根據(jù)各種實(shí)施例，實(shí)現(xiàn)了合并身份系統(tǒng)和方法以提供改進(jìn)的身份管理和資源訪問(wèn)管理，特別是在要求緊密信任模型的企業(yè)系統(tǒng)的情況下。在至少一個(gè)實(shí)施例中，所描述的系統(tǒng)和方法提供了用于在資源之間映射身份的機(jī)制。該系統(tǒng)和方法能夠提取與諸如員工或用戶的特定實(shí)體有關(guān)的信息，并且能夠根據(jù)需要合并和/或個(gè)性化這些信息。

相關(guān)申請(qǐng)的交叉引用

本申請(qǐng)要求于2017年12月21日提交的序列號(hào)為62/608,581的美國(guó)臨時(shí)申請(qǐng)“合并身份”(代理人卷號(hào)為SPH004-PROV)的權(quán)益，其全部?jī)?nèi)容通過(guò)引用包含于此。

技術(shù)領(lǐng)域

本文件涉及用于在在線環(huán)境中管理認(rèn)證和身份的技術(shù)。

背景技術(shù)

身份管理是許多組織的關(guān)鍵方面，它提供了有關(guān)授權(quán)哪些用戶訪問(wèn)和使用哪些資源的重要信息，這些信息可以在單個(gè)組織內(nèi)，也可以跨多個(gè)組織。通常，組織內(nèi)的許多不同資源使用多個(gè)身份管理系統(tǒng)進(jìn)行管理，每個(gè)身份管理系統(tǒng)具有不同的訪問(wèn)協(xié)議并維護(hù)單獨(dú)的用戶記錄集。每個(gè)這樣的身份管理系統(tǒng)通常都依賴于身份提供商，該身份提供商維護(hù)用戶記錄的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)存儲(chǔ)表明哪些用戶可以訪問(wèn)哪些資源的憑據(jù)。在用戶嘗試訪問(wèn)資源時(shí)，資源提供者可以咨詢身份提供商以驗(yàn)證用戶是否被授權(quán)訪問(wèn)該資源。如果該用戶被授權(quán)，則資源將授予該用戶訪問(wèn)權(quán)限。然而，當(dāng)多個(gè)身份管理系統(tǒng)用于許多不同的資源時(shí)，確定是否授予訪問(wèn)權(quán)限的任務(wù)顯著地更加復(fù)雜，尤其是當(dāng)同一用戶可以具有跨不同系統(tǒng)的不同的電子身份時(shí)。

聯(lián)合身份是一種用于跨多個(gè)身份管理系統(tǒng)鏈接一個(gè)人的電子身份和/或?qū)傩缘囊阎夹g(shù)。它允許單獨(dú)的各方建立松散耦合的信任關(guān)系，以便身份提供商可以向一個(gè)單獨(dú)的服務(wù)提供商保證一個(gè)人已經(jīng)登錄到身份提供商的系統(tǒng)中。例如，用戶可以登錄航空公司網(wǎng)站，隨后從汽車(chē)租賃網(wǎng)站租車(chē)，而無(wú)需再次手動(dòng)登錄；更準(zhǔn)確地說(shuō)，來(lái)自航空公司網(wǎng)站的以前的登錄被用于自動(dòng)識(shí)別用戶，并在汽車(chē)租賃網(wǎng)站上提供對(duì)他或她的身份相關(guān)信息的訪問(wèn)。作為另一個(gè)示例，用戶可以登錄到身份提供商(例如AOL)，然后訪問(wèn)另一個(gè)網(wǎng)站(例如天氣網(wǎng)站)；AOL登錄自動(dòng)用于在天氣網(wǎng)站上識(shí)別用戶，并在天氣網(wǎng)站上提供對(duì)他或她的身份相關(guān)信息的訪問(wèn)。

通常，聯(lián)合身份在身份提供商和服務(wù)提供商之間存在松散信任模型的情況下操作。聯(lián)合身份系統(tǒng)通常包括用于控制應(yīng)在身份提供商和服務(wù)提供商之間共享哪些身份信息的機(jī)制。共享身份的唯一標(biāo)識(shí)符，以便將不同的帳戶與身份提供商和服務(wù)提供商綁定在一起。

自由聯(lián)盟項(xiàng)目已經(jīng)為包括聯(lián)合身份的身份管理開(kāi)發(fā)了指南和最佳實(shí)踐。它制定了一個(gè)規(guī)范，后來(lái)演變成安全斷言標(biāo)記語(yǔ)言(SAML)，該規(guī)范提供了身份提供商和服務(wù)提供商之間的身份信息的明顯分離，并包括不透明令牌的選項(xiàng)，以便服務(wù)提供商無(wú)法訪問(wèn)有關(guān)身份的任何可識(shí)別信息。

現(xiàn)在參考圖1，示出了描述根據(jù)現(xiàn)有技術(shù)的用于包括聯(lián)合身份的身份管理的概念模型的框圖。用戶101利用身份提供商402(例如AOL)登錄105。隨后，用戶101想要從服務(wù)提供商102(例如赫茲(Hertz))租車(chē)。身份綁定106允許身份提供商402向服務(wù)提供商102提供信息，該信息允許服務(wù)提供商102自動(dòng)識(shí)別用戶101。一旦服務(wù)提供商102識(shí)別用戶101，服務(wù)提供商102便可以訪問(wèn)特定于用戶101的信息，例如租賃歷史記錄104，該歷史記錄存儲(chǔ)在由服務(wù)提供商102控制的資源中。然而，值得注意的是，服務(wù)提供商102沒(méi)有獲得對(duì)存儲(chǔ)在由身份提供商402控制的資源中的信息的訪問(wèn)權(quán)限，例如AOL帳戶歷史記錄和信息103。通過(guò)這種方式，即使身份提供商402和服務(wù)提供商102共享足夠的信息以允許基于身份提供商402處的認(rèn)證來(lái)識(shí)別用戶101，它們之間仍保持分離。

這種類(lèi)型的聯(lián)合身份是眾所周知的；例如，在許多網(wǎng)站上都可以使用Google和Facebook登錄，從而允許基于用戶的Google或Facebook登錄來(lái)在其他網(wǎng)站進(jìn)行認(rèn)證。由于諸如SAML的標(biāo)準(zhǔn)的普遍性，聯(lián)合身份也已在企業(yè)環(huán)境中得到廣泛采用，以便用戶可以對(duì)各種本地部署(例如，托管在客戶擁有的數(shù)據(jù)中心中)和云系統(tǒng)(例如，遠(yuǎn)程托管在第三方數(shù)據(jù)中心中)使用單點(diǎn)登錄。