專利名稱:使用橫向擴(kuò)展目錄特征的在線服務(wù)訪問控制的制作方法
使用橫向擴(kuò)展目錄特征的在線服務(wù)訪問控制
背景
提供公司范圍內(nèi)的協(xié)作環(huán)境的一種常見實踐要求購買用于在用戶或公司網(wǎng)絡(luò)內(nèi)本地安裝和部署的有形軟件產(chǎn)品。例如,公司可以部署公司范圍內(nèi)的網(wǎng)絡(luò)體系結(jié)構(gòu)以便控制用戶對文件和資源的訪問,部分依賴于公司防火墻資源和本地目錄應(yīng)用以便維持對該體系結(jié)構(gòu)的訪問許可。該目錄可以被用來包含該系統(tǒng)的用戶的集中式列表。例如,目錄可以被用來為目錄中的每一用戶創(chuàng)建私有工作空間(我的站點(diǎn))。當(dāng)用戶和網(wǎng)絡(luò)組件的數(shù)量增加時,對依賴于所安裝的產(chǎn)品的企業(yè)底線來說,維護(hù)安全和訪問許可的任務(wù)可能是耗時和昂貴的。
作為從舊模式的自然進(jìn)化,當(dāng)企業(yè)傾向于擺脫在已定義的網(wǎng)絡(luò)內(nèi)的應(yīng)用和/或用戶的往往低效和繁重的安裝和管理時,越來越多地使用在線應(yīng)用服務(wù)。把維護(hù)、更新和安全的重任留給分離的實體是有吸引力的選項。最終,必須具有某種適當(dāng)?shù)臋C(jī)制來確保對客戶數(shù)據(jù)的訪問限于經(jīng)授權(quán)用戶。例如,所托管的應(yīng)用服務(wù)需要考慮服務(wù)品質(zhì)、站點(diǎn)密度、安全、 和/或其他服務(wù)問題。與控制當(dāng)前的和將來的客戶對所托管的應(yīng)用服務(wù)的訪問相關(guān)聯(lián)的復(fù)雜性與規(guī)?;旌掀饋?,且變得更難以維護(hù)。
概述
提供本概述以便以簡化形式介紹下面在詳細(xì)描述中進(jìn)一步描述的概念的選集。本概述不旨在標(biāo)識所要求保護(hù)的本主題的關(guān)鍵特征或必要特征,也不預(yù)期用來幫助確定所要求保護(hù)的本主題的范圍。
各實施例提供在線計算環(huán)境的應(yīng)用和/或資源訪問控制特征,但不限于此。在一個實施例中,一種計算機(jī)實現(xiàn)的方法部分地基于與直接客戶訪問隔離且被部署在已定義數(shù)據(jù)中心體系結(jié)構(gòu)中的多個目錄服務(wù)實例的使用為在線應(yīng)用環(huán)境提供訪問控制特征。在一種實施例中,作為向客戶提供在線應(yīng)用服務(wù)的特征的一部分,計算環(huán)境使用基于web的訪問控制特征和具有組織單元和相應(yīng)映射的多個目錄服務(wù)實例來維護(hù)支持基礎(chǔ)設(shè)施。包括且可獲得其他實施例。
從下列詳細(xì)描述的閱讀和相關(guān)附圖的回顧將明顯看出這些和其他特征和優(yōu)點(diǎn)。應(yīng)理解,前述的一般描述和下列詳細(xì)描述兩者都僅是解釋性的,且不限制所要求保護(hù)的本發(fā)明。
附圖簡述
圖I是示例性計算環(huán)境的框圖。
圖2是闡釋示例性在線應(yīng)用服務(wù)的各方面的流程圖。
圖3是闡釋控制對在線應(yīng)用服務(wù)和/或資源的訪問的示例性過程的流程圖。
圖4是示例性網(wǎng)格網(wǎng)絡(luò)環(huán)境的框圖。
圖5是描繪在線服務(wù)應(yīng)用環(huán)境的多個示例性組織單元的框圖。
圖6是闡釋用于實現(xiàn)在此描述的各種實施例的示例性計算環(huán)境的框圖。
詳細(xì)描述
圖I是示例性計算環(huán)境100的框圖,示例性計算環(huán)境100包括向環(huán)境100的經(jīng)準(zhǔn)許用戶提供在線應(yīng)用服務(wù)和/或資源的功能性。在一個實施例中,環(huán)境100包括使用多個目錄服務(wù)實例102(l)-102(n)來管理和控制被遞送給訂閱客戶和其他經(jīng)授權(quán)用戶的在線應(yīng)用服務(wù)和/或資源的各方面,但不限于此。如下面所討論的,部分地基于多個目錄服務(wù)實例參數(shù),訂閱客戶可以訪問和使用包括在線服務(wù)網(wǎng)絡(luò)的環(huán)境100的在線應(yīng)用服務(wù)和/或資源。示例性在線服務(wù)網(wǎng)絡(luò)可以包括在某種通信信道上進(jìn)行通信的公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò),例如基于web的網(wǎng)絡(luò)(例如,因特網(wǎng))??蛻艨梢杂嗛喴员闶褂媚承┰诰€服務(wù)和/或資源,這些在線服務(wù)和/或資源例如可以包含多個主機(jī)、合作伙伴和站點(diǎn)集合。
如圖I中所示出和下面更詳細(xì)地描述的,環(huán)境100包括聲明提供程序組件或聲明提供程序104、同步器組件或同步器106、與向包括客戶系統(tǒng)112(l)-112(n)的多個實體提供服務(wù)和/或資源的在線服務(wù)體系結(jié)構(gòu)110相關(guān)聯(lián)的網(wǎng)格管理器組件或網(wǎng)格管理器108。 在一種實施例中,聲明提供程序104、同步器106和網(wǎng)格管理器108被包括為對已定義的網(wǎng)格網(wǎng)絡(luò)的組件可用的集中式資源中心的一部分。一個實施例的在線服務(wù)體系結(jié)構(gòu)110包括在線應(yīng)用資源114、在線應(yīng)用服務(wù)116和包括處理、聯(lián)網(wǎng)和/或存儲器資源的其他資源/應(yīng)用118。應(yīng)明白,環(huán)境100可以包括附加的組件和配置。例如,每一網(wǎng)格網(wǎng)絡(luò)可以包括被配置為服務(wù)于不同類型的客戶的不同的服務(wù)器和/或組件拓?fù)洹?br>
在各種實施例中,部分地基于不同的客戶和目錄服務(wù)實例102(l)_102(n)中包含的其他信息,體系結(jié)構(gòu)110的全部或所選擇的部分可以由客戶和/或環(huán)境100的其他用戶訪問和使用。如下面所描述的,目錄服務(wù)實例102(l)-102(n)可以由環(huán)境100的組件用作維護(hù)在線服務(wù)和/或資源并將其提供給包括任何經(jīng)準(zhǔn)許的雇員、合作伙伴和/或其他訂戶或用戶的每一客戶的一部分。例如,每一目錄服務(wù)實例可以被用來部分地基于每一訂閱客戶的用戶身份、安全許可、支持角色和/或關(guān)聯(lián)組來控制對服務(wù)和/或資源的訪問。
作為提供在線服務(wù)和/或資源的一部分,一個實施例的環(huán)境100包括使用多個域控制器來控制對目錄服務(wù)實例的訪問并管理目錄服務(wù)實例。分散在整個環(huán)境100中的域控制器可以被用來提供穩(wěn)健的故障轉(zhuǎn)移的在線服務(wù)和資源體系結(jié)構(gòu)。在一種實施例中,環(huán)境 100把每一目錄服務(wù)實例一起部署的多個域控制器用作服務(wù)于各種客戶和/或區(qū)域的一部分,但不限于此。例如,作為使用目錄服務(wù)實例102(l)-102(n)中的一個或多個來促進(jìn)與客戶賬戶的同步和其他服務(wù)的一部分,多個域控制器可以被部署在遠(yuǎn)程數(shù)據(jù)中心中(例如,物理托管位置)。作為改善授權(quán)查詢和/或其他操作的性能的一部分,可以為每一目錄服務(wù)實例部署附加的域控制器。
