CN107005582A - 使用存储在不同目录中的凭证来访问公共端点 - Google Patents

Abstract

全球端点可以与组织名称以及位于不同的地理区域中的多个目录相关联。所述全球端点可以是托管由用户使用来访问应用或服务的页面的计算系统。用户可以能够使用已经存在的凭证来访问所述应用或服务。例如，所述用户可以使用由所述用户附属于的实体所存储和维护的凭证来访问所述应用或服务。具有存储在不同的地理区域中的凭证的用户可以能够经由同一全球端点访问所述应用或服务。

Description

使用存储在不同目录中的凭证来访问公共端点

背景技术

管理员频繁地利用目录服务来创建和维护目录以用于用户和/或计算资源管理和/或以用于提供对各种计算资源(例如，文件系统、文件、用户、安全策略、网络资源、应用、系统存储等)的访问。可以在由管理员操作的数据服务器中(例如，场内(on-premises))实现目录服务。管理员还可以管理由用户操作的多个客户端设备，其中的每一个与数据服务器共享网络或域。为了保证客户端设备安全并且为了确保跨越域的兼容性，数据服务器可以在客户端设备上指派和实施安全策略并且安装或者更新在客户端设备上运行的软件。

然而，安装、维护和操作数据服务器可能是繁重的。数据服务器它本身可以包括数个计算系统，从而要求昂贵硬件的购买以及复杂软件的配置。在一些情况下，还可能需要用于给数据服务器供电并且使数据服务器冷却的专用设施。建立并维护数据服务器与客户端设备之间的连接性可能要求昂贵网络设备的安装。此外，可能需要附加的硬件和/或软件以在数据服务器出故障或者数据以其他方式丢失的情况下实现备份和恢复过程。

附图说明

遍及附图，参考数字可以被再用来指示参考元素之间的对应。附图被提供来图示本文中所描述的示例性实施方案，而不旨在限制本公开的范围。

图1A图示根据一个实施方案的具有提供目录服务的各种区域的受管理目录服务环境。

图1B示出根据一些实施方案的可实现本公开的目录管理特征以及用户、群组及设备管理与认证特征的示例性网络环境。

图2A示出在提供由用户设备利用令牌(token)所访问的服务的过程期间往返用户管理和认证模块142的交互。

图2B示出在提供令牌并且处理API调用的过程期间往返用户管理和认证模块142的交互。

图3图示用于在与可以通过第三方应用服务器或者由计算机资源服务提供商系统提供的应用或服务所使用的不同区域中的多个目录相关联的公共端点(endpoint)处对用户进行认证的过程。

图4A至图4B图示在用户设备(诸如图1A至图1B的用户设备)上查看的网络页面的表示的示例。

具体实施方式

介绍-具有组织名称的全球端点

如上所述，实现目录服务的场内数据服务器可能是繁重的。因此，在一些常规系统中，受管理目录服务(例如，在计算机操作系统的目录(诸如ACTIVE)中存储信息、组织信息并且提供对信息的访问的系统)可通过远程位于并且由多个管理员和/或组织共享的中央管理数据服务器来实现。受管理目录服务可以管理多个目录。中央管理数据服务器可以经由网络(例如，互联网)提供对受管理目录服务的访问，并且管理员可以使用现有的支持网络的客户端设备来管理目录。例如，管理员可以向提供中央管理数据服务器的实体(entity)建立帐户。当访问账户时，管理员可创建一个或多个目录，在目录内创建域(例如，向单个目录服务注册了所有用户账户和计算资源(诸如计算机、打印机、扫描仪、服务、进程、线程等)的计算机网络)，并且将成员服务器(例如，实现轻量目录访问协议(LDAP)、Kerberos、域名系统(DNS)服务或其他活动目录工具以在目录中管理记录的服务器)添加到域。使用添加到域的成员服务器，管理员可创建并管理域用户。因此，管理员可在不必安装或者维护通常用来实现目录服务的基础设施的情况下实现目录服务。

现有的受管理目录服务具有数个局限。例如，两个或更多个实体可能已经使用受管理目录服务创建了目录。因为实体是单独的并且创建了单独的目录，所以用户可以通过访问它们各自的实体的目录来认证。在一些情况下，实体可以期望共享资源或内容。实体能够共享资源或内容的一个可能的方式将是创建用作可由与任何一个实体相关联的用户访问的公共端点的共享组织。然而，因为实体维护不同的目录，所以除非创建了新的用户账号，否则一个实体的用户可能不能够使用他们现有的凭证(credentials)来访问由另一实体创建的目录，并且反之亦然。此外，公共端点可能不能够访问维护凭证的目录。实体可以期望来自任何一个实体的用户可出于认证目的键入他们现有的凭证所在的公共端点和登录系统，即使凭证与单独的目录相关联。

在本文中描述了解决这些问题中的至少一些的公共全球端点。全球端点可以是托管用来经由现有凭证访问应用或服务的页面(例如，内容页面或网络页面，诸如web页面)的计算系统。全球端点可以通过组织名称来标识并且全球端点的位置(例如，网际协议(IP)地址)可以与标识该组织名称的统一资源定位符(URL)(例如，<组织名称>.<应用主机>.com)相关联。全球端点可以与多个目录相关联，所述多个目录诸如由希望经由用户的现有凭证给他们的用户提供对应用或服务的访问的实体所创建的目录。

受管理目录服务可以分布在不同的地理区域中。例如，一个或多个内容递送网络(CDN)可以被配置有后端服务器，并且该后端服务器可以与实现受管理目录服务的系统通信。实现受管理目录服务的系统可以在多区域分布式计算机系统的单个区域中操作并且可以仅与该单个区域中的其他设备或系统进行通信。因此，CDN可以被认为是区域端点并且实现受管理目录服务的系统可以被认为是单个端点。使用CDN并且将受管理目录服务分配到各种区域中可以提供一些好处，诸如更低延时通信(例如，经由数据的高速缓存)以及改进的资源均衡(例如，通过从单个端点卸载计算)。然而，为了对用户的凭证进行认证，全球端点可以首先必须标识与所接收到的凭证相关联的目录位于的区域。

为了帮助标识目录位于的区域，可维护包括全球端点的组织名称与DNS条目(例如，对应的IP地址)的映射的路由服务(例如，域名系统(DNS)web服务)。例如，可以在为一个组织或一组组织创建全球端点时将映射存储在路由服务中。路由服务还可以包括DNS条目与一个或多个CDN的地址的映射。因此，可查询路由服务以标识与全球端点的组织名称相关联的DNS条目，并且可查询路由服务以标识与DNS条目相关联的一个或多个CDN的地址。路由服务然后可将全球端点定向到经标识的CDN。经标识的CDN中的一个或多个可基于存储的映射将全球端点定向到区域服务(例如，受管理目录服务)，并且该区域服务基于组织名称可标识目录的位置。

例如，区域内的目录或其他计算系统实体可以具有可被该区域内的计算系统实体利用和/或不可被该区域外部的计算系统实体利用的唯一标识符(例如，统一资源标识符、URL或任何其他资源标识符)。出于安全目的(例如，使得实体的目录的特定位置和类型保持隐藏)和/或因为唯一标识符可以改变，所以唯一标识符可能不可被区域外部的计算系统实体利用。因为唯一标识符可能是不可用的，所以CDN或经由CDN的区域服务可以向分布式计算系统中的各种计算系统(诸如全球端点和路由服务)提供用作目录的实际唯一标识符的别名的不同的唯一标识符。因此，如果全球端点指示要使用别名标识符来访问目录的请求，则路由服务可将该请求重定向到适当的CDN。CDN然后可以标识可基于别名标识符的内容确定适当的目录的区域服务。在标题为“TECHNIQUES FOR NETWORK REDIRECTION”并且于2013年12月12日提交的美国专利申请No.14/098,446中更详细地描述了使用此类技术来将调用或请求重定向到适当的端点，所述专利申请的内容从而通过引用整体地并入。

