CN111164595A - 在企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法 - Google Patents

在企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法 Download PDF

Info

Publication number
CN111164595A
CN111164595A CN201880064361.9A CN201880064361A CN111164595A CN 111164595 A CN111164595 A CN 111164595A CN 201880064361 A CN201880064361 A CN 201880064361A CN 111164595 A CN111164595 A CN 111164595A
Authority
CN
China
Prior art keywords
enterprise
user
authentication token
user authentication
excess
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201880064361.9A
Other languages
English (en)
Inventor
雅科夫·费特尔松
阿斐·克雷策-卡泽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Varonis Systems Inc
Original Assignee
Varonis Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Varonis Systems Inc filed Critical Varonis Systems Inc
Publication of CN111164595A publication Critical patent/CN111164595A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

一种在企业计算机环境中用于防止超额用户认证令牌使用状况的系统,所述系统包括超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;群组成员资格估算器,对于每个所述企业用户,所述群组成员资格估算器可操作地用于估算将由一预期活动所创建的所述企业用户的额外群组成员资格的数量;及预期超额用户认证令牌使用状况警报器,在所述预计活动开始前可操作地用于若在所述预期活动能够被预期导致一超额用户认证令牌使用状况时提供一警报。

Description

在企业计算机环境中用于防止超额用户认证令牌使用状况的 系统及方法
技术领域
本发明涉及在一企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法。
背景技术
如本领域中所周知的,由
Figure BDA0002435374910000011
管理的企业计算机环境的每个企业用户都被分配一个用户认证令牌(user authentication token),所述令牌包含与以下内容有关的信息:企业用户为成员的多个用户群组。所述用户认证令牌尺寸(size)通常受到限制。因此,当授权用户的其他用户群组成员资格时,令牌中存储的信息可能会超出令牌的容量。这种情况称为“令牌膨胀(token bloat)”,通常会导致分配令牌的用户无法登录到企业网络。本发明提供了用于防止令牌膨胀的方法及系统。
发明内容
本发明提供一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统及方法。因此,根据本发明的优选实施例,提供在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统。所述系统包括:一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;一群组成员资格估算器,对于每个所述企业用户,所述群组成员资格估算器可操作地用于估算将由一预期活动所创建的所述企业用户的额外群组成员资格的数量;及一预期超额用户认证令牌使用状况警报器,在所述预计活动开始前可操作地用于若在所述预期活动能够被预期导致一超额用户认证令牌使用状况时提供一警报。
优选地,所述系统还包括一预期超额用户认证令牌使用状况防止器,可操作地用于若在所述预期活动能够被预期导致超额用户认证令牌使用状况时防止执行所述预期活动。
根据本发明的另一优选实施例,还提供一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;一群组成员资格估算器,对于每个所述企业用户可操作地用于估算将由一预期活动创建的所述企业用户的额外群组成员资格的数量;及一预期超额用户认证令牌使用状况防止器,可操作地用于若在所述预期活动能够被预期导致超额用户认证令牌使用状况时防止执行所述预期活动。
优选地,所述系统还包括:一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;一群组成员资格估算器,对于每个所述企业用户可操作地用于估算将由一预期活动创建的所述企业用户的额外群组成员资格的数量;及一预期超额用户认证令牌使用状况防止器,可操作地用于在所述预期活动能够被预期导致一超额用户认证令牌使用状况的情况下,修改所述预期活动,以确保执行修改活动不能被预期导致一超额用户认证令牌使用状况。
根据本发明的又一优选实施例,还提供一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;一群组成员资格估算器,对于每个所述企业用户可操作地用于:估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;及在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及一预期超额用户认证令牌使用状况警报器,可操作地用于若所述另一预期活动能够被预期导致一超额用户认证使用状况时提供一警报,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
优选地,所述范围涵盖在所述企业计算机环境中的所有网络对象。优选地,所述系统还包括一预期超额用户认证令牌使用状况防止器,可操作地用于若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
根据本发明的又一优选实施例,还提供一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;一群组成员资格估算器,对于每个所述企业用户可操作地用于:估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;及在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及一预期超额用户认证令牌使用状况防止器,可操作地用于若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
根据本发明的又一优选实施例,还提供一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;一群组成员资格估算器,对于每个所述企业用户可操作地用于:估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;及在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及一预期超额用户认证令牌使用状况防止器,可操作地用于在所述另一预期活动能够被预期导致一超额用户认证令牌使用状况的情况下,修改所述第一预期活动,以确保所述另一预期活动不能被预期导致一超额用户认证令牌使用状况,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
根据本发明的又一优选实施例,还提供一种用户认证令牌尺寸计算器件,包括:一用户群组确定器,可操作地用于确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;一群组标识符尺寸确定器,可操作地用于确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及一用户认证令牌尺寸计算器,可操作地用于总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸。
优选地,所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个被配置用于间歇性操作。
附加或替代地,所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个可操作地响应于群组成员资格更改事件。附加或替代地,所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个被配置用于周期性操作。附加或替代地,所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个被配置用于预定性操作。
根据本发明的又一优选实施例,还提供一种超额用户认证令牌使用状况的预测器件,包括:一用户认证令牌尺寸计算器,可操作地用于计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;一有效用户认证令牌尺寸计算器,可操作地用于基于所述当前用户认证令牌尺寸,计算每个企业用户的当前的一有效用户认证令牌尺寸;一平均群组标识符尺寸计算器,可操作地用于计算在所述企业计算机环境中多个用户群组的一平均群组标识符尺寸;及一超额用户认证令牌使用状况计算器,可操作地用于基于所述有效用户认证令牌尺寸及所述平均群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
优选地,所述超额用户认证令牌使用状况的预测器件还包括一警报提供器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。优选地,所述超额用户认证令牌使用状况的预测器件还包括一修复进程启动器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户启动一修复进程。
根据本发明的又一优选实施例,还提供一种超额用户认证令牌使用状况的预测器件,包括:一用户认证令牌尺寸计算器,可操作地用于计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;一有效用户认证令牌尺寸计算器,可操作地用于基于所述当前用户认证令牌尺寸,从所述当前用户认证令牌尺寸计算每个企业用户的当前的一有效用户认证令牌尺寸;一最大群组标识符尺寸计算器,可操作地用于计算在所述企业计算机环境中多个用户群组的一最大群组标识符尺寸;及一超额用户认证令牌使用状况计算器,可操作地用于基于所述有效用户认证令牌尺寸及所述最大群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
优选地,所述超额用户认证令牌使用状况的预测器件还包括一警报提供器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。优选地,所述超额用户认证令牌使用状况的预测器件还包括一修复进程启动器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户启动一修复进程。
根据本发明的又一优选实施例,还提供一种修复进程启动器,包括以下至少一项:一群组成员资格过剩消除器,可操作地用于消除所述企业成员资格的过剩群组成员资格;一群组成员资格缩减器,可操作地用于以下至少一项:以较少的多个群组成员资格替换至少多个现有群组成员资格;以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及一访问权限修改器,可操作地用于在所述企业计算机环境内改变访问权限,以减少现有群组成员资格的数量。
优选地,所述群组成员资格过剩消除器、所述群组成员资格缩减器及所述访问权限修改器的至少一个被配置用于自动操作。附加或替代地,所述群组成员资格过剩消除器、所述群组成员资格缩减器及所述访问权限修改器的至少一个可操作地响应于一授权用户发布的一指令。
根据本发明的又一优选实施例,还提供一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括:计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;对于每个企业用户,估算由一预期活动创建所述企业用户的额外群组成员资格的数量;及在所述预期活动开始前,若在所述预期活动能够被预期导致一超额用户认证令牌使用状况时提供一警报。
优选地,所述还包括若所述预期活动能够被预期导致一超额用户认证令牌使用状况时防止执行所述预期活动。
根据本发明的又一优选实施例,还提供一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括:计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;对于每个企业用户,估算由一预期活动创建所述企业用户的额外群组成员资格的数量;及若所述预期活动能够被预期导致一超额用户认证令牌使用状况时防止执行所述预期活动。
根据本发明的又一优选实施例,还提供一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括:计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;对于每个企业用户,估算由一预期活动创建所述企业用户的额外群组成员资格的数量;若所述预期活动能够被预期导致一超额用户认证令牌使用状况时修改所述预期活动,以确保执行修改活动不能被预期导致一超额用户认证令牌使用状况。
根据本发明的又一优选实施例,还提供一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括:计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;对于每个企业用户,估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及若所述另一预期活动能够被预期导致一超额用户认证使用状况时提供一警报,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
优选地,所述范围涵盖在所述企业计算机环境中的所有网络对象。
优选地,所述方法还包括:若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
根据本发明的又一优选实施例,还提供一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括:计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;对于每个企业用户,估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
根据本发明的又一优选实施例,还提供一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括:计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;对于每个企业用户,估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及若所述另一预期活动能够被预期导致一超额用户认证使用状况时修改所述第一预期活动,以确保所述另一预期活动不能被预期导致一超额用户认证令牌使用状况,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
根据本发明的又一优选实施例,还提供一种用于计算在一企业计算机环境中对于多个企业用户的当前用户认证令牌尺寸的方法,所述方法包括:确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸。
优选地,所述的至少一项:确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为间歇性进行。附加或替代地,所述的至少一项:确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为响应于群组成员资格更改事件而进行。
