客户端准备系统的制作方法

客户端准备系统


背景技术：

1.计算机和计算系统几乎影响了现代生活的各个方面。计算机总体上涉及工作、消遣、保健、运输、娱乐、家庭管理等。
2.此外，计算系统功能可以通过经由网络连接互连到其它计算系统的计算系统的能力而被增强。网络连接可以包括但不限于经由有线或无线以太网的连接、蜂窝连接、或甚至通过串行、并行、usb、或其它连接的计算机到计算机连接。这些连接允许计算系统访问其它计算系统处的服务，并且快速地和有效地从其它计算系统接收应用数据。
3.例如，实体可以被配置为访问来自资源提供方的资源，其中资源提供方是远程计算系统。为了获得对这些资源的访问，实体通常将利用身份提供方进行认证，以接收访问令牌和刷新令牌，其中访问令牌可以在对资源的请求中呈现给资源提供方。如果访问令牌有效，则在资源提供方和用于资源提供方提供资源的实体之间创建经认证的用户会话。
4.特别地，针对组织的it管理策略通常被集中配置在身份提供方上，身份提供方认证实体，并且提供由组织中的实体使用的凭证。然后，当发布用于确认用户的身份的认证伪影(例如，访问令牌)时，由身份提供方强制执行策略。在向用户发布访问令牌之前，身份提供方评估管理策略以确保用户的符合性。然后，由实体将访问令牌传递给资源提供方，资源提供方基于访问令牌中的信息授权资源访问。
5.实体可能需要向身份提供方或资源提供方提供附加信息。然而，目前还没有有效的方法来实现这一点。
6.本文所要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的实施例。相反，提供此背景仅用于说明可以实践本文中所描述的一些实施例的一个示范性技术领域。


技术实现要素：

7.本文所示的一个实施例包括计算系统，计算系统被配置为支持能够指示针对实体的能力的能力信息的实体。实施例可以包括身份提供方计算机系统，身份提供方计算机系统包括至少一个处理器。身份提供方计算机系统被配置为从实体接收针对访问令牌的请求。请求包括针对实体的能力信息。身份提供方计算机系统还被配置为向实体提供包括能力信息的访问令牌。计算系统还包括资源提供方计算机系统，资源提供方计算机系统包括被配置为从实体接收资源请求和访问令牌的至少一个处理器。访问令牌包括能力信息。资源提供方还被配置为根据能力信息向实体提供响应。
8.引入本发明内容以便以简化形式介绍将在以下具体实施方式中进一步描述的一系列概念。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。
9.附加的特征和优点将在下面的描述中阐述，并且部分地从描述中是显而易见的，或者可以通过实践本文的教导而获知。本发明的特征和优点可以通过所附权利要求中特别指出的工具和组合来实现和获得。本发明的特征将从以下描述和所附权利要求中变得更加
明显，或者可以通过如下所述的本发明的实践来获知
附图说明
10.为了描述可以获得上述和其他优点和特征的方式，将通过参考在附图中示出的具体实施例来呈现对以上简要描述的主题的更具体的描述。应理解，这些附图仅描绘了典型的实施例，并且因此不应被认为是对范围的限制，将通过使用附图以附加的具体性和细节来描述和解释实施例，在附图中：
11.图1图示了用于向资源提供方提供企业策略以允许资源提供方强制执行策略的系统；
12.图2图示了身份提供方、实体、与资源提供方之间的通信流程；
13.图3图示了策略入口(portal)和身份提供方、以及与策略入口交互以设置针对企业的策略的管理员；
14.图4图示了向资源提供方提供策略的身份提供方的一个实施例；
15.图5图示了向资源提供方提供策略的身份提供方的一个实施例；
16.图6图示了向资源提供方提供策略的身份提供方的一个实施例；
17.图7图示了向资源提供方提供策略的身份提供方的一个实施例；
18.图8图示了向资源提供方提供策略的身份提供方的一个实施例；
19.图9图示了向资源提供方提供策略的身份提供方的一个实施例；
20.图10a-图10d图示了对代表实体被提供的策略给予许可的各种方式；
21.图11图示了认证实体的方法；
22.图12图示了与具有特定能力的实体通信的方法；以及
23.图13图示了实施例可以在其中被实践的计算系统。
具体实施方式
24.该应用总体上针对能够将客户端能力传送到系统(诸如企业系统)中的身份提供方和资源提供方的组织客户端。例如，在本文所示的一些实施例中，实体可以实现能够与实体提供方和资源提供方通信的客户端，客户端能够执行关于由于令牌到期之外的原因而拒绝访问令牌的特殊功能。备选地或附加地，实施例可以包括用于允许客户端将其他信息传送给服务器的功能，诸如本文更详细讨论的资源提供方服务器。
25.考虑以下示例，包括客户端的实体将要与身份提供方交换认证协议消息。客户端将要向身份提供方提供指示客户端具有特定能力的信息。在被发布给实体的令牌中，标识这些能力的信息将会被包括。客户端可以向资源提供方提供包括标识能力的信息的令牌，以访问由资源提供方管理的资源。以此方式，客户可以向身份提供方和资源提供方两者通知实体的能力。