根據(jù)一個實施例,聲明提供程序104、同步器106和網(wǎng)格管理器108可以包括通過使用一個或多個目錄服務(wù)實例(DSI)數(shù)據(jù)結(jié)構(gòu)來向訂閱客戶提供在線服務(wù)來提供用戶授權(quán)和訪問、資源管理、合作伙伴和/或其他訪問和使用特征的功能性。在一種實施例中,作為控制對網(wǎng)格網(wǎng)絡(luò)的服務(wù)的訪問的一部分,聲明提供程序104被包括為web服務(wù)器角色的一部分,且操作為查詢與DSI數(shù)據(jù)結(jié)構(gòu)相關(guān)聯(lián)的域控制器。一個實施例的環(huán)境100包括與每一 DSI數(shù)據(jù)結(jié)構(gòu)相關(guān)聯(lián)的多個域控制器(例如,兩個、四個、六個等等)。在一種實施例中,可以部分地基于跟蹤在線服務(wù)的性能特征的多種性能度量的檢查來精簡域控制器和DSI數(shù)據(jù)結(jié)構(gòu)的數(shù)量。例如,性能度量可以部分地基于DSI數(shù)據(jù)結(jié)構(gòu)中所包含的對象數(shù)量的函數(shù)跟蹤具體的查詢的操作。性能度量可以被用作部署附加的DSI數(shù)據(jù)結(jié)構(gòu)和/或其他組件的一部分。
可以部分地使用一個實施例的同步器106來用多個不同的客戶的客戶信息填充和維護(hù)每一 DSI數(shù)據(jù)結(jié)構(gòu)。一種實施例的這樣的填充操作部分地取決于每一 DSI數(shù)據(jù)結(jié)構(gòu)要包含的已分配的對象數(shù)量。在一種實施例中,同步器106可以使用一定模式和數(shù)量的web 服務(wù)調(diào)用來填充和管理每一 DSI數(shù)據(jù)結(jié)構(gòu)。一種實施例的同步器106使用下面描述的同步守護(hù)進(jìn)程來檢查給定客戶的數(shù)據(jù)對象(例如,新的、更新、已刪除等等),但不限于此。例如, 只要檢測到或?qū)崿F(xiàn)了客戶改變(例如,公司信息已經(jīng)改變、用戶列表已經(jīng)改變、組已經(jīng)改變、 訂閱和許可證改變等等),同步守護(hù)進(jìn)程可以向可用的web服務(wù)組件發(fā)出查詢以便定位具體的DSI數(shù)據(jù)結(jié)構(gòu)。所查詢的web服務(wù)可以操作為向同步守護(hù)進(jìn)程提供關(guān)聯(lián)DSI數(shù)據(jù)結(jié)構(gòu)的名稱,并被同步器106用作同步操作的一部分。在一種實施例中,唯一 GUID可以由同步器 106用作每一客戶的標(biāo)識符,且被包含在關(guān)聯(lián)DSI數(shù)據(jù)結(jié)構(gòu)中以便標(biāo)識關(guān)聯(lián)組織單元數(shù)據(jù)結(jié)構(gòu)。
同步器106可以使用各種DSI數(shù)據(jù)結(jié)構(gòu)的多個組織單元120 (I)-120 (η)來維護(hù)在線服務(wù)的完整性,諸如例如保持在線服務(wù)賬戶最新,其中,可以用不同的在線服務(wù)客戶、合作伙伴、成員和/或其他用戶的信息填充每一組織單元。例如,每一組織單元可以被用來表示給定客戶的客戶訂閱細(xì)節(jié),包括經(jīng)準(zhǔn)許的客戶用戶、服務(wù)和/或資源的訪問和/或安全組、外聯(lián)網(wǎng)用戶和/或外來原則對象(FP0)。
在一個實施例中,F(xiàn)PO可以被用來表示非雇員用戶或某種客戶的許可組。在一種實施例中,一個或多個FPO可 以被包含在第一公司的組織單元中,其中,F(xiàn)PO映射參數(shù)指向可以被包括或可以不被包括在相同的網(wǎng)格網(wǎng)絡(luò)中的一個或多個不同的組織單元的另一用戶對象、組和/或目錄服務(wù)實例。例如,F(xiàn)PO可以在第一公司的組織單元中被實例化為被包含在第二客戶的組織單元數(shù)據(jù)結(jié)構(gòu)內(nèi)的管理員代理組的虛擬表示。相應(yīng)地,可以以與把許可給予各組客戶組織單元相似的方式為客戶組織單元的非雇員和非外聯(lián)網(wǎng)用戶定義許可。 例如,由于FPO對象被包括為有對站點(diǎn)集合的訪問權(quán)的經(jīng)授權(quán)安全組的成員(例如,管理員組、專用訪問組等等),與組FPO相關(guān)聯(lián)的用戶獲得對所有者的站點(diǎn)集合的訪問權(quán)。
繼續(xù)參見
圖1,一個實施例的網(wǎng)格管理器108作為環(huán)境100的網(wǎng)格網(wǎng)絡(luò)的中央控制中心或管理組件操作。一種實施例的網(wǎng)格管理器108充當(dāng)一個或多個關(guān)聯(lián)網(wǎng)格網(wǎng)絡(luò)的web 服務(wù)主機(jī)。例如,網(wǎng)格管理器108托管多種web服務(wù),這些服務(wù)用來定位服務(wù)器、創(chuàng)建新的客戶對象、定位目錄服務(wù)實例和/或提供其他服務(wù)或功能。網(wǎng)格管理器108可以為擁有某種站點(diǎn)集合或站點(diǎn)集合的集合的訂閱客戶保存到具體的DSI數(shù)據(jù)結(jié)構(gòu)的定位和/或映射。
出于各種原因,可以由網(wǎng)格管理器108把一種實施例的DSI數(shù)據(jù)結(jié)構(gòu)添加到環(huán)境 100。在一些情況中,由于現(xiàn)有的DSI數(shù)據(jù)結(jié)構(gòu)不具有包含給定量的客戶信息的容量,基于新雇員或組的增加的對附加服務(wù)的客戶請求可以要求增加新的DSI數(shù)據(jù)結(jié)構(gòu)以便充當(dāng)該客戶請求的容器。一旦某種容器閾值、查詢滯后或?qū)π阅軜?gòu)成負(fù)面影響的其他問題發(fā)生,網(wǎng)格管理器108也可以管理網(wǎng)格網(wǎng)絡(luò)的各方面。一種實施例的網(wǎng)格管理器108明確地跟蹤(例如,使用映射)每一 DSI數(shù)據(jù)結(jié)構(gòu)(包括新的和重新放置的DSI數(shù)據(jù)結(jié)構(gòu))的位置。
聲明提供程序104可以使用由網(wǎng)格管理器108提供的信息來為每一新請求查詢相應(yīng)的DSI數(shù)據(jù)結(jié)構(gòu)。例如,作為響應(yīng)請求的一部分,聲明提供程序104可以使用與站點(diǎn)集合相關(guān)聯(lián)的元數(shù)據(jù)來為所請求的集合所有者標(biāo)識DSI數(shù)據(jù)結(jié)構(gòu)的名稱,以便部分地基于所標(biāo)識名稱進(jìn)行查詢。在一種實施例中,每一 DSI數(shù)據(jù)結(jié)構(gòu)可以被用來包括多個訂閱客戶(包括競爭對手公司、合作伙伴、可信的和/或非可信的成員)的客戶信息,該客戶信息可以被用來為給定用戶提供某些在線服務(wù)和/或資源。在一種實施例中,用標(biāo)識可以呼叫以便解決任何服務(wù)問題的支持合作伙伴(例如,F(xiàn)P0)的支持組填充DSI數(shù)據(jù)結(jié)構(gòu)。
作為提供在線服務(wù)特征的一個示例,DSI數(shù)據(jù)結(jié)構(gòu)可以由聲明提供程序104用來判斷某一請求的用戶是不是訂閱具體的應(yīng)用服務(wù)或資源的客戶的成員。聲明提供程序104 可以使得訪問或拒絕訪問部分地以判斷該請求是否由使用相應(yīng)的DSI數(shù)據(jù)結(jié)構(gòu)的客戶的經(jīng)準(zhǔn)許成員發(fā)出為基礎(chǔ)。例如,DSI數(shù)據(jù)結(jié)構(gòu)可以由聲明提供程序104引用或使用來拒絕近來已經(jīng)降級或從各自的公司或合作伙伴公司停職的用戶的訪問。在這樣的示例場景中, DSI數(shù)據(jù)結(jié)構(gòu)可以被用來斷開或脫離被鏈接到客戶資源內(nèi)部公司訪問控制列表,該列表可能仍然包含對已斷開或近來未經(jīng)授權(quán)的用戶的“允許”許可。因此,不依賴于底層客戶系統(tǒng)是否具有對用戶的“允許”許可,DSI數(shù)據(jù)結(jié)構(gòu)啟用在對哪些用戶可以或不可以訪問在線服務(wù)站點(diǎn)集合的資源的明確控制。
在一個實施例中,環(huán)境100的組件也可以把一個或多個DSI數(shù)據(jù)結(jié)構(gòu)用作為在線數(shù)據(jù)中心提供資源管理模型的一部分。一種實施例的DSI數(shù)據(jù)結(jié)構(gòu)可以被用作使用分配給每一各自訂閱客戶的在線存儲資源來通信和/或存儲數(shù)據(jù)的一部分??蛻艨梢赃x擇在任何具體訪問的整個生命周期中實例化附加的資產(chǎn)并使用對在線服務(wù)或資源的訂閱。在一種實施例中,可以由客戶創(chuàng)建和/或使用的任何最大量的資產(chǎn)部分地基于特定的訂閱和/或使用類型。
在使用網(wǎng)格管理器組件108把新的客戶資產(chǎn)添加到現(xiàn)有的DSI數(shù)據(jù)結(jié)構(gòu)時,一種實施例的聲明提供程序104可以使用DSI數(shù)據(jù)結(jié)構(gòu)來判斷客戶是否具有所允許的總存儲的任何剩余存儲。例如,部分地基于訂閱類型,在客戶嘗試創(chuàng)建新的資產(chǎn)時,在允許或阻止訂閱客戶創(chuàng)建附加的資產(chǎn)之前,可以由聲明提供程序104檢查DSI數(shù)據(jù)結(jié)構(gòu)以判斷剩余容量和當(dāng)前使用的量。
環(huán)境100的組件也可以被用來允許客戶構(gòu)建圍繞“支持”其他客戶的企業(yè)模型。例如,可以給予第一客戶對由在由DSI數(shù)據(jù)結(jié)構(gòu)的參數(shù)定義的合伙關(guān)系之外沒有已定義關(guān)系的不同客戶擁有的資產(chǎn)(例如,用于提供某些服務(wù)和/或資源的在線站點(diǎn)集合)的管理員許可。在一種實施例中,與第一客戶相關(guān)聯(lián)的第一組織單元120(1)可以包括到與第二客戶相關(guān)聯(lián)的第二組織單元120 (η)的用戶和用戶組的指針或映射。相應(yīng)地,DSI數(shù)據(jù)結(jié)構(gòu)可以被用來判斷一個客戶的具體用戶是不是另一客戶或客戶合作伙伴的經(jīng)授權(quán)用戶或支持者。
在一個示例性環(huán)境100中,各組件可以被配置為操作為使用控制對各種在線資源的訪問的一個或多個DSI數(shù)據(jù)結(jié)構(gòu)(包括使用分布于整個網(wǎng)格網(wǎng)絡(luò)的計算資源)來向客戶、 支持合作伙伴和/或其他可信用戶提供在線服務(wù)和/或資源??梢允褂每蛻粼S可數(shù)據(jù)和其他信息來用對應(yīng)于一個或多個DSI數(shù)據(jù)結(jié)構(gòu)的客戶的信息填充組織單元??梢杂糜脩袅斜怼⒔M列表、分布列表、外聯(lián)網(wǎng)用戶、FP0、訂閱和/或其他客戶信息填充一個實施例的每一組織單元。
在一種實施例中,作為實現(xiàn)針對環(huán)境100的訂閱用戶的訪問控制特征的一部分, 組織單元和/或目錄服務(wù)實例映射可以被用來發(fā)現(xiàn)和定位與用戶訪問請求相關(guān)聯(lián)的許可。 作為控制對資源和/或服務(wù)的訪問以便由此借助于雇員、合作伙伴、和/或其他經(jīng)授權(quán)或未經(jīng)授權(quán)的關(guān)聯(lián)者的增加或離開來維護(hù)訪問控制的一部分,可以傳輸原始的、新的和/或經(jīng)修改的客戶信息并將其用來填充一個或多個DSI數(shù)據(jù)結(jié)構(gòu)的每一組織單元。例如,可以用經(jīng)準(zhǔn)許的用戶和經(jīng)準(zhǔn)許的訪問類型填充大型企業(yè)的DSI數(shù)據(jù)結(jié)構(gòu)的組織單元。對于這樣的示例,許可可以部分地基于把服務(wù)器場的專用網(wǎng)格網(wǎng)絡(luò)用作向企業(yè)雇員、支持提供程序和/ 其他已定義用戶提供虛擬的應(yīng)用資源的一部分的訂閱類型和/或安全類型或組。
環(huán)境100的組件可以把DSI數(shù)據(jù)結(jié)構(gòu)用作提供對地理上分散的數(shù)據(jù)中心的安全訪問的一部分,包括應(yīng)對服務(wù)斷供期、資源配額和/或選擇客戶;使用所要求的順應(yīng)性策略和防病毒簽名以及高級配置設(shè)置和所要求的安全更新;基于訂閱和/或服務(wù)級協(xié)議的資產(chǎn)分配和可用性;管理員和其他經(jīng)允許用戶管理選擇在線服務(wù)的網(wǎng)站可用性;以及使用同步器 106和已定義的信任級別把客戶場所內(nèi)(on-premises)(例如,本地的)目錄服務(wù)應(yīng)用與在線服務(wù)目錄同步起來。
作為用客戶數(shù)據(jù)和訪問特權(quán)填充DSI數(shù)據(jù)結(jié)構(gòu)的一部分,一種實施例的同步器 106操作為把客戶系統(tǒng)112(l)-112(n)中的一個或多個的信息與在線服務(wù)目錄組件同步起來。在一種實施例中,可以用包括經(jīng)授權(quán)用戶、訪問級別、訂閱參數(shù)、服務(wù)協(xié)議訪問限制等等的客戶信息填充每一 DSI數(shù)據(jù)結(jié)構(gòu)。作為獨(dú)立地控制對在線服務(wù)和/或資源的訪問的一部分,DSI數(shù)據(jù)結(jié)構(gòu)可以在物理上和/或邏輯上與彼此以及客戶系統(tǒng)隔離,或者通信上與彼此以及客戶系統(tǒng)解耦。盡管以上描述了某種數(shù)量和類型的組件,但應(yīng)明白,根據(jù)各種實施例, 可以包括其他數(shù)量和/或類型。因此,根據(jù)所期望的實現(xiàn),組件功能性可以進(jìn)一步分割,和 /或與其他組件功能性組合。
圖2是闡釋可以被用來提供包括訪問控制和訂閱維護(hù)服務(wù)但不限于此的在線應(yīng)用服務(wù)和/或資源的示例性·過程200的流程圖。盡管為圖2的示例性流程描述了某種數(shù)量和順序的操作,但應(yīng)明白,可以根據(jù)所期望的實現(xiàn)使用其他數(shù)量和/或順序。在202,作為提供在線數(shù)據(jù)中心的一部分,通過創(chuàng)建包括組織單元和部分地被用來描繪不同的訂閱客戶的其他數(shù)據(jù)結(jié)構(gòu)的一個或多個DSI數(shù)據(jù)結(jié)構(gòu),一個實施例的過程200可以被用來部署服務(wù)和聯(lián)網(wǎng)體系結(jié)構(gòu)。在一種實施例中,在202,過程200包括在每一 DSI數(shù)據(jù)結(jié)構(gòu)的創(chuàng)建期間支持在線應(yīng)用服務(wù)和資源的服務(wù)器場和其他組件的部署和/或使用。
一種實施例的過程200采用包括用于自動地創(chuàng)建新的DSI數(shù)據(jù)結(jié)構(gòu)的應(yīng)用代碼的部署腳本的使用,包括確保適當(dāng)?shù)嘏渲梅?wù)器、設(shè)定許可并且準(zhǔn)備好使用DSI數(shù)據(jù)結(jié)構(gòu)。例如,過程200可以被用來部署位于分離的洲的分離網(wǎng)格網(wǎng)絡(luò),這些分離網(wǎng)格網(wǎng)絡(luò)采用了使用對應(yīng)于部分地被用來向作為示例諸如大型企業(yè)、中等企業(yè)和小型企業(yè)以及個體用戶等的相應(yīng)用戶提供在線服務(wù)和/或資源的在線站點(diǎn)集合的不同的目錄服務(wù)實例。在一些實施例中,站點(diǎn)集合(例如,服務(wù)器場)的組件可以由網(wǎng)格網(wǎng)絡(luò)的服務(wù)組件和其他組件共享或分布式地使用。
在一種實施例中,過程200包括其中客戶訂閱某一種或多種期望的在線特征(包括定義可以呼叫的所選擇的支持和其他合作伙伴)的訂閱階段,作為維護(hù)向請求的用戶傳遞服務(wù)和/或資源的一部分。訂閱客戶可以在訂閱階段期間以及在訂閱階段之后為各自的組織單元數(shù)據(jù)結(jié)構(gòu)中的人群定義諸如每一雇員、安全組、支持實體、合作伙伴、FP0、分布列表和其他經(jīng)準(zhǔn)許用戶的訪問特權(quán)等的信息。在一個實施例中,F(xiàn)PO可以被配置成映射到為其他客戶提供支持服務(wù)的另一租戶的專用類型的租戶對象。部分地基于關(guān)聯(lián)DSI數(shù)據(jù)結(jié)構(gòu)的拓?fù)?,可以對于每一用戶或組控制不同的許可級別。
