背景

存在允許用戶登錄一次然后獲得對多個軟件系統的訪問權的技術。也就是說，該用戶獲得對那些軟件系統的每一個的訪問權而無需登錄到它們中的每一個。這些技術有時被稱為“單點登錄”(SSO)或者“單一身份”。然而，現有的SSO/單一身份技術存在許多問題，其中有些是眾所周知的。

概述

實現SSO/單一身份的一個問題是必須被配置和安裝的技術的量。為了實現SSO/單一身份，管理員必須能夠配置并部署目錄服務、聯合服務、同步服務、域名服務(DNS)以及各操作系統。

SSO/單一身份中存在的另一問題與云計算平臺所提供的服務有關。這類服務的示例包括基于云的文檔和文件管理服務(諸如微軟OFFICE 365SHAREPOINT ONLINE)、或者電子郵件服務(諸如微軟OFFICE 365EXCHANGE ONLINE)。即使管理員實施場所內目錄(即實施在他或她的場所內，而不是實施在云計算平臺上)，該SSO/單一身份不會延伸到云。另外，當SSO實現在場所內時，系統必須具有很好的可靠性。如果SSO/單一身份不工作，則用戶可能既無法登錄場所內服務，也無法登錄云服務。

此處所描述的發明的主實施例用于SSO。可以理解的是，本發明可被用于以類似方式實施基于云的單一身份。本發明的實施例以將場所內和云SSO兩者組合的方式為云中的服務提供SSO，并且提高了SSO的可靠性。本發明的實施例在其中沒有場所內目錄的云中實施SSO。通過諸如登錄名和口令之類的憑證的使用來向云平臺驗證用戶。用戶隨后標識他想要建立SSO的公共域，并且證明他具有對該域的控制。響應于此，實施例設立域控制器以及聯合服務。經由SSO，域的用戶隨后既可登錄到他們的計算機，又可訪問云服務。

本發明的第二實施例在其中沒有場所內目錄服務的云中實施SSO，并且其中用戶想要建立用于私有域的SSO。在這一實施例中，可按類似于上述的為公共域建立SSO的方式來建立SSO。然而，用戶可不被要求證明他具有對私有域的控制。

本發明的第三實施例在其中沒有場所內目錄服務的云中實施SSO。在這一實施例中，可按類似于上述的為公共域建立SSO的方式來建立SSO。另外，用戶提供憑證，以經由運行在場所內的虛擬專用網(VPN)來訪問場所內域控制器。除了以上所執行的，實施例不僅將場所內域的數據復制到云域服務，還設立將在云域服務和場所內域服務之間復制數據、以及將數據從場所內域服務同步到由云計算平臺主控的服務的同步服務。實施例還建立與場所內VPN端點的VPN連接，并且同步服務使用這一VPN連接來同步存儲在云目錄服務中的數據和存儲在場所內目錄服務中的數據。

本發明的這些實施例可經由VPN或類似連接將私有云擴展到客戶的場所內基礎結構。從私有云到客戶的場所內基礎結構的這一擴展允許客戶擴展其功能，而無需添加可見的基礎結構——所添加的基礎結構對客戶來說是不可見的，客戶僅僅看到添加的功能。如此，場所內基礎結構可保持相對簡單，但功能增加了。從這一意義上來說，云基礎結構可被邏輯地分成兩類——(1)促進對公共云服務(例如，電子郵件)的SSO/單一身份訪問的場所內基礎結構的基于云的擴展，(2)公共云服務(例如，電子郵件)。場所內基礎結構的基于云的擴展可插入代表客戶的私有云足跡。這一私有云足跡將場所內同步服務、聯合服務、以及目錄服務等基于云的服務擴展到場所內網絡。

附圖簡述

圖1描繪了其中可實現本發明的各實施例的示例計算機。

圖2描繪了其中可實現在云計算平臺上建立SSO的各實施例的示例系統。

圖3描繪了用于在云計算平臺上建立SSO的示例操作規程。

圖4描繪了用于以公共域在云計算平臺上建立SSO的附加示例操作規程。

圖5描繪了用于以私有域在云計算平臺上建立SSO的附加示例操作規程。

圖6描繪了用于在其中沒有場所內目錄的云計算平臺上建立SSO的附加示例操作規程。

說明性實施例的詳細描述

本發明的各實施例可以在一個或多個計算機系統上執行。圖1及以下討論旨在提供對其中可實現本發明的各實施例的合適計算環境的簡要概括描述。

圖1描繪了示例通用計算系統。通用計算系統可包括常規計算機20等，計算機20包括處理單元21。處理單元21可包括一個或多個處理器，它們中的每一個可具有一個或多個處理核。多核處理器(作為通常被稱為具有不止一個處理核的處理器)包括單個芯片封裝內所包含的多個處理器。