JP2016511479A - 企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポート方法、およびシステム。 - Google Patents

企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポート方法、およびシステム。 Download PDF

Info

Publication number
JP2016511479A
JP2016511479A JP2015562434A JP2015562434A JP2016511479A JP 2016511479 A JP2016511479 A JP 2016511479A JP 2015562434 A JP2015562434 A JP 2015562434A JP 2015562434 A JP2015562434 A JP 2015562434A JP 2016511479 A JP2016511479 A JP 2016511479A
Authority
JP
Japan
Prior art keywords
user
subscription
tenant
user account
computing resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015562434A
Other languages
English (en)
Other versions
JP6355656B2 (ja
Inventor
リン、パトリック
ブルックス、デイヴィッド、アンドルー
バナトワラ、マスタンサー
イェイツ、ロバート、レスリー
シェック、トーマス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2016511479A publication Critical patent/JP2016511479A/ja
Application granted granted Critical
Publication of JP6355656B2 publication Critical patent/JP6355656B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles

Abstract

【課題】シングル・サインオン(SSO)認証/認可を用いるマルチテナント環境中で諸テナントに亘って協働を可能にするためのメカニズムを提供する。【解決手段】ユーザ・アカウントを生成し、(例えば、シングル・サインオン認証/認可を可能にするために)ユーザにサブスクリプションをプロビジョニングするための様々な例が提供される。ユーザは、ユーザが再度ログインして認証を受けるよう促されることなく(すなわち、既にログインし所与のセッションに対し認証された後で、ユーザが再度ログインするよう促されることなく)、そのユーザのサブスクリプション認可を用いて、マルチテナント環境中のサービス(例えば、協働サービス)にアクセスすることを許される。各組織(すなわち、テナント)がそれ自体の名前空間(群)のセットを有する、URLホスト群を介してウェブ空間をマッピングするための他の例も提供される。【選択図】図10

