利用目前可用于設(shè)計(jì)計(jì)算與通信系統(tǒng)的各種高速發(fā)展的方法，很多用戶(hù)可能需要訪(fǎng)問(wèn)用于托管系統(tǒng)的一個(gè)或多個(gè)服務(wù)的服務(wù)器，為了測(cè)試、升級(jí)、調(diào)試、開(kāi)發(fā)、部署和/或維護(hù)這些服務(wù)器的目的。然而，用戶(hù)的增加也會(huì)伴隨著用戶(hù)賬戶(hù)、訪(fǎng)問(wèn)水平和關(guān)聯(lián)的安全風(fēng)險(xiǎn)的增加。

技術(shù)實(shí)現(xiàn)要素：

下面提供了簡(jiǎn)要的發(fā)明內(nèi)容，以便于提供對(duì)本文所描述的一些新穎實(shí)施例的基本理解。該發(fā)明內(nèi)容不是泛泛的概覽，也不旨在確定主要/關(guān)鍵元素或者界定其范圍。其唯一的用途是以簡(jiǎn)化的形式呈現(xiàn)一些概念作為后面呈現(xiàn)的更詳細(xì)說(shuō)明的前序。

各個(gè)實(shí)施例總體上涉及到通過(guò)利用機(jī)器生成的認(rèn)證令牌來(lái)操作服務(wù)以增強(qiáng)網(wǎng)絡(luò)安全性的技術(shù)。一些實(shí)施例特別地涉及到用于管理與一個(gè)或多個(gè)服務(wù)賬戶(hù)相關(guān)聯(lián)的認(rèn)證令牌的技術(shù)。

在一個(gè)實(shí)施例中，例如，一種裝置可以包括：處理器電路；以及由處理器電路執(zhí)行的服務(wù)器應(yīng)用。服務(wù)器應(yīng)用可以包括管理組件，該管理組件至少部分地基于與客戶(hù)的第一賬戶(hù)相關(guān)聯(lián)的客戶(hù)認(rèn)證信息來(lái)建立與客戶(hù)端設(shè)備的安全連接，接收對(duì)與客戶(hù)的第一賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)賬戶(hù)的賬戶(hù)信息的請(qǐng)求，經(jīng)由客戶(hù)端設(shè)備將與第一賬戶(hù)相關(guān)聯(lián)的第二賬戶(hù)的賬戶(hù)信息提供給客戶(hù)，接收生成第二賬戶(hù)的認(rèn)證令牌的請(qǐng)求，以及基于與所述客戶(hù)相關(guān)聯(lián)的所述客戶(hù)認(rèn)證信息來(lái)驗(yàn)證生成所述認(rèn)證令牌的所述請(qǐng)求。服務(wù)器應(yīng)用還可以包括：令牌生成組件，其用于生成第二賬戶(hù)的認(rèn)證令牌；以及通知組件，其用于在安全的連接上經(jīng)由客戶(hù)端設(shè)備將認(rèn)證令牌提供給客戶(hù)以便客戶(hù)使用。描述了其它實(shí)施例并要求保護(hù)。

為了實(shí)現(xiàn)上述目的以及相關(guān)的目的，本文結(jié)合下面的說(shuō)明書(shū)和附圖闡述了一些示例性的方面。這些方面表明可以實(shí)現(xiàn)本文公開(kāi)的原理的各種方式，并且所有方面及等同物旨在落入所要求保護(hù)的主題的范圍內(nèi)。其它優(yōu)點(diǎn)和新穎特征將根據(jù)以下結(jié)合附圖考慮的具體實(shí)施方式而變得顯而易見(jiàn)。

附圖說(shuō)明

圖1示出了用于服務(wù)賬戶(hù)的認(rèn)證令牌管理系統(tǒng)的示例。

圖2示出了用于管理服務(wù)賬戶(hù)的認(rèn)證令牌的認(rèn)證令牌管理系統(tǒng)的用戶(hù)接口視圖的示例。

圖3A示出了接收對(duì)與客戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)的請(qǐng)求的認(rèn)證令牌管理應(yīng)用的邏輯流程的示例。

圖3B示出了接收對(duì)生成用于服務(wù)賬戶(hù)的認(rèn)證令牌的請(qǐng)求的認(rèn)證令牌管理應(yīng)用的邏輯流程的示例。

圖3C示出了用于令牌管理代理應(yīng)用的邏輯流程的示例。

圖3D示出了請(qǐng)求相關(guān)聯(lián)的服務(wù)賬戶(hù)以及請(qǐng)求相關(guān)聯(lián)的服務(wù)賬戶(hù)的認(rèn)證令牌的生成的客戶(hù)端設(shè)備的邏輯流程的示例。

圖4示出了計(jì)算體系結(jié)構(gòu)的示例。

具體實(shí)施方式

各個(gè)實(shí)施例總體上涉及提供對(duì)用于一個(gè)或多個(gè)賬戶(hù)的認(rèn)證令牌的管理的認(rèn)證令牌管理系統(tǒng)。通過(guò)使用認(rèn)證令牌管理系統(tǒng)來(lái)生成認(rèn)證令牌(例如，口令、密碼、密鑰、個(gè)人標(biāo)識(shí)號(hào)(PIN)、加密令牌等)來(lái)替代用于電子系統(tǒng)的一些或全部賬戶(hù)的全部人類(lèi)創(chuàng)建的認(rèn)證令牌，電子系統(tǒng)的安全性和隱私性可得到大幅提升。為了實(shí)現(xiàn)這些以及其它的改進(jìn)，認(rèn)證令牌管理系統(tǒng)通?？刹贾贸苫诙嘁蛩卣J(rèn)證協(xié)議(例如，使用智能卡和關(guān)聯(lián)PIN的兩因素認(rèn)證)來(lái)認(rèn)證客戶(hù)(例如，用戶(hù)、工程師、承包商、顧客和/或軟件/硬件組件)，使用例如聯(lián)合身份應(yīng)用(例如，活動(dòng)目錄聯(lián)合服務(wù)(AD FS))或者任何其它互聯(lián)網(wǎng)信息服務(wù)(IIS)認(rèn)證提供商來(lái)基于多因素認(rèn)證協(xié)議驗(yàn)證客戶(hù)的認(rèn)證。

利用當(dāng)前可用于設(shè)計(jì)軟件即服務(wù)(SaaS)系統(tǒng)的各種高速發(fā)展的方法，許多用戶(hù)(例如，測(cè)試者、工程師、承包商、內(nèi)部顧客和/或外部顧客)可能需要訪(fǎng)問(wèn)用于托管SaaS系統(tǒng)的一個(gè)或多個(gè)服務(wù)的服務(wù)器，為了日常測(cè)試、升級(jí)、調(diào)試、開(kāi)發(fā)、部署和/或維護(hù)這些服務(wù)器的目的。由于大量用戶(hù)需要訪(fǎng)問(wèn)服務(wù)器，每個(gè)用戶(hù)可被授予一個(gè)或多個(gè)用戶(hù)賬戶(hù)來(lái)訪(fǎng)問(wèn)這些服務(wù)器。然而，隨著SaaS系統(tǒng)增加，用戶(hù)賬戶(hù)數(shù)量和相關(guān)聯(lián)的安全風(fēng)險(xiǎn)也增加。這是因?yàn)?，每個(gè)額外的用戶(hù)賬戶(hù)會(huì)對(duì)攻擊者暴露潛在的進(jìn)入點(diǎn)，結(jié)果，增大了攻擊者獲得非授權(quán)訪(fǎng)問(wèn)權(quán)的攻擊表面或向量。當(dāng)一些用戶(hù)賬戶(hù)為了執(zhí)行它們的日常任務(wù)而具有提升的特權(quán)(例如，管理特權(quán))時(shí)，這些潛在的進(jìn)入點(diǎn)變得尤其成問(wèn)題。雖然各種認(rèn)證方法當(dāng)前可用于確保這些賬戶(hù)不易于受到攻擊者危害，但是使用人類(lèi)創(chuàng)建的口令一直是脆弱的，尤其當(dāng)人類(lèi)創(chuàng)建的口令趨于短、簡(jiǎn)單且經(jīng)常跨多個(gè)賬戶(hù)重用時(shí)。這些因素與SaaS系統(tǒng)中可用的大量賬戶(hù)相結(jié)合造成了攻擊者會(huì)通過(guò)例如危害與Saas系統(tǒng)的一個(gè)或多個(gè)賬戶(hù)相關(guān)聯(lián)的人類(lèi)口令來(lái)獲得非授權(quán)訪(fǎng)問(wèn)權(quán)的很大的風(fēng)險(xiǎn)和概率。攻擊者的這種非授權(quán)訪(fǎng)問(wèn)權(quán)會(huì)對(duì)商業(yè)帶來(lái)極大的傷害并且導(dǎo)致顧客有嚴(yán)重的安全性和隱私性擔(dān)憂(yōu)。

在各個(gè)實(shí)施例中，為了使得客戶(hù)(例如，用戶(hù)、工程師、承包商、顧客和/或軟件/硬件組件)能夠取回與他們的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)，認(rèn)證令牌管理系統(tǒng)通?？刹贾贸山邮諏?duì)于服務(wù)賬戶(hù)的集合的一個(gè)或多個(gè)客戶(hù)請(qǐng)求，以及響應(yīng)于一個(gè)或多個(gè)客戶(hù)請(qǐng)求而提供服務(wù)賬戶(hù)的集合和與服務(wù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)信息(例如，服務(wù)賬戶(hù)標(biāo)識(shí)符、服務(wù)賬戶(hù)角色、服務(wù)賬戶(hù)范圍、服務(wù)賬戶(hù)生存期、服務(wù)賬戶(hù)狀態(tài)等)。一旦已經(jīng)接收到對(duì)服務(wù)賬戶(hù)集合的請(qǐng)求，認(rèn)證令牌管理系統(tǒng)可以進(jìn)一步布置成認(rèn)證一個(gè)或多個(gè)接收到的請(qǐng)求。在請(qǐng)求已經(jīng)被驗(yàn)證后，認(rèn)證令牌管理系統(tǒng)可布置成至少部分地基于代理認(rèn)證信息(例如，共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)經(jīng)由會(huì)暴露數(shù)據(jù)中心中的公共端點(diǎn)的代理應(yīng)用來(lái)取回或取得一個(gè)或多個(gè)服務(wù)賬戶(hù)并且向客戶(hù)端設(shè)備提供所取回的一個(gè)或多個(gè)服務(wù)賬戶(hù)。

為使得客戶(hù)能夠以安全的方式為一個(gè)或多個(gè)服務(wù)賬戶(hù)生成認(rèn)證令牌，認(rèn)證令牌管理系統(tǒng)通常可以布置成通過(guò)安全的連接(例如，使用超文本傳輸協(xié)議安全(HTTPS)的可信且加密的連接)經(jīng)由各種網(wǎng)絡(luò)互連接收一個(gè)或多個(gè)請(qǐng)求以生成用于服務(wù)賬戶(hù)的認(rèn)證令牌。一旦已經(jīng)接收到生成一個(gè)或多個(gè)認(rèn)證令牌的請(qǐng)求，認(rèn)證令牌管理系統(tǒng)可進(jìn)一步布置成驗(yàn)證接收到的一個(gè)或多個(gè)請(qǐng)求。在已經(jīng)驗(yàn)證了請(qǐng)求后，認(rèn)證令牌管理系統(tǒng)可布置成至少部分地基于客戶(hù)認(rèn)證信息來(lái)生成用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌。

為了以安全的方式生成認(rèn)證令牌，認(rèn)證令牌管理系統(tǒng)可通常布置成使用一個(gè)或多個(gè)安全硬件和/或軟件組件(例如，可信平臺(tái)模塊(Trusted Platform Module(TPM))、MICROSOFT.NET框架庫(kù)(Framework Library)的System.Web.Security.Membership等)通過(guò)認(rèn)證令牌管理系統(tǒng)的服務(wù)器設(shè)備來(lái)生成認(rèn)證令牌。一旦通過(guò)服務(wù)器設(shè)備生成了認(rèn)證令牌，認(rèn)證令牌管理系統(tǒng)的服務(wù)器設(shè)備可進(jìn)一步布置成請(qǐng)求至少部分地基于代理認(rèn)證信息(例如，認(rèn)證令牌管理應(yīng)用與令牌管理代理應(yīng)用之間的共享安全數(shù)字證書(shū)以及共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)經(jīng)由代理應(yīng)用更新或設(shè)置針對(duì)服務(wù)賬戶(hù)的認(rèn)證令牌。代理應(yīng)用可布置成請(qǐng)求管理服務(wù)賬戶(hù)的目錄服務(wù)服務(wù)器設(shè)備和/或與管理服務(wù)賬戶(hù)的目錄服務(wù)服務(wù)器設(shè)備通信以利用所生成的認(rèn)證令牌來(lái)更新或設(shè)置現(xiàn)有的認(rèn)證令牌。

為進(jìn)一步使得一個(gè)或多個(gè)服務(wù)賬戶(hù)安全，認(rèn)證令牌管理系統(tǒng)通常布置成配置所生成的認(rèn)證令牌不能變，以使得一旦已經(jīng)為服務(wù)賬戶(hù)生成了認(rèn)證令牌則客戶(hù)不可以修改或更新認(rèn)證令牌(例如，修改或更新認(rèn)證令牌為較弱的認(rèn)證令牌)。此外，認(rèn)證令牌管理系統(tǒng)可進(jìn)一步布置成生成唯一的認(rèn)證令牌，以使得SaaS系統(tǒng)中沒(méi)有兩個(gè)服務(wù)賬戶(hù)可具有相同的認(rèn)證令牌。在認(rèn)證令牌包括口令、密鑰、密碼、PIN等的實(shí)施例中，認(rèn)證令牌管理系統(tǒng)可布置成生成包括隨機(jī)生成的字母數(shù)字字符和/或符號(hào)的序列的認(rèn)證令牌。生成的字母數(shù)字字符和/或符號(hào)的序列可以至少部分地基于長(zhǎng)度參數(shù)(例如，25-30個(gè)字符和/或符號(hào))和/或字符類(lèi)/符號(hào)參數(shù)(例如，至少20個(gè)字母數(shù)字字符和至少五個(gè)符號(hào))在復(fù)雜度上變化。

一旦已經(jīng)生成了認(rèn)證令牌，認(rèn)證令牌管理系統(tǒng)可以通常布置成經(jīng)由代理應(yīng)用至少部分地基于代理認(rèn)證信息來(lái)設(shè)置或更新為服務(wù)賬戶(hù)生成的認(rèn)證令牌。在一些實(shí)施例中，認(rèn)證令牌管理系統(tǒng)可進(jìn)一步受限制，以使得客戶(hù)可被受限于僅執(zhí)行有限集合的動(dòng)作(例如，取回與代理認(rèn)證信息相關(guān)聯(lián)的服務(wù)賬戶(hù)以及更新或設(shè)置用于服務(wù)賬戶(hù)的口令)以及僅關(guān)于他們自己的服務(wù)賬戶(hù)來(lái)執(zhí)行那些有限集合的動(dòng)作。另外，認(rèn)證令牌管理系統(tǒng)可進(jìn)一步布置成將生成的認(rèn)證令牌提供給客戶(hù)端設(shè)備以便編程訪(fǎng)問(wèn)(例如，拷貝)、安全存儲(chǔ)和/或經(jīng)由各種網(wǎng)絡(luò)互連通過(guò)安全的連接來(lái)顯示。

在服務(wù)賬戶(hù)可選地與有限的生存期、有限的角色和/或有限的范圍相關(guān)聯(lián)的實(shí)施例中(例如，恰好及時(shí)提供的賬戶(hù)(just-in-time provisioned account)或JIT賬戶(hù))，認(rèn)證令牌可以在服務(wù)賬戶(hù)的生存期內(nèi)(例如，4個(gè)小時(shí)，最多96個(gè)小時(shí))生存或持續(xù)。而且，服務(wù)賬戶(hù)的生存期結(jié)束時(shí)，認(rèn)證令牌管理系統(tǒng)可以布置成重設(shè)與該服務(wù)賬戶(hù)相關(guān)聯(lián)的認(rèn)證令牌，以使得與該服務(wù)賬戶(hù)相關(guān)聯(lián)的任何活躍的令牌(例如，訪(fǎng)問(wèn)令牌)失效。

結(jié)果，通過(guò)使客戶(hù)能夠安全地請(qǐng)求和生成與一個(gè)或多個(gè)服務(wù)賬戶(hù)相關(guān)聯(lián)的新的認(rèn)證令牌，可以大幅地減弱攻擊者使用基于認(rèn)證令牌的攻擊來(lái)危害一個(gè)或多個(gè)服務(wù)賬戶(hù)的能力。另外，因?yàn)樗傻恼J(rèn)證令牌相比于人類(lèi)創(chuàng)建的口令復(fù)雜得多，所以通過(guò)使用復(fù)雜的認(rèn)證令牌可以緩解傳統(tǒng)的強(qiáng)力程序，甚至是一些基于社會(huì)工程的攻擊，因?yàn)檫@些令牌可能難以或者甚至不可能經(jīng)由普通的手段和/或媒介物(例如，口頭傳達(dá))來(lái)精確地傳達(dá)。此外，通過(guò)用對(duì)于每個(gè)服務(wù)賬戶(hù)而言是隨機(jī)和/或唯一的機(jī)器生成的認(rèn)證令牌來(lái)取代全部人類(lèi)創(chuàng)建的口令，攻擊者通過(guò)例如使用共享認(rèn)證令牌來(lái)危害一個(gè)或多個(gè)服務(wù)賬戶(hù)的能力會(huì)進(jìn)一步減弱。在一個(gè)或多個(gè)服務(wù)賬戶(hù)可進(jìn)一步與有限的生存期相關(guān)聯(lián)的實(shí)施例中，攻擊者使用受危害的服務(wù)賬戶(hù)的訪(fǎng)問(wèn)將進(jìn)一步受限制，因?yàn)檫@些服務(wù)賬戶(hù)在他們被禁用之前具有有限的生存期。通過(guò)這種方式，SaaS系統(tǒng)的安全性和隱私性會(huì)大幅提高。

一般參考本文所使用的注釋和術(shù)語(yǔ)，下面的詳細(xì)說(shuō)明以在計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)上執(zhí)行的程序過(guò)程的形式呈現(xiàn)。這些過(guò)程描述和表示由本領(lǐng)域技術(shù)人員使用以將其工作的實(shí)質(zhì)最有效地傳達(dá)給本領(lǐng)域其他技術(shù)人員。

過(guò)程在此處一般認(rèn)為是得到期望結(jié)果的自相容的操作序列。這些操作是那些需要對(duì)物理量的物理操縱的操作。通常，雖然不是必要的，但是這些量可呈現(xiàn)為能夠進(jìn)行存儲(chǔ)、傳遞、組合、比較以及以其它方式操縱的電、磁或光信號(hào)的形式。有時(shí)證實(shí)方便的是，尤其是為了共同使用的原因，將這些信號(hào)稱(chēng)為位、值、元件、符號(hào)、字符、項(xiàng)、數(shù)字等。然而，應(yīng)當(dāng)注意的是，所有這些以及類(lèi)似的術(shù)語(yǔ)與適當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián)且僅僅是適用于那些量的便用標(biāo)簽。

此外，所執(zhí)行的操作通常以諸如添加或比較的術(shù)語(yǔ)稱(chēng)謂，這些術(shù)語(yǔ)通常與人類(lèi)操作員所執(zhí)行的腦力操作相關(guān)聯(lián)。在構(gòu)成一個(gè)或多個(gè)實(shí)施例的部分的本文所描述的任意操作中，在大多數(shù)情況下不需要或不期望人類(lèi)操作器的這種能力。相反，操作是機(jī)器操作。用于執(zhí)行各個(gè)實(shí)施例的操作的有用機(jī)器包括通用數(shù)字計(jì)算機(jī)或類(lèi)似的設(shè)備。

各個(gè)實(shí)施例還涉及用于執(zhí)行這些操作的裝置或系統(tǒng)。該裝置可特別地構(gòu)造為用于所需的目的，或者其可以包括由存儲(chǔ)在計(jì)算機(jī)中的計(jì)算機(jī)程序選擇地激活或重配置的通用計(jì)算機(jī)。本文所提出的過(guò)程并非本質(zhì)上與特定計(jì)算機(jī)或其它裝置相關(guān)。各個(gè)通用機(jī)器可與依照本文的教導(dǎo)撰寫(xiě)的程序一起使用，或者其可證實(shí)方便構(gòu)造為更專(zhuān)業(yè)的用于執(zhí)行所需的方法步驟的裝置。用于各種這類(lèi)機(jī)器的所需結(jié)構(gòu)將從給出的說(shuō)明中顯現(xiàn)。

現(xiàn)在參考附圖，其中在通篇中相似的附圖標(biāo)記用于指代相似的元件。在下面的說(shuō)明中，為了說(shuō)明的目的，闡述了大量具體細(xì)節(jié)，以便于提供對(duì)本發(fā)明的全面理解。然而，顯而易見(jiàn)的是能夠在不具有這些具體細(xì)節(jié)的情況實(shí)施新穎的實(shí)施例。在其它情況下，公知的結(jié)構(gòu)和設(shè)備以框圖形式顯示是為了便于對(duì)其進(jìn)行說(shuō)明。旨在涵蓋與所要求保護(hù)的主題一致的所有的改進(jìn)方案、等同方案和可選方案。

