CN103597800A - 自动云服务重新连接 - Google Patents
自动云服务重新连接 Download PDFInfo
- Publication number
- CN103597800A CN103597800A CN201280025106.6A CN201280025106A CN103597800A CN 103597800 A CN103597800 A CN 103597800A CN 201280025106 A CN201280025106 A CN 201280025106A CN 103597800 A CN103597800 A CN 103597800A
- Authority
- CN
- China
- Prior art keywords
- security principal
- cloud
- user
- principal
- metadata attributes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000005516 engineering process Methods 0.000 claims abstract description 5
- 238000000034 method Methods 0.000 claims description 26
- 238000003860 storage Methods 0.000 claims description 19
- 238000013508 migration Methods 0.000 claims description 7
- 230000005012 migration Effects 0.000 claims description 7
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 238000005267 amalgamation Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
描述了通过安全主体标识符属性的相关性来自动将安全主体重新连接到云服务的各技术。用户的新安全主体可被检测并被自动地重新连接到用户的基于云的服务。安全域的管理员可在相同或新的安全域中的新的安全主体中的可定制安全主体元数据属性中,为原始安全主体指定唯一安全主体元数据属性的值。第二验证元数据属性可被可选地指定以确保正确的安全主体被重新连接到用户的基于云的资源。用户的原始安全主体和新安全主体之间的相关性可被用来重新连接用户的云资源。
Description
背景
诸如华盛顿州雷蒙德市的微软公司的Active的基于云的服务,利用相当数量的各种对象,安全主体帐户是其中之一。安全主体帐户是被分配了唯一标识符并被用于认证和安全机制中的对象。安全主体帐户可被定义为用户帐户、组帐户,或计算机帐户,并且可被分配许可来访问特定网络资源或其它对象,并在这些对象上执行特定动作。
有的时候代表用户的安全主体可能需要被重新连接到它的云资源。归因于安全主体的安全域或目录的改变、安全主体的意外删除和重新创建或类似的状况,这个重新连接可能是需要的。一些示例情形可包括森林整合(forestconsolidation)、IT重构、公司合并或重组、雇员状态改变(例如,合同工变成专职的或相反)、安全组中的初始安全主体的意外删除,等。
常规***趋向于在安全主体和用户的云资源之间具有严格的链接。对于上面讨论的示例情形,链接需要被手动重新连接到新的安全主体,这将导致昂贵的手动处理,用户的停机时间,以及可能造成错误(将用户重新连接到云中的错误资源)。
概述
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在专门标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
各实施例涉及通过安全主体标识符属性的相关性来自动将安全主体重新连接到云服务。用户的(由迁移到新安全域或安全主体本身意外删除并重新创建而导致的)新的安全主体,可被删除并自动且安全地重新连接到用户的基于云的服务。根据一些实施例,安全域的管理员可在相同或新的安全域中的新的安全主体中的可自定义安全主体元数据属性中,为初始安全主体指定唯一安全主体元数据属性的值。可选地,第二验证元数据属性可被指定以确保正确的安全主体被重新连接到用户的基于云的资源。用户的初始安全主体和新的安全主体(如果意外删除的结果则在相同的安全域中,或如果迁移的结果则在新安全域中)之间的相关性可被用来重新连接用户的云资源。
通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。可以理解,前述一般描述和以下的详细描述都是说明性的,并且不限制所要求保护的各方面。
附图简述
图1示出了示例情形,其中用户通过具有唯一安全主体元数据属性的安全主体被连接到基于云的服务;
图2示出了根据一些实施例,图1的用户可如何通过新的安全主体被重新连接到在另一个安全域中的基于云的服务;
图3示出了另一个示例情形,其中用户通过具有唯一安全主体元数据属性的安全主体被连接到基于云的服务;
图4示出了图3的用户可如何通过意外删除或类似原因从基于云的服务断开连接;
图5示出了根据其它实施例,图4的用户可如何通过新的安全主体被重新连接到在同一个安全域中的基于云的服务;
图6是其中可实现根据各实施例的***的联网环境;
