公开了本发明专利技术的用于在云计算平台上建立单一身份/单点登录(SSO)的各实施例。在一个实施例中,用户向云计算平台验证,并且标识域。在确立该用户具有对该域的控制之后,云计算平台配置用于该域的目录服务。该用户可随后使用云计算平台上的该目录服务来登录到他或她的计算机以及主控在云计算平台上的软件服务。
【技术实现步骤摘要】
【国外来华专利技术】用于透明地主存在云中的组织的身份服务背景存在允许用户登录一次然后获得对多个软件系统的访问权的技术。也就是说,该用户获得对那些软件系统的每一个的访问权而无需登录到它们中的每一个。这些技术有时被称为“单点登录”(SSO)或者“单一身份”。然而,现有的SSO/单一身份技术存在许多问题,其中有些是众所周知的。概述实现SSO/单一身份的一个问题是必须被配置和安装的技术的量。为了实现SSO/单一身份,管理员必须能够配置并部署目录服务、联合服务、同步服务、域名服务(DNS)以及各操作系统。SSO/单一身份中存在的另一问题与云计算平台所提供的服务有关。这类服务的示例包括基于云的文档和文件管理服务(诸如微软OFFICE365SHAREPOINTONLINE)、或者电子邮件服务(诸如微软OFFICE365EXCHANGEONLINE)。即使管理员实施场所内目录(即实施在他或她的场所内,而不是实施在云计算平台上),该SSO/单一身份不会延伸到云。另外,当SSO实现在场所内时,系统必须具有很好的可靠性。如果SSO/单一身份不工作,则用户可能既无法登录场所内服务,也无法登录云服务。此处所描述的专利技术的主实施例用于SSO。可以理解的是,本专利技术可被用于以类似方式实施基于云的单一身份。本专利技术的实施例以将场所内和云SSO两者组合的方式为云中的服务提供SSO,并且提高了SSO的可靠性。本专利技术的实施例在其中没有场所内目录的云中实施SSO。通过诸如登录名和口令之类的凭证的使用来向云平台验证用户。用户随后标识他想要建立SSO的公共域,并且证明他具有对该域的控制。响应于此,实施例设立域控制器以及联合服务。经由SSO,域的用户随后既可登录到他们的计算机,又可访问云服务。本专利技术的第二实施例在其中没有场所内目录服务的云中实施SSO,并且其中用户想要建立用于私有域的SSO。在这一实施例中,可按类似于上述的为公共域建立SSO的方式来建立SSO。然而,用户可不被要求证明他具有对私有域的控制。本专利技术的第三实施例在其中没有场所内目录服务的云中实施SSO。在这一实施例中,可按类似于上述的为公共域建立SSO的方式来建立SSO。另外,用户提供凭证,以经由运行在场所内的虚拟专用网(VPN)来访问场所内域控制器。除了以上所执行的,实施例不仅将场所内域的数据复制到云域服务,还设立将在云域服务和场所内域服务之间复制数据、以及将数据从场所内域服务同步到由云计算平台主控的服务的同步服务。实施例还建立与场所内VPN端点的VPN连接,并且同步服务使用这一VPN连接来同步存储在云目录服务中的数据和存储在场所内目录服务中的数据。本专利技术的这些实施例可经由VPN或类似连接将私有云扩展到客户的场所内基础结构。从私有云到客户的场所内基础结构的这一扩展允许客户扩展其功能,而无需添加可见的基础结构——所添加的基础结构对客户来说是不可见的,客户仅仅看到添加的功能。如此,场所内基础结构可保持相对简单,但功能增加了。从这一意义上来说,云基础结构可被逻辑地分成两类——(1)促进对公共云服务(例如,电子邮件)的SSO/单一身份访问的场所内基础结构的基于云的扩展,(2)公共云服务(例如,电子邮件)。场所内基础结构的基于云的扩展可插入代表客户的私有云足迹。这一私有云足迹将场所内同步服务、联合服务、以及目录服务等基于云的服务扩展到场所内网络。附图简述图1描绘了其中可实现本专利技术的各实施例的示例计算机。图2描绘了其中可实现在云计算平台上建立SSO的各实施例的示例系统。图3描绘了用于在云计算平台上建立SSO的示例操作规程。图4描绘了用于以公共域在云计算平台上建立SSO的附加示例操作规程。图5描绘了用于以私有域在云计算平台上建立SSO的附加示例操作规程。图6描绘了用于在其中没有场所内目录的云计算平台上建立SSO的附加示例操作规程。说明性实施例的详细描述本专利技术的各实施例可以在一个或多个计算机系统上执行。图1及以下讨论旨在提供对其中可实现本专利技术的各实施例的合适计算环境的简要概括描述。图1描绘了示例通用计算系统。通用计算系统可包括常规计算机20等,计算机20包括处理单元21。处理单元21可包括一个或多个处理器,它们中的每一个可具有一个或多个处理核。多核处理器(作为通常被称为具有不止一个处理核的处理器)包括单个芯片封装内所包含的多个处理器。计算机20还可包括图形处理单元(GPU)90。GPU90是被优化以操纵计算机图形的专用微处理器。处理单元21可将工作卸载到GPU90。GPU90可以具有其自己的图形存储器,和/或可以访问系统存储器22的一部分。如处理单元21那样,GPU90可包括一个或多个处理单元,每一个都具有一个或多个核。计算机20还可包括系统存储器22和系统总线23,系统总线23在系统处于操作状态时将包括系统存储器22的各个系统组件通信地耦合至处理单元21。系统存储器22可包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统26(BIOS)被存储在ROM24中,该基本输入/输出系统26包含了诸如在启动期间帮助在计算机20内的元件之间传输信息的基本例程。系统总线23可以是若干类型的总线结构中的任一种,包括实现各种总线体系结构中的任一种的存储器总线或存储器控制器、外围总线、以及局部总线。耦合到系统总线23的可以是直接存储器存取(DMA)控制器80,该DMA控制器80被配置成独立于处理单元21从存储器读取和/或写入存储器。另外,连接到系统总线23(诸如存储驱动器接口32或磁盘驱动器接口33)的设备可被配置成也是独立于处理单元21从存储器读取和/或写入存储器,而无需使用DMA控制器80。计算机20还包括用于读写硬盘(未示出)或固态盘(SSD)(未示出)的存储驱动器27、用于读写可移动磁盘29的磁盘驱动器28,以及用于读写诸如CDROM或其他光学介质之类的可移动光盘31的光盘驱动器30。硬盘驱动器27、磁盘驱动器28和光盘驱动器30被示为分别通过硬盘驱动器接口32、磁盘驱动器接口33和光盘驱动器接口34来连接到系统总线23。驱动器及其相关联的计算机可读存储介质为计算机20提供了对计算机可读指令、数据结构、程序模块,及其他数据的非易失性存储。虽然这里描述的示例环境采用硬盘、可移动磁盘29和可移动光盘31,但本领域技术人员应理解,在该示例操作环境中也能使用可存储能由计算机访问的数据的其他类型的计算机可读介质,如闪存卡、数字视频盘、数字多功能盘((DVD)、随机存取存储器(RAM)、只读存储器(ROM)等。通常,这些计算机可读存储介质能够被用于一些实施例中来存储实现本公开的各方面的处理器可执行指令。计算机20也可包括主适配器55,其通过小型计算机系统接口(SCSI)总线56连接到存储设备62。包括计算机可读指令的若干程序模块可存储在诸如硬盘、磁盘29、光盘31、ROM24或RAM25之类的计算机可读介质上,包括操作系统35、一个或多个应用程序36、其他程序模块37、以及程序数据38。一旦由处理单元执行,计算机可读指令使得下文中更详细描述的动作被执行或使得各种程序模块被实例化。用户可以通过诸如键盘40和定点设备42之类的输入设备向计算机20中输入命令和信息。其他输入设备(未示出)可包括话筒、游戏杆、游本文档来自技高网...
【技术保护点】
一种用于在云计算平台上建立单一身份的方法,包括:验证与计算机相关联的用户凭证;从所述计算机接收对于要为其建立单一身份的域的标识;响应于验证所述用户凭证,配置所述云计算平台上的目录服务以供来自所述域的用户的登录;响应于确定所述目录服务授权与对另一计算机的登录相关联的凭证,确定准许该登录;以及响应于确定所述目录服务授权与用于访问在所述云计算平台上提供的软件服务的登录相关联的凭证,授权与该登录相关联的凭证。
【技术特征摘要】
【国外来华专利技术】2012.03.20 US 13/425,1431.一种用于在云计算平台上建立单一身份的方法,包括:验证与计算机相关联的用户凭证;从所述计算机接收对于要为其建立单一身份的域的标识;响应于验证所述用户凭证,配置所述云计算平台上的目录服务以供来自所述域的用户的登录,所述目录服务包括被用于认证所述域内的用户或计算机的数据库;响应于确定所述目录服务授权与对另一计算机的登录相关联的凭证,确定准许该登录;以及响应于确定所述目录服务授权与用于访问在所述云计算平台上提供的软件服务的登录相关联的凭证,授权与该登录相关联的凭证。2.如权利要求1所述的方法,其特征在于,还包括:确定所述域具有场所内目录服务;响应于确定所述域具有场所内目录服务,配置所述云计算平台上的同步服务以供在所述云计算平台上的目录服务和所述场所内目录服务之间复制数据;接收对于虚拟专用网VPN端点的指示以及用于访问所述场所内目录服务的凭证;由所述云计算平台使用所述用于访问场所内目录服务的凭证来建立与所述VPN端点的VPN连接;以及使用所述同步服务在所述云计算平台上的目录服务和所述场所内目录服务之间复制凭证数据。3.如权利要求1所述的方法,其特征在于,配置所述云计算平台上的目录服务以供来自所述域的用户的登录进一步包括:为所述域的用户配置所述云计算平台上的联合服务。4.如权利要求1所述的方法,其特征在于,配置所述云计算平台上的目录服务以供来自所述域的用户的登录包括:确定所述域是公共域;响应于确定所述域是公共域,发送数据给所述计算机;确定所述数据可在所述域中的已知位置处访问。5.如权利要求4所述的方法,其特征在于,确定所述数据可在所述域中的已知位置处访问包括:确定所述数据被存储在所述域中的邮件...
【专利技术属性】
技术研发人员:D·韦尔斯,C·N·迪德库克,G·钱德尔,R·亚当斯,
申请(专利权)人:微软公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。