使用单点登录自举到检查代理的重定向的制作方法
【专利摘要】认证请求在客户端设备的用户尝试发起与由服务供应商所管理的应用的会话时被生成。认证响应基于从用户接收到的凭证来生成。认证响应包括代表用户的断言。断言的递送资源定位符被重写到代理的资源定位符,以将该断言重定向到代理。认证响应与代理的资源定位符一起发送到客户端设备,从而使得该客户端设备将该断言发送至代理,该代理解码经重写的资源定位符并将断言发送到服务供应商。
【专利说明】
使用单点登录自举到检查代理的重定向
技术领域
[0001 ] 本公开涉及针对服务供应商应用的单点登录(single-sign-on)技术。
【背景技术】
[0002]企业用户正在采用云中由各种第三方服务供应商提供的更多的服务。当在企业外部时用户可以通过直接连接到云资源来从移动设备访问这些服务供应商的站点。作为企业的安全策略的一部分(例如,针对数据丢失保护),企业仍希望对这种类型的流量进行检查。
[0003]这样做的一个挑战是找到将云流量引导至代理层以执行检查的方式。在移动设备平台上尤其如此。尽管人们可能能够将接入点名称(APN)或虚拟专用网(VPN)技术用于某种程度的引导,常常难以在用户的设备上以能够可靠地让流量重定向生效的方式提供这样的方案。例如,APN技术在W1-Fi?热点处不工作。此外,用户不希望他们的所有流量都受到检查,在使用诸如APN、VPN或全球超文本传输协议(HTTP)代理配置之类的设备层级技术时,这种情况很可能发生。
[0004]大多数企业软件即服务(SaaS)方案提供了单点登录(SSO)技术,来为企业提供使得与该企业相关联的认证机制得以生效的方式。然而,一旦SSO交易完成,流量就直接流回云资源并且企业可能会丢失对数据的可视性。
【附图说明】
[0005]图1是示出了多个客户端设备、服务供应商、身份供应商、以及代理的系统图,其中身份供应商或服务供应商被配置为根据本文所提供的技术来执行到代理的重定向。
[0006]图2是示出了根据本文所提供的技术的操作流程的阶梯序列图。
[0007]图3A-图3D是示出了在根据本文所提供的技术的操作流程期间的用户体验的示例的局部用户界面屏幕。
[0008]图4是概括了由身份供应商或服务供应商执行来辅助本文所提供的技术的操作的流程图。
[0009]图5是被配置为辅助本文所提供的技术的身份供应商的框图的示例。
【具体实施方式】
[0010]挺述
[0011]认证请求在客户端设备的用户尝试发起与由服务供应商所管理的应用的会话时被生成。认证响应基于从用户接收到的凭证(credential)来生成。认证响应包括代表用户的断言(assert1n)。断言的递送资源定位符被重写到代理的资源定位符,以将该断言重定向到代理。认证响应与代理的资源定位符一起发送到客户端设备,从而使得该客户端设备将该断言发送至代理,该代理解码重写的资源定位符并将断言发送到服务供应商。
[0012]示例性实施例
[0013]本文提供了建立在现有单点登录技术上的、当用户从设备访问企业云资源时将该用户经由将执行安全服务的反向代理进行重定向的技术。首先参考图1,示出了系统10,系统10包括多个客户端设备20(1)-20(N(每个客户端设备具有相关联的用户)、服务供应商30、身份供应商40、以及代理50。客户端设备20(1)-20(N)可以是台式计算机、膝上型计算机、平板计算机、诸如智能电话之类的无线移动设备、或任何其它物理或虚拟计算设备(例如,在云的数据中心中运行的虚拟机)。
[0014]客户端设备20(1)-20(N)可以位于任何位置,并在这样排布时,客户端设备20(1)-20(N)通过以标号60示出的互联网进行通信。例如,客户端设备20(1)-20(N)中的一个或多个可以驻留在企业网络70之外,但仍可以根据本文中所呈现的技术访问由服务供应商30所管理的服务应用32。例如,服务应用32可以是企业web会议应用,客户资源管理应用等。
[0015]身份供应商40负责向以任何可能的方式向服务供应商30寻求互动/服务的所有供应商发放标识信息。为此,身份供应商40执行认证以验证安全令牌。通常用户仅(使用单点登录技术)被验证一次,并且安全令牌被传递用于由身份供应商40针对其需要访问的每个服务供应商应用进行处理。身份供应商40支持诸如安全断言标记语言(SAML)之类的各种协议,SAML是用于交换各方之间(特别是身份供应商和服务供应商之间)的认证和授权数据的、基于XML的开放标准数据格式。
