知財求人 - 知財ポータルサイト「IP Force」
▶ マイクロソフト テクノロジー ライセンシング,エルエルシーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5992511
(24)【登録日】2016年8月26日
(45)【発行日】2016年9月14日
(54)【発明の名称】クラウドサービス再接続の自動化
(51)【国際特許分類】
G06F 21/31 20130101AFI20160901BHJP
【FI】
G06F21/31
【請求項の数】15
【全頁数】15
(21)【出願番号】特願2014-512930(P2014-512930)
(86)(22)【出願日】2012年5月21日
(65)【公表番号】特表2014-516182(P2014-516182A)
(43)【公表日】2014年7月7日
(86)【国際出願番号】US2012038874
(87)【国際公開番号】WO2012162256
(87)【国際公開日】20121129
【審査請求日】2015年4月7日
(31)【優先権主張番号】61/489,215
(32)【優先日】2011年5月23日
(33)【優先権主張国】US
(31)【優先権主張番号】13/205,308
(32)【優先日】2011年8月8日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】314015767
【氏名又は名称】マイクロソフト テクノロジー ライセンシング,エルエルシー
(74)【代理人】
【識別番号】100140109
【弁理士】
【氏名又は名称】小野 新次郎
(74)【代理人】
【識別番号】100075270
【弁理士】
【氏名又は名称】小林 泰
(74)【代理人】
【識別番号】100101373
【弁理士】
【氏名又は名称】竹内 茂雄
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100153028
【弁理士】
【氏名又は名称】上田 忠
(74)【代理人】
【識別番号】100120112
【弁理士】
【氏名又は名称】中西 基晴
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100147991
【弁理士】
【氏名又は名称】鳥居 健一
(74)【代理人】
【識別番号】100119781
【弁理士】
【氏名又は名称】中村 彰吾
(74)【代理人】
【識別番号】100162846
【弁理士】
【氏名又は名称】大牧 綾子
(74)【代理人】
【識別番号】100173565
【弁理士】
【氏名又は名称】末松 亮太
(74)【代理人】
【識別番号】100138759
【弁理士】
【氏名又は名称】大房 直樹
(72)【発明者】
【氏名】クッコ,ジョン・ビー
(72)【発明者】
【氏名】ライバルカ,ヴェニアミン
(72)【発明者】
【氏名】ディレ,ウルリック
(72)【発明者】
【氏名】ドレイパー,ラリー
(72)【発明者】
【氏名】アグラワル,カニカ
(72)【発明者】
【氏名】チャン,トニー
(72)【発明者】
【氏名】チャンドラ,アシュウィン
(72)【発明者】
【氏名】ラオ,グルプラカシュ
【審査官】
打出 義尚
(56)【参考文献】
【文献】
特表2009−508261(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
ユーザーをクラウドベースのサービスに自動的に再接続するためのコンピューティングデバイス上で実行される方法であって、
ユーザーについての元のセキュリティドメインにおけるクラウドベースのサービスへのアクセスを管理するセキュリティプリンシパルのメタデータ属性を決定するステップと、
新しいセキュリティドメインにおける前記ユーザーの新しいセキュリティプリンシパルを作成するステップと、
前記新しいセキュリティプリンシパルにおけるカスタマイズ可能なメタデータ属性において前記セキュリティプリンシパルのメタデータ属性の値を指定するステップと、
前記ユーザーを前記クラウドベースのサービスに再接続する要求を受け取るステップと、
前記セキュリティプリンシパル及び前記新しいセキュリティプリンシパルのメタデータ属性間の関連付けを使用して前記ユーザーを前記クラウドベースのサービスに再接続するステップであって、前記元のセキュリティドメインにおける前記セキュリティプリンシパルから前記新しいセキュリティドメインにおける前記新しいセキュリティプリンシパルへの接続の移行を制御するように構成される自動化されたクラウド再接続モジュールにおいて、前記新しいセキュリティプリンシパルのメタデータ属性の値を前記セキュリティプリンシパルのメタデータ属性と同一に設定することにより、前記関連付けが作成される、ステップと
を含む方法。
ユーザーについての元のセキュリティドメインにおけるクラウドベースのサービスへのアクセスを管理するセキュリティプリンシパルのメタデータ属性を決定するステップと、
新しいセキュリティドメインにおける前記ユーザーの新しいセキュリティプリンシパルを作成するステップと、
前記新しいセキュリティプリンシパルにおけるカスタマイズ可能なメタデータ属性において前記セキュリティプリンシパルのメタデータ属性の値を指定するステップと、
前記ユーザーを前記クラウドベースのサービスに再接続する要求を受け取るステップと、
前記セキュリティプリンシパル及び前記新しいセキュリティプリンシパルのメタデータ属性間の関連付けを使用して前記ユーザーを前記クラウドベースのサービスに再接続するステップであって、前記元のセキュリティドメインにおける前記セキュリティプリンシパルから前記新しいセキュリティドメインにおける前記新しいセキュリティプリンシパルへの接続の移行を制御するように構成される自動化されたクラウド再接続モジュールにおいて、前記新しいセキュリティプリンシパルのメタデータ属性の値を前記セキュリティプリンシパルのメタデータ属性と同一に設定することにより、前記関連付けが作成される、ステップと
を含む方法。
【請求項2】
前記メタデータ属性は一意の属性である請求項1に記載の方法。
【請求項3】
