CN105830388A - 用于管理目录服务的身份池桥接 - Google Patents
用于管理目录服务的身份池桥接 Download PDFInfo
- Publication number
- CN105830388A CN105830388A CN201480068732.2A CN201480068732A CN105830388A CN 105830388 A CN105830388 A CN 105830388A CN 201480068732 A CN201480068732 A CN 201480068732A CN 105830388 A CN105830388 A CN 105830388A
- Authority
- CN
- China
- Prior art keywords
- service
- administrative directory
- access
- identity
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
计算资源服务提供商的客户可利用一组证书来请求在管理目录服务内创建身份池。因此,所述管理目录服务可创建所述身份池。代替使所述客户在这个身份池内创建单独账户,所述管理目录服务可在所述身份池内创建影子管理员账户,所述影子管理员账户可用来管理所述管理目录服务内的所述身份池中的其他用户和资源。所述管理目录服务进一步暴露应用程序编程接口命令,所述应用程序编程接口命令可用来获得用于访问所述影子管理员账户的一组证书。所述客户可使用此命令来接收所述一组证书并且访问所述影子管理员账户。因此,所述客户可管理所述管理目录服务内的所述身份池中的用户和资源。
Description
相关申请的交叉引用
本申请出于所有目的以引用方式并入2013年11月11日提交的标题为“MANAGEDDIRECTORYSERVICE”的美国临时专利申请号61/902,790和2013年12月5日提交的标题为“IDENTITYPOOLBRIDGINGFORMANAGEDDIRECTORYSERVICES”的美国专利申请号14/098,298的全部公开内容。
背景技术
客户利用目录服务来创建和维持目录(例如,文件系统、文件、用户、安全性策略、网络资源、应用程序、系统存储等),用于数据管理并且通常访问各种资源。取决于客户的商业需求,目录服务可被配置来在由客户操作的数据中心(例如,户内)中或在远程网络(例如,户外)中创建目录。然而,希望维持户内和户外目录的客户可能会遭遇众多困难。例如,利用户内目录的客户可能需要创建单独的户外目录并且使数据在两个目录之间同步,以维持相同的一组数据。这可能需要客户为目录的每个用户维持多个账户。此外,由于多个目录的维持和安全性可能需要额外的资源来执行,多个目录的维持可能增加客户的管理负担。
使问题更为严重的是,客户可能需要在目录服务内创建新的身份池,与用来创建和管理由计算资源服务提供商提供的服务的用户的身份池分开。
附图说明
将参照附图描述根据本公开的各种实施方案,在附图中:
图1是可实现各个实施方案的环境的说明性实例;
图2是可实现各个实施方案的环境的说明性实例;
图3是根据至少一个实施方案的环境的说明性实例,在所述环境中计算机系统实体可访问计算机系统资源;
图4是根据至少一个实施方案的构成管理目录服务的一个或多个组件的说明性实例;
图5是根据至少一个实施方案的用于维持中心位置身份池、存储器和用于认证和授权证书的系统策略的环境的说明性实例;
图6是根据至少一个实施方案的用于在管理目录服务内创建影子管理员账户的过程的说明性实例;
图7是根据至少一个实施方案的用于认证对管理目录服务的访问的过程的说明性实例;
图8是根据至少一个实施方案的用于将用于访问影子管理账户的一组证书传输给请求实体的过程的说明性实例;并且
图9示出可实现各种实施方案的环境。
具体实施方式
在以下描述中,将描述各种实施方案。出于解释的目的,将阐述具体的配置和细节,以便提供实施方案的透彻理解。然而,对本领域的技术人员将是显而易见的是,在没有具体细节的情况下也可以实行实施方案。此外,为了不使所描述的实施方案变得模糊,可能会省略或简化众所周知的特征。
本文所描述和建议的技术涉及在计算资源服务提供商与管理目录服务之间的身份池桥接,用于管理目录服务内的资源管理。在一个实施方案中,实体(例如,组织)通过相关联的计算装置与管理目录服务通信。所述通信可根据由管理目录服务利用的一个或多个协议(诸如通过对服务的一个或多个适当配置的应用程序编程接口(API)调用)进行。在一些实例中,对管理目录服务进行通信是为了请求在用于管理用户和目录的管理目录服务内创建新的身份池。所述实体可以是操作各种服务(诸如虚拟计算机系统服务、基于对象的数据存储服务、数据库服务、上述管理目录服务和多个其他服务)的计算资源服务提供商的客户。
在各种实施方案中,实体利用一组证书来访问计算资源服务提供商,以便与管理目录服务通信并且请求创建新的身份池。例如,实体可利用使用密码密钥生成的电子签名,以使得所述电子签名可由计算资源服务提供商核实。在另一个实例中,实体可利用可由计算资源服务提供商核实的用户名和口令。因此,由计算资源服务提供商提供的身份管理服务可利用此组证书来识别身份并且确定对由计算资源服务提供商提供的一个或多个服务的访问的级别。因此,如果所述实体已经被准许访问管理目录服务,那么就可容许所述实体生成创建这个新的身份池的请求。在一个实施方案中,实体可使用这个新创建的身份池来管理资源、以及用户和他们对在管理目录服务中提供的一个或多个目录和应用程序的访问。
在一个实施方案中,当客户利用管理目录服务来创建这个新的身份池时,所述管理目录服务在身份池内创建影子管理员账户。所述影子管理员账户可以是用于管理目录服务内的目录的账户,所述账户对应于计算资源服务提供商内的客户账户和客户已经能够访问影子管理员账户的任何委托用户帐户。此影子管理员账户可由实体或如由实体限定的任何其他委托用户使用以管理目录中的资源,所述资源包括但不限于管理目录服务内目录的用户、所述目录的用户群组、可适用于这些用户和群组的策略以及通过所述目录管理的一个或多个应用程序。因此,管理目录服务可被配置来暴露新的适当配置的API调用,所述新的适当配置的API调用可允许实体从可用来访问影子管理员账户的新创建的身份池获得一组证书。
在一个实施方案中,由计算资源服务提供商操作的身份管理服务维持单独的身份池,所述单独的身份池用来存储利用由计算资源服务提供商提供的一个或多个服务的无数用户并且管理他们对这些服务的访问。因此,还可以是这个身份池的一部分的实体可利用身份管理服务来识别哪个用户被容许利用由管理目录服务暴露的新的适当配置的API调用来访问这个影子管理员账户。因此,如果用户访问计算资源服务提供商来利用适当配置的API调用来访问身份池内的影子管理员账户,那么所述身份管理服务就可确定用户是否具有必需的许可来利用这个API调用。如果用户不允许访问,那么身份管理服务就可防止用户利用API调用来访问新创建的身份池内的影子管理员账户。
以此方式,实体可能够访问管理目录服务内的新创建的身份池来管理一个或多个用户和他们对管理目录服务内的目录、应用程序和资源的访问而无需在新创建的身份池内明确地创建单独的管理员账户。此外,本文所描述和建议的技术有利于另外的技术优势。例如,因为当实体利用管理目录服务来请求创建身份池时,身份池内的影子管理员账户被自动地创建,所以所述实体可能够创建用户并且实现用于限定管理目录服务内的应用程序和目录的访问级别的一个或多个策略,而无需在第一实例上发起对服务的适当配置的API调用。
图1示出在可实践各个实施方案的环境100的说明性实例。在环境100中,计算资源服务提供商102向计算资源服务提供商的客户提供各种计算资源服务。计算资源服务提供商102可以是代表一个或多个用户托管各种计算资源的组织。例如,计算资源服务提供商102可操作用来托管各种计算硬件资源(诸如,硬件服务器、数据存储装置、网络装置及其他设备(诸如服务器机架、联网电缆以及类似物))的一个或多个设施。计算资源服务提供商102可利用其计算硬件资源来操作一个或多个服务。此类服务可包括在减少或甚至消除客户对物理设备投资的需要的同时,使计算资源服务提供商102的客户能够远程管理计算资源以支持客户的操作的服务。示例性服务包括但不限于各种数据存储服务(基于对象的数据存储服务、档案库数据存储服务、数据库服务以及类似物)、程序执行服务和其他服务。所述服务可被客户使用以支持多种多样的活动,诸如操作网站、操作支持组织的企业系统、分布式计算和/或其他活动。
因此,如图1所示,环境100包括客户104。客户104可以是个人、组织或自动化过程,其可利用由计算资源服务提供商102提供的一个或多个服务来操作和管理一个或多个目录122以支持他的或她的操作。为了操作和管理这些目录122,例如,可要求客户104与管理目录服务116通信以在管理目录服务116内创建身份池118。此身份池116可用来管理所述管理目录服务116内的各种用户和目录122,以及用来限定可适用于这些用户的一个或多个目录策略124。
为了在管理目录服务116内创建和管理身份池118,客户104可通过客户计算机系统装置利用一组证书来访问计算资源服务提供商102和管理目录服务116。因此,被配置来核实请求访问计算资源服务提供商102和其相关联服务的用户的身份的身份管理服务106可评估证书并且确定客户104是否是由身份管理服务106管理的身份池108内的主体110。另外,身份管理服务106在识别主体110之后可确定什么样的基础设施策略112应用于这个主体110。例如,如果已经将基础设施策略限定成陈述主体110未被授权访问管理目录服务116,那么身份管理服务106就可拒绝来自主体110的访问管理目录服务116的任何请求。基础设施策略112还可以限定成适用于由计算资源服务提供商102提供的一个或多个其他服务114。
如下文更加详细地所述,客户104可利用所述一组证书来访问计算资源服务提供商102并且将请求(诸如)通过一个或多个适当配置的API调用传输到管理目录服务118以创建新的身份池118。如上文所述,这个新的身份池118可用来管理资源,管理管理目录服务116内的一个或多个用户,并且限定可适用于这些用户的一个或多个目录策略124。这些目录策略124可用来限定用户对管理目录服务116内的一个或多个目录122和这些一个或多个目录122内的任何应用程序的访问。管理目录服务116可被配置来在这个新创建的身份池118内创建影子管理员账户120以使客户104能够访问身份池118。
因此,管理目录服务116可被配置来暴露新的适当配置的API调用(例如,如图1所示的“取得目录令牌()”),所述适当配置的API调用可由客户104通过主体110使用,以获得可用来访问影子管理员账户120的一组证书。客户104可在任何时候诸如通过对服务的这个适当配置的API调用来请求用于访问管理目录服务116内的影子管理员账户120的此组证书。另外,客户104可利用身份管理服务106来通过创建新的基础设施策略112识别一个或多个委托用户,所述委托用户可被容许使用这个适当配置的API调用,并且因此使用影子管理员账户120。在一个实施方案中,管理目录服务116被配置来使请求创建新的身份池118的客户104能够访问影子管理员账户120而无需另外一组证书。这可使客户104能够利用影子管理员账户120来管理目录122中的资源,其中所述资源包括目录122的用户、目录122的用户群组以及可立即适用于这些用户的目录策略124。
图2示出可实践本公开的各个实施方案的环境200的说明性实例。在环境200中,计算资源服务提供商206可向客户202提供各种服务。客户202可以是可利用由计算资源服务提供商206提供的各种服务来远程生成和维持身份池以允许多个用户访问管理目录服务208内的一个或多个目录的组织。如图2所示,客户202可通过一个或多个通信网络204(诸如互联网)与计算资源服务提供商206进行通信。从客户202到计算资源服务提供商206的一些通信可致使计算资源服务提供商206根据本文所述的各种技术或其变体来操作。
如以上所指出,计算资源服务提供商206可向其客户提供各种计算资源服务。例如,在这个特定的说明性实例中,计算资源服务提供商206提供至少七种类型的服务。在这个实例中,由计算资源服务提供商提供的服务包括管理目录服务208、身份管理服务210、基于对象的数据存储服务212、块级数据存储服务214、数据库服务216、虚拟计算机系统服务218、域名系统服务220和一个或多个其他服务222,尽管不是本公开的所有实施方案都将包括所有此类服务,但是除本文明确描述的服务之外或作为替代本文明确描述的服务,可提供另外的服务。
