[发明专利]托管目录服务对目录的应用访问的管理

说明书

背景技术

诸如公司和其他企业的组织常常将他们的计算装置网络化以便彼此通信并且与组织外部的计算装置通信。网络目录(还简称为“目录”)是关于装置、应用、人和计算机网络的其他共同对象的专门信息集合。具有计算网络的组织通常使用目录来有效地定位、组织、管理并且以其他方式管理网络资源。例如，用户可被添加到目录并且与特定凭证相关联。此后，可通过将用户提供的凭证(例如，在登录过程期间获得的凭证)与目录中的凭证进行比较来认证用户。随后可从目录中检索关于用户被授权做什么的信息。作为另一实例，作为网络环境的一部分的各个计算机、打印机和其他装置可被列在目录中，并且应用或用户可在目录中查找可用装置的列表并且获得用于访问它们的信息(例如，名称、地址等)。

一些基于网络的服务提供商(例如，对外部客户的“基于云的”服务的提供商，诸如文件存储和备份、消息传递、社交网络等)维持他们自己的目录，并且部分地使用这些目录来向第三方应用和服务提供认证服务。客户和其他用户利用基于网络的服务提供商创建帐户并且获得用户凭据。随后，用户可使用与基于网络的服务提供商相关联的凭证登录到各种第三方应用和服务，并且基于网络的服务提供商可认证用户而不将用户的安全信息(例如，密码)暴露给第三方应用和服务。

附图说明

现在将参考以下附图来描述各个发明特征的实施方案。在全部附图中，参考数字可被重复使用来指示所参考元件之间的对应关系。附图被提供来示出本文所述的示例性实施方案，并且并不意图限制本公开的范围。

图1是根据一些实施方案的包括计算服务提供商和各种组织、应用以及用户的说明性网络环境的框图。

图2是根据一些实施方案的用于管理对目录的应用访问的用户界面的图。

图3是用于管理对目录的应用访问的说明性过程的流程图。

图4是基于网络的目录服务与用户、应用和组织之间的说明性交互和数据流的图。

图5是基于网络的目录服务与用户、应用和组织之间的另外说明性交互和数据流的图。

具体实施方式

引言

本公开涉及架构，其中与企业以及其他组织客户分开的目录服务(例如，基于云的或者其他远程目录服务)可促进客户自己的目录的使用以访问也与客户分开的应用、与所述应用交互并且以其他方式使用所述应用。目录服务可管理可与目录服务相关联的应用或者与目录服务和客户两者均分开的第三方应用对多个(例如，两个或更多个)客户的目录的访问。

一些常规目录服务提供商向第三方应用提供认证服务，并且应用可被授权来访问特定目录信息。例如，社交网络可维持其中存储了用户登录凭证、联系人信息以及与用户相关联的其他信息的用户的目录。社交网络可向第三方应用提供登录和认证服务，从而允许用户使用单组登录凭证登录到多个应用而不需要担心其密码和其他信息未经授权地暴露给其他应用。另外，社交网络(具有来自用户的授权)可允许第三方应用访问特定目录信息，诸如关于用户的联系人的信息、对社交网络的特定于用户的部分的访问等。然而，此类常规目录服务不与多个分开的客户目录集成；相反，它们通常维持其自己的目录。因此，希望使用此类常规目录服务的用户必须创建新的账户并且获得新的登录凭证而不是利用其自己现有的账户、登录凭证以及其他目录信息(例如，来自由用户为其工作的企业管理的目录的目录信息)。

本公开的一些方面涉及管理远离客户的应用对多个(例如，两个或更多个)不同客户的目录的访问的系统。各个客户(例如，企业和其他组织)可通过服务多个客户的基于网络的目录服务配置对其自己的目录的访问。在一些实施方案中，基于网络的目录服务可提供客户可利用其配置对客户的目录的应用访问的界面。例如，客户可访问由基于网络的目录服务托管或生成的基于web的界面。客户可选择被配置来使用或者以其他方式与基于网络的目录服务兼容的各个应用。客户可随后选择性地授权一个或多个应用访问客户的目录并且授权应用执行其他目录相关的动作。说明性地，客户可授权应用执行的目录相关动作可尤其包括：创建、修改和/或删除用户；创建、修改和/或删除用户组；管理密码；列出用户；认证用户；将计算机加入域；创建、修改、读取、写入和删除文件；修改文件存储结构等。在一些实施方案中，客户可具有多个目录并且可在逐个目录的基础上授权应用访问和/或分配许可。在另外实施方案中，客户可在给定目录内具有多组用户或其他对象，并且客户可在逐个组的基础上授权访问和/或分配许可。