26.这可以用于客户端向身份提供方或资源提供方通知由实体持有的几乎任何能力。例如，各实施例可以包括向身份提供方或资源提供方通知如下能力的能力：使用专用令牌拒绝协议进行通信的能力，该能力指示实体能够处置对令牌的拒绝，即使在该拒绝与令牌超时之外的因素有关时。例如，该功能可以用于当令牌由于对总体策略的改变、检测到的对客户端的改变、基于资源提供方处的条件式策略评估的拒绝、基于对总体计算环境的改变
的拒绝等而被拒绝时。
27.备选地，或附加地，实体可以能够关于实体处可用的处理能力向身份提供方标识实体的能力。例如，实体可以向身份提供方指示实体仅能够处置根据特定编解码器编码的视频。通过将该信息指示给身份提供方，身份提供方可以创建具有该信息嵌入在令牌中的令牌，然后将令牌提供给实体。当实体将该特定令牌呈现给资源提供方时，资源提供方将提供符合的资源。例如，在所示的特定示例中，资源提供方将仅提供根据在令牌中指定的编解码器编码的视频，令牌基于从实体向身份提供方提供的信息而被发布。
28.现在参考图1，图示了一个示例。图1图示了实体102。在所图示的示例中，实体102还可以包括用户、设备、以及由用户使用的一个或多个相关联的客户端(例如，应用)。注意，用户不一定是人类用户。实体102可能需要访问来自资源提供方104的资源。资源提供方104是被配置为管理用户的计算资源的计算机系统。资源可以被存储在资源提供方104处，或者可以由资源提供方从其它源获得。
29.为了获得对资源的访问，实体102首先利用身份提供方106进行认证。身份提供方106是被配置为管理策略并向实体发布密码令牌以允许实体访问来自资源提供方的资源的计算系统。实体102可以通过多个不同的公知的认证和访问令牌发布方案、其它不太公知的认证方案、或者甚至未来要开发的认证方案中的任何一项来向身份提供方106认证。也就是说，在图1所示的特定示例中，实体102从身份提供方106接收访问令牌108和刷新令牌110。
30.访问令牌108通常包括指示访问令牌何时被发布的时间戳。访问令牌108可以备选地或附加地包括指示访问令牌108何时到期的信息。在一些实施例中，访问令牌108可以包括关于由实体102使用以向身份提供方106认证的认证过程的信息。例如，访问令牌108可以指示访问令牌108是由实体102使用简单的用户身份和秘密认证协议向身份提供方认证而获得的。一种这样的通用协议是口令(password)认证协议，其中身份是用户名而秘密是口令。备选地或附加地，如果使用双因子认证向身份提供方106认证实体102，则这可以在访问令牌108中被指示。备选地或附加地，如果实体102使用某个强度的口令向身份提供方认证，则可以在访问令牌108本身中指示这类信息。例如，访问令牌可以指示用于向身份提供方认证的口令的最小长度、在用于向身份提供方认证的口令中对特殊字符的使用、在用于向身份提供方认证的口令中对大写和小写字母的使用、在用于向身份提供方认证的口令中不存在常见口令或其他字词等。
31.在一些实施例中，访问令牌108用于特定用户以及由特定用户使用的客户端。因此，在该示例中，实体102包括用户和用户使用的客户端两者。例如，用户可以使用具有相应膝上型计算机客户端的膝上型计算机来执行认证和资源请求。因此，访问令牌108可以包括关于实体102的膝上型计算机客户端的信息。备选地，用户可以使用智能电话来执行认证，在该情况下，对应的智能电话客户端被使用来执行认证和执行资源请求，这意味着访问令牌108将用于包括使用智能电话客户端的用户的实体102。
32.再次返回到图1所示的示例，实体102可以在对来自资源提供方104的资源的请求中，向资源提供方104提供访问令牌108。资源提供方104可以评估访问令牌，以确定实体102已经被身份提供方106正确地认证，并且访问令牌108以其他方式是有效的。特别地，访问令牌108可以具有到期期限，并且资源提供方104可以确定访问令牌108没有到期。通常，只要访问令牌108的该评估通过各种检查，则资源112将被提供给实体102。然而，本文所示的实
施例可以实现关于由实体102对资源提供方104的请求111的附加检查。
33.例如，图1图示了资源提供方104可以从身份提供方106接收策略114。这允许资源提供方104代表身份提供方106管理策略。
34.图1还图示实体102可以在认证过程期间向身份提供方106提供能力信息103。如图1所示，该能力信息103可以被嵌入由身份提供方106提供给实体102的访问令牌108中。在一些实施例中，能力信息103和策略114是绑定的且相关的。即，策略114可以专用于能力信息103。因此，例如，取决于能力信息103中有什么，特定的策略114可以被生成、发送或上述组合。例如，能力信息103可以指示实体102能够执行复杂的计算。策略114可以被生成并且被提供给要求实体102在被提供有资源112之前执行复杂的计算的资源提供方104。