管理目录服务208可提供多种服务以使计算机系统和/或计算机系统客户端装置能够访问客户目录,包括但不限于认证服务、授权服务和目录服务。例如,管理目录服务208可提供认证服务,所述认证服务可认证用户、计算机系统、过程、自动化过程或其他此类实体的证书,以便至少确定这个实体是否被授权访问管理目录服务208和/或与管理目录服务208相关联的客户目录。在一些实施方案中,所述证书可由管理目录服务208本身认证,或它们可由在管理目录服务208控制下的过程、程序或服务认证,或它们可由可与管理目录服务208通信的过程、程序或服务认证,或它们可由这些和/或其他此类服务或实体的组合认证。
管理目录服务208还可提供授权服务,所述授权服务可授权给用户、计算机系统、过程、自动化过程或其他此类实体以至少确定这个实体可执行一个或多个可能动作中的哪些动作。实体可能或可能不被授权执行的动作的实例包括但不限于:在客户目录上创建资源,销毁客户目录上的资源,附接到客户目录上的资源,从客户目录上的资源分离,提供到客户目录上的资源的访问链路,恢复到客户目录上的资源的访问链路,允许从客户目录上的资源读取,允许写入客户目录上的资源和/或其他此类动作。
管理目录服务208还可提供目录服务,所述目录服务可根据授权证书和/或策略向认证实体提供对客户目录的访问。例如,在计算机系统实体可被授权来对客户目录上的某个数据存储进行读取和写入的实施方案中,这种能力可由目录服务提供。目录服务可通过提供到客户目录位置的链路(诸如通过统一资源标识符(URI)对象或一些其他此类链接)来提供对客户目录的访问。如可设想的,可由计算机系统客户端装置、或由在数据中心处运行的过程、或由在连接到数据中心的计算机系统上运行的过程、或由管理目录服务、或由这些和/或其他此类计算机系统实体的组合来提供URI。
如上文所述,客户可利用管理目录服务208来创建和管理身份池,所述身份池可用来存储可利用管理目录服务208来访问一个或多个目录的多个用户。另外,客户可利用此身份池来进一步管理每个用户对这些一个或多个目录的访问。在创建身份池之后,管理目录服务可在身份池内创建影子管理员账户并且使客户能够利用可由所述客户使用的新的适当配置的API调用来获得用于访问此影子管理员账户的一组证书。此影子管理员账户可用来进一步管理一个或多个用户配置文件,以便限定每个用户对目录以及所述目录内的应用程序的访问级别。
身份管理服务210可提供多种服务以使客户能够限定对计算资源服务提供商206提供的其他服务(诸如图2中所示的那些)的访问级别。因此,客户202可访问身份管理服务210来创建和管理可利用由计算资源服务提供商206提供的服务的一个或多个用户和群组。客户202可利用身份管理服务210来针对每个用户和/或群组限定一组基础设施策略,以允许和/或拒绝他们对访问由计算资源服务提供商206提供的服务的许可。
如上文所述,客户202可利用一组证书来访问计算资源服务提供商206。身份管理服务210可被配置来核实客户202的身份,并且允许客户202作为身份池中的主体而在身份管理服务210内进行操作。因此,客户202可能够访问管理目录服务208并且请求创建新的身份池。如将在下文更加详细地所述,一旦在管理目录服务208内的新创建的身份池可用,客户202就可利用身份管理服务210来识别计算资源服务提供商206的可被容许利用由管理目录服务208提供的新的适当配置的API调用来访问影子管理员账户的一个或多个用户。
基于对象的数据存储服务212可包括计算资源的集合,其共同地操作来存储针对客户202的数据。可将在基于对象的数据存储服务212中存储的数据组织到数据对象中。也许除了对大小进行某些限制之外,数据对象可具有任意大小。因此,基于对象的数据存储服务212可存储具有不同大小的众多数据对象。基于对象的数据存储服务212可作为使数据对象与数据对象的标识符相关联的密钥值存储来操作,所述数据对象的标识符可由客户使用,以检索或执行与由数据存储服务212存储的数据对象有关的其他操作。对数据存储服务的访问可以是通过适当配置的API调用进行的。
块级数据存储服务214可包括计算资源的集合,其共同地操作来存储针对客户的数据。例如,块级数据存储系统可被配置来提供块级数据存储卷以便与虚拟机实例一起使用。客户202可与块级数据存储服务214交互以设置块级数据存储卷,所述块级数据存储卷进而可作为存储装置(例如,硬盘驱动器)而被安装到虚拟机实例上。所述存储卷可被配置来表现像具有块级客户接口的原始的、无格式的块存储装置。因此,客户可通过对所述服务的适当配置的API调用来在块级数据存储卷之上创建文件系统或将所述卷用作块级存储装置(例如,硬盘驱动器)。
数据库服务216可以是计算资源的集合,其共同地操作以运行针对一个或多个客户的一个或多个数据库。计算资源服务提供商206的客户202可通过利用适当配置的API调用来操作并管理来自数据库服务216的数据库。这进而可允许客户202维持并潜在地扩展数据库中的操作。
虚拟计算机系统服务218可以是计算资源的集合,其被配置来代表计算资源服务提供商206的客户202将虚拟机实例实例化到虚拟计算系统上。计算资源服务提供商206的客户202可与虚拟计算机系统服务218交互,以便提供和操作在由计算资源服务提供商托管并操作的物理计算装置上实例化的虚拟计算机系统。虚拟计算机系统可用于各种目的,诸如作为支持网站的服务器操作。用于虚拟计算机系统的其他应用程序可以用来支持数据库应用程序、电子商务应用程序、商业应用程序和/或其他应用程序。
域名系统(DNS)服务220可被设计来给予客户202一种将最终用户路由给一个或多个通信网络应用程序的方法。例如,DNS服务220可被配置来将人可读的名称(诸如统一资源定位符(URL))转换成计算机系统可使用以通过互联网相互连接的数字互联网协议(IP)地址。因此,DNS服务220可被配置来将访问由计算资源服务提供商206提供的一个或多个服务的请求连接到在数据区内操作的基础设施。DNS服务220可另外被配置来将计算资源服务提供商206的客户202路由到数据区之外的基础设施,诸如由单独提供商操作的另一个计算系统。
计算资源服务提供商206可另外基于其客户202的需要来维持一个或多个其他服务222。例如,计算资源服务提供商206可维持账户服务,所述账户服务可包括计算资源的集合,其共同地操作以维持针对计算资源服务提供商206的每个客户202的客户账户信息。所述账户服务例如可包括客户姓名、地址、电话号码、记帐细节以及针对计算资源服务提供商的每个客户的其他个人识别信息。其他服务包括但不限于负载平衡服务和管理其他服务的服务和/或其他服务。
如以上所指出,计算资源服务提供商的客户可利用管理目录服务来请求在管理目录服务内创建身份池,以管理一个或多个用户和他们对管理目录服务内的目录以及对这些目录内的应用程序的访问。因此,图3示出根据至少一个实施方案的用于访问分布式和/或虚拟化计算机系统环境上的计算机系统目录资源以及在其上运行的相关联代码的环境300,所述计算机系统目录资源包括但不限于计算机系统服务(诸如目录服务)和资源(诸如与目录服务相关联的用户资源、策略资源、网络资源和/或存储资源)。计算机系统实体、用户或过程302可通过计算机系统客户端装置304连接到计算机系统,并且可请求通过连接306访问一个或多个服务326。请求访问服务的一个命令或多个命令可源自外部计算机系统和/或服务器,或可源自远程网络位置上的实体、用户或过程,或可源自计算机系统,或可源自计算机系统客户端装置的用户,或可源自这些和/或其他此类对象的组合。在一些实施方案中,请求访问服务的一个命令或多个命令可由特权用户、或由非特权用户、或由自主过程、或由警报或情况、或由这些和/或其他方法的组合发布。
计算机系统客户端装置可请求通过一个或多个网络316和/或与其相关联的实体(诸如直接地或间接地连接到网络的其他服务器)访问服务。计算机系统客户端装置可包括能够通过网络与计算机系统连接的任何装置,所述装置至少包括服务器、膝上型计算机、移动装置(诸如智能电话或平板计算机)、其他智能装置(诸如智能手表、智能电视、机顶盒、视频游戏控制台以及其他此类网络启用的智能装置)、分布式计算系统及其组件、抽象组件(诸如客户计算机系统或虚拟机)和/或其他类型的计算装置和/或组件。网络例如可包括本地网络、内部网络、公共网络(诸如互联网)、广域网、无线网、移动网络、卫星网络、具有多个网络节点的分布式计算系统和/或类似物。网络还可根据各种协议操作,诸如下文列出的那些协议:蓝牙、WiFi、蜂窝网络协议、卫星网络协议和/或其他协议。
在一些实施方案中,计算机系统可包括一个或多个本地计算机系统资源308,其可至少部分地位于客户驻地上,并且可在其上存储文件和/或其他计算机系统资源,包括但不限于目录、应用程序、数据、数据库、到其他计算机系统资源的链路、系统驱动器、计算机操作系统、虚拟机和/或其他此类资源。在一些实施方案中,本地计算机系统资源可以是本地文件系统资源,并且可被存储在多个存储装置(诸如系统随机存取存储器(RAM)、磁盘驱动器、固态驱动器、可移动驱动器或这些和/或其他此类存储装置的组合)上。在一些实施方案中,本地计算机系统资源可至少部分地位于数据中心(可并置的多个计算机系统资源、服务和/或存储装置)中,所述数据中心可由计算机系统客户端装置通过一个或多个连接(例如像本文所述的网络连接)访问。计算机系统资源和/或数据中心可以本地、或本地和远程组合定位。例如,在一些实施方案中,文件系统和/或目录可位于定位在本地数据中心中的磁盘上,并且所述文件系统和/或目录的内容也可复制到位于远程数据中心中的磁盘。在一些其他实施方案中,文件系统和/或目录可使其内容的至少一部分定位在可以是本地的一个数据中心中,并且使其内容的其他部分定位在可以是本地或远程的一个或多个其他数据中心中。存储装置可包括诸如本文所述的那些的物理装置和/或此类物理装置的虚拟表示。例如,文件系统和/或目录存储装置可包括一定数量的物理存储器,所述物理存储器的一部分专用于作为虚拟磁盘驱动器存储,其中在所述虚拟磁盘驱动器上创建文件系统。其他此类本地存储装置可被认为在本公开的范围内。
在一些实施方案中,服务326可能需要访问一个或多个计算机系统目录资源,诸如本文所述的那些。在一些实施方案中,服务326可包括多个其他计算机系统实体,所述实体包括但不限于用户、其他计算机系统、过程和/或自动化过程、和/或其他此类计算机系统实体。在一些实施方案中,对系统目录资源的访问314可由诸如管理目录服务318的服务提供,所述服务可提供对一个或多个系统资源的访问。管理目录服务可提供多种服务以使计算机系统和/或计算机系统客户端装置能够访问系统资源,包括但不限于320认证服务、322授权服务和324目录服务。
例如,管理目录服务可提供320认证服务,所述认证服务可认证用户、计算机系统、过程、自动化过程或其他此类实体的证书,以便至少确定这个实体是否被授权访问管理目录服务和/或与管理目录服务相关联的系统资源。在一些实施方案中,所述证书可由管理目录服务本身认证,或它们可由在管理目录服务控制下的过程、程序或服务认证,或它们可由可与管理目录服务通信的过程、程序或服务认证,或它们可由这些和/或其他此类服务或实体的组合认证。
管理目录服务还可提供322授权服务,所述授权服务可授权给用户、计算机系统、过程、自动化过程或其他此类实体以至少确定这个实体可执行一个或多个可能动作中的哪些动作。例如,在计算机系统资源(诸如文件系统资源)的情况下,实体可能或可能不被授权执行的动作包括但不限于:在文件系统资源上创建文件系统,销毁文件系统资源上的文件系统,附接到文件系统资源上的文件系统,从文件系统资源上的文件系统分离,提供到文件系统资源上的文件系统的访问链路,恢复到文件系统资源上的文件系统的访问链路,允许从文件系统资源上的文件系统读取,允许写入文件系统资源上的文件系统和/或其他此类文件系统资源动作。
对系统资源的动作可包括但不限于对目录、文件、应用程序、数据、数据库、到其他资源的链路、系统驱动器、操作系统、虚拟机和/或其上的其他此类系统资源对象的动作,并且可包括诸如本文所提及的动作的动作。开始、停止、恢复、销毁和/或以其他方式管理系统资源的动作以及其他此类动作还可包括在可用动作中。对执行动作的授权可由实体(诸如证书或策略系统(诸如,例如维持与某个实体有关的一组证书和/或策略的系统))管理,并且可至少部分地基于所述一组证书和/或策略来确定实体被授权执行哪些动作。实体可被授权执行的动作可以是静态的或可根据多个因素而变化,所述多个因素包括但不限于时间、证书类型、系统策略、被访问对象的性质、类型或位置、或这些和/或其他此类授权因素的组合。例如,计算机系统实体可仅被授权读取文件系统上的某些文件,读取和写入文件系统上的某些其他文件,并且添加和删除写入文件系统上的某些其他文件。不同的计算机系统实体可被授权对文件系统执行任何动作,但只有当那些动作从某个位置和在某一时刻发起时才执行。一个或多个过程可仅被授权写入文件系统上的文件(例如像系统日志),而其他过程可仅被授权从所述文件读取。如可设想的,这些是说明性实例。其他类型的操作可由管理目录服务授权系统授权,并且此类其他类型的操作还可被认为在本公开的范围内。
管理目录服务还可提供324目录服务,所述目录服务可根据授权证书和/或策略向认证实体提供对计算机系统资源的访问314。例如,在计算机系统实体可被授权来对计算机系统资源上的某个数据存储进行读取和写入的实施方案中,这种能力可由目录服务提供。目录服务可通过提供到文件系统资源位置的链路(诸如通过URI对象或一些其他此类链接)来提供对文件系统资源的访问。可由计算机系统客户端装置、或由在数据中心处运行的过程、或由在连接到数据中心的计算机系统上运行的过程、或由管理目录服务、或由这些和/或其他此类计算机系统实体的组合来提供URI。
在一些实施方案中,对计算机系统资源的访问可以所述访问对请求实体不可见的方式提供。例如,可将访问314作为URI或到本地文件系统308上的位置310的其他此类链路而提供给请求实体。计算机系统资源上的位置可由计算机系统上运行的一个或多个过程转换312成URI。请求对计算机系统资源进行访问的服务或实体326可使用328所接收的URI来访问计算机系统资源,而无需取决于计算机系统资源的位置的配置,并且在一些实施方案中,可使用URI来链接到计算机系统资源以便像服务或实体326直接连接到计算机系统资源一样进行操作。例如,看起来将一组数据写入文件(所述文件可能对于服务或实体看似位于所述服务或实体的本地位置)的操作可实际将数据打包成网络数据包,并且随后可通过访问链路314在网络316内传递数据包,以便实际写入位于本地文件系统308上的文件。如可设想的,这些是说明性实例,并且可由管理目录服务执行的其他类型的操作还可被认为在本公开的范围内。
如以上所指出,客户可使用一组证书来访问计算资源服务提供商和管理目录服务,以便在管理目录服务内创建身份池来管理一个或多个用户和他们对管理目录服务内的多种目录和应用程序的访问。因此,图4示出根据至少一个实施方案的环境400的说明性实例,所述环境400包括由计算资源服务提供商402提供的管理目录服务404的各种组件。管理目录服务404可向通过身份管理服务已经授予适当许可的客户和用户提供可使客户或委托用户能够访问管理目录服务404的接口406。客户或委托用户可通过一个或多个通信网络(诸如互联网)来利用接口406。接接口406可包括某些安全性保障以确保客户或委托用户具有访问管理目录服务404的授权。例如,为了访问管理目录服务404,客户在使用接口406时可能需要提供用户名和对应的密码或加密密钥。另外,提交给接口406的请求(例如,API调用)可能需要使用密码密钥生成的电子签名,以使得电子签名可由管理目录服务404核实,诸如通过授权系统(未示出)。
通过接口406,客户或委托用户可能够查看目录结构,包括目录内所有可用计算机以及被授权访问目录的用户的列表。因此,客户或委托用户可使用接口406来访问身份池408以创建和管理一个或多个用户并查看用户特性(例如,名字和姓氏、位置、电话号码等),并且限定一个或多个目录策略,所述一个或多个目录策略可用来确定对由计算资源服务提供商402提供的一个或多个服务414的访问级别。另外,客户或委托用户可访问身份池408以进一步管理每个用户对一个或多个目录或受由管理目录服务404管理的一个或多个目录影响的应用程序412的访问。例如,客户或委托用户可访问身份池408来访问用户配置文件内的策略生成器,以限定用于限定用户对由计算资源服务提供商402提供的服务414的访问级别的一个或多个策略。因此,一旦客户或委托用户通过策略生成器已经限定了可适用的用户策略,客户或委托用户就可能够查看用户配置文件内的所应用策略。此外,策略生成器可将一个或多个可执行指令传输给策略管理子系统410,所述一个或多个可执行指令可致使策略管理子系统410生成用于特定于用户的计算资源服务提供商接口的URI。这个计算资源服务提供商接口可使用户能够从目录内访问由计算资源服务提供商402提供的一个或多个服务414。
在一个实施方案中,客户或委托用户可利用第一组证书来访问计算资源服务提供商402,以便访问管理目录服务404并且请求创建新的身份池408。客户或委托用户可以是具有访问管理目录服务404许可的身份管理服务中的身份池内的主体。因此,客户或委托用户可利用计算资源服务提供商402接口来请求在管理目录服务404内创建身份池408。响应于所述请求,管理目录服务404可至少部分地基于所述请求来创建身份池408,并且在身份池408内创建影子管理员账户,客户或委托用户可使用所述影子管理员账户来管理目录中的资源(例如,目录内的用户、用于访问管理目录服务404内的应用程序412和其他目录的策略、以及由计算资源服务提供商402提供的其他服务414)。
管理目录服务404可被配置来将适当配置的API调用(例如,“取得目录令牌()”)暴露给计算资源服务提供商402,以使客户或委托用户能够获得用于访问影子管理员账户的一组证书。因此,客户或委托用户可利用计算资源服务提供商402接口内的此API调用来获得一组证书以便作为影子管理员而访问管理目录服务404。因此,客户或委托用户可访问管理目录服务404接口406并且利用所述一组证书来访问管理目录服务404内的目录和应用程序412以及身份池408,以便管理其他用户对这些目录和应用程序412以及由计算资源服务提供商402提供的其他服务414的访问。
图5是根据至少一个实施方案的用于维持中心位置身份池、存储器和用于如上文所述的认证和授权证书的系统策略的示例性环境500。管理员502可维持一组系统访问数据504,所述系统访问数据504在一些实施方案中可位于一个或多个本地存储位置中,所述一个或多个本地存储位置可位于客户驻地上,或在一些实施方案中可位于一个或多个远程存储位置中,所述一个或多个远程存储位置可位于计算机服务资源中,或在一些实施方案中可位于存储位置中,所述存储位置可位于本地和远程存储位置的组合中。在一些实施方案中,系统访问数据可包含身份池506,所述身份池506可包括一个或多个用户配置文件,所述一个或多个用户配置文件包括用户名称、用户口令、用户传记数据和/或其他此类用户配置文件信息。根据至少一个实施方案,身份池506可由一个或多个系统使用来提供认证服务(诸如本文所述的认证服务)。在一些实施方案中,系统访问数据504可包括一个或多个存储器508,所述一个或多个存储器508可包括对一个或多个计算机系统资源的引用。在一些实施方案中,系统访问数据504可包括一个或多个策略510,所述一个或多个策略510可包括一个或多个策略语句,所述策略语句允许、不允许和/或限制对系统资源(例如像系统服务、文件系统、目录、机器、虚拟机、应用程序、文档和/或其他此类系统资源)的访问。所述策略语句可基于此类因素来允许、不允许和/或限制对系统资源的访问,所述因素如:一个或多个用户配置文件的内容,用户配置文件类型,请求服务,请求服务类型,请求服务位置,时间,用户、客户端、客户、请求的商业价值和/或其他此类商业价值或这些和/或其他此类因素的组合。
如以上所指出,新的身份池在管理目录服务内的创建可致使管理目录服务在这个新的身份池内创建影子管理员账户,以便使客户或委托用户能够访问管理目录服务并且管理目录中的多个资源,诸如用户或用户群组以及他们对目录和目录内应用程序的访问。因此,图6是根据至少一个实施方案的用于在管理目录服务内创建影子管理员账户的过程600的说明性实例。过程600可由计算资源服务提供商操作的管理目录服务执行,并且被配置来使管理员和其他委托用户能够管理所述管理目录服务内的一个或多个目录和应用程序,以及管理一个或多个用户和他们对这些目录和应用程序的访问。
如以上所指出,客户或其他委托用户(例如,授予许可代表客户行动的用户)可利用一组证书来访问计算资源服务提供商和管理目录服务。因此,被配置来核实请求访问计算资源服务提供商和其相关联服务的用户的身份的身份管理服务可评估证书并且确定客户是否是由身份管理服务管理的身份池内的主体。另外,身份管理服务在识别主体之后可确定什么样的基础设施策略应用于这个主体。如果所述主体具有必需的许可,那么根据可适用策略,所述主体可能够将请求传输给管理目录服务以创建新的身份池。因此,管理目录服务可接收602此请求以在管理目录服务内创建新的身份池。
响应于从所述主体接收创建新的身份池的请求,管理目录服务可被配置来创建604这个新的身份池。如以上所指出,此身份池可使管理目录服务内的一个或多个目录和应用程序的管理员能够管理可利用这些目录和应用程序的无数用户。因此,如图4和图5所示,管理员可利用由管理目录服务提供的接口来访问身份池并管理一个或多个用户配置文件。这些用户配置文件中的每一个可包括一组目录策略,所述目录策略用来限定对管理目录服务内的目录和应用程序以及由计算资源服务提供商提供的其他服务的访问级别。
为了作为管理员访问管理目录服务和这个新创建的身份池,客户或委托用户可能需要在管理目录服务内创建单独的账户。可替代地,管理目录服务可被配置来在新创建的身份池内生成606影子管理员账户,客户或委托用户可利用所述影子管理员账户来访问管理目录服务。此影子管理员账户可被配置来容许账户的用户管理身份池内的一个或多个用户,以及通过目录可用的应用程序和其他资源。例如,如上所述,管理员可访问身份池内的用户配置文件以生成一个或多个目录策略,以便限定对管理目录服务内的目录和应用程序以及由计算资源服务提供商提供的其他服务的访问级别。另外,管理员可能够基于客户的商业需求来管理所述管理目录服务内的目录和应用程序。
一旦在身份池内已经生成影子管理员账户,管理目录服务就可从客户或其他委托用户接收608适当配置的API调用,所述适当配置的API调用可用来获得可用来访问影子管理员账户的一组证书。如以上所指出,管理目录服务可被配置来将适当配置的API调用(例如,“取得目录令牌()”)暴露给计算资源服务提供商,所述适当配置的API调用可使客户或委托用户能够获得用于访问影子管理员账户的一组证书。因此,客户或委托用户可访问计算资源服务提供商并且将这个已适当配置的API调用传输给管理目录服务以获得可用来访问影子管理员账户的一组证书。如将在下文结合图8描述,客户可利用身份管理服务来管理可适用于一个或多个委托用户的基础设施策略并且确定哪些委托用户可利用这个新暴露的API调用。另外,在替代性实施方案中,在创建这个新的身份池并且生成影子管理员账户之后,管理目录服务使客户或委托用户能够访问所述影子管理员账户而无需在这个初始实例中使用API调用。然而,对于对影子管理员账户的后续访问,客户或委托用户可能需要将此API调用传输给管理目录服务以获得访问所述影子管理员账户所必须的一组证书。
如以上所指出,客户或委托用户可使用所获得的一组证书来作为影子管理员访问管理目录服务身份池。因此,管理目录服务可被配置来使影子管理员账户能够610管理目录内的一个或多个资源,包括所述目录内的其他用户和/或应用程序。在一个实施方案中,管理目录服务被配置来针对影子管理员账户限定一个或多个策略,所述一个或多个策略策略在被应用于影子管理员账户时授予影子管理员账户管理目录内的一个或多个资源(包括所述目录内的其他用户和/或应用程序)的必需的许可。因此,当客户或委托用户利用所述一组证书来访问此影子管理员账户时,所述客户或委托用户可能够适当地管理目录内的其他用户和/或应用程序。
如以上所指出,客户可利用对管理目录服务的适当配置的API调用来获得一组证书,所述一组证书可用来访问在管理目录服务内新创建的身份池内的影子管理员账户。因此,图7示出用于认证对管理目录服务的访问和用于授权给被认证以执行与管理目录服务相关联的一个或多个命令的实体的示例性过程700,如在本文中至少结合图4和根据至少一个实施方案所述。服务(诸如图4中所述的管理目录服务404)或与管理目录服务相关联的过程可执行过程700中所示的动作。
管理目录服务可接收请求702以允许请求者访问管理目录服务和由管理目录服务提供的命令、目录和/或服务中的一个或多个。在一些实施方案中,请求者可以是计算机系统实体、用户或过程,诸如在本文中根据至少一个实施方案所述的计算机系统实体、用户或过程。在一些实施方案中,请求可源自外部计算机系统和/或服务器,或可源自远程网络位置上的实体、用户或过程,或可源自本地计算机系统,或可源自计算机系统客户端装置的用户,或可源自这些和/或其他此类情况的组合。在一些实施方案中,发布请求的一个命令或多个命令可由特权用户、或由非特权用户、或由自主过程、或由警报或情况、或由这些和/或其他方法的组合发布。
管理目录服务可首先使用过程(诸如在本文中至少结合图4和根据至少一个实施方案所述的过程)来704认证所述用户。在一些实施方案中,管理目录服务可使用系统访问数据,诸如在本文中至少结合图5和根据至少一个实施方案所述的身份池内的用户配置文件数据。如果请求者被704认证,那么管理目录服务就可708允许所述连接并且710开始从请求者接收命令。如果请求者704未被认证,那么管理目录服务可706拒绝所述连接。
一旦管理目录服务710开始从请求者接收命令,管理目录服务就可714确定所述请求者是否被授权执行每个命令。管理目录服务可授权给请求者使用根据至少一个实施方案的授权过程来执行每个命令。在一些实施方案中,管理目录服务可使用系统访问数据,诸如在本文中至少结合图5和根据至少一个实施方案所述的用户配置文件和/或策略数据。
如果请求者714未被授权执行所接收的命令,那么管理目录服务可716拒绝特定命令并且随后可确定是否应712继续处理来自请求者的命令。因此,一些被拒绝的命令可导致不执行所述命令,一些被拒绝的命令可导致提醒请求者和/或其他计算机系统实体命令已经被拒绝,一些被拒绝的命令可导致终止到请求者的连接,以及一些被拒绝的命令可导致这些和/或其他此类动作的组合。如果管理目录服务选择712继续从请求者接收命令,那么管理目录服务就可710等待下一个命令。如果管理目录服务选择712不继续,那么管理目录服务就可722断开所述请求者。如可设想的,722断开请求者可包括断开请求者,通知请求者断开,通知一个或多个其他计算机系统实体断开,或这些和/或其他此类断开动作的组合。
如果请求者714被授权执行所接收的命令,那么管理目录服务可718允许所述命令,所述命令可包括执行所述命令、提醒请求者所述命令被允许、提醒一个或多个其他系统实体所述命令被允许、请求一个或多个其他系统实体执行所述命令、或这些和/或其他此类响应的组合。如可设想的,所接收的命令和/或对718允许命令做出的响应可至少部分地包括720请求断开,所述断开可致使管理目录服务722断开所述请求者。如果管理目录不接收720断开命令,那么管理目录服务就可710等待下一个命令。
如以上所指出,一旦响应于来自客户或委托用户的请求,管理目录服务已经创建身份池,管理目录服务就可生成影子管理员账户并且使客户能够利用新暴露的适当配置的API调用(例如,如图1所示的“取得目录令牌()”)来允许客户或委托用户请求用于访问影子管理员账户的一组证书。计算资源服务提供商内的身份管理服务可使客户和委托用户能够利用此API调用来从管理目录服务获得此组证书。因此,图8是根据至少一个实施方案的用于将用于访问影子管理账户的一组证书传输给请求实体的过程800的说明性实例。过程800可由身份管理服务执行,所述身份管理服务被配置来识别可适用于请求实体的一个或多个策略并且与管理目录服务通信以传输请求并接收所述一组证书。
在管理目录服务内创建身份池之后,跨驻地目录服务可使客户或委托用户能够利用新暴露的适当配置的API调用来请求用于访问此身份池内的影子管理员账户的一组证书。因此,客户或委托用户可访问计算资源服务提供商,并且通过由计算资源服务提供商提供的接口传输请求以获得所述一组证书。通过计算资源服务提供商,客户可将此请求通过新暴露的适当配置的API调用传输给管理目录服务。因此,计算资源服务提供商内的身份管理服务可接收802此请求。如下文将所述,取决于对做出所述请求的用户和可适用于此用户的基础设施策略的识别,身份管理服务可被配置来将所述请求递送给管理目录服务或拒绝所述请求。
一旦身份管理服务已经接收到获得用于访问影子管理账户的所述一组证书的所述请求,身份管理服务就可识别804提供请求的实体和可适用于这个实体的任何基础设施策略。如以上所指出,客户可操作并维持管理目录服务内的一个或多个目录以及新创建的身份池。所述客户可通过限定身份管理服务内的一个或多个基础设施策略来将其执行管理目录服务内的某些任务的权限委托给许多委托用户。例如,客户可指定所有委托用户可利用新暴露的适当配置的API调用来获得访问影子管理员账户的一组证书。当在本公开中广泛地使用限定API调用的使用以访问影子管理员账户的基础设施策略时,计算资源服务提供商的客户可针对一个或多个委托用户限定无数策略。例如,客户可限定一个或多个用户策略,所述一个或多个用户策略限定对由计算资源服务提供商提供的一个或多个服务的访问级别。
至少部分地基于提供请求的实体的身份和针对这个实体可适用的基础设施策略,身份管理服务可确定806所述实体是否具有提交所述请求以获得所述一组证书的必需的许可。如果策略包括不容许实体提交这个请求的语句,那么身份管理服务就可拒绝808来自实体的请求。然而,如果容许实体提交所述请求并且因此获得访问影子管理员账户所必须的所述一组证书,那么身份管理服务可将来自实体的所述请求传输810给管理目录服务。
如以上所指出,一旦管理目录服务接收到获得用于访问影子管理员账户所必须的一组证书的请求,管理目录服务就可将所述一组证书传输给计算资源服务提供商,并且继而,传输给提交请求的客户或委托用户。因此,身份管理服务可从管理目录服务接收812一组证书并且准备将这些证书递送给请求实体。身份管理服务可被配置来将一个或多个适当配置的API调用传输814给计算资源服务提供商接口,以使所述一组证书对实体可用。因此,为客户或委托用户的请求实体可能够获得用于访问影子管理员账户并且继续管理处于管理目录服务内的目录内的一个或多个用户和/或应用程序可能需要的所述一组证书。
图9示出根据各个实施方案的用于实现若干方面的实例环境900的若干方面。如将了解,尽管出于解释目的使用基于网络的环境,但是可视情况使用不同环境来实现各个实施方案。所述环境包括电子客户端装置902,所述电子客户端装置可包括可操作来在适合网络904上发送和/或接收请求、消息或信息并且在一些实施方案中将信息传送回装置用户的任何适当的装置。此类客户端装置的实例包括个人计算机、手机、手持式消息传递装置,笔记本计算机、平板计算机、机顶盒、个人数据助理、嵌入计算机系统、电子书阅渎器等。网络可包括任何适合网络,其包括内部网、互联网、蜂窝网、局域网、卫星网络或任何其他此类网络和/或上述网络的组合。此类系统所用的组件可以至少部分取决于所选网络和/或环境的类型。用于通过此类网络通信的协议和组件是众所周知的并且本文将不再详细论述。网络上的通信可以通过有线或无线连接及其组合来实现。在这个实例中,网络包括互联网,因为环境包括用于接收请求并且响应于所述请求而提供内容的网络服务器906,然而对于其他网络来说,可使用服务类似目的替代装置,如本领域技术人员所显而易见的。
说明性环境包括至少一个应用程序服务器908和数据存储器910。应理解,可以存在可以链接起来或以其他方式来配置的若干应用服务器、层或其他元件、过程或组件,这些应用服务器、层或其他元件、过程或组件可交互来执行诸如从适合的数据存储器获得数据的任务。如本文所使用的服务器可以各种方式实现,诸如硬件装置或虚拟计算机系统。在一些上下文中,服务器可以指代在计算机系统上执行的编程模块。如本文所使用的,除非另行说明或上下文清楚指出,否则术语“数据存储器”指代能够存储、访问和检索数据的任何装置或装置组合,所述装置可包括在任何标准、分布、虚拟或集群环境中的数据服务器、数据库、数据存储装置和数据存储介质的任何组合和任何数目。应用程序服务器可包括任何适当的硬件、软件和固件,所述硬件、软件和固件视执行客户端装置的一个或多个应用程序的方面的需要与数据存储器集成且处置应用程序的一些或所有数据访问和业务逻辑。应用程序服务器可提供与数据存储器协作的访问控制服务,并且能够生成可用来提供给用户的内容(包括但不限于文本、图形、音频、视频和/或其他内容),所述内容可以超文本标记语言(“HTML”)、可扩展标记语言(“XML”)、JavaScript、层叠样式表(“CSS”)或另一种合适的客户侧结构化语言的形式由网络服务器向用户提供。传递给客户端装置的内容可由客户端装置处理以便提供呈一种或多种形式(包括但不限于用户可通过听觉、视觉和/或通过其他感觉(包括触觉、味觉和/或嗅觉)来感知的形式)的所述内容。所有请求和响应的处置以及客户端装置902与应用程序服务器908之间的内容递送可由网络服务器使用PHP来处置:超文本预处理器(“PHP”)、Python、Ruby、Perl、Java、HTML、XML或在这个实例中的另一种合适的服务器侧结构化语言。应当理解,网络服务器和应用程序服务器不是必要的,且仅仅是示例性组件,因为本文所论述的结构化代码可在如本文其他地方所论述的任何适当装置或主机上执行。此外,除非上下文中另外清楚地指出,否则本文描述为由单个装置执行的操作可以由可形成分布式系统和/或虚拟系统的多个装置共同地地执行。
数据存储器910可包括若干单独的数据表、数据库、数据文档、动态数据存储方案和/或其他数据存储机构和介质,用来存储与本公开的特定方面相关的数据。例如,所示出的数据存储器可包括用于存储产生数据912和用户信息916的机构,所述产生数据912和用户信息916可用于提供用于产生侧的内容。还示出数据存储器包括用于存储日志数据914的机构,所述机构可用于报告、分析或其他此类目的。应当理解,可能存在可能需要存储在数据存储器中的许多其他方面,诸如页面图像信息和访问权信息,所述方面可视情况存储在上文列出的机构中的任何机构中或存储在数据存储器910的中额外机构中。数据存储器910可通过与其相关联的逻辑来操作,以便从应用程序服务器908接收指令,并且响应于所述指令而获得数据、更新数据或以其他方式处理数据。应用程序服务器908可响应于所接收的指令而提供静态数据、动态数据或静态数据和动态数据的组合。动态数据(诸如在网页日志(博客)、购物应用程序、新闻服务和其他此类应用程序中使用的数据)可由如本文描述的服务器侧结构化语言生成,或可由在应用程序服务器上或在应用程序服务器控制下操作的内容管理系统(“CMS”)提供。在一个实例中,用户可以通过由用户操作的装置针对某种类型的项目提交搜索请求。在这种情况下,数据存储器可能访问用户信息来核实用户的身份,并且可访问目录详细信息以获得有关所述类型的项目的信息。随后,可将信息诸如以网页上的结果列表的形式返回给用户,用户能够通过用户装置902上的浏览器来查看所述网页。可在浏览器的专用页面或窗口中查看感兴趣的特定项目的信息。然而,应该指出,本公开的实施方案不一定限于网页的上下文,但一般而言,可以是通常更适用于处理请求,其中所述请求不一定是针对内容的请求。
每个服务器通常将包括提供用于所述服务器的一般管理和操作的可执行程序指令的操作系统,并且通常将包括存储指令的计算机可读存储介质(例如,硬盘、随机存取存储器、只读存储器等),当由服务器的处理器执行时,所述指令允许服务器执行其期望的功能。操作系统的适合实现方式和服务器的一般功能是众所周知的或可商购的,并且易于由本领域普通技术人员实现,尤其是根据本文中的公开来实现。
在一个实施方案中,环境是分布式和/或虚拟计算环境,所述环境利用通过通信链路、使用一个或多个计算机网络或直接连接来互连的若干计算机系统和组件。然而,本领域普通技术人员应理解,此类系统可在具有比图9所示的组件更少或更多个组件的系统中同样顺利地操作。因此,图9中的系统900的描绘本质上应视为说明性的,并且不限制本公开的范围。
可在广泛范围的操作环境中进一步实施各个实施方案,所述环境在一些状况下可包括一个或多个用户计算机、计算装置或可用于操作多个应用程序中的任何一个应用程序的处理装置。用户或客户端装置可包括多个通用个人计算机中的任何一个,诸如运行标准操作系统的台式计算机、膝上计算机或平板计算机,以及运行移动软件并且能够支持多个网络连接协议和消息传递协议的蜂窝装置、无线装置和手持式装置。此类系统还可包括多个工作站,所述工作站运行各种可商购的操作系统和用于特定目的(诸如开发和数据库管理)的其他已知应用程序中的任何应用程序。这些装置还可包括其他电子装置,诸如虚拟终端、薄型客户端、游戏系统和能够通过网络通信的其他装置。这些装置还可包括虚拟装置,诸如虚拟机、管理程序和能够通过网络通信的其他虚拟装置。
