主动联合的移动认证的制作方法
【专利说明】主动联合的移动认证
[0001] 背景
[0002] 许多企业为员工提供诸如企业资源规划(ERP)和客户关系管理(CRM)应用之类的 后勤服务。这些应用典型地使用并存储诸如财务数据、联系信息、以及人事档案之类的机密 且专有的公司信息。企业将对这些应用和相关联的信息的访问仅限于授权用户。
[0003] 当用户在场时,企业能认证通过企业网络访问后勤服务的用户。然而,当用户离场 时,就变得更难以认证用户以及以安全的方式提供服务。为了保持安全性,需要通过诸如智 能电话或平板之类的移动客户端访问后勤服务的用户在被允许执行由所述服务暴露的动 作之前必须被认证为被授权。
[0004] 例如,许多公司使用花费报告系统来为员工报销他们为业务目的而产生的花费, 以及使用时间报告系统来捕捉员工工时数。对员工而言,众多挑战之一是跟踪为业务目的 而产生的各种花费以及在公司业务上工作的小时数,尤其在花费是在员工远离他的或她的 计算机时产生的情况下。在现有系统中,员工需要使用某种其他过程,例如保存纸质收据以 及记录工作的小时数,以便保持对花费和时间的跟踪。那些花费然后被添加到花费报告,而 时间条目被归档在计时卡上。
[0005] 概述
[0006] 提供概述以便以简化形式介绍将在以下详细描述中进一步描述的一些概念的选 集。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要 求保护主题的范围。
[0007] 为了作出受信任的web服务调用,客户端应用发送一系列消息以获得允许服务请 求传递通过服务中继的安全令牌。用户通过提供用户凭证来获得第一令牌。第二令牌获得 自确认第一令牌的信任中介。两个令牌都随服务请求被发送至服务中继。服务中继确认该 第二令牌并且然后将第一令牌和服务请求传递至连接器服务。连接器服务确认第一令牌并 且将服务请求传递至目标后端服务。连接器服务在与后端服务通信时充当用户。服务响应 通过连接器服务和服务中继被路由回用户。
[0008] 例如,在一实施例中,本发明帮助解决在雇员旅行或以其他方式远离其计算机时 捕捉已发生的费用和工作时间的问题。移动电话应用出于费用报告目的而捕捉关键的费用 信息和相关联的收据。也可以捕捉雇员时间条目。费用(例如,收据)和时间信息通过移 动电话数据连接被发送至公司的费用和时间报告系统。这帮助雇员在旅行或以其他方式远 离办公室时容易地捕捉信息,而无须保持跟踪纸质收据、现金付款金额或者远离办公室的 工作时间。
[0009] 附图简述
[0010] 为了进一步阐明本发明的各实施例的以上和其他优点和特征,将参考附图来呈现 本发明的各实施例的更具体的描述。可以理解,这些附图只描绘本发明的典型实施例,因此 将不被认为是对其范围的限制。本发明将通过使用附图用附加特征和细节来描述和解释, 附图中:
[0011] 图1图示了为移动设备提供将数据发送至后勤服务和从后勤服务接收数据的能 力的系统的各组件。
[0012] 图2图示了在一实施例中的系统中的消息流程以允许移动设备与后勤服务通信。
[0013] 图3图示其中来自在线授权服务的令牌可用于确认服务请求的示例系统。
[0014] 图4图示不需要移动设备直接联系身份提供者的替代的消息流程。
[0015] 图5是图示用于由移动设备获得凭证以使web服务调用经由服务中继访问企业服 务的方法或过程的流程图。
[0016] 图6是图示用于处理在企业网络中的连接器服务处的服务请求的方法的流程图。
[0017] 图7解说了其上可以实现本发明各实施例的计算和联网环境的示例。
[0018] 详细描述
[0019] 本发明的各实施例允许与web服务调用耦合的用户身份信息从移动设备上的服 务客户端(诸如客户端软件应用)通过服务中继流至后勤系统。
[0020] 图1解说了向移动设备101 (诸如智能电话或平板)提供将数据发送至后勤服务 102 (诸如ERP或CRM系统)和从后勤服务102接收数据的能力的系统的各组件。后勤服务 102可以是企业网络103中受防火墙104保护的一部分。取代与后勤服务102直接通信,移 动设备101通过全局可用的服务中继105来发送服务请求。使用服务中继105避免了在企 业网络103或后端服务102上提供公共端点的需要。服务中继105可以跨防火墙104通信 并且滤除不具有所需安全令牌的未授权话务。
[0021] 身份提供者和安全令牌服务106用于联合认证并且用于提供凭证以认证移动设 备101。身份提供者106和后勤服务102具有信任关系111。信任关系允许两个实体加密 地验证始发自任一实体的特定消息。信任关系使用对称的或非对称的密钥来向接收方实体 确认所接收的消息的内容尚未被篡改。身份提供者106可以将令牌连同一声明提供至移动 设备101,所述声明用于通过服务中继105来认证移动设备101所发送的服务请求。然而, 服务中继105本身与移动设备101或身份提供者106没有关系并且不知道移动设备101或 身份提供者106,因此服务中继105不会在没有进一步验证的情况下就简单地传递来自移 动设备101的服务请求和令牌。
[0022] 服务中继105与在线授权服务107具有信任关系112。服务中继105和在线授权 服务107可以是例如云服务环境110的组件。在线授权服务107被适配成将用于认证移动 设备101的令牌发放给服务中继105。如果在线授权服务107也与身份提供者106具有信 任关系113,则来自身份提供者106的令牌将向后勤服务102和在线认证服务107两者认证 移动设备101。
[0023] 在服务中继105上监听的服务从移动设备101接收请求108a,并且使用来自在线 授权服务107的令牌来验证移动设备101的身份。为了为后勤服务102提供附加的保护层 和灵活性,服务中继105不直接与后勤服务102通信。相反,经认证的服务请求108b被发 送至企业网络103中的连接器服务109。然后,连接器服务109将请求108c转发至后勤服 务 102〇
[0024] 移动设备101可运行被适配成适合于设备所使用的操作系统和/或浏览器的客户 端应用。在本文所例示的示例中,移动设备101所采取的动作由客户端应用执行或在客户 端应用的控制下执行。客户端应用被配置成与身份提供者106和在线授权服务107通信来 从安全令牌服务获得合适的令牌。客户端应用还与服务中继105通信来交换服务请求/响 应以及令牌。移动服务101可以是任何移动设备,诸如运行微软撕Mdo着S·、iOS或安卓操 作系统的智能电话或平板。客户端应用不必在移动设备上。在其他实施例中,客户端应用 可以是微软.NET软件应用、服务、网站、或企业网络103内部或外部的能够对后勤服务102 作出服务请求的任何固定或移动点。
[0025] 图2图示了在一实施例中的系统中的消息流程以允许移动设备101与后勤服务 102通信。移动设备101首先向身份提供者106发送对安全令牌(RST)消息201的请求。 请求201包括用户凭