shutterstock_553333903-4-1.jpg.

专利技术

BitGlass产品受到美国专利No.10,868,811,10,855,671,10,757,090,10,389,735,10,122,714,9,769,148,9,553,867,9,552,492和9,047,480的一种或多种。   其中,美国专利 10,757,09010,855,671 在SAML代理,ACS代理和IDP + CASB模式下,Casb,Identity提供程序和应用程序之间的访问控制和代理集成是基础的。 这些专利日期返回2013年,并于2020年获得。 在干预期间,所有Casb都采用这些技术作为实时代理部署的金标准。   

在采用这些突破性技术之前,其他Casb供应商部署在网络钓鱼模式。具体地,用户登录凭据将被输入到代理而不是IDP中,从而严重降级安全性。 例如,查看我们的博客文章“如何专利是网络钓鱼攻击,“ 下一个主要数据违规是......“ 和 ”First Gen Casb再次钓鱼." 现在通过用于使用本机IDP的流行应用程序的主要应用程序来确定这些方法并被阻止为网络钓鱼。

下表总结了BitGlass专利的访问控制技术。

集成模式 直接访问申请 无代理反向代理访问应用程序
SAML代理模式 专利BitGlass技术 专利BitGlass技术
ACS.  Proxy Mode   专利BitGlass技术
集成IDP + CASB模式   专利BitGlass技术

以下部分提供有关专利技术的详细信息。


SAML代理模式

在SAML代理模式下,CASB被配置为应用程序的身份提供程序,以及您的实际IDP(例如ping,OKTA,ADF等)配置为CasB的身份提供程序。   例如,BitGlass支持此模式。 在此模式下,CASB看到成功和验证失败,因此可以提供更好的异常检测(UEBA)和拒绝服务保护。 可以在SAML代理模式下配置任何SAML IDP。

SAML中继模式的交通流程图如下。

SAML继电器的交通流量

 
SAML Proxy选项1:直接访问应用程序: 涉及美国专利的权利要求1 10,757,090。 
 

1. 一种改进对应用程序的安全访问的方法,包括:通过代理服务器接收来自设备的单一登录请求,用于访问应用程序,该设备由应用服务器指导到云网络位置Proxy Server,代理服务器被配置为验证应用程序的计算机安全验证请求;通过代理服务器通过将设备发送到身份提供者的网络位置来指导设备,该设备被配置为对代理服务器进行身份验证计算机安全验证请求的身份提供者,设备使用该设备与身份提供商使用该设备通信身份提供者的网络位置,身份提供程序在验证单点登录请求后,将设备重定向到代理服务器的云网络位置,并在单点登录请求后进行单点登录验证;在代理服务器上接收设备的单点登录验证;通过代理服务器创建有效的识别断言;通过代理服务器通过将设备发送到应用程序服务器的网络位置,通过向应用程序服务器和有效的识别断言发送设备,使用应用程序服务器的网络位置和有效识别的网络位置直接与应用服务器通信断言,此后设备与应用服务器直接通信,以便后续访问应用程序。

 
SAML Proxy选项2:通过反向代理访问应用程序: 由美国专利申请7 10,855,671。 
 

1. 一种方法,用于改进对基于云的应用程序的安全访问,包括:通过身份提供者接收来自用户设备的单个登录请求以访问基于云的应用程序,用户设备发送请求访问基于云的应用程序到应用程序服务器并从应用程序服务器接收身份提供程序的云网络位置,该身份提供程序被配置为对应用程序进行身份验证计算机安全验证请求的身份提供程序;通过身份提供者验证单点请求;为了响应于验证单点登录请求,通过身份提供者将用户设备指向应用程序代理服务器的云网络位置,其后,用户设备通过URL与应用程序通信重写为通过应用程序代理服务器,最初寻址到应用程序的URL,应用程序代理服务器未与应用程序服务器共同定位。
7。 2.如权利要求1所述的方法,其中,所述身份提供者将单次登录请求中继到第二身份提供商以进行验证。

 

ACS. Proxy Mode

在ACS代理模式下,您的实际IDP(例如ping,OKTA,ADF等)被配置为应用程序的身份提供程序,并且Casb配置为erp的IDP的ACS代理 SAML标准.   只有一些IDP支持ACS代理,可以以这种方式配置,例如, p, okta.Onelogin。 此外,在ACS代理模式中,CASB可能没有看到失败的认证尝试,因此无法有效地检测异常以提供拒绝服务保护。  

ACS.代理模式的交通流程图如下。

ACS.代理的交通流量

ACS. Proxy Option 2:通过反向代理访问应用程序: 涉及美国专利的权利要求1 10,855,671。 

1. 一种方法,用于改进对基于云的应用程序的安全访问,包括:通过身份提供者接收来自用户设备的单个登录请求以访问基于云的应用程序,用户设备发送请求访问基于云的应用程序到应用程序服务器并从应用程序服务器接收身份提供程序的云网络位置,该身份提供程序被配置为对应用程序进行身份验证计算机安全验证请求的身份提供程序;通过身份提供者验证单点请求;为了响应于验证单点登录请求,通过身份提供者将用户设备指向应用程序代理服务器的云网络位置,其后,用户设备通过URL与应用程序通信重写为通过应用程序代理服务器,最初寻址到应用程序的URL,应用程序代理服务器未与应用程序服务器共同定位。

 


集成IDP + Casb

在此模式下,IDP和CASB集成在一起。  The BitGlass Casb. 支持此模式,该模式只是IDP和CasB的SAML代理模式的简化版本。

集成IDP + CASB模式的交通流程图如下。

IDP + Casb的交通流量

IDP + Casb选项2: 通过反向代理访问应用程序: 涉及美国专利的权利要求1 10,855,671。 

1. 一种方法,用于改进对基于云的应用程序的安全访问,包括:通过身份提供者接收来自用户设备的单个登录请求以访问基于云的应用程序,用户设备发送请求访问基于云的应用程序到应用程序服务器并从应用程序服务器接收身份提供程序的云网络位置,该身份提供程序被配置为对应用程序进行身份验证计算机安全验证请求的身份提供程序;通过身份提供者验证单点请求;为了响应于验证单点登录请求,通过身份提供者将用户设备指向应用程序代理服务器的云网络位置,其后,用户设备通过URL与应用程序通信重写为通过应用程序代理服务器,最初寻址到应用程序的URL,应用程序代理服务器未与应用程序服务器共同定位。