附加或替代地,所述的至少一项:确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为周期性进行。附加或替代地,所述的至少一项:确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为预定性进行。
根据本发明的又一优选实施例,还提供一种用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,所述方法包括:计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;基于所述当前用户认证令牌尺寸,计算每个企业用户的的一当前有效用户认证令牌尺寸;计算在所述企业计算机环境中多个用户群组的一平均群组标识符尺寸;及基于所述有效用户认证令牌尺寸及所述平均群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
优选地,所述方法还包括在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。所述方法还包括在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户自动启动一修复进程。
根据本发明的又一优选实施例,还提供一种用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,所述方法包括:计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;基于所述当前用户认证令牌尺寸,从所述当前用户认证令牌尺寸计算每个企业用户的当前的一有效用户认证令牌尺寸;计算在所述企业计算机环境中多个用户群组的一最大群组标识符尺寸;及基于所述有效用户认证令牌尺寸及所述最大群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
优选地,所述方法还包括在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。优选地,所述方法还包括在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户自动启动一修复进程。
根据本发明的又一优选实施例,还提供一种用于修复在一企业计算机环境中的一企业用户的一用户认证令牌的尺寸的方法,所述方法包括:消除所述企业成员资格的过剩群组成员资格;以较少的多个群组成员资格替换至少多个现有群组成员资格;以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及在所述企业计算机环境内改变访问权限,以减少现有群组成员资格的数量。
优选地,所述的至少一项:消除所述企业成员资格的过剩群组成员资格;以较少的多个群组成员资格替换至少多个现有群组成员资格;以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及在所述企业计算机环境内改变访问权限以减少现有群组成员资格的数量是自动进行。附加或替代地,所述的至少一项:消除所述企业成员资格的过剩群组成员资格;以较少的多个群组成员资格替换至少多个现有群组成员资格;以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及在所述企业计算机环境内改变访问权限以减少现有群组成员资格的数量是响应于一授权用户发布的一指令而进行。
附图说明
下面将参照附图进一步详细描述本发明,其中:
图1A-1D一起显示根据本发明的一优选实施例在企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法的操作步骤的可操作简化图示说明。
图2A及2B显示根据本发明的优选实施例在确定企业计算机环境中用于是否将出现超额用户认证令牌使用状况的系统及方法的操作步骤的简化流程图。
图3是显示根据本发明的优选实施例在企业计算机环境中用于计算企业用户的当前用户认证令牌尺寸的系统及方法的操作的步骤简化流程图。
图4是显示根据本发明的优选实施例在企业计算机环境中用于修复企业用户的用户认证令牌尺寸的系统及方法的操作步骤的简化图示说明。
图5A-5E是显示在图4所示的步骤之后,在企业计算机环境中用于修复企业用户的用户认证令牌尺寸的系统及方法的操作步骤示例的简化图示说明。
图6A-6E是显示执行图4和图5A-5E的示例步骤的简化流程图。
图7A是在企业计算机环境中用于防止图1A-6E的示例采用额外用户认证令牌使用状况的系统的简化框图。
图7B及7C是作为图7A的系统的一部分的额外用户认证令牌使用状况预测器件的替代实施例的简化框图,所述预测器。
图7D是作为图7B及7C的系统的一部分的用户认证令牌尺寸计算器的简化框图。
图7E是作为图7B和7C的系统的一部分修复进程启动器的简化框图。
具体实施方式
现在参考图1A-1D简化图示说明,显示根据本发明的优选实施例操作在企业计算机环境中用于防止额外用户认证令牌(user authentication tokens)使用状况的方法的执行步骤。
图1A-1D的所述方法优选包括:
计算每个企业用户的额外组成员资格的数量,这些数量被预期导致超额用户认证令牌使用状况;
对于每个企业用户,估计将由预期活动创建的企业用户的其他组成员资格;在启动预期活动之前,如果预期活动可导致超额用户认证令牌使用状况,则发出警报。
可以理解的是,附加或可替代地,所述方法可以包括如果预期活动能够被预期导致超额用户认证令牌使用状况,则防止所述预期活动的执行。
还应当理解的是,附加地或替代地,如果预期活动可以预期导致超额用户认证令牌使用状况,则所述方法可以包括修改预期活动,从而确保不会被预期执行修改后的活动会导致超额用户认证令牌使用状况。
图1A及1B显示经历令牌膨胀状况的企业用户示例。如上所述,优选地,由
Figure BDA0002435374910000131
Active
Figure BDA0002435374910000132
管理的企业计算机域的每个企业用户被分配一个用户认证令牌,所述用户认证令牌包含尤其与企业用户是其成员的多个用户组有关的信息。所述用户资格认证令牌在尺寸(size)上通常受到限制。
因此,当授权用户的其他用户群组的成员资格时,令牌中存储的信息可能会超出令牌的容量。对于本申请的目的,这种情况被称为“令牌膨胀”,通常导致分配了令牌的用户无法登录到企业网络。
首先参照图1A,显示企业网络用户弗兰克收到如来自网络资科管理员(ITAdministrator)的通知。已被授予新企业用户群组,即销售欧盟群组的群组成员资格。此后不久,弗兰克尝试登录企业网络,但是被拒绝访问企业网络,并将问题报告给资科管理员。
图1B显示企业网络用户经历令牌膨胀的情况的替代示例。如图1B所示,企业网络的资科管理员执行一群组成员资格修复(remediation)进程。群组成员资格修复进程可以是诸如在美国公开专利申请第2011/0296490号中描述的修复进程,所述进程由受让人拥有并且通过引用并入本文。作为群组成员资格修复进程的一部分,企业网络中至少一个用户的群组成员资格将替换为其他群组成员资格,替代群组成员资格可提供对企业网络中驻留的网络对象的连续访问权,以及用户过去曾访问过的网络对象,同时撤销对其他网络对象的访问权限,用户历史上没有访问过的内容。修复进过程的范围通常包含企业网络中驻留的所有网络对象。
为了本申请的目的,用语“网络对象(network object)”被定义为包括企业计算机网络资源。网络对象的示例包括结构化和非结构化计算机数据资源,例如文件和文件夹,不同的用户和用户群组。
如图1B所示,资科管理员在晚上22:00启动群组成员资格修复进程。如图1B进一步所示,企业网络用户丹(Dan)于第二天早上到达办公室并尝试登录企业网络。但是,丹被拒绝访问企业网络,并将问题报告给资科管理员。
图1C显示针对图1B的令牌膨胀状况的解决方案的一个示例。如图1C所示,在为特定用户执行群组成员资格修复进程之前,作为群组成员资格修复进程的结果,本发明的系统计算要存储在分配给特定用户的用户认证令牌中的预期信息量。确定要存储在令牌中的信息将超额令牌的容量后,所述系统最好向资科管理员警告潜在的令牌膨胀情况,并且建议限制群组成员资格修复进程的深度,以最小化由于群组成员资格修复进程而要添加到用户认证令牌的群组成员资格信息的数量。然后,优选地提示资科管理员指示是按照资科管理员最初的请求继续进行成员资格修复进程,还是接受系统的建议并限制群组成员资格修复进程的深度。
应当理解的是,限制群组成员资格修复进程的深度通常会导致较少的新群组成员资格被授权用户,并且因此,减少由于群组成员资格修复进程而添加到用户认证令牌群组成员资格信息的数量。
