[发明专利]用于运行时刻用户帐户创建操作的方法

说明书

技术领域

本发明涉及改进型数据处理系统，特别是，涉及用于多计算机数据传输的方法和设备。更具体来说，本发明涉及联网计算机系统。

背景技术

企业通常希望在各种网络(包括因特网)上以用户友好方式对授权用户提供对保护资源的安全访问。尽管提供安全认证机制减小了对保护资源进行未授权访问的风险，但这些认证机制可能变成访问保护资源的障碍。用户通常期望能够从与一个应用的交互转变到与另一应用进行交互，而不涉及对支持这些应用的每个具体系统进行保护的认证障碍。

当用户变得更为老练时，他们期望计算机系统协调其动作，以便减少用户的负担。用户可能设想，一旦他或她经过了某些计算机系统的认证，认证应在用户工作会话期间都有效，或者至少对特定时期有效，而不涉及用户几乎看不到的各种计算机系体结构边界。企业通常试图在其所部署系统的操作特性中满足这些期望，这不仅能宽慰用户，而且能提高用户效率，而无论用户效率是涉及雇员生产力还是客户满意度。

更具体而言，利用许多应用具有可通过公共浏览器进行访问的Web用户界面的现有计算环境，用户期望具有更大程度的用户友好性，以及较低或很少从一个Web应用移到另一Web应用的障碍。在此情形中，用户期望能够从与一个因特网域上应用的交互跳到与另一域上应用的交互，而且不涉及保护每个特定域的认证障碍。然而，即便许多系统通过易于使用、基于Web的界面提供安全认证，用户仍可能不得不考虑使用户在一组域上的访问受到妨碍的多个认证过程。使用户在给定时帧中进行多个认证过程可极大影响用户效率。

例如，已使用各种技术减少用户以及计算机系统管理员的认证负担。通常将这些技术描述为“单点登录”(SSO)过程，这是由于它们具有共同的目的：当用户完成登录操作(即，完成认证)后，用户随后便无需执行另一认证操作。因此，该目标是，用户在特定用户会话期间仅需完成一次认证处理。

为了减小用户管理成本和提高企业之间的互操作性，创建了联盟(federated)计算空间。联盟是符合某些互操作性标准的企业的松耦合关联；联盟提供了在这些企业间关于联盟内用户的某些计算操作的信任机制。例如，联盟伙伴可作为用户的归属域或身份提供方。在同一联盟内的其他伙伴可依赖用户的身份提供方对用户的认证证书进行初级管理，例如，接受由用户身份提供方提供的单点登录令牌。

随着企业支持联盟企业交互，这些企业应提供反映两个企业间合作增强的用户体验。如上所述，用户可对作为身份提供方的一方进行认证，然后，单点登录到作为服务提供方的联盟企业伙伴。结合单点登录功能，也应支持附加用户生命周期功能，例如，单点退出(single-sign-off)、用户服务供应和帐户链接/解除链接。

单点登录解决方案要求用户在身份提供方和服务提供方处可以以某种方式或其他方式进行识别；身份提供方需能够对用户进行识别和认证，服务提供方需能够响应单点登录请求，基于对用户的某种形式的断定，对用户进行识别。各种现有技术的单点登录解决方案，例如，在自由联盟ID-FF规范中描述的那些方案，需要用户在身份提供方和服务提供方处具有可认证帐户，以此作为联盟单点登录操作的先决条件。某些联盟方案支持在域上的先验用户帐户创建事件，以用于建立这些帐户，从而满足用户在身份提供方和服务提供方处具有可认证帐户以作为联盟单点操作先决条件的要求。尽管某些联盟解决方案提供联盟用户生命周期管理操作的健壮集，例如，用户帐户创建、用户帐户管理、用户属性管理、帐户暂停和帐户删除，然而这些联盟管理系统不提供适于某些联盟伙伴或某些联盟目的的轻量解决方案。

因此，提供使企业能够以无需大量先验处理的轻量方式向联盟计算环境中的用户提供广泛的单点登录体验的方法和系统会是有利的。

发明内容

本发明提供了一种支持在联盟计算环境内交互的不同企业的计算机系统的方法、系统、设备和计算机程序产品。即便用户在启动单点登录操作前未在联盟伙伴处建立用户帐户，也可在联盟伙伴的计算系统处为用户启动联盟单点登录操作。例如，身份提供方在试图代表用户获得对控制资源的访问时能够启动在服务提供方处的单点登录操作。当服务提供方识别出它不具有来自身份提供方的针对该用户、允许进行单点登录操作的链接用户帐户时，服务提供方至少部分地基于来自身份提供方的信息创建本地用户帐户。服务提供方也能够根据需要从身份提供方拉取用户属性，以执行用户帐户创建操作。

优选地，采用前向信道(front-channel)信息检索机制获得用户属性信息。更优选地，在前向信道信息检索机制中使用超文本传输协议(HTTP)。