用于身份联邦配置的设置的方法和装置的制作方法

专利名称：用于身份联邦配置的设置的方法和装置的制作方法
技术领域：
本发明涉及跨计算系统的身份联邦配置。
背景技术：
身份联邦(Identity Federation)用于管理身份和跨计算系统的资源的访问权限。跨计算系统的资源的访问的典型例子，是云服务的应用。随着云服务的流行，越来越多的客户(例如企业)订购云服务来满足业务需要。身份联邦使用户能无缝地跨域访问应用，为企业提供一种用企业内的账户访问云服务的各种应用的途径。为了无缝地与云服务交互，企业需要身份联邦。企业内部和云服务两端设置身份联邦的工作，是由企业内部的系统管理员(客户机管理员)完成的。由于云服务的服务商都在专有环境下提供云服务，采用专有的数据格式，企业端的身份联邦配置和云服务端的身份联邦配置可能采用不同的标准，企业端的用户界面和云服务用户界面的风格、数据格式可能完全不同，因此，系统管理员不但需要熟悉企业端的身份联邦配置标准和用户界面，而且需要熟悉云服务端的身份联邦配置标准和用户界面；并且，企业端的身份联邦配置和云服务端的身份联邦配置经常存在大量内容重复的数据，这为系统管理员带来不必要的工作量。

发明内容
本发明的目的之一，是在身份联邦配置的设置期，为建立了信任关系的两个计算系统集中地进行身份联邦配置的设置，在保证两个计算系统的身份联邦配置的一致性的同时，减少需要系统管理员设置的身份联邦参数的数量。一方面，提供一种用于设置身份联邦配置的方法，包含:获取第一计算系统的第一身份联邦配置属性集合和第二计算系统的第二身份联邦配置属性集合；在第一和第二身份联邦配置属性集合中识别一个或多个关联属性对，其中，每个关联属性对包含第一身份联邦配置属性集合中的一个属性和第二身份联邦配置属性集合中的一个属性；在统一用户界面上显示第一和第二联邦配置属性集合中需要人工设置的属性，其中，需要人工设置的属性不包含任何关联属性对中的其值可以从另一个属性的值导出的属性；对其值可以从另一个属性的值导出的属性进行自动赋值；向第一和第二计算系统分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。另一方面，提供一种用于设置身份联邦配置的装置，包含:获取模块，被配置以获取第一计算系统的第一身份联邦配置属性集合和第二计算系统的第二身份联邦配置属性集合；关联模块，被配置以在第一和第二身份联邦配置属性集合中识别一个或多个关联属性对，其中，每个关联属性对包含第一身份联邦配置属性集合中的一个属性和第二身份联邦配置属性集合中的一个属性；用户交互模块，被配置以在统一用户界面上显示第一和第二联邦配置属性集合中需要人工设置的属性，其中，需要人工设置的属性不包含任何关联属性对中的其值可以从另一个属性的值导出的属性；交叉赋值模块，被配置以对其值可以从另一个属性的值导出的属性进行自动赋值；配置适配器，被配置以向第一和第二计算系统分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。


结合附图并参考以下详细说明，本发明各实施方式的特征、优点及其他方面将变得更加明显，在此以示例性而非限制性的方式示出了本发明的若干实施方式。在附图中:图1A-1C示出了适于用来实现本发明实施方式的示例性计算系统的框图；图2A和2B例示为不同计算系统设置身份联邦配置的现有技术的方式；图3A示意性表示按照本发明一个实施例的方法的流程图；图3B示例性表示两个不同计算系统的部分身份配置属性；图4示意性表示按照本发明一个实施例的装置的框图。
具体实施例方式附图中的流程图和框图，图示了按照本发明各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为备选的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依据所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。下面将参考若干示例性实施方式来描述本发明的原理和精神。应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。参看图1A-1C,其中，图1A示意性表示一例云计算节点；图1B示意性表示一例云计算环境；图1C示意性表示一例云计算环境的抽象模型层。首先应当明白，尽管本公开包括关于云计算的详细描述，本公开所记载的技术方案的实现却不限于云计算环境。本发明的实施例能够结合现在已知的或以后开发的任何其它类型的计算环境而实现。云计算是一种服务交付模型，用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源例如是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务，是以最小的管理成本或者最少的与服务提供者的交互就能快速提供和释放的资源。这种云模型可以包括至少五个特征，至少三个服务模型和至少四个部署模型。特征如下:按需自助式服务:云消费者能单方面自动地按需提供计算能力，诸如服务器时间和网络存储，而无需与服务提供者进行人工交互。广泛的网络接入:云计算能力可在网络上获取，并且是通过标准机制获取的，标准机制促进通过不同种类瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助理PDA)对云的使用。资源池:将提供者的计算资源归入资源池，通过多租户(munt1-tenant)模式服务于多重消费者，不同的实体资源和虚拟资源按照需要被动态地分配和再分配。因为消费者一般不控制甚至不知道所提供的资源的确切位置，但是可能在较高的抽象程度上指定位置(例如国家、州或数据中心)，所以有一种位置独立感。迅速的弹性:能迅速和有弹性地(有时是自动地)提供计算资源，以实现快速地扩展并且能快速地释放。对于消费者来说，可用的计算资源常常显得是无限的，在任何时候都能获取任何数量的计算资源。可测量的服务:云系统通过利用适于服务(例如存储、处理、带宽和活动用户帐号)类型的某种抽象程度的计量能力，自动地控制和优化资源效用。可以监测、控制和报告资源使用情况，为服务提供者和消费者双方提供透明度。