一旦适当的区域被标识并且区域服务将全球端点指向适当的目录，用户的现有凭证就可被该适当的目录认证。如果认证通过，则用户可以成功地登录并访问应用或服务。因此，用户可在不必创建或者使用与他的或她的现有凭证分开的一组新凭证的情况下访问应用或服务。

当用户使用他的或她的凭证来登录以访问应用或服务时，浏览器应用中的URL栏可以甚至随着路由服务(应全球端点的请求)将用户从全球端点重定向到CDN并且该CDN标识区域服务而保持不变。例如，用户可以访问由组织名称标识的页面并且URL栏可以显示组织名称。在键入组织名称时，全球端点可以使浏览器应用被重定向到由区域服务生成的登录页面，使得用户可键入他的或她的现有凭证并且URL栏可以保持不变。可替代地，用户可以键入标识组织名称和服务的URL(例如，<组织名称>.<应用主机>.com/news-service，其中news-service是经标识的服务)。URL栏可以显示经标识的组织名称和服务，但是可以将浏览器应用重定向到由区域服务生成的登录页面。一旦登录，就可以将用户重定向到应用或服务的主页面；然而URL栏可以仍然显示原始URL。

介绍-使用组织名称来管理目录

一般地，如上所述，成员服务器被用来管理目录的资源。然而，一些管理员可能不能够访问成员服务器或者可能不希望操作成员服务器(例如，web开发者、应用开发者、移动应用开发者等)，并且因此可能不能够执行任何用户管理或者以其他方式管理目录的资源。例如，由应用服务器托管的全球端点可能不是成员服务器并且通常可能未被用来管理或者访问目录。然而，本文中所描述的实施方案还呈现了允许管理员通过一组应用编程接口(API)经由计算系统(诸如全球端点)管理或者访问目录的用户管理和认证系统。

用户管理和认证系统可以是结合受管理目录服务工作以提供本文中所描述的功能性的附加系统。例如，用户管理和认证系统可以生成一旦路由服务将全球端点重定向到正确的CDN并且该CDN解析区域就可由全球端点访问的一组登录页面(例如，内容或网络页面，诸如web页面)。管理员可键入他的或她的凭证、标识正在请求访问域的应用或服务的客户端标识、重定向页面(例如，由管理员正在设法经由全球端点访问的应用或服务生成的页面)和/或组织名称(例如，标识全球端点的名称或目录的名称)。用户管理和认证系统可以将凭证发送到与组织相关联的目录，并且该目录可以确定凭证是否可被认证(例如，管理员是否能够访问目录)。如果凭证可被认证，则用户管理和认证系统被通知并且生成认证代码(例如，OAuth代码)。

认证代码可以连同用于访问重定向页面的指令一起由用户管理和认证系统发送到用户设备。认证代码可以是在设定时间段(例如，10分钟、1小时等)内有效的一次性代码，并且在认证代码的期满之前，可以由与重定向页面相关联的应用或服务使用来发起对与组织相关联的目录的访问。例如，用户管理和认证系统可以包括getToken API。应用或服务可以调用getToken API，从而将认证代码作为参数来传递。

getToken API可以响应于接收到有效的认证代码而生成访问令牌和/或刷新令牌并且将所述令牌提供给应用或服务。可以基于凭证和/或组织名称生成访问令牌和/或刷新令牌。例如，访问令牌和/或刷新令牌可以以安全格式包括凭证和/或组织名称。访问令牌可以允许应用或服务经由一组API访问和/或管理与组织相关联的目录并且可以在管理员定义的或预设的时间段(例如，1小时、1天等)内有效。刷新令牌可以在管理员定义的或预设的时间段(例如，1星期、1个月等)内有效并且可由应用或服务使用来一旦前一个访问令牌期满就接收新的访问令牌。在一些实施方案中，刷新令牌可以在一定量的时间内无效(例如，一旦访问令牌期满就可以不刷新它)。

在实施方案中，用户管理和认证系统提供数个API。此类API可以包括用户API、群组API、组织单元API、口令API、访问令牌API和/或服务API。用户API可以包括createUserAPI(例如，以在目录中创建用户)、describeUsers API(例如，以列举目录内的所有或任何数量的用户及其属性)、updateUser API(例如，以更新目录中的用户的属性)、deleteUserAPI(例如，以从目录中删除用户)和/或listGroupsForUser API(例如，以列举目录内的所有或任何数量的用户及其群组)。群组API可以包括createGroup API(例如，以在目录内创建新群组)、describeGroups API(例如，以列举目录内的群组和群组的属性)、updateGroupAPI(例如，以更新目录中的现有群组)、deleteGroup API(例如，以从目录中删除群组)、listMembersInGroup API(例如，以列举目录中的群组的成员)、addMemberToGroup API(例如，以将成员(用户或群组)添加到目录中的群组)和/或removeMemberFromGroup API(例如，以从目录中的群组中移除成员)。组织单元API可以包括describeOrganizationalUnitsAPI(例如，以列举目录内的所有或任何数量的组织单元及其属性)。口令API可以包括authenticateUser API(例如，以对目录中的用户进行认证并且返回认证代码)、authenticateKerberosUser API(例如，以对目录中的用户进行认证并且返回认证代码)、authenticateRadiusUser API(例如，以对照与目录相关联的radius服务器来对用户进行认证并且返回认证代码)、resetPassword API(例如，以重置用户的口令)和/或changePassword API(例如，以改变用户的口令)。访问令牌API可以包括createAnonymousToken API(例如，以创建要存储的匿名令牌)、getToken API(例如，以基于认证代码生成访问令牌和/或刷新令牌)、validateToken API(例如，以验证先前发布的访问令牌或匿名令牌仍然有效)、refreshToken API(例如，以使用先前发布的刷新令牌来生成新的访问令牌)和/或revokeToken API(例如，以使先前发布的访问、匿名或刷新令牌无效)。服务API可以包括getServiceAccountCreds API(例如，以允许注册的应用或服务检索域加入凭证)。

应用或服务可使用访问令牌来调用由用户管理和认证系统支持的API中的任一个。例如，可经由API将访问令牌和/或其他操作特定参数提供给用户管理和认证系统以管理目录。如上所述，可以基于认证代码和/或组织名称生成访问令牌。因此，当经由API在接收时由用户管理和认证系统打开时，访问令牌可以标识认证代码，并且因此标识正在执行动作的管理员和/或将执行动作的目录。因此，应用或服务可以不单独地标识要访问和/或管理的目录。不单独地标识目录可以提供常规系统中未找到的附加安全级别。在一般地涉及访问并管理单个目录的常规系统中，管理员可以通过提供目录名称和/或其他操作特定参数简单地管理目录。然而，在本文中所公开的实施方案中，用户或管理员可能不能够通过提供组织名称和/或其他操作特定参数简单地以未被授权的方式访问并操纵目录。相反，如本文中所描述的，需要访问令牌来访问和/或操纵特定目录，并且用户或管理员可以仅在可利用特定目录验证他的或她的凭证之后(例如，在接收到认证代码之后)获得访问令牌。

在实施方案中，当生成访问令牌时，用户管理和认证系统可以将访问令牌映射到通常能够由成员服务器使用来访问与组织名称相关联的目录的目录服务令牌(例如，Kerberos令牌、其他目录特定凭证等)。因此，当应用或服务使用访问令牌来调用API时，用户管理和认证系统可以访问数据库以确定映射到访问令牌的令牌，并且将经映射的令牌(和/或由应用或服务提供的其他操作特定参数)提供给受管理目录服务以执行经由API的调用所请求的动作或操作。在一些实施方案中，刷新令牌的有效性可能束缚于经映射的令牌的有效性(例如，其寿命可由管理员预设或者定义)。结果(若有的话)可以通过受管理目录服务返回给用户管理和认证系统，并且用户管理和认证系统可以将结果转发到应用或服务。

应用或服务可重复这个过程以为由管理员操作的一个或多个目录生成访问令牌。因此，管理员使用应用或服务可访问和/或管理多个目录。

在另外的实施方案中，用户管理和认证系统支持单因素认证和/或多因素认证(例如，多个不同组凭证可以在访问被许可之前由用户提供用于认证)。用户管理和认证系统可以经由用户界面和/或API支持任何类型的认证。用户管理和认证系统还可以支持单次登录(例如，管理员可以能够登录一次并且获得对所有适当的目录的访问，而不用每当目录被访问时被提示再次登录)。

系统部件

图1A图示根据一个实施方案的具有提供目录服务的各种区域的受管理目录服务环境。图1A中所示的受管理目录服务环境包括各种用户设备102、路由服务130、第三方应用服务器108、各种CDN150A-B、各种计算资源服务提供商系统104A-C以及各种可扩展的专用服务器系统170。各种用户设备102、路由服务130、第三方应用服务器108以及各种CDN150A-B可以经由一个或多个通信网络110彼此进行通信。网络110可以是可能由各种不同方操作的链接网络的公开可访问的网络，诸如互联网。在其他实施方案中，网络110可以包括专用网、个人区域网、局域网、广域网、电缆网、卫星网、蜂窝电话网等或其组合，每个能够访问互联网或/或来自互联网。

计算资源服务提供商系统104A-C和各种专用服务器系统170A-C分别可以经由单独的通信网络160A-C彼此进行通信。网络160A-C可以是具有两个端点的专用网：与网络160A-C相关联的计算资源服务提供商系统104A-C和专用服务器系统170A-C。各种专用服务器系统170A-C可以不共享网络160A-C。相反，每个网络160A-C可以专用于特定专用服务器系统170A-C。

如相关领域的技术人员将了解的，受管理目录服务环境可以包括任何数量的不同的用户设备102、计算资源服务提供商系统104A-C、CDN 150A-B和/或专用服务器系统170A-C。单独的计算资源服务提供商系统104A-C可以被定位为使得它们靠近(在地理或联网意义上)当前或潜在的用户设备102或专用服务器系统170A-C的群组。

在实施方案中，受管理目录服务分布在不同的地理区域120A-B中。例如，一个或多个CDN 150A-B可以被配置有后端服务器，并且该后端服务器可以与实现受管理目录服务的系统(诸如计算资源服务提供商系统140A-C)通信。计算资源服务提供商系统104A-C可以在多区域分布式计算机系统的单个区域中操作并且可以仅与该单个区域中的其他设备或系统进行通信。因此，CDN 150A或150B可以被认为是区域端点并且计算资源服务提供商系统140A-C可以被认为是单个端点。

用户设备102可包括各式各样的计算设备，包括成员服务器、个人计算设备、终端计算设备、膝上型计算设备、平板计算设备、电子阅读器设备、移动设备(例如，移动电话、媒体播放器、手持游戏设备等)、具有网络访问和程序执行能力的可穿戴设备(例如，“智能手表”或“智能护目镜”)、无线设备、机顶盒、游戏控制台、娱乐系统、具有网络访问和程序执行能力的电视(例如，“智能TV”)以及各种其他电子设备和器具。单独的用户设备102可以执行应用以经由网络110与计算资源服务提供商系统104进行通信以便管理一个或多个目录。例如，应用可以是被安装在用户设备102上的独立应用。作为另一示例，应用可以是访问由计算资源服务提供商系统104A-C、第三方应用服务器108和/或另一计算系统(未示出)托管的应用或服务(例如，web服务)的浏览器(例如，web浏览器)。

第三方应用服务器108可以是托管应用或服务(例如，目录管理服务、文档共享服务、字处理应用等)并且提供对所述应用或服务的访问的计算系统。例如，第三方应用服务器108可以托管提供对所托管的应用或服务的访问的与不同的组织名称相关联的各种页面。页面可以具有以下格式的URL：<组织名称>.<应用主机>.com。因此，第三方应用服务器108可以用作管理员或用户试图访问与一个或多个实体相关联的页面的全球端点。由第三方应用服务器108托管的单个页面可以与多个目录相关联，所述多个目录诸如由希望使用用户的现有凭证来给它们的用户提供对由第三方应用服务器108托管的应用或服务的访问的实体所创建的目录。第三方应用服务器108可以位于任何区域(诸如区域120A或区域120B)中。

用户设备102可以经由网络110访问所托管的应用或服务。应用或服务可以附属于操作计算资源服务提供商系统104或者可以由第三方实体操作的实体。在实施方案中，由第三方应用服务器108或计算资源服务提供商系统104提供的已经向计算资源服务提供商系统104注册的应用或服务可以访问本文中所描述的特征。尚未向计算资源服务提供商系统104注册和/或尚未被计算资源服务提供商系统104的管理员批准的应用或服务可以被阻止访问本文中所描述的特征。

专用服务器系统170A-C可以存储与实体相关联的目录。例如，专用服务器系统170A-C可以为组织存储场内目录。在一些实施方案中，专用服务器系统170A-C可为同一实体存储多个目录。如关于图1B在下面更详细地描述的，目录可以由各自的计算资源服务提供商系统104A-C来管理。

路由服务130可以帮助标识可帮助标识目录位于的区域的CDN150A-B。路由服务130(例如，域名系统(DNS)web服务)可包括由应用服务器140创建的组织名称与DNS条目(例如，对应的IP地址)的映射。例如，可以在为组织(例如，多个实体)创建组织名称时将映射存储在路由服务130中。路由服务130还可以包括DNS条目与一个或多个CDN 150A-B的地址的映射。因此，可查询路由服务130以标识与组织名称相关联的DNS条目，并且可查询路由服务130以标识与该DNS条目相关联的一个或多个CDN 150A-B的地址。路由服务器130然后可将在用户设备102上执行的应用(例如，浏览器)定向到经标识的CDN 150A-B。经标识的CDN150A-B中的一个可基于存储的映射将用户设备102定向到区域服务(例如，计算资源服务提供商系统104A-C)，并且该区域服务基于组织名称可标识目录的位置。

例如，区域120A内的目录或其他计算系统实体可以具有可被区域120A内的计算系统实体利用和/或不可被区域120A外部的计算系统实体利用的唯一标识符(例如，统一资源标识符、URL或任何其他资源标识符)。如上所述，出于安全目的(例如，使得实体的目录的特定位置和类型保持隐藏)和/或因为唯一标识符可以改变，所以唯一标识符可能不可被区域120A外部的计算系统实体利用。因为唯一标识符可能是不可用的，所以CDN 150A或计算资源服务提供商系统104A经由CDN 150A可以向分布式计算系统中的各种计算系统(诸如应用服务器140和路由服务130)提供用作目录的实际唯一标识符的别名的不同的唯一标识符。因此，如果应用服务器140生成用于使用别名标识符来访问目录的请求，则路由服务130可将该请求重定向到适当的CDN 150A或150B。CDN 150A或150B然后可以标识可基于别名标识符的内容确定适当的目录的计算资源服务提供商系统104A-C。

示例性网络环境

图1B示出根据一些实施方案的可实现本公开的目录管理特征以及用户、群组及设备管理与认证特征的示例性网络环境。出于简单的目的，图1B中所示的网络环境包括一个区域的部件。如本文中所使用的，术语“目录”一般地是指关于计算机网络的用户、设备、应用和其他公共资源的数据的组织集合。计算机网络上的每个资源(或其某个子集)可以被表示为目录中的对象，并且关于特定资源的信息(例如，名称、地址、许可等)可作为该对象的属性被存储。信息可被安全地存储在对象内或者与对象相关联地存储，使得仅具有足够许可的用户能够访问、修改或者以其他方式使用该信息。

如所示，网络环境包括经由一个或多个网络110通信的各种用户设备102、计算资源服务提供商系统104、组织106和第三方应用服务器108。计算资源服务提供商系统104可向各种组织或其他客户提供应用；目录管理服务；用户、群组及设备管理与认证服务；和/或其他基于网络的服务。组织106A-C(或其他客户)可采用计算资源服务提供商系统104来向与这些组织相关联的用户提供应用访问，管理组织的目录等。单独的用户可使用用户设备102来使用来自它们各自的组织106A-106C的凭证来访问由计算资源服务提供商系统104(或第三方应用服务器108)托管的应用。此外，计算资源服务提供商系统104可任凭各自的组织处理给应用提供对各种组织106A-C的目录的访问。

一些用户设备102可以与特定组织106A-C相关联。例如，组织可以具有保持场内或者主要由员工、管理员或与组织相关联的其他用户场外(off-premises)使用的各种用户设备102。在一些实施方案中，用户设备102中的一些或全部可以与任何组织分开，诸如由任何数量的用户使用来执行各种任务的公用计算机或家庭计算机，所述各种任务可以包括使用与特定组织106A-C或计算资源服务提供商系统104的其他客户相关联的凭证来管理目录或者访问应用。

计算资源服务提供商系统104可以是被配置成托管应用144(字处理应用、照片编辑应用、电子邮件应用等)或者以其他方式提供对应用144的访问、为单独的客户组织106A-C管理目录和/或提供其他基于网络的服务和资源(例如，文档共享服务、虚拟机服务等)的计算系统。例如，计算资源服务提供商系统104可以是可以经由通信网络110访问的一服务器或一组服务器。计算资源服务提供商系统104可包括用于提供本文中所描述的各种特征的许多部件，诸如可由组织106和用户设备102访问的受管理目录系统或服务140、用户管理和认证模块142以及一个或多个应用或应用服务器144。如在下面所描述的，计算资源服务提供商系统104还可以存储各种场外目录146，诸如组织160B的场外目录。在一些实施方案中，计算资源服务提供商系统104可以包括除图1中所图示外的附加或更少的部件以提供上面并且在下面更详细地描述的特征。

如本文中所使用的，术语“场外目录”是指远离与它关联的组织的目录，以便区分这种目录和位于组织的驻地上的目录。因此，尽管目录可以被以物理方式存储在计算资源服务提供商系统104的驻地上，然而该目录可能被称为场外目录，因为它相对于它所属于的组织(例如，拥有或者操作由该目录描述的网络的组织)是场外的。附加地，尽管目录可以被以物理方式存储在计算资源服务提供商系统104的驻地外面，然而该目录可能被称为场内目录，因为它相对于它所属于的组织是场内的。

说明性地，管理员可以使用由用户设备102执行的应用来管理由管理员的组织(诸如组织106A-C中的一个)所拥有或者操作的一个或多个目录。应用可以与受管理目录服务140和/或用户管理和认证模块142交互。受管理目录服务140可以是实现受管理目录服务的计算系统。在实施方案中，受管理目录服务140被配置成创建、监视并管理一个或多个目录。例如，受管理目录服务140可以与场外目录146和/或场内目录160通信并且管理它们。如上所述，如果用户设备102是成员服务器，则管理员可以使用受管理目录服务140来创建、监视和/或管理目录。然而，如果用户设备102不是成员服务器，则管理员可以经由由用户管理和认证模块142提供的API来创建、监视和/或管理目录。

用户管理和认证模块142可以是实现用户、群组及设备管理与认证系统的计算系统。在实施方案中，用户管理和认证模块142允许管理员经由一组API(诸如上面所描述的API)利用不是成员服务器(例如，不与各自目录的域相关联)的用户设备102来管理一个或多个目录。用户管理和认证模块142还可以提供用于即使所执行的应用或所访问的应用或服务不能够直接访问目录的创建用户的列表也允许由用户设备102执行的应用或者由所执行的应用访问的应用或服务访问目录中的内容或资源的授权和认证机制。例如，用户管理和认证模块142可以与受管理目录服务140通信并且可以用作用户设备102与受管理目录服务140之间的接口，使得用户设备102可管理由受管理目录服务140管理的一个或多个目录。用户设备102可调用由用户管理和认证模块142提供的API，并且用户管理和认证模块142可指令受管理目录服务140执行由所调用的API指示的动作。关于图2A至图2B在下面更详细地描述用户设备102、受管理目录服务140及用户管理和认证模块142之间的交互。

在另外的实施方案中，用户管理和认证模块142支持单因素认证和/或多因素认证。用户管理和认证模块142可以经由用户界面和/或API支持任何类型的认证。用户管理和认证模块142还可以支持单次登录(例如，管理员可以能够登录一次并且获得对所有适当的目录的访问，而不用每当目录被访问时被提示再次登录)。

计算资源服务提供商系统104可以是单个计算设备，或者它可以包括以逻辑方式或以物理方式分组在一起以共同地作为服务器系统操作的多个不同的计算设备，诸如计算机服务器。计算资源服务提供商系统104的部件可每个用专用硬件(例如，具有一个或多个ASIC的服务器计算设备)加以实现使得软件不是必要的，或者作为硬件和软件的组合被实现。此外，计算资源服务提供商系统104的模块和部件可被组合在一个服务器计算设备上或者单独地分开或者到数个服务器计算设备上的群组中。

此外，可以使用多个(例如，两个或更多个)计算资源服务提供商系统104。例如，计算资源服务提供商系统104可以位于单独的区域中并且可以或者可以不彼此交互。单独的计算资源服务提供商系统104可以被定位为使得它们靠近(在地理或联网意义上)当前或潜在的用户设备102或组织160A-C的群组。

在一些实施方案中，由计算资源服务提供商系统104提供的特征和服务可以作为可经由通信网络110消费的web服务被实现。在另外的实施方案中，计算资源服务提供商系统104由实现在托管计算环境中的一个或多个虚拟机来提供。托管计算环境可以包括一个或多个快速地提供和释放的计算资源，所述计算资源可以包括计算、联网和/或存储设备。托管计算环境还可以被称为云计算环境。

组织106A-C可对应于计算资源服务提供商系统104的各种客户。尽管在本文中使用术语“组织”，然而涉及此类组织的特征可以附加地或可替代地涉及具有目录(无论场内还是场外)并且希望使用计算资源服务提供商系统104以通过由计算资源服务提供商系统104或第三方应用服务器108托管的应用来管理该目录并且控制对该目录的访问的任何客户。

维护场内目录160的组织可以具有目录160被存储在上面的一个或多个服务器。例如，组织106A可以具有包括各种服务器的数据中心，并且可以将场内目录160存储在这些服务器中的一个或多个上。维护场外目录的组织可以采用计算资源服务提供商系统104的服务，其可以将场外目录存储在场外目录数据存储区146中。例如，组织106B可能根本不维护场内目录，而是可以替代地依靠计算资源服务提供商系统104以维护组织的目录146。一些组织可以选择场内和/或场外维护多个目录。例如，组织106C可以每个以与组织106A类似的方式(在上面描述)存储多个场内目录160，并且组织106C也可以选择采用计算资源服务提供商系统104来维护场外目录146。在这个示例中由计算资源服务提供商系统104维护的目录146可以是场内目录的镜像或子集(例如，用于备份或灾难恢复目的)，或者它完全可以是单独的目录(例如，与场内目录160的不同区域中的计算资源的目录)。

通信网络110可以是可能由各种不同方操作的链接网络的公开可访问的网络，诸如互联网。在一些实施方案中，通信网络110可以是或者包括互联网、专用网、个人区域网、局域网、广域网、电缆网、卫星网、蜂窝电话网等或其组合。

往返用户管理和认证模块的示例性交互

图2A示出在提供由用户设备利用令牌所访问的服务的过程期间往返用户管理和认证模块142的交互。如图2A中所图示，目录服务模块140可以与多个代理215A-B交互，并且代理215A-B可以与用户管理和认证模块142交互。

在实施方案中，出于管理目的，每个代理215A-B与一个或多个单独的目录相关联并且与它关联的目录直接接口对接。代理215A-B可以与场内和/或场外目录相关联并且与它们进行通信。例如，代理215A可以与场外目录146相关联并且代理215B可以与场内目录160相关联。受管理目录服务140可以被配置成创建、监视和/或管理代理215A-B。虽然图示了两个代理215A-B，但是这不意在为限制性的。计算资源服务提供商系统104可以包括任何数量的代理(例如，足以处理由受管理目录服务140管理的所有目录的许多代理)。

代理215A-B可以接收对用户管理和认证模块142做出的API调用的翻译版本。对用户管理和认证模块142做出的API调用的翻译版本可以是可由受管理目录服务140执行的目录特定API调用(例如，LDAP、Kerberos、DNS等)。作为示例，API调用的翻译可以包括将访问令牌映射到目录服务令牌(例如，Kerberos令牌、用户名和口令对、NT LAN管理器(NTLM)散列等)。

在实施方案中，用户管理和认证模块142包括控制台220、控制平面225以及负载均衡器230和235。控制台220可以被配置成生成被发送到用户设备102的用户界面。用户界面可以是可以在用户设备102调用由用户管理和认证模块142提供来登录、重置口令、改变口令和/或执行本文中所描述的其他操作的API时被发送到用户设备102的登录页面。控制台220还可以生成可诸如例如在新用户被创建时被发送到用户设备102的链接(例如，统一资源定位符(URL))。该链接可以在有限的时间段(例如，7天、2个星期等)内有效，并且当被选择时，可以将由用户设备102执行的应用重定向到允许管理员键入附加信息(诸如用户简档信息)的内容页面。控制台220还可以在用户设备102调用由用户管理和认证模块142提供来重置口令的API时发送包括到与管理员相关联的账户的链接的电子消息(例如，电子邮件、文本消息等)。该电子消息可以包括可由用户设备102使用来完成口令重置过程的一次性用户令牌。

控制平面225可以被配置成使API暴露在用户设备102下。例如，控制平面225可以暴露像本文中所描述的API一样的API。控制平面225还可以被配置成与代理215A-B交互。例如，控制平面225可以将从用户设备102接收到的API调用翻译成可由受管理目录服务140执行的目录特定API调用并且将所述目录特定API调用提供给适当的代理215A-B(例如，与将根据API调用对其执行动作的目录相关联的代理)。关于图2B在下面更详细地描述控制平面225。

控制台220和控制平面225可以每个在负载均衡器230或235后面。控制台220和控制平面225可以每个包括多个计算资源并且负载均衡器230和235可以跨越多个计算资源分配工作负载以优化资源使用，以使吞吐量最大化，和/或以使任何单个资源变得过载的风险最小化。例如，负载均衡器230和235可以接收来自用户设备102的API调用并且将所述API调用分配到控制台220或控制平面225的适当的计算资源。

在(1)处，管理员经由用户设备102可以首先与负载均衡器235进行通信以对他的或她的凭证进行认证。负载均衡器235可以将认证请求和凭证转发到控制台220，所述控制台220可以将认证请求和凭证转发该负载均衡器230。负载均衡器230可以将认证请求和凭证转发到控制平面225。控制平面225可以确定与凭证相关联的目录并且将认证请求和凭证发送到适当的代理215A或215B。一旦适当的代理215A或215B接收到认证请求和凭证，该代理215A或215B就可以通过联系它关联的目录(例如，场外目录146或场内目录160)来执行认证。

在(2)处，响应于管理员的凭证可被认证的确定，控制平面225生成认证代码。控制平面225将认证代码发送到负载均衡器230以便转发到用户设备102。

在(3)处，用户设备102访问由第三方应用服务器108提供的服务。在替代实施方案(未示出)中，用户设备102访问由计算机资源服务提供商系统104提供的应用144中的应用。

在(4)处，所访问的服务为了接收访问令牌和/或刷新令牌而将认证代码发送到负载均衡器230。负载均衡器230可以将认证代码转发到控制平面225。

在(5)处，控制平面225基于所接收到的认证代码生成访问令牌和/或刷新令牌。如果在期满之前接收到认证代码则控制平面225可以生成访问令牌。控制平面225可以将访问令牌和/或刷新令牌发送到负载均衡器230以便转发到所访问的服务。

图2B示出在提供令牌并且处理API调用的过程期间往返用户管理和认证模块142的交互。如图2B中所图示，控制平面225可以包括用户、群组和口令API模块240、认证API模块245、认证令牌至凭证映射器模块250、目录查找模块255、目录数据库260、服务健康监视模块265以及认证寿命管理收割者模块270。在替代实施方案(未示出)中，目录查找模块255是代理215A或215B的部件。

认证API模块245可以生成认证代码、刷新令牌和/或访问令牌。例如，认证API模块245可以接收管理员凭证、标识由应用服务器140托管的正在请求访问域的应用或服务的客户端标识、重定向页面(例如，与一旦认证完成用户管理和认证模块150就应该指令用户设备102访问的应用或服务相关联的页面)和/或组织名称或标识符(例如，标识全球端点的标识符或目录标识符)。认证API模块245可以将凭证发送到与和组织名称相关联的目录相对应的代理215A或215B。代理215A或215B可以将凭证传递到目录服务模块140以确定凭证是否可被认证(例如，管理员是否能够访问目录)。如果凭证可被认证，则认证API模块245被通知并且生成认证代码(例如，OAuth代码)。

在(1)处，如上所述，认证代码可以是在有限的时间段(例如，10分钟、1小时等)内有效的一次性代码。认证API模块245可以将认证代码发送到用户设备102。认证API模块245还可以向用户设备102发送用于访问重定向页面的指令。

在(2)处，用户设备102访问由第三方应用服务器108提供的服务。在替代实施方案(未示出)中，用户设备102访问由计算机资源服务提供商系统104提供的应用144中的应用。

在(3)处，认证API模块245从所访问的服务(例如，经由浏览器访问)接收认证代码。例如，如果getToken API被调用，则认证API模块245可以接收认证代码(例如，认证代码可以作为参数被包括)。

如果接收到期限不满的认证代码，则认证API模块245可以生成访问令牌和/或刷新令牌。可以基于凭证和/或组织名称生成访问令牌和/或刷新令牌。例如，当被打开时，访问令牌和/或刷新令牌可以指示与令牌相关联的认证代码(以及因此凭证和与所述凭证相关联的管理员)和组织名称。访问令牌可以允许所访问的服务经由由用户、群组和口令API模块240提供的一组API来管理与组织名称相关联的目录。访问令牌可以在管理员定义的或有限的时间段(例如，1小时、1天等)内有效。刷新令牌可以在管理员定义的或有限的时间段(例如，1星期、1个月等)内有效并且可由用户设备102和/或所访问的应用或服务使用来一旦前一个访问令牌期满就接收新的访问令牌。在一些实施方案中，刷新令牌可以在任何时间段内无效(例如，一旦访问令牌期满就可以不刷新它)。

在(4)处，在一些实施方案中，认证API模块245将访问令牌、刷新令牌、凭证和/或目录标识符发送到认证令牌至凭证映射器模块250。认证令牌至凭证映射器模块250可以使用底层目录逻辑来将凭证和/或组织名称(或与组织的实体中的一个相关联的目录的标识符)映射到访问令牌和/或刷新令牌并且将这个映射存储在目录数据库260中。

在(5)处，认证API模块245还可以将访问令牌和/或刷新令牌发送到所访问的服务。用户、群组和口令API模块240可以提供上面所描述的API中的一个或多个，并且所访问的服务可以使用访问令牌和/或其他操作特定参数来调用所提供的API中的一个或多个。在一些实施方案(未示出)中，认证API模块245在执行关于(4)所讨论的操作之前将访问令牌和/或刷新令牌发送到所访问的服务。

在(6)处，在实施方案中，在从调用服务接收到包括访问令牌的API调用时，用户、群组和口令API模块240通过查询目录查找模块255来标识与访问令牌相关联的目录。例如，目录查找模块255可以将访问令牌传递到目录数据库260并且标识与该访问令牌相关联的目录，从而将经标识的目录发送回到用户、群组和口令API模块240。

在(7)处，用户、群组和口令API模块240然后可以标识与经标识的目录相关联的代理215A或215B，将API调用翻译成目录特定API调用，并且将该目录特定API调用及其操作特定参数传递到适当的代理215A或215B。用户、群组和口令API模块240可以确定如何基于由目录查找模块255提供的信息将API调用翻译成目录特定API调用。在替代实施方案(未示出)中，用户、群组和口令API模块240直接标识与访问令牌相关联的目录，而不用查询目录查找模块255(例如，经由内部查找表或数据库)。

如上所述，代理215A-B可以接收从由用户、群组和口令API模块240接收到的API调用翻译的目录特定API调用。作为示例，用户、群组和口令API模块240可以将由用户、群组和口令API模块240接收到的访问令牌映射到目录服务令牌(例如，Kerberos令牌)，并且可以将该目录服务令牌提供给代理215A-B以访问适当的目录。

在(8)处，结果(若有的话)可以由代理215A-B从受管理目录服务140接收并且转发到用户、群组和口令API模块240。用户、群组和口令API模块240然后可以将结果发送到调用服务。

服务健康监视模块265可以是监视目录服务的健康的计算系统。例如，服务健康监视模块265可以监视目录服务模块140的健康。

认证寿命管理收割者模块270可以对目录数据库260执行维护。例如，认证寿命管理收割者模块270可以收割出或者移除已经期满的访问令牌和/或刷新令牌(以及它们相关联的凭证和目录标识)。

用于在与不同区域中的不同目录相关联的公共端点处对用户进行认证的示例性 过程

图3图示用于在与可以通过第三方应用服务器或者由计算机资源服务提供商系统提供的应用或服务所使用的不同区域中的多个目录相关联的公共端点处对用户进行认证的过程300。作为示例，图1A至图1B的第三方应用服务器108或计算机资源服务提供商系统104可被配置成执行认证过程300。认证过程300在块302处开始。

在块304处，接收用于经由与组织名称相关联的页面访问应用的请求。例如，组织名称可以标识全球端点。多个目录可以与组织名称相关联。例如，组织名称可以与多个实体相关联。每个实体可以存储和维护单独的目录。在实施方案中，多个目录中的一个或多个位于单独的区域中。每个单独的区域中的计算设备可以不与其他区域中的计算设备进行通信。

在块306处，接收用户凭证。用户凭证可以与多个目录中的第一目录相关联。例如，与用户凭证相关联的用户可以是存储和维护第一目录的实体的员工。

在块308处，确定第一目录位于的区域。在实施方案中，路由服务(诸如路由服务130)包括DNS条目到与组织名称相关联的页面的映射。路由服务还可以包括DNS条目到CDN条目的映射。CDN可以包括到各种区域服务的映射。例如，第一目录可以利用由CDN或经由该CDN的区域服务提供给路由服务和/或计算资源服务提供商系统或第三方应用服务器的别名标识符来标识。在从计算资源服务提供商系统或第三方应用服务器接收到别名标识符时，路由服务可以能够将用户设备重定向到适当的CDN。CDN可以标识管理第一目录的区域服务，从而标识第一目录的区域(例如，区域服务在与第一目录相同的区域中)。

在块310处，将用户凭证发送到所述确定的区域以用于认证。在将用户凭证发送到所述确定的区域之后，认证过程300可以完成，如块312中所示。

用于访问全球端点的示例性用户界面

图4A至图4B图示在用户设备(诸如用户设备102)上查看的网络页面400的表示的示例。网络页面400可以由区域服务(诸如计算资源服务提供商系统104)来生成，并且显示在由用户设备102执行的浏览器应用的用户界面内。如图4A中所图示，网络页面400允许用户键入凭证(例如，用户名和口令)以访问应用。例如，用户可在字段402中键入用户名并且在字段404中键入口令。

URL栏406指示由用户提供的URL。在实施方案中，URL通过登录过程保持不变。例如，用户可能已经提供URL<Org Name>.XYZAPPS.COM/NEWS以便访问由第一计算资源服务提供商系统104或第三方应用服务器108托管的新闻服务。然而，因为用户仍然尚未登录，所以第一计算资源服务提供商系统104或第三方应用服务器108将用户重定向到由网络页面400表示的登录页面。由网络页面400表示的登录页面可以由与第一计算资源服务提供商系统104或第三方应用服务器108不同的计算资源服务提供商系统104(诸如与和用户的组织对应的目录相关联的计算资源服务提供商系统104)来生成。计算资源服务提供商系统104和第三方应用服务器108可以位于不同区域中。因此，浏览器应用可能已经被从由一个区域中的主机生成的页面重定向到由另一区域中的另一主机生成的另一页面以完成登录过程。浏览器应用可能已经基于存储在路由服务130中的映射并且基于存储在CDN 150A或150B中的映射被如此重定向。然而，URL栏406可以仍然显示URL<Org Name>.XYZAPPS.COM/NEWS。

如图4B中所图示，用户已经成功地登录并且在网络页面450中显示了由第一计算资源服务提供商系统104或第三方应用服务器108生成的新闻服务。然而，即使用户被从网络页面400重定向到网络页面450并且因此从位于一个区域中的主机重定向到位于另一区域中的另一主机，URL栏406也再次显示相同的URL。

术语

本文中所描述的所有方法和任务可以由计算机系统执行并且完全自动化。计算机系统可以在一些情况下包括通过网络进行通信和合作以执行所描述的功能的多个不同的计算机或计算设备(例如，物理服务器、工作站、存储阵列、云计算资源等)。每个这种计算设备通常包括执行存储在存储器或其他非暂时性计算机可读存储介质或设备(例如，固态存储设备、磁盘驱动器等)中的程序指令或模块的处理器(或多个处理器)。本文中所公开的各种功能可以用此类程序指令具体实现，和/或可以用计算机系统的专用电路(例如，ASIC或FPGA)加以实现。在计算机系统包括多个计算设备的情况下，这些设备可以但未必位于一处。可以通过将物理存储设备(诸如固态存储器芯片和/或磁盘)变换成不同的状态来持久地存储所公开的方法和任务的结果。在一些实施方案中，计算机系统可以是其处理资源由多个不同的商业实体或其他用户共享的基于云的计算系统。

取决于实施方案，本文中所描述的过程或算法中的任一个的某些行为、事件或功能可被按照不同的顺序执行，可被添加、合并或者一起省去(例如，并非所有描述的操作或事件是实践算法所必需的)。而且，在某些实施方案中，可同时(例如，通过多线程处理、中断处理或多个处理器或处理器核或者在其他并行架构上)而非顺序地执行操作或事件。

关于本文中所公开的实施方案而描述的各种说明性的逻辑块、模块、例行程序和算法步骤可作为电子硬件(例如，ASIC或FPAG器件)、在通用计算机硬件上运行的计算机软件或两者的组合被实现。为了清楚地图示硬件和软件的这个互换性，已经根据其功能性在上面一般地描述了各种说明性的部件、块、模块和步骤。这种功能性是作为专用硬件还是在通用硬件上运行的软件来实现取决于强加于总体系统的特定应用和设计约束。可针对每个特定应用以变化方式实现所描述的功能性，但是此类实现决策不应该被解释为导致脱离本公开的范围。

