经由组织对云提供商伙伴关系的多云策略制定转让专利
申请号 : CN201580044861.2
文献号 : CN106575397B
文献日 : 2020-06-12
发明人 : R·斯里坎思 , D·J·阿穆尔 , A·J·桑格维 , J·温特 , J·D·巴拉德 , D·R·内德 , S·帕塔萨拉斯
申请人 : 微软技术许可有限责任公司
摘要 :
一种方法包括用于建立针对实体的订阅的动作。该方法包括在云服务提供商处从实体接收用于建立订阅的请求。该请求包括用于实体的凭证,该凭证不是实体应当用来访问针对组织的服务的、针对与实体相关联的组织的适当的凭证。该方法进一步包括基于检测一个或多个因素以确定实体与组织相关联来执行纠正动作。该方法进一步包括基于纠正动作来提供服务。
权利要求 :
1.一种在云服务提供商系统中建立针对实体的订阅的方法,所述方法包括:在云服务提供商处从所述实体接收用于建立针对与组织相关联的实体的订阅的请求,其中所述组织已经具有订阅,并且其中所述请求包括用于所述实体的凭证,所述凭证不是针对与所述实体相关联的所述组织的适当的凭证,所述适当的凭证包括所述实体应当用来访问针对所述组织的服务的凭证;
基于检测指示所述实体与所述组织相关联的一个或多个因素来执行纠正动作,其中所述纠正动作包括提供可选择的元件,所述可选择的元件在被选择时将所述实体引导至至少可用于输入所述适当的凭证的接口;以及基于所述纠正动作来提供服务。
2.根据权利要求1所述的方法,其中所述纠正动作包括对所述实体的提示,所述提示标识所述组织并且提示提供用于访问针对所述组织的服务的适当的凭证。
3.根据权利要求2所述的方法,其中提示包括提供公告可用于所述组织的服务的广告。
4.根据权利要求2所述的方法,其中提示包括描述使用针对所述组织的凭证的益处。
5.根据权利要求1所述的方法,其中所述纠正动作包括:
对在没有使用所述适当的凭证的情况下由所述实体创建的订阅实施与所述组织相关联的策略。
6.根据权利要求5所述的方法,其中策略是服务的数量和质量;对配置的约束;审计和监测,对共享使能者的访问,所有权。
7.根据权利要求1所述的方法,其中所述纠正动作包括向所述组织报告。
8.根据权利要求1所述的方法,进一步包括检测仍然与所述组织相关联的不适当的凭证。
9.根据权利要求8所述的方法,其中检测不适当的凭证包括以下的一项或多项:检测属于所述组织或与所述组织相关联的信用卡、所述组织的物理地址、与所述组织相关联的一个或多个ip地址、与所述组织相关联的一个或多个电话号码、与所述组织相关联的一个或多个电子邮件地址、或者可用于提供与所述组织相关联的特殊要约的一个或多个邀请码。
10.一种云提供商系统,其中所述云提供商包括:
一个或多个处理器;以及
一个或多个计算机可读硬件存储设备,其中所述一个或多个计算机可读硬件存储设备包括存储的计算机可执行指令,所述计算机可执行指令由所述一个或多个处理器中的至少一个处理器可执行以使得所述一个或多个处理器中的至少一个处理器:在云服务提供商处从实体接收用于建立针对与组织相关联的实体的订阅的请求,其中所述组织已经具有订阅,并且其中所述请求包括用于所述实体的凭证,所述凭证不是针对与所述实体相关联的所述组织的适当的凭证,所述适当的凭证包括所述实体应当用来访问针对所述组织的服务的凭证;
基于检测指示所述实体与所述组织相关联的一个或多个因素来执行纠正动作,其中所述纠正动作包括提供可选择的元件,所述可选择的元件在被选择时将所述实体引导至至少可用于输入所述适当的凭证的接口;以及基于所述纠正动作来提供服务。
11.根据权利要求10所述的系统,其中所述纠正动作包括对所述实体的提示,所述提示标识所述组织并且提示提供用于访问针对所述组织的服务的适当的凭证。
12.根据权利要求11所述的系统,其中提示包括提供公告可用于所述组织的服务的广告。
13.根据权利要求11所述的系统,其中提示包括描述使用针对所述组织的凭证的益处。
14.根据权利要求10所述的系统,其中所述纠正动作包括:
对在没有使用所述适当的凭证的情况下由所述实体创建的订阅实施与所述组织相关联的策略。
15.根据权利要求10所述的系统,其中所述纠正动作包括向所述组织报告。
16.根据权利要求10所述的系统,进一步包括检测仍然与所述组织相关联的不适当的凭证。