服务模型如下:软件即服务(SaaS):给予消费者使用提供者在云基础架构上运行的应用的能力。应用是可通过诸如网络浏览器的瘦客户机接口从各种客户机设备访问的(例如基于网络的电子邮件)。可能除了是有限的特定于用户的应用配置设置外，消费者既不管理也不控制底层的云基础架构，包括网络、服务器、操作系统、存储、乃至单个应用能力。平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建的或获得的应用，这些应用是用提供者所支持的程序设计语言和工具创建的。消费者不管理或控制基础的云基础架构，包括网络、服务器、操作系统或存储，但是对所部署的应用具有控制权，对托管环境配置的应用也可能有控制权。基础架构即服务(IaaS):给予消费者提供处理、存储、网络和消费者能在其中部署和运行任意软件的基础计算资源的能力，其中软件可包括操作系统和应用程序。消费者既不管理也不控制底层的云基础架构，但是对操作系统、存储和所部署的应用具有控制权，对选择的网络部件(例如主机防火墙)也可能拥有有限的控制权。部署模型如下:私有云:云基础架构是单独为某个组织运行的。云基础架构可以由该组织管理，也可以由第三方管理，可以存在于组织内，也可以存在于组织外。共同体云:云基础架构被若干个组织共享，支持有共同利害关系(例如使命、安全要求、政策和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理，可以存在于组织内，也可以存在于组织外。公共云:云基础架构向公众或大型产业群提供，并由出售云服务的组织拥有。混合云:云基础架构是两个或更多的云(私有云、共同体云或公共云)的合成,这些云依然是独特的实体，但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。云计算环境是面向服务的，特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础结构。
现在参考图1A，图中显示了一个云计算节点的例子。云计算节点10仅仅是合适的云计算节点的一个示例，而并不意味着对本发明的实施例的功能和使用的范围的任何限制。总之，云计算节点10能够被实现和/或执行以上所述的任何功能。在云计算节点10中有一个计算机系统/服务器12，其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器12 —起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境，等
坐寸ο计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器12可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。如图1A所示，云计算节点10中的计算机系统/服务器12是以通用计算设备的形式表现的。计算机系统/服务器12的部件可以包括但不限于:一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统部件(包括系统存储器28和处理单元16)的总线18。总线18表示几种类型的总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任何总线结构的局域总线。举例(但不限于这些示例)来说，这些体系结构包括工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围部件互连(PCI)总线。计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以为可被计算机系统/服务器12访问的任何可获得的介质，包括易失性和非易失性介质，可移动的和不可移动的介质。系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM) 30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可以移动的/不可移动的，易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以被提供用于读出和写入不可移动的、非易失性磁介质(未示出，通常称为“硬盘驱动器”)。尽管图中未示出，可以提供用于对可移动的非易失性磁盘(录入“软盘”)读写的磁盘驱动器，以及对可移动的非易失性光盘——诸如CD-ROM，DVD-ROM或者其它光介质——读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。如以下将进一步表示和描述的那样，存储器28可以包括至少一个程序产品，该程序产品有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。有一组(至少一个)程序模块42的程序/实用工具40，可以被存储在存储器28中，这样的程序模块42例如(但不限于)操作系统、一个或者多个应用程序、其它程序模块以及程序数据。操作系统、一个或者多个应用程序、其它程序模块、程序数据中的每一个或它们的某种组合中可能包括网络环境的实现。程序模块42通常执行这里描述的本发明的实施例中的功能和/或方法。计算机系统/服务器12也可以与一个或多个外部设备14——诸如键盘、指向设备、显示器24等等——通信，与一个或者多个使用户能与计算机系统/服务器12交互的设备通信，和/或与使计算机系统/服务器12能与一个或多个其它计算设备通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口 22进行。并且，计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络一诸如局域网(LAN)，广域网(WAN)和/或公共网络(例如因特网)一通信。如图所示，网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白，尽管图中未示出，其它硬件和/或软件模块可以与计算机系统/服务器12—起使用。