JP6356797B2 - 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット - Google Patents

複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット Download PDF

Info

Publication number
JP6356797B2
JP6356797B2 JP2016528232A JP2016528232A JP6356797B2 JP 6356797 B2 JP6356797 B2 JP 6356797B2 JP 2016528232 A JP2016528232 A JP 2016528232A JP 2016528232 A JP2016528232 A JP 2016528232A JP 6356797 B2 JP6356797 B2 JP 6356797B2
Authority
JP
Japan
Prior art keywords
service
access
user
directory
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016528232A
Other languages
English (en)
Other versions
JP2016540295A (ja
Inventor
トーマス クリストファー リッゾ
トーマス クリストファー リッゾ
ション キラン シャー
ション キラン シャー
ガウラング パンカジュ メータ
ガウラング パンカジュ メータ
ベナクタ エヌ エス エス ハーシャ クーナパラジュ
ベナクタ エヌ エス エス ハーシャ クーナパラジュ
グルプラカシュ バンガロール ラオ
グルプラカシュ バンガロール ラオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Amazon Technologies Inc
Original Assignee
Amazon Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Amazon Technologies Inc filed Critical Amazon Technologies Inc
Publication of JP2016540295A publication Critical patent/JP2016540295A/ja
Application granted granted Critical
Publication of JP6356797B2 publication Critical patent/JP6356797B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本出願は、参照により、すべての目的に対して、US特許仮出願第61/902,790号(2013年11月11日に出願)、発明の名称「管理ディレクトリ・サービス」、及びUS特許出願第14/098,341号(2013年12月5日に出願)、発明の名称「複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット」の完全な開示を取り入れている。
顧客は、ディレクトリ・サービスを用いてディレクトリ(例えば、ファイル・システム、ファイル、ユーザ、セキュリティ・ポリシー、ネットワーク・リソース、アプリケーション、システム記憶など)を形成及び維持することを、データ管理及び全般的に種々のリソースへのアクセスのために行う。ディレクトリ・サービスは、顧客のビジネス・ニーズに依存して、ディレクトリの形成を、顧客が運営するデータ・センタ(例えば構内)において、またはリモート・ネットワーク(例えば構外)において行うように構成されている場合がある。しかし、顧客が、構内及び構外のディレクトリを維持することを希望すると、多くの問題に直面する場合がある。例えば、顧客が構内ディレクトリを用いると、別個の構外ディレクトリと、2つのディレクトリ間の同期式データとを形成して、同じデータ・セットを維持する必要が生じる場合がある。この結果、顧客がディレクトリの各ユーザに対する複数のアカウントを維持する必要が生じる場合がある。さらに、複数のディレクトリのメンテナンスを行うと、顧客の管理上の負担が増える場合がある。なぜならば、複数のディレクトリのメンテナンス及びセキュリティによって、さらなるリソースを実行する必要が生じる場合があるからである。問題が悪化すると、ユーザは複雑な操作セットを実行して1または複数のさらなる資格認定セットを取得し、ディレクトリと、コンピューティング・リソース・サービス・プロバイダが提供する1または複数の他のサービスとにアクセスしなければならない場合がある。
本開示による種々の実施形態を図面を参照して説明する。
種々の実施形態を実施することができる環境の説明例を示す図である。 少なくとも1つの実施形態により、分散コンピュータ・システム環境上のディレクトリ・オブジェクトならびにそこで実行される付随するコードにアクセスするための環境の説明例を示す図である。 少なくとも1つの実施形態により、分散コンピュータ・システム環境上のリモート・ディレクトリ・オブジェクトに対する認証、許可、及びアクセスに対するユーザ・リクエストに応える環境の説明例を示す図である。 種々の実施形態を実施することができる環境の説明例を示す図である。 少なくとも1つの実施形態によりユーザに適用されるポリシー・セットの説明例を示す図である。 少なくとも1つの実施形態により管理ディレクトリ・サービスのユーザに適用可能なポリシーを設定するためのポリシー・ジェネレーターの説明例を示す図である。 少なくとも1つの実施形態によりポリシー・ジェネレーターの結果として管理ディレクトリ・サービスのユーザに適用されるポリシー・セットの説明例を示す図である。 少なくとも1つの実施形態により1または複数のコンピューティング・リソース・サービスへのユーザ・アクセスを規定するためのプロセスの説明例を示す図である。 少なくとも1つの実施形態により1または複数のコンピューティング・リソース・サービスへのユーザ・アクセスを可能にするためのプロセスの説明例を示す図である。 種々の実施形態を実施することができる環境を例示する図である。
以下の説明では、種々の実施形態について説明する。説明の目的上、実施形態の十分な理解を得るために特定の構成及び詳細について述べる。しかし当業者には明らかであるように、実施形態はこの特定の詳細を伴わずに実施しても良い。さらに、説明している実施形態が不明瞭にならないように、良く知られた特徴部は省略または単純化する場合がある。
本明細書で説明及び提案される技術が関連しているのは、1または複数のユーザの集中ポリシー管理であって、1つの資格認定セットを用いて、ディレクトリとコンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスとにアクセスし得るような集中ポリシー管理である。一実施形態では、管理ディレクトリ・サービスを通して利用可能になるディレクトリの管理に関与するエンティティ(例えば、組織)では、ディレクトリを用いるユーザまたは複数のユーザに対して1または複数のポリシーを特定する。エンティティは、種々のサービス、例えば仮想コンピュータ・システム・サービス、オブジェクト・ベースのデータ記憶サービス、データベース・サービス、前述の管理ディレクトリ・サービス、及び他の複数のサービスを操作するコンピューティング・リソース・サービス・プロバイダの顧客であっても良い。
いくつかの実施形態では、顧客は、管理ディレクトリ・サービス内のポリシー管理サブ・システムと通信して、1または複数のポリシーとして、ディレクトリが管理するアプリケーション及びリソースへのユーザ・アクセスならびに/またはコンピューティング・リソース・サービス・プロバイダが提供する1または複数の他のサービスへのユーザ・アクセスに影響を及ぼす1または複数のポリシーを規定する。例えば、顧客は、ポリシーとして、ユーザまたはユーザ・グループがディレクトリ内の特定のアプリケーション(例えば、ワード・プロセッシング・アプリケーション、写真編集アプリケーションなど)を実行することを防止するポリシーを形成しても良い。別の場合では、顧客は、ポリシーとして、ユーザまたはユーザ・グループが、コンピューティング・リソース・サービス・プロバイダが提供する仮想コンピュータ・システム・サービスにアクセスすること、またはコンピューティング・リソース・サービス・プロバイダが提供するデータベース・サービス内での書き込みアクションを実行することを防止するポリシーを形成しても良い。
一実施形態では、ユーザ・ポリシーが作成されたら、ユーザは統一リソース識別子(URI)を用いても良い。統一リソース識別子をユーザまたはユーザ・グループが用いて、コンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスしても良い。このコンピューティング・リソース・サービス・プロバイダ・インターフェースの構成を、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにユーザまたはユーザ・グループがアクセスすることを可能にするように設定しても良い。例えば、ユーザはコンピューティング・リソース・サービス・プロバイダ・インターフェースを用いて、仮想コンピュータ・システム・サービス及び仮想マシン・インスタンスのリクエスト・プロビジョニングにアクセスしても良い。コンピューティング・リソース・サービス・プロバイダ・インターフェースをさらに、規定された適用可能なユーザ・ポリシーに従ってカスタマイズしても良い。例えば、ユーザがオブジェクト・ベースのデータ記憶サービスへのアクセスを許可されていないことが、規定されたユーザ・ポリシーによって特定されている場合、コンピューティング・リソース・サービス・プロバイダ・インターフェースを、このサービスに関連するどんな許可も含まないように構成しても良い。
一実施形態では、ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスすると、管理ディレクトリ・サービス内のポリシー管理サブ・システムが、規定されたユーザ・ポリシーを取得して、コンピューティング・リソース・サービス・プロバイダが提供する種々のサービスにアクセスするためのパラメータを決定する。ユーザ・ポリシーが取得されたら、ポリシー管理サブ・システムはアイデンティティ管理サービスと通信することを、例えば、サービスに対する1または複数の適切に構成されたアプリケーション・プログラミング・インターフェース(API)コールを通して行って、ユーザがアクセスを許可されたサービスに付随する一時的な資格認定をリクエストしても良い。したがって、これらの一時的な資格認定をポリシー管理サブ・システムに送信して、許容されるサービス及び操作へのユーザ・アクセスを可能にしても良い。加えて、ポリシー管理サブ・システムはさらにアイデンティティ管理サービスと通信して、実施すべき特定ユーザ用ポリシーを提供しても良い。ポリシー管理サブ・システムが一時的な資格認定セットを受信して、実施すべきポリシーをアイデンティティ管理サービスに送信したら、ポリシー管理サブ・システムは、カスタマイズされたコンピューティング・リソース・サービス・プロバイダ・インターフェースにユーザがアクセスすることを可能にしても良い。
このように、ディレクトリのユーザまたはユーザ・グループが、ディレクトリにアクセスするために用いる単一の資格認定セットを用いて、コンピューティング・リソース・サービス・プロバイダが提供する1または複数の他のサービスにアクセスすることを、これらの1または複数の他のサービスに対するさらなる資格認定セットを管理する必要なく行っても良い。加えて、本明細書で説明及び提案する技術によって、さらなる技術的な優位性が助長される。例えば、顧客は、管理ディレクトリ・サービス内のポリシー管理サブ・システムを用いて、コンピューティング・リソース・サービス・プロバイダが提供する任意のサービスに対するユーザ・ポリシーを特定しても良いため、顧客は、他の任意のサービスまたはインターフェースにアクセスしてサービス専用のユーザ・ポリシーを特定する必要がなくても良い。その結果、これによって、顧客に対する潜在的な管理上の負担が減る場合がある。
図1に示すのは、種々の実施形態を実施しても良い環境100の説明例である。環境100では、コンピューティング・リソース・サービス・プロバイダ102によって、種々のコンピューティング・リソース・サービスが、コンピューティング・リソース・サービス・プロバイダの1または複数の顧客に提供される。コンピューティング・リソース・サービス・プロバイダ102は、1または複数の顧客の代わりに種々のコンピューティング・リソースのホストとして働く組織であっても良い。例えば、コンピューティング・リソース・サービス・プロバイダは、種々のコンピューティング・ハードウェア・リソース(例えば、ハードウェア・サーバ、データ記憶装置、ネットワーク・デバイス、及び他の機器、例えばサーバ・ラック、ネットワーキング・ケーブルなど)のホストとして働くために用いられる1または複数の設備を操作しても良い。コンピューティング・リソース・サービス・プロバイダは、そのコンピューティング・ハードウェア・リソースを用いて、1または複数のサービスを操作しても良い。このようなサービスに含まれるサービスは、コンピューティング・リソース・サービス・プロバイダの顧客がコンピューティング・リソースをリモートに管理して顧客の操作をサポートすることを可能にする一方で、顧客が物理機器に投資する必要を減らすかまたはなくすことさえするものであっても良い。サービス例には、種々のデータ記憶サービス(オブジェクト・ベース・データ記憶サービス、アーカイバル・データ記憶サービス、データベース・サービスなど)、プログラム実行サービス、及び他のサービスが含まれるが、これらに限定されない。サービスを顧客が用いて広範囲な行為をサポートしても良い。例えば、ウェブサイトの操作、組織をサポートする企業システムの操作、分散計算及び/または他の行為である。
それに応じて、図1に例示したように、環境100には顧客104が含まれている。顧客104は、組織であって、コンピューティング・リソース・サービス・プロバイダ102が提供する1または複数のサービスを用いて、1または複数のディレクトリ(例えば、ファイル・システム、ファイル、ユーザ、セキュリティ・ポリシー、ネットワーク・リソース、アプリケーション、システム記憶など)を操作及び管理して自分の操作をサポートすることができる組織であっても良い。顧客104は、顧客コンピュータ・システム・デバイスを通して、1または複数のリクエストを、コンピューティング・リソース・サービス・プロバイダ102が提供する管理ディレクトリ・サービス106に送信して、ディレクトリとして、1または複数のユーザ108間でのデータ共有及び/または利用可能性を促進するために用いても良いディレクトリを構成しても良い。それに応じて、管理ディレクトリ・サービス106にはさらに、ポリシー管理サブ・システム110が含まれていても良い。ポリシー管理サブ・システム110の構成を、顧客104が1または複数のユーザ・プロファイルを作成及び変更して、ディレクトリ内の利用可能な1もしくは複数のアプリケーション及びリソースならびに/またはコンピューティング・リソース・サービス・プロバイダ102が提供する1もしくは複数の他のサービス112へのリモート・アクセスを規定することができるように設定しても良い。例えば、顧客104は、ポリシー管理サブ・システム110にアクセスして、ディレクトリ内のワード・プロセッシング・アプリケーションとコンピューティング・リソース・サービス・プロバイダ102が提供する仮想コンピュータ・システム・サービスとにユーザ108がアクセスすることを可能にする一方で、他のアプリケーション及びサービスへのアクセスを禁止しても良い。
以下に詳細に説明するように、顧客104はユーザ・プロファイル・インターフェースとやり取りして、ポリシー・ジェネレーターに、したがってポリシー管理サブ・システム110にアクセスしても良い。一実施形態では、顧客104はポリシー管理サブ・システム110にアクセスすることを、管理ディレクトリ・サービス106内の各ユーザ・プロファイルにおいて利用可能なポリシー・ジェネレーター・ボタンを通して行うことができる。ポリシー・ジェネレーターは、特定のユーザ108に対する種々のアプリケーション及び/またはサービスにアクセスするレベルを規定するために用いても良い1または複数のポリシーを顧客104が特定することを可能にしても良い。それに応じて、顧客104が、特定のユーザ108に適用可能となるべき適用可能なポリシーをポリシー・ジェネレーターを通して規定するとき、ポリシー・ジェネレーターは1または複数の実行可能命令をポリシー管理サブ・システム110に送信して、特定されたポリシーを取り入れて実施しても良い。さらに、一実施形態では、顧客104が、1または複数のポリシーであって、コンピューティング・リソース・サービス・プロバイダ102が提供する1または複数のサービス112にユーザ108がアクセスすることを可能にする1または複数のポリシーを特定すると、ポリシー管理サブ・システム110は、URI114をユーザ108に送信する。URI114をユーザ108が用いて、コンピュータ・リソース・サービス・プロバイダ・インターフェースにアクセスして、実装されたポリシーに従って適用可能なサービス112にアクセスしてこれを利用しても良い。代替的に、顧客104がURI114をユーザ108に、例えば電子メールまたは他の配送システムを通して送信することを、1または複数のポリシーがユーザ108に対して規定されたら行っても良い。
ユーザ108がディレクトリにアクセスし、URI114を用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスするときに、ポリシー管理サブ・システム110はユーザのディレクトリ・プロファイルにアクセスして、顧客104が特定した実施すべきポリシーを識別しても良い。少なくとも部分的にこれらのポリシーに基づいて、ポリシー管理サブ・システムの構成を、1または複数の実行可能命令をアイデンティティ管理システム(図示せず)に送信して、コンピューティング・リソース・サービス・プロバイダ102が提供する1もしくは複数のサービス112にアクセスするための一時的な資格認定を取得すること、及び/またはユーザ108がこれらのサービス内で始めても良い1もしくは複数のアクションを規定することを行うように設定しても良い。ポリシー管理サブ・システム110がこれらの資格認定を取得したら、ポリシー管理サブ・システム110は、特定ユーザ用コンピューティング・リソース・サービス・プロバイダ・インターフェースを作成すること、及び顧客104が規定したユーザ108に適用可能なポリシーに従って、コンピューティング・リソース・サービス・プロバイダ102が提供する1または複数のサービス112にユーザ108がアクセスできるようにすることを行っても良い。