Description

本開示は、一般に、企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポートの分野に関する。
一般に、複数の組織に亘る全ての参加者をまとめて適切に社会的にネットワークで結ぶことは通常はできない。さらに、複数のテナントに亘るユーザ・アカウントのライフ・サイクルも、通常は効率的かつ効果的に管理はできない。
様々な実施形態において、企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポートを可能にする方法論を提供することが可能である。
一実施形態において、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にする方法が提供され、このマルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、本方法は、プロセッサによって、第一ユーザに第一ユーザ・アカウントを割り当てるステップであって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印(indicium)を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てるステップと;プロセッサによって、第一ユーザ・アカウントに第一サブスクリプション(subscription)をリンクするステップであって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該リンクするステップと;プロセッサによって、第一ユーザ・アカウントに第二サブスクリプションをリンクするステップであって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該リンクするステップと;プロセッサによって、第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するステップと;プロセッサによって、ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するステップと;プロセッサによって、ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するステップと;を含む。
望ましくは、第一サブスクリプションおよび第二サブスクリプションを第一ユーザ・アカウントにリンクするステップは、データベースにデータを格納するステップを含む。さらに望ましくは、第一コンピューティング・リソースは第一ウェブ・プレゼンスを含み、第二コンピューティング・リソースは第二ウェブ・プレゼンスを含む。まださらに望ましくは、該第一ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含み、該第二ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含む。
望ましくは、第一テナントは、関連付けられた第一名前空間を有し、第二テナントは、第一名前空間とは別個の関連付けられた第二名前空間を有し、第一コンピューティング・リソースは第一名前空間に関連付けられ、第二コンピューティング・リソースは第二名前空間に関連付けられる。さらに望ましくは、第一ユーザによるログインの後、第一ユーザは、プロセッサによって、第一コンピューティング・リソースおよび第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、少なくとも第二ユーザと協働できるようにされる。まださらに望ましくは、第一ユーザおよび第二ユーザの各々による協働のアクセスは、(a)ファイル読み取りアクセス、(b)ファイル書き込みアクセス、(c)ファイル作成アクセス、または(d)これらの任意の組み合わせを含む。
望ましくは、本方法は、(a)プロセッサによって、第一テナントに関連付けられた第一ユーザが、第一テナントに関連付けられたコンピューティング・リソース上で協働するために、第二テナントに関連付けられた第二ユーザを招請することを可能にするステップ;(b)プロセッサによって、第一ユーザの第一サブスクリプション上の、第一コンピューティング・リソースへのアクセスの間の能力を制限する役割情報を維持するステップ;(c)プロセッサによって、第一ユーザのプライマリ・サブスクリプションが削除されるかまたは別途に無効にされている場合には、第一ユーザの複数のセカンダリ・サブスクリプションの全てへのアクセスを制限するステップ;(d)プロセッサによって、第一ユーザのサブスクリプションのセットから、第一ユーザの或るサブスクリプションを無効化するステップ;もしくは(e)プロセッサによって、テナントが、第一ユーザのプライマリ・サブスクリプションに関連付けられたルールに基づいて、複数のセカンダリ・サブスクリプションのどれに第一ユーザが加われるかを制限できるようにするステップ;または(f)これらステップの任意の組み合わせ;のうちの少なくとも一つをさらに含む。
別の実施形態において、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にするための、コンピュータによって実行が可能な命令のプログラムを実体的に具現化するコンピュータ可読ストレージ媒体が提供され、このマルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、該命令のプログラムは、実行されたとき、第一ユーザに第一ユーザ・アカウントを割り当てるステップであって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てるステップと;第一ユーザ・アカウントに第一サブスクリプションをリンクするステップであって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該リンクするステップと;第一ユーザ・アカウントに第二サブスクリプションをリンクするステップであって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該リンクするステップと;第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するステップと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するステップと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するステップと;を実施する。
別の実施形態において、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にするためのシステムが提供され、このマルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、本システムは、第一ユーザに第一ユーザ・アカウントを割り当てるよう構成された割り当てエレメントであって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てエレメントと;第一ユーザ・アカウントに第一サブスクリプションをリンクするよう構成された第一リンク・エレメントであって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該第一リンク・エレメントと;第一ユーザ・アカウントに第二サブスクリプションをリンクするよう構成された第二リンク・エレメントであって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該第二リンク・エレメントと;第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するよう構成された受信エレメントと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するよう構成された第一許可エレメントと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するよう構成された第二許可エレメントと;を含む。
以降に、本発明の好適な実施形態を、単なる例示として、下記の図面を参照しながら説明する。
本発明の或る実施形態による、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP:lightweight directory access protocol)、データ情報ツリー(DIT:data information tree)およびスキーマの例示的なリファレンス実装の線図を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 図1の線図の或るノードに関連するデータ構造定義の図表を示す。 本発明の或る実施形態による、方法のフローチャートを示す。 本発明の或る実施形態による、システムのブロック図を示す。 本発明の或る実施形態による、システムのブロック図を示す。
様々な実施形態において、企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポートを可能にする諸方法論を提供することが可能である。
様々な例において、企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能サポートは、システム、方法、もしくはアルゴリズムまたはこれらの組み合わせの形で実装することが可能である。
他の例において、シングル・サインオン認証/認可を用いるマルチテナント環境中で諸テナントに亘るサポートを可能にするためのメカニズムが提供される。
他の例において、マルチテナント環境中の諸テナントに亘る諸ユーザによる協働を可能にするためのメカニズムが提供される。
本開示において、用語「テナント」とは、或る組織(例えば、企業体など)を言う。
本開示において、用語「マルチテナント環境」とは、第一テナントの少なくとも一つのコンピュータ・プレゼンスおよび第二テナントの少なくとも一つのコンピュータ・プレゼンス(第一テナントと第二テナントとは相互にはっきり分かれている)をホストする(例えば、一つ以上のサーバを含む)コンピューティング環境を言う。一具体例において、或るマルチテナント環境は、複数のテナントの各々に対し、それぞれのウェブ・プレゼンスをホストすることができる。
本開示において、語句「コンピュータ・プレゼンスをホストする」とは、ソーシャル・ビジネス・アプリケーションに関連して、計算を支え遂行するためのコンピューティング力のプレゼンスを言う。
本開示において、用語「ウェブ空間」とは、URL(uniform resource locator:統一資源ロケータ)で定義されるクラウド・ベースのウェブ・プレゼンスを言う。
本開示において、用語「コンピューティング・リソース」とは、マルチテナント・コンピューティング環境で利用可能なデータもしくはアプリケーションまたはその両方を言う。様々な具体例において、かかるコンピューティング・リソースは、ウェブ・プレゼンス、ウェブサイト、もしくはウェブ・ページ(群)、またはこれらの組み合わせを含んでもよい。他の具体例において、かかるウェブ・プレゼンスには、一緒にネットワークで社会的につながる人々によって寄与されたデータ(例えば、分析データ)を含めることもできる。
本開示において、用語「サブスクリプション情報」とは、或るユーザ(例えば、エンドユーザ)と或るテナントとの間に確立された有効な関係を定義するデータを言う。一具体例において、かかるサブスクリプション情報を用いて、申し込み者に対し、一つ以上のテナント境界へのアクセス(およびその中で、社会的にネットワークでつながる能力)を提供することができる。
本開示において、用語「プライマリ・サブスクリプション」とは、ユーザ(例えばエンド・ユーザ)に対する、当該ユーザが所属する当初の(または「一次的な」)組織へのサブスクリプションを言う。
本開示において、用語「セカンダリ・サブスクリプション」とは、ユーザ(例えばエンド・ユーザ)に対する、当該ユーザが所属する以後の(または「後続の」)組織へのサブスクリプション(すなわち、プライマリ・サブスクリプションの後に続くサブスクリプション)を言う。