作為示例,作為向具有不同的訂閱類型的不同的客戶提供在線服務(wù)和/或資源的一部分,一旦已創(chuàng)建,DSI數(shù)據(jù)結(jié)構(gòu)就可以被用來控制對網(wǎng)格網(wǎng)絡(luò)的服務(wù)器場的訪問,所述網(wǎng)格網(wǎng)絡(luò)的服務(wù)器場被配置為形成服務(wù)器邏輯場,包括各種服務(wù)器角色(例如,web前端、后端、內(nèi)容、通信、應(yīng)用等等)的一組虛擬機(jī)。應(yīng)明白,部分地取決于在線服務(wù)網(wǎng)絡(luò)和關(guān)聯(lián)客戶的規(guī)模,每一網(wǎng)格網(wǎng)絡(luò)可以包括多個服務(wù)器場??蛻艨梢詣?chuàng)建自定義的在線服務(wù)拓?fù)洌▌?chuàng)建外聯(lián)網(wǎng)站點(diǎn)集合以及把來自不同的命名空間的關(guān)聯(lián)用戶指派成外聯(lián)網(wǎng)用戶。
在204,用對應(yīng)于每一訂戶的訂閱定義的信息填充相應(yīng)的DSI數(shù)據(jù)結(jié)構(gòu)的每一組織單元。例如,可以用客戶標(biāo)識信息、雇員數(shù)據(jù)、組和/或FPO填充每一組織單元。在一種實施例中,定義可以部分地基于訂閱類型、服務(wù)的級別或許可協(xié)議以及與每一客戶相關(guān)聯(lián)的當(dāng)前分配閾值。在示例性同步操作期間,過程200可以操作為從合作伙伴系統(tǒng)拉出客戶數(shù)據(jù)(例如,用戶名稱、電子郵件地址、聯(lián)系人信息、組、訂閱信息、許可證信息等等)、把已提取的數(shù)據(jù)推送到與每一 DSI數(shù)據(jù)結(jié)構(gòu)相關(guān)聯(lián)的計算系統(tǒng)(例如,專用的服務(wù)平臺)。根據(jù)用戶偏好和/或定義,也可以作為DSI數(shù)據(jù)結(jié)構(gòu)的一部分而填充外聯(lián)網(wǎng)用戶。
在206,過程200接收可以影響訂戶服務(wù)和/或資源的可訪問性的更新或修改請求。例如,部分地基于訂閱或許可證類型,如果客戶配額還沒有達(dá)到某種已定義閾值,則同步守護(hù)進(jìn)程可以被用來用原始的、新的、經(jīng)修改的和/或其他的客戶信息填充目錄服務(wù)實例。應(yīng)明白,對任何具體的網(wǎng)格網(wǎng)絡(luò)的更新可以包括對每一客戶的企業(yè)模型和/或基礎(chǔ)設(shè)施做出的有時連續(xù)的改變,這潛在地影響關(guān)聯(lián)目錄服務(wù)實例。例如,公司改變可·以影響雇員、合作伙伴和外聯(lián)網(wǎng)訪問特權(quán),例如新雇員特權(quán)、撤銷合作伙伴特權(quán)、終止許可證協(xié)議等坐寸ο
在208,如果與請求相關(guān)聯(lián)的DSI數(shù)據(jù)結(jié)構(gòu)接近某種容量或其他閾值,則一種實施例的過程200可以操作為創(chuàng)建一個或多個新的DSI數(shù)據(jù)結(jié)構(gòu)。例如,技術(shù)規(guī)模限制和其他因素可以限制每一數(shù)據(jù)源實例可以有效地包含的對象的數(shù)量。在一種實施例中,客戶可以獲得的對象的數(shù)量可以部分地基于適當(dāng)?shù)臄U(kuò)展訂閱或許可證。如果客戶不具有適當(dāng)?shù)臄U(kuò)展訂閱或許可證,則在210,過程200可以操作為拒絕該請求。在一種實施例中,拒絕服務(wù)可以包括升級到不同的訂閱類型或許可證的請求。
作為說明性的示例,過程200可以被用來同步訂閱選擇在線應(yīng)用和/或支持服務(wù)的新的客戶或租戶的信息。例如,部分地基于服務(wù)位置和/或標(biāo)識按照所定義的和/或每一客戶所自定義的服務(wù)和訪問的級別的訂閱協(xié)議的類型,可以把新的客戶添加到服務(wù)實例中所包含的客戶池。部分地取決于有針對性的服務(wù)實例的服務(wù)實例狀態(tài)(例如,停用狀態(tài)、 接近容量、3/4滿、1/2滿等等),過程200可以在現(xiàn)有的服務(wù)實例中創(chuàng)建新的租戶或創(chuàng)建用于包含附加的租戶對象的新的服務(wù)實例。在一種實施例中,該服務(wù)實例的同步守護(hù)進(jìn)程收集新的租戶信息并查詢網(wǎng)格管理器以便把目錄服務(wù)實例或?qū)嵗现概山o租戶,包括存儲用于將來的引用和使用的映射參數(shù)。同步守護(hù)進(jìn)程可以使用網(wǎng)格管理器響應(yīng)來創(chuàng)建租戶并把租戶對象寫到關(guān)聯(lián)目錄服務(wù)實例。
作為另一說明性示例,過程200可以被用來同步在線服務(wù)的現(xiàn)有租戶消費(fèi)資源的更新。例如,具有對在線站點(diǎn)集合的訪問權(quán)的租戶公司可以雇傭具有不同的信任級別的新雇員、解雇雇員或收購其他公司。對于這一示例,作為更新操作的一部分,同步守護(hù)進(jìn)程抓取具體的服務(wù)實例的租戶的所有更新(例如,弗吉尼亞數(shù)據(jù)中心與倫敦數(shù)據(jù)中心相比較)。對于每一租戶,同步守護(hù)進(jìn)程查詢網(wǎng)格管理器以便標(biāo)識其中維持了租戶信息的目錄服務(wù)實例或集合。在一種實施例中,網(wǎng)格管理器維護(hù)在租戶和目錄服務(wù)實例之間的全局映射。同步守護(hù)進(jìn)程可以使用由網(wǎng)格管理器提供的全局映射信息來同步對正確的目錄服務(wù)實例的任何更新。
作為又一說明性的示例,在同步守護(hù)進(jìn)程初始化期間,過程200可以被用作發(fā)現(xiàn)目錄服務(wù)實例拓?fù)涞囊徊糠?。例如,同步守護(hù)進(jìn)程例如在初始化期間可以發(fā)現(xiàn)存在于給定網(wǎng)格網(wǎng)絡(luò)的目錄服務(wù)實例的列表,該列表標(biāo)識專用于各自的目錄服務(wù)實例的同步操作的域控制器的名稱。在一種實施例中,同步守護(hù)進(jìn)程可以選擇第一域控制器作為“向其寫入的” 域控制器并選擇第二域控制作為“從中讀取的”域控制器??梢垣@得其他實施例。
圖3是闡釋控制對在線應(yīng)用服務(wù)和/或資源的訪問的示例性過程300的流程圖。 例如,過程300可以把多個目錄服務(wù)實例用作控制對在線站點(diǎn)集合的訪問一部分。盡管對圖3的示例性流描述了特定數(shù)量和順序的操作,但應(yīng)明白,根據(jù)所期望的實現(xiàn)可以使用其他數(shù)量和/或順序。在302,接收到請求訪問在線服務(wù)和/或資源的訪問請求。例如,作為在線應(yīng)用服務(wù)的一部分,用戶可能正在使用智能電話來嘗試訪問由第三方管理的在線公司資源。
在一種實施例中,作為控制對所訂閱的在線服務(wù)和/或資源的訪問的一部分,一個或多個web前端組件處理到來的請求。一種實施例的過程300可以操作為在允許訪問之前判斷經(jīng)授權(quán)用戶的類型(例如,雇員、外聯(lián)網(wǎng)用戶、FPO用戶等等)。例如,一旦成功向由用戶雇主或合作伙伴擁有的在線站點(diǎn)集合認(rèn)證,在線服務(wù)認(rèn)證器(例如,LiveID服務(wù))就可以生成包括用戶標(biāo)識符(例如,從用戶電子郵件地址提取的域)的服務(wù)令牌。服務(wù)令牌參數(shù)可以部分地用來標(biāo)識與請求的用戶相關(guān)聯(lián)的目錄服務(wù)實例和/或組織單元。
在304,可以使用所接收的訪問請求的信息來為雇員用戶或外聯(lián)網(wǎng)用戶生成服務(wù)集合令牌。在一種實施例中,被包括為web前端拓?fù)涞囊徊糠值穆暶魈峁┏绦蚪M件可以操作為使用用任何組聲明來擴(kuò)充的請求的用戶電子郵件地址(例如,usericompanyA)的全部或某些部分來構(gòu)建服務(wù)集合令牌。在一種實施例中,聲明提供程序組件使用在包含雇主組織單元信息的目錄服務(wù)實例內(nèi)的用戶的標(biāo)識符(例如,PUID, GUID等等)來定位關(guān)聯(lián)用戶對象。一旦已定位,聲明提供程序組件可以操作為用來自已定位組織單元的安全組的聲明擴(kuò)充關(guān)聯(lián)服務(wù)集合令牌,包括維護(hù)到具體的用戶的組織單元的映射。