17.根据权利要求16所述的系统,其中检测不适当的凭证包括以下的一项或多项:检测属于所述组织或与所述组织相关联的信用卡、所述组织的物理地址、与所述组织相关联的一个或多个ip地址、与所述组织相关联的一个或多个电话号码、与所述组织相关联的一个或多个电子邮件地址、或者可用于提供与所述组织相关联的特殊要约的一个或多个邀请码。
18.一种计算机系统,包括:
一个或多个处理器;以及
一个或多个计算机可读硬件存储设备,具有存储于其上的计算机可执行指令,所述计算机可执行指令由所述一个或多个处理器可执行以使得所述计算机系统建立针对实体的订阅,所述建立通过使得所述计算机系统:从所述实体接收用于建立所述订阅的请求,其中所述请求包括针对所述实体的凭证,所述凭证不是所述实体应当用来访问针对与所述实体相关联的组织的服务的、针对所述组织的适当的凭证;
基于从所述实体获得的信息,确定所述实体是否足够可能与所述组织相关联;
响应于所述实体足够可能与所述组织相关联的确定,执行纠正动作,其中所述纠正动作包括提供可选择的元件,所述可选择的元件在被选择时将所述实体引导至至少可用于输入所述适当的凭证的接口;
在所述实体足够可能与所述组织相关联的所述确定之后并且在执行所述纠正动作之后,标识与所述组织相关联的一个或多个策略;以及向所述实体提供服务,其中所述服务根据所标识的与所述组织相关联的所述一个或多个策略而被控制。
19.根据权利要求18所述的计算机系统,其中与所述组织相关联的所述一个或多个策略使得所述计算机系统:使用防火墙以阻挡去往与所述组织不具有伙伴关系的云服务提供商的流量。
20.根据权利要求18所述的计算机系统,其中独特的资源被分配给所述实体,使得向所述实体提供的所述服务由所述独特的资源来提供。
说明书 :
经由组织对云提供商伙伴关系的多云策略制定
背景技术
[0001] 公司通常具有IT部门以管理公司的各种需要。例如,IT部门可以管理面向内部的服务,诸如员工计算机系统和内部公司系统。IT部门还可以管理各种面向外部的服务器和系统,其被配置为与公司客户交互。
[0002] 公司内的一些个人可能将IT看作瓶颈,并且因此可能执行避开IT的动作。这些动作常常被称为“影子IT”。例如,公司内的个人可以创建或提供其自身的面向内部和外部的IT方案,但是不向公司IT通知这些方案。公司IT因此不能够管理该方案。
[0003] 例如,存在以下情况的历史证据,其中影子IT可能已经涉及在IT不知道服务器的情况下各员工将这些服务器藏在其桌子下面并且提供来自这些服务器的面向内部和外部的服务二者。如今,随着所谓的基于“云”的服务的流行,对于个人而言在IT控制外订阅云服务并且提供不由公司的IT控制的面向内部和外部的服务更加简单。这导致公司中的不同的个人使用不同的云服务来提供各种资源。
[0004] 如可能想象到的,影子IT可以对公司产生严重的财务成本和潜在风险。特别地,影子IT可能使用公司资源而被购买、可能将自身表示为公司提供的,但是可能没有应用足够的安全性或策略,其可能使公司服从潜在责任。
[0005] 所导致的结果是,公司已经尝试通过允许公司处的单个实体使用不同的云服务、但是通过将IT用作中间人来将IT注入回等式中。特别地,IT可以向用户提供通用入口来允许用户请求云服务,但是最终IT负责请求服务以确保它们符合公司策略。然而,这仅仅将IT瓶颈放回到系统中。此外,IT可能不能够保持添加和/或支持云提供商不断地添加的新特征,使得其入口过时并且不太吸引其内部用户。
[0006] 本文所要求保护的主题不限于解决任何缺点的实施例或仅在诸如以上描述的那些环境中操作的实施例。更确切地,该背景仅被提供为示出其中可以实践本文所描述的一些实施例的一项示例性技术。
发明内容
[0007] 本文所示的一个实施例包括可以被实践在云服务提供商系统中的方法。该方法包括用于建立针对实体的订阅的动作。该方法包括在云服务提供商处从实体接收用于建立订阅的请求。该请求包括用于实体的凭证,其不是实体应当用来访问针对组织的服务的、针对与实体相关联的组织的适当的凭证。该方法进一步包括基于检测一个或多个因素以确定实体与组织相关联来执行纠正动作。该方法进一步包括基于纠正动作来提供服务。
[0008] 本文所示的另一实施例包括可以被实践在云提供商服务环境中的方法。该方法包括用于基于实体与特定组织相关联来控制向该实体提供的服务的动作。该方法包括在云服务提供商处接收针对由提供商所提供的服务的请求。该方法进一步包括标识实体与特定组织相关联。基于实体与特定组织相关联,该方法进一步包括查询关于应用到实体的针对特定组织的策略的管理服务。该方法进一步包括向实体应用策略。