圖1示出了認(rèn)證令牌管理系統(tǒng)100的實(shí)施例。在各個(gè)實(shí)施例中，認(rèn)證令牌管理系統(tǒng)100可以實(shí)現(xiàn)于企業(yè)計(jì)算環(huán)境150(例如，云存儲(chǔ)系統(tǒng)、數(shù)據(jù)中心等)或者利用企業(yè)計(jì)算環(huán)境150來(lái)實(shí)現(xiàn)，該企業(yè)計(jì)算環(huán)境150包括一個(gè)或多個(gè)客戶(hù)102-a(例如，用戶(hù)、工程師、承包者、顧客和/或軟件/硬件組件)，其中每個(gè)客戶(hù)(例如，客戶(hù)102-1或102-2)可以與一個(gè)或多個(gè)客戶(hù)賬戶(hù)相關(guān)聯(lián)并且一個(gè)或多個(gè)客戶(hù)賬戶(hù)的每個(gè)客戶(hù)賬戶(hù)可進(jìn)一步與客戶(hù)賬戶(hù)信息相關(guān)聯(lián)?？蛻?hù)賬戶(hù)信息可包括但不限于，客戶(hù)賬戶(hù)認(rèn)證信息(例如，用戶(hù)主體名稱(chēng)(UPN)、賬戶(hù)標(biāo)識(shí)符、賬戶(hù)口令或其散列和/或鹽化衍生物(salted derivative)、賬戶(hù)域、智能卡證書(shū)和相關(guān)聯(lián)的PIN、生物計(jì)量信息等)、客戶(hù)賬戶(hù)授權(quán)信息(例如，客戶(hù)賬戶(hù)角色和范圍信息、訪(fǎng)問(wèn)許可、相關(guān)聯(lián)群組等)和/或與一個(gè)或多個(gè)客戶(hù)102-a的認(rèn)證和授權(quán)相關(guān)的任何其它信息。

一個(gè)或多個(gè)客戶(hù)102-a可使用一個(gè)或多個(gè)客戶(hù)賬戶(hù)來(lái)請(qǐng)求其相關(guān)聯(lián)的服務(wù)賬戶(hù)以及使用諸如例如數(shù)據(jù)中心142中的一個(gè)或多個(gè)資源和/或資產(chǎn)，數(shù)據(jù)中心包括布置成提供一個(gè)或多個(gè)電子系統(tǒng)的一個(gè)或多個(gè)服務(wù)的一個(gè)或多個(gè)服務(wù)器設(shè)備140-i-j。在一個(gè)實(shí)施例中，電子系統(tǒng)可以包括SaaS系統(tǒng)，其可以包括但不限于MICROSOFT Office 365，MICROSOFT Exchange Online MICROSOFT SharePoint Online，MICROSOFT Dynamics CRM以及其它SaaS系統(tǒng)。實(shí)施例不一定限于一類(lèi)電子系統(tǒng)。

數(shù)據(jù)中心142中的服務(wù)器設(shè)備140-i-j可經(jīng)由網(wǎng)絡(luò)互連112進(jìn)一步在彼此之間互連從而提供SaaS系統(tǒng)托管的各種服務(wù)。可以意識(shí)到，在各個(gè)實(shí)施例中的服務(wù)器設(shè)備140-i-j僅為了圖示而不是限定的目的而提及。因此，在各個(gè)實(shí)施例中的服務(wù)器設(shè)備140-i-j中的任一個(gè)或全部可以由諸如例如虛擬設(shè)備、工作站、計(jì)算設(shè)備、移動(dòng)設(shè)備、應(yīng)用、服務(wù)和/或其他軟件/硬件組件的任何其他資源和/或資產(chǎn)來(lái)替代。

還值得注意的是，本文所使用的“a”和“b”和“c”以及類(lèi)似的指示符旨在作為代表任何正整數(shù)的變量。因此，例如，如果實(shí)現(xiàn)方式設(shè)置了值a＝2，則客戶(hù)102-a的完整集合可以包括客戶(hù)102-1和102-2。在另一示例中，如果實(shí)現(xiàn)方式設(shè)置了值i＝1以及j＝6，則服務(wù)器設(shè)備140-i-j的完整集合可以包括服務(wù)器設(shè)備140-1-1、140-1-2、140-1-3、140-1-4、140-1-5以及140-1-6。實(shí)施例不限于該上下文。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理系統(tǒng)100可以包括由客戶(hù)102-a使用的一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b(例如，膝上型設(shè)備、計(jì)算機(jī)、手機(jī)、工作站或任何其他計(jì)算設(shè)備)以用于經(jīng)由網(wǎng)絡(luò)互連112來(lái)訪(fǎng)問(wèn)或服務(wù)一個(gè)或多個(gè)SaaS系統(tǒng)的服務(wù)器設(shè)備140-i-j(例如，測(cè)試、升級(jí)、調(diào)試、開(kāi)發(fā)、部署、使用和/或維護(hù)SaaS系統(tǒng)的一個(gè)或多個(gè)資源和/或資產(chǎn))。網(wǎng)絡(luò)互連112可以通常布置成通過(guò)使用一個(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備(例如，中繼器、橋接器、集線(xiàn)器、交換機(jī)、路由器、網(wǎng)關(guān)、負(fù)荷平衡器等)的一個(gè)或多個(gè)網(wǎng)絡(luò)(例如，內(nèi)聯(lián)網(wǎng)和/或互聯(lián)網(wǎng))來(lái)提供企業(yè)計(jì)算環(huán)境150中的各種設(shè)備、組件、應(yīng)用、服務(wù)器、資源和/或資產(chǎn)之間的網(wǎng)絡(luò)連接。

在各個(gè)實(shí)施例中，客戶(hù)端設(shè)備104-b中的至少一些，諸如例如客戶(hù)端設(shè)備104-2，可以與身份輸入和/或輸出(I/O)設(shè)備164(例如，智能讀卡器)通信耦合，用于與物理身份令牌(例如，智能卡)通信，從而讀取且認(rèn)證或輔助認(rèn)證與客戶(hù)相關(guān)聯(lián)的物理身份令牌中所包含的客戶(hù)認(rèn)證信息(例如，數(shù)字智能卡證書(shū))。另外地或者可替代地，其他客戶(hù)端設(shè)備104-b，諸如例如，客戶(hù)端設(shè)備104-1，可以與加密模塊(例如，TPM(未示出))通信耦合，該加密模塊被配置為讀取且認(rèn)證或者輔助認(rèn)證與客戶(hù)相關(guān)聯(lián)的虛擬身份令牌。

另外地或者可替代地，客戶(hù)端設(shè)備104-b中的至少一些，諸如例如客戶(hù)端設(shè)備104-2，還可以與認(rèn)證令牌數(shù)據(jù)庫(kù)166(例如，Password Safe)通信耦合，用于使用一種或多種加密算法(例如，Twofish對(duì)稱(chēng)密鑰塊密碼)以加密格式安全地存儲(chǔ)至少服務(wù)賬戶(hù)標(biāo)識(shí)符及其相關(guān)聯(lián)的認(rèn)證令牌。因此，在各個(gè)實(shí)施例中，客戶(hù)端設(shè)備104-2可被配置為自動(dòng)加密提供給客戶(hù)102-2的任何認(rèn)證令牌并且將其存儲(chǔ)在認(rèn)證令牌數(shù)據(jù)庫(kù)166中，認(rèn)證令牌數(shù)據(jù)庫(kù)166可使客戶(hù)102-2之后經(jīng)由客戶(hù)端設(shè)備104-2取回先前存儲(chǔ)的服務(wù)賬戶(hù)標(biāo)識(shí)符及其相關(guān)聯(lián)的認(rèn)證令牌，以用于訪(fǎng)問(wèn)數(shù)據(jù)中心142中的一個(gè)或多個(gè)資源和/或資產(chǎn)。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理系統(tǒng)100，尤其是數(shù)據(jù)中心142，可以包括或者集成有一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l，目錄服務(wù)服務(wù)器設(shè)備通?？刹贾贸蓤?zhí)行除了其他應(yīng)用之外的目錄服務(wù)應(yīng)用(未示出)，從而將包括一個(gè)或多個(gè)服務(wù)器設(shè)備140-i-j的數(shù)據(jù)中心142組織成一個(gè)或多個(gè)邏輯組、邏輯子組和/或邏輯子子組的層級(jí)(例如，森林132-k，域136-d和/或組織單元134-e-f)。目錄服務(wù)服務(wù)器設(shè)備130-l還可以布置成將該層級(jí)存儲(chǔ)在包括目錄服務(wù)信息的一個(gè)或多個(gè)目錄服務(wù)數(shù)據(jù)庫(kù)(未示出)中。

一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l可以包括與一個(gè)或多個(gè)服務(wù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)信息，以使得一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l可以認(rèn)證來(lái)自一個(gè)或多個(gè)客戶(hù)102-a的使用服務(wù)賬戶(hù)來(lái)訪(fǎng)問(wèn)一個(gè)或多個(gè)資源和/或資產(chǎn)的訪(fǎng)問(wèn)請(qǐng)求。服務(wù)賬戶(hù)信息可以包括但不限于服務(wù)賬戶(hù)認(rèn)證信息(例如，用戶(hù)主體名稱(chēng)(UPN)、賬戶(hù)標(biāo)識(shí)符、賬戶(hù)認(rèn)證令牌、賬戶(hù)域、智能卡證書(shū)、生物計(jì)量等)、服務(wù)賬戶(hù)授權(quán)信息(例如，服務(wù)賬戶(hù)角色和范圍信息、服務(wù)賬戶(hù)訪(fǎng)問(wèn)許可、服務(wù)賬戶(hù)相關(guān)聯(lián)群組等)、服務(wù)賬戶(hù)生存期信息(例如，服務(wù)賬戶(hù)的生存期)、目錄服務(wù)信息(例如，與服務(wù)賬戶(hù)相關(guān)聯(lián)的目錄服務(wù)服務(wù)器設(shè)備)、和/或與一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證、授權(quán)和生存期相關(guān)的任何其他信息。

在各個(gè)實(shí)施例中，每個(gè)目錄服務(wù)服務(wù)器設(shè)備(例如，目錄服務(wù)服務(wù)器設(shè)備130-1)可以包括或?qū)崿F(xiàn)目錄服務(wù)應(yīng)用(未示出)。示例性的目錄服務(wù)應(yīng)用可包括但不限于MICROSOFT活動(dòng)目錄(Active Directory)、eDirectory、Open Directory、Internet Directory(OID)、Tivoli Directory Server、或者任何其他實(shí)現(xiàn)目錄訪(fǎng)問(wèn)協(xié)議(Directory Access Protocol(DAP))、輕量目錄訪(fǎng)問(wèn)協(xié)議(Lightweight Directory Access Protocol(LDAP))、和/或國(guó)際電信聯(lián)盟(ITU)電信標(biāo)準(zhǔn)化部(ITU-T)頒布的X.500標(biāo)準(zhǔn)的應(yīng)用。

通過(guò)示例的方式，目錄服務(wù)服務(wù)器設(shè)備130-1可以包括或?qū)崿F(xiàn)MICROSOFT活動(dòng)目錄的至少一部分(例如，活動(dòng)目錄域服務(wù),活動(dòng)目錄域控制器,活動(dòng)目錄數(shù)據(jù)存儲(chǔ)等)。一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l中的每個(gè)目錄服務(wù)服務(wù)器設(shè)備(例如，目錄服務(wù)服務(wù)器設(shè)備130-1)可以布置成管理諸如例如森林132-1的頂級(jí)邏輯組。一個(gè)或多個(gè)森林132-k可以包括一個(gè)或多個(gè)較低邏輯組，例如，邏輯子組，諸如例如域136-d。一個(gè)或多個(gè)域136-d中的每個(gè)域(例如，域136-1)可布置成管理較低級(jí)的邏輯組，例如，邏輯子子組，諸如例如，組織單元134-e-f。任選地，域136-d可以進(jìn)一步邏輯分組成森林132-k與域136-d之間的一個(gè)或多個(gè)中間邏輯組，諸如例如樹(shù)(未示出)。一個(gè)或多個(gè)組織單元134-e-f中的每個(gè)組織單元(例如，組織單元134-1-1)可包括一個(gè)或多個(gè)資源和/或資產(chǎn)，諸如例如服務(wù)器設(shè)備140-g-h。

可以意識(shí)到，各個(gè)實(shí)施例中的森林132-k，域136-d，和/或組織單元134-e-f僅為了示例而不是限制的目的而提及。因此，各個(gè)實(shí)施例中的森林132-k，域136-d，和/或組織單元134-e-f中的任意一個(gè)或全部對(duì)于給定的實(shí)現(xiàn)方式可替代成它們的實(shí)質(zhì)上等同物。例如，在目錄服務(wù)服務(wù)器設(shè)備130-1可以包括或?qū)崿F(xiàn)NOVELL eDirectory的至少一部分的一種實(shí)現(xiàn)方式中，森林132-k，域136-d，和/或組織單元134-e-f可以分別替代成NOVELL eDirectory中實(shí)現(xiàn)的樹(shù)、分區(qū)和組織單元。實(shí)施例不限于該上下文。

在一些實(shí)施例中，數(shù)據(jù)中心142中的每個(gè)域(例如，域136-1)可以任選地包括一個(gè)或多個(gè)違反界限138-g-h，以便于包含可能已危害一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)攻擊者的橫向移動(dòng)。例如，域136-1可以包括違反界限138-1-1和138-1-2。另外地，在這些實(shí)施例的一些實(shí)現(xiàn)方式中，違反界限138-g-h可以獨(dú)立于一個(gè)或多個(gè)組織單元134-e-f。例如，在域136-1中，組織單元134-1-1，134-1-2，134-1-3可以跨過(guò)違反界限138-1-1和138-1-2，使得單個(gè)違反界限，諸如違反界限138-1-1可以包括來(lái)自全部三個(gè)組織單元134-1-1，134-1-2，134-1-3的資源和/或資產(chǎn)，諸如例如服務(wù)器設(shè)備140-1-1，140-1-2，140-1-3。在其他域中，違反界限138-g-h可以與一個(gè)或多個(gè)組織單元134-e-f共存，使得單個(gè)違反界限可包括來(lái)自單個(gè)組織單元134-e-f的資源和/或資產(chǎn)。實(shí)施例不限于該上下文。

在一些實(shí)施例中，一個(gè)或多個(gè)違反界限138-g-h可以任選地由一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l管理且布置成準(zhǔn)許或提供針對(duì)可與安全界限(例如，一個(gè)或多個(gè)違反界限138-g-h中的違反界限)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的一組訪(fǎng)問(wèn)許可，以使得一個(gè)或多個(gè)服務(wù)賬戶(hù)可以訪(fǎng)問(wèn)安全界限內(nèi)的一個(gè)或多個(gè)資源和/或資產(chǎn)。為確保對(duì)服務(wù)賬戶(hù)有訪(fǎng)問(wèn)權(quán)的攻擊者不能使用“傳遞(pass)散列攻擊”(即，攻擊者的橫向移動(dòng))在一個(gè)或多個(gè)違反界限138-g-h之間和之中移動(dòng)，一個(gè)或多個(gè)違反界限138-g-h中的每個(gè)違反界限(例如，違反界限138-1-1和138-1-2)可以進(jìn)一步任選地布置成包括相互排斥和/或非重疊的資源和/或資產(chǎn)的集合，以使得在任何違反界限138-g-h之間沒(méi)有重疊。

在一個(gè)或多個(gè)違反界限138-g-h的一個(gè)示例性的實(shí)現(xiàn)方式中，一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l的目錄服務(wù)應(yīng)用(未示出)可布置成管理一個(gè)或多個(gè)違反界限安全組168-m-n中的每個(gè)違反界限安全組和/或?yàn)槠浞峙鋵?duì)一個(gè)或多個(gè)資源和/或資產(chǎn)的一組訪(fǎng)問(wèn)許可，以使得添加到違反界限安全組中的任何成員(例如，一個(gè)或多個(gè)服務(wù)賬戶(hù))可以根據(jù)該組訪(fǎng)問(wèn)許可來(lái)訪(fǎng)問(wèn)安全組所管理的一個(gè)或多個(gè)資源和/或資產(chǎn)。為了包含已經(jīng)獲得了對(duì)受危害的服務(wù)賬戶(hù)的訪(fǎng)問(wèn)權(quán)的攻擊者的橫向移動(dòng)，一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l可進(jìn)一步布置成管理一個(gè)或多個(gè)相互排斥或非重疊的違反界限安全組168-m-n中的一個(gè)或多個(gè)資源和/或資產(chǎn)，以使得沒(méi)有任何單一資源和/或資產(chǎn)是能夠從作為兩個(gè)不同的違反界限安全組的成員的服務(wù)賬戶(hù)來(lái)訪(fǎng)問(wèn)或服務(wù)的。

可以意識(shí)到，雖然在各個(gè)實(shí)施例中僅示出了有限數(shù)量的違反界限安全組(例如，違反界限安全組168-1-1，168-1-2，和168-m-1)，但是一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l可被配置針對(duì)與服務(wù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)角色管理多個(gè)群組(例如，遠(yuǎn)程訪(fǎng)問(wèn)群組、調(diào)試群組等)，其中每個(gè)群組可以與與角色相關(guān)聯(lián)的一組訪(fǎng)問(wèn)許可(例如，對(duì)一個(gè)或多個(gè)資源和/或資產(chǎn)的遠(yuǎn)程訪(fǎng)問(wèn)，對(duì)一個(gè)或多個(gè)資源和/或資產(chǎn)的調(diào)試，等等)相關(guān)聯(lián)，使得服務(wù)賬戶(hù)可以嵌套方式成為多個(gè)群組的成員，從而實(shí)現(xiàn)基于角色的訪(fǎng)問(wèn)控制(RBAC)。實(shí)施例不限于該上下文。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理系統(tǒng)100可進(jìn)一步包括服務(wù)器設(shè)備108，該服務(wù)器設(shè)備108通?？刹贾贸蓤?zhí)行除了其他應(yīng)用之外的目錄服務(wù)應(yīng)用110。目錄服務(wù)應(yīng)用110通常可布置成存儲(chǔ)且提供與客戶(hù)102-a的一個(gè)或多個(gè)客戶(hù)賬戶(hù)相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息。目錄服務(wù)應(yīng)用110還可以布置成存儲(chǔ)組織層級(jí)信息，該組織層級(jí)信息包括一個(gè)或多個(gè)客戶(hù)102-a可以是其成員或附屬機(jī)構(gòu)的組織(例如，公司)的層級(jí)結(jié)構(gòu)。目錄服務(wù)應(yīng)用110可進(jìn)一步布置成經(jīng)由認(rèn)證令牌管理應(yīng)用172來(lái)認(rèn)證或輔助認(rèn)證請(qǐng)求用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌的一個(gè)或多個(gè)客戶(hù)102-a。示例性的目錄服務(wù)應(yīng)用或?qū)崿F(xiàn)方式可以包括但不限于之前結(jié)合目錄服務(wù)服務(wù)器設(shè)備130-l所論述的那些。

為了認(rèn)證或促進(jìn)認(rèn)證請(qǐng)求用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌的一個(gè)或多個(gè)客戶(hù)102-a，目錄服務(wù)應(yīng)用110還可以暴露和/或?qū)崿F(xiàn)一個(gè)或多個(gè)應(yīng)用程序接口(API)。管理員管理應(yīng)用114和/或令牌管理應(yīng)用172可以使用一個(gè)或多個(gè)API來(lái)基于與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息(例如，客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN以及客戶(hù)賬戶(hù)口令)來(lái)認(rèn)證請(qǐng)求服務(wù)賬戶(hù)和/或用于服務(wù)賬戶(hù)的認(rèn)證令牌的一個(gè)或多個(gè)客戶(hù)102-a。

通過(guò)示例的方式，管理員管理應(yīng)用114和/或認(rèn)證令牌管理應(yīng)用172可以通過(guò)經(jīng)由網(wǎng)絡(luò)互連112使用目錄服務(wù)應(yīng)用110的一個(gè)或多個(gè)API和/或一個(gè)或多個(gè)本地程序調(diào)用(LPC)和/或遠(yuǎn)程程序調(diào)用(RPC)機(jī)制，基于接收到的客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN以及客戶(hù)賬戶(hù)口令來(lái)認(rèn)證一個(gè)或多個(gè)客戶(hù)102-a?？梢砸庾R(shí)到，示例性的API可以包括但不限于，目錄訪(fǎng)問(wèn)協(xié)議(DAP)API、輕量目錄訪(fǎng)問(wèn)協(xié)議(LDAP)API、MICROSOFT活動(dòng)目錄服務(wù)接口(ADSI)API、MICROSOFT消息傳遞API(MAPI)、MICROSOFT目錄系統(tǒng)代理(DSA)API和/或任何其他使能認(rèn)證客戶(hù)102-a的API。

另外或者替代地，認(rèn)證令牌管理系統(tǒng)100可以包括服務(wù)器設(shè)備160，該服務(wù)器設(shè)備160通?？刹贾贸蓤?zhí)行聯(lián)合身份應(yīng)用162以及其他應(yīng)用。聯(lián)合身份應(yīng)用162通常可布置成使用一個(gè)或多個(gè)認(rèn)證協(xié)議(例如，Kerberos協(xié)議)來(lái)提供多因素認(rèn)證(例如，使用智能卡、口令/pin和/或手指紋的兩因素認(rèn)證)。認(rèn)證因素可以包括但不限于，知識(shí)因素，即客戶(hù)所知的某事物(例如，口令、密碼、密鑰、PIN等)、所有權(quán)因素，即客戶(hù)所擁有的某事物(例如，智能卡、虛擬智能卡、安全令牌等)、固有特性因素，即客戶(hù)所是的某事物(例如，手指紋、虹膜模式、視網(wǎng)膜模式、生物計(jì)量等)，和/或任何其他可用于輔助客戶(hù)的標(biāo)識(shí)和/或認(rèn)證的因素。因此，在一些實(shí)施例中，聯(lián)合身份應(yīng)用162可以與身份輸入和/或輸出(I/O)設(shè)備164和/或目錄服務(wù)應(yīng)用110聯(lián)合被布置成提供對(duì)一個(gè)或多個(gè)客戶(hù)102-a的認(rèn)證。

