CN1741470A - 用于聚集系统中的用户授权级别的方法和系统 - Google Patents
用于聚集系统中的用户授权级别的方法和系统 Download PDFInfo
- Publication number
- CN1741470A CN1741470A CNA2005100789776A CN200510078977A CN1741470A CN 1741470 A CN1741470 A CN 1741470A CN A2005100789776 A CNA2005100789776 A CN A2005100789776A CN 200510078977 A CN200510078977 A CN 200510078977A CN 1741470 A CN1741470 A CN 1741470A
- Authority
- CN
- China
- Prior art keywords
- user
- isp
- authority levels
- service
- lens system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Abstract
通过基于与用户相关联的不同聚集授权级别而授权对来自包括在服务提供者聚集系统中的不同服务提供者的不同服务的访问,可以在连网应用服务环境中提供服务。还公开了相关的系统和计算机程序产品。
Description
技术领域
本发明涉及用于处理信息的方法、系统和计算机程序产品,特别涉及用于在连网计算机环境中处理信息的方法、系统和计算机程序产品。
背景技术
公知的是,通过单点“登录”提供聚集服务,其中用户可以在通过登录使他们的身份被认证之后访问服务。这里所使用的术语“被认证”是指确定用户是他/她被声称使用例如与用户相关联的用户名和密码的人。然而,在一些单点登录聚集系统中,在可使用服务之前,可能仍然需要用户单独地获得对由聚集系统提供的每一个服务的访问。例如,如果用户登录聚集系统以访问由两个不同的服务提供者提供的两个不同服务,则可通过登录来认证用户,但是用户可能仍然需要通过将另外的信息提供给这两个服务的一个或另一个来获得对访问这些服务的授权。
这样的上述单点登录聚集系统的两个例子是由微软公司,雷德蒙,华盛顿提供的.NET通行证系统(“Passport”)和由太阳微系统公司,芒廷维,加利福尼亚提供的自由联盟系统(“Liberty”)。通行证系统提供了通过创建一组凭证来认证用户,其中这组凭证允许用户登录到支持通行证服务的任何服务(例如,由网站提供的服务)。图1示出了通行证系统的示例图,其包括通行证服务器115和三个服务提供者110A-C,其中每一个服务提供者支持通行证系统100。根据图1,通过在链路105上登录服务提供者110A,用户可使用例如计算机101访问通行证系统。服务提供者110A通过链路120将用户的登录重定向到通行证服务器115,由此用户登录到通行证服务器115。通行证服务器115可使用在本地可访问的用户身份信息130认证用户的登录信息。如果用户的登录信息被认证,则通过链路135将用户从通行证服务器115重定向回到服务提供者110A,由此服务提供者110A允许用户访问在其上提供的服务。应当理解,服务提供者110B和C可以类似地工作。
图2示出了自由联盟系统的示例图,其包括服务提供者210A-C和身份服务器214。具体地说,用户可使用例如计算机201在链路205上通过自由联盟系统200对服务提供者210A访问服务。用户对服务提供者210A的登录通过链路220被重定向到身份服务器214,由此用户使用可用于身份服务器214的身份信息230登录。身份服务器214使用身份信息230以确定(由身份信息206A-C标识的)用户是否是链路222上的服务提供者210A、链路223上的服务提供者210B、或者链路224上的服务提供者210C所知道的真实用户。如果身份服务器214能够验证用户的真实性,则通过链路235将用户重定向回到服务提供者210A,由此用户能够通过服务提供者210A访问服务。
尽管存在由诸如通行证和自由联盟的聚集系统提供的认证服务,但是需要进一步改善通过聚集系统提供认证和授权透明服务。聚集系统中的每个服务提供者未必知道授权级别、用户身份和由其他服务提供者提供的服务。从而,可能难以以适当的粒度级别授权向一个服务提供者订购的用户使用由其他服务提供者提供的服务。
发明内容
根据本发明的实施例可提供用于聚集系统中的用户授权级别的方法、系统和计算机程序产品。根据这些实施例,通过基于与用户相关联的不同聚集授权级别而授权对来自包括在服务提供者聚集系统中的不同服务提供者的不同服务的访问,可执行一种在连网应用服务环境中提供服务的方法。
在根据本发明的一些实施例中,授权还可包括基于第一授权级别而允许对来自服务器的第一服务的访问并且禁止对来自服务器的第二服务的访问,以及基于第二授权级别而允许对第二服务的访问。在根据本发明的一些实施例中,第一授权级别可以是从本地系统授权级别映射的聚集系统中的聚集系统授权级别。
在根据本发明的一些实施例中,第一服务可以是基于第一授权级别而可被用户访问的第一应用,并且第二服务可以是基于第二授权级别而可被用户访问的第二应用。
在根据本发明的一些实施例中,授权还可包括基于第一授权级别而允许对来自服务器的服务的只读访问,并且基于第二授权级别而允许对来自服务器的服务的读/写访问。
在根据本发明的其他实施例中,不同服务可以是基于与用户相关联的授权级别而可被用户访问的不同应用。在根据本发明的另外实施例中,在由用户访问之前执行授权。
在根据本发明的其他实施例中,授权可包括响应通过聚集系统的接口由用户访问而将用于访问该系统中的服务的授权级别与认证一起提供给该接口。在根据本发明的其他实施例中,响应来自接口的单个认证请求,将授权级别和认证提供给接口。
在根据本发明的其他实施例中,通过从与服务提供者聚集系统的接口接收认证用户的请求,可提供在连网应用服务环境中提供服务的方法。可确定与用户相关联的用来访问聚集系统中的服务的授权级别。可将对用户的用户认证和与其相关联的授权级别提供给接口。
在根据本发明的其他实施例中,授权级别可以是对通过聚集系统中的第一服务提供者可用的第一应用的第一授权级别、以及对通过聚集系统中的第二服务提供者可用的第二应用的第二授权级别。在根据本发明的其他实施例中,第一授权级别可以是对第一应用的只读访问,并且第二授权级别可以是对第二应用的读/写访问。
在根据本发明的一些实施例中,在连网应用服务环境中提供服务的方法可包括在包括从服务提供者可用的服务的服务提供者聚集系统中注册服务提供者。可在与聚集系统的接口处从用户接收用于访问服务提供者聚集系统的请求。可向包括在聚集系统中的具有与用户相关联的简档(profile)的服务提供者请求对用户的认证。可接收对用户的认证和与其相关联的授权级别。
附图说明
图1是通行证系统的示例图。
图2是自由联盟系统的示例图。
图3是根据本发明一些实施例的服务提供者聚集系统的示例图。
图4是示出根据本发明一些实施例的服务提供者聚集系统的操作的流程图。
图5是示出根据本发明一些实施例的由不同用户使用应用的不同授权级别的表。
图6是根据本发明一些实施例的访问聚集系统之前的注册过程的示意图。
具体实施方式
这里参照附图描述本发明,其中示出了本发明的多个实施例。然而,本发明可采用多种不同形式实施,并且不应当被解释为局限于这里阐述的实施例;相反,提供这些实施例是为了使本公开内容详尽且完整,并且向本领域的技术人员完全传达本发明的范围。相同的标号和附图标记始终表示相同的单元。
本领域的技术人员应当清楚,本发明可被实施为方法、系统和/或计算机程序产品。从而,本发明可采取完全硬件实施例、完全软件实施例或组合软件和硬件方面的实施例的形式。此外,本发明可采取计算机可用存储介质上的计算机程序产品的形式,其中该计算机可用存储介质中实施有计算机可用程序代码。可利用任何适合的计算机可读介质,包括硬盘、CD-ROM、光存储装置或磁存储装置。
用于执行根据本发明的操作的计算机程序代码或“代码”可采用面向对象的编程语言如JAVA、Smalltalk或C++、JavaScript、VisualBasic、TSQL、Perl或者各种其他编程语言编写。本发明的软件实施例不依赖于采用特定编程语言的实现。代码的各部分可以完全地在由中间服务器利用的一个或多个系统上执行。
代码可以完全地在一个或多个服务器上执行,或者它可以部分地在服务器上执行并且部分地在客户端设备内的客户端上执行,或者作为位于通信网络中的中间点的代理服务器执行。在后者场景中,客户端设备可以在LAN或WAN(例如,内联网)上连接到服务器,或者可以通过因特网(例如,因特网服务提供者)来进行连接。应当理解,本发明不是TCP/IP特定的或者因特网特定的。本发明可以在各种类型的计算机网络上使用各种协议实施。
下面参照根据本发明实施例的方法、系统和计算机程序产品的方框图和流程图描述本发明。应当理解,方框图和/或流程图中的每个块以及方框图和流程图中的块组合可通过计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机或者其他可编程数据处理设备的处理器,以产生一种机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令创建用于实现在方框图和/或流程图的一个块或多个块中指定的功能的装置。
这些计算机程序指令可被存储在计算机可读存储器中,其可引导计算机或其他可编程数据处理设备以特定方式工作,使得存储在计算机可读存储器中的指令产生一种包括实现在方框图和/或流程图的一个块或多个块中指定的功能的指令装置的产品。
计算机程序指令可被装载到计算机或其他可编程数据处理设备上,从而致使在计算机或其他可编程设备上执行一系列操作步骤,以产生一种计算机实现的过程,使得在计算机或其他可编程设备上执行的指令提供用于实现在方框图和/或流程图的一个块或多个块中指定的功能的步骤。
这里所使用的术语“服务提供者”可包括通过例如作为网站一部分的网页提供一个或多个服务的服务器。网站可包括多个文件的相关集合,其包括称作主页的开始文件。从主页,用户可访问网站上的其他文件和应用。大的网站可利用多个服务器,其可以是或者可以不是不同的,并且可以是或者可以不是在地理上分散的。例如,国际商业机器公司的网站(www.ibm.com)包括分散在全世界范围的多个位置的多个万维网服务器上的数千网页和文件。
在上述例子中,网页还可以以为独立于GUI方法的应用的程序化访问而设置的环境中的万维网服务更替。万维网服务可提供WSDL、SOAP和XML消息标准,使得程序可访问网站上以这些标准表示的应用。
根据本发明的实施例可在逻辑上分离的客户端侧/服务器侧计算环境中工作,以下有时将客户端侧/服务器侧计算环境称作客户端/服务器环境。客户端/服务器环境是涉及客户端过程(即客户端)向服务器进程(即服务器)请求服务的计算架构。一般而言,虽然客户端和服务器进程可在不同机器上或者在相同机器上工作,但是客户端/服务器环境保持进程间区别。从而,客户端/服务器环境的客户端和服务器侧被称作在逻辑上是分离的。通常,当客户端和服务器进程在单独的设备上工作时,可以针对各自进程的需要定制每个设备。例如,服务器进程可在具有大量存储器和盘空间的系统上“运行”,而客户端进程经常在具有由高端视频卡和大屏幕显示器提供的图形用户界面的系统上“运行”。
客户端可以是在用户的控制下向服务器请求信息如网页的程序如万维网浏览器。客户端的例子包括诸如Netscape Navigator(美国在线公司,杜勒斯,弗吉尼亚)和Internet Explorer(微软公司,雷蒙德,华盛顿)的浏览器。浏览器典型地提供用于检索和查看由万维网服务器供应的网页、万维网门户、应用和其他资源的图形用户界面。SOAP客户端可用来代替万维网浏览器由程序以程序化方式请求万维网服务。
