[发明专利]用于聚合第三方安全服务的工作流的安全模型

说明书

技术领域

在此描述的各种实施例一般地涉及系统，更具体地说，涉及用于聚合第三方安全服务的工作流的安全模型。

背景技术

混搭（Mashup）是创建组合了来自不同Web资源的内容、呈现和应用功能的新web应用的方法。这些包括将诸如REST或SOAP服务、馈送（RSS或ATOM）或普通XML或HTML源之类的多种服务和资源“混搭”在一起。

目前主要有两类混搭：使用者（consumer）混搭和企业混搭。使用者混搭主要是为了专用，它使用共同接口统一来自多个资源的数据，从而将这些数据组合起来。企业混搭在企业环境中组合来自至少一个资源的不同源。企业混搭通过促进开发上的组装（assembly）来降低开发成本并在更短时间内提供新的解决方案，因而具有巨大潜力。

发明内容

本发明的一个示例性实施例是用于访问数据的方法。所述方法包括接收以工作流语言描述的工作流模型。所述工作流模型被配置为声明集成来自两个或更多个外部网络资源的受保护数据的组合应用（compositeapplication）的安全要求。所述方法还包含在至少一个安全服务器计算机上执行验证（authentication）服务。所述验证服务被配置为执行用户验证和授权以代表根据所述工作流语言在至少一个主服务器计算机上执行的组合应用访问外部网络资源上的受保护数据。

本发明的进一步示例性实施例包括用于访问数据的系统。所述系统包括以工作流语言描述的工作流模型。所述工作流模型被配置为声明集成来自两个或更多个外部网络资源的受保护数据的组合应用的安全要求。所述系统还包括在至少一个安全服务器计算机上执行的验证服务。所述验证服务被配置为执行用户验证和授权以代表根据所述工作流语言在至少一个主服务器计算机上执行的组合应用访问外部网络资源上的受保护数据。

本发明的更进一步的示例性实施例是用于访问数据的计算机程序产品。所述计算机程序产品包括接收以工作流语言描述的工作流模型。所述工作流模型被配置为声明集成来自两个或更多个外部网络资源的受保护数据的组合应用的安全要求。所述计算机程序产品还包含被配置为将请求发送到在至少一个安全服务器计算机上执行的验证服务，来执行用户验证和授权以代表根据所述工作流语言的所述组合应用访问外部网络资源上的受保护数据的代码。

附图说明

本说明书结束部分的权利要求中专门指出并明确声明被认为是本发明的主题。通过下面结合附图的详细描述，本发明的上述和其他目标、特征和优点将变得显而易见，在所述附图中：

图1示出本发明所构想的用于访问数据的示例性系统。

图2示出本发明所构想的用于访问数据的方法的示例性流程图。

图3示出本发明所构想的用于访问数据的系统和方法的示例性使用场景。

图4是来自图3中示例性场景的示例性工作流模型列表。

图5是实现图3所示的本发明示例性实施例的安全解决方案的概览。

图6是示例性安全扩展元素的来自图3中示例性场景的示例性工作流模型列表。

图7A是来自图3的示例性场景的、重定向到安全授权服务（SAS）时的用户浏览器的示例性网页。

图7B是来自图3的示例性场景的、用户浏览器的示例性授权网页。

具体实施方式

参考本发明的实施例描述本发明。在本发明的通篇描述中，参考图1-7B。

本发明的方面涉及用于聚合第三方安全服务的混搭的安全模型。当在验证和授权方面具有完全不同的安全要求时，当前的企业混搭工具缺乏以安全方式在混搭中使用和集成不同服务的能力。因此，许多混搭工具只能在混搭代码中集成没有安全性的服务和数据源或硬编码验证数据。这在企业环境中是一个问题，因为用户更不愿意将其验证信息提供给第三方（实际上，公司策略甚至可能禁止这么做），资源通常具有定制的安全要求。此外，聚合的安全服务要求在不同协议上来自不同用户的不同证书（credential）。资源可能支持诸如HTTP基本验证、定制的应用键、或诸如OpenID和OAuth等更像Web 2.0协议之类的多种验证协议中的任意一种。

本发明的实施例提供对企业混搭的支持，所述企业混搭允许用户聚合来自网络上安全和不安全资源的数据，其中每个安全资源可能使用不同的安全协议。

图1示出本发明所构想的用于访问数据的示例性系统100。需要指出，所示的系统100只是本发明各种安排的一个示例，不能被理解为将本发明限于任何特定配置。