本明細書で説明するように、シングル・サインオン(SSO:single sign−on)認証/認可を用いるマルチテナント環境を可能にするためのメカニズムを提供する。一具体例において、シングル・サインオン認証/認可を用いるマルチテナント環境中で、諸テナントに亘る協働を可能にするためのメカニズムが提供される。別の具体例において、ユーザ・アカウントを生成し、(例えば、シングル・サインオン認証/認可を可能にするために)該ユーザに一つ以上のサブスクリプションをプロビジョニングするためのメカニズムが提供される。別の具体例において、ユーザが再度ログインして(すなわち、初回にログインし、所与のセッションの間認証された後で)認証を受けるよう促されることなく、ユーザが、該ユーザのサブスクリプション認可を用いて、マルチテナント環境中の協働サービスにアクセスすることを可能にするメカニズムが提供される。別の具体例では、統一資源ロケータ(URL)ホスト群(例えば、自組織の名前空間のセットとしての各組織(すなわち、テナント))を介して、ウェブ空間をマッピングするためのメカニズムが提供される。
なお、一般に、従来型のマルチテナント環境で組織のコンテンツへの安全なアクセスを提供できる方法はごくわずかしかない。コンテンツとユーザ・ベースとの分離は、スタックの様々なレベルにおいてデータ・モデルを適切に保護するか、もしくはそれに換わる最極端としては、組織にその組織自体の展開を与えることによって達成することができる。
一方で、選択されたクラウド・アーキテクチャの型が、ユーザ・ベースが一元的に登録されるものであれば、通常、ユーザが組織の境界を越えて協働するのは容易ではない。
他方で、選択されたクラウド・アーキテクチャの型が、ユーザ・ベースが一元的に登録されないものであれば、通常、所与のユーザの認証証明書が様々な組織の中に複製されるか(このことは、アイデンティティ管理およびユーザ/アイデンティティの信用性確認の困難につながり得る)、もしくはユーザのライフ・サイクル管理を著しく困難にするかのいずれかをもたらす。
しかして、本明細書で説明するように、中央のユーザ・リポジトリを効果的に管理し、ユーザのアイデンティティ確認およびライフ・サイクルの問題を解決できる様々なメカニズムが提供される。一例において、ポリシー・オブジェクトを、組織レベルもしくはユーザ・レベルまたはその両方で格納し、所与の組織のユーザが、他の組織からのユーザを、自分たちの協働空間の中に招請するのを可能にすることができる(他の組織からのかかるユーザは、以降、「組織外ユーザ」と称することがある)。別の例において、諸ユーザに対する役割を維持するための規定が定められる(例えば、かかる役割は、様々なサービスによって照会もしくは強制またはその両方が行われ、これらのユーザが有する(例えば組織外ユーザが有する)権利をよりよく管理/定義することができる)。他の例において、このユーザを取り扱うためのメカニズムは、運営管理、ユーザのライフ・サイクル問題、およびコンテンツ所有権問題の処理もより容易にする。
ここで、ユーザ・アカウントとユーザ・サブスクリプションとを区別する実施形態を参照することとする。この実施形態において、ユーザ・アカウントは認証のために使われ、ユーザ・サブスクリプションは認可のために使われる。一例において、単一のユーザ・アカウントを複数のユーザ・サブスクリプションに関連付けることができ、各々のサブスクリプションを、或る所与の組織(すなわち、マルチテナント環境中の所与のテナント)のウェブ空間に適用することができる。したがって、この例では、単一のユーザ・アカウントが、何回もログインおよびログアウトをせずに、複数の組織(つまりテナント)の各々のウェブ空間に社会的に参加することが可能なことになる。
一具体例において、マルチテナント環境は、統一資源ロケータ(URL)ホストを介し、複数のウェブ空間を使ってバーチャルにマップすることができる。全ての参加組織(つまりテナント)は、複数の一意的名前空間を所有する(または、別途に関連付けする)ことが可能である。これらの名前空間は、エンドユーザが、該ユーザが最初に(例えば、所与のセッションに対し)ログインした当初の組織の名前空間をあちこち移動しまたはその外に移動する際に、一意的に識別することができる。本開示の目的の上で、「当社の組織の名前空間をあちこち移動しまたはその外に移動する」ということは、この例では、同じ人が、一つのウェブ空間中にログインし現在のテナントを離れて別のテナントに移動したいときに、その移動を許可または否認するため、そのユーザは、アカウント情報からの当人のサブスクリプションに照らしてチェックされることになる、ということを意味する。
(所与のユーザ・アカウントに対する)全ての有効なサブスクリプションは、該所与のユーザ・アカウント(これは、例えば、組織の名前空間および申し込み者の関連組織識別子に基づいて認識することが可能である)に関連付けられたリンク(群)を介して読み出すことができる。次いで、ユーザ・サブスクリプション・データを用いて、所与のユーザが、所与の組織の境界内の保護されたウェブ・リソースにアクセスする(例えば、安全にアクセスする)のを認可することが可能となる。
別の例において、ユーザ・アカウントのプロビジョニングもしくはサブスクリプションの許諾またはその両方は、招待案内を介して行うことができる。別の例において、ユーザ・アカウントは、テナントあたり一つのサブスクリプションを用いてプロビジョニングすればよい。この例において、有効なサブスクリプションを有するエンドユーザだけが、所与のテナントへのアクセスを許可される。
一具体例において、ユーザ・サブスクリプションは、組織のシステム管理者による招待案内を通して許諾することができ、ユーザ・アカウントは、システム全体の管理者によってプロビジョニングすることができる。以下でさらに詳しく説明するように、このプロビジョニング・プロセスを用いて、2つの異なったレベルで、ユーザ・アカウントおよびユーザ・サブスクリプションを、管理、アクティブ化、非アクティブ化、もしくは終了しまたはこれらの組み合わせを実施することが可能である(例えば、ユーザ・アカウントはユーザ・サブスクリプションとは別個に管理することができる)。
一具体例において、ユーザ・アカウントは、全ての関連するユーザ・サブスクリプションに反映させる仕方で管理することができる。例えば、或る所与のユーザ・アカウントが非アクティブ化されたならば、その所与のユーザ・アカウントに関連付けられた全てのサブスクリプションは、(この所与のユーザ・アカウントに対する認証プロセスが機能しないことになり)いかなるウェブ名前空間へのアクセスにも全く使うことができない。本開示の目的に対する、2つの名前空間の例として、https://bankXYZ.connections.com/homepageと、https://bankABC.connections.com/homepageと、がある。
別の例において、所与のユーザ・アカウントを再アクティブ化することができ、以前に格納されていた全てのユーザのアプリケーション・データが、このアカウントに対して再び利用可能なことになる。別の例において、所与のユーザ・アカウントを終結することができ、これにより、関連する全てのユーザのアプリケーション・データが回収され削除されることになり得る。
ここで、所与の組織に対する或るユーザ・サブスクリプションを(例えば、直接に)管理する実施形態を参照することとする。一具体例において、或るユーザ・サブスクリプションを、或る所与の組織に対し、アクティブ化、非アクティブ化、もしくは終了またはこれらの組み合わせを行うように管理することができる。この例において、かかる処置は、同じユーザ・アカウントに対する他の有効なサブスクリプションには影響がないことになる。
次いで、実装がセントラル・コンポーネントを介して(例えば、既存のアプリケーションに影響することなく)行われる実施形態を参照することにする。一具体例において、本明細書で説明する様々なマルチテナント機能サポートは、抽象層全体を通して実施することができる。この例では、全ての既存アプリケーションは単一のコード・ベース中に保持することが可能である。次いで、この抽象層を用いて、申し込み者に組織およびウェブ・ベースのアプリケーションを提供することができる。
次いで図1および図2〜9を参照し、ここで、ライトウェイト・ディレクトリ・アクセス・プロトコル、データ情報ツリー、およびスキーマを使った例示的な実装を参照することにする(この例は、LDAPサービスを用いて、ユーザ・アカウントおよびサブスクリプションを有する組織構造体をどのように実装できるかを示す)。一例において、「WALTZ」は或るAPIにおけるリファレンス実装である。このソーシャル・ビジネス・プラットフォームの上で実行されるアプリケーションは、このAPIに依って、所与のユーザが(だれが)どのウェブ空間で(どこで)プロフィールのさらなる詳細を(何を)使ってアクセスするのを許可できるかを知ることができる。一具体例において、WALTZは、ID、役割、メールなどを返信するために、uid=jsmith(あなたは誰ですか?)およびwww.bankABC.com(どこに行きたいのですか?)を認識する。
さらに具体的には、図1に見られるように、以下の例示的な相互接続されたノードがある。すなわち、ノードA(このノードにおける属性のセットの詳細については図2を参照)、ノードB(このノードにおける属性のセットの詳細については図3を参照)、ノードC(このノードにおける属性のセットの詳細については図4を参照)、ノードD(このノードにおける属性のセットの詳細については図5を参照)、ノードE(このノードにおける属性のセットの詳細については図6を参照)、およびノードF(このノードにおける属性のセットの詳細については図7を参照)である。
ここで図10を参照すると、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にする方法が示されており、このマルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含む。図10に見られるように、この実施形態の方法は、301で、プロセッサによって、第一ユーザに第一ユーザ・アカウントを割り当てるステップであって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てるステップと;303で、プロセッサによって、第一ユーザ・アカウントに第一サブスクリプションをリンクするステップであって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該リンクするステップと;305で、プロセッサによって、第一ユーザ・アカウントに第二サブスクリプションをリンクするステップであって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該リンクするステップと;307で、プロセッサによって、第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するステップと;309で、プロセッサによって、ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するステップと;311で、プロセッサによって、ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するステップと;を含む。
一例において、いずれのステップも記載した順序で実行することができ、あるいはこれらのステップを別の順序で実行することも可能である。