在各個(gè)實(shí)施例中，聯(lián)合身份應(yīng)用162可進(jìn)一步布置成提供安全令牌服務(wù)(STS)并且向一個(gè)或多個(gè)客戶(hù)102-a和/或權(quán)利要求使能應(yīng)用發(fā)布一個(gè)或多個(gè)安全令牌(例如，安全斷言標(biāo)記語(yǔ)言(SAML)令牌)，從而一個(gè)或多個(gè)權(quán)利要求使能應(yīng)用可以標(biāo)識(shí)和/或建立與客戶(hù)的可信連接，而不必直接接收和/或處理與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息(例如，用戶(hù)主體名稱(chēng)(UPN)、賬戶(hù)標(biāo)識(shí)符、賬戶(hù)口令或其散列衍生物、賬戶(hù)域、智能卡證書(shū)等)。示例性的聯(lián)合身份應(yīng)用可包括但不限于，MICROSOFT活動(dòng)目錄聯(lián)合服務(wù)(AD FS)、MICROSFT聯(lián)合網(wǎng)關(guān)或任何其他被配置為發(fā)布包括斷言先前認(rèn)證的客戶(hù)的身份的權(quán)利要求(claims)的安全令牌的聯(lián)合身份服務(wù)提供商。

在各個(gè)實(shí)施例中，不是直接基于客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN、客戶(hù)賬戶(hù)口令來(lái)認(rèn)證一個(gè)或多個(gè)客戶(hù)102-a，管理員管理應(yīng)用114和/或令牌管理應(yīng)用172可以布置為權(quán)利要求使能應(yīng)用，并且因此，被配置為接收來(lái)自一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b的由聯(lián)合身份應(yīng)用162發(fā)布的安全令牌，從而認(rèn)證和/或授權(quán)一個(gè)或多個(gè)客戶(hù)102-a。因此，管理員管理應(yīng)用114和/或認(rèn)證令牌管理應(yīng)用172可以至少部分地基于接收到的安全令牌來(lái)認(rèn)證且標(biāo)識(shí)請(qǐng)求訪(fǎng)問(wèn)應(yīng)用的客戶(hù)102-a。接收到的安全令牌還可以包括一個(gè)或多個(gè)權(quán)利要求，其可以包括與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息。任選地，接收到的安全令牌可進(jìn)一步包括指示用于認(rèn)證一個(gè)或多個(gè)客戶(hù)102-a的認(rèn)證因素、機(jī)制和/或方法(例如，智能卡和PIN，賬戶(hù)標(biāo)識(shí)符和賬戶(hù)口令、賬戶(hù)標(biāo)識(shí)符和生物計(jì)量指紋等)的認(rèn)證類(lèi)型信息。

通過(guò)示例的方式，通過(guò)使用身份令牌(即，所有權(quán)因素)與身份I/O設(shè)備164相連接以及經(jīng)由與客戶(hù)端設(shè)備104-2通信耦合的標(biāo)準(zhǔn)輸入設(shè)備(例如，鍵盤(pán))輸入相關(guān)聯(lián)的PIN(即，知識(shí)因素)，客戶(hù)102-2可首先請(qǐng)求使用兩因素認(rèn)證來(lái)認(rèn)證客戶(hù)端設(shè)備104-2。目錄服務(wù)應(yīng)用110(例如，MICROSOFT活動(dòng)目錄目錄服務(wù)(AD DS))可以隨后接收來(lái)自客戶(hù)端設(shè)備104-2的請(qǐng)求以至少部分地基于由客戶(hù)端設(shè)備104-2認(rèn)證和/或驗(yàn)證的身份令牌(例如，與客戶(hù)102-2相關(guān)聯(lián)的智能卡)協(xié)商用于客戶(hù)102-2的票據(jù)授予票據(jù)(Ticket Granting Ticket)(例如，Kerberos票)。一旦客戶(hù)102-2已經(jīng)過(guò)認(rèn)證，目錄服務(wù)應(yīng)用110可隨后提供TGT給客戶(hù)端設(shè)備104-2。任選地，目錄服務(wù)應(yīng)用110可另外地在TGT中包括表明已經(jīng)使用身份令牌和相關(guān)聯(lián)PIN而不是傳統(tǒng)的客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN以及相關(guān)聯(lián)的客戶(hù)賬戶(hù)口令認(rèn)證了客戶(hù)102-2的信息(例如，安全標(biāo)識(shí)符(SID)，其標(biāo)識(shí)安全群組，該安全群組可以包括已經(jīng)通過(guò)智能卡和相關(guān)聯(lián)PIN認(rèn)證的一個(gè)或多個(gè)客戶(hù)102-a)。

繼續(xù)上面的說(shuō)明，權(quán)利要求使能應(yīng)用(例如，管理員管理應(yīng)用114和/或令牌管理應(yīng)用172)可以隨后經(jīng)由客戶(hù)端設(shè)備104-2接收來(lái)自客戶(hù)102-2的訪(fǎng)問(wèn)請(qǐng)求。響應(yīng)于訪(fǎng)問(wèn)請(qǐng)求，權(quán)利要求使能應(yīng)用可以將客戶(hù)端設(shè)備104-2重新引導(dǎo)至權(quán)利要求使能應(yīng)用的可信STS提供商，即，聯(lián)合身份應(yīng)用162(例如，MICROSOFT AD FS)，其中聯(lián)合身份應(yīng)用162可以與目錄服務(wù)應(yīng)用110通信且與客戶(hù)端設(shè)備104-2協(xié)商以為客戶(hù)端設(shè)備104-2提供安全令牌(例如，SAML令牌)。任選地，聯(lián)合身份應(yīng)用162可另外地在安全令牌中包括表明已經(jīng)利用客戶(hù)的身份令牌和相關(guān)聯(lián)PIN認(rèn)證了客戶(hù)102-2的認(rèn)證類(lèi)型信息。

仍繼續(xù)上面的說(shuō)明，權(quán)利要求使能應(yīng)用可隨后接收來(lái)自客戶(hù)端設(shè)備104-2的安全令牌(例如，SAML令牌)，其由聯(lián)合身份應(yīng)用162提供，其中權(quán)利要求使能應(yīng)用可通過(guò)判定安全令牌是否由諸如例如聯(lián)合身份應(yīng)用162的可信聯(lián)合身份應(yīng)用所有發(fā)布來(lái)認(rèn)證或驗(yàn)證安全令牌。為促進(jìn)隨后與權(quán)利要求使能應(yīng)用的通信的認(rèn)證，權(quán)利要求使能應(yīng)用還可以將可信會(huì)話(huà)cookie(例如，F(xiàn)edAuth cookie)提供給客戶(hù)端設(shè)備104-2以便后續(xù)通信。任選地，權(quán)利要求使能應(yīng)用可以基于身份令牌的使用來(lái)判定客戶(hù)102-2是否被認(rèn)證，例如通過(guò)判定安全令牌是否包括表明客戶(hù)102-2已經(jīng)由身份令牌和相關(guān)聯(lián)PIN認(rèn)證的用于包含客戶(hù)102-2的安全群組的SID。當(dāng)客戶(hù)102-2沒(méi)有基于客戶(hù)的身份令牌被認(rèn)證時(shí)，權(quán)利要求使能應(yīng)用可拒絕客戶(hù)端設(shè)備104-2訪(fǎng)問(wèn)權(quán)利要求使能應(yīng)用。通過(guò)這種方式，可以在客戶(hù)端設(shè)備104-2與權(quán)利要求使能應(yīng)用之間建立針對(duì)已經(jīng)基于至少兩因素認(rèn)證即身份令牌(即，所有權(quán)因素)和相關(guān)聯(lián)PIN(即，知識(shí)因素)認(rèn)證的客戶(hù)102-a的至少一個(gè)可信連接。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理系統(tǒng)100可以進(jìn)一步任選地包括服務(wù)器設(shè)備106，其可以任選地布置成執(zhí)行管理員管理應(yīng)用114以及其他應(yīng)用。管理員管理應(yīng)用114通?？刹贾贸烧J(rèn)證請(qǐng)求一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)客戶(hù)102-a以及從一個(gè)或多個(gè)客戶(hù)102-a接收訪(fǎng)問(wèn)一個(gè)或多個(gè)服務(wù)器設(shè)備的請(qǐng)求，升高訪(fǎng)問(wèn)許可，以及認(rèn)證從客戶(hù)102-a接收到的一個(gè)或多個(gè)請(qǐng)求。另外地，管理員管理應(yīng)用114可以進(jìn)一步布置成管理、授權(quán)、提供以及使能一個(gè)或多個(gè)服務(wù)賬戶(hù)。此外，管理員管理應(yīng)用114可以布置成應(yīng)客戶(hù)102-a的請(qǐng)求向一些服務(wù)賬戶(hù)提供提升的訪(fǎng)問(wèn)許可以及受限的角色、受限的范圍和受限的生存期，另外稱(chēng)為正及時(shí)(just-in-time)(JIT)提供的賬戶(hù)(即，JIT賬戶(hù))，并且將與所提供的服務(wù)賬戶(hù)(例如，提供的JIT賬戶(hù))相關(guān)聯(lián)的服務(wù)賬戶(hù)信息通知給客戶(hù)102-a。

為使得一個(gè)或多個(gè)客戶(hù)102-a被認(rèn)證，管理員管理應(yīng)用114可以布置成經(jīng)由客戶(hù)端設(shè)備104-b從一個(gè)或多個(gè)客戶(hù)102-a請(qǐng)求和/或接收客戶(hù)賬戶(hù)信息的至少一部分(例如，賬戶(hù)UPN，賬戶(hù)標(biāo)識(shí)符，和/或賬戶(hù)口令)，其中接收到的客戶(hù)賬戶(hù)信息可與一個(gè)或多個(gè)客戶(hù)102-a的客戶(hù)賬戶(hù)相關(guān)聯(lián)。一旦客戶(hù)賬戶(hù)信息被接收到，管理員管理應(yīng)用114可進(jìn)一步布置成經(jīng)由網(wǎng)絡(luò)互連112和目錄服務(wù)應(yīng)用110的一個(gè)或多個(gè)API進(jìn)行通信以認(rèn)證接收到的與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息(例如，賬戶(hù)UPN，賬戶(hù)標(biāo)識(shí)符，和/或賬戶(hù)口令)。

另外地和/或可替代地，管理員管理應(yīng)用114可以包括權(quán)利要求使能應(yīng)用，其布置成接收來(lái)自一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b的由聯(lián)合身份應(yīng)用162發(fā)布的安全令牌(例如，SAML令牌)。管理員管理應(yīng)用114可進(jìn)一步布置成基于接收到的安全令牌來(lái)認(rèn)證和標(biāo)識(shí)請(qǐng)求服務(wù)賬戶(hù)的一個(gè)或多個(gè)客戶(hù)102-a。接收到的安全令牌可以包括一個(gè)或多個(gè)權(quán)利要求，其可以包括與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息。通過(guò)使用從客戶(hù)端設(shè)備104-b接收到的安全令牌，管理員管理應(yīng)用114可以與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b建立至少可信的連接。為進(jìn)一步保護(hù)可信連接免于攻擊者危害或妨害，管理員管理應(yīng)用114還可以使用一個(gè)或多個(gè)安全通信協(xié)議(例如，超文本傳輸協(xié)議安全(HTTPS))來(lái)建立加密連接。通過(guò)這種方式，安全連接(例如，可信且加密的連接)可以建立在管理員管理應(yīng)用114與請(qǐng)求一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b之間。

在一些實(shí)施例中，一旦一個(gè)或多個(gè)客戶(hù)102-a已經(jīng)被認(rèn)證，管理員管理應(yīng)用114可布置成使得一個(gè)或多個(gè)認(rèn)證客戶(hù)102-a輸入服務(wù)賬戶(hù)請(qǐng)求信息從而請(qǐng)求一個(gè)或多個(gè)服務(wù)賬戶(hù)以訪(fǎng)問(wèn)數(shù)據(jù)中心142中的一個(gè)或多個(gè)資源和/或資產(chǎn)。服務(wù)賬戶(hù)請(qǐng)求信息可以包括但不限于，待執(zhí)行的一個(gè)或多個(gè)動(dòng)作或任務(wù)、一個(gè)或多個(gè)服務(wù)器設(shè)備140-i-j，以及與一個(gè)或多個(gè)動(dòng)作或任務(wù)相關(guān)聯(lián)的請(qǐng)求的生存期信息。請(qǐng)求的生存期信息可包括但不限于服務(wù)賬戶(hù)過(guò)期或者被禁用時(shí)的具體時(shí)間或經(jīng)過(guò)的時(shí)間，和/或服務(wù)賬戶(hù)被去除時(shí)的具體時(shí)間或經(jīng)過(guò)的時(shí)間。任選地，管理員管理應(yīng)用114可以將服務(wù)賬戶(hù)的請(qǐng)求生存期信息限制為94小時(shí)或4天的上限值，使得任何對(duì)生存期大于96小時(shí)(例如，4天)的服務(wù)賬戶(hù)的請(qǐng)求都將被限制為96小時(shí)或4天。實(shí)施例不限于該上下文。

在一些實(shí)施例中，管理員管理應(yīng)用114可布置成通過(guò)至少部分地基于基于接收到的服務(wù)賬戶(hù)請(qǐng)求信息(例如，待執(zhí)行的一個(gè)或多個(gè)動(dòng)作或任務(wù)以及一個(gè)或多個(gè)服務(wù)器設(shè)備140-i-j)以及現(xiàn)有服務(wù)賬戶(hù)的服務(wù)賬戶(hù)角色和范圍信息而確定的請(qǐng)求的角色和范圍信息來(lái)取回與客戶(hù)相關(guān)聯(lián)的現(xiàn)有服務(wù)賬戶(hù)來(lái)提供服務(wù)賬戶(hù)。另外地或者可替代地，管理員管理應(yīng)用114可布置成通過(guò)至少部分地基于經(jīng)由客戶(hù)端設(shè)備104-b從一個(gè)或多個(gè)客戶(hù)102-a接收到的請(qǐng)求的角色和范圍信息和現(xiàn)有服務(wù)賬戶(hù)的服務(wù)賬戶(hù)角色和范圍信息來(lái)取回與客戶(hù)相關(guān)聯(lián)的現(xiàn)有服務(wù)賬戶(hù)來(lái)提供服務(wù)賬戶(hù)。

示例性的請(qǐng)求的角色和/或服務(wù)賬戶(hù)角色可以包括但不限于管理員、后備操作者、調(diào)試者、遠(yuǎn)程用戶(hù)、測(cè)試者等?？梢砸庾R(shí)到，每個(gè)角色可以進(jìn)一步與可準(zhǔn)許和/或拒絕對(duì)一個(gè)或多個(gè)資源和/或資產(chǎn)和/或的一個(gè)或多個(gè)資源和/或資產(chǎn)的組件的訪(fǎng)問(wèn)的一組訪(fǎng)問(wèn)許可相關(guān)聯(lián)。示例性的請(qǐng)求范圍和/或服務(wù)賬戶(hù)范圍可以包括但不限于，包括一個(gè)或多個(gè)服務(wù)器設(shè)備140-1-1，14-1-2，14-1-3或者任何其他資源和/或資產(chǎn)和/或資源和/或資產(chǎn)的組件的違反界限138-1-1。

在一些實(shí)施例中，管理員管理應(yīng)用114可布置成判定針對(duì)客戶(hù)是否已經(jīng)存在具有相同或基本相似的請(qǐng)求角色和范圍的服務(wù)賬戶(hù)。當(dāng)針對(duì)客戶(hù)已經(jīng)存在的服務(wù)賬戶(hù)的服務(wù)賬戶(hù)角色和范圍與所請(qǐng)求的角色和范圍相同或基本相似時(shí)，管理員管理應(yīng)用114隨后可布置成從服務(wù)賬戶(hù)數(shù)據(jù)庫(kù)126取回現(xiàn)有的服務(wù)賬戶(hù)。

可替選地，當(dāng)管理員管理應(yīng)用114判定針對(duì)該客戶(hù)不存在具有所請(qǐng)求角色和范圍的服務(wù)賬戶(hù)時(shí)，賬戶(hù)提供組件120可被配置為自動(dòng)地為該客戶(hù)創(chuàng)建新的服務(wù)賬戶(hù)。這還稱(chēng)為服務(wù)賬戶(hù)的懶惰提供，其中管理員管理應(yīng)用114可被配置為僅當(dāng)針對(duì)該客戶(hù)還不存在具有等同或基本相似角色和范圍的先前的服務(wù)賬戶(hù)時(shí)才創(chuàng)建服務(wù)賬戶(hù)。

在一些實(shí)施例中，管理員管理應(yīng)用114可以進(jìn)一步布置成至少部分地基于服務(wù)賬戶(hù)請(qǐng)求信息(例如，所請(qǐng)求的角色和范圍信息，請(qǐng)求的生存期信息等)以及客戶(hù)賬戶(hù)信息來(lái)創(chuàng)建新服務(wù)賬戶(hù)及其相關(guān)聯(lián)的服務(wù)賬戶(hù)信息。例如，假設(shè)客戶(hù)102-2的客戶(hù)賬戶(hù)信息可以包括客戶(hù)賬戶(hù)UPN“EllenAdams@.contoso.com”，而且請(qǐng)求的角色包括遠(yuǎn)程用戶(hù)和調(diào)試者且請(qǐng)求的范圍包括違反界限138-1-1。管理員管理應(yīng)用114可以利用包括服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”的服務(wù)賬戶(hù)信息來(lái)創(chuàng)建新的服務(wù)賬戶(hù)，使得客戶(hù)102-2可以至少部分地基于該UPN來(lái)標(biāo)識(shí)至少該服務(wù)賬戶(hù)的一個(gè)或多個(gè)角色?？商娲兀芾韱T管理應(yīng)用114還可以將新創(chuàng)建的服務(wù)賬戶(hù)存儲(chǔ)在服務(wù)賬戶(hù)數(shù)據(jù)庫(kù)126中并且將新創(chuàng)建的服務(wù)賬戶(hù)與該客戶(hù)的客戶(hù)賬戶(hù)相關(guān)聯(lián)。

為確保一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l管理的資源和/或資產(chǎn)能夠由一個(gè)或多個(gè)客戶(hù)102-a使用新創(chuàng)建的服務(wù)賬戶(hù)訪(fǎng)問(wèn)和/或服務(wù)，管理員管理應(yīng)用114可以進(jìn)一步布置成標(biāo)識(shí)管理一個(gè)或多個(gè)違反界限138-g-h的適當(dāng)?shù)哪夸浄?wù)服務(wù)器設(shè)備，其包括客戶(hù)請(qǐng)求訪(fǎng)問(wèn)和/或服務(wù)的一個(gè)或多個(gè)資源和/或資產(chǎn)。一旦標(biāo)識(shí)出適當(dāng)?shù)哪夸浄?wù)服務(wù)器設(shè)備，管理員管理應(yīng)用114可進(jìn)一步布置成經(jīng)由網(wǎng)絡(luò)互連112以及標(biāo)識(shí)的目錄服務(wù)服務(wù)器設(shè)備的一個(gè)或多個(gè)API與標(biāo)識(shí)的目錄服務(wù)服務(wù)器設(shè)備進(jìn)行通信，從而創(chuàng)建服務(wù)賬戶(hù)。可替代地，管理員管理應(yīng)用114可以布置成將新創(chuàng)建的服務(wù)賬戶(hù)和相關(guān)聯(lián)服務(wù)賬戶(hù)信息存儲(chǔ)在服務(wù)賬戶(hù)數(shù)據(jù)庫(kù)126中并且將新創(chuàng)建的服務(wù)賬戶(hù)和相關(guān)聯(lián)的服務(wù)賬戶(hù)信息與客戶(hù)賬戶(hù)相關(guān)聯(lián)，從而使其可被取回和重用。

在一些實(shí)施例中，一旦已經(jīng)取回或創(chuàng)建服務(wù)賬戶(hù)，管理員管理應(yīng)用114可進(jìn)一步布置成至少部分地基于請(qǐng)求的角色和范圍信息來(lái)使能服務(wù)賬戶(hù)，以使得取回的或創(chuàng)建的服務(wù)賬戶(hù)具有與客戶(hù)請(qǐng)求的相同的角色和范圍。這還確保了，所創(chuàng)建或取回的每個(gè)服務(wù)賬戶(hù)包括對(duì)客戶(hù)請(qǐng)求的資源和/或資產(chǎn)進(jìn)行訪(fǎng)問(wèn)或執(zhí)行服務(wù)所需的一組最小范圍的訪(fǎng)問(wèn)許可。為使能服務(wù)賬戶(hù)，管理員管理應(yīng)用114可以進(jìn)一步布置成至少部分地基于請(qǐng)求的角色和范圍信息準(zhǔn)許或提供對(duì)服務(wù)賬戶(hù)一組訪(fǎng)問(wèn)許可。

為確保將一組恰當(dāng)?shù)脑L(fǎng)問(wèn)許可準(zhǔn)許或提供給所提供的服務(wù)賬戶(hù)，管理員管理應(yīng)用114可布置成標(biāo)識(shí)用于管理適當(dāng)?shù)倪`反界限安全群組168-m-n的目錄服務(wù)服務(wù)器設(shè)備且標(biāo)識(shí)被配置為準(zhǔn)許通過(guò)使用網(wǎng)絡(luò)互連112以及一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l的目錄服務(wù)應(yīng)用(未示出)的一個(gè)或多個(gè)API訪(fǎng)問(wèn)一個(gè)或多個(gè)資源和/或資產(chǎn)的一個(gè)或多個(gè)違反界限安全群組168-m-n。一旦適當(dāng)?shù)哪夸浄?wù)服務(wù)器設(shè)備以及一個(gè)或多個(gè)違反界限安全群組168-m-n已經(jīng)被標(biāo)識(shí)出，管理員管理應(yīng)用114可被配置為與標(biāo)識(shí)的目錄服務(wù)服務(wù)器設(shè)備進(jìn)行通信以將提供的服務(wù)賬戶(hù)與標(biāo)識(shí)的違反界限安全群組相關(guān)聯(lián)。