而且，关于本文中所公开的实施方案而描述的各种说明性的逻辑块和模块可由机器来实现或者执行，所述机器诸如通用处理器设备、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑设备、分立门或晶体管逻辑、分立硬件部件，或设计来执行本文中所描述的功能的其任何组合。通用处理器设备可以是微处理器，但是在替代方案中，处理器设备可以是控制器、微控制器或状态机、其组合等。处理器设备可包括被配置成对计算机可执行指令进行处理的电气电路。在另一实施方案中，处理器设备包括在不用对计算机可执行指令进行处理的情况下执行逻辑操作的FPGA或其他可编程设备。处理器设备还可作为计算设备的组合被实现，例如，DSP和微处理器的组合、多个微处理器、结合DSP核的一个或多个微处理器或任何其他这种配置。尽管在本文中主要相对于数字技术进行描述，然而处理器设备还可以主要包括模拟部件。例如，本文中所描述的渲染技术中的一些或全部可以用模拟电路或混合模拟和数字电路加以实现。计算环境可包括任何类型的计算机系统，包括但不限于基于微处理器、主计算机、数字信号处理器、便携式计算设备、设备控制器或器具内的计算引擎等等的计算机系统。

关于本文中所公开的实施方案而描述的方法、过程、例行程序或算法的元素可直接用硬件、用由处理器设备执行的软件模块或者用两者的组合具体实现。软件模块可驻留在RAM存储器、闪速存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或任何其他形式的非暂时性计算机可读存储介质中。示例性存储介质可耦合到处理器设备，使得该处理器设备可从存储介质读取信息并且将信息写入到存储介质。在替代方案中，存储介质可以与处理器设备成一体。处理器设备和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替代方案中，处理器设备和存储介质可作为分立部件驻留在用户终端中。

除非另外具体地陈述或者在如使用的上下文内以其他方式理解，否则本文中所使用的条件语言(尤其诸如“可”、“能够”、“可能”、“可以”、“例如”等)一般地旨在传达某些实施方案包括(然而其他实施方案不包括)某些特征、元素和/或步骤。因此，此类条件语言一般地不旨在暗示特征、元素和/或步骤无论如何是一个或多个实施方案所需要的，或者一个或多个实施方案必定包括用于在有或没有其他输入或提示的情况下判定这些特征、元素和/或步骤是否被包括或者将在任何特定实施方案中执行的逻辑。术语“包括”、“包括”、“具有”等是同义的并且被以开放方式包括地使用，而不排除附加的元素、特征、行为、操作等。另外，术语“或”在其包括性意义上(而不在其排他性意义上)使用，使得当被使用时，例如，为了连接元素的列表，术语“或”意指该列表中的元素中的一个、一些或全部。

诸如短语“X、Y、Z中的至少一个”的析取语言除非另外具体地陈述，否则以其他方式与如一般而言使用的上下文一起理解为呈现项目、项等可以是X、Y或Z，或其任何组合(例如，X、Y和/或Z)。因此，此类析取语言一般地不旨在并且不应该暗示某些实施方案要求X中的至少一个、Y中的至少一个或Z中的至少一个每个存在。

虽然以上详细描述已经示出、描述并指出了如应用于各种实施方案的新颖特征，但是可理解的是，可在不脱离本公开的精神的情况下做出所图示的设备或算法的形式和细节上的各种省略、取代和改变。如可识别的，可在不提供本文中所阐述的所有特征和好处的形式内具体实现本文中所描述的某些实施方案，因为可独立于其他特征使用或者实践一些特征。本文中所公开的某些实施方案的范围由所附权利要求而不是由上述描述来指示。落入权利要求的等效物的意义和范围内的所有改变将被包含在它们的范围内。

可鉴于以下条款描述本公开的实施方案：

1.一种系统，所述系统包括：

路由服务系统，所述路由服务系统被配置成确定从网络中的一个计算设备到另一计算设备的路由；以及

包括一个或多个计算设备的应用服务器，所述应用服务器与多个内容递送网络通信并且被编程为实现：

网络接口，所述网络接口被配置成从用户设备接收用于经由与组织名称相关联的内容页面访问应用的请求，其中多个目录与所述组织名称相关联，并且其中所述多个目录中的每个目录位于多个区域中的单独的区域中，

其中所述网络接口还被配置成从所述用户设备接收用户凭证，其中所述用户凭证与所述多个目录中的第一目录相关联；以及

目录标识符模块，所述目录标识符模块被配置成基于存储在所述路由服务系统中的与所述组织名称相关联的数据在所述多个区域中确定所述第一目录位于的区域，

其中所述网络接口还被配置成将所述用户凭证发送到所述确定的区域中的服务以用于认证，以及

其中所述网络接口还被配置成从所述确定的区域中的所述服务接收所述认证的结果。

2.根据条款1所述的系统，其中所述确定的区域中的所述服务被配置成：

确定所述第一目录在所述确定的区域中的位置；以及

将所述用户凭证发送到所述第一目录在所述确定的区域中的所述位置。

3.根据条款1所述的系统，其中所述路由服务系统包括所述组织名称与域名系统(DNS)条目之间的映射。

4.根据条款3所述的系统，其中所述路由服务系统包括所述DNS条目与和所述服务通信的内容递送网络之间的映射。

5.根据条款1所述的系统，其中所述网络接口还被配置成从第二用户设备接收用于经由与所述组织名称相关联的所述内容页面访问所述应用的请求，并且其中所述网络接口还被配置成从所述第二用户设备接收第二用户凭证，并且其中所述第二用户凭证与所述多个目录中的第二目录相关联。

6.根据条款5所述的系统，其中所述目录标识符模块还被配置成基于存储在所述路由服务系统中的与所述组织名称相关联的所述数据在所述多个区域中确定所述第二目录位于的第二区域，并且其中所述网络接口还被配置成将所述第二用户凭证发送到所述确定的第二区域中的第二服务以用于认证。

7.根据条款1所述的系统，其中所述用户凭证包括由所述第一目录管理的用户名和口令。

8.根据条款1所述的系统，其中所述网络接口还被配置成将第二用户凭证发送到所述确定的区域中的所述服务以用于认证，并且其中所述网络接口还被配置成接收所述第二用户凭证的所述认证的结果。

