各实施例提供在线计算环境的应用和/或资源访问控制特征,但不限于此。在一个实施例中,一种计算机实现的方法部分地基于使用与直接客户访问隔离且被部署在已定义数据中心体系结构中的多个目录服务实例为在线应用环境提供访问控制特征。在一种实施例中,作为向客户提供在线应用服务的特征的一部分,计算环境使用基于web的访问控制特征和具有组织单元和相应映射的多个目录服务实例来维护支持基础设施。包括且可获得其他实施例。
【技术实现步骤摘要】
【国外来华专利技术】使用横向扩展目录特征的在线服务访问控制背景提供公司范围内的协作环境的一种常见实践要求购买用于在用户或公司网络内本地安装和部署的有形软件产品。例如,公司可以部署公司范围内的网络体系结构以便控制用户对文件和资源的访问,部分依赖于公司防火墙资源和本地目录应用以便维持对该体系结构的访问许可。该目录可以被用来包含该系统的用户的集中式列表。例如,目录可以被用来为目录中的每一用户创建私有工作空间(我的站点)。当用户和网络组件的数量增加时,对依赖于所安装的产品的企业底线来说,维护安全和访问许可的任务可能是耗时和昂贵的。作为从旧模式的自然进化,当企业倾向于摆脱在已定义的网络内的应用和/或用户的往往低效和繁重的安装和管理时,越来越多地使用在线应用服务。把维护、更新和安全的重任留给分离的实体是有吸引力的选项。最终,必须具有某种适当的机制来确保对客户数据的访问限于经授权用户。例如,所托管的应用服务需要考虑服务品质、站点密度、安全、 和/或其他服务问题。与控制当前的和将来的客户对所托管的应用服务的访问相关联的复杂性与规模混合起来,且变得更难以维护。概述 提供本概述以便以简化形式介绍下面在详细描述中进一步描述的概念的选集。本概述不旨在标识所要求保护的本主题的关键特征或必要特征,也不预期用来帮助确定所要求保护的本主题的范围。各实施例提供在线计算环境的应用和/或资源访问控制特征,但不限于此。在一个实施例中,一种计算机实现的方法部分地基于与直接客户访问隔离且被部署在已定义数据中心体系结构中的多个目录服务实例的使用为在线应用环境提供访问控制特征。在一种实施例中,作为向客户提供在线应用服务的特征的一部分,计算环境使用基于web的访问控制特征和具有组织单元和相应映射的多个目录服务实例来维护支持基础设施。包括且可获得其他实施例。从下列详细描述的阅读和相关附图的回顾将明显看出这些和其他特征和优点。应理解,前述的一般描述和下列详细描述两者都仅是解释性的,且不限制所要求保护的本专利技术。附图简述图I是示例性计算环境的框图。图2是阐释示例性在线应用服务的各方面的流程图。图3是阐释控制对在线应用服务和/或资源的访问的示例性过程的流程图。图4是示例性网格网络环境的框图。图5是描绘在线服务应用环境的多个示例性组织单元的框图。图6是阐释用于实现在此描述的各种实施例的示例性计算环境的框图。详细描述图I是示例性计算环境100的框图,示例性计算环境100包括向环境100的经准许用户提供在线应用服务和/或资源的功能性。在一个实施例中,环境100包括使用多个目录服务实例102(l)-102(n)来管理和控制被递送给订阅客户和其他经授权用户的在线应用服务和/或资源的各方面,但不限于此。如下面所讨论的,部分地基于多个目录服务实例参数,订阅客户可以访问和使用包括在线服务网络的环境100的在线应用服务和/或资源。示例性在线服务网络可以包括在某种通信信道上进行通信的公共网络和私有网络,例如基于web的网络(例如,因特网)。客户可以订阅以便使用某些在线服务和/或资源,这些在线服务和/或资源例如可以包含多个主机、合作伙伴和站点集合。如图I中所示出和下面更详细地描述的,环境100包括声明提供程序组件或声明提供程序104、同步器组件或同步器106、与向包括客户系统112(l)-112(n)的多个实体提供服务和/或资源的在线服务体系结构110相关联的网格管理器组件或网格管理器108。 在一种实施例中,声明提供程序104、同步器106和网格管理器108被包括为对已定义的网格网络的组件可用的集中式资源中心的一部分。一个实施例的在线服务体系结构110包括在线应用资源114、在线应用服务116和包括处理、联网和/或存储器资源的其他资源/应用118。应明白,环境100可以包括附加的组件和配置。例如,每一网格网络可以包括被配置为服务于不同类型的客户的不同的服务器和/或组件拓扑。在各种实施例中,部分地基于不同的客户和目录服务实例102(l)_102(n)中包含的其他信息,体系结构110的全部或所选择的部分可以由客户和/或环境100的其他用户访问和使用。如下面所描述的,目录服务实例102(l)-102(n)可以由环境100的组件用作维护在线服务和/或资源并将其提供给包括任何经准许的雇员、合作伙伴和/或其他订户或用户的每一客户的一部分。例如,每一目录服务实例可以被用来部分地基于每一订阅客户的用户身份、安全许可、支持角色和/或关联组来控制对服务和/或资源的访问。作为提供在线服务和/或资源的一部分,一个实施例的环境100包括使用多个域控制器来控制对目录服务实例的访问并管理目录服务实例。分散在整个环境100中的域控制器可以被用来提供稳健的故障转移的在线服务和资源体系结构。在一种实施例中,环境 100把每一目录服务实例一起部署的多个域控制器用作服务于各种客户和/或区域的一部分,但不限于此。例如,作为使用目录服务实例102(l)-102(n)中的一个或多个来促进与客户账户的同步和其他服务的一部分,多个域控制器可以被部署在远程数据中心中(例如,物理托管位置)。作为改善授权查询和/或其他操作的性能的一部分,可以为每一目录服务实例部署附加的域控制器。根据一个实施例,声明提供程序104、同步器106和网格管理器108可以包括通过使用一个或多个目录服务实例(DSI)数据结构来向订阅客户提供在线服务来提供用户授权和访问、资源管理、合作伙伴和/或其他访问和使用特征的功能性。在一种实施例中,作为控制对网格网络的服务的访问的一部分,声明提供程序104被包括为web服务器角色的一部分,且操作为查询与DSI数据结构相关联的域控制器。一个实施例的环境100包括与每一 DSI数据结构相关联的多个域控制器(例如,两个、四个、六个等等)。在一种实施例中,可以部分地基于跟踪在线服务的性能特征的多种性能度量的检查来精简域控制器和DSI数据结构的数量。例如,性能度量可以部分地基于DSI数据结构中所包含的对象数量的函数跟踪具体的查询的操作。性能度量可以被用作部署附加的DSI数据结构和/或其他组件的一部分。可以部分地使用一个实施例的同步器106来用多个不同的客户的客户信息填充和维护每一 DSI数据结构。一种实施例的这样的填充操作部分地取决于每一 DSI数据结构要包含的已分配的对象数量。在一种实施例中,同步器106可以使用一定模式和数量的web 服务调用来填充和管理每一 DSI数据结构。一种实施例的同步器106使用下面描述的同步守护进程来检查给定客户的数据对象(例如,新的、更新、已删除等等),但不限于此。例如, 只要检测到或实现了客户改变(例如,公司信息已经改变、用户列表已经改变、组已经改变、 订阅和许可证改变等等),同步守护进程可以向可用的web服务组件发出查询以便定位具体的DSI数据结构。所查询的web服务可以操作为向同步守护进程提供关联DSI数据结构的名称,并被同步器106用作同步操作的一部分。在一种实施例中,唯一 GUID可以由同步器 106用作每一客户的标识符,且被包含在关联DSI数据结构中以便标识关联组织单元数据结构。同步器106可以使用各种DSI数据结构的多个组织单元120 (I)-120 (η)来维护在线服务的完整性,诸如例如保本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.06.22 US 12/821,1031.一种方法,包括使用包括多个服务计算机的网格网络体系结构;创建多个目录服务实例,所述目录服务实例为请求所述服务计算机的服务的各组客户定义访问特权,每一目录服务实例独立于其他目录服务实例,且包括一个或多个组织单元, 其中,每一组织单元与不同的客户相关联;用被用来控制对所述服务计算机的服务的访问的客户数据填充每一组织单元;以及把所述目录服务实例存储在计算机可读存储中。2.如权利要求I所述的方法,其特征在于,进一步包括接收对访问数据中心的访问请求,包括使用每一请求的域信息来标识对应于发起所述请求的用户的目录服务实例的组织单元。3.如权利要求I所述的方法,其特征在于,进一步包括结合包括对应于专用服务场的在线资源和服务账户的域使用所述目录服务实例。4.如权利要求I所述的方法,其特征在于,进一步包括为每一目录服务实例创建组织单元,每一组织单元包括一个或多个经授权用户、已授权组和已授权外来原则对象(FP0)。5.如权利要求4所述的方法,其特征在于,进一步包括把每一数据实例的组织单元创建成包括在...
【专利技术属性】
技术研发人员:M·奥泽维斯基,J·卢克,A·I·霍普曼,F·C·B·多罗萨里奥,D·P·H·戈尔贝特,J·M·加希尔,
申请(专利权)人:微软公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。