用于透明地主存在云中的組織的身份服務(wù)的制作方法
【專利摘要】公開(kāi)了本發(fā)明的用于在云計(jì)算平臺(tái)上建立單一身份/單點(diǎn)登錄(SSO)的各實(shí)施例。在一個(gè)實(shí)施例中�����,用戶向云計(jì)算平臺(tái)驗(yàn)證��,并且標(biāo)識(shí)域���。在確立該用戶具有對(duì)該域的控制之后�,云計(jì)算平臺(tái)配置用于該域的目錄服務(wù)�。該用戶可隨后使用云計(jì)算平臺(tái)上的該目錄服務(wù)來(lái)登錄到他或她的計(jì)算機(jī)以及主控在云計(jì)算平臺(tái)上的軟件服務(wù)。
【專利說(shuō)明】用于透明地主存在云中的組織的身份服務(wù)
[0001]背景
[0002]存在允許用戶登錄一次然后獲得對(duì)多個(gè)軟件系統(tǒng)的訪問(wèn)權(quán)的技術(shù)��。也就是說(shuō)����,該用戶獲得對(duì)那些軟件系統(tǒng)的每一個(gè)的訪問(wèn)權(quán)而無(wú)需登錄到它們中的每一個(gè)。這些技術(shù)有時(shí)被稱為“單點(diǎn)登錄”(SSO)或者“單一身份”����。然而�,現(xiàn)有的SSO/單一身份技術(shù)存在許多問(wèn)題��,其中有些是眾所周知的�。
[0003]概述
[0004]實(shí)現(xiàn)SSO/單一身份的一個(gè)問(wèn)題是必須被配置和安裝的技術(shù)的量。為了實(shí)現(xiàn)SSO/單一身份�,管理員必須能夠配置并部署目錄服務(wù)、聯(lián)合服務(wù)�����、同步服務(wù)����、域名服務(wù)(DNS)以及各操作系統(tǒng)���。
[0005]SSO/單一身份中存在的另一問(wèn)題與云計(jì)算平臺(tái)所提供的服務(wù)有關(guān)�。這類服務(wù)的示例包括基于云的文檔和文件管理服務(wù)(諸如微軟OFFICE 365SHAREP0INT ONLINE)���、或者電子郵件服務(wù)(諸如微軟OFFICE 365EXCHANGE ONLINE)�����。即使管理員實(shí)施場(chǎng)所內(nèi)目錄(即實(shí)施在他或她的場(chǎng)所內(nèi)����,而不是實(shí)施在云計(jì)算平臺(tái)上),該SSO/單一身份不會(huì)延伸到云�。另夕卜,當(dāng)SSO實(shí)現(xiàn)在場(chǎng)所內(nèi)時(shí)��,系統(tǒng)必須具有很好的可靠性���。如果SSO/單一身份不工作����,則用戶可能既無(wú)法登錄場(chǎng)所內(nèi)服務(wù)��,也無(wú)法登錄云服務(wù)��。
[0006]此處所描述的發(fā)明的主實(shí)施例用于SS0��??梢岳斫獾氖牵景l(fā)明可被用于以類似方式實(shí)施基于云的單一身份�����。本發(fā)明的實(shí)施例以將場(chǎng)所內(nèi)和云SSO兩者組合的方式為云中的服務(wù)提供SS0���,并且提高了 SSO的可靠性�����。本發(fā)明的實(shí)施例在其中沒(méi)有場(chǎng)所內(nèi)目錄的云中實(shí)施SS0�����。通過(guò)諸如登錄名和口令之類的憑證的使用來(lái)向云平臺(tái)驗(yàn)證用戶�����。用戶隨后標(biāo)識(shí)他想要建立SSO的公共域���,并且證明他具有對(duì)該域的控制。響應(yīng)于此�,實(shí)施例設(shè)立域控制器以及聯(lián)合服務(wù)。經(jīng)由SS0����,域的用戶隨后既可登錄到他們的計(jì)算機(jī),又可訪問(wèn)云服務(wù)�。
[0007]本發(fā)明的第二實(shí)施例在其中沒(méi)有場(chǎng)所內(nèi)目錄服務(wù)的云中實(shí)施SS0,并且其中用戶想要建立用于私有域的SS0��。在這一實(shí)施例中,可按類似于上述的為公共域建立SSO的方式來(lái)建立SS0����。然而,用戶可不被要求證明他具有對(duì)私有域的控制�。
[0008]本發(fā)明的第三實(shí)施例在其中沒(méi)有場(chǎng)所內(nèi)目錄服務(wù)的云中實(shí)施SS0。在這一實(shí)施例中���,可按類似于上述的為公共域建立SSO的方式來(lái)建立SS0��。另外���,用戶提供憑證,以經(jīng)由運(yùn)行在場(chǎng)所內(nèi)的虛擬專用網(wǎng)(VPN)來(lái)訪問(wèn)場(chǎng)所內(nèi)域控制器�。除了以上所執(zhí)行的,實(shí)施例不僅將場(chǎng)所內(nèi)域的數(shù)據(jù)復(fù)制到云域服務(wù)����,還設(shè)立將在云域服務(wù)和場(chǎng)所內(nèi)域服務(wù)之間復(fù)制數(shù)據(jù)、以及將數(shù)據(jù)從場(chǎng)所內(nèi)域服務(wù)同步到由云計(jì)算平臺(tái)主控的服務(wù)的同步服務(wù)�����。實(shí)施例還建立與場(chǎng)所內(nèi)VPN端點(diǎn)的VPN連接,并且同步服務(wù)使用這一 VPN連接來(lái)同步存儲(chǔ)在云目錄服務(wù)中的數(shù)據(jù)和存儲(chǔ)在場(chǎng)所內(nèi)目錄服務(wù)中的數(shù)據(jù)�����。
[0009]本發(fā)明的這些實(shí)施例可經(jīng)由VPN或類似連接將私有云擴(kuò)展到客戶的場(chǎng)所內(nèi)基礎(chǔ)結(jié)構(gòu)���。從私有云到客戶的場(chǎng)所內(nèi)基礎(chǔ)結(jié)構(gòu)的這一擴(kuò)展允許客戶擴(kuò)展其功能���,而無(wú)需添加可見(jiàn)的基礎(chǔ)結(jié)構(gòu)——所添加的基礎(chǔ)結(jié)構(gòu)對(duì)客戶來(lái)說(shuō)是不可見(jiàn)的,客戶僅僅看到添加的功能�����。如此����,場(chǎng)所內(nèi)基礎(chǔ)結(jié)構(gòu)可保持相對(duì)簡(jiǎn)單,但功能增加了���。從這一意義上來(lái)說(shuō),云基礎(chǔ)結(jié)構(gòu)可被邏輯地分成兩類——(I)促進(jìn)對(duì)公共云服務(wù)(例如�,電子郵件)的SSO/單一身份訪問(wèn)的場(chǎng)所內(nèi)基礎(chǔ)結(jié)構(gòu)的基于云的擴(kuò)展,(2)公共云服務(wù)(例如�,電子郵件)。場(chǎng)所內(nèi)基礎(chǔ)結(jié)構(gòu)的基于云的擴(kuò)展可插入代表客戶的私有云足跡�。這一私有云足跡將場(chǎng)所內(nèi)同步服務(wù)�����、聯(lián)合服務(wù)����、以及目錄服務(wù)等基于云的服務(wù)擴(kuò)展到場(chǎng)所內(nèi)網(wǎng)絡(luò)�。
[0010]附圖簡(jiǎn)述
