Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога

Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога

Иллюстрации

Показать все

Реферат

УРОВЕНЬ ТЕХНИКИ

[0001] Один общепринятый подход к обеспечению среды сотрудничества на уровне компании требует приобретения вещественного программного продукта для локальной установки и развертывания в сети на уровне пользователей или компании. Например, компания может развернуть сетевую архитектуру на уровне компании для управления доступом к файлам и ресурсам со стороны пользователей, частично опираясь на ресурсы брандмауэра компании и локальное приложение каталогов для поддержания разрешений доступа для архитектуры. Каталог можно использовать для содержания в нем централизованного списка пользователей для системы. Например, каталог можно использовать для создания частного рабочего пространства (My site) для каждого пользователя в каталоге. С увеличением количества пользователей и компонентов сети, задача поддержания безопасности и разрешений доступа может требовать расхода большого количества времени и средств до нижней линии бизнеса, который опирается на установленный продукт.

[0002] В качестве естественной эволюции от старой парадигмы, онлайновые службы приложений используются все в большей степени по мере того, как деловые круги отказываются от зачастую неэффективного и трудоемкого подхода установки и администрирования приложений и/или пользователей в заданной сети. Возложение ответственности за поддержание, обновления и безопасность на отдельный субъект является привлекательной перспективой. В итоге, должен существовать некоторый механизм, позволяющий гарантировать, что доступ к данным потребителя ограничивается авторизованными пользователями. Например, размещенные на хосте службы приложений должны учитывать качество обслуживания, плотность сайтов, безопасность и/или другие вопросы обслуживания. Сложности, связанные с управлением доступом к размещенным на хосте службам приложений со стороны текущих и будущих потребителей, нарастают с масштабом, тем самым затрудняя его поддержку.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ

[0003] Раскрытие сущности изобретения призвано представлять ряд концепций в упрощенной форме, которые более подробно описаны ниже в подробном описании осуществления изобретения. Эта сущность изобретения не призвана выявлять ключевые признаки или существенные признаки заявленного изобретения, а также не призвана определять объем заявленного изобретения.

[0004] Варианты осуществления обеспечивают признаки управления доступом к приложениям и/или ресурсам онлайновой вычислительной среды, но не ограничиваются этим. Согласно варианту осуществления, способ, осуществляемый на компьютере, обеспечивает признаки управления доступом для среды онлайновых приложений частично на основании использования нескольких экземпляров службы каталогов, изолированных от прямого доступа потребителя и развернутых в заданной архитектуре центров обработки данных. В одном варианте осуществления, вычислительная среда использует признаки управления доступом на основе всемирной паутины и несколько экземпляров службы каталогов, имеющих организационные единицы и соответствующие привязки для поддержания инфраструктуры поддержки в рамках предоставления признаков онлайновых служб приложений потребителям. Другие варианты осуществления включены и доступны.

[0005] Эти и другие признаки и преимущества явствуют из нижеследующего подробного описания и обзора прилагаемых чертежей. Следует понимать, что вышеприведенное общее описание и нижеследующее подробное описание являются исключительно пояснительными и не призваны ограничивать заявленные аспекты.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0006] Фиг. 1 - блок-схема иллюстративной вычислительной среды.

[0007] Фиг. 2 - блок-схема операций, демонстрирующая аспекты иллюстративной онлайновой службы приложений.

[0008] Фиг. 3 - блок-схема операций, демонстрирующая иллюстративный процесс управления доступом к онлайновым службам приложений и/или ресурсам.

[0009] Фиг. 4 - блок-схема иллюстративной среды ячеистой сети.

[0010] Фиг. 5 - блок-схема, демонстрирующая несколько иллюстративных организационных единиц среды онлайновой службы приложений.

