用于运行时刻用户帐户创建操作的方法技术

本发明专利技术提供了一种支持联盟计算环境内交互的不同企业的计算机系统的方法、系统、设备和计算机程序产品。即便用户在启动单点登录操作前未在联盟伙伴处建立用户帐户，也可在联盟伙伴的计算系统处为用户启动联盟单点登录操作。例如，身份提供方在试图为用户获得对受控资源的访问时可启动在服务提供方处的单点登录操作。当服务提供方识别出对于允许通过身份提供方进行单点登录操作的用户它不具有链接用户帐户时，服务提供方创建本地用户帐户。服务提供方也可根据需要从身份提供方拉取用户属性，以执行用户帐户创建操作。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及改进型数据处理系统，特别是，涉及用于多计算机数 据传输的方法和设备。更具体来说，本专利技术涉及联网计算机系统。
技术介绍
企业通常希望在各种网络(包括因特网)上以用户友好方式对授 权用户提供对保护资源的安全访问。尽管提供安全认证机制减小了对 保护资源进行未授权访问的风险，但这些认证机制可能变成访问保护 资源的障碍。用户通常期望能够从与一个应用的交互转变到与另一应 用进行交互，而不涉及对支持这些应用的每个具体系统进行保护的认 证障碍。当用户变得更为老练时，他们期望计算机系统协调其动作，以便 减少用户的负担。用户可能设想， 一旦他或她经过了某些计算机系统 的认证，认证应在用户工作会话期间都有效，或者至少对特定时期有 效，而不涉及用户几乎看不到的各种计算机系体结构边界。企业通常 试图在其所部署系统的操作特性中满足这些期望，这不仅能宽慰用户， 而且能提高用户效率，而无论用户效率是涉及雇员生产力还是客户满 意度。更具体而言，利用许多应用具有可通过公共浏览器进行访问的Web用户界面的现有计算环境，用户期望具有更大程度的用户友好性， 以及较低或^艮少从一 个Web应用移到另一 We本文档来自技高网...

【技术保护点】
一种用于在分布式数据处理系统内管理用户认证的方法，其中，第一和第二系统在联盟计算环境内进行交互，且支持单点登录操作，以提供对保护资源的访问，所述方法包括：代表用户触发单点登录操作，以便获得对第二系统所托管的保护资源的访问，其中，第二 系统需要该用户的用户帐户以便在提供对保护资源的访问之前完成单点登录操作；在第二系统处从第一系统接收与用户相关联的标识符；以及在触发单点登录操作之后，但是当在第二系统处生成对访问保护资源的响应之前，至少部分地基于与用户相关联的 接收的标识符，在第二系统处为该用户创建用户帐户，其中，所创建的用户帐户代表用户支持第一系统与第二...

【技术特征摘要】
【国外来华专利技术】US 2005-4-1 11/097,5871.一种用于在分布式数据处理系统内管理用户认证的方法，其中，第一和第二系统在联盟计算环境内进行交互，且支持单点登录操作，以提供对保护资源的访问，所述方法包括代表用户触发单点登录操作，以便获得对第二系统所托管的保护资源的访问，其中，第二系统需要该用户的用户帐户以便在提供对保护资源的访问之前完成单点登录操作；在第二系统处从第一系统接收与用户相关联的标识符；以及在触发单点登录操作之后，但是当在第二系统处生成对访问保护资源的响应之前，至少部分地基于与用户相关联的接收的标识符，在第二系统处为该用户创建用户帐户，其中，所创建的用户帐户代表用户支持第一系统与第二系统之间的单点登录操作。2. 根据权利要求l的方法，还包括在触发单点登录操作之后，在第一系统处为该用户创建别名标识符。3. 根据权利要求1或2的方法，还包括从第二系统向第一系统发送消息，以将该用户的认证信息从第一 系统拉取到第二系统，以便在第二系统处为该用户触发单点登录操作。4. 根据前面任何权利要求的方法，还包括在第二系统处从第一 系统接收消息，以将该用户的认证信息从第 一系统推送到第二系统，以便在第二系统处为用户触发单点登录操作。5. 根据前面任何权利要求的方法，还包括 响应于在第二系统处确定第二系统不具有用于在第二系统处为用户完成用户帐户创建的足够用户属性信息，从第二系统向第一系统 发送用于检索用户属性信息的请求消息；以及在第二系统处，从第一系统接收包含有由第二系统使用以便在第 二系统处为用户完成用户帐户创建的用户属性信息的响应消息。6. 根据权利要求5的方法，还包括执行初步用户帐户创建操作，以便在检索该用户的用户属性信息之前开始该用户的用户帐户的创建；以及执行最后用户帐户创建操作，以便在检索用户的用户属性信息之 后完成用户的用户帐户的创建。7. 根据权利要求5或6的方法，还包括 由第一系统从第四系统检索用户属性信息。8. 根据前面任何权利要求的方法，其中，第一系统支持身份提 供方，第二系统支持服务提供方。9. 根据权利要求8的方法，还包括在接收与用户相关联的标识符之前，由服务提供方提示用户提供 或选择身份提供方的标识符。10. 根据先前任何权利要求的方法，还包括 响应于在第二系统处确定第二系统不具有用于在第二系统处为用户完成用户帐户创建的足够用户属性信息，向第四系统发送用于检 索用户属性信息的请求消息；以及在第二系统处，从第四系统接收包含有由第二系统使用以便在第 二系统处为用户完成用户帐户创建的用户属性信息的响应消息。11. 一种用于在数据处理系统内管理用户认证的设备，其中，第 一和第二系统在联盟计算环境内进行交互，且支持单点登录操作，以提供对保护资源的访问，所述设备...

【专利技术属性】
技术研发人员：希泽尔M辛顿，伊万M米尔曼，文卡特拉格哈万，沙恩B维登，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：US[美国]