[0011]圖1描繪了其中可實(shí)現(xiàn)本發(fā)明的各實(shí)施例的示例計(jì)算機(jī)。
[0012]圖2描繪了其中可實(shí)現(xiàn)在云計(jì)算平臺(tái)上建立SSO的各實(shí)施例的示例系統(tǒng)�。
[0013]圖3描繪了用于在云計(jì)算平臺(tái)上建立SSO的示例操作規(guī)程。
[0014]圖4描繪了用于以公共域在云計(jì)算平臺(tái)上建立SSO的附加示例操作規(guī)程��。
[0015]圖5描繪了用于以私有域在云計(jì)算平臺(tái)上建立SSO的附加示例操作規(guī)程���。
[0016]圖6描繪了用于在其中沒(méi)有場(chǎng)所內(nèi)目錄的云計(jì)算平臺(tái)上建立SSO的附加示例操作規(guī)程����。
[0017]說(shuō)明性實(shí)施例的詳細(xì)描述
[0018]本發(fā)明的各實(shí)施例可以在一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)上執(zhí)行���。圖1及以下討論旨在提供對(duì)其中可實(shí)現(xiàn)本發(fā)明的各實(shí)施例的合適計(jì)算環(huán)境的簡(jiǎn)要概括描述����。
[0019]圖1描繪了示例通用計(jì)算系統(tǒng)。通用計(jì)算系統(tǒng)可包括常規(guī)計(jì)算機(jī)20等�����,計(jì)算機(jī)20包括處理單元21���。處理單元21可包括一個(gè)或多個(gè)處理器��,它們中的每一個(gè)可具有一個(gè)或多個(gè)處理核����。多核處理器(作為通常被稱為具有不止一個(gè)處理核的處理器)包括單個(gè)芯片封裝內(nèi)所包含的多個(gè)處理器��。
[0020]計(jì)算機(jī)20還可包括圖形處理單元(GPU)90��。GPU 90是被優(yōu)化以操縱計(jì)算機(jī)圖形的專用微處理器��。處理單元21可將工作卸載到GPU 90���。GPU 90可以具有其自己的圖形存儲(chǔ)器����,和/或可以訪問(wèn)系統(tǒng)存儲(chǔ)器22的一部分��。如處理單元21那樣�����,GPU 90可包括一個(gè)或多個(gè)處理單兀�����,每一個(gè)都具有一個(gè)或多個(gè)核�����。
[0021]計(jì)算機(jī)20還可包括系統(tǒng)存儲(chǔ)器22和系統(tǒng)總線23���,系統(tǒng)總線23在系統(tǒng)處于操作狀態(tài)時(shí)將包括系統(tǒng)存儲(chǔ)器22的各個(gè)系統(tǒng)組件通信地耦合至處理單元21��。系統(tǒng)存儲(chǔ)器22可包括只讀存儲(chǔ)器(ROM) 24和隨機(jī)存取存儲(chǔ)器(RAM) 25���。基本輸入/輸出系統(tǒng)26 (B1S)被存儲(chǔ)在ROM 24中��,該基本輸入/輸出系統(tǒng)26包含了諸如在啟動(dòng)期間幫助在計(jì)算機(jī)20內(nèi)的元件之間傳輸信息的基本例程�。系統(tǒng)總線23可以是若干類型的總線結(jié)構(gòu)中的任一種,包括實(shí)現(xiàn)各種總線體系結(jié)構(gòu)中的任一種的存儲(chǔ)器總線或存儲(chǔ)器控制器����、外圍總線���、以及局部總線。耦合到系統(tǒng)總線23的可以是直接存儲(chǔ)器存取(DMA)控制器80����,該DMA控制器80被配置成獨(dú)立于處理單元21從存儲(chǔ)器讀取和/或?qū)懭氪鎯?chǔ)器。另外�,連接到系統(tǒng)總線23 (諸如存儲(chǔ)驅(qū)動(dòng)器接口 32或磁盤(pán)驅(qū)動(dòng)器接口 33)的設(shè)備可被配置成也是獨(dú)立于處理單元21從存儲(chǔ)器讀取和/或?qū)懭氪鎯?chǔ)器,而無(wú)需使用DMA控制器80��。
[0022]計(jì)算機(jī)20還包括用于讀寫(xiě)硬盤(pán)(未示出)或固態(tài)盤(pán)(SSD)(未示出)的存儲(chǔ)驅(qū)動(dòng)器27��、用于讀寫(xiě)可移動(dòng)磁盤(pán)29的磁盤(pán)驅(qū)動(dòng)器28�����,以及用于讀寫(xiě)諸如CD ROM或其他光學(xué)介質(zhì)之類的可移動(dòng)光盤(pán)31的光盤(pán)驅(qū)動(dòng)器30��。硬盤(pán)驅(qū)動(dòng)器27����、磁盤(pán)驅(qū)動(dòng)器28和光盤(pán)驅(qū)動(dòng)器30被示為分別通過(guò)硬盤(pán)驅(qū)動(dòng)器接口 32、磁盤(pán)驅(qū)動(dòng)器接口 33和光盤(pán)驅(qū)動(dòng)器接口 34來(lái)連接到系統(tǒng)總線23�。驅(qū)動(dòng)器及其相關(guān)聯(lián)的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)為計(jì)算機(jī)20提供了對(duì)計(jì)算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)��、程序模塊��,及其他數(shù)據(jù)的非易失性存儲(chǔ)��。
[0023]雖然這里描述的示例環(huán)境采用硬盤(pán)���、可移動(dòng)磁盤(pán)29和可移動(dòng)光盤(pán)31,但本領(lǐng)域技術(shù)人員應(yīng)理解�,在該示例操作環(huán)境中也能使用可存儲(chǔ)能由計(jì)算機(jī)訪問(wèn)的數(shù)據(jù)的其他類型的計(jì)算機(jī)可讀介質(zhì),如閃存卡���、數(shù)字視頻盤(pán)���、數(shù)字多功能盤(pán)((DVD)、隨機(jī)存取存儲(chǔ)器(RAM)����、只讀存儲(chǔ)器(ROM)等。通常���,這些計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)能夠被用于一些實(shí)施例中來(lái)存儲(chǔ)實(shí)現(xiàn)本公開(kāi)的各方面的處理器可執(zhí)行指令�。計(jì)算機(jī)20也可包括主適配器55,其通過(guò)小型計(jì)算機(jī)系統(tǒng)接口(SCSI)總線56連接到存儲(chǔ)設(shè)備62����。
