用于运行时刻用户帐户创建操作的方法.pdfVIP

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(10)申请公布号CN101133421A

(43)申请公布日2008.02.27

(21)申请号CN200680007058.2

(22)申请日2006.03.15

(71)申请人国际商业机器公司

地址美国纽约

(72)发明人希泽尔M.··辛顿伊万M.··米尔曼文卡特·拉格哈万沙恩B.··维登

(74)专利代理机构中国国际贸易促进委员会专利商标事务所

代理人吴丽丽

(51)Int.CI

权利要求说明书说明书幅图

(54)发明名称

用于运行时刻用户帐户创建操作的

方法

(57)摘要

本发明提供了一种支持联盟计算环

境内交互的不同企业的计算机系统的方

法、系统、设备和计算机程序产品。即便

用户在启动单点登录操作前未在联盟伙伴

处建立用户帐户，也可在联盟伙伴的计算

系统处为用户启动联盟单点登录操作。例

如，身份提供方在试图为用户获得对受控

资源的访问时可启动在服务提供方处的单

点登录操作。当服务提供方识别出对于允

许通过身份提供方进行单点登录操作的用

户它不具有链接用户帐户时，服务提供方

创建本地用户帐户。服务提供方也可根据

需要从身份提供方拉取用户属性，以执行

用户帐户创建操作。

法律状态

法律状态公告日法律状态信息法律状态

权利要求说明书

1.一种用于在分布式数据处理系统内管理用户认证的方法，其中，第一和第二系统

在联盟计算环境内进行交互，且支持单点登录操作，以提供对保护资源的访问，所

述方法包括：

代表用户触发单点登录操作，以便获得对第二系统所托管的保护资源的访问，其中，

第二系统需要该用户的用户帐户以便在提供对保护资源的访问之前完成单点登录操

作；

在第二系统处从第一系统接收与用户相关联的标识符；以及

在触发单点登录操作之后，但是当在第二系统处生成对访问保护资源的响应之前，

至少部分地基于与用户相关联的接收的标识符，在第二系统处为该用户创建用户帐

户，其中，所创建的用户帐户代表用户支持第一系统与第二系统之间的单点登录操

作。

2.根据权利要求1的方法，还包括：

在触发单点登录操作之后，在第一系统处为该用户创建别名标识符。

3.根据权利要求1或2的方法，还包括：

从第二系统向第一系统发送消息，以将该用户的认证信息从第一系统拉取到第二系

统，以便在第二系统处为该用户触发单点登录操作。

4.根据前面任何权利要求的方法，还包括：

在第二系统处从第一系统接收消息，以将该用户的认证信息从第一系统推送到第二

系统，以便在第二系统处为用户触发单点登录操作。

5.根据前面任何权利要求的方法，还包括：

响应于在第二系统处确定第二系统不具有用于在第二系统处为用户完成用户帐户创

建的足够用户属性信息，从第二系统向第一系统发送用于检索用户属性信息的请求

消息；以及

在第二系统处，从第一系统接收包含有由第二系统使用以便在第二系统处为用户完

成用户帐户创建的用户属性信息的响应消息。

6.根据权利要求5的方法，还包括：

执行初步用户帐户创建操作，以便在检索该用户的用户属性信息之前开始该用户的

用户帐户的创建；以及

执行最后用户帐户创建操作，以便在检索用户的用户属性信息之后完成用户的用户

帐户的创建。

7.根据权利要求5或6的方法，还包括：

由第一系统从第四系统检索用户属性信息。

8.根据前面任何权利要求的方法，其中，第一系统支持身份提供方，第二系统支持

服务提供方。

9.根据权利要求8的方法，还包括：

在接收与用户相关联的标识符之前，由服务提供方提示用户提供或选择身份提供方

的标识符。

10.根据先前任何权利要求的方法，还包括：

响应于在第二系统处确定第二系统不具有用于在第二系统处为用户完成用户帐户创

建的足够用户属性信息，向第四系统发送用于检索用户属性信息的请求消息；以及

在第二系统处，从第四系统接收包含有由第二系统使用