图7是其中可实现各实施例的示例计算操作环境的框图;以及
图8示出了根据各实施例的用于使用初始安全主体属性和新安全主体属性之间的相关性来将用户自动重新连接到云服务的进程的逻辑流程图。
详细描述
如上简述,为了重新连接用户的基于云的服务,安全域的管理员可在相同或新的安全域中的新的安全主体中的可自定义安全主体元数据属性中,为初始安全主体指定唯一安全主体元数据属性的值。用户的初始安全主体和新安全主体之间的相关性可被用来重新连接用户的云资源。在下面的详细描述中,将参考构成本发明的一部分的附图,在附图中,通过例图,示出了特定实施例或示例。可组合这些方面,可利用其他方面,并且可以做出结构上的改变而不背离本发明的精神或范围。因此,以下详细描述并不旨在限制,并且本发明的范围由所附权利要求及其等效方案来限定。
在下面的详细描述中,将参考构成本发明的一部分的附图,在附图中,通过例图,示出了特定实施例或示例。可组合这些方面,可利用其他方面,并且可以做出结构上的改变而不背离本发明的精神或范围。因此,以下详细描述并不旨在限制,并且本发明的范围由所附权利要求及其等效方案来限定。
尽管在结合在计算设备上的操作***上运行的应用程序执行的程序模块的一般上下文中描述了各实施例,但是本领域的技术人员会认识到各方面也可以结合其它程序模块实现。
一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构和其它类型的结构。此外,本领域的技术人员可以明白,各实施例可以用其他计算机***配置来实施,包括手持式设备、多处理器***、基于微处理器或可编程消费电子产品、小型计算机、大型计算机以及类似计算设备。各实施例还能在任务由通过通信网络链接的远程处理设备来执行的分布式计算环境中实现。在分布式计算环境中,程序模块可位于本地和远程存储器存储设备两者中。
各实施例可被实现为计算机实现的过程(方法)、计算***、或者诸如计算机程序产品或计算机可读介质等制品。计算机程序产品可以是计算机***可读并且编码包括用于使计算机或计算***执行示例过程的指令的计算机程序的计算机存储介质。计算机可读存储介质是非瞬态的计算机可读存储器设备。例如,计算机可读存储介质可经由易失性计算机存储器、非易失性存储器、硬盘驱动器、闪存驱动器、软盘或紧致盘和类似介质中的一个或多个来实现。
贯穿本说明书,术语“平台”可以是用于提供基于安全云的服务的软件和硬件组件的组合。平台的示例包括但不限于,在多个服务器上执行的托管服务、在单个计算设备上执行的应用、以及类似***。术语“服务器”一般指通常在联网环境中执行一个或多个软件程序的计算设备。然而,服务器还可以被实现为在被视作网络上的服务器的一个或多个计算设备上执行的虚拟服务器(软件程序)。在下面将提供关于这些技术和示例操作的详细细节。
图1示出了示例情形,其中用户通过具有唯一安全主体元数据属性的安全主体被连接到基于云的服务。诸如华盛顿州雷蒙德市的微软公司的Active的基于云的服务,利用相当数量的各种对象,安全主体帐户是其中之一。安全主体帐户是被分配了唯一安全标识符(SID)并因此被用于认证和安全机制中的对象。安全主体帐户可被定义为被分配了SID的用户帐户、组帐户,或计算机帐户,并且也可被分配许可来访问特定网络资源或其它对象,并在这些对象上执行特定动作。SID可被用来标识用户、组或计算机。可通过对安全主体授予许可或拒绝许可来控制对各种对象的访问。许可可被定义为访问并在对象上执行动作的能力。对于对象的许可由管理员,或由特定对象的所有者授予或拒绝。为用户、组或计算机定义的安全设置确定并控制特定安全主体帐户是否具有对基于云的服务、客户计算机、成员服务器、域控制器、应用和其它网络资源和服务的访问。
如上面提到的,被看作是安全主体帐户的公共云服务对象可包括以下:(1)用户帐户,这些是唯一地标识网络用户的对象。用户账户允许用户登录到域并访问资源。本地用户账户允许用户登录到计算机并访问那个特定计算机上的本地资源。域用户账户允许用户登录到域并访问网络资源。内建用户账户通常被用于管理任务。(2)组:安全组可被看作安全主体。通过将用户捆绑为安全组,管理员可象单个实体那样管理组成员的安全许可。(3)计算机帐户:计算机帐户通常被用于认证,因为它们标识属于域的那些客户计算机。安全主体帐户的一些公共特性包括向安全主体帐户分配许可,使得用户、组或计算机可访问网络资源;授予用户对安全主体帐户的权利;以及使用审核来跟踪用户、组或计算机的动作。
如图表100所示,作为安全域104的部分,用户102可连接到一个或多个基于云的服务。云110中的中的各服务可由一个或多个服务器114、116、118等提供。各服务可通过基于云的元数据储存库112来协调。用户到基于云的服务的连接的安全性可通过可包括多个元数据属性的安全主体对象的使用来完成。那些属性中的一些可包括诸如用户的电子邮件地址或全局唯一标识符(GUID)的唯一标识符属性。在示例情形中,用户102的安全主体包括用户的电子邮件地址和他/她的GUID(GUID1)。
图2在图表200中示出了根据一些实施例,图1的用户可如何通过新的安全主体被重新连接到在另一个安全域中的基于云的服务。在有一个或多个安全域(例如,安全域104和106)和针对安全域中的安全主体的基于云的服务的环境中,可同步安全域中的安全主体(同步到云资源的元数据)并向安全域中的安全主体供应基于云的服务(提供有基于云的资源)。
当(例如用户102的)安全主体被从一个安全域104移动(222)到另一个安全域106,可在目的地域中创建新的安全主体220来代表用户。为创建两个安全域中的两个安全主体之间的相关性,新的安全主体的自定义元数据属性可通过自动化了的云服务重新连接算法108被设为源安全主体的唯一元数据属性(例如,GUID)(例如指定为串)。根据其它实施例,第二验证准则也可被指定,以确保新的安全主体220与源安全域104中的正确安全主体相关。第二验证准则可以是任何唯一安全主体元数据属性,诸如电子邮件地址/别名或雇员ID。
自动化了的云服务重新连接算法108可控制将去往用户的云资源的连接从源安全域104中的安全主体转移到目的地安全域106中的安全主体220。当目的地安全域106中的安全主体被带入算法的可见范围时,目的地安全域106中的安全主体可具有源安全域104中的安全主体的GUID,且第二验证准则在两个安全主体之间匹配,源安全域中的安全主体到用户的各云资源之间的连接可被移动到目的地安全域106中的安全主体。从这一点开始,目的地安全域106中的安全主体可控制对用户的云资源的访问。源安全域104中的初始安全主体可接着被移除,而不影响用户对他或她的云资源的全面的访问。这允许无需任何手动或外部干预的跨安全域的迁移的发生,降低了支持这些请求的花费。为用户访问他们的云资源的任何潜在的停机时间可最小化,因为算法确保用户的基于云的服务对于源安全主体的认证或新安全主体都总是可访问的。
图3示出了另一个示例情形,其中用户通过具有唯一安全主体元数据属性的安全主体被连接到基于云的服务。图表300示出了,类似图1,作为安全域304的部分,连接到一个或多个基于云的服务的用户。云310中的中的各服务可由一个或多个服务器314、316、318等提供。各服务可通过基于云的元数据储存库312来协调。用户到基于云的服务的连接的安全性可通过可包括多个元数据属性的安全主体302的使用来完成。那些属性中的一些可包括诸如用户的电子邮件地址或全局唯一标识符(GUID)的唯一标识符属性。在示例情形中,用户的安全主体302包括用户的电子邮件地址和他/她的GUID(GUID1)。
除了允许不同安全域或目录中的两个不同安全主体的相关性以及对哪个安全主体应该被连接到用户的云资源的确定,根据各实施例的***还可以具有重新创建安全主体(例如,如果初始的那个已经被意外删除)并将其重新连接到用户的云资源的能力。此外,根据各实施例的***可指定第二验证准则(例如,唯一元数据属性),以确保新安全主体是正确的安全主体,以重新连接到用户的云资源。
图4示出了图3的用户可如何通过意外删除或类似原因从基于云的服务断开连接。图表400示出了图3的用户可如何与他们的云服务断开连接,例如,通过从安全域304意外删除安全主体302。
然而,自动化了的云服务重新连接算法308可具有已经存储了的初始安全主体元数据属性(例如,电子邮件地址和/或GUID),并且可以通过如下所述创建新的安全主体来使用它们以将服务恢复给用户。
图5示出了根据其它实施例,图4的用户可如何通过新的安全主体被重新连接到在同一个安全域中的基于云的服务。如图表500中所示,可为已被删除的初始安全主体302在安全域526中创建新安全主体530,安全域526可与初始安全域304相同或不同。安全主体的自定义元数据属性可被设为初始安全主体的唯一元数据属性。由于第二验证准则(例如,电子邮件地址)在初始安全主体302和新安全主体530之间是同样的,到用户云资源的连接528可以自动恢复,无需影响用户。
自动化了的云服务重新连接算法308可以无缝地且自动地重新连接所创建的新安全主体以代替该安全域中的被意外删除了的初始安全主体。这个进程自动发生,无需任何手动或外部干预,降低了支持这些请求的花费。
根据各实施例的***确保用户的基于云的服务通过上面描述的第二验证准则的使用来重新连接到正确的安全主体。此外,潜在的用户错误(例如,在自定义元数据属性中指定了不正确的对象GUID或第二验证准则失败)可被预见,且可提供从这些错误恢复的无缝的方法。
如果安全域中的任何安全主体从算法的可见范围移除,用户的对应云资源可被标记为在一段自定义的时间内待删除。这可以允许目的地安全域中的安全主体(在跨安全域迁移的情况下)被重新连接到用户的云资源,或(在初始安全主体意外删除的情况下)倘若初始安全主体唯一属性被指定在新安全主体的自定义元数据属性中且符合第二验证准则,允许目的地安全域中的安全主体被重新连接到初始安全域中新安全主体。
图1到图5的示例***以特定组件、交换,和配置示出。各实施例不仅限于根据这些示例配置的***。使用安全主体属性自动将用户重新连接到他们的云服务,可在应用和用户界面中采用更少或更多组件的配置中实现。
图6是可实现根据各实施例的***的联网环境。提供基于云的服务的自动重新连接的***可包括在一个或多个服务器614或单个服务器616(诸如主控服务)上执行的一个或多个应用。应用可传递通用或专用目的的客户应用(例如,浏览器或本地安装的专门化的客户机)。诸如智能电话613、膝上计算机612,或台式计算机611(“客户机设备”)的单个计算设备上的客户应用可允许通过网络610访问基于云的服务。
如上面讨论的,(由迁移到新安全域或安全主体本身意外删除并重新创建而导致的)用户的新的安全主体,可被删除并自动且安全地重新连接到用户的基于云的服务。安全域的管理员可在相同或新的安全域中的新的安全主体中的可定制安全主体元数据属性中,为初始安全主体指定唯一安全主体元数据属性的值。用户的初始安全主体和新的安全主体(如果意外删除的结果则在相同的安全域中,或如果迁移的结果则在新安全域中)之间的相关性可被用来重新连接用户的云资源。服务器可直接地或通过数据库服务器618来从数据存储619中取回或向数据存储619存储相关的数据。
网络610可包括服务器、客户机、因特网服务供应商以及通信介质的任何拓扑结构。根据各实施例的***可以具有静态或动态拓扑结构。网络610可包括诸如企业网络等安全网络、诸如无线开放网络等非安全网络、或因特网。网络610还通过诸如公共交换电话网络(PSTN)或蜂窝网络等其他网络来协调通信。此外,网络610可包括诸如蓝牙或类似网络等短程无线网络。网络610提供此处描述的节点之间的通信。作为示例而非限制,网络610可以包括例如声学、RF、红外线和其它无线介质等无线介质。
可以采用计算设备、应用、数据源和数据分发***的许多其它配置来自动将用户重新连接到他们的云服务。此外,图6中所讨论的联网环境仅用于说明目的。各实施例不仅限于示例应用、模块或过程。
图7及相关联讨论旨在提供对其中可实现各实施例的合适计算环境的简要概括描述。参考图7,该图示出了诸如计算设备700之类的根据各实施例的应用的示例计算操作环境的框图。在基本配置中,计算设备700可包括至少一个处理单元702和***存储器704。计算设备700还可以包括在执行程序时相互协作的多个处理单元。取决于计算设备的确切配置和类型,***存储器704可以是易失性的(诸如RAM)、非易失性的(诸如ROM、闪存等)或是两者的某种组合。***存储器704通常包括适于控制平台的操作的操作***705,例如来自华盛顿州雷蒙德市的微软公司的操作***。***存储器704还可以包括一个或多个软件应用,诸如程序模块706、云服务管理应用722、安全应用724和重新连接模块726。
云服务管理应用722可为一个或多个基于云的服务提供者提供管理服务。这些可包括,但不限于,主控服务、维护、统计分析、用户帮助,等等。安全应用724可管理云服务的安全和隐私方面,诸如维护用户凭证和许可、用户和组的迁移,和类似任务。重新连接模块726,可以是安全应用724的集成模块的独特应用,可允许在迁移、意外删除,或类似情形时,使用上面讨论的安全主体标识符属性来自动将用户重新连接到云服务该基本配置在图7中由虚线708内的那些组件示出。
计算设备700可以具有附加特征或功能。例如,计算设备700还可包括附加数据存储设备(可移动和/或不可移动),诸如,例如磁盘、光盘或磁带。在图7中通过可移动存储709和不可移动存储710示出这样的附加存储。计算机可读存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机可读存储介质是非瞬态的计算机可读存储器设备。***存储器704、可移动存储709和不可移动存储710都是计算机可读存储介质的示例。计算机可读存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术,CD-ROM、数字多功能盘(DVD)或其它光学存储,磁带盒、磁带、磁盘存储或其它磁存储设备,或能用于存储所需信息且能够由计算设备700访问的任何其它介质。任何这样的计算机可读存储介质都可以是计算设备700的一部分。计算设备700也可具有输入设备712,诸如键盘、鼠标、笔、语音输入设备、触摸输入设备和类似输入设备。还可以包括输出设备714,诸如显示器、扬声器、打印机和其它类型的输出设备。这些设备在本领域中公知且无需在此处详细讨论。
计算设备700还可以包含允许该设备与其他设备716通信的通信连接718,诸如通过分布式计算环境中的无线网络、卫星链路、蜂窝链路和类似机制。其他设备718可包括执行通信应用的计算机设备、存储服务器和类似设备。一个或多个通信连接716是通信介质的一个示例。通信介质可以包括计算机可读指令、数据结构、程序模块、或者诸如载波或其它传输机制等的已调制数据信号中的其它数据,并且包括任何信息传递介质。术语“已调制数据信号”指其一个或多个特征以这样的方式设置或改变以便在信号中对信息进行编码的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。
各示例实施例还包括各种方法。这些方法可以用任何数量的方式,包括本文中所描述的结构来实现。一种此类方式是通过本文中描述的类型的设备的机器操作。
另一可任选方式是结合一个或多个人类操作者执行该方法的各个操作中的某一些来执行该方法的各个操作中的一个或多个操作。这些人类操作者无需彼此同在一处,而是其每一个可以仅与执行程序的一部分的机器同在一处。
图8示出了根据各实施例的用于使用初始安全主体属性和新安全主体属性之间的相关性来将用户自动重新连接到云服务的进程800的逻辑流程图。进程800可通过独立运行的服务器或通过管理一个或多个基于云的服务的服务器来执行。
进程800可从操作810开始,在那里为安全主体确定唯一安全主体元数据属性。属性可以是诸如GUID的任何唯一标识符。在可选的操作820,第二验证元数据属性(诸如电子邮件别名、雇员标识符,或用于确认用户/安全主体的类似属性)可被采用。在操作830,***可(根据情形在相同安全域中或不同安全域中)创建新的安全主体,并在新安全主体中的可自定义安全主体元数据属性中,为初始安全主体指定唯一安全主体元数据属性的值。
在操作840,一旦接收到对重新连接与安全主体相关联的用户的请求时(例如,安全域的改变,安全主体的意外删除等),***可在操作850基于用户的初始安全主体和新安全主体(如果意外删除的结果则在相同的安全域中,或如果迁移的结果则在新安全域中)之间的相关性来重新连接用户的云资源。
某些实施例可在包括通信模块、存储器和处理器的计算设备中实现,其中处理器结合存储在存储器中的指令执行如上所述的方法或类似方法。其它实施例可被实现为其上存储有用于执行如上所述的方法或类似方法的指令的计算机可读存储介质。
过程800中包括的操作只是为了说明。自动重新连接云服务可以使用此处所述的各原理通过具有更少或更多步骤的相似过程、以及不同的操作次序来实现。
以上说明书、示例和数据提供了对各实施例的组成的制造和使用的全面描述。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。相反,上述具体特征和动作是作为实现权利要求和各实施方式的示例形式而公开的。
Claims (10)
1.一种在计算设备上执行的用于自动将用户重新连接到基于云的服务的方法,所述方法包括:
为安全主体确定元数据属性,所述安全主体管理用户对所述基于云的服务的访问;
接收用于将所述用户重新连接到所述基于云的服务的请求;
为所述用户创建新安全主体;
在所述新安全主体中的能够自定义的元数据属性中,为所述安全主体指定所述元数据属性的值;以及
使用所述安全主体和所述新安全主体的所述元数据属性之间的相关性来将所述用户重新连接到所述基于云的服务。
2.如权利要求1所述的方法,其特征在于,所述元数据属性是唯一属性。
3.如权利要求2所述的方法,其特征在于,所述元数据属性是全局唯一标识符GUID、电子邮件地址,和雇员标识符之一。
4.如权利要求1所述的方法,其特征在于,重新连接所述用户的所述请求是响应于以下之一的:所述用户到新的安全域的迁移或所述安全主体的删除。
5.如权利要求1所述的方法,还包括:
执行采用另一个唯一元数据属性的第二验证。
6.如权利要求5所述的方法,其特征在于,所述另一个元数据属性是全局唯一标识符GUID、电子邮件地址、和雇员标识符之一。
7.一种用于管理具有自动重新连接的基于云的服务的计算设备,所述计算设备包括:
存储指令的存储器;以及
结合所存储的指令执行安全管理应用的处理器,所述安全管理应用配置用于:
为安全主体确定元数据属性,所述安全主体管理用户对所述基于云的服务的访问;
接收用于将所述用户重新连接到所述基于云的服务的请求;
为所述用户创建新安全主体;
在所述新安全主体中的能够自定义的元数据属性中,为所述安全主体指定所述元数据属性的值;以及
使用所述安全主体和所述新安全主体的所述元数据属性之间的相关性来将所述用户重新连接到所述基于云的服务。
8.如权利要求7所述的计算设备,其特征在于,所述安全管理应用是管理所述基于云的服务的主控服务的部分。
9.如权利要求7所述的计算设备,其特征在于,重新连接所述用户的所述请求是以下一组的至少一个的结果:森林整合、信息技术组织重构、组织合并、雇员状态改变,以及安全组中的初始安全主体的意外删除。
10.一种其上存储有用于自动将用户重新连接到基于云的服务的指令的计算机可读存储设备,所述指令包括:
为安全主体确定元数据属性,所述安全主体管理用户对所述基于云的服务的访问;
接收用于将所述用户重新连接到所述基于云的服务的请求;
为所述用户创建新安全主体;
在所述新安全主体中的能够自定义的元数据属性中,为所述安全主体指定所述元数据属性的值;以及
使用所述安全主体和所述新安全主体的所述元数据属性之间的相关性来将所述用户重新连接到所述基于云的服务。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161489215P | 2011-05-23 | 2011-05-23 | |
US61/489,215 | 2011-05-23 | ||
US13/205,308 | 2011-08-08 | ||
US13/205,308 US8578460B2 (en) | 2011-05-23 | 2011-08-08 | Automating cloud service reconnections |
PCT/US2012/038874 WO2012162256A1 (en) | 2011-05-23 | 2012-05-21 | Automating cloud service reconnections |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103597800A true CN103597800A (zh) | 2014-02-19 |
CN103597800B CN103597800B (zh) | 2016-10-26 |
Family
ID=47217665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280025106.6A Active CN103597800B (zh) | 2011-05-23 | 2012-05-21 | 自动云服务重新连接 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8578460B2 (zh) |
EP (1) | EP2715971B1 (zh) |
JP (1) | JP5992511B2 (zh) |
KR (1) | KR101975614B1 (zh) |
CN (1) | CN103597800B (zh) |
WO (1) | WO2012162256A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114158025A (zh) * | 2022-02-09 | 2022-03-08 | 荣耀终端有限公司 | 设备回连方法和相关装置 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101329346B1 (ko) * | 2011-11-23 | 2013-12-19 | 건국대학교 산학협력단 | 의료용 단말기를 통한 의료정보 처리 시스템 및 그 방법 |
US8819850B2 (en) * | 2012-07-25 | 2014-08-26 | At&T Mobility Ii Llc | Management of application access |
US9246839B2 (en) * | 2013-01-02 | 2016-01-26 | International Business Machines Corporation | Extending organizational boundaries throughout a cloud architecture |
TWI502384B (zh) * | 2013-02-19 | 2015-10-01 | Acer Inc | 檔案追蹤方法及其所適用之網路通訊裝置 |
US10635641B1 (en) | 2013-05-22 | 2020-04-28 | Altirnao, Inc. | System and method to provide document management on a public document system |
US9817988B2 (en) | 2013-05-22 | 2017-11-14 | Altirnao, Inc. | System and method to provide document management on a public document system |
US10095849B1 (en) * | 2014-09-19 | 2018-10-09 | Amazon Technologies, Inc. | Tag-based programming interface authentication |
US10394462B1 (en) | 2014-12-04 | 2019-08-27 | Amazon Technologies, Inc. | Data shaping to reduce memory wear in a multi-tenant database |
US10496288B1 (en) | 2014-12-04 | 2019-12-03 | Amazon Technologies, Inc. | Mechanism for distributing memory wear in a multi-tenant database |
JP6982717B2 (ja) | 2016-03-25 | 2021-12-17 | ティーティーテック インダストリアル オートメーション アーゲー | フォグコンピューティング促進型フレキシブル工場 |
US10798063B2 (en) * | 2016-10-21 | 2020-10-06 | Nebbiolo Technologies, Inc. | Enterprise grade security for integrating multiple domains with a public cloud |
US11249783B1 (en) | 2018-05-23 | 2022-02-15 | Open Invention Network Llc | Intra application container direct communication protocol |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070061878A1 (en) * | 2005-09-12 | 2007-03-15 | Microsoft Corporation | Creating secure interactive connections with remote resources |
US20090228950A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Self-describing authorization policy for accessing cloud-based resources |
CN101715002A (zh) * | 2009-10-20 | 2010-05-26 | 清华大学 | 语义Web服务组合的语义一致性验证方法 |
US20100325199A1 (en) * | 2009-06-22 | 2010-12-23 | Samsung Electronics Co., Ltd. | Client, brokerage server and method for providing cloud storage |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7096392B2 (en) | 2004-05-07 | 2006-08-22 | Asempra Technologies, Inc. | Method and system for automated, no downtime, real-time, continuous data protection |
US20110016214A1 (en) | 2009-07-15 | 2011-01-20 | Cluster Resources, Inc. | System and method of brokering cloud computing resources |
US8418222B2 (en) | 2008-03-05 | 2013-04-09 | Microsoft Corporation | Flexible scalable application authorization for cloud computing environments |
WO2009127904A1 (en) | 2008-04-16 | 2009-10-22 | Quipa Holdings Limited | A private network system and method |
US8977750B2 (en) | 2009-02-24 | 2015-03-10 | Red Hat, Inc. | Extending security platforms to cloud-based networks |
US20100319004A1 (en) | 2009-06-16 | 2010-12-16 | Microsoft Corporation | Policy Management for the Cloud |
US8966017B2 (en) | 2009-07-09 | 2015-02-24 | Novell, Inc. | Techniques for cloud control and management |
US20110047540A1 (en) | 2009-08-24 | 2011-02-24 | Embarcadero Technologies Inc. | System and Methodology for Automating Delivery, Licensing, and Availability of Software Products |
WO2011023134A1 (en) * | 2009-08-28 | 2011-03-03 | Beijing Innovation Works Technology Company Limited | Method and system for managing distributed storage system through virtual file system |
US8589535B2 (en) | 2009-10-26 | 2013-11-19 | Microsoft Corporation | Maintaining service performance during a cloud upgrade |
-
2011
- 2011-08-08 US US13/205,308 patent/US8578460B2/en active Active
-
2012
- 2012-05-21 KR KR1020137030862A patent/KR101975614B1/ko active IP Right Grant
- 2012-05-21 WO PCT/US2012/038874 patent/WO2012162256A1/en active Application Filing
- 2012-05-21 EP EP12789519.1A patent/EP2715971B1/en active Active
- 2012-05-21 JP JP2014512930A patent/JP5992511B2/ja active Active
- 2012-05-21 CN CN201280025106.6A patent/CN103597800B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070061878A1 (en) * | 2005-09-12 | 2007-03-15 | Microsoft Corporation | Creating secure interactive connections with remote resources |
US20090228950A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Self-describing authorization policy for accessing cloud-based resources |
US20100325199A1 (en) * | 2009-06-22 | 2010-12-23 | Samsung Electronics Co., Ltd. | Client, brokerage server and method for providing cloud storage |
CN101715002A (zh) * | 2009-10-20 | 2010-05-26 | 清华大学 | 语义Web服务组合的语义一致性验证方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114158025A (zh) * | 2022-02-09 | 2022-03-08 | 荣耀终端有限公司 | 设备回连方法和相关装置 |
CN114158025B (zh) * | 2022-02-09 | 2022-06-14 | 荣耀终端有限公司 | 设备回连方法和相关装置 |
Also Published As
Publication number | Publication date |
---|---|
KR101975614B1 (ko) | 2019-05-07 |
EP2715971A1 (en) | 2014-04-09 |
JP5992511B2 (ja) | 2016-09-14 |
CN103597800B (zh) | 2016-10-26 |
EP2715971B1 (en) | 2018-10-03 |
WO2012162256A1 (en) | 2012-11-29 |
EP2715971A4 (en) | 2014-12-03 |
US20120304262A1 (en) | 2012-11-29 |
KR20140033056A (ko) | 2014-03-17 |
JP2014516182A (ja) | 2014-07-07 |
US8578460B2 (en) | 2013-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103597800A (zh) | 自动云服务重新连接 | |
US11645369B2 (en) | Blockchain digital rights management streaming library | |
CN102369509B (zh) | 关系数据管理的控制服务 | |
CN101809562B (zh) | 基于面向服务流水线的体系结构 | |
US9460307B2 (en) | Managing sensitive data in cloud computing environments | |
CN104081748B (zh) | 文档通信运行时接口 | |
JP2022529967A (ja) | ブロックチェーン・ネットワークからのデータの抽出 | |
JP2022062705A (ja) | ブロックチェーン実装型データ移行監査証跡を生成するためのコンピュータ実装方法、コンピュータシステム、プログラム(ブロックチェーンで実装されるデータ移行監査証跡) | |
CN101493869B (zh) | 用于文件备份的密码保护 | |
CN112912880A (zh) | 用于个性化的网络服务的容器构建器 | |
US20120260096A1 (en) | Method and system for monitoring a secure document | |
CN115114305B (zh) | 分布式数据库的锁管理方法、装置、设备及存储介质 | |
CN113064600B (zh) | 部署应用的方法和装置 | |
US11799839B2 (en) | Cross-regional replication of keys | |
CN111327613A (zh) | 分布式服务的权限控制方法、装置及计算机可读存储介质 | |
US9886685B2 (en) | Distributed digital rights-managed file transfer and access control | |
US20220382637A1 (en) | Snapshotting hardware security modules and disk metadata stores | |
JP2023511111A (ja) | デプロイメントオーケストレータにおけるドリフトを検出するための技術 | |
CN114282210A (zh) | 沙箱自动构建方法、***、计算机设备及可读存储介质 | |
US20160275293A1 (en) | Information processing system and control method of the information processing system | |
MVP et al. | Microsoft System Center 2012 R2 Operations Manager Cookbook | |
EP3142320B1 (en) | Remote modification of a document database by a mobile telephone device | |
US20240028398A1 (en) | System, Method, And Device for Ingesting Data into Remote Computing Environments | |
Klein et al. | Pro SQL Database for Windows Azure: SQL Server in the Cloud | |
JP2023514536A (ja) | 障害が起こったデータベーストランザクション記録の取扱い |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150805 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20150805 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |