JP2015531511A5 - - Google Patents

Claims (24)

1. コンピュータにより実行される方法であって、前記方法は、
   共有のアイデンティティ管理システムにより、共有のコンピューティング環境の複数の顧客のうち第１の顧客と関連付けられたユーザのアイデンティティの第１のセットを作成するステップを備え、前記共有のコンピューティング環境は、前記複数の顧客のそれぞれ顧客と関連付けられたユーザにサービスを提供すると、
   前記共有のコンピューティング環境下で、前記ユーザのアイデンティティの第１のセットを特定し、かつ前記ユーザのアイデンティティの第１のセットと前記第１の顧客とを関連付けるデータを格納するステップと、
   前記第１の顧客と、前記共有のコンピューティング環境内で利用可能な第１の複数のサービスとを関連付けるステップと、
   前記第１の複数のサービスと前記第１の顧客との関連付けに基づいて、前記共有のアイデンティティ管理システムにより、前記ユーザのアイデンティティの第１のセットを前記第１の複数のサービス内のすべてのサービスにアクセス可能との決定をするステップと、
   前記共有のアイデンティティ管理システムにより、前記複数の顧客の第２の顧客と関連付けられたユーザのアイデンティティの第２のセットを作成するステップと、
   前記共有のコンピューティング環境下で、前記ユーザのアイデンティティの第２のセットを特定し、かつ前記ユーザのアイデンティティの第２のセットと前記第２の顧客とを関連付けるデータを格納するステップと、
   前記第２の顧客と、前記共有のコンピューティング環境内で利用可能な第２の複数のサービスとを関連付けるステップと、
   前記第２の複数のサービスと前記第２の顧客との関連付けに基づいて、前記共有のアイデンティティ管理システムにより、前記ユーザのアイデンティティの第２のセットを前記第２の複数のサービス内のすべてのサービスにアクセス可能との決定をするステップとを備え、
   前記第１の複数のサービスは、前記第２の複数のサービスとは異なり、
   前記共有のアイデンティティ管理システムは、前記第２の顧客でなく、前記第１の顧客専用の第１のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
   前記共有のアイデンティティ管理システムは、前記第１の顧客でなく、前記第２の顧客専用の第２のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
   前記第１のドメインおよび前記第２のドメインは、前記共有のコンピューティング環境のドメインである、方法。
2. 前記共有のアイデンティティ管理システムを介して、（ａ）前記ユーザのアイデンティティの第１のセットの第１のユーザを（ｂ）前記第１の複数のサービスのサブセットに対して第１のアクセス許可にマッピングするステップと、
   前記共有のアイデンティティ管理システムを介して、（ｃ）前記ユーザのアイデンティティの第２のセットの第２のユーザを（ｄ）前記第２の複数のサービスのサブセットに対して第２のアクセス許可にマッピングするステップとをさらに含み、
   前記ユーザのアイデンティティの第１のセットは、前記第１の顧客である組織の人員のアイデンティティのセットであり、
   前記ユーザのアイデンティティの第２のセットは、前記第２の顧客である組織の人員のアイデンティティのセットである、請求項１に記載のコンピュータにより実行される方法。
3. 前記共有のアイデンティティ管理システムを介して、（ａ）前記ユーザのアイデンティティの第１のセットの第１のユーザを（ｂ）前記第１の複数のサービスのサブセットに対して第１のアクセス許可にマッピングされた第１のロールにマッピングするステップと、
   前記共有のアイデンティティ管理システムを介して、（ｃ）前記ユーザのアイデンティティの第２のセットの第２のユーザを（ｄ）前記第２の複数のサービスのサブセットに対して第２のアクセス許可にマッピングされた第２のロールにマッピングするステップとをさらに含む、請求項１または２に記載のコンピュータにより実行される方法。
4. 前記ユーザのアイデンティティの第１のセットにおけるユーザが、前記サービスの第１のセットでなく、前記サービスの第２のセットにおけるサービスに対するオペレーションを行なうことを防止するステップと、
   前記ユーザのアイデンティティの第２のセットにおけるユーザが、前記サービスの第２のセットでなく、前記サービスの第１のセットにおけるサービスに対するオペレーションを行なうことを防止するステップとをさらに含む、請求項１〜３のいずれか一項に記載のコンピュータにより実行される方法。
5. 前記ユーザのアイデンティティの第１のセットの前記アイデンティティを、顧客により分割されたライトウェイトアクセスプロトコル（ＬＤＡＰ）ディレクトリの第１のパーティション内に格納するステップと、
   前記ユーザのアイデンティティの第２のセットの前記アイデンティティを、前記ＬＤＡＰディレクトリの第２のパーティション内に格納するステップとをさらに含む、請求項１〜４のいずれか一項に記載のコンピュータにより実行される方法。
6. 特定のユーザが、ログインプロセスの一部として、前記特定のユーザがアクセスしようとしている前記共有のコンピューティング環境の特定のビューを識別できるユーザインターフェイス要素を含むユーザインターフェイスを提示するステップをさらに含む、請求項１〜５のいずれか一項に記載のコンピュータにより実行される方法。
7. 前記複数の顧客の特定の顧客と関連付けられたユーザのセットに対してユーザアイデンティティを追加および削除するための制御を提供するコンソールを提示するステップと、
   アイデンティティドメイン管理者から前記コンソールを介してコマンドを受取るステップと、
   前記アイデンティティドメイン管理者が所属するユーザの特定のセットを決定するステップと、
   前記アイデンティティドメイン管理者により前記コンソールを介して前記ユーザの特定のセットに行なわれるユーザアイデンティティ追加および削除オペレーションを制限するステップとをさらに含む、請求項１〜６のいずれか一項に記載のコンピュータにより実行される方法。
8. 前記ユーザのアイデンティティの第１のセットの第１のユーザにアイデンティティドメイン管理者ロールを割り当てるステップをさらに含み、前記アイデンティティドメイン管理者ロールは、前記ユーザのアイデンティティの第１のセットにおけるアイデンティティを有する他のユーザにサービス管理者ロールを割り当てる能力を前記第１のユーザに付与し、前記方法はさらに、
   アイデンティティドメイン管理者としての前記第１のユーザにより選択された前記ユーザのアイデンティティの第１のセットの第２のユーザに、第１のサービス管理者ロールを割り当てるステップを含み、前記第１のサービス管理者ロールは、前記第１の複数のサービスの第１のサービスを管理する能力を前記第２のユーザに付与し、前記方法はさらに、
   前記アイデンティティドメイン管理者としての前記第１のユーザにより選択された前記ユーザのアイデンティティの第１のセットの第３のユーザに、第２のサービス管理者ロールを割り当てるステップを含み、前記第２のサービス管理者ロールは、前記第１の複数のサービスの第２のサービスを管理する能力を前記第３のユーザに付与する、請求項１〜７のいずれか一項に記載のコンピュータにより実行される方法。
9. 前記ユーザのアイデンティティの第１のセットにおけるユーザアイデンティティを有さないが、前記第１の顧客のアカウントと関連付けられた第１の人から、前記ユーザの第１のセットにおけるユーザアイデンティティを同様に有さない第２の人の電子メールアドレスを受取るステップと、
   前記第１の人から、前記第１の人が前記第２の人を指名しているロールを受取るステップと、
   前記第２の人の前記電子メールアドレスに、前記ユーザのアイデンティティの第１のセット内のユーザアイデンティティを作成するのに利用可能なウェブベースフォームへのハイパーリンクを含む電子メールメッセージを送信するステップと、
   前記ウェブベースフォームを介して前記第２の人が供給した情報に基づいて、前記ユーザのアイデンティティの第１のセットに前記第２の人のアイデンティティを追加するステップと、
   前記第２の人の前記アイデンティティに前記ロールを割り当てるステップとをさらに含む、請求項１〜８のいずれか一項に記載のコンピュータにより実行される方法。
10. 前記サービスの第１のセットに特定のサービスを追加する要求を受取るステップと、
    前記要求に応じて前記サービスの第１のセットに前記特定のサービスを追加するステップと、
    前記共有のコンピューティング環境内に、前記特定のサービスのタイプに基づいてロールの複数の階層から自動的に選択されたロールの階層を定義するステップとをさらに含む、請求項１〜９のいずれか一項に記載のコンピュータにより実行される方法。
11. 前記サービスの第１のセットにおけるサービスのインスタンスである特定のサービスインスタンスを、アイデンティティストアの第１のパーティションに結び付けるステップと、
    前記特定のサービスインスタンスを、前記複数の顧客のそれぞれの顧客と関連付けられた複数のサービスインスタンスについてのポリシーを格納するポリシーストアの第２のパーティションに結び付けるステップとをさらに含み、
    前記第１のパーティションは、前記第１の顧客と関連付けられたアイデンティティのみを含み、
    前記第２のパーティションは、前記特定のサービスインスタンスに関係するポリシーのみを含む、請求項１〜１０のいずれか一項に記載のコンピュータにより実行される方法。
12. １つ以上のプロセッサに特定されるオペレーションを行なわせることの可能な特定の命令を格納するコンピュータ読取可能ストレージメモリであって、前記特定の命令は、
    共有のコンピューティング環境の複数の顧客のそれぞれの顧客と関連付けられたユーザにサービスを提供する前記共有のコンピューティング環境内に複数の顧客対サービス関連付けおよび複数の顧客対ユーザ関連付けを作成する命令と、