次いで図11を参照すると、別の実施形態でシステム400が提供される。本システムは、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にするためのものであって、このマルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含む。本システムには、第一ユーザに第一ユーザ・アカウントを割り当てるよう構成された割り当てエレメント401であって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てエレメント401と;第一ユーザ・アカウントに第一サブスクリプションをリンクするよう構成された第一リンク・エレメント403であって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該第一リンク・エレメント403と;第一ユーザ・アカウントに第二サブスクリプションをリンクするよう構成された第二リンク・エレメント405であって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該第二リンク・エレメント405と;第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するよう構成された受信エレメント407と;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するよう構成された第一許可エレメント409と;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するよう構成された第二許可エレメント411と;第一サブスクリプションおよび第二サブスクリプションを第一ユーザ・アカウントにリンクするためのデータを格納するデータベース413と;第一ユーザによるログインの後、第一コンピューティング・リソースおよび第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、第一ユーザによる少なくとも第二ユーザとの協働を可能にするよう構成された協働エレメント415と;の各エレメントを含めることができる。
さらに、一例において、マルチテナント・コンピューティング環境は、第三テナントに関連付けられた第三コンピューティング・リソースを少なくとも含み、本システムは、第一ユーザに対し第三コンピューティング・リソースへのアクセスを禁止するよう構成された、禁止エレメント417をさらに含む。
前述のエレメント/コンポーネントの各々は、システム・バス402を介して動作可能なように一緒に接続することができる。一例において、様々なエレメント/コンポーネントの間の通信は双方向性とすればよい。別の例において、この通信は、インターネット、イントラネット、ローカル・エリア・ネットワーク、広域ネットワーク、もしくは任意の他の望ましい通信チャネル(群)またはこれらの組み合わせを介して行うことができる。別の例において、これらのエレメント/コンポーネントの一部または全部は、図12に示された種類のコンピュータ・システム中に実装することが可能である。
一例において、図1のツリー構造体およびオブジェクト・クラスは、或る実施形態のオペレーションに関連して以下の機能をする。すなわち、authN(認証)プロセスに対し、サブスクリプション者のオブジェクトは、必ずそのauthZ(認可)プロセスに対するアカウントと関連付けられる。一旦、authZが行われたならば、同じユーザに対し再度authNを行う必要はない。アカウント・オブジェクトは、サブスクリプション・オブジェクトのリストを含む。同一のアカウントに対するこのサブスクリプション・リストは、このアカウントが相異なるテナントをあちこち移動することができるかどうかを判定するために用いられることになる。各サブスクリプションは、それ自体のウェブ空間と関連付けられる。ユーザがアカウントおよびサブスクリプションを介してあちこちに移動するとき、許容されるウェブ空間が該ユーザの移動を受け入れる。
ここで図12を参照すると、この図は、本発明の或る実施形態によるコンピューティング・システム500のハードウェア構成を示している。図示のように、このハードウェア構成は、少なくとも一つのプロセッサまたは中央処理ユニット(CPU:central processing unit)511を有する。CPU511は、システム・バス512を介して、ランダム・アクセス・メモリ(RAM:random access memory)514と、読み取り専用メモリ(ROM:read−only memory)516と、(ディスク・ユニット521およびテープ・ドライブ540などの周辺デバイスをバス512に接続するための)入力/出力(I/O:input/output)アダプタ518と、(キーボード524、マウス526、スピーカ528、マイクロフォン532もしくは他のユーザ・インターフェース・デバイスまたはこれらの組み合わせをバス512に接続するための)ユーザ・インターフェース・アダプタ522と、システム500をデータ処理ネットワーク、インターネット、イントラネット、ローカル・エリア・ネットワーク(LAN:local area network)などに接続するための)通信アダプタ534と、バス512をディスプレイ・デバイス538もしくはプリンタ539(例えば、デジタル・プリンタなど)またはその両方に接続するためのディスプレイ・アダプタ536と、に相互接続されている。
なお、様々な図で、通信を行っている様々なエンティティを示すことができるが、当然ながら、これらの図は、実際は、これらエンティティの各々によって、所有され、リースされ、作動され、使用され、保有され、もしくは制御され、またはこれらの組み合わせが行われているコンピュータ・システム(群)または類似システムが行っている通信を表している。
本明細書で説明するように、(所与のユーザに対する)シングル・ユーザ・サインオンを使ったテナントにまたがる諸ユーザによる、サブスクリプション・マルチテナント機能ベースのサービスにアクセスする協働作業ためのメカニズムが提供され、本メカニズムは、マルチテナント環境に亘って、再度のログインを促されることなく(すなわち、所与のセッションの初回のログインに対する認証を受けた後で、再度のログインを促されることなく)、サブスクリプション・ベースのサービスにアクセスするための少なくとも一つのユーザ・クッキーを用いることを含む。この例において、この「クッキー」とはSSOセキュリティ・クッキーを言い、ユーザ・アカウントが成功裏に認証できたときだけに許諾されるべきものである。この同じユーザ・クッキーは、その後、ユーザが最初にログオンできた当初のテナントにより与えられた当初のウェブ空間を越え離れて移動するために利用されることになる。
別の例では、様々な実施形態において、LTPA(lightweight third−party authentication protocol(ライトウェイト第三者認証プロトコル))クッキー(SSOに対するメカニズム)を活用したセキュリティ認証/SSOのための従来型のWebSphere(WebSphereはインターナショナル・ビジネス・マシーンズ・コーポレーションの登録商標である)メカニズム/プロトコルの全部または一部を用いることができる。但し、一部の顧客は、第三者のセキュリティ・プロキシを適用することが可能で、これは、複数のクッキーを最終的ウェブ・ベースのトラフィック中に組み込むことになる。
一例において、サブスクリプション認可は招待案内によって許諾される。かかる招待案内の一具体例において、A社に勤務するジョン・スミスのアカウントは、当初にA社によって提供されたソーシャル・ウェブ空間にアクセスすることが可能である。ジョン・スミスがあるプロジェクトで作業している場合、該プロジェクトが、例えばB社など第三者との協働を必要とすることがあり得、B社のシステム管理者がジョン・スミスのサブスクリプションを許諾すれば、彼は両社のソーシャル空間にアクセスできることになる。
別の例において、協働サービスにアクセスするためにサブスクリプション認可を用いることができる。
別の例において、単一のユーザ・アカウントにソーシャル・サービスを受けるための資格を与えてもよい。ソーシャル・サービスを受ける一具体例において、或る人は多くのソーシャル・アプリケーション・サービスに参加することができる。
別の例において、単一ユーザ・アカウントのユーザが、企業の境界を越えた仲間の相異なるセット(群)に繋がりを持つことが可能である(例えば、これにより、ジョン・スミスは、A社およびB社の両方に社会的繋がりを持つことができる)。
別の例において、(例えば、各組織が自分の名前空間のセットを有する)URLホスト群を介して、ウェブ空間をマッピングするためのメカニズムが提供される。
別の例において、協働サービスの認可を行っている管理者によって、協働サービスのためのサブスクリプションを管理することができる。
別の例では、システム管理者(これはユーザ・アカウントを生成している組織の管理者でもよい)によって、ユーザ・アカウントを管理することが可能である。
本明細書で説明するように、ソーシャル・ソフトウェア、ソーシャル・コンピューティング、協働および交流、もしくはソーシャル・ビジネス・フレームワークまたはこれらの組み合わせのコンテキストにおいて、様々な実施形態を運用することができる。
本明細書で説明するように、クラウド:配布モデル:サービス型ソフトウェア(SaaS:Software as a Service);クラウド:実現技術:マルチテナント機能;消費者デバイスまたはアプライアンス:ウェブ;収束型通信:モバイル・アプリケーション;ITサービス:ビジネスおよびITコンサルティング;ソフトウェア:アプリケーション開発ソフトウェア;ソフトウェア:アプリケーション・サーバ・ミドルウエア;ソフトウェア:協働アプリケーション;もしくはウェブ技術:コンテンツ管理および使用;またはこれらの組み合わせのコンテキストにおいて、様々な実施形態を運用することが可能である。
別の例において、システム管理者または同等者は、所与のユーザがアクセスを許可されたテナントの追加もしくは削除またはその両方を行うことができる。
別の例では、システム管理者または同等者は、「クラウド」を介して多数のアカウントおよび多数のアプリケーションを管理することが可能である。
本明細書で説明するように、様々なメカニズムにより、企業のソーシャル・ネットワーク形成ビジネスに対するマルチテナント機能サポートを備えた、サブスクリプション志向の「クラウド」ベース・サービス型ソフトウェア(SaaS)を提供する。
本明細書で説明するように、マルチテナント環境中の所与のユーザを(安全で、制御され、管理上効果的な仕方で)管理するためのメカニズムが提供される(例えば、該ユーザは、一つ以上のテナントのユーザ、またはマルチテナント環境へのゲストとして登録される)。
本明細書で説明するように、マルチテナント環境において(第一組織に関連する)第一ユーザの単一回の登録を(安全で、制御され、管理上効果的な仕方で)用い、該第一ユーザが、一つ以上の他の組織に関連する一人以上の他のユーザとの協働(例えば、コンテンツ共有)に参加することを可能にするためのメカニズムが提供される。
本明細書で説明するように、様々な実施形態において、複数の組織に亘る全ての参加者をまとめて適切に社会的にネットワークで結ぶことができる。さらに、様々な実施形態において、複数のテナントに亘るユーザ・アカウントのライフ・サイクルを効率的且つ効果的に管理することが可能である。
本明細書で説明するように、様々な実施形態において、組織の境界を越えて行うことができる当を得た招待案内モデル、および組織の境界を越えることができる当を得たシングル・サインオン認証/認可モデルが提供される。しかして、これらの実施形態の下では、エンドユーザは、シングル・サインオンを実施して、複数のテナントの各々に対する各コンピュータ・プレゼンス(これらに対し、エンドユーザは、サブスクリプションを介して既にアクセスを許可されている)にアクセスすることができる。
本明細書で説明するように、様々な例は、最初に認証(例えば、ログインに対する)を、次いで認可(例えば、サブスクリプション(群)に基づく)を用いて運用することが可能である。
本明細書で説明するように、様々な例はユーザの間に社会的な繋がりを提供することができる。一具体例において、(各ユーザが有効なサブスクリプションを有することを前提として)ユーザはアプリケーションもしくはファイルもしくはブログ、またはこれらの組み合わせを共有してもよい。