35.当实体102在请求111中请求来自资源提供方104的资源112时，实体102将访问令牌108包括在请求111中或作为请求过程的一部分。访问令牌108包括被传递给资源提供方104的能力信息103。以此方式，使资源提供方104知道如能力信息103中所述的实体102的特定能力。
36.如前所述，该能力信息103可以包括多个不同类型的信息中的一个或多个类型的信息。
37.在一个特定的实施例中，能力信息103向身份提供方106指示实体102能够应对某些令牌拒绝条件。如先前所讨论的，由于访问令牌108已经到期，由资源提供方104进行的令牌拒绝在先前的系统中发生。然而，实体102可以传送能力信息103，能力信息103指示实体能够应对由资源提供方104进行的出于其它原因对访问令牌108的拒绝。例如，访问令牌108可能由于身份提供方106向资源提供方104提供的策略114的改变而被拒绝。备选地或附加地，资源提供方104可以从其它位置接收更新的策略，诸如向资源提供方104发布策略的集中式发布服务。资源提供方104可以被配置为管理关于整个计算环境中的改变的策略。例如，如果确定在计算环境中恶意攻击已经增加，则资源提供方104可以要求实体102具有在获得访问令牌108时使用的特定等级的认证。如果访问令牌108不符合这些要求，则资源提供方104可以拒绝访问令牌108，引起实体102与资源提供方104之间的用户会话被终止。在一些实施例中，改变可以是对用户状态、客户端状态、策略状态、条件式访问条件、行为模式等。能力信息103可以指示实体102能够处置出于这些原因中的任一原因的令牌拒绝。特别地，这样的令牌处置可以比先前的令牌处置更有效。特别地，当用户会话由于这些原因被拒绝时，实体102可以向身份提供方重新认证。在先前的系统中，只要访问令牌未到期，实体就将继续尝试使用缓存的访问令牌来访问资源。然而，本文的实施例不需要等待令牌到期，而是可以在令牌到期之前立即结束会话，并且尝试向身份提供方106重新认证。
38.现在参考图2，图示了更详细的示例。在图2所示的图示例中，图示了身份提供方106、实体102、和资源提供方104。在第一时间，身份提供方106和实体102通过交换认证协议消息115-1来参与认证协议。作为该交换的一部分，从实体102向身份提供方106提供能力信息103。认证消息115-1的交换导致身份提供方106向实体102发布访问令牌108-1。在该示例中，访问令牌108-1包括能力信息103。
39.在随后的时间，在请求111-1中使用访问令牌108-1来在请求111-1中请求资源112。资源提供方104可以确定由于某种原因不能提供资源112。例如，如前所述，可能尚未使用针对实体102请求的资源类型的足够强的认证方法获得访问令牌108-1。作为已经接收到
访问令牌108-1中的能力信息103的结果，资源提供方104可以确定实体102能够处置增强的令牌拒绝。作为结果，资源提供方104可以根据能力信息103中指示的能力拒绝令牌108-1。例如，资源提供方104可以发布包括响应信息117的响应116，响应信息117指示为什么不能在资源提供方104与实体102之间创建用户会话的原因。例如，如上所述，响应信息117可以指示实体102没有使用已经使用足够的认证方法获得的令牌108-1。
40.在一些实施例中，由于资源提供方104知道实体102能够应对这样的响应的事实，所以可以将该响应116与响应信息117一起从资源提供方104提供给实体102。特别地，先前提供给资源提供方104的能力信息103允许资源提供方104知道实体102的能力。例如，如果实体102不具有处置响应信息117的能力，则可以要求资源提供方104多次拒绝访问令牌108-1，直到访问令牌108-1到期。特别地，在先前的系统中，如果访问令牌没有到期，即使由于除了令牌到期之外的原因拒绝访问令牌，则实体102通常将使用相同的令牌重试请求。然而，此处所示的实施例包括能够应对由于除了令牌到期之外的原因的令牌拒绝的实体。如果实体102能够应对这样的拒绝，则资源提供方104可以包括关于该拒绝的附加的信息，这允许更有效的资源请求过程，因为用户会话能够比在先前系统中更快地被无效和被重新生效。特别地，实体102不是重试请求直到访问令牌108-1已经到期，而是可以标识即使访问令牌108-1还没有到期，由于其它原因它是无效的或不可用的。
41.因此，在一些实施例中，实体102能够访问和读取响应116中的响应信息117。即，尽管实体102向资源提供方104呈现有效的访问令牌108-1，但是实体102可以知道资源提供方104拒绝用户会话的原因。这可以允许实体102通过针对这样的情况在实体102处实现的任何编程手段来进行响应。
42.注意，尽管图2图示了在对对资源112的请求的响应116中提供响应信息117，但是如果某些条件已经被满足或者资源提供方以其他方式确定响应信息117应当通过实体102被提供给身份提供方106，则可以在现有用户会话期间提供响应信息117。
43.最终，响应信息117被传递给身份提供方106，从而将针对特定用户会话的信息从资源提供方104传送给身份提供方106，即使该用户会话是从未被完全建立或被建立并稍后被无效的无效用户会话。