    前記顧客対サービス関連付けおよび前記顧客対ユーザ関連付けに基づいて、前記共有のコンピューティング環境の複数のユーザの各特定のユーザ毎に、前記特定のユーザがアクセスを許可されるサービスのサブセットを決定する命令と、
    前記複数の顧客対サービス関連付けの特定の顧客対サービス関連付けにサービスインスタンスを追加する命令と、
    前記サービスインスタンスと、前記顧客対ユーザ関連付けの各々からのユーザについて
    のアイデンティティを格納するアイデンティティストアの特定のパーティションとを関連付けるデータを格納する命令と、
    前記サービスインスタンスと、前記顧客対サービス関連付けの各々からのサービスインスタンスについてのポリシーを格納するポリシーストアの特定のパーティションとを関連付けるデータを格納する命令と、
    前記複数の顧客の第２の顧客でなく、前記複数の顧客の第１の顧客専用の第１のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供する共有のアイデンティティ管理システムを提供する命令とを含み、
    前記共有のアイデンティティ管理システムは、前記第１の顧客でなく、前記第２の顧客専用の第２のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記第１のドメインおよび前記第２のドメインは、前記共有のコンピューティング環境のドメインである、コンピュータ読取可能ストレージメモリ。
13. 装置であって、前記装置は、
    １つ以上のプロセッサと、
    特定の命令を格納するコンピュータ読取可能ストレージメモリとを備え、前記特定の命令は、
    共有のコンピューティング環境の複数の顧客のそれぞれの顧客と関連付けられたユーザにサービスを提供する前記共有のコンピューティング環境下でシングルアイデンティティ管理（ＩＤＭ）システムを確立させる命令と、
    前記シングルＩＤＭシステムに、前記共有のコンピューティング環境の第１の顧客と関連付けられた第１のサービスインスタンスにＩＤＭ機能を提供させる命令と、
    前記シングルＩＤＭシステムに、前記共有のコンピューティング環境の第２の顧客と関連付けられた第２のサービスインスタンスにＩＤＭ機能を提供させる命令と、
    前記シングルＩＤＭシステムに、前記第１の顧客と関連付けられたユーザが前記第２のサービスインスタンスにアクセスすることを防止させる命令と、
    前記シングルＩＤＭシステムに、前記第２の顧客と関連付けられたユーザが前記第１のサービスインスタンスにアクセスすることを防止させる命令とを備え、
    前記シングルＩＤＭシステムは、前記第２の顧客でなく、前記第１の顧客専用の第１のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記シングルＩＤＭシステムは、前記第１の顧客でなく、前記第２の顧客専用の第２のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記第１のドメインおよび前記第２のドメインは、前記共有のコンピューティング環境のドメインである、装置。
14. １つ以上のプロセッサに特定されるオペレーションを行わせるコンピュータ読取可能プログラムであって、前記コンピュータ読取可能プログラムは、
    共有のコンピューティング環境の複数の顧客のそれぞれの顧客と関連付けられたユーザにサービスを提供する前記共有のコンピューティング環境内に複数の顧客対サービス関連付けおよび複数の顧客対ユーザ関連付けを作成する命令と、
    前記顧客対サービス関連付けおよび前記顧客対ユーザ関連付けに基づいて、前記共有のコンピューティング環境の複数のユーザの各特定のユーザ毎に、前記特定のユーザがアクセスを許可されるサービスのサブセットを決定する命令と、
    前記複数の顧客対サービス関連付けの特定の顧客対サービス関連付けにサービスインスタンスを追加する命令と、
    前記サービスインスタンスと、前記顧客対ユーザ関連付けの各々からのユーザについてのアイデンティティを格納するアイデンティティストアの特定のパーティションとを関連付けるデータを格納する命令と、
    前記サービスインスタンスと、前記顧客対サービス関連付けの各々からのサービスインスタンスについてのポリシーを格納するポリシーストアの特定のパーティションとを関連付けるデータを格納する命令と、
    前記複数の顧客の第２の顧客でなく、前記複数の顧客の第１の顧客専用の第１のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供する共有のアイデンティティ管理システムを提供する命令とを備え、
    前記共有のアイデンティティ管理システムは、前記第１の顧客でなく、前記第２の顧客専用の第２のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記第１のドメインおよび前記第２のドメインは、前記共有のコンピューティング環境のドメインである、コンピュータ読取可能プログラム。
