背景技術(shù)：

計(jì)算機(jī)系統(tǒng)目前正在被廣泛使用。一些這樣的計(jì)算機(jī)系統(tǒng)被部署在多租戶環(huán)境中，其中多租戶服務(wù)向多個不同的租戶提供服務(wù)。每個租戶均可以對應(yīng)于獨(dú)立的組織。

由多租戶系統(tǒng)提供的服務(wù)的級別可以廣泛變化。例如，它們的范圍可以從基礎(chǔ)設(shè)施即服務(wù)(iaas)到軟件即服務(wù)(saas)，在基礎(chǔ)設(shè)施即服務(wù)中基礎(chǔ)設(shè)施的項(xiàng)目由服務(wù)提供方管理并且所有其它項(xiàng)目由個體租戶管理，在軟件即服務(wù)中甚至租戶使用的應(yīng)用都由服務(wù)提供方運(yùn)行和管理。

這樣的系統(tǒng)可能存在關(guān)于安全性的困難。由服務(wù)提供方服務(wù)的每個組織均希望服務(wù)提供方對組織的數(shù)據(jù)具有充分的訪問權(quán)，以使得服務(wù)提供方能夠提供足夠的服務(wù)。然而，組織也希望提供安全性，以使得組織的數(shù)據(jù)不會被服務(wù)提供方的管理系統(tǒng)上的任何暗中的攻擊所危害。

解決這個問題的一些當(dāng)前的方案包括對在系統(tǒng)內(nèi)具有持久的持續(xù)管理權(quán)限的管理人員執(zhí)行背景檢查。另一種方案是隔離訪問，以使得只有某些管理人員具有對系統(tǒng)的某些部分的訪問權(quán)。

當(dāng)服務(wù)提供方在多國的基礎(chǔ)上提供了多租戶服務(wù)的情況下，安全性問題可能會被加劇。一些組織可能會堅(jiān)持認(rèn)為只有駐留在他們的國家的管理人員可以具有對他們的信息的訪問權(quán)。此外，他們可能會堅(jiān)持認(rèn)為安全性策略和權(quán)限的所有實(shí)施都由駐留在其國家或管轄范圍內(nèi)的系統(tǒng)所執(zhí)行。

上面的討論僅用于提供一般的背景信息，并且不是要用作確定所要求保護(hù)的主題的范圍的輔助。

技術(shù)實(shí)現(xiàn)要素：

當(dāng)用戶輸入將要在目標(biāo)機(jī)器上執(zhí)行的動作請求(例如，所請求的命令)時，管理系統(tǒng)接收該請求并用獨(dú)立的認(rèn)證和權(quán)限系統(tǒng)進(jìn)行校驗(yàn)。經(jīng)校驗(yàn)的命令請求被發(fā)送到目標(biāo)機(jī)器。目標(biāo)機(jī)器上的認(rèn)證工作者訪問目標(biāo)機(jī)器本地的策略集合，以識別其中可執(zhí)行所請求的命令的最小特權(quán)執(zhí)行環(huán)境。目標(biāo)機(jī)器上的認(rèn)證工作者在目標(biāo)機(jī)器上識別的最小特權(quán)執(zhí)行環(huán)境中啟動所請求的命令。

提供本發(fā)明內(nèi)容以便以簡化的形式來引入下面的具體實(shí)施方式中進(jìn)一步描述的概念的選擇。本發(fā)明內(nèi)容不是要識別所要求保護(hù)的主題的關(guān)鍵特征或主要特征，也不是要用作確定所要求保護(hù)的主題的范圍的輔助。所要求保護(hù)的主題不限于解決背景中指出的任何或所有缺點(diǎn)的實(shí)現(xiàn)方式。

附圖說明

圖1示出了整體授權(quán)架構(gòu)的一個示例。

圖1a是認(rèn)證和權(quán)限架構(gòu)的一個示例的框圖。

圖1b是更詳細(xì)地示出了圖1a的部分的框圖。

圖2a-圖2d(這里統(tǒng)稱為圖2)示出了顯示了圖1所示的架構(gòu)的整體操作的一個示例的流程圖。

圖3a-圖3c(這里統(tǒng)稱為圖3)更詳細(xì)地示出了圖1所示的架構(gòu)的操作示例的流程圖。

圖4a-圖4c(這里統(tǒng)稱為圖4)示出了圖1所示的架構(gòu)的操作的另一示例，其中使用了公鑰基礎(chǔ)設(shè)施。

圖4d-圖4g是更詳細(xì)地示出了圖1a和圖1b所示的多個項(xiàng)目的框圖。

圖5是示出了在執(zhí)行命令或工作流中容量機(jī)器中的授權(quán)工作者組件的操作的一個示例的流程圖。

圖6a和圖6b(這里統(tǒng)稱為圖6)是示出了在執(zhí)行基于任務(wù)的訪問驗(yàn)證的容量機(jī)器上的授權(quán)工作者組件的操作的一個示例的流程圖。

圖7是示出了部署在云計(jì)算架構(gòu)中的圖1所示的架構(gòu)的一個示例的框圖。

圖8-圖10示出了可以在先前附圖中討論的架構(gòu)中使用的移動設(shè)備的各種示例。

圖11是可以在先前的附圖中闡述的架構(gòu)的各個部分中使用的計(jì)算環(huán)境的一個示例的框圖。

具體實(shí)施方式

圖1示出了整體授權(quán)架構(gòu)80的一個示例。架構(gòu)80示出了多個容量實(shí)例82-84，其中的每一個可以是服務(wù)于多個不同租戶容量86的多租戶系統(tǒng)。容量實(shí)例82-84中的每一個可以由對應(yīng)于不同租戶的一個或多個終端用戶88通過一個或多個終端用戶系統(tǒng)90來訪問。容量實(shí)例82-84由管理實(shí)例92示例性地管理。管理實(shí)例與權(quán)限網(wǎng)關(guān)實(shí)例94進(jìn)行交互，權(quán)限網(wǎng)關(guān)實(shí)例94本身可以與其它權(quán)限網(wǎng)關(guān)實(shí)例96進(jìn)行交互。在圖1所示的架構(gòu)80中，管理用戶97可以登錄到架構(gòu)80并被認(rèn)證以在管理實(shí)例92或容量實(shí)例82-84(或甚至單獨(dú)的租戶實(shí)例86)中執(zhí)行各種任務(wù)或命令。在這樣做時，權(quán)限網(wǎng)關(guān)實(shí)例94-96授予時間限制和任務(wù)限制的權(quán)限，甚至可以將權(quán)限向下授予單獨(dú)的數(shù)據(jù)類型。

每個單獨(dú)的容量實(shí)例86上的認(rèn)證組件執(zhí)行基于聲明的強(qiáng)制實(shí)施。也就是，其執(zhí)行關(guān)于給定的管理用戶是否被授權(quán)在單獨(dú)的租戶容量實(shí)例86中的特定機(jī)器上執(zhí)行任務(wù)的最終檢查。管理用戶從權(quán)限網(wǎng)關(guān)實(shí)例94-96獲得了簽名的并且安全的聲明。管理用戶使用此聲明在各種容量實(shí)例82-84和管理實(shí)例92中進(jìn)行工作。這是以其中管理用戶被授予基于任務(wù)的特權(quán)的方式來執(zhí)行的?；谌蝿?wù)的特權(quán)可以是在給定命令中執(zhí)行任務(wù)所需的最小特權(quán)環(huán)境。這在下面將被更詳細(xì)地描述。

圖1a是更詳細(xì)的認(rèn)證和權(quán)限架構(gòu)100的一個示例的框圖。架構(gòu)100示例性地包括多租戶工作負(fù)載系統(tǒng)102、認(rèn)證和權(quán)限系統(tǒng)104以及一個或多個客戶端系統(tǒng)106。圖1b更詳細(xì)地示出了多租戶工作負(fù)載系統(tǒng)102中的項(xiàng)目?，F(xiàn)在將彼此結(jié)合地描述圖1a和1b。

客戶端系統(tǒng)106被示出，其利用用戶輸入機(jī)制110來生成用戶界面顯示108，以用于由管理用戶112來進(jìn)行交互。在一個示例中，用戶112是管理人員(例如，待命的工程師或其它管理人員)，其與用戶輸入機(jī)制110進(jìn)行交互以控制和操縱客戶端系統(tǒng)106，使得用戶112可以在多租戶工作負(fù)載系統(tǒng)102內(nèi)執(zhí)行服務(wù)操作。多租戶工作負(fù)載系統(tǒng)102本身示例性地向一個或多個租戶組織114提供多租戶服務(wù)。租戶組織114本身示例性地具有使用由多租戶工作負(fù)載系統(tǒng)102提供的信息的終端用戶88。

在圖1a和圖1b所示的示例中，多租戶工作負(fù)載系統(tǒng)102示例性地包括使用戶112能夠在系統(tǒng)102內(nèi)執(zhí)行管理操作的多租戶管理系統(tǒng)116(其可以是來自圖1的管理實(shí)例92)。多租戶管理系統(tǒng)116本身包括一個或多個管理機(jī)器118-120。每個管理機(jī)器示例性地包括一個或多個處理器119、認(rèn)證工作者組件122、本地策略123，并且其可以包括其它項(xiàng)目124。多租戶管理系統(tǒng)116還示例性地包括授權(quán)前端系統(tǒng)126、命令請求隊(duì)列系統(tǒng)(crqs)128、請求隊(duì)列130、本地策略131、批準(zhǔn)的請求隊(duì)列132、一個或多個服務(wù)器133，并且其可以包括其它項(xiàng)目134。命令請求隊(duì)列系統(tǒng)128本身示例性地包括簽名校驗(yàn)組件138。

多租戶工作負(fù)載系統(tǒng)102還示例性地包括一個或多個多租戶容量系統(tǒng)140(其可以是來自圖1的容量實(shí)例82-84或86)。每個多租戶容量系統(tǒng)140示例性地包括一個或多個容量機(jī)器142-144，其本身示例性地包括授權(quán)工作者組件146、本地策略145、處理器147，并且可以包括其它項(xiàng)目148。多租戶容量系統(tǒng)140還示例性地包括授權(quán)前端系統(tǒng)150、本地策略的集合152、服務(wù)器153，并且其可以包括其它項(xiàng)目154。

認(rèn)證和權(quán)限系統(tǒng)104示例性地控制在架構(gòu)100內(nèi)的基于任務(wù)的權(quán)限的授予。在圖1a所示的示例中，它示例性地包括信任、認(rèn)證和授權(quán)系統(tǒng)156、角色請求和批準(zhǔn)系統(tǒng)158、秘密存儲160、訪問管理系統(tǒng)162、基于角色的訪問控制和接口系統(tǒng)164、身份管理系統(tǒng)166、認(rèn)證前端168、處理器和/或服務(wù)器170，并且其可以包括其它項(xiàng)目172。秘密存儲160示例性地包括密碼174和其它認(rèn)證信息176。訪問管理系統(tǒng)162可以包括用戶訪問賬戶178和服務(wù)器訪問賬戶180。認(rèn)證前端168示例性地包括能力令牌服務(wù)182，并且其可以包括其它項(xiàng)目184。

而且，在圖1a所示的示例中，管理客戶端系統(tǒng)106示例性地包括認(rèn)證前端186、遠(yuǎn)程訪問系統(tǒng)188、數(shù)據(jù)存儲190、處理器和/或服務(wù)器192和用戶接口組件194。它還可以包括其它項(xiàng)目196。

在圖1a所示的示例中，示出了通過網(wǎng)絡(luò)198進(jìn)行通信的各種組件。應(yīng)當(dāng)理解，網(wǎng)絡(luò)198可以是廣域網(wǎng)、局域網(wǎng)、或者它可以包括多個不同的網(wǎng)絡(luò)。它可以包括各種不同的網(wǎng)絡(luò)配置。

在更詳細(xì)地描述架構(gòu)100的整體操作之前，將首先提供架構(gòu)100中的項(xiàng)目中的一些的簡要概述。首先參考客戶端系統(tǒng)106，認(rèn)證前端186示例性地處理允許用戶112在架構(gòu)100內(nèi)被認(rèn)證的認(rèn)證和權(quán)限通信和操作。遠(yuǎn)程訪問系統(tǒng)188示例性地允許用戶112遠(yuǎn)程訪問多租戶工作負(fù)載系統(tǒng)102中的各種機(jī)器以執(zhí)行管理操作。用戶接口組件194示例性地利用用戶輸入機(jī)制110生成用戶界面顯示108，并且檢測與機(jī)制110的用戶交互。

在多租戶管理系統(tǒng)116和多租戶容量系統(tǒng)140中，每個認(rèn)證工作者組件122和146分別接收工作項(xiàng)目(例如，命令或工作流)并且識別用于該工作項(xiàng)目的基于任務(wù)的(例如，最小特權(quán)的)執(zhí)行環(huán)境。組件122和146示例性地執(zhí)行相對應(yīng)的基于任務(wù)的執(zhí)行環(huán)境中的工作項(xiàng)目。組件122和146可以被實(shí)現(xiàn)為在多租戶工作負(fù)載系統(tǒng)102中的每個節(jié)點(diǎn)上運(yùn)行的進(jìn)程。當(dāng)然，這僅僅是一個示例。

多租戶管理系統(tǒng)116中的授權(quán)前端系統(tǒng)126示例性地處理與架構(gòu)100中的其它項(xiàng)目的認(rèn)證通信。為了便于參考，系統(tǒng)126在本文中也被稱為管理認(rèn)證前端(mafe)系統(tǒng)126。請求隊(duì)列130接收命令請求，并且命令請求隊(duì)列系統(tǒng)(crqs)128使用了簽名校驗(yàn)組件138來校驗(yàn)所請求命令上的各種簽名。它還與認(rèn)證和權(quán)限系統(tǒng)104進(jìn)行通信，以確定所請求的命令是否已被批準(zhǔn)。如果是，則將其置于批準(zhǔn)的請求隊(duì)列132中。

在多租戶容量系統(tǒng)140中，授權(quán)前端系統(tǒng)150示例性地處理與架構(gòu)100的其它組件的認(rèn)證通信。認(rèn)證前端150和認(rèn)證工作者組件146可以使用本地策略145和152對用戶112確實(shí)被授權(quán)在多租戶容量系統(tǒng)140內(nèi)的目標(biāo)機(jī)器上執(zhí)行所請求的命令進(jìn)行最終校驗(yàn)。

在認(rèn)證和權(quán)限系統(tǒng)104中，信任、認(rèn)證和授權(quán)系統(tǒng)156采用了基于用于識別用戶和服務(wù)以及提供發(fā)出者簽名的能力票據(jù)的證書的模型。這可以包括部署證書技術(shù)的公鑰基礎(chǔ)設(shè)施。這在下面更詳細(xì)地描述。

卷請求和批準(zhǔn)系統(tǒng)158提供用于執(zhí)行工作流的角色請求和批準(zhǔn)的機(jī)制。卷請求和批準(zhǔn)系統(tǒng)158還示例性地包括強(qiáng)制實(shí)施引擎，其允許根據(jù)需要請求、批準(zhǔn)并且然后移除角色的成員資格。訪問管理系統(tǒng)162示例性地存儲用于需要獲得對任何多租戶工作負(fù)載系統(tǒng)102(或數(shù)據(jù)中心)的訪問權(quán)的任何用戶的用戶訪問賬戶178和服務(wù)器訪問賬戶180，其中，多租戶工作負(fù)載系統(tǒng)102由認(rèn)證和權(quán)限系統(tǒng)104來支配。身份管理系統(tǒng)166提供了以下功能，其實(shí)現(xiàn)了在訪問管理系統(tǒng)182中填充用戶訪問賬戶178和服務(wù)器訪問賬戶180的饋送的配置。它執(zhí)行與身份相關(guān)的任務(wù)，例如供應(yīng)(例如，創(chuàng)建和更新)用戶賬戶上的權(quán)利，例如，組成員資格和賬戶屬性等。這些權(quán)利可被用于驅(qū)動服務(wù)內(nèi)的訪問控制?；诮巧脑L問控制和接口系統(tǒng)164示例性地提供了用于創(chuàng)作、存儲和驗(yàn)證角色成員資格和權(quán)限查詢的接口。基于角色的訪問控制和接口系統(tǒng)164可以與角色請求和批準(zhǔn)系統(tǒng)158集成以提供以下功能，其用于使角色成員資格要求請求和批準(zhǔn)并且用于使角色成員資格被限制在特定量的時間。獨(dú)立地顯示僅為了示例的目的。

秘密存儲160示例性地存儲密碼174和用于在架構(gòu)100中認(rèn)證用戶112的秘密信息的其它類型。認(rèn)證前端168示例性地包括能力令牌服務(wù)182。其示例性地針對用戶和服務(wù)提供功能以請求用于認(rèn)證和授權(quán)的能力令牌，這將在下面詳細(xì)描述。

為了本說明書的目的，架構(gòu)100中的項(xiàng)目之間存在網(wǎng)絡(luò)拓?fù)洹Ｔ谝粋€示例中，多租戶容量系統(tǒng)140中的認(rèn)證前端系統(tǒng)150信任從多租戶管理系統(tǒng)116中的認(rèn)證前端系統(tǒng)126接收的信息。mafe系統(tǒng)126繼而信任從認(rèn)證和權(quán)限系統(tǒng)104中的認(rèn)證前端168接收的信息。在一個示例中，該信任關(guān)系是可傳遞的。因此，認(rèn)證前端系統(tǒng)150以其對mafe系統(tǒng)126的信任的方式來信任認(rèn)證前端168。

在更詳細(xì)地描述各種組件之前，將首先描述運(yùn)行時場景的一個示例作為概述，以便增強(qiáng)理解。圖2a-圖2d(這里統(tǒng)稱為圖2)示出了以下流程圖，這說明了其中用戶112希望在多租戶容量系統(tǒng)140中的目標(biāo)機(jī)器上執(zhí)行管理操作的運(yùn)行時場景的一個示例。為了本示例的目的，將假設(shè)用戶112希望在容量機(jī)142上執(zhí)行管理操作。

在一個示例中，客戶端系統(tǒng)106上的用戶接口組件194首先檢測指示該用戶希望訪問認(rèn)證環(huán)境(例如，圖1所示的認(rèn)證架構(gòu)100)的用戶交互或輸入。這由框200所指示。檢測訪問認(rèn)證環(huán)境的用戶輸入可以包括強(qiáng)制實(shí)施智能卡認(rèn)證、輸入個人身份號碼(例如，pin)等等。作為響應(yīng)，客戶端系統(tǒng)106將客戶端認(rèn)證前端186加載到客戶端106。客戶端認(rèn)證前端186可以以用于認(rèn)證和授權(quán)用戶112執(zhí)行動作的客戶端控制臺應(yīng)用的形式或以其它方式被加載。這由框202所指示。

遠(yuǎn)程訪問系統(tǒng)188示例性地利用用戶輸入機(jī)制生成用戶界面顯示，用戶輸入機(jī)制允許用戶112提供指示用戶希望在目標(biāo)機(jī)器142上執(zhí)行命令或操作的命令輸入。然后它檢測與該用戶輸入機(jī)制的用戶交互。用戶交互示例性地識別用戶正在請求要執(zhí)行的特定命令。接收用戶命令輸入由圖2中的框204所指示。

認(rèn)證前端186示例性地簽名所請求的命令并將其發(fā)送到多租戶管理系統(tǒng)116中的mafe126。簽名并且將命令請求從客戶端106發(fā)送到mafe系統(tǒng)126由圖2中的框206所指示。mafe系統(tǒng)126示例性地確定用戶112是否需要手動批準(zhǔn)(例如，來自用戶管理者的批準(zhǔn))以便執(zhí)行該請求。這由框208所指示。如果不是，則處理跳到下面描述的框230。

然而，如果在框208，mafe系統(tǒng)126確定用戶112需要手動批準(zhǔn)，那么其將代碼返回到客戶端系統(tǒng)106中的認(rèn)證前端186來指示這一點(diǎn)。這由框210所指示。該代碼還將示例性地識別需要批準(zhǔn)該請求的特定的批準(zhǔn)者。這由框212所指示。它還可以包括其它項(xiàng)目，并且這由框214所指示。

客戶端系統(tǒng)106示例性地向用戶112顯示批準(zhǔn)請求用戶輸入機(jī)制。該顯示將示例性地指示用戶112需要具有來自他或她的管理者(或其它批準(zhǔn)者)的批準(zhǔn)來執(zhí)行所請求的命令，并且它將會包括用戶可以致動以開始批準(zhǔn)過程的用戶輸入機(jī)制。在客戶端106處顯示批準(zhǔn)請求用戶輸入機(jī)制由圖2中的框216所指示。然后，用戶接口組件194檢測與用戶輸入機(jī)制的用戶交互(例如，用戶輸入機(jī)制的致動)，指示用戶112希望開始批準(zhǔn)過程。這由圖2中的框218所指示。

作為響應(yīng)，客戶端系統(tǒng)106示例性地向所識別的批準(zhǔn)者發(fā)送用于批準(zhǔn)的請求。例如，這可以是到批準(zhǔn)者的電子郵件，以及可以由批準(zhǔn)者致動的用戶輸入機(jī)制，以便批準(zhǔn)該請求。發(fā)送用于批準(zhǔn)的請求由圖2中的框220所指示。當(dāng)批準(zhǔn)者(例如，管理者)與批準(zhǔn)該請求的用戶輸入機(jī)制進(jìn)行交互時，將通知發(fā)送回到客戶端系統(tǒng)106以通知用戶112他或她已被批準(zhǔn)執(zhí)行所請求的命令。接收批準(zhǔn)并向用戶通知該批準(zhǔn)由框222所指示。對用戶的通知本身可以包括用戶輸入機(jī)制，該用戶輸入機(jī)制可以被致動以用于用戶再次發(fā)起執(zhí)行命令的請求，現(xiàn)在其已經(jīng)被批準(zhǔn)了。利用這種致動器顯示通知由框224所指示。該通知也可以以其它方式被執(zhí)行，而這由框226所指示。

然后，用戶接口組件194檢測與用戶輸入機(jī)制的用戶交互，指示用戶希望執(zhí)行該命令。這由框227所指示。

然后，客戶端系統(tǒng)106中的認(rèn)證前端186將執(zhí)行命令的請求從客戶端系統(tǒng)106發(fā)送到mafe系統(tǒng)126。這由圖2中的框228所指示。mafe系統(tǒng)126繼而調(diào)用認(rèn)證和權(quán)限系統(tǒng)104(并且示例性地調(diào)用信任、認(rèn)證和授權(quán)系統(tǒng)156)來校驗(yàn)用戶是否有權(quán)限在目標(biāo)機(jī)器上執(zhí)行所請求的命令，并且還校驗(yàn)用戶是否已接收來自用戶管理者的批準(zhǔn)(如適用)。這由框230所指示。信任、認(rèn)證和授權(quán)系統(tǒng)156校驗(yàn)該信息，并將校驗(yàn)返回到mafe系統(tǒng)126。這由圖2中的框232所指示。

一旦已經(jīng)從信任、認(rèn)證和授權(quán)系統(tǒng)156接收到校驗(yàn)，則mafe系統(tǒng)126簽名命令請求并將其放置在隊(duì)列130中以由命令請求隊(duì)列系統(tǒng)(crqs)128來訪問。crqs128從隊(duì)列130中取得命令請求并且使用簽名校驗(yàn)組件138來校驗(yàn)mafe系統(tǒng)126的簽名。這由圖2中的框234所指示。

然后，crqs128將命令請求發(fā)送到認(rèn)證和權(quán)限系統(tǒng)104以用于批準(zhǔn)。認(rèn)證前端168(并且特別是能力令牌服務(wù)182)生成針對命令請求的能力令牌或批準(zhǔn)票據(jù)。它簽名命令請求并將命令請求及其批準(zhǔn)票據(jù)放置在多租戶管理系統(tǒng)116中的批準(zhǔn)的請求隊(duì)列132中。向系統(tǒng)104發(fā)送命令請求以用于批準(zhǔn)是由圖2中的框236所指示，并且批準(zhǔn)、簽名命令請求以及將命令請求置于批準(zhǔn)的請求隊(duì)列132中，由框238所指示。

然后，crqs128依次從批準(zhǔn)的請求隊(duì)列132中提取批準(zhǔn)的命令請求。一旦批準(zhǔn)的命令請求從隊(duì)列132中被取出，則簽名校驗(yàn)組件138校驗(yàn)批準(zhǔn)的命令請求上的認(rèn)證和權(quán)限系統(tǒng)104的簽名。這由框240所指示。然后，其簽名命令請求并且將命令請求發(fā)送到在多租戶容量系統(tǒng)140中的目標(biāo)機(jī)器142。這由框242所指示。

認(rèn)證前端系統(tǒng)150校驗(yàn)客戶端106、命令請求隊(duì)列系統(tǒng)128以及認(rèn)證和權(quán)限系統(tǒng)104的簽名，并將命令請求發(fā)送到認(rèn)證工作者組件146。這由框244所指示。然后，認(rèn)證工作者組件146訪問本地策略145并且校驗(yàn)認(rèn)證和權(quán)限系統(tǒng)104是否被授權(quán)以授予該訪問權(quán)從而在該特定資源上執(zhí)行該命令請求。這由框246所指示。當(dāng)這被確認(rèn)時，然后組件146訪問本地策略145中的映射，該映射將該特定命令請求映射到目標(biāo)機(jī)器142上的基于任務(wù)(例如，最小權(quán)限的)訪問隔離上下文(或最小特權(quán)的執(zhí)行環(huán)境)。這由框248所指示。然后，認(rèn)證工作者組件146在目標(biāo)機(jī)器142上的基于任務(wù)的訪問在隔離上下文中啟動命令。這由框250所指示。然后其將所執(zhí)行的命令的結(jié)果返回到客戶端系統(tǒng)106。這由框254所指示。

在一些示例中，架構(gòu)100可以使用基于票據(jù)(或令牌)工作的計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證協(xié)議。這些令牌允許通過非安全網(wǎng)絡(luò)進(jìn)行通信的節(jié)點(diǎn)以安全的方式證明它們彼此的身份，而無需公鑰基礎(chǔ)設(shè)施。其可以被用在客戶端-服務(wù)器架構(gòu)中，并提供相互認(rèn)證。客戶端和服務(wù)器均校驗(yàn)彼此的身份。其使用可靠的第三方，并且可以可選地包括公鑰加密。因此，客戶端系統(tǒng)106可以使用這些令牌來對系統(tǒng)102和104進(jìn)行認(rèn)證。圖3a-圖3c(這里統(tǒng)稱為圖3)示出了流程圖，示出了在多租戶管理系統(tǒng)116中在針對目標(biāo)機(jī)器(例如，機(jī)器118)執(zhí)行命令使用這種類型的認(rèn)證的架構(gòu)100的操作的一個示例。

在圖3中討論的示例中，用戶112首先提供指示用戶希望啟動認(rèn)證前端186的輸入。這可以作為客戶端控制臺或以其它方式被啟動。這由框260所指示。例如，在一個示例中，用戶可以希望作為待命工程師(或oce)登錄到系統(tǒng)中。這由框262所指示。當(dāng)然，用戶還可以提供指示他或她希望以其它方式啟動認(rèn)證前端186的輸入，并且這由框264所指示。

然后，用戶對認(rèn)證和權(quán)限系統(tǒng)104進(jìn)行認(rèn)證。這由框266所指示。認(rèn)證和權(quán)限系統(tǒng)104在本文中也可以被稱為ap系統(tǒng)104。在一個示例中，認(rèn)證前端186強(qiáng)制實(shí)施對ap系統(tǒng)104的雙因素認(rèn)證。例如，可以強(qiáng)制實(shí)施如框268所示的智能卡認(rèn)證、如框270所示的賬戶密碼認(rèn)證、或者如框272所示的其它認(rèn)證。一旦用戶登錄，則用戶可以提交針對多租戶管理系統(tǒng)116中的目標(biāo)機(jī)器(例如，管理機(jī)器118)的訪問請求(例如，命令和相對應(yīng)的參數(shù))。這由框274所指示。用戶可以通過在形成認(rèn)證前端186的客戶端控制臺上運(yùn)行的腳本來示例性地執(zhí)行此操作。這由框276所指示。用戶還可以以其它方式提交命令，并且這由框278所指示。

作為響應(yīng)，然后用戶對于mafe系統(tǒng)126是被認(rèn)證的。這由圖3的流程圖中的框280所指示。在一個示例中，ap系統(tǒng)104使用戶對于多租戶管理系統(tǒng)116是認(rèn)證的。這可以以各種方式來完成。在一個示例中，可以使用基于票據(jù)工作的計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證協(xié)議來完成，以允許通過不安全的網(wǎng)絡(luò)198進(jìn)行通信的系統(tǒng)104和116以安全的方式證明彼此的身份。在這樣的示例中，客戶端系統(tǒng)106和多租戶管理系統(tǒng)116使用ap系統(tǒng)104作為可信的第三方來校驗(yàn)彼此的身份。

一旦認(rèn)證完成，mafe系統(tǒng)126將用戶112請求的命令轉(zhuǎn)發(fā)到認(rèn)證前端168，并且在一個示例中將其轉(zhuǎn)發(fā)到能力令牌服務(wù)182。這由圖3中的框282所指示

能力令牌服務(wù)182示例性地確定命令請求是否被授權(quán)。這由框284所指示。例如，可以通過訪問基于角色的訪問控制和接口系統(tǒng)164來實(shí)現(xiàn)。這由框286所指示。也就是說，訪問系統(tǒng)164可以基于用戶的角色成員資格來確定用戶是否被授權(quán)執(zhí)行該命令。這也可以涉及風(fēng)險分析?？梢曰谙到y(tǒng)102中當(dāng)前所發(fā)生的事務(wù)、基于進(jìn)行請求的特定用戶112的用戶簡檔、基于其中將要執(zhí)行命令的系統(tǒng)的系統(tǒng)簡檔、以及其它來計(jì)算風(fēng)險度量。例如，如果請求用戶112通常不是將要進(jìn)行這樣的請求的用戶，或者如果請求是在異常時間(例如，非常繁忙的時間，或當(dāng)用戶112在度假時等)進(jìn)行的，那么這可以指示這是風(fēng)險相對高的命令。系統(tǒng)164示例性地考慮各種因素并計(jì)算風(fēng)險度量，該風(fēng)險度量指示與在此時和在這些情況下在目標(biāo)資源(或目標(biāo)機(jī)器)上執(zhí)行所請求的命令的請求用戶112相對應(yīng)的風(fēng)險。基于用戶的角色成員資格來校驗(yàn)用戶是否被授權(quán)執(zhí)行命令由框288所指示。還可以以其它方式校驗(yàn)用戶，并且這由框290所指示。

在框292，如果確定用戶沒有被授權(quán)執(zhí)行所請求的命令，則處理跳到框294，其中顯示了適當(dāng)?shù)腻e誤消息。然而，在框292，如果確定用戶被授權(quán)執(zhí)行所請求的命令，則處理移動到框296，其中能力令牌服務(wù)182生成可包括風(fēng)險度量的能力票據(jù)(或令牌)并利用與能力令牌服務(wù)182(或認(rèn)證前端168)相對應(yīng)的簽名證書對其進(jìn)行簽名。然后其將簽名的票據(jù)或令牌返回給mafe系統(tǒng)126。這由圖3中的框298所指示。

作為響應(yīng)，mafe系統(tǒng)126校驗(yàn)在已簽名的令牌上的認(rèn)證前端168(或能力令牌服務(wù)182)的簽名。這由框300所指示。然后，mafe系統(tǒng)126使用其自己的簽名證書簽名票據(jù)(或令牌)，并將票據(jù)(或令牌)發(fā)送到目標(biāo)機(jī)器118上的認(rèn)證工作者組件122。這分別由框302和304所指示。

在接收到簽名的票據(jù)(或令牌)之后，認(rèn)證工作者組件122校驗(yàn)(認(rèn)證前端168或令牌服務(wù)182，以及mafe系統(tǒng)126的)兩個簽名以確定它們是否有效。如在框308所確定的，如果簽名無效，則處理再次返回到框294，其中顯示錯誤消息。然而，如果在框308簽名有效，則認(rèn)證工作者組件122從票據(jù)(或令牌)獲得執(zhí)行級別(或隔離級別)。這由框310所指示。例如，在一個示例中，認(rèn)證工作者組件122訪問本地策略123以識別將單獨(dú)的命令(或命令集)映射到目標(biāo)機(jī)器118中的特權(quán)和權(quán)限的集合(或表征隔離級別的執(zhí)行環(huán)境的其它項(xiàng)目)的映射。

然后，認(rèn)證工作者組件122從票據(jù)(或令牌)中解包該命令及其相對應(yīng)的參數(shù)。這由框312所指示。然后，它打開基于任務(wù)的執(zhí)行環(huán)境(例如，具有需要用于適應(yīng)執(zhí)行命令所需的執(zhí)行級別或隔離級別的最少量的特權(quán)或權(quán)限的執(zhí)行環(huán)境)。這由框314所指示。將注意到，盡管在一個示例中使用最小特權(quán)和權(quán)限，但并不總是如此。例如，在另一個示例中，在執(zhí)行環(huán)境中被授予的權(quán)限或特權(quán)可以比絕對需要的權(quán)限或特權(quán)稍微更多。然而，特權(quán)和權(quán)限是基于將要執(zhí)行的特定命令來確定的。如上所述，一個示例是授予執(zhí)行命令所需的最少數(shù)量的權(quán)限和特權(quán)。

然后，認(rèn)證工作者組件122在剛剛打開的執(zhí)行環(huán)境中利用相對應(yīng)的參數(shù)來啟動命令。這由框316所指示。當(dāng)已經(jīng)執(zhí)行了命令時，然后組件122可以將結(jié)果返回到客戶端系統(tǒng)106。這由框318所指示。

圖4a-圖4c(這里統(tǒng)稱為圖4)示出了允許用戶112被認(rèn)證以在目標(biāo)機(jī)器上執(zhí)行命令(或其它任務(wù))的架構(gòu)100的操作的一個示例，其中信任、認(rèn)證和授權(quán)系統(tǒng)156使用公鑰基礎(chǔ)設(shè)施。圖4d-圖4g更詳細(xì)示出了圖1a和1b所示的多個項(xiàng)目。

例如，圖4d更詳細(xì)地示出了信任、認(rèn)證和授權(quán)系統(tǒng)156的一個示例。圖4d示出了系統(tǒng)156可以包括雙因素認(rèn)證組件330、公鑰基礎(chǔ)設(shè)施系統(tǒng)332(其本身可以包括密鑰組件334、證書組件336和其它項(xiàng)目338)，并且系統(tǒng)156還可以包括其它項(xiàng)目340。

圖4e更詳細(xì)地示出了mafe系統(tǒng)126的一個示例。圖4e示出了mafe系統(tǒng)126可以包括密鑰組件342、散列函數(shù)引擎344、證書系統(tǒng)346(其本身可以包括校驗(yàn)組件348、簽名組件350和其它項(xiàng)目352)、隊(duì)列路由組件354，并且mafe系統(tǒng)126可以包括其它項(xiàng)目356。

圖4f更詳細(xì)地示出了能力令牌服務(wù)182的一個示例。在圖4f所示的例子中，服務(wù)182示例性地包括簽名校驗(yàn)引擎358、簽名組件360、工作流分組生成器362，并且能力令牌服務(wù)182可以包括其它項(xiàng)目364。

圖4g更詳細(xì)地示出了認(rèn)證工作者組件122的一個示例。組件122可以包括例如簽名校驗(yàn)組件366、本地驗(yàn)證組件368、執(zhí)行(或隔離)級別標(biāo)識符組件370、執(zhí)行環(huán)境生成器372、命令執(zhí)行引擎374，并且認(rèn)證工作者組件122可以包括其它項(xiàng)目376?，F(xiàn)在將彼此結(jié)合來描述圖1a、圖1b、圖4和圖4d-圖4g。

再次，圖4a-圖4c(這里統(tǒng)稱為圖4)示出了顯示了允許用戶112在多租戶管理系統(tǒng)116中的目標(biāo)機(jī)器上執(zhí)行命令的架構(gòu)100的操作的一個示例的流程圖。關(guān)于在多租戶容量系統(tǒng)140中的目標(biāo)機(jī)器上執(zhí)行命令或操作的用戶112也可以執(zhí)行相同類型的處理，并且圖4中的描述僅作為示例而提供。為了圖4的說明起見，還假設(shè)該信任、認(rèn)證和授權(quán)系統(tǒng)156被提供有圖4d所示的公鑰基礎(chǔ)設(shè)施332。

用戶112首先在客戶端系統(tǒng)106上啟動客戶端控制臺(或認(rèn)證前端186)。這由圖4中的框380所指示。然后，用戶112使用雙因素認(rèn)證來示例性地對ap系統(tǒng)104進(jìn)行認(rèn)證。這由框382所指示。作為示例，認(rèn)證前端186示例性地進(jìn)行檢查以確保用戶112具有用戶訪問請求簽名證書。這可以存儲在訪問管理系統(tǒng)162中的用戶訪問賬戶178中。這由框384所指示。

如果用戶沒有用戶訪問簽名證書(ua簽名證書)，則認(rèn)證前端186請求一個用戶訪問簽名證書。在這樣做時，認(rèn)證前端186示例性地創(chuàng)建公鑰/私鑰對，并且利用該密鑰對來創(chuàng)建針對ua簽名證書的請求。這由圖4中的框386和388所指示。然后，它將該請求發(fā)送到發(fā)布證書權(quán)威機(jī)制(如圖4d所示的公鑰基礎(chǔ)設(shè)施332中的證書組件336)。這由框390所指示。證書組件336響應(yīng)于該請求而發(fā)出ua簽名證書。這由框392所指示。這可以以各種不同的方式來完成。例如，證書組件336可以使用基于角色的訪問控制和接口系統(tǒng)164或使用用戶訪問賬戶178或服務(wù)器訪問賬戶180，通過身份管理系統(tǒng)166，或者以其它方法來校驗(yàn)用戶是給定組的成員。這分別由框394和396所指示。

在框384，如果確定了該用戶具有ua簽名證書，或者在框392之后當(dāng)針對用戶發(fā)布了ua簽名證書時，然后用戶112可以將用戶希望在多租戶管理系統(tǒng)116中的目標(biāo)機(jī)器118上執(zhí)行的訪問請求(例如，命令)提交到mafe系統(tǒng)126。這樣做時，認(rèn)證前端186(或認(rèn)證客戶端控制臺)使用ua請求簽名證書來簽名請求。這由圖4中的框398所指示。簽名的請求包括識別用戶正在請求執(zhí)行的特定命令的用戶請求400。簽名的請求還示例性地包括請求的數(shù)字簽名，其可以包括用戶請求的單向散列和發(fā)布給用戶的ua請求簽名證書的副本。這由框402所指示。當(dāng)然，如框404所指示，它也可以包括其它項(xiàng)目。

然后，在mafe系統(tǒng)126(圖4e所示)中，驗(yàn)證組件348使用被包括在請求中的ua請求簽名證書來校驗(yàn)客戶端簽名。這由框406所指示。校驗(yàn)組件348可以這樣做是因?yàn)榘趗a請求簽名證書中的公鑰成功地重新計(jì)算訪問請求的單向散列函數(shù)。因此，例如，密鑰組件342從ua請求簽名證書獲得公鑰。這由框308所指示。散列函數(shù)引擎344然后計(jì)算單向散列以獲得訪問請求數(shù)據(jù)(例如，表示命令的數(shù)據(jù))。這由框410所指示。由于用戶的ua請求簽名證書本身是由發(fā)布證書權(quán)威機(jī)制(例如，信任、認(rèn)證和授權(quán)系統(tǒng)156中的證書組件336，如圖4d所示)簽名的，校驗(yàn)組件348校驗(yàn)發(fā)布證書鏈以查看發(fā)布證書權(quán)威機(jī)制(證書組件336)是可信的。這由框412所指示。mafe系統(tǒng)126也可以以其它方式校驗(yàn)客戶端簽名，并且這由框414所指示。

然后，mafe系統(tǒng)126中的簽名組件350使用mafe訪問請求簽名證書對用戶訪問請求進(jìn)行簽名。這由框416所指示。

然后，mafe系統(tǒng)126中的隊(duì)列路由組件354將簽名的請求(例如，本文中也稱為工作流二進(jìn)制大型對象(blob))放置在請求隊(duì)列130中。這由圖4中的框418所指示。然后，crqs系統(tǒng)128從隊(duì)列130取得簽名的請求，并將其發(fā)送到ap系統(tǒng)104中的能力令牌服務(wù)182。這由圖4中的框420所指示。能力令牌服務(wù)182中的簽名校驗(yàn)引擎358(圖4f)校驗(yàn)mafe系統(tǒng)126的簽名和用戶簽名(或客戶端系統(tǒng)106的簽名)，并且校驗(yàn)用戶112是否被授權(quán)執(zhí)行工作流。然后，簽名組件360利用能力令牌(ct)服務(wù)簽名證書對其進(jìn)行簽名，并且工作流分組生成器362生成新的、批準(zhǔn)的工作流，并將新的、批準(zhǔn)的工作流放置在批準(zhǔn)的請求隊(duì)列132中。這由圖4中的框422所指示。

在一個示例中，工作流blob識別進(jìn)行請求的用戶、對應(yīng)于該命令的所請求的動作、以及在其上執(zhí)行該命令的目標(biāo)資源。這由框424所指示。能力令牌服務(wù)182可以訪問基于角色的訪問控制和接口系統(tǒng)164，如框426所指示。系統(tǒng)164提供關(guān)于用戶是否被授權(quán)執(zhí)行由工作流指示的命令的指示。

能力令牌服務(wù)182還可以訪問角色請求和批準(zhǔn)系統(tǒng)158以確定該用戶是否需要批準(zhǔn)(例如，來自用戶的管理者的)以便執(zhí)行命令。如果需要，則可以執(zhí)行上面關(guān)于圖2討論的批準(zhǔn)過程。這由框428所指示。

一旦系統(tǒng)182批準(zhǔn)該工作流，這指示ap系統(tǒng)104已經(jīng)授權(quán)了用于目標(biāo)機(jī)器上的目標(biāo)資源的工作流。這由圖4中的框430所指示。能力令牌服務(wù)182當(dāng)然也可以執(zhí)行其它動作，并且這由框432所指示。

當(dāng)批準(zhǔn)的工作流出現(xiàn)在批準(zhǔn)的請求隊(duì)列132中時，crqs系統(tǒng)128示例性地提取該工作流，將其分解并將新的批準(zhǔn)的工作流分發(fā)到相對應(yīng)的目標(biāo)機(jī)器118，使得該命令可以在該機(jī)器上被啟動。這由框434所指示。新的批準(zhǔn)的工作流被示例性地分解為將要在目標(biāo)機(jī)器上執(zhí)行的任務(wù)的集合436。其也可以說明性地分解為定義任務(wù)的參數(shù)、以及針對該任務(wù)中的每一個的執(zhí)行級別或范圍。這由框438所指示。分解還可以包括其它信息440。

認(rèn)證工作者組件122示例性地在目標(biāo)機(jī)器上接收該分解的批準(zhǔn)的工作流，并且訪問先前已經(jīng)接收到的根證書權(quán)威機(jī)制證書，并校驗(yàn)工作負(fù)載上的所有簽名，并且還使用本地策略131(或?qū)C(jī)器118是本地的本地策略123)來本地驗(yàn)證工作流。這由框442所指示?；叵胍幌?，工作流將示例性地包括用戶(或客戶端)106、mafe系統(tǒng)126和能力令牌服務(wù)182的簽名。這由框444所指示。因此，認(rèn)證工作者組件122中的簽名校驗(yàn)組件366校驗(yàn)該簽名。本地驗(yàn)證組件368可以訪問本地策略123以確定ap系統(tǒng)104是否被授權(quán)在這些目標(biāo)資源上針對該命令認(rèn)證該用戶。本地驗(yàn)證組件368也可以驗(yàn)證命令中的各種任務(wù)，并且下面關(guān)于圖6描述這種情況的一個示例。當(dāng)然，本地驗(yàn)證組件368也可以執(zhí)行其它動作，這由框446所指示。

如框448處所確定的，如果簽名或工作流無效，則如框450所示的可以顯示適當(dāng)?shù)腻e誤消息。然而，如果簽名和工作流有效，則處理在框452繼續(xù)。

然后，執(zhí)行(或隔離)級別標(biāo)識符組件370識別工作流將要以其操作的執(zhí)行級別(或隔離級別)，以便完成該命令。在一個示例中，執(zhí)行(或隔離)級別標(biāo)識符組件370訪問本地策略131(或123)。本地策略示例性地包括各種單獨(dú)的命令和執(zhí)行級別(或執(zhí)行命令所需的隔離級別)之間的映射。例如，映射可以包括命令和執(zhí)行命令或命令中的各種任務(wù)所需的權(quán)限或特權(quán)的集合之間的映射。識別執(zhí)行級別(或隔離級別)由框452所指示。

然后，認(rèn)證工作者組件122使用執(zhí)行環(huán)境生成器372來打開具有適應(yīng)用于執(zhí)行與命令相對應(yīng)的工作流的執(zhí)行級別(或隔離級別)所需的最小特權(quán)(或至少基于任務(wù)的特權(quán))的執(zhí)行環(huán)境。這由框454所指示。然后，命令執(zhí)行引擎374在最小特權(quán)執(zhí)行環(huán)境中執(zhí)行工作流，如框456所指示。在一個示例中，組件122返回執(zhí)行的命令的結(jié)果。這由框458所指示。

圖5是更詳細(xì)地示出了認(rèn)證工作者組件122的操作的一個示例的流程圖。在一個示例中，將要在目標(biāo)機(jī)器118上執(zhí)行的各種工作流被存儲在隊(duì)列中，并且被依次執(zhí)行。因此，認(rèn)證工作者組件122監(jiān)測接收到的工作流的本地工作流隊(duì)列。這由框460所指示。然后，認(rèn)證工作者組件122從本地隊(duì)列中提取工作流分組，如框462所指示，并且簽名校驗(yàn)組件366校驗(yàn)工作流分組上的簽名。

然后，組件122解包工作流以識別各種任務(wù)和用于這些任務(wù)的相對應(yīng)的范圍(或參數(shù))。這由框466所指示。例如，給定的工作流可以包括多個較低級別的命令或任務(wù)，并且可以暗示跨不同機(jī)器和不同角色的執(zhí)行。每個任務(wù)均可以僅適用于指定范圍內(nèi)的機(jī)器角色中的一些。例如，范圍可以是定義針對其提交命令請求的系統(tǒng)、租戶、站點(diǎn)等的一個或多個參數(shù)的組合。然后，本地驗(yàn)證組件368訪問本地授權(quán)策略并校驗(yàn)工作流是否被本地策略授權(quán)。這由框468和470所指示。作為一個示例，授權(quán)策略可以將不同的范圍映射到不同的機(jī)器。因此，本地驗(yàn)證組件368可以校驗(yàn)范圍是否是用于當(dāng)前目標(biāo)機(jī)器的。這由框472所指示。組件368還可以執(zhí)行基于任務(wù)的訪問驗(yàn)證(其在下面關(guān)于圖6被更詳細(xì)地描述)。這由框474所指示。此外，也可以以其它方式校驗(yàn)工作流是否被本地策略授權(quán)，并且這由框476所指示。

然后，執(zhí)行級別標(biāo)識符組件370識別基于任務(wù)的執(zhí)行環(huán)境。在一個示例中，這是執(zhí)行命令或其它請求中的各種任務(wù)所需的最小特權(quán)環(huán)境。在另一個示例中，特權(quán)被劃分為組，并且它是使系統(tǒng)變得最不可訪問但仍然能夠使任務(wù)被執(zhí)行的特權(quán)的組。雖然這在技術(shù)上可以不是“最小特權(quán)的”執(zhí)行環(huán)境，但它是基于將要執(zhí)行的任務(wù)而受到限制的執(zhí)行環(huán)境。這由框478所指示。再次，這可以以多種方式來完成。例如，執(zhí)行環(huán)境可以由工作流開發(fā)者指定，如框480所指示。執(zhí)行環(huán)境可以被局限于本地服務(wù)，如框482所指示。它可以被局限于網(wǎng)絡(luò)服務(wù)，如484所指示，或者它可以基于特定服務(wù)賬戶而被識別，如框486所指示。它也可以以其它方式被識別，并且這由框488所指示。

然后，執(zhí)行環(huán)境生成器372生成執(zhí)行命令或任務(wù)集所需的執(zhí)行環(huán)境。在一個示例中，其從ap系統(tǒng)104獲得與所識別的、最小特權(quán)的執(zhí)行環(huán)境相對應(yīng)的訪問令牌。這由框490所指示。然后，命令執(zhí)行引擎374使用最小特權(quán)的訪問令牌啟動工作流進(jìn)入子進(jìn)程中。這由框492所指示。

圖6a和圖6b(這里統(tǒng)稱為圖6)示出了認(rèn)證工作者組件122在執(zhí)行基于任務(wù)的訪問驗(yàn)證中的操作的一個示例。這也由上述圖5中的框474所表示。

回想一下，從ap系統(tǒng)104接收到的授權(quán)語句(或授權(quán)的命令請求)是簽名的消息，其包含了用戶的用戶(或客戶端)簽名的標(biāo)識符以及識別工作流和的工作流標(biāo)識符、以及在其上執(zhí)行該工作流的目標(biāo)范圍。當(dāng)ap系統(tǒng)104授權(quán)工作流時，如果需要，它這樣做是基于用戶的角色成員資格、與用戶角色成員資格相關(guān)聯(lián)的范圍、以及管理器批準(zhǔn)工作流的完成。給定的工作流可以包括多個較低級別的命令或任務(wù)，并且可以暗示跨不同機(jī)器和不同角色的執(zhí)行。

從ap系統(tǒng)104接收到的授權(quán)語句示例性地是在由用戶識別的范圍中的工作流的高級授權(quán)。然而，這些語句不會在每個目標(biāo)機(jī)器上均提供任務(wù)級的訪問驗(yàn)證。由于架構(gòu)100的分布式授權(quán)設(shè)計(jì)，crqs128無權(quán)來授權(quán)工作流的執(zhí)行。因此，目標(biāo)機(jī)器上的授權(quán)工作者組件122在任務(wù)的執(zhí)行之前執(zhí)行每個任務(wù)的授權(quán)。認(rèn)證工作者組件122可以這樣做，是因?yàn)楫?dāng)它從crqs128接收到工作項(xiàng)目時，系統(tǒng)128將工作流分解為所需的任務(wù)和用于這些任務(wù)的參數(shù)(或范圍)。認(rèn)證工作者組件122上的本地驗(yàn)證組件368授權(quán)該任務(wù)。這可以校驗(yàn)任務(wù)和范圍是否是工作流的部分，并且校驗(yàn)由ap系統(tǒng)104授權(quán)的范圍是否對應(yīng)于目標(biāo)機(jī)器的范圍。為此，認(rèn)證工作者組件122中的本地驗(yàn)證組件368針對本地授權(quán)策略123檢查每個任務(wù)，其中本地授權(quán)策略123包括每個工作流與相對應(yīng)的任務(wù)的映射。

通常，ap系統(tǒng)104發(fā)布聲明的集合，其包括用戶識別的工作流和用戶識別的范圍。當(dāng)校驗(yàn)出工作負(fù)載包含指定的任務(wù)時，crqs128查詢本地授權(quán)策略131以查看工作流是否包括指定的任務(wù)。當(dāng)校驗(yàn)任務(wù)的范圍時，認(rèn)證工作者組件122校驗(yàn)由crqs128提供的范圍是否與ap系統(tǒng)104所批準(zhǔn)的聲明的范圍相匹配，并且還校驗(yàn)指定范圍實(shí)際上是否包括本地機(jī)器(或目標(biāo)機(jī)器)118。圖6a和圖6b(這里統(tǒng)稱為圖6)更詳細(xì)地示出了該操作。

首先假設(shè)認(rèn)證工作者組件122已經(jīng)被接收到并且校驗(yàn)了在工作流分組上的簽名且對工作流分組進(jìn)行解包。這由圖6中的框494所指示。在一個示例中，由用戶id識別的給定用戶請求在一組任務(wù)t上具有給定范圍的工作流x。每個任務(wù)具有相對應(yīng)的任務(wù)范圍。這可以如496所示的被表示。當(dāng)然，它可以以其它方式498被表示。

本地驗(yàn)證組件368首先從工作流分組中選擇任務(wù)和相對應(yīng)的范圍。這由框500所指示。然后，本地驗(yàn)證組件368訪問本地授權(quán)策略數(shù)據(jù)存儲(例如，本地策略123)。這由框502所指示。本地策略123示例性地將任務(wù)映射到工作流。這由框504所指示。它也可以包括其它信息，如由框506所指示。然后，本地驗(yàn)證組件368確定所選擇的任務(wù)是否被映射到在496處指示的所識別的工作流。確定由圖6中的框508所指示。如果不是，則如框510所示生成適當(dāng)?shù)腻e誤消息。然后，然而如果是，則本地驗(yàn)證組件368確定與所選擇的任務(wù)相對應(yīng)的范圍是否與由能力令牌服務(wù)182授權(quán)的范圍相匹配。這由框512所指示。然后，如果是，則本地驗(yàn)證組件368確定對應(yīng)于所選擇的任務(wù)的范圍是否應(yīng)用于該特定的本地機(jī)器(例如，機(jī)器118)。這由框514所指示。如果框512或514中的任何一個的答案為否，則處理再次返回到框510，其中生成適當(dāng)?shù)腻e誤消息。然而，如果每個框處的答案是肯定的，則該任務(wù)已被本地驗(yàn)證以用于在該特定目標(biāo)機(jī)器上的執(zhí)行。這由框516所指示。然后，在框518，本地驗(yàn)證組件368確定在由方框496所指示的工作流中是否存在將要處理的任何附加任務(wù)。如果是，則處理返回到框500。如果不是，針對該機(jī)器所有任務(wù)都是已驗(yàn)證的。

本討論提到了處理器和服務(wù)器。在一個實(shí)施例中，處理器和服務(wù)器包括具有關(guān)聯(lián)的存儲器和定時電路的計(jì)算機(jī)處理器，沒有獨(dú)立地示出。它們是其所屬的系統(tǒng)或設(shè)備的功能部件，并且由這些系統(tǒng)中的其它組件或項(xiàng)目的功能激活以及有助于這些系統(tǒng)中的其它組件或項(xiàng)目的功能。

而且，已經(jīng)討論了許多用戶界面顯示。它們可以采用廣泛的各種不同的形式，并且可以在其上設(shè)置有各種不同的用戶可致動的輸入機(jī)制。例如，用戶可致動的輸入機(jī)制可以是文本框、復(fù)選框、圖標(biāo)、鏈接、下拉菜單、搜索框等。它們也可以以各種不同的方式來致動。例如，它們可以使用指向和點(diǎn)擊設(shè)備(如軌跡球或鼠標(biāo))來致動它們。它們可以使用硬件按鈕、開關(guān)、操縱桿或鍵盤、拇指開關(guān)或拇指墊等來致動它們。它們也可以使用虛擬鍵盤或其它虛擬執(zhí)行器來致動。另外，在其上顯示它們的屏幕是觸感屏幕，它們可以使用觸摸姿勢來致動。此外，顯示它們的設(shè)備具有語音識別組件，可以使用語音命令來致動它們。

還已經(jīng)討論了許多數(shù)據(jù)存儲。將會注意到，它們各自可以被分成多個數(shù)據(jù)存儲。對于訪問它們的系統(tǒng)所有這些都可以是本地的、所有這些都可以是遠(yuǎn)程的、或者一些可以是本地的，而另一些則是遠(yuǎn)程的。所有這些配置都在本文中設(shè)想。

而且，附圖示出了多個框，功能是歸因于每個框的。應(yīng)該注意的是，可以使用較少的框，則功能由較少的組件來執(zhí)行。而且，隨著功能被分布在更多組件之間可以使用更多的框。

圖7是圖1a中所示的架構(gòu)100的框圖，只是其中將架構(gòu)100的元件置于云計(jì)算架構(gòu)520中。云計(jì)算提供了計(jì)算、軟件、數(shù)據(jù)訪問和存儲服務(wù)，其不需要終端用戶對傳送服務(wù)的系統(tǒng)的物理位置或配置的了解。在各種實(shí)施例中，云計(jì)算使用適當(dāng)?shù)膮f(xié)議在廣域網(wǎng)(例如因特網(wǎng))上傳送服務(wù)。例如，云計(jì)算提供方在廣域網(wǎng)上傳送應(yīng)用，并且可以通過web瀏覽器或任何其它計(jì)算組件進(jìn)行訪問。架構(gòu)100的軟件或組件以及相對應(yīng)的數(shù)據(jù)可以被存儲在遠(yuǎn)程位置的服務(wù)器上。云計(jì)算環(huán)境中的計(jì)算資源可以在遠(yuǎn)程數(shù)據(jù)中心位置被整合或可以被分散。云計(jì)算基礎(chǔ)設(shè)施可以通過共享的數(shù)據(jù)中心傳送服務(wù)，即使它們作為用于用戶的單一訪問點(diǎn)出現(xiàn)。因此，本文描述的組件和功能可以使用云計(jì)算架構(gòu)從遠(yuǎn)程位置處的服務(wù)提供方被提供?？商娲?，它們可以從常規(guī)服務(wù)器中被提供，或者它們可以直接或以其它方式被安裝在客戶端設(shè)備上。

該描述是要包括公共的云計(jì)算和私有的云計(jì)算。云計(jì)算(公共的和私有的)提供了大量無縫的資源池，以及對管理和配置底層硬件基礎(chǔ)設(shè)施的減少的需求。

公共的云由供應(yīng)商管理，并且通常支持使用相同的基礎(chǔ)設(shè)施的多個消費(fèi)者。而且，與私有的云不同，公共的云可以將終端用戶從管理硬件中釋放出來。私有的云可以由組織本身管理，并且基礎(chǔ)架構(gòu)通常不與其它組織共享。組織仍然在某種程度上維護(hù)硬件，如安裝和維修等。

在圖7所示的示例中，一些項(xiàng)目類似于圖1a所示的項(xiàng)目，并且它們被類似地編號。圖7具體示出了多租戶工作負(fù)載系統(tǒng)102，并且認(rèn)證和權(quán)限系統(tǒng)104可以位于云522(其可以是公共的，私有的或其中部分是公共的而另一些部分是私有的組合)中。因此，用戶112使用用戶設(shè)備524通過云522訪問這些系統(tǒng)。

圖7還描繪了云架構(gòu)的另一個示例。圖7示出了也可以設(shè)想到，架構(gòu)100的一些元件可以被設(shè)置在云522中，而其它元件不能被設(shè)置在云522中。作為示例，數(shù)據(jù)存儲160可以被設(shè)置在云522之外，并且通過云522被訪問。在另一示例中，ap系統(tǒng)104也可以在云252之外。無論它們位于何處，它們都可以由設(shè)備524通過網(wǎng)絡(luò)(廣域網(wǎng)或局域網(wǎng))直接訪問、它們可以在遠(yuǎn)程站點(diǎn)處由服務(wù)來托管、或者它們可以通過云作為服務(wù)被提供、或者由駐留在云中的連接服務(wù)來訪問。本文設(shè)想所有這些架構(gòu)。

還將注意到，架構(gòu)100或其部分可以被布置在廣泛的各種不同的設(shè)備上。這些設(shè)備中的一些設(shè)備包括服務(wù)器、桌上型計(jì)算機(jī)、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)或其它移動設(shè)備，例如掌上計(jì)算機(jī)、蜂窩電話、智能電話、多媒體播放器、個人數(shù)字助理等。

圖8是可用作用戶或客戶端的手持設(shè)備16的手持或移動計(jì)算設(shè)備的一個示例性實(shí)施例的簡化框圖，其中可以部署本系統(tǒng)(或其部分)。圖9-圖10是手持設(shè)備或移動設(shè)備的示例。

圖8提供了可以運(yùn)行數(shù)據(jù)中心102或ap系統(tǒng)104或管理客戶端系統(tǒng)106的組件或者與架構(gòu)100進(jìn)行交互或兩者的客戶端設(shè)備16的組件的一般框圖。在設(shè)備16中，提供了通信鏈路13，其允許手持設(shè)備與其它計(jì)算設(shè)備進(jìn)行通信，并且在一些實(shí)施例下提供了用于例如通過掃描自動接收信息的信道。通信鏈路13的示例包括紅外端口、串行/usb端口、諸如以太網(wǎng)端口之類的有線網(wǎng)絡(luò)端口、以及允許通過包括通用分組無線業(yè)務(wù)(gprs)、lte、hspa、hspa+和其它3g和4g無線電協(xié)議、1xrtt和短消息服務(wù)的一個或多個通信協(xié)議進(jìn)行通信的無線網(wǎng)絡(luò)端口，其中這些通信協(xié)議是用于向網(wǎng)絡(luò)提供蜂窩接入的無線服務(wù)，以及wi-fi協(xié)議和藍(lán)牙協(xié)議，它們提供到網(wǎng)絡(luò)的本地?zé)o線連接。

在其它示例下，應(yīng)用或系統(tǒng)在連接到sd卡接口15的可移動安全數(shù)字(sd)卡上被接收。sd卡接口15和通信鏈路13沿著總線19與處理器17(其也可以包含來自圖1a的處理器)進(jìn)行通信，總線19也連接到存儲器21和輸入/輸出(i/o)組件23以及時鐘25和定位系統(tǒng)27。

在一個實(shí)施例中，i/o組件23被提供以有助于輸入和輸出操作。用于設(shè)備16的各種實(shí)施例的i/o組件23可以包括以下輸入組件和輸出組件：輸入組件例如，按鈕、觸摸傳感器、多點(diǎn)觸摸傳感器、光學(xué)或視頻傳感器、語音傳感器、觸摸屏、接近傳感器、麥克風(fēng)、傾斜傳感器和重力開關(guān)，輸出組件例如顯示設(shè)備、揚(yáng)聲器和打印機(jī)端口。也可以使用其它i/o組件23。

時鐘25示例性地包括輸出時間和日期的實(shí)時時鐘組件。也可以示例性地向處理器17提供定時功能。

定位系統(tǒng)27示例性地包括輸出設(shè)備16的當(dāng)前地理位置的組件。這可以包括例如全球定位系統(tǒng)(gps)接收機(jī)、loran系統(tǒng)、航位推算系統(tǒng)、蜂窩三角測量系統(tǒng)，或其它定位系統(tǒng)。它還可以包括例如生成所需地圖、導(dǎo)航路線和其它地理功能的地圖軟件或?qū)Ш杰浖?/p>

存儲器21存儲操作系統(tǒng)29、網(wǎng)絡(luò)設(shè)置31、應(yīng)用33、應(yīng)用配置設(shè)置35、數(shù)據(jù)存儲裝置37、通信驅(qū)動器39和通信配置設(shè)置41。存儲器21可以包括所有類型的有形易失性和非易失性計(jì)算機(jī)可讀存儲器設(shè)備。它還可以包括計(jì)算機(jī)存儲介質(zhì)(如下所述)。存儲器21存儲計(jì)算機(jī)可讀指令，當(dāng)由處理器17執(zhí)行時，使處理器根據(jù)指令執(zhí)行計(jì)算機(jī)實(shí)現(xiàn)的步驟或功能。類似地，設(shè)備16可以具有客戶端系統(tǒng)24，客戶端系統(tǒng)24可以運(yùn)行各種商業(yè)應(yīng)用或者實(shí)現(xiàn)租戶114或管理客戶端100的部分或全部。處理器17也可以被其它組件激活以有利于其功能。

網(wǎng)絡(luò)設(shè)置31的示例包括諸如代理信息、因特網(wǎng)連接信息和映射之類的事物。應(yīng)用配置設(shè)置35包括針對特定企業(yè)或用戶定制應(yīng)用的設(shè)置。通信配置設(shè)置41提供用于與其它計(jì)算機(jī)通信的參數(shù)，并且包括諸如gprs參數(shù)、sms參數(shù)、連接用戶名和密碼之類的項(xiàng)目。

應(yīng)用33可以是先前已經(jīng)存儲在設(shè)備16上的應(yīng)用或在使用期間安裝的應(yīng)用，盡管它們也可以是操作系統(tǒng)29的部分，也可以被托管在設(shè)備16外部。

圖9示出了其中設(shè)備16是平板計(jì)算機(jī)600的一個實(shí)施例。在圖6中，計(jì)算機(jī)600被顯示為具有用戶界面顯示屏幕602。屏幕602可以是觸摸屏(因此可以使用來自用戶手指的觸摸姿勢來與應(yīng)用進(jìn)行交互)或者從筆或觸控筆接收輸入的啟用筆的界面。它也可以使用屏幕上的虛擬鍵盤。當(dāng)然，也可以通過諸如無線鏈路或usb端口之類的合適的附接機(jī)制將計(jì)算機(jī)600附接到鍵盤或其它用戶輸入設(shè)備。計(jì)算機(jī)600也可以示例性地接收語音輸入。

還可以使用設(shè)備16的附加示例。設(shè)備16可以是功能電話、智能電話或移動電話。電話可以包括用于撥打電話號碼的一組小鍵盤、能夠顯示包括應(yīng)用圖像、圖標(biāo)、網(wǎng)頁、照片和視頻的圖像的顯示器，以及用于選擇顯示器上顯示的項(xiàng)目的控制按鈕。電話包括用于接收蜂窩電話信號的天線，蜂窩電話信號例如通用分組無線業(yè)務(wù)(gprs)和1xrtt以及短消息服務(wù)(sms)信號。在一些示例中，電話還包括接受sd卡的安全數(shù)字(sd)卡插槽。

移動設(shè)備還可以是個人數(shù)字助理或多媒體播放器或平板計(jì)算設(shè)備等(以下稱為pda)。pda可以包括當(dāng)觸控筆位于屏幕上方時，感應(yīng)觸控筆(或其它指針，例如用戶的手指)的位置的感應(yīng)屏幕。這允許用戶選擇、突出顯示和移動屏幕上的項(xiàng)目以及繪圖和書寫。pda還可以包括許多用戶輸入鍵或按鈕，其允許用戶滾動顯示在顯示器上的菜單選項(xiàng)或其它顯示選項(xiàng)，并且允許用戶改變應(yīng)用或選擇用戶輸入功能，而不用接觸顯示器。pda可以包括內(nèi)部天線和允許與其它計(jì)算機(jī)的無線通信的紅外發(fā)射機(jī)/接收機(jī)以及允許與其它計(jì)算設(shè)備的硬件連接的連接端口。這樣的硬件連接通常通過經(jīng)由串行或usb端口連接到另一計(jì)算機(jī)的支架進(jìn)行。因此，這些連接是非網(wǎng)絡(luò)連接。

圖10示出了電話可以是智能電話71。智能電話71具有顯示圖標(biāo)或瓦片或其它用戶輸入機(jī)制75的觸敏顯示器73。用戶可以使用機(jī)制75來運(yùn)行應(yīng)用、進(jìn)行呼叫、執(zhí)行數(shù)據(jù)傳輸操作等。通常，智能電話71建立在移動操作系統(tǒng)上，并且提供比功能電話更高級的計(jì)算能力和連接性。

注意，設(shè)備16的其它形式是可能的。

圖11是其中可以部署架構(gòu)100或其部分(例如)的計(jì)算環(huán)境的一個實(shí)施例。參考圖11，用于實(shí)現(xiàn)一些實(shí)施例的示例性系統(tǒng)包括以計(jì)算機(jī)810形式的通用計(jì)算設(shè)備。計(jì)算機(jī)810的組件可以包括但不限于處理單元820(其可以包括上文所討論的任何處理器)、系統(tǒng)存儲器830和系統(tǒng)總線821，系統(tǒng)總線821將包括系統(tǒng)存儲器的各種系統(tǒng)組件耦合到處理單元820。系統(tǒng)總線821可以是包括存儲器總線或存儲器控制器、外設(shè)總線和使用各種總線架構(gòu)中的任何一種的本地總線的幾種類型的總線結(jié)構(gòu)中的任何一種。作為示例而非限制，這種架構(gòu)包括工業(yè)標(biāo)準(zhǔn)架構(gòu)(isa)總線、微通道架構(gòu)(mca)總線、增強(qiáng)型isa(eisa)總線、視頻電子標(biāo)準(zhǔn)協(xié)會(vesa)本地總線、和外圍組件互連(pci)總線，但也稱為夾層總線。關(guān)于圖1a描述的存儲器和程序可以被部署在圖11的相對應(yīng)的部分中。

計(jì)算機(jī)810通常包括各種計(jì)算機(jī)可讀介質(zhì)。計(jì)算機(jī)可讀介質(zhì)可以是可由計(jì)算機(jī)810訪問的任何可用介質(zhì)并且包括易失性和非易失性介質(zhì)、可移動和不可移動介質(zhì)。作為示例而非限制，計(jì)算機(jī)可讀介質(zhì)可以包括計(jì)算機(jī)存儲介質(zhì)和通信介質(zhì)。計(jì)算機(jī)存儲介質(zhì)與調(diào)制的數(shù)據(jù)信號或載波不同，并且不包括調(diào)制的數(shù)據(jù)信號或載波。計(jì)算機(jī)存儲介質(zhì)包括硬件存儲介質(zhì)，包括以用于存儲諸如計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)之類的信息的方法或技術(shù)中的任何一種來實(shí)現(xiàn)的易失性和非易失性、可移動和不可移動介質(zhì)。計(jì)算機(jī)存儲介質(zhì)包括但不限于ram、rom、eeprom、閃速存儲器或其它存儲器技術(shù)、cd-rom、數(shù)字通用盤(dvd)或其它光盤存儲器、磁帶盒、磁帶、磁盤存儲器或其它磁存儲設(shè)備或可用于存儲所需信息并且可由計(jì)算機(jī)810訪問的任何其它介質(zhì)。通信介質(zhì)通常包含計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或傳輸機(jī)制中的其它數(shù)據(jù)，并且包括任何信息傳送媒體。術(shù)語“調(diào)制的數(shù)據(jù)信號”是指以將信息編碼在信號中的方式設(shè)置或改變其特征中的一個或多個的信號。作為示例而非限制，通信介質(zhì)包括諸如有線網(wǎng)絡(luò)或直接有線連接之類的有線介質(zhì)以及諸如聲學(xué)、rf、紅外和其它無線介質(zhì)之類的無線介質(zhì)。上述的任何項(xiàng)的組合也應(yīng)包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。

系統(tǒng)存儲器830包括諸如只讀存儲器(rom)831和隨機(jī)存取存儲器(ram)832之類的易失性和/或非易失性存儲器形式的計(jì)算機(jī)存儲介質(zhì)。包含有助于在計(jì)算機(jī)810內(nèi)的元件之間(例如在致動期間)傳送信息的基本例程的基本輸入/輸出系統(tǒng)833(bios)通常存儲在rom831中。ram832通常包含通過處理單元820可立即訪問和/或由處理單元820當(dāng)前正在操作的數(shù)據(jù)和/或程序模塊。作為示例而非限制，圖11示出了操作系統(tǒng)834、應(yīng)用程序835、其它程序模塊836和程序數(shù)據(jù)837。

計(jì)算機(jī)810還可以包括其它可移動/不可移動的易失性/非易失性計(jì)算機(jī)存儲介質(zhì)。僅作為示例，圖11示出了從不可移動的非易失性磁性介質(zhì)中讀取或?qū)懭氩豢梢苿拥摹⒎且资源判越橘|(zhì)的硬盤驅(qū)動器841以及從諸如cdrom或其它光學(xué)介質(zhì)之類的可移動的非易失性光盤856中讀取或?qū)懭肟梢苿拥姆且资怨獗P856的光盤驅(qū)動器855?？梢栽谑纠圆僮鳝h(huán)境中使用的其它可移動/不可移動、易失性/非易失性計(jì)算機(jī)存儲介質(zhì)包括但不限于磁帶盒、閃存卡、數(shù)字通用盤、數(shù)字錄像帶、固態(tài)ram、固態(tài)rom等。硬盤驅(qū)動器841通常通過諸如接口840之類的不可移動存儲器接口連接到系統(tǒng)總線821，并且光盤驅(qū)動器855通常通過諸如接口850之類的可移動存儲器接口連接到系統(tǒng)總線821。

可替代地或附加地，本文所描述的功能可以至少部分地由一個或多個硬件邏輯組件來執(zhí)行。例如但不限于，可以使用的硬件邏輯組件的示例性類型包括現(xiàn)場可編程門陣列(fpga)、程序?qū)Ｓ眉呻娐?asic)、程序特定標(biāo)準(zhǔn)產(chǎn)品(assp)、系統(tǒng)級芯片系統(tǒng)(soc)、復(fù)雜可編程邏輯器件(cpld)等。

上面描述并在圖11中示出的驅(qū)動器及其相關(guān)聯(lián)的計(jì)算機(jī)存儲介質(zhì)提供對計(jì)算機(jī)810的計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的存儲。在圖11中，例如，硬盤驅(qū)動器841被示為存儲操作系統(tǒng)844、應(yīng)用程序845、其它程序模塊846和程序數(shù)據(jù)847。注意，這些組件可以與操作系統(tǒng)834、應(yīng)用程序835、其它程序模塊836和程序數(shù)據(jù)837相同或不同。操作系統(tǒng)844、應(yīng)用程序845、其它程序模塊846和程序數(shù)據(jù)847在這里被給出了不同的標(biāo)號，以說明至少它們是不同的副本。

用戶可以通過諸如鍵盤862、麥克風(fēng)863和指示設(shè)備861(諸如鼠標(biāo)、軌跡球或觸摸板)之類的輸入設(shè)備將命令和信息輸入到計(jì)算機(jī)810中。其它輸入設(shè)備(未示出)可以包括操縱桿、游戲手柄、衛(wèi)星盤、掃描儀等。這些和其它輸入設(shè)備通常通過耦合到系統(tǒng)總線的用戶輸入接口860連接到處理單元820，但是可以通過諸如并行端口、游戲端口或通用串行總線(usb)之類的其它接口和總線結(jié)構(gòu)來連接。視覺顯示器891或其它類型的顯示設(shè)備也經(jīng)由諸如視頻接口890之類的接口連接到系統(tǒng)總線821。除了監(jiān)測器之外，計(jì)算機(jī)還可以包括其它外圍輸出設(shè)備，例如揚(yáng)聲器897和打印機(jī)896，其可以通過輸出外圍接口895來連接。

計(jì)算機(jī)810在使用到一個或多個遠(yuǎn)程計(jì)算機(jī)(例如，遠(yuǎn)程計(jì)算機(jī)880)的邏輯連接的聯(lián)網(wǎng)環(huán)境中操作。遠(yuǎn)程計(jì)算機(jī)880可以是個人計(jì)算機(jī)、手持設(shè)備、服務(wù)器、路由器、網(wǎng)絡(luò)pc、對等設(shè)備或其它公共網(wǎng)絡(luò)節(jié)點(diǎn)，并且通常包括上文相對于計(jì)算機(jī)810所述的元素中的許多或所有。圖10所描繪的邏輯連接包括局域網(wǎng)(lan)871和廣域網(wǎng)(wan)873，但也可以包括其它網(wǎng)絡(luò)。這樣的網(wǎng)絡(luò)環(huán)境在辦公室、企業(yè)級計(jì)算機(jī)網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。

當(dāng)在lan聯(lián)網(wǎng)環(huán)境中使用時，計(jì)算機(jī)810通過網(wǎng)絡(luò)接口或適配器870連接到lan871。當(dāng)在wan聯(lián)網(wǎng)環(huán)境中使用時，計(jì)算機(jī)810通常包括調(diào)制解調(diào)器872或用于通過wan873如因特網(wǎng)建立通信的其它手段?？梢允窃趦?nèi)部或外部的調(diào)制解調(diào)器872可以經(jīng)由用戶輸入接口860或其它適當(dāng)?shù)臋C(jī)制連接到系統(tǒng)總線821。在聯(lián)網(wǎng)環(huán)境中，相對于計(jì)算機(jī)810描繪的程序模塊或其部分可以存儲在遠(yuǎn)程存儲器存儲設(shè)備中。作為示例而非限制，圖11示出了駐留在遠(yuǎn)程計(jì)算機(jī)880上的遠(yuǎn)程應(yīng)用程序885。應(yīng)當(dāng)理解，所示出的網(wǎng)絡(luò)連接是示例性的，并且可以使用在計(jì)算機(jī)之間建立通信鏈路的其它手段。

還應(yīng)當(dāng)注意，本文描述的不同的實(shí)施例可以以不同的方式進(jìn)行組合。也就是說，一個或多個實(shí)施例的部分可以與一個或多個其它實(shí)施例的部分進(jìn)行組合。所有這一切都在本文中被設(shè)想。

示例1是多租戶計(jì)算系統(tǒng)中的機(jī)器，包括：

本地策略的集合，將命令映射到多租戶計(jì)算系統(tǒng)中的隔離級別；

認(rèn)證工作者組件，其使用遠(yuǎn)程管理客戶端系統(tǒng)從遠(yuǎn)程用戶接收識別將要在所述機(jī)器上執(zhí)行的請求命令的工作流，訪問所述本地策略以識別相對應(yīng)的隔離級別，并且在具有相對應(yīng)的隔離級別的執(zhí)行環(huán)境中執(zhí)行命令；以及

處理器，其由認(rèn)證工作者組件激活并且有助于訪問所述本地策略并執(zhí)行所述命令。

示例2是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，認(rèn)證工作者組件包括：

隔離級別標(biāo)識符組件，其基于所請求的命令來訪問所述本地策略的集合以識別映射到所請求命令的相對應(yīng)的隔離級別。

示例3是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，認(rèn)證工作者組件包括：

執(zhí)行環(huán)境生成器，其接收所識別的隔離級別并且在所述機(jī)器上生成具有所識別的隔離級別的執(zhí)行環(huán)境。

示例4是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，認(rèn)證工作者組件包括：

命令執(zhí)行引擎，其在執(zhí)行環(huán)境中執(zhí)行所請求的命令。

示例5是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，所述命令執(zhí)行引擎從可信的遠(yuǎn)程認(rèn)證系統(tǒng)獲取與所述隔離級別和所述執(zhí)行環(huán)境相對應(yīng)的訪問令牌，并且通過使用所述訪問令牌啟動用于執(zhí)行所述請求的命令的工作流進(jìn)入所述機(jī)器上的進(jìn)程中而在所述執(zhí)行環(huán)境中執(zhí)行所述請求的命令。

示例6是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，所請求的命令包括多個不同的任務(wù)，每個任務(wù)具有相對應(yīng)的范圍，其中，本地策略的集合將任務(wù)映射到命令，并且其中，所述認(rèn)證工作者組件包括：

本地驗(yàn)證組件，其識別將要被執(zhí)行以實(shí)行所述請求的命令的任務(wù)的集合，并且所述本地驗(yàn)證組件訪問所述本地策略以驗(yàn)證識別的任務(wù)的集合映射到所述請求的命令。

示例7是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，所述認(rèn)證工作者組件與所述工作流一起接收能力令牌，所述能力令牌由遠(yuǎn)程認(rèn)證和授權(quán)系統(tǒng)生成，所述遠(yuǎn)程認(rèn)證和授權(quán)系統(tǒng)生成所述能力令牌以在給定的范圍內(nèi)對所述工作流進(jìn)行授權(quán)，并且其中，所述本地驗(yàn)證組件驗(yàn)證所識別的任務(wù)集合中的每一個的范圍對應(yīng)于與所述工作流相對應(yīng)的能力令牌中授權(quán)的給定范圍。

示例8是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，本地策略的集合將每個范圍映射到給定機(jī)器，并且其中，本地驗(yàn)證組件訪問本地策略以驗(yàn)證識別的任務(wù)的集合中的每個任務(wù)的范圍被映射到機(jī)器。

示例9是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，所述遠(yuǎn)程認(rèn)證和授權(quán)組件認(rèn)證所述遠(yuǎn)程用戶并且利用簽名對所述能力令牌進(jìn)行簽名，并且其中，所述認(rèn)證工作者組件包括：

簽名驗(yàn)證組件，其校驗(yàn)所述遠(yuǎn)程認(rèn)證和授權(quán)組件的簽名。

示例10是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，所述機(jī)器包括多租戶容量系統(tǒng)中的容量機(jī)器。

示例11是任何或所有先前示例的多租戶計(jì)算環(huán)境中的機(jī)器，其中，所述機(jī)器包括多租戶管理系統(tǒng)中的多租戶管理機(jī)器。

示例12是在多租戶計(jì)算環(huán)境中的機(jī)器上實(shí)現(xiàn)的計(jì)算機(jī)實(shí)現(xiàn)的方法，所述方法包括：

使用遠(yuǎn)程管理客戶端系統(tǒng)接收識別由遠(yuǎn)程用戶在所述機(jī)器上執(zhí)行的所請求的命令的工作流；

訪問在所述多租戶計(jì)算環(huán)境中將命令映射到隔離級別的本地策略的集合，以識別映射到所請求的命令的隔離級別；

在所述機(jī)器上生成具有相對應(yīng)的隔離級別的執(zhí)行環(huán)境；以及

在具有相對應(yīng)的隔離級別的所述執(zhí)行環(huán)境中執(zhí)行所述命令。

示例13是任何或所有先前示例的計(jì)算機(jī)實(shí)現(xiàn)的方法，其中，接收工作流包括：

與工作流一起接收能力令牌，所述能力令牌由遠(yuǎn)程認(rèn)證和授權(quán)系統(tǒng)生成，所述遠(yuǎn)程認(rèn)證和授權(quán)系統(tǒng)生成所述能力令牌以在給定范圍內(nèi)授權(quán)所述工作流。

示例14是任何或所有先前示例的計(jì)算機(jī)實(shí)現(xiàn)的方法，其中，所請求的命令包括多個不同的任務(wù)，每個任務(wù)具有相對應(yīng)的范圍，并且其中，接收工作流包括：

識別所述多個任務(wù)中的每個任務(wù)及其相對應(yīng)的范圍；以及

驗(yàn)證每個任務(wù)及其相對應(yīng)的范圍。

權(quán)利要求15是任何或所有先前示例的計(jì)算機(jī)實(shí)現(xiàn)的方法，其中，所述本地策略的集合將任務(wù)映射到命令，并且其中，驗(yàn)證每個任務(wù)包括：

訪問本地策略的集合以驗(yàn)證在任務(wù)的集合中的每個所識別的任務(wù)映射到所請求的命令。

示例16是任何或所有先前示例的計(jì)算機(jī)實(shí)現(xiàn)的方法，其中，驗(yàn)證包括：

驗(yàn)證任務(wù)的集合中的每個所識別的任務(wù)的范圍對應(yīng)于與該工作流相對應(yīng)的能力令牌中授權(quán)的給定范圍。

示例17是任何或所有先前示例的計(jì)算機(jī)實(shí)現(xiàn)的方法，其中，所述本地策略的集合將每個范圍映射到給定機(jī)器，并且其中驗(yàn)證包括：

訪問本地策略以驗(yàn)證所識別的任務(wù)集合中的每個任務(wù)的范圍被映射到機(jī)器。

示例18是任何或所有先前示例的計(jì)算機(jī)實(shí)現(xiàn)的方法，其中，遠(yuǎn)程認(rèn)證和授權(quán)組件認(rèn)證遠(yuǎn)程用戶并用簽名對能力令牌進(jìn)行簽名，并且其中，驗(yàn)證包括：

校驗(yàn)所述遠(yuǎn)程認(rèn)證和授權(quán)組件的簽名。

示例18是多租戶工作負(fù)載系統(tǒng)，包括：

使用遠(yuǎn)程管理客戶端系統(tǒng)由遠(yuǎn)程用戶執(zhí)行的請求的命令，命令請求隊(duì)列系統(tǒng)將工作流發(fā)送到可信的、遠(yuǎn)程認(rèn)證系統(tǒng)并從所述遠(yuǎn)程認(rèn)證系統(tǒng)接收批準(zhǔn)的工作流；以及

目標(biāo)機(jī)器，在其上將要執(zhí)行所請求的命令，所述目標(biāo)機(jī)器從批準(zhǔn)的工作流中接收識別與所批準(zhǔn)的工作流相對應(yīng)的隔離級別，并且在具有所識別的隔離級別的執(zhí)行環(huán)境中執(zhí)行所請求的命令。

示例20是任何或所有先前示例的多租戶工作負(fù)載系統(tǒng)，其中目標(biāo)機(jī)器包括：

本地策略的集合，其將命令映射到隔離級別，所述隔離級別定義用于執(zhí)行所請求命令的最小特權(quán)執(zhí)行環(huán)境；以及

認(rèn)證工作者組件，其訪問所述本地策略的集合以識別與所請求的命令相對應(yīng)的隔離級別。

盡管已經(jīng)以特定于結(jié)構(gòu)特征和/或方法動作的語言描述了主題，但是應(yīng)當(dāng)理解，所附權(quán)利要求中限定的主題不一定限于上述具體特征或動作。相反，上述具體特征和動作被公開為實(shí)現(xiàn)權(quán)利要求的示例形式。