使用传统协议向传统客户端传达状态信息

摘要

当用户账户处于交替(故障)状态时，应用提供方和设备或客户端应用之间的通信或同步通常被中断。当各方不支持富故障消息收发时，对中断理由和补救步骤的传达是不可能的。通过身份提供方和应用服务器之间的附加交互，应用服务器使用不提供显式错误消息收发的应用和不提供显式错误消息收发的协议来提供富故障消息收发而无需改变该应用或协议。应用服务器使用身份服务器所提供的认证状态信息来生成通知同步事件，该通知同步事件对该应用和该协议而言看上去是正常同步事件。该通知同步事件被用来向该用户提供确定该账户的问题是什么以及如何解决该问题所需的信息。

说明书

背景

许多应用和服务依赖于用户名和密码来认证用户。可在每次用户登录时请 求用户输入其凭证。有时存储该用户的凭证。一些应用使用令牌代表用户访问 第二应用。例如，第一应用(被称为“依赖方”因为该应用依赖另一实体来认证 用户)可向身份提供方呈现用户的凭证。响应于成功认证，身份提供方随后可 向第一应用发送令牌，该第一应用可使用该令牌来代表用户访问第二应用。第 二应用频繁地更新客户端应用或设备上的信息(例如，数据文件)。根据一组 规则来确保位于两个或更多个位置的计算机文件被更新被称为同步 (synchronizing或“syncing”)。例如，当智能电话应用访问在线电子邮件提供 方时，使用户的收件箱与该电子邮件提供方针对该用户的收件箱同步，例如通 过在智能电话上接收用户的新电子邮件。

当用户账户被锁定时，应用和设备停止同步(即，数据文件不被更新)。 继续上述智能电话示例，用户不接收其新电子邮件。通常，用户必须采取一个 或多个动作来重新启用同步。在采取这些动作之前，用户必须首先执行其他任 务，诸如提供其身份。已设计出多项测试来尝试确认用户是他所宣称的人。作 为许多示例之一，验证码(captcha)是一种类型的质询-响应测试，其尝试确保 响应是真正由人生成的。另一种类型的测试请求用户通过提供简档信息来提供 辅助身份证据，所述简档信息诸如是生日或对问题的与用户先前提供并由系统 保存的答案相一致的答案。又一种类型的测试请求用户提供被发送至该用户先 前提供并由系统保存的电子邮件地址或移动电话号码的一次性码。当用户能够 成功通过向其呈现的任何测试时，账户被解锁。在重新启用同步之前可请求其 他用户动作(诸如更新密码)。

现有同步机制可包括用来同步文件的程序和该同步程序所使用的协议。应 用和设备之间的一些通信依赖于不支持富故障消息收发的传统协议。缺乏富故 障消息收发的协议的示例包括但不限于：POP、IMAP、Exchange Active Sync 以及例如用于嵌入到智能电话中的电子邮件应用、智能电话认证以及游戏控制 台认证的某些富客户端接口。这些传统客户端-服务器通信协议不提供对标识故 障起因的内建支持。当用户的账户出现问题时，使用这些传统协议之一的应用 或设备可仅提供一般性错误消息，诸如“无法同步”，而不向用户给出关于问题 是什么或可以如何解决问题(补救)的任何信息。即使现有机制使用能够进行 富故障消息收发的协议，使用富故障消息收发协议的程序可能不利用其能力。

概述

当账户或设备处于阻止更新客户端设备上的用户数据文件的正常完全同 步的交替或锁定状态中时，身份管理平台可向该应用服务器提供使得该应用服 务器能够侵占现有同步机制以向该客户端发送人类可读消息、机器可读消息或 人类可读及机器可读消息的信息。该消息可以是通知消息而不是更新客户端设 备上的数据文件的正常同步。而是，描述该客户端为何处于交替状态的显式消 息可在该通知消息中被提供至该用户。补救指令可在该通知消息中被提供至该 用户。可基于机器可读消息来自动执行一些补救动作(而无需用户输入)。因 为采用现有同步机制，所以不需要对客户端应用或对该客户端应用使用的协议 做出改变。从客户端的角度，由该客户端从该应用服务器接收的消息无法与由 该客户端应用接收的正常同步消息相区分并且使用由更新用户数据文件的正 常同步消息所使用的现有协议。