前記メタデータ属性は、グローバル一意識別子(GUID)、電子メールアドレス、アカウント番号、及び従業員IDのうちの1つである請求項2に記載の方法。
【請求項4】
前記セキュリティプリンシパルの削除に応答して前記新しいセキュリティプリンシパルを作成するステップをさらに含む請求項1に記載の方法。
【請求項5】
前記ユーザーを再接続する要求は、前記元のセキュリティドメインから前記新しいセキュリティドメインへのユーザーの移行に応答する請求項1に記載の方法。
【請求項6】
前記ユーザーを前記新しいセキュリティドメインに接続すると、前記ユーザーのクラウドベースのサービスへのアクセスを前記セキュリティプリンシパルから自動的に除去するステップをさらに含む請求項5に記載の方法。
【請求項7】
別のメタデータ属性を使用して二次的な検証を実行するステップをさらに含む請求項1に記載の方法。
【請求項8】
前記別のメタデータ属性は、グローバル一意識別子(GUID)、電子メールアドレス、アカウント番号、及び従業員IDの組のうちの1つであるが、前記メタデータ属性と同一ではない請求項7に記載の方法。
【請求項9】
前記二次的な検証が失敗した場合、前記新しいセキュリティプリンシパルを接続せず、前記クラウドベースのサービスに接続された前記セキュリティプリンシパルを残すステップをさらに含む請求項7に記載の方法。
【請求項10】
前記セキュリティプリンシパルがセキュリティドメインの可視性から除去される場合、対応するユーザーの前記クラウドベースのサービスを、カスタマイズ可能な期間の間、未決定の削除としてマークするステップをさらに含む請求項1に記載の方法。
【請求項11】
自動的な再接続によってクラウドベースのサービスを管理するコンピューティングデバイスであって、
命令を格納するメモリーと、
前記格納された命令に関連してセキュリティ管理アプリケーションを実行するプロセッサーと
を備え、前記セキュリティ管理アプリケーションは、
ユーザーについてのクラウドベースのサービスへのアクセスを管理するセキュリティプリンシパルのメタデータ属性を決定し、
前記ユーザーの新しいセキュリティプリンシパルを作成し、
前記新しいセキュリティプリンシパルにおけるカスタマイズ可能なメタデータ属性において前記セキュリティプリンシパルのメタデータ属性の値を指定し、
元のセキュリティドメインから新しいセキュリティドメインへの前記ユーザーの移行及び前記セキュリティプリンシパルの削除のうちの1つに応答して、前記ユーザーを前記クラウドベースのサービスに再接続する要求を受け取り、
自動化されたクラウドサービス再接続モジュールにおいて、前記セキュリティプリンシパル及び前記新しいセキュリティプリンシパルのメタデータ属性間の関連付けを使用して前記ユーザーを前記クラウドベースのサービスに再接続し、新しいセキュリティプリンシパルのカスタマイズ可能なメタデータ属性が、前記自動化されたクラウドサービス再接続モジュールによって、元のセキュリティプリンシパルの一意のメタデータ属性に設定され、
セキュリティドメインにおける任意のセキュリティプリンシパルが前記自動化されたクラウドサービス再接続モジュールの可視性から除去される場合、前記クラウドベースのサービスを、カスタマイズ可能な期間の間、未決定の削除としてマークして、移行の場合における、前記新しいセキュリティドメインにおける前記セキュリティプリンシパルの前記クラウドベースのサービスへの再接続、及び、前記セキュリティプリンシパルの偶発的な削除の場合における、前記元のセキュリティドメイン内の前記新しいセキュリティプリンシパルの再接続のうちの1つを可能にし、
前記再接続の要求が前記ユーザーの前記新しいセキュリティドメインへの移行に応答する場合、前記ユーザーを前記新しいセキュリティドメインに接続すると、前記ユーザーを前記元のセキュリティドメインから自動的に除去する
ように構成されるコンピューティングデバイス。
命令を格納するメモリーと、
前記格納された命令に関連してセキュリティ管理アプリケーションを実行するプロセッサーと
を備え、前記セキュリティ管理アプリケーションは、
ユーザーについてのクラウドベースのサービスへのアクセスを管理するセキュリティプリンシパルのメタデータ属性を決定し、
前記ユーザーの新しいセキュリティプリンシパルを作成し、
前記新しいセキュリティプリンシパルにおけるカスタマイズ可能なメタデータ属性において前記セキュリティプリンシパルのメタデータ属性の値を指定し、
元のセキュリティドメインから新しいセキュリティドメインへの前記ユーザーの移行及び前記セキュリティプリンシパルの削除のうちの1つに応答して、前記ユーザーを前記クラウドベースのサービスに再接続する要求を受け取り、
自動化されたクラウドサービス再接続モジュールにおいて、前記セキュリティプリンシパル及び前記新しいセキュリティプリンシパルのメタデータ属性間の関連付けを使用して前記ユーザーを前記クラウドベースのサービスに再接続し、新しいセキュリティプリンシパルのカスタマイズ可能なメタデータ属性が、前記自動化されたクラウドサービス再接続モジュールによって、元のセキュリティプリンシパルの一意のメタデータ属性に設定され、
セキュリティドメインにおける任意のセキュリティプリンシパルが前記自動化されたクラウドサービス再接続モジュールの可視性から除去される場合、前記クラウドベースのサービスを、カスタマイズ可能な期間の間、未決定の削除としてマークして、移行の場合における、前記新しいセキュリティドメインにおける前記セキュリティプリンシパルの前記クラウドベースのサービスへの再接続、及び、前記セキュリティプリンシパルの偶発的な削除の場合における、前記元のセキュリティドメイン内の前記新しいセキュリティプリンシパルの再接続のうちの1つを可能にし、
前記再接続の要求が前記ユーザーの前記新しいセキュリティドメインへの移行に応答する場合、前記ユーザーを前記新しいセキュリティドメインに接続すると、前記ユーザーを前記元のセキュリティドメインから自動的に除去する
ように構成されるコンピューティングデバイス。
【請求項12】
前記セキュリティ管理アプリケーションが、
