CN111712819A - 合并身份 - Google Patents
合并身份 Download PDFInfo
- Publication number
- CN111712819A CN111712819A CN201880089141.1A CN201880089141A CN111712819A CN 111712819 A CN111712819 A CN 111712819A CN 201880089141 A CN201880089141 A CN 201880089141A CN 111712819 A CN111712819 A CN 111712819A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- identity
- service provider
- requested resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 59
- 238000013507 mapping Methods 0.000 claims abstract description 14
- 238000013475 authorization Methods 0.000 claims description 36
- 230000009471 action Effects 0.000 claims description 13
- 230000000977 initiatory effect Effects 0.000 claims 3
- 230000007246 mechanism Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 26
- 238000007726 management method Methods 0.000 description 18
- 239000008186 active pharmaceutical agent Substances 0.000 description 11
- 230000015654 memory Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000003339 best practice Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
根据各种实施例,实现了合并身份系统和方法以提供改进的身份管理和资源访问管理,特别是在要求紧密信任模型的企业系统的情况下。在至少一个实施例中,所描述的系统和方法提供了用于在资源之间映射身份的机制。该系统和方法能够提取与诸如员工或用户的特定实体有关的信息,并且能够根据需要合并和/或个性化这些信息。
Description
相关申请的交叉引用
本申请要求于2017年12月21日提交的序列号为62/608,581的美国临时申请“合并身份”(代理人卷号为SPH004-PROV)的权益,其全部内容通过引用包含于此。
技术领域
本文件涉及用于在在线环境中管理认证和身份的技术。
背景技术
身份管理是许多组织的关键方面,它提供了有关授权哪些用户访问和使用哪些资源的重要信息,这些信息可以在单个组织内,也可以跨多个组织。通常,组织内的许多不同资源使用多个身份管理系统进行管理,每个身份管理系统具有不同的访问协议并维护单独的用户记录集。每个这样的身份管理系统通常都依赖于身份提供商,该身份提供商维护用户记录的数据库,该数据库存储表明哪些用户可以访问哪些资源的凭据。在用户尝试访问资源时,资源提供者可以咨询身份提供商以验证用户是否被授权访问该资源。如果该用户被授权,则资源将授予该用户访问权限。然而,当多个身份管理系统用于许多不同的资源时,确定是否授予访问权限的任务显著地更加复杂,尤其是当同一用户可以具有跨不同系统的不同的电子身份时。
联合身份是一种用于跨多个身份管理系统链接一个人的电子身份和/或属性的已知技术。它允许单独的各方建立松散耦合的信任关系,以便身份提供商可以向一个单独的服务提供商保证一个人已经登录到身份提供商的系统中。例如,用户可以登录航空公司网站,随后从汽车租赁网站租车,而无需再次手动登录;更准确地说,来自航空公司网站的以前的登录被用于自动识别用户,并在汽车租赁网站上提供对他或她的身份相关信息的访问。作为另一个示例,用户可以登录到身份提供商(例如AOL),然后访问另一个网站(例如天气网站);AOL登录自动用于在天气网站上识别用户,并在天气网站上提供对他或她的身份相关信息的访问。
通常,联合身份在身份提供商和服务提供商之间存在松散信任模型的情况下操作。联合身份系统通常包括用于控制应在身份提供商和服务提供商之间共享哪些身份信息的机制。共享身份的唯一标识符,以便将不同的帐户与身份提供商和服务提供商绑定在一起。
自由联盟项目已经为包括联合身份的身份管理开发了指南和最佳实践。它制定了一个规范,后来演变成安全断言标记语言(SAML),该规范提供了身份提供商和服务提供商之间的身份信息的明显分离,并包括不透明令牌的选项,以便服务提供商无法访问有关身份的任何可识别信息。
现在参考图1,示出了描述根据现有技术的用于包括联合身份的身份管理的概念模型的框图。用户101利用身份提供商402(例如AOL)登录105。随后,用户101想要从服务提供商102(例如赫兹(Hertz))租车。身份绑定106允许身份提供商402向服务提供商102提供信息,该信息允许服务提供商102自动识别用户101。一旦服务提供商102识别用户101,服务提供商102便可以访问特定于用户101的信息,例如租赁历史记录104,该历史记录存储在由服务提供商102控制的资源中。然而,值得注意的是,服务提供商102没有获得对存储在由身份提供商402控制的资源中的信息的访问权限,例如AOL帐户历史记录和信息103。通过这种方式,即使身份提供商402和服务提供商102共享足够的信息以允许基于身份提供商402处的认证来识别用户101,它们之间仍保持分离。
这种类型的联合身份是众所周知的;例如,在许多网站上都可以使用Google和Facebook登录,从而允许基于用户的Google或Facebook登录来在其他网站进行认证。由于诸如SAML的标准的普遍性,联合身份也已在企业环境中得到广泛采用,以便用户可以对各种本地部署(例如,托管在客户拥有的数据中心中)和云系统(例如,远程托管在第三方数据中心中)使用单点登录。
然而,联合身份可能不适用于要求紧密信任模型的企业系统。许多企业环境要求身份提供商402和服务提供商102之间非常紧密的信任关系。在这种情况下,许多服务提供商102由企业自身托管,并且企业外部的那些服务提供商102受到严格的安全控制和遵从性,以确保员工数据保持安全。
联合身份的直接后果是,与身份相关的所有数据都分布在大量系统中。例如,员工数据被托管在许多系统中,包括工资单、人力资源管理、财务和票务系统。因此,联合身份仅提供了一种有限的解决方案,其中提供了对各种相对静态数据源的访问。
在20世纪90年代末和21世纪初,人们推动向用户群体提供企业门户,其将向他们需要访问的每个系统提供窗口或“门户组件(portlet)”。在这样的布置中,每个门户组件访问源系统并检索与员工有关的信息。然而,为每个系统设置集成可能过于复杂。另外,这种布置可能会导致性能问题,因为每个门户组件的加载速度可能非常慢,并且员工很难在所有门户组件中对所有信息进行分类。
