背景技術

當執行對多個連接的系統的計算機管理時，通常關注的是系統中的一個或多個系統可能被危害。已經開發了認證協議以努力減少系統被危害的可能性。例如，這樣的認證協議通常要求用戶的身份的證明，以便允許系統代表用戶執行操作(例如，訪問信息)。例如，網絡中的每個用戶可以具有包括特定于用戶或特定于用戶所屬的用戶群組的信息的憑證。用戶可以提供該憑證以便證明用戶的身份。

然而，由認證協議所施加的限制可能在日常網絡管理中引起重大負擔。例如，如果遠程系統(即，位于遠離客戶端設備的系統)需要代表用戶訪問資源，則認證協議通常會默認阻止該訪問。

解決上述默認動作的一個提出的解決方案是放棄保護用戶的身份。根據這一提出的解決方案，請求代表用戶訪問資源的遠程系統被準許對用戶的身份的完全訪問，由此提高了針對身份濫用的風險。例如，遠程系統可以使用用戶的信息來與用戶具有訪問權限的其他機器交互。已經取得有限成功的一些其他提出的解決方案在Microsoft中被實現為“Kerberos約束委托”，由此可以向目標機器給予對聯網協議或機器的子集的無限制訪問。

發明內容

除其他內容外，本文描述了用于提供資源請求的客戶端協助履行的各種方式。例如，資源請求最初可以被定向到存儲資源的機器(即，資源機器)。為了履行的目的，資源訪問代理可以將資源請求重定向到客戶端設備。例如，資源訪問代理可以在資源請求到達資源機器之前和/或在資源機器針對資源請求采取動作之前攔截資源請求。一旦客戶端設備響應于接收資源請求而提供了資源的數據，資源訪問代理就可以使提供請求的機器能夠在請求的履行中訪問數據。

這樣的客戶端協助的履行可以(或可以不)在單一登錄環境中被提供。單一登錄環境是在其中用戶可以基于用戶的單一認證而訪問多個不同軟件系統的環境。因此，為了用戶訪問單一登錄環境中的每個不同的軟件系統并不需要用戶的單獨的認證。對于用戶所采取的每個動作，用戶的顯式憑證可能不是必需的。相反，可以基于用戶的憑證的先前顯式實例來隱式地提供憑證。。

在第一示例方式中，接收針對代表客戶端設備要訪問的資源的請求。請求從第一機器被接收。向客戶端設備通知資源的身份。響應于客戶端設備從存儲資源的第二機器接收資源的數據，從客戶端設備接收數據。響應于從客戶端設備接收數據來提供數據以履行請求。

在第二示例方式中，在客戶端設備處接收請求。請求標識由第一機器代表客戶端設備要訪問的資源。從客戶端設備向存儲資源的第二機器提供查詢。查詢請求對資源的訪問。響應于查詢，資源的數據在客戶端設備處從第二機器被接收。響應于在客戶端設備處對數據的接收，基于請求從客戶端設備向第一機器提供數據。

提供本發明內容以便以簡化的形式介紹對概念的選擇，其在下面的具體實施方式中被進一步描述。本發明內容并不旨在標識所要求保護的主題的關鍵特征或必要特征，也并不旨在用于限制所要求保護的主題的范圍。此外，應當注意，本發明不限于在本文的具體實施方式和/或其他部分中描述的特定實施例。這些實施例在本文中僅僅是為了說明的目的而被呈現。基于本文包含的教導，附加的實施例對相關領域的技術人員而言是顯而易見的。

附圖說明

并入本文并形成本說明書的一部分的附圖示出了本發明的實施例，并且與說明書一起進一步用于說明所涉及的原理，并且使相關領域的技術人員能夠做出以及使用所公開的技術。

圖1是根據實施例的客戶端協助請求履行系統的示例的框圖。

圖2是根據實施例的示例活動圖。

圖3和圖5描繪了根據實施例的用于提供資源請求的客戶端協助履行的示例方法的流程圖。

圖4是根據實施例的圖1中所示的示例資源訪問代理的框圖。

圖6是根據實施例的圖1中所示的示例客戶端設備的框圖。

圖7描繪了在其中可以實現實施例的示例計算機。

所公開的技術的特征和優點將從下面結合附圖所闡述的詳細描述變得更加明顯，其中相同的參考標記貫穿全文標識對應元件。在附圖中，相同的附圖標號通常表示相同的、功能上相似的和/或結構上相似的元件。元件首次出現的圖由對應參考標號中的最左邊的數字表示。

具體實施方式

I.引入

以下詳細描述參考了示出本發明的示例性實施例的附圖。然而，本發明的范圍不限于這些實施例，而是作為替代由所附權利要求所限定。因此，除了附圖中所示的實施例之外的實施例(—比如所示實施例的修改版本)仍然可以被包括在本發明中。