当该应用服务器是依赖方时，从身份提供方所接收到的现有响应可被扩充 以包括错误响应，该错误响应指示认证凭证评价成功但是客户端应用处于交替 状态。该应用服务器所接收的响应可包括关于认证为何没有成功的细节。来自 身份提供方的响应可包括在认证可成功之前必须采取的一个或多个用户动作。 可提供关于该锁定状态的原因以及必须由该应用服务器采取的动作的性质的 信息。身份提供方可向该应用服务器提供关于任选或非任选中断状态的信息。 任选中断状态允许该应用服务器选择是否改变(例如，中断)该用户的认证流 的选项。非任选中断状态指导该应用服务器改变(例如中断)该用户的认证流。

在正常同步不会发生的情况下，该应用服务器可向该客户端应用发送通知 同步事件，该通知同步事件允许有限同步行为。可在无需改变客户端应用或所 使用的协议的情况下发送通知事件。提供本概述以便以简化的形式介绍将在以 下详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的 关键特征或必要特征，也不旨在用于限制所要求保护主题的范围。

附图简述

在附图中：

图1解说了根据本文描述的主题的各方面的使用传统协议向传统客户端传 达状态信息的系统100的示例；

图2a解说了根据本文公开的主题的各方面的使用传统协议向传统客户端 传达状态信息的方法200的示例；

图2b解说了根据本文公开的主题的各方面的使用传统协议向传统客户端 传达状态信息的方法201的另一示例；以及

图3是根据本文公开的主题的各方面的计算环境的示例的框图。

详细描述

概述

在计算中，对服务的访问常由认证规程来控制，该认证规程在向用户准许 针对该用户的身份建立的特权之前建立该身份。传统上，认证是基于包括用户 名和密码的凭证的。如果用户提供了用户名和密码的正确组合，则对服务的访 问被准许。传统协议和传统客户端(设备或应用)一般提供对这种非黑即白 (black-and-white)式认证方法的支持。

一种更复杂的认证方法识别认证过程中的灰度。即，在认为认证成功之前， 除了评价用户凭证评价之外，还评价其他因素(例如，用户账户状态)。例如， 假定用户出示了正确的凭证(例如，提供了正确的用户名和密码所以用户凭证 评价成功)但是请求不符合过去的使用模式。例如，该请求可来自对该用户而 言未识别的地理区域(例如，常驻美国的用户访问来自亚洲的服务)。这可能 意味着某人已偷取了该用户的凭证。对未能遵循过去使用模式的当前处理可能 导致该账户被置于软阻挡模式，该软阻挡模式触发对至该用户的设备的富信令 的需要。相对而言，如本领域已知的传统客户端或使用传统协议的客户端可能 无法对未能遵循过去使用模式做出反应并可能简单地认证该用户。根据本文描 述的主题的各方面，通过生成以下新同步事件在不改变客户端或协议的情况下 克服了传统客户端和/或传统协议的限制：该新同步事件对客户端而言看上去就 像是正常同步事件，但实际上是向客户端或向用户提供关于认证过程的附加信 息的通知同步事件。该通知同步事件可以是推送事件。

当认证失败时，传统客户端或使用传统协议的客户端可生成至用户的一般 性错误消息，诸如“不能同步”。该一般性错误消息通常不提供足够的信息以使 得用户能可靠地断定问题是什么以及如何解决该问题。更丰富的体验将包括提 供显式错误消息(例如“因为您的密码今天早上期满了，所以您电子邮件不能同 步”)和补救能力(例如，“现在点击<此处>来更新您的密码”)的通知。提供更 丰富的故障消息收发可能是困难的，因为端点(应用或设备)不支持富错误消 息收发能力并且不受服务提供方的控制和/或因为客户端(例如，应用或设备) 依赖于不支持富错误消息收发能力并且不能被服务提供方改变的传统协议。

根据本文公开的主题的各方面，可通过生成以下新同步事件来在不改变客 户端应用或协议的情况下提供针对传统客户端应用或使用传统协议的客户端 应用的富故障消息收发体验：该新同步事件对客户端而言看上去就像是正常同 步事件，但实际上是向客户端或向用户提供关于认证失败的附加信息的通知同 步事件。该通知同步事件可以是推送事件。