因此,当前,企业环境内的身份管理效率低下且麻烦。尽管现有解决方案提供了用于单点登录多个资源的机制,但是访问完整数据仍然要求单独访问包含相关数据的每个资源。
发明内容
根据各种实施例,描述了一种用于实现名为合并身份的改进机制的系统和方法。合并身份解决了上述问题,尤其是在要求紧密信任模型的企业系统的情况下。例如,在这种情况下,企业本身可能是主要的身份提供商,提供诸如工资单和休假请求的服务的服务提供商不会保存不属于企业的任何数据。这样,在身份提供商和服务提供商之间不需要明显的身份分离。
在至少一个实施例中,所描述的系统和方法提供了用于在资源之间映射身份的机制。该系统和方法能够提取与诸如员工或用户的特定实体有关的信息,并且能够根据需要合并和/或个性化这些信息。
本文描述了进一步的细节和变化。
附图说明
附图连同描述一起说明了几个实施例。本领域的技术人员将认识到,附图中示出的特定实施例仅是示例性的,并且不旨在限制范围。
图1是示出根据现有技术的用于包括联合身份的身份管理的概念模型的框图。
图2是描绘用于跨企业内部的多个系统存储与联合身份有关的有限数据的架构的框图。
图3是描绘用户与可以在各种企业系统中托管的关于用户的数据之间的关系的图。
图4是描绘根据一个实施例的映射用户身份以验证授权的方法的示例的图。
图5是描绘根据一个实施例的启用对服务的访问的链式认证的方法的图。
图6是描绘根据一个实施例的一种方法的示例的图,该方法将用户的身份从身份提供商映射到服务提供商、导入权限并基于用户的身份过滤访问。
图7是描绘根据一个实施例的用于在合并身份框架中从服务提供商复制安全授权的方法的示例的图。
图8是描绘根据一个实施例的一种方法的示例的图,该方法用于通过访问服务提供商以请求权限信息,与使用动态的、基于逻辑的安全授权的服务提供商结合使用所描述的技术。
图9是描绘根据一个实施例的当使用API回写给服务提供商时使用委托认证的方法的示例的图。
图10是描绘根据一个实施例的使用单点登录自动登录用户以便在不支持委托认证的系统中启用回写的方法的示例的图。
图11是描绘根据一个实施例的用于使用到相关页面的深链接来直接执行回写动作的方法的示例的图。
图12是描绘根据一个实施例的用于合并身份系统的整体概念架构的图。
图13是描绘根据一个实施例的可结合图12和/或14所描绘的架构使用的客户端装置的硬件架构的框图。
图14是描绘根据一个实施例的用于合并身份系统的整体物理架构的框图。
具体实施方式
根据各种实施例,该系统可以在任何电子装置或一组互连的电子装置上实现,每个电子装置被配备来接收、存储和呈现信息。每个电子装置可以是例如服务器、台式计算机、膝上型计算机、智能手机、平板计算机等。如本文所述,结合本文所述的系统使用的一些装置被指定为客户端装置,其通常由最终用户操作。其他装置被指定为服务器,它们通常执行后端操作并经由诸如互联网的通信网络与客户端装置(和/或其他服务器)通信。
然而,本领域技术人员将认识到,本文描述的技术可以在其他情况中并且实际上在能够与现有企业数据存储系统接口的任何合适的装置、一组装置或系统中实施。因此,以下描述旨在通过示例的方式示出各种实施例,而不是限制范围。
如上所述,合并身份提供了一种适用于跨高信任度网络操作的改进机制。在企业中,企业本身是主要的身份提供商,提供诸如工资单和休假请求的服务的服务提供商不保存任何不该属于企业的数据。身份提供商和服务提供商之间不需要明显的身份分离。
在至少一个实施例中,由于员工数据的敏感性和对数据的自助访问的需要,合并身份提供了附加功能,以满足除单一客户主计划之外的许多要求,其中有关客户的所有信息被合并到单一数据库中。
现在参考图3,示出了描绘用户101与可以在各种企业系统中托管的关于用户的数据301之间的关系的图。这样的数据可以包括例如PTO批准301A、PTO请求301B、采购订单301C、费用批准301D、服务票据301E和度量301F。
在联合身份系统中提供对有限数据的访问
现在参考图2,示出了描绘用于跨企业内的多个系统提供对与联合身份有关的有限数据的访问的架构的框图。在该架构中,用户101利用身份提供商402登录105。这里,身份提供商402可以在企业内实现,例如使用诸如可从华盛顿州雷德蒙德的微软公司(Microsoft Corporation)获得的活动目录(Active Directory)的目录服务。如在图1的示例中,身份绑定106定义在身份提供商402处的用户101的身份与在服务提供商102处的帐户(例如,加利福尼亚州旧金山的Salesforce.com公司)之间的关系。然而,这里,由于企业内的紧密信任模型,身份提供商402和服务提供商102还共享可以存储在由身份提供商402控制的资源处的身份属性203(例如位置和团队),以及可以存储在由服务提供商102控制的资源处的服务提供商数据204(例如帐户历史记录)。
架构
现在参考图14,示出了描绘根据一个实施例的用于合并身份系统的整体物理架构的图。
客户端装置1301是在用户101的控制下运行的任何电子装置,并且可以用于经由通信网络1309从基于服务器的组件请求和接收信息。通信网络1309可以是用于传输电子数据的任何合适的电子网络;示例包括互联网、内联网、无线网络等。在至少一个实施例中,客户端装置1301访问在数据中心中运行的门户应用1402以请求和接收数据。在至少一个实施例中,虚拟专用网(VPN)1401可以用于提高这种访问的安全性,如本领域中已知的。
合并身份模块1206执行本文描述的各种功能,包括基于从身份提供商402获得的身份信息对用户101进行认证,该身份提供商402可以是例如活动目录。一旦对用户101进行了认证,合并身份模块1206就会使用可从例如德国沃尔多夫的SAP SE获得的企业软件,代表用户101从服务提供商602发出数据请求。在至少一个实施例中,合并身份模块1206在临时存储库1403中缓存当前相关的活动数据;如下面更详细地描述的,任何改变可以稍后被传输到服务提供商602。
现在参考图12,示出了描绘根据一个实施例的用于合并身份系统的整体概念架构的图。在至少一个实施例中,本文所述的合并身份系统1206包括用于为企业系统提供链式认证1207、用户身份映射1208、访问控制1209和活动数据权限1210的功能。
在至少一个实施例中,合并身份模块1206与企业的各种组件交互。端点管理系统401(例如,包括企业移动管理(EMM)系统)、目录1201和身份提供商402提供用于用户认证1202、用户身份/名称1203、访问控制组1204和/或用户属性1205的功能。可以与所描述的系统结合使用的端点管理系统401的一个示例是可以从佛罗里达州劳德代尔堡和加利福尼亚州圣克拉拉的Citrix公司获得的Citrix Endpoint Management。合并身份模块1206还与各种软件功能交互,例如本地应用1215、云应用1216和/或专有应用1217,它们中的每一个都可以提供应用认证1211、用户身份/名称12103、访问控制组和策略1213和/或活动数据1214。
现在参考图13,示出了描绘根据一个实施例的客户端装置1301的硬件架构的框图,该客户端装置1301可以结合图12和/或14中描绘的架构使用。客户端装置1301可以是任何电子装置,其被装备为接收、存储和/或呈现信息,并接收与这种信息相关的用户输入。客户端装置1301可以是例如台式计算机、膝上型计算机、个人数字助理(PDA)、蜂窝电话、智能电话、音乐播放器、手持计算机、平板计算机、一体机、游戏系统等。