別のメタデータ属性を使用して二次的な検証を実行するようにさらに構成され、前記メタデータ属性は、グローバル一意識別子(GUID)、電子メールアドレス、アカウント番号、及び従業員IDの組のうちの異なる2つを含む請求項11に記載のコンピューティングデバイス。
別のメタデータ属性を使用して二次的な検証を実行するようにさらに構成され、前記メタデータ属性は、グローバル一意識別子(GUID)、電子メールアドレス、アカウント番号、及び従業員IDの組のうちの異なる2つを含む請求項11に記載のコンピューティングデバイス。
【請求項13】
前記メタデータ属性は文字列として指定される請求項11に記載のコンピューティングデバイス。
【請求項14】
前記セキュリティ管理アプリケーションは前記クラウドベースのサービスを管理するホストされたサービスの一部である請求項11に記載のコンピューティングデバイス。
【請求項15】
前記ユーザーを再接続する要求が、フォレスト統合、情報技術の組織再編、組織の合併、従業員の状態の変更、及びセキュリティグループにおける元のセキュリティプリンシパルの偶発的な削除の組のうちの少なくとも1つの結果である請求項11に記載のコンピューティングデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クラウドサービス再接続の自動化に関する。
【背景技術】
【0002】
[0001]ワシントン州レドモンドのマイクロソフト社のActive Directory(登録商標)などのクラウドベースのサービスは、多量の様々なオブジェクトを利用し、セキュリティプリンシパルアカウントはその1つである。セキュリティプリンシパルアカウントは、一意の識別子が割り当てられ、認証とセキュリティのメカニズムに使用されるオブジェクトである。セキュリティプリンシパルアカウントは、ユーザーアカウント、グループアカウント、又はコンピューターアカウントとして定義することができ、特定のネットワークリソースや他のオブジェクトにアクセスし、これらのオブジェクトに対して特定のアクションを実行する許可を割り当てることができる。
【0003】
[0002]ユーザーを表すセキュリティプリンシパルがそのクラウドリソースに再接続される必要があり得るときがある。この再接続は、セキュリティプリンシパルのセキュリティドメイン又はディレクトリーの変更、セキュリティプリンシパルの偶発的な削除や再作成、又は同等の条件により必要となることがある。いくつかの例のシナリオは、フォレスト統合(forest consolidation)、ITリストラクチャリング、企業の合併や再編、従業員の状態の変更(例えば、契約者がフルタイムになるか又はその逆)、セキュリティグループの元のセキュリティプリンシパルの偶発的な削除などを含み得る。
【発明の概要】
【発明が解決しようとする課題】
【0004】
[0003]従来のシステムは、セキュリティプリンシパルとユーザーのクラウドリソースとの間に厳密なリンクを有する傾向がある。上述の例のシナリオでは、リンクは、新しいセキュリティプリンシパルに手動で再接続する必要があり、これは、コストのかかる手動プロセス、ユーザーのダウンタイムにつながる可能性があり、誤り(クラウド内の誤ったリソースへとユーザーの再接続する)に陥りやすいことがある。
【課題を解決するための手段】
【0005】
[0004]この概要は、詳細な説明で以下にさらに説明される概念の選択を簡略化された形で紹介するために設けられている。この概要は、特許請求される主題の重要な特徴や不可欠な特徴を排他的に特定することを意図しておらず、特許請求された主題の範囲を決定する助けとしても意図されていない。
【0006】
[0005]実施例は、セキュリティプリンシパル識別子属性の関連付け(相関、correlation)を通じてクラウドサービスにセキュリティプリンシパルを自動的に再接続することに関する。ユーザーの新しいセキュリティプリンシパル(新しいセキュリティドメインへの移行又はセキュリティプリンシパル自体の偶発的な削除や再作成によって引き起こされようとなかろうと)が検出され、ユーザーのクラウドベースのサービスへ自動的かつ安全に再接続されてもよい。いくつかの実施例によれば、セキュリティドメインの管理者は、同じ又は新しいセキュリティドメインの新しいセキュリティプリンシパルにおけるカスタマイズ可能なセキュリティプリンシパルメタデータ属性において元のセキュリティプリンシパルについての一意のセキュリティプリンシパルメタデータ属性の値を指定することができる。必要に応じて、正しいセキュリティプリンシパルがユーザーのクラウドベースのリソースに再接続されることを保証するためにセカンダリ(二次的)検証(secondary verification)メタデータ属性が指定されてもよい。ユーザーの元のセキュリティプリンシパルと(偶発的な削除の結果の場合は同じセキュリティドメインにおける、移行の結果の場合は新しいセキュリティドメインにおける)新しいセキュリティプリンシパルとの間の関連付けは、ユーザーのクラウドリソースを再接続するために用いることができる。
【0007】
[0006]これら及び他の特徴及び利点は、以下の詳細な説明を読み関連する図面を検討することにより明らかになるであろう。前述の一般的な説明及び以下の詳細な説明の両方が説明のためのものであり、特許請求される態様を制限しないことが理解されるべきである。
【図面の簡単な説明】
【0008】
【図1】[0007]一意のセキュリティプリンシパルメタデータ属性を持つセキュリティプリンシパルを介してユーザーがクラウドベースのサービスに接続される例のシナリオを示す。
【図3】[0009]一意のセキュリティプリンシパルメタデータ属性を持つセキュリティプリンシパルを介してユーザーがクラウドベースのサービスに接続される別の例示的なシナリオを示す。
【図6】[0012]実施例に係るシステムを実施することができるネットワーク環境である。
【図7】[0013]実施例を実施することができる例示的なコンピューティング動作環境のブロック図である。
【図8】[0014]実施例による、元のセキュリティプリンシパル属性と新しいセキュリティプリンシパル属性との間の関連付けを使用してユーザーをクラウドサービスに自動的に再接続する方法の論理フロー図を示す。
【発明を実施するための形態】
【0009】
[0015]簡単に上述したように、ユーザーのクラウドベースのサービスを再接続するために、セキュリティドメインの管理者は、同じ又は新しいセキュリティドメインの新たなセキュリティプリンシパルのカスタマイズ可能なセキュリティプリンシパルメタデータ属性において元のセキュリティプリンシパルの一意のセキュリティプリンシパルメタデータ属性の値を指定することができる。ユーザーの元のセキュリティプリンシパルと新しいセキュリティプリンシパルとの間の関連付けは、ユーザーのクラウドリソースを再接続するために使用することができる。以下の詳細な説明において、本明細書の一部を形成する添付の図面が参照され、そこでは具体的な実施例や例が説明によって示される。これらの態様は組み合わせることができ、他の態様を利用することができ、構造的変更が、本開示の趣旨又は範囲から逸脱することなく行うことができる。したがって、以下の詳細な説明は限定的な意味で解釈されるべきではなく、本発明の範囲は添付の特許請求の範囲及びその均等物によって定義される。
【0010】
[0016]以下の詳細な説明において、本明細書の一部を形成する添付の図面が参照され、そこでは具体的な実施例や例が説明によって示される。これらの態様は組み合わせることができ、他の態様を利用することができ、構造的変更が、本開示の趣旨又は範囲から逸脱することなく行うことができる。したがって、以下の詳細な説明は限定的な意味で解釈されるべきではなく、本発明の範囲は添付の特許請求の範囲及びその均等物によって定義される。
【0011】
[0017]実施例は、コンピューティングデバイス上のオペレーティングシステム上で動作するアプリケーションプログラムと連動して実行されるプログラムモジュールの一般的な文脈で説明されるが、当業者であれば、態様が他のプログラムモジュールと組み合わせて実現されてもよいことを認識するであろう。
【0012】
[0018]一般に、プログラムモジュールは、特定のタスクを実行したり特定の抽象データ型を実施する、ルーチン、プログラム、コンポーネント、データ構造、及び他のタイプの構造を含む。さらに、当業者であれば、実施例が、ハンドヘルドデバイス、マルチプロセッサーシステム、マイクロプロセッサーベース又はプログラム可能な家庭用電化製品、ミニコンピューター、メインフレームコンピューター、及び同等のコンピューティングデバイスを含む他のコンピューターシステム構成で実施できることを理解するであろう。実施例はまた、通信ネットワークを介してリンクされるリモート処理装置によってタスクが実行される分散コンピューティング環境で実施することができる。分散コンピューティング環境では、プログラムモジュールは、ローカルとリモートの両方のメモリー記憶デバイスに配置することができる。
【0013】
[0019]実施例は、コンピューターにより実施されるプロセス(方法)、コンピューティングシステムとして、又はコンピュータープログラム製品やコンピューター読み取り可能な媒体などの製品として実施することができる。コンピュータープログラム製品は、コンピューターシステムによって読み取り可能であり、コンピューター又はコンピューティングシステムに例示的なプロセスを実行させる命令を含むコンピュータープログラムを符号化するコンピューター記憶媒体であってもよい。コンピューター読み取り可能な記憶媒体は、持続性のコンピューター読み取り可能なメモリーデバイスである。コンピューター読み取り可能な記憶媒体は、例えば、揮発性のコンピューターメモリー、不揮発性メモリー、ハードドライブ、フラッシュドライブ、フロッピー(登録商標)ディスク、又はコンパクトディスク、及び同等の媒体の1つ又は複数を介して実施することができる。
【0014】
[0020]本明細書を通じて、「プラットフォーム」という語は、セキュアなクラウドベースのサービスを提供するためのソフトウェア及びハードウェアコンポーネントの組み合わせであってもよい。プラットフォームの例は、複数のサーバーを介して実行されるホストされたサービス、単一のコンピューティングデバイス上で実行されるアプリケーション、及び同等のシステムを含むが、これらに限定されない。「サーバー」という語は、一般に、通常はネットワーク環境において1つ又は複数のソフトウェアプログラムを実行するコンピューティングデバイスを指す。しかしながら、サーバーは、ネットワーク上のサーバーとして見える1つ又は複数のコンピューティングデバイス上で実行される仮想サーバー(ソフトウェアプログラム)として実施されてもよい。これらの技術及び例示的な動作に関する詳細が以下に提供される。
【0015】
[0021]図1は、一意のセキュリティプリンシパルメタデータ属性を持つセキュリティプリンシパルを介してユーザーがクラウドベースのサービスに接続されるシナリオの例を示す。ワシントン州レドモンドのマイクロソフト社のActive Directory(登録商標)などのクラウドベースのサービスは、多量の様々なオブジェクトを利用し、セキュリティプリンシパルアカウントはその1つである。セキュリティプリンシパルアカウントは、一意のセキュリティ識別子(SID)を割り当てられるオブジェクトであり、したがって、認証及びセキュリティメカニズムで使用される。セキュリティプリンシパルアカウントは、SIDが割り当てられるユーザーアカウント、グループアカウント、又はコンピューターアカウントとして定義することができ、また、特定のネットワークリソースや他のオブジェクトにアクセスし、これらのオブジェクトに対して特定のアクションを実行する許可(permissions)を割り当てることができる。SIDは、ユーザー、グループ、又はコンピューターを識別するために使用することができる。様々なオブジェクトへのアクセスは、セキュリティプリンシパルに許可を付与したり、セキュリティプリンシパルに対する許可を拒否したりすることを通じてコントロールすることができる。許可は、オブジェクトに対してアクセスし、アクションを実行する能力として定義することができる。オブジェクトへの許可は、管理者によって、又は特定のオブジェクトの所有者によって付与又は拒否される。ユーザー、グループ、又はコンピューターについて定義されるセキュリティ設定は、特定のセキュリティプリンシパルアカウントが、クラウドベースのサービス、クライアントコンピューター、メンバーサーバー、ドメインコントローラー、アプリケーション、及び他のネットワークリソースやサービスへのアクセスを有するかどうかを決定し制御する。
