引第一服務(wù)(304)可向客戶端(302)發(fā)送包括經(jīng)簽名的附加信息（370)(例如，用戶身 份令牌)和證明令牌(360)的消息W及將該消息轉(zhuǎn)發(fā)到第二服務(wù)(306)(例如，作為重定向消 息）的指令。運(yùn)個(gè)消息的主體可包括針對(duì)用戶身份令牌的字段W及針對(duì)證明令牌的字段。
[0059] W下是證明令牌和身份令牌的內(nèi)容的一個(gè)示例，但是可W使用針對(duì)運(yùn)種內(nèi)容的各 種不同格式中的任一種，其中各字段如在W上被討論，并且"alg"字段是簽名算法標(biāo)識(shí)字 段，"x5t"字段包括證明密鑰，并且"prf"字段包括證明令牌：
[0060] 巧白油T她en contents (證明令牌內(nèi)容） { "明)":JWT "alg":RS256 "x5t":CC-CF-D8-41-0F-A0-17-DD-91-￡C-AA-AB-CB-95-4F-DE-94-El-4€-ED } { "aud" ;0002/*.fi rstserv ice.com^ * ，'iss":00()3@.1234-2 巧 2 "iibf": 1366053429 "exp" :2013-04-16 19:17:0% {4/16/2013 12:17:09 PM)- 1366139829 "prf，:wd4eXqy5qtxH9TzwG4dDnt5EYTT 泌+v25EzeZcN7sV3dTc/iidNYinv9CFgi -IQg3LnXTlxc5xzlc/cKswzt4+dKU3wGSK8jiiUTKAF/rStNs75vvo+VreX/pLpUtZ 9KYYKpkd 檐 oOlD啟拉：23LG〇e4eMTe7DeQ滯 dcZWWi+ffjYzGyAbtRXJCM 紀(jì)qdc 5ypj9Tc.lG7AZEGADi-4tc5ZF8Nu 十 b/xqKMG9aZb7LyGlpPZqKfSPfCuR 化 mHlV2 SbmIiSPMflYRlrUgK27tBV/S4szJI?：XBKrii? 7.4ccNnqct8!.51 Ty14ir()3vMh3NdI；IB '8vuwZ|3N6〇 I wi.k巧 21 hkafXs AR I KObSvw== ] identity Token contents (身份令牌內(nèi)容）
[0061] { "typ":JWT "alg":IIS256 } { "aud";0002/seconciservice.com(?： 1234-2232 "i 描":0003@1234-2232 |，nbi-":2013-04,15 19:17:09Z； (4/15/2013 12:17:09 PM)- 1366053429 ''exp "-2013-04-16： 19:17:0貓（4Z16Z2013 12:17:0 夢(mèng) PM)- I 366139829 '，upn": "f'oo(渾 coMoso.com" "narneid": 1234567890 "n i i": urn: serv i cegroup :federat,i on "snniyi:"fooSMTP(婪contoso.com" "S i P ":" C Ibo S i P (? COi I to so. co m" "isusef"':tni6 }
[0062] 如指令的，客戶端(302)可將具有證明令牌(360)和經(jīng)簽名的附加信息（370)的消 息發(fā)送到第二服務(wù)(306)。作為響應(yīng)，第二服務(wù)(306)可解析并證實(shí)在該消息中接收到的信 息。例如，第二服務(wù)(306)可執(zhí)行W下：（1)證實(shí)證明令牌的簽名；（2)解密證明令牌；（3)證實(shí) 證明令牌的期滿；（4)從證明令牌中提取對(duì)稱密鑰；（5)使用該對(duì)稱密鑰來證實(shí)用戶身份令 牌上的簽名；（6)驗(yàn)證用戶身份令牌的期滿；W及(7)證實(shí)受眾（"aucr)聲明，諸如其中格式 是<日99-1(1〉/<11〇31：]1日111日〉@如日日1111(領(lǐng)域）〉并且預(yù)期值是：<app-id〉==第二服務(wù)的主id; < hostname〉==該令牌被發(fā)送到的U化的主機(jī)名；并且〈realm〉==當(dāng)前第一服務(wù)承租人的 ID(如果存在的話，其可被證實(shí)）。
[0063] 第二服務(wù)(306)可使用身份令牌中的信息來執(zhí)行到第二服務(wù)的對(duì)應(yīng)簡(jiǎn)檔的映射， 使得第二服務(wù)的簡(jiǎn)檔可被授權(quán)來使用第二服務(wù)(306)。例如，第二服務(wù)(306)可執(zhí)行W下：
[0064] 如果 name id 存在則檢查nii值，如果 nii值匹配urn: servi cegroup: federation 值 (指示聯(lián)合服務(wù)組的值），則nameid中的值是用戶的PUID。針對(duì)用戶簡(jiǎn)檔的第二服務(wù)的數(shù)據(jù) 庫(kù)來嘗試映射nameid。
[0065] 如果沒有找到運(yùn)樣的映射，則從令牌中取得Sm化聲明（如果存在的話）。針對(duì)用戶 簡(jiǎn)檔的第二服務(wù)的數(shù)據(jù)庫(kù)來嘗試映射Sm化聲明。
[0066] 如果Sm化聲明沒被找到并且如果upn存在，則作出對(duì)身份提供者(308)的調(diào)用來取 得簡(jiǎn)檔的電子郵件別名。如果它們中沒有一者映射到用戶簡(jiǎn)檔的第二服務(wù)的數(shù)據(jù)庫(kù)，則通 過客戶端(302)來提示用戶。
[0067]只要在第二服務(wù)(306)中找到對(duì)現(xiàn)有簡(jiǎn)檔的映射，則將簡(jiǎn)檔的PUID添加到第二服 務(wù)(306)的映射表，并向客戶端(302)發(fā)送顯示該主題簡(jiǎn)檔被授權(quán)使用第二服務(wù)(306)的響 應(yīng)。例如，響應(yīng)(380)可包括發(fā)送包括和/或列出由第二服務(wù)(306)提供的特征的網(wǎng)頁。運(yùn)樣 的網(wǎng)頁可被客戶端(302)顯示。
[006引B.用于通過被動(dòng)客戶端在各服務(wù)之間在會(huì)話令牌中安全地發(fā)送信息的方法
[0069] 本章節(jié)中討論的示例方法可被用于通過被動(dòng)客戶端在兩個(gè)服務(wù)之間在會(huì)話令牌 中安全地發(fā)送信息。參考圖5的調(diào)用流程圖，運(yùn)個(gè)方法設(shè)及客戶端(502)、第一服務(wù)(504)和 第二服務(wù)巧06)之間的通信。除非在本章節(jié)中另外說明，各通信的格式可與如在先前章節(jié)中 討論的方法中的格式相同、或某個(gè)其他格式。在該示例中，第二服務(wù)選擇(550)可由客戶端 (502)發(fā)送到第一服務(wù)(504)。例如，客戶端(502)可響應(yīng)于由客戶端(502)的用戶提供的用 戶輸入來發(fā)送第二服務(wù)選擇（550)。替代地，運(yùn)個(gè)方法可在第一服務(wù)（504)沒有從客戶端 (502)接收到運(yùn)一第二服務(wù)選擇(550)的情況下被執(zhí)行。第一服務(wù)(504)可向第二服務(wù)發(fā)送 會(huì)話令牌請(qǐng)求（555)。例如，會(huì)話令牌請(qǐng)求（555)可標(biāo)識(shí)要通過客戶端（502)從第一服務(wù) (504)發(fā)送到第二服務(wù)（506)的信息。例如，會(huì)話令牌請(qǐng)求可標(biāo)識(shí)被授權(quán)來使用第一服務(wù) (504)并且其身份要被委派到第二服務(wù)巧06)的用戶簡(jiǎn)檔，使得針對(duì)第二服務(wù)的對(duì)應(yīng)的用戶 簡(jiǎn)檔(或同一用戶簡(jiǎn)檔)也可被授權(quán)來使用第二服務(wù)(506)。
[0070] 作為響應(yīng)，第二服務(wù)可將所請(qǐng)求的信息包括在會(huì)話令牌(560)中，并可加密該會(huì)話 令牌(560)。具有該信息的會(huì)話令牌(560)可從第二服務(wù)(506)發(fā)送到第一服務(wù)(504)。第一 服務(wù)(504)可將會(huì)話令牌(560) W及將會(huì)話令牌(560)轉(zhuǎn)發(fā)到第二服務(wù)(506)的指令轉(zhuǎn)發(fā)到 客戶端(502)(例如，通過包括具有重定向消息的會(huì)話令牌）。客戶端(502)可通過將會(huì)話令 牌(560)如指令的那樣轉(zhuǎn)發(fā)到第二服務(wù)(506)來對(duì)運(yùn)些指令進(jìn)行響應(yīng)。第二服務(wù)(506)可處 理會(huì)話令牌(560)，并可向客戶端(502)提供響應(yīng)(580)。
[0071] 本文中討論的方法的多個(gè)不同的變型可被使用。例如，會(huì)話令牌可被用于通過被 動(dòng)客戶端在各服務(wù)之間傳遞除了身份委派信息之外的信息。并且，各種不同的加密方案、簽 名方案等可被用于確保所發(fā)送的信息在各服務(wù)之間沒有在途中被篡改和/或運(yùn)樣的篡改可 被檢測(cè)。
[0072] IV.用于通過被動(dòng)客戶端發(fā)送會(huì)話令牌的技術(shù)
[0073] 現(xiàn)在將討論用于通過被動(dòng)客戶端發(fā)送會(huì)話令牌的若干技術(shù)?？蒞在計(jì)算環(huán)境中執(zhí) 行運(yùn)些技術(shù)中的每一個(gè)。例如，可在包括至少一個(gè)處理器和存儲(chǔ)器的計(jì)算機(jī)系統(tǒng)中執(zhí)行每 種技術(shù)，該存儲(chǔ)器包括存儲(chǔ)于其上的、在由該至少一個(gè)處理器執(zhí)行時(shí)使該至少一個(gè)處理器 執(zhí)行該技術(shù)的指令(存儲(chǔ)器存儲(chǔ)指令(例如，對(duì)象代碼），并且當(dāng)處理器執(zhí)行運(yùn)些指令時(shí)，處 理器執(zhí)行該技術(shù)）。類似地，一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可具有收錄于其上的計(jì)算機(jī)可 執(zhí)行指令，該些指令在由至少一個(gè)處理器執(zhí)行時(shí)使該至少一個(gè)處理器執(zhí)行該技術(shù)。W下討 論的技術(shù)可至少部分通過硬件邏輯來執(zhí)行。
[0074] 參考圖6,將討論用于通過被動(dòng)客戶端來發(fā)送會(huì)話令牌的技術(shù)。該技術(shù)可包括第一 計(jì)算服務(wù)向第二計(jì)算服務(wù)請(qǐng)求(610)會(huì)話令牌。第一計(jì)算服務(wù)可從第二計(jì)算服務(wù)接收(620) 所請(qǐng)求的會(huì)話令牌。第一計(jì)算服務(wù)可通過被動(dòng)客戶端向第二計(jì)算服務(wù)發(fā)送(630)包括該會(huì) 話令牌的消息。
[0075] 該會(huì)話令牌可W是證明令牌，并且第一計(jì)算服務(wù)也可接收具有證明令牌的證明密 鑰。該技術(shù)還可包括第一計(jì)算服務(wù)用證明密鑰來對(duì)一組附加數(shù)據(jù)進(jìn)行簽名并將該組附加數(shù) 據(jù)包括在包括證明令牌的消息中。該組附加數(shù)據(jù)可被稱為第一組附加數(shù)據(jù)并且包括證明令 牌的消息可被稱為第一消息。該技術(shù)還可包括第一計(jì)算服務(wù)用證明令牌來對(duì)第二組附加數(shù) 據(jù)進(jìn)行簽名。該技術(shù)還可包括將該第二組附加數(shù)據(jù)包括在第二消息中。第二消息可包括證 明