[0016]在一种形式中,服务供应商30、身份供应商40和代理60可以由具有互联网连接的专用服务器计算机来实现。在另一种形式中,服务供应商30、身份供应商40和代理60中的一个或多个的功能可以由在云计算环境的数据中心中运行的进程来实现。
[0017]图1示出存在与每个客户端设备20(1)-20(N)相关联的用户。具体而言,存在与客户端设备20(1)相关联的用户1、与客户端设备20(2)相关联的用户2、以及与客户端设备20(N)相关联的用户N。用户通常是能够访问客户端设备的人。在客户端设备上存在用于由用户访问由服务供应商30所保持的服务应用的应用。该应用可以是,例如web浏览器应用。然而,这仅仅是示例。
[0018]现在参考图2来描述根据本文提供的技术的整体流程100。在对图2的描述中也提及图1和图3A-3D。与企业网络70相关联的企业将向由服务供应商30提供的云服务注册(例如,针对服务应用32)。这将允许企业的承包商用户或雇员访问云服务,例如服务应用32。在联系图2描述的示例中,服务应用32被称为“服务应用(serviceapplicat1n)”。服务应用32的统一资源定位符(URL)例如是example.my.serviceapplicat1n.com。代理50的URL例如是cloudproxy.example.com。
[0019]企业将向云服务注册。在注册过程中,企业将创建用于由与该企业相关联的用户所使用的认证方案。典型地,这将配置该企业正使用的单点登录(SSO)服务的通用资源定位符(URL),例如sso-1dp.example.com。
[0020]在I10,客户端设备(例如,客户端设备20(1))处的用户将浏览器定向至example.my.serviceapplicat1n.com用于服务供应商发起的SSO。图3A示出了步骤110期间浏览器的屏幕截图。标号111示出了在客户端设备20(1)上运行的浏览器中由用户键入的“example.my.serviceapplicat1n.com”。在112,在客户端设备20(1)上运行的浏览器将被(使用SAML HTTP或HTTP POST绑定)重定向到身份供应商用于114处的认证。112处的重定向包含标示为<々111:116111^911681:>的认证请求。在114,在客户端设备20(1)上运行的浏览器向身份供应商40做出具有认证请求的HTTP GET。在116,身份供应商40以用户登录表来对认证请求做出响应。图3B示出了步骤116处浏览器的示意性屏幕截图,其中在客户端设备上运行的浏览器已被重定向至身份供应商40,并且已呈现有标号117处示出的用户登录表。在118,用户将他/她的用户凭证提供到用户登录表中,并且将浏览器应用中的凭证提供至身份供应商40。身份供应商可以使用登录表、两要素认证,或者甚至使用来自先前的认证的HTTPcookiedie和118处存在许多可能的登录场景,并且本文所描述并示出于图3B中的一个登陆场景仅仅是一个示例。
[0021]如果用户基于他/她的用户凭证得以通过认证,则身份供应商40生成包括代表客户端设备的用户的断言的响应。此外,身份供应商40重写用于断言的递送资源定位符(例如URL)到代理50的资源定位符,以将该断言重定向到代理50。因此,客户端设备的浏览器应用将通过重写检查代理50被重定向回服务供应商,并且将包括一些元数据从而检查代理50可以将原始请求桥接回原始资源。在120,身份供应商将响应与代理50的重写的资源定位符一起发送。
[0022]当在客户端设备20(1)上运行的浏览器应用接收120处发送的响应时,这将导致客户端设备的浏览器在122将断言发送到代理50。具体地,在122客户端设备20(1)处的浏览器向代理50做出具有响应的HTTPP0ST。如图2所示,120处发送的响应可以由身份供应商签名,并且当响应在122被重定向至代理50时也使用这个相同的签名。应当注意,代理功能可以由与身份供应商相同的设备来执行,或者可以如图2中所示由分别的设备来执行。
[0023]当代理50在122处从122客户端设备20(1)接收重定向响应,代理解码重写的资源定位符,并在124将断言发送至服务供应商。这由124处代理50向服务供应商30做出的HTTPPOST所示。图3C示出了步骤122和步骤124之后、当客户端设备20(1)上的浏览器由代理50重定向回服务应用(如图3C中的125所示)时的示例性屏幕截图。