在一些實(shí)施例中，管理員管理應(yīng)用114可布置成通過(guò)將服務(wù)賬戶(hù)作為成員添加到一個(gè)或多個(gè)違反界限安全群組168-m-n中來(lái)將服務(wù)賬戶(hù)與違反界限安全群組168-m-n相關(guān)聯(lián)，從而使得服務(wù)賬戶(hù)可被準(zhǔn)許訪(fǎng)問(wèn)與違反界限安全群組相關(guān)聯(lián)的違反界限內(nèi)的一個(gè)或多個(gè)資源和/或資產(chǎn)的一組訪(fǎng)問(wèn)許可。為進(jìn)一步限制攻擊者使用受危害的服務(wù)賬戶(hù)會(huì)導(dǎo)致的影響的范圍，管理員管理應(yīng)用114可被進(jìn)一步布置成限制服務(wù)賬戶(hù)可與之相關(guān)聯(lián)的違反界限安全群組168-m-n的數(shù)量(例如，每個(gè)服務(wù)賬戶(hù)可僅與單個(gè)違反界限安全群組相關(guān)聯(lián))。

在一些實(shí)施例中，管理員管理應(yīng)用114可進(jìn)一步布置成使能具有有限生存期的一個(gè)或多個(gè)服務(wù)賬戶(hù)。為確保在有限生存期內(nèi)使能一個(gè)或多個(gè)服務(wù)賬戶(hù)，管理員管理應(yīng)用114可進(jìn)一步布置成基于服務(wù)賬戶(hù)生存期信息或預(yù)定義服務(wù)賬戶(hù)生存期信息來(lái)管理與每個(gè)服務(wù)賬戶(hù)相關(guān)聯(lián)的生存期。管理員管理應(yīng)用114可進(jìn)一步布置成在已經(jīng)經(jīng)過(guò)了按服務(wù)賬戶(hù)生存期信息或預(yù)定義服務(wù)賬戶(hù)生存期信息所指示的一段時(shí)間后禁用和/或去除一個(gè)或多個(gè)服務(wù)賬戶(hù)。可以意識(shí)到，服務(wù)賬戶(hù)生存期信息可以包括但不限于當(dāng)服務(wù)賬戶(hù)過(guò)期或被禁用時(shí)的具體時(shí)間或經(jīng)過(guò)的時(shí)間以及服務(wù)賬戶(hù)被去除時(shí)的具體時(shí)間或經(jīng)過(guò)的時(shí)間。

在一些實(shí)施例中，對(duì)于給定的實(shí)現(xiàn)方式，可以基于經(jīng)由客戶(hù)端設(shè)備104-b從一個(gè)或多個(gè)客戶(hù)102-a接收到的服務(wù)賬戶(hù)請(qǐng)求信息來(lái)確定和/或獲得服務(wù)賬戶(hù)生存期信息。在其他實(shí)施例中，可基于服務(wù)賬戶(hù)角色和范圍信息所指示的一個(gè)或多個(gè)角色來(lái)確定和/或獲得服務(wù)賬戶(hù)生存期信息，其中一些角色(例如，遠(yuǎn)程用戶(hù)和調(diào)試者)會(huì)具有2小時(shí)的相關(guān)聯(lián)服務(wù)賬戶(hù)生存期，而其他角色(例如，后備操作者)可具有4小時(shí)的相關(guān)聯(lián)生存期。實(shí)施例不限于該上下文。

在一個(gè)示例性實(shí)施例中，服務(wù)賬戶(hù)的生存期可以從服務(wù)賬戶(hù)被提供(例如，由管理員管理應(yīng)用114提供)的時(shí)間開(kāi)始并且在基于服務(wù)賬戶(hù)生存期信息的規(guī)定時(shí)間或經(jīng)過(guò)的時(shí)間結(jié)束。替選地，服務(wù)賬戶(hù)的生存期可以從服務(wù)賬戶(hù)被首次使用(例如，客戶(hù)試圖使用服務(wù)賬戶(hù)來(lái)訪(fǎng)問(wèn)資源和/或資產(chǎn))的時(shí)間開(kāi)始且在基于服務(wù)賬戶(hù)生存期信息的規(guī)定時(shí)間或經(jīng)過(guò)的時(shí)間結(jié)束。示例性的實(shí)施例不限于該上下文。

在另一示例性實(shí)施例中，當(dāng)一個(gè)或多個(gè)客戶(hù)102-a訪(fǎng)問(wèn)由一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l管理的一個(gè)或多個(gè)資源和/或資產(chǎn)時(shí)，管理員管理應(yīng)用114可進(jìn)一步布置成經(jīng)由網(wǎng)絡(luò)互連112接收來(lái)自一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l的一個(gè)或多個(gè)訪(fǎng)問(wèn)批準(zhǔn)請(qǐng)求。管理員管理應(yīng)用114可被進(jìn)一步布置成，當(dāng)服務(wù)賬戶(hù)的生存期尚未到期時(shí)，自動(dòng)地批準(zhǔn)或允許一個(gè)或多個(gè)客戶(hù)102-a訪(fǎng)問(wèn)由相應(yīng)的目錄服務(wù)服務(wù)器設(shè)備130-l管理的一個(gè)或多個(gè)資源和/或資產(chǎn)。

可替代地，管理員管理應(yīng)用114可布置成，當(dāng)服務(wù)賬戶(hù)的生存期已經(jīng)到期時(shí)，自動(dòng)拒絕一個(gè)或多個(gè)客戶(hù)102-a對(duì)由相應(yīng)的目錄服務(wù)服務(wù)器設(shè)備130-l管理的一個(gè)或多個(gè)資源和/或資產(chǎn)的任何訪(fǎng)問(wèn)。另外，在一個(gè)實(shí)施例中，管理員管理應(yīng)用114還可布置成禁用服務(wù)賬戶(hù)和/或?qū)⒎?wù)賬戶(hù)與一個(gè)或多個(gè)違反界限安全群組解除關(guān)聯(lián)。

在一個(gè)示例性的實(shí)施例中，管理員管理應(yīng)用114可通過(guò)拒絕全部的訪(fǎng)問(wèn)批準(zhǔn)請(qǐng)求來(lái)禁用服務(wù)賬戶(hù)并且生成新的認(rèn)證令牌，而不將新生成的認(rèn)證令牌給客戶(hù)102-a。而且，管理員管理應(yīng)用114可以生成新的認(rèn)證令牌，通過(guò)請(qǐng)求例如認(rèn)證令牌管理應(yīng)用172重置服務(wù)賬戶(hù)的認(rèn)證令牌，而不將新生成的認(rèn)證令牌提供給客戶(hù)102-a。管理員管理應(yīng)用114還可以通過(guò)將服務(wù)賬戶(hù)從一個(gè)或多個(gè)違反界限安全群組中的成員關(guān)系去除來(lái)將服務(wù)賬戶(hù)解除關(guān)聯(lián)。

另外地或者替選地，管理員管理應(yīng)用114可以進(jìn)一步布置成對(duì)于任何被使能的服務(wù)賬戶(hù)周期性地掃描服務(wù)賬戶(hù)數(shù)據(jù)庫(kù)126并且基于服務(wù)賬戶(hù)生存期信息來(lái)禁用生存期已經(jīng)到期的任何服務(wù)賬戶(hù)。在一些實(shí)施例中，被禁用的服務(wù)賬戶(hù)也將立即終止(例如，被迫注銷(xiāo))當(dāng)前在使用的任何服務(wù)賬戶(hù)及其相關(guān)聯(lián)的活動(dòng)動(dòng)作或任務(wù)。為確保管理一個(gè)或多個(gè)資源和/或資產(chǎn)的一個(gè)或多個(gè)目錄服務(wù)器設(shè)備130-l恰當(dāng)?shù)嘏c服務(wù)賬戶(hù)數(shù)據(jù)庫(kù)126同步，管理員管理應(yīng)用114可進(jìn)一步布置成經(jīng)由網(wǎng)絡(luò)互連112以及目錄服務(wù)服務(wù)器設(shè)備130-l的目錄服務(wù)應(yīng)用的一個(gè)或多個(gè)API進(jìn)行通信以更新服務(wù)賬戶(hù)的服務(wù)賬戶(hù)生存期信息和/或禁用生存期到期的任何服務(wù)賬戶(hù)。

在服務(wù)賬戶(hù)被啟動(dòng)之后，管理員管理應(yīng)用114可以被布置成經(jīng)由一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b將一個(gè)或多個(gè)通知消息中的服務(wù)賬戶(hù)信息通知且提供給一個(gè)或多個(gè)客戶(hù)102-a。示例性的通知消息可包括但不限于，移動(dòng)SMS消息傳遞、自動(dòng)語(yǔ)音呼叫、電子郵件、交互式基于web的形式、web警告、基于互聯(lián)網(wǎng)和/或內(nèi)聯(lián)網(wǎng)的消息傳遞應(yīng)用、或者任何其他將提升訪(fǎng)問(wèn)許可的批準(zhǔn)和/或拒絕通知給一個(gè)或多個(gè)客戶(hù)102-a以及為一個(gè)或多個(gè)客戶(hù)102-a提供請(qǐng)求批準(zhǔn)信息、監(jiān)督批準(zhǔn)信息和/或服務(wù)賬戶(hù)信息的手段。為促進(jìn)客戶(hù)設(shè)置或生成認(rèn)證令牌，管理員管理應(yīng)用114可進(jìn)一步布置成在一個(gè)或多個(gè)通知消息中提供引用(例如，URL，諸如“https://AuthenticationTokenManagementFrontEnd”或“https://AuthenticationTokenManagementFrontEnd.contoso.com”)給認(rèn)證令牌管理應(yīng)用172，使得一個(gè)或多個(gè)客戶(hù)102-a可以訪(fǎng)問(wèn)認(rèn)證令牌管理應(yīng)用172從而設(shè)置和/或生成用于一個(gè)或多個(gè)提供的服務(wù)賬戶(hù)的一個(gè)或多個(gè)認(rèn)證令牌。

通過(guò)示例說(shuō)明的方式，假設(shè)具有名稱(chēng)“Ellen Adams”且客戶(hù)賬戶(hù)UPN“EllenAdams@contoso.com”的客戶(hù)102-2請(qǐng)求服務(wù)賬戶(hù)以至少通過(guò)客戶(hù)端設(shè)備104-2與管理員管理應(yīng)用114之間的加密連接訪(fǎng)問(wèn)一個(gè)或多個(gè)服務(wù)器設(shè)備140-i-j。作為對(duì)請(qǐng)求的回應(yīng)，管理員管理應(yīng)用114可首先基于客戶(hù)賬戶(hù)UPN(例如，“EllenAdams@contoso.com”)和客戶(hù)賬戶(hù)口令來(lái)認(rèn)證訪(fǎng)問(wèn)管理員管理應(yīng)用114的客戶(hù)102-2以建立安全連接(例如，可信且加密的連接)。替選地，管理員管理應(yīng)用114可以基于兩因素認(rèn)證(例如，智能卡和相關(guān)聯(lián)PIN)和接收到的安全令牌來(lái)認(rèn)證客戶(hù)102-2以建立安全連接。一旦經(jīng)過(guò)認(rèn)證，客戶(hù)102-2可以請(qǐng)求服務(wù)賬戶(hù)通過(guò)建立的安全連接以請(qǐng)求的4小時(shí)的生存期遠(yuǎn)程地調(diào)試服務(wù)器設(shè)備140-1-1。作為對(duì)該請(qǐng)求的回應(yīng)，管理員管理應(yīng)用114可以確定和/或接收從客戶(hù)102-2接收的具有包含了遠(yuǎn)程用戶(hù)和調(diào)試者的請(qǐng)求角色和違反界限138-1-1的請(qǐng)求范圍的訪(fǎng)問(wèn)許可的服務(wù)賬戶(hù)的請(qǐng)求角色和范圍信息。

繼續(xù)上述的示例說(shuō)明，管理員管理應(yīng)用114隨后可以基于與客戶(hù)102-2相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息以及服務(wù)賬戶(hù)請(qǐng)求信息(例如，請(qǐng)求角色和范圍信息)來(lái)判定是否授權(quán)對(duì)服務(wù)賬戶(hù)的提供，從而確保對(duì)具有在客戶(hù)102-2的客戶(hù)賬戶(hù)范圍內(nèi)或者與其一致的一組范圍許可的服務(wù)賬戶(hù)的請(qǐng)求。一旦請(qǐng)求已經(jīng)過(guò)授權(quán)，則管理員管理應(yīng)用114可以判定服務(wù)賬戶(hù)數(shù)據(jù)庫(kù)126中是否已經(jīng)存在針對(duì)客戶(hù)102-2的具有與請(qǐng)求的角色和范圍相同或基本相似的角色和范圍的現(xiàn)有服務(wù)賬戶(hù)。

仍繼續(xù)上面的示例說(shuō)明以及假設(shè)管理員管理應(yīng)用114已經(jīng)判定不存在現(xiàn)有的服務(wù)賬戶(hù)，則管理員管理應(yīng)用114可以標(biāo)識(shí)一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l中的使用違反界限安全群組168-1-1實(shí)現(xiàn)違反界限138-1-1的目錄服務(wù)服務(wù)器設(shè)備130-1。管理員管理應(yīng)用114可通過(guò)至少經(jīng)由網(wǎng)絡(luò)互連112以及目錄服務(wù)服務(wù)器設(shè)備130-1的目錄服務(wù)應(yīng)用(未示出)的一個(gè)或多個(gè)API來(lái)提供服務(wù)賬戶(hù)，使得客戶(hù)102-2能夠訪(fǎng)問(wèn)目錄服務(wù)服務(wù)器設(shè)備130-1所管理的服務(wù)器設(shè)備140-1-1，140-1-2，140-1-3，140-1-4，140-1-5，140-1-6。

仍繼續(xù)上面的說(shuō)明，管理員管理應(yīng)用114還可以將違反界限安全群組168-1-1標(biāo)識(shí)為被配置為準(zhǔn)予對(duì)服務(wù)器設(shè)備140-1-1，140-1-2，140-1-3的一組訪(fǎng)問(wèn)許可的違反界限安全群組。管理員管理應(yīng)用114可進(jìn)一步通過(guò)將提供的服務(wù)賬戶(hù)添加到至少所標(biāo)識(shí)的違反界限安全群組168-1-1中從而準(zhǔn)予所提供的服務(wù)賬戶(hù)對(duì)服務(wù)器設(shè)備140-1-1，140-1-2，140-1-3的一組訪(fǎng)問(wèn)許可而進(jìn)一步相關(guān)聯(lián)?？梢砸庾R(shí)到，管理員管理應(yīng)用114還可以通過(guò)將所提供的服務(wù)賬戶(hù)添加到其他群組(例如，遠(yuǎn)程用戶(hù)群組，調(diào)試者群組等)中從而準(zhǔn)予作為與遠(yuǎn)程用戶(hù)和調(diào)試者的訪(fǎng)問(wèn)許可來(lái)相關(guān)聯(lián)，使得所提供的服務(wù)賬戶(hù)可由客戶(hù)102-2使用來(lái)對(duì)服務(wù)器設(shè)備140-1-1，140-1-2，140-1-3執(zhí)行遠(yuǎn)程調(diào)試。

仍繼續(xù)上面的示例說(shuō)明，管理員管理應(yīng)用114還可以基于從指示服務(wù)賬戶(hù)生存期是4小時(shí)的從請(qǐng)求的生存期獲得的所確定的服務(wù)賬戶(hù)生存期信息來(lái)使能提供的服務(wù)賬戶(hù)。假設(shè)服務(wù)賬戶(hù)在下午12點(diǎn)提供給客戶(hù)102-2且提供的服務(wù)賬戶(hù)的生存期從服務(wù)賬戶(hù)被提供的時(shí)間即下午12點(diǎn)開(kāi)始，使得當(dāng)服務(wù)賬戶(hù)的生存期在下午4點(diǎn)結(jié)束時(shí)，管理員管理應(yīng)用114可以禁用服務(wù)賬戶(hù)且使用認(rèn)證令牌管理應(yīng)用172將與提供的服務(wù)賬戶(hù)相關(guān)聯(lián)的認(rèn)證令牌重置兩次，從而強(qiáng)制使與服務(wù)賬戶(hù)相關(guān)聯(lián)的任何活動(dòng)令牌(例如，在服務(wù)器設(shè)備140-1-1上的一個(gè)或多個(gè)過(guò)程的執(zhí)行中使用的訪(fǎng)問(wèn)令牌)過(guò)期。仍繼續(xù)上面的示例說(shuō)明，一旦使能服務(wù)賬戶(hù)，則管理員管理應(yīng)用114可以經(jīng)由客戶(hù)端設(shè)備104-2將服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN(例如，“EllenAdams_RemoteDebugger@domain136-1.contoso.com”)以及對(duì)認(rèn)證令牌管理應(yīng)用172的引用(例如，URL，諸如“https://AuthenticationTokenManagementFrontEnd”或“https://AuthenticationTokenManagementFrontEnd.contoso.com”)通知客戶(hù)102-2，使得客戶(hù)102-2可以訪(fǎng)問(wèn)認(rèn)證管理應(yīng)用172以設(shè)置和/或生成用于提供的服務(wù)賬戶(hù)的認(rèn)證令牌。客戶(hù)102-2隨后可使用具有生成的認(rèn)證令牌的所提供的服務(wù)賬戶(hù)，經(jīng)由客戶(hù)端設(shè)備104-2和網(wǎng)絡(luò)互連112在下午4點(diǎn)之前遠(yuǎn)程地調(diào)試服務(wù)器設(shè)備140-1-1(例如，使用遠(yuǎn)程桌面協(xié)議(RDP))。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理系統(tǒng)100可進(jìn)一步包括服務(wù)器設(shè)備170，該服務(wù)器設(shè)備可以通常布置成執(zhí)行認(rèn)證令牌管理應(yīng)用172以及其他應(yīng)用。認(rèn)證令牌管理應(yīng)用172通常布置成對(duì)訪(fǎng)問(wèn)認(rèn)證令牌管理應(yīng)用172或請(qǐng)求生成用于服務(wù)賬戶(hù)的認(rèn)證令牌的一個(gè)或多個(gè)客戶(hù)102-a進(jìn)行認(rèn)證。認(rèn)證令牌管理應(yīng)用172可以布置成經(jīng)由網(wǎng)絡(luò)互連112和一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b接收來(lái)自一個(gè)或多個(gè)客戶(hù)102-a的請(qǐng)求以生成用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)認(rèn)證令牌。此外，認(rèn)證令牌管理應(yīng)用172可布置成經(jīng)由網(wǎng)絡(luò)互連112和一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b為客戶(hù)102-a提供與服務(wù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)信息以及為一個(gè)或多個(gè)客戶(hù)102-a生成的認(rèn)證令牌。另外地，認(rèn)證令牌管理應(yīng)用172可進(jìn)一步布置成管理、生成、重置以及請(qǐng)求更新和/或設(shè)置用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)認(rèn)證令牌。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理應(yīng)用172可以包括認(rèn)證令牌管理組件174。認(rèn)證令牌管理組件174通?？刹贾贸蓪?duì)請(qǐng)求訪(fǎng)問(wèn)認(rèn)證令牌管理應(yīng)用172的一個(gè)或多個(gè)客戶(hù)102-a進(jìn)行認(rèn)證或驗(yàn)證、取回一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息和/或生成由一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l中的一個(gè)或多個(gè)目錄服務(wù)應(yīng)用(未示出)和/或管理員管理應(yīng)用114所管理的一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌。認(rèn)證令牌管理組件174還可以布置成取回并提供由一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l中的一個(gè)或多個(gè)目錄服務(wù)應(yīng)用(未示出)和/或管理員管理應(yīng)用114所管理的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。此外，認(rèn)證令牌管理組件174還可以布置成接收來(lái)自管理員管理應(yīng)用114的對(duì)一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌重置請(qǐng)求。

為使得能認(rèn)證一個(gè)或多個(gè)客戶(hù)102-a，認(rèn)證令牌管理組件174可被配置成經(jīng)由客戶(hù)端設(shè)備104-b從一個(gè)或多個(gè)客戶(hù)102-a請(qǐng)求和/或接收客戶(hù)賬戶(hù)信息(例如，賬戶(hù)UPN，賬戶(hù)標(biāo)識(shí)符和/或賬戶(hù)口令)的至少一部分，其中接收到的客戶(hù)賬戶(hù)信息可與一個(gè)或多個(gè)客戶(hù)102-a的客戶(hù)賬戶(hù)相關(guān)聯(lián)。一旦客戶(hù)賬戶(hù)信息被接收到，認(rèn)證令牌管理組件174可進(jìn)一步布置成經(jīng)由網(wǎng)絡(luò)互連112和目錄服務(wù)應(yīng)用110的一個(gè)或多個(gè)API進(jìn)行通信以認(rèn)證與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的接收到的客戶(hù)賬戶(hù)信息(例如，賬戶(hù)UPN，賬戶(hù)標(biāo)識(shí)符和/或賬戶(hù)口令)。

另外地或者可替代地，認(rèn)證令牌管理組件174可以包括被配置為從一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b接收聯(lián)合身份應(yīng)用162所發(fā)布的安全令牌(例如，SAML令牌)的權(quán)利要求使能應(yīng)用。認(rèn)證令牌管理組件174可被進(jìn)一步配置為基于接收到的安全令牌來(lái)認(rèn)證并標(biāo)識(shí)請(qǐng)求服務(wù)賬戶(hù)的一個(gè)或多個(gè)客戶(hù)102-a。接收到的安全令牌可以包括一個(gè)或多個(gè)權(quán)利要求，其可以包括與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的客戶(hù)賬戶(hù)信息。通過(guò)使用從客戶(hù)端設(shè)備104-b接收到的安全令牌，認(rèn)證令牌管理應(yīng)用172可以建立與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b的至少可信的連接。任選地，認(rèn)證令牌管理組件174可以進(jìn)一步將可信的會(huì)話(huà)cookie(例如，F(xiàn)edAuth cookie)提供給一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b，使得認(rèn)證令牌管理組件174可以建立與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b的可信連接，用于在認(rèn)證令牌管理應(yīng)用172與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b之間的任何后續(xù)通信。

可以意識(shí)到，在可信會(huì)話(huà)cookie沒(méi)有提供給一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b以保持用于后續(xù)通信的可信會(huì)話(huà)的實(shí)例中，認(rèn)證令牌管理組件174可被配置為對(duì)從一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b接收到的取回服務(wù)賬戶(hù)信息或者生成認(rèn)證令牌的每個(gè)請(qǐng)求進(jìn)行驗(yàn)證。例如，認(rèn)證令牌管理組件174可以通過(guò)核驗(yàn)接收到的安全令牌由例如聯(lián)合身份應(yīng)用162的可信STS提供商發(fā)布以及請(qǐng)求生成認(rèn)證令牌的客戶(hù)已經(jīng)基于兩因素認(rèn)證(例如，智能卡和相關(guān)聯(lián)PIN)進(jìn)行了認(rèn)證來(lái)驗(yàn)證請(qǐng)求。

為了進(jìn)一步保護(hù)可信的連接免于受到攻擊者危害或妨害，認(rèn)證令牌管理組件174還可以使用一個(gè)或多個(gè)安全通信協(xié)議(例如，超文本傳輸協(xié)議安全(HTTPS)來(lái)建立加密連接。通過(guò)這種方式，可以在認(rèn)證令牌管理應(yīng)用172與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b之間建立安全的連接(例如，可信且加密的連接)用于管理一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)認(rèn)證令牌。

一旦在認(rèn)證令牌管理應(yīng)用172與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b的每個(gè)客戶(hù)端設(shè)備之間建立安全的連接，認(rèn)證令牌管理組件174可被配置為通過(guò)相應(yīng)的安全連接經(jīng)由客戶(hù)端設(shè)備104-b從客戶(hù)102-a接收對(duì)與客戶(hù)的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息的一個(gè)或多個(gè)請(qǐng)求。認(rèn)證令牌管理組件174可被配置為至少部分地基于客戶(hù)賬戶(hù)信息(例如，客戶(hù)賬戶(hù)標(biāo)識(shí)符、客戶(hù)賬戶(hù)UPN等)，響應(yīng)于接收到的一個(gè)或多個(gè)請(qǐng)求，而經(jīng)由認(rèn)證令牌代理組件178請(qǐng)求并取回一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

一旦已經(jīng)經(jīng)由認(rèn)證令牌代理組件178取回一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息，認(rèn)證令牌管理組件174可以被配置為將一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息提供給一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b，用于顯示給一個(gè)或多個(gè)客戶(hù)102-a和/或使得一個(gè)或多個(gè)客戶(hù)102-b能夠生成一個(gè)或多個(gè)認(rèn)證令牌。另外地或者可替代地，認(rèn)證令牌管理組件174可被配置為響應(yīng)于接收到與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-a和/或客戶(hù)102-a相關(guān)聯(lián)的安全令牌，至少部分地基于客戶(hù)賬戶(hù)信息自動(dòng)地取回并提供一個(gè)或多個(gè)服務(wù)賬戶(hù)。

基于提供給一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息，一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b可被配置為接收請(qǐng)求生成用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)認(rèn)證令牌的一個(gè)或多個(gè)客戶(hù)102-a輸入(例如，鍵盤(pán)輸入、鼠標(biāo)輸入、觸摸輸入等)。認(rèn)證令牌管理組件174可被進(jìn)一步配置成經(jīng)由一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b從一個(gè)或多個(gè)客戶(hù)102-a接收生成一個(gè)或多個(gè)認(rèn)證令牌的一個(gè)或多個(gè)請(qǐng)求?？梢砸庾R(shí)到，生成認(rèn)證令牌的每個(gè)請(qǐng)求可以與令牌請(qǐng)求信息相關(guān)聯(lián)，令牌請(qǐng)求信息可包括但不限于，服務(wù)賬戶(hù)信息，諸如服務(wù)賬戶(hù)標(biāo)識(shí)符，服務(wù)賬戶(hù)UPN，和/或標(biāo)識(shí)服務(wù)賬戶(hù)的任何其他信息。

另外，為進(jìn)一步確保認(rèn)證令牌的生成的安全性，認(rèn)證令牌管理組件174可被進(jìn)一步配置為通過(guò)判定已經(jīng)被請(qǐng)求為其生成認(rèn)證令牌的服務(wù)賬戶(hù)是否與客戶(hù)賬戶(hù)相關(guān)聯(lián)來(lái)對(duì)為服務(wù)賬戶(hù)生成認(rèn)證令牌的請(qǐng)求和令牌請(qǐng)求信息進(jìn)行驗(yàn)證，使得客戶(hù)被限制為僅能夠針對(duì)與其客戶(hù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)生成認(rèn)證令牌。認(rèn)證令牌管理組件174可被進(jìn)一步配置為，當(dāng)認(rèn)證令牌管理組件174判定請(qǐng)求為其生成認(rèn)證令牌的服務(wù)賬戶(hù)不與客戶(hù)賬戶(hù)相關(guān)聯(lián)時(shí)，拒絕針對(duì)該服務(wù)賬戶(hù)生成認(rèn)證令牌的任何請(qǐng)求。

可以進(jìn)一步意識(shí)到，對(duì)于任選地與服務(wù)賬戶(hù)生存期信息所指示的至少有限生存期相關(guān)聯(lián)的服務(wù)賬戶(hù)，生成的認(rèn)證令牌可以是活的或者持續(xù)與服務(wù)賬戶(hù)保持使能或活動(dòng)相同的時(shí)段。因此如之前所述，在服務(wù)賬戶(hù)的生存期結(jié)束時(shí)，即，當(dāng)服務(wù)賬戶(hù)的生存期到期且服務(wù)賬戶(hù)被禁用時(shí)，認(rèn)證令牌管理組件174可被配置為接收將到期的服務(wù)賬戶(hù)的認(rèn)證令牌重置至少一次(或兩次或更多次)的請(qǐng)求而使得與服務(wù)賬戶(hù)相關(guān)聯(lián)的任何活動(dòng)的令牌(例如，訪(fǎng)問(wèn)令牌)到期?？梢砸庾R(shí)到，重置認(rèn)證令牌的每個(gè)請(qǐng)求可以與令牌重置信息相關(guān)聯(lián)，令牌重置信息可包括但不限于，服務(wù)賬戶(hù)信息，諸如服務(wù)賬戶(hù)標(biāo)識(shí)符，服務(wù)賬戶(hù)UPN，和/或任何其他標(biāo)識(shí)期望對(duì)其進(jìn)行服務(wù)賬戶(hù)認(rèn)證令牌的重置的到期的服務(wù)賬戶(hù)的信息。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理應(yīng)用172可以包括認(rèn)證令牌生成組件176。認(rèn)證令牌生成組件176通常布置成，在認(rèn)證令牌管理組件174已經(jīng)驗(yàn)證了生成一個(gè)或多個(gè)認(rèn)證令牌的請(qǐng)求之后，針對(duì)一個(gè)或多個(gè)服務(wù)賬戶(hù)生成具有不同復(fù)雜度的一個(gè)或多個(gè)認(rèn)證令牌。另外地或者可替代地，認(rèn)證令牌生成組件176可進(jìn)一步布置成，響應(yīng)于重置針對(duì)一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌的請(qǐng)求，為服務(wù)賬戶(hù)生成一個(gè)或多個(gè)認(rèn)證令牌。認(rèn)證令牌生成組件176可以進(jìn)一步布置成經(jīng)由認(rèn)證令牌代理組件178來(lái)更新或設(shè)置針對(duì)一個(gè)或多個(gè)服務(wù)賬戶(hù)生成的認(rèn)證令牌。

為以安全的方式生成認(rèn)證令牌，認(rèn)證令牌生成組件176可被配置為通過(guò)使用一個(gè)或多個(gè)安全硬件和/或軟件組件(例如，可信平臺(tái)模塊(TPM)，MICROSOFT.NET架構(gòu)庫(kù)的System.Web.Security.Membership等)來(lái)生成認(rèn)證令牌。而且，通過(guò)認(rèn)證令牌生成組件176生成的認(rèn)證令牌可以包括使用例如通過(guò)一個(gè)或多個(gè)安全硬件和/或軟件組件實(shí)現(xiàn)的一個(gè)或多個(gè)密碼學(xué)安全的隨機(jī)數(shù)發(fā)生器和/或散列函數(shù)以一種或多種格式(例如，通用字符集(UCS)轉(zhuǎn)換格式—8位(UTF-8)，UTF—16位(UTF-16)、基本串或二進(jìn)制串(BSTR)，C-String等)編碼的隨機(jī)字符串和/或隨機(jī)數(shù)據(jù)(例如，隨機(jī)字節(jié)等)。另外，認(rèn)證令牌生成組件176可以至少基于長(zhǎng)度/大小參數(shù)和/或字符類(lèi)參數(shù)來(lái)生成認(rèn)證令牌。

在認(rèn)證令牌可以包括明文隨機(jī)口令、密碼、密鑰、PIN等的一些實(shí)施例中，長(zhǎng)度/大小參數(shù)可以規(guī)定由認(rèn)證令牌生成組件176生成的最小長(zhǎng)度(例如，25個(gè)字符)?？商娲?，長(zhǎng)度參數(shù)可以規(guī)定范圍(例如，25個(gè)字符至30個(gè)字符之間)，使得認(rèn)證令牌生成組件176可以生成落入范圍的上下限內(nèi)且包含該范圍的上下限的不同長(zhǎng)度的明文隨機(jī)口令。為進(jìn)一步確保明文隨機(jī)口令的安全性，長(zhǎng)度參數(shù)可以被配置為規(guī)定以長(zhǎng)度為數(shù)百或甚至數(shù)千字符生成明文隨機(jī)口令，使得一個(gè)或多個(gè)人類(lèi)客戶(hù)102-a會(huì)在經(jīng)由普通手段和/或媒介物(例如，手寫(xiě)筆記、口語(yǔ)傳達(dá)等)精確地記住和/或傳達(dá)生成的隨機(jī)口令時(shí)遇到實(shí)質(zhì)性的困難。

在認(rèn)證令牌可以包括明文隨機(jī)口令、密碼、密鑰、PIN等的那些實(shí)施例中，字符類(lèi)參數(shù)可用于規(guī)定字符類(lèi)的一個(gè)或多個(gè)組合，使得認(rèn)證令牌生成組件176可以生成包括在一個(gè)或多個(gè)特定字符類(lèi)中的至少一個(gè)字符的認(rèn)證令牌。示例性的字符類(lèi)可以包括但不限于小寫(xiě)字母(例如，a至z)、大寫(xiě)字母(例如，A至Z)、符號(hào)(例如，“`～！@#$%^&*()[]{}；：’”，.？//*-+”)，數(shù)字(例如，數(shù)字0至9)，或者可以以一種或多種格式(例如，UTF-8，UTF-16等)限定的任何其他字符類(lèi)。

在認(rèn)證令牌可以包括明文隨機(jī)口令、密碼、密鑰、PIN等的那些實(shí)施例中，認(rèn)證令牌生成組件176可以進(jìn)一步被配置為生成包括在標(biāo)準(zhǔn)輸入設(shè)備(例如，標(biāo)準(zhǔn)104鍵的鍵盤(pán))上包含的一個(gè)或多個(gè)字符類(lèi)的認(rèn)證令牌，從而利于通過(guò)使用標(biāo)準(zhǔn)輸入設(shè)備來(lái)輸入認(rèn)證令牌，而不管與一個(gè)或多個(gè)服務(wù)賬戶(hù)相關(guān)聯(lián)的語(yǔ)言和/或場(chǎng)所信息。一旦認(rèn)證令牌已經(jīng)生成，認(rèn)證令牌生成組件176可被配置為至少部分地基于代理認(rèn)證信息(例如，認(rèn)證令牌代理組件178與令牌管理代理應(yīng)用192之間的共享秘密數(shù)字證書(shū)以及共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)，經(jīng)由認(rèn)證令牌代理組件178來(lái)更新或設(shè)置用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌。

為確保每個(gè)生成的認(rèn)證令牌是唯一且不會(huì)再次被用于不同的服務(wù)賬戶(hù)，認(rèn)證令牌生成組件176可被進(jìn)一步配置為將一個(gè)或多個(gè)先前生成或使用過(guò)的認(rèn)證令牌的摘要或散列存儲(chǔ)在認(rèn)證令牌沖突數(shù)據(jù)庫(kù)(未示出)中。因此，在一個(gè)示例性的實(shí)現(xiàn)方式中，認(rèn)證令牌生成組件176可以被配置為生成認(rèn)證令牌，確定或計(jì)算生成的認(rèn)證令牌的散列或摘要，并且搜索或通過(guò)將散列或摘要進(jìn)行比較而將新生成的認(rèn)證令牌與那些存儲(chǔ)在認(rèn)證令牌沖突數(shù)據(jù)庫(kù)中的認(rèn)證令牌進(jìn)行匹配，從而判定先前生成的認(rèn)證令牌是否已經(jīng)使用和/或生成。如果未發(fā)現(xiàn)匹配，則認(rèn)證令牌生成組件176可以將新生成的認(rèn)證令牌的散列或摘要存儲(chǔ)在認(rèn)證令牌沖突數(shù)據(jù)庫(kù)中，并且新生成的認(rèn)證令牌可用于更新服務(wù)賬戶(hù)。如果發(fā)現(xiàn)匹配，則認(rèn)證令牌生成組件176可隨后生成新的認(rèn)證令牌，并且重復(fù)上述過(guò)程，直至生成了唯一認(rèn)證令牌。

可意識(shí)到，一旦生成了認(rèn)證令牌且生成的認(rèn)證令牌用于更新或設(shè)置用于服務(wù)賬戶(hù)的認(rèn)證令牌，則一旦其丟失可以不為一個(gè)或多個(gè)客戶(hù)102-a恢復(fù)生成的認(rèn)證令牌。因此，在一些實(shí)施例中，通過(guò)認(rèn)證令牌生成組件176生成的每個(gè)認(rèn)證令牌也可以是不可恢復(fù)的、不變的和/或唯一的認(rèn)證令牌。實(shí)施例不限于該上下文。

可以進(jìn)一步意識(shí)到，認(rèn)證令牌生成組件176可被配置為是認(rèn)證令牌管理系統(tǒng)100中用于生成認(rèn)證令牌的唯一組件，使得認(rèn)證令牌生成可以在集中的位置執(zhí)行，即，在認(rèn)證令牌管理應(yīng)用170內(nèi)執(zhí)行，從而可以確保和監(jiān)控認(rèn)證令牌的生成。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理應(yīng)用172可包括認(rèn)證令牌代理組件178。認(rèn)證令牌代理組件178可通常布置成存儲(chǔ)代理認(rèn)證信息，并且使用一個(gè)或多個(gè)安全通信協(xié)議(例如，HTTPS)和代理認(rèn)證信息來(lái)建立至少一個(gè)經(jīng)由網(wǎng)絡(luò)互連112與執(zhí)行于服務(wù)器設(shè)備190上的令牌管理代理應(yīng)用192的加密連接。而且，為使能至少一個(gè)加密連接的建立，包含在數(shù)據(jù)中心142中的令牌管理代理應(yīng)用192可以暴露或?qū)崿F(xiàn)公共端點(diǎn)，使得認(rèn)證令牌代理組件178可以與令牌管理代理應(yīng)用連接且建立至少與令牌管理代理應(yīng)用的加密連接。

在各個(gè)實(shí)施例中，認(rèn)證令牌代理組件178可以進(jìn)一步布置成經(jīng)由建立的加密連接來(lái)管理且與令牌管理代理應(yīng)用192通信。認(rèn)證令牌代理組件178還可以布置成通過(guò)經(jīng)由網(wǎng)絡(luò)互連112與令牌管理代理應(yīng)用192通信來(lái)取回一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。認(rèn)證令牌代理組件178還可以布置為通過(guò)建立的加密連接從令牌管理代理應(yīng)用192接收一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。認(rèn)證令牌代理組件178可以進(jìn)一步布置成通過(guò)建立的加密連接經(jīng)由與令牌管理代理應(yīng)用192通信來(lái)請(qǐng)求更新或設(shè)置所生成的一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌。

為了取回與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)，通過(guò)經(jīng)由建立的加密連接提供至少客戶(hù)賬戶(hù)信息(例如，客戶(hù)賬戶(hù)標(biāo)識(shí)符、客戶(hù)賬戶(hù)UPN等)以及由認(rèn)證令牌代理組件178存儲(chǔ)的代理認(rèn)證信息(例如，共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)的部分，認(rèn)證令牌代理組件178可以從令牌管理代理應(yīng)用192來(lái)請(qǐng)求一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。作為對(duì)請(qǐng)求的回應(yīng)，認(rèn)證令牌代理組件178還可以通過(guò)建立的加密連接接收所請(qǐng)求的與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

為了更新或設(shè)置用于與一個(gè)或多個(gè)客戶(hù)102-a相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌，認(rèn)證令牌代理組件178可以被配置為，通過(guò)經(jīng)由建立的加密連接提供至少服務(wù)賬戶(hù)信息(里人，服務(wù)賬戶(hù)標(biāo)識(shí)符，服務(wù)賬戶(hù)UPN等)、生成的認(rèn)證令牌、以及代理認(rèn)證信息(例如，共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)的一部分，請(qǐng)求更新或設(shè)置所生成的一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌。

為了確保所生成的認(rèn)證令牌不會(huì)由一個(gè)或多個(gè)客戶(hù)102-a使用服務(wù)賬戶(hù)在后來(lái)進(jìn)行更新或修改或恢復(fù)，認(rèn)證令牌代理組件178可被配置為通過(guò)建立的加密連接經(jīng)由令牌管理代理應(yīng)用192請(qǐng)求更新或設(shè)置所生成的認(rèn)證令牌為不可恢復(fù)的和/或不可變的認(rèn)證令牌(至少關(guān)于一個(gè)或多個(gè)服務(wù)賬戶(hù))。

為了重置用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)認(rèn)證令牌，認(rèn)證令牌代理組件178可被配置為，通過(guò)經(jīng)由建立的加密連接來(lái)至少提供至少服務(wù)賬戶(hù)信息(例如，服務(wù)賬戶(hù)標(biāo)識(shí)符、服務(wù)賬戶(hù)UPN等)、生成的認(rèn)證令牌，以及代理認(rèn)證信息(例如，共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)，請(qǐng)求更新或設(shè)置一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理應(yīng)用172可以進(jìn)一步包括認(rèn)證令牌通知組件180。認(rèn)證令牌通知組件180可通常布置成經(jīng)由先前建立的在認(rèn)證令牌管理應(yīng)用172與一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b之間的安全連接將生成的認(rèn)證令牌提供給一個(gè)或多個(gè)客戶(hù)102-a。

在一個(gè)實(shí)施例中，認(rèn)證令牌通知組件180可以被配置為經(jīng)由先前建立的安全連接來(lái)將至少生成的認(rèn)證令牌提供給一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b作為隱藏元素或非可視元素并且使得一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b能夠以編程方式訪(fǎng)問(wèn)(例如，編程剪切板訪(fǎng)問(wèn)和/或文檔對(duì)象模型(DOM)訪(fǎng)問(wèn))認(rèn)證令牌。任選地，認(rèn)證令牌通知組件180還可以被配置為將與認(rèn)證令牌相關(guān)聯(lián)的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN提供作為用于編程訪(fǎng)問(wèn)的隱藏元素或非可視元素。

另外地或者可替代地，認(rèn)證令牌通知組件180還可以被配置為響應(yīng)于客戶(hù)102-a顯露認(rèn)證令牌的要求而將生成的認(rèn)證令牌提供作為能夠被顯露在客戶(hù)端設(shè)備104-b上的元素。任選地，認(rèn)證令牌通知組件180還可以被配置為，響應(yīng)于客戶(hù)102-a顯露認(rèn)證令牌的要求而提供與認(rèn)證令牌相關(guān)聯(lián)的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN作為能夠顯露在客戶(hù)端設(shè)備104-b上的可視元素，使得服務(wù)賬戶(hù)標(biāo)識(shí)符和/或服務(wù)賬戶(hù)UPN以及生成的認(rèn)證令牌可同時(shí)對(duì)一個(gè)或多個(gè)客戶(hù)102-a顯示以及可見(jiàn)。

一旦一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b接收到認(rèn)證令牌，客戶(hù)端設(shè)備104-b可以使用一個(gè)或多個(gè)加密算法(例如，Twofish對(duì)稱(chēng)密鑰塊密碼)以一種加密格式自動(dòng)且安全地將服務(wù)賬戶(hù)標(biāo)識(shí)符和/或服務(wù)賬戶(hù)UPN以及相關(guān)聯(lián)的認(rèn)證令牌存儲(chǔ)在認(rèn)證令牌數(shù)據(jù)庫(kù)166(例如，Password Safe)中。可以意識(shí)到，在一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b接收到由認(rèn)證令牌通知組件180提供的生成的認(rèn)證令牌之后，生成的認(rèn)證令牌可以在后來(lái)的時(shí)候不可訪(fǎng)問(wèn)、不可見(jiàn)或者不可恢復(fù)，除非認(rèn)證令牌由一個(gè)或多個(gè)客戶(hù)102-a存儲(chǔ)在例如認(rèn)證令牌數(shù)據(jù)庫(kù)166或其他地方(例如，如果可能是，手寫(xiě))。一旦存儲(chǔ)，一個(gè)或多個(gè)客戶(hù)102-a隨后可以取回存儲(chǔ)的服務(wù)賬戶(hù)標(biāo)識(shí)符和/或服務(wù)賬戶(hù)UPN，以及相關(guān)聯(lián)的認(rèn)證令牌，以訪(fǎng)問(wèn)一個(gè)或多個(gè)資源和/或資產(chǎn)(例如，服務(wù)器設(shè)備140-i-j)。

可以意識(shí)到，在響應(yīng)于為一個(gè)或多個(gè)服務(wù)賬戶(hù)重置認(rèn)證令牌的請(qǐng)求而生成認(rèn)證令牌的實(shí)例中，認(rèn)證令牌通知組件180可以被配置為不將生成的認(rèn)證令牌通過(guò)相應(yīng)的安全連接經(jīng)由客戶(hù)端設(shè)備104-b提供給客戶(hù)102-a。