由服务提供者提供的应用可在服务器上执行。服务器可以是响应来自客户端的请求的程序。服务器的一些例子是国际商业机器公司的Lotus Domino服务器系列、Apache服务器和微软的因特网信息服务器(IIS)(微软公司,雷蒙德,华盛顿)。
客户端和服务器可使用标准通信模式例如超文本传输协议(HTTP)和SOAP通信。根据HTTP请求-响应通信模型,将HTTP请求从客户端发送到服务器,并且响应HTTP请求将HTTP响应从服务器发送到客户端。工作时,服务器等待客户端打开连接并请求诸如网页的信息。作为响应,服务器将所请求信息的副本发送到客户端,关闭与客户端的连接,并且等待下一个连接。在SOAP模型中,通过XML消息交换来传送请求和响应。应当理解,服务器可响应来自多个客户端的请求。
这里所使用的“聚集系统”包括在其他方面单独的服务提供者所提供的多个服务。在这样的聚集系统中,一旦用户已被认证和授权(如这里更详细描述的那样),则用户可访问由不同服务提供者提供的服务的一些或全部。例如,聚集系统可以是多个提供医疗研究服务、新闻服务和数据挖掘服务的服务提供者。应当理解,单独的服务提供者可以是可经历单独的订购服务或者具有单独的管理授权的服务提供者。传统地,用户可能需要被单独授权以访问这些服务的每一个。然而,在聚集系统中,用户可在被授权一次之后访问该系统中的至少一些服务。
如这里更详细描述的那样,根据本发明的实施例可基于与聚集系统的用户相关联的不同聚集授权级别而提供对访问服务提供者聚集系统中的不同服务的授权。例如,在提供不同类型的在线研究工具的聚集系统中,具有第一授权级别的用户可能被给予对包括在聚集系统中的有限数目的应用的访问,而第二用户(具有更高授权级别)可能具有对更多应用的访问。而且,第二应用可具有一些应用中的读/写授权,而第一用户可被限定于只读授权。
在注册过程期间(例如,当将服务添加到聚集系统时),可分配与用户相关联的不同授权级别。注册过程可涉及与聚集系统的接口和要包括在聚集系统中的每一个服务提供者之间的通信。在根据本发明的一些实施例中,在注册过程期间,与聚集系统的接口可提供在聚集系统内允许的不同授权级别的简档。例如,该接口可向新的服务提供者通知在聚集系统中允许三个不同的授权级别。服务提供者可通过将服务提供者的本地授权级别映射到在聚集系统中提供的不同授权级别而作用于由该接口提供的授权级别。
上面一般描述的这些方案可以允许改善聚集系统上的可扩展性(即,在将新的服务提供者添加到系统的情况下),并且鉴于可在由用户访问之前发生的注册,由于可减少服务提供者与接口之间的通信而可减小开销。在根据本发明的一些其他实施例中,在注册过程期间,服务提供者可通知用户简档的接口,并且提供分类映射,以便以后在用户请求对服务的访问时基于提供者向接口返回的身份参数值而分配实际的授权级别。
图3是根据本发明一些实施例的包括多个授权级别的服务提供者聚集系统的示例图。具体地说,聚集系统300包括服务提供者310A-C和聚集系统接口340,通过该接口,用户可访问聚集系统300。每一个服务提供者310A-C在本地关联了用户身份信息335A-C,该信息反映通过例如对由服务提供者提供的服务的订购而为各自的服务提供者310A-C所知的用户。例如,服务提供者可提供通过订购可用的在线研究工具。而且,不同的订购可隐含着对已知用户或订户的不同授权级别。例如,为服务提供者310A所知的第一用户可具有授权用户访问由服务提供者310A提供的应用中的仅一个应用的第一授权级别。相反,第二用户可具有高于第一授权级别的第二授权级别,其中第二授权级别授权第二用户访问由服务提供者310A提供的所有应用。
工作时,用户可通过接口340访问聚集系统300。根据图3,用户通过接口340登录到聚集系统300,以访问由聚集系统300提供的服务。作为响应,接口340向用户与其相关联的服务提供者请求授权级别信息。具体地说,接口340可具有对身份信息341的访问,其中身份信息341表示聚集系统300的每一个已知用户与哪些服务提供者相关联以及用户偏好数据。例如,聚集系统300的一些用户可具有向服务提供者310A的订购,而其他用户可分别具有向服务提供者310B和310C的订购。
关联的服务提供者通过访问本地授权级别信息335A-C而响应授权级别信息请求,并且为请求访问聚集系统300的用户确定授权级别。例如,通过链路350联系服务提供者310A,以通过链路355向接口340提供请求访问的用户的授权级别信息。该授权级别信息可超出传统的读或写访问、管理员或权利用户访问等,因为这样的信息可能不被不同的系统理解。例如,该授权级别信息可包括描述本地用户的特征的元数据,例如所授权服务的类型、技能系列和组织责任。应当理解,用户的本地授权级别可由接口340使用以授权用户访问由聚集系统300中的其他服务提供者提供的应用。例如,具有适当高的授权级别的用户(向服务提供者310A进行了订购的用户)可被允许访问由服务提供者310B和310C提供的应用。应当理解,除了授权级别信息之外,认证信息也可被提供给接口340。例如,服务提供者310A可表示请求对访问服务的授权的用户实际上是服务提供者310A的真实订户以及具有与该认证用户的订购相关联的授权级别。
当在接口340处接收到授权级别信息时,用户可被授权访问与用户的聚集授权级别相关联的应用。例如,根据图3,如果用户具有第一级授权,则用户可被授权访问通过服务提供者310A可用的应用370和371,但是不可访问在聚集系统300内可用的任何其他应用。相反,如果用户具有第二级授权,则用户可被授权访问通过服务提供者310A可用的应用370、371和380以及通过服务提供者310B可用的应用381和382。此外,如果用户的授权级别为第三级,则用户可被授权访问通过服务提供者310A可用的应用370、371、380和390、通过服务提供者310B可用的应用381、382、391和392、以及通过服务提供者310C可用的应用393、394和395。应当理解,虽然在图3中示出了三个服务提供者,但是在根据本发明一些实施例的聚集系统中可包括更多或更少的服务提供者。
图4是示出根据本发明一些实施例的包括多个授权级别的聚集系统的操作的流程图。根据图4,在由用户访问之前,可发生在聚集系统中注册服务提供者(块405)。应当理解,当将新的服务提供者添加到聚集系统时,或者当已经包括在聚集系统内的服务提供者具有更新的信息例如现在通过聚集系统可用于访问的新应用时,可发生服务提供者的注册。
在注册期间提供的信息可通过与聚集系统的接口允许服务提供者(以及在其上提供的服务)可被用户访问。如这里所讨论的那样,在根据本发明的一些实施例中,用户的授权级别由服务提供者所返回的与在注册的时候指定的分类授权参数值比较的身份信息确定,或者在根据本发明的其他实施例中,聚集系统可提供服务提供者以后可用来将本地授权级别映射到聚集系统授权级别的预定授权级别。
聚集系统通过与聚集系统的接口接收访问服务的请求(块410)。如这里所讨论的那样,该接口可具有本地访问以识别包括每一个关联服务提供者的已知用户的信息。身份信息可以例如在用户认证过程期间从服务提供者获得。身份信息还可包括用户偏好数据例如优选语言、组织信息,例如用户被雇用在哪些部门或组织内、工作分类信息、以及也可作为用户认证过程的一部分提供的其他类型的信息。
当接收到访问请求时,与聚集系统的接口可向与用户相关联的服务提供者请求授权信息和/或认证(身份)信息(块415)。如这里所述,服务提供者可基于在本地可用于服务提供者的授权级别信息和所提供的聚集系统授权级别而确定授权级别。授权级别信息可基于用户向服务提供者的订购,其可授权用户使用与服务提供者相关联的应用的一些或全部,而且可向用户提供进一步的授权级别,例如对特定应用的只读或读/写授权级别。
服务提供者将授权级别信息和/或认证信息发送到接口,该接口基于所提供的授权级别或身份信息而授权用户访问聚集系统中的服务(块420)。如这里所述,与不同用户相关联的不同授权级别可允许一些用户访问不可用于具有较低授权级别的用户的应用。此外,具有相对较高授权级别的一些用户可具有读/写授权以例如修改或更新通过应用之一而访问的数据。
图5是示出根据本发明一些实施例的不同用户的不同授权级别的示例表。根据图5,(来自一个服务提供者的)用户A、B和C各自具有不同的授权级别,其授权用户访问包括在例如图3所示的聚集系统内的不同应用。而且,每个授权级别包括特定于包括在聚集系统中的每一个应用的授权级别。例如,用户A具有关联的授权级别“1”,其授权用户A访问组1即通过图3所示的服务提供者310A可用的应用370和371。而且,用于访问这些应用的用户A的授权被限定于只读。从而,用户A只可查看通过服务提供者310A上的应用370和371访问的数据。
相反,用户B具有授权级别“2”,其授权用户B访问组1即通过服务提供者310A可用的应用370和371。如图3所示,用户B也被授权访问组2即通过服务提供者310B可用的应用380、381和382。此外,用户B的授权级别允许通过应用370和371对数据的读/写访问,而对应用380、381和382的访问被限定于只读。
与用户A和B相反,用户具有相对高的授权级别(“3”),其授权用户C访问上面关于用户A和B所述的所有应用、以及组3即通过服务提供者310B可用的应用391和392和通过服务提供者310C可用的应用393、394和395。此外,用户C的授权级别还允许用户C读取和写入通过这些应用的任一个访问的任何数据。因此,如上所述,基于与用户相关联的不同授权级别,不同的授权级别可授权不同用户具有对不同服务的访问。
如上所述,在由用户访问聚集系统之前,服务提供者可经历注册过程,由此可预先从服务提供者为所有用户分类地确定授权级别,使得例如可减少关于授权级别和认证的通信。根据图6,聚集系统600包括与其的接口640和可提供应用以由聚集系统600的用户访问的服务提供者610A-C。此外,每一个服务提供者610A-610C具有对与各自的服务提供者相关联的用户的本地身份信息的访问。例如,每一个服务提供者可提供独立的服务(除了成为聚集系统600的一部分之外),使得用户可向服务提供者订购,因此可通过接口640访问聚集系统600。
在根据本发明的一些实施例中,在注册过程期间,服务提供者610A-C提供从每一个各自的服务提供者可用的应用列表以及用于确定可与对这些应用的访问相关联的授权级别的因素。例如,服务提供者610A可以随同授权用户访问这些应用的不同授权级别包括读/写或只读类型授权级别一起提供从其可用的服务列表。从而,在注册过程期间,服务提供者610A-C可提供各自的服务提供者支持哪些聚集授权级别,以及每一个授权级别特定地授权关联的用户在聚集系统600内做什么操作。例如,如果服务提供者610A支持聚集授权级别“1”、“2”和“3”,则服务提供者610A可在授权级别信息中表明级别“1”授权对特定类型的可用应用的只读访问,级别“2”授权以不同的只读和读/写授权级别访问在服务提供者610A和610B上可用的特定类型的应用,并且级别“3”授权用户以读/写授权级别访问通过服务提供者610A-C可用的全部应用。
在根据本发明的其他实施例中,接口640向服务提供者提供在聚集系统600内识别的预定授权级别。因此,在完成注册时,每一个服务提供者610A-C包括对于访问聚集系统600的用户有效的任何授权级别的列表。工作时,当用户访问聚集系统600时,接口640向与请求访问的用户相关联的各个服务提供者610A-C请求授权信息。作为响应,服务提供者610A-C可将与用户相关联的身份信息映射到在注册过程期间由接口640提供的预定授权级别之一。应当理解,这种注册过程中的授权级别可用来提供这里描述的功能。