15. 前記アイデンティティストアに格納され、かつ特定の顧客対ユーザ関連付けにおいて特定される第１のユーザアイデンティティを有する第１のユーザに、ロールの階層から、第１のロールを割り当てる命令をさらに含み、
    前記第１のロールは、前記第１のロールを有するユーザが、前記特定の顧客対サービス関連付けにおいて特定されるすべてのサービスインスタンスを管理することを可能にするロールであり、
    前記アイデンティティストアに格納された第２のユーザアイデンティティを有する第２のユーザに、前記ロールの階層から、第２のロールを割り当てる命令を含み、
    前記第２のロールは、前記第２のロールを有するユーザが、前記特定の顧客対サービス関連付けにおいて特定される単一のサービスインスタンスを管理することを可能にするロールである、請求項１４に記載のコンピュータ読取可能プログラム。
16. 前記第２のユーザに前記第２のロールを割り当てる命令は、前記第１のユーザが前記第２のユーザに前記第２のロールを委任することに応じて、前記第２のユーザに前記第２のロールを割り当てる命令を含む、請求項１５に記載のコンピュータ読取可能プログラム。
17. 前記サービスインスタンスを追加する命令は、特定のサービスインスタンスのタイプに関連付けられた複数のロールにより定義される第３のロールを、前記アイデンティティストアに格納され、前記特定の顧客対ユーザ関連付けにおいて特定される第３のアイデンティティを有する第３のユーザに割り当てる命令を含む、請求項１５または１６に記載のコンピュータ読取可能プログラム。
18. 前記第２のロールに、前記第３のロールと関連付けられたすべての許可を継承させる命令をさらに含み、前記第１のロールに、前記第２のロールにより継承されたすべての許可を継承させる命令を含む、請求項１７に記載のコンピュータ読取可能プログラム。
19. 特定される電子メールアドレスに電子メールメッセージを送信する命令をさらに含み、前記電子メールメッセージは、前記電子メールメッセージの受信者が、前記特定の顧客対ユーザ関連付け内に管理アイデンティティを確立できるメカニズムを提供する、請求項１４〜１８のいずれか一項に記載のコンピュータ読取可能プログラム。
20. クラウドコンピューティング環境内にシングルアイデンティティ管理（ＩＤＭ）を含むシステムであって、前記システムは、
    共有のコンピューティング環境の第１の顧客と関連付けられた第１のサービスインスタンスにＩＤＭ機能を提供する手段と、
    前記共有のコンピューティング環境の第２の顧客と関連付けられた第２のサービスインスタンスにＩＤＭ機能を提供する手段と、
    前記第１の顧客と関連付けられたユーザが前記第２のサービスインスタンスにアクセスすることを防止する手段と、
    前記第２の顧客と関連付けられたユーザが前記第１のサービスインスタンスにアクセスすることを防止する手段とを備え、
    前記第１のサービスインスタンスにＩＤＭ機能を提供する手段は、前記第２のサービスインスタンスにＩＤＭ機能を提供する手段であり、
    前記第１のサービスインスタンスにＩＤＭ機能を提供する手段は、前記第２の顧客でなく、前記第１の顧客専用の第１のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記第２のサービスインスタンスにＩＤＭ機能を提供する手段は、前記第１の顧客でなく、前記第２の顧客専用の第２のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記第１のドメインおよび前記第２のドメインは、前記共有のコンピューティング環境のドメインである、システム。
21. 前記共有のコンピューティング環境内に維持される単一のアイデンティティストア内の前記第２の顧客でなく、前記第１の顧客と関連付けられたユーザアイデンティティを格納する手段と、
    前記単一のアイデンティティストア内の前記第１の顧客でなく、前記第２の顧客と関連付けられたユーザアイデンティティを格納する手段と、
    第１のクレデンシャルを生成する手段とをさらに含み、前記第１のクレデンシャルは、前記第１のサービスインスタンスが、前記第１の顧客と関連付けられないユーザアイデンティティを含む前記単一のアイデンティティストアの部分でなく、前記第１の顧客と関連付けられたユーザアイデンティティを含む前記単一のアイデンティティストアの部分と対話することを許可し、前記システムはさらに、
    第２のクレデンシャルを生成する手段を含み、前記第２のクレデンシャルは、前記第２のサービスインスタンスが、前記第２の顧客と関連付けられないユーザアイデンティティを含む前記単一のアイデンティティストアの部分でなく、前記第２の顧客と関連付けられたユーザアイデンティティを含む前記単一のアイデンティティストアの部分と対話することを許可する、請求項２０に記載のシステム。
22. 前記共有のコンピューティング環境内に維持される単一のポリシーストア内の前記第２のサービスインスタンスでなく、前記第１のサービスインスタンスと関連付けられたセキュリティアクセスポリシーを格納する手段と、
    前記単一のポリシーストア内の前記第１のサービスインスタンスでなく、前記第２のサービスインスタンスと関連付けられたセキュリティアクセスポリシーを格納する手段と、
    第１のクレデンシャルを生成させる手段とをさらに含み、前記第１のクレデンシャルは、前記第１のサービスインスタンスが、前記第１のサービスインスタンスと関連付けられないセキュリティアクセスポリシーを含む前記単一のポリシーストアの部分でなく、前記第１のサービスインスタンスと関連付けられたセキュリティアクセスポリシーを含む前記単一のポリシーストアの部分と対話することを許可し、前記システムはさらに、
    第２のクレデンシャルを生成させる手段を含み、前記第２のクレデンシャルは、前記第２のサービスインスタンスが、前記第２のサービスインスタンスと関連付けられないセキュリティアクセスポリシーを含む前記単一のポリシーストアの部分でなく、前記第２のサービスインスタンスと関連付けられたセキュリティアクセスポリシーを含む前記単一のポリシーストアの部分と対話することを許可する、請求項２０または２１に記載のシステム。
23. コンピュータ読取可能媒体であって、前記コンピュータ読取可能媒体は、１つ以上のプロセッサにより実行されると、コンピュータに、
    共有のコンピューティング環境の複数の顧客のそれぞれの顧客と関連付けられたユーザにサービスを提供する前記共有のコンピューティング環境内に複数の顧客対サービス関連付けおよび複数の顧客対ユーザ関連付けを作成させる命令と、
    前記顧客対サービス関連付けおよび前記顧客対ユーザ関連付けに基づいて、前記共有のコンピューティング環境の複数のユーザの各特定のユーザ毎に、前記特定のユーザがアクセスを許可されるサービスのサブセットを決定させる命令と、
    前記複数の顧客対サービス関連付けの特定の顧客対サービス関連付けにサービスインスタンスを追加させる命令と、
    前記サービスインスタンスと、前記顧客対ユーザ関連付けの各々からのユーザについてのアイデンティティを格納するアイデンティティストアの特定のパーティションとを関連付けるデータを格納させる命令と、
    前記サービスインスタンスと、前記顧客対サービス関連付けの各々からのサービスインスタンスについてのポリシーを格納するポリシーストアの特定のパーティションとを関連付けるデータを格納させる命令と、
    前記複数の顧客の第２の顧客でなく、前記複数の顧客の第１の顧客専用の第１のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供する共有のアイデンティティ管理システムを提供させる命令とを保持し、
    前記共有のアイデンティティ管理システムは、前記第１の顧客でなく、前記第２の顧客専用の第２のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記第１のドメインおよび前記第２のドメインは、前記共有のコンピューティング環境のドメインである、コンピュータ読取可能媒体。
24. システムであって、前記システムは、
    １つ以上のプロセッサと、
    コンピュータ読取可能媒体とを備え、前記コンピュータ読取可能媒体は、前記１つ以上のプロセッサにより実行されると、コンピュータに、
    共有のコンピューティング環境の複数の顧客のそれぞれの顧客と関連付けられたユーザにサービスを提供する前記共有のコンピューティング環境下でシングルアイデンティティ管理（ＩＤＭ）システムを確立させる命令と、
    前記シングルＩＤＭシステムに、前記共有のコンピューティング環境の第１の顧客と関連付けられた第１のサービスインスタンスにＩＤＭ機能を提供させる命令と、
    前記シングルＩＤＭシステムに、前記共有のコンピューティング環境の第２の顧客と関連付けられた第２のサービスインスタンスにＩＤＭ機能を提供させる命令と、
    前記シングルＩＤＭシステムに、前記第１の顧客と関連付けられたユーザが前記第２のサービスインスタンスにアクセスすることを防止させる命令と、
    前記シングルＩＤＭシステムに、前記第２の顧客と関連付けられたユーザが前記第１のサービスインスタンスにアクセスすることを防止させる命令とを保持し、
    前記シングルＩＤＭシステムは、前記第２の顧客でなく、前記第１の顧客専用の第１のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記シングルＩＤＭシステムは、前記第１の顧客でなく、前記第２の顧客専用の第２のドメイン内にプロビジョニングされたサービスにアイデンティティ管理機能を提供し、
    前記第１のドメインおよび前記第２のドメインは、前記共有のコンピューティング環境のドメインである、システム。