可以進(jìn)一步意識(shí)到，通過(guò)使用管理員管理應(yīng)用114與認(rèn)證令牌管理應(yīng)用172相結(jié)合來(lái)提供一個(gè)或多個(gè)服務(wù)賬戶(hù)以生成用于一個(gè)或多個(gè)提供的服務(wù)賬戶(hù)的認(rèn)證令牌，在一些實(shí)施例中，數(shù)據(jù)中心142中的一個(gè)或多個(gè)SaaS系統(tǒng)中的每個(gè)服務(wù)賬戶(hù)可替代成機(jī)器生成的認(rèn)證令牌或者使用機(jī)器生成的認(rèn)證令牌。

通過(guò)示例說(shuō)明的方式，假設(shè)具有名稱(chēng)“Ellen Adams”且客戶(hù)賬戶(hù)UPN“EllenAdams@contoso.com”的客戶(hù)102-2請(qǐng)求服務(wù)賬戶(hù)以在請(qǐng)求的4小時(shí)生存期內(nèi)遠(yuǎn)程地調(diào)試服務(wù)器設(shè)備140-1-1。作為對(duì)服務(wù)賬戶(hù)請(qǐng)求的回應(yīng)，管理員管理應(yīng)用114為服務(wù)賬戶(hù)提供服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”，并且經(jīng)由客戶(hù)端設(shè)備104-2將有關(guān)服務(wù)賬戶(hù)UPN以及到認(rèn)證令牌管理應(yīng)用172的URL“https://AuthenticationTokenManagementFrontEnd”或“https://AuthenticationTokenManagementFrontEnd.contoso.com”通知客戶(hù)102-2?？蛻?hù)102-2隨后可以經(jīng)由執(zhí)行于客戶(hù)端設(shè)備104-2上的客戶(hù)端應(yīng)用(例如，web瀏覽器)來(lái)請(qǐng)求通過(guò)至少加密的連接訪(fǎng)問(wèn)認(rèn)證管理應(yīng)用172。

繼續(xù)上面的示例說(shuō)明，并且響應(yīng)于訪(fǎng)問(wèn)認(rèn)證管理應(yīng)用172的請(qǐng)求，認(rèn)證令牌管理組件174可以首先基于客戶(hù)賬戶(hù)UPN(例如，“EllenAdams@contoso.com”)以及客戶(hù)賬戶(hù)口令來(lái)認(rèn)證訪(fǎng)問(wèn)認(rèn)證令牌管理應(yīng)用172的客戶(hù)102-2，從而建立安全連接(例如，可信且加密的連接)。可替代地，認(rèn)證令牌管理組件174可基于兩因素認(rèn)證(例如智能卡和相關(guān)聯(lián)PIN)和接收到的安全令牌來(lái)認(rèn)證客戶(hù)102-2以建立安全的連接。一旦經(jīng)過(guò)認(rèn)證，客戶(hù)102-2可以經(jīng)由客戶(hù)端設(shè)備104-2(例如，異步j(luò)avascript(AJAX)POST)經(jīng)由建立的安全連接來(lái)請(qǐng)求與客戶(hù)賬戶(hù)UPN“EllenAdams@contoso.com”相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)。

仍繼續(xù)上面的示例說(shuō)明，響應(yīng)于對(duì)一個(gè)或多個(gè)服務(wù)賬戶(hù)的請(qǐng)求或者基于客戶(hù)102-2的成功認(rèn)證而自動(dòng)地，認(rèn)證令牌管理組件174隨后可以經(jīng)由認(rèn)證令牌代理組件178來(lái)請(qǐng)求與客戶(hù)賬戶(hù)UPN“EllenAdams@contoso.com”相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。而且，認(rèn)證令牌代理組件178隨后可以針對(duì)數(shù)據(jù)中心142所包含的令牌管理代理應(yīng)用192所暴露的公共端點(diǎn)來(lái)發(fā)出取回服務(wù)賬戶(hù)信息的請(qǐng)求(例如，遠(yuǎn)程PowerShell命令)。該請(qǐng)求可以包括但不限于，客戶(hù)賬戶(hù)UPN“EllenAdams@contoso.com”以及代理認(rèn)證信息的一部分，諸如共享秘密證書(shū)的數(shù)字指紋或拇指指紋。認(rèn)證令牌管理組件174隨后可以接收一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息，其可以包括但不限于，具有服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”的先前提供的服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

仍繼續(xù)上面的示例說(shuō)明，認(rèn)證令牌管理組件174隨后可以將與客戶(hù)102-2相關(guān)聯(lián)的接收到的服務(wù)賬戶(hù)信息提供給客戶(hù)端設(shè)備104-2的客戶(hù)端應(yīng)用，諸如例如web瀏覽器中的網(wǎng)頁(yè)。提供給客戶(hù)端設(shè)備104-2的客戶(hù)端應(yīng)用的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息的示例性的實(shí)施例圖示在圖2中。響應(yīng)于服務(wù)賬戶(hù)信息，客戶(hù)102-2可以經(jīng)由客戶(hù)端設(shè)備104-2(例如，AJAX POST)請(qǐng)求生成用于服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN所標(biāo)識(shí)的服務(wù)賬戶(hù)的認(rèn)證令牌。

仍繼續(xù)上面的示例說(shuō)明，以及響應(yīng)于生成認(rèn)證令牌的請(qǐng)求，認(rèn)證令牌生成組件176可以基于長(zhǎng)度參數(shù)(例如，8個(gè)字符)和字符類(lèi)參數(shù)(例如，a-z,A-Z,0-9和符號(hào))來(lái)生成例如唯一明文隨機(jī)口令，使得示例性的明文隨機(jī)口令可以包括“Xe2&a^％5”?？梢砸庾R(shí)到，示例性的明文隨機(jī)口令僅為了理解的目的而提供，因?yàn)閷?shí)際上，生成的認(rèn)證令牌，諸如示例性的明文隨機(jī)口令，可以包括實(shí)質(zhì)上更多的字符(例如，長(zhǎng)度為25-30個(gè)字符或者甚至100至100,000個(gè)字符)并且可以實(shí)質(zhì)上更加復(fù)雜。

仍繼續(xù)上面的示例說(shuō)明，在諸如示例性的明文隨機(jī)口令的認(rèn)證令牌已經(jīng)生成之后，認(rèn)證令牌生成組件176可以經(jīng)由認(rèn)證令牌代理組件178發(fā)出將認(rèn)證令牌更新或設(shè)置成示例性的明文隨機(jī)口令“Xe2&a^％5”的請(qǐng)求。而且，認(rèn)證令牌代理組件178隨后可以向由數(shù)據(jù)中心142中包含的令牌管理代理應(yīng)用192所暴露的公共端點(diǎn)發(fā)出更新或設(shè)置認(rèn)證令牌的請(qǐng)求(例如，遠(yuǎn)程PowerShell命令)。請(qǐng)求可以包括但不限于，服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”，示例性的明文隨機(jī)口令“Xe2&a^％5”，以及代理認(rèn)證信息的部分，諸如共享秘密證書(shū)的數(shù)字指紋或拇指指紋。

仍繼續(xù)上面的示例說(shuō)明，在已經(jīng)為服務(wù)賬戶(hù)更新或設(shè)置了認(rèn)證令牌之后，認(rèn)證令牌通知組件180可以通過(guò)建立的安全連接(例如，使用HTTPS的可信且加密的連接)經(jīng)由客戶(hù)端設(shè)備104-2向客戶(hù)102-2通知和/或提供至少示例性的明文隨機(jī)口令“Xe2&a^％5”(例如，以JavaScript Object Notation(JSON)陣列存儲(chǔ))作為客戶(hù)端設(shè)備104-2的web瀏覽器上的網(wǎng)頁(yè)中的隱藏div。任選地，隱藏div還可以包含服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”。

仍繼續(xù)上面的示例說(shuō)明，在認(rèn)證令牌通知組件180已經(jīng)為客戶(hù)102-2通知和/或提供了示例性的明文隨機(jī)口令和/或服務(wù)賬戶(hù)UPN之后，客戶(hù)102-2隨后可以經(jīng)由客戶(hù)端設(shè)備104-2的剪切板來(lái)訪(fǎng)問(wèn)示例性的明文隨機(jī)口令“Xe2&a^％5”和/或服務(wù)賬戶(hù)UPN，并且將示例性的明文隨機(jī)口令“Xe2&a^％5”和/或服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”存儲(chǔ)在與客戶(hù)端設(shè)備104-2通信耦合的認(rèn)證令牌數(shù)據(jù)庫(kù)166諸如例如Password Safe中。另外地或者可替代地，響應(yīng)于客戶(hù)102-2顯露示例性的明文隨機(jī)口令的需求，示例性的明文隨機(jī)口令和/或服務(wù)賬戶(hù)UPN可以呈現(xiàn)為能夠顯露在客戶(hù)端設(shè)備104-2上的元素(即，“按需顯露”)。另外地或者可替代地，與客戶(hù)端設(shè)備104-2上的web瀏覽器相關(guān)聯(lián)的插件組件可以被配置為經(jīng)由DOM對(duì)象自動(dòng)地訪(fǎng)問(wèn)示例性的明文隨機(jī)口令“Xe2&a^％5”和/或服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”并且將示例性的明文隨機(jī)口令和/或服務(wù)賬戶(hù)UPN自動(dòng)地存儲(chǔ)在認(rèn)證令牌數(shù)據(jù)庫(kù)166中，而無(wú)需任何來(lái)自客戶(hù)102-2的輸入。

仍繼續(xù)上面的說(shuō)明，在示例性的明文隨機(jī)口令和/或服務(wù)賬戶(hù)UPN已經(jīng)通過(guò)建立的安全連接經(jīng)由客戶(hù)端設(shè)備104-2提供給客戶(hù)102-2之后，客戶(hù)102-2隨后可以使用由服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”標(biāo)識(shí)的提供的服務(wù)賬戶(hù)通過(guò)示例性的明文隨機(jī)口令“Xe2&a^％5”在服務(wù)賬戶(hù)生存期4小時(shí)內(nèi)訪(fǎng)問(wèn)且遠(yuǎn)程調(diào)試數(shù)據(jù)中心142中的服務(wù)器設(shè)備140-1-1(例如，使用遠(yuǎn)程桌面協(xié)議(RDP))。

在各個(gè)實(shí)施例中，認(rèn)證令牌管理系統(tǒng)100的數(shù)據(jù)中心142可以包括服務(wù)器設(shè)備190，服務(wù)器設(shè)備190通?？刹贾贸蓤?zhí)行令牌管理代理應(yīng)用192以及其他應(yīng)用。令牌管理代理應(yīng)用192可經(jīng)由數(shù)據(jù)中心142中的一個(gè)或多個(gè)網(wǎng)絡(luò)和/或網(wǎng)絡(luò)互連112與一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l通信耦合，以便于取回一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息和/或更新或設(shè)置一個(gè)或多個(gè)服務(wù)賬戶(hù)的一個(gè)或多個(gè)認(rèn)證令牌。

令牌管理代理應(yīng)用192通?？刹贾贸杀┞痘?qū)崿F(xiàn)數(shù)據(jù)中心142中的公共端點(diǎn)，以使認(rèn)證令牌管理應(yīng)用172能夠連接且至少建立認(rèn)證令牌管理應(yīng)用172與令牌管理代理應(yīng)用192之間的加密連接(例如，使用HTTPS協(xié)議的加密連接)。令牌管理代理應(yīng)用192可以布置成存儲(chǔ)可用于至少建立加密連接的代理認(rèn)證信息。令牌管理代理應(yīng)用192可進(jìn)一步布置成接收對(duì)服務(wù)賬戶(hù)信息的請(qǐng)求，取回服務(wù)賬戶(hù)信息，以及更新或設(shè)置一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌。

在各個(gè)實(shí)施例中，令牌管理代理應(yīng)用192可以包括服務(wù)賬戶(hù)取回組件194。服務(wù)賬戶(hù)取回組件194通?？刹贾贸赏ㄟ^(guò)建立的加密連接從認(rèn)證令牌代理組件178接收對(duì)服務(wù)賬戶(hù)信息的請(qǐng)求，從一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l的一個(gè)或多個(gè)目錄服務(wù)應(yīng)用取回服務(wù)賬戶(hù)信息，以及通過(guò)建立的加密連接將取回的服務(wù)賬戶(hù)信息提供給認(rèn)證令牌代理組件178。

在一個(gè)實(shí)施例中，服務(wù)賬戶(hù)取回組件194可以被配置為接收取回與客戶(hù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)信息的請(qǐng)求。每個(gè)請(qǐng)求可包括至少客戶(hù)賬戶(hù)信息(例如，客戶(hù)賬戶(hù)標(biāo)識(shí)符、客戶(hù)賬戶(hù)UPN等)以及代理認(rèn)證信息(例如，共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)的一部分。響應(yīng)于接收到的對(duì)服務(wù)賬戶(hù)信息的請(qǐng)求，服務(wù)賬戶(hù)取回組件194可被配置為基于接收的代理認(rèn)證信息的部分來(lái)授權(quán)接收的請(qǐng)求。

一旦請(qǐng)求被授權(quán)，服務(wù)賬戶(hù)取回組件194可以被進(jìn)一步配置為經(jīng)由網(wǎng)絡(luò)互連112以及一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l的目錄服務(wù)應(yīng)用(未示出)的一個(gè)或多個(gè)API進(jìn)行通信以取回與客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN標(biāo)識(shí)的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。一旦服務(wù)賬戶(hù)信息已經(jīng)被取回，服務(wù)賬戶(hù)取回組件194可以被配置為通過(guò)建立的加密連接將取回的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息提供給認(rèn)證代理組件178。

在各個(gè)實(shí)施例中，令牌管理代理應(yīng)用192可進(jìn)一步包括認(rèn)證令牌更新組件196。認(rèn)證令牌更新組件196可以通常布置成接收更新請(qǐng)求以及更新或設(shè)置與服務(wù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)認(rèn)證令牌。

在一個(gè)實(shí)施例中，認(rèn)證令牌更新組件196可以被配置為接收更新或設(shè)置一個(gè)或多個(gè)服務(wù)賬戶(hù)的認(rèn)證令牌的更新請(qǐng)求。每個(gè)請(qǐng)求可以包括至少服務(wù)賬戶(hù)信息(例如，服務(wù)賬戶(hù)標(biāo)識(shí)符，服務(wù)賬戶(hù)UPN等)、要更新或設(shè)置的服務(wù)賬戶(hù)的生成的認(rèn)證令牌以及代理認(rèn)證信息(例如，共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋)的一部分。響應(yīng)于接收到的更新服務(wù)賬戶(hù)的認(rèn)證令牌的請(qǐng)求，認(rèn)證令牌更新組件196可以被配置為基于接收到的代理認(rèn)證信息的部分來(lái)授權(quán)接收到的請(qǐng)求。

一旦請(qǐng)求已經(jīng)過(guò)授權(quán)，認(rèn)證令牌更新組件196可被配置為至少部分地基于包含在與服務(wù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)信息中的目錄服務(wù)信息(例如，與服務(wù)賬戶(hù)相關(guān)聯(lián)的目錄服務(wù)服務(wù)器設(shè)備)來(lái)標(biāo)識(shí)管理服務(wù)賬戶(hù)的適當(dāng)?shù)哪夸浄?wù)服務(wù)器設(shè)備。可以意識(shí)到，包括目錄服務(wù)信息的服務(wù)賬戶(hù)信息可由認(rèn)證令牌管理組件174應(yīng)請(qǐng)求而提供。

一旦目錄服務(wù)服務(wù)器設(shè)備已被標(biāo)識(shí)出，認(rèn)證令牌更新組件196可以被進(jìn)一步配置為經(jīng)由網(wǎng)絡(luò)互連112以及標(biāo)識(shí)的目錄服務(wù)服務(wù)器設(shè)備的目錄服務(wù)應(yīng)用(未示出)的一個(gè)或多個(gè)API進(jìn)行通信以利用接收到的生成的認(rèn)證令牌來(lái)更新或設(shè)置由服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN標(biāo)識(shí)的服務(wù)賬戶(hù)的認(rèn)證令牌。

為了確保認(rèn)證令牌在可用形式下不可恢復(fù)，在一些實(shí)施例中，標(biāo)識(shí)的目錄服務(wù)服務(wù)器設(shè)備可以?xún)H存儲(chǔ)生成的認(rèn)證令牌的加密單向散列或生成的認(rèn)證令牌的鹽化版本，使得即使當(dāng)目錄服務(wù)服務(wù)器設(shè)備受危害時(shí)，原始認(rèn)證令牌也不可以由攻擊者恢復(fù)。

可以意識(shí)到，在期望不可變的認(rèn)證令牌的實(shí)現(xiàn)方式中，認(rèn)證令牌更新組件196可被進(jìn)一步配置為經(jīng)由網(wǎng)絡(luò)互連112以及標(biāo)識(shí)的目錄服務(wù)服務(wù)器設(shè)備的目錄服務(wù)應(yīng)用(未示出)的一個(gè)或多個(gè)API進(jìn)行通信以將接收到的用于服務(wù)賬戶(hù)的生成的認(rèn)證令牌更新或設(shè)置為不可變認(rèn)證令牌(至少關(guān)于一個(gè)或多個(gè)服務(wù)賬戶(hù))，以使得一個(gè)或多個(gè)服務(wù)賬戶(hù)可以不具有更新與一個(gè)或多個(gè)服務(wù)賬戶(hù)相關(guān)聯(lián)的認(rèn)證令牌的所必要的訪(fǎng)問(wèn)許可。

在上述實(shí)施例的非限制的示例性實(shí)現(xiàn)方式中，令牌管理代理應(yīng)用192可以由存儲(chǔ)在服務(wù)器設(shè)備190上的服務(wù)賬戶(hù)取回殼腳本(例如，MICROSOFT GetAccountsForUser.psl PowerSheel腳本)以及認(rèn)證令牌更新殼腳本(例如，MICROSOFT ResetPassowrd.psl PowerSheel腳本)來(lái)實(shí)現(xiàn)。另外，服務(wù)設(shè)備190還可以包括被配置為執(zhí)行服務(wù)賬戶(hù)取回殼腳本和認(rèn)證令牌更新殼腳本的具有訪(fǎng)問(wèn)許可的代理賬戶(hù)。

繼續(xù)上文的非限制的示例性實(shí)現(xiàn)方式，作為對(duì)取回服務(wù)賬戶(hù)的請(qǐng)求的回應(yīng)，令牌管理代理應(yīng)用192可以被配置為基于接收到的包含代理認(rèn)證信息的共享數(shù)字證書(shū)的數(shù)字指紋或拇指指紋來(lái)標(biāo)識(shí)代理賬戶(hù)，代理認(rèn)證信息可映射到在服務(wù)器設(shè)備190與服務(wù)器設(shè)備170之間共享的共享秘密數(shù)字證書(shū)，并且共享秘密數(shù)字證書(shū)進(jìn)一步映射到代理賬戶(hù)。令牌管理代理應(yīng)用192可以隨后執(zhí)行服務(wù)賬戶(hù)取回殼腳本，其被布置成基于共享秘密數(shù)字證書(shū)和/或標(biāo)識(shí)的代理賬戶(hù)來(lái)通過(guò)客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN的輸入?yún)?shù)以及執(zhí)行策略來(lái)從一個(gè)或多個(gè)目錄服務(wù)器服務(wù)設(shè)備130-l取回一個(gè)或多個(gè)服務(wù)賬戶(hù)。

繼續(xù)上面的非限制的示例性的實(shí)現(xiàn)方式，并且作為對(duì)更新或設(shè)置用于服務(wù)賬戶(hù)的認(rèn)證令牌的請(qǐng)求的回應(yīng)，令牌管理代理應(yīng)用192可以被配置為以上文關(guān)于取回服務(wù)賬戶(hù)的請(qǐng)求類(lèi)似的方式標(biāo)識(shí)代理賬戶(hù)。令牌管理代理應(yīng)用192可以隨后執(zhí)行認(rèn)證令牌更新殼腳本，其被布置成基于共享秘密數(shù)字證書(shū)和/或標(biāo)識(shí)的代理賬戶(hù)，通過(guò)服務(wù)賬戶(hù)標(biāo)識(shí)符和針對(duì)服務(wù)賬戶(hù)要更新或設(shè)置的生成的認(rèn)證令牌的輸入?yún)?shù)以及執(zhí)行策略來(lái)更新由一個(gè)或多個(gè)目錄服務(wù)器服務(wù)設(shè)備130-l管理或者與一個(gè)或多個(gè)目錄服務(wù)器服務(wù)設(shè)備130-l相關(guān)聯(lián)的服務(wù)賬戶(hù)的認(rèn)證令牌。

為進(jìn)一步確保與一個(gè)或多個(gè)服務(wù)賬戶(hù)相關(guān)聯(lián)的認(rèn)證令牌的安全性，在一些實(shí)施例中，令牌管理代理應(yīng)用192可被配置為僅包括服務(wù)賬戶(hù)取回組件194以及認(rèn)證令牌更新組件196。因此，在一些實(shí)施例的一些非限制的示例性的實(shí)現(xiàn)方式中，服務(wù)器設(shè)備190的代理賬戶(hù)還可以被配置為僅執(zhí)行服務(wù)賬戶(hù)取回殼腳本以及認(rèn)證令牌更新殼腳本。通過(guò)該方式，客戶(hù)可僅限于能夠?qū)Ψ?wù)器設(shè)備190和/或令牌管理代理應(yīng)用192執(zhí)行兩種不同的動(dòng)作。

通過(guò)示例的方式，假設(shè)接收的客戶(hù)賬戶(hù)信息指示客戶(hù)102-2具有名稱(chēng)“Ellen Adams”和客戶(hù)賬戶(hù)UPN“Ellenadams@contoso.com”并且先前已經(jīng)請(qǐng)求服務(wù)賬戶(hù)以在請(qǐng)求的4小時(shí)的生存期內(nèi)遠(yuǎn)程調(diào)試服務(wù)器設(shè)備140-1-1。另外，響應(yīng)于對(duì)服務(wù)賬戶(hù)的請(qǐng)求，管理員管理應(yīng)用114為服務(wù)賬戶(hù)提供了服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”、遠(yuǎn)程用戶(hù)和調(diào)試者的服務(wù)賬戶(hù)角色以及違反界限138-1-1的服務(wù)賬戶(hù)范圍。此外，響應(yīng)于為上述服務(wù)賬戶(hù)生成認(rèn)證令牌的請(qǐng)求，認(rèn)證令牌管理組件176生成示例性的明文隨機(jī)口令“Xe2&a^％5”。