本公开的各个实施方案利用本领域技术人员可能熟悉的至少一种网络来使用各种各样可商购得的协议中的任一种支持通信,所述协议诸如传送控制协议/互联网协议(“TCP/IP”)、用户数据报协议(“UDP”)、在开放系统互连(“OSI”)模型的各个层级中操作的协议、文件传送协议(“FTP”)、通用即插即用(“UpnP”)、网络文件系统(“NFS”)、公共互联网文件系统(“CIFS”)以及AppleTalk。网络例如可以是局域网、广域网、虚拟专用网、互联网、内联网、外联网、公共交换电话网、红外网络、无线网络、卫星网络以及上述网络的任何组合。
在利用网络服务器的实施方案中,网络服务器可以运行各种服务器或中间层级应用程序中的任何一个,所述服务器包括超文本传送协议(“HTTP”)服务器、FTP服务器、通用网关接口(“CGI”)服务器、数据服务器、Java服务器、Apache服务器和业务应用程序服务器。服务器还能够响应来自用户装置的请求而执行程序或脚本,诸如通过执行可以实现为以任何编程语言(诸如C、C#或C++)或任何脚本语言(诸如Ruby、PHP、Perl、Python或TCL)以及其组合写成的一个或多个脚本或程序的一个或多个网络应用程序。所述服务器还可包括数据库服务器,其包括但不限于可从和商购获得的那些以及开放源服务器(诸如MySQL、Postgres、SQLite、MongoDB)和能够存储、检索和访问结构化数据或非结构化数据的任何其他服务器。数据库服务器可包括基于表的服务器、基于文件的服务器、非结构化服务器、关系服务器、非关系服务器或这些和/或其他数据库服务器的组合。
环境可包括如上文所论述的各种数据存储器以及其他存储器和存储介质。这些介质可驻留在各种位置,诸如在一个或多个计算机本地(和/或驻留在一个或多个计算机中)的存储介质上,或远离网络上的计算机中的任何一个或所有计算机。在一组特定实施方案中,信息可驻留于在本领域技术人员熟悉的存储区域网(“SAN”)中。类似地,用于执行属于计算机、服务器或其他网络装置的功能的任何必要文件可以适当地本地和/或远程地存储。在系统包括计算机化装置的情况下,每个此类装置可包括可通过总线电耦合的硬件元件,所述元件包括例如至少一个中央处理单元(“CPU”或“处理器”)、至少一个输入装置(例如,鼠标、键盘、控制器、触摸屏或小键盘)和至少一个输出装置(例如,显示装置、打印机或扬声器)。此类系统还可包括一个或多个存储装置,诸如硬盘驱动器、光存储装置和诸如随机存取存储器(“RAM”)或只读存储器(“ROM”)的固态存储装置、以及可移动媒体装置、存储卡、闪存卡等。
此类装置还可包括计算机可读存储介质读取器、通信装置(例如调制解调器、网络卡(无线或有线)、红外线通信装置等)和工作存储器,如上文所论述的。计算机可读存储介质读取器可与计算机可读存储介质连接或经配置来接收计算机可读存储介质,从而表示远程、本地、固定和/或可移动存储装置以及用于临时和/或更永久地含有、存储、传输和检索计算机可读信息的存储介质。系统和各种装置通常还将包括位于至少一个工作存储器装置内的多个软件应用程序、模块、服务系统或其他元件,包括操作系统和应用程序,诸如客户端应用程序或网页浏览器。应了解,替代性实施方案相比上文所描述的实施方案可具有众多变化。例如,也可使用定制硬件,和/或特定元件可以在硬件、软件(包括可移植的软件,诸如小程序)或两者中实现。此外,可以采用与诸如网络输入/输出装置的其他计算装置的连接。
含有代码或部分代码的存储介质和计算机可读介质可包括本领域已知或已使用的任何适合介质,包括存储介质和通信介质,诸如(但不限于)用于存储和/或传输信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中所实施的易失性和非易失性、可移动和不可移动介质,包括RAM、ROM、电可擦除可编程只读存储器(“EEPROM”)、快闪存储器或其它存储器技术、紧密光盘只读存储器(“CD-ROM”)、数字通用光盘(DVD)或其他光学存储器、磁盒、磁带、磁盘存储器或其他磁性存储装置,或可用于存储所要信息且可供系统装置访问的任何其他介质。基于本文所提供的公开和教义,本技术领域普通技术人员将了解实现各个实施方案的其他方式和/或方法。
本公开的实施方案可鉴于以下条款来描述:
1.一种用于身份池桥接的计算机实施的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
使用户能够利用一组证书来访问由计算资源服务提供商提供的接口,以便访问管理目录服务;
在所述计算资源服务提供商处从所述用户接收在所述计算资源服务提供商的所述管理目录服务内创建身份池的第一请求,所述第一请求包括至少部分地基于所述一组证书的信息;
由于所述第一请求,在所述管理目录服务处创建所述身份池和所述身份池内的影子管理账户,所述影子管理账户可用于管理对所述管理目录服务内目录的访问;
通过所述计算资源服务提供商传输来自所述用户的第二请求并且将其传输到所述管理目录服务以获得用于访问所述影子管理账户的目录令牌;
从所述管理目录服务接收所述目录令牌;以及
使所述用户能够利用所接收的目录令牌来在所述目录内执行动作。
2.如条款1所述的计算机实施的方法,其中所述影子管理账户进一步可用来管理所述管理目录服务内的目录中的一个或多个资源。
3.如条款1至2所述的计算机实施的方法,其中使所述用户能够利用所述一组证书来访问由所述计算资源服务提供商提供的所述接口以便访问所述管理目录服务依赖于在由所述计算资源服务提供商提供的身份管理服务处核实所述用户被授权访问所述管理目录服务。
4.如条款1至3所述的计算机实施的方法,其中所述用户可通过在由所述计算资源服务提供商提供的身份管理服务处针对所述其他用户限定一个或多个策略来委托其他用户访问所述管理目录服务。
5.如条款1至4所述的计算机实施的方法,其中所述用户是身份管理服务身份池内的主体,所述身份管理服务身份池可用于管理对所述计算资源服务提供商的一个或多个服务的访问。
6.如条款1至5所述的计算机实施的方法,其中还包括在创建所述身份池和所述影子管理员账户之后,使应用程序编程接口命令变得由所述计算资源服务提供商内的所述用户可用,从而致使所述管理目录服务将所述目录令牌传输给所述用户。
7.一种计算机系统,其包括:
一个或多个处理器;以及
存储器,所述存储器具有共同存储在其中的指令,当由所述计算机系统执行时,所述指令致使所述计算系统来:
认证利用用于访问由计算资源服务提供商提供的一个或多个服务的证书信息的请求者;
从所述请求者接收在由所述计算资源服务提供商提供的管理目录服务内创建身份池的请求,对所述管理目录服务的所述访问至少部分地基于所述证书信息;
在认证所述请求者之后,在所述管理目录服务内创建所述身份池并且在所创建的身份池内创建可由所述请求者使用的账户;并且
使所述请求者能够从所述管理目录服务内访问所述账户。
8.如条款7所述的计算机系统,其中所述身份池和所述账户的所述创建导致使应用程序编程接口命令可调用来致使请求被传输到所述管理目录服务,以便获得用于从所述管理目录服务内访问所述账户的目录证书信息。
9.如条款8所述的计算机系统,其中为了使所述请求者能够访问所述账户包括进行以下操作:
通过所述计算资源服务提供商传输来自所述请求者的所述应用程序编程接口命令并且将其传输到所述管理目录服务,以便获得用于访问所述账户的目录证书信息;
从所述管理目录服务接收所述目录证书信息;并且
向所述请求者提供所接收的目录证书信息。
10.如条款7至9所述的计算机系统,其中所述请求者是身份管理服务身份池内的主体,所述身份管理服务身份池可用于管理对由所述计算资源服务提供商提供的所述一个或多个服务的访问。
11.如条款10所述的计算机系统,其中所述请求者可通过针对所述身份管理服务内的所述其他用户限定一个或多个策略来委托其他用户访问所述管理目录服务。
12.如条款7至11所述的计算机系统,其中所述账户可用来管理所述管理目录服务内的目录中的一个或多个资源。
13.如条款12所述的计算机系统,其中所述一个或多个资源包括所述管理目录服务的一个或多个用户、所述管理目录服务的一个或多个群组、一个或多个策略和所述管理目录服务内的目录中的一个或多个应用程序。
14.一种非暂态计算机可读存储介质,其具有共同存储在其上的可执行指令,当由计算机系统的一个或多个处理器执行时,所述指令致使所述计算机系统至少:
核实利用用于访问由计算资源服务提供商提供的一个或多个服务的证书信息的请求者被授权访问由所述计算资源服务提供商提供的管理目录服务;
从所述请求者接收在所述管理目录服务内创建身份池的请求;
在核实所述请求者被授权访问所述管理目录服务之后,在所述管理目录服务内创建所述身份池并且在所创建的身份池内创建可由所述请求者使用的账户;并且
使所述请求者能够从所述管理目录服务内访问所述账户。
15.如条款14所述的非暂态计算机可读存储介质,其中所述身份池和所述账户的所述创建导致使应用程序编程接口命令可调用来致使请求被传输到所述管理目录服务,以便获得用于从所述管理目录服务内访问所述账户的目录证书信息。
16.如条款15所述的非暂态计算机可读存储介质,其中为了使所述请求者能够访问所述账户包括进行以下操作:
通过所述计算资源服务提供商传输来自所述请求者的所述应用程序编程接口命令并且将其传输到所述管理目录服务,以便获得用于访问所述账户的目录证书信息;
从所述管理目录服务接收所述目录证书信息;并且
向所述请求者提供所接收的目录证书信息。
17.如条款14至16所述的非暂态计算机可读存储介质,其中所述请求者是身份管理服务身份池内的主体,所述身份管理服务身份池可用于管理对由所述计算资源服务提供商提供的所述一个或多个服务的访问。
18.如条款17所述的非暂态计算机可读存储介质,其中所述请求者可通过针对所述身份管理服务内的所述其他用户限定一个或多个策略来委托其他用户访问所述管理目录服务。
19.如条款14至18所述的非暂态计算机可读存储介质,其中所述账户可用来管理所述管理目录服务内的一个或多个资源。
20.如条款19所述的非暂态计算机可读存储介质,其中所述一个或多个资源包括所述管理目录服务的一个或多个用户、所述管理目录服务的一个或多个群组、一个或多个策略和所述管理目录服务内的目录中的一个或多个应用程序。
因此,应在说明性意义而不是限制性意义上理解本说明书和附图。然而,将显而易见的是:在不脱离如在权利要求书中阐述的本发明的更宽广精神和范围的情况下,可以对其做出各种修改和改变。
其他变体是在本公开的精神之内。因此,虽然所公开的技术易受各种修改和替代构造的影响,但在附图中示出且在上文详细描述其特定说明的实施方案。然而,应理解,并不意图将本发明限于具体形式或所公开的形式,但相反,意图涵盖属于本发明的精神和范围内的所有修改、替代构造和等效物,如随附权利要求书中所限定。
在描述所公开实施方案的上下文中(尤其是在随附权利要求的上下文中),术语“一(a,an)”和“所述(the)”以及类似的提及的使用意图解释为涵盖单数和复数两者,除非在本文另外地指示或明显地与上下文矛盾。术语“包含”、“具有”、“包括”和“含有”应解释为开放式术语(即,意味着“包括但不限于”),除非另外地注解。当术语“连接的”非经修改并且指代物理连接时,应解释为部分地或全部地纳入在以下解释内:附接至或结合在一起,即使存在介入物。除非本文另外指明,否则本文中值范围的列举仅仅意图用作个别地表示属于所述范围的各单独值的速记方法,并且犹如本文个别描述地那样将各单独值并入到本说明书中。除非本文另外指明或与上下文矛盾,否则术语“集”(例如,“项目集”)或“子集”解释为包括一个或多个成员的非空集合。此外,除非本文另外指明或与上下文矛盾,否则术语对应集的“子集”不一定指对应集的真子集,但可子集和对应集可以相等。
连接性语言,诸如除非本文另外特别指明或明显地与上下文矛盾,否则如一般情况下使用的,“A、B和C中的至少一个”形式的或“A、B和C中的至少一个”的短语另外与上下文一起理解来表示一个物品、术语等,可以是A或B或C、或A和B和C的集合的任何非空子集。例如,在具有三个成员的说明性实例中,连接性短语“A、B和C中的至少一个”和“A、B和C中的至少一个”指代以下集合中的任意一个:{A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C}。因此,此类连接性语言一般并非意在暗示某些实施方案需要各自存在A中的至少一个、B中的至少一个以及C中的至少一个。
可按任何合适的顺序来执行本文所述的过程的操作,除非本文另外指明或明显地与上下文矛盾。本文描述的过程(或变体和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下实行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用程序)、由硬件或其组合来实现。所述代码可例如以包括可由一个或多个处理器执行的多个指令的计算机程序的形式而存储在计算机可读存储介质上。计算机可读存储介质可以是非暂时性的。
本文所提供的任何以及所有实例或示例性语言(例如,“如”)的使用仅意图更好地说明本发明的实施方案,并且除非另外要求,否则不会对本发明的范围施加限制。说明书中的语言不应解释为表明任何未要求保护的要素对实施本发明必不可少。
本文中描述了本发明的优选实施方案,其包括为发明者所知用来执行本发明的最佳模式。阅读上述说明后那些优选的实施方案的变体对于本领域的普通技术人员可以变得显而易见。发明人希望技术人员视情况采用此类变体,并且发明人意图以不同于如本文所特别描述的方式来实践本公开的实施方案。因此,经适用的法律许可,本公开的范围包括在此附加的权利要求中叙述的主题的所有改良形式和等价物。此外,除非本文另外指示或明显地与上下文矛盾,否则本公开的范围涵盖其所有可能变型中的上述元素的任何组合。
Claims (16)
1.一种计算机系统,其包括:
一个或多个处理器;以及
存储器,所述存储器具有共同存储在其中的指令,当由所述计算机系统执行时,所述指令致使所述计算系统来:
认证利用用于访问由计算资源服务提供商提供的一个或多个服务的证书信息的请求者;
从所述请求者接收在由所述计算资源服务提供商提供的管理目录服务内创建身份池的请求,对所述管理目录服务的所述访问至少部分地基于所述证书信息;
在认证所述请求者之后,在所述管理目录服务内创建所述身份池并且在所创建的身份池内创建可由所述请求者使用的账户;并且
使所述请求者能够从所述管理目录服务内访问所述账户。
2.如权利要求1所述的计算机系统,其中所述身份池和所述账户的所述创建导致使应用程序编程接口命令可调用来致使请求被传输到所述管理目录服务,以便获得用于从所述管理目录服务内访问所述账户的目录证书信息。
3.如权利要求2所述的计算机系统,其中为了使所述请求者能够访问所述账户包括进行以下操作:
通过所述计算资源服务提供商传输来自所述请求者的所述应用程序编程接口命令并且将其传输到所述管理目录服务,以便获得用于访问所述账户的目录证书信息;
从所述管理目录服务接收所述目录证书信息;并且
向所述请求者提供所接收的目录证书信息。
4.如任一前述权利要求所述的计算机系统,其中所述请求者是身份管理服务身份池内的主体,所述身份管理服务身份池可用于管理对由所述计算资源服务提供商提供的所述一个或多个服务的访问。
5.如权利要求4所述的计算机系统,其中所述请求者可通过针对所述身份管理服务内的所述其他用户限定一个或多个策略来委托其他用户访问所述管理目录服务。
6.如任一前述权利要求所述的计算机系统,其中所述账户可用来管理所述管理目录服务内的目录中的一个或多个资源。
7.如权利要求6所述的计算机系统,其中所述一个或多个资源包括所述管理目录服务的一个或多个用户、所述管理目录服务的一个或多个群组、一个或多个策略和所述管理目录服务内的目录中的一个或多个应用程序。
8.一种非暂态计算机可读存储介质,其具有共同存储在其上的可执行指令,当由计算机系统的一个或多个处理器执行时,所述指令致使所述计算机系统至少:
核实利用用于访问由计算资源服务提供商提供的一个或多个服务的证书信息的请求者被授权访问由所述计算资源服务提供商提供的管理目录服务;
从所述请求者接收在所述管理目录服务内创建身份池的请求;
在核实所述请求者被授权访问所述管理目录服务之后,在所述管理目录服务内创建所述身份池并且在所创建的身份池内创建可由所述请求者使用的账户;并且
使所述请求者能够从所述管理目录服务内访问所述账户。
9.如权利要求8所述的非暂态计算机可读存储介质,其中所述身份池和所述账户的所述创建导致使应用程序编程接口命令可调用来致使请求被传输到所述管理目录服务,以便获得用于从所述管理目录服务内访问所述账户的目录证书信息。
10.如权利要求9所述的非暂态计算机可读存储介质,其中为了使所述请求者能够访问所述账户包括进行以下操作:
通过所述计算资源服务提供商传输来自所述请求者的所述应用程序编程接口命令并且将其传输到所述管理目录服务,以便获得用于访问所述账户的目录证书信息;
从所述管理目录服务接收所述目录证书信息;并且
向所述请求者提供所接收的目录证书信息。
11.如权利要求8-10中任一项所述的非暂态计算机可读存储介质,其中所述请求者是身份管理服务身份池内的主体,所述身份管理服务身份池可用于管理对由所述计算资源服务提供商提供的所述一个或多个服务的访问。
12.如权利要求11所述的非暂态计算机可读存储介质,其中所述请求者可通过针对所述身份管理服务内的所述其他用户限定一个或多个策略来委托其他用户访问所述管理目录服务。
13.如权利要求8-12中任一项所述的非暂态计算机可读存储介质,其中所述账户可用来管理所述管理目录服务内的一个或多个资源。
14.如权利要求13所述的非暂态计算机可读存储介质,其中所述一个或多个资源包括所述管理目录服务的一个或多个用户、所述管理目录服务的一个或多个群组、一个或多个策略和所述管理目录服务内的目录中的一个或多个应用程序。
15.一种用于身份池桥接的计算机实施的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
使用户能够利用一组证书来访问由计算资源服务提供商提供的接口,以便访问管理目录服务;
在所述计算资源服务提供商处从所述用户接收在所述计算资源服务提供商的所述管理目录服务内创建身份池的第一请求,所述第一请求包括至少部分地基于所述一组证书的信息;
由于所述第一请求,在所述管理目录服务处创建所述身份池和所述身份池内的影子管理账户,所述影子管理账户可用于管理对所述管理目录服务内目录的访问;
通过所述计算资源服务提供商传输来自所述用户的第二请求并且将其传输到所述管理目录服务以获得用于访问所述影子管理账户的目录令牌;
从所述管理目录服务接收所述目录令牌;以及
使所述用户能够利用所接收的目录令牌来在所述目录内执行动作。
16.如权利要求15所述的计算机实施的方法,其中所述影子管理账户进一步可用来管理所述管理目录服务内的目录中的一个或多个资源。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201361902790P | 2013-11-11 | 2013-11-11 | |
US61/902,790 | 2013-11-11 | ||
US14/098,298 | 2013-12-05 | ||
US14/098,298 US9736159B2 (en) | 2013-11-11 | 2013-12-05 | Identity pool bridging for managed directory services |
PCT/US2014/065084 WO2015070246A2 (en) | 2013-11-11 | 2014-11-11 | Identity pool bridging for managed directory services |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105830388A true CN105830388A (zh) | 2016-08-03 |
CN105830388B CN105830388B (zh) | 2019-06-18 |
Family
ID=53042361
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480068732.2A Active CN105830388B (zh) | 2013-11-11 | 2014-11-11 | 用于管理目录服务的身份池桥接 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9736159B2 (zh) |
EP (1) | EP3069464B1 (zh) |
JP (1) | JP6163264B2 (zh) |
CN (1) | CN105830388B (zh) |
CA (1) | CA2930255C (zh) |
WO (1) | WO2015070246A2 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110036387A (zh) * | 2016-12-09 | 2019-07-19 | 微软技术许可有限责任公司 | 集成同意系统 |
CN112567341A (zh) * | 2018-06-15 | 2021-03-26 | 贝宝公司 | 用于多租户架构的统一身份服务 |
CN113853774A (zh) * | 2019-05-09 | 2021-12-28 | 吉奥奎斯特系统公司 | 具有原生云特征的客户端隔离 |
WO2024065147A1 (en) * | 2022-09-27 | 2024-04-04 | Citrix Systems, Inc. | Group management |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9424429B1 (en) * | 2013-11-18 | 2016-08-23 | Amazon Technologies, Inc. | Account management services for load balancers |
US9313193B1 (en) | 2014-09-29 | 2016-04-12 | Amazon Technologies, Inc. | Management and authentication in hosted directory service |
US10509663B1 (en) * | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
US11973758B2 (en) * | 2016-09-14 | 2024-04-30 | Microsoft Technology Licensing, Llc | Self-serve appliances for cloud services platform |
US10630682B1 (en) * | 2016-11-23 | 2020-04-21 | Amazon Technologies, Inc. | Lightweight authentication protocol using device tokens |
US10129223B1 (en) | 2016-11-23 | 2018-11-13 | Amazon Technologies, Inc. | Lightweight encrypted communication protocol |
US11281796B2 (en) | 2018-06-13 | 2022-03-22 | At&T Intellectual Property I, L.P. | Blockchain based information management |
US11196748B1 (en) * | 2018-06-13 | 2021-12-07 | Amazon Technologies, Inc. | Directory proxy for accessing remote domains |
US11102214B2 (en) | 2018-08-27 | 2021-08-24 | Amazon Technologies, Inc. | Directory access sharing across web services accounts |
US11122048B2 (en) | 2018-09-26 | 2021-09-14 | International Business Machines Corporation | User profile access from engaging applications with privacy assurance associated with an API |
CN114641767A (zh) * | 2019-04-09 | 2022-06-17 | 推特公司 | 在经管理的多租户服务中管理用户身份 |
US11899685B1 (en) | 2021-12-10 | 2024-02-13 | Amazon Technologies, Inc. | Dividing authorization between a control plane and a data plane for sharing database data |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6055637A (en) * | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
US20090328178A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Techniques to perform federated authentication |
US20110314520A1 (en) * | 2010-06-22 | 2011-12-22 | Microsoft Corporation | Online service access controls using scale out directory features |
US20130007845A1 (en) * | 2011-06-30 | 2013-01-03 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security platform |
Family Cites Families (58)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7188138B1 (en) | 1999-03-22 | 2007-03-06 | Eric Schneider | Method, product, and apparatus for resource identifier registration and aftermarket services |
US6609128B1 (en) | 1999-07-30 | 2003-08-19 | Accenture Llp | Codes table framework design in an E-commerce architecture |
US7711818B2 (en) * | 2000-12-22 | 2010-05-04 | Oracle International Corporation | Support for multiple data stores |
WO2004055685A1 (ja) | 2002-12-18 | 2004-07-01 | International Business Machines Corporation | Webサービス提供システム、そのためのサーバ装置、コンピュータ・システムをWebサービス提供システムのためのサーバ装置として制御するための制御方法、および該制御方法を実行するためのプログラムおよび記録媒体 |
US7590667B2 (en) | 2003-01-30 | 2009-09-15 | Hitachi, Ltd. | File replication method for distributed file systems |
JP2004355439A (ja) | 2003-05-30 | 2004-12-16 | Aruze Corp | 情報管理システム |
US20050203993A1 (en) | 2003-12-31 | 2005-09-15 | Grobman Steven L. | System and method for optimizing data store selection for write operations |
JP2005258672A (ja) | 2004-03-10 | 2005-09-22 | Jfe Systems Inc | トップページ介在シングルサインオン方法及びトップページ装置 |
US7577132B2 (en) * | 2004-10-28 | 2009-08-18 | Microsoft Corporation | User interface for securing lightweight directory access protocol traffic |
US8732182B2 (en) | 2004-12-02 | 2014-05-20 | Desktopsites Inc. | System and method for launching a resource in a network |
US8326899B2 (en) | 2005-11-09 | 2012-12-04 | Ca, Inc. | Method and system for improving write performance in a supplemental directory |
US8418234B2 (en) | 2005-12-15 | 2013-04-09 | International Business Machines Corporation | Authentication of a principal in a federation |
US9213513B2 (en) | 2006-06-23 | 2015-12-15 | Microsoft Technology Licensing, Llc | Maintaining synchronization of virtual machine image differences across server and host computers |
US7574202B1 (en) | 2006-07-21 | 2009-08-11 | Airsurf Wireless Inc. | System and methods for a secure and segregated computer network |
JP2008035250A (ja) | 2006-07-28 | 2008-02-14 | Fujitsu Ltd | 情報提供サービス制御システム |
US7562075B2 (en) | 2006-12-07 | 2009-07-14 | International Business Machines Corporation | Change approvals for computing systems |
US8434129B2 (en) * | 2007-08-02 | 2013-04-30 | Fugen Solutions, Inc. | Method and apparatus for multi-domain identity interoperability and compliance verification |
EP2235642A4 (en) | 2007-12-13 | 2016-08-03 | Highwinds Holdings Inc | CONTENT DELIVERY NETWORK |
US8418238B2 (en) | 2008-03-30 | 2013-04-09 | Symplified, Inc. | System, method, and apparatus for managing access to resources across a network |
US8478902B1 (en) | 2012-02-06 | 2013-07-02 | Skytap | Virtual gateway router |
US20100017889A1 (en) | 2008-07-17 | 2010-01-21 | Symantec Corporation | Control of Website Usage Via Online Storage of Restricted Authentication Credentials |
US8458290B2 (en) | 2011-02-01 | 2013-06-04 | Limelight Networks, Inc. | Multicast mapped look-up on content delivery networks |
US8566821B2 (en) | 2008-11-11 | 2013-10-22 | Netapp Inc. | Cloning virtual machines |
US20100142401A1 (en) | 2008-12-04 | 2010-06-10 | Morris Robert P | Methods, Systems, And Computer Program Products For Determining A Network Identifier Of A Node Providing A Type Of Service For A Geospatial Region |
US8311038B2 (en) | 2009-03-30 | 2012-11-13 | Martin Feuerhahn | Instant internet browser based VoIP system |
US8307003B1 (en) | 2009-03-31 | 2012-11-06 | Amazon Technologies, Inc. | Self-service control environment |
US8255984B1 (en) | 2009-07-01 | 2012-08-28 | Quest Software, Inc. | Single sign-on system for shared resource environments |
WO2011023134A1 (en) | 2009-08-28 | 2011-03-03 | Beijing Innovation Works Technology Company Limited | Method and system for managing distributed storage system through virtual file system |
US8335765B2 (en) | 2009-10-26 | 2012-12-18 | Amazon Technologies, Inc. | Provisioning and managing replicated data instances |
US8510816B2 (en) | 2010-02-25 | 2013-08-13 | Secureauth Corporation | Security device provisioning |
WO2011159842A2 (en) | 2010-06-15 | 2011-12-22 | Nimbula, Inc. | Virtual computing infrastructure |
US9560036B2 (en) | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
US10482254B2 (en) | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
JP5678508B2 (ja) | 2010-07-29 | 2015-03-04 | 日本電気株式会社 | シンクライアントシステム、管理サーバ、仮想マシン作成管理方法及び仮想マシン作成管理プログラム |
EP2619677A4 (en) | 2010-09-21 | 2015-05-13 | Hewlett Packard Development Co | APPLYING DIFFERENTIAL POLICIES TO AT LEAST ONE DIGITAL DOCUMENT |
US9596122B2 (en) * | 2010-12-03 | 2017-03-14 | International Business Machines Corporation | Identity provider discovery service using a publish-subscribe model |