[0024]此后,来自服务供应商30响应由代理50接收,资源定位符被重写并且内容被传播到客户端设备。具体而言,在126服务供应商30授予用户访问服务应用的权限。代理50执行内容重写,并且在128向客户端设备通知所授予的访问服务应用的权限。在执行内容重写中,代理50采纳它从服务供应商30接收的任何内容,并将内容重写到其发送回客户端设备的页面。图3D示出了步骤128的内容重写之后运行在客户端设备上的用户浏览器的示例性屏幕截图,并且向“用户XYZ”呈现到服务应用的最初欢迎页面。如图3D所示,服务应用的URL被编码在任何代理请求中(如标号129所示)。
[0025]此后执行循环130,在循环130期间运行在客户端设备20(1)上的浏览器应用与服务应用之间具有的交换经由代理发生。即,已在128获知需要向代理做出到服务应用的资源请求,则在132,客户端设备20(1)上的浏览器应用向代理50发送资源请求。代理50在134处发送资源请求到服务供应商。服务供应商在136处向代理发送它的资源响应。在138,代理执行内容重写,并且向客户端设备发送资源响应。
[0026]在122,用户的SSO凭证被发布到代理,并且此后无论哪个实体获得了凭证,在一些有限的时间段内这些凭证对于访问服务应用都是有效的。由服务供应商进行的主要验证是相对于以密码加密的SAML响应/断言(代理不对其进行修改)的内容。服务供应商相对于自身的配置来验证源,而不考虑2层或3层地址。SAML断言可以包含由身份供应商发送的、关于主体本地性的信息(身份供应商发送从其验证了终端用户的客户端系统的互联网协议(IP)地址)。这是可选字段,并且通常为服务供应商所忽略(网络地址转换和Web代理使其在实践中的使用是困难的)。然而如果需要的话,经由代理进行重定向的身份供应商可以生成主体本地性字段,主体本地性字段指示将从其发起到服务供应商的请求的代理的IP地址。服务供应商可以独立于SAML/SSO/认证地,通过客户端IP地址/网络的IP白名单/黑名单来限制到服务的访问。在此情景中,代理IP地址需要被列入白名单。
[0027]通过使用这些技术,企业能够(以代理50的方法)来检查云流量,甚至当用户正在位于企业网络之外的位置处使用客户端设备访问服务供应商(即“位于外部(off-prem)”)的时候也是如此。此外,身份供应商、服务供应商和代理也可以位于外部。
[0028]因此,处理流程涉及用户直接发起到服务供应商的连接,并且在代理处“劫持”或拦截会话。交互由用户尝试连接到服务供应商而开始。当客户端设备尝试为用户发起与服务供应商的会话时,该客户端设备的位置是不相关的。客户端设备可以位于企业网内部(“位于内部(on-prem)”)或位于外部。这以完全基于标准的方式达成,而无需客户端设备上的任何特殊软件。身份供应商通知客户端设备去往代理,而不是返回服务供应商。
[0029]代理认证
[0030]为了避免容宿互联网上的开放代理,身份供应商可以透明地向代理认证用户会话。这一经认证的会话如何完成的示例包括:
[0031]1.(如果身份供应商和代理是相同域的一部分,则)在身份供应商和代理之间共享会话的HTTP cookie。这示于图2中的标号121处。更具体地,会话的HTTP cookie由身份供应商40在120处发送,并且在122处由客户端设备20(1)原样回应(echo back)到代理50。
[0032]2.代理基于目的地为服务供应商的SAML断言(上述步骤122)来建立经认证的会话。
[0033]总之,向代理认证用户会话可涉及在身份供应商和代理之间共享会话cookie,或者代理分析从用户接收的断言。
[0034]反向代理技术
[0035]由身份供应商40和代理50来执行资源定位符重写,以迫使(使得)运行在客户端设备上的浏览器应用通过代理50来访问所有服务供应商web页面和所链接的内容,用于经由代理访问的URL可以被模糊化,并被嵌入到代理URL,从而例如经由下述代理来访问https://example.my.serviceapplicat1n.com/home/home.jsp:
[0036]https: Il cloudproxy.example.com / + CSCO +0075676763663A2F2F6E787672796F6E662D7172692D72712E7A6C2E666E79726673626570722E70627A++/home/home.jsp
[0037]URL重写可能针对所有内容(例如嵌入URL的定制JavaScript交换、或者使用套接字到硬编码地址的Java小程序)提出。
[0038]作为用户的会话的一部分,代理50可以为所代理的内容(例如,由服务供应商设置的HTTP cookies)维护状态。例如,由服务应用在步骤126设置的会话cookie将由代理50保留。这将在步骤128中省略,并且在步骤134的呼出请求中重新加入。
[0039]防止对服务供应商的直接访问
[0040]如果应当防止客户端设备直接访问服务供应商,则需要一些额外的考虑。由于SAML断言通常通过客户端设备的浏览器传递,用户可以执行其自身的内容重写以直接发布断言到服务供应商,获得直接访问。这可以以一些方式来防止。第一,身份供应商40可在步骤120中以也为代理50所知的共享密文(secret)来加密断言,要求代理50在将断言转发至服务供应商30之前解密该断言。第二,身份供应商可以以下述方式来生成断言:该方式要求代理50在断言将由服务供应商30接受之前重写并重签名该断言。换言之,身份供应商40将生成受到代理信任、但不受服务供应商信任的断言(例如,具有不同的证书、或具有不同实体标识符的断言)。代理可以执行一些将满足服务供应商的SAML配置的修改。
[0041]这些相同的技术可以应用到由身份供应商发起的SS0。这种情况下唯一的区别是,在步骤110用户直接发起与身份供应商的SSO过程,而不是与服务供应商的SSO过程。
[0042]经由检查代理的流量重定向也可以较早地在步骤112和步骤114中,从服务供应商到身份供应商的重定向期间被执行。在这种情况下,由于服务供应商将把代理设置为认证请求的目标,可能需要代理来修改并重签名SAML请求,以允许身份供应商将该认证请求看作以它为目标而不是以代理为目标的认证请求。
[0043]图4是概括根据上文联系图1、图2和图3A-3D所述的技术执行的操作的流程图。这些操作可以由身份供应商40来执行,并且在某些情况下操作某些部分可以由服务供应商30来执行。在200,以响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话而生成的认证请求为基础,基于从用户接收的凭证来生成认证响应。认证响应包括代表用户的断言。在210,断言的递送资源定位符(例如URL)被重写为代理的资源定位符,从而将断言重定向到代理。在220,认证响应被与代理的资源定位符一起发送到客户端设备,从而使该客户端设备发送断言到代理。当代理接收到该响应,就解码经重写的资源定位符,并且发送断言到服务供应商。如上所述,图4中所描绘的所有步骤可以由身份供应商来执行,或者一些步骤可以由服务供应商来执行。在正常的SAML操作中,服务供应商直接重定向到IdP。然而,服务供应商可以被配置为经由代理定向到IdP。服务供应商并不真正“知晓”它被重定向到代理;在这种情况下它将代理视为IdP。
[0044]现在参考图5。图5示出了身份供应商40的示例性框图。身份供应商40可以体现为具有网络连接性和计算能力的物理装置。为此,在一种形式中,身份供应商40包括一个或多个处理器42、网络接口单元44、以及存储器46 ο处理器42可包括微处理器或微控制器。网络接口单元44可包括使得身份供应商40能够经由互联网与服务供应商30、客户端设备、代理50、以及所需的其它实体进行通信的一个或多个网络接口卡或者类似网络连接使能设备。存储器46存储由处理器42执行的软件,例如用于重定向和内容重写处理逻辑48的指令。
[0045]存储器46可以包括只读存储器(R0M)、随机存取存储器(RAM)、磁盘存储介质设备、光存储介质的设备、闪存设备,电、光、或其它物理/有形存储器存储设备。因此一般情况下,存储器48可以包括编码有软件的一种或多种有形(非暂态)计算机可读存储介质(例如,存储器设备),软件包括计算机可执行指令(例如,用于重定向处理逻辑48的指令),并且当软件被(处理器42)执行时可操作来执行联系图1、图2、图3A-图3D和图4针对身份供应商40所描述的操作。
[0046]身份供应商40和代理50的一个或多个功能可以在相同物理设备(S卩,“盒”)中实现,或者由相同的云托管功能来执行。
[0047]存在许多与本文所呈现的技术相关联的优点。首先,客户端设备不需要位于公司/企业内部网络内部来访问服务供应商应用。客户端设备可以位于任何地方,并且特别地,当客户端设备位于公司/企业网络以外(例如,在家中或离开公司网络)时这些技术是特别有用的。此外,身份供应商和代理不必位于公司网络中。
[0048]其次,由于用户不需要做不同于平时的任何事情,这些技术对用户是完全透明的。用户就像他/她通常做的那样来访问服务供应商应用,例如,经由浏览器并且指向服务供应商(或视情况而定的身份供应商)的URL。实现这些技术的主要智慧在于身份供应商做出到代理的重定向。“劫持”或“拦截”发生在身份供应商的后端,并且对用户是完全透明的。一旦登录到服务供应商,用户就可能注意到服务器地址并不直接是服务供应商的地址,而实际上是一些其它服务器的地址。
[0049]由于这些技术将到其它站点的标准HTTP重定向作为SAML流的一部分来使用,浏览器的安全性不会受到影响。在典型的SAML流中,作为正常SSO过程的一部分,用户代理器(浏览器)可以(经由HTTP POST和HTTP重定向SAML绑定)被重定向到原始站点之外的各种站点。当SSO过程重定向浏览器到代理,代理将端接安全套接字层(SSL)连接,并向客户端浏览器呈现其自身的有效的服务器证书。随后代理充当客户端并且建立到serviceapplicat1n.com的新HTTPS会话。代理还负责对其代表客户端浏览器所发出的请求执行服务器证书验证。由于代理可以应用其自身的验证策略(可以更严格(例如,没有用户可能通常点击的不受信任的证书)),因此这些技术可能更安全。
[0050]如果担心用户可能在浏览器中看到这些,服务供应商的主机可以被编码在代理的域名中,其中https://〈service provider host〉.< company domain > /〈obfuscatedservice provider protocol and path〉将在代理请求中变为〈service providerprotocol >://< service provider host>/ <service provider path>。例如,https: //www.serviceapplicat1n.example.com/ <path> 将映身才至丨Jhttp[s]://www.serviceapplicat1n.com/<path> 0
[0051]第三,这些技术以完全符合标准的方式来实现。基于标准的协议得以使用,并且不会以任何方式改变。不需要特殊的客户端侧软件。没有违反任何信任关系,并且在客户端设备上的web浏览器中没有警告弹出。web浏览器将信任所拦截的连接。代理以不在客户端设备上的浏览器中导致任何安全警告的方式,来桥接客户端设备和服务供应商之间的安全连接。
[0052]此外,任何组件可以位于内部或位于外部。即,在客户端设备/端点可以位于内部或位于外部,身份供应商和代理也可以位于内部或位于外部(云托管)。代理功能可以由执行身份供应商的功能的相同设备起来执行,或者在分别的设备/云托管实例中执行。
[0053]再者,代理服务器和任何服务供应商之间不需要存在任何预定的关系。所需要的只是对存在于身份供应商(其执行通过代理的重定向/最终绑定)和服务供应商之间的SAML的正常配置。即使serviceappl icat1n.com使用严格主机传输安全和证书pin,联系serviceappl icat1n.com的用户代理器(而不是最终用户的浏览器)依然是代理,其可以遵守严格的主机传输安全和证书pin策略。用户的浏览器和代理之间的连接是单独的SSL隧道。
[0054]总之,在一种形式中,提供了一种方法,包括:以响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话所生成的认证请求为基础,基于从用户接收的凭证来生成认证响应,认证响应包括代表用户的断言;将断言的递送资源定位符重写为代理的资源定位符,从而将断言重定向到代理;并且将认证响应与代理的资源定位符一起发送到客户端设备,从而使客户端设备发送断言到代理,该代理解码经重写的资源定位符、并将断言发送至服务供应商。
[0055]在另一种形式中,提供了一种方法,包括:在身份供应商处接收响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话而生成的认证请求;基于从用户接收的凭证来生成认证响应,认证响应包括代表用户的断言;将断言的递送资源定位符重写为代理的资源定位符,从而将断言重定向到代理;并且将认证响应与代理的资源定位符一起发送到客户端设备,从而使客户端设备发送断言到代理。
[0056]此外,提供了一种装置,包括:网络接口单元,网络接口单元被配置为通过网络发送和接收通信;以及处理器,其中处理器耦接到网络接口单元,并且被配置为:以响应于客户端设备的用户尝试发起与由服务供应商所管理的应用的用户会话所生成的认证请求为基础,基于从用户接收的凭证来生成认证响应,认证响应包括代表用户的断言;将断言的递送资源定位符重写为代理的资源定位符,从而将断言重定向到代理;向网络接口单元提供要被与代理的资源定位符一起发送到客户端设备的认证响应,从而使客户端设备发送断言到代理。
[0057]以上描述仅意在作为示例。可以对其做出各种修改和结构变化,而不脱离本文所述的概念的范围,并且落入权利要求的等同物的范围和范畴内。
【主权项】
1.一种方法,包括: 在响应于客户端设备的用户尝试发起与由服务供应商管理的应用的用户会话所生成的认证请求的基础上,基于从所述用户接收的凭证来生成认证响应,所述认证响应包括代表所述用户的断言; 将断言的递送资源定位符重写为代理的资源定位符,从而将所述断言重定向到所述代理;以及 将所述认证响应与所述代理的资源定位符一起发送到所述客户端设备,从而使所述客户端设备向所述代理发送所述断言,所述代理解码经重写的资源定位符并将所述断言发送至所述服务供应商。2.如权利要求1所述的方法,其中生成、重写和发送的操作由身份供应商来执行。3.如权利要求2所述的方法,还包括:所述身份供应商向所述代理认证所述用户会话。4.如权利要求2所述的方法,其中向所述代理认证所述用户会话包括:在所述身份供应商和所述代理之间共享会话cookie。5.如权利要求2所述的方法,其中认证包括:所述代理分析所述断言来确定所述用户会话是否被认证。6.如权利要求2所述的方法,还包括:所述身份供应商从所述客户端设备接收认证请求。7.如权利要求1所述的方法,其中重写包括:重写所述资源定位符以使得所述客户端设备经由所述代理来访问服务供应商web页面以及所链接的内容。8.如权利要求7所述的方法,其中重写以经由所述代理的访问被模糊化并且被嵌入在所述代理的资源定位符中的方式来执行。9.如权利要求1所述的方法,还包括:以也为所述代理所知的共享密文来加密所述断言,从而要求所述代理在将所述断言转发至所述服务供应商之前解密所述断言。10.如权利要求1所述的方法,还包括以下述方式来生成断言:该方式要求所述代理在所述断言能由所述服务供应商接受之前重写并重签所述断言。11.一种方法,包括: 在身份供应商处接收响应于客户端设备的用户尝试发起与由服务供应商管理的应用的用户会话而生成的认证请求; 基于从所述用户接收的凭证来生成认证响应,所述认证响应包括代表所述用户的断言; 将断言的递送资源定位符重写为代理的资源定位符,从而将所述断言重定向到所述代理;以及 将所述认证响应与所述代理的资源定位符一起发送到所述客户端设备,从而使所述客户端设备发送所述断言到所述代理。12.如权利要求11所述的方法,其中重写包括:重写所述资源定位符以使得所述客户端设备经由所述代理来访问服务供应商web页面以及所链接的内容。13.如权利要求12所述的方法,其中重写以经由所述代理的访问被模糊化的方式来执行。14.如权利要求13所述的方法,其中重写包括:重写所述代理的资源定位符。15.如权利要求11所述的方法,还包括:以也为所述代理所知的共享密文来加密所述断言,从而要求所述代理在将所述断言转发至所述服务供应商之前解密所述断言。16.—种装置,包括: 网络接口单元,所述网络接口单元被配置为通过网络发送和接收通信;以及 耦接到所述网络接口单元的处理器,其中所述处理器被配置为: 在响应于客户端设备的用户尝试发起与由服务供应商管理的应用的用户会话所生成的认证请求的基础上,基于从所述用户接收的凭证来生成认证响应,所述认证响应包括代表所述用户的断言; 将断言的递送资源定位符重写为代理的资源定位符,从而将所述断言重定向到所述代理;以及 向所述网络接口单元提供要被与所述代理的资源定位符一起发送到所述客户端设备的所述认证响应,从而使所述客户端设备发送所述断言到所述代理。17.如权利要求16所述的装置,其中所述处理器被配置为:重写所述资源定位符以使得所述客户端设备经由所述代理来访问服务供应商web页面以及所链接的内容。18.如权利要求17所述的装置,其中所述处理器被配置为:以经由所述代理的访问被模糊化并且被嵌入在所述代理的资源定位符中的方式来重写所述资源定位符。19.如权利要求16所述的装置,其中所述处理器被配置为:以也为所述代理所知的共享密文来加密所述断言。20.如权利要求16所述的装置,其中所述处理器被配置为以下述方式来生成断言:该方式要求所述代理在所述断言能由所述服务供应商接受之前重写并重签所述断言。
【文档编号】H04L29/06GK105917630SQ201580004656
【公开日】2016年8月31日
【申请日】2015年1月6日
【发明人】文森特·E·帕尔拉, 大卫·麦格鲁, 安德则耶·基尔巴辛斯基
【申请人】思科技术公司