客户端和服务器之间的通知同步事件可由身份管理平台(例如，身份提供 方)或安全令牌服务(一种颁发认证和/或授权令牌的身份管理平台)和同步至 客户端的应用服务器之间的协调驱动。身份提供方可向依赖方应用服务器或向 客户端提供响应，其中该响应被扩充以包括指示附加认证评价信息的错误响 应。例如，附加认证评价信息可包括指示认证凭证评价成功但是在认证能够成 功之前需要用户动作的信息。

身份提供方可向依赖方应用服务器或向客户端提供信息，该信息被扩充以 包括向依赖方应用服务器提供改变(例如中断)用户的授权流的能力的中断状 态。中断状态可以是任选或非任选的。对于非任选的中断状态，身份提供方可 向依赖方应用服务器提供足够的信息来改变授权流。对于任选中断状态，身份 提供方可向依赖方应用服务器提供足够的信息来选择是否改变用户的授权流 以及如何处理中断和相关联的已改变授权流。中断状态可应用于整个用户账 户，或应用于特定会话(例如，设备/用户/位置是不熟悉的组合)。

可通过启用受限同步行为来更改授权流。受限同步行为可以是生成通知同 步事件。通知同步事件可提供故障通知(问题是什么)和/或补救信息(如何解 决问题)。常规同步事件和通知同步事件之间的差异对客户端透明，以使得不 需要对客户端做出改变。因为对客户端或对协议不做改变，本文描述的主题适 用于在各种上下文中使用，所述上下文包括但不限于：对包括但不限于计算机、 平板、智能电话等的任何计算设备上的电子邮件应用、商务行业应用或其他应 用的访问。

尽管是在电子邮件客户端和认证的上下文中描述的，对本领域的技术人员 而言，显然，本文描述的概念同样适用于任何客户端/服务领域并适用于不涉及 认证的错误。示例包括但不限于：其中所发送的消息涉及约会的日历应用、其 中每个字母的起始联系人是消息的地址簿应用、其中服务使得对于客户端而言 仅有单一文件而不是文件夹且文件为消息的云存储应用、以及其中消息是单一 条目或“离线”消息的网际协议语音(VoIP)应用。

本文描述的主题的一些方面可在其中不拥有而是按需提供计算服务的云 计算环境中操作。例如，身份管理平台可以在联网云中的多个设备或系统上， 身份相关数据可以存储在云内的同一或其他设备上等等。

使用传统协议将状态信息传达至传统客户端。

图1解说了根据本文描述的主题的各方面的系统100的示例的框图，该系 统使用传统协议将诸如认证评价信息等状态信息传达给传统客户端。系统100 的全部或部分可以驻留在诸如下面参考图3所描述的计算机之类的一个或多个 计算机或计算设备上。系统100或其部分可作为独立系统或作为插件或附件提 供。系统100可包括以下的任一者或任何组合：客户端设备(诸如计算设备102)、 服务器计算设备(诸如计算设备103)和/或身份管理提供方(诸如计算设备 104)。

系统100可包括诸如计算设备102之类的一个或多个计算机或计算设备。 计算设备102可以是任何计算设备，包括但不限于：平板、智能电话、个人计 算机、web用具或游戏控制台。类似地，本文描述的主题的各方面可应用于全 部或部分在代表另一计算设备进行认证的一计算设备上执行的任何应用、协 议、或服务(例如，web服务等)。类似地，该主题的各方面可应用于包括这 种计算设备的任何设备。计算设备102可包括一个或多个处理器(例如处理器 142等)、存储器(诸如存储器145)和客户端应用(诸如客户端应用108)的 一个或多个模块。客户端应用108可以是任何应用，包括但不限于：传统应用 (诸如不支持富故障消息收发的应用)或使用传统协议的应用，所述传统协议 诸如是不支持富故障消息收发的协议。客户端应用108可以是依赖方。客户端 应用108可以收集用户输入，诸如用户输入106。用户输入106可包括凭证信 息，诸如用户名和密码。客户端应用108可发送用户凭证(诸如用户凭证110) 给计算设备103。用户凭证110可包括用户输入106和关于计算机设备102的 任何其他信息(诸如设备同步状态)的全部或部分。

系统100可包括诸如计算设备103之类的一个或多个计算机或计算设备。 计算设备103可以是任何计算设备，包括但不限于：服务器计算机或主存应用 服务器的计算机等。计算设备103可包括一个或多个处理器(诸如处理器143 等)、存储器(诸如存储器146)、以及应用(诸如应用服务器112)的一个 或多个模块。应用服务器112可以是依赖方。应用服务器112可接收来自计算 设备102的用户凭证110并可向计算设备104发送用户凭证110。替代地，应 用服务器112可接收来自计算设备102的用户凭证110并可从用户凭证110生 成用户凭证114并可向计算设备104发送用户凭证114。用户凭证114可以因 为添加了关于该用户的通信的信息(例如，通信源自何处等)、计算设备102 的状态、凭证等而不同于用户凭证110。

系统100可包括诸如计算设备104之类的一个或多个计算机或计算设备。 计算设备104可以是任何计算设备，包括但不限于其上驻留了身份提供方或身 份管理平台或安全令牌服务的计算机。计算设备104可包括一个或多个处理器 (诸如处理器144等)、存储器(诸如存储器147)、以及身份提供方应用(诸 如身份提供方118)的一个或多个模块。身份提供方118可接收来自应用服务 器112的用户凭证114或用户凭证110并可响应于确定用户凭证114有效而向 应用服务器112发送认证令牌116。由身份提供方118生成的认证令牌116可 以是由应用服务器112用来访问另一应用或服务(诸如服务120)的令牌。由 身份提供方118生成的认证令牌116可以是由应用服务器112用来访问一不同 服务或访问另一应用或服务(诸如服务120)的有限部分的有范围的或者有限 用途的令牌。尽管图1中将服务120示出为驻留于计算设备103上，然而要理 解，服务120可驻留于任何计算机上。身份提供方118和应用服务器112可驻 留于同一计算机上(未示出)。

出于任何数量的原因，用户账户可能处于其中更新用户文件的完全正常同 步被禁用的锁定状态或交替状态，所述原因包括但不限于：用户的密码已期满， 用户改变了他在应用服务器上的密码但没有改变客户端上的密码，用户账户被 扼流，用户账户被锁定，同步被阻挡，客户端未通过健康检查(例如，设备可 能因为没有安装反病毒应用而未通过健康检查)，客户端通信来自未知的、不 寻常的或高风险的位置，客户端不被支持或被误配置或正在使用已弃用的客户 端/协议版本。扼流是指响应于不正确凭证的重复输入或其他用户动作而增加响 应时间或临时锁定用户账户达预定时间段的实践。用户账户可以因为不遵守用 户账户协议而被永久锁定。当用户账户已被盗用时，用户账户可能被锁定。当 怀疑用户账户已被盗用时，用户账户可能被锁定。用户账户可能被锁定以要求 用户重命名其账户。用户账户可能被锁定以迫使用户更改密码。用户账户可能 被锁定以迫使用户更改安全问题/安全答案信息。用户账户可能被锁定以迫使改 变用户证明其身份的方式。用户账户可被锁定以用于管理员所请求的定期改变 (例如，账户细节审阅或维护检查有时被称为“大扫除(spring cleaning)”)。 用户账户可能被锁定以迫使用户在设置账号时添加身份证据(在本领域中被称 为“第一证据”)。

身份提供方118可向应用服务器112发送附加状态信息122。附加状态信 息可包括关于针对用户的凭证的认证过程的状态的信息。身份提供方可确定用 户凭证有效，以使得凭证评价成功但是用户账户处于对其禁用了正常同步而使 认证失败的锁定状态或交替状态。即，即使凭证评价成功，认证仍旧失败，因 为用户账户或设备处于交替状态或锁定状态。此信息可作为状态信息122被发 送至应用服务器。被发送至应用服务器的状态信息可指示用户的密码已期满， 用户已改变了他在应用服务器上的密码但是没有改变客户端上的密码，用户账 户被扼流，用户账户被锁定，同步被阻挡，客户端未通过健康检查，客户端通 信来自未知的、不寻常的或高风险的位置，客户端不被支持或被误配置或正在 使用已弃用的客户端/协议版本等。被发送至应用服务器的状态信息可指示因为 重复输入不正确的凭证或其他用户动作而已经发生了扼流。

被发送至应用服务器的状态信息可指示用户账户因为不遵守用户账户协 议而被永久阻挡并可指示不遵守的类型。被发送至应用服务器的状态信息可指 示用户因为以下原因而被锁定：因为用户凭证已被盗用，因为用户凭证可能已 被盗用，因为用户必须重命名其账户，因为用户必须改变密码，因为用户必须 改变安全问题/安全答案信息，因为用户必须改变他证明其身份的方式，因为账 户细节审阅或维护检查，因为用户必须添加身份证据等。被发送至应用服务器 的状态信息可指示为了补救故障以使得认证能够成功而可以采取的动作。

被发送至应用服务器的状态信息可被应用服务器用来生成通知消息，诸如 通知消息124。通知消息可包括从身份提供方接收的或基于由身份提供方提供 的信息的上述故障消息。通知消息可包括为了补救故障以使得认证能够成功而 可以采取的动作。为了补救故障而可以采取的动作可由应用服务器来确定。

客户端应用108例如可以是不支持富故障消息收发的客户端电子邮件应用 (例如，内建到智能电话中的电子邮件应用)。客户端应用可以是支持富故障 消息收发但是使用不支持富故障消息收发的传统协议的应用。传统协议包括但 不限于POP、IMAP、Exchange Active Sync及其它。一些传统协议通过HTTP (或HTTPS)通信并且被设计用于电子邮件、联系人、日历、任务和/或笔记 从消息收发服务器到移动设备的同步(例如，Exchange ActiveSync或任何其他 适当的传统协议)。传统协议可包括用于认证客户端、智能电话、游戏控制台 等的富客户端接口。

例如，假定被提供给客户端电子邮件应用的用户输入106包括已期满密码。 如果应用服务器使用基本(传统)认证，则当用户尝试在其设备(计算设备102) 上访问该电子邮件应用(应用108)时，可使用传统协议(例如，Exchange  ActiveSync)将该用户的凭证(用户凭证110)从其计算设备102发送至应用服 务器(应用服务器112，例如Exchange Online)。应用服务器可发送用户凭证 (例如，按照接收用户凭证的相同方式发送用户凭证110或者可能具有附加信 息(例如，状态)，或者与用户凭证114不同地被格式化)至身份提供方，诸 如身份提供方118(例如，Windows Azure Active Directory(Windows Azure活 动目录))。

假定用户账户已经因为密码已期满而被锁定。身份提供方可返回显式故障 消息至应用服务器。例如，故障消息可以是“您的密码已期满。为了重置您的密 码，点击此处<链接>。”或可以是另一适当消息。该应用服务器可使用身份提 供方所提供的信息来激发通知同步事件。该通知同步事件可被推送到客户端。 例如，通知同步事件可以是例如被推送到客户端、推送到用户的智能电话收件 箱的电子邮件。该电子邮件可包括显式错误信息，诸如，例如：“您的密码今天 早上已期满”。该电子邮件可包括显式补救信息，诸如例如：“现在点击此处更 新您的密码。”从客户端的角度，通知同步事件无法与传统电子邮件同步事件相 区分，所以在客户端上不需要改变。然而，不是实际上同步客户端电子邮件收 件箱，而是仅发送包括作为身份提供方和应用服务器之间的协商的结果的故障 信息的电子邮件。任选地，应用服务器可递增计数器来确保通知同步事件被执 行不超过一次。

替代地，身份提供方可向客户端应用108返回有范围的或有限用途的令牌。 客户端应用108可将该有范围的令牌发送至应用服务器112。有范围的令牌是 允许应用服务器执行服务内的有限任务或任务集而不提供对整个服务的访问 的令牌。有范围的令牌可以是指导应用服务器112向客户端应用108发送通知 同步事件的令牌。客户端应用108不需要能够解密令牌或读取令牌的内容，并 且可以不知道该令牌是有范围的令牌。客户端应用108可将该有范围的令牌发 送至应用服务器112。应用服务器112可以解密该令牌并可确定通知同步/推送 事件要被发送。例如，解密的令牌可指令应用服务器112将具有如上所述的显 式问题和补救信息的电子邮件消息推送到用户的智能电话收件箱。从客户端角 度，通知同步事件无法与常规同步事件相区分。任选地，应用服务器可递增计 数器来确保通知同步事件被执行不超过一次。