44.如图2所示，在一些实施例中，实体102将响应信息117作为一组新的认证协议消息115-2的一部分传递给身份提供方104。身份提供方106使用响应信息117来创建新的访问令牌108-2。然后，作为认证协议消息115-2的结果并且考虑到响应信息117，将新的访问令牌108-2提供给实体102。
45.实体102可以向资源提供方104发送请求111-2以及访问令牌108-2。资源提供方104可以评估令牌108-2并且确定令牌108-2足以(例如，使用多因素认证获得)用于获得资源112。因此，作为结果，资源提供方104可以向实体102提供资源112。
46.因此，在一些实施例中，资源提供方104需要向身份提供方106提供包括采取某些动作的原因的信息。例如，资源提供方104通常可能需要某种特定等级的认证，或访问某些资源。例如，实体102可以请求访问要求比其他信息更高等级的认证的信息。因此，本文中的实施例可以使用所说明的模态，以将这样的响应信息117或其它信息从资源提供方104传送到身份提供方106。
47.在一个示例中，资源提供方104可以向实体102指示某些响应信息117。例如，资源
提供方104可以向实体102指示要求更高等级的认证，以访问实体102请求的某些资源。在该示例中，实体102可以使用由资源提供方104提供的响应信息117，以向身份提供方106指示需要来自身份提供方106的某些事物。例如，实体102可以向身份提供方106指示实体102需要多因素认证，以能够访问资源提供方104处的某些资源。然后，身份提供方106可以使用多因素认证协议来认证实体102，以向实体102提供作为多因素认证协议的结果而发布的令牌108-2。
48.在一些实施例中，实体102不消耗由资源提供方104传递给实体102的信息。相反，实体102简单地将该信息传递给身份提供方106，并且身份提供方106可以相应地继续进行。然而，能力信息103仍然可以传送执行该传递通过消息的能力，由此实体102能够传递这样的信息。因此，例如，在一些实施例中，实体102可能不知道需要更高等级的认证。相反，资源提供方104将简单地向实体102指示它不能提供实体102请求的资源。附加地，它将向实体102提供旨在被传递到身份提供方106的消息，其中该消息包括指示需要更高等级的认证的响应信息117。在一些实施例中，资源提供方104可以简单地终止与用户的用户会话，并且将用户连同包括响应信息117的消息一起指导回身份提供方106，该响应信息117由实体102从资源提供方104传达到身份提供方106，需要来自身份提供方106的更高等级的认证或其他要求。然后，身份提供方106可以相应地响应，以根据由资源提供方104提供的响应信息117来认证实体102，以允许实体102使用由身份提供方106发布的令牌来访问资源提供方104处的资源。
49.然而，应当理解，在一些实施例中，实体102可以消耗由资源提供方104提供给实体102的响应信息117。例如，除了将响应信息117传递回身份提供方106之外，实体102可以包括用于执行某些动作作为接收响应信息117的结果的编程功能。在一些实施例中，能力信息103将指示实体103能够消耗这样的信息。
50.通常，管理企业广泛的策略并且通过认证实体并做出关于是否向实体发布访问令牌的决定来强制执行该策略的身份提供方106和资源提供方104不具有通信信道用于针对为实体发起的每个用户会话基于用户会话彼此通信。然而，本文所示的实施例允许该通信针对每个用户会话发生。具体地，资源提供方104可以向身份提供方106提供针对用户会话的响应信息117，并且身份提供方106可以通过包括在被发布给实体102的令牌108中的信息，来向资源提供方104提供信息。以此方式，可以从资源提供方104向身份提供方106以响应信息114的形式提供用户会话信息，反之亦然。因此，实施例可以解决与不存在从资源提供方104到身份提供方106的针对特定用户会话的直接链路相关的问题。
51.现在参考图3，图示了附加的细节。图3图示身份提供方106包括策略入口118。策略入口118包括可以由管理员120访问以允许管理员120配置用于在系统内分配资源的策略的各种用户接口。再次参考图1，如果资源提供方104更好地管理策略，则可以将策略114提供给资源提供方104，并且由资源提供方104管理，以根据策略114控制如何将资源112提供给实体102。再次参考图3，在一些实施例中，管理员可以通过选择策略入口118中显示的某些选项来标识策略，这些选项指示资源提供方104应当管理策略。在一些实施例中，在策略应当在策略入口118中被提供给资源提供方104时，管理员120可以标识某些条件、某些时间段等。
52.一些实施例可以具有需要强制执行的基于位置的策略。例如，与试图访问来自非