[0024]包括計(jì)算機(jī)可讀指令的若干程序模塊可存儲(chǔ)在諸如硬盤(pán)、磁盤(pán)29���、光盤(pán)31����、ROM24或RAM 25之類的計(jì)算機(jī)可讀介質(zhì)上�,包括操作系統(tǒng)35、一個(gè)或多個(gè)應(yīng)用程序36�、其他程序模塊37、以及程序數(shù)據(jù)38����。一旦由處理單元執(zhí)行,計(jì)算機(jī)可讀指令使得下文中更詳細(xì)描述的動(dòng)作被執(zhí)行或使得各種程序模塊被實(shí)例化����。用戶可以通過(guò)諸如鍵盤(pán)40和定點(diǎn)設(shè)備42之類的輸入設(shè)備向計(jì)算機(jī)20中輸入命令和信息。其他輸入設(shè)備(未示出)可包括話筒�����、游戲桿、游戲手柄���、圓盤(pán)式衛(wèi)星天線�、掃描儀等等���。這些及其他輸入設(shè)備常常通過(guò)耦合到系統(tǒng)總線的串行端口接口 46連接到處理單元21,但是�����,也可以通過(guò)諸如并行端口����、游戲端口、或通用串行總線(USB)之類的其他接口來(lái)連接���。顯示器47或其他類型的顯示設(shè)備也可以通過(guò)諸如視頻適配器48之類的接口連接到系統(tǒng)總線23�����。除了顯示器47之外��,計(jì)算機(jī)通常包括其他外圍輸出設(shè)備(未不出)�����,如揚(yáng)聲器和打印機(jī)�。
[0025]計(jì)算機(jī)20可使用到一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)(諸如,遠(yuǎn)程計(jì)算機(jī)49)的邏輯連接而在聯(lián)網(wǎng)環(huán)境中操作���。遠(yuǎn)程計(jì)算機(jī)49可以是另一個(gè)計(jì)算機(jī)����、服務(wù)器���、路由器��、網(wǎng)絡(luò)PC�����、對(duì)等設(shè)備或其他公共網(wǎng)絡(luò)節(jié)點(diǎn)����,并通?�?砂ㄒ陨舷鄬?duì)于計(jì)算機(jī)20描述的許多或所有元件,但是在圖1中只示出存儲(chǔ)器存儲(chǔ)設(shè)備50���。圖1中所描繪的邏輯連接可包括局域網(wǎng)(LAN) 51和廣域網(wǎng)(WAN)52�。這樣的聯(lián)網(wǎng)環(huán)境在辦公室�、企業(yè)范圍的計(jì)算機(jī)網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是普遍的����。
[0026]當(dāng)用于LAN聯(lián)網(wǎng)環(huán)境中時(shí),計(jì)算機(jī)20可通過(guò)網(wǎng)絡(luò)接口或適配器53連接到LAN 51�����。當(dāng)用于WAN聯(lián)網(wǎng)環(huán)境中時(shí)��,計(jì)算機(jī)20可通常包括調(diào)制解調(diào)器54���,或用于通過(guò)諸如因特網(wǎng)之類的廣域網(wǎng)52建立通信的其他手段?�?梢允莾?nèi)置的或外置的調(diào)制解調(diào)器54可通過(guò)串行端口接口 46連接到系統(tǒng)總線23����。在聯(lián)網(wǎng)環(huán)境中,相關(guān)于計(jì)算機(jī)20所示的程序模塊或其部分可被存儲(chǔ)在遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中。應(yīng)當(dāng)理解�����,所示的網(wǎng)絡(luò)連接是示例性的�����,并且可使用在計(jì)算機(jī)之間建立通信鏈路的其它手段�。
[0027]在其中計(jì)算機(jī)20被配置成在聯(lián)網(wǎng)環(huán)境中操作的實(shí)施例中,操作系統(tǒng)35被遠(yuǎn)程存儲(chǔ)在網(wǎng)絡(luò)上�,而計(jì)算機(jī)20可通過(guò)網(wǎng)絡(luò)啟動(dòng)這一遠(yuǎn)程存儲(chǔ)的操作系統(tǒng),而不是從本地存儲(chǔ)的操作系統(tǒng)中啟動(dòng)����。在一實(shí)施例中,計(jì)算機(jī)20包括瘦客戶機(jī)����,其中操作系統(tǒng)35少于完整的操作系統(tǒng),而是被配置成處理聯(lián)網(wǎng)以及諸如在監(jiān)視器47上顯示輸出的內(nèi)核��。
[0028]圖2描繪其中可實(shí)現(xiàn)在云計(jì)算平臺(tái)上建立SSO的各實(shí)施例的示例系統(tǒng)��。圖2中描繪的計(jì)算機(jī)可被實(shí)現(xiàn)在圖1的計(jì)算機(jī)20中�。SSO系統(tǒng)準(zhǔn)許用戶登錄一次,并且從那次登錄起,獲得對(duì)多個(gè)軟件系統(tǒng)的訪問(wèn)權(quán)��。在一示例SSO環(huán)境中��,用戶可最初被提示輸入憑證(諸如登錄名和口令)���,并且響應(yīng)于提供有效憑證�,用戶被授予票據(jù)授權(quán)票據(jù)(TGT�,諸如Kerberos票據(jù))。當(dāng)其它軟件系統(tǒng)要求登錄時(shí)�����,那些應(yīng)用查詢TGT以獲取服務(wù)票據(jù)��,該服務(wù)票據(jù)向那些軟件系統(tǒng)證明用戶的身份而無(wú)需用戶再次登錄���。在各版本微軟WINDOWS操作系統(tǒng)環(huán)境中,WINDOWS login(登錄)在用戶向WINDOWS login提供憑證之后取得TGT�����。隨后�,知曉ACTIVE DI RECTORY(活動(dòng)目錄)的應(yīng)用可查詢?cè)揟GT以查找服務(wù)票據(jù)。
[0029]如所描繪的,圖2的總體部分是云計(jì)算平臺(tái)204�����,其經(jīng)由全局網(wǎng)絡(luò)202連接到企業(yè)內(nèi)聯(lián)網(wǎng)218和計(jì)算機(jī)222兩者�,計(jì)算機(jī)222位于企業(yè)內(nèi)聯(lián)網(wǎng)218之外。計(jì)算機(jī)222不具有場(chǎng)所內(nèi)目錄服務(wù)���,而企業(yè)內(nèi)聯(lián)網(wǎng)218具有場(chǎng)所內(nèi)目錄服務(wù)一場(chǎng)所內(nèi)目錄服務(wù)212�。計(jì)算機(jī)22和企業(yè)內(nèi)聯(lián)網(wǎng)218可各自建立基于云的SS0�����。