在至少一个实施例中,客户端装置1301具有本领域技术人员众所周知的许多硬件组件。输入装置1302可以是接收来自用户101的输入的任何元件,包括例如键盘、鼠标、触笔、触敏屏(触摸屏)、触摸板、轨迹球、加速度计、五向开关、麦克风等。可以经由任何适当的模式来提供输入,包括例如以下中的一项或多项:指向、轻击、键入、拖动和/或语音。每个用户101可以是例如最终用户或系统管理员。
数据存储器1306可以是用于数字形式的数据的任何磁性、光学或电子存储装置;示例包括闪存、磁性硬盘驱动器、CD-ROM、DVD-ROM等。
显示器1303可以是以图形方式显示信息的任何元件,信息例如通知、数据表示、用户界面元素、提示等。这样的输出可以包括例如原始数据、数据可视化、导航元素、请求确认的查询和/或用于信息标识、显示或表示的参数等。在一次仅呈现一些期望的输出的至少一个实施例中,可以经由输入装置1302获得诸如滚动机制的动态控件,以改变当前显示的信息,和/或改变显示信息的方式。
在至少一个实施例中,在显示器1303上显示的信息可以包括文本和/或图形形式的数据,并且可以包括用于与所显示的数据进行交互的各种控件和元素,例如,以解除警报、跟随链接、转发警报、进一步调查和/或执行其他动作。
根据众所周知的技术,处理器1304可以是用于在软件的指导下对数据执行操作的常规微处理器。存储器1305可以是随机存取存储器,具有本领域中已知的结构和架构,以供处理器1304在运行软件的过程中使用。
数据存储装置1306相对于客户端装置1301的其他组件可以是本地的或远程的。通信模块1307提供了用于经由通信网络1309(例如互联网)与系统的其他组件进行通信的功能,例如以发布信息请求、执行认证、接收通知和/或执行其他操作。客户端装置1301与其他组件之间的这种通信可以通过以太网连接、经由诸如互联网的计算网络、经由蜂窝网络或通过任何其他适当的方式无线地进行。
在至少一个实施例中,数据存储装置1306以CD-ROM、DVD、闪存驱动器、USB硬盘驱动器等的形式是可拆卸的。在另一个实施例中,数据存储装置1306固定在客户端装置1301内。
在一个实施例中,该系统可以实现为以任何合适的计算机编程语言编写的软件,无论是独立的还是客户端/服务器架构。可替代地,它可以被实现和/或嵌入在硬件中。
本文描述的系统和方法可以在诸如图12和13所示的架构上实现。然而,本领域技术人员将认识到也可以使用其他架构。因此,本文提供的描述旨在是说明性的而不是将范围限制于任何特定的实施方式或架构。
在至少一个实施例中,合并身份框架包括五个要素:
(1)合并的活动数据;
(2)一个或多个身份提供商的认证;
(3)身份提供商的授权;
(4)服务提供商的授权;以及
(5)利用委托或直接授权回写至服务提供商。
本领域技术人员将认识到,可以单独地或以任何组合来实现这五个要素。每个将依次描述。
合并的活动数据
在至少一个实施例中,临时存储库1403包含当前相关的活动数据,诸如与来自每个服务提供商602的员工相关联的活动数据。由于通常也由每个服务提供商602存储对员工数据的访问控制,控制也同步到临时数据库。
通常,没有必要为员工合并所有数据;相反,仅需要合并活动数据。例如,合并身份的请求可以仅用于开放的休假请求,而不是用于活动和不活动的员工曾经做出的每个休假请求。因此,活动数据可以被定义为在任何给定时间感兴趣的所有数据的子集,例如数据集内的开放的和最近改变的记录。
有时不可能合并某些数据。因此,在至少一个实施例中,使用传统的API机制通过根据需要随时提取数据来提供回退。例如,如果用户尝试从包含大量记录的数据库中检索信息。考虑到大量的记录,同步所有记录中的所有数据并从不同的来源获得数据可能并不可行。因此,在至少一个实施例中,一些信息可以被同步,而其他信息仅可以根据需要从主要源中检索。
在至少一个实施例中,当合并员工数据时,添加控制以维持数据安全性。这样的控制可以包括例如认证和/或授权,如下文更详细地描述的。
一个或多个身份提供商的认证
联合身份的一个好处是能够使用身份提供商(例如活动目录联合服务)来跨多个服务提供商(例如Salesforce和SAP)启用单点登录(SSO)。然而,无论是由于合并还是出于遵从性原因,有提供认证的多个身份提供商并不罕见。在至少一个实施例中,本文描述的合并身份框架包含经由多个身份提供商的认证,并且还跨多个身份提供商绑定用户的帐户名。
另一常见的企业方案是链接身份提供商,例如当用户认证诸如CitrixEndpointManagement的端点管理系统时。例如,当用户101使用指纹认证时,他或她的身份被映射到诸如活动目录的身份提供商中的用户账户,以验证授权。
现在参考图4,示出了描绘根据一个实施例的映射用户101的身份以绑定授权的方法的示例的图。用户101经由端点管理系统401登录403。基于登录信息,将用户101与身份提供商402(其例如可以是活动目录)上的用户账户进行匹配404,以确定用户101被授权访问哪些资源。在至少一个实施例中,系统不验证授权。而是,系统依靠本地装置例如经由指纹或密码来认证用户101,然后检索允许用户101访问的信息。
身份提供商的授权
在至少一个实施例中,身份提供商可以提供与用户101有关的适当授权。通常,身份提供商经由组和属性来提供粗粒度的授权。例如,可以为诸如“东海岸销售”的组提供授权。在本文所述的合并身份框架中,可以主张这种授权,以便能够访问服务。
现在参考图5,示出了根据一个实施例的使得能够访问服务的一种链式认证的方法的示例。与图4的方法一样,用户101经由端点管理系统401登录403。基于登录信息,将用户101与身份提供商402上的用户帐户进行匹配404。然后检索身份提供商402对用户101的授权(501),以确定用户101被授权访问哪些资源。
以这种方式,即使认证装置本身不知道该信息,系统也能够确定哪些授权可用于用户101。图5中提到的链式认证允许提供两个或多个认证提供商,从而比提供授权但不提供认证的常规系统提供改进的功能。更具体地说,根据所描述的方法,一旦用户101登录,系统就将用户101与身份提供商402中的记录进行匹配,以确定允许用户101访问哪些资源,从而提供了链式认证的技术。在至少一个实施例中,所描述的方法能够经由组和属性来确定授权以使得能够访问服务。
服务提供商的授权
在某些情况下,服务提供商可能期望包括对数据和记录的细粒度的安全控制。例如,人力资源系统经常尝试确保人力资源人员只能看到与其员工群体相关联的数据。
以下是合并身份框架可以集成服务提供商授权的三种方式的示例。
1)导入嵌入到数据记录中的权利
现在参考图6,示出了描绘根据一个实施例的将用户101的身份从身份提供商402(例如活动目录402)映射到服务提供商602、导入权利、并基于用户101的身份来过滤访问的方法的示例的图。以这种方式,在单个位置登录后,可以经由动态帐户映射在系统范围内知道用户101。
许多服务提供商(例如SAP)直接将权利包括在记录中,指定授权谁对每个记录进行什么处理(例如批准采购订单)。在至少一个实施例中,合并身份框架将用户101的身份从身份提供商601映射到服务提供商602。
例如,如图6所示,用户101利用身份提供商402登录601为“jsmith”,并被确定为称为“管理者”的组的成员。在服务提供商602(在此示例中为SAP)上,用户101被称为“smithj0422”,并有权查看以smithj0422作为批准者的记录(例如采购订单603)。而且,服务提供商602指定用户101能够批准采购订单604。由于可以将有效采购订单中的这些权利复制到临时存储库1403中,因此,合并身份框架会导入源自服务提供商602的权利,并且可以基于用户101的身份适当过滤访问。