[0009] 提供本发明内容从而以简化的形式介绍下面在具体实施方式中进一步描述的概念的选集。本发明内容不旨在标识要求保护的主题的关键特征或必要特征,也不旨在用作在确定要求保护的主题的范围中的辅助。
[0010] 附加的特征和优点将被阐述在随后的描述中,并且部分将从描述显而易见,或者可以通过本文中的教导的实践来习得。本发明的特征和优点可以借助于在所附权利要求中特别指出的装置和组合来实现和获得。本发明的特征将从下面的描述和所附权利要求变得更完全地显而易见,或者可以通过如在后文中阐述的本发明的实践来习得。
附图说明
[0011] 为了描述能够获得以上所述的和其他的优点和特征的方式,将通过参考附图中图示的特定实施例来呈现以上简要描述的主题的更具体的描述。在理解这些附图仅仅描绘典型实施例并且因此不被认为是在范围上的限制的情况下,将通过使用附图利用附加的特异性和细节来描述并解释实施例,在附图中:
[0012] 图1图示了与访问各种云服务提供商的组织相关联的实体;
[0013] 图2图示了建立针对实体的订阅的方法;以及
[0014] 图3图示了基于实体与特定组织相关联来控制向实体提供的服务的方法。
具体实施方式
[0015] 本文所示的一些实施例可以包括用于缓解关于影子IT的问题的功能。特别地,实施例允许组织(例如,公司)内的实体直接与各种云服务交互。然而,云服务可以实现检测实体与组织相关联的功能。这可以基于实体利用组织凭证登录来完成。备选地,这可以通过检查交互的各种特点(诸如用于交互的网络、用于建立账户的电子邮件域名、用于支付订阅的信用卡、用于订阅的账单地址、用于订阅的电话号码等)来完成。一旦实体被标识为与组织相关联,则云服务可以与管理服务交互以确定应用到实体的针对组织的策略并且可以确保适当的策略被应用。
[0016] 在备选实施例中,云服务提供商可以检测到与组织相关联的实体正尝试订阅云服务提供商处的云服务。然而,云服务提供商可以检测到实体正尝试在不使用针对组织的适当的凭证的情况下请求服务。云服务提供商可以然后基于该确定来执行纠正动作。进一步地,云服务提供商可以根据由针对实体的组织所指定的策略提供服务。一些纠正服务可以包括提示实体使用适当的组织凭证来请求服务、将组织策略应用到由实体订阅的服务、将实体报告给组织等。
[0017] 各种特征和益处可以由本发明的各种不同的实施例实现。例如,一些实施例可以允许组织设定该组织想要其成员在使用基于云的服务时遵循的策略。一些实施例可以允许组织分发该组织想要其成员在使用基于云的服务时使用的内容。一些实施例可以允许组织与云提供商创建伙伴关系。一些实施例可以使用伙伴关系以在该组织的成员使用云提供商的服务时制定组织策略。一些实施例可以允许伙伴关系以在该组织的成员使用云提供商的服务时使得其授权内容对于其成员可用。一些实施例可以允许监测、审计和跟踪其成员如何使用云提供商的服务以确保策略正被遵循。一些实施例可以允许组织的成员使用云提供商的本地用户体验来与云提供商的服务交互,同时遵循该组织的策略并使用该组织的内容。一些实施例可以提供发现可能正在使用非组织身份的组织成员的方式。一些实施例可以提供组织用以取得账户的所有权的方式,该账户初始地在没有组织的身份的情况下已经被创建。在一些这样的实施例中,属于IT的管理员账户或共同管理员账户可以被添加到在不使用组织的身份的情况下由员工创建的服务上。一些实施例可以允许组织与多个云提供商创建伙伴关系。一些实施例可以允许组织定义策略一次,但是使其应用到云提供商伙伴关系组。一些实施例可以允许组织创建内容一次,但是使其在所有云提供商伙伴关系内可用。
[0018] 现在图示细节。
[0019] 现在参考图1,图示了示例。在图1中所图示的示例中,组织102已经使其与若干实体104-1、104-2、104-3到104-n相关联。实体可能希望访问若干不同的云服务提供商106-1、106-2、106-3到106-m。然而,组织102可能希望某些策略在服务从提供商106被提供给实体
104时实施。为了支持这一点,组织102可以与提供商106建立关系以使得提供商106在提供服务之前验证策略。在所图示的示例中,这可以通过使用管理服务108来完成。
