[go: up one dir, main page]

HK40029409A - Method for facilitating federated single sign-on (sso) for internal web applications - Google Patents

Method for facilitating federated single sign-on (sso) for internal web applications Download PDF

Info

Publication number
HK40029409A
HK40029409A HK42020019663.2A HK42020019663A HK40029409A HK 40029409 A HK40029409 A HK 40029409A HK 42020019663 A HK42020019663 A HK 42020019663A HK 40029409 A HK40029409 A HK 40029409A
Authority
HK
Hong Kong
Prior art keywords
user
authentication
received
access
client
Prior art date
Application number
HK42020019663.2A
Other languages
English (en)
French (fr)
Chinese (zh)
Other versions
HK40029409B (en
Inventor
Ravi Natarajan
Siarhei Miadzvezhanka
Original Assignee
F5, Inc.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by F5, Inc. filed Critical F5, Inc.
Publication of HK40029409A publication Critical patent/HK40029409A/en
Publication of HK40029409B publication Critical patent/HK40029409B/en

Links

Claims (15)

  1. Verfahren für ein föderiertes Single Sign-on, das durch eine oder mehrere sichere Proxy-Vorrichtungen realisiert wird, wobei das Verfahren umfasst, dass:
    ein Benutzer in Ansprechen auf eine Anforderung hinsichtlich eines Zugriffs auf eine Web-Anwendung, die von einem Client empfangen wird, authentifiziert wird, validiert wird, dass der authentifizierte Benutzer autorisiert ist, um auf die Web-Anwendung zuzugreifen, und nach der Validierung Sicherheitsattributdaten für den Benutzer erhalten werden;
    die empfangene Zugriffsanforderung an einen internen Anwendungsserver weitergeleitet wird, der die Web-Anwendung hostet, und in Ansprechen auf die weitergeleitete Zugriffsanforderung eine Authentifizierungsanforderung empfangen wird; und
    ein Single Sign-on-Token basierend auf den erhaltenen Sicherheitsattributdaten erzeugt wird und das erzeugte Single Sign-on-Token in Ansprechen auf die empfangene Authentifizierungsanforderung an den internen Anwendungsserver gesendet wird, um einen Zugriff auf die Web-Anwendung durch den Benutzer zu ermöglichen.
  2. Verfahren nach Anspruch 1, wobei die Zugriffsanforderung von dem Client über ein oder mehrere externe Kommunikationsnetze empfangen wird und über ein oder mehrere interne Kommunikationsnetze an den internen Anwendungsserver weitergeleitet wird.
  3. Verfahren nach Anspruch 1, das ferner umfasst, dass der Client an eine Identitätsanbietereinrichtung umgeleitet wird, die ausgestaltet ist, um Berechtigungsnachweise für den Benutzer zu sammeln, oder die Berechtigungsnachweise für den Benutzer, die aus der empfangenen Zugriffsanforderung extrahiert werden, an die Identitätsanbietereinrichtung gesendet werden, um die Authentifizierung des Benutzers zu ermöglichen.
  4. Verfahren nach Anspruch 1, wobei die Authentifizierungsanforderung von dem Client nach einer Umleitung des Clients für eine Authentifizierung durch den internen Anwendungsserver empfangen wird, und das Verfahren ferner umfasst, dass das Single Sign-on-Token basierend auf zumindest einem Teil der erhaltenen Sicherheitsattributdaten erzeugt wird.
  5. Verfahren nach Anspruch 1, das ferner umfasst, dass:
    basierend auf Inhalten der empfangenen Zugriffsanforderung, die Berechtigungsnachweise für den Benutzer umfassen, eine oder mehrere Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen initiiert werden;
    eine Antwort auf die Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen empfangen wird; und
    der Benutzer basierend auf der empfangenen Antwort auf die Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen authentifiziert oder validiert wird.
  6. Sichere Proxy-Vorrichtung, umfassend einen Speicher, der darauf gespeicherte programmierte Anweisungen umfasst, und einen oder mehrere Prozessoren, die ausgestaltet sind, um die gespeicherten programmierten Anweisungen ausführen zu können, um:
    einen Benutzer in Ansprechen auf eine Anforderung hinsichtlich eines Zugriffs auf eine Web-Anwendung, die von einem Client empfangen wird, zu authentifizieren, zu validieren, dass der authentifizierte Benutzer autorisiert ist, um auf die Web-Anwendung zuzugreifen, und nach der Validierung Sicherheitsattributdaten für den Benutzer zu erhalten;
    die empfangene Zugriffsanforderung an einen internen Anwendungsserver, der die Web-Anwendung hostet, weiterzuleiten und in Ansprechenauf die weitergeleitete Zugriffsanforderung eine Authentifizierungsanforderung zu empfangen; und
    ein Single Sign-on-Token basierend auf den erhaltenen Sicherheitsattributdaten zu erzeugen und das erzeugte Single Sign-on-Token in Ansprechen auf die empfangene Authentifizierungsanforderung an den internen Anwendungsserver zu senden, um einen Zugriff auf die Web-Anwendung durch den Benutzer zu ermöglichen.
  7. Sichere Proxy-Vorrichtung nach Anspruch 6, wobei die Zugriffsanforderung von dem Client über ein oder mehrere externe Kommunikationsnetze empfangen wird und über ein oder mehrere interne Kommunikationsnetze an den internen Anwendungsserver weitergeleitet wird.
