基于智能跟踪的应用单点登录确定

背景技术

可以追踪与通过装置访问的诸如网站的应用相对应的跟踪。可以分析这些跟踪以用于应用的故障排除、调试、业务分析、安全改进、数据保护等。

附图说明

本公开的特征仅通过示例说明并且不限于下图，其中相同的标记表示相同的元素，其中：

图1示出了根据本公开的实施例的网络环境的框图，在该网络环境中，装置可以确定被供应用于访问应用的凭证的类型，并输出指示被访问的应用的标识和所使用的凭证的类型的跟踪；

图2描述了根据本公开的实施例的图1中描述的装置的框图；

图3描述了根据本公开的实施例的用于确定预定义网站是否被访问以及用于输出跟踪的方法的流程图，该跟踪指示预定义网站被访问和被供应以访问预定义网站的凭证类型；以及

图4示出了根据本公开的实施例的计算机可读介质的框图，该计算机可读介质可以具有存储在其上的用于确定要通过单点登录凭证的录入来实现对某个应用的访问的计算机可读指令。

具体实施方式

为了简单和说明的目的，主要通过参考实施例及其示例来描述本公开的原理。在下面的描述中，阐述了许多具体细节以便提供对实施例和示例的理解。然而，对于本领域普通技术人员来说显而易见的是，实施例和示例可以在不限于这些具体细节的情况下被实践。在一些情况下，公知的方法和/或结构没有被详细描述，以免不必要地模糊对实施例和示例的描述。此外，实施例和示例可以以各种组合一起使用。

贯穿本公开中，术语“一”和“一个”旨在表示至少一个特定元素。在此使用的术语“包括”意味着包括但不限于，术语“包括”意味着包括但不限于。术语“基于”意味着至少部分基于。

本文公开了装置、方法和计算机可读介质，其中处理器可以确定应用通过门户被访问，并且可以确定第一凭证类型或第二凭证类型是否被供应来访问应用。第一凭证类型可以包括用户的个人凭证集合，例如，用户可以录入以访问特定应用的个人凭证集合。用户可以在每次用户访问相应应用时录入第一凭证类型的凭证。第二凭证类型可以包括用户可以用来访问多个应用的单点登录凭证集合。单点登录凭证的使用可以使得用户能够访问多个应用，而不需要用户通过使用可以针对多个应用而个性化的凭证来登录到多个应用中的每一个。此外，组织管理员可以设置单点登录凭证，该凭证可能受组织制定的策略的管控，这可以提高凭证的强度，例如，单点登录凭证中使用的密码的强度。

处理器还可以输出跟踪，该跟踪指示被访问的应用的标识以及为访问该应用而录入或供应的凭证的类型。在一些示例中，处理器可以例如以智能方式为通过门户访问的某些应用输出跟踪。换句话说，处理器可以选择性地为通过门户访问的某些应用输出跟踪，而不是为通过门户访问的所有应用输出跟踪。用户和/或后端实体可以定义将为其输出跟踪的应用。如本文所用，跟踪可以是对应于被访问的应用的标识和通过门户录入的凭证的类型的记录或日志。

在一些示例中，处理器可以确定用户向应用提供了敏感信息，例如个人可识别信息。在这些示例中，处理器可以避免输出敏感信息，诸如通过从输出的跟踪中移除敏感信息和/或通过模糊敏感信息并在输出的跟踪中输出经模糊的敏感信息。结果，敏感信息可能不容易从输出的跟踪中识别出来，这可以保护敏感信息免受恶意行为者的访问。

根据示例，所述处理器可以将跟踪输出到后端实体，该后端实体可以从多个装置收集类似类型的跟踪。可以访问后端实体的后端实体或管理员、IT人员等可以分析跟踪，并且可以基于分析基于来自多个设备的所收集的跟踪来做出哪些应用将可通过单点登录被访问的确定。也就是说，例如，可以做出关于用户正经由其个人凭证访问哪些应用的确定。此外，如果确定一定数目的用户正以这种方式访问特定应用，则后端实体可以使得要被包括的特定应用可通过其单点登录凭证的录入来被访问。

