè)或多個(gè)處理器登入與第一應(yīng)用相關(guān)聯(lián)的用戶的指令�����; 使得所述一個(gè)或多個(gè)處理器向第一應(yīng)用提供用于訪問(wèn)服務(wù)提供者的令牌的指令����;以及 使得所述一個(gè)或多個(gè)處理器向與用戶相關(guān)聯(lián)的第二應(yīng)用提供第二令牌的指令。
7.如權(quán)利要求6所述的計(jì)算機(jī)可讀存儲(chǔ)器��,其中第一應(yīng)用包括被配置為提供用于第二應(yīng)用的單點(diǎn)登錄的移動(dòng)設(shè)備的安全代理應(yīng)用���。
8.如權(quán)利要求7所述的計(jì)算機(jī)可讀存儲(chǔ)器��,其中第二應(yīng)用包括與網(wǎng)絡(luò)應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的瀏覽器應(yīng)用��、與應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的原生應(yīng)用���、或配置為具有與混合應(yīng)用服務(wù)提供者相關(guān)聯(lián)的嵌入式瀏覽器的原生應(yīng)用的移動(dòng)設(shè)備的混合應(yīng)用����。
9.如權(quán)利要求6所述的計(jì)算機(jī)可讀存儲(chǔ)器���,其中第一應(yīng)用包括與網(wǎng)絡(luò)應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的瀏覽器應(yīng)用��,并且第二應(yīng)用包括與應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的原生應(yīng)用�����。
10.如權(quán)利要求6所述的計(jì)算機(jī)可讀存儲(chǔ)器����,其中第一應(yīng)用包括與應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的原生應(yīng)用����。
11.如權(quán)利要求10所述的計(jì)算機(jī)可讀存儲(chǔ)器�,其中第二應(yīng)用包括與網(wǎng)絡(luò)應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的瀏覽器應(yīng)用���。
12.如權(quán)利要求10所述的計(jì)算機(jī)可讀存儲(chǔ)器����,其中第二應(yīng)用包括與第二應(yīng)用服務(wù)提供者相關(guān)聯(lián)的移動(dòng)設(shè)備的第二原生應(yīng)用。
13.如權(quán)利要求6到12中的任何一個(gè)所述的計(jì)算機(jī)可讀存儲(chǔ)器����,其中登入包括利用使用代表性狀態(tài)轉(zhuǎn)移(REST)方法調(diào)用的認(rèn)證服務(wù)來(lái)認(rèn)證用戶。
14.如權(quán)利要求6到13中的任何一個(gè)所述的計(jì)算機(jī)可讀存儲(chǔ)器����,其中向第二應(yīng)用提供的第二令牌使得第二應(yīng)用能夠在用戶沒有提供登入到與第二應(yīng)用相關(guān)聯(lián)的應(yīng)用服務(wù)提供者的登入證書的情況下代表用戶登入到與第二應(yīng)用相關(guān)聯(lián)的應(yīng)用服務(wù)提供者。
15.—種計(jì)算機(jī)實(shí)現(xiàn)的方法��,包括: 由計(jì)算機(jī)系統(tǒng)接收訪問(wèn)第一遠(yuǎn)程應(yīng)用的請(qǐng)求�����,所述請(qǐng)求從移動(dòng)設(shè)備的第一本地應(yīng)用接收����; 由計(jì)算機(jī)系統(tǒng)向遠(yuǎn)程認(rèn)證服務(wù)提供者計(jì)算機(jī)提供認(rèn)證請(qǐng)求��; 由計(jì)算機(jī)系統(tǒng)接收用于訪問(wèn)第一遠(yuǎn)程應(yīng)用的第一訪問(wèn)令牌�; 由計(jì)算機(jī)系統(tǒng)向第一本地應(yīng)用提供第一訪問(wèn)令牌�;以及 由計(jì)算機(jī)系統(tǒng)提供用于訪問(wèn)第二遠(yuǎn)程應(yīng)用的第二訪問(wèn)令牌�����,第二訪問(wèn)令牌被提供給向移動(dòng)設(shè)備的第二本地應(yīng)用�。
16.如權(quán)利要求15所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其中所述認(rèn)證請(qǐng)求作為代表性狀態(tài)轉(zhuǎn)移(REST)方法調(diào)用被提供給遠(yuǎn)程認(rèn)證服務(wù)提供者����。
17.如權(quán)利要求15或16所述的計(jì)算機(jī)實(shí)現(xiàn)的方法��,其中所述認(rèn)證請(qǐng)求被提供以請(qǐng)求移動(dòng)設(shè)備的用戶的認(rèn)證��。
18.如權(quán)利要求17所述的計(jì)算機(jī)實(shí)現(xiàn)的方法���,其中第一訪問(wèn)令牌至少部分地基于用戶的認(rèn)證從遠(yuǎn)程認(rèn)證服務(wù)提供者接收��。
19.如權(quán)利要求15到18中的任何一個(gè)所述的計(jì)算機(jī)實(shí)現(xiàn)的方法�,還包括:由計(jì)算機(jī)系統(tǒng)從遠(yuǎn)程認(rèn)證服務(wù)提供者接收第二訪問(wèn)令牌���。
20.如權(quán)利要求15到18中的任何一個(gè)所述的計(jì)算機(jī)實(shí)現(xiàn)的方法�����,其中所述第二訪問(wèn)令牌至少響應(yīng)于來(lái)自于第二本地應(yīng)用的訪問(wèn)第二遠(yuǎn)程應(yīng)用的請(qǐng)求被提供給第二本地應(yīng)用。
21.一種使得計(jì)算機(jī)執(zhí)行如權(quán)利要求15-20中的任何一個(gè)所述的方法的程序�����。
【文檔編號(hào)】G06F21/41GK103930897SQ201280054799
【公開日】2014年7月16日 申請(qǐng)日期:2012年9月27日 優(yōu)先權(quán)日:2011年9月29日
【發(fā)明者】A·桑德海, C·多萊伊, S·布哈特, W·W·王, A·伊尤 申請(qǐng)人:甲骨文國(guó)際公司