2)同步授权组和定义的记录过滤器
对于使用中等粒度过滤的服务提供商,例如建立的组和已定义的记录过滤器,可以将这种安全授权复制到合并身份框架中,并直接应用于临时数据。例如,管理者仅需要访问开放的休假请求,并且应当只能看到其员工的休假请求。员工应当只能看到自己的休假请求。
现在参考图7,示出了描绘根据一个实施例的用于通过在合并身份框架中复制安全授权(例如安全组)并且将这样的授权应用于来自该服务提供商602的缓存数据来与服务提供商602结合使用所描述的技术的示例的图。在该示例中,用户101利用身份提供商402登录601为“jsmith”。在服务提供商602(在该示例中为SAP)上,用户101被称为“smithj0422”,并被确定为在服务提供商602处定义的称为“管理者”的缓存身份组的成员。从服务提供商602复制安全授权,并将其放入合并的ID框架中。这样的安全授权可以与个人用户和/或组相关联。
因此,用户101有权查看具有smithj0422作为批准者的缓存的采购订单603。此外,服务提供商602指定用户101能够批准采购订单604。
该方法也可以跨系统组合。例如,相关的员工HR数据可以与组和记录过滤器规范一起从人力资源系统复制到临时数据存储装置中。然后可以将HR数据与来自其他系统的HR数据组合,每个系统都有自己的组和记录过滤器规范。当HR工作人员查询临时数据存储装置以提取员工的合并视图时,他或她只能看到在每个源系统中按规定允许他们查看的特定数据。
3)根据需要随时咨询服务提供商以了解用户可以做什么
一些服务提供商602使用非常动态的、基于逻辑的安全授权。在这种情况下,合并身份系统访问服务提供商602以请求权限信息。然而,合并身份系统不需要查询来自多个系统的实际数据,而只需要查看数据的权限。
现在参考图8,示出了描绘这种方法的示例的图。图8的方法类似于图7的方法。然而,这里,一旦确定用户101在服务提供商602上被称为“smithj0422”,系统就访问服务提供商602以请求权限信息。一旦提供了权限信息,就可以应用由服务提供商602指定的权利和限制,例如用户101查看他是批准者的缓存的采购订单603以及批准采购订单604的能力。
因此,图8所示的技术允许更复杂和/或更具体的授权。例如,可以授权用户101查看与特定地域和/或美元金额有关的记录;可以使用图8所示的动态方法启用这种特定授权。
回写至服务提供商
在至少一个实施例中,由于合并身份模块1206使用临时存储库1403;任何数据改变都直接返回给服务提供商102。
回写的一个关键方面是验证临时存储库的一致性。例如,在可以批准特定金额的采购订单之前,系统必须首先验证采购订单仍为正确的金额,并且在源系统中尚未改变为其他金额。
取决于服务提供商API能力和对企业策略的遵从性,可以使用各种机制中的任何一种来执行对服务提供商102的回写。以下描述了这种机制的三个示例。
1)使用服务帐户进行委托认证的API
在至少一个实施例中,当使用API回写到服务提供商102时,合并身份框架可以采用委托认证。现在参考图9,示出了描绘这样的过程的示例的图。用户101登录进身份提供商402(902)。当用户101执行903要求回写至服务提供商602的动作时,合并身份框架使用至服务提供商602的API,并由服务帐户901代表用户101进行认证。然后服务提供商602处的用户帐户被用来1005在服务提供商602处执行回写。
在各种实施例中,服务提供商602记录904用户101执行要求回写的动作的事实,其方式是通过记录用户101作为回写的发起者,或者通过将注释附加到指示服务帐户901代表用户101执行了回写的记录。服务提供商602是回写的认证者,但代表用户101完成回写。
2)使用SSO进行基于用户的认证的API
某些API,例如SAP BAPI,不支持委托认证,并且仅在用户101已登录他或她自己的情况下才执行回写。在至少一个实施例中,当使用API回写至服务提供商102时,合并身份框架可以采用委托认证。现在参考图10,示出了描绘根据一个实施例的用于使用单点登录来自动登录用户101以便在不支持委托认证的系统中启用回写的方法的示例的图。
用户101经由身份提供商402登录至1002合并身份框架,其支持服务提供商602的单点登录功能1001。当用户101执行903要求回写至服务提供商602的动作(步骤1)时,几个步骤发生。首先,将用户101重定向到服务提供商602的登录页面,SSO 1001自动登录1004用户101(步骤2),然后将用户101重定向回到合并身份系统(步骤3)。现在,合并身份系统现在具有利用用户101的凭证执行1005回写必须的凭证(步骤4和5)。
3)使用深链接传递到服务提供商
作为第三种方法,对于不支持API访问或出于遵从性原因而不允许API访问的系统,可以将用户101直接深链接到服务提供商应用的相关页面以通过单击按钮或其他工作流程直接执行回写动作。
现在参考图11,示出了这种过程的示例。用户101经由身份提供商402登录到1002合并身份框架,其支持服务提供商602的单点登录能力1001。当用户101执行903要求回写至服务提供商602的动作时,用户101被深链接1104到服务提供商页面,并使用SSO登录。用户101然后可以直接在服务提供商602内手动执行1105回写动作。可替代地,回写动作可以自动发生。
本领域技术人员将认识到,本文所描绘和描述的示例仅是说明性的,并且可以使用用户界面元素的其他布置。另外,在不脱离本质特征的情况下,可以省略或改变一些所描绘的元件,并且可以描绘其他元件。
已经相对于可能的实施例特别详细地描述了本系统和方法。本领域技术人员将理解,可以在其他实施例中实践该系统和方法。首先,组件的特定命名、术语的大写、属性、数据结构或任何其他编程或结构方面不是强制性的或重要的,并且机制和/或特征可能具有不同的名称、格式或协议。此外,该系统可以经由硬件和软件的组合来实现,或者完全以硬件元素或完全以软件元素来实现。而且,本文所述的各种系统组件之间的功能性的特定划分仅是示例性的,而不是强制性的;由单个系统组件执行的功能可以替代地由多个组件执行,并且由多个组件执行的功能可以替代地由单个组件执行。
在说明书中对“一个实施例”或“实施例”的引用是指结合实施例描述的特定特征、结构或特性包括在至少一个实施例中。说明书中各个地方出现的短语“在一个实施例中”或“在至少一个实施例中”不一定都是指同一实施例。
各种实施例可以包括用于单独地或以任何组合执行上述技术的任何数量的系统和/或方法。另一个实施例包括一种计算机程序产品,该计算机程序产品包括非暂时性计算机可读存储介质和在该介质上编码的计算机程序代码,用于使计算装置或其他电子装置中的处理器执行上述技术。
以上的一些部分是根据对计算装置的存储器内的数据位的操作的算法和符号表示来呈现的。这些算法描述和表示是数据处理领域的技术人员用来最有效地将其工作的实质传达给本领域其他技术人员的手段。在这里,算法通常被认为是产生期望结果的步骤的自洽序列(指令)。这些步骤是要求对物理量进行物理操纵的步骤。通常,尽管不是必须的,这些量采取能够被存储、传输、组合、比较和以其他方式操纵的电、磁或光信号的形式。主要出于通用的原因,有时将这些信号称为位、值、元素、符号、字符、项、数字等是方便的。此外,有时将要求物理量的物理操纵的步骤的某些布置称为模块或代码装置也是方便的,而不会失去一般性。
然而,应该牢记,所有这些和类似术语均应与适当的物理量相关联,并且仅仅是应用于这些量的方便标签。除非从下面的讨论中另外明确指出,否则应理解,在整个描述中,使用诸如“处理”或“计算(computing)”或“计算(calculating)”或“显示”或“确定”等术语的讨论是指计算机系统或类似的电子计算模块和/或装置的动作和过程,其操纵和转换在计算机系统存储器或寄存器或其他这种信息存储、传输或显示装置内的表示为物理(电子)量的数据。
某些方面包括本文以算法形式描述的处理步骤和指令。应当注意,处理步骤和指令可以体现在软件、固件和/或硬件中,并且当体现在软件中时,可以被下载以驻留在由各种操作系统所使用的不同平台上并且可以从该平台进行操作。
本文件还涉及用于执行本文中的操作的设备。该设备可以被特殊地构造用于所需目的,或者可以包括由存储在计算装置中的计算机程序选择性地激活或重新配置的通用计算装置。这种计算机程序可以存储在计算机可读存储介质中,例如但不限于任何类型的磁盘,包括软盘、光盘、CD-ROM、DVD-ROM、磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、闪存、固态驱动器、磁卡或光卡、专用集成电路(ASIC)或适用于存储电子指令的任何类型的介质,并且各自耦合到计算机系统总线。此外,本文所指的计算装置可以包括单个处理器,或者可以是采用多个处理器设计以提高计算能力的架构。
本文中呈现的算法和显示并不固有地与任何特定计算装置、虚拟化系统或其他设备相关。各种通用系统也可以根据本文的教导与程序一起使用,或者可以证明构造更专用的设备以执行所需的方法步骤是方便的。从本文提供的描述中,各种这些系统所需的结构将变得显而易见。另外,未参考任何特定编程语言来描述该系统和方法。应当理解,可以使用多种编程语言来实现本文描述的教导,并且以上对特定语言的任何引用被提供用于公开实现和最佳模式。
因此,各种实施例包括用于控制计算机系统、计算装置或其他电子装置或其任何组合或多个的软件、硬件和/或其他元件。根据本领域公知的技术,这样的电子装置可以包括例如处理器、输入装置(例如键盘、鼠标、触摸板、轨迹板、操纵杆、轨迹球、麦克风和/或它们的任意组合)、输出装置(例如屏幕、扬声器等),存储器、长期存储装置(例如磁存储装置、光学存储装置等)和/或网络连接。这样的电子装置可以是便携式的或非便携式的。可用于实现所描述的系统和方法的电子装置的示例包括:移动电话、个人数字助理、智能手机、一体机、服务器计算机、企业计算装置、台式计算机、膝上型计算机、平板计算机、消费电子装置等等。电子装置可以使用任何操作系统,例如但不限于:Linux;可从华盛顿州雷德蒙德的微软公司获得的Microsoft Windows;可从加利福尼亚州库比蒂诺的Apple Inc.获得的MacOS X;可从加利福尼亚库比蒂诺的Apple Inc.获得的iOS;可从加利福尼亚州山景城的Google,Inc.获得的Android;和/或适合在装置上使用的任何其他操作系统。
尽管本文已经描述了有限数量的实施例,但是受益于以上描述的本领域技术人员将理解,可以构想其他实施例。另外,应当注意,本说明书中使用的语言主要是出于可读性和指导性目的而选择的,并且可能没有被选择来描绘或限制主题。因此,本公开旨在说明而不是限制范围。
Claims (29)
1.一种用于跨包括多个企业系统的企业的合并身份信息的计算机实现的方法,包括:
将与用户相关联的多个权利从所述企业系统中的至少一个复制到所述企业系统中的至少另一个;
在身份提供商处认证用户;
接收来自所述用户的访问与所述企业系统之一相关联的资源的请求;
基于至少一个权利的至少一个副本,确定所述用户是否被授权访问所请求的资源;
响应于指示所述用户被授权访问所请求的资源的确定,提供对所请求的资源的访问;以及
响应于指示所述用户未被授权访问所请求的资源的确定,拒绝对所请求的资源的访问。
2.根据权利要求1所述的方法,其中:
每个权利与一组用户相关联;以及
确定所述用户是否被授权访问所请求的资源包括确定所述用户是否属于在至少一个权利的至少一个副本中被指示为被授权访问所请求的资源的组。
3.根据权利要求1所述的方法,其中确定所述用户是否被授权访问所请求的资源包括:
使所述用户与所述身份提供商上的帐户匹配;
检索所述用户的至少一个身份提供商授权;以及
基于所检索的至少一个身份提供商授权,确定所述用户是否被授权访问所请求的资源。
4.根据权利要求1所述的方法,其中确定所述用户是否被授权访问所请求的资源包括:
将所述身份提供商上的用户身份映射到服务提供商上的第二用户身份;
在服务提供商处为所述用户确定至少一个权利;以及
从所述服务提供商导入所述至少一个权利,以授权访问所请求的资源。
5.根据权利要求4所述的方法,其中从所述服务提供商导入所述至少一个权利包括将所述至少一个权利复制到临时存储库中。
6.根据权利要求1所述的方法,其中确定所述用户是否被授权访问所述请求的资源包括:
将所述身份提供商上的用户身份映射到服务提供商上的第二用户身份;
在所述服务提供商处,确定所述用户是缓存的服务提供商组的成员;
在所述服务提供商处,基于所述用户在所述缓存的服务提供商组中的成员资格,为所述用户确定至少一个权利;以及
从所述服务提供商导入所述至少一个权利,以授权访问所请求的资源。
7.根据权利要求6所述的方法,其中从所述服务提供商导入所述至少一个权利包括将所述至少一个权利复制到临时存储库中。
8.根据权利要求6所述的方法,其中确定所述用户的至少一个权利包括向服务提供商发起访问以请求权限信息,并接收所请求的权限信息。
9.根据权利要求1所述的方法,还包括:
检测要求回写至服务提供商的用户动作;
在所述服务提供商处识别与所述用户相关联的帐户;
结合所识别的帐户认证所述用户;以及
使用所识别的帐户执行所述回写。
10.根据权利要求9所述的方法,其中,结合所识别的帐户认证所述用户包括基于在所述身份提供商处的单点登录来认证所述用户。
11.根据权利要求9所述的方法,其中,使用所识别的帐户执行所述回写包括:
向所述用户呈现至服务提供商页面的链接;以及
经由所述服务提供商页面接收用户输入以执行所述回写。
12.一种用于跨包括多个企业系统的企业的合并身份信息的非暂时性计算机可读介质,包括存储在其上的指令,所述指令在由至少一个处理器执行时执行以下步骤:
将与用户相关联的多个权利从所述企业系统中的至少一个复制到所述企业系统中的至少另一个;
在身份提供商处认证用户;
接收来自所述用户的访问与所述企业系统之一相关联的资源的请求;
基于至少一个权利的至少一个副本,确定所述用户是否被授权访问所请求的资源;
响应于指示所述用户被授权访问所请求的资源的确定,提供对所请求的资源的访问;以及
响应于指示所述用户未被授权访问所请求的资源的确定,拒绝对所请求的资源的访问。
13.根据权利要求12所述的非暂时性计算机可读介质,其中:
每个权利与一组用户相关联;以及
确定所述用户是否被授权访问所请求的资源包括确定所述用户是否属于在至少一个权利的至少一个副本中被指示为被授权访问所请求的资源的组。
14.根据权利要求12所述的非暂时性计算机可读介质,其中确定所述用户是否被授权访问所请求的资源包括:
使所述用户与所述身份提供商上的帐户匹配;
检索所述用户的至少一个身份提供商授权;以及
基于所检索的至少一个身份提供商授权,确定所述用户是否被授权访问所请求的资源。
15.根据权利要求12所述的非暂时性计算机可读介质,其中确定所述用户是否被授权访问所请求的资源包括:
将所述身份提供商上的用户身份映射到服务提供商上的第二用户身份;
在服务提供商处为所述用户确定至少一个权利;以及
将来自所述服务提供商的至少一个权利复制到临时存储库中,以授权访问所请求的资源。
16.根据权利要求12所述的非暂时性计算机可读介质,其中确定所述用户是否被授权访问所请求的资源包括:
将所述身份提供商上的用户身份映射到服务提供商上的第二用户身份;
在所述服务提供商处,确定所述用户是缓存的服务提供商组的成员;
在所述服务提供商处,基于所述用户在所述缓存的服务提供商组中的成员资格,为所述用户确定至少一个权利;以及
将所述至少一个权利从所述服务提供商复制到临时存储库中,以授权访问所请求的资源。
17.根据权利要求16所述的非暂时性计算机可读介质,其中确定所述用户的至少一个权利包括向服务提供商发起访问以请求权限信息,并接收所请求的权限信息。
18.根据权利要求12所述的非暂时性计算机可读介质,还包括存储在其上的指令,所述指令在由至少一个处理器执行时执行以下步骤:
检测要求回写至服务提供商的用户动作;
在所述服务提供商处识别与所述用户相关联的帐户;
结合所识别的帐户认证所述用户;以及
使用所识别的帐户执行所述回写。
19.根据权利要求18所述的非暂时性计算机可读介质,其中结合所识别的帐户认证所述用户包括基于在所述身份提供商处的单点登录来认证所述用户。
20.根据权利要求18所述的非暂时性计算机可读介质,其中使用所识别的帐户执行所述回写包括:
向所述用户呈现至服务提供商页面的链接;以及
经由所述服务提供商页面接收用户输入以执行所述回写。
21.一种用于跨包括多个企业系统的企业的合并身份信息的系统,包括:
处理器,被配置为:
将与用户相关联的多个权利从所述企业系统中的至少一个复制到所述企业系统中的至少另一个;以及
在身份提供商处认证用户;以及
输入装置,被配置为从所述用户接收访问与所述企业系统之一相关联的资源的请求;
其中,所述处理器还被配置为:
基于至少一个权利的至少一个副本,确定所述用户是否被授权访问所请求的资源;
响应于指示所述用户被授权访问所请求的资源的确定,提供对所请求的资源的访问;以及
响应于指示所述用户未被授权访问所请求的资源的确定,拒绝对所请求的资源的访问。
22.根据权利要求21所述的系统,其中:
每个权利与一组用户相关联;以及
确定所述用户是否被授权访问所请求的资源包括确定所述用户是否属于在至少一个权利的至少一个副本中被指示为被授权访问所请求的资源的组。
23.根据权利要求21所述的系统,其中确定所述用户是否被授权访问所请求的资源包括:
使所述用户与所述身份提供商上的帐户匹配;
检索所述用户的至少一个身份提供商授权;以及
基于所检索的至少一个身份提供商授权,确定所述用户是否被授权访问所请求的资源。
24.根据权利要求21所述的系统,还包括临时存储库,其中确定所述用户是否被授权访问所请求的资源包括:
将所述身份提供商上的用户身份映射到服务提供商上的第二用户身份;
在服务提供商处为所述用户确定至少一个权利;以及
将来自所述服务提供商的至少一个权利复制到所述临时存储库中,以授权访问所请求的资源。
25.根据权利要求21所述的系统,还包括临时存储库,其中确定所述用户是否被授权访问所请求的资源包括:
将所述身份提供商上的用户身份映射到服务提供商上的第二用户身份;
在所述服务提供商处,确定所述用户是缓存的服务提供商组的成员;
在所述服务提供商处,基于所述用户在所述缓存的服务提供商组中的成员资格,为所述用户确定至少一个权利;以及
将所述至少一个权利从所述服务提供商复制到所述临时存储库中,以授权访问所请求的资源。
26.根据权利要求25所述的系统,其中确定所述用户的至少一个权利包括向服务提供商发起访问以请求权限信息,并接收所请求的权限信息。
27.根据权利要求21所述的系统,还包括:
检测要求回写至服务提供商的用户动作;
在所述服务提供商处识别与所述用户相关联的帐户;
结合所识别的帐户认证所述用户;以及
使用所识别的帐户执行所述回写。
28.根据权利要求27所述的系统,其中结合所识别的帐户认证所述用户包括基于在所述身份提供商处的单点登录来认证所述用户。
29.根据权利要求27所述的系统,其中使用所识别的帐户执行所述回写包括:
向所述用户呈现至服务提供商页面的链接;以及
经由所述服务提供商页面接收用户输入以执行所述回写。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762608581P | 2017-12-21 | 2017-12-21 | |
US62/608581 | 2017-12-21 | ||
PCT/US2018/065855 WO2019125966A1 (en) | 2017-12-21 | 2018-12-14 | Consolidated identity |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111712819A true CN111712819A (zh) | 2020-09-25 |
Family
ID=66950806
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880089141.1A Pending CN111712819A (zh) | 2017-12-21 | 2018-12-14 | 合并身份 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11316860B2 (zh) |
EP (1) | EP3729320A4 (zh) |
CN (1) | CN111712819A (zh) |
AU (1) | AU2018388459B2 (zh) |
CA (1) | CA3086176A1 (zh) |
WO (1) | WO2019125966A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120597B (zh) * | 2018-07-18 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 身份校验、登录方法、装置及计算机设备 |
CN111541604A (zh) * | 2020-04-21 | 2020-08-14 | 招商局金融科技有限公司 | 会话消息处理方法、电子装置及计算机可读存储介质 |
US11537603B2 (en) * | 2020-08-11 | 2022-12-27 | Sailpoint Technologies Israel Ltd. | System and method for SQL server resources and permissions analysis in identity management systems |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030105974A1 (en) * | 2001-10-24 | 2003-06-05 | Philip B. Griffin | System and method for rule-based entitlements |
WO2003049000A1 (en) * | 2001-12-04 | 2003-06-12 | Sun Microsystems, Inc. | Distributed network identity |
CN1514616A (zh) * | 2002-12-31 | 2004-07-21 | �Ҵ���˾ | 联合体环境中用户属性存储的用户登记方法和系统 |
US20070233600A1 (en) * | 2006-04-03 | 2007-10-04 | Computer Associates Think, Inc. | Identity management maturity system and method |
US8656508B2 (en) * | 2009-07-24 | 2014-02-18 | Oracle International Corporation | Licensed feature enablement manager |
US20140137262A1 (en) * | 2012-11-12 | 2014-05-15 | Epi-Use Systems, Ltd | Secure data copying |
US9774586B1 (en) * | 2015-08-31 | 2017-09-26 | EMC IP Holding Company LLC | Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles |
CN107409126A (zh) * | 2015-02-24 | 2017-11-28 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8412813B2 (en) * | 2002-03-18 | 2013-04-02 | Logiclibrary, Inc. | Customizable asset governance for a distributed reusable software library |
US8291224B2 (en) * | 2005-03-30 | 2012-10-16 | Wells Fargo Bank, N.A. | Distributed cryptographic management for computer systems |
US7783591B2 (en) * | 2006-12-29 | 2010-08-24 | Verizon Patent And Licensing Inc. | Coordinated data conversion systems and methods |
US8327421B2 (en) | 2007-01-30 | 2012-12-04 | Imprivata, Inc. | System and method for identity consolidation |
US7809751B2 (en) * | 2007-08-27 | 2010-10-05 | Sap Ag | Authorization controlled searching |
US8990910B2 (en) * | 2007-11-13 | 2015-03-24 | Citrix Systems, Inc. | System and method using globally unique identities |
SG187686A1 (en) * | 2010-08-02 | 2013-03-28 | 3Fish Ltd | Identity assessment method and system |
US9170843B2 (en) | 2011-09-24 | 2015-10-27 | Elwha Llc | Data handling apparatus adapted for scheduling operations according to resource allocation based on entitlement |
US8886925B2 (en) * | 2011-10-11 | 2014-11-11 | Citrix Systems, Inc. | Protecting enterprise data through policy-based encryption of message attachments |
US8959114B2 (en) * | 2011-10-21 | 2015-02-17 | Salesforce.Com, Inc. | Entitlement management in an on-demand system |
US20170323350A1 (en) * | 2011-11-17 | 2017-11-09 | Tonya Laderer | Cloud-based workflow management platform defined by permission-based roles and relationships for administering, creating, and processing commercial advertising work orders |
US8788443B2 (en) * | 2011-12-23 | 2014-07-22 | Sap Ag | Automated observational decision tree classifier |
WO2015089171A1 (en) * | 2013-12-11 | 2015-06-18 | Intralinks, Inc. | Customizable secure data exchange environment |
US9330280B2 (en) * | 2014-06-10 | 2016-05-03 | Verizon Patent And Licensing Inc. | Identity management, authorization and entitlement framework |
US9942321B2 (en) * | 2016-01-06 | 2018-04-10 | Ca, Inc. | Identity-to-account correlation and synchronization |
US10484243B2 (en) * | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
US20180322183A1 (en) | 2017-05-03 | 2018-11-08 | Citrix Systems, Inc. | Systems and methods for normalizing identity claims across disparate identity directories |
US20190026803A1 (en) * | 2017-07-20 | 2019-01-24 | Sony Interactive Entertainment LLC | Digital code server |
US10387041B2 (en) * | 2017-11-02 | 2019-08-20 | Salesforce.Com, Inc. | Data migration system |
-
2018
- 2018-12-14 WO PCT/US2018/065855 patent/WO2019125966A1/en unknown
- 2018-12-14 CA CA3086176A patent/CA3086176A1/en not_active Abandoned
- 2018-12-14 EP EP18890686.1A patent/EP3729320A4/en not_active Withdrawn
- 2018-12-14 US US16/221,376 patent/US11316860B2/en active Active
- 2018-12-14 CN CN201880089141.1A patent/CN111712819A/zh active Pending
- 2018-12-14 AU AU2018388459A patent/AU2018388459B2/en not_active Ceased
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030105974A1 (en) * | 2001-10-24 | 2003-06-05 | Philip B. Griffin | System and method for rule-based entitlements |
WO2003049000A1 (en) * | 2001-12-04 | 2003-06-12 | Sun Microsystems, Inc. | Distributed network identity |
CN1514616A (zh) * | 2002-12-31 | 2004-07-21 | �Ҵ���˾ | 联合体环境中用户属性存储的用户登记方法和系统 |
US20070233600A1 (en) * | 2006-04-03 | 2007-10-04 | Computer Associates Think, Inc. | Identity management maturity system and method |
US8656508B2 (en) * | 2009-07-24 | 2014-02-18 | Oracle International Corporation | Licensed feature enablement manager |
US20140137262A1 (en) * | 2012-11-12 | 2014-05-15 | Epi-Use Systems, Ltd | Secure data copying |
CN107409126A (zh) * | 2015-02-24 | 2017-11-28 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
US9774586B1 (en) * | 2015-08-31 | 2017-09-26 | EMC IP Holding Company LLC | Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles |
Also Published As
Publication number | Publication date |
---|---|
US11316860B2 (en) | 2022-04-26 |
AU2018388459B2 (en) | 2022-03-24 |
EP3729320A1 (en) | 2020-10-28 |
US20190199729A1 (en) | 2019-06-27 |
EP3729320A4 (en) | 2021-09-15 |
WO2019125966A1 (en) | 2019-06-27 |
CA3086176A1 (en) | 2019-06-27 |
AU2018388459A1 (en) | 2020-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106164919B (zh) | 有多个登录的基于浏览器的身份 | |
US11467891B2 (en) | Kernel event triggers for content item security | |
US10116643B2 (en) | Virtualized data storage and management of policy and credential data sources | |
US11290438B2 (en) | Managing session access across multiple data centers | |
US10462142B2 (en) | Techniques for implementing a data storage device as a security device for managing access to resources | |
CN108351933B (zh) | 用于最终用户启动的访问服务器真实性检查的方法和系统 | |
US20190199782A1 (en) | Access management in a data storage system | |
US8544072B1 (en) | Single sign-on service | |
US8392969B1 (en) | Method and apparatus for hosting multiple tenants in the same database securely and with a variety of access modes | |
US8108907B2 (en) | Authentication of user database access | |
JP2010538365A (ja) | 転送可能な制限付きセキュリティトークン | |
US10936740B2 (en) | Systems and methods for securing an entity-relationship system | |
US11316860B2 (en) | Consolidated identity | |
US11886603B2 (en) | System and method for multi-party electronic signing of electronic documents | |
US10142344B2 (en) | Credential management system | |
US9479492B1 (en) | Authored injections of context that are resolved at authentication time | |
Lee et al. | Development of a User Management Module for Internet TV Systems | |
CA3011438A1 (en) | System and method for multi-party electronic signing of electronic documents |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200925 |
|
WD01 | Invention patent application deemed withdrawn after publication |