背景技術

諸如公司和其他企業的組織常常將他們的計算裝置網絡化以便彼此通信并且與組織外部的計算裝置通信。網絡目錄(還簡稱為“目錄”)是關于裝置、應用、人和計算機網絡的其他共同對象的專門信息集合。具有計算網絡的組織通常使用目錄來有效地定位、組織、管理并且以其他方式管理網絡資源。例如，用戶可被添加到目錄并且與特定憑證相關聯。此后，可通過將用戶提供的憑證(例如，在登錄過程期間獲得的憑證)與目錄中的憑證進行比較來認證用戶。隨后可從目錄中檢索關于用戶被授權做什么的信息。作為另一實例，作為網絡環境的一部分的各個計算機、打印機和其他裝置可被列在目錄中，并且應用或用戶可在目錄中查找可用裝置的列表并且獲得用于訪問它們的信息(例如，名稱、地址等)。

一些基于網絡的服務提供商(例如，對外部客戶的“基于云的”服務的提供商，諸如文件存儲和備份、消息傳遞、社交網絡等)維持他們自己的目錄，并且部分地使用這些目錄來向第三方應用和服務提供認證服務。客戶和其他用戶利用基于網絡的服務提供商創建帳戶并且獲得用戶憑據。隨后，用戶可使用與基于網絡的服務提供商相關聯的憑證登錄到各種第三方應用和服務，并且基于網絡的服務提供商可認證用戶而不將用戶的安全信息(例如，密碼)暴露給第三方應用和服務。

附圖說明

現在將參考以下附圖來描述各個發明特征的實施方案。在全部附圖中，參考數字可被重復使用來指示所參考元件之間的對應關系。附圖被提供來示出本文所述的示例性實施方案，并且并不意圖限制本公開的范圍。

圖1是根據一些實施方案的包括計算服務提供商和各種組織、應用以及用戶的說明性網絡環境的框圖。

圖2是根據一些實施方案的用于管理對目錄的應用訪問的用戶界面的圖。

圖3是用于管理對目錄的應用訪問的說明性過程的流程圖。

圖4是基于網絡的目錄服務與用戶、應用和組織之間的說明性交互和數據流的圖。

圖5是基于網絡的目錄服務與用戶、應用和組織之間的另外說明性交互和數據流的圖。

具體實施方式

引言

本公開涉及架構，其中與企業以及其他組織客戶分開的目錄服務(例如，基于云的或者其他遠程目錄服務)可促進客戶自己的目錄的使用以訪問也與客戶分開的應用、與所述應用交互并且以其他方式使用所述應用。目錄服務可管理可與目錄服務相關聯的應用或者與目錄服務和客戶兩者均分開的第三方應用對多個(例如，兩個或更多個)客戶的目錄的訪問。

一些常規目錄服務提供商向第三方應用提供認證服務，并且應用可被授權來訪問特定目錄信息。例如，社交網絡可維持其中存儲了用戶登錄憑證、聯系人信息以及與用戶相關聯的其他信息的用戶的目錄。社交網絡可向第三方應用提供登錄和認證服務，從而允許用戶使用單組登錄憑證登錄到多個應用而不需要擔心其密碼和其他信息未經授權地暴露給其他應用。另外，社交網絡(具有來自用戶的授權)可允許第三方應用訪問特定目錄信息，諸如關于用戶的聯系人的信息、對社交網絡的特定于用戶的部分的訪問等。然而，此類常規目錄服務不與多個分開的客戶目錄集成；相反，它們通常維持其自己的目錄。因此，希望使用此類常規目錄服務的用戶必須創建新的賬戶并且獲得新的登錄憑證而不是利用其自己現有的賬戶、登錄憑證以及其他目錄信息(例如，來自由用戶為其工作的企業管理的目錄的目錄信息)。

本公開的一些方面涉及管理遠離客戶的應用對多個(例如，兩個或更多個)不同客戶的目錄的訪問的系統。各個客戶(例如，企業和其他組織)可通過服務多個客戶的基于網絡的目錄服務配置對其自己的目錄的訪問。在一些實施方案中，基于網絡的目錄服務可提供客戶可利用其配置對客戶的目錄的應用訪問的界面。例如，客戶可訪問由基于網絡的目錄服務托管或生成的基于web的界面。客戶可選擇被配置來使用或者以其他方式與基于網絡的目錄服務兼容的各個應用。客戶可隨后選擇性地授權一個或多個應用訪問客戶的目錄并且授權應用執行其他目錄相關的動作。說明性地，客戶可授權應用執行的目錄相關動作可尤其包括：創建、修改和/或刪除用戶；創建、修改和/或刪除用戶組；管理密碼；列出用戶；認證用戶；將計算機加入域；創建、修改、讀取、寫入和刪除文件；修改文件存儲結構等。在一些實施方案中，客戶可具有多個目錄并且可在逐個目錄的基礎上授權應用訪問和/或分配許可。在另外實施方案中，客戶可在給定目錄內具有多組用戶或其他對象，并且客戶可在逐個組的基礎上授權訪問和/或分配許可。