用于透明地主存在云中的组织的身份服务

摘要

公开了本发明的用于在云计算平台上建立单一身份/单点登录(SSO)的各实施例。在一个实施例中，用户向云计算平台验证，并且标识域。在确立该用户具有对该域的控制之后，云计算平台配置用于该域的目录服务。该用户可随后使用云计算平台上的该目录服务来登录到他或她的计算机以及主控在云计算平台上的软件服务。

说明书

背景

存在允许用户登录一次然后获得对多个软件系统的访问权的技术。也就是 说，该用户获得对那些软件系统的每一个的访问权而无需登录到它们中的每一 个。这些技术有时被称为“单点登录”(SSO)或者“单一身份”。然而，现 有的SSO/单一身份技术存在许多问题，其中有些是众所周知的。

概述

实现SSO/单一身份的一个问题是必须被配置和安装的技术的量。为了实现 SSO/单一身份，管理员必须能够配置并部署目录服务、联合服务、同步服务、 域名服务(DNS)以及各操作系统。

SSO/单一身份中存在的另一问题与云计算平台所提供的服务有关。这类服 务的示例包括基于云的文档和文件管理服务(诸如微软OFFICE 365 SHAREPOINT ONLINE)、或者电子邮件服务(诸如微软OFFICE 365 EXCHANGE ONLINE)。即使管理员实施场所内目录(即实施在他或她的场所 内，而不是实施在云计算平台上)，该SSO/单一身份不会延伸到云。另外，当 SSO实现在场所内时，系统必须具有很好的可靠性。如果SSO/单一身份不工作， 则用户可能既无法登录场所内服务，也无法登录云服务。

此处所描述的发明的主实施例用于SSO。可以理解的是，本发明可被用于 以类似方式实施基于云的单一身份。本发明的实施例以将场所内和云SSO两者 组合的方式为云中的服务提供SSO，并且提高了SSO的可靠性。本发明的实施 例在其中没有场所内目录的云中实施SSO。通过诸如登录名和口令之类的凭证 的使用来向云平台验证用户。用户随后标识他想要建立SSO的公共域，并且证 明他具有对该域的控制。响应于此，实施例设立域控制器以及联合服务。经由 SSO，域的用户随后既可登录到他们的计算机，又可访问云服务。

本发明的第二实施例在其中没有场所内目录服务的云中实施SSO，并且其 中用户想要建立用于私有域的SSO。在这一实施例中，可按类似于上述的为公 共域建立SSO的方式来建立SSO。然而，用户可不被要求证明他具有对私有域 的控制。

本发明的第三实施例在其中没有场所内目录服务的云中实施SSO。在这一 实施例中，可按类似于上述的为公共域建立SSO的方式来建立SSO。另外，用 户提供凭证，以经由运行在场所内的虚拟专用网(VPN)来访问场所内域控制 器。除了以上所执行的，实施例不仅将场所内域的数据复制到云域服务，还设 立将在云域服务和场所内域服务之间复制数据、以及将数据从场所内域服务同 步到由云计算平台主控的服务的同步服务。实施例还建立与场所内VPN端点 的VPN连接，并且同步服务使用这一VPN连接来同步存储在云目录服务中的 数据和存储在场所内目录服务中的数据。

本发明的这些实施例可经由VPN或类似连接将私有云扩展到客户的场所 内基础结构。从私有云到客户的场所内基础结构的这一扩展允许客户扩展其功 能，而无需添加可见的基础结构——所添加的基础结构对客户来说是不可见的， 客户仅仅看到添加的功能。如此，场所内基础结构可保持相对简单，但功能增 加了。从这一意义上来说，云基础结构可被逻辑地分成两类——(1)促进对公 共云服务(例如，电子邮件)的SSO/单一身份访问的场所内基础结构的基于云 的扩展，(2)公共云服务(例如，电子邮件)。场所内基础结构的基于云的 扩展可插入代表客户的私有云足迹。这一私有云足迹将场所内同步服务、联合 服务、以及目录服务等基于云的服务扩展到场所内网络。

附图简述

图1描绘了其中可实现本发明的各实施例的示例计算机。

图2描绘了其中可实现在云计算平台上建立SSO的各实施例的示例系统。

图3描绘了用于在云计算平台上建立SSO的示例操作规程。

图4描绘了用于以公共域在云计算平台上建立SSO的附加示例操作规程。

图5描绘了用于以私有域在云计算平台上建立SSO的附加示例操作规程。

图6描绘了用于在其中没有场所内目录的云计算平台上建立SSO的附加示 例操作规程。

说明性实施例的详细描述

本发明的各实施例可以在一个或多个计算机系统上执行。图1及以下讨论 旨在提供对其中可实现本发明的各实施例的合适计算环境的简要概括描述。

图1描绘了示例通用计算系统。通用计算系统可包括常规计算机20等， 计算机20包括处理单元21。处理单元21可包括一个或多个处理器，它们中的 每一个可具有一个或多个处理核。多核处理器(作为通常被称为具有不止一个 处理核的处理器)包括单个芯片封装内所包含的多个处理器。

计算机20还可包括图形处理单元(GPU)90。GPU 90是被优化以操纵计 算机图形的专用微处理器。处理单元21可将工作卸载到GPU 90。GPU 90可 以具有其自己的图形存储器，和/或可以访问系统存储器22的一部分。如处理 单元21那样，GPU 90可包括一个或多个处理单元，每一个都具有一个或多个 核。

计算机20还可包括系统存储器22和系统总线23，系统总线23在系统处 于操作状态时将包括系统存储器22的各个系统组件通信地耦合至处理单元21。 系统存储器22可包括只读存储器(ROM)24和随机存取存储器(RAM)25。 基本输入/输出系统26(BIOS)被存储在ROM 24中，该基本输入/输出系统26 包含了诸如在启动期间帮助在计算机20内的元件之间传输信息的基本例程。 系统总线23可以是若干类型的总线结构中的任一种，包括实现各种总线体系 结构中的任一种的存储器总线或存储器控制器、外围总线、以及局部总线。耦 合到系统总线23的可以是直接存储器存取(DMA)控制器80，该DMA控制 器80被配置成独立于处理单元21从存储器读取和/或写入存储器。另外，连接 到系统总线23(诸如存储驱动器接口32或磁盘驱动器接口33)的设备可被配 置成也是独立于处理单元21从存储器读取和/或写入存储器，而无需使用DMA 控制器80。

计算机20还包括用于读写硬盘(未示出)或固态盘(SSD)(未示出)的 存储驱动器27、用于读写可移动磁盘29的磁盘驱动器28，以及用于读写诸如 CD ROM或其他光学介质之类的可移动光盘31的光盘驱动器30。硬盘驱动器 27、磁盘驱动器28和光盘驱动器30被示为分别通过硬盘驱动器接口32、磁盘 驱动器接口33和光盘驱动器接口34来连接到系统总线23。驱动器及其相关联 的计算机可读存储介质为计算机20提供了对计算机可读指令、数据结构、程 序模块，及其他数据的非易失性存储。

虽然这里描述的示例环境采用硬盘、可移动磁盘29和可移动光盘31，但 本领域技术人员应理解，在该示例操作环境中也能使用可存储能由计算机访问 的数据的其他类型的计算机可读介质，如闪存卡、数字视频盘、数字多功能盘 ((DVD)、随机存取存储器(RAM)、只读存储器(ROM)等。通常，这些 计算机可读存储介质能够被用于一些实施例中来存储实现本公开的各方面的 处理器可执行指令。计算机20也可包括主适配器55，其通过小型计算机系统 接口(SCSI)总线56连接到存储设备62。

包括计算机可读指令的若干程序模块可存储在诸如硬盘、磁盘29、光盘 31、ROM 24或RAM 25之类的计算机可读介质上，包括操作系统35、一个或 多个应用程序36、其他程序模块37、以及程序数据38。一旦由处理单元执行， 计算机可读指令使得下文中更详细描述的动作被执行或使得各种程序模块被 实例化。用户可以通过诸如键盘40和定点设备42之类的输入设备向计算机20 中输入命令和信息。其他输入设备(未示出)可包括话筒、游戏杆、游戏手柄、 圆盘式卫星天线、扫描仪等等。这些及其他输入设备常常通过耦合到系统总线 的串行端口接口46连接到处理单元21，但是，也可以通过诸如并行端口、游 戏端口、或通用串行总线(USB)之类的其他接口来连接。显示器47或其他类 型的显示设备也可以通过诸如视频适配器48之类的接口连接到系统总线23。 除了显示器47之外，计算机通常包括其他外围输出设备(未示出)，如扬声 器和打印机。

计算机20可使用到一个或多个远程计算机(诸如，远程计算机49)的逻 辑连接而在联网环境中操作。远程计算机49可以是另一个计算机、服务器、 路由器、网络PC、对等设备或其他公共网络节点，并通常可包括以上相对于计 算机20描述的许多或所有元件，但是在图1中只示出存储器存储设备50。图 1中所描绘的逻辑连接可包括局域网(LAN)51和广域网(WAN)52。这样的 联网环境在办公室、企业范围的计算机网络、内联网和因特网中是普遍的。

当用于LAN联网环境中时，计算机20可通过网络接口或适配器53连接 到LAN 51。当用于WAN联网环境中时，计算机20可通常包括调制解调器54， 或用于通过诸如因特网之类的广域网52建立通信的其他手段。可以是内置的 或外置的调制解调器54可通过串行端口接口46连接到系统总线23。在联网环 境中，相关于计算机20所示的程序模块或其部分可被存储在远程存储器存储 设备中。应当理解，所示的网络连接是示例性的，并且可使用在计算机之间建 立通信链路的其它手段。

在其中计算机20被配置成在联网环境中操作的实施例中，操作系统35被 远程存储在网络上，而计算机20可通过网络启动这一远程存储的操作系统， 而不是从本地存储的操作系统中启动。在一实施例中，计算机20包括瘦客户 机，其中操作系统35少于完整的操作系统，而是被配置成处理联网以及诸如 在监视器47上显示输出的内核。

图2描绘其中可实现在云计算平台上建立SSO的各实施例的示例系统。图 2中描绘的计算机可被实现在图1的计算机20中。SSO系统准许用户登录一次， 并且从那次登录起，获得对多个软件系统的访问权。在一示例SSO环境中，用 户可最初被提示输入凭证(诸如登录名和口令)，并且响应于提供有效凭证， 用户被授予票据授权票据(TGT，诸如Kerberos票据)。当其它软件系统要求 登录时，那些应用查询TGT以获取服务票据，该服务票据向那些软件系统证明 用户的身份而无需用户再次登录。在各版本微软WINDOWS操作系统环境中， WINDOWS login(登录)在用户向WINDOWS login提供凭证之后取得TGT。 随后，知晓ACTIVE DIRECTORY(活动目录)的应用可查询该TGT以查找服 务票据。

如所描绘的，图2的总体部分是云计算平台204，其经由全局网络202连 接到企业内联网218和计算机222两者，计算机222位于企业内联网218之外。 计算机222不具有场所内目录服务，而企业内联网218具有场所内目录服务—— 场所内目录服务212。计算机22和企业内联网218可各自建立基于云的SSO。

云计算平台(诸如微软WINDOWS AZURE PLATFORM云计算平台)一 般为一个或多个用户提供计算资源作为服务(与物理产品相对)。这类服务的 示例是诸如在各版本微软OFFICE 365中所提供的电子邮件服务、日历服务、 联系人服务、网页托管服务、文档存储和管理服务、以及电子表格、演示以及 文档查看和编辑服务。如此处所描绘的，这些服务中的一个或多个可由云计算 平台204中的云服务220来提供。云计算平台可被实施在计算机数据中心中。 这一平台可包括用作平台的外部联络点的一个或多个网关计算机、负载平衡计 算机(其平衡平台的各计算机之间的负载)、以及虚拟机(VM)主控计算机 (其主控在云计算平台上执行的VM)。当用户访问云计算平台时，他或她可 与VM中的一个或多个VM(该用户的服务在其中被处理)交互。这些VM可 在VM主机之间迁移以优化系统性能(诸如以平衡负载、或使一台VM主机离 线以供维护)。用户可不知晓云计算平台的具体实现方式，取而代之地，用户 可知晓云计算平台在这一未知系统架构的顶层提供的那些服务。

首先要讨论的是建立用于计算机222的基于云的SSO，计算机222不具有 场所内的目录服务。目录服务可包括被用于认证域内的用户和/或计算机的数据 库。这一目录服务的示例是微软ACTIVE DIRECTORY目录服务。如所描绘的， 计算机222不与企业内联网218相关联，并且因此，建立用于企业内联网218 的基于云的SSO不会建立用于计算机222的SSO。计算机222的用户可通过全 局网络202(诸如因特网)连接到云计算平台204。如描绘的，云计算平台204 包括云目录服务206、联合服务208、以及同步服务210。云计算平台204的这 些服务被逻辑地描绘，并且可被实现在少于(或多于)三台计算机上。

计算机222的用户可通过提供凭证(诸如登录名和口令)来登录到云计算 平台204，云计算平台204验证所提供的凭证。一旦经验证，可向计算机222 呈现用于建立基于云的SSO的用户界面。这一用户界面可以是例如计算机222 在web浏览器中显示的网页的一部分。

用户可将指示想要建立基于云的SSO以及要被用于建立SSO的域的标识 的数据输入到用户界面中。这一信息可被发送到云计算平台204。在一个实施 例中，云计算平台204确定计算机222所标识的域是私有域(例如，contoso.local； 私有域有时被称为伪域)。在另一实施例中，云计算平台204确定计算机222 所标识的域是公共域(例如，contoso.com)。

当域是私有域时，云计算平台204可确定对于私有域的控制的证明不需要 被提供。对于域的控制的证明不需要被提供可能是因为作为私有域，对它的使 用已经被限于计算机222的内联网。

当域为公共域时，云计算平台204可建立关于计算机222的用户具有对该 公共域的控制的证明。这可通过云计算平台生成并发送数据给计算机222来实 现——例如，数据可包括与计算机222提供的凭证相关联的用户标识符(UID)， UID具有在云计算平台204上的各UID中的唯一值。这一数据可被计算机222 接收，并随后存储在域上一已知的、公共的位置(例如，在域上的邮件交换机 (MX)记录中或者域TXT(文本)记录中)。在该数据被移动到已知位置之 后，计算机222可通知云计算平台204这已经发生。接着，云计算平台204可 获取该存储在已知的公共位置处的数据，并且验证该数据与云计算平台204发 送给计算机202的数据相匹配。在其中已知的公共位置是web服务器的实施例 中，云计算平台204可通过经由超文本传输协议(HTTP)下载该数据来获取 该数据。

在这些已描述的实施例中，证明对域的控制可被视为证明将文件存储在域 上的已知的公共位置的能力。

当云计算平台204已确定该域是私有域时，或者确定该域是对其的控制已 被证明的公共域时，云计算平台204可随后建立用于该域的基于云的SSO功能。 建立其中没有场所内活动目录的基于云的SSO可包括设立联合服务208和目录 服务206。联合服务可包括促进跨软件和组织边界(例如，跨执行在云计算平 台上的多个软件系统)证明身份的计算机服务。联合服务可与目录服务交互， 使得目录服务最初认证用户，而联合服务进一步跨软件或组织边界认证这一身 份。联合服务可使用基于主张的认证，藉此基于与受信任的令牌(诸如在用户 已向目录服务认证之后从目录服务接收的令牌)内包含的用户的身份有关的一 组主张来认证用户。联合服务的示例是微软ACTIVE DIRECTORY  FEDERATION SERVICE(AD FS)联合服务。在建立了基于云的SSO之后，计 算机222以及计算机222为其建立SSO的域上的其它计算机可登录，并且可经 由单一身份/SSO来访问云计算平台204所提供的各个软件系统。

除了建立其中没有场所内目录服务的基于云的SSO，图2还描绘了可为其 建立其中确实存在场所内目录服务的基于云的SSO的计算机。如所描绘的，企 业内联网218具有场所内目录服务212(以及VPN端点214和计算机216)。 场所内目录服务212可提供类似于云目录服务206的功能：场所内目录服务212 可验证用户凭证以访问企业内联网218内的计算机和软件系统。VPN端点214 可用作为连接到企业内联网218的内联网以及全局网络202两者的通信点。 VPN端点214可将企业内联网218内提供的功能提供给企业内联网218之外的 已通过VPN端点214认证的计算机。也就是说，已通过VPN端点214认证的 计算机可访问企业内联网218的服务和功能，就像那些计算机位于企业内联网 218内一样。

企业内联网的计算机216可与云计算平台204通信以建立结合场所内目录 服务212的基于云的SSO。验证凭证、标识域、以及设立目录服务206和联合 服务208的操作可类似于针对其中没有场所内目录服务的基于云的SSO来描述 的那样执行。在凭证已被验证并且域已被标识(并且在公共域的情况下，对公 共域的控制已被证明)之后，建立具有场所内目录的基于云的SSO可与建立不 具有场所内目录的基于云的SSO不同，因为前者可能涉及在场所内目录服务 212和云目录服务206之间复制数据两者。

云计算平台204可最初将数据从场所内目录服务212复制到云目录服务 206。在这一最初复制之后，云计算平台204可通过设立同步服务210在场所 内目录服务212和云目录服务206之间复制数据。同步服务210可执行在云目 录服务206和场所内目录服务212之间复制数据的功能。除了这一复制，同步 服务210还可执行在场所内目录服务212和云服务220之间同步数据的功能。 云服务220可包括包含应用(例如，电子邮件)和身份基础结构的多承租人服 务平台——诸如多承租人目录和身份服务。在各实施例中，在云目录服务206 和场所内目录服务212之间复制数据的操作可经由VPN连接224来进行。VPN 连接224可被使用，因为这些操作使用一般不可用在因特网上的协议(诸如微 软ACTIVE DIRECTORY目录服务的复制协议)。在各实施例中，在场所内目 录服务212和云服务220之间同步数据的操作可经由非VPN连接来进行。非 VPN连接可被使用，因为用于这些操作的协议一般在因特网上可用(诸如通过 公共web服务接口)。

除了设立同步服务210，云计算平台204还可提示计算机216提供可被用 于访问企业内联网218和场所内目录服务212两者的凭证。这可以是可被用于 访问企业内联网218和场所内目录服务212两者的单个凭证。

云计算平台可使用被提供的凭证来建立与VPN端点的VPN连接224，并 且使用这一连接以及该凭证来访问场所内目录服务206。需要注意的是，在各 实施例中，企业内联网218和云计算平台204之间的某些通信可能发生在不是 VPN连接的网络连接上。于是，同步服务210可在云目录服务206和场所内目 录服务212之间复制数据。因此，企业内联网218内的场所内目录服务206所 提供的SSO功能被扩展到由云计算平台204提供的云目录服务206以及软件系 统。

图3描绘用于在云计算平台上建立SSO的示例操作规程。可以理解，存在 本发明的不实施图3(或图4－6)中描绘的全部操作的实施例，以及本发明的 以与此处所描绘的不同的顺序实施图3(或图4－6)中描绘的操作的实施例。 例如，图3的操作可被实施在图2的云计算平台204上。

操作302描绘了验证用户凭证。在一个实施例中，这一用户凭证可以是从 计算机(诸如，计算机222或计算机216)接收的凭证，并且因此，该操作可 包括验证与计算机相关联的用户凭证。

操作304描绘了接收要为其建立SSO的域的标识。这一指示可从提供在操 作302中所标识的用户凭证的计算机接收。例如，云计算平台204可经由网页 向计算机216或计算机222提供用户界面，并且标识要为其建立SSO的域的数 据可被输入该网页。

操作306描绘了配置云计算平台以授权来自该域的用户的登录。操作306 可在用户凭证已在操作302中被验证的情况下执行。操作306可包括在云计算 平台上为该域的用户配置目录服务和联合服务。

操作308描绘了基于确定目录服务授权与对域的计算机的登录相关联的凭 证来授权该登录。在各实施例中，操作308包括响应于确定目录服务授权与对 另一计算机的登录相关联的凭证来授权该登录。

操作310描绘了授权与该登录相关联的凭证访问云计算平台上提供的软件 服务。操作310可响应于确定目录服务授权与该登录相关联的凭证来执行。

图4描绘用于以公共域在云计算平台上建立SSO的附加示例操作规程。在 其中图4的操作规程结合图3的操作规程来执行的实施例中，图4的操作规程 (其可被用于确定请求者具有对正考虑的域的控制)可在操作306(其中云计 算平台可被配置成授权来自域的登录)之前实施。

操作402描绘了确定域是公共域。这可包括解析该提供域(例如， contoso.com)以确定该域包含可公开使用的顶级域名(例如，.COM或.NET) (与例如私有的顶级域名如.LOCAL相对)。

操作404描绘了发送数据给计算机。操作404可响应于确定域是公共域来 执行。相反，当确定该域是私有域时，可实施图5的操作规程。数据可包括可 被存储在域中一已知的、可公共访问(或者可以其它方式通过使用提供给云计 算平台204的凭证来访问)的位置的信息。例如，当云计算平台204维护用于 云计算平台204的每个用户的用户标识符(UID)并且这些UID中存储的值在 UID之中是唯一的时，云计算平台204可将这一UID作为数据发送给计算机。 响应于接收到该数据，计算机可随后将该数据存储在域内一已知的、可公共访 问的位置处。

操作406描绘了确定该数据可在域中的已知位置处访问。在各实施例中， 操作406包括确定数据存储在域中的邮件交换机(MX)记录内，或确定数据 存储在域中的域TXT记录内。当数据存储在web服务器上时，操作406可包 括云计算平台204作出获取被存储在该已知位置处的数据的超文本传输协议 (HTTP)请求。随后，云计算平台204可将这一获取的数据与其在操作404 提供给计算机的数据作比较，并确定值是否匹配(这指示请求者具有访问取或 对该域的控制)或者值是否不同(这指示请求者未显示足够的访问权或对域的 控制来建立用于该域的基于云的SSO)。

图5描绘了用于以私有域在云计算平台上建立SSO的附加示例操作规程。 在其中图5的操作规程结合图3的操作规程来执行的实施例中，图5的操作规 程(其可被用于确定请求者具有对正考虑的域的控制)可在操作306(其中云 计算平台可被配置成授权来自域的登录)之前实施。

操作502描绘了确定域是私有域。这可包括解析所提供的域(例如， contoso.com)以确定该域包含不可公开使用的顶级域名(例如，.LOCAL)(与 例如可公开私有的顶级域名如.COM或NET相对)。

操作504描绘了确定对该域的控制不需要被证明。当域是私有域时，对域 的控制可根据该域是私有的这一属性来推测——例如，由于私有域对于该私有 域存在于其上的内联网来说是本地的，因此可推测到对它的控制。因此，当域 是私有域时，云计算平台204可确定没有额外的对域的控制的证明是必要的(诸 如经由图4的操作规程)，并且云计算平台可随后开始配置云计算平台以授权 来自该私有域的用户的登录。

图6描绘了用于在其中没有场所内目录的云计算平台上建立SSO的附加示 例操作规程。在各实施例中，图6的操作规程可被用于建立用于企业内联网218 的云计算平台204上的SSO，企业内联网218具有场所内目录212。

操作602描绘了确定域具有场所内目录服务。在各实施例中，操作602可 包括提示请求建立基于云的SSO的实体输入对于该实体是否具有场所内目录 服务的指示。例如，当云计算平台204在网页中向计算机216提供用户界面时， 这一用户界面还可包含被配置成允许对存在场所内目录的指示的用户界面元 素。

操作604描绘了配置云计算平台上的同步服务。这一同步服务既可被用于 在场所内目录服务和云计算平台之间复制数据，也可被用于在场所内目录服务 和云计算平台上的云服务之间同步数据。操作604可响应于确定域具有场所内 目录服务而执行。当域不具有场所内目录服务时，云计算平台204可确定不结 合建立基于云的SSO来配置同步服务。

操作606描绘了接收对于虚拟专用网(VPN)端点的指示以及用于访问场 所内目录服务的凭证。使用图2的示例系统，这一VPN端点可以是VPN端点 218。当如操作602中，云计算平台204在网页中向计算机216提供用户界面 时，这一用户界面还可包括被配置成用于输入用于该VPN端点和场所内目录 服务的凭证的用户界面元素。

操作608描绘了由云计算平台使用该用于访问场所内目录服务的凭证来建 立与VPN端点的VPN连接。一旦VPN连接被建立，同步服务210不仅可在场 所内目录服务212和云目录服务206之间复制数据，也可在场所内目录服务212 和云服务220之间同步数据，如操作610中所描绘的。

从云计算平台204到企业内联网218的这一VPN连接的建立可被视为在 与更典型的VPN连接相反方向上建立VPN连接。在更典型的情景中，计算机 222可发起与企业内联网218的VPN连接以将企业内联网218提供的功能扩展 到计算机222。相反，此处，云计算平台204发起与企业内联网218的连接以 将云计算平台204提供的功能扩展到企业内联网218。换句话说，取代计算机 222建立VPN连接来增加它从企业内联网218接收的功能，云计算平台204建 立VPN连接以增加提供给企业内联网218的功能(这一功能包括扩展到由云 计算平台204所提供的软件系统的基于云的SSO，其中需要用于该基于云的 SSO的凭证)。

操作610描绘了使用同步服务在云计算平台上的目录服务和场所内目录服 务之间复制数据。当数据在云目录服务206或场所内目录服务212中的任意一 者上被修改时(例如，在这些目录服务中的一个上创建了一个新的用户帐户)， 同步服务210可监视这些目录服务上的修改，并且当同步服务210检测到这一 修改时，它可修改相应地另一个目录服务，使得目录服务206和场所内目录服 务212包含相同的SSO信息。

尽管已经结合各附图所示的较佳方面描述了本发明，但要理解，可使用其 他相似方面或者可对所述方面进行修改或添加来执行本发明的相同功能而不 脱离本发明。因此，本发明不应该仅限于任何单个方面，而是应该在根据所附 权利要求书的广度和范围内解释。例如，本文描述的各种过程可用硬件或软件、 或两者的组合来实现。本发明可以用计算机可读存储介质和/或计算机可读通信 介质来实现。由此，本发明或其某些方面或部分可采用包含在诸如软盘、 CD-ROM、硬盘驱动器或任何其他机器可读存储介质等有形介质中的程序代码 (即，指令)的形式。同样，本发明或其某些方面或部分可实现在传播信号中， 或任何其他机器可读通信介质。当程序代码被加载到诸如计算机等机器并由其 执行时，该机器变为被配置成实施所公开的各实施例的装置。除了此处明确阐 述的具体实现之外，考虑此处所公开的说明书，其他方面和实现将对本领域的 技术人员是显而易见的。说明书和所示实现旨在仅被认为是示例。