[0011] Фиг. 6 - блок-схема, демонстрирующая иллюстративную вычислительную среду для реализации различных описанных здесь вариантов осуществления.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

[0012] На фиг. 1 показана блок-схема иллюстративной вычислительной среды 100, которая включает в себя функциональные возможности для предоставления возможности пользования онлайновыми службами приложений и/или ресурсами разрешенным пользователям среды 100. Согласно варианту осуществления, среда 100 включает в себя использование нескольких экземпляров 102(1)-102(N) службы каталогов для распоряжения и управления аспектами онлайновых служб приложений и/или ресурсов, доставляемых потребителям-абонентам и другим авторизованным пользователям, но не ограничивается этим. Как рассмотрено ниже, потребители-абоненты могут осуществлять доступ к онлайновым службам приложений и/или ресурсам среды 100 и использовать их, в том числе к сетям онлайновых служб, частично на основании ряда параметров экземпляра службы каталогов. Иллюстративные сети онлайновых служб могут включать в себя общественные и частные сети, осуществляющие связь по некоторому каналу связи, например, сети на основе всемирной паутины (например, интернет). Потребители могут подписываться на использование определенных онлайновых служб и/или ресурсов, которые могут охватывать, например, множественные хосты, партнеры и собрания сайтов.

[0013] Как показано на фиг. 1 и более подробно описано ниже, среда 100 включает в себя компонент провайдера заявок или провайдер 104 заявок, компонент синхронизатора или синхронизатор 106, компонент диспетчера ячеистой сети или диспетчер 108 ячеистой сети, ассоциированный с архитектурой 110 онлайновой службы, который обеспечивает возможность пользования службам и/или ресурсами некоторому количеству субъектов, которые включают в себя потребительские системы 112(1)-112(N). В одном варианте осуществления, провайдер 104 заявок, синхронизатор 106 и диспетчер 108 ячеистой сети входят в состав централизованного ресурсного центра, доступного компонентам заданной ячеистой сети. Архитектура 110 онлайновой службы варианта осуществления включает в себя ресурсы 114 онлайновых приложений, онлайновые службы 116 приложений, и другие ресурсы/приложения 118 включающие в себя ресурсы обработки, сетевые ресурсы и/или ресурсы памяти. Очевидно, что среда 100 может включать в себя дополнительные компоненты и конфигурации. Например, каждая ячеистая сеть может включать в себя различные топологии серверов и/или компонентов, сконфигурированных для обслуживания различных типов потребителей.

[0014] В различных вариантах осуществления, потребители и/или другие пользователи среды 100 могут осуществлять доступ ко всем или избранным участкам архитектуры 110 и использовать их частично на основании различной потребительской и иной информации, содержащейся в экземплярах 102(1)-102(N) службы каталогов. Как описано ниже, компоненты среды 100 могут использовать экземпляры 102(1)-102(N) службы каталогов в порядке поддержания и предоставления возможности пользования онлайновыми службами и/или ресурсами каждому потребителю, в том числе любым разрешенным работникам, партнерам и/или другим абонентам или пользователям. Например, каждый экземпляр службы каталогов можно использовать для управления доступом к службам и/или ресурсам частично на основании идентификации пользователя, разрешений безопасность, ролей поддержки и/или групп, ассоциированных с каждым потребителем-абонентом.

[0015] Среда 100 варианта осуществления включает в себя использование нескольких контроллеров доменов для управления доступом к экземплярам службы каталогов и их администрирования в порядке обеспечения онлайновых служб и/или ресурсов. Контроллеры доменов, рассеянные по среде 100, можно использовать для обеспечения надежной, устойчивой к сбоям архитектуре онлайновых служб и ресурсов. В одном варианте осуществления, среда 100 использует множественные контроллеры доменов, развернутые с каждым экземпляром службы каталогов в порядке обслуживания различных потребителей и/или регионов, но не ограничивается этим. Например, множественные контроллеры доменов могут быть развернуты в удаленных центрах обработки данных (например, физических местоположениях хостинга) в порядке облегчения синхронизации и других служб с учетными записями потребителя с использованием одного или более экземпляров 102(1)-102(N) службы каталогов. Дополнительные контроллеры доменов могут быть развернуты для каждого экземпляра службы каталогов в порядке повышения производительности запросов авторизация и/или других операций.

[0016] Согласно варианту осуществления, провайдер 104 заявок, синхронизатор 106 и диспетчер 108 ячеистой сети могут включать в себя функциональные возможности для обеспечения авторизации и доступа пользователя, управления ресурсами, партнер и/или другие признаки доступа и использования с использованием одной или более структур данных экземпляров службы каталогов (DSI) для предоставления возможности пользования онлайновыми службами потребителям-абонентам. В одном варианте осуществления, провайдер 104 заявок входит в состав роли веб-сервера и действует для запрашивания контроллера домена, ассоциированного со структурой данных DSI, в порядке управления доступом к службам ячеистой сети. Среда 100 варианта осуществления включает в себя множество контроллеров доменов (например, два, четыре, шесть и т.д.), ассоциированных с каждой структурой данных DSI. В одном варианте осуществления, количество контроллеров доменов и структур данных DSI можно оптимизировать частично на основании исследования нескольких метрик производительности, которые отслеживают признаки производительности онлайновой службы. Например, метрика производительности может отслеживать операцию конкретного запроса частично на основании функции количества объектов, содержащихся в структуре данных DSI. Метрики производительности можно использовать в порядке развертывания дополнительных структур данных DSI и/или других компонентов.

[0017] Синхронизатор 106 варианта осуществления можно использовать частично для наполнения и поддержания каждой структуры данных DSI потребительской информацией многих разных потребителей. Такие операции наполнения одного варианта осуществления частично зависят от количества объектов, выделенных для каждой структуры данных DSI. В одном варианте осуществления, синхронизатор 106 может использовать схему и количество вызовов веб-службы для наполнения и администрирования каждой структуры данных DSI. Синхронизатор 106 одного варианта осуществления использует демон синхронизации, описанный ниже, для проверки объектов данных (например, нового, обновленного, удаленного и т.д.) для данного потребителя, но не ограничивается этим. Например, демон синхронизации может подавать на доступный компонент веб-службы запрос определения местоположения конкретной структуры данных DSI всякий раз, когда выявляется или осуществляется смена потребителя (например, изменяется информация о компании, изменяется список пользователей, изменяются группы, изменяется подписка и лицензия и т.д.). Запрашиваемая веб-служба может действовать для предоставления имени ассоциированной структуры данных DSI демону синхронизации и использоваться синхронизатором 106 в рамках операции синхронизации. В одном варианте осуществления, синхронизатором 106 может использовать уникальный GUID в качестве идентификатора для каждого потребителя, который содержится в ассоциированной структуре данных DSI, для идентификации ассоциированной структуры данных организационной единицы.

[0018] Синхронизатор 106 может использовать множество организационных единиц 120(1)-120(N) различных структур данных DSI для поддержания целостности онлайновых служб, например, сохранения актуальности учетных записей онлайновой службы, например, в которой каждая организационная единица может наполняться информацией отдельного потребителя, партнера, компаньона и/или другого пользователя онлайновой службы. Например, каждую организационную единицу можно использовать для представления деталей подписки потребителя для данного потребителя, включающих в себя пользователей разрешенного потребителя, группы доступа и/или безопасности по службе и/или ресурсу, пользователей экстрасети, и/или объекты внешнего субъекта безопасности (FPO).

[0019] Согласно варианту осуществления, FPO можно использовать для представления пользователя, не являющегося работником, или группы разрешения того или иного потребителя. В одном варианте осуществления, один или более FPO могут содержаться в организационной единице первой компании, в которой параметры привязки FPO указывают на другой пользовательский объект пользователя, группу и/или экземпляр службы каталогов одной или более других организационных единиц, которые могут входить или не входить в состав одной и той же ячеистой сети. Например, FPO можно проиллюстрировать примером в организационной единице первой компании как виртуальное представление группы агентов администратора, содержащейся в структуре данных организационной единицы второго потребителя. Соответственно, разрешения можно задавать для пользователей, не являющихся работниками, и пользователей, не участвующих в экстрасети, организационной единицы потребителя аналогично даче разрешений группам организационной единицы потребителя. Например, пользователи, ассоциированные с группой FPO, получают доступ к собранию сайтов владельца поскольку объекты FPO включены как члены авторизованной группы безопасности, которая имеет доступ к собранию сайтов (например, группы администраторов, группы особого доступа и т.д.)

[0020] Опять же, согласно фиг. 1, диспетчер 108 ячеистой сети варианта осуществления действует как центральный центр управления или управляющий компонент ячеистой сети среды 100.

Диспетчер 108 ячеистой сети одного варианта осуществления действует как хост веб-службы для ассоциированной ячеистой сети или сетей. Например, диспетчер 108 ячеистой сети является хостом для нескольких веб-служб, функцией которых является определение местоположения серверов, создание новых потребительских объектов, определение местоположения экземпляров службы каталогов и/или обеспечение других служб или функций. Диспетчер 108 ячеистой сети может предохранять местоположения и/или привязки к конкретным структурам данных DSI для потребителей-абонентов, владеющих некоторым собранием сайтов или собранием собраний сайтов.

[0021] Структуры данных DSI одного варианта осуществления могут добавляться диспетчером 108 ячеистой сети в среду 100 по различным причинам. В ряде случаев, потребительский запрос дополнительных служб на основании добавления новых работников или групп может требовать добавления новой структуры данных DSI, чтобы она действовала как контейнер для потребительского запроса, поскольку существующая структура данных DSI не имеет емкости для вмещения данного объема потребительской информации. Диспетчер 108 ячеистой сети также может управлять аспектами ячеистой сети, когда некоторый порог контейнера, задержка запроса или другая проблема негативно влияет на производительность. Диспетчер 108 ячеистой сети одного варианта осуществления в явном виде отслеживает (например, с использованием привязок) местоположения каждой структуры данных DSI, в том числе новых и перемещенных структур данных DSI.

[0022] Провайдер 104 заявок может использовать информацию, предоставляемую диспетчером 108 ячеистой сети, для запрашивания соответствующей структуры данных DSI для каждого нового запроса. Например, в порядке ответа на запрос, провайдер 104 заявок может использовать метаданные, ассоциированные с собранием сайтов, для идентификации имени структуры данных DSI для владельца запрашиваемого собрания для запрашивания частично на основании идентифицированного имени. В одном варианте осуществления, каждую структуру данных DSI можно использовать для включения потребительской информации множественных потребителей-абонентов, включающих в себя конкурирующие компании, партнеров, надежных и/или ненадежных компаньонов, которые можно использовать для предоставления возможности пользования определенными онлайновыми службами и/или ресурсами данному пользователю. В одном варианте осуществления, структуры данных DSI наполняются группами поддержки, которые идентифицируют партнеры поддержки (например, FPO), которые можно вызывать для решения любых вопросов обслуживания.

[0023] В порядке одного примера обеспечения признака онлайновой службы, провайдер 104 заявок может использовать структуру данных DSI для определения, является ли тот или иной запрашивающий пользователь членом потребителя, который подписывается на конкретную службу приложений или ресурс. Провайдер 104 заявок может предоставлять доступ или отказывать в доступе, частично, путем определения, был ли запрос подан разрешенным членом потребителя, с использованием соответствующей структуры данных DSI. Например, провайдер 104 заявок может обращаться к структуре данных DSI и использовать ее для отказа в доступе пользователям, которые недавно были понижены в ранге или утратили полномочия, из соответствующей компании или партнерской компании. В таком иллюстративном сценарии, структуру данных DSI можно использовать для отключения или отсоединения внутренних списков управления доступом компании, ассоциированных с потребительскими ресурсами, которые все еще могут содержать разрешения "разрешить" для отключенного или недавно лишенного авторизации пользователя. Соответственно, структуры данных DSI обеспечивают явное управление, в соответствии с которым пользователи могут или не могут осуществлять доступ к ресурсам собрания сайтов онлайновой службы, независимо от того, имеет ли нижележащая потребительская система разрешения "разрешить" для пользователя.

[0024] Согласно варианту осуществления, компоненты среды 100 также могут использовать одну или более структур данных DSI в порядке обеспечения модели управления ресурсами для центра онлайновой обработки данных. Структуру данных DSI одного варианта осуществления можно использовать в порядке передачи и/или сохранения данных с использованием ресурсов онлайнового хранения, выделенных каждому соответствующему потребителю-абоненту. Потребители могут по своему выбору иллюстрировать примерами дополнительные активы на протяжении срока действия любого конкретного доступа и использования подписки на онлайновую службу или ресурс. В одном варианте осуществления, любая максимальная величина активов, которая может быть создана и/или использована потребителем, частично основана на конкретных типах подписки и/или использования.

[0025] Провайдер 104 заявок одного варианта осуществления может использовать структуру данных DSI для определения того, остался ли у потребителя какой-либо объем хранилища из суммарного разрешенного объема хранилища, при использовании компонента 108 диспетчера ячеистой сети для добавления новых активов потребителя в существующую структуру данных DSI. Например, частично на основании типа подписки, когда потребитель пытается создать новые активы, провайдер 104 заявок может проверять структуру данных DSI для определения величины оставшейся емкости и текущего использования, прежде чем разрешить или запретить создание дополнительных активов потребителями-абонентами.

[0026] Компоненты среды 100 также можно использовать, чтобы потребители могли построить бизнес-модель вокруг других, "поддерживающих", потребителей. Например, первому потребителю можно давать административные разрешения на активы (например, собрания онлайновых сайтов для обеспечения определенных служб и/или ресурсов), находящиеся в собственности другого потребителя, не имеющего заданных соотношений вне партнерства, заданного параметрами структуры данных DSI. В одном варианте осуществления, первая организационная единица 120(1), ассоциированная с первым потребителем, может включать в себя указатели или привязки к пользователям и группам пользователей второй организационной единицы 120(N), ассоциированной со вторым потребителем. Соответственно, структуру данных DSI можно использовать для определения, является ли конкретный пользователь одного потребителя авторизованным пользователем или спонсором другого потребителя или партнера потребителя.

[0027] В одной иллюстративной среде 100, компоненты могут быть сконфигурированы таким образом, чтобы предоставлять возможности пользования онлайновыми службами и/или ресурсами потребителям, партнерам поддержки и/или другим доверенным пользователям с использованием одной или более структур данных DSI для управления доступом к различным онлайновым ресурсам, в том числе с использованием вычислительных ресурсов, распределенных по ячеистой сети. Данные разрешение и другую информацию потребителя можно использовать для наполнения организационных единиц информацией, соответствующей потребителям одной или более структур данных DSI. Каждую организационную единицу варианта осуществления можно наполнять списками пользователей, списками групп, списками распределения, пользователями экстрасети, FPO, подписками и/или другой потребительской информацией.

[0028] В одном варианте осуществления, привязки организационных единиц и/или экземпляров службы каталогов можно использовать для обнаружения и определения местоположения разрешений, ассоциированных с пользовательскими запросами доступа, в порядке реализации признаков управления доступом для пользователей-абонентов среды 100. Исходная, новая и/или измененная потребительская информация может передаваться и использоваться для наполнения каждой организационной единицы одной или более структур данных DSI в порядке управления доступом к ресурсам и/или службам, чтобы, таким образом, поддерживать управление доступом при добавлении или убытии работников, партнеров и/или других авторизованных или неавторизованных компаньонов. Например, структуры данных организационных единиц DSI для крупного предприятия можно наполнять разрешенными пользователями и типами доступа. Для такого примера, разрешения могут частично основываться на типе подписки и/или типе безопасности или группе, использующей специализированную ячеистую сеть серверных ферм в порядке предоставления виртуальных ресурсов приложений работникам предприятия, провайдерам поддержки и другим заданным пользователям.

[0029] Компоненты среды 100 могут использовать структуры данных DSI в порядке обеспечения безопасного доступа к географически рассеянным центрам обработки данных, включающим в себя обработку нарушений работы служб, распределений ресурсов и/или избранных потребителей; использование требуемых политик согласования и антивирусных сигнатур, совместно с настройками конфигурации высокого уровня и необходимыми обновлениями безопасности; выделение и доступность активов на основании соглашения уровня подписки и/или службы; доступность веб-сайта для администраторов и других разрешенных пользователей для распоряжения избранными онлайновыми службами; и синхронизацию домашнего (например, локального) приложения службы каталогов потребителя с каталогом онлайновых служб с использованием синхронизатора 106 и заданного уровня доверия.

[0030] Синхронизатор 106 одного варианта осуществления действует для синхронизации информации одной или более потребительских систем 112(1)-112(N) с компонентом каталога онлайновых служб в порядке наполнения структур данных DSI данными потребителя и привилегиями доступа. В одном варианте осуществления, каждую структуру данных DSI можно наполнять потребительской информацией, включающей в себя авторизованные пользователи, уровни доступа, параметры подписки, ограничения доступа в соответствии с соглашением по услуге и т.д. Структуры данных DSI могут быть физически и/или логически изолированы или коммуникативно отсоединены друг от друга и от потребительских систем в порядке независимого управления доступом к онлайновым службам и/или ресурсам. Хотя выше описаны определенные количества и типы компонентов, очевидно, что различные варианты осуществления могут предусматривать другие количества и/или типы. Соответственно, функциональные возможности компонентов могут дополнительно делиться и/или объединяться с функциональными возможностями других компонентов согласно желаемым реализациям.

[0031] На фиг. 2 показана блок-схема операций, демонстрирующая иллюстративный процесс 200, который можно использовать для предоставления возможности пользования онлайновыми службами приложений и/или ресурсами, включающими в себя службы управления доступом и поддержания подписки, но не только. Хотя определенные количество и порядок операций описан для иллюстративной схемы операций, представленной на фиг. 2, очевидно, что согласно желаемым реализациям можно использовать другие количества и/или порядки. На этапе 202, процесс 200 варианта осуществления можно использовать для развертывания обслуживающих и сетевых архитектур в порядке обеспечения центра онлайновой обработки данных путем создания одной или более структур данных DSI, которые включают в себя организационную единицу и другие структуры данных, используемые частично для определения различных потребителей-абонентов. В одном варианте осуществления, процесс 200 на этапе 202 включает в себя развертывание и/или использование серверных ферм и других компонентов, которые поддерживают онлайновые службы приложений и ресурсы в ходе создания каждой структуры данных DSI.

[0032] Процесс 200 одного варианта осуществления применяет использование сценария развертывания, который включает в себя код приложения для автоматического создания новых структур данных DSI, включающий в себя гарантирование того, что серверы сконфигурированы правильно, разрешения установлены, и структуры данных DSI готовы к использованию. Например, процесс 200 можно использовать для развертывания отдельных ячеистых сетей, расположенных на отдельных континентах, которые применяют использование отдельных экземпляров службы каталогов, соответствующих собраниям онлайновых сайтов, которые используются частично для предоставления возможности пользования онлайновыми службами и/или ресурсами соответствующим абонентам, например, крупным, средним и малым предприятиям, а также отдельным пользователям, в порядке примера. В некоторых вариантах осуществления, компоненты собрания сайтов (например, серверная ферма) могут совместно использоваться или распределенно использоваться обслуживающими и другими компонентами ячеистой сети.

[0033] В одном варианте осуществления, процесс 200 включает в себя фазу абонирования, где потребители подписываются на некоторый желаемый онлайновый признак или признаки, включающий в себя задание поддержки выбора и других партнеров, которые можно вызывать в порядке поддержания доставки служб и/или ресурсов запрашивающим пользователям. Подписывающийся потребитель может задавать информацию, например, привилегии доступа для каждого работника, группу(ы) безопасности, субъекты поддержки, партнер(ы), FPO, списки распределения и другие разрешенные пользователи для наполнения в структурах данных соответствующих организационных единиц в течение или после фазы абонирования. Согласно варианту осуществления, FPO может быть сконфигурирован как особый тип объекта-участника, который отображается в другого участника, который обеспечивает службы поддержки для других потребителей. Разными уровнями разрешения можно управлять для каждого пользователя или группы частично на основании топологии ассоциированной структуры данных DSI.

[0034] В качестве примера, после создания, структуры данных DSI можно использовать для управления доступом к серверной ферме ячеистой сети, сконфигурированной в виде набора виртуальных машин, которые образуют логическую ферму серверов, включающих в себя различные роли сервера (например, веб-страничный внешний интерфейс, внутренний интерфейс, контент, связь, приложение и т.д.) в качестве части предоставления возможности пользования онлайновыми службами и/или ресурсами разным потребителям, имеющим разные типы подписки. Очевидно, что каждая ячеистая сеть могут включать в себя множественные серверные фермы в зависимости, частично, от масштаба сети онлайновых служб и ассоциированных потребителей. Потребители могут создавать специализированные топологии онлайновых служб, в том числе создавать собрания сайтов экстрасети и указывать ассоциированных пользователей из разных пространств имен как пользователей экстрасети.

[0035] На этапе 204, каждая организационная единица соответствующей структуры данных DSI наполняется информацией, которая соответствует определениям подписки каждого абонента. Например, каждая организационная единица может наполняться информацией идентификации потребителя, данными работника, группами и/или FPO. В одном варианте осуществления, определения могут частично основываться на типе подписки, уровне сервисного или лицензионного соглашения, и текущем пороге выделения, ассоциированном с каждым потребителем. В ходе иллюстративной операции синхронизации, процесс 200 может действовать для извлечения данных потребителя (например, имен пользователей, адресов электронная почта, контактной информации, групп, информации подписки(ок), информации лицензий и т.д.) из партнерской системы, направления извлеченных данных на вычислительные системы, ассоциированные с каждой структурой данных DSI (например, специализированные обслуживающие платформы). Пользователей экстрасети также можно вносить в структуру данных DSI согласно предпочтениям и/или определениям пользователя.

[0036] На этапе 206, процесс 200 принимает запрос обновления или модификации, который может негативно влиять на доступность абонентских служб и/или ресурса. Например, демон синхронизации можно использовать для наполнения экземпляров службы каталогов исходной, новой, измененной и/или другой потребительской информацией, если потребительское выделение не достигло некоторого заданного порога, частично основанного на типе подписки или лицензии. Очевидно, что обновления любой конкретной ячеистой сети могут включать в себя иногда непрерывные изменения, внесенные в бизнес-модель и/или инфраструктуру каждого потребителя, потенциально оказывающие негативное влияние на соответствующий экземпляр службы каталогов. Например, изменения компании могут негативно влиять на привилегии доступа работника, партнера и экстрасети, например, привилегии нового работника, отмену привилегий партнера, прекращение действия лицензионного соглашения и т.д.

[0037] На этапе 208, процесс 200 одного варианта осуществления может действовать для создания одной или более новых структур данных DSI, если структура данных DSI, ассоциированная с запросом, приближается к некоторой емкости или другому порогу. Например, технологические ограничения масштаба и другие факторы могут ограничивать количество объектов, которые могут эффективно содержаться в каждом экземпляре источника данных. В одном варианте осуществления, количество объектов, доступных потребителю, может частично основываться на надлежащем продлении подписки или лицензии. Если потребитель не имеет надлежащего продления подписки или лицензии, на этапе 210 процесс 200 может действовать для отклонения запроса. В одном варианте осуществления, отказ в обслуживании могут включать в себя запрос на обновление до другого типа подписки или лицензии.

[0038] В качестве иллюстративного примера, процесс 200 можно использовать для синхронизации информации нового потребителя или участника, подписывающегося на выбранное онлайновое приложение и/или службы поддержки. Например, новый потребитель может добавляться к массиву потребителей, содержащихся в экземпляре службы частично на основании местоположения службы и/или типа абонентского соглашения, которое идентифицирует уровни службы и доступа, заданные и/или отрегулированные каждым потребителем. В зависимости, частично, от состояния экземпляра службы для намеченного экземпляра службы (например, неактивного состояния, приближающейся емкости, полной нагрузки, полной нагрузки и т.д.), процесс 200 могут создавать нового участника в существующем экземпляре службы или создавать новый экземпляр службы для вмещения дополнительных объектов участников. В одном варианте осуществления, демон синхронизации для экземпляра службы собирает информацию новых участников и запрашивает у диспетчера ячеистой сети назначение экземпляра или собрания экземпляров службы каталогов участнику, в том числе сохранение параметров привязки для обращения и использования в будущем. Демон синхронизации может использовать ответ диспетчера ячеистой сети для создания участника и записи объектов участников в соответствующий экземпляр службы каталогов.

[0039] В качестве другого иллюстративного примера, процесс 200 можно использовать для синхронизации обновлений для существующего участника, потребляющего ресурсы онлайновой службы. Например, компания-участник, имеющая доступ к собранию онлайновых сайтов, может нанимать новых работников, имеющих разные уровни доверия, увольнять работников или приобретать другие компании. Для этого примера, в качестве части операции обновления, демон синхронизации отбирает все обновления для участников в отношении конкретного экземпляра службы (например, центр обработки данных Вирджинии по сравнению с центром обработки данных Лондона). Для каждого участника, демон синхронизации запрашивает у диспетчера ячеистой сети идентификацию экземпляра или собрания службы каталогов, где поддерживается информация участника. В одном варианте осуществления, диспетчер ячеистой сети поддерживает глобальные привязки между участниками и экземплярами службы каталогов. Демон синхронизации может использовать информацию глобальных привязок, предоставляемую диспетчером ячеистой сети для синхронизации любых обновлений с правильным экземпляром службы каталогов.

[0040] В качестве еще одного иллюстративного примера, процесс 200 можно использовать в составе выявления топологии экземпляров службы каталогов в ходе инициализации демона синхронизации. Например, демон синхронизации может, в ходе инициализации, например, выявлять список экземпляров службы каталогов, которые существуют в данной ячеистой сети, идентифицирующий имена контроллеров доменов, предназначенных для операций синхронизации для соответствующих экземпляров службы каталогов. В одном варианте осуществления, демон синхронизации может выбирать первый контроллер домена в качестве контроллера домена "записи" и второй контроллер домена в качестве контроллера домена "чтения". Возможны и другие варианты осуществления.

[0041] На фиг. 3 показана блок-схема операций, демонстрирующая иллюстративный процесс 300 управления доступом к онлайновым службам приложений и/или ресурсам. Например, процесс 300 может использовать несколько экземпляров службы каталогов в качестве части управления доступом собраниям онлайновых сайтов. Хотя определенные количество и порядок операций описан для иллюстративной схемы операций, представленной на фиг. 3, очевидно, что согласно желаемым реализациям можно использовать другие количества и/или порядки. На этапе 302, принимается запрос доступа, запрашивающий доступ к онлайновой службе и/или ресурсу. Например, пользователь может использовать смартфон, пытаясь осуществить доступ к онлайновому ресурсу компании, находящемуся под управлением третьей стороны, в составе онлайновой службы приложений.

[0042] В одном варианте осуществления, один или более компонентов веб-страничного внешнего интерфейса обрабатывают входящий запрос в качестве части управления доступом к абонированным онлайновым службам и/или ресурсам. Процесс 300 одного варианта осуществления может действовать для определения типа авторизованного пользователя (например, работника, пользователя экстрасети, пользователя FPO, и т.д.) до предоставления доступа. Например, аутентификато