用于管理能够访问多个域的用户的多域访问凭证的系统和方法

摘要

一种用于管理能够访问多个域(2)的用户(U)的多域访问凭证的系统(1)。该系统(1)包括：凭证管理服务器(3)，其中对于每一个域(2)，分别存在用户(U)的访问凭证(41)，每一个访问凭证(41)包括用户(U)的针对每一个域(2)的访问级别(411)；用于经接口连接凭证管理服务器(3)和至少一个网络服务器(6)的服务设备(5)，该至少一个网络服务器(6)进而包括与至少一个域(2)有关的应用和资源(7)。服务设备(5)被配置成向凭证管理服务器(3)发送对特定域(21)的访问请求(R1)，并且凭证管理服务器(3)被配置成向服务设备(5)发送用户(U)的针对所有域(2)的访问凭证(41)；因此，服务设备(5)被配置成向网络服务器(6)发送对特定域(21)的访问请求(R2)，并且网络服务器(6)被配置成允许用户(U)基于用户(U)的访问级别(41)来访问特定域(21)的这种应用和资源(7)。

说明书

技术领域

本发明涉及一种用于管理能够访问多个域的用户的多域访问凭证的系统。

本发明还涉及一种用于管理能够访问多个域的用户的多域访问凭证的方法。

众所周知，在信息和通信技术(ICT)领域中，最重要的是依靠访问管理系统(也被称为“访问管理”(AM))，其整合了能够允许各种公共和/或私人组织轻松控制用户对关键应用和数据的访问，同时保护个人数据免遭未经授权的访问的技术、准则和规程。

存在实现不同访问服务的各种类型的访问管理系统，其中已知的是所谓的“帐户管理”服务，其允许创建和管理用户配置文件(user profile)以供单个计算机系统或单个应用的使用。

显然，正如刚刚强调的那样，不利的是，此类服务允许排他地访问单个应用或单个计算机系统。

替代地，存在所谓“单点登录”(SSO)的单一认证服务，该服务使用户能够执行对于他所能够启用的更多计算机系统、应用或计算机资源而言有效的单一认证。

更进一步详细地，这种SSO服务可以用集中式办法来实现，其中，例如，单个实体(诸如公司)的用户以及因而单个域的用户可取决于该特定用户的访问级别而具有以集中式方式访问可从前述公司获得的所有计算机应用和资源的可能性。

在本框架中，术语“域”意指更多的用户(例如，属于一家公司)共享网络资源和应用的数据库，这些网络资源和应用是利用共用规则和规程被作为单元来管理的。换言之，除了存储前述数据库的网络服务器、以及连接到这种网络服务器的多个服务设备(诸如个人计算机或移动设备)之外的域包括授权类型(安全规则)的逻辑连接规则(策略)。在该框架中，每个用户必须被提交至由驻留在前述网络服务器中的服务定义的特定认证规程。这些规程(其通常包括配置文件层次结构(在对资源或应用的准许和访问级别方面))确定是否属于域、分发结构和集中式共享。

然而，即使这种SSO服务集中式办法也不允许管理能够访问多个域的单个用户的多域访问。

可替代地，可利用联合式办法(即，允许单个被允许的用户通过仅实际访问诸域之一来自动访问彼此不同的更多的域的办法)来实现这种SSO服务。

然而，不利的是，这种类型的SSO服务联邦办法没有提供被配置成访问这样的多个域的单个用户接口，而是相反地，访问是借助于前述诸域的彼此不同的特定接口而发生的。

本发明旨在克服所有提到的缺点。

具体而言，本发明的目的是创建一种用于管理用户的多域访问凭证的系统，该系统使所述用户能够容易地对他所能够启用的所有域执行单一集中式认证。

本发明的另一目的是创建一种用于管理用户的多域访问凭证的系统，该系统在促成这种单一集中式认证的同时允许使对用户所能够启用的不同域的访问权保持彼此分离。

具体而言，本发明的目的是创建一种用于管理多域凭证的系统，该系统允许管理单个用户根据不同访问级别对各种域的访问。

所述目的由根据主权利要求的用于管理用户的多域访问凭证的系统来达成。

关于本发明的前述管理系统的其他特性，在从属权利要求中阐述了它们。

本发明的一部分还是根据权利要求9的用于管理用户的多域访问凭证的方法。

在描述本发明的优选实施例期间，将突出前述目的以及将在下文中提到的优点，该优选实施例的描述是通过非限制性示例并参考附图给出的，其中：

-图1示意性地示出了本发明的用于管理多域访问凭证的系统。

-图2示出了本发明的用于管理多域访问凭证的方法的步骤的框图。

在图1中示意性地示出了用于管理能够访问多个域2的用户U的多域访问凭证的系统，其中该系统一般由1来指示。

为了更好地描述本发明的系统1，例如，让我们考虑将其用于由几家公司组成的集团中，其中总公司(诸如控股公司)控制着多家下属公司，其中这种控股公司和前述下属公司中的每一者配备有独立于同一集团中的其他公司的域的其自己的域。

如上面已经提到的，在本框架中，术语“域”意指更多的用户(其在正被考虑的示例中可以是给定公司的雇员)共享网络资源和应用的数据库，并且这些网络资源和应用是利用共用规则和规程被作为单元来管控的。换言之，除了存储前述数据库的网络服务器、以及连接到这种网络服务器的多个服务设备之外的域包括授权类型(安全规则)的逻辑连接规则(策略)。在该框架中，每个用户必须被提交至由驻留在前述网络服务器中的服务定义的特定认证规程。这些规程(其通常包括配置文件层次结构(在对资源或应用的准许和访问级别方面))确定是否属于域、分发结构和集中式共享。

在刚才被纳入考虑的示例中，可以使前述集团的一个或多个用户(雇员)能够访问前述多个域中的更多域。具体而言，可以使前述用户中的一者或多者能够以对资源或对每个域的特定应用的不同准许和访问级别来访问此类域。

返回本发明的系统1，其包括凭证管理服务器3，凭证管理服务器3包括存储支持31，其中至少存储数据库4，其中对于每一个所述域2，分别存在每个用户U的访问凭证41。

根据本发明，对于这样的用户U所能够访问的每一个域2，前述访问凭证41中的每一者包括用户U访问级别411。

根据本发明的优选实施例，对于每个域2，每个用户U的访问凭证41还包括认证和会话令牌，如将在下文中具体描述的，其可以从对用户U而言可用的服务设备5的接口(尤其从web浏览器)通过cookie发送。

本发明的系统1还包括这一对用户U而言可用的服务设备5。这一服务设备5设置有存储支持51和用户接口52，以用于经接口连接将在下文中描述的凭证管理服务器3和网络服务器6。

根据本发明的一些优选实施例，这一服务设备5可替代地包括智能电话设备、平板设备、台式个人计算机、膝上型设备。一般地，这一服务设备5可以是能够允许用户U借助于前述用户接口52、前述凭证管理服务器3和前述网络服务器6进行接口连接的任何电子设备。

此外，根据本发明的优选实施例，用户接口52是通过驻留在服务设备5中的web浏览器9而使得在用户U的服务设备5上可供用户U使用的web用户接口，并且存储支持51由前述web浏览器9的本地存储(localStorage)91来表示。

在ICT技术领域和本框架中，“本地存储”意指因web浏览器而变得可供使用的用于一般存储可被web浏览器本身使用的数据的存储部分。

关于网络服务器6，根据本发明，其包括存储支持61，其中存储了与每一个域2有关的应用和资源7。

根据本发明的优选实施例，每个域2包括其自己的网络服务器6，其中存储了特定域2的应用和资源7。

此外，仍然根据本发明系统1的优选实施例，凭证管理服务器3与前述网络服务器6是分开的，其中凭证管理服务器3是云服务器，而网络服务器6是放置在属于前述公司集团的各个前述公司中的本地服务器。

前述网络服务器6并不受限于是云服务器。

根据本发明的不同实施例，仍然不受限于提供单个网络服务器6，其中存储了所有前述域2的所有应用和资源7。

此外，根据本发明的另一替代实施例，凭证管理服务器3和网络服务器6不限于是包括存储支持的单个服务器，其中数据库4以及与每一个域2有关的应用和资源7两者被分配。

根据本发明，服务设备5被配置成允许用户U借助于接口52向凭证管理服务器3发送对所有域2之中的特定域21的访问请求R1。

优选地但非必需地，这一访问请求R1包括与用户U想要访问的前述特定域21有关的用户U的标识ID以及与该标识ID相关联的验证信息PW，诸如举例而言，密码和/或生物计量标识。

仍更优选地，这一标识ID是针对特定域21的用户U的特定电子邮件地址。

根据本发明，作为对这一访问请求R1的响应，凭证管理服务器3被配置成验证用户U真实性，并且一旦被认证，其被配置成向服务器设备5发送与这样的用户U所能够访问的所有域2有关的用户U的访问凭证41。

一旦从凭证管理服务器3接收到，这一访问凭证41便由服务设备5存储在存储支持51中，尤其存储在由用户U用来将访问请求R1发送给凭证管理服务器3的web浏览器9的本地存储91中。必须澄清的是，用户U所能够访问的所有前述域2的访问凭证41被彼此分开地存储在前述本地存储91中。

此外，始终根据本发明的服务设备5被配置成向其中用户U想要访问的特定域21的应用和资源7被存储的网络服务器6发送对此类应用和资源7的访问请求R2。

前述访问请求R2尤其提供排他地发送与特定域21有关并且先前存储在所述存储支持51中的访问凭证41。

在本框架中，“排他地发送”意指对特定网络服务器6的访问请求R2包括用于前述特定域21的并且与用于访问一不同的域2的访问和安全信息不同的特定访问和安全信息。

就此而言，两个或更多个域2(每个域由特定网络服务器6管理)尽管属于同一公司集团的多个域2，但将永远无法彼此交换访问和安全信息。因此，有利地归因于使用本发明的系统1，前述两个或更多个域2是独立的并且彼此隔离，同时属于同一公司集团的前述多个域2。

优选地但非必需地，由服务设备5发送给网络服务器6的这一访问请求R2还包括针对使用对前述网络服务器6而言可用的一个或多个特定应用或者一个或多个特定资源的请求。仍更一般地，这一访问请求R2包括针对使用因前述网络服务器6而变得可供使用的特定域2的请求。

根据本发明的系统1，作为对这一访问请求R2的响应，网络服务器6被配置成允许用户U基于用户U具有的与前述特定域21有关的访问级别411、借助于其自己的服务设备5来访问这样的特定域21的应用和资源7。

值得注意的是，根据本发明的系统1，这样的访问允许用户U排他地访问特定域21的应用和资源7。换言之，尽管前述多个域2是借助于针对用户U的前述访问管理系统1以集中式方式被管理的，但是前述域2中的每一者实际上是彼此独立的，并且因此用户U对特定域2的访问完全独立于同一用户U对属于前述多个域2的其他域2的可能的访问。

根据本发明，优选地，一旦与所有前述域2有关的用户U的前述访问凭证41在存储支持51中，尤其是在web浏览器9的本地存储91中可用，服务设备2便被配置成允许用户U借助于所述接口52向网络服务器6发送对与前述特定域21不同的第二特定域22的访问请求R2，排他地发送与这样的第二特定域22有关的访问凭证41，从而有利地不必再次向凭证管理服务器3发送要访问该第二特定域22的另一访问请求R1。

换言之，参考上面提到的示例，在属于前述公司集团并且能够访问更多域2的用户U的情形中，与前述公司之一相关联的每个用户U已经接收到对访问第一特定域21的授权，并且随后，在同一会话中要求访问不同于第一特定域的第二特定域22，服务设备5被配置成发送要访问第二特定域22的前述访问请求R2。具体而言，这一访问请求R2被发送到其中存储了这样的第二特定域22的应用和资源7的网络服务器6，而无需再次将访问请求R1发送到访问管理服务器3，因为已使得所有访问凭证41变得可供用户U的服务设备5使用。

同时，作为对这一访问请求R2的响应，网络服务器6被配置成允许用户U取决于用户U的针对前述第二特定域22的访问级别41、借助于其自己的服务设备5来访问这样的第二特定域22的应用和资源7。

优选地，根据本发明，一旦已准许对这样的第二特定域22的应用和资源7的访问，本发明的管理系统1便被配置成关闭对第一特定域21的访问会话。

换言之，本发明的系统1允许保持打开关于前述多个域2中的单个域2单个会话。

如先前提到的，本发明的一部分还是用于管理能够访问多个域2的用户U的多域访问凭证的方法。

在图2中示意性地示出了根据本发明的方法的步骤，其中该方法一般地由100来指示。

具体而言，如在图2中可以看出，本发明的方法100包括步骤101：用户U借助于服务设备5发送对所有域2之中的特定域21的访问请求R1。这一请求尤其被发送到其中与每一个域2有关的用户U的访问凭证41分别呈现在的前述凭证管理服务器3。

方法100按顺序提供步骤102，在该步骤102中，作为对前述访问请求R1的响应并且在验证用户U的真实性之后，凭证管理服务器3发送针对所有域2的用户U的访问凭证41。

本发明的方法100的接下来的步骤103提供将前述访问凭证41存储在由用户U用来发送前述访问请求R1的服务设备5的存储支持53中，优选地存储在web浏览器9的本地存储91中。

此外，本发明的方法100提供步骤104：发送要访问特定域21的应用和资源7的访问请求R2。这一访问请求R2被发送到其中存在与这样的特定域21有关的前述应用和资源7的网络服务器6。具体而言，根据本发明的方法100，这一访问请求R2包括专用于这样的特定域21的访问凭证41。

随后，作为对访问请求R2的响应，本发明的方法100提供了步骤105，在该步骤105中，网络服务器6基于针对特定域21而准予用户U的访问级别41来向用户U准予针对访问这样的特定域21的应用和资源7的共识。

此外，在用户U已接收到对访问第一特定域21的授权的情形中，由此一旦所有域2的访问凭证41已在存储支持51中(更具体地在前述本地存储91中)可用，并且随后这样的用户U要求访问不同于第一特定域的第二特定域22，本发明的方法100提供了步骤106：向其中存在前述第二特定域22的应用和资源7的网络服务器6发送要访问这样的第二特定域22的前述应用和资源7的访问请求R2，而无需将前述访问请求R1发送给凭证管理服务器3。

具体而言，根据本发明的这种访问请求R2包括专用于这样的第二特定域22的访问凭证41。

此时，作为对由网络服务器6发送的这一访问请求R2的响应，本发明的方法100提供了步骤107：取决于与用户U相关联的同前述第二特定域22有关的访问级别41而向用户U准予对访问第二特定域22的前述应用和资源7的共识。

如先前所述，优选地，对第二特定域22的这一访问确定对第一特定域21的访问会话的关闭。

换言之，本发明的方法100允许保持仅打开关于前述多个域2中的单个域2的会话。

因此，基于上述内容，本发明的用于管理能够访问多个域的用户的多域访问凭证的系统和方法达成了所有设定的目标。

具体而言，达成了要创建一种用于管理能够访问多个域的用户的多域访问凭证的系统的目标，该系统允许所述用户轻松地执行针对他所能够访问的所有域的单一集中式认证。

另一所达成的目标是创建一种用于管理能够访问多个域的用户的多域访问凭证的系统，该系统在促成这种单一集中式认证的同时允许使对这样的用户所能够访问的不同域的访问权保持彼此分离。

具体而言，达成了要创建用于管理多域访问凭证的系统的目标，该系统允许管理单个用户根据不同访问级别对各个域的访问。