図2に例示するのは、少なくとも1つの実施形態により、コンピュータ・システム・ディレクトリ・リソースであって、分散及び/または仮想化されたコンピュータ・システム環境上のコンピュータ・システム・サービス(例えばディレクトリ・サービス)及びリソース(例えばディレクトリ・サービスに付随するユーザ・リソース、ポリシー・リソース、ネットワーク・リソース、及び/または記憶リソース)(しかしこれらに限定されない)ならびにそこで実行される付随するコードを含むコンピュータ・システム・ディレクトリ・リソースにアクセスするための環境200である。コンピュータ・システム・エンティティ、ユーザ、またはプロセス202が、コンピュータ・システムにコンピュータ・システム・クライアント・デバイス204を通して接続されていても良く、また接続206を介して1または複数のサービス226にアクセスすることをリクエストしても良い。サービスへのアクセスをリクエストするコマンドは、外部コンピュータ・システム及び/またはサーバから生成されても良いし、またはリモート・ネットワーク位置上のエンティティ、ユーザ、またはプロセスから生成されても良いし、またはコンピュータ・システムから生成されても良いし、またはコンピュータ・システム・クライアント・デバイスのユーザから生成されても良いし、またはこれら及び/もしくは他のこのようなオブジェクトの組み合わせの結果、生成されても良い。サービスへのアクセスをリクエストするコマンドは、いくつかの実施形態では、特権ユーザが発行しても良いし、または非特権ユーザが発行しても良いし、または自律性プロセスによって発行しても良いし、またはアラームもしくは状態の結果として発行しても良いし、またはこれら及び/もしくは他の方法の組み合わせによって発行しても良い。
コンピュータ・システム・クライアント・デバイスは、サービスへのアクセスを、1または複数のネットワーク216及び/またはそれに付随するエンティティ(例えば、ネットワークに接続された他のサーバ)を介して直接または間接的に行うことをリクエストしても良い。コンピュータ・システム・クライアント・デバイスには、ネットワークを介してコンピュータ・システムと接続することができる任意のデバイスが含まれていても良い。例えば、少なくともサーバ、ラップトップ、モバイル・デバイス、例えばスマートフォンもしくはタブレット、他のスマート・デバイス、例えばスマート・ウォッチ、スマート・テレビジョン、セット・トップ・ボックス、ビデオ・ゲーム・コンソール及び他のこのようなネットワーク対応のスマート・デバイス、分散コンピューティング・システム及びそのコンポーネント、抽象化コンポーネント、例えばゲスト・コンピュータ・システムもしくは仮想マシンならびに/または他のタイプのコンピューティング装置及び/もしくはコンポーネント。ネットワークには、例えば以下のものが含まれていても良い。ローカル・ネットワーク、内部ネットワーク、パブリック・ネットワーク、例えばインターネット、ワイド・エリア・ネットワーク、無線ネットワーク、モバイル・ネットワーク、人工衛星ネットワーク、複数のネットワークノードを伴う分散コンピューティング・システムなどである。またネットワークは種々のプロトコルに従って動作しても良い。例えば以下に列記するもの、ブルートゥース(登録商標)、WiFi(登録商標)、セルラー・ネットワーク・プロトコル、人工衛星ネットワークプロトコル、及び/または他のものである。
いくつかの実施形態では、コンピュータ・システムには、1または複数のローカル・コンピュータ・システム・リソース208であって、少なくとも部分的に顧客構内に配置されても良く、ファイル及び/または他のコンピュータ・システム・リソースをその上に含んでいても良いローカル・コンピュータ・システム・リソース208が含まれていても良い。他のコンピュータ・システム・リソース208には、例えば、限定することなく、ディレクトリ、アプリケーション、データ、データベース、他のコンピュータ・システム・リソースへのリンク、システム・ドライバ、コンピュータ・オペレーティング・システム、仮想マシン、及び/または他のこのようなリソースが含まれる。いくつかの実施形態では、ローカル・コンピュータ・システム・リソースは、ローカル・ファイル・システム・リソースであっても良く、また種々の記憶装置、例えばシステム・ランダム・アクセス・メモリ(RAM)、ディスク・ドライブ、ソリッド・ステート・ドライブ、リムーバブル・ドライブ、またはこれら及び/もしくは他のこのような記憶装置の組み合わせに記憶しても良い。いくつかの実施形態では、ローカル・コンピュータ・システム・リソースを少なくとも部分的に、1または複数の接続(例えば本明細書で説明するネットワーク接続など)を介してコンピュータ・システム・クライアント・デバイスがアクセスしても良いデータ・センタ(一緒に置いても良い複数のコンピュータ・システム・リソース、サービス及び/または記憶装置)内に配置しても良い。コンピュータ・システム・リソース及び/またはデータ・センタをローカルに配置しても良いし、またはローカル及びリモートの組み合わせで配置しても良い。例えば、いくつかの実施形態では、ファイル・システム及び/またはディレクトリを、ローカル・データセンター内に配置されたディスク上に配置しても良く、またファイル・システム及び/またはディレクトリの内容を、リモート・データセンター内に配置されたディスクに複製しても良い。いくつかの他の実施形態では、ファイル・システム及び/またはディレクトリの内容の少なくとも一部を、ローカルであっても良いあるデータ・センタ内に配置しても良く、その内容の他の部分を、ローカルまたはリモートであっても良い1または複数の他のデータ・センタ内に配置しても良い。記憶装置には、物理的装置(例えば、本明細書で説明したもの)及び/またはこのような物理的装置の仮想表現が含まれていても良い。例えば、ファイル・システム及び/またはディレクトリ記憶デバイスには、若干の物理メモリが含まれていても良い。その一部は、仮想ディスク・ドライブとして記憶専用であり、その仮想ディスク・ドライブ上にファイル・システムが形成される。他のこのようなローカルな記憶装置は本開示の範囲内であると考えても良い。
いくつかの実施形態では、サービス226は、1または複数のコンピュータ・システム・ディレクトリ・リソース(例えば、本明細書で説明したもの)にアクセスする必要があっても良い。サービス226には、いくつかの実施形態では、種々の他のコンピュータ・システム・エンティティが含まれていても良い。例えば、限定することなく、ユーザ、他のコンピュータ・システム、プロセス及び/もしくは自動プロセス、ならびに/または他のこのようなコンピュータ・システム・エンティティである。システム・ディレクトリ・リソースへのアクセス214を、いくつかの実施形態では、サービス、例えば管理ディレクトリ・サービス218がもたらしても良い。管理ディレクトリ・サービス218は、1または複数のシステム・リソースへのアクセスをもたらしても良い。管理ディレクトリ・サービスは、種々のサービスとして、コンピュータ・システム及び/またはコンピュータ・システム・クライアント・デバイスが、システム・リソース(例えば、限定することなく、220認証、222許可、及び224ディレクトリ・サービス)にアクセスすることを可能にする種々のサービスを提供しても良い。
例えば、管理ディレクトリ・サービスは、220認証サービスであって、ユーザ、コンピュータ・システム、プロセス、自動プロセス、または他のこのようなエンティティの資格認定を認証して、少なくとも、管理ディレクトリ・サービス及び/または管理ディレクトリ・サービスに付随するシステム・リソースにアクセスすることをエンティティが許可されているか否かを判定しても良い220認証サービスを提供しても良い。いくつかの実施形態では、資格認定の認証を、管理ディレクトリ・サービス自体が行っても良いし、またはその認証を、管理ディレクトリ・サービスの制御下にあるプロセス、プログラム、またはサービスが行っても良いし、またはその認証を、管理ディレクトリ・サービスが通信しても良いプロセス、プログラム、またはサービスが行っても良いし、またはその認証を、これら及び/もしくは他のこのようなサービスもしくはエンティティの組み合わせが行っても良い。
また管理ディレクトリ・サービスは、222許可サービスを提供しても良い。222許可サービスは、ユーザ、コンピュータ・システム、プロセス、自動プロセス、または他のこのようなエンティティを許可して、少なくとも1または複数の可能なアクションのうちどのアクションをエンティティが実行しても良いかを決定しても良い。例えば、コンピュータ・システム・リソース、例えばファイル・システム・リソースの場合、エンティティが実行を許可される場合もあるしそうでない場合もあるアクションには、以下のものが含まれる(ただし、これらに限定されない)。ファイル・システム・リソース上にファイル・システムを形成すること、ファイル・システム・リソース上のファイル・システムを破壊すること、ファイル・システム・リソース上のファイル・システムに取り付けること、ファイル・システム・リソース上のファイル・システムから取り外すこと、ファイル・システム・リソース上のファイル・システムに対するアクセス・リンクを設けること、ファイル・システム・リソース上のファイル・システムに対するアクセス・リンクをリクレイムすること、ファイル・システム・リソース上のファイル・システムからの読み出しを可能にすること、ファイル・システム・リソース上のファイル・システムに対する書き込みを可能にすること、及び/または他のこのようなファイル・システム・リソース・アクション。
システム・リソース上のアクションには、ディレクトリ、ファイル、アプリケーション、データ、データベース、他のリソースへのリンク、システム・ドライバ、オペレーティング・システム、仮想マシン及び/またはその上の他のこのようなシステム・リソース・オブジェクト上でのアクションが含まれていても良く(しかし、これらに限定されない)、また本明細書で述べるようなアクションが含まれていても良い。システム・リソースを開始し、停止し、リクレイムし、破壊し、及び/またはその他の場合には管理するアクションならびに他のこのようなアクションも、利用可能なアクションに含めても良い。アクションを実行する許可は、エンティティ、例えば資格認定またはポリシー・システム(例えば、あるエンティティに関係づけられる資格認定及び/またはポリシーのセットを維持するシステムなど)によって管理しても良く、また少なくとも部分的に資格認定及び/またはポリシーのセットに基づいて、どのアクションについてエンティティに実行を許可するかを決定しても良い。エンティティが実行を許可され得るアクションは、固定であっても良いし、または多くの要因により変化しても良い。要因には、限定することなく、時刻、資格認定のタイプ、システム・ポリシー、性質、アクセスするオブジェクトのタイプもしくは位置、またはこれら及び/もしくは他のこのような許可要因の組み合わせが含まれる。例えば、コンピュータ・システム・エンティティが許可されるのは、ファイル・システム上のあるファイルを読み出すこと、ファイル・システム上のある他のファイルを読み出し及び書き込むこと、ファイル・システム上のある他のファイルを付加及び削除することのみであっても良い。異なるコンピュータ・システム・エンティティに対して、ファイル・システムに対する任意のアクションを実行するように許可しても良いのは、これらのアクションがある位置からある時間で開始される場合のみである。1または複数のプロセスにファイル・システム上のファイル(例えばシステム・ログなど)への書き込みだけを許可しても良く、一方で、他のプロセスにはファイルの読み出しだけを許可しても良い。考えられるように、これらは説明例である。他のタイプの操作を管理ディレクトリ・サービス許可システムが許可しても良く、このような他のタイプの操作も本開示の範囲内であると考えられる。
また管理ディレクトリ・サービスは224ディレクトリ・サービスを提供しても良い。224ディレクトリ・サービスは、許可資格認定及び/またはポリシーに従ってコンピュータ・システム・リソースへの認証エンティティ・アクセス214を与えても良い。例えば、一実施形態として、コンピュータ・システム・エンティティがコンピュータ・システム・リソース(例えば、ファイル・システム・リソース)上のあるデータ・ストアの読み出し及び書き込みを行うことが許可され得る場合、そのようにできることをディレクトリ・サービスが与えても良い。ディレクトリ・サービスがファイル・システム・リソースへのアクセスを与えることを、ファイル・システム・リソース位置に対するリンクを与えることによって、例えばURIオブジェクトまたは何らかの他のこのようなリンケージによって、行っても良い。URIを与えることを、コンピュータ・システム・クライアント・デバイスによって、またはデータ・センタで実行されるプロセスによって、またはデータ・センタに接続されたコンピュータ・システム上で実行されるプロセスによって、または管理ディレクトリ・サービスによって、またはこれら及び/もしくは他のこのようなコンピュータ・システム・エンティティの組み合わせによって行っても良い。
いくつかの実施形態では、コンピュータ・システム・リソースへのアクセスを、リクエストするエンティティにはアクセスが見えないような方法で与えても良い。例えば、アクセス214を、リクエストするエンティティに、ローカル・ファイル・システム208上の位置210に対するURIまたは他のこのようなリンクとして与えても良い。コンピュータ・システム・リソース上の位置をURIに212変換することを、コンピュータ・システム上で実行される1または複数のプロセスによって行っても良い。コンピュータ・システム・リソースへのアクセスをリクエストしたサービスまたはエンティティ226は、228受信URIを用いてコンピュータ・システム・リソースにアクセスすることを、コンピュータ・システム・リソースの位置に依存する構成を必要とせずに行っても良いし、またいくつかの実施形態では、URIを用いてコンピュータ・システム・リソースにリンクして、サービスまたはエンティティ226がコンピュータ・システム・リソースに直接接続されているかのように動作しても良い。動作として、例えば、サービスまたはエンティティに対して、サービスまたはエンティティにローカルな位置に配置されているように見える場合があるファイルにデータ・セットを書き込むように見える動作が、実際にデータをネットワーク・パケット内にパッケージしても良く、次にパケットをネットワーク216を通じてアクセス・リンク214を介して転送して、ローカル・ファイル・システム208上に配置されたファイルに実際に書き込んでも良い。考えられるように、これらは説明例であり、管理ディレクトリ・サービスが行い得る他のタイプの操作も本開示の範囲内であると考えても良い。
図3に例示するのは、少なくとも図2に関連して本明細書で説明したように、また少なくとも1つの実施形態により、分散及び/または仮想化されたコンピュータ・システム環境上のローカル及び/またはリモート・コンピュータ・システム・リソースに対するローカル及び/またはリモート・サービスによる認証、許可、及びアクセスに対するユーザ・リクエストに応えるための環境300である。コンピュータ・システム・エンティティ、ユーザ、またはプロセス302は、コンピュータ・システムに、コンピュータ・システム・クライアント・デバイス304を通して接続されても良く、また資格認定の認証を306リクエストして、1または複数のローカル及び/またはリモート・サービスに対するコンピュータ・システム・エンティティ、ユーザ、またはプロセスによるアクセスを促進しても良い。資格認定の認証をリクエストするコマンドは、外部コンピュータ・システム及び/またはサーバから生成されても良いし、またはリモート・ネットワーク位置上のエンティティ、ユーザ、またはプロセスから生成されても良いし、またはコンピュータ・システムから生成されても良いし、またはコンピュータ・システム・クライアント・デバイスのユーザから生成されても良いし、またはこれら及び/もしくは他のこのようなオブジェクトの組み合わせの結果、生成されても良い。資格認定の認証をリクエストするコマンドは、いくつかの実施形態では、特権ユーザが発行しても良いし、または非特権ユーザが発行しても良いし、または自律性プロセスによって発行しても良いし、またはアラームもしくは状態の結果として発行しても良いし、またはこれら及び/もしくは他の方法の組み合わせによって発行しても良い。
コンピュータ・システム・クライアント・デバイス304をコンピュータ・システムに接続することを、1もしくは複数のネットワーク308及び/またはそれに付随するエンティティ(例えばネットワークに接続された他のサーバ)を用いて直接または間接的に行っても良い。コンピュータ・システム・クライアント・デバイスには、ネットワークを介してコンピュータ・システムと接続することができる任意のデバイスが含まれていても良い。例えば、少なくともサーバ、ラップトップ、モバイル・デバイス、例えばスマートフォンもしくはタブレット、他のスマート・デバイス、例えばスマート・ウォッチ、スマート・テレビジョン、セット・トップ・ボックス、ビデオ・ゲーム・コンソール及び他のこのようなネットワーク対応のスマート・デバイス、分散コンピューティング・システム及びそのコンポーネント、抽象化コンポーネント、例えばゲスト・コンピュータ・システムもしくは仮想マシンならびに/または他のタイプのコンピューティング装置及び/もしくはコンポーネント。ネットワークには、例えば以下のものが含まれていても良い。ローカル・ネットワーク、内部ネットワーク、パブリック・ネットワーク、例えばインターネット、ワイド・エリア・ネットワーク、無線ネットワーク、モバイル・ネットワーク、人工衛星ネットワーク、複数のネットワークノードを伴う分散コンピューティング・システムなどである。またネットワークは種々のプロトコルに従って動作しても良い。例えば以下に列記するもの、ブルートゥース(登録商標)、WiFi(登録商標)、セルラー・ネットワーク・プロトコル、人工衛星ネットワークプロトコル、及び/または他のものである。
いくつかの実施形態では、コンピュータ・システム・クライアント・デバイス304は、管理ディレクトリ・サービス310上で及び/またはその制御下で実行される1または複数の認証プロセス312にアクセスしても良い。認証プロセスの構成を、少なくとも外部プロセスからのリクエストに応答し、リクエストするコンピュータ・システム・エンティティ、ユーザ、またはプロセスの資格認定を認証するように設定しても良い。例えば、認証プロセスは、リクエストするコンピュータ・システム・エンティティ、ユーザ、またはプロセスが管理ディレクトリ・サービスへのアクセスを許可されているか否かを検証314しても良い。認証プロセスは、管理ディレクトリ・サービスへのアクセスを検証することを、ユーザ名及びパスワードの組み合わせを検証することによって、またはハードウェア、ソフトウェア、ファームウェア、もしくは他のこのようなデバイスに記憶された暗号キーを検証することによって、またはコンピュータ・システム・クライアント・デバイスがアクセスのリクエストを許可されているか否かを検証することによって、またはネットワークがアクセスのリクエストを許可されているか否かを検証することによって、またはこれら及び/もしくは他のこのような検証方法の組み合わせによって、行っても良い。認証プロセスは、他のこのような認証タスクを実行しても良く、またいくつかの実施形態では、認証タスクの実行を、コンピュータ・システム上及び/もしくは他のコンピュータ・システム上で実行される他のプロセスならびに/またはコンピュータ・システム上及び/もしくは他のコンピュータ・システム上に記憶されるデータとともに実行される他のプロセスと組み合わせて行っても良い。
いくつかの実施形態では、本明細書で説明したコンピュータ・システム・エンティティ、ユーザ、またはプロセス302を、本明細書で説明したようにコンピュータ・システムにコンピュータ・システム・クライアント・デバイス304を通して接続することを、本明細書で説明したように1もしくは複数のネットワーク308及び/またはそれに付随するエンティティを用いて行っても良く、また1もしくは複数の操作及び/またはプロセスを1または複数のコンピュータ・システム・リソース332上で実行する許可を316リクエストしても良い。1または複数のコンピュータ・システム・リソース332は、例えば、少なくとも部分的にデータ・センタ(例えば、少なくとも図2と関連して本明細書で説明し、また少なくとも1つの実施形態によるデータ・センタ)に配置しても良い。いくつかの実施形態では、リクエストされた操作許可は、1または複数のコンピュータ・システム・リソース操作を直接実行するリクエストされた許可であっても良い。いくつかの実施形態では、リクエストされた操作許可は、1または複数のコンピュータ・システム・リソース操作を間接的に実行するリクエストされた操作であっても良い。例えば、リクエストされた操作許可は、リモート・コンピュータ・システム・サービス、プロセス、またはエンティティが、コンピュータ・システム・エンティティ、ユーザ、またはプロセス302の制御下で、1または複数のコンピュータ・システム・リソース操作を実行する許可に対する許可を求めるリクエストであっても良い。許可を、管理ディレクトリ・サービス310上で及び/またはその制御下で実行される1または複数の許可プロセス318からリクエストしても良い。許可プロセスの構成を、少なくとも外部プロセスからのリクエストに応答し、1または複数のコンピュータ・システム・リソース332上での、コンピュータ・システム・エンティティ、ユーザ、またはプロセスによる1または複数の操作及び/またはプロセスの実行を許可するように設定しても良い。コンピュータ・システム・リソースは、ローカルに、例えば顧客構内のデータ・センタに配置しても良いし、またはリモートに配置しても良いし、または複数のリモート位置、例えば分散及び/もしくは仮想コンピュータ・システム上に配置しても良いし、またはローカル及び/もしくはリモート位置の組み合わせで配置しても良い。例えば、ファイル・システムを、ローカル・データセンター内に配置されたローカルなディスク上に配置しても良く、またファイル・システムの内容を、1または複数のリモート・データセンター内に配置された1または複数のリモートディスクに複製しても良い。いくつかの実施形態では、ファイル・システムの内容の少なくとも一部を、ローカルまたはリモートであっても良いあるデータ・センタ内に配置しても良く、その内容の他の部分を1または複数の他のデータ・センタ内に配置しても良い。
許可しても良い操作及び/またはプロセスの実施例には、以下のものが含まれる(ただしこれらに限定されない)。リソース・オブジェクトの320形成及び/もしくは破壊、リソース・オブジェクトの322読み出し及び/もしくは書き込み、及び/または他のこのようなシステム・リソース操作である。許可は、エンティティ、ユーザ、もしくはプロセスによって、時刻によって、エンティティのクラスによって、ユーザのクラスによって、プロセスのクラスによって、1もしくは複数のシステム・ポリシーによって、リクエストの性質によって、またはこれら及び/もしくは他のこのような考慮事柄の組み合わせによって変わっても良い。例えば、コンピュータ・システム・エンティティに対して、ファイル及び/もしくはディレクトリの形成については許可するが、それらの削除については許可しなくても良いし、またはプロセスに対して、そのプロセスによって形成されたファイル及び/もしくはディレクトリについてのみ削除を許可して、それ以外には許可しなくても良いし、またはエンティティに対して、あるディレクトリ内のあるファイルを読み出すことは許可するが、他については許可しなくても良い。考えられるように、これらは説明例である。他のタイプの操作を、管理ディレクトリ・サービス許可システムによって許可しても良く、このような他のタイプの操作も本開示の範囲内であると考えられる。
いくつかの実施形態では、本明細書で説明したコンピュータ・システム・エンティティ、ユーザ、またはプロセス302を、本明細書で説明したようにコンピュータ・システムにコンピュータ・システム・クライアント・デバイス304を通して接続することを、本明細書で説明したように1もしくは複数のネットワーク308及び/またはそれに付随するエンティティを用いて行っても良く、また1もしくは複数のファイル・システム332へのアクセスをリクエストしても良い1または複数のローカル及び/またはリモート・サービス328を、324形成及び/または例示しても良い。いくつかの実施形態では、コンピュータ・サービス、プロセスまたはエンティティ328は、管理ディレクトリ・サービス310上で及び/またはその制御下で実行される1または複数のディレクトリ・サービス・プロセス326にアクセスしても良い。ディレクトリ・サービス・プロセスの構成を、少なくとも外部プロセスからのリクエストに応答し、1または複数のファイル・システムへのアクセスをもたらすように設定しても良い。1または複数のファイル・システムにアクセスすることには、操作、例えば読み出し、書き込み、実行、削除、形成、例示、及び/または他のこのような操作であって、ファイル及び/または他のファイル・システムオブジェクト、例えばディレクトリ、アプリケーション、データ、データベース、他のファイル・システムへのリンク、システム・ドライバ、コンピュータ・オペレーティング・システム、仮想マシン及び/または他のこのようなファイル・システムオブジェクトに対する操作へのアクセスが含まれていても良い。いくつかの実施形態では、操作へのアクセスが、本明細書で説明したように1または複数の許可プロセス318との通信330によって促進される場合があり、そこに含まれるリソース許可ポリシーに従って許可が与えられる。
図4に示すのは、少なくとも1つの実施形態によりコンピューティング・リソース・サービス・プロバイダ402が提供する管理ディレクトリ・サービス404の種々のコンポーネントを含む環境400の説明例である。管理ディレクトリ・サービス404は、顧客及び委任管理ユーザ(例えば、典型的に顧客に許可されている1または複数のアクションを実行する管理者権限を有するように顧客によって識別されたユーザ)に、顧客または委任管理ユーザが管理ディレクトリ・サービス404にアクセスすることを可能にし得るインターフェース406を与えても良い。顧客または委任管理ユーザは、インターフェース406を1または複数の通信ネットワーク(例えばインターネット)を通して用いても良い。インターフェース406には、顧客または委任管理ユーザが管理ディレクトリ・サービス404にアクセスする許可を有することを確実にするあるセキュリティ保護が含まれていても良い。例えば、管理ディレクトリ・サービス404にアクセスするために、顧客は、インターフェース406を用いるときにユーザ名及び対応するパスワードまたは暗号化キーを提供する必要があっても良い。さらに、インターフェース406に提出されたリクエスト(例えば、APIコール)が、暗号キーを用いて作成した電子署名を要求して、電子署名が管理ディレクトリ・サービス404によって(例えば許可システム(図示せず)によって)検証できるようになっていても良い。
インターフェース406を通して、顧客または委任管理ユーザは、ディレクトリ構造(例えば、ディレクトリ内のすべての利用可能なコンピュータ及びディレクトリへのアクセスが許可されたユーザのリスティング)を見ることができても良い。それに応じて、顧客または委任管理ユーザは、インターフェース406を用いて、1または複数のユーザ・プロファイル408にアクセスしてユーザ特性(例えば、名前及び姓、位置、電話番号など)を見ても良く、また1または複数のポリシーであって、コンピューティング・リソース・サービス・プロバイダ402が提供する1または複数のサービス414にアクセスするレベル、ならびに1または複数のアプリケーション412及び/またはディレクトリが管理する他のリソースにアクセスするレベルを決定するために用いても良い1または複数のポリシーを規定しても良い。図5〜7と関連して以下に詳細に説明するように、各ユーザ・プロファイル408には、ポリシー・ジェネレーター・ボタンが含まれていても良い。ポリシー・ジェネレーター・ボタンが選択されると、顧客または委任管理ユーザはポリシー・ジェネレーターにアクセスしてこれらの1または複数のポリシーを規定することができる。例えば、ポリシー・ジェネレーターを通して、顧客または委任管理ユーザは、どのサービス414にユーザがアクセスし得るか及びこれらのサービス414内でユーザが取り得るアクションを特定しても良い。それに応じて、顧客または委任管理ユーザが、適用可能なユーザ・ポリシーをポリシー・ジェネレーターを通して規定したら、顧客または委任管理ユーザはユーザ・プロファイル408内の適用されたポリシーを見ることができても良い。加えて、ポリシー・ジェネレーターは1または複数の実行可能命令をポリシー管理サブ・システム410に送信しても良い。この実行可能命令は、ポリシー管理サブ・システム410に、ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスすることを可能にさせても良い。このコンピューティング・リソース・サービス・プロバイダ・インターフェースは、コンピューティング・リソース・サービス・プロバイダ402が提供する1または複数のサービス414に、ユーザがディレクトリ内からアクセスすることを可能にしても良い。
一実施形態では、ユーザがディレクトリ内からのURIを用いて、コンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスするとき、管理ディレクトリ・サービス404内のポリシー管理サブ・システム410は、ユーザ・プロファイル408にアクセスして、ユーザに適用可能なポリシー・セットを取得する。前述したように、ポリシーには、コンピューティング・リソース・サービス・プロバイダ402が提供する1または複数のサービス414であって、ユーザがアクセス可能なものが含まれていても良い。それに応じて、ポリシー管理サブ・システム410は、1または複数の実行可能命令をアイデンティティ管理サービスに送信して、1または複数のサービス414にアクセスするために用いても良い一時的な資格認定を取得しても良い。ポリシー管理サブ・システム410を、ユーザがアクセスを許可されている1または複数のサービス414を含むカスタム・コンピューティング・リソース・サービス・プロバイダ・インターフェースを作成するように構成しても良い。ポリシー管理サブ・システムは、1または複数のサービス414にアクセスするのに必要な一時的な資格認定を管理するので、ユーザはこのカスタム・インターフェースを用いて1または複数のサービス414にアクセスすることを、さらなる資格認定を必要とすることなく行う場合がある。
コンピューティング・リソース・サービス・プロバイダ402が提供する1または複数のサービス414へのユーザ・アクセスを制御するように設定しても良いポリシーに加えて、顧客または委任管理ユーザは、インターフェース406を用いてポリシー管理サブ・システム410にアクセスして、ディレクトリ内の1または複数のアプリケーション412へのユーザ・アクセスに影響を及ぼす場合がある1または複数のポリシーを規定しても良い。例えば、顧客または委任管理ユーザは、ポリシー管理サブ・システム410とインターフェース406を通してやり取りして、ポリシーとして、実施されたときに、ユーザまたはユーザ・グループがディレクトリ内のワード・プロセッシング・アプリケーションにアクセスすることを禁止するポリシーを形成しても良い。したがって、ユーザがワード・プロセッシング・アプリケーションの使用を試みると、ユーザは、エラー・メッセージとして、本人はアプリケーションにアクセスできないことをユーザに通知するものを受信しても良い。
前述したように、顧客または委任管理ユーザは、管理ディレクトリ・サービス・インターフェースを用いて1または複数のユーザ・プロファイルにアクセスして、ポリシー・セットであって、実施されたときに、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにユーザがアクセスすることを禁止または可能にしても良いポリシー・セットを特定しても良い。それに応じて、図5は、少なくとも1つの実施形態により1または複数のポリシーを作成するためのユーザ・プロファイル・インターフェース502の説明例である。ユーザ・プロファイル・インターフェース502には、ポリシー表示504が含まれていても良い。ポリシー表示504は、現時点でユーザ・プロファイルに適用されるポリシーについての例示的な情報を与えるように構成されている。例えば、図5に例示したように、ポリシー表示504上に与えられるポリシーによって、ユーザ(この場合はJoe B)は、オブジェクト・ベースのデータ記憶サービスにアクセスして1または複数のデータ・オブジェクトを作成及び/またはこれにアクセスすることが可能であっても良い。したがって、ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスすると、前述したポリシー管理サブ・システムが、このポリシーを取得すること、及びコンピューティング・リソース・サービス・プロバイダが提供するアイデンティティ管理システムに1または複数の実行可能命令を送信して、オブジェクト・ベースのデータ記憶サービスにアクセスするための一時的な資格認定を取得することを行っても良い。さらに、ポリシー管理サブ・システムは、この取得されたポリシーを用いて、ポリシーに従って/応じてコンピューティング・リソース・サービス・プロバイダ・インターフェースをカスタマイズしても良い。
ユーザ・プロファイル・インターフェース502には、ポリシー・ジェネレーター・ボタン506が含まれていても良い。ポリシー・ジェネレーター・ボタン506は、顧客または委任管理ユーザが選択したときに、ネットワーク閲覧アプリケーションに1または複数の実行可能命令(アプリケーションにポリシー・ジェネレーターにアクセスさせても良い)を送信しても良い。ポリシー・ジェネレーターには、特定されたユーザに対する1または複数のポリシーを形成するために用いても良いインターフェースが含まれていても良い。なお、顧客または委任管理ユーザのみがポリシー・ジェネレーター・ボタン506を用いて特定のユーザ・ポリシーを形成または変更することをポリシー・ジェネレーターを用いて行っても良い。例えば、委任管理ユーザとして識別されていないユーザが、ポリシー・ジェネレーター・ボタン506を用いることを試みた場合、エラー・メッセージがユーザ・インターフェースに送信されても良い。エラー・メッセージは、ユーザに、本人はポリシー・ジェネレーターへのアクセスが許可されていないことを通知するように構成しても良い。代替的に、ユーザがポリシー・ジェネレーターにアクセスできない場合は、ポリシー・ジェネレーター・ボタン506を隠すかまたは無効にしても良い。
図6は、少なくとも1つの実施形態によりコンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスに関連する1または複数のポリシーを形成及び/または変更するためのポリシー・ジェネレーター602の説明例である。図5と関連して前述したように、顧客または委任管理ユーザは、ユーザ・プロファイル・インターフェース内のポリシー・ジェネレーター・ボタンを選択して、ポリシー・ジェネレーター602にアクセスしても良い。それに応じて、ポリシー・ジェネレーター602を用いて規定された任意のポリシーを個々のユーザ・プロファイルに直接適用することを、ポリシーの作成時に行っても良い。
ポリシー・ジェネレーター602には、異なるポリシー・パラメータを規定するために用いても良い複数のコンポーネントが含まれていても良い。例えば、ポリシー・ジェネレーター602には、顧客または委任管理ユーザが形成及び実装することを選択しても良いポリシーのタイプを選択するためのポリシー・タイプ選択メニュー604が含まれていても良い。それに応じて、ポリシー・タイプ選択メニュー604には、選択することができる1または複数の異なるポリシー・カテゴリが含まれていても良い。この説明例では、ポリシー・タイプ選択メニュー604は、コンピューティング・リソース・サービス・プロバイダ・ポリシーに設定されている。コンピューティング・リソース・サービス・プロバイダ・ポリシーは、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにユーザがアクセスできるか否かを特定するために用いても良い。コンピューティング・リソース・サービス・プロバイダ・ポリシーを用いることを説明を目的として本開示の全体に渡って用いているが、ポリシー・タイプ選択メニュー604には、通知サービス・ポリシー、キュー・サービス・ポリシー、論理データ・コンテナ・ポリシーなどが含まれていても良い。
少なくとも部分的に、ポリシー・タイプ選択メニュー604を用いて特定したポリシーのタイプに基づいて、ポリシー・ジェネレーター602は、選択した特定のタイプのポリシーのパラメータまたはステートメントを規定するための異なる入力オプションを作成しても良い。例えば、図6に例示するように、顧客または委任管理ユーザがコンピューティング・リソース・サービス・プロバイダ・ポリシーをポリシー・タイプ選択メニュー604から選択する場合には、ポリシー・ジェネレーター602は、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスに適用可能なポリシー・ステートメントを作成するための種々のオプションを示しても良い。
ポリシー・ジェネレーター602によって、顧客または委任管理ユーザがポリシー・ステートメントの効果を決定することが可能であっても良い。例えば、ポリシー・ジェネレーター602には「許可」ラジオ・ボタン606及び「拒否」ラジオ・ボタン608が含まれていても良い。これらによって、サービス内のユーザの許可に対するポリシー・ステートメントの効果を顧客が選択できても良い。例えば、顧客または委任管理ユーザが「許可」ラジオ・ボタン606を選択した場合には、作成されたポリシーによって、ユーザが、特定されたサービスにアクセスし、サービス内の1または複数のアクションを実行することが可能になるであろう。代替的に、顧客または委任管理ユーザが「拒否」ラジオ・ボタン608を選択した場合には、作成されたポリシーは、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスへのユーザ・アクセスを拒否しても良く、及び/またはサービス内の1または複数のアクションを実行するユーザ許可を拒否しても良い。
ポリシー・ジェネレーター602にはさらに、サービス選択メニュー610が含まれていても良い。サービス選択メニュー610によって、顧客または委任管理ユーザがどのサービスがポリシー・ステートメントの対象なのかを特定することができても良い。例えば、図6に例示するように、顧客はサービス選択メニュー610からデータベース・サービスを選択した。データベース・サービスを用いることを、説明を目的として本開示の全体に渡って広く用いているが、サービス選択メニュー610には、種々の他のサービス、例えばオブジェクト・ベースのデータ記憶サービス、仮想コンピュータ・システム・サービスなどが含まれていても良い。それに応じて、ポリシー・ジェネレーター602を、どの1または複数のアクションをポリシー・ステートメントに含めるべきかを顧客または委任管理ユーザが特定するために、選択したサービスに付随する利用可能なアクションのリストを与えるように構成しても良い。この利用可能なアクションのリストをアクション選択メニュー612にまとめても良い。
こうして、ポリシー・ジェネレーター602にはアクション選択メニュー612が含まれていても良い。アクション選択メニュー612によって、特定のユーザまたはユーザ・グループが、選択したサービス内で(「許可」ラジオ・ボタン606を選択するかまたは「拒否」ラジオ・ボタン608を選択するかに依存して)取っても良いし取らなくても良い1または複数のアクションを、顧客または委任管理ユーザが特定することができても良い。アクション選択メニュー612内に含まれるアクションのリストには、選択したサービスに関連する複数のAPIコールまたはコマンドが含まれていても良い。APIコールまたはコマンドがサービスに送信されたらサービスがこれらのアクションを実行しても良い。アクション選択メニュー612に列記された各アクションには選択ボックスが含まれていても良い。選択ボックスを顧客または委任管理ユーザが用いて、ポリシー・ステートメントの一部となるべき1または複数のアクションを選択しても良い。代替的に、顧客または委任管理ユーザは、すべてのアクションを包含するために「すべてのアクション」を選択しても良く、アクション選択メニュー612内のすべての選択ボックスを選択する必要はない。
顧客または委任管理ユーザは、コンピューティング・リソース・サービス・プロバイダが提供する各サービス内における異なるレベルのアクセス及びセキュリティを受けても良い1または複数のリソースを維持しても良い。それに応じて、ポリシー・ジェネレーター602にはリソース名フィールド614が含まれていても良い。リソース名フィールド614を顧客または委任管理ユーザが用いて、選択したサービス内におけるポリシー・ステートメントを受けるリソースを選択しても良い。例えば、図6に例示するように、顧客または委任管理ユーザは、データベース・サービス内の特定ユーザ用リソース「JoeB−データベース」を選択した。それに応じて、前述したアクション選択メニュー612を用いて選択するどのアクションも、選択したサービス内のこのリソースのみに適用される。しかし顧客または委任管理ユーザが、選択したアクションをサービス内の複数のリソースに適用することを希望する場合には、顧客または委任管理ユーザは種々のワイルドカード文字列を用いて複数のリソースを識別することができても良い。例えば、顧客または委任管理ユーザが、選択したサービス内の利用可能なすべてのリソースにこのポリシー・ステートメントを適用することを選択した場合には、顧客または委任管理ユーザはリソース名フィールド614内で「*」を用いてすべてのリソースを特定しても良い。
顧客または委任管理ユーザが当該のポリシー・ステートメントに対するすべてのパラメータ(サービス、アクション、及びリソース)を特定したら、顧客または委任管理ユーザは、他のサービスまたはリソースに適用しても良いさらなるポリシー・ステートメントを付加することを選んでも良い。したがって、ポリシー・ジェネレーター602には、ステートメント付加ボタン616が含まれていても良い。ステートメント付加ボタン616を用いて、現在のポリシー・ステートメントを取り入れ、顧客または委任管理ユーザがさらなるポリシー・ステートメントを作成できるようにしても良い。したがって、このさらなるポリシー・ステートメントに対して、顧客または委任管理ユーザは再び「許可」ラジオ・ボタン606または「拒否」ラジオ・ボタン608のいずれかを選択して新しいステートメントの効果を規定し、サービス選択メニュー610を用いてポリシー・ステートメントに対する対象サービスを選択し、アクション選択メニュー612を用いて特定のユーザに対して許可または拒否するべき1または複数のアクションを識別し、リソース名フィールド614を用いてさらなるポリシー・ステートメントの主題である対象サービス内の対象リソースを識別しても良い。顧客または委任管理ユーザはステートメント付加ボタン616を用いて、特定のユーザ・ポリシーを規定するのに必要な数のポリシー・ステートメントを加えても良い。
顧客または委任管理ユーザが、特定のユーザ・ポリシーを規定するのに必要なポリシー・ステートメントの作成を終了したら、顧客または委任管理ユーザはポリシー作成ボタン618を選択しても良い。顧客または委任管理ユーザがポリシー作成ボタン618を選択したら、ポリシー・ジェネレーター602は、顧客または委任管理ユーザが提供する特定されたポリシー・ステートメントに従ってユーザ・ポリシーを作成することに進んでも良い。その後、ポリシー・ジェネレーター602は、管理ディレクトリ・サービスに、1または複数の実行可能命令であって、管理ディレクトリ・サービスによって実行されると、作成されたポリシーを特定のユーザ・プロファイルに適用し、またポリシーをユーザ・プロファイル・インターフェース内で表示しても良い1または複数の実行可能命令を送信しても良い。これについては以下で例示する。さらに、ポリシー・ジェネレーター602は1または複数の実行可能命令を、管理ディレクトリ・サービス内のポリシー管理サブ・システムに送信しても良い。1または複数の実行可能命令は、ポリシー管理サブ・システムによって実行されると、ポリシー管理サブ・システムに、ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスすることを可能にさせても良い。このインターフェースは、コンピューティング・リソース・サービス・プロバイダが提供するサービスであって、ユーザが使用を許可されているとポリシー・ステートメント内で識別されているサービスのみをユーザが使用できるように構成しても良い。代替的に、顧客または委任管理ユーザがユーザ・ポリシーの作成を希望しない場合には、顧客または委任管理ユーザは、その代わりに、キャンセル・ボタン620を選択して、ポリシー・ジェネレーター602を出ても良い。
前述したように、ポリシー・ジェネレーターを用いることによって新しいユーザ・ポリシーを作成することで、ユーザ・プロファイル・インターフェース内に新しいポリシーを表示しても良い。それに応じて、図7は、少なくとも1つの実施形態による1または複数の新たに導入されたユーザ・ポリシーを伴うユーザ・プロファイル・インターフェース702の説明例である。前述したように、ユーザ・ポリシー・インターフェース702には複数のコンポーネント(すなわち、ポリシー表示704及びポリシー・ジェネレーター・ボタン706)が含まれていても良い。ポリシー表示704は、ユーザ・プロファイルが評価されている特定のユーザに適用可能であっても良い1または複数のポリシーを表示するように構成しても良い。それに応じて、顧客または委任管理ユーザがポリシー・ジェネレーターを用いて1または複数の新しいポリシー・ステートメントを形成及び実装したら、これらの新しいポリシー・ステートメントをポリシー表示704上に表示しても良い。
例えば、ポリシーを図6に例示した入力を用いて形成した場合、ポリシー表示内の新しいポリシー・ステートメントにはこれらの入力が含まれていても良い。例えば、図7に例示したように、新しいポリシー・ステートメントには以下のものが含まれていても良い。コンピューティング・リソース・サービス・プロバイダが提供する影響を受けるサービス(例えば、データベース・サービス)、サービス内の適用可能なリソース(例えば、JoeB−データベース)、ポリシーの効果(例えば、許可)、及びサービス内の説明したリソース内でユーザが取っても良いアクション(例えば「*」またはすべてのアクション)。
これらのポリシー・ステートメントに加えて、ポリシー表示704は、影響を受けるユーザに対するサービス識別値を表示しても良い。この識別値は、ユーザに対する一時的な識別名であっても良く、ポリシー表示704に表示されるサービスにアクセスするために用いても良い。例えば、この説明例では、ユーザには、データベース・サービスにアクセスするための一時的な識別名を割り当てても良い。したがって、ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスしたら、管理ディレクトリ・サービスは、ポリシー管理サブ・システムを通してこのユーザ・プロファイルにアクセスして、ユーザの一時的な識別名を取得しても良い。その後、ポリシー管理サブ・システムはこの情報をアイデンティティ管理サービスに送信して、一時的なユーザ資格認定を取得しても良い。それに応じて、ユーザがリクエストを、管理ディレクトリ・サービスが提供するインターフェースを通して送信して、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスしたら、管理ディレクトリ・サービスは、これらの一時的な資格認定を用いて、これらのサービスに対するユーザ・アクセスを取得しても良い。
顧客または委任管理ユーザが新しいポリシー・ステートメントを作成することまたは現時点で実装されているポリシーを修正することを希望する場合、顧客または委任管理ユーザは、再びポリシー・ジェネレーター・ボタン706を用いてポリシー・ジェネレーターにアクセスして、要求する修正を施しても良い。それに応じて、ユーザ・ポリシーになされた修正を必要に応じてポリシー表示704に表示しても良い。なお、図7の説明例では、ポリシー表示704には、ポリシー・ジェネレーターを用いて作成した新しいポリシー・ステートメントと図5で導入したポリシー・ステートメントとが含まれている。ポリシー・ジェネレーターを用いることによってポリシー・ステートメントを加えることを、説明を目的として本開示を通して用いているが、ユーザに適用可能な存在する任意のポリシーをポリシー・ジェネレーターを用いて上書きまたは削除しても良いことに注意されたい。
前述したように、顧客は1または複数のリクエストを管理ディレクトリ・サービスに送信して、1または複数のユーザ間でのデータ共有及び/または利用可能性を促進するために用いても良いディレクトリを構成しても良い。これには、ディレクトリ及びコンピューティング・リソース・サービス・プロバイダが提供する1または複数の他のサービスへのアクセスを委任しても良い1または複数のユーザを設定するための1または複数のリクエストが含まれていても良い。それに応じて、図8は、少なくとも1つの実施形態による1または複数のコンピューティング・リソース・サービスに対するユーザ・アクセスを規定するためのプロセス800の説明例である。プロセス800を、管理ディレクトリ・サービスにおけるディレクトリをポリシー管理サブ・システムを通して管理することが許可された顧客または他の委任管理ユーザによって行っても良い。
前述したように、顧客は、そのビジネス・ニーズをサポートするディレクトリを用いる場合がある組織であっても良い。それに応じて、顧客は、1または複数の他のユーザがディレクトリにアクセスして、ビジネス・タスクをサポートするために必要な情報にアクセスすることを求める場合がある。こうして、顧客または他の委任管理ユーザは、ユーザがディレクトリにアクセスし得るように、管理ディレクトリ・サービス内に新しいユーザ・プロファイルを形成するリクエストを受信802しても良い。リクエストは、1または複数のタスクを実行するためにディレクトリへのアクセスを取得することを希望する顧客組織の1または複数の従業員から生成されても良い。リクエストはまた、顧客組織の外部のエンティティ(顧客組織の顧客であっても良い)から生成されても良い。
受信するリクエストは無数の供給源から生成される場合があるので、顧客または委任管理ユーザは、受信したリクエストが正当であるか否かを判定804する必要があっても良い。例えば、顧客または委任管理ユーザはリクエストを評価して、リクエストが組織内の従業員アカウントから生成されたか否か、及び前記従業員にディレクトリへのアクセスを許可すべきか否かを判定しても良い。代替的に、リクエストが外部エンティティから生成された場合、顧客または委任管理ユーザは、エンティティにディレクトリへのアクセスを与えるべきか否かまたはエンティティは必要な許可を有していないか否かを評価しても良い。それに応じて、新しいユーザを形成するリクエストが正当でない場合、顧客または委任管理ユーザはリクエストを拒否806しても良い。
管理ディレクトリ・サービス内に新しいユーザ・アカウントを形成するリクエストが正当であるならば、顧客または委任管理ユーザはサービス内に新しいユーザ・アカウントを作成808しても良い。例えば、顧客または委任管理ユーザは、新しいユーザに対する新しいユーザ・プロファイルを形成しても良く、またプロファイル内に任意のユーザ詳細を取り入れてサービスへのユーザ・アクセスを高めても良い。さらに、顧客または委任管理ユーザは、管理ディレクトリ・サービスを用いて、ユーザに対する資格認定セット(管理ディレクトリ・サービスにアクセスするためにユーザが用いても良い)を作成しても良い。以下に詳細に説明するように、ユーザはこの資格認定セットを用いて、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにさらにアクセスしても良く、さらなる資格認定セットを必要としない。
管理ディレクトリ・サービス内のユーザ・アカウントが形成されたら、顧客または委任管理ユーザは、ユーザ・プロファイルにアクセスして、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスするための1または複数のポリシーを規定810しても良い。前述したように、図5及び7と関連して、ユーザ・プロファイル・インターフェースには、現時点で実装されているすべてのポリシーのリスティングと、ポリシー・ジェネレーターにアクセスするために用いても良いポリシー・ジェネレーター・ボタンとが含まれていても良い。ポリシー・ジェネレーターを用いることによって、顧客または委任管理ユーザは1または複数のポリシー・ステートメントを規定しても良い。各ポリシー・ステートメントは、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスならびにこれらのサービス内でユーザが利用しても良いアクション及びリソースに、ユーザがアクセスすべきか否かを規定するように構成しても良い。代替的に、顧客または委任管理ユーザはポリシー・ジェネレーターを用いて、これらの1または複数のサービスへのユーザ・アクセスに対してある制約を規定しても良い。顧客または委任管理ユーザが実施すべきポリシーを規定したら、ポリシーをユーザ・プロファイル・インターフェース内に表示しても良く、顧客のリクエストに基づいて任意の時点で修正しても良い。
前述したように、顧客または委任管理ユーザが、ポリシー・ジェネレーター内で1または複数のポリシー・ステートメントを作成することを終了した後で、ポリシー・ジェネレーターは1または複数の実行可能命令をポリシー管理サブ・システムに送信しても良い。実行可能命令は、ポリシー管理サブ・システムによって実行されると、ポリシー管理サブ・システムに、新たに作成されたユーザ・ポリシーを取り入れさせる。これらのポリシーを取り入れることに加えて、ポリシー管理サブ・システムはさらに、ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスして、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスすることを可能にしても良い。それに応じて、顧客または委任管理ユーザはURIをユーザに送出して、コンピューティング・リソース・サービス・プロバイダが提供するサービスにユーザがアクセスするようにしても良い。
ユーザが顧客または委任管理ユーザからURIを受信したら、ユーザは次に、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスする1または複数のリクエストを送信することを始めても良い。それに応じて、図9は、少なくとも1つの実施形態による1または複数のコンピューティング・リソース・サービスへのユーザ・アクセスを可能にするためのプロセス900の説明例である。プロセス900は、管理ディレクトリ・サービスのポリシー管理サブ・システムによって行っても良い。ポリシー管理サブ・システムの構成を、管理ディレクトリ・サービスの1または複数の他のコンポーネント(すなわち、1または複数のリクエストを提出するユーザのユーザ・プロファイル)にアクセスすること、さらにコンピューティング・リソース・サービス・プロバイダと通信して1または複数のサービスへのユーザ・アクセスを設定することを行うように設定しても良い。
ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスして、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにさらにアクセスしたら、ポリシー管理サブ・システムは、ユーザがURIを用いたことを検出しても良く、またユーザ・リクエストを検証してユーザはこれらのサービスへのアクセスが許可されていることを確実にすることを始めても良い。それに応じて、ポリシー管理サブ・システムは、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスするリクエストをユーザから受信902しても良い。前述したように、URIを用いてインターフェースにアクセスしても良い。URIを通してインターフェースにアクセスすることが、種々の顧客及び/または委任管理ユーザに与えられるため、多くのユーザがURIにアクセスできる場合がある。例えば、URIが特定のユーザに提供されたが、ユーザがURIを他のエンティティにこれらのサービスにアクセスする許可がない状態で提供した場合、これらの他のエンティティはこれらのサービスへのアクセスをそれらの許可レベルとは関係なく試みても良い。
それに応じて、ポリシー管理サブ・システムの構成を、URIを用いてインターフェースにアクセスすることによって1または複数のサービスにアクセスするリクエストを提出するユーザのアイデンティティを決定904するように設定しても良い。例えば、URIを用いるために、各ユーザは、資格認定セットを提供して管理ディレクトリ・サービスにアクセスすること、及びサービス内からURIを用いてインターフェースにアクセスすることが必要であっても良い。それに応じて、ポリシー管理サブ・システムは、この資格認定セットを通してリクエストを提出するユーザを識別することができても良い。
ポリシー管理サブ・システムが、リクエストを提出するユーザのアイデンティティを決定したら、ポリシー管理サブ・システムは、この特定のユーザが正当なユーザであるか否かを、したがってリクエストした1または複数のサービスへのアクセスが許可されているか否かを判定906しても良い。前述したように、ユーザがURIを1または複数の他のユーザに与えた場合、これらの他のユーザはURIを用いてこれらのサービスへのアクセスを試みても良い。しかし、管理ディレクトリ・サービスの各ユーザは、資格認定セットを提供して、管理されたディレクトリ・サービスにアクセスしてURIを用いる必要があるため、ポリシー管理サブ・システムは、URIを用いるユーザのアイデンティティを決定904できても良い。ユーザが、コンピューティング・リソース・サービス・プロバイダが提供する任意のサービスにアクセスすることが許可されていない場合、無許可のユーザは正当なユーザではない場合があり、ポリシー管理サブ・システムはこれらの1または複数のサービスへのアクセスを拒否908しても良い。さらに、ユーザがURIを用いてコンピューティング・リソース・サービス・プロバイダ・インターフェースにアクセスできるようになった後に取り消されたこれらの1または複数のサービスにユーザが自分でアクセスした場合、ポリシー管理サブ・システムはユーザのプロファイルを評価して、それに応じて、これらのサービスへのアクセスを拒否908しても良い。
ポリシー管理サブ・システムがユーザの資格認定セットを評価して、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにユーザが適切にアクセスしていると判定した場合には、ポリシー管理サブ・システムはユーザのプロファイルにアクセスして、ユーザに適用可能な1または複数のポリシーを識別910しても良い。前述したように、顧客または委任管理ユーザはユーザのプロファイルを通してポリシー・ジェネレーターにアクセスして、ユーザに適用可能な1または複数のポリシー・ステートメントを規定しても良い。これらのポリシー・ステートメントを用いて、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスへのユーザ・アクセスのパラメータを規定しても良い。ポリシー・ステートメントを作成した後で、ポリシーをユーザ・プロファイル内に表示しても良い。こうして、ポリシー管理サブ・システムはユーザのプロファイルにアクセスして、ユーザがアクセスをリクエストした1または複数のサービスに対して適用可能なポリシーを取り出しても良い。
ポリシー管理サブ・システムが適用可能なポリシーをユーザのプロファイルから取得したら、ポリシー管理サブ・システムはこれらのポリシーを、コンピューティング・リソース・サービス・プロバイダが提供及び管理するアイデンティティ管理サービスに送信912して、処理を図っても良い。アイデンティティ管理サービスを、ユーザ・プロファイルに含まれるポリシーを適用するように構成して、ユーザがこれらの1または複数のサービスにアクセスしたら、顧客または委任管理ユーザが設定したポリシーに従うサービス内のアクションのみをユーザが実行し得るようにしても良い。さらに、ポリシー管理サブ・システムは、1または複数のリクエストをアイデンティティ管理サービスに送信して、1または複数の一時的な資格認定セットであって、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスするために用いても良い1または複数の一時的な資格認定セットを取得914しても良い。こうして、ユーザがインターフェースを用いて1または複数のサービスにアクセスすると、ポリシー管理サブ・システムは、これらの一時的な資格認定セットにアクセスして、これらをコンピューティング・リソース・サービス・プロバイダが提供する適切なサービスに送信して、サービスへのユーザ・アクセスを設定しても良い。なおこれらの一時的な資格認定セットは、特定の事象が発生した後にユーザが資格認定セットにアクセスできないことがあり得るという意味で一時的であっても良い。例えば、ユーザが、コンピューティング・リソース・サービス・プロバイダが提供するサービスを伴うセッションを(例えば、ブラウザ・アプリケーションを閉じることによって)終了させると、資格認定は、結果として、資格認定がまだ終了していないにもかかわらず、ユーザからアクセスできなくなる場合がある。そういった場合には、新しいセッションを開始するために、管理ディレクトリ・サービスは新しい一時的な資格認定セットを取得して、ユーザがサービスにアクセスできるようにする必要があっても良い。
ポリシー管理サブ・システムが、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスにアクセスするのに必要な一時的な資格認定セットを取得したら、ポリシー管理サブ・システムは、ユーザに適用可能なポリシーを用いて、適用可能なユーザ・ポリシーに従ってこれらのサービスにアクセスするための1または複数のリダイレクトURIを作成916しても良い。1または複数のリダイレクトURIをユーザが用いて、ユーザがアクセスを許可されている1または複数のサービスに対するインターフェース、ならびにユーザ・プロファイルに与えられたポリシーに従ってユーザが利用できる任意のリソース及びアクションにアクセスしても良い。
ユーザは各サービスに対するリダイレクトURIを用いて、1または複数のサービス内でユーザに対して規定されたポリシーの下で許容される1または複数のアクションを実行しても良い。それに応じて、ポリシー管理サブ・システムの構成を、ユーザ・リクエストを一時的な資格認定セットとともに、コンピューティング・リソース・サービス・プロバイダ管理サブ・システムに送信して、ユーザに対して示されたポリシーに従って1または複数のサービスへのユーザ・アクセスを可能にする918ように設定しても良い。こうして、ユーザは次に、1または複数のサービスにアクセスして、顧客または委任管理ユーザのリクエストに基づく種々のタスクを実行しても良い。
図10に例示するのは、種々の実施形態による態様を実施するための環境例1000の態様である。理解されるように、説明の目的上、ウェブ・ベースの環境を用いているが、必要に応じて、異なる環境を用いて種々の実施形態を実施しても良い。環境には電子クライアント・デバイス1002が含まれている。電子クライアント・デバイス1002には、リクエスト、メッセージ、または情報を適切なネットワーク1004上で送信及び/または受信し、またいくつかの実施形態では情報をデバイスのユーザに戻すように動作する任意の適切なデバイスを含めることができる。このようなクライアント・デバイスの実施例には以下のものが含まれる。パーソナル・コンピュータ、携帯電話、ハンドヘルド・メッセージング・デバイス、ラップトップ・コンピュータ、タブレット型コンピュータ、セット・トップ・ボックス、携帯情報端末、埋込式コンピュータ・システム、電子ブック・リーダなどである。ネットワークには任意の適切なネットワークを含めることができる。例えば、イントラネット、インターネット、セルラー・ネットワーク、ローカル・エリア・ネットワーク、人工衛星ネットワーク、もしくは任意の他のこのようなネットワーク、及び/またはそれらの組み合わせである。このようなシステムに対して用いるコンポーネントは、少なくとも部分的にネットワークのタイプ及び/または選択した環境に依存する可能性がある。このようなネットワークを介して通信するためのプロトコル及びコンポーネントは良く知られており、本明細書では詳細には説明しない。ネットワークを介した通信を、有線または無線の接続及びそれらの組み合わせによって可能にすることができる。この実施例において、ネットワークにインターネットが含まれているのは、環境には、リクエストを受信してそれに応じて内容を供給するためのウェブ・サーバ1006が含まれているからであるが、他のネットワークの場合には、同様の目的を満たす代替的なデバイスが使用できるのは、当業者であれば明らかである。
例示的な環境には、少なくとも1つのアプリケーション・サーバー1008及びデータ・ストア1010が含まれている。当然のことながら、複数のアプリケーション・サーバー、レイヤまたは他の要素、プロセスまたはコンポーネント(連鎖されていても良いしそうでなければ構成されていても良い)が存在することができる。これらは、タスク(例えば、適切なデータ・ストアからデータを取得すること)を実行するためにやり取りすることができる。本明細書で用いる場合、サーバを種々の仕方(例えば、ハードウェア・デバイスまたは仮想コンピュータ・システム)で実装しても良い。いくつかの文脈では、サーバは、コンピュータ・システム上で実行されるプログラミング・モジュールを指しても良い。本明細書で用いる場合、特に明記しないかまたは文脈から明らかでない限り、用語「データ・ストア」は、データを記憶し、アクセスし、及び検索することができる任意のデバイスまたはデバイスの組み合わせを指しており、データ・サーバ、データベース、データ記憶装置、及びデータ記憶媒体の任意の組み合わせ及び数を、任意の標準、分散、仮想またはクラスタ化環境において含んでいても良い。アプリケーション・サーバーには、必要に応じてデータ・ストアと統合して、クライアント・デバイスに対する1または複数のアプリケーションの態様を実行するための任意の適切なハードウェア、ソフトウェア、及びファームウェア(アプリケーションに対するデータ・アクセス及びビジネス・ロジックの一部または全部を取り扱う)を含めることができる。アプリケーション・サーバーは、データ・ストアと協同してアクセス制御サービスを提供しても良く、内容として、例えば、限定することなく、テキスト、グラフィックス、オーディオ、ビデオ及び/または他の内容であって、ユーザに提供するために利用できるものを作成することができる。これらは、ユーザに、ウェブ・サーバによって、ハイパーテキスト・マークアップ言語(「HTML」)、拡張可能マークアップ言語(「XML」)、ジャバ・スクリプト、カスケーディング・スタイル・シート(「CSS」)、または別の適切なクライアント側構造化言語の形態で供給しても良い。クライアント・デバイスに転送される内容をクライアント・デバイスによって処理して、内容を1または複数の形態で供給しても良い。形態には、限定することなく、ユーザに可聴的に、視覚的に、及び/または他の感覚(例えば、タッチ、味、及び/または臭い)を通して知覚できる形態が含まれる。すべてのリクエスト及び応答を取り扱うこと、ならびにクライアント・デバイス1002とアプリケーション・サーバー1008との間で内容を送出することを、ウェブ・サーバによって、PHP:ハイバテキスト・プリプロセッサ(「PHP」)、パイソン、ルビー、パール、ジャバ、HTML、XMLまたは他の適切なサーバ側構造化言語(この実施例では)を用いて取り扱うことができる。当然のことながら、ウェブ及びアプリケーション・サーバーは必要ではなく、単にコンポーネント例である。なぜならば、本明細書で説明した構造化コードは、本明細書の他の場所で述べたように、任意の適切なデバイスまたはホスト・マシン上で実行することができるからである。さらに、単一のデバイスによって行われると本明細書で説明した操作は、文脈から明らかでない限り、複数のデバイスによって一括して行っても良く、これによって分散及び/または仮想システムが形成されても良い。
データ・ストア1010には、複数の別個のデータ・テーブル、データベース、データ・ドキュメント、動的データ記憶装置方式、ならびに/または他のデータ記憶装置メカニズム及び媒体であって、本開示の特定の態様に関係するデータを記憶するためのものを含めることができる。例えば、例示したデータ・ストアには、生産データ1012及びユーザ情報1016を記憶するためのメカニズムが含まれていても良い。生産データ1012及びユーザ情報1016は、生産側に対する内容を供給するために用いることができる。データ・ストアはまた、図示では、ログ・データ1014を記憶するためのメカニズムを含んでいる。ログ・データ1014は、報告、分析、または他のこのような目的のために用いることができる。当然のことながら、データ・ストアに記憶させる必要があり得る多くの他の態様が存在することができる。例えば、ページ・イメージ情報及びアクセス権情報であり、必要に応じて前述の列記したメカニズムのいずれかに、またはデータ・ストア1010内のさらなるメカニズムに記憶させることができる。データ・ストア1010は、それに付随するロジックを通して、アプリケーション・サーバー1008から命令を受信し、それに応じてデータを取得し、更新し、その他の場合には処理するように動作可能である。アプリケーション・サーバー1008は、受信した命令に応答して、静的データ、動的データ、または静的及び動的データの組み合わせを提供しても良い。動的データ(例えばウェブ・ログ(ブログ)で用いられるデータ)、ショッピング・アプリケーション、ニュース・サービス、及び他のこのようなアプリケーションを、本明細書で説明したようにサーバ側構造化言語によって作成しても良いし、またはアプリケーション・サーバー上でまたはその制御下で動作する内容管理システム(「CMS」)によって提供しても良い。一例では、ユーザは、ユーザが操作するデバイスを通して、あるタイプの物品に対する検索リクエストを送信しても良い。この場合、データ・ストアは、ユーザ情報にアクセスしてユーザのアイデンティティを検証しても良く、またカタログ詳細情報にアクセスしてそのタイプの物品についての情報を取得することができる。情報を次にユーザに戻すことを、例えばユーザがユーザ装置1002上のブラウザを介して見ることができるウェブ・ページ上の結果リスティングにおいて行うことができる。関心のある特定の物品に対する情報を、ブラウザの専用ページまたはウィンドウで見ることができる。しかし次のことに注意されたい。すなわち、本開示の実施形態は必ずしもウェブ・ページの文脈には限定されず、より全般的には、概ね処理リクエストに適用可能であっても良く、リクエストは必ずしも内容に対するリクエストではない。
各サーバには通常、一般管理及びそのサーバの操作に対する実行可能プログラム命令を提供するオペレーティング・システムが含まれ、通常は、コンピュータ可読記憶媒体(例えば、ハード・ディスク、ランダム・アクセス・メモリ、読み出し専用メモリなど)が含まれる。サーバに記憶される命令がサーバのプロセッサによって実行されると、サーバはその意図された機能を実行することができる。サーバのオペレーティング・システム及び一般的な機能に対する好適な実装は既知であるかまたは市販されており、特に本明細書での開示内容を考慮して、当業者によって容易に実装される。
一実施形態では、環境は、分散及び/または仮想コンピューティング環境であって、通信リンクを介して相互接続された複数のコンピュータ・システム及びコンポーネントを利用し、1または複数のコンピュータ・ネットワークまたは直接接続を用いる分散及び/または仮想コンピューティング環境である。しかし当業者であれば分かるように、このようなシステムは、図10に例示したものよりコンポーネントの数が少ないかまたは多いシステムにおいても、同様に良好に動作することができる。したがって、図10におけるシステム1000の表現は、性質上例示的であって開示内容の範囲を限定するものではないと解釈すべきである。
種々の実施形態をさらに、広範囲な動作環境で実施することができる、広範囲な動作環境には、場合によっては、1もしくは複数のユーザ・コンピュータ、コンピューティング装置、または処理装置であって、多くのアプリケーションのうちのいずれかを操作するために使用できるものを含めることができる。ユーザまたはクライアント・デバイスには、多くの汎用パーソナル・コンピュータ、例えばデスクトップ、ラップトップまたはタブレット型コンピュータ(標準的なオペレーティング・システムを実行する)、ならびにセルラー、無線及びハンドヘルド・デバイス(モバイル・ソフトウェアを実行し、多くのネットワーキング及びメッセージング・プロトコルをサポートすることができる)のいずれかを含めることができる。このようなシステムにはまた、種々の市販のオペレーティング・システム及び他の既知のアプリケーション(開発及びデータベース管理などのため)のいずれかを実行する多くのワークステーションを含めることができる。これらのデバイスにはまた、他の電子デバイス、例えばダミー端子、シン・クライアント、ゲーミング・システム、及び他のデバイスであって、ネットワークを介して通信可能であるものを含めることができる。これらのデバイスにはまた、仮想デバイス、例えば仮想マシン、ハイパーバイザ、及び他の仮想デバイスであって、ネットワークを介して通信可能であるものを含めることができる。
本開示の種々の実施形態においては、種々の市販プロトコルのいずれかを用いた通信をサポートするための当業者には良く知られているであろう少なくとも1つのネットワークを用いる。種々の市販プロトコルは、例えば、伝送制御プロトコル/インターネット・プロトコル(「TCP/IP」)、ユーザ・データグラム・プロトコル(「UDP」)、開放型システム間相互接続(「OSI」)モデルの種々のレイヤにおいて動作するプロトコル、ファイル転送プロトコル(「FTP」)、ユニバーサル・プラグ・アンド・プレイ(「UpnP」)、ネットワークファイル・システム(「NFS」)、共通インターネットファイルシステム(「CIFS」)、及びアップルトーク(登録商標)である。ネットワークは、例えば、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、仮想プライベート・ネットワーク、インターネット、イントラネット、エキストラネット、公衆交換電話網、赤外線ネットワーク、無線ネットワーク、人工衛星ネットワーク及びこれらの任意の組み合わせとすることができる。
ウェブ・サーバを用いる実施形態では、ウェブ・サーバは、種々のサーバまたはミッド・ティア・アプリケーションのいずれかを実行することができる。例えば、ハイパーテキスト転送プロトコル(「HTTP」)サーバ、FTPサーバ、コモン・ゲートウェイ・インターフェース(「CGI」)サーバ、データ・サーバ、ジャバ(登録商標)・サーバ、アパッチ(登録商標)・サーバ、及びビジネス・アプリケーション・サーバーである。またサーバは、ユーザ装置からのリクエストに応答してプログラムまたはスクリプトを実行することができても良い。これは、例えば、1または複数のウェブ・アプリケーションであって、任意のプログラミング言語(例えば、ジャバ(登録商標)、C、C#、またはC++)、または任意のスクリプト言語(例えば、ルビー、PHP、パール、パイソン、またはTCL)、ならびにそれらの組み合わせで書き込まれた1または複数のスクリプトまたはプログラムとして実装しても良い1または複数のウェブ・アプリケーションを実行することによって行っても良い。またサーバには、データベース・サーバが含まれていても良い。例えば、限定することなく、オラクル(登録商標)、マイクロソフト(登録商標)、サイベース(登録商標)、及びIBM(登録商標)から市販されているもの、ならびにオープン・ソース・サーバー例えばMySQL、Postgres、SQLite、MongoDB、及び他の任意のサーバであって、構造化または未構造化データを記憶し、検索し、及びアクセスすることができるものである。データベース・サーバには、テーブル・ベースのサーバ、ドキュメント・ベースのサーバ、未構造化サーバ、リレーショナル・サーバ、非リレーショナル・サーバ、またはこれら及び/もしく他のデータベース・サーバの組み合わせが含まれていても良い。
環境には、前述したように種々のデータ・ストアならびに他のメモリ及び記憶媒体を含めることができる。これらは種々の場所に存在することができる、例えばコンピュータのうちの1もしくは複数に対してローカルな(及び/もしくはそこに常駐する)記憶媒体、またはネットワークを介してコンピュータの一部または全部からリモートにある記憶媒体である。特定の組の実施形態では、情報は、当業者に良く知られているストレージ・エリア・ネットワーク(「SAN」)内に存在していても良い。同様に、コンピュータ、サーバ、または他のネットワーク・デバイスに起因する機能を行うための任意の必要なファイルを、必要に応じて、ローカル及び/またはリモートに記憶しても良い。システムにコンピュータ化されたデバイスが含まれている場合、このような各デバイスには、バスを介して電気的に結合しても良いハードウェア要素を含めることができる。要素には、例えば、少なくとも1つの中央演算処理装置(「CPU」または「プロセッサ」)、少なくとも1つの入力デバイス(例えば、マウス、キーボード、コントローラ、タッチ・スクリーン、またはキーパッド)、及び少なくとも1つの出力装置(例えば、ディスプレイ・デバイス、プリンタまたはスピーカ)が含まれる。このようなシステムにはまた、1または複数の記憶装置が含まれていても良い。例えばディスク・ドライブ、光学記憶装置、及びソリッド・ステート記憶装置、例えばランダム・アクセス・メモリ(「RAM」)または読み取り専用メモリ(「ROM」)、ならびにリムーバブル・メディア・デバイス、メモリ・カード、フラッシュ・カードなどである。
またこのようなデバイスには、コンピュータ可読記憶媒体リーダ、通信装置(例えば、モデム、ネットワーク・カード(無線または有線)、赤外線通信装置など)及びワーキング・メモリを含めることができるのは、前述した通りである。コンピュータ可読記憶媒体リーダをコンピュータ可読記憶媒体と接続するかまたはこれを受け取るように構成して、コンピュータ可読情報を一時的及び/またはより永続的に含み、記憶し、送信し、ならびに検索するためのリモート、ローカル、固定及び/またはリムーバブル記憶装置デバイス、ならびに記憶媒体を表すようにすることができる。またシステム及び種々のデバイスには通常、少なくとも1つのワーキング・メモリ・デバイス内に配置された多くのソフトウェア・アプリケーション、モジュール、サービス、または他の要素が含まれる。例えば、オペレーティング・システム及びアプリケーション・プログラム、例えばクライアント・アプリケーションまたはウェブ・ブラウザである。当然のことながら、代替的な実施形態は前述のものからの多くの変形を有していても良い。例えば、カスタマイズされたハードウェアを用いても良く、及び/または特定の要素をハードウェア、ソフトウェア(ポータブル・ソフトウェア、例えばアプレットを含む)もしくは両方で実装しても良い。さらに、他のコンピューティング装置、例えばネットワーク入出力装置に対する接続を用いても良い。
コード(またはコードの一部)を含むための記憶媒体及びコンピュータ可読媒体には、当該技術分野で知られているかまたは用いられている任意の適切な媒体を含むことができる。例えば、記憶媒体及び通信媒体、例えば、限定することなく、揮発性及び不揮発性、リムーバブル及び非リムーバブル媒体であって、情報(例えば、コンピュータ可読命令、データ構造、プログラム・モジュール、または他のデータ)を記憶及び/または送信するための任意の方法または技術で実装されるものである。これには以下のものが含まれる。RAM、ROM、電気的消去可能プログラマブル読み取り専用メモリ(「EEPROM」)、フラッシュ・メモリまたは他のメモリ技術、コンパクト・ディスク読み取り専用メモリ(「CD−ROM」)、デジタル多用途ディスク(DVD)または他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶、または他の磁気記憶装置もしくは他の任意の媒体であって、所望の情報を記憶するために用いることができ、システム・デバイスによってアクセス可能なものである。本明細書で示した開示内容及び教示に基づいて、当業者であれば、種々の実施形態を実施する他の仕方及び/または方法を理解するであろう。
開示内容の実施形態を以下の条項の点から説明することができる。
1。コンピューティング・リソース・サービス・プロバイダが提供する1または複数のコンピューティング・システム・サービスにアクセスすることを可能にするためのコンピュータ実施方法であって、実行可能命令によって構成された1または複数のコンピュータ・システムの制御下で、ユーザが資格認定セットを用いて、管理ディレクトリ・サービス内のディレクトリにおけるリソースにアクセスすることを可能にすることと、管理ディレクトリ・サービスにおいて、第1のリクエストをユーザから受信して、コンピューティング・リソース・サービス・プロバイダが提供する、管理ディレクトリ・サービスとは異なる1または複数のコンピューティング・システム・サービスのサブセットにアクセスすることであって、第1のリクエストには、少なくとも部分的に資格認定セットに基づく情報が含まれる、受信することと、管理ディレクトリ・サービスにおいて、少なくとも部分的に資格認定セットに基づいてユーザを認証することと、ユーザが認証された第1の状態において、管理ディレクトリ・サービスにおいて、ユーザに適用可能な1または複数のポリシーを識別することであって、1または複数のポリシーは、少なくとも1または複数のサービスにアクセスするレベルを規定することを、少なくとも部分的に第1のリクエストに基づいて行う、識別することと、識別された1または複数のポリシーによってアクセスが可能になる第2の状態において、アイデンティティ管理サービスに、1または複数の一時的な資格認定セットに対する第2のリクエストを送信することであって、一時的な資格認定によって、ユーザが1または複数のサービスのサブセットにアクセスすることが可能になる、送信することと、アイデンティティ管理サービスから1または複数の一時的な資格認定セットを受信することと、受信した1または複数の一時的な資格認定セットを用いて、少なくとも部分的に、1または複数のサービスにアクセスするユーザからの第1のリクエストを実行することと、を含むコンピュータ実施方法。
2。1または複数のポリシーは、管理ディレクトリ・サービス内のディレクトリの管理ユーザによって、管理ユーザが少なくとも部分的に1または複数のサービスに基づいて1または複数のポリシーを規定することを可能にするポリシー・ジェネレーター・インターフェースを用いて規定される条項1のコンピュータ実施方法。
3。ユーザが、管理ディレクトリ・サービスから、1または複数のサービスにアクセスすることに利用できるインターフェースにアクセスして、少なくとも部分的にユーザからの第1のリクエストを実行して1または複数のサービスにアクセスできるようにすることをさらに含む条項1〜2のコンピュータ実施方法。
4。ユーザがインターフェースにアクセスすることを可能にすることには、インターフェースにアクセスするためのネットワーク位置への参照をユーザに与えることであって、参照は、少なくとも1または複数のサービスにアクセスするレベルを規定する1または複数のポリシーが規定されたら利用可能である、与えることが含まれる条項3のコンピュータ実施方法。
5。インターフェースはさらに、ユーザからのリクエストをアイデンティティ管理サービスに送信して1または複数のサービスにアクセスすることが可能となるように構成されている条項3〜4のコンピュータ実施方法。
6。ユーザに適用可能な1または複数のポリシーは、管理ディレクトリ・サービスにおけるプロファイルにおいて規定され、プロファイルはユーザに固有である条項1〜5のコンピュータ実施方法。
7。コンピュータ・システムであって、1または複数のプロセッサと、命令が一括して記憶されたメモリであって、命令はコンピュータ・システムによって実行されると、コンピュータ・システムに、ディレクトリ・サービスにおいて、ディレクトリ・サービス内のディレクトリにアクセスするための資格認定情報を用いる要求者を認証することと、要求者から、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスのサブセットにアクセスするリクエストを受信して、ディレクトリ・サービス内のディレクトリによって管理される1または複数のサービスのサブセットにアクセスすることと、要求者を認証した結果、ディレクトリ・サービスとは異なる第2のサービスから、1または複数のサービスのサブセットにアクセスする一時的な資格認定情報を取得することと、第2のサービスから取得された一時的な資格認定情報を用いて、少なくとも部分的に、1または複数のサービスのサブセットにアクセスするリクエストを実行することと、を行わせるメモリと、を備えるコンピュータ・システム。
8。リクエストには、少なくとも部分的に資格認定情報に基づく情報が含まれる条項7のコンピュータ・システム。
9。要求者を認証する命令には、要求者に適用可能な1または複数のポリシーを識別する命令が含まれ、1または複数のポリシーは、少なくとも1または複数のリソースのサブセットにアクセスするレベルを規定する条項7〜8のコンピュータ・システム。
10。命令によってさらに、コンピュータ・システムは、要求者がディレクトリ・サービスから、少なくとも部分的に要求者の認証に基づいてアクセス可能なインターフェースにアクセスして、少なくとも部分的に、1または複数のサービスのサブセットにアクセスするリクエストを実行することを可能にする条項7〜9のコンピュータ・システム。
11。命令によってさらに、コンピュータ・システムは、要求者が利用可能なインターフェースに対するネットワーク・アドレスの表現をもたらして、1または複数のサービスのサブセットにアクセスするリクエストを送信する条項10のコンピュータ・システム。
12。コンピュータ・システムに一時的な資格認定情報を取得させる命令によってさらに、コンピュータ・システムは第2のサービスと通信して、一時的な資格認定情報をリクエストし、一時的な資格認定情報を第2のサービスから受信する条項7〜11のコンピュータ・システム。
13。一時的な資格認定情報は、要求者が1または複数のサービスのサブセットへのアクセスを終了する結果、要求者が使用できなくなるように構成されている条項7〜12のコンピュータ・システム。
14。実行可能命令が一括して記憶された非一時的コンピュータ可読記憶媒体であって、実行可能命令は、コンピュータ・システムのうちの1または複数のプロセッサによって実行されると、コンピュータ・システムに少なくとも、ディレクトリ・サービスにおいて、資格認定情報を用いてディレクトリ・サービス内のディレクトリにアクセスする要求者が、ディレクトリにアクセスすることが許可されていることを検証することと、要求者から、コンピューティング・リソース・サービス・プロバイダが提供する1または複数のサービスのサブセットにアクセスするリクエストを受信することと、ディレクトリ・サービスにおいて、要求者がディレクトリにアクセスすることが許可されていることが検証される結果、要求者に適用可能な1または複数のポリシーを識別することであって、1または複数のポリシーは、ディレクトリ・サービス内のディレクトリによって管理され、1または複数のサービスのサブセットにアクセスするレベルを規定するのに利用可能である、識別することと、識別された1または複数のポリシーによってアクセスが可能になっている状態で、ディレクトリ・サービスとは異なる第2のサービスから、1または複数のサービスのサブセットにアクセスする一時的な資格認定情報を取得することと、第2のサービスから取得された一時的な資格認定情報を用いて、少なくとも部分的に、1または複数のサービスのサブセットにアクセスするリクエストを実行することと、を行わせる非一時的コンピュータ可読記憶媒体。
15。リクエストには、少なくとも部分的に資格認定情報に基づく情報が含まれる条項14の非一時的コンピュータ可読記憶媒体。
16。実行可能命令によってさらに、コンピュータ・システムは、要求者が、ディレクトリ・サービスから、少なくとも部分的に要求者の検証に基づいてアクセス可能なインターフェースにアクセスして、少なくとも部分的に、1または複数のサービスのサブセットにアクセスするリクエストを実行できるようにする条項14〜15の非一時的コンピュータ可読記憶媒体。
17。命令によってさらに、コンピュータ・システムは、要求者が利用可能なインターフェースに対するネットワーク・アドレスの表現をもたらして、1または複数のサービスのサブセットにアクセスするリクエストを送信する条項16の非一時的コンピュータ可読記憶媒体。
18。要求者に適用可能な1または複数のポリシーは、ディレクトリ内に記憶されたプロファイルにおいて規定されており、プロファイルは要求者に固有である条項14〜17の非一時的コンピュータ可読記憶媒体。
19。一時的な資格認定情報は、要求者が1または複数のサービスのサブセットにアクセスすることを終了する結果、要求者は利用できなくなるように構成されている条項14〜18の非一時的コンピュータ可読記憶媒体。
20。コンピュータ・システムに一時的な資格認定情報を取得させる命令によってさらに、コンピュータ・システムは第2のサービスと通信して、一時的な資格認定情報をリクエストし、一時的な資格認定情報を第2のサービスから受信する条項14〜19の非一時的コンピュータ可読記憶媒体。
したがって、明細書及び図面は限定的な意味ではなく例示的な意味で考えるべきである。しかし、請求項で述べる本発明のより広い趣旨及び範囲から逸脱することなく、種々の変更及び変形を施しても良いことが明らかである。
他の変形は本開示の趣旨内である。したがって、開示した技術は種々の変更及び代替的な構成を受け入れることができるが、その特定の例示した実施形態について図面に示し、前述で詳細に説明している。しかし当然のことながら、本発明を開示した特定の形態に限定する意図はなく、それどころか、添付の請求項に規定された本発明の趣旨及び範囲に含まれるすべての変更、代替的な構成、及び均等物に及ぶことが意図されている。
用語「a」及び「an」及び「the」及び同様の指示物を、開示した実施形態を説明する文脈において(特に以下の請求項の文脈において)用いることは、本明細書において特に断りのない限りまたは文脈と明らかに矛盾しない限り、単数及び複数の両方に及ぶものと解釈される。用語「備える(comprising)」「有する(having)」「含む(including)」及び「含有する(containing)」は、特に断らない限り、オープン・エンド用語(すなわち、「含むがこれらに限定されない」ことを意味する)と解釈しなければならない。用語「接続される」は、修飾されることなく物理接続を参照する場合、たとえ何かが介在していても、それに部分的もしくは全体的に含まれるか、それに取り付けられるか、またはそれと互いに結合されると解釈すべきである。本明細書において特に断りのない限り、本明細書における数値の範囲の説明は単に、範囲に含まれる各別個の数値を個別に参照する簡単な方法として働くことが意図されており、各別個の数値は、まるで本明細書において個別に説明されているかのように、明細書に取り入れられている。用語「セット」(例えば「物品のセット」)または「サブセット」を用いることは、特に断らない限りまたは文脈と矛盾しない限り、1または複数のメンバーを含む空でない集合と解釈すべきである。さらに、特に断らない限りまたは文脈と矛盾しない限り、対応するセットの用語「サブセット」は必ずしも、対応するセットの適切なサブセットを示すものではないが、サブセット及び対応するセットは等しい場合がある。
接続語、例えば「A、B、及びCのうちの少なくとも1つ」または「A、B及びCのうちの少なくとも1つ」を形成する語句は、特に記載のない限りまたは文脈と明らかに矛盾しない限り、その他の場合には、物品、用語などがAもしくはBもしくはCであっても良いしまたはA及びB及びCのセットの任意の空でないサブセットであっても良いことを示すために一般的に用いられる文脈によって理解される。例えば、3つのメンバーを有するセットの説明例では、接続語句「A、B、及びCのうちの少なくとも1つ」及び「A、B及びCのうちの少なくとも1つ」は、以下のセット:{A}、{B}、{C}、{A、B}、{A、C}、{B、C}、{A、B、C}のうちのいずれかを指す。したがって、このような接続語は一般的に、ある実施形態が、少なくとも1つのA、少なくとも1つのB、及び少なくとも1つのCがそれぞれ存在することを要求していることを意味することを意図しているものではない。
本明細書で説明したプロセスの操作は、本明細書において特に断りのない限りまたは文脈と明らかに矛盾しない限り、任意の好適な順番で行うことができる。本明細書で説明したプロセス(もしくは変形及び/またはそれらの組み合わせ)は、実行可能命令によって構成された1または複数のコンピュータ・システムの制御下で行っても良く、またハードウェアまたはそれらの組み合わせによって1または複数のプロセッサ上で一括して実行されるコード(例えば、実行可能命令、1もしくは複数のコンピュータ・プログラム、または1もしくは複数のアプリケーション)として実装しても良い。コードをコンピュータ可読記憶媒体上に、例えば1または複数のプロセッサによって実行可能な複数の命令を含むコンピュータ・プログラムの形態で記憶しても良い。コンピュータ可読記憶媒体は非一時的であっても良い。
本明細書で示したありとあらゆる実施例または典型的な言葉(例えば、「例えば(such as)」)を用いることは、特に断りのない限り、単に本発明の実施形態をより良好に明確にすることが意図されており、本発明の範囲に限定を与えるものではない。明細書におけるどんな言葉も、本発明の実施に不可欠な何らかの非請求の要素を示すものと解釈すべきではない。
本開示の好ましい実施形態について本明細書で説明しており、本発明を行うために発明者に知られているベスト・モードが含まれる。これらの好ましい実施形態の変形は、前述の説明を読めば当業者に明らかになる場合がある。発明者は、当業者がこのような変形を必要に応じて用いることを予想しており、発明者は、本開示の実施形態が本明細書で具体的に述べたこと以外で実施されることを意図している。それに応じて、本開示の範囲には、添付の請求項で説明した主題のすべての変更及び均等物が、適用法によって認められる範囲で含まれている。また、本明細書において特に断りのない限りまたは文脈と明らかに矛盾しない限り、前述した要素の任意の組み合わせは、そのすべての可能な変形において、本開示の範囲に包含される。

Claims (15)

  1. コンピュータ・システムであって、
    1または複数のプロセッサと、命令が一括して記憶されたメモリと、を備え、
    前記命令は前記コンピュータ・システムに、
    前記コンピュータ・システムに、ディレクトリ・サービスにおいて、前記ディレクトリ・サービス内のディレクトリにアクセスするために資格認定情報を用いる要求者を認証することと、
    前記要求者から、コンピューティング・リソース・サービス・プロバイダが提供する、前記ディレクトリ・サービスとは異なる第1サービスにアクセスするリクエストを受信して、前記ディレクトリ・サービス内の前記ディレクトリによって管理される前記第1サービスにアクセスすることと、
    前記要求者を認証した結果、前記ディレクトリ・サービスで管理されない第2サービスから前記第1サービスにアクセスする一時的な資格認定情報を取得することと、及び
    取得された前記一時的な資格認定情報を用いて、前記要求者が前記第1サービスにアクセスする要求を満たすこと、
    を実行させるコンピュータ・システム。
  2. 前記リクエストには、少なくとも部分的に前記資格認定情報に基づく情報が含まれる請求項1に記載のコンピュータ・システム。
  3. 前記要求者を認証する前記命令には、前記要求者に適用可能なポリシーを識別する命令が含まれ、前記ポリシーは、前記第1サービスにアクセスするレベルを規定する請求項1または2に記載のコンピュータ・システム。
  4. 前記命令によってさらに、前記コンピュータ・システムは、前記要求者が、前記ディレクトリ・サービスから、少なくとも部分的に前記要求者の前記認証に基づいてアクセス可能なインターフェースにアクセスして、少なくとも部分的に、前記第1サービスにアクセスする前記リクエストを実行できるようにする請求項1〜3のいずれかに記載のコンピュータ・システム。
  5. 前記命令によってさらに、前記コンピュータ・システムは、前記要求者が利用可能な前記インターフェースに対するネットワーク・アドレスの表現をもたらして、前記第1サービスにアクセスする前記リクエストを送信する請求項4に記載のコンピュータ・システム。
  6. 前記コンピュータ・システムに前記一時的な資格認定情報を取得することを行わせる前記命令によってさらに、前記コンピュータ・システムは、第2のサービスと通信して、前記一時的な資格認定情報をリクエストし、前記第2のサービスから前記一時的な資格認定情報を受信する請求項1〜5のいずれかに記載のコンピュータ・システム。
  7. 前記一時的な資格認定情報は、前記要求者が前記第1サービスにアクセスすることを終了する結果、前記要求者が使用できなくなるように構成されている請求項1〜6のいずれかに記載の前記コンピュータ・システム。
  8. 実行可能命令が一括して記憶された非一時的コンピュータ可読記憶媒体であって、前記実行可能命令は、コンピュータ・システムのうちの1または複数のプロセッサによって実行されると、前記コンピュータ・システムに少なくとも、
    ディレクトリ・サービスにおいて、要求者が、前記ディレクトリ・サービス内のディレクトリにアクセスすることが許可されていることを検証することと、
    前記要求者から、コンピューティング・リソース・サービス・プロバイダが提供する、前記ディレクトリ・サービスとは異なる、第1サービスにアクセスするリクエストを受信することと、
    前記ディレクトリ・サービスにおいて、前記要求者が前記ディレクトリにアクセスすることが許可されていることが検証される結果、前記要求者に適用可能で、前記ディレクトリ・サービス内の前記ディレクトリによって管理され前記第1サービスにアクセスするレベルを規定するポリシーを識別することと、
    前記識別されたポリシーによってアクセスが可能になっている状態で、前記ディレクトリ・サービスで管理されない第2サービスから、前記第1サービスにアクセスする一時的な資格認定情報を取得することと、
    前記一時的な資格認定情報を用いて、前記要求者は前記第1サービスにアクセスすることと、
    を行わせる非一時的コンピュータ可読記憶媒体。
  9. 前記リクエストには、少なくとも部分的に前記資格認定情報に基づく情報が含まれる請求項8に記載の非一時的コンピュータ可読記憶媒体。
  10. 前記実行可能命令によってさらに、前記コンピュータ・システムは、前記要求者が、前記ディレクトリ・サービスから、少なくとも部分的に前記要求者の前記検証に基づいてアクセス可能なインターフェースにアクセスして、少なくとも部分的に、前記第1サービスにアクセスする前記リクエストを実行できるようにする請求項8または9に記載の非一時的コンピュータ可読記憶媒体。
  11. 前記命令によってさらに、前記コンピュータ・システムは、前記要求者が利用可能な前記インターフェースに対するネットワーク・アドレスの表現をもたらして、前記第1サービスにアクセスする前記リクエストを送信する請求項10に記載の非一時的コンピュータ可読記憶媒体。
  12. 前記要求者に適用可能な前記ポリシーは、前記ディレクトリ内に記憶されたプロファイルにおいて規定されており、前記プロファイルは前記要求者に固有である請求項8〜11に記載の非一時的コンピュータ可読記憶媒体。
  13. 前記一時的な資格認定情報は、前記要求者が前記第1サービスにアクセスすることを終了する結果、前記要求者は利用できなくなるように構成されている請求項8〜12のいずれかに記載の非一時的コンピュータ可読記憶媒体。
  14. 前記コンピュータ・システムに前記一時的な資格認定情報を取得することを行わせる前記命令によってさらに、前記コンピュータ・システムは第2のサービスと通信して、前記一時的な資格認定情報をリクエストし、前記第2のサービスから前記一時的な資格認定情報を受信する請求項8〜13のいずれかに記載の前記非一時的コンピュータ可読記憶媒体。
  15. コンピューティング・リソース・サービス・プロバイダが提供するコンピューティング・システム・サービスにアクセスすることを可能にするためのコンピュータ実施方法であって、
    ユーザが資格認定セットを用いて、管理ディレクトリ・サービス内のディレクトリにおけるリソースにアクセスすることを可能にすることと、
    前記管理ディレクトリ・サービスにおいて、前記コンピューティング・リソース・サービス・プロバイダが提供する、前記管理ディレクトリ・サービスとは異なる、前記コンピューティング・システム・サービスにアクセスするために、前記ユーザから少なくとも部分的に前記資格認定セットに基づく情報が含まれる第1のリクエストを受信することと、
    前記管理ディレクトリ・サービスにおいて、少なくとも部分的に前記資格認定セットに基づいて前記ユーザを認証することと、
    前記ユーザが認証された第1の状態において、前記管理ディレクトリ・サービスにおいて、前記ユーザに適用可能なポリシーを識別することであって、前記ポリシーは、少なくとも前記コンピューティング・システムにアクセスするレベルを規定することを、少なくとも部分的に前記第1のリクエストに基づいて行う、識別することと、
    前記識別されたポリシーによってアクセスが可能になる第2の状態において、前記管理ディレクトリ・サービスで管理されないアイデンティティ管理サービスに、一時的な資格認定セットに対する第2のリクエストを送信することであって、前記一時的な資格認定によって、前記ユーザが前記コンピューティング・システム・サービスにアクセスすることが可能になる、送信することと、
    前記アイデンティティ管理サービスから前記一時的な資格認定セットを受信することと、
    前記受信した一時的な資格認定セットを用いて、少なくとも部分的に、前記コンピューティング・システム・サービスにアクセスする前記ユーザからの前記第1のリクエストを実行することと、
    を含むコンピュータ実施方法。
JP2016528232A 2013-11-11 2014-11-11 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット Active JP6356797B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361902790P 2013-11-11 2013-11-11
US61/902,790 2013-11-11
US14/098,341 2013-12-05
US14/098,341 US9407615B2 (en) 2013-11-11 2013-12-05 Single set of credentials for accessing multiple computing resource services
PCT/US2014/065081 WO2015070244A1 (en) 2013-11-11 2014-11-11 Single set of credentials for accessing multiple computing resource services

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2018073523A Division JP6568974B2 (ja) 2013-11-11 2018-04-06 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット

Publications (2)

Publication Number Publication Date
JP2016540295A JP2016540295A (ja) 2016-12-22
JP6356797B2 true JP6356797B2 (ja) 2018-07-11

Family

ID=53042252

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2016528232A Active JP6356797B2 (ja) 2013-11-11 2014-11-11 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット
JP2018073523A Active JP6568974B2 (ja) 2013-11-11 2018-04-06 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2018073523A Active JP6568974B2 (ja) 2013-11-11 2018-04-06 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット

Country Status (6)

Country Link
US (1) US9407615B2 (ja)
EP (2) EP3468103B1 (ja)
JP (2) JP6356797B2 (ja)
CN (2) CN105830389B (ja)
CA (1) CA2930253C (ja)
WO (1) WO2015070244A1 (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10375013B2 (en) 2013-11-11 2019-08-06 Amazon Technologies, Inc. Managed directory service connection
US10908937B2 (en) 2013-11-11 2021-02-02 Amazon Technologies, Inc. Automatic directory join for virtual machine instances
US10462210B2 (en) 2014-02-13 2019-10-29 Oracle International Corporation Techniques for automated installation, packing, and configuration of cloud storage services
US10880283B1 (en) * 2014-06-27 2020-12-29 Amazon Technologies, Inc. Techniques for remote access to a computing resource service provider
US9444848B2 (en) * 2014-09-19 2016-09-13 Microsoft Technology Licensing, Llc Conditional access to services based on device claims
US9721117B2 (en) 2014-09-19 2017-08-01 Oracle International Corporation Shared identity management (IDM) integration in a multi-tenant computing environment
US9313193B1 (en) 2014-09-29 2016-04-12 Amazon Technologies, Inc. Management and authentication in hosted directory service
US10257184B1 (en) * 2014-09-29 2019-04-09 Amazon Technologies, Inc. Assigning policies for accessing multiple computing resource services
US9641503B2 (en) 2014-10-03 2017-05-02 Amazon Technologies, Inc. Using credentials stored in different directories to access a common endpoint
US10476863B1 (en) * 2014-12-09 2019-11-12 Amazon Technologies, Inc. Ownership maintenance of multi-tenant environment
US10509663B1 (en) 2015-02-04 2019-12-17 Amazon Technologies, Inc. Automatic domain join for virtual machine instances
US9794292B2 (en) * 2015-10-26 2017-10-17 Amazon Technologies, Inc. Providing fine-grained access remote command execution for virtual machine instances in a distributed computing environment
US9942321B2 (en) 2016-01-06 2018-04-10 Ca, Inc. Identity-to-account correlation and synchronization
US10410008B2 (en) 2016-03-08 2019-09-10 Oracle International Corporation Thick client policy caching
US10762559B2 (en) * 2016-04-15 2020-09-01 Adp, Llc Management of payroll lending within an enterprise system
US10419488B2 (en) * 2017-03-03 2019-09-17 Microsoft Technology Licensing, Llc Delegating security policy management authority to managed accounts
GB2561822B (en) * 2017-04-13 2020-02-19 Arm Ip Ltd Reduced bandwidth handshake communication
US10783235B1 (en) 2017-05-04 2020-09-22 Amazon Technologies, Inc. Secure remote access of computing resources
US10701161B2 (en) * 2017-08-28 2020-06-30 Citrix Systems, Inc. Wrapping continuation tokens to support paging for multiple servers across different geolocations
US10834137B2 (en) * 2017-09-28 2020-11-10 Oracle International Corporation Rest-based declarative policy management
EP3769472A4 (en) * 2018-03-23 2021-11-24 Schneider Electric USA, Inc. PROGRESSIVE CLOUD ARCHITECTURE SYSTEM AND METHODS
CN111104666B (zh) * 2018-10-25 2023-09-05 戴尔产品有限公司 用于访问服务的方法、设备和计算机可读介质
CN111464481B (zh) * 2019-01-18 2023-01-13 伊姆西Ip控股有限责任公司 用于服务安全保护的方法、设备和计算机可读介质
JP2021089469A (ja) * 2019-12-02 2021-06-10 富士フイルムビジネスイノベーション株式会社 情報処理装置およびプログラム
SE2050617A1 (en) * 2020-05-29 2021-11-02 Christian Gehrmann Generation of container protection profiles
WO2022000156A1 (en) * 2020-06-29 2022-01-06 Microsoft Technology Licensing, Llc Selective security augmentation in source control environments
US11770372B2 (en) * 2020-07-28 2023-09-26 Hewlett Packard Enterprise Development Lp Unified identity and access management (IAM) control plane for services associated with a hybrid cloud
US11562082B2 (en) 2021-05-28 2023-01-24 Capital One Services, Llc Crafting effective policies for identity and access management roles
US20220385668A1 (en) * 2021-05-28 2022-12-01 Capital One Services, Llc Evaluation of effective access permissions in identity and access management (iam) systems
US11902282B2 (en) 2021-05-28 2024-02-13 Capital One Services, Llc Validating compliance of roles with access permissions
CN114338231B (zh) * 2022-02-22 2023-10-31 浙江网商银行股份有限公司 策略处理方法及系统

Family Cites Families (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6055637A (en) * 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
US7711818B2 (en) 2000-12-22 2010-05-04 Oracle International Corporation Support for multiple data stores
US7590667B2 (en) 2003-01-30 2009-09-15 Hitachi, Ltd. File replication method for distributed file systems
JP2004355439A (ja) * 2003-05-30 2004-12-16 Aruze Corp 情報管理システム
WO2005010715A2 (en) * 2003-07-21 2005-02-03 Fusionone, Inc. Device message management system
US20050203993A1 (en) 2003-12-31 2005-09-15 Grobman Steven L. System and method for optimizing data store selection for write operations
US7512971B2 (en) * 2004-01-29 2009-03-31 Newisys, Inc. Method and system for enabling remote access to a computer system
JP2005258672A (ja) * 2004-03-10 2005-09-22 Jfe Systems Inc トップページ介在シングルサインオン方法及びトップページ装置
US8073810B2 (en) * 2007-10-29 2011-12-06 Oracle International Corporation Shared view of customers across business support systems (BSS) and a service delivery platform (SDP)
US8732182B2 (en) 2004-12-02 2014-05-20 Desktopsites Inc. System and method for launching a resource in a network
US8326899B2 (en) 2005-11-09 2012-12-04 Ca, Inc. Method and system for improving write performance in a supplemental directory
US8418234B2 (en) * 2005-12-15 2013-04-09 International Business Machines Corporation Authentication of a principal in a federation
JP5330835B2 (ja) * 2006-02-21 2013-10-30 トムソン ライセンシング パーソナルネットワーク記憶装置に基づくピアツーピアビデオコンテンツ配信ネットワーク
GB0610113D0 (en) * 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
US7562075B2 (en) 2006-12-07 2009-07-14 International Business Machines Corporation Change approvals for computing systems
CN101060407A (zh) * 2007-05-22 2007-10-24 上海众恒信息产业有限公司 用户访问权限的管理方法及系统
WO2009018584A1 (en) 2007-08-02 2009-02-05 Fugen Solutions, Inc. Method and apparatus for multi-domain identity interoperability and certification
US8990911B2 (en) * 2008-03-30 2015-03-24 Emc Corporation System and method for single sign-on to resources across a network
US8478902B1 (en) 2012-02-06 2013-07-02 Skytap Virtual gateway router
US9736153B2 (en) 2008-06-27 2017-08-15 Microsoft Technology Licensing, Llc Techniques to perform federated authentication
CN101321063A (zh) * 2008-07-17 2008-12-10 上海众恒信息产业有限公司 基于数字证书技术的系统用户访问管理系统及方法
US20100017889A1 (en) 2008-07-17 2010-01-21 Symantec Corporation Control of Website Usage Via Online Storage of Restricted Authentication Credentials
US8311038B2 (en) 2009-03-30 2012-11-13 Martin Feuerhahn Instant internet browser based VoIP system
US8307003B1 (en) 2009-03-31 2012-11-06 Amazon Technologies, Inc. Self-service control environment
US8255984B1 (en) * 2009-07-01 2012-08-28 Quest Software, Inc. Single sign-on system for shared resource environments
US8335765B2 (en) 2009-10-26 2012-12-18 Amazon Technologies, Inc. Provisioning and managing replicated data instances
WO2011106716A1 (en) * 2010-02-25 2011-09-01 Secureauth Corporation Security device provisioning
US8782748B2 (en) 2010-06-22 2014-07-15 Microsoft Corporation Online service access controls using scale out directory features
US10482254B2 (en) * 2010-07-14 2019-11-19 Intel Corporation Domain-authenticated control of platform resources
FR2964813B1 (fr) * 2010-09-14 2013-04-26 Evidian Dispositif de gestion de comptes utilisateurs apte a cooperer avec un dispositif de signature unique
EP2619677A4 (en) 2010-09-21 2015-05-13 Hewlett Packard Development Co APPLYING DIFFERENTIAL POLICIES TO AT LEAST ONE DIGITAL DOCUMENT
US9596122B2 (en) 2010-12-03 2017-03-14 International Business Machines Corporation Identity provider discovery service using a publish-subscribe model
CN103460215B (zh) 2011-03-08 2016-10-26 电话有限公司 为服务应用提供授权访问以便使用最终用户的受保护资源的方法
US20120233314A1 (en) 2011-03-11 2012-09-13 Ebay Inc. Visualization of Access Information
US8533796B1 (en) 2011-03-16 2013-09-10 Google Inc. Providing application programs with access to secured resources
US20120246738A1 (en) 2011-03-21 2012-09-27 Microsoft Corporation Resource Sharing and Isolation in Role Based Access
US9015710B2 (en) 2011-04-12 2015-04-21 Pivotal Software, Inc. Deployment system for multi-node applications
US8769622B2 (en) 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
US8412945B2 (en) 2011-08-09 2013-04-02 CloudPassage, Inc. Systems and methods for implementing security in a cloud computing environment
US8656471B1 (en) * 2012-03-12 2014-02-18 Amazon Technologies, Inc. Virtual requests
US10176335B2 (en) 2012-03-20 2019-01-08 Microsoft Technology Licensing, Llc Identity services for organizations transparently hosted in the cloud
US9063792B2 (en) 2012-04-18 2015-06-23 Entrata Systems, Inc. Managing mobile execution environments
US9069979B2 (en) 2012-09-07 2015-06-30 Oracle International Corporation LDAP-based multi-tenant in-cloud identity management system
US9509719B2 (en) 2013-04-02 2016-11-29 Avigilon Analytics Corporation Self-provisioning access control

Also Published As

Publication number Publication date
CA2930253C (en) 2018-07-24
US20150135257A1 (en) 2015-05-14
CN105830389B (zh) 2019-06-14
JP2016540295A (ja) 2016-12-22
CN110113360A (zh) 2019-08-09
EP3468103A1 (en) 2019-04-10
EP3069463B1 (en) 2019-01-09
EP3069463A1 (en) 2016-09-21
CN110113360B (zh) 2022-03-08
WO2015070244A1 (en) 2015-05-14
US9407615B2 (en) 2016-08-02
JP6568974B2 (ja) 2019-08-28
EP3069463A4 (en) 2017-06-28
CA2930253A1 (en) 2015-05-14
EP3468103B1 (en) 2020-07-01
CN105830389A (zh) 2016-08-03
JP2018139119A (ja) 2018-09-06

Similar Documents

Publication Publication Date Title
JP6568974B2 (ja) 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット
US9853978B2 (en) Domain join and managed directory support for virtual computing environments
JP6605056B2 (ja) 仮想マシンインスタンスのための自動ディレクトリ結合
JP6402198B2 (ja) デジタル証明書を用いた仮想マシンイメージの認証
US8935757B2 (en) OAuth framework
JP6163264B2 (ja) マネージドディレクトリサービスのための識別プールブリッジング
US10447610B1 (en) Techniques for network redirection
US10110587B2 (en) Entity to authorize delegation of permissions
US20200117498A1 (en) Automatic domain join for virtual machine instances
US11196748B1 (en) Directory proxy for accessing remote domains

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170522

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171016

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180406

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180614

R150 Certificate of patent or registration of utility model

Ref document number: 6356797

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250