【0016】
[0022]上述したように、セキュリティプリンシパルアカウントとみなされる共通のクラウドサービスオブジェクトは以下を含んでもよい:(1)ユーザーアカウント:これはネットワークユーザーを一意に識別するオブジェクトである。ユーザーアカウントは、ユーザーがドメインにログオンし、リソースにアクセスすることを可能にする。ローカルユーザーアカウントは、ユーザーがコンピューターにログオンし、その特定のコンピューター上のローカルリソースにアクセスすることを可能にする。ドメインユーザーアカウントは、ユーザーがドメインにログオンし、ネットワークリソースにアクセスすることを可能にする。ビルトインユーザーアカウントは、通常、管理タスクに使用される。(2)グループ:セキュリティグループはセキュリティプリンシパルとみなすことができる。セキュリティグループへとユーザーをバンドルすることで、管理者は単一のエンティティとしてグループのメンバーについてのセキュリティ許可を管理できる。(3)コンピューターアカウント:ドメインに属するクライアントコンピューターを識別するので、コンピューターアカウントは通常、認証に使用される。セキュリティプリンシパルアカウントのいくつかの共通の特徴は、ユーザー、グループ、又はコンピューターがネットワークリソースにアクセスできるようにセキュリティプリンシパルアカウントに許可を割り当てること、セキュリティプリンシパルアカウントにユーザーの権利を付与すること、及びユーザー、グループ、又はコンピューターのアクションを追跡するための監査(auditing)の使用を含む。
【0017】
[0023]100に示すように、ユーザー102は、セキュリティドメイン104の一部として、1つ又は複数のクラウドベースのサービスに接続することができる。クラウド110内のサービスは、1つ又は複数のサーバー114、116、118等によって提供することができる。サービスはクラウドベースのメタデータリポジトリー112を介して調整されてもよい。クラウドベースのサービスへのユーザーの接続のセキュリティは、多くのメタデータ属性を含むことができるセキュリティプリンシパルオブジェクトを使用することによって達成することができる。これらの属性のいくつかは、ユーザーの電子メールアドレス又はグローバル一意識別子(GUID)などの固有の識別子属性を含むことができる。例示的なシナリオでは、ユーザー102のセキュリティプリンシパルは、ユーザーの電子メールアドレス及び彼/彼女のGUID(GUID1)を含む。
【0018】
[0024]図2は、200において、いくつかの実施例による、新たなセキュリティプリンシパルを介して別のセキュリティドメインのクラウドベースのサービスへ図1のユーザーが再接続され得る方法を示す。1つ又は複数のセキュリティドメイン(例えば、セキュリティドメイン104及び106)とセキュリティドメイン内のセキュリティプリンシパルについてのクラウドベースのサービスが存在する環境において、セキュリティドメイン内のセキュリティプリンシパルは、同期することができ(メタデータがクラウドリソースに同期される)、クラウドベースのサービスでプロビジョニングされる(クラウドベースのリソースが提供される)。
【0019】
[0025](例えば、ユーザー102について)セキュリティプリンシパルが1つのセキュリティドメイン104から別のセキュリティドメイン106に移動されると(222)、新しいセキュリティプリンシパル220が、ユーザーを表すために、宛先ドメインで作成されてもよい。2つのセキュリティドメイン内の2つのセキュリティプリンシパルの間の関連付けを作成するために、新しいセキュリティプリンシパルのカスタムメタデータ属性は、自動化されたクラウドサービス再接続アルゴリズム108によって、ソースセキュリティプリンシパルの一意のメタデータ属性(例えば、GUID)(例えば、文字列として指定される)に設定することができる。他の実施例によれば、二次的な検証基準(secondary verification criteria)がまた、新しいセキュリティプリンシパル220がソースセキュリティドメイン104内の正しいセキュリティプリンシパルと関連することを確かにするように指定されてもよい。二次的な検証基準は、電子メールアドレス/エイリアス又は従業員IDなどの任意の一意のセキュリティプリンシパルメタデータ属性であってもよい。
【0020】
[0026]自動化されたクラウドサービス再接続アルゴリズム108は、ソースセキュリティドメイン104内のセキュリティプリンシパルから宛先セキュリティドメイン106内のセキュリティプリンシパル220への、ユーザーのクラウドリソースへの接続の転送を制御することができる。宛先セキュリティドメイン106内のセキュリティプリンシパルがアルゴリズムの可視性にもたらされた場合、宛先セキュリティドメイン106内のセキュリティプリンシパルは、ソースセキュリティドメイン104内のセキュリティプリンシパルのGUIDを有してもよく、二次的な検証基準が2つのセキュリティプリンシパルの間で一致し、ユーザーのクラウドリソースに対するソースセキュリティドメイン内のセキュリティプリンシパルの接続は、宛先セキュリティドメイン106内のセキュリティプリンシパルに移動させることができる。この時点から、宛先セキュリティドメイン106内のセキュリティプリンシパルは、ユーザーのクラウドリソースへのアクセスを制御することができる。ソースセキュリティドメイン104内の元のセキュリティプリンシパルは、自分のクラウドリソースへの全体的なユーザーのアクセスに影響を与えることなく除去することができる。これにより、手動又は外部の介入なしにクロスセキュリティドメインの移行を生じさせて、これらの要求をサポートするためのコストを下げることができる。アルゴリズムが、ユーザーのクラウドベースのサービスが常に元のセキュリティプリンシパル又は新しいセキュリティプリンシパルの認証のいずれかにアクセスできることを保証するので、ユーザーがそのクラウドリソースにアクセスするための潜在的なダウンタイムは最小限に抑えることができる。
【0021】
[0027]図3は、一意のセキュリティプリンシパルメタデータ属性を持つセキュリティプリンシパルを介してユーザーがクラウドベースのサービスに接続される別のシナリオの例を示す。図1と同様に、300は、セキュリティドメイン304の一部としての1つ又は複数のクラウドベースのサービスに接続されるユーザーを示す。クラウド310内のサービスは、1つ又は複数のサーバー314、316、318等によって提供することができる。サービスは、クラウドベースのメタデータリポジトリー312を介して調整することができる。クラウドベースのサービスへのユーザーの接続のセキュリティは、セキュリティプリンシパル302の使用を通じて達成することができ、それは、多くのメタデータ属性を含むことができる。これらの属性のいくつかは、ユーザーの電子メールアドレス又はグローバル一意識別子(GUID)などの固有の識別子属性を含むことができる。例示的なシナリオでは、ユーザーのセキュリティプリンシパル302は、ユーザーの電子メールアドレス及び自身のGUID(GUID1)を含む。
【0022】
[0028]異なるセキュリティドメイン又はディレクトリーにおける2つの異なるセキュリティプリンシパルの関連付け及びどのセキュリティプリンシパルがユーザーのクラウドリソースに接続されるべきであるかについての決定を可能にすることに加えて、実施例によるシステムはまた、(例えば、オリジナルが偶発的に削除された場合に)セキュリティプリンシパルを再作成し、それをユーザーのクラウドリソースに再接続する能力を有してもよい。さらに、実施例によるシステムは、新しいセキュリティプリンシパルがユーザーのクラウドリソースに再接続するための正しいセキュリティプリンシパルであることを保証するために、二次的な検証基準(例えば、一意のメタデータ属性)を指定することができる。
【0023】
[0029]図4は、図3のユーザーが偶発的な削除又は同様の理由によってクラウドベースのサービスからどのように切断され得るかを示す。400は、例えば、セキュリティドメイン304からのセキュリティプリンシパル302の偶発的な削除(422)によって、図3のユーザーがそのクラウドサービスからどのように切断され得るかを示す。
【0024】
[0030]自動化されたクラウドサービス再接続アルゴリズム308はすでに元のセキュリティプリンシパルのメタデータ属性(例えば、電子メールアドレス、及び/又はGUID)を格納していてもよいが、しかし、以下に述べるように、新たなセキュリティプリンシパルを作成することによって、ユーザーへのサービスを復元するためにそれらを使用してもよい。
【0025】
[0031]図5は、他の実施例による、新しいセキュリティプリンシパルを介して同じセキュリティドメイン内のクラウドベースのサービスに図4のユーザーが再接続され得る方法を示す。500に示されるように、新たなセキュリティプリンシパル530は、元のセキュリティドメイン304と同一でもよいし異なっていてもよいセキュリティドメイン526内の元の削除されたセキュリティプリンシパル302について作成することができる。セキュリティプリンシパルのカスタムメタデータ属性は、元のセキュリティプリンシパルの一意のメタデータ属性に設定されてもよい。二次的な検証基準(例えば、電子メールアドレス)が元のセキュリティプリンシパル302及び新しいセキュリティプリンシパル530の間で同一であるため、ユーザーのクラウドリソースへの接続528は、ユーザーに影響を与えることなく、自動的に復元することができる。
【0026】
[0032]自動化されたクラウドサービス再接続アルゴリズム308は、セキュリティドメイン内の元の偶発的に削除されたセキュリティプリンシパルを置き換えるために作成された新しいセキュリティプリンシパルをシームレスかつ自動的に再接続することができる。このプロセスは、手動又は外部の介入なしに自動的に行われて、これらの要求をサポートするためのコストを下げる。
【0027】
[0033]実施例によるシステムは、ユーザーのクラウドベースのサービスが、上記の二次的な検証基準を使用することにより、正しいセキュリティプリンシパルに再接続されることを保証する。さらに、潜在的なユーザーエラー(例えば、カスタムメタデータ属性における正しくないオブジェクトGUIDの指定や二次的な検証基準の失敗)を予見することができ、これらのエラーから回復するためのシームレスな方法を提供することができる。
【0028】
[0034]セキュリティドメイン内の任意のセキュリティプリンシパルがアルゴリズムの可視性(visibility)から除去された場合、ユーザーの対応するクラウドリソースは、カスタマイズ可能な時間量の間、未決定の(pending)削除としてマークされてもよい。これにより、元のセキュリティプリンシパル一意属性が新しいセキュリティプリンシパルのカスタムメタデータ属性において指定されて二次的な検証基準が満たされれば、宛先セキュリティドメイン内のセキュリティプリンシパルが、(クロスセキュリティドメインの移行の場合に)ユーザーのクラウドリソースに再接続されること、又は(元のセキュリティプリンシパルの偶発的な削除の場合に)元のセキュリティドメイン内の新しいセキュリティプリンシパルに再接続されることを可能にし得る。
【0029】
[0035]図1乃至5の例示的なシステムは、特定のコンポーネント、交換、及び構成で示される。実施例は、これらの例示的な構成によるシステムに限定されない。セキュリティプリンシパル属性を使用してクラウドサービスにユーザーを自動的に再接続することは、アプリケーション及びユーザーインタフェースにおいてより少ない又は追加のコンポーネントを用いた構成で実施することができる。
【0030】
[0036]図6は、実施例によるシステムを実施することができるネットワーク化された環境である。クラウドベースのサービスの自動的な再接続を提供するシステムは、1つ又は複数のサーバー614又はホストされたサービスなどの単一のサーバー616を介して実行される1つ又は複数のアプリケーションを含むことができる。アプリケーションは、一般的な又は特殊目的のクライアントアプリケーション(例えば、ブラウザーやローカルでインストールされた専門的なクライアント)を通信することができる。スマートフォン613、ラップトップコンピューター612、デスクトップコンピューター611などの個々のコンピューティングデバイス(「クライアントデバイス」)上のクライアントアプリケーションは、ネットワーク610を介したクラウドベースのサービスへのアクセスを可能にすることができる。
【0031】
[0037]上述のように、(新しいセキュリティドメインへの移行によって引き起こされても、セキュリティプリンシパル自体の偶発的な削除や再作成によって引き起こされても)ユーザーの新しいセキュリティプリンシパルが、検出され、ユーザーのクラウドベースのサービスへと自動的に安全に再接続することができる。セキュリティドメインの管理者は、同じ又は新しいセキュリティドメイン内の新しいセキュリティプリンシパルのカスタマイズ可能なセキュリティプリンシパルメタデータ属性で元のセキュリティプリンシパルについての一意のセキュリティプリンシパルメタデータ属性の値を指定することができる。ユーザーの元のセキュリティプリンシパルと(偶発的な削除の結果であれば同じセキュリティドメイン内の、移行の結果であれば新しいセキュリティドメイン内の)新しいセキュリティプリンシパルとの間の関連付けは、ユーザーのクラウドリソースを再接続するために用いることができる。サーバーは、データストア619から/データストア619へ直接的に又はデータベースサーバー618を介して、関連するデータを取得したり、保存することができる。
【0032】
[0038]ネットワーク610は、サーバー、クライアント、インターネットサービスプロバイダー、及び通信媒体のいずれかのトポロジーを含んでもよい。実施例に係るシステムは、静的又は動的なトポロジーを有することができる。ネットワーク610は、企業ネットワークなどのセキュアなネットワーク、無線オープンネットワークなどのセキュアでないネットワーク、又はインターネットを含んでもよい。ネットワーク610はまた、公衆交換電話網(PSTN)又はセルラーネットワークなどの他のネットワークを介して通信を調整することができる。さらに、ネットワーク610は、ブルートゥース(商標)又は同様のものなどの短距離無線ネットワークを含んでもよい。ネットワーク610は、本明細書に記載のノード間の通信を提供する。限定としてではなく例として、ネットワーク610は、音響、RF、赤外線及び他の無線媒体などの無線媒体を含むことができる。
【0033】
[0039]コンピューティングデバイス、アプリケーション、データソース、及びデータ配信システムの他の多くの構成がユーザーをそのクラウドサービスに自動的に再接続するために使用することができる。さらに、図6にて説明するネットワーク化された環境は、説明の目的のためのものにすぎない。実施例は、例示的なアプリケーション、モジュール、プロセスに限定されるものではない。
【0034】
[0040]図7及び関連する説明は、実施例を実施できる適切なコンピューティング環境の簡潔で一般的な説明を提供することを意図している。図7を参照すると、コンピューティングデバイス700のような、実施例に係るアプリケーションのための例示的なコンピューティング動作環境のブロック図が示される。基本的な構成では、コンピューティングデバイス700は、少なくとも1つの処理ユニット702及びシステムメモリー704を含むことができる。コンピューティングデバイス700はまた、実行中のプログラムにおいて協働する複数の処理ユニットを含むことができる。コンピューティングデバイスの正確な構成及びタイプに応じて、システムメモリー704は、(RAMなどの)揮発性、(ROM、フラッシュメモリーなどの)不揮発性、又はこの2つの何らかの組み合わせであってもよい。システムメモリー704は、通常、ワシントン州レドモンドのマイクロソフト社のWINDOWS(登録商標)オペレーティングシステムなどの、プラットフォームの動作を制御するのに適したオペレーティングシステム705を含む。システムメモリー704はまた、プログラムモジュール706、クラウドサービス管理アプリケーション722、セキュリティアプリケーション724、再接続モジュール726などの1つ又は複数のソフトウェアアプリケーションを含んでもよい。
【0035】
[0041]クラウドサービス管理アプリケーション722は、1つ又は複数のクラウドベースのサービスプロバイダーに対して管理サービスを提供することができる。これは、サービスのホスティング、メンテナンス、統計分析、ユーザー支援などを含んでもよいがこれらに限定されない。セキュリティアプリケーション724は、ユーザーの認証情報と許可の保持、ユーザーとグループの移行、及び同様のタスクなどのクラウドサービスのセキュリティ面とプライバシー面を管理することができる。再接続モジュール726は、セキュリティアプリケーション724の統合されたモジュールの異なるアプリケーションであってもよく、上述のように、セキュリティプリンシパル識別子属性を使用して、移行、偶発的な削除、又は類似のシナリオの際に、クラウドサービスへのユーザーの自動的な再接続を可能にすることができる。この基本的な構成は破線708内のこれらのコンポーネントにより図7に示される。
【0036】
[0042]コンピューティングデバイス700は、追加の特徴又は機能を有してもよい。例えば、コンピューティングデバイス700はまた、例えば、磁気ディスク、光ディスク、又はテープなどの、追加のデータ記憶デバイス(取り外し可能及び/又は取り外し不能)を含むことができる。このような追加の記憶装置は、取り外し可能な記憶装置709及び取り外し不能な記憶装置710によって図7に示される。コンピューター読み取り可能な記憶媒体は、コンピューター読み取り可能な命令、データ構造、プログラムモジュール、又は他のデータなどの情報を記憶するための任意の方法又は技術で実施される揮発性及び不揮発性の取り外し可能な及び取り外し不能な媒体を含むことができる。コンピューター読み取り可能な記憶媒体は持続的なコンピューター読み取り可能な記憶デバイスである。システムメモリー704、取り外し可能な記憶装置709及び取り外し不能な記憶装置710は、すべて、コンピューター読み取り可能な記憶媒体の例である。コンピューター読み取り可能な記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリー又は他のメモリー技術、CD−ROMO、デジタル多用途ディスク(DVD)又は他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置又は他の磁気記憶装置、あるいは所望の情報を格納するのに使用することができコンピューティングデバイス700によってアクセスできることができる任意の他の媒体を含むが、これらに限定されない。任意のこのようなコンピューター読み取り可能な記憶媒体は、コンピューティングデバイス700の一部であってもよい。コンピューティングデバイス700はまた、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイス、及び同等の入力デバイスなどの入力デバイス712を有することができる。ディスプレイ、スピーカー、プリンター、及び他のタイプの出力デバイスなどのなどの出力デバイス714が含まれてもよい。これらのデバイスは、当技術分野で周知であり、ここで詳細に論じる必要はない。
【0037】
[0043]コンピューティングデバイス700はまた、分散コンピューティング環境、衛星リンク、セルラーリンク、及び同等のメカニズムにおける無線ネットワークを介するなどしてデバイスが他のデバイス718と通信することを可能にする通信接続716を含むことができる。他のデバイス718は、通信アプリケーションを実行するコンピューターデバイス、ストレージサーバー、及び同等のデバイスを含むことができる。通信接続716は通信媒体の一例である。通信媒体は、コンピューター読み取り可能な命令、データ構造、プログラムモジュール、又は搬送波や他の搬送メカニズムなどの変調されたデータ信号における他のデータを含むことができ、任意の情報配信媒体を含む。「変調されたデータ信号」という語は、信号内に情報を符号化するような方法で設定又は変更された1つ又は複数の特性を有する信号を意味する。限定としてではなく例として、通信媒体は、有線ネットワーク又は直接有線接続などの有線媒体、ならびに音響、RF、赤外線及び他の無線媒体などの無線媒体を含む。
【0038】
[0044]例示的な実施例はまた方法を含む。これらの方法は、本明細書に記載した構成を含む任意の数の方法で実施することができる。その1つの方法は、本明細書に記載されるタイプのデバイスについての機械操作である。
【0039】
[0045]別の任意の方法は、幾つかを実行する1人以上の人間のオペレーターに関連して実行される方法の1つ又は複数の個々の動作のためのものである。これらの人間のオペレーターは、互いに同じ場所に配置する必要はないが、それぞれ、プログラムの一部を実行するマシンを有してもよい。
【0040】
[0046]図8は、実施例による、元のセキュリティプリンシパル属性と新しいセキュリティプリンシパル属性との間の関連付けを使用してクラウドサービスにユーザーを自動的に再接続するプロセス800の論理フロー図を示す。プロセス800は、独立して実行するサーバーによって、又は1つもしくは複数のクラウドベースのサービスを管理するサーバーによって実施することができる。
【0041】
[0047]プロセス800は、動作810で始まってもよく、一意のセキュリティプリンシパルメタデータ属性がセキュリティプリンシパルに対して決定される。属性は、GUIDなどの任意の一意の識別子であってもよい。任意の動作820において、電子メールエイリアス、従業員ID、同様の属性などの二次的な検証メタデータ属性を、ユーザー/セキュリティプリンシパルを認証するために使用することができる。システムは、(シナリオに応じて、同じセキュリティドメイン内で又は異なるセキュリティドメイン内で)新しいセキュリティプリンシパルを作成して、動作830において、新たなセキュリティプリンシパルにおけるカスタマイズ可能なセキュリティプリンシパルメタデータ属性で元のセキュリティプリンシパルの一意のセキュリティプリンシパルメタデータ属性の値を指定することができる。
【0042】
[0048]動作840においてセキュリティプリンシパルに関連付けられたユーザーの再接続(例えば、セキュリティドメインの変更、セキュリティプリンシパルの偶発的な削除など)の要求を受信すると、システムは、(偶発的な削除の結果であれば同じセキュリティドメイン内で、移行の結果であれば新しいセキュリティドメイン内で)ユーザーの元のセキュリティプリンシパルと新しいセキュリティプリンシパルとの間の関連付けに基づいて、動作850において、ユーザーのクラウドリソースを再接続することができる。
【0043】
[0049]いくつかの実施例は、通信モジュール、メモリー、及びプロセッサーを含むコンピューティングデバイスで実施することができ、プロセッサーはメモリーに格納された命令に関連して上述の方法もしくは同等のものを実行する。他の実施例は、上記の方法又は同様のものを実行する命令がその上に格納されたコンピューター読み取り可能な記憶媒体として実施することができる。
【0044】
[0050]プロセス800に含まれる動作は説明の目的のためのものである。クラウドサービスの自動的な再接続は、より少ない又は追加のステップを有する同様のプロセスによって、及び本明細書に記載の原理を使用する異なる順序の動作で実施されてもよい。
【0045】
[0051]上記の明細書、例、及びデータは、実施例の構成の製造及び使用の完全な説明を提供する。主題は構造的特徴及び/又は方法論的動作に特有の言葉で説明されたが、添付の特許請求の範囲で定義される主題は、必ずしも上述した特定の特徴又は動作に限定されないことを理解されたい。そのようなものではなく、上述の特定の特徴及び動作は、特許請求の範囲及び実施例を実施する例示的な形態として開示される。