JP5608527B2 (ja) | 2010-12-06 | 2014-10-15 | 株式会社日立ソリューションズ | 仮想環境管理システム、及びその制御方法 |
WO2012119620A1 (en) * | 2011-03-08 | 2012-09-13 | Telefonica S.A. | A method for providing authorized access to a service application in order to use a protected resource of an end user |
US20120233314A1 (en) | 2011-03-11 | 2012-09-13 | Ebay Inc. | Visualization of Access Information |
US8533796B1 (en) | 2011-03-16 | 2013-09-10 | Google Inc. | Providing application programs with access to secured resources |
US20120246738A1 (en) | 2011-03-21 | 2012-09-27 | Microsoft Corporation | Resource Sharing and Isolation in Role Based Access |
US9015710B2 (en) | 2011-04-12 | 2015-04-21 | Pivotal Software, Inc. | Deployment system for multi-node applications |
WO2012154595A1 (en) | 2011-05-06 | 2012-11-15 | Citrix Systems, Inc. | Systems and methods for cloud bridging between public and private clouds |
JP5930847B2 (ja) * | 2011-06-29 | 2016-06-08 | キヤノン株式会社 | サーバーシステムおよび制御方法およびプログラム |
US8412945B2 (en) | 2011-08-09 | 2013-04-02 | CloudPassage, Inc. | Systems and methods for implementing security in a cloud computing environment |
US8990227B2 (en) | 2011-08-23 | 2015-03-24 | Oracle International Corporation | Globally unique identification of directory server changelog records |
JP6061936B2 (ja) | 2011-09-20 | 2017-01-18 | イーサワークス エルエルシーAetherworks, Llc | ロケーションニュートラルソフトウェアの需要増大に伴う展開に対するシステム及び方法 |
FI20116299A (fi) | 2011-12-21 | 2013-06-22 | Sensinode Oy | Menetelmä, laite ja järjestelmä resurssien osoittamiseksi |
JP6098169B2 (ja) * | 2012-02-01 | 2017-03-22 | 株式会社リコー | 情報処理システム、情報処理装置、プログラム及び認証方法 |
US8656471B1 (en) | 2012-03-12 | 2014-02-18 | Amazon Technologies, Inc. | Virtual requests |
US10176335B2 (en) | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
US9063792B2 (en) | 2012-04-18 | 2015-06-23 | Entrata Systems, Inc. | Managing mobile execution environments |
US9069979B2 (en) * | 2012-09-07 | 2015-06-30 | Oracle International Corporation | LDAP-based multi-tenant in-cloud identity management system |
CN105075225B (zh) | 2012-12-24 | 2019-04-02 | 瑞典爱立信有限公司 | 使能对本地服务器上的多个服务的外部接入 |
US20140250075A1 (en) | 2013-03-03 | 2014-09-04 | Jacob Broido | Using a file system interface to access a remote storage system |
US9448830B2 (en) | 2013-03-14 | 2016-09-20 | Google Inc. | Service bridges |
US9509719B2 (en) | 2013-04-02 | 2016-11-29 | Avigilon Analytics Corporation | Self-provisioning access control |
US9658899B2 (en) | 2013-06-10 | 2017-05-23 | Amazon Technologies, Inc. | Distributed lock management in a cloud computing environment |
-
2013
- 2013-12-05 US US14/098,298 patent/US9736159B2/en active Active
-
2014
- 2014-11-11 CN CN201480068732.2A patent/CN105830388B/zh active Active
- 2014-11-11 EP EP14861058.7A patent/EP3069464B1/en active Active
- 2014-11-11 WO PCT/US2014/065084 patent/WO2015070246A2/en active Application Filing
- 2014-11-11 CA CA2930255A patent/CA2930255C/en active Active
- 2014-11-11 JP JP2016528218A patent/JP6163264B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6055637A (en) * | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
US20090328178A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Techniques to perform federated authentication |
US20110314520A1 (en) * | 2010-06-22 | 2011-12-22 | Microsoft Corporation | Online service access controls using scale out directory features |
US20130007845A1 (en) * | 2011-06-30 | 2013-01-03 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security platform |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110036387A (zh) * | 2016-12-09 | 2019-07-19 | 微软技术许可有限责任公司 | 集成同意系统 |
CN112567341A (zh) * | 2018-06-15 | 2021-03-26 | 贝宝公司 | 用于多租户架构的统一身份服务 |
CN113853774A (zh) * | 2019-05-09 | 2021-12-28 | 吉奥奎斯特系统公司 | 具有原生云特征的客户端隔离 |
WO2024065147A1 (en) * | 2022-09-27 | 2024-04-04 | Citrix Systems, Inc. | Group management |
Also Published As
Publication number | Publication date |
---|---|
EP3069464B1 (en) | 2019-01-09 |
EP3069464A2 (en) | 2016-09-21 |
US20150135272A1 (en) | 2015-05-14 |
EP3069464A4 (en) | 2017-06-28 |
WO2015070246A3 (en) | 2015-11-12 |
JP2017503231A (ja) | 2017-01-26 |
US9736159B2 (en) | 2017-08-15 |
JP6163264B2 (ja) | 2017-07-12 |
CN105830388B (zh) | 2019-06-18 |
CA2930255C (en) | 2019-11-26 |
WO2015070246A2 (en) | 2015-05-14 |
CA2930255A1 (en) | 2015-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105830388A (zh) | 用于管理目录服务的身份池桥接 | |
CN105830389B (zh) | 用于访问多个计算资源服务的单组证书 | |
CN105659558B (zh) | 计算机实现的方法、授权服务器以及计算机可读存储器 | |
US11588855B2 (en) | Policy approval layer | |
US10747822B2 (en) | Remote access control for stored data | |
US8499053B2 (en) | Segmenting access to electronic message boards | |
US10110587B2 (en) | Entity to authorize delegation of permissions | |
CN106416125A (zh) | 用于虚拟机实例的自动目录加入 | |
CN103930897A (zh) | 移动应用、单点登录管理 | |
WO2013066766A1 (en) | Enterprise social media management platform with single sign-on | |
US20150350194A1 (en) | Systems, methods, and software to provide access control in cloud computing environments | |
CN107003886A (zh) | 托管目录服务对目录的应用访问的管理 | |
CN103023893A (zh) | 利用资源转接平台访问在线资源 | |
CN110636057B (zh) | 一种应用访问方法、装置和计算机可读存储介质 | |
Prasad et al. | Ensuring data storage in cloud computing for distributed using high security password | |
KR20240014880A (ko) | 행정구역별 커뮤니티 제공 시스템 | |
Sánchez et al. | Towards a more social digital library |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |