知財求人 - 知財ポータルサイト「IP Force」
▶ ヒューレット−パッカード デベロップメント カンパニー エル.ピー.の特許一覧
特表2015-534669クラウドプラットフォームを実施するためのネットワークシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2015-534669(P2015-534669A)
(43)【公表日】2015年12月3日
(54)【発明の名称】クラウドプラットフォームを実施するためのネットワークシステム
(51)【国際特許分類】
G06F 21/57 20130101AFI20151106BHJP
G06F 9/445 20060101ALI20151106BHJP
G06Q 50/10 20120101ALI20151106BHJP
【FI】
G06F21/57
G06F9/06 610A
G06Q50/10 100
【審査請求】有
【予備審査請求】未請求
【全頁数】23
(21)【出願番号】特願2015-529849(P2015-529849)
(86)(22)【出願日】2013年8月16日
(85)【翻訳文提出日】2015年2月27日
(86)【国際出願番号】US2013055355
(87)【国際公開番号】WO2014035692
(87)【国際公開日】20140306
(31)【優先権主張番号】13/601,050
(32)【優先日】2012年8月31日
(33)【優先権主張国】US
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.アンドロイド
2.ANDROID
3.Linux
4.WINDOWS
(71)【出願人】
【識別番号】511076424
【氏名又は名称】ヒューレット−パッカード デベロップメント カンパニー エル.ピー.
【氏名又は名称原語表記】Hewlett‐Packard Development Company, L.P.
(74)【代理人】
【識別番号】100087642
【弁理士】
【氏名又は名称】古谷 聡
(74)【代理人】
【識別番号】100082946
【弁理士】
【氏名又は名称】大西 昭広
(74)【代理人】
【識別番号】100121061
【弁理士】
【氏名又は名称】西山 清春
(74)【代理人】
【識別番号】100195693
【弁理士】
【氏名又は名称】細井 玲
(72)【発明者】
【氏名】ブラシェフ,ボリス
(72)【発明者】
【氏名】プレンケル,ダヴィド
(72)【発明者】
【氏名】ブア,セバスチャン
(72)【発明者】
【氏名】クーパー,ジェイムス,シー
【テーマコード(参考)】
5B376
5L049
【Fターム(参考)】
5B376AA01
5L049CC12
(57)【要約】
ネットワーク内でクラウドプラットフォームを実施するためのネットワークシステムは、アプリケーション管理モジュールとコミュニティ管理モジュールとユーザー登録ポータルを備える。ここで、ユーザー用のコンピューティング環境を規定する少なくとも1つの装置が該ネットワークにアクセスすることができる。アプリケーション管理モジュールは抽象アプリケーションに対するアクセスを可能にし、ここで、抽象アプリケーションは、コンピューティング環境に対する該抽象アプリケーションの実施を定義する具体的なアプリケーションに関連付けられている。コミュニティ管理モジュールはコミュニティを管理し、ここで、コミュニティは、ユーザー認証情報及び抽象アプリケーションから少なくとも構成され、コミュニティは、ポリシーと管理プロセスとサービスのうちの少なくとも1つを定義し、それらのポリシー、管理プロセス及びサービスの下でユーザーは抽象アプリケーションにアクセスすることができる。ユーザー登録ポータルは、装置からコミュニティへのユーザーの登録をサポートし、また、ポリシーの適用をサポートするためにポリシー管理メカニズムを構成し、ここで、該ポリシーの下で、ユーザーは、装置から具体的なアプリケーションにアクセスすることができる。【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワーク内でクラウドプラットフォームを実施するためのネットワークシステムであって、
ユーザー用のコンピューティング環境を規定する少なくとも1つの装置が該ネットワークにアクセス可能であり、
抽象アプリケーションに対するアクセスを可能にするためのアプリケーション管理モジュールと、
コミュニティを管理するためのコミュニティ管理モジュールと、
前記装置から前記コミュニティへの前記ユーザーの登録をサポートするためのユーザー登録ポータル
を備え、
前記抽象アプリケーションは、前記コンピューティング環境用に前記抽象アプリケーションの実施を定義する具体的アプリケーションに関連付けられており、
前記コミュニティは、ユーザー認証情報及び前記抽象アプリケーションから少なくとも構成され、前記コミュニティは、ポリシーと、管理プロセスと、サービスのうちの少なくとも1つを定義し、それらのポリシー、管理プロセス、及びサービスの下で、前記ユーザーによる前記抽象アプリケーションに対するアクセスが可能であり、
前記ユーザー登録ポータルは、前記ポリシーの適用をサポートするためにポリシー管理メカニズムを構成し、該ポリシーの下で、前記ユーザーは、前記装置から前記具体的アプリケーションにアクセスすることができることからなる、ネットワークシステム。
ユーザー用のコンピューティング環境を規定する少なくとも1つの装置が該ネットワークにアクセス可能であり、
抽象アプリケーションに対するアクセスを可能にするためのアプリケーション管理モジュールと、
コミュニティを管理するためのコミュニティ管理モジュールと、
前記装置から前記コミュニティへの前記ユーザーの登録をサポートするためのユーザー登録ポータル
を備え、
前記抽象アプリケーションは、前記コンピューティング環境用に前記抽象アプリケーションの実施を定義する具体的アプリケーションに関連付けられており、
前記コミュニティは、ユーザー認証情報及び前記抽象アプリケーションから少なくとも構成され、前記コミュニティは、ポリシーと、管理プロセスと、サービスのうちの少なくとも1つを定義し、それらのポリシー、管理プロセス、及びサービスの下で、前記ユーザーによる前記抽象アプリケーションに対するアクセスが可能であり、
前記ユーザー登録ポータルは、前記ポリシーの適用をサポートするためにポリシー管理メカニズムを構成し、該ポリシーの下で、前記ユーザーは、前記装置から前記具体的アプリケーションにアクセスすることができることからなる、ネットワークシステム。
【請求項2】
ポリシー管理モジュールをさらに備え、
前記ユーザー登録ポータルは、前記ネットワークシステムにアクセスするために前記ユーザーによって使用される前記コンピューティング環境を特定するように構成され、
前記ユーザー登録ポータルはさらに、前記特定されたコンピューティング環境について前記ポリシー管理モジュールに知らせるように構成され、
前記ポリシー管理モジュールは、前記コミュニティのために適用される前記ポリシーを前記特定されたコンピューティング環境にマッピングするように構成される、請求項1のネットワークシステム。
前記ユーザー登録ポータルは、前記ネットワークシステムにアクセスするために前記ユーザーによって使用される前記コンピューティング環境を特定するように構成され、
前記ユーザー登録ポータルはさらに、前記特定されたコンピューティング環境について前記ポリシー管理モジュールに知らせるように構成され、
前記ポリシー管理モジュールは、前記コミュニティのために適用される前記ポリシーを前記特定されたコンピューティング環境にマッピングするように構成される、請求項1のネットワークシステム。
【請求項3】
前記アプリケーション管理モジュール、前記コミュニティ管理モジュール、及び前記ユーザー登録ポータルは、前記ネットワークまたは別のネットワークによって接続された別個のコンピューティング装置に実装される、請求項1のネットワークシステム。
【請求項4】
前記アプリケーション管理モジュールはさらに、前記具体的アプリケーションを含む1以上の具体的アプリケーションに対するアクセスを可能にするように構成され、
前記コミュニティ管理モジュールはさらに、前記ポリシーを含む複数のポリシーを定義するように構成され、
前記1以上のポリシーは、前記抽象アプリケーションに対しては固定されるが、前記抽象アプリケーションに関連付けられている前記1以上の具体的アプリケーションに対しては固定されていない、請求項1のネットワークシステム。
前記コミュニティ管理モジュールはさらに、前記ポリシーを含む複数のポリシーを定義するように構成され、
前記1以上のポリシーは、前記抽象アプリケーションに対しては固定されるが、前記抽象アプリケーションに関連付けられている前記1以上の具体的アプリケーションに対しては固定されていない、請求項1のネットワークシステム。
【請求項5】
前記アプリケーション管理モジュールはさらに、前記具体的アプリケーションを含む1以上の具体的アプリケーションへのアクセスを可能にするように構成され、
前記コミュニティ管理モジュールはさらに、前記ポリシーを含む複数のポリシーを定義するように構成され、
前記コミュニティ管理モジュールはさらに、前記ユーザー認証情報と、前記装置及び/または前記コンピューティング環境と、アクセス要求のコンテキストとのうちの1つにしたがって、所定のポリシーの下で前記1以上の具体的アプリケーションに対する権利付与を管理するように構成されたルールエンジンを備える、請求項1のネットワークシステム。
前記コミュニティ管理モジュールはさらに、前記ポリシーを含む複数のポリシーを定義するように構成され、
前記コミュニティ管理モジュールはさらに、前記ユーザー認証情報と、前記装置及び/または前記コンピューティング環境と、アクセス要求のコンテキストとのうちの1つにしたがって、所定のポリシーの下で前記1以上の具体的アプリケーションに対する権利付与を管理するように構成されたルールエンジンを備える、請求項1のネットワークシステム。
【請求項6】
個々のコミュニティ管理者が、前記ポリシーを定義することとコミュニティダッシュボードを見ることのうちの少なくとも一方を可能にするように構成されたコミュニティ管理者ポータルをさらに備える、請求項1のネットワークシステム。
【請求項7】
前記コミュニティ管理モジュールは、複数のコミュニティと前記ユーザー認証情報とのうちの少なくとも一方を管理するように構成され、
前記ユーザー登録ポータルはさらに、前記コミュニティ管理者によって課されるポリシーの下で前記ユーザーによってアクセスされる前記複数のコミュニティの選択肢を前記ユーザーに提示するように構成される、請求項6のネットワークシステム。
前記ユーザー登録ポータルはさらに、前記コミュニティ管理者によって課されるポリシーの下で前記ユーザーによってアクセスされる前記複数のコミュニティの選択肢を前記ユーザーに提示するように構成される、請求項6のネットワークシステム。
【請求項8】
前記コミュニティを含む複数のコミュニティをさらに備え、
前記ユーザー登録ポータルは、1以上のコンピューティング環境を有する1以上の装置から前記複数のコミュニティに前記ユーザーを登録するように構成される、請求項1のネットワークシステム。
前記ユーザー登録ポータルは、1以上のコンピューティング環境を有する1以上の装置から前記複数のコミュニティに前記ユーザーを登録するように構成される、請求項1のネットワークシステム。
【請求項9】
前記登録ポータルは、複数のコミュニティに対する1以上のポリシーを前記装置に同時に適用することと、該複数のコミュニティに対する該1以上のポリシーを1以上のコンピューティング環境において同時に適用することとのうちの少なくとも一方を実施するように構成される、請求項1のネットワークシステム。
【請求項10】
前記コミュニティ管理モジュールはさらに、前記ポリシーを含む1以上のポリシーを定義し、
前記ユーザー登録ポータルは、前記1以上のポリシーが前記コンピューティング環境に適用されることを前記コンピューティング環境が確保できる場合にのみ、前記具体的アプリケーションに対するアクセスを提供するように構成される、請求項1のネットワークシステム。
前記ユーザー登録ポータルは、前記1以上のポリシーが前記コンピューティング環境に適用されることを前記コンピューティング環境が確保できる場合にのみ、前記具体的アプリケーションに対するアクセスを提供するように構成される、請求項1のネットワークシステム。
【請求項11】
前記コミュニティ管理モジュールはさらに、前記ポリシーを含む1以上のポリシーを定義するように構成され、
前記1以上のポリシーは、
管理された暗号化を作動させること、
アクティブな侵入防止手段を設けること、
前記装置のリソースにアクセスできるようにすること
とのうちの少なくとも1つを含み、
前記コンピューティング環境に対する前記ポリシーの前記適用は、前記コミュニティのために行われる、請求項1のネットワークシステム。
前記1以上のポリシーは、
管理された暗号化を作動させること、
アクティブな侵入防止手段を設けること、
前記装置のリソースにアクセスできるようにすること
とのうちの少なくとも1つを含み、
前記コンピューティング環境に対する前記ポリシーの前記適用は、前記コミュニティのために行われる、請求項1のネットワークシステム。
【請求項12】
前記ユーザー登録ポータルは、前記コンピューティング環境を管理するためのモジュールを備え、
前記モジュールは、
一組のユーザー認証情報の発行と、
前記一組のユーザー認証情報の管理と、
異なる装置のプロファイルの管理と、
前記ユーザーの登録
のうちの少なくとも1つを提供するように構成されることからなる、請求項1のネットワークシステム。
前記モジュールは、
一組のユーザー認証情報の発行と、
前記一組のユーザー認証情報の管理と、
異なる装置のプロファイルの管理と、
前記ユーザーの登録
のうちの少なくとも1つを提供するように構成されることからなる、請求項1のネットワークシステム。
【請求項13】
前記具体的アプリケーションにアクセスするために、及び、前記1以上のポリシーを前記装置に適用するために、請求項1のネットワークシステムへの接続を提供するように構成された装置モジュールを備える装置。
【請求項14】
ネットワーク内でクラウドプラットフォームを実施するための方法であって、
ユーザー用のコンピューティング環境を規定する装置が該ネットワークにアクセス可能であり、
抽象アプリケーションに対するアクセスを可能にするステップであって、前記抽象アプリケーションは、前記コンピューティング環境用の前記抽象アプリケーションの実施を定義する具体的アプリケーションに関連付けられていることからなる、ステップと、
ユーザー認証情報及び前記抽象アプリケーションから少なくとも構成されるコミュニティを管理するステップと、
前記コミュニティについて、ポリシーと、管理プロセスと、サービスのうちの少なくとも1つを定義するステップであって、それらのポリシー、管理プロセス、及びサービスの下で、前記ユーザーは前記抽象アプリケーションにアクセスできることからなる、ステップと、
前記装置からの前記ユーザーの登録をサポートし、及び、前記ポリシーの適用をサポートするために適切なポリシー管理メカニズムを構成するステップであって、前記ポリシーの下で、前記ユーザーは、前記装置から前記具体的アプリケーションにアクセスすることができることからなる、ステップ
を含む方法。
ユーザー用のコンピューティング環境を規定する装置が該ネットワークにアクセス可能であり、
抽象アプリケーションに対するアクセスを可能にするステップであって、前記抽象アプリケーションは、前記コンピューティング環境用の前記抽象アプリケーションの実施を定義する具体的アプリケーションに関連付けられていることからなる、ステップと、
ユーザー認証情報及び前記抽象アプリケーションから少なくとも構成されるコミュニティを管理するステップと、
前記コミュニティについて、ポリシーと、管理プロセスと、サービスのうちの少なくとも1つを定義するステップであって、それらのポリシー、管理プロセス、及びサービスの下で、前記ユーザーは前記抽象アプリケーションにアクセスできることからなる、ステップと、
前記装置からの前記ユーザーの登録をサポートし、及び、前記ポリシーの適用をサポートするために適切なポリシー管理メカニズムを構成するステップであって、前記ポリシーの下で、前記ユーザーは、前記装置から前記具体的アプリケーションにアクセスすることができることからなる、ステップ
を含む方法。
【請求項15】
デジタルコンピュータの内部メモリに直接ロード可能なコンピュータープログラム製品であって、前記コンピュータープログラム製品はソフトウェアコード部を含み、該ソフトウェアコード部は、前記コンピュータープログラム製品がコンピューターで実行されると、請求項14のステップを実行することからなる、コンピュータープログラム製品。
【発明の詳細な説明】
【背景技術】
【0001】
クラウドインフラストラクチャまたはクラウドプラットフォームは、1以上のクライアントにサービスとしてコンピュータ処理を提供する。たとえば、クラウドプラットフォームは、インフラ(たとえば記憶媒体)を提供することができ、または、ソフトウェアを提供し、または、特定のコンピューティングプラットフォームをクライアントが利用できるようにする。したがって、クラウドプラットフォームを使用することによって、コンピューティングシステムの設定及びメンテナンスを外部のプロバイダーに委ねることが可能になり、それによって、IT(情報技術)インフラの効率を大幅に高めることが可能になる。
【0002】
したがって、クラウドプラットフォームは、単に、従来のネットワークのように様々な構成要素を接続するのではなく、クライアント(またはユーザー)によって使用される装置(装置はデバイスともいう。以下同じ)に依存することなく、コンピューティングサービス及びインフラを提供する。たとえば、ユーザーは、様々な状況で働いている場合があり、それらの状況のそれぞれにおいて、ユーザーは、異なる役割を果たし、また、異なる責任を持っている場合がある。それらのそれぞれに異なる役割は、ユーザーの私生活に関連しているかもしれないし、消費者もしくは親もしくは家族の一員としての役割に関連しているかもしれない。一方、ユーザーは、職業生活では、被雇用者もしくは請負業者もしくは顧客もしくは(部品などの)供給業者として活動している場合がある。ユーザーは、それらの様々な状況において、それぞれに異なるクライアント装置(パーソナルコンピューター、携帯電話、タブレットなど)を使用することができ、または、リモート処理機能(たとえば、ウェブサイトをホストとするアプリケーションや、データセンターをホストとする仮想マシン)を利用するクライアント装置を使用することができる。クラウドプラットフォームと対話するために、ローカル処理機能を有するクライアント装置に複数の異なるコンピューティング環境(たとえば、複数の異なるオペレーティングシステム、仮想ソフトウェア環境、ウェブアプリケーション、ネイティブアプリケーション、コンテナ、BIOS/APIなど)がインストールされている場合がある。このように、前もって決定されたハードウェア/ソフトウェアがないことは、解決すべきいくつかの問題を引き起こしている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】(補充予定)
【図面の簡単な説明】
【0004】
以下、添付の図面を参照して本発明をより詳しく説明する。【図1】本発明の1実施形態によるネットワークシステムを示す。
【図2】様々なクライアントによって使用されるクラウド環境を示す。
【図3A】別の実施形態による追加の構成要素を示す。
【図3B】別の実施形態による追加の構成要素を示す。
【図3C】別の実施形態による追加の構成要素を示す。
【図4】1実施形態による方法を実施するフローチャートを示す。
【図5】本発明の概念の少なくとも一部を実施するためのコンピューティング装置を説明するブロック図である。
【発明を実施するための形態】
【0005】
クラウドプラットフォームにおいて、クライアントやクライアント装置に(共通に管理されるITインフラの一部ではない)複数の個別のアプリケーションを含むコンピューティング(コンピューター)機能を提供するときには、該クラウドプラットフォームを用いて、たとえば他のクライアントの知的財産を保護するための所望のセキュリティレベルを維持するために様々な問題を解決する必要がある。特に、企業や組織にとっては、従業員や顧客や共同経営者に種々の装置(クライアントによって使用されるコンピューティング環境は異なる場合がある)で提供するアプリケーション及び関連するポリシーを管理できることが重要である。同時に、それらの企業及び組織は、コンピューティングインフラを維持するコストを下げる必要にますます迫られている。したがって、高度のセキュリティ対策を提供する一方で、様々な状況においてクライアントに提供されるそれぞれのアプリケーションに対する簡単でコスト効率が高い管理を提供するクラウドプラットフォームが必要とされている。
【0006】
コンピューティング環境は、ユーザー(または1以上のユーザー装置)とクラウドプラットフォームとのインターフェースを定義ないし規定するものであり、したがって、一般に、ユーザーによって使用される特定の装置に特有のものではないという点で抽象的な概念に関連する。コンピューティング環境を、ユーザーがクラウドプラットフォームに接続するために使用する特定の装置に関連付けることもできるが、同じコンピューティング環境を種々の異なる装置で使用することもできる。さらに、所与の装置は、異なる多くのコンピューティング環境をホストすることができる。そのようなコンピューティング環境の例には、ウェブアプリケーション(たとえばブラウザ)、ネイティブアプリケーション、コンテナ、仮想マシン、BIOS/APIなどがある。したがって、コンピューティング環境は、ユーザーがインターフェースを介してクラウドプラットフォーム(ネットワークシステム)と対話することができるところの該インターフェースを定義ないし規定する。
【0007】
本発明は、1以上のユーザー用の1以上のコンピューティング環境を定義ないし規定する少なくとも1つの装置がアクセスできるネットワーク内にクラウドプラットフォームを実装(または実施)するためのネットワークシステムを提供することによって上記の問題を解決する。該システムは、1以上の抽象アプリケーション(abstract application)へのアクセスを可能にするアプリケーション管理モジュールを備えており、この場合、抽象アプリケーションの各々は、特定のコンピューティング環境に対する抽象アプリケーションの実装(または実施)を定義ないし規定する1以上の具体的なアプリケーション(concrete application。以下、具体的アプリケーションという)に関連付けられている。該システムはさらに、1以上のコミュニティを管理するためのコミュニティ管理モジュールを備えており、該1以上のコミュニティは、少なくとも1以上のユーザー認証情報及び少なくとも1つの抽象アプリケーションから構成されている。コミュニティは、1以上のポリシー、1以上の管理プロセス、及び1以上のサービス(これらのポリシー、管理プロセス、及びサービスのうちの少なくとも1つの下で、1以上のユーザーが少なくとも1つの抽象アプリケーションにアクセスすることができる)のうちの少なくとも1つを定義ないし規定する。該システムはさらに、少なくとも1つの装置からの1以上のユーザーの1以上のコミュニティへの登録(ないし加入)をサポートし、及び、ポリシーの適用(ないし実施)をサポートするためのポリシー管理メカニズムを構成(または調整もしくは提供)するためのユーザー登録ポータルを備えており、この場合、該ポリシーの下で、ユーザーは、少なくとも1つの装置から、または1以上のコンピューティング環境から、1以上の具体的アプリケーションにアクセスすることができる。
【0008】
したがって、本発明のいくつかの実施形態は、クライアント装置、複数のコミュニティ(またはITドメイン)、及びアプリケーションが、マルチテナント環境(クラウドプラットフォーム)において、別個に処理(もしくは制御)または管理されるように、クライアント装置の処理(もしくは制御)及び管理を分離することを提供する。クラウド環境におけるそのようなマルチテナントは、複数の別個のユーザーが、互いから安全に分離されたやり方で、インフラ、プラットフォーム、サービス/アプリケーション、またはリソースの共通の組を共有するようになっている構造に関連する。ユーザーは、会社や組織でありうるが、私人でもありえ、該装置は、様々なエンドユーザークライアント装置のうちの任意のものでありうる。
【0009】
そのようなクラウドプラットフォームは、たとえば、パーソナルコンピューター、タブレット、スマートフォン、またはその他のエンドユーザー接続装置(家庭用娯楽機器など)によって使用される接続性を提供する。さらに、別の例は、データセンターのサーバーブレード、または、任意の分散型接続装置に適用可能な分離型管理モデルを定義ないし規定する。いくつかの実施形態によれば、クライアント装置のリソースを、それぞれ別個の複数のエンティティ(事業体などの実体)もしくは管理者によって共有することができる。たとえば、装置にインストールされている他のソフトウェアから保護された閉じたソフトウェア(closed software)環境を表すコンテナ環境をユーザー装置にインストールすることができる。たとえば、適用されるポリシーが正しく適用されるようにする特定のソフトウェアモジュールを利用することによって、かかるコンテナ内のソフトウェア環境を、それらのポリシーに基づいてコミュニティ管理モジュールから管理することができる。したがって、かかるコンテナの各々を異なる(コミュニティ)管理者によって管理することができ、一方、それらのコンテナ外部のソフトウェア環境を依然としてユーザー自身によって管理することができる。
【0010】
したがって、それらのエンティティの各々は、装置(またはコンピューティング環境)に対する各々の(たとえば、コンテナ環境によって表される)フットプリントを、対応するプライベートな(または非公開の)またはパブリックな(または公開の)クラウドベースのリソースと共に、別個独立して安全に処理(もしくは制御)及び管理することができる。このマルチテナントクライアント−クラウド環境に関与するそれらの別個のクライアント側のフットプリントを「コミュニティ」(たとえば、信頼ドメイン、ポリシードメイン)と呼ぶ。それゆえ、そのようなコミュニティは、プロバイダーや管理者(たとえば、個人ユーザーまたは産業パートナーのグループ)によって操作される独立したIT管理ドメインである。
【0011】
そのようなマルチテナントクライアント装置の管理(ないし制御)を、ベースとなるオペレーティングシステム及び/またはファームウェアを制御することに関連付けて、装置もしくは装置の機能(たとえばデータの格納/印刷)をイネーブルまたはディセーブルにすることができる。いくつかの実施形態によれば、この管理(ないし制御)は、クラウドベースのプラットフォームから実行され、個々のコミュニティの管理から切断すなわち分離される。これによって、たとえば、装置の製造者もしくは販売者または通信サービスプロバイダーが、それらの顧客に装置の管理(ないし制御)を提供して運用し、並びに、顧客が管理することを望みまたはユーザーになることを望むコミュニティの選択肢を顧客に提供することができるようになる。さらに、アプリケーション提供者(アプリケーションプロバイダー)は、自身が、個々のコミュニティの内部で利用できる種々のアプリケーションマーケット(アプリマーケット)またはアプリマートで提供するアプリケーション、並びに、エンドユーザー装置のもしくはコンピューティング環境における1以上のコミュニティフットプリントにインストールされているアプリケーションのインスタンスを管理することができる。会社(ないし団体)は、自身が構築したコミュニティ内のアプリケーションを管理する(該アプリケーションの使用を許可し、セキュリティ制御を設定する)ことができる。
【0012】
したがって、いくつかの実施形態は、クラウド対応装置アーキテクチャ、及び、対応するクラウドベースの管理フレームワークに関連し、該クラウド対応装置アーキテクチャは、独立したまたは分離されたコンテナ、独立したポリシー制御及び統一されたユーザーインターフェースを特徴とする。この装置アーキテクチャを、たとえば、装置にインストールされている、コミュニティ管理者によって定義されたポリシーによって要求される制約の順守を確保する装置エージェント(または装置モジュール)によって提供することができる。したがって、かかる管理性を有するフレームワークは、装置、コミュニティ、及びアプリケーションのためのマルチテナント管理アプリケーションをサポートする。
【0013】
このクラウドプラットフォームは、たとえば、エンドユーザーに提供されるクラウド対応装置アーキテクチャに次の利益を提供する。(i)提供者(たとえば、使用者、銀行、またはその他のサービス提供者。プロバイダーともいう)からの安全で管理されたサービスにアクセスし、一方で、個人的な用途には同じクライアント装置を使用する(これは、単一のIT部門が装置全体を制御するという制限を取り除く)能力、
(ii)個人の情報及びプライバシーの管理ないし制御を維持し、一方で、業務用アプリケーション資産を保護する責任があるIT部門によって、それらの業務用アプリケーションを管理及び監視できるようにする能力、
(iii)個人用アプリケーション及びオペレーティングシステムを選択して、これらに、それぞれに異なる複数の業務用アプリケーション及び複数のオペレーティングシステムを有する単一の装置で同時にアクセスする能力。
【0014】
一方、提供者(コミュニティの管理者、IT部門、使用者など)に対しては、クラウドプラットフォームは、とりわけ以下の利益を提供する。(i)提供者は、ユーザーのクライアント装置全体を管理する必要なしに、ビジネスに不可欠なアプリケーションを管理し監視し及び制御することができる。
(ii)提供者は、データセンターからそれらのエンドユーザー自身の装置まで、エンドツーエンドで、ユーザーのコミュニティ、装置及び業務用アプリケーションを統合的に安全に管理することができる。
【0015】
したがって、装置、さらに、スマートフォンなどのエンドユーザーの個人用装置を、−少なくとも適用されるポリシーによって要求される限り−オペレータまたはサービス提供者によって管理することができる一方で、アプリケーションは、特定のコミュニティにアプリケーションを提供するソフトウェア供給者(ソフトウェアサプライヤ)もしくはサードパーティもしくは組織(団体など)によって管理される。したがって、いくつかの実施形態は、どのユーザーに対して、どのセキュリティポリシーの下で、どのようなアプリケーションを配信ないし提供するかについての単純なコントロール(制御)を提供する。
【0016】
一方、クライアントの側では、ユーザーは、依然として、業務用アプリケーションの一貫性(ないし完全性)を損なうことなく、または、企業のリスク管理方針に違反することなく、他の目的のために装置を使用することができ、その場合でも、該ユーザーは、単一の装置から複数のコミュニティに参加することが可能である。
【0017】
このネットワークプラットフォームは、さらなる利点として、両エンド、すなわち、提供者の側とエンドユーザーの側の両方で使用される物理的ハードウェアに依存することなく、エンドツーエンドの分離された複数のコミュニティを管理することができる可能性を提供する。なぜなら、ハードウェアに依存する管理は、アプリケーション及びコミュニティに依存する管理から分離されるからである。クラウドプラットフォームと種々の可能性のあるクライアント装置(たとえば、PC、タブレット、スマートフォンなど)との間の通信が、意図したとおりに実行されるのを確実にするために、クライアント装置/コンピューティング環境に、エンドユーザーコミュニティ登録、関連するアプリケーション、及びセキュリティポリシー配置(security policy deployment)と共に、基本クライアントソフトウェアの統合されたクラウドベースの管理を提供するクライアント側管理エージェントをインストールすることができる。
【0018】
適用ないし実施される特定のコミュニティポリシーを、たとえば、コミュニティ管理者によって定義ないし規定することができ、該ポリシーは、クラウドプラットフォームバックエンドにクライアントシステムソフトウェア及び管理エージェントの安全な制御を提供するために、クライアント側のコンテインメント(封じ込め)技術(containment technology)、及びクラウドプラットフォーム側もしくは提供者側の信頼(トラスト)モデルに頼ることができる。したがって、クライアント側の管理エージェントとしてのモジュールが、クライアント装置/コンピューティング環境にインストールされ、それゆえ、複数の独立したコミュニティ管理者は、エンドユーザーの装置にいたるまでマルチテナンーを実施し、コミュニティアプリケーションを分離し、及び、それぞれのポリシーを適用ないし実施することを、クラウドプラットフォームに(信頼して)任せることが可能になる。ユーザー装置/コンピューティング環境にインストールされたエージェントは、クラウドプラットフォームとの安全な通信を処理し、さらに、ユーザーの権利を管理し、コミュニティアプリケーションのコンテナリゼーション(containerization)を制御し、及び、ドメイン全体のポリシー及び個々のコミュニティのポリシーを適用ないし実施するために適切なポリシー実施ポイント(policy enforcement point)を構成する。別の例では、さらに、クラウドプラットフォームは、(たとえば企業の内部の)個々のコミュニティに対する管理バックエンドの安全な分散配置(このような柔軟性が必要とされうる状況において)を可能にするように設計される。
【0019】
図1は、少なくとも1つの装置205、207、…が接続してアクセスできるネットワーク200に接続されたクラウドプラットフォームを実装(または実施)するためのネットワークシステム100を示している。装置205、207、…の各々において、特定の目的のために1以上のコンピューティング環境206a、206bが実装されている。複数のユーザー装置205、207、…は、永続的な(すなわち常設の)通信リンクまたは一時的な通信リンクによってネットワーク200に接続され、ネットワーク200(たとえば、インターネットや携帯電話ネットワークなど)は、ネットワークシステム100への接続を提供するように構成されている。所与のユーザー装置205には、1以上のコンピューティング環境206a、206b、…がインストールされており、互いに異なるコンピューティング206a、206b、…を、(たとえば、異なるセキュリティレベルを提供する)互いに異なるコンテキスト(状況など)において、または、ネットワークシステム100内の異なるコミュニティに接続するために利用することができる。
【0020】
ネットワークシステム100はさらに、1以上の抽象アプリケーション112、114にアクセスできるようにするためのアプリケーション管理モジュール110を備えており、各抽象アプリケーション(abstract application)112は、ユーザー装置205(たとえば、それぞれのアプリケーションバイナリ)における1以上のコンピューティング環境206a、206b、…に対する1以上の抽象アプリケーション112の実装(または実施)を定義ないし規定する1以上の具体的アプリケーション(concrete application)113a、113bに関連付けられている。抽象アプリケーション112に対するアクセスは、少なくとも1つの具体的アプリケーション113に対するアクセスを含みうる。アプリケーション管理モジュール110はさらに、クラウドプラットフォームレベルでのアプリケーション抽象化(application abstraction)処理を可能にすることができる。たとえば、オフィスアプリケーションは、装置のタイプ(スマートフォン、タブレット、PCなど)、装置のオペレーティングシステム(たとえば、iOS、アンドロイド(Android)、Linux、Windowsなど)、及びポリシーの要件(位置、信頼レベル、操作ないし演算されるデータの感度など)に依存して異なる具体的アプリケーション(たとえばバイナリ)を有することができる1つのアプリケーションである。たとえば、装置及びオペレーティングシステム用のある対応するアプリケーションが存在し、かつ、ポリシー条件が満たされる場合には、該対応するアプリケーションを該装置にインストールすることができる。しかしながら、所定の条件が満たされない場合には、リモート(遠隔)でホストされるバージョンを利用可能にすることができ、または、一組の条件が満たされない場合には、アクセスを拒否することができる。したがって、抽象アプリケーション112がそのようなオフィスアプリケーションである場合には、具体的アプリケーションの各々を、種々のオペレーティングシステム及び/または種々のハードウェア装置に対するそのオフィスアプリケーションの様々な実装(または実施)形態(または、種々のオペレーティングシステム及び/または種々のハードウェア装置に合わせて該オフィスアプリケーションを様々に実施するもの)として定義ないし規定することができる。
【0021】
さらに、アプリケーション管理モジュール110を、一組のアプリケーションに対するアクセスと該一組のアプリケーションの処理(ないし操作)を統合(もしくは連携)ないし組み合わせるように構成することもできる。たとえば、アプリケーション管理モジュール110は、種々のタイプのアプリケーションの管理をサポートすることができ、ネットワークシステム100を、種々のタイプのアプリケーション用のそのような多くの管理モジュールをサポートして統合する(もしくは連携させる)ように構成することができる。
【0022】
さらに、ネットワークシステム100は、1以上のコミュニティ122a、122b、…を管理するように構成されたコミュニティ管理モジュール120を備えている。それぞれのコミュニティ122は、少なくとも、1以上の抽象アプリケーション112と一組のユーザー認証情報(たとえば、ユーザーID、ユーザー名、ユーザーの役割など)によって定義ないし規定される。抽象アプリケーション112に対するユーザーのアクセスは、それぞれのコミュニティ122について定義ないし規定され、かつ、1以上のポリシー、管理プロセス、及びサービスからなるグループから選択される1以上の規定ないし条件を満たすことが必要である。さらに、コミュニティ管理モジュール120は、一組の(抽象化された)アプリケーション112、それらのアプリケーションにアクセスできるユーザー、及び、ポリシー(セキュリティ、IT管理、プロセスなどに対するポリシー。該ポリシーの下でそれらのアプリケーションにアクセスできるようになる)を定義ないし規定することを可能にする。したがって、それぞれのコミュニティ122を、管理された一組のアプリケーションとして定義ないし規定することができる。
【0023】
さらに、ネットワークシステム100は、ユーザー登録ポータル130を備えており、該ポータルは、装置205(またはコンピューティング環境206)から少なくとも1つのコミュニティ122へのユーザーの登録(または加入)をサポートし、及び、ポリシー管理メカニズムが、1以上のポリシー(このポリシー下で、ユーザーは、装置205(またはコンピューティング環境206)から抽象アプリケーション112にアクセスできる)の適用ないし実施をサポートできるようにするか、もしくは、そのようにサポートするようにポリシー管理メカニズムを構成(または調整もしくは提供)するように構成されている。登録ポータル130は、特定の装置205(またはコンピューティング環境206)におけるユーザーからのコミュニティアクセス要求があると、そのユーザーの装置205(またはコンピューティング環境206)に対してそのコミュニティの(複数の)ポリシーを適用ないし実施するために、それらのポリシーを特定のポリシー管理モジュールの使用にマッピングする(対応付ける)ことができる。これは、ポリシーの要件に応じて、特定の装置管理ソフトウェア、または、アプリケーションコンテナ管理、または、他の制約を使用することを含む場合がある。
【0024】
登録ポータル130は、装置205からネットワークシステム100へのネットワーク接続を確立するためにデバイスコネクタコンポーネントを備えることができる。デバイスコネクタは、装置のタイプを識別して、この情報をコミュニティポリシーエンジンに提供することができる。
【0025】
オプションとして、ネットワークシステム100を、抽象アプリケーション112に関連付けられている1以上の具体的アプリケーション113を格納するために外部記憶装置310に接続することができる。さらに、オプションとして、ネットワークシステム100を、1以上のコミュニティ管理者(またはコミュニティ管理手段)320に接続することができ、該コミュニティ管理者は、さらなる登録の際に、少なくとも1つのコミュニティ122を管理するためにコミュニティ管理モジュール120に接続する。たとえば、少なくとも1つのコミュニティ管理者320aは、ユーザーによって使用される具体的アプリケーション113またはハードウェアを管理することなく、1つの特定のコミュニティ120aに関連するそれぞれの抽象アプリケーション112,管理プロセス、及びサービスに対するポリシーを定義ないし規定するために、その特定のコミュニティ122aに関連付けられる。
【0026】
したがって、ネットワークシステム100を、1以上の具体的アプリケーション113に対するアクセスを可能にするように、及び、1以上のポリシーを定義ないし規定するように構成することができ、ここで、該1以上のポリシーを、抽象アプリケーション112に対しては固定とすることができるが、特定の抽象アプリケーション112に関連付けられた(複数の)具体的アプリケーション113に対しては(それらのアプリケーションの少なくとも2以上のアプリケーション間で)異なるものとすることができる。たとえば、特定のユーザーが異なる装置または異なるコンピューティング環境(たとえば異なるオペレーティングシステム)を使用するときは、該ユーザーが異なる具体的アプリケーションにアクセスできるようにし、さらに、該ユーザーに異なるポリシーを適用することができる。
【0027】
詳しくは、クライアント(ユーザー)が、ネットワーク200を介してネットワークシステム100に接続するために、装置205の特定のコンピューティング環境206aを使用するときには、該クライアントはユーザー登録ポータル130に接続されることになる。登録ポータル130は、(たとえば、登録ポータル130に格納されている場合があるユーザー認証情報に基づいて)ユーザーを特定ないし識別することができ、及び、特定のコンピューティング環境206aを特定ないし識別することができる。この情報を、コミュニティ管理モジュール120に提供することができ、該モジュールは、ユーザー認証情報及び/またはコンピューティング環境206及び/または特定のコンテキストに基づいて、ユーザーに対して適用ないし実施されるポリシーを課すことができる。該特定のコンテキストを、時間、または場所、または、装置205への接続に使用される接続のタイプ(たとえば無線または有線)に関連付けることができる。コミュニティ管理モジュール120は、課されることになるポリシーをアプリケーション管理モジュール110に送ることができ、該モジュール110は、ユーザーの特定のコンピューティング環境206aに関連付けられている特定の具体的アプリケーション113aに対するアクセスを許可(または可能に)する。このアクセスは、コミュニティ管理モジュール120によって課されたポリシーの下でのみ提供される。この結果、ユーザーは、ユーザー登録ポータル130を介して、または、オプションとして、(図1には示されていない)別個のネットワーク接続を介して、自身の特定のコンピューティング環境206aに対応する特定の具体的アプリケーション113aをダウンロードしまたは該具体的アプリケーションにアクセスすることができ、及び、(たとえば、ユーザー装置205/コンピューティング環境206で特定のソフトウェアを使用するために)コミュニティ管理モジュール120によって識別された特定のポリシーの下でのみ該アプリケーションを起動することができる。
【0028】
さらに別の例では、適用ないし実施されるポリシーは、登録ポータル130によって識別されたコンピューティング環境206に依存し、これによって、ユーザーが異なるコンピューティング環境を使用するときには、上記の複数のポリシーとは異なるポリシーが適用ないし実施される。このことは、ユーザー登録ポータル130が、ユーザーがネットワークシステム100にアクセスするために使用するコンピューティング環境206(または特定の装置205)に基づいて、適用ないし実施されるポリシーを変えることができることを示している。たとえば、ユーザーが、公衆携帯電話ネットワークを介して接続されているスマートフォンでウェブブラウザ環境を使用している場合には、同じユーザーが、安全な(セキャアな)ネットワーク環境内で仮想ソフトウェア環境を使用しているときよりも、リモート(遠隔)のリソースへのアクセスを制限することができる。したがって、ユーザー登録ポータル130及び/またはポリシー管理モジュールを、所与の(または任意の)ユーザーに対して、1以上のポリシーを、該所与のユーザーによって使用されるコンピューティング環境206(または装置)に合わせて調整するように構成することができる。
【0029】
さらに別の実施形態では、具体的アプリケーション113は、ネットワークシステム100を介して外部記憶装置310からダウンロードされる。さらに、ネットワークシステム100は、いくつかのアクセス端末を備えることができる。たとえば、それらのアクセス端末のうちの1つを、ユーザー登録ポータル130が使って、ユーザーを登録し、該ユーザー及び該ユーザーのコンピューティング環境206を特定ないし識別することができ、及び、別の1つのアクセス端末は、ポリシーをマッピングした後で、具体的アプリケーション113にアクセスするために使用される(この場合、該ポリシーの下で、その特定の具体的アプリケーション113を、特定のコンピューティング環境206のユーザーに提供することができる)。
【0030】
図2は、クラウドの概念を説明する図であり、クラウド400は、いくつかのユーザー装置/コミュニティに接続性(コネクティビティ)を提供する。たとえば、クラウド400を、ユーザークライアント405a、405b、サーバーブレード/データセンター406、アプリケーション412、コミュニティ(ドメイン)420a、420b、ベース装置(基盤装置ともいう)430、及び分散装置440に接続することができる。クラウドプラットフォームでは、複数のユーザー(テナント)が、共通のインフラ及び/または共通のプラットフォーム及び/または共通のサービス/アプリケーションを共有することができ、この場合、各エンティティは、装置のリソースが他のエンティティと共有されている該装置におけるそれ自体のフットプリントを独立に管理する。たとえば、ユーザー装置は、コンテナ(該装置にインストールされている他のソフトウェアから保護された特定の閉じたソフトウェア環境)を備えることができ、該閉じたソフトウェア環境は、たとえば、コミュニティ管理モジュール120から(たとえば、適用されたポリシー及び要求された装置ソフトウェアによって)管理され、一方、該コンテナの外部のソフトウェア環境は、依然としてユーザー自身によって管理される。統一した表記として、この個人的な領域(パーソナルエリア)を「コミュニティ0」と呼ぶ場合がある。
【0031】
このクラウドの概念は、いくつかの実施形態では、ユーザーが、管理されたドメインに自身を登録して、自身のユーザーアカウントを作成することができ、これによって、ユーザーが、自身のクライアント装置、したがって該ドメインにログインして、利用可能なコミュニティのカタログ(一覧表など)をブラウズ(閲覧)することを可能にするという点において実現される。ユーザーは、興味を持ちそうなコミュニティであって、該ユーザーが認証証明を受けているコミュニティに参加することができる。さらに、ドメイン管理者は、ユーザー、及び該ユーザーの装置/コンピューティング環境を規定(または必須)のコミュニティ及びアプリケーションに容易に事前登録することができる。さらに別の実施形態では、特定の管理されていない「コミュニティ0」は、ユーザーが、クラウドプラットフォームの制御が及ばない典型的な個人用装置(個人用アプリケーションストア(personal appstore)や個人用OSなど)において期待するのに似た経験をもたらすユーザーのパーソナルドメイン(個人用ドメイン)をサポートする。コミュニティ管理者は、さらに、コミュニティまたはユーザー管理システムの特定のエンタープライズディレクトリー(enterprise directory)に対して毎回再認証をするのではなく、該ドメインが、ドメイン認証に基づいてコミュニティアプリケーションにアクセスするためのユーザーのシンプルサインオン(simple-sign-on)を可能にするようにすることができる。
【0032】
図3A〜図3Cは、オプションの構成要素を有する別の実施形態を示している。それらの構成要素を、前述した任意の特徴及び構成要素と組み合わせることができる(ネットワークシステム100の全ての構成要素が図3A、図3B、図3Cに記載されているわけではない)。
【0033】
図3Aにおいて、ユーザー装置205は、登録ポータル130に登録するために特定のコンピューティング環境206を使用している。この実施形態では、ネットワークシステム100は、追加のポリシー管理モジュール140を備えている(図には、ネットワークシステムの一部だけが示されている)。ユーザーが登録ポータル130に登録した後で、ポリシー管理モジュールは、該ユーザーと該コンピューティング環境206について知らされる。ポリシー管理モジュールは、コミュニティ管理モジュール120から、その特定のコンピューティング環境206を使用しているユーザーに対しての適用されるポリシーまたは管理プロセスまたは許可されているサービスに関する情報を要求することができる。ポリシー管理モジュール140は、この情報を受け取った後、該ユーザーに対してコミュニティのために(またはコミュニティの代わりに)適用ないし実施される1以上のポリシーをマッピングする。この結果、ユーザーは、コミュニティ管理モジュール120によって課されたポリシーの下でのみ、要求された具体的アプリケーション113にアクセスすることができる。これらのマッピングされたポリシーは、たとえば、それらのマッピングされたポリシーの下で、ユーザーにそれぞれの具体的アプリケーションに対するアクセスを提供する(すなわち、それぞれの具体的アプリケーションにユーザーがアクセスできるようにする)アプリケーション管理モジュール110に送られる。
【0034】
したがって、さらに別の実施形態では、ユーザー登録ポータル130は、ネットワークシステム100にアクセスするためにユーザーによって使用されるコンピューティング環境206を特定(または識別)するように構成され、ユーザー登録ポータル130はさらに、ポリシー管理モジュール140に、特定(または識別)されたコンピューティング環境206について知らせるように構成され、ポリシー管理モジュール140は、特定(または識別)されたコンピューティング環境206を用いて、コミュニティのために適用ないし実施されるポリシーをマッピングするように構成される。
【0035】
図3Bは、このマッピングが、ユーザー登録ポータル130の一部であるマッピングモジュール142によって実行される別の実施形態を示している。
【0036】
この例では、ポリシー管理は、複数のポリシー管理モジュール140a、140b、…、及びマッピングモジュール142を備えるユーザー登録ポータル130で実行される。マッピングモジュール142は、特定のユーザー(またはユーザー認証情報)またはユーザー装置205またはコンピューティング環境206への特定のポリシーのマッピングを定義ないし規定するためのそれぞれの命令を受け取るために、コミュニティ管理モジュール120に接続することができる。このマッピングは、アプリケーション管理モジュール110によって提供される具体的アプリケーション113にアクセスするために、ユーザー装置205/コンピューティング環境206用に使用される特定のポリシー管理モジュール140aを割り当てることによって実行される。
【0037】
したがって、この実施形態では、ユーザーは、コンピューティング環境206を用いることによって該ユーザーのユーザー装置205からネットワークシステム100に接続して、ユーザー登録ポータル130に登録する。ユーザー登録ポータル130は、該ユーザー及び該ユーザーのコンピューティング環境206を特定(または識別)し、及び、マッピングモジュール142によって特定(または識別)された特定のポリシー管理モジュール140aのみを介して、要求された具体的アプリケーション113へのアクセスを提供する。この特定のポリシー管理モジュール140aは、ユーザー装置205に対するコミュニティ管理モジュール120によって定義ないし規定されたポリシーの適用ないし実施を確保する。したがって、コミュニティ管理モジュール120またはそれぞれのコミュニティ管理者320は、抽象アプリケーション112に対して適用ないし実施されるポリシーを定義ないし規定して、この情報をマッピングモジュール142に提供する。マッピングモジュール142は、それらのポリシーをそれぞれの具体的アプリケーション113及びそれぞれのユーザーにマッピングする。この結果、特定のユーザーがユーザー登録ポータル130にアクセスできる場合には、該ユーザーは、特定のポリシー管理モジュール140aのみを介して具体的アプリケーション113にアクセスできることになる。この場合、該特定のポリシー管理モジュール140aは、アプリケーションモジュール110に接続されて、コンピューティング環境206に具体的アプリケーションを提供するだけでなく、適用されるポリシーを実施する。
【0038】
図3Cは、ネットワークシステム100が、オプションのルールエンジン150及び/またはオプションのコミュニティ管理者ポータル160を備える別の実施形態を示している。
【0039】
ルールエンジン150は、ユーザー認証情報、装置205及び該装置のコンピューティング環境206、アクセス要求のコンテキストのうちの1つにしたがって、決定されたポリシーの下で具体的アプリケーションに対する(アクセス権などの)権利付与を管理するように構成されている。たとえば、会社内のユーザーの立場(または地位)に依存して、または使用される特定のコンピューティング環境206もしくは特定のユーザー装置205に依存して、該ユーザーに、特定の具体的アプリケーション113を使用する権利や、具体的アプリケーション113の特定の機能を可能にする権利を付与することができる。たとえば、それらの特定の機能は、コンピューティング環境206におけるユーザー装置205を用いてユーザーによって実行される以下のうちの1以上を含む。・特定のデータベースに局所的にもしくは遠隔からアクセスこと、
・特定のデータを局所的にもしくは遠隔に格納すること、
・特定のデータを局所的にもしくは遠隔で印刷すること、
・上記以外の動作ないし処理(たとえば、金融取引を可能にするための処理)。
【0040】
ルールエンジン150を、ユーザー登録ポータル130の一部またはポリシー管理モジュール140の一部とすることもできる。たとえば、ユーザー登録ポータル130がデバイスコネクタを備えている場合には、このデバイスコネクタは、ルールエンジン150として機能することができる。
【0041】
コミュニティ管理者ポータル160は、個々のコミュニティ管理者320a、320b、…が、1以上のポリシーを定義ないし規定すること、及び/または、コミュニティダッシュボード(community dashboard)を見ることを可能にするように構成されている。このために、コミュニティ管理者ポータル160は、コミュニティ管理モジュール120へのアクセスを提供する。定義ないし規定されたコミュニティポリシーを、それぞれのコミュニティ管理者302aによってアプリケーション及び特定のユーザーに関連付けることができる。該ダッシュボードは、たとえば、それらのコミュニティの動作ないし処理状態/使用状態/セキュリティ状態(security posture)を表示する。
【0042】
抽象/具体的アプリケーション112は、1つのコミュニティ122内だけで利用できるプライベートアプリケーション、及び、複数のコミュニティで利用できるパブリックアプリケーション112を含むことができる。これらのアプリケーションを、1以上のコミュニティ管理者320に対するカタログに載せることができる。
【0043】
アプリケーション管理と装置管理を分離したことによって、コミュニティ管理者320は、種々のコンピューティング環境206a、206b、…に対する様々なユーザー装置205、207、…、または、様々な具体的アプリケーション113a、113b、…に対処することを要しない。コミュニティ管理者320は、ユーザー、ユーザーの役割、使用されている装置または使用されているコンピューティング環境などの基準に基づいてポリシーを特定(ないし識別)するだけでもよく、それらのポリシーの装置に依存した適用ないし実施のそれぞれの結果及び使用されることになる特定の具体的アプリケーションを、ネットワークシステム100内の他の構成要素(すなわち、ユーザー登録ポータル130及びアプリケーション管理モジュール110)に委ねることができる。
【0044】
別の実施形態は、ユーザー装置205/コンピューティング環境206及び/またはコミュニティ管理者320に安全な暗号化された接続を提供するための暗号化モジュール(不図示)をさらに備えている。コミュニティ管理者320は、適用ないし実施されるポリシーの一部として、ユーザー装置205/コンピューティング環境206に対して所定の暗号化レベルを適用することができ、すなわち、少なくとも1つの所定の暗号化を作動させる。適用ないし実施されるポリシーはさらに、アクティブな(または能動性の)侵入防止手段を配備すること、及び、該装置をコミュニティのために(または該コミュニティの代わりに)コミュニティアプリケーション用にのみ動作させることを含むことができる。
【0045】
別の実施形態では、ユーザー登録ポータル130は、ユーザーを上記の複数のコミュニティに登録するように、及び/または、複数のタイプの装置もしくはコンピューティング環境からユーザーを登録するように構成されている。オプションとして、ユーザー登録ポータル130はさらに、1以上のポリシーが装置/コンピューティング環境に適用ないし実施されることを該装置/コンピューティング環境が確保できる場合にのみ抽象アプリケーション112に対するアクセスを提供するように構成され、そうでなければ、アクセスを拒否するか制限されたアクセスだけを提供するように構成され、この場合、特定の機能はディセーブル(使用不能)にされる(たとえば、特定の情報に対するアクセスもトランザクションも許可されない)。
【0046】
ユーザー登録ポータル130はさらに、・一組のユーザー認証情報(たとえばユーザー名やユーザーの役割などのユーザー識別情報)の発行と、
・該一組のユーザー認証情報の管理と、
・異なる装置/コンピューティング環境のプロファイルの管理と、
・ユーザーの登録(または記録)
のうちの少なくとも1つを提供するように構成された、コンピューティング環境206を管理するためのモジュールを備えることができる。
別の例では、ユーザー認証情報を、コミュニティ管理モジュール120によって管理することができる。
【0047】
ユーザー登録ポータル130を、登録後に、コミュニティ管理者320によって課されるポリシーの下でユーザーによってアクセスされる複数のコミュニティ122の選択(または選択肢。たとえば該複数のコミュニティのリスト)をユーザーに提示するようにさらに構成することができる。したがって、ユーザーは、そのリストから特定のコミュニティ122aを選択して、その特定のコミュニティ122aに加入(または登録)するという点で、ユーザーは、単一の装置205/コンピューティング環境206から1以上のコミュニティ122に加入(または登録)することができる。
【0048】
別の実施形態はネットワークシステム110に関連し、その場合、アプリケーション管理モジュール110とコミュニティ管理モジュール120とユーザー登録ポータル130は、ネットワーク200または別のネットワークによって互いに接続された別々(別個)のコンピューティング装置に実装される。該別のネットワークを、インターネットなどのパブリックネットワークとすることもできるが、セキュリティ保護された特定の閉じたネットワーク環境によって定義することもできる。かかる分離は可能である。なぜなら、本発明のいくつかの実施形態は、それぞれの管理機能及び適用(または実施)機能が異なるモジュールに委ねられるように、それぞれの機能同士を分離し、その場合、それらのモジュールは、異なるオペレーティングシステム及び/または異なるコンピューティング環境でも動作できる(たとえば、それらを空間的に分離することができる)ことを明らかにしているからである。
【0049】
たとえば、アプリケーション管理を提供する機能を、アプリケーション提供者(アプリケーションプロバイダー)の責任に含めることができ、コミュニティ管理の機能を、コンテンツプロバイダーまたは複数の独立のコンテンツプロバイダーの責任に含めることができ、装置管理の機能を、ネットワークシステム100を管理する装置(デバイス)マネージャの責任に含めることができる。それらの異なる管理機能の各々は、独立の分離したやり方で実施され、それぞれの情報もしくはデータもしくはポリシーは、必要に応じてネットワークシステム100の1つの構成要素(またはモジュール)から他の(複数の)構成要素に提供される限りにおいてのみ接続されることになるだろう。一方で、クラウドプラットフォームは、保護された環境を提供する必要がある。すなわち、このデータ及びポリシーを異なる構成要素間で安全に交換できるようにするためにある程度の統合が存在しうる。
【0050】
いくつかの実施形態はさらに、前述したように、具体的アプリケーション113にアクセスするために、及び、装置205に対して1以上のポリシーを適用ないし実施するために、ネットワークシステム100への接続を提供するように構成された装置モジュールを含む装置に関連する。該装置モジュールは、たとえばウェブアプリケーション、ネイティブアプリケーション、仮想マシン、仮想アプライアンス(virtual appliance)、またはファームウェアアプリケーションをサポートするためのアプリケーションコンテナとして(該アプリケーションコンテナなどの)1以上のコンピューティング環境を含むことができもしくは提供することができる。具体的アプリケーションに対するアクセスが許可される前に、コンピューティング環境をロードすることもできる。たとえば、オペレーティングシステムイメージ(Operating System image)または仮想アプライアンスであろうアプリケーションに対してポリシーを適用ないし実施するために、仮想化ソフトウェア環境を必要とする場合がある。オプションとして、アプリケーションに、コミュニティポリシーが確実に適用ないし実施されるようにするためのメカニズムを組み込むこともできる。オプションとして、該装置は、具体的アプリケーションのコンピューティング環境がリモートのコンピューティング装置によって提供されるように、該具体的アプリケーションがこのリモートのコンピューティング装置で実行されるという点で、該具体的アプリケーションだけにリモート(遠隔)からアクセスすることができる。
【0051】
さらに、ユーザーは、複数のコミュニティに同時に登録することができ、適用ないし実施されるポリシーは、それらの複数のコミュニティが互いに独立して動作できることを確実にすることができる(たとえば、十分に安全なコンテナを、異なるコンピューティング環境によって提供しなければならないという点で)。
【0052】
さらに、ネットワークシステムを、オプションとして、複数のコミュニティに対する1以上のポリシーを所与の装置に対して同時に適用(または実施)するように構成することができる。したがって、ユーザーは、異なるコミュニティに同時にまたは順次に加入(または登録)することができ、ネットワークシステム(たとえば登録ポータル)は、複数のコミュニティに対するそれぞれのポリシーの各々が、1以上のコンピューティング環境を有する所与の装置に適切に適用ないし実施されるのを確実にする。該装置がこれを確保できない場合には、ネットワークシステムは、1以上のコミュニティへの加入(または登録)を拒否することができ、または、該装置のアクセスを完全に拒否することができる。
【0053】
別の実施形態では、1以上の上位のコミュニティが1以上の下位のコミュニティを含むことができ、この場合、いくつかの抽象アプリケーションを全ての下位のコミュニティが使用できるようにし、一方、その他のアプリケーションを、1または複数の下位のコミュニティだけに制限することができる。さらに、1以上の抽象アプリケーションを該上位のコミュニティ用に定義ないし規定することができる。たとえば、様々な部署を有するより大きな組織は、それらの様々な部署に関連する様々な下位のコミュニティを有する1つの上位のコミュニティを確立することができ、この場合、下位のコミュニティの各々は、該上位のコミュニティのアプリケーションを介して(または該アプリケーションによって)アクセス可能な独自のアプリケーションを有することができる。
【0054】
図4は、ネットワーク200内のクラウドプラットフォームに関する方法を実施するためのステップの1実施形態を示すフローチャートである。ここで、ユーザー用の1以上のコンピューティング環境206を定義ないし規定する少なくとも1つの装置205がネットワーク200にアクセスできる。この方法は、複数の抽象アプリケーション112にアクセスできるようにすることを含み、この場合、抽象アプリケーション112の各々は、1以上のコンピューティング環境206用に抽象アプリケーション112の実施(または実装)を定義ないし規定する1以上の具体的アプリケーション113に関連付けられている。さらに、該方法は、少なくとも1つのコミュニティ122を管理することを含み、この場合、コミュニティ122の各々は、一組のユーザー認証情報及び一組の抽象アプリケーション112から少なくとも構成されている。該方法はさらに、該コミュニティについて、一組のポリシー、複数の(または一組の)管理プロセス、及び複数の(または一組の)サービスのうちの少なくとも1つを定義ないし規定するステップを含む(これらのポリシー、管理プロセス、及びサービスの下で、ユーザーは抽象アプリケーション112にアクセスできる)。該方法はさらに、装置205からのユーザーの登録をサポートし、及び、該一組のポリシーの適用ないし実施をサポートするために適切なポリシー管理メカニズムを構成(または調整もしくは提供)するステップを含み、該ポリシーの下で、ユーザーは、装置205から具体的アプリケーション113にアクセスすることができる。
【0055】
本発明による方法のいくつかの実施要件に依存して、該方法をハードウェアまたはソフトウェアで実施することができる。この実施を、デジタル記憶媒体、具体的には、電子的に読み取り可能な制御信号を格納しているディスクもしくはCDを用いて行うことができ、この場合、該記憶媒体は、該方法が実行されるように、プログラム可能なコンピューターシステムと協働する。したがって、本発明は、一般に、機械読み取り可能キャリア(または機械読み取り可能な記憶手段)に格納されているプログラムコードを有するコンピュータープログラム製品であり、該プログラムコードは、該コンピュータープログラム製品がコンピューターで実行されると該方法を実行するように動作する。したがって、換言すれば、本発明による方法は、プログラムコードを有するコンピュータープログラムであり、該プログラムコードは、該コンピュータープログラムがコンピューターで実行されると、本発明による方法の少なくとも1つを実行する。
【0056】
図5は、内部メモリ510、通信インターフェース520、プロセッサ530、及び少なくとも1つの入出力装置(I/O)540から構成された上記ハードウェアの1例としてのデジタルコンピュータを示しており、この場合、それらの構成要素はローカルバス550によって接続されている。コンピューティング装置500は、図4に示されている方法のステップを実行するために、ソフトウェアコード部を該コンピュータープログラム製品から該デジタルコンピュータの内部メモリ510に直接ロードするように構成されている。
【0057】
要約すれば、本発明の種々の実施形態は、個々のクライアント装置(及びそれらのシステムソフトウェア)の管理を、どのアプリケーションをどのようなポリシーの下でどのようなユーザーに利用できるようにすべきかの管理から分離するものである。これによって、複数の互いに独立したコミュニティもしくはIT管理者が、−それらのいずれによっても管理されていないユーザー装置に対してであっても−それら自身の(サードパーティによって管理されている場合がある)アプリケーションに対するそれら自身のポリシーをそれぞれが制御すること(したがって、セキュリティ管理を提供すること)が可能になる。
【0058】
アプリケーション及び関連するポリシーを利用できるようになる装置の管理から、それらのアプリケーション及び関連するポリシーの管理を分離することによって、本発明による分離されたクライアント管理は、ポリシーにしたがう適切なタイプの装置に対する適切なアプリケーションバイナリの配置及び構成をシームレスに管理でき、しかも、IT管理者(アプリケーションの所有者)に複雑性を体験させることなく制御ポリシーを維持できるようにするソリューションを設計可能にする。
【0059】
上記の実施形態及び添付の図面は、本発明の主題及びこれに関連する有益な効果を例示するためのものにすぎず、何らかの限定を課すものではない。本明細書、特許請求の範囲、及び図面に開示されている本発明の特徴を、それぞれの特徴とそれらの特徴の任意の組み合わせのいずれにおいても、本発明を具現化したものに関連付けることができる。【国際調査報告】