受信网络的资源相比，当用户试图访问来自受信网络的内部的资源时，企业可能需要实现不同等级的保护。例如，受信网络是企业使用的普通公司内联网，因此可以假定更高等级的安全性和更低等级的风险。因此，当实体试图从公司内联网访问某些资源时，企业可能希望允许访问这些资源。对于相同的资源，当实体试图从公司内联网的外部访问资源时，实体可能被阻止。
53.备选地，可能希望获得附加的认证，以允许访问公司内联网的外部的相同资源。例如，如果实体102试图访问公司内联网的外部的系统上的资源112，则一些实施例可能需要多因素认证。为了实现这一点，在资源提供方处实现策略114。例如，资源提供方104可以确定访问是否使用多因素认证发布令牌108，以及实体102是否试图访问公司内联网的外部的资源112。如果实体102试图使用访问令牌108从公司内联网外部访问资源112，其中访问令牌108是使用单因素认证被发布的，则资源提供方104可以使用户会话无效，并且使实体102向身份提供方106重新认证，以获得使用多因素认证发布的访问令牌。
54.注意，通过使身份提供方106向资源提供方104提供策略114，应当理解，身份提供方106可以向与策略114相关的任何资源提供方提供策略114。这创建了能够根据需要快速地且高效地向资源提供方分发策略的可扩展系统。这消除了手动地配置各种资源提供方以及在那些资源提供方上或在试图从资源提供方访问资源的实体上运行的应用程序的需要。这允许系统有效地缩放。
55.特别地，管理员只需要在身份提供方入口中配置策略。
56.附加地，如果管理员试图在资源提供方处配置诸如多因素认证的某些策略，则他们不能这样做，因为资源提供方不支持与多因素认证本身或其它类型的认证相关的某些功能和了解。资源提供方限于提供访问或阻止访问。
57.通过利用身份提供方配置策略，可以在策略强制执行中实现更大的粒度。例如，可以配置不同的认证方法。附加地，使用身份提供方来接收用于配置策略的管理员输入允许管理员在一个中央位置全局地管理策略。
58.因此，本文的实施例能够通过允许资源提供方从身份提供方下载策略来解决这种情况。换句话说，身份提供方可以与资源提供方共享管理员配置的策略。此时，资源提供方具有策略，并且当用户试图访问资源提供方处的资源时，资源提供方可以直接对用户强制执行策略。
59.例如，在如上所述的一些实施例中，资源提供方可以确定用户正在试图从受信位置还是从非受信位置访问资源。如果用户试图从非受信位置访问资源，则资源提供方可直接应用与非受信位置试图访问资源相关的策略。例如，如果用户试图使用以不符合非受信位置访问的方式获得的访问令牌(例如，使用单因素认证获得令牌)来从非受信位置访问资源，则资源提供方可以终止用户会话，从而使令牌无效并且将用户指导回身份提供方，以获得用于根据管理员配置的策略从非受信位置访问资源的适当凭证(例如，使用多因素认证来获得令牌)。如前所述，作为已经提供了令牌108中能力信息103的结果，资源提供方104知道它可以立即终止用户会话，并且指导实体寻找新的令牌而不是等待令牌108的到期。即，可以通知实体102，并且消耗指示终止会话的原因的信息。这允许实体102重新认证，而无需等待令牌108到期、出现关键错误或其组合。
60.现在参考图4，图示了一个实施例。在图4所示的示例中，资源提供方104可以发送
对来自身份提供方106策略114的请求122。作为响应，身份提供方106可以向资源提供方104提供策略114，其中当实体试图访问来自资源提供方的资源时，资源提供方104可以管理策略。
61.注意，在一些实施例中，策略114的范围可能受到限制。例如，在一些实施例中，策略114可以应用于特定实体或特定实体组。备选地或附加地，策略114可以全局地应用于试图访问系统中的资源的所有实体。备选地或附加地，在一些实施例中，策略114仅适用于某些资源提供方或某些类别的资源提供方。
62.现在参考图5，图示了备选的实施例。在图5中，身份提供方106可以被配置为在身份提供方106处策略已被更新的任何时间通知资源提供方104。例如，管理员可以通过策略入口来更新策略和身份提供方106。一旦发生，身份提供方106可以自动地向资源提供方104发送通知124，通知资源提供方在身份提供方106处附加策略是可用的。作为响应，资源提供方104向身份提供方106发送请求122，以获得策略114。响应于请求122，身份提供方106向资源提供方104提供策略114，其中资源提供方随后可以在实体试图访问来自资源提供方104的资源时管理策略。
63.现在参考图6，图示了备选的实施例。在图6中，资源提供方104可以订阅在身份提供方106处的订阅服务或与身份提供方106相关联的订阅服务。具体地，图6图示了从资源提供方104发送到身份提供方106的订阅126。订阅126可以应用于多个不同项目中的任何一个项目。例如，在一些实施例中，资源提供方102将为特别标识的一个或多个特定实体订阅通知、策略或其组合。备选地或附加地，资源提供方104可以订阅某些类别的实体。备选地或附加地，资源提供方104可以订阅一般来自身份提供方106的策略改变。该订阅向身份提供方106指示当在身份提供方106处更新策略时要通知资源提供方104。在图6所示的示例中，作为订阅126的结果，通知124(以及随时间的其他通知)被发送到资源提供方104。通知124向资源提供方104指示在身份提供方106处的策略可用与资源提供方104。响应于通知124，资源提供方104将向身份提供方106发送请求122。响应于请求122，将策略114从身份提供方106发送到资源提供方104，其中当实体试图访问来自资源提供方104的资源时，资源提供方104可以在本地管理策略。
64.现在参考图7，图示了备选的或附加的实施例。在图7中，资源提供方104向身份提供方106发送订阅126。当附加的策略可以用于被发送到资源提供方104时，身份提供方106可以策略114的形式发布事件。这可以帮助减少网络开销流量，以消除针对从资源提供方104发送到身份提供方106的策略的特定请求的要求。
65.在图8所示的又一甚至更简单的示例中，身份提供方106可以自动地向诸如资源提供方104等任何可应用的资源提供方发布策略114。
66.现在参考图9，图示了备选的或附加的实施例。在该示例中，实体102向身份提供方106认证，以获得访问令牌108。在该特定示例中，访问令牌108包括策略指示符128。策略指示符128包括指示策略在身份提供方106处可用于实体102的指示。当实体102在请求130中从资源提供方104请求资源时，请求130将包括访问令牌108，访问令牌108包括策略指示符128，策略指示符128指示策略在身份提供方106处可用于实体102。当资源提供方104接收到访问令牌108和策略指示符128时，资源提供方104可以向身份提供方106发送请求122。响应于请求122，身份提供方106可以向资源提供方104提供策略114。然后，当实体102试图访问
由资源提供方104提供的资源112时，资源提供方104可以管理关于实体102的策略。
67.下面现在说明关于可以提供给资源提供方并且由资源提供方管理的策略的类型的附加的细节，并且实体可以为资源提供方提供指示实体102能够处置针对这些特定策略的令牌拒绝的能力信息103。如前所述，实施例可以包括基于位置的策略，诸如标识试图从资源提供方104访问资源112的实体102的位置的策略。特别地，上述策略针对实体102是否正在尝试从公司内联网内部或从公司内联网的外部访问。备选地或附加地实现其它位置策略。
68.虽然上述示例与针对位置的策略有关，但是其他实施例可以用其他类型的策略来实现。例如，在一些实施例中，策略可以基于用户的行为模式。例如，这种行为模式可以包括打字速度、通常的打字模式、各种用户输入之间的间隔、机器使用模式、应用程序使用模式等。管理员120可以在身份提供方106处配置策略，该策略指示当风险等级由于意外的用户行为模式而增加时，需要附加的认证来访问资源。如上所述，可以从身份提供方106向资源提供方提供策略，使得当在用户行为模式中检测到异常时，资源提供方104可以强制执行该策略。特别地，身份提供方106不容易检测到用户行为模式，因为身份提供方106与实体102的交互非常有限。即，实体102执行与身份提供方106的有限交互，以获得访问令牌110，然后在资源提供方104处使用访问令牌110来访问执行更丰富的交互序列的资源112。以此方式，资源提供方104更适合于强制执行行为模式策略。
69.然而，使用先前图示的模态，策略114仍然可以在身份提供方106处被配置，并且随后被提供给资源提供方104，用于在资源提供方104处直接强制执行。例如，考虑实体102与资源提供方104进行大量交互的示例。例如，交互可以在实体使用基于web的应用时发生。例如，如果实体正在使用基于web的电子邮件应用、基于web的文字处理器、基于web的电子表格、或者甚至是基于web的办公套件，则用户行为模式对于提供基于web的资源的资源提供方104是显而易见的。特别地，资源提供方104可以容易地检测打字速度、打字错误、应用程序之间的切换、或其它行为模式。可以将这些模式与实体102所呈现的先前模式进行比较，以检测与先前模式的显著偏差。当该显著的偏差发生时，资源提供方104可以参考身份提供方106先前提供的策略114，来确定应当采取什么动作。例如，如果实体102先前仅使用单因素认证进行了认证，如在用户提供的访问令牌108中所指示的，并且策略114指示当发生了与来自先前交互的用户行为模式的阈值等级的变化时，应当终止会话、需要多因素认证、或两者。注意，先前交互可以被测量为所有时间上的聚合模式和平均模式、特定时间上的聚合模式和平均模式、模式的滑动窗口、手动配置的模式、其组合等。资源提供方104可以终止会话并且将实体102指导回身份提供方106，以获得多因素认证，从而开始与资源提供方104的新会话。备选地，资源提供方104可以能够确定实体102已经使用多因素认证进行认证，并且可以在当前会话符合由身份提供方106向资源提供方104提供的策略时继续会话，而不管行为模式的显著改变。
