[发明专利]对基于云的应用的安全访问控制

权利要求书

1.一种用于保护对基于云的应用的访问的方法，包括：

接收认证令牌，其中所述认证令牌包括请求对所述基于云的应用的访问的客户端设备的用户的身份；

从在所述客户端设备中执行的代理接收客户端证书；

从合规性服务器检索所述客户端设备的设备情形，其中所述设备情形关于所接收的所述客户端证书被检索；

标识用于所述客户端设备访问所述基于云的应用的访问策略，其中所述访问策略至少基于所检索的所述设备情形被标识；以及

部分基于所述客户端设备关于所标识的所述访问策略的所述合规性来确定是否要授予对所述基于云的应用的访问。

2.根据权利要求1所述的方法，还包括：

检查所述代理是否被安装在所述客户端设备中；以及

当所述客户端设备不包括所述代理时，引起以下中的至少一项：所述代理在所述客户端设备中的安装以及所述代理在所述客户端设备中的执行。

3.根据权利要求1所述的方法，其中所述设备情形至少表征所述客户端设备被配置有的安全能力。

4.根据权利要求1或3所述的方法，其中所述设备情形至少包括合规性参数集合和与所述客户端设备相关联的唯一的证书。

5.根据权利要求4所述的方法，其中所述合规性参数集合中的每个合规性参数包括以下中的至少一项的合规性状态：所述客户端设备的至少一个安全能力。

6.根据权利要求1所述的方法，其中所述访问策略包括多个属性、多个条件、和策略动作，其中所述策略动作包括以下中的任一项：允许完全访问、阻止访问和允许有限访问。

7.根据权利要求6所述的方法，其中确定是否要授予对所述基于云的应用的访问还包括：

确定被设置在所述访问策略中的所述多个条件和所述多个属性中的哪些被满足；以及

基于所确定的满足的所述条件和属性来允许对所述基于云的应用的访问。

8.一种其上存储有指令的计算机可读介质，所述指令用于引起一个或多个处理单元执行根据权利要求1所述的方法。

9.一种云计算平台，包括：

至少一个服务器，被配置为托管至少一个基于云的应用；

合规性服务器；

代理设备，在通信上被连接到所述至少一个服务器，其中所述代理设备包括处理系统和存储器；所述存储器包含指令，所述指令在由所述处理系统执行时将所述代理设备配置为：

接收认证令牌，其中所述认证令牌包括请求对所述基于云的应用的访问的客户端设备的用户的身份；

从在所述客户端设备中执行的代理接收客户端证书；

从所述合规性服务器检索所述客户端设备的设备情形，其中所述设备情形关于所接收的所述客户端证书被检索；

标识用于所述客户端设备访问所述基于云的应用的访问策略，其中所述访问策略至少基于所检索的所述情形被标识；以及

部分基于所述客户端设备关于所标识的所述访问策略的合规性来确定是否要授予对所述基于云的应用的访问。

10.一种用于保护对基于云的应用的访问的代理设备，包括：

处理系统；以及

存储器，所述存储器包含指令，所述指令在由所述处理系统执行时将所述代理设备配置为：

接收认证令牌，其中所述认证令牌包括请求对所述基于云的应用的访问的客户端设备的用户的身份；

从在所述客户端设备中被执行的代理接收客户端证书；

从合规性服务器检索所述客户端设备的设备情形，其中所述设备情形关于所接收的所述客户端证书被检索；

标识用于所述客户端设备访问所述基于云的应用的访问策略，其中所述访问策略至少基于所检索的所述情形被标识；以及

部分基于所述客户端设备关于所标识的所述访问策略的合规性来确定是否要授予对所述基于云的应用的访问。

11.根据权利要求10所述的代理设备，其中所述代理设备还被配置为：

检查所述代理是否被安装在所述客户端设备中；以及

当所述客户端设备不包括所述代理时，引起以下中的至少一项：所述代理在所述客户端设备中的安装以及所述代理在所述客户端设备中的执行。

12.根据权利要求10所述的代理设备，其中所述设备情形至少表征所述客户端设备被配置有的安全能力。