本明細書で説明するように、様々な実施形態は、参加するテナントの一部または全部に亘る協働を提供することが可能である。一具体例では、マルチテナントの提供において、テナント横断的な協働をシームレスに可能にすることができる。別の具体例では、ユーザが、組織(例えばテナント)の境界を越えて容易に作業することを可能にできる。さらに、かかるユーザが、組織(例えばテナント)のウェブ・プレゼンス中に他のユーザを招請すること(もしくは管理者による登録を介するか、またはその両方)を可能にできる。さらに、ユーザ・ポリシに関するメカニズムを提供することができる(例えば、ユーザの行動を統制するメカニズムを提供することが可能である)。
本明細書で説明するように、様々な例は、複数の組織に亘る全ての参加者が、シングル・サインオンで複数のテナントへのアクセスが可能になるように運用することができる(すなわち、所与のユーザが、再度の認証を促されることなく(例えば、サブスクリプションに基づいて)アクセスの許諾を受けることが可能である)。
本明細書で説明するように、様々な例は、(例えば、複数のテナントに亘って)アカウントのライフ・サイクルを管理するよう運用することができる。一具体例において、各参加者に対し、複数の組織のウェブ空間へのアクセスに関する該参加者のサブスクリプションの各々をアクティブ化、非アクティブ化、もしくは終了またはこれらの組み合わせを行うよう(例えば、管理者によって)管理をすることが可能である。
本明細書で説明するように、様々な例は、認証に基づく過度の負担を加えるよりも、むしろ認可プロセスにより多く頼るようにして運用すればよい。一具体例において、一つ以上のセキュリティ・クッキーもしくは認証書またはその両方を用いることが可能である。
本明細書で説明するように、様々な例はライトウェイトの運用モデルを用いることができる。
本明細書で説明するように、様々な例は、ウェブURLの名前空間に結合されたテナントのリソースを用いることが可能である。
本明細書で説明するように、所与のユーザは、複数の(例えば、複数のテナントの各々に一つの)サブスクリプションを有することができる。一具体例において、サブスクリプションには、「クラウド」中のどのアプリケーションが、当人に使用許可されているかを定義することができる。
本明細書で説明するように、一具体例において、ユーザ・アカウントは、関連付けられた、一意的で固定された(例えば、所与のマルチテナント環境に対し)決して再使用されることのない証印を有することができる。本開示の目的の上で、語句「決して再使用されることのない」とは、識別子のコンテキストにおいて用いられる概念語句である。一例において、全ての識別子は、固定され、一意的で、決して再使用されない、など3つの基準に該当すべきである。しかして、諸アプリケーションは、所与のIDを保持し、このIDに頼ってユーザ・データにリンクすることができる。一例において、ユーザ・アカウントがパージ可能である場合、それらより新しいアカウントは、以前のいかなるIDも使ってはならない。すなわち、この例では、所与のIDはリサイクルされるべきでなく、可能な限り「永久的」に保たれるべきである。
本明細書で説明するように、一具体例において、システム管理者は、(例えば、所与のマルチテナント環境に対し)テナントの追加もしくは削除またはその両方を行うことが可能である。
本明細書で説明するように、一具体例において、システム管理者は、(例えば、「クラウド」を介し)多くのユーザ・アカウント、多くのユーザ・サブスクリプション、および(例えば、所与のマルチテナント環境に対する)多くのアプリケーションを管理することができる。
一実施形態において、本明細書で説明する様々な機能は、図1および図2〜9のツリー構造およびオブジェクト属性を用いて実装することができる。一具体例において、必要な全てのデータは、サブスクリプション・オブジェクト(該オブジェクトは、例えば(この例では)ユーザ・アカウント、テナント識別子、ウェブ空間パターンを、LDAPなどのディレクトリ・サービス中の単一の記録の中に保持するので、プレース・ホルダとして用いられる)の中に格納される。一例において、リファレンスAPIを呼び出すアプリケーションは、各サブスクリプションに対する許可、制限、および限度を知ることができよう。
一実施形態において、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にする方法が提供され、該マルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、本方法は、プロセッサによって、第一ユーザに第一ユーザ・アカウントを割り当てるステップであって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てるステップと;プロセッサによって、第一ユーザ・アカウントに第一サブスクリプションをリンクするステップであって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該リンクするステップと;プロセッサによって、第一ユーザ・アカウントに第二サブスクリプションをリンクするステップであって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該リンクするステップと;プロセッサによって、第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するステップと;プロセッサによって、ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するステップと;プロセッサによって、ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するステップと;を含む。
一例において、第一サブスクリプションおよび第二サブスクリプションを第一ユーザ・アカウントにリンクするステップは、データベースにデータを格納するステップを含む。
別の例において、第一コンピューティング・リソースは第一ウェブ・プレゼンスを含み、第二コンピューティング・リソースは第二ウェブ・プレゼンスを含む。
別の例において、該第一ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含み、該第二ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含む。
別の例において、第一テナントは関連付けられた第一名前空間を有し、第二テナントは、第一名前空間とは別個の関連付けられた第二名前空間を有し、第一コンピューティング・リソースは第一名前空間中に在り、第二コンピューティング・リソースは第二名前空間中に在る。
別の例において、第一ユーザによるログインの後、プロセッサによって、第一ユーザは、第一コンピューティング・リソースおよび第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、少なくとも第二ユーザと協働できるようにされる。
別の例において、第一ユーザおよび第二ユーザの各々による協働のアクセスは、(a)ファイル読み取りアクセス、(b)ファイル書き込みアクセス、(c)ファイル作成アクセス、または(d)これらの任意の組み合わせを含む。
別の例において、マルチテナント・コンピューティング環境は、さらに、第三テナントに関連付けられた第三コンピューティング・リソースを少なくとも含み、プロセッサは、第一ユーザに対し第三コンピューティング・リソースへのアクセスを禁止する。
別の実施形態において、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にするための、コンピュータによって実行が可能な命令のプログラムを実体的に具現化するコンピュータ可読ストレージ媒体が提供され、このマルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、該命令のプログラムは、実行されたとき、第一ユーザに第一ユーザ・アカウントを割り当てるステップであって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てるステップと;第一ユーザ・アカウントに第一サブスクリプションをリンクするステップであって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該リンクするステップと;第一ユーザ・アカウントに第二サブスクリプションをリンクするステップであって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該リンクするステップと;第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するステップと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するステップと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するステップと;を実施する。
一例において、第一サブスクリプションおよび第二サブスクリプションを第一ユーザ・アカウントにリンクするステップは、データベースにデータを格納するステップを含む。
別の例において、第一コンピューティング・リソースは第一ウェブ・プレゼンスを含み、第二コンピューティング・リソースは第二ウェブ・プレゼンスを含む。
別の例において、該第一ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含み、該第二ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含む。
別の例において、第一テナントは関連付けられた第一名前空間を有し、第二テナントは、第一名前空間とは別個の関連付けられた第二名前空間を有し、第一コンピューティング・リソースは第一名前空間中に在り、第二コンピューティング・リソースは第二名前空間中に在る。
別の例において、第一ユーザによるログインの後、第一ユーザは、第一コンピューティング・リソースおよび第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、少なくとも第二ユーザと協働できるようにされる。
別の例において、第一ユーザおよび第二ユーザの各々による協働のアクセスは、(a)ファイル読み取りアクセス、(b)ファイル書き込みアクセス、(c)ファイル作成アクセス、または(d)これらの任意の組み合わせを含む。
別の例において、マルチテナント・コンピューティング環境は、さらに、第三テナントに関連付けられた第三コンピューティング・リソースを少なくとも含み、命令のプログラムは、実行されたとき、第一ユーザに対し第三コンピューティング・リソースへのアクセスを禁止する。
別の実施形態において、少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にするためのシステムが提供され、このマルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、本システムは、第一ユーザに第一ユーザ・アカウントを割り当てるよう構成された割り当てエレメントであって、第一ユーザ・アカウントは、マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、該割り当てエレメントと;第一ユーザ・アカウントに第一サブスクリプションをリンクするよう構成された第一リンク・エレメントであって、第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、該第一リンク・エレメントと;第一ユーザ・アカウントに第二サブスクリプションをリンクするよう構成された第二リンク・エレメントであって、第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、該第二リンク・エレメントと;第一ユーザから、第一ユーザによるマルチテナント・コンピューティング環境へのログインに関連するユーザ・アカウント証印を少なくとも受信するよう構成された受信エレメントと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第一サブスクリプションの第一サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第一コンピューティング・リソースへのアクセスを許可するよう構成された第一許可エレメントと;ユーザ・アカウント証印によるログイン、および第一ユーザ・アカウントにリンクされた第二サブスクリプションの第二サブスクリプション情報に基づいて、第一ユーザ・アカウントに対し、第二コンピューティング・リソースへのアクセスを許可するよう構成された第二許可エレメントと;を含む。
一例において、本システムは、第一サブスクリプションおよび第二サブスクリプションを第一ユーザ・アカウントにリンクするためのデータを格納するデータベースをさらに含む。
別の例において、第一コンピューティング・リソースは第一ウェブ・プレゼンスを含み、第二コンピューティング・リソースは第二ウェブ・プレゼンスを含む。
別の例において、第一ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含み、第二ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含む。
別の例において、第一テナントは関連付けられた第一名前空間を有し、第二テナントは、第一名前空間とは別個の関連付けられた第二名前空間を有し、第一コンピューティング・リソースは第一名前空間中に在り、第二コンピューティング・リソースは第二名前空間に在る。
別の例において、本システムは、第一ユーザによるログインの後、第一コンピューティング・リソースおよび第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、第一ユーザによる少なくとも第二ユーザとの協働を可能にするよう構成された協働エレメントをさらに含む。
別の例において、第一ユーザおよび第二ユーザの各々による協働のアクセスは、(a)ファイル読み取りアクセス、(b)ファイル書き込みアクセス、(c)ファイル作成アクセス、または(d)これらの任意の組み合わせを含む。
別の例において、マルチテナント・コンピューティング環境は、さらに、第三テナントに関連付けられた第三コンピューティング・リソースを少なくとも含み、本システムは、第一ユーザに対し、第三コンピューティング・リソースへのアクセスを禁止するよう構成された禁止エレメントをさらに含む。
他の例において、本明細書に記載の任意のステップを、任意の適切な所望の順序で実行することができる。
他の実施形態において、(a)第一テナントに関連付けられた第一ユーザが、(例えば、第一テナントのウェブ・プレゼンス中の)第一テナントの空間中のリソース(例えば、コンピューティング・リソース)上で協働するために、第二テナント(第二テナントは第一テナントとは異なる)に関連付けられた第二ユーザを招請することを可能にする機能性;(b)当該テナント空間の中(例えば、該テナントのウェブ・プレゼンスの中)で作業する間の能力を制限する、ユーザのテナント・サブスクリプション上の役割情報を維持する機能性;(c)ユーザの「プライマリ・サブスクリプション」が削除されるかまたは別途に無効にされている場合には、ユーザの「セカンダリ・サブスクリプション」の全てへのアクセスを制限する機能性;(d)サブスクリプションのセットから、一つだけのサブスクリプションを無効化する機能性;もしくは(e)組織のオーナー(例えば、テナント)が、ユーザの「プライマリ・サブスクリプション」空間中のルールに基づいて、ユーザがどの「セカンダリ・サブスクリプション」に加われるかを制限できるようにする機能性;またはこれらの組み合わせ;のうち一つ以上を設けることが可能である。
本明細書で説明するように、招請されたユーザが、マルチテナント環境中の全ての組織(つまりテナント)に亘ってただ一つのアイデンティティを保有することを可能にするメカニズムが提供される。すなわち、所与のユーザの組織アイデンティティを、マルチテナント環境にそのまま使うことができる(かかる組織アイデンティティは、組織のマネジメント範囲の下で管理することができる)。
本明細書で説明するように、複数の組織の境界を越えて協働する際に、ただ一つのアイデンティティを維持するためのメカニズムが提供される。一例において、SSOを利用してこれを達成することができる。
当業者には当然のことながら、本発明の態様は、システム、方法、またはコンピュータ・プログラム製品として具現化することができる。したがって、本発明の態様は、全体がハードウェアの実施形態、全体がソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、あるいは、ソフトウェア態様およびハードウェア態様を組み合わせた実施形態の形を取ることができ、これらは一般に本明細書では全て「回路」、「モジュール」、または「システム」と称することがある。さらに、本発明の態様は、コンピュータ可読プログラム・コードが具現化されている一つ以上のコンピュータ可読媒体(群)中に具現化されたコンピュータ・プログラム製品の形を取ることも可能である。
一つ以上のコンピュータ可読媒体(群)の任意の組み合わせを用いることが可能である。コンピュータ可読媒体は、コンピュータ可読信号媒体であっても、コンピュータ可読ストレージ媒体であってもよい。コンピュータ可読ストレージ媒体は、例えば、以下に限らないが、電子的、磁気的、光学的、電磁気的、赤外的、または半導体の、システム、装置、またはデバイス、あるいは前述の任意の適切な組み合わせであってよい。コンピュータ可読ストレージ媒体のさらに具体的な例(非包括的リスト)には、携帯型コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去およびプログラム可能読み取り専用メモリ(EPROM(erasable programmable read−only memory)またはフラッシュ・メモリ)、携帯型コンパクト・ディスク読み取り専用メモリ(CD−ROM:compact disc read−only memory)、光ストレージ・デバイス、磁気ストレージ・デバイス、または前述の任意の適切な組み合わせが含まれよう。本明細書の文脈において、コンピュータ可読ストレージ媒体は、命令実行システム、装置、もしくはデバイスによって、またはこれらに関連させて使用するためのプログラムを、包含または格納できる任意の有形媒体であってよい。
コンピュータ可読信号媒体には、例えばベースバンド中にまたは搬送波の一部として具現化されたコンピュータ可読プログラム・コードを有する、伝播データ信号を含めることができる。かかる伝播信号は、以下に限らないが、電磁気的、光学的、またはこれらの任意の適切な組み合わせを含め、さまざまな形態の任意の形を取ることが可能である。コンピュータ可読信号媒体は、コンピュータ可読ストレージ媒体ではないが、命令実行システム、装置、もしくはデバイスによって、またはこれらに関連させて使用するためのプログラムの通信、伝播、または伝送が可能な任意のコンピュータ可読媒体であってよい。
コンピュータ可読媒体上に具現化されたプログラム・コードは、以下に限らないが、無線、有線、光ファイバ・ケーブル、RFなど、または前述の任意の適した組み合わせを含め、任意の適切な媒体を用いて送信することができる。
本発明の態様のオペレーションを実行するためのコンピュータ・プログラム・コードは、Java(R)、Smalltalk(R)、C++などのオブジェクト指向プログラミング言語、または、“C”プログラミング言語もしくは類似のプログラミング言語などの手続き型プログラミング言語を含め、任意のプログラミング言語または一つ以上のプログラミング言語の任意の組み合わせで記述することができる。このプログラム・コードは、スタンドアロン・ソフトウェア・パッケージとしてユーザのコンピュータで専ら実行することも、ユーザのコンピュータで部分的に実行することもでき、一部をユーザのコンピュータで一部を遠隔コンピュータで実行することもでき、あるいは遠隔のコンピュータまたはサーバで専ら実行することもできる。後者の場合は、ローカル・エリア・ネットワーク(LAN)または広域ネットワーク(WAN:widearea network)を含む任意の種類のネットワークを介して、遠隔コンピュータをユーザのコンピュータに接続することもでき、あるいは(例えばインターネット・サービス・プロバイダを使いインターネットを介し)外部のコンピュータへの接続を行うことも可能である。
本明細書では、本発明の実施形態による方法、システムもしくはコンピュータ・プログラム製品またはこれらの組み合わせのフローチャート図もしくはブロック図またはその両方を参照しながら、本発明の態様を説明することもある。当然のことながら、フローチャート図もしくはブロック図またはその両方の各ブロック、および、フローチャート図もしくはブロック図またはその両方中のブロックの組み合わせは、コンピュータ・プログラム命令によって実装することが可能である。これらのコンピュータ・プログラム命令を、汎用コンピュータ、特殊用途コンピュータ、またはマシンを形成する他のプログラム可能データ処理装置のプロセッサに提供し、そのコンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行されるこれらの命令が、フローチャートもしくはブロック図またはその両方のブロックもしくはブロック群中に特定されている機能群/動作群を実装するための手段を生成するようにすることができる。
また、これらのコンピュータ・プログラム命令を、コンピュータ、他のプログラム可能データ処理装置、または他のデバイスに対し特定の仕方で機能するよう命令することができるコンピュータ可読媒体に格納し、そのコンピュータ可読媒体に格納された命令が、フローチャートもしくはブロック図またはその両方のブロックまたはブロック群中に特定されている機能/動作を実装する命令群を包含する製造品を作り出せるようにすることができる。
さらに、コンピュータ・プログラム命令を、コンピュータ、他のプログラム可能データ処理装置、または他のデバイスにロードし、そのコンピュータ上、他のプログラム可能装置上、または他のデバイス上で一連のオペレーション・ステップを実施させて、コンピュータ実装のプロセスを作り出し、当該コンピュータ上もしくは他のプログラム可能装置または他のデバイス上で実行される命令が、フローチャートもしくはブロック図またはその両方のブロックもしくはブロック群中に特定されている機能群/動作群を実装するためのプロセスを提供するようにすることも可能である。
図面のフローチャートおよびブロック図は、本発明のさまざまな実施形態による、システム、方法、およびコンピュータ・プログラム製品から可能となる実装のアーキテクチャ、機能性、およびオペレーションを示している。この点に関し、フローチャートまたはブロック図中の各ブロックは、特定の論理機能(群)を実装するための一つ以上の実行可能命令を含む、モジュール、セグメント、またはコードの部分を表し得る。また、一部の実装においては、ブロック中に記載された機能が、図面に記載された順序から外れて行われ得ることに留意すべきである。例えば、連続して示された2つのブロックが、関与する機能性に応じ、実際にはほぼ同時に実行されることがあり、時にはこれらのブロックが逆の順序で実行されることもあり得る。さらに、ブロック図もしくはフローチャート図またはその両方の各ブロック、およびブロック図もしくはフローチャート図またはその両方中のブロック群の組み合わせは、特定の機能または動作を実施する特殊用途ハードウェア・ベースのシステム、または特殊用途ハードウェアとコンピュータ命令との組み合わせによって実装可能なことにも留意すべきである。
なお、前述は、本発明の目的および実施形態の一部を概述したものである。本発明は、多くの応用に用いることが可能である。しかして、本説明は、特定のアレンジメントおよび方法を対象としているが、本発明の意図および概念は、他のアレンジメントおよび用途に対しても適しており適用可能である。当業者には、本発明の範囲から逸脱することなく、開示された実施形態に変更を加えることが可能なのは明らかであろう。記載された実施形態は、単に、本発明の特徴および応用の一部の例示であると理解すべきである。本開示の発明を異なった仕方で応用することによって、または当業者が知悉するやり方で本発明を修改することによって、他の有益な結果を実現することが可能である。さらに、本明細書に開示した全ての例は、例示を意図したものであり限定のためのものではない。