在一種實施例中,作為處理訪問請求的一部分,web前端組件可以標(biāo)識給定站點(diǎn)集合的訂閱ID,并把訂閱ID解析成擁有該站點(diǎn)集合的租戶的組織單元的組織單元區(qū)別名稱 (0UDN)。作為示例,用戶可以借助于包含用戶主要名稱(UPN)和唯一用戶ID (例如,通行證唯一 ID (PUID))的有效現(xiàn)場令牌導(dǎo)航到站點(diǎn)集合,且web前端組件可以把PWD、UPN和/ 或OUDN傳送到聲明提供程序組件以供響應(yīng)于訪問請求進(jìn)一步處理。
在306,一個實施例的聲明提供程序組件可以操作為例如部分地基于所接收的訪問請求為諸如非雇員合作伙伴等的外來用戶生成服務(wù)令牌。例如,聲明提供程序可以操作為給已授權(quán)合作伙伴用戶(例如,OU(I)-OU(5))構(gòu)建服務(wù)令牌以便訪問由某一在線服務(wù)訂戶(例如,OU(N))擁有的站點(diǎn)集合。在一種實施例中,作為令牌生成的一部分,聲明提供程序組件操作為請求到包含具體的組織單元的目錄服務(wù)實例的目錄連接,以便用任何組聲明為外來的用戶訪問請求擴(kuò)充服務(wù)令牌(例如,使用外來的PUID)。
作為從用戶對象讀取屬性(例如,tokenGroups)的一部分,一個實施例的聲明提供程序組件可以發(fā)送查詢(例如,輕量級目錄訪問協(xié)議(LDAP)查詢)以便為PUID的用戶對象搜索具體的組織單元。在一種實施例中,屬性可以被配置為包含用戶所屬于的所有組(包括所有級別的嵌套組)的安全標(biāo)識符(SID)的列表。聲明提供程序組件可以把組聲明添加到每一 SID的服務(wù)令牌。在一種實施例中,聲明提供程序組件包括帶有訪問一個或多個站點(diǎn)集合的任何已認(rèn)證資源所要求的服務(wù)令牌的基礎(chǔ)訪問聲明,用匹配合作伙伴角色的組聲明擴(kuò)充服務(wù)令牌。
在一種實施例中,過程300可以確定經(jīng)授權(quán)為訪問某種訂閱客戶的資源的合作伙伴代理類型或合作伙伴代理。一種實施例的合作伙伴代理要求客戶與關(guān)聯(lián)合作伙伴具有契約。例如,契約對象可以被用來包含對加入契約的兩個組織和被準(zhǔn)許在契約下動作的合作伙伴代理角色的列表的上下文的引用。當(dāng)創(chuàng)建契約對象時,一個或多個FPO可以被用來填充客戶組織單元。
一種實施例的客戶組織單元內(nèi)的每一 FPO包含對合作伙伴租戶和在代表客戶工作時代理可以采用的支持代理角色(例如,管理員或幫助臺)的引用。例如,支持代理角色判斷代理是否可以充當(dāng)任何客戶的管理員或幫助臺。在一種實施例中,F(xiàn)PO對象可以包括契約對象,該契約對象包含對所允許的合作伙伴代理角色在獲得對客戶的站點(diǎn)集合的訪問之前需要匹配的合作伙伴組織的引用。對于這一示例,被指派給合作伙伴上下文中的代理的合作伙伴代理角色應(yīng)匹配FPO中的代理角色,F(xiàn)PO被包含在包括具有合作伙伴上下文中的匹配契約對象的客戶組織單元中。
作為另一示例,作為嘗試訪問屬于A公司的應(yīng)用站點(diǎn)集合的一部分,假設(shè)支持用戶適當(dāng)?shù)卣J(rèn)證。web前端組件從支持用戶的計算設(shè)備或系統(tǒng)接收包含作為服務(wù)ID (例如, LiveID)的一部分的該用戶的F1UID和UPN (例如,userOsupport. com)請求。聲明提供程序組件可以通過調(diào)用網(wǎng)格管理器來把用戶UPN的域部分(例如support, com)解析成目錄服務(wù)實例名稱和OU特異名稱(OUDN)來定位目錄服務(wù)實例和包含支持用戶記錄的組織單元。 然后,聲明提供程序組件可以通過在目錄服務(wù)實例中搜索已標(biāo)識0U,基于其PUID來定位支持用戶對象。聲明提供程序組件可以構(gòu)建用任何組聲明擴(kuò)充的支持用戶的服務(wù)令牌。如上所述,支持用戶的FPO可以在A公司OU中被實例化,且被映射到屬于支持實體或租戶的 OU0聲明提供程序組件可以確證,支持用戶持有對應(yīng)于某種支持契約的合作伙伴代理角色, 用在公司A中指派合作伙伴代理角色的來自A公司OU的安全組的聲明擴(kuò)充服務(wù)令牌。在 308,經(jīng)準(zhǔn)許用戶可以訪問在線服務(wù)和/或資源??梢垣@得其他實施例。
圖4是示例性網(wǎng)格網(wǎng)絡(luò)環(huán)境400的框圖。例如,網(wǎng)格網(wǎng)絡(luò)環(huán)境400可以被配置為使用多種服務(wù)器場體系結(jié)構(gòu)來向通信客戶機(jī)提供應(yīng)用和其他服務(wù)。服務(wù)器場可以包括具有滿足解決方案目標(biāo)所要求的各種關(guān)系、相互關(guān)系和分離的任何數(shù)量的物理和虛擬組件。在一種實施例中,例如,作為向客戶提供在線服務(wù)的一部分,可以使用諸如因特網(wǎng)等的計算網(wǎng)絡(luò)來訪問一個或多個服務(wù)器場的資源/服務(wù)。在一種實施例中,例如,作為在因特網(wǎng)或某種其他通信路徑或網(wǎng)絡(luò)上提供在線服務(wù)的一部分,網(wǎng)格網(wǎng)絡(luò)環(huán)境400包括多個目錄服務(wù)實例,目錄服務(wù)實例包括多個客戶的信息。
應(yīng)明白,環(huán)境400可以包括其他組件,這些其他組件包括附加的網(wǎng)格網(wǎng)絡(luò)和關(guān)聯(lián)目錄服務(wù)實例。在一種實施例中,網(wǎng)格網(wǎng)絡(luò)環(huán)境400可以被用作提供具有多個網(wǎng)格網(wǎng)絡(luò)的在線數(shù)據(jù)中心的一部分。網(wǎng)格網(wǎng)絡(luò)可以被配置為服務(wù)于某種已定義客戶人口。例如,不同的網(wǎng)格網(wǎng)絡(luò)可以被配置和部署為服務(wù)于北美、亞洲和歐洲地區(qū),包括使用目錄服務(wù)實例來管理每一區(qū)域的客戶和其他經(jīng)授權(quán)用戶的訪問控制。網(wǎng)格網(wǎng)絡(luò)可以被配置成一組處理、存儲器和應(yīng)用資源,應(yīng)用資源例如包括具有快速網(wǎng)絡(luò)連接和低時延的通信耦合。
如所示出的,圖4的示例性網(wǎng)格網(wǎng)絡(luò)環(huán)境400包括第一數(shù)據(jù)中心404、第二數(shù)據(jù)中心406和第三數(shù)據(jù)中心407。對于這一示例,數(shù)據(jù)中心404包括目錄服務(wù)實例(DSI )408,目錄服務(wù)實例(DSI)408包括通信上耦合到聯(lián)合管理環(huán)境412的四個域控制器(共同地表示為 410)和服務(wù)于網(wǎng)格網(wǎng)絡(luò)400的資源域414。在一種實施例中,全局實例可以被用來表不包括單域目錄森林的聯(lián)合管理環(huán)境412。作為示例,聯(lián)合管理環(huán)境域可以被配置為包含由服務(wù)場使用的所有物理機(jī)器(例如,虛擬機(jī)主機(jī))、虛擬機(jī)和服務(wù)賬戶。
部分地取決于包括物理、邏輯和其他拓?fù)浼s束的部署考慮,示例性在線服務(wù)網(wǎng)絡(luò)可以包括多個網(wǎng)格網(wǎng)絡(luò)。示例性網(wǎng)格網(wǎng)絡(luò)可以被配置為例如部分地用來向訂閱和已授權(quán)客戶提供應(yīng)用和其他在線服務(wù)的、具有低時延和高吞吐量網(wǎng)絡(luò)連接性的一組網(wǎng)格服務(wù)器和網(wǎng)絡(luò)設(shè)備。一種實施例的每一網(wǎng)格網(wǎng)絡(luò)包含聯(lián)合管理環(huán)境目錄412 (例如,活動目錄應(yīng)用)的副本、多個服務(wù)器/應(yīng)用場和/或表示包括合作伙伴和外聯(lián)網(wǎng)用 戶在內(nèi)的訂閱客戶和/或經(jīng)準(zhǔn)許用戶的多個客戶對象。例如,每一網(wǎng)格網(wǎng)絡(luò)可以被部署為包含提供在線應(yīng)用服務(wù)的多組服務(wù)器計算機(jī),和在某些服務(wù)器計算機(jī)當(dāng)中分布的客戶森林,其中,客戶森林可以包括訂閱、合作伙伴許可以及與訂閱至少一個在線服務(wù)的每一客戶相關(guān)聯(lián)的其他信息。