还应当理解的是,可替换地,在确定要存储在令牌中的信息将超额令牌的容量时,本发明的系统可以防止针对特定用户执行群组成员资格修复进程。
图1D显示针对图1B的令牌膨胀状况的解决方案的另一示例。如图1D所示,资科管理员预期令牌膨胀的可能情况,最初执行有限的群组成员资格修复进过程。在从本发明的系统接收到确认,即有限群组成员资格修复进程的执行没有产生令牌膨胀的条件后,资科管理员然后执行完整的群组成员资格修复进程。
然而,应当理解的是,尽管成功执行有限群组成员资格修复而不产生令牌膨胀的条件可能表示执行完整群组成员资格修复进程的潜在后续成功,但不能成功执行完整群组成员资格修复进程。保证并可能最终导致令牌膨胀的状况,如图1D所示。如图1A-1D的方法,因此最好还包括如果可以预期执行完整的群组成员资格修复进程导致超额用户认证令牌使用状况,则提供警报,即使不能被预期执行受限群组成员资格修复进程导致超额用户认证令牌使用状况,所述警报也类似于参照图1C描述的警报。
另外,所述方法还可以包括如果被预期执行完整的群组成员资格修复进程导致超额用户认证令牌使用状况,则防止执行受限的群组成员资格修复。
此外,所述方法还可以包括如果被预期执行完整的群组成员资格修复进程会导致超额用户认证令牌使用情况,则修改受限群组成员资格修复进程的执行,因此,即使不能被预期有限的群组成员资格修复进程导致超额用户认证令牌使用状况,也可以确保进一步的完整群组成员资格修复进程不会导致超额用户认证令牌使用状况。
现在参考图2A及2B,是简化流程图,显示根据本发明的优选实施例操作在企业计算机环境中用于确定是否即将出现超额用户认证令牌使用状况的方法的步骤。
如图2A所示,在企业计算机环境中用于确定是否即将出现超额用户认证令牌使用状况的第一方法,最初包括企业计算机环境中计算每个企业用户的当前令牌尺寸(200)。下面将参照图3描述用于计算企业用户的当前令牌尺寸的方法。
所述方法还优选地包括基于当前令牌尺寸来计算每个企业用户的当前有效令牌尺寸(202)。之后,所述方法优选包括在企业计算机环境中计算多个用户群组的平均群组标识符尺寸(204),并且基于有效令牌尺寸和平均群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,这些额外成员资格被预期导致超额用户认证令牌使用状况(206)。
优选地,所述方法还包括在用户达到超额用户认证令牌使用状况之前,针对每个企业用户提供警报(208)。
附加地或替代地,所述方法还包括在用户达到超额用户认证令牌使用状况之前,为每个企业用户自动启动修复进程(209)。如上所述,修复进程可以是例如在受让人所有并通过引用并入本文的美国公开专利申请第2011/0296490号中所述的修复进程。作为修复进程的一部分,企业网络用户的群组成员资格将替换为其他群组成员资格,替代群组成员资格可提供对企业网络中驻留的网络对象的连续访问,以及用户过去曾访问过的网络对象,同时撤销对用户历史上未访问过的其他网络对象的访问权限。因此,修复进程可用于减少用户是其成员的群组的数量,从而减小用户的当前令牌尺寸。
现在转到图2B,显示在企业计算机环境中用于确定是否即将出现超额用户认证令牌使用状况的第二种方法,所述方法最初包括在企业计算机环境中计算企业用户的当前令牌尺寸(210)。下面将参照图3描述用于计算企业用户的当前令牌尺寸的方法。
所述方法还优选地包括基于当前令牌尺寸来计算每个企业用户的当前有效令牌尺寸(212)。
之后,所述方法优选包括在业计算机环境中计算企多个用户组的最大群组标识符尺寸(214),并且基于可用令牌尺寸和最大群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,这些额外成员资格被预期导致超额用户认证令牌使用状况(216)。
优选地,所述方法还包括在用户达到超额用户认证令牌使用状况之前,针对每个企业用户提供警报(218)。
附加地或替代地,所述方法还包括在用户达到超额用户认证令牌使用状况之前,为每个企业用户自动启动修复进程(219)。如上所述,修复进程可以是例如在受让人所有并通过引用并入本文的美国公开专利申请第2011/0296490号中所述的修复进程。作为修复进程的一部分,企业网络用户的群组成员资格将替换为备用群组成员资格,所述备用群组成员资格可提供对位于企业网络上的网络对象的连续访问,并且用户过去曾访问过该群组对象,同时撤销对其他网络对象的访问权限,而这些访问对象是用户过去从未访问过的。因此,修复进程可用于减少用户是其成员的群组的数量,从而减小用户的当前令牌尺寸。
现在参考图3,是简化流程图,显示根据本发明的优选实施例操作在企业计算机环境中执行用于为企业用户计算当前令牌尺寸的方法的步骤。
如图3所示,所述方法优选地包括针对企业用户确定企业用户是其成员的用户群组(300)。之后,所述方法包括确定企业用户是其成员的每个用户群组的群组标识符尺寸(302),以及对企业用户是其成员的每个用户群组的群组标识符尺寸加总,以得出企业用户的当前令牌尺寸(304)。
应当理解的是,图3的方法可以间歇地、周期性地或在预定的基础上执行。附加或替代地,可以响应于群组成员资格改变事件而执行所述方法。
现在参考图4,1是简化图示说明,显示根据本发明的优选实施例操作在企业计算机环境中用于修复企业用户的用户认证令牌尺寸的方法的执行的步骤,以及参照图5A-5E,是简化图示说明,显示根据本发明的优选实施例操作在企业计算机环境中用于修复企业用户的用户认证令牌尺寸的方法的执行的步骤,以及进一步执行图4所示的步骤。
如图4所示,本发明的系统优选地在企业计算机环境中连续计算所有用户的当前用户认证令牌尺寸。如上所述,可以理解的是,随着群组成员资格从任何给定用户的用户认证令牌中添加或移除,用户认证令牌尺寸通常随时间而变化。上面参考图3描述可以计算当前用户认证令牌尺寸的方法。
如图4进一步所示,系统连续地确定对于任何给定用户而言是否即将出现超额用户认证令牌使用状况。上文参考图2A和2B描述了一种方法,通过所述方法的系统可以确定对于任何给定用户来说是否即将出现超额用户认证令牌使用状况。
在确定对于一个或多个给定的企业用户来说,即将有超额用户认证令牌使用状况时,所述系统优选地提醒企业网络的资科管理员对于那些给定的企业用户即将有超额用户认证令牌使用状况,并且最好提示资科管理员修正每个企业用户的用户认证令牌尺寸,或者,系统可以自动执行修复进程,而无需提示资科管理员。
在选择修复(remediate)用户认证令牌的尺寸之后,向资科管理员提供一系列可供选择的选项,每个可选的选项都可用于修复用户认证令牌的尺寸。
可选的选项可能包括,例如:
消除企业用户的过剩群组成员资格;
用较少的多个群组成员替换多个现有群组成员;
将具有第一尺寸群组标识符的现有群组成员替换为具有小于第一尺寸的第二尺寸的群组标识符的群组成员;
基于企业用户与附加用户之间的相似度,从企业用户中删除现有的群组成员资格,所述相似度基于企业用户与附加用户的实际访问的相似度;并在企业计算机环境中更改访问权限,以减少现有群组成员资格的数量。
下文在图5A-5E的相应一个中描述了根据上述每个可选的选项的用户认证令牌尺寸的修复。应当理解的是,在以下每个示例中,可以提示资科管理员在实际执行所选修复选项之前批准或确认所选修复选项的执行。
如图5A的示例所示,在收到有关给定企业用户迫切的超额用户认证令牌使用状况的警报后,资科管理员选择一个修复选项,其中包括删除给定企业用户的过剩群组成员资格。应当理解的是,给定的企业用户可以是多个群组成员,其中每个群组成员资格授权对一个或多个特定网络对象过剩访问权限。在删除给定企业用户的过剩群组成员资格之后,企业用户优选地保留对特定网络对象的访问,同时减少其作为成员的群组的数量。应当理解的是,通过减少给定用户的群组成员资格的数量,较少数量的群组标识符被存储在分配给给定用户认证令牌中,从而防止了超额用户认证令牌使用状况。
现在如图5B的示例,当收到关于给定企业用户迫切的超额用户认证令牌使用状况的警报时,资科管理员选择一种修复选项,其中包括用较少的多个群组成员资格替换给定企业用户的多个现有群组成员资格。可以理解的是,给定的企业用户可以是多个群组的成员,多个群组的组合将给定的企业用户授权对多个网络对象的访问权限。在激活图5B所示的修复选项后,给定企业用户的多个现有群组成员资格最好替换为较少的多个群组成员资格,较少的多个群组成员资格提供对一组网络对象的访问权限,访问权限与多个现有群组成员资格提供给定企业用户的访问权限相同。应当理解的是,通过减少给定用户的群组成员资格的数量,较少数量的群组标识符被存储在分配至给定用户认证令牌中,从而防止超额用户认证令牌使用状况。
进一步转到图5C的示例,当收到关于给定企业用户迫切超额用户认证令牌使用状况的警报时,资科管理员选择一种修复选项,所述方法包括将给定用户的现有成员资格替换为具有第一尺寸的群组标识符的群组,并将其替换为具有第二尺寸的群组标识符的群组的成员资格,小于第一尺寸的群组成员资格具有第二个尺寸的群组标识符,所述群组标识符提供对一组网络对象的访问权限,访问权限与现有群组成员资格提供给给定企业用户的访问权限相同。如上所述,为每个企业用户分配一个认证令牌,所述认证令牌尺寸受到限制,并且对于所述用户是其成员的每个群组,所述认证令牌包括群组标识符。在激活图5C所示的修复选项时,将存储在分配给用户的认证令牌中的群组标识符替换为较小尺寸的群组标识符,从而修复用户认证令牌尺寸并防止超额用户认证令牌使用状况。
在图5D所示的示例中,一旦收到有关给定企业用户即将出现超额用户认证令牌使用状况的警报,资科管理员选择一个修复选项,其中包括从企业用户中删除现有的群组成员资格,基于企业用户与附加用户之间的相似度,所述相似度基于企业用户与附加用户的实际访问的相似度。
应当理解的是,企业用户和附加用户之间的实际访问的相似性通常指示授权附加用户的访问权限将向企业用户授权访问权限,足以实际访问企业用户过去访问过的网络对象。因此,应当理解的是,一旦检测到实际访问的这种相似性,就可以从给定的企业用户中删除现有的群组成员资格,而不会中断对企业用户过去访问过的网络对象的访问。通过删除现有的群组成员资格,相应的群组标识符将从分配给给定企业用户的认证令牌中删除,从而修复用户认证令牌尺寸并防止了超额用户认证令牌使用状况。
在图5E所示的示例中,一旦收到有关给定企业用户即将出现额外用户认证令牌使用状况的警报,资科管理员选择一种修复选项,其中包括在企业计算机环境中更改访问权限,以减少现有组成员资格的数量。应当理解的是,通常,通过将给定企业用户成员资格授权对给定网络对象访问权限的用户群组,来向给定企业用户提供对任何给定网络对象的访问权限。因此,应当理解的是,例如,减少给定企业用户应具有的访问权限的网络对象的数量通常将允许减少给定企业用户是其成员的用户群组的数量。
现在参考图6A-6E,是简化流程图,显示执行图4和5A-5E的示例中的步骤。
如图6A所示以及在图4所示的示例中,本发明的系统优选地在企业计算机环境中连续计算的所有用户的当前用户认证令牌尺寸(600)。如上所述,可以理解的是,随着群组成员资格从任何给定用户的用户认证令牌中添加或移除,用户认证令牌尺寸通常随时间而变化。上面参考图3描述可以计算当前用户认证令牌尺寸的方法。
如图6A进一步所示,系统连续地确定对于任何给定用户来说是否即将出现额外用户认证令牌使用状况(602)。上文参考图2A和2B描述一种方法,通过所述方法的系统可以确定对于任何给定用户来说是否即将出现超额用户认证令牌使用状况。
在确定对于给定的企业用户迫切超额用户认证令牌使用状况时,系统优选地提醒企业网络的资科管理员对于给定的企业用户迫切的超额用户认证令牌使用状况(606),并且优选地,提示资科管理员修复给定企业用户的用户认证令牌尺寸(608)。作为反馈,如图5A的示例所示,资科管理员消除给定企业用户的过剩群组成员资格(610)。应当理解的是,给定的企业用户可以是多个群组的成员,其中每个群组的成员资格授权对一个或多个特定网络对象的过剩访问权限。在消除给定企业用户的过剩群组成员资格之后,企业用户优选地保留对特定网络对象的访问,同时减少其作为成员的群组的数量。应当理解的是,通过减少给定用户的群组成员资格的数量,较少数量的群组标识符被存储在分配给给定用户的认证令牌中,从而防止了超额用户认证令牌使用状况。
现在转向图6B的示例,显示本发明的系统优选地在企业计算机环境连续计算所有用户的当前用户认证令牌尺寸(620),如图4所示。如上所述,可以理解的是,随着群组成员资格从任何给定用户的用户认证令牌中添加或移除,用户认证令牌尺寸通常随时间而变化。上面参考图3描述可以计算当前用户认证令牌尺寸的方法。
如图6B进一步所示,系统连续地确定对于任何给定用户来说是否即将出现超额用户认证令牌使用状况(622)。上文参考图2A和2B描述一种方法,通过所述方法的系统可以确定对于任何给定用户来说是否即将出现超额用户认证令牌使用状况。
确定给定的企业用户迫切的是超额用户资格验证令牌使用状况时,所述系统优选地向企业网络的资科管理员警告对于给定的企业用户而言即将出现超额用户认证令牌使用状况(626),并且优选地,提示资科管理员修复给定企业用户的用户认证令牌尺寸(628)。作为反馈,如图5B的示例所示,资科管理员用较少的多个群组成员资格替换给定企业用户的多个现有群组成员资格(630),提供对一组网络对象的访问权限的访问权限与由多个现有群组成员提供给给定企业用户的访问权限相同的群组权限中的较少者。应当理解的是,通过减少给定用户的群组成员资格的数量,较少数量的群组标识符被存储在分配给给定用户的认证令牌中,从而防止超额用户认证令牌使用状况。
现在转到图6C的示例,显示本发明的系统优选地在企业计算机环境连续地计算所有用户的当前用户认证令牌尺寸(640),如图4所示。如上所述,可以理解的是,随着群组成员资格从任何给定用户的用户认证令牌中添加或移除,用户认证令牌尺寸通常随时间而变化。上面参考图3描述可以计算当前用户认证令牌尺寸的方法。
如图6C进一步所示,系统连续地确定对于任何给定用户来说是否即将出现超额用户认证令牌使用状况(642)。上文参考图2A和2B描述一种方法,通过所述方法的系统可以确定对于任何给定用户来说是否即将出现额外用户认证令牌使用状况。
在确定对于给定的企业用户迫切的超额用户认证令牌使用状况时,所述系统优选地提醒企业网络的资科管理员对于给定的企业用户迫切的超额用户认证令牌使用资科(646),并且优选地,提示资科管理员修复给定企业用户的用户认证令牌尺寸(648)。作为反馈,如图5C的示例中所示,资科管理员将给定用户的现有成员资格替换为给定群组,所述给定群组具有第一尺寸的群组标识符,而给具有第二个尺寸的标识符群组的群组的成员资格,小于第一个尺寸(650),其中具有第二尺寸的群组标识符的群组的成员资格提供对一组网络对象的访问许可,所述访问对象的权限与现有群组成员资格提供给给定企业用户的访问权限相同,从而修正用户认证令牌尺寸,并且防止超额用户认证令牌使用状况。
现在转到图6D的示例,显示本发明的系统优选地在企业计算机环境中连续计算所有用户的当前用户认证令牌尺寸(660),如图4所示。如上所述,可以理解的是,随着群组成员资格从任何给定用户的用户认证令牌中添加或移除,用户认证令牌尺寸通常随时间而变化。上面参考图3描述了可以计算当前用户认证令牌尺寸的方法。
如图6D进一步所示,系统连续地确定对于任何给定用户而言是否即将出现超额用户认证令牌使用状况(662)。上文参考图2A和2B描述一种方法,通过所述方法的系统可以确定对于任何给定用户来说是否即将出现超额用户认证令牌使用状况。
在确定对于给定的企业用户迫切的超额用户认证令牌使用状况时,系统优选地提醒企业网络的资科管理员对于给定的企业用户迫切的超额用户认证令牌使用状况(666),并且最好提示资科管理员修改给定企业用户的用户认证令牌尺寸(668)。作为反馈,如图5D的示例所示,资科管理员从给定的企业用户中删除现有群组成员资格(670),基于给定企业用户和附加用户之间的相似性,所述相似性基于企业用户和附加用户的实际访问的相似性。应当理解的是,企业用户和附加用户之间的实际访问的相似性通常指示授权附加用户的访问权限将向企业用户授予访问权限,足以实际访问企业用户过去访问过的网络对象。因此,应当理解的是,一旦检测到实际访问的这种相似性,就可以从给定的企业用户中删除现有群组成员资格,而不会中断对企业用户过去访问过的网络对象的访问。通过删除现有群成员资格,相应群组标识符将从分配至给定企业用户认证令牌中删除,从而修复用户认证令牌尺寸并防止了超额用户认证令牌使用状况。
现在转到图6E的示例,显示本发明的系统优选地在企业计算机环境中连续计算所有用户的当前用户认证令牌尺寸(680),如图4所示。如上所述,可以理解的是,随着群组成员资格从任何给定用户的用户认证令牌中添加或移除,用户认证令牌尺寸通常随时间而变化。上面参考图3描述可以计算当前用户认证令牌尺寸的方法。
如图6E中进一步所示,系统连续地确定对于任何给定用户而言是否即将出现超额用户认证令牌使用状况(682)。上文参考图2A和2B描述一种方法,通过所述方法的系统可以确定对于任何给定用户来说是否即将出现超额用户认证令牌使用状况。
在确定对于给定的企业用户迫切的超额用户认证令牌使用状况时,所述系统优选地提醒企业网络的资科管理员对于给定的企业用户迫切的超额用户认证令牌使用状况(686),以及最好提示资科管理员修改给定企业用户的用户认证令牌尺寸(688)。作为反馈,如图5E的示例所示,资科管理员更改企业计算机环境内的访问权限,以减少现有群组成员资格的数量。应当理解的是,通常,通过将给定企业用户成员资格授权对给定网络对象访问权限的用户群组,来向给定企业用户提供对任何给定网络对象的访问权限。因此,应当理解的是,例如,减少给定企业用户应具有的访问权限的网络对象的数量通常将允许减少给定企业用户是其成员的用户群组的数量。
现在参考图7A,是在企业计算机环境中用于防止在图1A-6E的示例中采用超额用户认证令牌使用状况的系统的简化框图。
如图7A所示,图7A至图7B的系统700可以优选地包括:超额用户认证令牌使用状况预测器702,其可用于计算每个企业用户的额外组成员资格的数量,及可能会导致超额用户认证令牌使用状况。所述系统700还优选地包括群组成员资格估算器704,所述群组成员资格估算器704可为每个企业用户操作,以估算将由预期活动创建的企业用户的附加群组成员的数量,以及预期超额用户认证令牌使用状况警报器706,与超额用户认证令牌使用状况预测器702以及群组成员资格估算器704进行通信连接并且操作,在启动预期活动之前,用于如果预期活动会导致超额用户资格验证令牌使用状况,则提供警报。
应当理解的是,附加或替代地,所述系统700还可包括预期超额用户认证令牌使用状况防止器708,与超额用户认证令牌使用状况预测器702及群组成员资格估算器704进行通信连接,并且如果预期活动可以被预期导致超额用户认证令牌使用状况,则可用于防止预期活动的执行。
还应理解的是,另外或替代地,被预期超额用户认证令牌使用状况防止器708也可以是可操作的,在可以预期活动被预期导致超额用户认证令牌使用状况的情况下,用于修改预期活动,以确保不能被预期执行修改后的活动导致超额用户认证令牌使用状况。
还应当理解的是,群组成员资格估算器704也可以是可操作的,在启动第一范围的第一预期活动之前,用于估算将由具有与第一范围不同且不重叠的第二范围的另一预期活动创建的所述企业用户的多个附加组成员,并且如果可以预期进一步的预期活动会导致超额用户认证令牌使用状况,则被预期超额用户认证令牌使用状况警报器706还可用于提供警报,即使被预期第一预期活动不能导致超额用户认证令牌使用状况。
另外,如果可以预期进一步的预期活动导致超额用户认证令牌使用状况,则预期超额用户认证令牌使用状况防止器708也可以用于防止执行第一预期活动,即使被预期第一预期活动不能导致超额用户认证令牌使用状况。
可替代地,预期超额用户认证令牌使用状况防止器708可以用于修改第一预期活动,以确保被预期进一步的预期活动不会导致超额用户资格验证令牌使用状况,即使被预期第一预期活动不能导致超额用户认证令牌使用状况。
现在参考图7B和7C,是作为图7A的系统的一部分超额用户认证令牌使用状况预测器的替代实施例的简化框图。
如图7B所示,超额用户认证令牌使用状况预测器702优选地包括用户认证令牌尺寸计算器710,其可用于计算企业计算机环境中每个企业用户的当前用户认证令牌尺寸。所述超额用户认证令牌使用状况预测器702优选地还包括有效用户认证令牌尺寸计算器712,与用户认证令牌尺寸计算器710通信连接,并且可操作用于基于当前用户认证令牌尺寸为每个企业用户计算当前有效用户认证令牌尺寸,以及平均群组标识符尺寸计算器714,用于计算在企业计算机环境中多个用户群组的平均组标识符尺寸。超额用户认证令牌使用状况计算器716优选地可操作在基于有效用户认证令牌尺寸计算器712计算出的可用用户认证令牌尺寸以及平均群组标识符尺寸计算器714计算出的平均群组标识符尺寸,用于计算每个企业用户的其他附加群组成员资格的数量,这些附加成员资格被预期导致超额用户认证令牌使用状况。
所述超额用户认证令牌使用状况预测器702还可包括警报提供器718,其与超额用户认证令牌使用状况计算器716通信连接,并且可操作用于在用户达到超额用户认证令牌使用状况之前针对每个企业用户提供警报。
所述超额用户认证令牌使用状况预测器702还可以包括修复进程启动器719,其与超额用户认证令牌使用状况计算器716通信连接,并且可操作用于在用户达到超额用户认证令牌使用状况之前针对每个企业用户启动修复进程。如上所述,修复进程可以是例如在受让人所有并通过引用并入本文的美国公开专利申请第2011/0296490号中所述的修复进程。作为修复进程的一部分,企业网络用户的群组成员资格将替换为替代群组成员资格,所述替代群组成员资格可提供对企业网络中驻留的网络对象的连续访问,并且用户过去曾访问过的内容,同时撤消了对其他网络对象的访问权限,且用户历史上没有访问过的内容。因此,修复进程可用于减少用户是其成员的群组的数量,从而减小用户的当前令牌尺寸。
现在转到图7C,显示额外用户认证令牌使用状况预测器702优选地包括用户认证令牌尺寸计算器710,可用于在企业计算机环境中计算每个企业用户的当前用户认证令牌尺寸。所述超额用户认证令牌使用状况预测器702优选地还包括有效用户认证令牌尺寸计算器712,与用户认证令牌尺寸计算器710通信连接,并且可操作用于基于当前用户认证令牌尺寸从当前用户认证令牌尺寸为每个企业用户计算当前有效用户认证令牌尺寸,以及最大群组标识符尺寸计算器724,可操作企业计算机环境中用于计算多个用户群组最大群组标识符尺寸。所述超额用户认证令牌使用状况计算器726优选地可基于有效用户认证令牌尺寸和最大群组标识符尺寸来操作,以计算每个企业用户的附加组成员可能会导致超额用户认证令牌使用状况的数量。
所述超额用户认证令牌使用状况预测器702还可以包括警报提供器718,所述警报提供器718可操作用于在用户达到超额用户认证令牌使用状况之前针对每个企业用户提供警报。
所述超额用户认证令牌使用状况预测器702还可以包括修复进程启动器719,所述修复进程启动器719可操作用于在用户达到超额用户认证令牌使用状况之前针对每个企业用户启动修复进程。如上所述,修复进程可以是例如在受让人所有并通过引用并入本文的美国公开专利申请第2011/0296490号中所述的修复进程。作为修复进程的一部分,企业网络用户的群组成员资格将替换为其他群组成员资格,备选群组成员资格可提供对企业网络中驻留的网络对象的连续访问权,以及用户过去曾访问过的网络对象,同时撤销对其他网络对象的访问权限,及用户历史上没有访问过的内容。因此,修复进程可用于减少用户是其成员的群组的数量,从而减小用户的当前令牌尺寸。
现在参考图7D,是作为图7B和7C的系统的一部分的用户认证令牌尺寸计算器的简化框图。
如图7D所示,图7B和7C的用户认证令牌尺寸计算器710被配置且分别优选地包括用户群组确定者730,用于为多个企业用户中的每一个确定企业用户是其成员的用户群组。优选地,提供与用户组确定器730通信连的群组标识符尺寸确定器732,以针对企业用户是其成员的每个用户群组确定群组标识符尺寸。优选地,提供与群组标识符尺寸确定器732通信连接的用户认证令牌尺寸计算器734,用于对企业用户是其成员的每个用户群组的群组标识符尺寸加总,以获得每个企业用户的当前用户认证令牌尺寸。
可以理解的是,图7D的用户认证令牌尺寸计算器可以用于用户认证令牌尺寸的间歇性、周期性或预定的计算。附加或可替代地,可以响应于群组成员资格改变事件来执行图7D的用户认证令牌尺寸计算器,而对用户认证令牌尺寸进行计算。
现在参考图7E,是修复进程启动器的简化框图,所述修复进程启动器是图7B和7C的系统的一部分。
如图7E所示,图7B和7C的修复进程启动器719被执行,优选地分别包括成员资格过剩消除器740,可用于消除企业用户的过剩成员资格。
群组成员资格缩减器742优选地对以下至少一项是可操作的:
用较少的多个群组成员资格替换至少多个现有群组成员资格;
将至少一具有第一尺寸群组标识符的现有群组成员替换为至少一具有第二尺寸群组标识符的群组成员,所述第二标识符小于所述第一尺寸;及
基于所述企业用户和至少一个另外的用户之间的相似性,从所述企业用户中移除至少一个现有群组成员资格,所述相似性基于所述企业用户和所述至少一另外的用户的实际访问的相似性。
优选地提供访问权限修改器744以在企业计算机环境中用于改变访问权限,以便减少现有群组成员的数量。
可以理解的是,群组成员资格过剩消除器、群组成员资格缩减器及访问权限修改器中的至少一个可以配置为自动操作。附加或替代地,群组成员资格过剩消除器、群组成员资格缩减器及访问权限修改器中的至少一个可响应于如资科管理员之类的授权用户发布的指令而进行操作。
本领域技术人员将认识到,本发明不限于上文已经具体示出和描述的内容。相反地,本发明的范围包括上述各种特征的组合和子组合以及其修改,这是本领域技术人员在阅读前述说明后将想到的,并且不是现有技术。

Claims (46)

1.一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:
一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
一群组成员资格估算器,对于每个所述企业用户,所述群组成员资格估算器可操作地用于估算将由一预期活动所创建的所述企业用户的额外群组成员资格的数量;及
一预期超额用户认证令牌使用状况警报器,在所述预计活动开始前可操作地用于若在所述预期活动能够被预期导致一超额用户认证令牌使用状况时提供一警报。
2.如权利要求1所述的在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,其中:所述系统还包括一预期超额用户认证令牌使用状况防止器,可操作地用于若在所述预期活动能够被预期导致超额用户认证令牌使用状况时防止执行所述预期活动。
3.一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:
一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
一群组成员资格估算器,对于每个所述企业用户可操作地用于估算将由一预期活动创建的所述企业用户的额外群组成员资格的数量;及
一预期超额用户认证令牌使用状况防止器,可操作地用于若在所述预期活动能够被预期导致超额用户认证令牌使用状况时防止执行所述预期活动。
4.一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:
一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
一群组成员资格估算器,对于每个所述企业用户可操作地用于估算将由一预期活动创建的所述企业用户的额外群组成员资格的数量;及
一预期超额用户认证令牌使用状况防止器,可操作地用于在所述预期活动能够被预期导致一超额用户认证令牌使用状况的情况下,修改所述预期活动,以确保执行修改活动不能被预期导致一超额用户认证令牌使用状况。
5.一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:
一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
一群组成员资格估算器,对于每个所述企业用户可操作地用于:估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;及在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及
一预期超额用户认证令牌使用状况警报器,可操作地用于若所述另一预期活动能够被预期导致一超额用户认证使用状况时提供一警报,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
6.如权利要求5所述的在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,其中所述范围涵盖在所述企业计算机环境中的所有网络对象。
7.如权利要求5所述的在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,其中:所述系统还包括:一预期超额用户认证令牌使用状况防止器,可操作地用于若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
8.一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:
一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
一群组成员资格估算器,对于每个所述企业用户可操作地用于:估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;及在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及
一预期超额用户认证令牌使用状况防止器,可操作地用于若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
9.一种在一企业计算机环境中用于防止一超额用户认证令牌使用状况的系统,所述系统包括:
一超额用户认证令牌使用状况预测器,可操作地用于计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
一群组成员资格估算器,对于每个所述企业用户可操作地用于:估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;及在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及
一预期超额用户认证令牌使用状况防止器,可操作地用于在所述另一预期活动能够被预期导致一超额用户认证令牌使用状况的情况下,修改所述第一预期活动,以确保所述另一预期活动不能被预期导致一超额用户认证令牌使用状况,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
10.一种用户认证令牌尺寸计算器件,包括:
一用户群组确定器,可操作地用于确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;
一群组标识符尺寸确定器,可操作地用于确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及
一用户认证令牌尺寸计算器,可操作地用于总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸。
11.如权利要求10所述的用户认证令牌尺寸计算器件,其中:所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个被配置用于间歇性操作。
12.如权利要求10所述的用户认证令牌尺寸计算器件,其中:所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个可操作地响应于群组成员资格更改事件。
13.如权利要求10所述的用户认证令牌尺寸计算器件,其中:所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个被配置用于周期性操作。
14.如权利要求10所述的用户认证令牌尺寸计算器件,其中:所述用户群组确定器、所述群组标识符尺寸确定器及所述用户认证令牌尺寸计算器的至少一个被配置用于预定性操作。
15.一种超额用户认证令牌使用状况的预测器件,包括:
一用户认证令牌尺寸计算器,可操作地用于计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;
一有效用户认证令牌尺寸计算器,可操作地用于基于所述当前用户认证令牌尺寸,计算每个企业用户的当前的一有效用户认证令牌尺寸;
一平均群组标识符尺寸计算器,可操作地用于计算在所述企业计算机环境中多个用户群组的一平均群组标识符尺寸;及
一超额用户认证令牌使用状况计算器,可操作地用于基于所述有效用户认证令牌尺寸及所述平均群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
16.如权利要求15所述的超额用户认证令牌使用状况的预测器件,还包括一警报提供器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。
17.如权利要求15所述的超额用户认证令牌使用状况的预测器件,还包括一修复进程启动器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户启动一修复进程。
18.一种超额用户认证令牌使用状况的预测器件,包括:
一用户认证令牌尺寸计算器,可操作地用于计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;
一有效用户认证令牌尺寸计算器,可操作地用于基于所述当前用户认证令牌尺寸,从所述当前用户认证令牌尺寸计算每个企业用户的当前的一有效用户认证令牌尺寸;
一最大群组标识符尺寸计算器,可操作地用于计算在所述企业计算机环境中多个用户群组的一最大群组标识符尺寸;及
一超额用户认证令牌使用状况计算器,可操作地用于基于所述有效用户认证令牌尺寸及所述最大群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
19.如权利要求18所述的超额用户认证令牌使用状况的预测器件,还包括一警报提供器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。
20.如权利要求18所述的超额用户认证令牌使用状况的预测器件,还包括一修复进程启动器,可操作地用于在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户启动一修复进程。
21.一种修复进程启动器,包括以下至少一项:
一群组成员资格过剩消除器,可操作地用于消除所述企业成员资格的过剩群组成员资格;
一群组成员资格缩减器,可操作地用于以下至少一项:
以较少的多个群组成员资格替换至少多个现有群组成员资格;
以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;
基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及
一访问权限修改器,可操作地用于在所述企业计算机环境内改变访问权限,以减少现有群组成员资格的数量。
22.如权利要求21所述的修复进程启动器,其中所述群组成员资格过剩消除器、所述群组成员资格缩减器及所述访问权限修改器的至少一个被配置用于自动操作。
23.如权利要求21所述的修复进程启动器,其中所述群组成员资格过剩消除器、所述群组成员资格缩减器及所述访问权限修改器的至少一个可操作地响应于一授权用户发布的一指令。
24.一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括步骤:
计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
对于每个企业用户,估算由一预期活动创建所述企业用户的额外群组成员资格的数量;及
在所述预期活动开始前,若在所述预期活动能够被预期导致一超额用户认证令牌使用状况时提供一警报。
25.如权利要求24所述的用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,还包括:若所述预期活动能够被预期导致一超额用户认证令牌使用状况时防止执行所述预期活动。
26.一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括步骤:
计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
对于每个企业用户,估算由一预期活动创建所述企业用户的额外群组成员资格的数量;及
若所述预期活动能够被预期导致一超额用户认证令牌使用状况时防止执行所述预期活动。
27.一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括步骤:
计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
对于每个企业用户,估算由一预期活动创建所述企业用户的额外群组成员资格的数量;
若所述预期活动能够被预期导致一超额用户认证令牌使用状况时修改所述预期活动,以确保执行修改活动不能被预期导致一超额用户认证令牌使用状况。
28.一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括步骤:
计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
对于每个企业用户,估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;
在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及
若所述另一预期活动能够被预期导致一超额用户认证使用状况时提供一警报,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
29.如权利要求28所述的用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,其中所述范围涵盖在所述企业计算机环境中的所有网络对象。
30.如权利要求28所述的用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,还包括:若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
31.一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括步骤:
计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
对于每个企业用户,估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;
在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及
若所述另一预期活动能够被预期导致一超额用户认证使用状况时防止执行所述第一预期活动,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
32.一种用于防止在一企业计算机环境中一超额用户认证令牌使用状况的方法,所述方法包括步骤:
计算多个企业用户的每一个的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况;
对于每个企业用户,估算所述企业用户的额外群组成员资格通过具有一第一范围的一第一预期活动来创建的数量;
在具有所述第一范围的第一预期活动开始前,估算所述企业用户的额外群组成员资格通过具有一第二范围的另一预期活动来创建的数量,所述第二范围与所述第一范围不同且不重叠;及
若所述另一预期活动能够被预期导致一超额用户认证使用状况时修改所述第一预期活动,以确保所述另一预期活动不能被预期导致一超额用户认证令牌使用状况,即使所述第一预期活动不能被预期导致一超额用户认证使用状况。
33.一种用于计算在一企业计算机环境中对于多个企业用户的当前用户认证令牌尺寸的方法,所述方法包括步骤:
确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;
确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及
总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸。
34.如权利要求33所述的用于计算在一企业计算机环境中对于多个企业用户的当前用户认证令牌尺寸的方法,其中所述的至少一项:
确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;
确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及
总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为间歇性进行。
35.如权利要求33所述的用于计算在一企业计算机环境中对于多个企业用户的当前用户认证令牌尺寸的方法,其中所述的至少一项:
确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;
确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及
总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为响应于群组成员资格更改事件而进行。
36.如权利要求33所述的用于计算在一企业计算机环境中对于多个企业用户的当前用户认证令牌尺寸的方法,其中所述的至少一项:
确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;
确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及
总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为周期性进行。
37.如权利要求33所述的用于计算在一企业计算机环境中对于多个企业用户的当前用户认证令牌尺寸的方法,其中所述的至少一项:
确定多个企业用户的每一个,多个用户群组中的一企业用户是一成员;
确定多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员;及
总和多个用户群组的每一个的一群组标识符的一尺寸,多个用户群组中的一企业用户是一成员,以获得每个所述企业用户的一当前用户认证令牌尺寸为预定性进行。
38.一种用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,所述方法包括:
计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;
基于所述当前用户认证令牌尺寸,计算每个企业用户的的一当前有效用户认证令牌尺寸;
计算在所述企业计算机环境中多个用户群组的一平均群组标识符尺寸;及
基于所述有效用户认证令牌尺寸及所述平均群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
39.如权利要求38所述的用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,还包括:在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。
40.如权利要求38所述的用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,还包括:在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户自动启动一修复进程。
41.一种用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,所述方法包括:
计算在一企业计算机环境中每个企业用户的一当前用户认证令牌尺寸;
基于所述当前用户认证令牌尺寸,从所述当前用户认证令牌尺寸计算每个企业用户的当前的一有效用户认证令牌尺寸;
计算在所述企业计算机环境中多个用户群组的一最大群组标识符尺寸;及
基于所述有效用户认证令牌尺寸及所述最大群组标识符尺寸,计算每个企业用户的额外群组成员资格的数量,所述数量能够被预期导致一超额用户认证令牌使用状况。
42.如权利要求41所述的用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,还包括:在所述用户达到一超额用户认证令牌使用状况之前针对每个所述企业用户提供一警报。
43.如权利要求41所述的用于确定在一企业计算机环境是否即将发生一超额用户认证令牌使用状况的方法,还包括:在所述用户达到一超额用户认证令牌使用状况之前为每个所述企业用户自动启动一修复进程。
44.一种用于修复在一企业计算机环境中的一企业用户的一用户认证令牌的尺寸的方法,所述方法包括以下至少一项:
消除所述企业成员资格的过剩群组成员资格;
以较少的多个群组成员资格替换至少多个现有群组成员资格;
以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;
基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及
在所述企业计算机环境内改变访问权限,以减少现有群组成员资格的数量。
45.如权利要求44所述的于修复在一企业计算机环境中的一企业用户的一用户认证令牌的尺寸的方法,其中所述的至少一项:
消除所述企业成员资格的过剩群组成员资格;
以较少的多个群组成员资格替换至少多个现有群组成员资格;
以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;
基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及
在所述企业计算机环境内改变访问权限以减少现有群组成员资格的数量是自动进行。
46.如权利要求44所述的于修复在一企业计算机环境中的一企业用户的一用户认证令牌的尺寸的方法,其中所述的至少一项:
消除所述企业成员资格的过剩群组成员资格;
以较少的多个群组成员资格替换至少多个现有群组成员资格;
以具有一第二尺寸的一群组标识符的至少一群组成员资格替换具有一第一尺寸的一群组标识符的至少一现有群组成员资格,所述第二尺寸小于所述第一尺寸;
基于所述企业用户及至少一额外用户之间的一相似性,从所述企业用户删除至少一现有群组成员资格,所述相似性是基于所述企业用户及所述至少一额外用户的实际访问的一相似性;及
在所述企业计算机环境内改变访问权限以减少现有群组成员资格的数量是响应于一授权用户发布的一指令而进行。
CN201880064361.9A 2017-10-03 2018-10-02 在企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法 Pending CN111164595A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762567314P 2017-10-03 2017-10-03
US62/567,314 2017-10-03
PCT/IL2018/051075 WO2019069305A1 (en) 2017-10-03 2018-10-02 SYSTEMS AND METHODS THAT PREVENT CONDITIONS FOR EXCESSIVE USE OF USER AUTHENTICATION TOKEN IN A COMPUTERIZED ENTERPRISE ENVIRONMENT

Publications (1)

Publication Number Publication Date
CN111164595A true CN111164595A (zh) 2020-05-15

Family

ID=63840895

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880064361.9A Pending CN111164595A (zh) 2017-10-03 2018-10-02 在企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法

Country Status (4)

Country Link
US (1) US11388004B2 (zh)
EP (1) EP3692458B1 (zh)
CN (1) CN111164595A (zh)
WO (1) WO2019069305A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117349810A (zh) * 2023-10-16 2024-01-05 广东省中山市质量技术监督标准与编码所 一种多级身份认证方法、终端及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105359491A (zh) * 2013-06-14 2016-02-24 微软技术许可有限责任公司 云环境中的用户认证
CN105378744A (zh) * 2013-05-03 2016-03-02 思杰系统有限公司 在企业系统中的用户和设备认证
CN106464681A (zh) * 2014-05-21 2017-02-22 微软技术许可有限责任公司 分支验证令牌技术

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5778387A (en) * 1995-05-19 1998-07-07 Sprint Communications Co., L.P. Database automated recovery system
US6279111B1 (en) * 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US20010020228A1 (en) * 1999-07-09 2001-09-06 International Business Machines Corporation Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources
US7398272B2 (en) * 2003-03-24 2008-07-08 Bigfix, Inc. Enterprise console
US7702917B2 (en) * 2004-11-19 2010-04-20 Microsoft Corporation Data transfer using hyper-text transfer protocol (HTTP) query strings
US8429708B1 (en) * 2006-06-23 2013-04-23 Sanjay Tandon Method and system for assessing cumulative access entitlements of an entity in a system
US8239925B2 (en) * 2007-04-26 2012-08-07 Varonis Systems, Inc. Evaluating removal of access permissions
US8171057B2 (en) * 2008-10-23 2012-05-01 Microsoft Corporation Modeling party identities in computer storage systems
US8290900B2 (en) * 2010-04-24 2012-10-16 Research In Motion Limited Apparatus, and associated method, for synchronizing directory services
US9870480B2 (en) 2010-05-27 2018-01-16 Varonis Systems, Inc. Automatic removal of global user security groups
US8490152B2 (en) * 2010-10-26 2013-07-16 Microsoft Corporation Entitlement lifecycle management in a resource management system
US8935572B2 (en) * 2012-09-14 2015-01-13 International Business Machines Corporation Remediating events using behaviors
EP3028399A4 (en) * 2013-07-29 2017-03-22 Berkeley Information Technology Pty Ltd Systems and methodologies for managing document access permissions
JP6265733B2 (ja) * 2013-12-25 2018-01-24 キヤノン株式会社 権限管理サーバー及び権限管理方法
US10264071B2 (en) * 2014-03-31 2019-04-16 Amazon Technologies, Inc. Session management in distributed storage systems
US9584515B2 (en) * 2014-04-30 2017-02-28 Citrix Systems, Inc. Enterprise system authentication and authorization via gateway
US10031679B2 (en) * 2014-11-21 2018-07-24 Security First Corp. Gateway for cloud-based secure storage
US10171369B2 (en) * 2016-12-22 2019-01-01 Huawei Technologies Co., Ltd. Systems and methods for buffer management
US20180213048A1 (en) * 2017-01-23 2018-07-26 Microsoft Technology Licensing, Llc Secured targeting of cross-application push notifications
US10223541B2 (en) * 2017-01-24 2019-03-05 Salesforce.Com, Inc. Adaptive permission token

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105378744A (zh) * 2013-05-03 2016-03-02 思杰系统有限公司 在企业系统中的用户和设备认证
CN105359491A (zh) * 2013-06-14 2016-02-24 微软技术许可有限责任公司 云环境中的用户认证
CN106464681A (zh) * 2014-05-21 2017-02-22 微软技术许可有限责任公司 分支验证令牌技术

Also Published As

Publication number Publication date
EP3692458A1 (en) 2020-08-12
EP3692458B1 (en) 2022-04-13
US11388004B2 (en) 2022-07-12
US20190103969A1 (en) 2019-04-04
WO2019069305A1 (en) 2019-04-11

Similar Documents

Publication Publication Date Title
US10318751B2 (en) Automatic removal of global user security groups
US7454199B2 (en) System and method for temporary application component deletion and reload on a wireless device
US10628228B1 (en) Tiered usage limits across compute resource partitions
US11662996B2 (en) System and method for downgrading applications
CN101573691A (zh) 基于时间的许可
US20090106844A1 (en) System and method for vulnerability assessment of network based on business model
US20090133120A1 (en) Preventing trivial character combinations
CN105991596B (zh) 一种访问控制方法和系统
US11416322B2 (en) Reprovisioning virtual machines by means of DVFS-aware scheduling
CN111164595A (zh) 在企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法
WO2013070814A2 (en) Managing capacity in a data center by suspending tenants
CN109005143B (zh) 一种调整网站负载的方法及装置
US10013273B1 (en) Virtual machine termination management
CN112087521B (zh) 一种基于大数据的区块链节点权限控制方法及区块链系统
CN106855824B (zh) 一种任务停止方法、装置及电子设备
CN109639639B (zh) 一种多平台监控系统融合控制方法和装置
CN113867926A (zh) 一种云环境管理方法、云环境管理平台及存储介质
CN113065122A (zh) 临时权限管理方法、装置及计算机可读介质
KR101337215B1 (ko) 대상정보 백업 장치 및 백업서버
CN112463228A (zh) 一种存储池混合部署的方法和设备
US20140122817A1 (en) System and method for an optimized distributed storage system
CN114285799B (zh) 一种处理业务的方法、装置、终端及存储介质
US11119750B2 (en) Decentralized offline program updating
US8844006B2 (en) Authentication of services on a partition
CN107247641B (zh) 在线还原操作系统的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200515

WD01 Invention patent application deemed withdrawn after publication