如这里所述,根据本发明的实施例可基于与聚集系统的用户相关联的不同聚集授权级别而提供对访问服务提供者聚集系统中的不同服务的授权。例如,在提供不同类型的在线研究工具的聚集系统中,具有第一授权级别的用户可能被给予对包括在聚集系统中的有限数目的应用的访问,而第二用户(具有较高授权级别)可能具有对更多应用的访问。而且,第二用户可具有一些应用中的读/写授权,而第一用户可被限定于只读授权。
在给出本公开内容的优点的情况下,本领域的普通技术人员可进行各种变更和修改而不脱离本发明的精神和范围。因此,必须理解,所示实施例仅是为了示例的目的而阐述的,并且其不应当被认为是限制由所附权利要求限定的本发明。因此,所附权利要求应当被阅读成不仅包括在字面意义上阐述的单元的组合,而且包括用于以基本上相同的方式执行基本上相同的功能以获得基本上相同的结果的所有等效单元。因此,权利要求应当被理解成包括上面具体图示和描述的内容,在概念上相同的内容以及包括本发明的基本思想的内容。
Claims (20)
1.一种在连网应用服务环境中提供服务的方法,包括:
基于与用户相关联的不同聚集授权级别,授权对来自包括在服务提供者聚集系统中的不同服务提供者的不同服务的访问。
2.根据权利要求1所述的方法,其中授权还包括:
基于第一授权级别而允许对来自服务器的第一服务的访问并且禁止对来自服务器的第二服务的访问;以及
基于第二授权级别而允许对来自服务器的第二服务的访问。
3.根据权利要求2所述的方法,其中第一授权级别包括从本地系统授权级别映射的聚集系统中的聚集系统授权级别。
4.根据权利要求2所述的方法,其中第一服务包括基于第一授权级别而可被用户访问的第一应用,并且第二服务包括基于第二授权级别而可被用户访问的第二应用。
5.根据权利要求1所述的方法,其中授权还包括:
基于第一授权级别而允许对来自服务器的服务的只读访问;以及
基于第二授权级别而允许对来自服务器的服务的读/写访问。
6.根据权利要求1所述的方法,其中不同服务包括基于与用户相关联的授权级别而可被用户访问的不同应用。
7.根据权利要求1所述的方法,其中在访问之前执行授权。
8.根据权利要求1所述的方法,其中授权包括响应通过聚集系统的接口由用户访问而将用于访问该系统中的服务的授权级别与认证一起提供给该接口。
9.根据权利要求8所述的方法,其中响应来自接口的单个认证请求,将授权级别和认证提供给接口。
10.根据权利要求1所述的方法,由在计算机可读介质中实施的计算机程序产品执行。
11.根据权利要求1所述的方法,由包括以下装置的系统执行:
用于基于与用户相关联的不同聚集授权级别而授权对来自包括在服务提供者聚集系统中的不同服务提供者的不同服务的访问的装置。
12.一种在连网应用服务环境中提供服务的方法,包括:
从与服务提供者聚集系统的接口接收认证用户的请求;
确定与用户相关联的用来访问聚集系统中的服务的授权级别;以及
将对用户的用户认证和与其相关联的授权级别提供给接口。
13.根据权利要求12所述的方法,其中授权级别包括对通过聚集系统中的第一服务提供者可用的第一应用的第一授权级别、以及对通过聚集系统中的第二服务提供者可用的第二应用的第二授权级别。
14.根据权利要求13所述的方法,其中第一授权级别包括对第一应用的只读访问,并且第二授权级别包括对第二应用的读/写访问。
15.一种在连网应用服务环境中提供服务的方法,包括:
在包括从服务提供者可用的服务的服务提供者聚集系统中注册服务提供者;
在与聚集系统的接口处从用户接收用于访问服务提供者聚集系统的请求;
向包括在聚集系统中的具有与用户相关联的简档的服务提供者请求对用户的认证;以及
接收对用户的认证和与其相关联的授权级别。
16.根据权利要求15所述的方法,还包括:
基于与服务提供者相关联的用户订购,在服务提供者处确定用户的授权级别,以表明聚集系统中的哪些服务可被用户访问;以及
根据授权级别允许通过接口对服务的访问。
17.根据权利要求15所述的方法,还包括:
基于与服务提供者相关联的用户订购,在服务提供者处确定用户的授权级别,以表明聚集系统中的哪些服务可被用户访问;以及
根据授权级别允许通过接口对服务的访问。
18.根据权利要求15所述的方法,还包括:
将在聚集系统中可用的不同授权级别从接口提供给服务提供者;以及
在服务提供者处确定不同授权级别中的哪个适用于用户,以表明聚集系统中的哪些服务可被用户访问。
19.一种用于在连网应用服务环境中提供服务的系统,包括:
用于在包括从服务提供者可用的服务的服务提供者聚集系统中注册服务提供者的装置;
用于在与聚集系统的接口处从用户接收用于访问服务提供者聚集系统的请求的装置;
用于向包括在聚集系统中的具有与用户相关联的简档的服务提供者请求对用户的认证的装置;以及
用于接收对用户的认证和与其相关联的授权级别的装置。
20.一种用于在连网应用服务环境中提供服务的计算机程序产品,包括:
其中实施有计算机可读程序代码的计算机可读介质,该计算机可读程序产品包括:
被配置成在包括从服务提供者可用的服务的服务提供者聚集系统中注册服务提供者的计算机可读程序代码;
被配置成在与聚集系统的接口处从用户接收被配置成访问服务提供者聚集系统的请求的计算机可读程序代码;
被配置成向包括在聚集系统中的具有与用户相关联的简档的服务提供者请求对用户的认证的计算机可读程序代码;以及
被配置成接收对用户的认证和与其相关联的授权级别的计算机可读程序代码。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/926,550 | 2004-08-26 | ||
| US10/926,550 US7506363B2 (en) | 2004-08-26 | 2004-08-26 | Methods, systems, and computer program products for user authorization levels in aggregated systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1741470A true CN1741470A (zh) | 2006-03-01 |
| CN100399749C CN100399749C (zh) | 2008-07-02 |
Family
ID=36035604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100789776A Active CN100399749C (zh) | 2004-08-26 | 2005-06-21 | 用于聚集系统中的用户授权级别的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7506363B2 (zh) |
| CN (1) | CN100399749C (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104995865A (zh) * | 2013-03-14 | 2015-10-21 | 英特尔公司 | 基于声音和/或面部辨识的服务提供 |
| CN105637814A (zh) * | 2013-06-28 | 2016-06-01 | 英特尔公司 | 受监督的在线身份 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4902981B2 (ja) * | 2004-10-05 | 2012-03-21 | 株式会社リコー | サービス提供システム及びサービス提供方法 |
| US20060130150A1 (en) * | 2004-12-09 | 2006-06-15 | Garza-Gonzalez Daniel C | Context-sensitive authorization |
| US8497761B2 (en) | 2005-01-13 | 2013-07-30 | Rite-Hite Holding Corporation | System and method for remotely controlling docking station components |
| KR100906109B1 (ko) * | 2007-06-20 | 2009-07-07 | 엔에이치엔(주) | 3a 기반의 다양한 어플리케이션 상태를 제공하는유비쿼터스 프리젠스 서비스 방법 및 시스템 |
| US8819763B1 (en) * | 2007-10-05 | 2014-08-26 | Xceedium, Inc. | Dynamic access policies |
| US8627493B1 (en) * | 2008-01-08 | 2014-01-07 | Juniper Networks, Inc. | Single sign-on for network applications |
| US8141140B2 (en) * | 2008-05-23 | 2012-03-20 | Hsbc Technologies Inc. | Methods and systems for single sign on with dynamic authentication levels |
| US8656462B2 (en) * | 2008-07-24 | 2014-02-18 | Zscaler, Inc. | HTTP authentication and authorization management |
| US9379895B2 (en) | 2008-07-24 | 2016-06-28 | Zscaler, Inc. | HTTP authentication and authorization management |
| US9444823B2 (en) * | 2008-12-24 | 2016-09-13 | Qualcomm Incorporated | Method and apparatus for providing network communication association information to applications and services |
| US8555407B2 (en) * | 2009-10-09 | 2013-10-08 | Lockheed Martin Corporation | On demand visibility services and smart directory |
| US9479509B2 (en) | 2009-11-06 | 2016-10-25 | Red Hat, Inc. | Unified system for authentication and authorization |
| US8561207B2 (en) * | 2010-08-20 | 2013-10-15 | Apple Inc. | Authenticating a multiple interface device on an enumerated bus |
| US8578278B2 (en) * | 2010-12-22 | 2013-11-05 | Sap Ag | Dynamic user interface content adaptation and aggregation |