在又一示例中，用户可尝试同步他的移动电话或智能电话上的电子邮件。 该用户通信可来自未知位置，来自通常不与该用户相关联的位置，或来自已被 指定为“不安全”位置(即，常与被盗取的凭证相关联的位置)的位置。客户端 应用可向应用服务器发送用户凭证。应用服务器可向身份提供方发送所述凭 证。身份提供方可确定凭证有效但是因为通信账户来自高风险位置并且可将账 户置于锁定状态。身份提供方可将此信息提供给应用服务器。响应于接收到身 份提供方提供的信息，应用服务器可确定通知同步推送事件要被激发至客户端 应用。对客户端应用而言，通知同步推送事件(电子邮件)无法与正常同步事 件(一个或多个电子邮件)相区分。通知同步推送事件电子邮件可提供显式故 障信息，诸如：“未识别您的当前位置。请点击此处<链接>来解决身份质询。” 或其他适当消息。响应于点击该链接，用户可被导向移动浏览器，在移动浏览 器处可向用户呈现身份质询。响应于正确对身份质询作出响应，用户的移动设 备可被解锁，从而允许同步。响应于未通过身份质询，该设备可保留在锁定状 态。

要理解，返回至客户端的一个或多个消息可以是人类可读消息、机器可读 消息、或其组合。例如，指示密码已期满的电子邮件消息可在电子邮件头部中 包括标签，一些客户端可将该标签忽略，但是一些客户端可识别该标签并可触 发其他用户交互，诸如但不限于启动更改密码网页。类似地，如果密码正被调 换，则当使用过期密码时，高级客户端可被机器可读消息触发来获取新密码并 自动更新该设备的密码，而无需人类干预或交互。

图2a解说了根据本文描述的主题的各方面的可使用传统协议向传统客户 端传达状态信息的方法200。图2a中所述的方法可由诸如但不限于参考图1中 所述的系统来实施。尽管方法200描述了顺序执行的一系列操作，但要理解， 方法200不受该顺序的次序的限制。例如，一些操作可以与所描述的不同的次 序发生。另外，一个操作可以与另一操作并发发生。在一些实例中，不是所有 的所描述操作都被执行。

在操作202，凭证(例如由例如用户提供的用户认证凭证)可被在客户端 设备上执行的客户端应用接收。如上所述，该客户端设备可以是传统设备(不 提供富故障消息收发的设备)或可以是能够提供富故障消息收发但是使用不支 持富故障消息收发的传统协议的设备。在操作204，客户端应用可向应用服务 器发送凭证。在操作206，由客户端应用发送的凭证可由应用服务器接收。在 操作208，应用服务器可向身份提供方或其他身份管理平台发送凭证以及任选 的附加信息(状态)，所述附加信息诸如但不限于：用户设备的地理位置。在 操作210，身份提供方可开始认证该用户。

在操作212，身份提供方可确定用户凭证是否有效。响应于确定用户凭证 无效，在操作214认证失败，并且在操作216不进行同步。响应于确定凭证有 效，在操作218，评价与认证过程相关联的状态信息。如果确定认证的状态正 常，则在操作220认证成功，并且在222，进行正常同步。如果对认证的状态 的评价导致确定用户状态处于锁定或交替状态，则可在224向应用服务器有范 围令牌。在224还可向应用服务器发送附加信息，诸如认证的状态的性质。在 操作226，可确定该设备是否处于中断状态。在228，响应于确定设备不处于 中断状态，应用服务器可在操作228执行通知同步，如上面更全面地描述的。 在230，响应于确定该设备处于非任选中断状态，应用服务器可改变(例如中 断)认证流。如果中断状态是任选的，则应用服务器可决定是否改变认证流。

图2b解说了根据本文描述的主题的各方面的可使用传统协议向传统客户 端传达状态信息的方法201。图2b中所述的方法可由诸如但不限于参考图1描 述的系统来实施。尽管方法201描述了顺序执行的一系列操作，但要理解，方 法201不受该顺序的次序的限制。例如，一些操作可以与所描述的不同的次序 发生。另外，一个操作可以与另一操作并发发生。在一些实例中，不是所有的 所描述操作都被执行。

在操作202，凭证(例如由用户提供的用户认证凭证)可被在客户端设备 上执行的客户端应用接收。如上所述，该客户端设备可以是传统设备(不提供 富故障消息收发的设备)或可以是能够提供富故障消息收发但是使用不支持富 故障消息收发的传统协议的设备。在操作204，客户端应用可向应用服务器发 送凭证。在操作206，由客户端应用发送的凭证可由应用服务器接收。在操作 208，应用服务器可向身份提供方或其他后端平台发送凭证以及任选的附加信 息(状态)，所述附加信息诸如但不限于：用户设备的地理位置。在操作210， 身份提供方可开始认证该用户。

在操作212，身份提供方可确定用户凭证是否有效。响应于在操作230确 定用户凭证无效但是用户凭证与先前用户凭证匹配，可在224向应用服务器发 送有范围令牌。在操作224，指示从用户接收的凭证信息已期满的信息也可被 发送至应用服务器。在操作228，应用服务器可执行通知同步，该通知同步例 如指示设备上的密码尚未被更新并且请求用户更新其在设备上的密码(例如， 在设置中)。响应于在操作230确定凭证不匹配先前凭证，在操作214认证失 败，且在操作216不进行同步。

合适的计算环境的示例

为了提供有关本文所公开主题的各方面的上下文，图3以及以下讨论旨在 提供其中可以实现本文所公开主题的各实施例的合适计算环境510的简要概括 描述。尽管本文所公开的主题是在诸如程序模块等由一个或多个计算机或其他 计算设备执行的计算机可执行指令的通用上下文中描述的，但本领域技术人员 将认识到，本文所公开的主题的各部分还能够结合其他程序模块和/或硬件和软 件的组合来实现。通常，程序模块包括执行特定任务或实现特定数据类型的例 程、程序、对象、物理人为产物、数据结构等。通常，程序模块的功能可在各 个实施例中按需进行组合或分布。计算环境510只是合适的操作环境的一个示 例，并且不旨在对此处所公开的主题的使用范围或功能提出任何限制。

参考图3，描述了计算机512形式的计算设备。计算机512可包括至少一 个处理单元514、系统存储器516和系统总线518。至少一个处理单元514可 执行被存储在诸如但不限于系统存储器516之类的存储器中的指令。处理单元 514可以是各种可用处理器中的任何一种。例如，处理单元514可以是图形处 理单元(GPU)。这些指令可以是用于实现被描述为由上述一个或多个组件或 模块所执行的功能的指令或用于实现上述方法中的一个或多个的指令。也可以 使用双微处理器及其他多处理器体系结构作为处理单元514。计算机512可被 用于支持在显示屏上呈现图形的系统中。在另一示例中，计算设备的至少一部 分可以用在包括图形处理单元的系统中。系统存储器516可包括易失性存储器 520和非易失性存储器522。非易失性存储器522可以包括只读存储器(ROM)、 可编程ROM(PROM)、电可编程ROM(EPROM)或者闪存。易失性存储器 520可包括可充当外高速缓冲存储器的随机存取存储器(RAM)。系统总线518 将包括系统存储器516的系统物理人为产物耦合到处理单元514。系统总线518 可以是几种类型的总线结构中的任何一种，包括存储器总线、存储控制器、外 围总线、外总线或局部总线，并且可以使用各种可用总线体系结构中的任一种。 计算机512可包括处理单元514可通过系统总线518访问的数据存储。数据存 储可包括用于图形呈现的可执行指令、3D模型、素材、材质等。

计算机512通常包括各种计算机可读介质，诸如易失性和非易失性介质、 可移动和不可移动介质。计算机可读介质可以通过用于存储诸如计算机可读指 令、数据结构、程序模块或其它数据等信息的任何方法或技术来实现。计算机 可读介质包括计算机可读存储介质(也称为计算机存储介质)以及通信介质。 计算机存储介质包括物理(有形)介质，诸如但不限于可存储所希望的数据以 及可由计算机512访问的RAM、ROM、EEPROM、闪存或其他存储器技术、 CDROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或 其他磁存储设备。通信介质包括诸如但不限于通信信号、调制载波或可被用于 传递所希望的信息以及可由计算机512访问的任何其他介质之类的介质。

将理解，图3描述了可充当用户与计算机资源之间的媒介的软件。该软件 可以包括可存储在盘存储524上的操作系统528，该操作系统可分配计算机512 的资源。盘存储524可以是通过诸如接口526等不可移动存储器接口连接到系 统总线518的硬盘驱动器。系统应用程序530利用操作系统528通过存储在系 统存储器516或者存储在磁盘存储器524上的程序模块532和程序数据534对 资源的管理。可以理解，计算机可用各种操作系统或操作系统的组合来实现。

用户可通过输入设备536向计算机512输入命令或信息。输入设备536包 括但不限于定点设备，诸如鼠标、跟踪球、指示笔、触摸垫、键盘、话筒、语 音识别和姿势识别系统等。这些及其他输入设备通过系统总线518经由接口端 口538连接到处理单元514。接口端口538可表示串行端口、并行端口、通用 串行总线(USB)等。输出设备540可与输入设备使用相同类型的端口。提供 输出适配器542以举例说明存在像监视器、扬声器、以及打印机的需要特定适 配器的一些输出设备540。输出适配器542包括但不限于在输出设备540和系 统总线518之间提供连接的视频和音频卡。其他设备和/或系统和/或设备，诸 如远程计算机544，可提供输入和输出两种能力。

计算机512可以使用到诸如远程计算机544之类的一个或多个远程计算机 的逻辑连接来在联网环境中操作。远程计算机544可以是个人计算机、服务器、 路由器、网络PC、对等设备或其他常见的网络节点，并且通常包括许多或所有 以上相对于计算机512所描述的元件，但在图3中仅示出了存储器存储设备 546。远程计算机544可经由通信连接550逻辑地连接。网络接口548涵盖诸 如局域网(LAN)和广域网(WAN)这样的通信网络，但也可包括其他网络。 通信连接550是指用来将网络接口548连接到总线518的硬件/软件。通信连接 550可以在计算机512内或外并且包括诸如调制解调器(电话、电缆、DSL和 无线)和ISDN适配器、以太网卡等内和外技术。

可以理解，所示网络连接仅是示例，并且可以使用在计算机之间建立通信 链路的其他手段。本领域的普通技术人员可以理解，计算机512或其他客户机 设备可作为计算机网络的一部分来部署。在这一点上，本文所公开的主题涉及 具有任意数量的存储器或存储单元以及在任意数量的存储单元或卷上发生的 任意数量的应用和进程的任何计算机系统。本文所公开的主题的各方面可应用 于具有部署在网络环境中的具有远程或本地存储的服务器计算机和客户计算 机的环境。本文所公开的主题的各方面也可应用于具有编程语言功能、解释和 执行能力的独立计算设备。

本文所述的各种技术可结合硬件或软件，或在适当时以其组合来实现。由 此，本文所公开的方法和装置或其特定方面或部分可采取包含在诸如软盘、 CD-ROM、硬盘驱动器或任何其他机器可读存储介质等有形介质中的程序代码 (即，指令)的形式，其中当程序代码被加载到诸如计算机等机器内并由其执 行时，该机器成为用于实现本文所公开的主题的各方面的装置。如此出所用的， 术语“机器可读存储介质“应被用来排除提供(即存储和/或传输)任何形式的传 播信号的任何机制。在程序代码在可编程计算机上执行的情况下，计算设备通 常将包括处理器、该处理器可读的存储介质(包括易失性和非易失性的存储器 和/或存储元件)、至少一个输入设备、以及至少一个输出设备。可例如通过使 用数据处理API等来利用域专用编程模型各方面的创建和/或实现的一个或多 个程序可用高级过程语言或面向对象的编程语言来实现以与计算机系统通信。 然而，如果需要，该程序可以用汇编语言或机器语言来实现。在任何情形中， 语言可以是编译语言或解释语言，且与硬件实现相结合。

尽管用结构特征和/或方法动作专用的语言描述了本主题，但可以理解，所 附权利要求书中定义的主题不必限于上述特定特征或动作。相反，上述具体特 征和动作是作为实现权利要求的示例形式公开的。