[0030]云計(jì)算平臺(tái)(諸如微軟WINDOWS AZURE PLATFORM云計(jì)算平臺(tái))一般為一個(gè)或多個(gè)用戶提供計(jì)算資源作為服務(wù)(與物理產(chǎn)品相對(duì))�����。這類服務(wù)的示例是諸如在各版本微軟OFFICE 365中所提供的電子郵件服務(wù)�����、日歷服務(wù)����、聯(lián)系人服務(wù)�����、網(wǎng)頁(yè)托管服務(wù)��、文檔存儲(chǔ)和管理服務(wù)�、以及電子表格����、演示以及文檔查看和編輯服務(wù)。如此處所描繪的�,這些服務(wù)中的一個(gè)或多個(gè)可由云計(jì)算平臺(tái)204中的云服務(wù)220來(lái)提供。云計(jì)算平臺(tái)可被實(shí)施在計(jì)算機(jī)數(shù)據(jù)中心中����。這一平臺(tái)可包括用作平臺(tái)的外部聯(lián)絡(luò)點(diǎn)的一個(gè)或多個(gè)網(wǎng)關(guān)計(jì)算機(jī)、負(fù)載平衡計(jì)算機(jī)(其平衡平臺(tái)的各計(jì)算機(jī)之間的負(fù)載)����、以及虛擬機(jī)(VM)主控計(jì)算機(jī)(其主控在云計(jì)算平臺(tái)上執(zhí)行的VM)����。當(dāng)用戶訪問(wèn)云計(jì)算平臺(tái)時(shí),他或她可與VM中的一個(gè)或多個(gè)VM(該用戶的服務(wù)在其中被處理)交互��。這些VM可在VM主機(jī)之間遷移以優(yōu)化系統(tǒng)性能(諸如以平衡負(fù)載、或使一臺(tái)VM主機(jī)離線以供維護(hù))��。用戶可不知曉云計(jì)算平臺(tái)的具體實(shí)現(xiàn)方式����,取而代之地,用戶可知曉云計(jì)算平臺(tái)在這一未知系統(tǒng)架構(gòu)的頂層提供的那些服務(wù)�����。
[0031]首先要討論的是建立用于計(jì)算機(jī)222的基于云的SS0��,計(jì)算機(jī)222不具有場(chǎng)所內(nèi)的目錄服務(wù)�����。目錄服務(wù)可包括被用于認(rèn)證域內(nèi)的用戶和/或計(jì)算機(jī)的數(shù)據(jù)庫(kù)�。這一目錄服務(wù)的示例是微軟ACTIVE DIRECTORY目錄服務(wù)。如所描繪的�,計(jì)算機(jī)222不與企業(yè)內(nèi)聯(lián)網(wǎng)218相關(guān)聯(lián),并且因此��,建立用于企業(yè)內(nèi)聯(lián)網(wǎng)218的基于云的SSO不會(huì)建立用于計(jì)算機(jī)222的SSO0計(jì)算機(jī)222的用戶可通過(guò)全局網(wǎng)絡(luò)202 (諸如因特網(wǎng))連接到云計(jì)算平臺(tái)204�。如描繪的,云計(jì)算平臺(tái)204包括云目錄服務(wù)206��、聯(lián)合服務(wù)208、以及同步服務(wù)210�。云計(jì)算平臺(tái)204的這些服務(wù)被邏輯地描繪,并且可被實(shí)現(xiàn)在少于(或多于)三臺(tái)計(jì)算機(jī)上��。
[0032]計(jì)算機(jī)222的用戶可通過(guò)提供憑證(諸如登錄名和口令)來(lái)登錄到云計(jì)算平臺(tái)204�,云計(jì)算平臺(tái)204驗(yàn)證所提供的憑證。一旦經(jīng)驗(yàn)證���,可向計(jì)算機(jī)222呈現(xiàn)用于建立基于云的SSO的用戶界面���。這一用戶界面可以是例如計(jì)算機(jī)222在web瀏覽器中顯示的網(wǎng)頁(yè)的一部分。
[0033]用戶可將指示想要建立基于云的SSO以及要被用于建立SSO的域的標(biāo)識(shí)的數(shù)據(jù)輸入到用戶界面中�����。這一信息可被發(fā)送到云計(jì)算平臺(tái)204����。在一個(gè)實(shí)施例中,云計(jì)算平臺(tái)204確定計(jì)算機(jī)222所標(biāo)識(shí)的域是私有域(例如���,contos0.local ;私有域有時(shí)被稱為偽域)。在另一實(shí)施例中�,云計(jì)算平臺(tái)204確定計(jì)算機(jī)222所標(biāo)識(shí)的域是公共域(例如�����,contos0.com) ο
[0034]當(dāng)域是私有域時(shí)���,云計(jì)算平臺(tái)204可確定對(duì)于私有域的控制的證明不需要被提供。對(duì)于域的控制的證明不需要被提供可能是因?yàn)樽鳛樗接杏?,?duì)它的使用已經(jīng)被限于計(jì)算機(jī)222的內(nèi)聯(lián)網(wǎng)。
[0035]當(dāng)域?yàn)楣灿驎r(shí)�,云計(jì)算平臺(tái)204可建立關(guān)于計(jì)算機(jī)222的用戶具有對(duì)該公共域的控制的證明。這可通過(guò)云計(jì)算平臺(tái)生成并發(fā)送數(shù)據(jù)給計(jì)算機(jī)222來(lái)實(shí)現(xiàn)——例如�,數(shù)據(jù)可包括與計(jì)算機(jī)222提供的憑證相關(guān)聯(lián)的用戶標(biāo)識(shí)符(WD),UID具有在云計(jì)算平臺(tái)204上的各WD中的唯一值���。這一數(shù)據(jù)可被計(jì)算機(jī)222接收��,并隨后存儲(chǔ)在域上一已知的����、公共的位置(例如��,在域上的郵件交換機(jī)(MX)記錄中或者域TXT (文本)記錄中)����。在該數(shù)據(jù)被移動(dòng)到已知位置之后�����,計(jì)算機(jī)222可通知云計(jì)算平臺(tái)204這已經(jīng)發(fā)生�����。接著�����,云計(jì)算平臺(tái)204可獲取該存儲(chǔ)在已知的公共位置處的數(shù)據(jù)�,并且驗(yàn)證該數(shù)據(jù)與云計(jì)算平臺(tái)204發(fā)送給計(jì)算機(jī)202的數(shù)據(jù)相匹配�����。在其中已知的公共位置是web服務(wù)器的實(shí)施例中���,云計(jì)算平臺(tái)204可通過(guò)經(jīng)由超文本傳輸協(xié)議(HTTP)下載該數(shù)據(jù)來(lái)獲取該數(shù)據(jù)����。
[0036]在這些已描述的實(shí)施例中���,證明對(duì)域的控制可被視為證明將文件存儲(chǔ)在域上的已知的公共位置的能力��。
[0037]當(dāng)云計(jì)算平臺(tái)204已確定該域是私有域時(shí)��,或者確定該域是對(duì)其的控制已被證明的公共域時(shí)����,云計(jì)算平臺(tái)204可隨后建立用于該域的基于云的SSO功能���。建立其中沒(méi)有場(chǎng)所內(nèi)活動(dòng)目錄的基于云的SSO可包括設(shè)立聯(lián)合服務(wù)208和目錄服務(wù)206�。聯(lián)合服務(wù)可包括促進(jìn)跨軟件和組織邊界(例如��,跨執(zhí)行在云計(jì)算平臺(tái)上的多個(gè)軟件系統(tǒng))證明身份的計(jì)算機(jī)服務(wù)��。聯(lián)合服務(wù)可與目錄服務(wù)交互����,使得目錄服務(wù)最初認(rèn)證用戶,而聯(lián)合服務(wù)進(jìn)一步跨軟件或組織邊界認(rèn)證這一身份�。聯(lián)合服務(wù)可使用基于主張的認(rèn)證,藉此基于與受信任的令牌(諸如在用戶已向目錄服務(wù)認(rèn)證之后從目錄服務(wù)接收的令牌)內(nèi)包含的用戶的身份有關(guān)的一組主張來(lái)認(rèn)證用戶�。聯(lián)合服務(wù)的示例是微軟ACTIVE DIRECTORY FEDERAT1N SERVICE (ADFS)聯(lián)合服務(wù)。在建立了基于云的SSO之后��,計(jì)算機(jī)222以及計(jì)算機(jī)222為其建立SSO的域上的其它計(jì)算機(jī)可登錄,并且可經(jīng)由單一身份/SSO來(lái)訪問(wèn)云計(jì)算平臺(tái)204所提供的各個(gè)軟件系統(tǒng)�。
[0038]除了建立其中沒(méi)有場(chǎng)所內(nèi)目錄服務(wù)的基于云的SS0,圖2還描繪了可為其建立其中確實(shí)存在場(chǎng)所內(nèi)目錄服務(wù)的基于云的SSO的計(jì)算機(jī)��。如所描繪的�,企業(yè)內(nèi)聯(lián)網(wǎng)218具有場(chǎng)所內(nèi)目錄服務(wù)212(以及VPN端點(diǎn)214和計(jì)算機(jī)216)。場(chǎng)所內(nèi)目錄服務(wù)212可提供類似于云目錄服務(wù)206的功能:場(chǎng)所內(nèi)目錄服務(wù)212可驗(yàn)證用戶憑證以訪問(wèn)企業(yè)內(nèi)聯(lián)網(wǎng)218內(nèi)的計(jì)算機(jī)和軟件系統(tǒng)��。VPN端點(diǎn)214可用作為連接到企業(yè)內(nèi)聯(lián)網(wǎng)218的內(nèi)聯(lián)網(wǎng)以及全局網(wǎng)絡(luò)202兩者的通信點(diǎn)���。VPN端點(diǎn)214可將企業(yè)內(nèi)聯(lián)網(wǎng)218內(nèi)提供的功能提供給企業(yè)內(nèi)聯(lián)網(wǎng)218之外的已通過(guò)VPN端點(diǎn)214認(rèn)證的計(jì)算機(jī)�����。也就是說(shuō)���,已通過(guò)VPN端點(diǎn)214認(rèn)證的計(jì)算機(jī)可訪問(wèn)企業(yè)內(nèi)聯(lián)網(wǎng)218的服務(wù)和功能,就像那些計(jì)算機(jī)位于企業(yè)內(nèi)聯(lián)網(wǎng)218內(nèi)一樣�。
[0039]企業(yè)內(nèi)聯(lián)網(wǎng)的計(jì)算機(jī)216可與云計(jì)算平臺(tái)204通信以建立結(jié)合場(chǎng)所內(nèi)目錄服務(wù)212的基于云的SS0。驗(yàn)證憑證�����、標(biāo)識(shí)域����、以及設(shè)立目錄服務(wù)206和聯(lián)合服務(wù)208的操作可類似于針對(duì)其中沒(méi)有場(chǎng)所內(nèi)目錄服務(wù)的基于云的SSO來(lái)描述的那樣執(zhí)行�。在憑證已被驗(yàn)證并且域已被標(biāo)識(shí)(并且在公共域的情況下����,對(duì)公共域的控制已被證明)之后,建立具有場(chǎng)所內(nèi)目錄的基于云的SSO可與建立不具有場(chǎng)所內(nèi)目錄的基于云的SSO不同���,因?yàn)榍罢呖赡苌婕霸趫?chǎng)所內(nèi)目錄服務(wù)212和云目錄服務(wù)206之間復(fù)制數(shù)據(jù)兩者。
[0040]云計(jì)算平臺(tái)204可最初將數(shù)據(jù)從場(chǎng)所內(nèi)目錄服務(wù)212復(fù)制到云目錄服務(wù)206���。在這一最初復(fù)制之后�,云計(jì)算平臺(tái)204可通過(guò)設(shè)立同步服務(wù)210在場(chǎng)所內(nèi)目錄服務(wù)212和云目錄服務(wù)206之間復(fù)制數(shù)據(jù)���。同步服務(wù)210可執(zhí)行在云目錄服務(wù)206和場(chǎng)所內(nèi)目錄服務(wù)212之間復(fù)制數(shù)據(jù)的功能�。除了這一復(fù)制��,同步服務(wù)210還可執(zhí)行在場(chǎng)所內(nèi)目錄服務(wù)212和云服務(wù)220之間同步數(shù)據(jù)的功能���。云服務(wù)220可包括包含應(yīng)用(例如��,電子郵件)和身份基礎(chǔ)結(jié)構(gòu)的多承租人服務(wù)平臺(tái)——諸如多承租人目錄和身份服務(wù)�����。在各實(shí)施例中���,在云目錄服務(wù)206和場(chǎng)所內(nèi)目錄服務(wù)212之間復(fù)制數(shù)據(jù)的操作可經(jīng)由VPN連接224來(lái)進(jìn)行���。VPN連接224可被使用,因?yàn)檫@些操作使用一般不可用在因特網(wǎng)上的協(xié)議(諸如微軟ACTIVEDIRECTORY目錄服務(wù)的復(fù)制協(xié)議)��。在各實(shí)施例中�,在場(chǎng)所內(nèi)目錄服務(wù)212和云服務(wù)220之間同步數(shù)據(jù)的操作可經(jīng)由非VPN連接來(lái)進(jìn)行。非VPN連接可被使用�,因?yàn)橛糜谶@些操作的協(xié)議一般在因特網(wǎng)上可用(諸如通過(guò)公共web服務(wù)接口)。
[0041]除了設(shè)立同步服務(wù)210��,云計(jì)算平臺(tái)204還可提示計(jì)算機(jī)216提供可被用于訪問(wèn)企業(yè)內(nèi)聯(lián)網(wǎng)218和場(chǎng)所內(nèi)目錄服務(wù)212兩者的憑證��。這可以是可被用于訪問(wèn)企業(yè)內(nèi)聯(lián)網(wǎng)218和場(chǎng)所內(nèi)目錄服務(wù)212兩者的單個(gè)憑證����。
[0042]云計(jì)算平臺(tái)可使用被提供的憑證來(lái)建立與VPN端點(diǎn)的VPN連接224,并且使用這一連接以及該憑證來(lái)訪問(wèn)場(chǎng)所內(nèi)目錄服務(wù)206��。需要注意的是�����,在各實(shí)施例中,企業(yè)內(nèi)聯(lián)網(wǎng)218和云計(jì)算平臺(tái)204之間的某些通信可能發(fā)生在不是VPN連接的網(wǎng)絡(luò)連接上�����。于是���,同步服務(wù)210可在云目錄服務(wù)206和場(chǎng)所內(nèi)目錄服務(wù)212之間復(fù)制數(shù)據(jù)����。因此�,企業(yè)內(nèi)聯(lián)網(wǎng)218內(nèi)的場(chǎng)所內(nèi)目錄服務(wù)206所提供的SSO功能被擴(kuò)展到由云計(jì)算平臺(tái)204提供的云目錄服務(wù)206以及軟件系統(tǒng)�。
[0043]圖3描繪用于在云計(jì)算平臺(tái)上建立SSO的示例操作規(guī)程?��?梢岳斫?��,存在本發(fā)明的不實(shí)施圖3(或圖4 - 6)中描繪的全部操作的實(shí)施例,以及本發(fā)明的以與此處所描繪的不同的順序?qū)嵤﹫D3 (或圖4 一 6)中描繪的操作的實(shí)施例��。例如����,圖3的操作可被實(shí)施在圖2的云計(jì)算平臺(tái)204上���。
[0044]操作302描繪了驗(yàn)證用戶憑證。在一個(gè)實(shí)施例中�,這一用戶憑證可以是從計(jì)算機(jī)(諸如,計(jì)算機(jī)222或計(jì)算機(jī)216)接收的憑證�,并且因此,該操作可包括驗(yàn)證與計(jì)算機(jī)相關(guān)聯(lián)的用戶憑證����。
[0045]操作304描繪了接收要為其建立SSO的域的標(biāo)識(shí)。這一指示可從提供在操作302中所標(biāo)識(shí)的用戶憑證的計(jì)算機(jī)接收�����。例如���,云計(jì)算平臺(tái)204可經(jīng)由網(wǎng)頁(yè)向計(jì)算機(jī)216或計(jì)算機(jī)222提供用戶界面���,并且標(biāo)識(shí)要為其建立SSO的域的數(shù)據(jù)可被輸入該網(wǎng)頁(yè)��。
[0046]操作306描繪了配置云計(jì)算平臺(tái)以授權(quán)來(lái)自該域的用戶的登錄�。操作306可在用戶憑證已在操作302中被驗(yàn)證的情況下執(zhí)行���。操作306可包括在云計(jì)算平臺(tái)上為該域的用戶配置目錄服務(wù)和聯(lián)合服務(wù)。
[0047]操作308描繪了基于確定目錄服務(wù)授權(quán)與對(duì)域的計(jì)算機(jī)的登錄相關(guān)聯(lián)的憑證來(lái)授權(quán)該登錄���。在各實(shí)施例中����,操作308包括響應(yīng)于確定目錄服務(wù)授權(quán)與對(duì)另一計(jì)算機(jī)的登錄相關(guān)聯(lián)的憑證來(lái)授權(quán)該登錄�����。
[0048]操作310描繪了授權(quán)與該登錄相關(guān)聯(lián)的憑證訪問(wèn)云計(jì)算平臺(tái)上提供的軟件服務(wù)�����。操作310可響應(yīng)于確定目錄服務(wù)授權(quán)與該登錄相關(guān)聯(lián)的憑證來(lái)執(zhí)行��。
[0049]圖4描繪用于以公共域在云計(jì)算平臺(tái)上建立SSO的附加示例操作規(guī)程�����。在其中圖4的操作規(guī)程結(jié)合圖3的操作規(guī)程來(lái)執(zhí)行的實(shí)施例中��,圖4的操作規(guī)程(其可被用于確定請(qǐng)求者具有對(duì)正考慮的域的控制)可在操作306 (其中云計(jì)算平臺(tái)可被配置成授權(quán)來(lái)自域的登錄)之前實(shí)施��。
[0050]操作402描繪了確定域是公共域�。這可包括解析該提供域(例如,contos0.com)以確定該域包含可公開(kāi)使用的頂級(jí)域名(例如�����,.COM或.NET)(與例如私有的頂級(jí)域名如.LOCAL相對(duì))���。
[0051]操作404描繪了發(fā)送數(shù)據(jù)給計(jì)算機(jī)�����。操作404可響應(yīng)于確定域是公共域來(lái)執(zhí)行�。相反�����,當(dāng)確定該域是私有域時(shí)���,可實(shí)施圖5的操作規(guī)程����。數(shù)據(jù)可包括可被存儲(chǔ)在域中一已知的、可公共訪問(wèn)(或者可以其它方式通過(guò)使用提供給云計(jì)算平臺(tái)204的憑證來(lái)訪問(wèn))的位置的信息��。例如�,當(dāng)云計(jì)算平臺(tái)204維護(hù)用于云計(jì)算平臺(tái)204的每個(gè)用戶的用戶標(biāo)識(shí)符(UID)并且這些WD中存儲(chǔ)的值在UID之中是唯一的時(shí),云計(jì)算平臺(tái)204可將這一 UID作為數(shù)據(jù)發(fā)送給計(jì)算機(jī)��。響應(yīng)于接收到該數(shù)據(jù)�,計(jì)算機(jī)可隨后將該數(shù)據(jù)存儲(chǔ)在域內(nèi)一已知的、可公共訪問(wèn)的位置處���。
[0052]操作406描繪了確定該數(shù)據(jù)可在域中的已知位置處訪問(wèn)�����。在各實(shí)施例中�����,操作406包括確定數(shù)據(jù)存儲(chǔ)在域中的郵件交換機(jī)(MX)記錄內(nèi)��,或確定數(shù)據(jù)存儲(chǔ)在域中的域TXT記錄內(nèi)���。當(dāng)數(shù)據(jù)存儲(chǔ)在web服務(wù)器上時(shí)�,操作406可包括云計(jì)算平臺(tái)204作出獲取被存儲(chǔ)在該已知位置處的數(shù)據(jù)的超文本傳輸協(xié)議(HTTP)請(qǐng)求。隨后�����,云計(jì)算平臺(tái)204可將這一獲取的數(shù)據(jù)與其在操作404提供給計(jì)算機(jī)的數(shù)據(jù)作比較,并確定值是否匹配(這指示請(qǐng)求者具有訪問(wèn)取或?qū)υ撚虻目刂?或者值是否不同(這指示請(qǐng)求者未顯示足夠的訪問(wèn)權(quán)或?qū)τ虻目刂苼?lái)建立用于該域的基于云的SS0)����。
[0053]圖5描繪了用于以私有域在云計(jì)算平臺(tái)上建立SSO的附加示例操作規(guī)程。在其中圖5的操作規(guī)程結(jié)合圖3的操作規(guī)程來(lái)執(zhí)行的實(shí)施例中��,圖5的操作規(guī)程(其可被用于確定請(qǐng)求者具有對(duì)正考慮的域的控制)可在操作306 (其中云計(jì)算平臺(tái)可被配置成授權(quán)來(lái)自域的登錄)之前實(shí)施��。
[0054]操作502描繪了確定域是私有域�����。這可包括解析所提供的域(例如,contos0.com)以確定該域包含不可公開(kāi)使用的頂級(jí)域名(例如�����,.LOCAL)(與例如可公開(kāi)私有的頂級(jí)域名如.COM或NET相對(duì))���。
[0055]操作504描繪了確定對(duì)該域的控制不需要被證明����。當(dāng)域是私有域時(shí),對(duì)域的控制可根據(jù)該域是私有的這一屬性來(lái)推測(cè)——例如���,由于私有域?qū)τ谠撍接杏虼嬖谟谄渖系膬?nèi)聯(lián)網(wǎng)來(lái)說(shuō)是本地的�����,因此可推測(cè)到對(duì)它的控制���。因此,當(dāng)域是私有域時(shí)���,云計(jì)算平臺(tái)204可確定沒(méi)有額外的對(duì)域的控制的證明是必要的(諸如經(jīng)由圖4的操作規(guī)程)��,并且云計(jì)算平臺(tái)可隨后開(kāi)始配置云計(jì)算平臺(tái)以授權(quán)來(lái)自該私有域的用戶的登錄����。
[0056]圖6描繪了用于在其中沒(méi)有場(chǎng)所內(nèi)目錄的云計(jì)算平臺(tái)上建立SSO的附加示例操作規(guī)程����。在各實(shí)施例中,圖6的操作規(guī)程可被用于建立用于企業(yè)內(nèi)聯(lián)網(wǎng)218的云計(jì)算平臺(tái)204上的SS0��,企業(yè)內(nèi)聯(lián)網(wǎng)218具有場(chǎng)所內(nèi)目錄212����。
[0057]操作602描繪了確定域具有場(chǎng)所內(nèi)目錄服務(wù)。在各實(shí)施例中�,操作602可包括提示請(qǐng)求建立基于云的SSO的實(shí)體輸入對(duì)于該實(shí)體是否具有場(chǎng)所內(nèi)目錄服務(wù)的指示。例如��,當(dāng)云計(jì)算平臺(tái)204在網(wǎng)頁(yè)中向計(jì)算機(jī)216提供用戶界面時(shí)���,這一用戶界面還可包含被配置成允許對(duì)存在場(chǎng)所內(nèi)目錄的指示的用戶界面元素��。
[0058]操作604描繪了配置云計(jì)算平臺(tái)上的同步服務(wù)����。這一同步服務(wù)既可被用于在場(chǎng)所內(nèi)目錄服務(wù)和云計(jì)算平臺(tái)之間復(fù)制數(shù)據(jù)�,也可被用于在場(chǎng)所內(nèi)目錄服務(wù)和云計(jì)算平臺(tái)上的云服務(wù)之間同步數(shù)據(jù)。操作604可響應(yīng)于確定域具有場(chǎng)所內(nèi)目錄服務(wù)而執(zhí)行�。當(dāng)域不具有場(chǎng)所內(nèi)目錄服務(wù)時(shí),云計(jì)算平臺(tái)204可確定不結(jié)合建立基于云的SSO來(lái)配置同步服務(wù)����。
[0059]操作606描繪了接收對(duì)于虛擬專用網(wǎng)(VPN)端點(diǎn)的指示以及用于訪問(wèn)場(chǎng)所內(nèi)目錄服務(wù)的憑證。使用圖2的示例系統(tǒng)�,這一 VPN端點(diǎn)可以是VPN端點(diǎn)218。當(dāng)如操作602中��,云計(jì)算平臺(tái)204在網(wǎng)頁(yè)中向計(jì)算機(jī)216提供用戶界面時(shí),這一用戶界面還可包括被配置成用于輸入用于該VPN端點(diǎn)和場(chǎng)所內(nèi)目錄服務(wù)的憑證的用戶界面元素���。
[0060]操作608描繪了由云計(jì)算平臺(tái)使用該用于訪問(wèn)場(chǎng)所內(nèi)目錄服務(wù)的憑證來(lái)建立與VPN端點(diǎn)的VPN連接��。一旦VPN連接被建立���,同步服務(wù)210不僅可在場(chǎng)所內(nèi)目錄服務(wù)212和云目錄服務(wù)206之間復(fù)制數(shù)據(jù),也可在場(chǎng)所內(nèi)目錄服務(wù)212和云服務(wù)220之間同步數(shù)據(jù)�����,如操作610中所描繪的���。
[0061]從云計(jì)算平臺(tái)204到企業(yè)內(nèi)聯(lián)網(wǎng)218的這一 VPN連接的建立可被視為在與更典型的VPN連接相反方向上建立VPN連接����。在更典型的情景中����,計(jì)算機(jī)222可發(fā)起與企業(yè)內(nèi)聯(lián)網(wǎng)218的VPN連接以將企業(yè)內(nèi)聯(lián)網(wǎng)218提供的功能擴(kuò)展到計(jì)算機(jī)222。相反���,此處�����,云計(jì)算平臺(tái)204發(fā)起與企業(yè)內(nèi)聯(lián)網(wǎng)218的連接以將云計(jì)算平臺(tái)204提供的功能擴(kuò)展到企業(yè)內(nèi)聯(lián)網(wǎng)218����。換句話說(shuō)����,取代計(jì)算機(jī)222建立VPN連接來(lái)增加它從企業(yè)內(nèi)聯(lián)網(wǎng)218接收的功能,云計(jì)算平臺(tái)204建立VPN連接以增加提供給企業(yè)內(nèi)聯(lián)網(wǎng)218的功能(這一功能包括擴(kuò)展到由云計(jì)算平臺(tái)204所提供的軟件系統(tǒng)的基于云的SS0�����,其中需要用于該基于云的SSO的憑證)�����。
[0062]操作610描繪了使用同步服務(wù)在云計(jì)算平臺(tái)上的目錄服務(wù)和場(chǎng)所內(nèi)目錄服務(wù)之間復(fù)制數(shù)據(jù)�。當(dāng)數(shù)據(jù)在云目錄服務(wù)206或場(chǎng)所內(nèi)目錄服務(wù)212中的任意一者上被修改時(shí)(例如,在這些目錄服務(wù)中的一個(gè)上創(chuàng)建了一個(gè)新的用戶帳戶)��,同步服務(wù)210可監(jiān)視這些目錄服務(wù)上的修改�����,并且當(dāng)同步服務(wù)210檢測(cè)到這一修改時(shí),它可修改相應(yīng)地另一個(gè)目錄服務(wù)�,使得目錄服務(wù)206和場(chǎng)所內(nèi)目錄服務(wù)212包含相同的SSO信息。
[0063]盡管已經(jīng)結(jié)合各附圖所示的較佳方面描述了本發(fā)明����,但要理解,可使用其他相似方面或者可對(duì)所述方面進(jìn)行修改或添加來(lái)執(zhí)行本發(fā)明的相同功能而不脫離本發(fā)明�����。因此����,本發(fā)明不應(yīng)該僅限于任何單個(gè)方面,而是應(yīng)該在根據(jù)所附權(quán)利要求書(shū)的廣度和范圍內(nèi)解釋���。例如�����,本文描述的各種過(guò)程可用硬件或軟件�、或兩者的組合來(lái)實(shí)現(xiàn)���。本發(fā)明可以用計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和/或計(jì)算機(jī)可讀通信介質(zhì)來(lái)實(shí)現(xiàn)���。由此�����,本發(fā)明或其某些方面或部分可采用包含在諸如軟盤(pán)����、CD-ROM�����、硬盤(pán)驅(qū)動(dòng)器或任何其他機(jī)器可讀存儲(chǔ)介質(zhì)等有形介質(zhì)中的程序代碼(即�����,指令)的形式��。同樣�����,本發(fā)明或其某些方面或部分可實(shí)現(xiàn)在傳播信號(hào)中��,或任何其他機(jī)器可讀通信介質(zhì)�����。當(dāng)程序代碼被加載到諸如計(jì)算機(jī)等機(jī)器并由其執(zhí)行時(shí)����,該機(jī)器變?yōu)楸慌渲贸蓪?shí)施所公開(kāi)的各實(shí)施例的裝置。除了此處明確闡述的具體實(shí)現(xiàn)之外��,考慮此處所公開(kāi)的說(shuō)明書(shū)�����,其他方面和實(shí)現(xiàn)將對(duì)本領(lǐng)域的技術(shù)人員是顯而易見(jiàn)的����。說(shuō)明書(shū)和所示實(shí)現(xiàn)旨在僅被認(rèn)為是示例。
【權(quán)利要求】
1.一種用于在云計(jì)算平臺(tái)上建立單一身份的方法����,包括: 驗(yàn)證與計(jì)算機(jī)相關(guān)聯(lián)的用戶憑證; 從所述計(jì)算機(jī)接收對(duì)于要為其建立單一身份的域的標(biāo)識(shí)�����; 響應(yīng)于驗(yàn)證所述用戶憑證,配置所述云計(jì)算平臺(tái)上的目錄服務(wù)以供來(lái)自所述域的用戶的登錄����; 響應(yīng)于確定所述目錄服務(wù)授權(quán)與對(duì)另一計(jì)算機(jī)的登錄相關(guān)聯(lián)的憑證,確定準(zhǔn)許該登錄��;以及 響應(yīng)于確定所述目錄服務(wù)授權(quán)與用于訪問(wèn)在所述云計(jì)算平臺(tái)上提供的軟件服務(wù)的登錄相關(guān)聯(lián)的憑證�����,授權(quán)與該登錄相關(guān)聯(lián)的憑證�����。
2.如權(quán)利要求1所述的方法����,其特征在于���,還包括: 確定所述域具有場(chǎng)所內(nèi)目錄服務(wù)����; 響應(yīng)于確定所述域具有場(chǎng)所內(nèi)目錄服務(wù)��,配置所述云計(jì)算平臺(tái)上的同步服務(wù)以供在所述云計(jì)算平臺(tái)上的目錄服務(wù)和所述場(chǎng)所內(nèi)目錄服務(wù)之間復(fù)制數(shù)據(jù); 接收對(duì)于虛擬專用網(wǎng)(VPN)端點(diǎn)的指示以及用于訪問(wèn)所述場(chǎng)所內(nèi)目錄服務(wù)的憑證����; 由所述云計(jì)算平臺(tái)使用所述用于訪問(wèn)場(chǎng)所內(nèi)目錄服務(wù)的憑證來(lái)建立與所述VPN端點(diǎn)的VPN連接;以及 使用所述同步服務(wù)在所述云計(jì)算平臺(tái)上的目錄服務(wù)和所述場(chǎng)所內(nèi)目錄服務(wù)之間復(fù)制憑證數(shù)據(jù)���。
3.如權(quán)利要求1所述的方法�,其特征在于���,配置所述云計(jì)算平臺(tái)上的目錄服務(wù)以供來(lái)自所述域的用戶的登錄進(jìn)一步包括: 為所述域的用戶配置所述云計(jì)算平臺(tái)上的聯(lián)合服務(wù)���。
4.如權(quán)利要求1所述的方法,其特征在于���,配置所述云計(jì)算平臺(tái)上的目錄服務(wù)以供來(lái)自所述域的用戶的登錄包括: 確定所述域是公共域���; 響應(yīng)于確定所述域是公共域,發(fā)送數(shù)據(jù)給所述計(jì)算機(jī)���; 確定所述數(shù)據(jù)可在所述域中的已知位置處訪問(wèn)���。
5.如權(quán)利要求4所述的方法,其特征在于,確定所述數(shù)據(jù)可在所述域中的已知位置處訪問(wèn)包括: 確定所述數(shù)據(jù)被存儲(chǔ)在所述域中的郵件交換機(jī)(MX)記錄內(nèi)���。
6.如權(quán)利要求4所述的方法���,其特征在于,確定所述數(shù)據(jù)可在所述域中的已知位置處訪問(wèn)包括: 確定所述數(shù)據(jù)被存儲(chǔ)在所述域中的域TXT記錄(文本記錄)內(nèi)���。
7.如權(quán)利要求1所述的方法���,其特征在于,配置所述云計(jì)算平臺(tái)上的目錄服務(wù)以供來(lái)自所述域的用戶的登錄包括: 響應(yīng)于確定所述域是公共域����,確定對(duì)所述域的控制不需要被證明。
8.一種用于在云計(jì)算平臺(tái)上建立單一身份的系統(tǒng)�����,包括: 處理器�;以及 當(dāng)所述系統(tǒng)工作時(shí)通信地耦合到所述處理器的存儲(chǔ)器�,所述存儲(chǔ)器承載處理器可執(zhí)行指令,當(dāng)所述處理器可執(zhí)行指令在所述處理器上執(zhí)行時(shí)使得所述系統(tǒng)至少執(zhí)行以下操作: 驗(yàn)證與計(jì)算機(jī)相關(guān)聯(lián)的用戶憑證�����; 從所述計(jì)算機(jī)接收對(duì)于要為其建立單一身份的域的指示; 響應(yīng)于驗(yàn)證所述用戶憑證�,配置所述云計(jì)算平臺(tái)上的目錄服務(wù)以供來(lái)自所述域的用戶的登錄; 響應(yīng)于確定所述目錄服務(wù)授權(quán)與對(duì)另一計(jì)算機(jī)的登錄相關(guān)聯(lián)的憑證����,確定準(zhǔn)許該登錄;以及 響應(yīng)于確定所述目錄服務(wù)授權(quán)與用于訪問(wèn)在所述云計(jì)算平臺(tái)上提供的軟件服務(wù)的登錄相關(guān)聯(lián)的憑證���,授權(quán)與該登錄相關(guān)聯(lián)的憑證����。
9.如權(quán)利要求8所述的系統(tǒng)��,其特征在于����,所述存儲(chǔ)器還承載在所述處理器上執(zhí)行時(shí)使得所述系統(tǒng)至少執(zhí)行以下操作的處理器可執(zhí)行指令: 確定所述域具有場(chǎng)所內(nèi)目錄服務(wù); 響應(yīng)于確定所述域具有場(chǎng)所內(nèi)目錄服務(wù)����,配置所述云計(jì)算平臺(tái)上的同步服務(wù)以供在所述云計(jì)算平臺(tái)上的目錄服務(wù)和所述場(chǎng)所內(nèi)目錄服務(wù)之間復(fù)制數(shù)據(jù); 接收對(duì)于虛擬專用網(wǎng)(VPN)端點(diǎn)的指示以及用于訪問(wèn)所述場(chǎng)所內(nèi)目錄服務(wù)的憑證�����; 由所述云計(jì)算平臺(tái)使用所述用于訪問(wèn)場(chǎng)所內(nèi)目錄服務(wù)的憑證來(lái)建立與所述VPN端點(diǎn)的VPN連接;以及 使用所述同步服務(wù)在所述云計(jì)算平臺(tái)上的目錄服務(wù)和所述場(chǎng)所內(nèi)目錄服務(wù)之間復(fù)制憑證數(shù)據(jù)����。
10.如權(quán)利要求8所述的系統(tǒng),其特征在于����,在所述處理器上執(zhí)行時(shí)至少使得所述系統(tǒng)配置所述云計(jì)算平臺(tái)上的目錄服務(wù)以供來(lái)自所述域的用戶的登錄的指令還使所述系統(tǒng)至少執(zhí)行以下操作: 為所述域的用戶配置所述云計(jì)算平臺(tái)上的聯(lián)合服務(wù)。
【文檔編號(hào)】G06F21/31GK104205723SQ201380015627
【公開(kāi)日】2014年12月10日 申請(qǐng)日期:2013年2月28日 優(yōu)先權(quán)日:2012年3月20日
【發(fā)明者】D·韋爾斯, C·N·迪德庫(kù)克, G·錢(qián)德?tīng)? R·亞當(dāng)斯 申請(qǐng)人:微軟公司