| US9641503B2 (en) * | 2014-10-03 | 2017-05-02 | Amazon Technologies, Inc. | Using credentials stored in different directories to access a common endpoint |
| CN107528829B (zh) * | 2017-07-31 | 2021-07-27 | 湖南国科微电子股份有限公司 | Bmc芯片、服务器端及其远程监控管理方法 |
| SE2030130A1 (sv) * | 2020-04-17 | 2021-10-18 | Anders Kellman | Elektronisk system för betalning och affärsidentifiering |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7324972B1 (en) * | 1997-03-07 | 2008-01-29 | Clickshare Service Corporation | Managing transactions on a network: four or more parties |
| WO2000044119A1 (en) * | 1999-01-26 | 2000-07-27 | Infolio, Inc. | Universal mobile id system and method for digital rights management |
| US7340439B2 (en) * | 1999-09-28 | 2008-03-04 | Chameleon Network Inc. | Portable electronic authorization system and method |
| US20030154405A1 (en) * | 2000-02-28 | 2003-08-14 | John Harrison | Information processing system and method |
| US6973621B2 (en) * | 2001-04-27 | 2005-12-06 | Starz Entertainment Group Llc | Customization in a content distribution system |
| US7107610B2 (en) * | 2001-05-11 | 2006-09-12 | Intel Corporation | Resource authorization |
| US7181500B2 (en) | 2001-06-18 | 2007-02-20 | Microsoft Corporation | System and method for utilizing personal information to customize an application program |
| CN1338845A (zh) * | 2001-09-27 | 2002-03-06 | 杨平良 | 基于互联网终端用户身份认证及联接系统 |
| GB0207507D0 (en) * | 2002-03-28 | 2002-05-08 | Marconi Corp Plc | An apparatus for providing communications network resource |
| CN1194502C (zh) * | 2002-04-22 | 2005-03-23 | 华为技术有限公司 | 一种管理网络用户访问权限的系统和方法 |
| US7272550B2 (en) * | 2002-04-23 | 2007-09-18 | International Business Machines Corporation | System and method for configurable binding of access control lists in a content management system |
| CN1231031C (zh) * | 2002-06-28 | 2005-12-07 | 华为技术有限公司 | 一种基于多网络服务提供商的地址分配及服务的方法 |
| US7752438B2 (en) * | 2002-08-27 | 2010-07-06 | Hewlett-Packard Development Company, L.P. | Secure resource access |
| JP2006512705A (ja) * | 2002-12-30 | 2006-04-13 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 情報伝達媒体再生装置からのコンテンツアクセス制御 |
| US20050197859A1 (en) * | 2004-01-16 | 2005-09-08 | Wilson James C. | Portable electronic data storage and retreival system for group data |
| US7505482B2 (en) * | 2004-11-15 | 2009-03-17 | At&T Intellectual Property I, L.P. | Application services infrastructure for next generation networks |
-
2004
- 2004-08-26 US US10/926,550 patent/US7506363B2/en active Active
-
2005
- 2005-06-21 CN CNB2005100789776A patent/CN100399749C/zh active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104995865A (zh) * | 2013-03-14 | 2015-10-21 | 英特尔公司 | 基于声音和/或面部辨识的服务提供 |
| CN104995865B (zh) * | 2013-03-14 | 2018-06-08 | 英特尔公司 | 基于声音和/或面部辨识的服务提供 |
| CN105637814A (zh) * | 2013-06-28 | 2016-06-01 | 英特尔公司 | 受监督的在线身份 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7506363B2 (en) | 2009-03-17 |
| CN100399749C (zh) | 2008-07-02 |
| US20060059564A1 (en) | 2006-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100399749C (zh) | 用于聚集系统中的用户授权级别的方法和系统 | |
| US7917635B2 (en) | Simplex communications parameters of remote sessions system and method for controlling remote communications | |
| JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
| US7814536B2 (en) | User authentication | |
| US8010698B2 (en) | Network application layer routing | |
| US7080077B2 (en) | Localized access | |
| US7249369B2 (en) | Post data processing | |
| US7464162B2 (en) | Systems and methods for testing whether access to a resource is authorized based on access information | |
| US8701173B2 (en) | System and method for providing silent sign on across distributed applications | |
| US20020103903A1 (en) | Methods, systems and computer program products for selectively allowing users of a multi-user system access to network resources | |
| US20010013096A1 (en) | Trusted services broker for web page fine-grained security labeling | |
| US20060031442A1 (en) | Method and system for externalizing session management using a reverse proxy server | |
| US20060168221A1 (en) | Multi-domain access proxy for handling security issues in browser-based applications | |
| US7587488B2 (en) | Dynamic background rater for internet content | |
| WO2004036351A2 (en) | Cross-site timed out authentication management | |
| WO2002005487A1 (en) | A system for logging access system events and providing identity management and access management for a network | |
| WO2002005185A1 (en) | Query string processing | |
| EP1999614A2 (en) | Systems and methods for managing hosted services | |
| EP0989501A2 (en) | Method and apparatus for collaboration support | |
| US20030187976A1 (en) | Tracking users at a web server network | |
| CN101960802A (zh) | 实现会话专用统一资源定位符和资源 | |
| CN1816808A (zh) | 用于产生与客户机特性匹配的网页的方法和系统 | |
| JP2011203800A (ja) | 企業Webページ管理システム | |
| WO2002029582A1 (en) | Systems and methods of internet chat sessions among multiple users visiting any designated website |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |