主動聯(lián)合的移動認(rèn)證的制作方法
【專利說明】主動聯(lián)合的移動認(rèn)證
[0001] 背景
[0002] 許多企業(yè)為員工提供諸如企業(yè)資源規(guī)劃(ERP)和客戶關(guān)系管理(CRM)應(yīng)用之類的 后勤服務(wù)。這些應(yīng)用典型地使用并存儲諸如財務(wù)數(shù)據(jù)����、聯(lián)系信息��、以及人事檔案之類的機密 且專有的公司信息�����。企業(yè)將對這些應(yīng)用和相關(guān)聯(lián)的信息的訪問僅限于授權(quán)用戶�。
[0003] 當(dāng)用戶在場時�,企業(yè)能認(rèn)證通過企業(yè)網(wǎng)絡(luò)訪問后勤服務(wù)的用戶。然而���,當(dāng)用戶離場 時�����,就變得更難以認(rèn)證用戶以及以安全的方式提供服務(wù)���。為了保持安全性����,需要通過諸如智 能電話或平板之類的移動客戶端訪問后勤服務(wù)的用戶在被允許執(zhí)行由所述服務(wù)暴露的動 作之前必須被認(rèn)證為被授權(quán)。
[0004] 例如���,許多公司使用花費報告系統(tǒng)來為員工報銷他們?yōu)闃I(yè)務(wù)目的而產(chǎn)生的花費����, 以及使用時間報告系統(tǒng)來捕捉員工工時數(shù)。對員工而言�����,眾多挑戰(zhàn)之一是跟蹤為業(yè)務(wù)目的 而產(chǎn)生的各種花費以及在公司業(yè)務(wù)上工作的小時數(shù)���,尤其在花費是在員工遠(yuǎn)離他的或她的 計算機時產(chǎn)生的情況下���。在現(xiàn)有系統(tǒng)中,員工需要使用某種其他過程�����,例如保存紙質(zhì)收據(jù)以 及記錄工作的小時數(shù)��,以便保持對花費和時間的跟蹤���。那些花費然后被添加到花費報告���,而 時間條目被歸檔在計時卡上。
[0005] 概述
[0006] 提供概述以便以簡化形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一些概念的選 集。本概述并不旨在標(biāo)識所要求保護主題的關(guān)鍵特征或必要特征���,也不旨在用于限制所要 求保護主題的范圍��。
[0007] 為了作出受信任的web服務(wù)調(diào)用����,客戶端應(yīng)用發(fā)送一系列消息以獲得允許服務(wù)請 求傳遞通過服務(wù)中繼的安全令牌�����。用戶通過提供用戶憑證來獲得第一令牌��。第二令牌獲得 自確認(rèn)第一令牌的信任中介���。兩個令牌都隨服務(wù)請求被發(fā)送至服務(wù)中繼��。服務(wù)中繼確認(rèn)該 第二令牌并且然后將第一令牌和服務(wù)請求傳遞至連接器服務(wù)����。連接器服務(wù)確認(rèn)第一令牌并 且將服務(wù)請求傳遞至目標(biāo)后端服務(wù)���。連接器服務(wù)在與后端服務(wù)通信時充當(dāng)用戶。服務(wù)響應(yīng) 通過連接器服務(wù)和服務(wù)中繼被路由回用戶。
[0008] 例如����,在一實施例中,本發(fā)明幫助解決在雇員旅行或以其他方式遠(yuǎn)離其計算機時 捕捉已發(fā)生的費用和工作時間的問題���。移動電話應(yīng)用出于費用報告目的而捕捉關(guān)鍵的費用 信息和相關(guān)聯(lián)的收據(jù)�。也可以捕捉雇員時間條目�。費用(例如,收據(jù))和時間信息通過移 動電話數(shù)據(jù)連接被發(fā)送至公司的費用和時間報告系統(tǒng)�����。這幫助雇員在旅行或以其他方式遠(yuǎn) 離辦公室時容易地捕捉信息����,而無須保持跟蹤紙質(zhì)收據(jù)、現(xiàn)金付款金額或者遠(yuǎn)離辦公室的 工作時間���。
[0009] 附圖簡述
[0010] 為了進(jìn)一步闡明本發(fā)明的各實施例的以上和其他優(yōu)點和特征�,將參考附圖來呈現(xiàn) 本發(fā)明的各實施例的更具體的描述�。可以理解��,這些附圖只描繪本發(fā)明的典型實施例,因此 將不被認(rèn)為是對其范圍的限制���。本發(fā)明將通過使用附圖用附加特征和細(xì)節(jié)來描述和解釋����, 附圖中:
[0011] 圖1圖示了為移動設(shè)備提供將數(shù)據(jù)發(fā)送至后勤服務(wù)和從后勤服務(wù)接收數(shù)據(jù)的能 力的系統(tǒng)的各組件����。
[0012] 圖2圖示了在一實施例中的系統(tǒng)中的消息流程以允許移動設(shè)備與后勤服務(wù)通信。
[0013] 圖3圖示其中來自在線授權(quán)服務(wù)的令牌可用于確認(rèn)服務(wù)請求的示例系統(tǒng)����。
[0014] 圖4圖示不需要移動設(shè)備直接聯(lián)系身份提供者的替代的消息流程。
[0015] 圖5是圖示用于由移動設(shè)備獲得憑證以使web服務(wù)調(diào)用經(jīng)由服務(wù)中繼訪問企業(yè)服 務(wù)的方法或過程的流程圖��。
[0016] 圖6是圖示用于處理在企業(yè)網(wǎng)絡(luò)中的連接器服務(wù)處的服務(wù)請求的方法的流程圖�����。
[0017] 圖7解說了其上可以實現(xiàn)本發(fā)明各實施例的計算和聯(lián)網(wǎng)環(huán)境的示例����。
[0018] 詳細(xì)描述
[0019] 本發(fā)明的各實施例允許與web服務(wù)調(diào)用耦合的用戶身份信息從移動設(shè)備上的服 務(wù)客戶端(諸如客戶端軟件應(yīng)用)通過服務(wù)中繼流至后勤系統(tǒng)。
[0020] 圖1解說了向移動設(shè)備101 (諸如智能電話或平板)提供將數(shù)據(jù)發(fā)送至后勤服務(wù) 102 (諸如ERP或CRM系統(tǒng))和從后勤服務(wù)102接收數(shù)據(jù)的能力的系統(tǒng)的各組件���。后勤服務(wù) 102可以是企業(yè)網(wǎng)絡(luò)103中受防火墻104保護的一部分����。取代與后勤服務(wù)102直接通信���,移 動設(shè)備101通過全局可用的服務(wù)中繼105來發(fā)送服務(wù)請求����。使用服務(wù)中繼105避免了在企 業(yè)網(wǎng)絡(luò)103或后端服務(wù)102上提供公共端點的需要��。服務(wù)中繼105可以跨防火墻104通信 并且濾除不具有所需安全令牌的未授權(quán)話務(wù)��。
[0021] 身份提供者和安全令牌服務(wù)106用于聯(lián)合認(rèn)證并且用于提供憑證以認(rèn)證移動設(shè) 備101�����。身份提供者106和后勤服務(wù)102具有信任關(guān)系111�����。信任關(guān)系允許兩個實體加密 地驗證始發(fā)自任一實體的特定消息�。信任關(guān)系使用對稱的或非對稱的密鑰來向接收方實體 確認(rèn)所接收的消息的內(nèi)容尚未被篡改。身份提供者106可以將令牌連同一聲明提供至移動 設(shè)備101�����,所述聲明用于通過服務(wù)中繼105來認(rèn)證移動設(shè)備101所發(fā)送的服務(wù)請求。然而����, 服務(wù)中繼105本身與移動設(shè)備101或身份提供者106沒有關(guān)系并且不知道移動設(shè)備101或 身份提供者106,因此服務(wù)中繼105不會在沒有進(jìn)一步驗證的情況下就簡單地傳遞來自移 動設(shè)備101的服務(wù)請求和令牌。
[0022] 服務(wù)中繼105與在線授權(quán)服務(wù)107具有信任關(guān)系112�。服務(wù)中繼105和在線授權(quán) 服務(wù)107可以是例如云服務(wù)環(huán)境110的組件。在線授權(quán)服務(wù)107被適配成將用于認(rèn)證移動 設(shè)備101的令牌發(fā)放給服務(wù)中繼105�����。如果在線授權(quán)服務(wù)107也與身份提供者106具有信 任關(guān)系113,則來自身份提供者106的令牌將向后勤服務(wù)102和在線認(rèn)證服務(wù)107兩者認(rèn)證 移動設(shè)備101����。
[0023] 在服務(wù)中繼105上監(jiān)聽的服務(wù)從移動設(shè)備101接收請求108a,并且使用來自在線 授權(quán)服務(wù)107的令牌來驗證移動設(shè)備101的身份���。為了為后勤服務(wù)102提供附加的保護層 和靈活性���,服務(wù)中繼105不直接與后勤服務(wù)102通信。相反�����,經(jīng)認(rèn)證的服務(wù)請求108b被發(fā) 送至企業(yè)網(wǎng)絡(luò)103中的連接器服務(wù)109。然后����,連接器服務(wù)109將請求108c轉(zhuǎn)發(fā)至后勤服 務(wù) 102〇
[0024] 移動設(shè)備101可運行被適配成適合于設(shè)備所使用的操作系統(tǒng)和/或瀏覽器的客戶 端應(yīng)用���。在本文所例示的示例中����,移動設(shè)備101所采取的動作由客戶端應(yīng)用執(zhí)行或在客戶 端應(yīng)用的控制下執(zhí)行���?�?蛻舳藨?yīng)用被配置成與身份提供者106和在線授權(quán)服務(wù)107通信來 從安全令牌服務(wù)獲得合適的令牌�??蛻舳藨?yīng)用還與服務(wù)中繼105通信來交換服務(wù)請求/響 應(yīng)以及令牌。移動服務(wù)101可以是任何移動設(shè)備�����,諸如運行微軟撕Mdo著S·����、iOS或安卓操 作系統(tǒng)的智能電話或平板�?���?蛻舳藨?yīng)用不必在移動設(shè)備上。在其他實施例中��,客戶端應(yīng)用 可以是微軟.NET軟件應(yīng)用�、服務(wù)、網(wǎng)站���、或企業(yè)網(wǎng)絡(luò)103內(nèi)部或外部的能夠?qū)笄诜?wù)102 作出服務(wù)請求的任何固定或移動點���。
[0025] 圖2圖示了在一實施例中的系統(tǒng)中的消息流程以允許移動設(shè)備101與后勤服務(wù) 102通信。移動設(shè)備101首先向身份提供者106發(fā)送對安全令牌(RST)消息201的請求��。 請求201包括用戶憑