公開了提供對基于云的服務的安全訪問的技術。在各種實施例中，從設備上的客戶端app接收連接到與所述基于云的服務相關聯(lián)的安全性代理的請求。使用所述設備與所述安全性代理與之相關聯(lián)的節(jié)點之間的安全隧道連接以建立所請求的到所述安全性代理的連接。使用與安全隧道相關聯(lián)的信息，以確定進行請求的客戶端app被授權從所述設備訪問所述基于云的服務并從與所述基于云的服務相關聯(lián)的身份提供商獲得安全性令牌，所述安全性令牌要由所述客戶端app使用以認證到所述基于云的服務。

本申請為分案申請，其母案的發(fā)明名稱為“提供訪問控制和單點登錄的身份代理”，申請日為2016年1月26日，申請?zhí)枮?01680012311.7。

對其他申請的交叉引用

本申請要求2015年1月26日提交的名稱為IDENTITY PROXY TO PROVIDE MOBILEAPP ACCESS CONTROL AND SINGLE SIGN ON的美國臨時專利申請No. 62/107,927的優(yōu)先權，該美國臨時專利申請出于所有目的通過引用并入本文。

背景技術

越來越多地，移動設備正在將安全性保護和技術并入到操作系統(tǒng)中。在許多類型的設備中，應用被“沙盒化”且不能被設備上的其他app（應用程序）攻擊。這也意味著：其自身的沙盒中的每一個應用典型地執(zhí)行認證和授權過程。例如，應用典型地不能共享下述會話或令牌：其可以允許一個應用認證且允許其他應用利用相同的會話/令牌來得到單點登錄。

安全性斷言標記語言（SAML）是允許用戶認證和授權數(shù)據(jù)被交換的XML標準。使用SAML，在線服務提供商（SP）可以聯(lián)系分離的在線身份提供商（IDP）以認證正在嘗試訪問安全資源的用戶。在移動設備中，例如，可以使用SAML或其他標準和/或協(xié)議以將移動app用戶認證到關聯(lián)的在線服務。然而，一些app可能不支持某些協(xié)議/標準，和/或可能不支持某些技術，諸如到分離的IDP的重定向。

使用基本認證可能不是期望的，例如以便防止用戶的企業(yè)憑證（諸如企業(yè)用戶名和密碼）暴露在移動設備上和/或暴露于基于云的服務提供商（SP）。

附圖說明

在以下詳細描述和附圖中公開了本發(fā)明的各種實施例。

圖1A是圖示了提供對基于云的服務的安全移動訪問的系統(tǒng)的實施例的框圖。

圖2是圖示了提供對基于云的服務的安全移動訪問的過程的實施例的流程圖。

圖3是圖示了提供對基于云的服務的安全移動訪問的過程的實施例的流程圖。

圖1B是圖示了提供對基于云的服務的安全移動訪問的系統(tǒng)的實施例的框圖。

圖4是圖示了代表移動客戶端app建立安全隧道且請求連接的過程的實施例的流程圖。

圖5是圖示了基于設備安全性態(tài)勢監(jiān)視和控制對基于云的服務的訪問的過程的實施例的流程圖。

圖6是圖示了提供對基于云的服務的安全移動訪問的過程的實施例的流程圖。

圖7是圖示了提供對基于云的服務的安全移動單點登錄訪問的過程的實施例的流程圖。

圖8是圖示了基于設備安全性態(tài)勢監(jiān)視和控制對基于云的服務的訪問的過程的實施例的流程圖。

圖9是圖示了提供對基于云的服務的安全移動訪問的過程的實施例的流程圖。

圖10是圖示了經(jīng)由所委托身份提供商架構和模型提供對基于云的服務的安全訪問的系統(tǒng)的實施例的框圖。

圖11A和11B是圖示了在各種實施例中提供對服務的安全訪問的圖10中表示的實體之間的呼叫的序列的示例的序列圖。

具體實施方式