  8. Sichere Proxy-Vorrichtung nach Anspruch 6, wobei die Prozessoren ferner ausgestaltet sind, um die gespeicherten programmierten Anweisungen ausführen zu können, um den Client an eine Identitätsanbietereinrichtung umzuleiten, die ausgestaltet ist, um Berechtigungsnachweise für den Benutzer zu sammeln, oder die Berechtigungsnachweise für den Benutzer, die aus der empfangenen Zugriffsanforderung extrahiert werden, an die Identitätsanbietereinrichtung zu senden, um die Authentifizierung des Benutzers zu ermöglichen.
  9. Sichere Proxy-Vorrichtung nach Anspruch 6, wobei die Authentifizierungsanforderung von dem Client nach einer Umleitung des Clients für eine Authentifizierung durch den internen Anwendungsserver empfangen wird, und die Prozessoren ferner ausgestaltet sind, um die gespeicherten programmierten Anweisungen ausführen zu können, um das Single Sign-on-Token basierend auf zumindest einem Teil der erhaltenen Sicherheitsattributdaten zu erzeugen.
  10. Sichere Proxy-Vorrichtung nach Anspruch 6, wobei die Prozessoren ferner ausgestaltet sind, um die gespeicherten programmierten Anweisungen ausführen zu können, um:
    basierend auf Inhalten der empfangenen Zugriffsanforderung, die Berechtigungsnachweise für den Benutzer umfassen, eine oder mehrere Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen zu initiieren;
    eine Antwort auf die Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen zu empfangen; und
    den Benutzer basierend auf der empfangenen Antwort auf die Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen zu authentifizieren oder zu validieren.
  11. Nichttransitorisches von einem Computer lesbares Medium mit darauf gespeicherten Anweisungen für ein föderiertes Single Sign-on, die ausführbaren Code umfassen, der bei einer Ausführung durch einen oder mehrere Prozessoren einer oder mehrerer sicherer Proxy-Vorrichtungen bewirkt, dass die Prozessoren:
    einen Benutzer in Ansprechen auf eine Anforderung hinsichtlich eines Zugriffs auf eine Web-Anwendung, die von einem Client empfangen wird, authentifizieren, validieren, dass der authentifizierte Benutzer autorisiert ist, um auf die Web-Anwendung zuzugreifen, und nach der Validierung Sicherheitsattributdaten für den Benutzer erhalten;
    die empfangene Zugriffsanforderung an einen internen Anwendungsserver, der die Web-Anwendung hostet, weiterleiten und in Ansprechen auf die weitergeleitete Zugriffsanforderung eine Authentifizierungsanforderung empfangen; und
    ein Single Sign-on-Token basierend auf den erhaltenen Sicherheitsattributdaten erzeugen und das erzeugte Single Sign-on-Token in Ansprechen auf die empfangene Authentifizierungsanforderung an den internen Anwendungsserver senden, um einen Zugriff auf die Web-Anwendung durch den Benutzer zu ermöglichen.
  12. Nichttransitorisches von einem Computer lesbares Medium nach Anspruch 11, wobei die Zugriffsanforderung von dem Client über ein oder mehrere externe Kommunikationsnetze empfangen wird und über ein oder mehrere interne Kommunikationsnetze an den internen Anwendungsserver weitergeleitet wird.
  13. Nichttransitorisches von einem Computer lesbares Medium nach Anspruch 11, wobei der ausführbare Code, wenn er durch die Prozessoren ausgeführt wird, ferner bewirkt, dass die Prozessoren den Client an eine Identitätsanbietereinrichtung umleiten, die ausgestaltet ist, um Berechtigungsnachweise für den Benutzer zu sammeln, oder die Berechtigungsnachweise für den Benutzer, die aus der empfangenen Zugriffsanforderung extrahiert werden, an die Identitätsanbietereinrichtung senden, um die Authentifizierung des Benutzers zu ermöglichen.
  14. Nichttransitorisches von einem Computer lesbares Medium nach Anspruch 11, wobei die Authentifizierungsanforderung von dem Client nach einer Umleitung des Clients für eine Authentifizierung durch den internen Anwendungsserver empfangen wird, und der ausführbare Code, wenn er durch die Prozessoren ausgeführt wird, ferner bewirkt, dass die Prozessoren das Single Sign-on-Token basierend auf zumindest einem Teil der erhaltenen Sicherheitsattributdaten erzeugen.
  15. Nichttransitorisches von einem Computer lesbares Medium nach Anspruch 11, wobei der ausführbare Code bei einer Ausführung durch die Prozessoren ferner bewirkt, dass die Prozessoren:
    basierend auf Inhalten der empfangenen Zugriffsanforderung, die Berechtigungsnachweise für den Benutzer umfassen, eine oder mehrere Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen initiieren;
    eine Antwort auf die Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen empfangen; und
    den Benutzer basierend auf der empfangenen Antwort auf die Authentifizierungs-, Autorisierungs- und Abrechnungsabfragen authentifizieren oder validieren.
HK42020019663.2A 2019-02-07 2020-11-06 Method for facilitating federated single sign-on (sso) for internal web applications HK40029409B (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US201962802289P 2019-02-07

Publications (2)

Publication Number Publication Date
HK40029409A true HK40029409A (en) 2021-02-19
HK40029409B HK40029409B (en) 2022-04-01

Family

ID=

Similar Documents

Publication Publication Date Title
EP3694185B1 (de) Verfahren zur erleichterung des föderierten single-sign-on (sso) für interne web-anwendungen
US10972453B1 (en) Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US9356928B2 (en) Mechanisms to use network session identifiers for software-as-a-service authentication
US10050792B1 (en) Providing cross site request forgery protection at an edge server
US7860883B2 (en) Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments
US9338165B2 (en) Common internet file system proxy authentication of multiple servers
US10320771B2 (en) Single sign-on framework for browser-based applications and native applications
US11063927B1 (en) Identity-aware application load balancer
US10484357B1 (en) Method and apparatus for federated single sign on using authentication broker
JP6875482B2 (ja) レガシー統合のためのコンピュータ読み取り可能な記憶媒体ならびにそれを使用するための方法およびシステム
US10911485B2 (en) Providing cross site request forgery protection at an edge server
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
JP2024506915A (ja) ゼロ信頼認証
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof
US12199970B2 (en) Cryptographic binding of native application and external browser sessions
US11870767B1 (en) Methods for providing adaptive authentication for federated environment and devices thereof
JP2004355619A (ja) 信頼範囲外の所与の外部接続によって複数のソースからの通信を行うことができるプロトコル・ベースの信頼範囲内の分散認証
US10791119B1 (en) Methods for temporal password injection and devices thereof
US11323426B2 (en) Method to identify users behind a shared VPN tunnel
US10834065B1 (en) Methods for SSL protected NTLM re-authentication and devices thereof
US20200053059A1 (en) Secure Method to Replicate On-Premise Secrets in a Cloud Environment
US20210099288A1 (en) Key-based security for cloud services
He et al. On one-time cookies protocol based on one-time password: J. He et al.
HK40029409A (en) Method for facilitating federated single sign-on (sso) for internal web applications
HK40029409B (en) Method for facilitating federated single sign-on (sso) for internal web applications