70.在一些实施例中，如图9所示，身份提供方106向实体102提供的访问令牌108可以包括指示是否为特定实体102配置了策略114的信息。特别地，不是每个实体都具有特定类型的策略，诸如位置策略或行为模式策略或与该实体相关联的其它策略。因此，一些实施例可以包括用于发布具有扩展信息的访问令牌的功能，扩展信息指示是否针对承载令牌的特定实体来配置策略。因此，例如，如果实体102具有在身份提供方106处为实体102配置的策
略，则针对该实体102的访问令牌108将指示在身份提供方106处存在针对实体102的策略。因此，在一些示例中，当访问令牌108被提供给资源提供方104，以试图来获得对某些资源112的访问时，资源提供方104可以检查访问令牌108，并且确定在身份提供方106处存在用于呈现访问令牌108的实体102的策略。在这种情况下，资源提供方104可以向身份提供方106请求策略114，然后可以在资源提供方104处为提供访问令牌108的实体102强制执行策略114。
71.可以实现一些实施例，其中实体为与发布给资源提供方的实体相关的关联策略提供许可。如图10a所示，在一些实施例中，可以由实体102直接提供许可，实体102直接向身份提供方106提供许可132。例如，实体118可以向身份提供方106发送消息，消息指示哪些服务提供方具有相对于实体102订阅身份提供方106的许可。
72.备选地或附加地，如图10b所示，实体可以向应用134提供许可132，并且应用134可以通知身份提供方106许可被提供。例如，在一些实施例中，应用程序134可以包括允许用户提供许可作为应用程序134的配置的一部分的用户界面。
73.备选地或附加地，如图10c所示，许可132可以由实体102为不同的第三方应用138提供对第一方应用136的许可。例如，用户可以在单点登录场景中使用他们的contoso(本文于说明的虚构公司)凭证，凭证可以用于认证到不由contoso直接控制的第三方应用。实体将许可针对第三方应用的第一方contoso应用，从而允许实体订阅第三方应用。例如，图10c图示了可以向第一方应用136提供许可132。第一方应用136可以向第三方应用138通知许可(然后第一方应用136可以向身份提供方106通知许可132)或者可以直接向身份提供方106通知许可132。
74.在一些实施例中，如图10d所示，管理员120可以为包括实体的实体组提供许可。在图10d所示的示例中，管理员120代表管理员120控制的实体集102’向身份提供方106提供许可132’。虽然图10d所示的示例示出了直接向身份提供方106提供许可，但是应当理解，在其他实施例中，可以向诸如图9b和图9c所示的应用或其他实体提供许可。
75.下面的讨论现在涉及可以执行的多种方法和方法动作。尽管方法动作可以以特定顺序被讨论或在流程图中被图示为以特定顺序发生，但是除非特别声明，否则不需要特定顺序，或者因为动作依赖于在执行动作之前完成的另一动作，而不需要特定顺序。
76.现在参考图11，示出了方法1100。方法1100包括用于认证具有特定能力的实体的动作。该方法包括向身份提供方发送指示实体的特定能力的能力信息(动作1102)。
77.方法1100还包括，作为结果，从身份提供方接收包括对实体的特定能力的指示的访问令牌(动作1104)。
78.方法1100还包括在对来自资源提供方的资源的请求中，向资源提供方呈现包括对特定能力的指示的访问令牌(动作1106)。
79.方法1100还包括，作为结果，从资源提供方接收符合特定能力的响应(动作1108)。
80.方法1100可以在响应包括符合特定能力的资源的情况下被实践。
81.方法1100可以在能力信息指示实体能够处置特定类型的访问令牌拒绝的情况下被实践。
82.方法1100可以在能力信息指示实体能够处置指示针对以下至少一项的拒绝的访问令牌拒绝的情况下被实践：用户状态改变、客户端状态改变、策略状态改变、所满足的条
件式访问条件、实体的位置、或由实体进行的行为模式。
83.方法1100可以在响应包括根据特定能力的访问令牌拒绝的情况下被实践。
84.方法1100还可以包括接收根据特定能力的访问令牌拒绝。在该示例中，访问令牌拒绝包括响应信息。在该示例中，方法还包括使用响应信息，从身份提供方请求新的访问令牌。在该示例中，该方法还包括从身份提供方接收新的访问令牌。在该示例中，该方法还包括使用新的访问令牌来从资源提供方获得资源。
85.方法1100还可以包括接收根据特定能力的访问令牌拒绝。在该示例中，访问令牌拒绝包括响应信息。在一些这样的示例中，方法还可以包括消耗响应信息。消耗包括例如读取并且作用于响应信息，诸如通过响应于读取信息而执行编程动作。
86.现在参考图12，图示了另一种方法1200。该方法包括用于与具有特定能力的实体进行通信的动作。方法1100包括在资源提供方计算机系统处接收对资源的请求，该请求包括访问令牌(动作1202)。访问令牌包括标识实体的特定能力的能力信息。作为实体向身份提供方进行认证并且向身份提供方提供能力信息的结果，访问令牌先前由实体从身份提供方获得。
87.方法1200还包括在资源提供方处提供符合特定能力的对请求的响应(动作1204)。
88.方法1200可以在响应包括符合特定能力的资源的情况下被实践。
89.方法1200可以在能力信息指示实体能够处置特定类型的访问令牌拒绝的情况下被实践。
90.方法1200可以在能力信息指示实体能够处置指示针对以下至少一项的拒绝的访问令牌拒绝的情况下被实践：用户状态改变、客户端状态改变、策略状态改变、所满足的条件式访问条件、实体的位置、或由实体进行的行为模式。
91.方法1200可以在响应包括根据特定能力的访问令牌拒绝的情况下被实践。
92.方法1200还可以包括发送根据特定能力的访问令牌拒绝。在该示例中，访问令牌拒绝包括响应信息。这样的实施例还可以包括接收对资源的新请求和由实体使用响应信息从身份提供方已经获得的新访问令牌。这些实施例还可以包括，作为接收新访问令牌的结果，提供资源。
93.刚刚描述了一些所公开的实施例的各种特征和功能，现在关注图13，图13图示了可以用于促进本文所述的操作的示例计算机系统1300。诸如系统1300的计算机系统可以用于实现上述任何计算机系统。
94.该方法可以由包括一个或多个处理器1305和诸如计算机存储器的计算机可读存储装置1325的计算机系统1300来实施。具体地，计算机存储器可以存储计算机可执行指令，这些指令在由一个或多个处理器1305执行时使得执行各种功能，诸如实施例中列举的动作。
95.本发明的实施例可以包括或利用包括计算机硬件的专用或通用计算机，如下面更详细地所讨论的。本发明范围内的实施例还包括用于携带或存储计算机可执行指令、数据结构、或其组合的物理和其它计算机可读介质，例如存储装置1325。这种计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此，作为示例而非限制，本发明的实施例可以包括至少两种完全不同类型的计算机可读介质：物理
计算机可读存储介质和传输计算机可读介质。
96.物理计算机可读存储介质包括ram、rom、eeprom、cd-rom、或其它光盘存储(诸如cd、dvd等)、磁盘存储、或其它磁存储设备、或任何其它介质，该任何其它介质可以用于以计算机可执行指令或数据结构的形式存储所需程序代码手段并且可由通用或专用计算机访问。
[0097]“网络”(例如，网络1335)被定义为能够在计算机系统、模块、其它电子设备、或其组合之间传输电子数据的一个或多个数据链路。当通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)向计算机(例如，远程系统1340)传送或提供信息时，计算机适当地将该连接视为传输介质。传输介质可以包括网络或数据链路，传输介质可以用于携带计算机可执行指令或数据结构形式的所需程序代码装置，并且可由通用或专用计算机访问。上述的组合也包括在计算机可读介质的范围内。
[0098]
此外，在到达各种计算机系统组件时，计算机可执行指令或数据结构形式的程序代码装置可以自动地从传输计算机可读介质传送到物理计算机可读存储介质(反之亦然)。例如，通过网络或数据链路接收的计算机可执行指令或数据结构可被缓存在网络接口模块(例如，“nic”)内的ram中，然后最终被传送到计算机系统ram，传送到计算机系统处的较不易失性计算机可读物理存储介质，或其组合。因此，计算机可读物理存储介质可被包括在也(或甚至主要)利用传输介质的计算机系统组件中。
[0099]
计算机可执行指令包括例如使通用计算机，专用计算机或专用处理设备执行特定功能或功能组的指令和数据。计算机可执行指令可以是例如二进制码，诸如汇编语言的中间格式指令，或者甚至是源代码。虽然已经用结构特征，方法动作或其组合专用的语言描述了本主题，但是应当理解，所附权利要求中定义的主题不必限于上述特征或动作。相反，所描述的特征和动作是作为实现权利要求的示例形式来公开的。
[0100]
本领域的技术人员将理解，本发明可以在具有许多类型的计算机系统配置的网络计算环境中实践，包括个人计算机，台式计算机，膝上型计算机，消息处理器，手持设备，多处理器系统，基于微处理器或可编程消费电子器件，网络pc，小型计算机，大型计算机，移动电话，pda，寻呼机，路由器，交换机等。本发明还可以在分布式系统环境中实施，其中通过网络链接(通过硬连线数据链路，无线数据链路或通过硬连线和无线数据链路的组合)的本地和远程计算机系统都执行任务。在分布式系统环境中，程序模块可位于本地和远程存储器存储设备中。
[0101]
可替换地或附加地，这里描述的功能可以至少部分地由一个或多个硬件逻辑组件来执行。例如但不限于，可以使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑器件(cpld)等。
[0102]
在不脱离本发明的精神或特征的情况下，本发明可以以其它特定形式实施。所描述的实施例在所有方面仅被认为是说明性的而非限制性的。因此，本发明的范围由所附权利要求而不是由前面的描述来指示。在权利要求的等同物的含义和范围内的所有变化都包含在其范围内。