繼續(xù)上文的示例說(shuō)明，響應(yīng)于來(lái)自認(rèn)證令牌代理組件178的取回與客戶(hù)賬戶(hù)UPN“Ellenadams@contoso.com”相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的請(qǐng)求，服務(wù)賬戶(hù)取回組件194可以經(jīng)由網(wǎng)絡(luò)互連112以及目錄服務(wù)服務(wù)器設(shè)備130-l的目錄服務(wù)應(yīng)用(未示出)的一個(gè)或多個(gè)API進(jìn)行通信以取回與客戶(hù)賬戶(hù)UPN“Ellenadams@contoso.com”相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)且將由服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”標(biāo)識(shí)的服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息提供給認(rèn)證令牌代理組件178。

繼續(xù)上文的示例說(shuō)明，響應(yīng)于針對(duì)由服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”標(biāo)識(shí)的服務(wù)賬戶(hù)利用示例性的明文隨機(jī)口令“Xe2&a^％5”來(lái)更新或設(shè)置認(rèn)證令牌的請(qǐng)求，認(rèn)證令牌更新組件196可以基于在服務(wù)賬戶(hù)信息中所包含的目錄服務(wù)信息而將目錄服務(wù)服務(wù)器設(shè)備130-1標(biāo)識(shí)為與上述服務(wù)賬戶(hù)UPN所標(biāo)識(shí)的服務(wù)賬戶(hù)相關(guān)聯(lián)或者管理上述服務(wù)賬戶(hù)UPN所標(biāo)識(shí)的服務(wù)賬戶(hù)的目錄服務(wù)器服務(wù)設(shè)備。一旦目錄服務(wù)服務(wù)器設(shè)備130-1被標(biāo)識(shí)，認(rèn)證令牌更新組件196可以經(jīng)由網(wǎng)絡(luò)互連112以及目錄服務(wù)服務(wù)器設(shè)備130-1的目錄服務(wù)應(yīng)用(未示出)的一個(gè)或多個(gè)API進(jìn)行通信以將由上述服務(wù)賬戶(hù)UPN標(biāo)識(shí)的服務(wù)賬戶(hù)的認(rèn)證令牌更新或設(shè)置成示例性的明文隨機(jī)口令“Xe2&a^％5”，其中客戶(hù)102-2可隨后使用服務(wù)賬戶(hù)UPN“EllenAdams_RemoteDebugger@domain136-1.contoso.com”和示例性的明文隨機(jī)口令“Xe2&a^％5”來(lái)訪(fǎng)問(wèn)違反界限138-1-1中的服務(wù)器設(shè)備140-1-1，140-1-2，140-1-3。

可以通過(guò)使用用于一個(gè)或多個(gè)服務(wù)賬戶(hù)的機(jī)器生成的認(rèn)證令牌來(lái)實(shí)現(xiàn)的至少一個(gè)技術(shù)優(yōu)勢(shì)是，機(jī)器生成的認(rèn)證令牌相比于人類(lèi)創(chuàng)建的口令而言實(shí)質(zhì)上更加復(fù)雜，并且通過(guò)使用復(fù)雜的認(rèn)證令牌可以緩解傳統(tǒng)的強(qiáng)力程序，甚至可以緩解一些基于社會(huì)工程的攻擊，因?yàn)檫@些令牌很難或者甚至不可能經(jīng)由普通的手段和/或媒介物(例如，口頭傳達(dá))來(lái)精確地傳送。此外，通過(guò)用對(duì)于數(shù)據(jù)中心中的一些或者甚至全部服務(wù)賬戶(hù)而言是隨機(jī)的和/或唯一的機(jī)器生成的認(rèn)證令牌來(lái)取代全部的人類(lèi)創(chuàng)建的口令，攻擊者通過(guò)例如使用共享認(rèn)證令牌來(lái)?yè)p害一個(gè)或多個(gè)服務(wù)賬戶(hù)的能力會(huì)進(jìn)一步削弱。在一個(gè)或多個(gè)服務(wù)賬戶(hù)可進(jìn)一步與有限的生存期相關(guān)聯(lián)的實(shí)施例中，攻擊者使用受危害的服務(wù)賬戶(hù)進(jìn)行的訪(fǎng)問(wèn)將進(jìn)一步受限，因?yàn)檫@些服務(wù)賬戶(hù)可在它們被禁用之前具有有限的生存期。通過(guò)這種方式，可大幅改善數(shù)據(jù)中心中的SaaS系統(tǒng)的安全和隱私。

雖然圖1所示的認(rèn)證令牌管理系統(tǒng)100在某拓?fù)浣Y(jié)構(gòu)中具有有限數(shù)量的元素，可以意識(shí)到，認(rèn)證令牌管理系統(tǒng)100可在替代的拓?fù)浣Y(jié)構(gòu)中根據(jù)給定實(shí)現(xiàn)方式的需要而包括更多或更少的元素。類(lèi)似地，雖然各個(gè)實(shí)施例示出了企業(yè)計(jì)算環(huán)境150包含了一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b、服務(wù)器設(shè)備106、服務(wù)器設(shè)備108、服務(wù)器設(shè)備160、服務(wù)器設(shè)備170、服務(wù)器設(shè)備130-l和一個(gè)或多個(gè)森林132-k，但可以意識(shí)到，對(duì)于給定的實(shí)現(xiàn)方式，客戶(hù)和/或服務(wù)器設(shè)備中的至少一些可位于企業(yè)計(jì)算環(huán)境150之外。此外，雖然各個(gè)實(shí)施例還可以示出了數(shù)據(jù)中心142包含服務(wù)器設(shè)備190、服務(wù)器設(shè)備130-l以及一個(gè)或多個(gè)森林132-k，但可以意識(shí)到，對(duì)于一些實(shí)現(xiàn)方式，數(shù)據(jù)中心142可進(jìn)一步包含一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b、服務(wù)器設(shè)備106、服務(wù)器設(shè)備108、服務(wù)器設(shè)備160以及服務(wù)器設(shè)備170。

圖2示出了用于認(rèn)證令牌管理系統(tǒng)100的用戶(hù)接口視圖200的示例性的實(shí)施例。在一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b上執(zhí)行的客戶(hù)端應(yīng)用202可以生成適合呈現(xiàn)于一個(gè)或多個(gè)客戶(hù)端設(shè)備104-b的電子顯示器上的用戶(hù)接口視圖200。用戶(hù)接口視圖200還可以使得客戶(hù)102-a(例如，客戶(hù)102-2)能夠與認(rèn)證令牌管理系統(tǒng)100交互?？蛻?hù)端應(yīng)用202可實(shí)現(xiàn)為在執(zhí)行于如用戶(hù)接口視圖200中所示的客戶(hù)端設(shè)備104-2的一個(gè)或多個(gè)電子設(shè)備上的web瀏覽器中實(shí)現(xiàn)的獨(dú)立web應(yīng)用。web瀏覽器可以包括但不限于，諸如INTERNETNETSCAPE等。web瀏覽器還可以支持計(jì)算機(jī)編程語(yǔ)言、標(biāo)準(zhǔn)、web協(xié)議、和/或客戶(hù)端應(yīng)用202所需的技術(shù)。一些計(jì)算機(jī)編程語(yǔ)言、標(biāo)準(zhǔn)、web協(xié)議、和/或技術(shù)可以包括但不限于，HTML、XHTML、XML、JavaScript、ECMAScript、Jscript、Basic、VISUALVISUALScripting Edition(VBScript)、CSS、Asynchronous JavaScript和XML(AJAX)、Python、C#/.net、和/或其它適合的編程，腳本或基于VM的語(yǔ)言。

在各實(shí)現(xiàn)方式中，web瀏覽器可以基于由認(rèn)證令牌管理應(yīng)用172提供給web瀏覽器的信息和可執(zhí)行計(jì)算機(jī)程序指令而生成包括一個(gè)或多個(gè)圖形用戶(hù)接口(GUI)的用戶(hù)接口視圖200。web瀏覽器可以包括語(yǔ)言解釋器，諸如腳本解釋器，其解釋并執(zhí)行以諸如HTML、XHMTL、XML、AJAX、VBScript和/或其它腳本編程語(yǔ)言的計(jì)算機(jī)編程語(yǔ)言編寫(xiě)的計(jì)算機(jī)程序指令以生成用戶(hù)接口視圖200。

在客戶(hù)端設(shè)備104-2上執(zhí)行的客戶(hù)端應(yīng)用202的用戶(hù)接口視圖200可以包括，當(dāng)客戶(hù)端設(shè)備104-2訪(fǎng)問(wèn)認(rèn)證令牌管理應(yīng)用172時(shí)呈現(xiàn)給客戶(hù)102-2的網(wǎng)頁(yè)204被成功地認(rèn)證。網(wǎng)頁(yè)204可以包括客戶(hù)賬戶(hù)信息，諸如與客戶(hù)賬戶(hù)相關(guān)聯(lián)的名稱(chēng)(例如，“Ellen Adams”)和客戶(hù)賬戶(hù)UPN(例如，“EllenAdams@contoso.com”)以及使得客戶(hù)102-2能夠請(qǐng)求與客戶(hù)102-2相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的最新服務(wù)賬戶(hù)信息的更新賬戶(hù)按鈕206。

用戶(hù)接口視圖200還可以包括一行或多行212-p，并且每行可以包括但不限于，標(biāo)識(shí)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN，指示提供的服務(wù)賬戶(hù)的一個(gè)或多個(gè)角色的服務(wù)賬戶(hù)角色、指示提供的服務(wù)賬戶(hù)的范圍的服務(wù)賬戶(hù)范圍、指示在服務(wù)賬戶(hù)到期之前剩余的年數(shù)、周數(shù)、天數(shù)、小時(shí)數(shù)、分鐘數(shù)和/或秒數(shù)的服務(wù)賬戶(hù)生存期，以及指示服務(wù)賬戶(hù)是否仍活動(dòng)或者已到期的服務(wù)賬戶(hù)狀態(tài)。

用戶(hù)接口視圖200還可以包括一個(gè)或多個(gè)口令生成按鈕208-o，其中每個(gè)口令生成按鈕可與服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN相關(guān)聯(lián)?？蛻?hù)102-2隨后可經(jīng)由輸入設(shè)備(例如，觸摸輸入設(shè)備、鼠標(biāo)輸入設(shè)備、鍵盤(pán)設(shè)備等)使用姿勢(shì)210來(lái)選擇口令生成按鈕以請(qǐng)求為服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN標(biāo)識(shí)的服務(wù)賬戶(hù)生成明文隨機(jī)口令。為確保服務(wù)賬戶(hù)和/或認(rèn)證令牌的安全性，可以意識(shí)到，客戶(hù)端應(yīng)用202可被配置為對(duì)于具有到期的服務(wù)賬戶(hù)狀態(tài)的服務(wù)賬戶(hù)禁用口令生成按鈕(例如，口令生成按鈕208-2)。另外地或者可替代地，客戶(hù)端應(yīng)用202可進(jìn)一步被配置為對(duì)于已經(jīng)為具有活動(dòng)服務(wù)賬戶(hù)狀態(tài)的服務(wù)賬戶(hù)生成了明文隨機(jī)口令的服務(wù)賬戶(hù)禁用口令生成按鈕，使得可以防止可能已經(jīng)丟失或忘記生成的明文隨機(jī)口令的客戶(hù)生成新的明文隨機(jī)口令。

本文包含了代表用于執(zhí)行公開(kāi)的體系結(jié)構(gòu)的新穎方面的示例性的方法的一組流程圖。雖然為了簡(jiǎn)化說(shuō)明的目的，在本文示出的一個(gè)或多個(gè)方法，例如，以流程圖或流示意圖的形式，被顯示和描述為一系列動(dòng)作，但是應(yīng)當(dāng)理解和意識(shí)到方法不受動(dòng)作順序限制，據(jù)此，一些動(dòng)作可以按與其不同的順序發(fā)生和/或與本文所示和描述的其它動(dòng)作同時(shí)發(fā)生。例如，本領(lǐng)域技術(shù)人員將理解和意識(shí)到，方法可替代地表示為一系列相關(guān)的狀態(tài)或事件，諸如狀態(tài)圖。而且，對(duì)于新穎的實(shí)現(xiàn)方式不需要方法中示出的全部動(dòng)作。

圖3A示出了邏輯流300的一個(gè)實(shí)施例。邏輯流300可以代表本文所描述的一個(gè)或多個(gè)實(shí)施例所執(zhí)行的操作中的一些或全部。

在圖3A所示的示例性的實(shí)施例中，邏輯流300可以開(kāi)始于框302，并且可以在框304處至少部分地基于客戶(hù)認(rèn)證信息來(lái)建立與客戶(hù)端設(shè)備的安全連接。例如，在客戶(hù)102-2已經(jīng)利用包括數(shù)字智能卡證書(shū)的智能卡和相關(guān)聯(lián)PIN對(duì)客戶(hù)端設(shè)備104-2進(jìn)行認(rèn)證以建立可信連接之后，認(rèn)證令牌管理組件174可以基于接收到的可信聯(lián)合身份應(yīng)用162發(fā)布的安全令牌來(lái)認(rèn)證客戶(hù)102-2。認(rèn)證令牌管理組件174可進(jìn)一步使用一個(gè)或多個(gè)安全通信協(xié)議(例如，HTTPS)來(lái)建立與客戶(hù)端設(shè)備104-2的安全連接(即，可信且加密的連接)。

在框306處，邏輯流300可以接收來(lái)自客戶(hù)端設(shè)備的對(duì)服務(wù)賬戶(hù)的賬戶(hù)信息的請(qǐng)求。例如，認(rèn)證令牌管理組件174可以經(jīng)由客戶(hù)端設(shè)備104-2從客戶(hù)102-2接收對(duì)與客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的請(qǐng)求。

在框308處，邏輯流300可以至少部分地基于客戶(hù)認(rèn)證信息來(lái)請(qǐng)求服務(wù)賬戶(hù)的賬戶(hù)信息。例如，響應(yīng)于從客戶(hù)端設(shè)備104-2接收到的對(duì)與客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的請(qǐng)求，認(rèn)證令牌管理組件174可經(jīng)由認(rèn)證令牌代理組件178從令牌管理代理應(yīng)用192請(qǐng)求與客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

邏輯流300可以在框310處接收服務(wù)賬戶(hù)的賬戶(hù)信息。例如，響應(yīng)于對(duì)一個(gè)或多個(gè)賬戶(hù)的服務(wù)賬戶(hù)信息的請(qǐng)求，認(rèn)證令牌管理組件174可以經(jīng)由認(rèn)證令牌代理組件178接收與客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

在框312處，邏輯流300可以將服務(wù)賬戶(hù)的賬戶(hù)信息提供給客戶(hù)端設(shè)備，并且在框314結(jié)束。例如，響應(yīng)于從令牌管理代理應(yīng)用192接收到服務(wù)賬戶(hù)信息，認(rèn)證令牌管理組件174可以提供接收到的與客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。實(shí)施例不限于這些示例。

圖3B示出了邏輯流320的一個(gè)實(shí)施例。邏輯流320可以代表由本文所述的一個(gè)或多個(gè)實(shí)施例所執(zhí)行的操作的一些或全部。

在圖3B所示的示例性的實(shí)施例中，邏輯流320可以開(kāi)始于框322并且可以在框324處從客戶(hù)端設(shè)備接收為服務(wù)賬戶(hù)生成認(rèn)證令牌的請(qǐng)求。例如，認(rèn)證令牌管理組件174可以從客戶(hù)端設(shè)備104-2接收為與客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)生成認(rèn)證令牌的請(qǐng)求。

在框326處，邏輯流320可以對(duì)從客戶(hù)端設(shè)備接收到的請(qǐng)求進(jìn)行驗(yàn)證以為服務(wù)賬戶(hù)生成認(rèn)證令牌。例如，通過(guò)核驗(yàn)接收到的安全令牌是由例如聯(lián)合身份應(yīng)用162的可信STS提供商發(fā)布的并且核驗(yàn)請(qǐng)求生成認(rèn)證令牌的客戶(hù)102-2已經(jīng)基于兩因素認(rèn)證(例如，智能卡和相關(guān)聯(lián)PIN)進(jìn)行了認(rèn)證，認(rèn)證令牌管理組件174可以對(duì)從客戶(hù)端設(shè)備接收到的為服務(wù)賬戶(hù)生成認(rèn)證令牌的請(qǐng)求進(jìn)行驗(yàn)證。

在框328處，邏輯流320可以為服務(wù)賬戶(hù)生成認(rèn)證令牌。例如，認(rèn)證令牌生成組件176可以基于長(zhǎng)度參數(shù)和字符類(lèi)參數(shù)來(lái)生成明文隨機(jī)口令。

在框330處，邏輯流320可以將服務(wù)賬戶(hù)信息、認(rèn)證令牌和代理認(rèn)證信息的一部分提供給認(rèn)證令牌管理代理應(yīng)用。例如，認(rèn)證令牌生成組件176可以經(jīng)由認(rèn)證代理組件178將服務(wù)賬戶(hù)信息(例如，服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN)、生成的認(rèn)證令牌、以及共享秘密數(shù)字證書(shū)的數(shù)字指紋或拇指指紋提供給令牌管理代理應(yīng)用192，從而為服務(wù)賬戶(hù)信息所標(biāo)識(shí)的服務(wù)賬戶(hù)來(lái)更新或設(shè)置所生成的認(rèn)證令牌。

邏輯流320可以在框332處將至少認(rèn)證令牌提供給客戶(hù)端設(shè)備并且在框334處結(jié)束。例如，認(rèn)證令牌通知組件180可以將至少隱藏div中的生成的認(rèn)證令牌經(jīng)由客戶(hù)端設(shè)備104-2通知或提供給客戶(hù)102-2以供存儲(chǔ)在認(rèn)證令牌數(shù)據(jù)庫(kù)166中。實(shí)施例不限于這些示例。

圖3C示出了邏輯流340的一個(gè)實(shí)施例。邏輯流340可以代表本文所描述的一個(gè)或多個(gè)實(shí)施例執(zhí)行的操作的全部或一些。

在圖3C所示的圖示的實(shí)施例中，邏輯流340可以開(kāi)始于框342并且在框344處可以至少部分地基于客戶(hù)賬戶(hù)信息來(lái)接收對(duì)服務(wù)賬戶(hù)的賬戶(hù)信息的請(qǐng)求。例如，服務(wù)賬戶(hù)取回組件194可以接收對(duì)與客戶(hù)賬戶(hù)信息中包含的客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN所標(biāo)識(shí)的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息的請(qǐng)求。該請(qǐng)求可包括客戶(hù)賬戶(hù)信息以及代理認(rèn)證信息的一部分。

在框346處，邏輯流340可以至少部分地基于客戶(hù)賬戶(hù)信息來(lái)從目錄服務(wù)服務(wù)器設(shè)備取回服務(wù)賬戶(hù)的賬戶(hù)信息。例如，服務(wù)賬戶(hù)取回組件194可以經(jīng)由數(shù)據(jù)中心142中的一個(gè)或多個(gè)網(wǎng)絡(luò)和/或網(wǎng)絡(luò)互連112以及一個(gè)或多個(gè)目錄服務(wù)服務(wù)器設(shè)備130-l的目錄服務(wù)應(yīng)用的一個(gè)或多個(gè)API進(jìn)行通信以取回與客戶(hù)賬戶(hù)信息中所包含的客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN所標(biāo)識(shí)的客戶(hù)賬戶(hù)相關(guān)聯(lián)的服務(wù)賬戶(hù)信息。

在框348處，邏輯流340可以將服務(wù)賬戶(hù)的賬戶(hù)信息提供給認(rèn)證令牌管理應(yīng)用。例如，服務(wù)賬戶(hù)取回組件194可以提供所取回的與客戶(hù)賬戶(hù)信息中所包含的客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN所標(biāo)識(shí)的客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

在框350處，邏輯流340可以從認(rèn)證令牌管理應(yīng)用接收為服務(wù)賬戶(hù)更新或設(shè)置認(rèn)證令牌的請(qǐng)求。例如，認(rèn)證令牌更新組件196可以從認(rèn)證令牌代理組件178接收為服務(wù)賬戶(hù)更新或設(shè)置認(rèn)證令牌的請(qǐng)求。該請(qǐng)求可包括服務(wù)賬戶(hù)信息、認(rèn)證令牌以及代理認(rèn)證信息的一部分。

在框352處，邏輯流340可以為目錄服務(wù)服務(wù)器設(shè)備所管理的服務(wù)賬戶(hù)更新或設(shè)置認(rèn)證令牌，并且在框354結(jié)束。例如，認(rèn)證令牌更新組件196可以針對(duì)服務(wù)賬戶(hù)信息中所包含的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN所標(biāo)識(shí)的服務(wù)賬戶(hù)利用接收到的認(rèn)證令牌來(lái)更新或設(shè)置認(rèn)證令牌。實(shí)施例不限于這些示例。

圖3D示出了邏輯流360的一個(gè)實(shí)施例。邏輯流360可以代表本文所描述的一個(gè)或多個(gè)實(shí)施例所執(zhí)行的操作的一些或全部。