數(shù)據(jù)中心406包括目錄服務(wù)實例416和目錄服務(wù)實例420,目錄服務(wù)實例416包括關(guān)聯(lián)域控制器418,目錄服務(wù)實例420包括關(guān)聯(lián)域控制器422。數(shù)據(jù)中心407包括目錄服務(wù)實例424,426和428,它們包括各自的域控制器430,432和434。如所示出的,數(shù)據(jù)中心 406和407的DSI也通信上耦合到服務(wù)于網(wǎng)格網(wǎng)絡(luò)400的聯(lián)合管理環(huán)境412和資源域414。 圖4描繪了在網(wǎng)格網(wǎng)絡(luò)環(huán)境400的組件之間的多個示例性信任關(guān)系。在一種實施例中,目錄服務(wù)實例是相互獨(dú)立,且不借助于信任關(guān)系鏈接。
在一個實施例中,資源域414通信上與每一目錄服務(wù)實例(例如,在部署中定義)耦合起來,且包括操作上與每一目錄服務(wù)實例的各自的域控制器聯(lián)合使用的網(wǎng)格管理器、同步守護(hù)進(jìn)程和/或提供程序守護(hù)進(jìn)程。在一種實施例中,資源域414包括網(wǎng)格網(wǎng)絡(luò)的所有機(jī)器(物理和虛擬)、角色、和/或賬戶,排除目錄服務(wù)域控制器。在部署目錄服務(wù)實例之前, 資源域414的每一組件可以帶外部署。一種實施例的帶外部署包括建立實際的實例以及與聯(lián)合管理環(huán)境組件412的信任關(guān)系、創(chuàng)建將訪問所部署的目錄服務(wù)實例的服務(wù)域賬戶以及管理器網(wǎng)關(guān)的部署。
在一個實施例中,網(wǎng)格管理器部分地操作為通過為新的域控制器建立虛擬機(jī)并發(fā)起在線目錄服務(wù)服務(wù)器角色的部署腳本來協(xié)調(diào)目錄服務(wù)實例部署過程。在一種實施例中, 可以使用包括用于每一虛擬機(jī)的多種處理資源(例如,2、4個CPU核心等等)和一定量的處理存儲器(例如,七千兆字節(jié)(GB)的隨機(jī)存取存儲器(RAM))的默認(rèn)網(wǎng)格拓?fù)鋪戆惭b新的虛擬機(jī)。每一虛擬機(jī)可以被提升為新的森林的域控制器。在一個實施例中,可以使用分離的主機(jī)來部署虛擬機(jī),以便避免多個域控制器由于相同的根本原因事件而失效。一種實施例的網(wǎng)格管理器操作為監(jiān)視目錄服務(wù)實例的部署狀態(tài)并在目錄服務(wù)實例準(zhǔn)備好填充和使用時使得新的目錄服務(wù)實例對應(yīng)用編程接口(API)(例如,GetDSITopologyO )的調(diào)用者可用。
在一個實施例中,同步守護(hù)進(jìn)程的單個實例可以由網(wǎng)格網(wǎng)絡(luò)中的所有目錄服務(wù)森林共享。同步守護(hù)進(jìn)程可以使用域控制器名稱或其他標(biāo)識符來標(biāo)識每一網(wǎng)格網(wǎng)絡(luò)的專用域控制器。同步守護(hù)進(jìn)程可以部分地使用域映射來標(biāo)識每一目錄服務(wù)實例的組織單元。一種實施例的同步守護(hù)進(jìn)程可以用于用從與客戶系統(tǒng)相關(guān)聯(lián)的同步通信流拉出的對象來填充目錄服務(wù)森林。在一個實施例中,環(huán)境400可以把單個同步通信流用于每一網(wǎng)格網(wǎng)絡(luò)。在另一實施例中,同步通信流可以被用于每一目錄服務(wù)森林。
一種實施例的聲明提供程序可以操作為用FPO的標(biāo)識符以及FPO屬于站點(diǎn)所有者的組織單元的任何組擴(kuò)充支持代理用戶的令牌。作為示例,聲明提供程序可以使用操作為部分地基于已認(rèn)證標(biāo)識(例如,LiveID)令牌和目錄服務(wù)實例的內(nèi)容給到來的用戶創(chuàng)建服務(wù)令牌的提供程序守護(hù)進(jìn)程??梢运阉髂夸浄?wù)實例的內(nèi)容以便抓取組織單元中可用于各種管理任務(wù)的用戶和/或組的列表。作為說明性示例,為了使得“合作伙伴用戶”訪問另一租戶的內(nèi)容,合作伙伴用戶必須是租戶組織單元中所包含的FPO所引用的安全組的成員(參見圖5作為示例)。如果不是安全組的成員,則請求的用戶將被拒絕訪問。在一種實施例中,作為訪問控制操作的一部分,當(dāng)為給定合作伙伴用戶生成聲明時,提供程序守護(hù)進(jìn)程可以把FPO的對象GUID用作聲明值而不是在外來組織單元中引用對象的GUID。
在某些實施例中,客戶或目錄服務(wù)森林可以被用來表示一部分在線服務(wù)或網(wǎng)格拓?fù)?,且被配置為由具有多個目錄服務(wù)實例和關(guān)聯(lián)域控制器的一個單域目錄服務(wù)森林組成, 包括同步和供應(yīng)守護(hù)進(jìn)程。在一種實施例中,每一在線租戶占用一個客戶森林。應(yīng)明白,作為向與客戶森林相關(guān)聯(lián)的訂閱客戶提供在線服務(wù)和資源的一部分,每一網(wǎng)格網(wǎng)絡(luò)可以包括不同的目錄服務(wù)實例。在一種實施例中,環(huán)境400的組件操作為以規(guī)模為單位將租戶或組織單元劃分為在線目錄服務(wù)森林。每一目錄服務(wù)森林可以被包含在單個服務(wù)實例中,該單個服務(wù)實例包含被指派給該服務(wù)實例的租戶的子集。
如上所述,環(huán)境400的組件可以被配置為控制和管理各種類型的用戶和/或關(guān)聯(lián)級別對在線服務(wù)和/或資源的訪問。例如,客戶可以訂閱在線服務(wù),這些在線服務(wù)包括使用諸如代表在線服務(wù)客戶執(zhí)行管理動作的合作伙伴公司等的默認(rèn)合作伙伴來向默認(rèn)服務(wù)的訂閱客戶提供支持服務(wù)。合作伙伴也可以是在線服務(wù)客戶。
示例性在線支持服務(wù)可以包括接收來自合作伙伴的支持的一個在線服務(wù)客戶。相應(yīng)的合作伙伴組織單元可以被用來包含合作伙伴公司的所有對象。同樣地,客戶組織單元包含客戶公司的所有對象,這些對象包括指代合作伙伴組織單元的對象。示例性在線支持服務(wù)包括各種管理員服務(wù)和支持角色。例如,幫助臺管理員可以被定義為包含僅被授予對資源的有限制訪問的負(fù)責(zé)人的安全組,且該組的經(jīng)允許的動作的范圍可以跨越各系統(tǒng)而不同(例如,僅可以讀取數(shù)據(jù)、重置密碼和管理支持票)。租戶管理員可以被定義為包含被授予在線應(yīng)用服務(wù)中的全部和每一管理權(quán)限的負(fù)責(zé)人的安全組。
示例性幫助臺代理是被允許代表合作伙伴的客戶在根據(jù)相應(yīng)的客戶組織單元中所定義的關(guān)聯(lián)的幫助臺管理員組所允許的范圍內(nèi)執(zhí)行動作的合作伙伴的雇員。示例性管理員代理是被允許代表合作伙伴的客戶在根據(jù)客戶組織單元中所定義的關(guān)聯(lián)租戶管理員組所允許的范圍內(nèi)執(zhí)行動作的合作伙伴的雇員。如上所述,一個或多個FPO可以被包含在客戶組織單元中,以便表示一個或多個安全負(fù)責(zé)人(組和/或用戶)。
圖5是描繪在線應(yīng)用服務(wù)環(huán)境500的多個示例性組織單元(0U1-0U4)的框圖。在一個實施例中,如上所述,一個或多個組織單元可以被包含在一個或多個目錄服務(wù)實例中。 例如,第一目錄服務(wù)實例可以被用來包含A公司的OUl和B公司的0U3,且第二目錄服務(wù)實例可以被用來包含C公司的0U2和D公司的0U4。在一種實施例中,每一目錄服務(wù)可以由專用的服務(wù)器場或組件托管。
如圖5中所示出,OUl包括安全組對象502,安全組對象502包含安全組A的一個用戶對象504。0U2包括FPOl 506和FP02 508。如上所述,F(xiàn)PO可以被用來指代為在線應(yīng)用服務(wù)的某一方面提供支持服務(wù)的組或用戶,但不限于此。0U3包括分別表示安全組B、安全組C和安全組D的安全組對象510、512和514。0U4包括FP03 516、FP04 518、包含外聯(lián)網(wǎng)用戶信息的對象520、包含雇員用戶信息的對象522和包含具體的客戶的組信息的對象 524。
如所示出的,F(xiàn)POl 506包括指向OUl的安全組對象502的映射,且FP02 508包括指向0U3的安全組對象512的映射。FP03 516包括指向安全組對象514的映射,且FP04 518包括指向0U3的安全組對象510的映射。如以上所討論的,映射可以是在可以被用來驗證具體用戶和/或組具有訪問某一在線客戶的特定資產(chǎn)的許可的相應(yīng)OU的具體對象之間。 例如,來自O(shè)Ul的用戶I 502將獲得被授權(quán)給在0U2中的FPOl 506的任何許可,這是因為用戶I 502是FPOl 506所映射到的安全組A的504的成員。應(yīng)明白,每一 OU可以包括對應(yīng)于具體的客戶或?qū)嶓w訪問許可的不同的訪問管理信息。
盡管在此描述了某些實施例,但可獲得其他實施例,且所描述的實施例不應(yīng)被用來限制權(quán)利要求。各種實施例的示例性通信環(huán)境可以包括使用安全網(wǎng)絡(luò)、非安全網(wǎng)絡(luò)、混合網(wǎng)絡(luò)和/或某種其他網(wǎng)絡(luò)或網(wǎng)絡(luò)的組合。作為示例而非限制,環(huán)境可以包括諸如有線網(wǎng)絡(luò)或直接有線連接等的有線介質(zhì)和/或諸如聲學(xué)、射頻(RF)、紅外等的無線介質(zhì)和/或其他有線和/或無線介質(zhì)和組件。除了計算系統(tǒng)、設(shè)備等等之外,各種實施例可以被實現(xiàn)為計算機(jī)進(jìn)程(例如,方法)、諸如計算機(jī)程序產(chǎn)品等的制品或計算機(jī)可讀介質(zhì)、計算機(jī)可讀存儲介質(zhì)和/或被實現(xiàn)為各種通信體系結(jié)構(gòu)的一部分。
在此所使用的術(shù)語計算機(jī)可讀介質(zhì)可以包括計算機(jī)存儲介質(zhì)。計算機(jī)存儲介質(zhì)可以包括以用于存儲諸如計算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)等的信息的任何方法或技術(shù)實現(xiàn)的易失性介質(zhì)和非易失性介質(zhì)、可移動介質(zhì)和不可移動介質(zhì)。系統(tǒng)存儲器、 可移動存儲和不可移動存儲都是計算機(jī)存儲介質(zhì)示例(即,存儲器存儲)。計算機(jī)存儲介質(zhì)可以包括但不限于RAM、ROM、電可擦除只讀存儲器(EEPR0M)、閃速存儲器或其他存儲器技術(shù)、CD-ROM、數(shù)字多用盤(DVD )或其他光存儲、磁帶盒、磁帶、磁盤存儲或其他磁存儲設(shè)備、或可以被用來存儲信息且可由計算設(shè)備訪問的任何其他介質(zhì)。任何這樣的計算機(jī)存儲介質(zhì)都可以是設(shè)備的一部分。
在此所使用的術(shù)語計算機(jī)可讀介質(zhì)也可以包括通信介質(zhì)。通信介質(zhì)可以由諸如載波或其他傳輸機(jī)制等的經(jīng)調(diào)制的數(shù)據(jù)信號中的計算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)具體化,且包括任何信息傳輸介質(zhì)。術(shù)語“經(jīng)調(diào)制的數(shù)據(jù)信號”可以描述以編碼信號中的信息的方式設(shè)定或改變一個或多個特性的信號。作為示例而非限制,通信介質(zhì)可以包括諸如有線網(wǎng)絡(luò)或直接有線連接等的有線介質(zhì)和諸如聲學(xué)、RF、紅外和其他無線介質(zhì)等的無線介質(zhì)。
在此描述的實施例和示例不預(yù)期是限制性的,且可以獲得其他實施例。此外,以上所描述的組件可以被實現(xiàn)為聯(lián)網(wǎng)式、分布式和/或其他計算機(jī)實現(xiàn)的環(huán)境的一部分。各組件可以經(jīng)由有線通信網(wǎng)絡(luò)、無線通信網(wǎng)絡(luò)和/或通信網(wǎng)絡(luò)的組合通信。網(wǎng)絡(luò)組件和/或在組件之間的耦合可以包括任何類型的網(wǎng)絡(luò)、任何數(shù)量的網(wǎng)絡(luò)和/或網(wǎng)絡(luò)的任何組合,且相應(yīng)的網(wǎng)絡(luò)組件包括但不限于廣域網(wǎng)(WAN)、局域網(wǎng)(LAN)、城域網(wǎng)(MAN)、私有網(wǎng)絡(luò)、后端網(wǎng)絡(luò)等等。
客戶機(jī)計算設(shè)備/系統(tǒng)和服務(wù)器可以是任何類型的基于處理器的設(shè)備或系統(tǒng)和/ 或其組合。另外,服務(wù)器功能可以包括多個組件且包括其他服務(wù)器。以單數(shù)形式描述的計算環(huán)境的組件可以包括這樣的組件的多個實例。盡管某些實施例包括軟件實現(xiàn),但它們不限于此,且包含硬件或混合硬件/軟件解決方案??梢垣@得其他實施例和配置。
示例性操作環(huán)境
現(xiàn)在參見圖6,下列討論旨在提供可以在其中實現(xiàn)本發(fā)明的各實施例的合適計算環(huán)境的簡要、一般的描述。盡管將在與在個人計算機(jī)上的操作系統(tǒng)上運(yùn)行的程序模塊聯(lián)合執(zhí)行的程序模塊的一般上下文中描述本發(fā)明,但本領(lǐng)域中的技術(shù)人員將認(rèn)識到,本發(fā)明也可以與其他類型的計算機(jī)系統(tǒng)和程序模塊組合實現(xiàn)。
一般地,程序模塊包括執(zhí)行具體的任務(wù)或?qū)崿F(xiàn)具體的抽象數(shù)據(jù)類型的例程、程序、 組件、數(shù)據(jù)結(jié)構(gòu)和其他類型的結(jié)構(gòu)。此外,本領(lǐng)域中的技術(shù)人員將明白,本發(fā)明可以與包括手持式設(shè)備、多處理器系統(tǒng)、基于微處理器的或可編程的消費(fèi)性電子設(shè)備、小型計算機(jī)、大型計算機(jī)等等的其他計算機(jī)系統(tǒng)配置一起實踐。本發(fā)明也可以在分布式計算環(huán)境中實踐, 分布式計算環(huán)境中,任務(wù)由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行。在分布式計算環(huán)境中, 程序模塊可以位于本地存儲器存儲設(shè)備和遠(yuǎn)程存儲器存儲設(shè)備兩者。
現(xiàn)在參見圖6,將描述用于本發(fā)明的各實施例的說明性操作環(huán)境。如圖6中所示出的,計算機(jī)2包括能夠執(zhí)行一個或多個應(yīng)用程序的通用臺式計算機(jī)、膝上型計算機(jī)、手持式計算機(jī)或其他類型的計算機(jī)。計算機(jī)2至少包括一個中央處理單元8 (“CPU”)、包括隨機(jī)存取存儲器18 (“RAM”)和只讀存儲器(“ROM”)20的系統(tǒng)存儲器12和把存儲器耦合到CPU 8的系統(tǒng)總線10。包含例如在啟動期間幫助在計算機(jī)內(nèi)的元件之間傳遞信息的基本例程的基本輸入/輸出系統(tǒng)被存儲在ROM 20中。計算機(jī)2還包括用于存儲操作系統(tǒng)24、應(yīng)用程序和其他程序模塊的大容量存儲設(shè)備14。
大容量存儲設(shè)備14通過連接到總線10的大容量存儲控制器(未示出)連接到CPU 8。大容量存儲設(shè)備14及其關(guān)聯(lián)的計算機(jī)可讀介質(zhì)為計算機(jī)2提供非易失性存儲。盡管在此包含的計算機(jī)可讀介質(zhì)的描述是指諸如硬盤或CD-ROM驅(qū)動器等的大容量存儲設(shè)備,但本領(lǐng)域中的技術(shù)人員明白,計算機(jī)可讀介質(zhì)可以是可以由計算機(jī)2訪問或使用的任何可用介質(zhì)。
作為示例而非限制,計算機(jī)可讀介質(zhì)可以包括計算機(jī)存儲介質(zhì)和通信介質(zhì)。計算機(jī)存儲介質(zhì)包括以用于存儲諸如計算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)等的信息的任何方法或技術(shù)實現(xiàn)的易失性介質(zhì)和非易失性介質(zhì)、可移動介質(zhì)和不可移動介質(zhì)。計算機(jī)存儲介質(zhì)包括但不限于RAM、ROM、EPROM、EEPR0M、閃速存儲器或其他固態(tài)存儲器技術(shù)、 CD-ROM、數(shù)字多用盤(“DVD”)或其他光存儲、磁帶盒、磁帶、磁盤存儲或其他磁存儲設(shè)備、或可以被用來存儲所期望的信息且可由計算機(jī)2訪問的任何其他介質(zhì)。
根據(jù)本發(fā)明的各種實施例,計算機(jī)2可以使用通過諸如例如本地網(wǎng)絡(luò)、因特網(wǎng)等等的網(wǎng)絡(luò)4到遠(yuǎn)程計算機(jī)的邏輯連接來在聯(lián)網(wǎng)環(huán)境中操作。計算機(jī)2可以通過連接到總線 10的網(wǎng)絡(luò)接口單元16連接到網(wǎng)絡(luò)4。應(yīng)明白,網(wǎng)絡(luò)接口單元16也可以北用來連接到其他類型的網(wǎng)絡(luò)和遠(yuǎn)程計算系統(tǒng)。計算機(jī)2也可以包括用于接收和處理來自包括鍵盤、鼠標(biāo)等等(未不出)的多個其他設(shè)備的輸入/輸出控制器22。類似地,輸入/輸出控制器22可以向顯示屏、打印機(jī)或其他類型的輸出設(shè)備提供輸出。
如上面簡要地提到,多個程序模塊和數(shù)據(jù)文件可以被存儲在計算機(jī)2的大容量存儲設(shè)備14和RAM 18中,包括諸如華盛頓州雷蒙德市微軟公司出品的WINDOWS操作系統(tǒng)等的適用于控制聯(lián)網(wǎng)個人計算機(jī)的操作的操作系統(tǒng)24。大容量存儲設(shè)備14和RAM 18也可以存儲一個或多個程序模塊。尤其,大容量存儲設(shè)備14和RAM 18可以存儲諸如字處理、電子表格、畫圖、電子郵件和其他應(yīng)用和/或程序模塊等等的應(yīng)用程序。
應(yīng)明白,本發(fā)明的各種實施例可以被實現(xiàn)為(I)計算機(jī)實現(xiàn)的動作的序列或運(yùn)行在計算系統(tǒng)上運(yùn)行的程序模塊和/或(2)互連的機(jī)器邏輯電路或在計算系統(tǒng)內(nèi)的電路模塊。該實現(xiàn)是依賴于實現(xiàn)本發(fā)明的計算系統(tǒng)的性能要求的選擇問題。因此,包括相關(guān)算法的邏輯操作可以被不同地稱為操作、結(jié)構(gòu)設(shè)備、動作或模塊。本領(lǐng)域中的技術(shù)人員應(yīng)認(rèn)識到,在不偏離在此陳述的權(quán)利要求內(nèi)所敘述的本發(fā)明的精神和范圍的前提下,可以以軟件、 固件、專用數(shù)字邏輯及其任何組合實現(xiàn)這些操作、結(jié)構(gòu)設(shè)備、動作和模塊。
盡管已經(jīng)結(jié)合各種示例性的實施例描述了本發(fā)明,但本領(lǐng)域中的普通技術(shù)人員將理解,可以在下面的權(quán)利要求的范圍內(nèi)對其做出多種修改。因此,不預(yù)期本發(fā)明的范圍以任何方式受到以上描述的限制,而是完全參考下面的權(quán)利要求來確定。
權(quán)利要求
1.一種方法,包括使用包括多個服務(wù)計算機(jī)的網(wǎng)格網(wǎng)絡(luò)體系結(jié)構(gòu);創(chuàng)建多個目錄服務(wù)實例,所述目錄服務(wù)實例為請求所述服務(wù)計算機(jī)的服務(wù)的各組客戶定義訪問特權(quán),每一目錄服務(wù)實例獨(dú)立于其他目錄服務(wù)實例,且包括一個或多個組織單元, 其中,每一組織單元與不同的客戶相關(guān)聯(lián);用被用來控制對所述服務(wù)計算機(jī)的服務(wù)的訪問的客戶數(shù)據(jù)填充每一組織單元;以及把所述目錄服務(wù)實例存儲在計算機(jī)可讀存儲中。
2.如權(quán)利要求I所述的方法,其特征在于,進(jìn)一步包括接收對訪問數(shù)據(jù)中心的訪問請求,包括使用每一請求的域信息來標(biāo)識對應(yīng)于發(fā)起所述請求的用戶的目錄服務(wù)實例的組織單元。
3.如權(quán)利要求I所述的方法,其特征在于,進(jìn)一步包括結(jié)合包括對應(yīng)于專用服務(wù)場的在線資源和服務(wù)賬戶的域使用所述目錄服務(wù)實例。
4.如權(quán)利要求I所述的方法,其特征在于,進(jìn)一步包括為每一目錄服務(wù)實例創(chuàng)建組織單元,每一組織單元包括一個或多個經(jīng)授權(quán)用戶、已授權(quán)組和已授權(quán)外來原則對象(FP0)。
5.如權(quán)利要求4所述的方法,其特征在于,進(jìn)一步包括把每一數(shù)據(jù)實例的組織單元創(chuàng)建成包括在FPO和組織單元之間的映射。
6.如權(quán)利要求5所述的方法,其特征在于,進(jìn)一步包括作為定位第二組織單元以便驗證支持訪問的一部分來檢查第一組織單元的FP0。
7.如權(quán)利要求I所述的方法,其特征在于,進(jìn)一步包括如果請求的用戶與組織單元相關(guān)聯(lián)且被包括在具有已定義訪問許可的安全組中則提供對所請求的服務(wù)的訪問。
8.如權(quán)利要求I所述的方法,其特征在于,進(jìn)一步包括更新目錄服務(wù)實例以便把當(dāng)前的訪問許可維持在相應(yīng)的組織單元內(nèi)。
9.一種系統(tǒng),包括包括處理和存儲器組件以便作為提供在線應(yīng)用服務(wù)的一部分來支持一個或多個服務(wù)器場的服務(wù)器資源;使用包括客戶和合作伙伴信息的多個目錄服務(wù)實例(DSI)數(shù)據(jù)結(jié)構(gòu)來把在線客戶數(shù)據(jù)與所述在線應(yīng)用服務(wù)同步起來的同步組件;存儲所述DSI數(shù)據(jù)結(jié)構(gòu)的存儲;以及查詢所述存儲以便控制對所述服務(wù)器資源的訪問的聲明提供程序組件。
10.一種包括部分地被用來提供在線服務(wù)的經(jīng)編碼指令的計算機(jī)可讀存儲介質(zhì),包括接收對數(shù)據(jù)網(wǎng)格網(wǎng)絡(luò)的在線資源的請求;從所述請求獲得訪問信息;標(biāo)識與所述訪問信息相關(guān)聯(lián)的目錄服務(wù)實例;以及檢查所述目錄服務(wù)實例以判斷所述請求是否從經(jīng)授權(quán)用戶發(fā)出并判斷所述經(jīng)授權(quán)用戶的訪問級別。
全文摘要
各實施例提供在線計算環(huán)境的應(yīng)用和/或資源訪問控制特征,但不限于此。在一個實施例中,一種計算機(jī)實現(xiàn)的方法部分地基于使用與直接客戶訪問隔離且被部署在已定義數(shù)據(jù)中心體系結(jié)構(gòu)中的多個目錄服務(wù)實例為在線應(yīng)用環(huán)境提供訪問控制特征。在一種實施例中,作為向客戶提供在線應(yīng)用服務(wù)的特征的一部分,計算環(huán)境使用基于web的訪問控制特征和具有組織單元和相應(yīng)映射的多個目錄服務(wù)實例來維護(hù)支持基礎(chǔ)設(shè)施。包括且可獲得其他實施例。
文檔編號G06F9/46GK102947797SQ201180030883
公開日2013年2月27日 申請日期2011年6月16日 優(yōu)先權(quán)日2010年6月22日
發(fā)明者M·奧澤維斯基, J·盧克, A·I·霍普曼, F·C·B·多羅薩里奧, D·P·H·戈爾貝特, J·M·加希爾 申請人:微軟公司