9.一种针对管理一个或多个目录对管理员进行认证的计算机实现的方法，所述方法包括：

当由包括一个或多个计算设备的应用服务器实现时，所述应用服务器被配置有特定可执行指令，

从用户设备接收用于经由与组织名称相关联的内容页面访问应用的请求，其中多个目录与所述组织名称相关联，并且其中所述多个目录中的至少一些位于与其他的不同的地理区域中；

从所述用户设备接收用户凭证，其中所述用户凭证与所述多个目录中的第一目录相关联；

基于由网络路由服务提供的信息确定所述第一目录位于的第一地理区域；

将所述用户凭证发送到所述第一地理区域中的服务以用于利用所述第一目录进行认证；以及

从所述第一地理区域中的所述服务接收所述认证的结果。

10.根据条款9所述的计算机实现的方法，其中所述第一地理区域中的所述服务通过将所述用户凭证发送到所述第一目录在所述第一地理区域中的位置来确定所述认证的所述结果。

11.根据条款9所述的计算机实现的方法，其中所述网络路由服务提供所述组织名称与域名系统(DNS)条目之间的映射。

12.根据条款11所述的计算机实现的方法，其中所述网络路由服务还提供所述DNS条目与和所述第一地理区域中的所述服务通信的内容递送网络之间的映射。

13.根据条款12所述的计算机实现的方法，其中确定第一地理区域包括查询与所述DNS条目相关联的所述内容递送网络。

14.根据条款9所述的计算机实现的方法，其还包括：

从第二用户设备接收用于经由与所述组织名称相关联的所述内容页面访问所述应用的请求；以及

从所述第二用户设备接收第二用户凭证，其中所述第二用户凭证与所述多个目录中的第二目录相关联。

15.根据条款13所述的计算机实现的方法，其还包括：

基于由所述网络路由服务提供的信息确定所述第二目录位于的第二地理区域；以及

将所述第二用户凭证发送到所述第二地理区域中的第二服务以用于利用所述第二目录进行认证。

16.根据条款9所述的计算机实现的方法，其中所述用户凭证包括由所述第一目录管理的用户名和口令。

17.根据条款9所述的计算机实现的方法，其还包括：

将第二用户凭证发送到所述第一地理区域中的所述服务以用于利用所述第一目录进行认证；以及

从所述第一地理区域中的所述服务接收所述第二用户凭证的所述认证的结果。

18.一种包括非暂时性存储设备的非暂时性计算机存储系统，所述计算机存储系统已经在其上存储了可执行程序指令，所述可执行程序指令引导计算机系统以至少：

从用户设备接收用于经由与组织名称相关联的内容页面访问应用的请求，其中多个目录与所述组织名称相关联，并且其中所述多个目录中的至少一些位于与其他的不同的地理区域中；

从所述用户设备接收用户凭证，其中所述用户凭证与所述多个目录中的第一目录相关联；

基于由网络路由服务提供的信息确定所述第一目录位于的第一地理区域；以及

将所述用户凭证发送到所述第一目录以便确定所述用户凭证是否可被所述第一目录认证。

19.根据条款18所述的非暂时性计算机存储系统，其中所述可执行程序指令还引导所述计算机系统以至少：

经由所述第一地理区域中的服务将所述用户凭证发送到所述第一目录；以及

从所述第一地理区域中的所述服务接收所述认证的结果。

20.根据条款18所述的非暂时性计算机存储系统，其中所述网络路由服务提供所述组织名称与互联网协议(IP)地址的映射。

21.根据条款20所述的非暂时性计算机存储系统，其中所述网络路由服务还提供所述(IP)地址与内容递送网络的地址之间的映射。

22.根据条款21所述的非暂时性计算机存储系统，其中所述可执行程序指令还指导所述计算机系统以至少查询所述网络路由服务以标识所述内容递送网络的所述地址。

23.根据条款18所述的非暂时性计算机存储系统，其中所述可执行程序指令还引导所述计算机系统以至少：

从第二用户设备接收用于经由与所述组织名称相关联的所述内容页面访问所述应用的请求；

从所述第二用户设备接收第二用户凭证，其中所述第二用户凭证与所述多个目录中的第二目录相关联；

基于由所述网络路由服务提供的信息确定所述第二目录位于的第二地理区域；以及

将所述第二用户凭证发送到所述第二地理区域中的第二服务以便确定所述第二用户凭证是否可被所述第二目录认证。

24.根据条款18所述的非暂时性计算机存储系统，其中所述用户凭证包括由所述第一目录管理的用户名和口令。

根据条款18所述的非暂时性计算机存储系统，其中所述可执行程序指令还引导所述计算机系统以至少向所述第一目录发送第二用户凭证以便确定所述第二用户凭证是否可被所述第一目录认证。

Claims (15)

1.一种系统，所述系统包括：

路由服务系统，所述路由服务系统被配置成确定从网络中的一个计算设备到另一计算设备的路由；以及

包括一个或多个计算设备的应用服务器，所述应用服务器与多个内容递送网络通信并且被编程为实现：

网络接口，所述网络接口被配置成从用户设备接收用于经由与组织名称相关联的内容页面访问应用的请求，其中多个目录与所述组织名称相关联，并且其中所述多个目录中的每个目录位于多个区域中的单独的区域中，

其中所述网络接口还被配置成从所述用户设备接收用户凭证，其中所述用户凭证与所述多个目录中的第一目录相关联；以及

目录标识符模块，所述目录标识符模块被配置成基于存储在所述路由服务系统中的与所述组织名称相关联的数据在所述多个区域中确定所述第一目录位于的区域，

其中所述网络接口还被配置成将所述用户凭证发送到所述确定的区域中的服务以用于认证，以及

其中所述网络接口还被配置成从所述确定的区域中的所述服务接收所述认证的结果。

2.根据权利要求1所述的系统，其中所述确定的区域中的所述服务被配置成：

确定所述第一目录在所述确定的区域中的位置；以及

将所述用户凭证发送到所述第一目录在所述确定的区域中的所述位置。

3.根据权利要求1所述的系统，其中所述路由服务系统包括所述组织名称与域名系统(DNS)条目之间的映射。

4.根据权利要求3所述的系统，其中所述路由服务系统包括所述DNS条目与和所述服务通信的内容递送网络之间的映射。

5.根据权利要求1所述的系统，其中所述网络接口还被配置成从第二用户设备接收用于经由与所述组织名称相关联的所述内容页面访问所述应用的请求，并且其中所述网络接口还被配置成从所述第二用户设备接收第二用户凭证，并且其中所述第二用户凭证与所述多个目录中的第二目录相关联。

6.根据权利要求5所述的系统，其中所述目录标识符模块还被配置成基于存储在所述路由服务系统中的与所述组织名称相关联的所述数据在所述多个区域中确定所述第二目录位于的第二区域，并且其中所述网络接口还被配置成将所述第二用户凭证发送到所述确定的第二区域中的第二服务以用于认证。

7.根据权利要求1所述的系统，其中所述用户凭证包括由所述第一目录管理的用户名和口令。

8.根据权利要求1所述的系统，其中所述网络接口还被配置成将第二用户凭证发送到所述确定的区域中的所述服务以用于认证，并且其中所述网络接口还被配置成接收所述第二用户凭证的所述认证的结果。

9.一种针对管理一个或多个目录对管理员进行认证的计算机实现的方法，所述方法包括：

当由包括一个或多个计算设备的应用服务器实现时，所述应用服务器被配置有特定可执行指令，

从用户设备接收用于经由与组织名称相关联的内容页面访问应用的请求，其中多个目录与所述组织名称相关联，并且其中所述多个目录中的至少一些位于与其他的不同的地理区域中；

从所述用户设备接收用户凭证，其中所述用户凭证与所述多个目录中的第一目录相关联；

基于由网络路由服务提供的信息确定所述第一目录位于的第一地理区域；

将所述用户凭证发送到所述第一地理区域中的服务以用于利用所述第一目录进行认证；以及

从所述第一地理区域中的所述服务接收所述认证的结果。

10.根据权利要求9所述的计算机实现的方法，其中所述第一地理区域中的所述服务通过将所述用户凭证发送到所述第一目录在所述第一地理区域中的位置来确定所述认证的所述结果。

11.根据权利要求9所述的计算机实现的方法，其中所述网络路由服务提供所述组织名称与域名系统(DNS)条目之间的映射。

12.根据权利要求11所述的计算机实现的方法，其中所述网络路由服务还提供所述DNS条目与和所述第一地理区域中的所述服务通信的内容递送网络之间的映射。

13.根据权利要求9所述的计算机实现的方法，其还包括：

从第二用户设备接收用于经由与所述组织名称相关联的所述内容页面访问所述应用的请求；以及

从所述第二用户设备接收第二用户凭证，其中所述第二用户凭证与所述多个目录中的第二目录相关联。

14.根据权利要求13所述的计算机实现的方法，其还包括：

基于由所述网络路由服务提供的信息确定所述第二目录位于的第二地理区域；以及

将所述第二用户凭证发送到所述第二地理区域中的第二服务以用于利用所述第二目录进行认证。

15.根据权利要求9所述的计算机实现的方法，其还包括：

将第二用户凭证发送到所述第一地理区域中的所述服务以用于利用所述第一目录进行认证；以及

从所述第一地理区域中的所述服务接收所述第二用户凭证的所述认证的结果。