104时实施。为了支持这一点,组织102可以与提供商106建立关系以使得提供商106在提供服务之前验证策略。在所图示的示例中,这可以通过使用管理服务108来完成。
[0020] 管理服务108支持服务提供商的发现。这帮助IT容易定位愿意参与伙伴关系的服务提供商。当伙伴关系被创建时,在管理服务108内对它们进行注册和跟踪。
[0021] 组织102可以决定阻挡去往不具有伙伴关系或不愿意与组织形成伙伴关系的任何云服务提供商106的流量。例如,这可以在客户端和/或组织网络上使用防火墙规则来完成。因此,即使流氓订阅利用流氓提供商而被创建,其使用被阻止在组织网络或组织管理机器以外。
[0022] 在管理服务108内,针对组织的IT可以定义资源,该资源唯一地可用于在参与的提供商处的相关联的实体。例如,这些资源可以是物理资产。示例是IT创建黄金OS镜像。管理服务108确保该OS镜像文件被复制到所有参与的伙伴服务提供商,使得当员工访问参与的服务提供商时,他们能够使用(或在一些实施例中,被强迫使用)企业批准的OS镜像。
[0023] 在另一示例中,实施例可以提供逻辑映射。其示例是全球私有企业网络。在每个参与的服务提供商处利用每个提供商的唯一网络设置来创建网络资源。然后,这些网络实例中的每个网络实例被映射为针对组织102的全球私有企业网络的参与端点。逻辑映射的另一示例可以是以下情况,其中提供商的OS镜像等价于所批准的企业OS镜像,因此取代于复制文件,IT人员将企业镜像映射到提供商的镜像。
[0024] 管理服务108提供有来自组织104的策略约束。在一些实施例中,这可以作为管理服务108是组织102的一部分的结果。在其他实施例中,管理服务可以是第三方服务提供商,其能够通过组织向管理服务108提供策略来管理针对各种组织的策略。
[0025] 策略考虑的一个示例可以与身份和授权有关。针对组织102的IT应当能够定义他们的员工并且定义在他们的域内其被授权进行什么。当员工使用组织外的服务提供商时,尊重企业域中定义的策略。另一策略考虑可以与IT服务管理有关:IT将定义策略,包括:批准、变更管理、发布管理、事件管理、资产管理等。这些策略由参与的服务提供商实现和实施。下面示出了附加策略细节。
[0026] 在所示的示例中,实体(例如,实体104-1)将请求来自云服务提供商(例如,提供商106-1)的服务。例如,这样的服务可以是由虚拟机提供的计算、网络或存储等。云服务提供商106-1可以确定实体104-1与组织102相关联。这可以以若干不同的方式来完成。例如,在一些实施例中,用户可以尝试使用由组织102提供用于与云服务提供商106-1一起使用的凭证。在这种情况下,标识实体104-1与组织102相关联是无关紧要的。
[0027] 然而,在其他实施例中,出于访问来自助提供商106-1的服务的目的,实体104-1可能正尝试在不使用由组织所提供的凭证的情况下访问来自助提供商106-1的服务。这可能被秘密地完成,因为实体104-1不想要组织知道其正尝试访问资源。备选地,可能不存在欺骗动机,而更确切地说教育的缺失或错误可能是针对不使用组织提供的凭证的原因。然而,云服务提供商106-1可以能够确定实体104-1与组织102相关联。特别地,实施例可以能够标识交互的某些特点来订阅服务,这些特点可以被用于推断交互来源于与组织相关联的实体。例如,实体可以在签名期间提供与组织对应的物理地址。备选地或者附加地,交互中使用的网络和/或IP地址可以对应于组织。备选地或者附加地,用于完成交互的信用卡可以对应于组织。备选地或者附加地,电子邮件地址域可以对应于组织。备选地或者附加地,用于发起交互的访问码可以是由组织提供或与组织相关联的那些访问码(例如,特殊要约连同对应于组织的访问码可以被提供给实体)等。
[0028] 可以存在被执行的两步过程。首先,当提供商106-1怀疑实体104-1与组织102相关联时,存在被实现的策略集。例如,如果用来针对订阅签名的信用卡属于组织,则提供商106-1可以拒绝订阅的创建,除非并且直到真实的组织凭证被呈现。第二步涉及确认实体
104-1与组织102相关联,诸如通过在提示之后最终接收组织提供的凭证,并且现在实施如下面所描述的其他策略。
104-1与组织102相关联,诸如通过在提示之后最终接收组织提供的凭证,并且现在实施如下面所描述的其他策略。
[0029] 一旦云服务提供商106-1确定实体104-1与组织102相关联,云服务提供商106-1可以通过发送消息110与管理服务器108协商,消息110请求用于实现如由实体104-1请求的订阅的许可。管理服务108可以发送消息112,其允许或拒绝云服务提供商将兑现的请求。
[0030] 此外,一旦已经建立订阅,则云服务提供商106-1可以与管理服务108协商以标识适当的策略并且确保适当的策略在由订阅实行的服务的交付中被遵循。这样的策略可以采取若干不同的形式。
[0031] 例如,实施例可以具有涉及服务的数量和/或质量的策略,该服务可以由针对作为组织102的一部分的实体104-1的云服务提供商106-1提供。
[0032] 在另一示例中,实施例可以具有涉及对配置的约束的策略,该配置由针对作为组织102的一部分的实体104-1的云服务提供商106-1提供。例如,这样的约束可以涉及对以下项的限制:可以使用什么磁盘、要连接到什么网络、在防火墙上开放什么端口、是否可以向组织外的任何他人给予关于订阅的账户、可以使用的网络资源的数量、可以使用的计算资源的数量(包括处理器的数目、存储器的数量、处理操作的数量等)、可以使用的存储资源的数量等。
[0033] 在另一示例中,实施例可以具有涉及由针对作为组织102的一部分的实体104-1的云服务提供商106-1提供的审计和监测的策略。
[0034] 在另一示例中,实施例可以具有涉及提供对共享使能者的访问的策略,该共享使能者由针对作为组织102的一部分的实体104-1的云提供商106-1提供。这样的使能者可以是例如模板、磁盘、镜像(诸如黄金磁盘)、表格、内容、联网、支持等。
[0035] 在另一示例中,实施例可以具有涉及控制所有权的策略。特别地,实施例可以确保如果实体104-1变得不再与组织102相关联,订阅的该所有权仍然属于组织102。
[0036] 本文所描述的一些实施例可以包括用于当可以确定实体可能与组织相关联但是正使用凭证尝试创建订阅时执行纠正动作的功能,该凭证不是针对与组织相关联的实体的期望的凭证。例如,组织102可以具有某些账户标识符(诸如用户名)、或在与组织102相关联的实体104尝试创建关于云服务提供商(诸如云服务提供商106之一)的订阅时通常呈现的其他凭证。云服务提供商(例如,106-1)可以包括用于检测实体(例如,104-1)与组织102相关联但是没有正在使用针对组织102的期望的凭证的功能。作为结果,云服务提供商106-1可以执行一些纠正动作。例如,这样的纠正动作可以包括提示实体104-1使用期望的凭证、对所创建的任何订阅实施针对组织102的策略和/或将实体104-1报告给组织102。可以附加地或者备选地执行其他纠正动作。现在将更详细地讨论以上纠正动作。
[0037] 如所指出的,可以由云服务提供商106-1执行的纠正动作之一是提示实体104-1使用期望凭证。例如,服务提供商106-1可以简单地提供引导用户使用期望的凭证的用户接口元件。用户接口元件可以提供建议。在一些实施例中,用户接口元件可以向实体104-1标识使用期望的凭证的益处。这样的益处可以包括可用于组织的数量折扣、可用于组织的资源(诸如模板、网络资源、计算资源、存储资源、黄金磁盘等)。一些实施例可以通过使用广告来提供提示。备选地或者附加地,一些实施例可以提供链接(诸如超链接或链接用户接口元件的其他链接)以将实体的导航引导到用于使用期望的凭证的适当的入口或接口。备选地,可以显示关于不提供组织凭证的后果的通知。例如,可以显示指示员工正违反策略、可能被终止、报告给管理、可能采取处分动作的通知,和/或一些其他适当的通知。
[0038] 备选或者附加的纠正动作可以是对由实体104-1创建的任何订阅实施组织策略,无论该订阅是否最终使用期望的组织凭证被创建、或者当能够毫无疑问地确定该订阅正代表组织而被创建时该订阅然而最终未使用期望的组织凭证被创建。因此,在一些实施例中,实体将被允许使用由实体选择的而非由组织102识别的凭证创建对云服务提供商的订阅,以供在订阅云服务提供商处的服务中使用,但是其中通过实体对订阅实施针对组织102的策略。
[0039] 各种服务可以被提供给组织102。例如,实施例可以提供成本跟踪和估计。针对组织102的IT得到成本和成本估计的、跨越所有服务提供商的中心视图,这允许针对组织102的IT更好地管理其针对云服务的预算。实施例可以提供使用跟踪。针对组织102的IT得到组织102的员工正如何使用来自参与的提供商的资源的中心视图。这帮助针对组织102的IT标识哪些资源更受欢迎并且哪些实体使用/不使用由它们创建或向它们分配的资源。实施例可以提供服务水平协议(SLA)监测。针对组织102的IT得到关于服务提供商正在其承诺的针对正常运行时间、可用性、事件方案等SLA上多么好地交付的中心视图。实施例可以提供风险评估。针对组织102的IT基于实际使用与定义策略的比较来得到对风险的评估。实施例可以提供合规报告。针对组织102的IT能够跨越所有其云使用来创建IT合规报告。
[0040] 云服务提供商106执行各种动作以支持本文所示的功能。例如,订阅将与关于组织102的伙伴关系相关联。实施例包括定义云服务提供商106用以实现处理订阅生命周期通知事件的接口的API。实施例可以包括云服务提供商用以处理伙伴关系的生命周期的接口。云服务提供商能够参与到伙伴关系生命周期中,包括定义伙伴关系和其配置以及针对其资源的策略的语义。
[0041] 当管理员载入新云服务提供商时,其可以选择使得云服务提供商能够兑现伙伴关系并且在适用时提供任何云提供商配置。这可以是按计划的。例如,在一些实施例中,这可以仅针对高端企业订阅来实现。
[0042] 实施例可以包括用于载入新IT伙伴关系的功能。当管理员载入新组织/企业客户时,其可以实现与云平台及其各种云服务提供商的IT伙伴关系的自助配置。新IT管理员使用该自助体验(或API)以利用该新的云来注册其逻辑组织资产和策略。可以注册各种资产和策略。以下示出了各种示例。
[0043] 实施例可以注册身份和访问管理。例如,一些实施例可以向从华盛顿雷德蒙德的微软公司可获得的Windows Azure Active Directory(WAAD)注册身份。云平台可以针对身份(针对单个签约)以及针对授权和基于角色的访问控制(RBAC)策略来与WAAD结盟。在WAAD示例中,每当创建、读取、更新和删除(CRUD)操作针对伙伴关系、它们管理的订阅或订阅下的资源而被执行时,红狗前端(RDFE)将向利用其注册的每个服务提供商传递代表要求。云服务提供商可以定义对于该资源有意义的一组应用角色。实施例可以被实现在以下情况下,其中平台定义所有云服务提供商兑现的一些应用角色简档,因此系统不是太孤立。新IT管理员可以选择哪些用户或者应当被分配哪些应用角色。
[0044] 实施例可以注册组织库。云服务提供商可以允许具有IT内容的新IT库的创建,由该伙伴关系管理的订阅的所有自助用户能够看到和使用该IT内容。例如,实施例可以具有包括运行说明书或VM模板的库。如果先前已经在不同的云服务提供商处针对该组织创建了库,则IT策略复制特征可以允许同步到来自该云服务提供商的该库。
[0045] 实施例可以注册组织网络。云服务提供商可以允许创建由该伙伴关系管理的所有订阅能够看到新组织级网络,连同组织范围的IP地址空间、DNS服务器、站点到站点网关路由/ACL等。IT管理员还可以载入与以上库场景类似的先前组织网络定义。
[0046] 实施例可以注册IT服务管理工具。新IT可以具有向事件、变更或请求管理工具的SaaS(软件即服务)订阅。云服务提供商可以将这些分组到可以适合于自助用户在该组织中使用的用户体验中。针对该云服务提供商的配置(例如,表示具有该SaaS版本的组织账户的SaaS端点可以在新伙伴关系的载入期间被配置)。
[0047] 实施例可以注册组织的大数据存储账户池。一组云存储账户可以由针对组织102的IT获得,以用于跨多个云、跨其管理的所有订阅将与资源的使用有关的所有大数据聚集成池。实施例提供平台部件(例如,作为云服务提供商或在平台中),该平台部件可以从云服务提供商的视角帮助该云中的其他云服务提供商分批上载或向上流入关于资源的实时管理数据。这将使得管理工具能够向组织的中心IT提供这些云资产的监测、合规、拒付和分析。
[0048] 实施例可以注册发现和目标确定。伙伴能够标识可能属于组织和目标通知(“广告”)的账户以鼓励用户注册其利用组织的订阅。可能账户的该发现可以基于账单信息(企业信用卡或企业账单电子邮件)或源IP地址或与企业账户共享的所有权或某种其他方法,诸如先前所示的那些方法或其他适当的方法。