在圖3D所示的示例性實(shí)施例中，邏輯流360可開(kāi)始于框362，并且在框364處至少部分地基于客戶(hù)認(rèn)證信息來(lái)建立與認(rèn)證令牌管理應(yīng)用的安全連接。例如，客戶(hù)端設(shè)備104-2可以將安全令牌提供給認(rèn)證令牌管理組件174，并且在客戶(hù)102-2已經(jīng)使用包括數(shù)字智能卡證書(shū)的智能卡和相關(guān)聯(lián)PIN對(duì)客戶(hù)端設(shè)備104-2進(jìn)行了認(rèn)證以建立可信連接之后，認(rèn)證令牌管理組件174可以基于由可信聯(lián)合身份應(yīng)用162發(fā)布的安全令牌來(lái)認(rèn)證客戶(hù)102-2。客戶(hù)端設(shè)備104-2還可以使用一個(gè)或多個(gè)安全通信協(xié)議(例如，HTTPS)來(lái)建立與認(rèn)證令牌管理應(yīng)用172的安全連接(即，可信且加密的連接)。

在框366處，邏輯流360可以請(qǐng)求服務(wù)賬戶(hù)的賬戶(hù)信息。例如，客戶(hù)端設(shè)備104-2可以請(qǐng)求與具有由客戶(hù)賬戶(hù)信息中包含的客戶(hù)賬戶(hù)標(biāo)識(shí)符或客戶(hù)賬戶(hù)UPN所標(biāo)識(shí)的客戶(hù)賬戶(hù)的客戶(hù)102-2相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

在框368處，邏輯流360可以從認(rèn)證令牌管理應(yīng)用接收服務(wù)賬戶(hù)的賬戶(hù)信息。例如，響應(yīng)于對(duì)服務(wù)賬戶(hù)信息的請(qǐng)求，客戶(hù)102-2經(jīng)由客戶(hù)端設(shè)備104-2可以接收與客戶(hù)102-2的客戶(hù)賬戶(hù)相關(guān)聯(lián)的一個(gè)或多個(gè)服務(wù)賬戶(hù)的服務(wù)賬戶(hù)信息。

在框370處，邏輯流360可以請(qǐng)求為服務(wù)賬戶(hù)生成認(rèn)證令牌。例如，客戶(hù)端設(shè)備104-2可以請(qǐng)求為服務(wù)賬戶(hù)信息中包含的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN所標(biāo)識(shí)的服務(wù)賬戶(hù)生成明文隨機(jī)口令。

在框372處，邏輯流360可以接收來(lái)自的認(rèn)證令牌管理應(yīng)用的至少生成的認(rèn)證令牌。例如，客戶(hù)端設(shè)備104-2可以至少接收為服務(wù)賬戶(hù)生成的認(rèn)證令牌作為網(wǎng)頁(yè)中的隱藏元素。另外，客戶(hù)端設(shè)備104-2還可以接收同一網(wǎng)頁(yè)上的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN。

在框374處，邏輯流360可以將至少認(rèn)證令牌存儲(chǔ)在認(rèn)證令牌數(shù)據(jù)庫(kù)中。例如，客戶(hù)102-2經(jīng)由客戶(hù)端設(shè)備104-2可以將接收到的服務(wù)賬戶(hù)的認(rèn)證令牌存儲(chǔ)在認(rèn)證令牌數(shù)據(jù)庫(kù)166中。示例性的認(rèn)證令牌數(shù)據(jù)庫(kù)166可以包括但不限于，Password Safe。另外，客戶(hù)102-2經(jīng)由客戶(hù)端設(shè)備104-2還可以將與接收到的認(rèn)證令牌相關(guān)聯(lián)的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN存儲(chǔ)在認(rèn)證令牌數(shù)據(jù)庫(kù)166中。

在框376處，邏輯流360可以從認(rèn)證令牌數(shù)據(jù)庫(kù)取回至少認(rèn)證令牌。例如，客戶(hù)102-2經(jīng)由客戶(hù)端設(shè)備104-2可以從認(rèn)證令牌數(shù)據(jù)庫(kù)166取回至少存儲(chǔ)的認(rèn)證令牌。另外地，客戶(hù)102-2經(jīng)由客戶(hù)端設(shè)備104-2還可以從認(rèn)證令牌數(shù)據(jù)庫(kù)166取回與接收到的認(rèn)證令牌相關(guān)聯(lián)的服務(wù)賬戶(hù)標(biāo)識(shí)符或服務(wù)賬戶(hù)UPN。

在框378處邏輯流360可以使用至少認(rèn)證令牌來(lái)訪(fǎng)問(wèn)服務(wù)器設(shè)備，并在框380處結(jié)束。例如，客戶(hù)102-2隨后可使用所取回的認(rèn)證令牌和服務(wù)賬戶(hù)UPN使用例如遠(yuǎn)程桌面協(xié)議經(jīng)由客戶(hù)端設(shè)備104-2來(lái)訪(fǎng)問(wèn)服務(wù)器設(shè)備140-1-1。實(shí)施例不限于這些示例。

圖4示出了適合于實(shí)現(xiàn)如之前所描述的各個(gè)實(shí)施例的示例性的計(jì)算體系結(jié)構(gòu)400的實(shí)施例。在一個(gè)實(shí)施例中，計(jì)算體系結(jié)構(gòu)400可以包括客戶(hù)端設(shè)備和/或服務(wù)器設(shè)備的部分或者實(shí)現(xiàn)為客戶(hù)端設(shè)備和/或服務(wù)器設(shè)備的部分。實(shí)施例不限于該上下文。

如本申請(qǐng)中所使用的，術(shù)語(yǔ)“系統(tǒng)”和“部件”意在指代計(jì)算機(jī)相關(guān)實(shí)體、或者是硬件、硬件和軟件的組合、軟件、或執(zhí)行中軟件、其示例由示例性的計(jì)算體系結(jié)構(gòu)400來(lái)提供。例如，部件可以是但不限于是在處理器上運(yùn)行的過(guò)程、處理器、硬盤(pán)驅(qū)動(dòng)器、多個(gè)存儲(chǔ)驅(qū)動(dòng)器(光和/或磁存儲(chǔ)介質(zhì))、對(duì)象、可執(zhí)行程序、執(zhí)行線(xiàn)程、程序和/或計(jì)算機(jī)。通過(guò)示例的方式，在服務(wù)器上運(yùn)行的應(yīng)用和服務(wù)器兩者都能夠是組件。一個(gè)或多個(gè)組件能夠駐存在過(guò)程和/或執(zhí)行線(xiàn)程內(nèi)，并且組件能夠位于一個(gè)計(jì)算機(jī)上或者分布在兩個(gè)或更多個(gè)計(jì)算機(jī)之間。此外，可以通過(guò)各種類(lèi)型的通信介質(zhì)將組件彼此通信耦合以協(xié)調(diào)操作。協(xié)調(diào)可以涉及到單向或雙向信息交換。例如，組件可以傳達(dá)為經(jīng)由通信介質(zhì)傳送的信號(hào)形式的信息。信息可以實(shí)現(xiàn)為分配給各信號(hào)線(xiàn)路的信號(hào)。在這種分配中，每個(gè)消息均是信號(hào)。然而，進(jìn)一步的實(shí)施例可替代地采用數(shù)據(jù)消息。可以跨各種連接發(fā)送這些數(shù)據(jù)消息。示例性的連接包括并行接口、串行接口和總線(xiàn)接口。

計(jì)算體系結(jié)構(gòu)400包括各種共同的計(jì)算元件，諸如一個(gè)或多個(gè)處理器、多核處理器、協(xié)處理器、存儲(chǔ)器單元、芯片組、控制器、外圍設(shè)備、接口、振蕩器、定時(shí)設(shè)備、視頻卡、音頻卡、多媒體輸入/輸出(I/O)組件、電源等。然而，實(shí)施例不限于通過(guò)計(jì)算體系結(jié)構(gòu)400實(shí)現(xiàn)的實(shí)施方案。

如圖4所示，計(jì)算體系結(jié)構(gòu)400包括處理單元404、系統(tǒng)存儲(chǔ)器406和系統(tǒng)總線(xiàn)408。處理單元404可以是各種商用處理器中的任一種，包括但不限于：和處理器；應(yīng)用、嵌入式和安全處理器；和和處理器；和Cell處理器；Core(2)以及處理器；以及類(lèi)似處理器。雙核微處理器、多核處理器，以及其它多處理器體系結(jié)構(gòu)也可以用作處理單元404。

系統(tǒng)總線(xiàn)408提供用于系統(tǒng)組件的接口，包括但不限于系統(tǒng)存儲(chǔ)器406到處理單元404。系統(tǒng)總線(xiàn)408可以是多種類(lèi)型的總線(xiàn)結(jié)構(gòu)中的任一種，其可利用多種商用總線(xiàn)體系結(jié)構(gòu)中的任一種與存儲(chǔ)器總線(xiàn)(具有或不具有存儲(chǔ)器控制器)、外圍設(shè)備總線(xiàn)和本地總線(xiàn)互連。接口適配器可經(jīng)由插槽體系結(jié)構(gòu)連接至系統(tǒng)總線(xiàn)408。示例性的插槽體系結(jié)構(gòu)可以包括但不限于加速圖形端口(AGP)、卡總線(xiàn)、(擴(kuò)展)工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)((E)ISA)、微信道體系結(jié)構(gòu)(MCA)、NuBus、外圍組件互連(擴(kuò)展)(PCI(X))、PCI Express、個(gè)人計(jì)算機(jī)存儲(chǔ)器卡國(guó)際聯(lián)合(PCMCIA)等。

計(jì)算體系結(jié)構(gòu)400可以包括或?qū)崿F(xiàn)各種制造品。制造品可以包括存儲(chǔ)邏輯的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的示例可以包括能夠存儲(chǔ)電子數(shù)據(jù)的任何有形介質(zhì)，包括易失性存儲(chǔ)器或非易失性存儲(chǔ)器、可移除或非可移除存儲(chǔ)器、可擦除或非可擦除存儲(chǔ)器、可寫(xiě)或可再寫(xiě)存儲(chǔ)器等。邏輯的示例可以包括利用任何適合類(lèi)型的代碼實(shí)現(xiàn)的可執(zhí)行計(jì)算機(jī)程序指令，諸如源代碼、編譯代碼、解釋代碼、可執(zhí)行代碼、靜態(tài)代碼、動(dòng)態(tài)代碼、面向?qū)ο蟮拇a、可視代碼等等。實(shí)施例還可以至少部分地實(shí)現(xiàn)為在非暫態(tài)性計(jì)算機(jī)可讀介質(zhì)中或上所包含的指令，其可以通過(guò)一個(gè)或多個(gè)處理器來(lái)讀取和執(zhí)行以使能本文所描述的操作的執(zhí)行。

系統(tǒng)存儲(chǔ)器406可以包括以一個(gè)或多個(gè)高速存儲(chǔ)器單元形式的各種類(lèi)型的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，諸如只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、動(dòng)態(tài)RAM(DRAM)、雙數(shù)據(jù)率DRAM(DDRAM)、同步DRAM(SDRAM)、靜態(tài)RAM(SRAM)、可編程ROM(PROM)、可擦寫(xiě)可編程ROM(EPROM)、電可擦除可編程ROM(EEPROM)、閃速存儲(chǔ)器、諸如鐵電聚合物存儲(chǔ)器的聚合物存儲(chǔ)器、雙向存儲(chǔ)器、相變或鐵電存儲(chǔ)器、硅-氧化物-氮化物-氧化物-硅(SONOS)存儲(chǔ)器、磁或光卡、諸如冗余獨(dú)立磁盤(pán)陣列(RAID)驅(qū)動(dòng)器的設(shè)備陣列、固態(tài)存儲(chǔ)器設(shè)備(例如，USB存儲(chǔ)器、固態(tài)驅(qū)動(dòng)器(SSD))和適合于存儲(chǔ)信息的任何其它類(lèi)型的存儲(chǔ)介質(zhì)。在圖4所示的示例性實(shí)施例中，系統(tǒng)存儲(chǔ)器406可以包括非易失性存儲(chǔ)器410和/或易失性存儲(chǔ)器412?；据斎?輸出系統(tǒng)(BIOS)能夠存儲(chǔ)在非易失性存儲(chǔ)器410中。

計(jì)算機(jī)402可以包括以一個(gè)或多個(gè)低速存儲(chǔ)器單元形式的各種類(lèi)型的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，包括內(nèi)部(或外部)硬盤(pán)驅(qū)動(dòng)器(HDD)414、從可移除磁盤(pán)418讀取或?qū)懙娇梢瞥疟P(pán)418的磁軟盤(pán)驅(qū)動(dòng)器(FDD)416、以及從可移除光盤(pán)422讀取或?qū)懙娇梢瞥獗P(pán)422的光盤(pán)驅(qū)動(dòng)器420(例如，CD-ROM或DVD)。HDD 414、FDD 416和光盤(pán)驅(qū)動(dòng)器420可以分別通過(guò)HDD接口424、FDD接口426和光學(xué)驅(qū)動(dòng)接口428連接到系統(tǒng)總線(xiàn)408。用于外部驅(qū)動(dòng)實(shí)現(xiàn)的HDD接口424可以包括通用串行總線(xiàn)(USB)和IEEE 1394接口技術(shù)中的至少一種或兩種。

驅(qū)動(dòng)器和相關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)提供了數(shù)據(jù)、數(shù)據(jù)結(jié)構(gòu)、計(jì)算機(jī)可執(zhí)行指令等的易失性和/或非易失性存儲(chǔ)。例如，多個(gè)程序模塊能夠存儲(chǔ)在驅(qū)動(dòng)器和存儲(chǔ)器單元410、412中，包括操作系統(tǒng)430、一個(gè)或多個(gè)應(yīng)用程序432、其它程序模塊434和程序數(shù)據(jù)436。在一個(gè)實(shí)施例中，一個(gè)或多個(gè)應(yīng)用程序432、其它程序模塊434和程序數(shù)據(jù)436可以包括例如系統(tǒng)100的各種應(yīng)用和/或組件。

用戶(hù)能夠通過(guò)一個(gè)或多個(gè)有線(xiàn)/無(wú)線(xiàn)輸入設(shè)備將命令和信息輸入到計(jì)算機(jī)402中，輸入設(shè)備例如鍵盤(pán)438和指針設(shè)備，諸如鼠標(biāo)440。其它輸入設(shè)備可以包括麥克風(fēng)、紅外(IR)遠(yuǎn)程控制、射頻(RF)遠(yuǎn)程控制、游戲板、觸針筆、讀卡器、dongle、指紋讀取器、手套、圖形平板式計(jì)算機(jī)、操縱桿、鍵盤(pán)、視網(wǎng)膜讀取器、觸摸屏(例如，電容、電阻等)、跟蹤球、跟蹤板、傳感器、觸針等。這些以及其它的輸入設(shè)備通常通過(guò)與系統(tǒng)總線(xiàn)408耦合的輸入設(shè)備接口442連接到處理單元404，但是能夠通過(guò)諸如并行端口、IEEE 1394串行端口、游戲端口、USB端口、IR接口等其它接口來(lái)連接。

監(jiān)控器444或其它類(lèi)型的顯示設(shè)備經(jīng)由諸如視頻適配器446的接口也連接到系統(tǒng)總線(xiàn)408。監(jiān)控器444可以在計(jì)算機(jī)402的內(nèi)部或外部。除了監(jiān)控器444之外，計(jì)算機(jī)通常包括其它外圍輸出設(shè)備，諸如揚(yáng)聲器、打印機(jī)等。

計(jì)算機(jī)402可以經(jīng)由到諸如遠(yuǎn)程計(jì)算機(jī)448的一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)的有線(xiàn)和/或無(wú)線(xiàn)通信利用邏輯連接在網(wǎng)絡(luò)環(huán)境中操作。遠(yuǎn)程計(jì)算機(jī)448可以是工作站、服務(wù)器計(jì)算機(jī)、路由器、個(gè)人計(jì)算機(jī)、便攜式計(jì)算機(jī)、基于微處理器的娛樂(lè)設(shè)施、同級(jí)設(shè)備或其它共用網(wǎng)絡(luò)節(jié)點(diǎn)，并且通常包括針對(duì)計(jì)算機(jī)402描述的元件中的許多或全部，但是為了簡(jiǎn)要的目的，僅示出了存儲(chǔ)器/存儲(chǔ)設(shè)備450。所描述的邏輯連接包括到局域網(wǎng)(LAN)452和/或例如廣域網(wǎng)(WAN)454的較大型網(wǎng)絡(luò)的有線(xiàn)/無(wú)線(xiàn)連接。這些LAN和WAN聯(lián)網(wǎng)環(huán)境常見(jiàn)于辦公室和公司、并且方便企業(yè)廣域計(jì)算機(jī)網(wǎng)絡(luò)，諸如內(nèi)聯(lián)網(wǎng)，所有這些可連接到例如因特網(wǎng)的全球通信網(wǎng)絡(luò)。

當(dāng)在LAN聯(lián)網(wǎng)環(huán)境中使用時(shí)，計(jì)算機(jī)402通過(guò)有線(xiàn)和/或無(wú)線(xiàn)通信網(wǎng)絡(luò)接口或適配器456連接到LAN 452。適配器456能夠便于到LAN 452的有線(xiàn)和/或無(wú)線(xiàn)通信，其還可以包括布置在其上用于與適配器456的無(wú)線(xiàn)功能通信的無(wú)線(xiàn)接入點(diǎn)。

當(dāng)在WAN聯(lián)網(wǎng)環(huán)境中使用時(shí)，計(jì)算機(jī)402可以包括調(diào)制解調(diào)器458，或者連接到WAN 454上的通信服務(wù)器，或者具有用于在WAN 454上建立通信的其他手段。調(diào)制解調(diào)器458可以是內(nèi)部或外部的以及有線(xiàn)的和/或無(wú)線(xiàn)的設(shè)備，其經(jīng)由輸入設(shè)備接口442連接到系統(tǒng)總線(xiàn)408。在聯(lián)網(wǎng)環(huán)境中，針對(duì)計(jì)算機(jī)402或其部分所描述的程序模塊能夠存儲(chǔ)在遠(yuǎn)程存儲(chǔ)器/存儲(chǔ)設(shè)備450中。將理解的是，圖示的網(wǎng)絡(luò)連接是示例性的，并且能夠使用建立計(jì)算機(jī)之間的通信鏈路的其它手段。

計(jì)算機(jī)402可操作以利用IEEE 802族標(biāo)準(zhǔn)與有線(xiàn)和無(wú)線(xiàn)設(shè)備或?qū)嶓w通信，諸如可操作地布置在無(wú)線(xiàn)通信中的無(wú)線(xiàn)設(shè)備(例如，IEEE 802.11空中調(diào)制技術(shù))。這至少包括Wi-Fi(或無(wú)線(xiàn)保真度)、WiMax和Bluetooth^TM無(wú)線(xiàn)技術(shù)以及其它技術(shù)。因此，通信可以是預(yù)先定義的結(jié)構(gòu)，如同常規(guī)網(wǎng)絡(luò)或者僅為至少兩個(gè)設(shè)備之間的自組通信。Wi-Fi網(wǎng)絡(luò)使用稱(chēng)為IEEE 802.11x(a、b、g、n等)的無(wú)線(xiàn)電技術(shù)來(lái)提供安全的、可靠的、快速的無(wú)線(xiàn)連接。Wi-Fi網(wǎng)絡(luò)能夠用于將計(jì)算機(jī)彼此連接，連接到因特網(wǎng)，以及連接到有線(xiàn)網(wǎng)絡(luò)(其使用IEEE 802.3相關(guān)介質(zhì)和功能)。

可以使用表述“一個(gè)實(shí)施例”或“實(shí)施例”連同其衍生語(yǔ)來(lái)描述一些實(shí)施例。這些術(shù)語(yǔ)表示，結(jié)合實(shí)施例所描述的特定的特征、結(jié)構(gòu)或特性包含在至少一個(gè)實(shí)施例中。在說(shuō)明書(shū)中各處短語(yǔ)“在一個(gè)實(shí)施例中”的出現(xiàn)不一定都指代同一實(shí)施例。此外，可以利用表述“耦合”以及“連接”連同其衍生語(yǔ)來(lái)描述一些實(shí)施例。這些術(shù)語(yǔ)不一定意在彼此同義。例如，可以利用術(shù)語(yǔ)“連接”和/或“耦合”來(lái)描述一些實(shí)施例以表明兩個(gè)或更多個(gè)元件彼此直接物理接觸或電接觸。然而，術(shù)語(yǔ)“耦合”還可以表示兩個(gè)或更多個(gè)元件彼此不直接接觸，但是仍相互配合或者彼此交互。

應(yīng)強(qiáng)調(diào)的是，提供了公開(kāi)的摘要以允許讀者快速地確定技術(shù)公開(kāi)的性質(zhì)。應(yīng)理解的是，其不用于解釋或限制權(quán)利要求的范圍或含義。另外，在前面的詳細(xì)說(shuō)明中，能夠看出為了使本公開(kāi)流線(xiàn)化，各個(gè)特征在單個(gè)實(shí)施例中組合在一起。該公開(kāi)方法不應(yīng)解釋為反映所要求保護(hù)的實(shí)施例要求比在每項(xiàng)權(quán)利要求中明確記述的特征更多的特征的意圖。相反，如下面的權(quán)利要求所反映的，發(fā)明的主題在于少于單個(gè)公開(kāi)實(shí)施例的全部特征。因此，下面的權(quán)利要求特此合并于具體實(shí)施方式中，其中每項(xiàng)權(quán)利要求獨(dú)立地作為單個(gè)實(shí)施例。在隨附的權(quán)利要求書(shū)中，術(shù)語(yǔ)“包括”和“在其中”分別用作相應(yīng)術(shù)語(yǔ)“包含”和“其中”的普通英語(yǔ)等同詞。此外，術(shù)語(yǔ)“第一”、“第二”、“第三”等僅作為標(biāo)簽使用，而不意在對(duì)其對(duì)象施加數(shù)字要求。

上文所描述的包括所公開(kāi)的體系結(jié)構(gòu)的示例。當(dāng)然，不可能描述部件和/或方法的每個(gè)可構(gòu)思的組合，但是本領(lǐng)域普通技術(shù)人員可以認(rèn)識(shí)到許多另外的組合和置換是可能的。因此，新穎的體系結(jié)構(gòu)旨在涵蓋落在隨附權(quán)利要求的精神和范圍內(nèi)的全部這樣的替換、修改和變型例。