在许多情况下，通过使用个人凭证访问应用可能比通过单点登录凭证的录入来访问应用的安全性低。这可能是因为用户可能用作个人凭证的用户名和密码可能比用户可能用作单点登录凭证的用户名和密码安全安全性低而发生的，例如，由于组织可能对单点登录凭证施加的附加限制。使用单点登录凭证还可以使得组织在单点登录凭证的录入无法导致访问凭证录入应该能够访问的特定应用时能够分析失败的根本原因。此外，组织可以更好地追踪用户通过使用单点登录凭证访问的应用，这可能使得组织能够更好地防范恶意行为者。然而，使得能够通过单点登录凭证访问大量应用可能会使应用的追踪更加困难，处理资源消耗密集且耗时。

通过实现本公开的特征，可以选择性地追踪应用，使得与通过应用中的门户访问的所有应用有关的跟踪可以不被传送到后端实体。相反，与所访问的应用中的所选择的应用有关的跟踪可以被传送到后端实体，这可以减少不必要或不相关信息的传送。这可以减少用于传送跟踪的网络带宽量，以及在确定哪些应用将通过单点登录凭证的录入被访问时由后端实体(例如，后端实体的处理器)消耗的处理和功率资源量。此外，可以从跟踪中移除敏感信息，诸如个人可识别信息，因此，跟踪的通信可提供比经由共享驱动器和/或类似物的电子邮件、附件的通信更大的安全性。

首先参考图1和图2。根据本公开的实施例，图1示出了网络环境100的框图，其中装置102可以确定被供应用于访问应用的凭证的类型，并输出指示被访问的应用的标识和所使用的凭证的类型的跟踪。图2根据本公开的实施例描述了图1中描述的装置102的框图。应当理解，网络环境100和装置102可以包括附加特征，并且在不脱离网络环境100和/或装置102的范围的情况下可以移除和/或修改本文描述的一些特征。

如图1所示，网络环境100可以包括装置102和后端实体120。装置102可以是用户可以通过其访问应用130a-130n的任何类型的计算设备，其中变量“n”可以表示大于1的值。装置102可以是客户端计算设备、膝上型计算机、平板计算机、智能手机和/或类似物中的任何一种。后端实体120可以是组织的管理员、信息技术职员、技术人员和/或类似物的计算设备、服务器和/或类似物。根据示例，并且如本文所讨论的，后端实体120可以分析从装置102接收的跟踪并且通过基于跟踪的分析的单点登录方案的实施方式来管理和/或被用于管理对应用130a-130n中的某些应用的访问。对应用130a-130n的访问的管理可以包括用户可以通过单点登录凭证的录入来访问的应用130a-130n的添加和/或移除。

装置102可以通过网络140与后端实体120和应用130a-130n通信，该网络140可以是局域网、广域网、互联网和/或类似物。例如，装置102可以通过局域网和互联网中的一个或两个与后端实体120通信。此外，装置102可以经由互联网访问应用130a-130n。网络环境100可以包括用户或多个用户可以用来访问应用130a-130n的任意数量的类似装置102。网络环境100还可以或替代地包括任意数量的类似后端实体120。

在一些示例中，装置102可具有存储在其上的指令，所述指令在被执行时可使得诸如web浏览器、web门户和/或类似物的门户108被显示在装置102上或连接到装置102的屏幕上，装置102的用户可通过该门户108通过网络140访问应用130a-130n。用户可使用门户108访问应用130a-130n，例如，网站、服务和/或类似物。在一些示例中，应用130a-130n可以是用户可针对其提供凭证以访问应用130a-130n的任何基于web的应用。例如，应用130a-130n可以是社交媒体网站、商业媒体网站、银行网站、组织特定网站、文档管理网站、工作生产力网站和/或类似物。

如图1和2所示，装置102可以包括处理器104，该处理器104可以控制装置102的操作。装置102还可以包括存储器106，处理器104可以访问和/或可以执行的数据可以存储在该存储器106上。处理器104可以是基于半导体的微处理器、中央处理器(CPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)和/或其他硬件设备。也可以被称为计算机可读介质的存储器106例如可以是随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备等。存储器106可以是非暂时性计算机可读存储介质，其中术语“非暂时性”不包括暂时性传播信号。在任何方面，存储器106可以在其上存储处理器104可以执行的机器可读指令。

尽管装置102被描绘为具有单个处理器104，但是应当理解，装置102可以包括附加的处理器和/或内核，而不脱离装置102的范围。在这点上，对单个处理器104以及对单个存储器106的引用可以被理解为附加地或替代地涉及多个处理器104和多个存储器106。此外或替代地，处理器104和存储器106可以集成到单个组件中，例如，可以在其上提供处理器104和存储器106两者的集成电路。此外或替代地，本文描述为由处理器104执行的操作可以跨多个装置102和/或多个处理器104分布。

如图2所示，存储器106可具有存储在其上的处理器104可执行的机器可读指令200-204。尽管本文将指令200-204描述为存储在存储器106上并且因此可包括机器可读指令集合，但装置102可包括可执行类似于指令200-204的功能的硬件逻辑块。例如，处理器104可包括可执行指令200-204的硬件组件。在其他示例中，装置102可包括指令和硬件逻辑块的组合，以实现或执行对应于指令200-204的功能。在这些示例中的任何一个中，处理器104可实现硬件逻辑块和/或执行指令200-204。如本文所讨论的，装置102还可以包括附加的指令和/或硬件逻辑块，使得处理器104可以执行除了以上关于图2讨论的那些之外或代替那些的操作。

处理器104可以执行指令200以确定通过门户108访问了应用130a。如本文所讨论的，门户108可以是可以显示在装置102上或连接到装置102的屏幕上的web浏览器或其他类型的门户。在一些示例中，门户108上的代理110可以追踪通过门户108访问的应用130a-130n。代理110可以是可以已被添加到例如安装在门户108上的诸如插件的指令集合，或者与门户108集成的应用，例如是门户108的实用程序。在一些示例中，代理110可以由用户激活和停用。因此，例如，用户可以激活代理110以使通过门户108访问的应用130a-130n被追踪，并且可以停用代理110以防止对所访问的应用130a-130n的追踪。因此，处理器104可以在代理110处于激活状态时，从代理110确定应用130a通过门户108被访问。

在一些示例中，代理110通常可以处于未激活状态。在这些示例中，当期望对用户访问的应用130a-130n的追踪时，用户可以激活代理110。例如，当用户体验到与计算设备和/或应用130a有关的问题时用户可以激活代理110，并且使得关于计算设备和/或应用130a的用户活动可以被追踪。在其他示例中，代理110通常可以处于激活状态并且当应用130a-130n不被追踪时，用户可以停用代理110。

处理器104可以执行指令202，以基于应用130a是通过门户108被访问的确定，确定是第一凭证类型还是第二凭证类型被供应以访问应用130a。例如，代理110可以追踪用户录入以访问或以其他方式提供给应用130a的凭证112，并且可以将凭证112存储在数据存储114中。数据存储114可以是随机访问存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备等。处理器104可以从数据存储114访问所追踪的凭证112，并且可以确定凭证112是第一凭证类型还是第二凭证类型，第一凭证类型例如是包括用户的个人凭证集合，第二凭证类型例如是单点登录凭证集合。处理器104可以以多种不同方式中的任何方式做出该确定，例如，可以将凭证112与已知凭证进行比较，可以将凭证112与第一凭证类型或第二凭证类型的已知格式进行比较，等等。例如，处理器104可以确定应用130a正在使用原始(plain)凭证，或者应用130a使用的凭证与身份提供者相关联。在一些示例中，处理器104可以不存储用户供应的凭证，而是可以仅检测已经录入凭证的信号，并且可以根据检测到的信号确定凭证的类型。

第一凭证类型可以包括个人凭证集合，例如个人用户名、个人密码等。提供给应用130a-130n的个人凭证可以彼此相同或不同。在用户录入第一凭证类型的凭证112以访问应用130a的实例中，后端实体120可能不知道用户访问了应用130a。在这些实例中，由于后端实体120不知道对应用130a的访问，网络环境100中的设备可能更容易受到攻击。此外，用户用于访问应用130a的个人凭证可能不如组织规定的单点登录凭证安全，因此，个人凭证可能比单点登录凭证更容易受到恶意行为者的攻击。

可替换地，用户可以提供第二凭证类型的凭证112以访问应用130a。第二凭证类型可以包括单点登录凭证集合，例如，用户名、密码、pin码、用户标识和/或类似物，用户可以使用该单点登录凭证集合来通过单点登录凭证的输入访问多个应用130a-130n。单点登录凭证可以是可以符合组织提出的规定(例如，长度、字符、大小写等，规定)的凭证，并且组织可以使用这些凭证来使得用户能够利用单点登录凭证的录入来访问多个应用130a-130n。

例如，诸如企业、大学和/或类似物的组织可以实施组织登录方案，其中组织中的用户可以通过其单点登录凭证的录入来访问多个应用130a-130n。在这些示例中，组织中的用户可以输入其单点登录凭证一次以访问多个应用130a-130n(例如，服务、网站等)。换句话说，用户可以访问多个应用130a-130n，而不必通过其单点登录凭证的录入来单个地登入多个应用130a-130n中的每一个。这可以通过使用可以传递给应用130a-130n的认证令牌来实现，尽管可以采用其他形式的认证。在一些示例中，后端实体120可以存储用户的凭证，并且可以使用用户的凭证进行初始认证，并且可以转换凭证以用于使得用户能够访问应用130a-130n。

在用户可以通过其单点登录凭证的录入来访问多个应用130a-130n的实例中，组织，例如组织的后端实体120，可以维护用户能够通过其单点登录凭证的录入来访问的应用130a-130n的列表。因此，用户可以录入个人凭证来访问在应用130a-130n的列表之外的应用。在许多实例中，组织可能更喜欢为用户访问的应用130a-130n实现单点登录，因为这可以使后端实体120能够追踪用户正在访问哪些应用130a-130n。这还可以使得后端实体120能够减少由于例如弱密码、对某些应用的访问等而导致的易受攻击性。

处理器104可以执行指令204以输出跟踪，该跟踪指示被访问的应用130a的标识以及供应给访问应用130a的凭证的类型。特别地，处理器104可以将跟踪输出到后端实体120。后端实体120可以收集来自多个装置102的所输出的跟踪，并且可以基于来自多个装置102的所收集的输出跟踪来确定是否使得某些应用130a-130n能够通过单点登录凭证的录入来访问。后端实体120还可以出于其他目的分析跟踪，诸如以确定通过单点登录凭证的录入来访问特定应用的失败的根本原因。本文更详细地讨论了后端实体120可以执行的各种操作。

根据示例，处理器104可以确定用户向应用130a提供了敏感数据，诸如个人可识别信息、私人数据、秘密数据和/或类似物。用户可能已经提供了敏感数据来访问应用130a和/或在对应用130a的访问期间可能已经提供了敏感数据。例如，代理110可以被编程为基于提供的匹配某些预定义模式的数据来识别用户何时通过门户108录入敏感数据。个人可识别信息可以包括可以允许直接或间接合理推断用户身份的任何信息。敏感数据可以包括例如用户名、密码、社会安全号码、驾驶执照号码、财务信息、医疗信息、用户的家庭地址、出生日期和/或者类似物。

在这些示例中，处理器104可以从输出到后端实体120的跟踪中移除敏感数据。因此，例如，处理器104可以在跟踪被输出到后端实体120之前从跟踪中移除用户为访问应用130a而录入的密码和用户名。此外或替代地，处理器104可以模糊敏感数据，并且可以在输出到后端实体120的跟踪中包括经模糊的敏感数据。处理器104可以对敏感数据应用任何合适的模糊操作，例如替换、洗牌、数字和日期差异、加密、取消或删除、屏蔽敏感数据中的字符等。

根据示例，处理器104可以确定用户是否访问了要跟踪的多个预定义应用之中的预定义应用130a。此外，处理器104可以基于用户访问了预定义应用130a的确定来确定是供应第一凭证类型还是第二凭证类型以访问应用130a。在这些示例中，处理器104可以输出关于应用的跟踪以及用户通过门户108访问的应用中的某些应用的凭证类型。例如，可以指令处理器104和/或代理110确定访问的应用130a是否与预定义应用列表中识别的应用匹配。

在一些示例中，后端实体120可以通知处理器104和/或代理110预定义应用列表，后端实体120可以随时间更新该列表。也就是说，处理器104和/或代理110可以接收对预定义应用列表(或等效地，多个)的更新，并且可以基于所接收的更新来更新预定义应用列表。预定义应用列表中的应用可以包括后端实体120可能希望追踪用于故障排除、数据记日志、考虑经由单点登录过程的访问和/或类似物的那些应用，这些应用可以随时间改变。

根据示例，代替输出对应于用户通过门户108访问的所有应用130a-130n的跟踪，处理器104可以选择性地输出对应于预定义应用列表中的应用的跟踪。也就是说，例如，处理器104可以丢弃通过代理110搜集的对应于除了预定义应用列表中的应用以外的应用的跟踪。通过这样做，处理器104可以智能地追踪应用，这可以减少输出到后端实体120的数据量。

在一些示例中，后端实体120可以收集来自多个装置102的所输出的跟踪，以基于来自多个装置的所收集的输出的跟踪来确定是否使得某些应用能够通过单点登录凭证的录入来访问。例如，后端实体120可以已确定多个用户已经通过其个人凭证的录入来访问应用130a，并且因此应用130a应该通过其单点登录凭证的录入来被访问。在这些示例中，后端实体120可以已经将应用130a包括在预定义应用列表中，并且可以已经利用包括应用130a列表来更新处理器104和/或代理110。结果，用户下次访问应用130a时，用户可以在通过门户108访问遵循单点登录凭证的录入的应用130a，例如，而无需直接向应用130a录入他们的个人凭证。

关于图3中描绘的方法300更详细地讨论了装置102的处理器104可以操作的各种方式。特别地，图3描绘了用于确定预定义网站130a是否被访问以及用于输出指示预定义网站130a被访问和被供应以访问预定义网站130a的凭证类型的跟踪的方法300的流程图。应当理解，方法300可以包括附加的操作，并且在不脱离方法300的范围的情况下可以移除和/或修改其中描述的一些操作。为了说明目的，参考图1和图2中描绘的特征对方法300进行描述。

在框302，处理器104可以追踪通过web浏览器108访问的网站130a-130n，web浏览器108可以等同于装置102上的门户108。在一些示例中，web浏览器108上的代理110可以追踪用户经由web浏览器108访问的网站130a-130n，如本文所讨论的。代理110可以是用户可控的，并且代理110可以在代理110被用户激活时追踪网站130a-130n。

在框304，处理器104可以确定预定义网站130a是否在被追踪的网站之中。预定义网站130a可以是在预定义网站列表内的网站。后端实体120或后端实体120的用户可以已经向处理器104和/或代理110提供了预定义网站列表。预定义网站列表可以包括后端实体120或后端实体120的用户可能希望为了本文讨论的任何目的而追踪的那些网站。在一些示例中，处理器104和/或代理110可以接收对预定义网站列表的更新，并且处理器104和/或代理110可以基于所接收的更新来更新预定义网站列表。

基于所追踪的网站不包括预定义网站130a的确定，处理器104可以在框302继续追踪网站。此外，处理器104可以在框304继续确定预定义网站列表中的任何网站是否已被访问。对于那些被访问但不在预定义网站列表中的网站，处理器104可以丢弃对应于那些网站的跟踪。

基于预定义网站130a在所追踪的网站之中的确定，例如，用户访问了预定义网站列表中的网站130a，在框306，处理器104可以确定web浏览器108的用户将第一凭证类型和第二凭证类型中的哪一个提供给预定义网站130a。如本文所讨论的，第一凭证类型可以包括用户的个人凭证集合，并且第二凭证类型可以包括用户通过单点登录凭证的录入来访问多个网站的单点登录凭证的集合。

在框308，处理器104可以向后端实体120输出跟踪，该跟踪指示用户是向预定义网站130a提供了第一凭证类型还是第二凭证类型。在这方面，处理器104可以向后端实体120输出跟踪，该跟踪指示预定义网站130a被访问以及用户供应以访问预定义网站130a的凭证类型。

在一些示例中，处理器104可以基于用户访问了预定义网站130a的确定，确定用户向预定义网站130提交了个人可识别信息。此外，处理器104可以从所输出的跟踪中移除个人可识别信息。在其他示例中，处理器104可以对个人可识别信息进行模糊，并且可以在所输出的跟踪中包括个人可识别信息的经模糊版本。在这些示例中的任何一个中，后端实体120可以不接收用户个人可识别信息的清楚版本。

方法300中阐述的一些或全部操作可以作为实用程序、程序或子程序包含在任何期望的计算机可访问介质中。此外，方法300可以由计算机程序来体现，计算机程序可以以活动和非活动的多种形式存在。例如，它们可以以机器可读指令存在，该机器可读指令包括源代码、目标代码、可执行代码或其他格式。上述中任何一个都可以体现在非暂时性计算机可读存储介质上。

非暂时性计算机可读存储介质的示例包括计算机系统RAM、ROM、EPROM、EEPROM以及磁盘或光盘或磁带。因此应当理解，任何能够执行上述功能的电子设备都可以执行上面列举的那些功能。

现在转向图4，根据本公开的实施例，示出了计算机可读介质400的框图，该计算机可读介质400可以具有存储在其上的计算机可读指令，该计算机可读指令用于确定对某个应用130a的访问将通过单点登录凭证的录入来实现。应当理解，图4中描绘的计算机可读介质400可以包括附加指令，并且可以移除和/或修改本文描述的一些指令，而不脱离本文公开的计算机可读介质400的范围。计算机可读介质400可以是非暂时性计算机可读介质，其中术语“非暂时性”不包括暂时性传播信号。

计算机可读介质400可以具有存储在其上的计算机可读指令402-406，处理器可以执行该计算机可读指令402-406，该处理器诸如图1中描绘的后端实体120的处理器。计算机可读介质400可以例如是包含或存储可执行指令的电子、磁性、光学或其他物理存储设备。计算机可读介质400可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。

处理器可以获取、解码和执行指令402，以接收从多个装置102输出的多个跟踪。所接收的多个跟踪中的每一个都可以指示在装置102上访问的应用130a。所接收的多个跟踪还可以指示是使用了第一凭证类型还是第二凭证类型来访问应用130a。第一凭证类型可以包括用户的个人凭证集合，并且第二凭证类型可以包括用户通过单点登录凭证的录入来访问多个应用的单点登录凭证集合。在一些示例中，所接收的多个跟踪中的每一个都包括从中省略和/或模糊用户的个人可识别信息的跟踪。

处理器可以获取、解码和执行指令404以确定某个应用130a使用第一凭证类型被访问的次数。换句话说，处理器可以分析从装置102接收到的多个跟踪，以识别在跟踪中被识别的每个应用通过第一凭证类型的使用被访问的次数。

处理器可以获取、解码和执行指令406，以基于所确定的次数超过预定义的数目的确定，使得能够通过第二凭证类型的用户的录入来访问特定应用130a。换句话说，处理器可以基于特定应用130a被访问至少预定义的次数来使得用户能够录入其单点登录凭证来访问特定应用130a。预定义的次数可以由管理员、IT人员和/或类似物定义。

根据示例，处理器(例如，后端实体120的处理器)可以维护使得装置102的用户能够通过第二凭证类型的录入访问的应用列表，并且可以将特定应用130a添加到应用列表中。如本文所讨论的，处理器可以使用令牌或其他方式来使得能够通过单点登录凭证的录入访问应用列表中的应用。在一些示例中，后端实体120的处理器可以生成报告，该报告可以包括关于使得应用130a-130n中的哪些可以经由单点登录凭证的录入被访问的建议，并且可以将该报告输出给用户，使得用户可以对应用130a-130n采取动作。

根据示例，所接收的多个跟踪中的每一个可以包括对应于预定义应用集合的跟踪。在这些示例中，指令可以使处理器基于预定义应用集合正在被更新来向多个装置输出对预定义应用集合的更新。

尽管在整个即时公开中都被具体描述，但本披露的代表性示例在广泛的应用范围内具有实用性，上述讨论并非旨在也不应被解释为限制，而是作为公开方面的说明性讨论。

本文所描述和说明的是本公开的一个示例及其一些变体。本文中使用的术语、描述和图表仅作为说明，不意味着限制。在本公开的范围内，许多变体是可能的，本公开的范围旨在由以下权利要求——以及其等效物——定义，其中所有术语都以其最广泛的合理意义表示，除非另有说明。