Claims (24)

  1. 少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にする方法であって、前記マルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、前記方法は、
    プロセッサによって、前記第一ユーザに第一ユーザ・アカウントを割り当てるステップであって、前記第一ユーザ・アカウントは、前記マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、前記割り当てるステップと、
    前記プロセッサによって、前記第一ユーザ・アカウントに第一サブスクリプションをリンクするステップであって、前記第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、前記リンクするステップと、
    前記プロセッサによって、前記第一ユーザ・アカウントに第二サブスクリプションをリンクするステップであって、前記第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、前記リンクするステップと、
    前記プロセッサによって、前記第一ユーザから、前記第一ユーザによる前記マルチテナント・コンピューティング環境へのログインに関連する前記ユーザ・アカウント証印を少なくとも受信するステップと、
    前記プロセッサによって、前記ユーザ・アカウント証印による前記ログイン、および前記第一ユーザ・アカウントにリンクされた前記第一サブスクリプションの前記第一サブスクリプション情報に応じて、前記第一ユーザ・アカウントに対し、前記第一コンピューティング・リソースへのアクセスを許可するステップと、
    前記プロセッサによって、前記ユーザ・アカウント証印による前記ログイン、および前記第一ユーザ・アカウントにリンクされた前記第二サブスクリプションの前記第二サブスクリプション情報に応じて、前記第一ユーザ・アカウントに対し、前記第二コンピューティング・リソースへのアクセスを許可するステップと、
    を含む、方法。
  2. 前記第一サブスクリプションおよび前記第二サブスクリプションを前記第一ユーザ・アカウントに前記リンクするステップは、データベースにデータを格納するステップを含む、請求項1に記載の方法。
  3. 前記第一コンピューティング・リソースは第一ウェブ・プレゼンスを含み、前記第二コンピューティング・リソースは第二ウェブ・プレゼンスを含む、請求項1または請求項2に記載の方法。
  4. 前記第一ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含み、前記第二ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含む、請求項3に記載の方法。
  5. 前記第一テナントは、関連付けられた第一名前空間を有し、
    前記第二テナントは、前記第一名前空間とは別個の関連付けられた第二名前空間を有し、
    前記第一コンピューティング・リソースは前記第一名前空間に関連付けられ、
    前記第二コンピューティング・リソースは前記第二名前空間に関連付けられる、
    請求項1〜4のいずれかに記載の方法。
  6. 前記第一ユーザによる前記ログインの後、前記プロセッサによって、前記第一ユーザが、前記第一コンピューティング・リソースおよび前記第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、少なくとも第二ユーザと協働できるようにされる、請求項1〜5のいずれかに記載の方法。
  7. 前記第一ユーザおよび前記第二ユーザの各々による前記協働のアクセスは、(a)ファイル読み取りアクセス、(b)ファイル書き込みアクセス、(c)ファイル作成アクセス、または(d)これらの任意の組み合わせを含む、請求項6に記載の方法。
  8. (a)前記プロセッサによって、前記第一テナントに関連付けられた前記第一ユーザが、前記第一テナントに関連付けられたコンピューティング・リソース上で協働するために、前記第二テナントに関連付けられた第二ユーザを招請することを可能にするステップ、
    (b)前記プロセッサによって、前記第一ユーザの前記第一サブスクリプション上の、前記第一コンピューティング・リソースへのアクセスの間の能力を制限する役割情報を維持するステップ、
    (c)前記プロセッサによって、前記第一ユーザのプライマリ・サブスクリプションが削除されるかまたは別途に無効にされている場合には、前記第一ユーザの複数のセカンダリ・サブスクリプションの全てへのアクセスを制限するステップ、
    (d)前記プロセッサによって、前記第一ユーザのサブスクリプションのセットから、前記第一ユーザの或るサブスクリプションを無効化するステップ、もしくは
    (e)前記プロセッサによって、テナントが、前記第一ユーザのプライマリ・サブスクリプションに関連付けられたルールに基づいて、複数のセカンダリ・サブスクリプションのどれに前記第一ユーザが加われるかを制限できるようにするステップ、または
    (f)これらステップの任意の組み合わせ、
    のうちの少なくとも一つをさらに含む、請求項1〜7のいずれかに記載の方法。
  9. 少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にするための、コンピュータによって実行が可能な命令のプログラムを実体的に具現化するコンピュータ可読ストレージ媒体であって、前記マルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、前記命令のプログラムは、実行されたとき、
    前記第一ユーザに第一ユーザ・アカウントを割り当てるステップであって、前記第一ユーザ・アカウントは、前記マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、前記割り当てるステップと、
    前記第一ユーザ・アカウントに第一サブスクリプションをリンクするステップであって、前記第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、前記リンクするステップと、
    前記第一ユーザ・アカウントに第二サブスクリプションをリンクするステップであって、前記第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、前記リンクするステップと、
    前記第一ユーザから、前記第一ユーザによる前記マルチテナント・コンピューティング環境へのログインに関連する前記ユーザ・アカウント証印を少なくとも受信するステップと、
    前記ユーザ・アカウント証印による前記ログイン、および前記第一ユーザ・アカウントにリンクされた前記第一サブスクリプションの前記第一サブスクリプション情報に応じて、前記第一ユーザ・アカウントに対し、前記第一コンピューティング・リソースへのアクセスを許可するステップと、
    前記ユーザ・アカウント証印による前記ログイン、および前記第一ユーザ・アカウントにリンクされた前記第二サブスクリプションの前記第二サブスクリプション情報に応じて、前記第一ユーザ・アカウントに対し、前記第二コンピューティング・リソースへのアクセスを許可するステップと、
    を実施する、コンピュータ可読ストレージ媒体。
  10. 前記第一サブスクリプションおよび前記第二サブスクリプションを前記第一ユーザ・アカウントに前記リンクするステップは、データベースにデータを格納するステップを含む、請求項9に記載のコンピュータ可読ストレージ媒体。
  11. 前記第一コンピューティング・リソースは第一ウェブ・プレゼンスを含み、前記第二コンピューティング・リソースは第二ウェブ・プレゼンスを含む、請求項9または請求項10に記載のコンピュータ可読ストレージ媒体。
  12. 前記第一ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含み、前記第二ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含む、請求項11に記載のコンピュータ可読ストレージ媒体。
  13. 前記第一テナントは、関連付けられた第一名前空間を有し、
    前記第二テナントは、前記第一名前空間とは別個の関連付けられた第二名前空間を有し、
    前記第一コンピューティング・リソースは前記第一名前空間に関連付けられ、
    前記第二コンピューティング・リソースは前記第二名前空間に関連付けられる、
    請求項9〜12のいずれかに記載のコンピュータ可読ストレージ媒体。
  14. 前記第一ユーザによる前記ログインの後、前記第一ユーザが、前記第一コンピューティング・リソースおよび前記第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、少なくとも第二ユーザと協働できるようにされる、請求項9〜13のいずれかに記載のコンピュータ可読ストレージ媒体。
  15. 前記第一ユーザおよび前記第二ユーザの各々による前記協働のアクセスは、(a)ファイル読み取りアクセス、(b)ファイル書き込みアクセス、(c)ファイル作成アクセス、または(d)これらの任意の組み合わせを含む、請求項14に記載のコンピュータ可読ストレージ媒体。
  16. 前記マルチテナント・コンピューティング環境が、さらに、第三テナントに関連付けられた第三コンピューティング・リソースを少なくとも含み、
    前記命令のプログラムは、実行されたとき、前記第一ユーザに対し前記第三コンピューティング・リソースへのアクセスを禁止する、
    請求項9〜15のいずれかに記載のコンピュータ可読ストレージ媒体。
  17. 少なくとも第一ユーザがマルチテナント・コンピューティング環境を用いることを可能にするためのシステムであって、前記マルチテナント・コンピューティング環境は、第一テナントに関連付けられた第一コンピューティング・リソース、および第二テナントに関連付けられた第二コンピューティング・リソースを少なくとも含み、前記システムは、
    前記第一ユーザに第一ユーザ・アカウントを割り当てるよう構成可能な割り当てエレメントであって、前記第一ユーザ・アカウントは、前記マルチテナント・コンピューティング環境に亘って一意的な少なくとも一つのユーザ・アカウント証印を含む関連付けられた第一ユーザ・アカウント情報を有する、前記割り当てエレメントと、
    前記第一ユーザ・アカウントに第一サブスクリプションをリンクするよう構成可能な第一リンク・エレメントであって、前記第一サブスクリプションは関連付けられた第一サブスクリプション情報を有する、前記第一リンク・エレメントと、
    前記第一ユーザ・アカウントに第二サブスクリプションをリンクするよう構成可能な第二リンク・エレメントであって、前記第二サブスクリプションは関連付けられた第二サブスクリプション情報を有する、前記第二リンク・エレメントと、
    前記第一ユーザから、前記第一ユーザによる前記マルチテナント・コンピューティング環境へのログインに関連する前記ユーザ・アカウント証印を少なくとも受信するよう構成可能な受信エレメントと、
    前記ユーザ・アカウント証印による前記ログイン、および前記第一ユーザ・アカウントにリンクされた前記第一サブスクリプションの前記第一サブスクリプション情報に応じて、前記第一ユーザ・アカウントに対し、前記第一コンピューティング・リソースへのアクセスを許可するよう構成可能な第一許可エレメントと、
    前記ユーザ・アカウント証印による前記ログイン、および前記第一ユーザ・アカウントにリンクされた前記第二サブスクリプションの前記第二サブスクリプション情報に応じて、前記第一ユーザ・アカウントに対し、前記第二コンピューティング・リソースへのアクセスを許可するよう構成可能な第二許可エレメントと、
    を含む、システム。
  18. 前記第一サブスクリプションおよび前記第二サブスクリプションを前記第一ユーザ・アカウントにリンクするためのデータを格納するデータベースをさらに含む、請求項17に記載のシステム。
  19. 前記第一コンピューティング・リソースは第一ウェブ・プレゼンスを含み、前記第二コンピューティング・リソースは第二ウェブ・プレゼンスを含む、請求項17または請求項18に記載のシステム。
  20. 前記第一ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含み、前記第二ウェブ・プレゼンスは少なくとも一つのウェブ・ページを含む、請求項19に記載のシステム。
  21. 前記第一テナントは、関連付けられた第一名前空間を有し、
    前記第二テナントは、前記第一名前空間とは別個の関連付けられた第二名前空間を有し、
    前記第一コンピューティング・リソースは前記第一名前空間に関連付けられ、
    前記第二コンピューティング・リソースは前記第二名前空間に関連付けられる、
    請求項17〜20のいずれかに記載のシステム。
  22. 前記第一ユーザによる前記ログインの後、プロセッサによって、前記第一ユーザが、前記第一コンピューティング・リソースおよび前記第二コンピューティング・リソースのうちの少なくとも一つへのアクセスに関連して、少なくとも第二ユーザと協働できるようにされる、請求項17〜21のいずれかに記載のシステム。
  23. 前記第一ユーザおよび前記第二ユーザの各々による前記協働のアクセスは、(a)ファイル読み取りアクセス、(b)ファイル書き込みアクセス、(c)ファイル作成アクセス、または(d)これらの任意の組み合わせを含む、請求項22に記載のシステム。
  24. (a)前記第一テナントに関連付けられた前記第一ユーザが、前記第一テナントに関連付けられたコンピューティング・リソース上で協働するために、前記第二テナントに関連付けられた第二ユーザを招請することを可能にするよう構成可能なイネーブリング・エレメント、
    (b)前記第一ユーザの前記第一サブスクリプション上の、前記第一コンピューティング・リソースへのアクセスの間の能力を制限する役割情報を維持するよう構成可能な維持エレメント、
    (c)前記第一ユーザのプライマリ・サブスクリプションが削除されるかまたは別途に無効にされている場合には、前記第一ユーザの複数のセカンダリ・サブスクリプションの全てへのアクセスを制限するよう構成可能な制限エレメント、
    (d)前記第一ユーザのサブスクリプションのセットから、前記第一ユーザの或るサブスクリプションを無効化するよう構成可能な無効化エレメント、もしくは
    (e)テナントが、前記第一ユーザのプライマリ・サブスクリプションに関連付けられたルールに基づいて、複数のセカンダリ・サブスクリプションのどれに前記第一ユーザが加われるかを制限できるようにするよう構成可能なイネーブリング・エレメント、または
    (f)これらエレメントの任意の組み合わせ、
    のうちの少なくとも一つをさらに含む、請求項17〜23のいずれかに記載のシステム。
JP2015562434A 2013-03-15 2014-02-13 企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポート方法、およびシステム。 Active JP6355656B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/841,258 2013-03-15
US13/841,258 US9325632B2 (en) 2013-03-15 2013-03-15 Multi-tenancy support for enterprise social business computing
PCT/IB2014/058967 WO2014140963A1 (en) 2013-03-15 2014-02-13 Multi-tenancy support for enterprise social business computing

Publications (2)

Publication Number Publication Date
JP2016511479A true JP2016511479A (ja) 2016-04-14
JP6355656B2 JP6355656B2 (ja) 2018-07-11

Family

ID=51533464

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015562434A Active JP6355656B2 (ja) 2013-03-15 2014-02-13 企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポート方法、およびシステム。

Country Status (5)

Country Link
US (2) US9325632B2 (ja)
JP (1) JP6355656B2 (ja)
CN (1) CN105074685B (ja)
GB (1) GB2529325B (ja)
WO (1) WO2014140963A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150006730A1 (en) * 2013-06-27 2015-01-01 Sap Ag Enabling multi-tenant virtual servers in a cloud system
US9836332B2 (en) * 2014-07-31 2017-12-05 Corent Technology, Inc. Software defined SaaS platform
US20170242881A1 (en) * 2014-09-22 2017-08-24 Hewlett Packard Enterprise Development Lp Tenant data mapping for multiple tenant cloud applications
US9825928B2 (en) 2014-10-22 2017-11-21 Radware, Ltd. Techniques for optimizing authentication challenges for detection of malicious attacks
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US10148611B2 (en) 2015-03-30 2018-12-04 EMC IP Holding Company LLC Network address sharing in a multitenant, monolithic application environment
US9979733B2 (en) 2015-09-24 2018-05-22 International Business Machines Corporation Automatically provisioning new accounts on managed targets by pattern recognition of existing account attributes
US10389705B2 (en) * 2016-03-30 2019-08-20 Airwatch Llc Associating user accounts with enterprise workspaces
CN105871880B (zh) * 2016-05-10 2018-11-06 华中科技大学 一种云环境下基于信任模型的跨租户访问控制方法
US10944747B2 (en) * 2016-05-25 2021-03-09 Canon Information And Imaging Solutions, Inc. Devices, systems, and methods for zero-trust single sign-on
EP3466028B1 (en) * 2016-06-06 2021-09-08 Illumina, Inc. Tenant-aware distributed application authentication
US10536446B2 (en) 2017-01-31 2020-01-14 Microsoft Technology Licensing, Llc. Single authentication to a multi-tenancy single-page cloud application
US10951600B2 (en) * 2017-05-08 2021-03-16 Microsoft Technology Licensing, Llc Domain authentication
US10924578B2 (en) 2019-03-27 2021-02-16 Microsoft Technology Licensing, Llc Late binding of social identity in invitation management systems
US11503037B2 (en) * 2019-11-04 2022-11-15 Microsoft Technology Licensing, Llc Nested access privilege check for multi-tenant organizations
US10997121B1 (en) * 2020-07-17 2021-05-04 Snowflake Inc. Attachable-and-detachable database sessions
CN111988173B (zh) * 2020-08-19 2023-09-12 北京安瑞志远科技有限公司 基于多层父子结构租户的租户管理平台和租户管理方法
CN114978998B (zh) * 2021-02-26 2023-12-12 中移(苏州)软件技术有限公司 一种流量控制方法、装置、终端及存储介质
CN115102749B (zh) * 2022-06-16 2024-03-19 上海商汤阡誓科技有限公司 一种资源交互方法、装置、设备及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002251502A (ja) * 2001-02-22 2002-09-06 Hitachi Ltd ユーザ認証とアクセス制限機能とを有する化学物質総合管理システム及びアクセス方法
JP2006023907A (ja) * 2004-07-07 2006-01-26 Inf Net:Kk 企業間電子商取引方法及びシステム
JP2006515447A (ja) * 2002-12-31 2006-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム
JP2007272492A (ja) * 2006-03-31 2007-10-18 Mitsubishi Electric Corp 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム
JP2008529174A (ja) * 2005-01-31 2008-07-31 アマゾン テクノロジーズ インコーポレーテッド サブスクリプション・ベースの出荷のための方法および装置
WO2012035588A1 (en) * 2010-09-17 2012-03-22 Hitachi, Ltd. Method for managing information processing system and data management computer system
JP2012103846A (ja) * 2010-11-09 2012-05-31 Toshiba Corp 認証連携システム及びidプロバイダ装置
JP2012212211A (ja) * 2011-03-30 2012-11-01 Hitachi Ltd 認証連携システム、および、認証連携方法
JP2013508854A (ja) * 2009-10-23 2013-03-07 マイクロソフト コーポレーション クラウド認証を使用する認証
JP2013519176A (ja) * 2010-02-09 2013-05-23 インターデイジタル パテント ホールディングス インコーポレイテッド トラステッド連合アイデンティティのための方法および装置

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030159072A1 (en) * 2002-02-04 2003-08-21 Atreus Systems Corp. Single sign-on for multiple network -based services
US8554694B1 (en) * 2005-01-31 2013-10-08 Amazon Technologies, Inc. Computer system and method for community-based shipping
US7925973B2 (en) * 2005-08-12 2011-04-12 Brightcove, Inc. Distribution of content
US7991790B2 (en) * 2007-07-20 2011-08-02 Salesforce.Com, Inc. System and method for storing documents accessed by multiple users in an on-demand service
US8418238B2 (en) 2008-03-30 2013-04-09 Symplified, Inc. System, method, and apparatus for managing access to resources across a network
US8291490B1 (en) 2008-06-30 2012-10-16 Emc Corporation Tenant life cycle management for a software as a service platform
US8271536B2 (en) 2008-11-14 2012-09-18 Microsoft Corporation Multi-tenancy using suite of authorization manager components
US8566917B2 (en) 2010-03-19 2013-10-22 Salesforce.Com, Inc. Efficient single sign-on and identity provider configuration and deployment in a database system
US8782748B2 (en) * 2010-06-22 2014-07-15 Microsoft Corporation Online service access controls using scale out directory features
US9560036B2 (en) 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
US20120060108A1 (en) * 2010-09-06 2012-03-08 Gilles Domartini Systems and methods for flexible digital content monetization in a networked environment
US9031957B2 (en) * 2010-10-08 2015-05-12 Salesforce.Com, Inc. Structured data in a business networking feed
US20120221709A1 (en) * 2011-02-24 2012-08-30 Bowes James R Mechanism to allow hosted and on-site implementations to manage product assets as specified by a third party
US10324946B2 (en) * 2011-06-23 2019-06-18 Salesforce.Com Inc. Methods and systems for caching data shared between organizations in a multi-tenant database system
US9535573B2 (en) * 2011-08-26 2017-01-03 Salesforce.Com, Inc. Systems and methods for dynamic list views and detail pages
US9178753B2 (en) * 2011-08-31 2015-11-03 Salesforce.Com, Inc. Computer implemented methods and apparatus for providing access to an online social network
US8635152B2 (en) 2011-09-14 2014-01-21 Microsoft Corporation Multi tenancy for single tenancy applications
US8589481B2 (en) 2011-09-14 2013-11-19 Microsoft Corporation Multi tenant access to applications
US9256840B2 (en) * 2011-12-01 2016-02-09 Sap Se Establishing business networks using a shared platform
CN102571821A (zh) * 2012-02-22 2012-07-11 浪潮电子信息产业股份有限公司 一种云安全访问控制模型
CN102708316B (zh) * 2012-04-19 2015-04-08 北京华胜天成科技股份有限公司 一种用于多租户架构中数据隔离的方法
US20140058945A1 (en) * 2012-08-22 2014-02-27 Mcafee, Inc. Anonymous payment brokering
US9397884B2 (en) * 2012-09-07 2016-07-19 Oracle International Corporation Workflows for processing cloud services
US20140180915A1 (en) * 2012-12-21 2014-06-26 Zetta, Inc. Systems and methods for real-time billing and metrics reporting

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002251502A (ja) * 2001-02-22 2002-09-06 Hitachi Ltd ユーザ認証とアクセス制限機能とを有する化学物質総合管理システム及びアクセス方法
JP2006515447A (ja) * 2002-12-31 2006-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム
JP2006023907A (ja) * 2004-07-07 2006-01-26 Inf Net:Kk 企業間電子商取引方法及びシステム
JP2008529174A (ja) * 2005-01-31 2008-07-31 アマゾン テクノロジーズ インコーポレーテッド サブスクリプション・ベースの出荷のための方法および装置
JP2007272492A (ja) * 2006-03-31 2007-10-18 Mitsubishi Electric Corp 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム
JP2013508854A (ja) * 2009-10-23 2013-03-07 マイクロソフト コーポレーション クラウド認証を使用する認証
JP2013519176A (ja) * 2010-02-09 2013-05-23 インターデイジタル パテント ホールディングス インコーポレイテッド トラステッド連合アイデンティティのための方法および装置
WO2012035588A1 (en) * 2010-09-17 2012-03-22 Hitachi, Ltd. Method for managing information processing system and data management computer system
JP2012103846A (ja) * 2010-11-09 2012-05-31 Toshiba Corp 認証連携システム及びidプロバイダ装置
JP2012212211A (ja) * 2011-03-30 2012-11-01 Hitachi Ltd 認証連携システム、および、認証連携方法

Also Published As

Publication number Publication date
GB2529325B (en) 2020-08-05
US9515950B2 (en) 2016-12-06
GB201517886D0 (en) 2015-11-25
JP6355656B2 (ja) 2018-07-11
CN105074685B (zh) 2017-10-13
US20140280939A1 (en) 2014-09-18
CN105074685A (zh) 2015-11-18
US20140280583A1 (en) 2014-09-18
WO2014140963A1 (en) 2014-09-18
US9325632B2 (en) 2016-04-26
GB2529325A (en) 2016-02-17

Similar Documents

Publication Publication Date Title
JP6355656B2 (ja) 企業のソーシャル・ビジネス・コンピューティングのためのマルチテナント機能のサポート方法、およびシステム。
US11411944B2 (en) Session synchronization across multiple devices in an identity cloud service
JP6917331B2 (ja) マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス
JP7018437B2 (ja) マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理
JP6998912B2 (ja) マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのシングルサインオンおよびシングルログアウト機能
JP7402690B2 (ja) マルチテナントアイデンティティクラウドサービスのためのテナントデータ比較
US9860234B2 (en) Bundled authorization requests
US10878079B2 (en) Identity cloud service authorization model with dynamic roles and scopes
US10454940B2 (en) Identity cloud service authorization model
US10084823B2 (en) Configurable adaptive access manager callouts
US20180316676A1 (en) Dynamic computing resource access authorization
JP2021516800A (ja) マルチテナントアイデンティティクラウドサービスのための地域間信頼
JP2021528722A (ja) マルチテナントアイデンティティクラウドサービスのための宣言型第三者アイデンティティプロバイダの統合
US8978122B1 (en) Secure cross-tenancy federation in software-as-a-service system
JP2021518933A (ja) マルチテナントアイデンティティクラウドサービスのためのローカル書込
EP3750096B1 (en) Method and apparatus for managing service access authorization using smart contracts
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
JP2015537269A (ja) Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム
US20180332043A1 (en) Integrated hosted directory
US20230185948A1 (en) Methods and systems for tenancy in a multitenant environment
JP2017523508A (ja) セキュアな統合型クラウドストレージ
Samlinson et al. User-centric trust based identity as a service for federated cloud environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170207

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180104

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180306

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180612

R150 Certificate of patent or registration of utility model

Ref document number: 6355656

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150