使用传统协议向传统客户端传达状态信息的制作方法

使用传统协议向传统客户端传达状态信息的制作方法
【专利说明】使用传统协议向传统客户端传达状态信息
[0001]背景
[0002]许多应用和服务依赖于用户名和密码来认证用户。可在每次用户登录时请求用户输入其凭证。有时存储该用户的凭证。一些应用使用令牌代表用户访问第二应用。例如，第一应用(被称为“依赖方”因为该应用依赖另一实体来认证用户)可向身份提供方呈现用户的凭证。响应于成功认证，身份提供方随后可向第一应用发送令牌，该第一应用可使用该令牌来代表用户访问第二应用。第二应用频繁地更新客户端应用或设备上的信息(例如，数据文件)。根据一组规则来确保位于两个或更多个位置的计算机文件被更新被称为同步(synchronizing或“syncing”)。例如，当智能电话应用访问在线电子邮件提供方时，使用户的收件箱与该电子邮件提供方针对该用户的收件箱同步，例如通过在智能电话上接收用户的新电子邮件。
[0003]当用户账户被锁定时，应用和设备停止同步(即，数据文件不被更新)。继续上述智能电话示例，用户不接收其新电子邮件。通常，用户必须采取一个或多个动作来重新启用同步。在采取这些动作之前，用户必须首先执行其他任务，诸如提供其身份。已设计出多项测试来尝试确认用户是他所宣称的人。作为许多示例之一，验证码(captcha)是一种类型的质询-响应测试，其尝试确保响应是真正由人生成的。另一种类型的测试请求用户通过提供简档信息来提供辅助身份证据，所述简档信息诸如是生日或对问题的与用户先前提供并由系统保存的答案相一致的答案。又一种类型的测试请求用户提供被发送至该用户先前提供并由系统保存的电子邮件地址或移动电话号码的一次性码。当用户能够成功通过向其呈现的任何测试时，账户被解锁。在重新启用同步之前可请求其他用户动作(诸如更新密码)。
[0004]现有同步机制可包括用来同步文件的程序和该同步程序所使用的协议。应用和设备之间的一些通信依赖于不支持富故障消息收发的传统协议。缺乏富故障消息收发的协议的示例包括但不限于:P0P、IMAP、Exchange Active Sync以及例如用于嵌入到智能电话中的电子邮件应用、智能电话认证以及游戏控制台认证的某些富客户端接口。这些传统客户端-服务器通信协议不提供对标识故障起因的内建支持。当用户的账户出现问题时，使用这些传统协议之一的应用或设备可仅提供一般性错误消息，诸如“无法同步”，而不向用户给出关于问题是什么或可以如何解决问题(补救)的任何信息。即使现有机制使用能够进行富故障消息收发的协议，使用富故障消息收发协议的程序可能不利用其能力。
[0005]概述
[0006]当账户或设备处于阻止更新客户端设备上的用户数据文件的正常完全同步的交替或锁定状态中时，身份管理平台可向该应用服务器提供使得该应用服务器能够侵占现有同步机制以向该客户端发送人类可读消息、机器可读消息或人类可读及机器可读消息的信息。该消息可以是通知消息而不是更新客户端设备上的数据文件的正常同步。而是，描述该客户端为何处于交替状态的显式消息可在该通知消息中被提供至该用户。补救指令可在该通知消息中被提供至该用户。可基于机器可读消息来自动执行一些补救动作(而无需用户输入)。因为采用现有同步机制，所以不需要对客户端应用或对该客户端应用使用的协议做出改变。从客户端的角度，由该客户端从该应用服务器接收的消息无法与由该客户端应用接收的正常同步消息相区分并且使用由更新用户数据文件的正常同步消息所使用的现有协议。
[0007]当该应用服务器是依赖方时，从身份提供方所接收到的现有响应可被扩充以包括错误响应，该错误响应指示认证凭证评价成功但是客户端应用处于交替状态。该应用服务器所接收的响应可包括关于认证为何没有成功的细节。来自身份提供方的响应可包括在认证可成功之前必须采取的一个或多个用户动作。可提供关于该锁定状态的原因以及必须由该应用服务器采取的动作的性质的信息。身份提供方可向该应用服务器提供关于任选或非任选中断状态的信息。任选中断状态允许该应用服务器选择是否改变(例如，中断)该用户的认证流的选项。非任选中断状态指导该应用服务器改变(例如中断)该用户的认证流。
[0008]在正常同步不会发生的情况下，该应用服务器可向该客户端应用发送通知同步事件，该通知同步事件允许有限同步行为。可在无需改变客户端应用或所使用的协议的情况下发送通知事件。提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征，也不旨在用于限制所要求保护主题的范围。
[0009]附图简述
[0010]在附图中:
[0011]图1解说了根据本文描述的主题的各方面的使用传统协议向传统客户端传达状态信息的系统100的示例；
[0012]图2a解说了根据本文公开的主题的各方面的使用传统协议向传统客户端传达状态信息的方法200的示例；
[0013]图2b解说了根据本文公开的主题的各方面的使用传统协议向传统客户端传达状态信息的方法201的另一示例；以及
[0014]图3是根据本文公开的主题的各方面的计算环境的示例的框图。
[0015]详细描述
[0016]概述
[0017]在计算中，对服务的访问常由认证规程来控制，该认证规程在向用户准许针对该用户的身份建立的特权之前建立该身份。传统上，认证是基于包括用户名和密码的凭证的。如果用户提供了用户名和密码的正确组合，则对服务的访问被准许。传统协议和传统客户端(设备或应用)一般提供对这种非黑即白(black-and-white)式认证方法的支持。
[0018]一种更复杂的认证方法识别认证过程中的灰度。即，在认为认证成功之前，除了评价用户凭证评价之外，还评价其他因素(例如，用户账户状态)。例如，假定用户出示了正确的凭证(例如，提供了正确的用户名和密码所以用户凭证评价成功)但是请求不符合过去的使用模式。例如，该请求可来自对该用户而言未识别的地理区域(例如，常驻美国的用户访问来自亚洲的服务)。这可能意味着某人已偷取了该用户的凭证。对未能遵循过去使用模式的当前处理可能导致该账户被置于软阻挡模式，该软阻挡模式触发对至该用户的设备的富信令的需要。相对而言，如本领域已知的传统客户端或使用传统协议的客户端可能无法对未能遵循过去使用模式做出反应并可能简单地认证该用户。根据本文描述的主题的各方面，通过生成以下新同步事件在不改变客户端或协议的情况下克服了传统客户端和/或传统协议的限制:该新同步事件对客户端而言看上去就像是正常同步事件，但实际上是向客户端或向用户提供关于认证过程的附加信息的通知同步事件。该通知同步事件可以是推送事件。
[0019]当认证失败时，传统客户端或使用传统协议的客户端可生成至用户的一般性错误消息，诸如“不能同步”。该一般性错误消息通常不提供足够的信息以使得用户能可靠地断定问题是什么以及如何解决该问题。更丰富的体验将包括提供显式错误消息(例如“因为您的密码今天早上期满了，所以您电子邮件不能同步”)和补救能力(例如，“现在点击〈此处〉来更新您的密码”)的通知。提供更丰富的故障消息收发可能是困难的，因为端点(应用或设备)不支持富错误消息收发能力并且不受服务提供方的控制和/或因为客户端(例如，应用或设备)依赖于不支持富错误消息收发能力并且不能被服务提供方改变的传统协议。
[0020]根据本文公开的主题的各方面，可通过生成以下新同步事件来在不改变客户端应用或协议的情况下提供针对传统客户端应用或使用传统协议的客户端应用的富故障消息收发体验:该新同步事件对客户端而言看上去就像是正常同步事件，但实际上是向客户端或向用户提供关于认证失败的附加信息的通知同步事件。该通知同步事件可以是推送事件。
[0021]客户端和服务器之间的通知同步事件可由身份管理平台(例如，身份提供方)或安全令牌服务(一种颁发认证和/或授权令牌的身份管理平台)和同步至客户端的应用服务器之间的协调驱动。身份提供方可向依赖方应用服务器或向客户端提供响应，其中该响应被扩充以包括指示附加认证评价信息的错误响应。例如，附加认证评价信息可包括指示认证凭证评价成功但是在认证能够成功之前需要用户动作的信息。
[0022]身份提供方可向依赖方应用服务器或向客户端提供信息，该信息被扩充以包括向依赖方应用服务器提供改变(例如中断)用户的授权流的能力的中断状态。中断状态可以是任选或非任选的。对于非任选的中断状态，身份提供方可向依赖方应用服务器提供足够的信息来改变授权流。对于任选中断状态，身份提供方可向依赖方应用服务器提供足够的信息来选择是否改变用户的授权流以及如何处理中断和相关联的已改变授权流。中断状态可应用于整个用户账户，或应用于特定会话(例如，设备/用户/位置是不熟悉的组合)。
[0023]可通过启用受限同步行为来更改授权流。受限同步行为可以是生成通知同步事件。通知同步事件可提供故障通知(问题是什么)和/或补救信息(如何解决问题)。常规同步事件和通知同步事件之间的差异对客户端透明，以使得不需要对客户端做出改变。因为对客户端或对协议不做改变，本文描述的主题适用于在各种上下文中使用，所述上下文包括但不限于:对包括但不限于计算机、平板、智能电话等的任何计算设备上的电子邮件应用、商务行业应用或其他应用的访问。
[