[0049] 以下现在示出关于将现有订阅与IT伙伴关系相关联的细节。当针对组织102的中心IT获得新订阅时,其利用云与其伙伴关系相关联。当实体去往主机入口以获得新订阅时,可以利用它们的组织凭证针对单次签约来向它们进行提示(在归属域发现之后)。如果伙伴关系已经由该企业IT部门(其拥有域的身份提供商)创建,则该订阅自动地被带入到由管理服务108提供的管理中。因为伙伴关系概念存在于订阅的层之下的层,因此模型允许针对组织102的IT将之前利用影子IT创建的订阅带到正式管理之下。当前端(诸如RDFE)将呼叫路由到云服务提供商时,其还以对应的伙伴关系ID(如果存在)通过,因此总是将关于该资源的操作(ops)数据与伙伴关系的操作数据联结。
[0050] 由于云服务提供商是可扩展的,因此该模型可以扩展为新种类的资源。还可以通过在其上使代理层代表其实现伙伴关系支持在稍后的时间处添加针对其他云的支持。
[0051] 一旦建立伙伴关系,则其允许针对组织102的IT以感兴趣的方式闭合监测-配置反馈环路。能够参与的不仅是服务提供商而且甚至是客户内(in-guest)代理。例如,人们可以使用像从微软公司可获得的期望状态配置(DSC)的客户内配置合规性评估系统,以收集配置数据并将配置数据推到云、在其上运行合规性规则并且使用像虚拟机管理器或网关云服务提供商的控制系统来实施合规性。例如,实施例可以能够通过设定各种配置设置来隔离虚拟机。
[0052] 以下讨论现在参考可以执行的若干方法和方法动作。尽管方法动作可能以某个顺序被讨论或被图示在以特定顺序发生的流程图中,但是除非因为正被执行的动作依赖于在该动作之前完成的另一动作而具体地陈述或要求,否则不要求特定排序。
[0053] 现在参考图2,图示了方法200。方法200可以被实践在云服务提供商系统中。方法200包括用于建立针对实体的订阅的动作。方法200包括在云服务提供商处从实体接收用于建立订阅的实体的请求,其中该请求包括用于实体的凭证,该凭证不是实体应当用来访问针对组织的服务的、针对与实体相关联的组织的适当的凭证(动作202)。例如,实体104-1可以向云服务提供商106-1提供凭证,该凭证不是通常将被用于向云服务提供商106-1订阅的、针对组织102的适当的凭证。
[0054] 方法200进一步包括基于检测一个或多个因素以确定实体与组织相关联来执行纠正动作(动作204)。在以下非穷尽的示例中更详细地描述了各种纠正动作。
[0055] 方法200进一步包括基于纠正动作来提供服务(动作206)。以下示出各种非穷尽的示例。
[0056] 方法200可以被实践在以下情况下,其中纠正动作包括对所述实体的提示,该提示标识组织并且提示提供用于访问针对组织的服务的适当的凭证。在一个实施例中,提示包括提供公告可用于该组织的服务的广告。备选地或者附加地,提示可以包括描述使用针对该组织的凭证的益处。这样的益处可以是例如更便宜的成本、资源(诸如模板、网络、支持、策略等)的可用性。
[0057] 备选地或者附加地,方法200可以被实践在以下情况下,其中纠正动作包括对实体的具有警告的提示。例如,可以显示关于不提供组织凭证的后果的通知。例如,可以显示指示员工正违反策略、可能被终止、报告给管理、可能采取处分动作的通知,和/或一些其他适当的通知。
[0058] 方法200可以被实践在以下情况下,其中纠正动作包括应用针对组织的策略,诸如限制性使用和管理。这样的策略可以包括例如以下的一项或多项:服务的数量和/或质量;对配置的约束;审计和监测对共享使能者的访问、所有权等。
[0059] 方法200可以被实践在以下情况下,其中纠正动作包括向组织报告。例如,尝试创建影子IP的实体可以被报告给组织102。组织102可以然后应用组织视为适当的任何纠正动作。在一些实施例中,纠正动作可以要求组织102中的管理者或其他人的批准。
[0060] 200可以进一步包括检测仍然与组织相关联的不适当的凭证。例如,检测不适当的凭证可以包括检测属于组织或与组织相关联的信用卡、组织的物理地址、与组织相关联的一个或多个ip地址、与组织相关联的一个或多个电话号码、与组织相关联的一个或多个电子邮件地址、与组织相关联的一个或多个邀请码等。
[0061] 现在参考图3,图示了方法300。方法300可以被实践在云提供商服务环境中。方法300包括用于基于实体与特定组织相关联来控制向该实体提供的服务的动作。方法包括在云服务提供商处接收针对由提供商提供的服务的请求(动作302)。
[0062] 方法300进一步包括标识实体与特定组织相关联(动作304)。;
[0063] 基于实体与特定组织相关联,方法300进一步包括查询关于应用到实体的针对特定组织的策略的管理服务(动作306)。
[0064] 方法300进一步包括向实体应用策略(动作308)。在一些实施例中,管理服务是不由组织或云提供商提供的第三方服务。然而,在其他实施例中,管理服务是组织的一部分。
[0065] 另外,方法可以由包括一个或多个处理器和诸如计算机存储器的计算机可读介质的计算机系统实践。特别地,计算机存储器可以存储计算机可执行指令,该计算机可执行指令当由一个或多个处理器执行时使各种功能(诸如实施例中记载的动作)被执行。
[0066] 如下面更详细地讨论的,本发明的实施例可以包括或利用包括计算机硬件的专用计算机或通用计算机。本发明的范围内的实施例还包括用于承载或存储计算机可执行指令和/或数据结构的物理介质和其他计算机可读介质。这样的计算机可读介质可以是能够由通用计算机系统或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。承载计算机可执行指令的计算机可读介质是传输介质。因此,通过举例而非限制性的方式,本发明的实施例可以包括至少两种截然不同的种类的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
[0067] 物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储装置(诸如CD、DVD等)、磁盘存储装置或其他磁性存储设备、或能够被用于存储以计算机可执行指令或数据结构的形式的期望程序代码单元并且能够由通用计算机或专用计算机访问的任何其他介质。
[0068] “网络”被定义为实现在计算机系统和/或模块和/或其他电子设备之间的电子数据的传输的一个或多个数据链路。当通过网络或另外的通信连接(硬接线的、无线的或硬接线或无线的组合)将信息传输或提供到计算机时,计算机将连接恰当地视为传输介质。传输介质可以包括能够被用于承载以计算机可执行指令或数据结构的形式的期望程序代码单元并且能够由通用计算机或专用计算机访问的网络和/或数据链路。以上的组合也被包括在计算机可读介质的范围内。
[0069] 另外,在到达各种计算机系统部件时,以计算机可执行指令或数据结构的形式的程序代码单元能够自动地从传输计算机可读介质被传输到物理计算机可读存储介质(或者反之亦然)。例如,通过网络或数据链路接收到的计算机可执行指令或数据结构能够被缓冲在网络接口模块(例如,“NIC”)内的RAM中,并且之后最终被传输到计算机系统RAM和/或被传输到在计算机系统处的较不易失性计算机可读物理存储介质。因此,计算机可读物理存储介质能够被包括在也(或甚至主要)利用传输介质的计算机系统部件中。
[0070] 计算机可执行指令包括例如使通用计算机、专用计算机、或用于执行特定功能或功能组的专用处理设备的指令和数据。计算机可执行指令可以例如为二进制、诸如汇编语言的中间格式指令、或甚至源代码。尽管已经以特定于结构特征和/或方法动作的语言描述了本主题,但是应理解在权利要求中限定的主题不必限于所描述的特征或以上描述的动作。更确切地,所描述的特征和动作被公开为实现权利要求的示例形式。
[0071] 本领域技术人员将认识到可以在具有许多类型的计算机系统配置的网络计算环境中实践本发明,许多类型的计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器的或可编程的消费者电子设备、网络PC、微型计算机、大型计算机、移动手机、PDA、寻呼机、路由器、交换机等。还可以在分布式系统环境中实践本发明,在分布式系统环境中通过网络(通过硬接线数据链路、无线数据链路、或通过硬接线数据链路和无线数据链路的组合)链接的本地计算机系统和远程计算机系统两者都执行任务。在分布式系统环境中,程序模块可以被定位在本地存储器存储设备和远程存储器存储设备两者中。
[0072] 备选地或附加地,本文描述的功能能够至少部分地由一个或多个硬件逻辑组件来执行。例如但不限于,能够使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。
[0073] 本发明可以在不背离其精神或特性的情况下以其他具体形式来体现。所描述的实施例应在所有方面将仅被认为是说明性的而非限制性的。因此,本发明的范围由所附权利要求而非由前述描述指示。在权利要求的等价性的意义和范围内出现的所有改变将被包含在它们的范围内。