例子包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统，等等。现在参考图1B，该图描述了示例性的云计算环境50。如图所示，云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10，本地计算设备诸如个人数字辅助设备(PDA)或者是移动电话54A，台式电脑54B，笔记本电脑54C，和/或汽车计算机系统54N。节点10之间可以相互通信。可以在在一个或者多个网络——诸如如上所述的私有云、共同体云、公共云或混合云或者它们的组合——中，将节点10进行物理或者虚拟分组(图中未示出)。这允许云计算环境50提供云消费者无需在本地计算设备上维护资源就能请求的基础架构即服务、平台即服务和/或软件即服务。应当明白，图1B示出的各类计算设备54A-N仅仅是示意性的，计算节点10以及云计算环境50可以与任何类型的网络上的和/或网络可寻址的连接上的任何类型的计算设备(例如使用网络浏览器)通信。现在参考图1C，该图示出了云计算环境50 (图1B)提供的一组功能抽象层。首先应当明白，图1C所示的部件、层以及功能都仅仅是示意性的，本发明的实施例不限于此。如图所示，提供了下列层和对应功能:硬件和软件层60包括硬件和软件部件。硬件部件的例子包括:主机——例如IBM zSeries 系统；基于RISC(精简指令集计算机)体系结构的服务器——例如IBMpSeries 系统；IBM xSeries 系统BladeCenter 系统；存储设备；网络和网络部件。软件部件的例子包括:网络应用服务器软件一例如IBM WebSphere 应用服务
器软件；数据库软件-例如IBM DB2 数据库软件。(IBM, zSeries, pSeries, xSeries,
BladeCenter, WebSphere以及DB2是国际商业机器公司在全世界各地注册的商标)。虚拟层62提供一个抽象层，该层可以提供下列虚拟实体的例子:虚拟服务器、虚拟存储、虚拟网络(包括虚拟私有网络)、虚拟应用和操作系统，以及虚拟客户端。在一个示例中，管理层64可以提供下述功能:资源供应功能提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取；计量和定价功能在云计算环境内资源被使用时进行成本跟踪，并为这些资源的消费提供帐单和发票。在一个例子中，这些资源可以包括应用软件许可。安全功能为云消费者和任务提供身份认证，为数据和其它资源提供保护。用户门户为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能提供云计算资源的分配和管理，以满足必需的服务水平。服务水平协议(SLA)计划和履行功能为根据SLA的预测了未来需求的云计算资源提供预先安排和供应。工作负载层66提供了云计算环境可能实现的功能的示例。在该层中，可提供的工作负载或功能的示例包括:地图绘制与导航；软件开发及生命周期管理；虚拟教室的教学他提供；数据分析处理；交易处理，等等。图2A和2B例示为不同计算系统设置身份联邦配置的现有技术的方式。图2A示出了计算系统210和计算系统220A、220B和220C。计算系统210可以通过计算机网络连接到计算系统220A、220B或220C，获得计算系统220A、220B或220C提供的资源或服务。例如，计算系统210是一个企业的计算系统，例如托管\运行企业内部应用的服务器，计算系统220A、220B和220C分别是不同的服务提供商A、B和C分别提供的云服务(以下也简称为“云”)。企业的用户231可以通过自己的桌面系统同时访问计算系统210上的企业内部应用的资源以及云服务220A、220B、220C上的资源。联邦身份可以让用户用一个身份认证后可以通过身份联邦使用其它身份访问其他资源而无需用户重新登陆验证，为了方便访问用户231访问不同的云220A、220B或220C，系统管理员230需要在计算系统210和云220A两端设置身份联邦(以下也简称为“联邦”)；在计算系统210和云服务220B两端设置联邦；在计算系统210和云服务220C两端配置联邦。这样，如果用户231在计算系统210获得认证，则无须再次认证即可访问云服务220A、220B和220C。图2B表示了一个企业的计算系统210 (以下也将“企业的计算系统”简称为“企业”)和一个云服务220 (例如云220A、220B或220C)，如双向箭头240所示，企业210与云服务220之间，具有预先建立的信任关系。为了在企业210和云服务220两端设置身份联邦，企业的系统管理员230需要与不同的用户界面交互。一方面，系统管理员230要与企业端的用户界面213交互，设置企业210端的身份联邦。设置身份联邦的过程，是为身份联邦配置属性设置值的过程。经过设置的身份联邦配置属性，将被提供给计算系统210端的身份联邦运行时部件(identity federationruntime) 218。身份联邦配置属性的例子包括“SS0_endpoint”(单点登录端点)、“private_key”(私钥)、“IssUer”(颁发者)等等。在实际应用中，这样的身份联邦配置属性(以下也简称为“联邦配置属性”、“配置属性”或“属性”)往往数量很大。在创建(create)身份联邦时和重新设置(re-configure)身份联邦时，系统管理员230都需要为这些数目众多的属性设置相应的值。另一方面，系统管理员230要与云服务端的用户界面223交互，设置云服务220端的联邦配置属性，即为云服务端的联邦配置属性设置相应的值。经过设置的联邦配置属性，将被提供给云服务220端的身份联邦运行时部件228。同样，云服务端的联邦配置属性往往也数目众多。一般来说，云服务的服务商在专有(propriety)环境下提供云服务，在用户界面223上也采用专有的数据格式。由于企业210端的身份联邦配置和云服务220端的身份联邦配置可能采用不同的标准，用户界面213和用户界面223的风格、数据格式可能完全不同，因此，系统管理员230不但需要熟悉企业端的身份联邦配置标准和用户界面，而且需要熟悉云服务端的身份联邦配置标准和用户界面。如果一个企业需要连接到不同的云服务，系统管理员就要在不同的云服务提供的用户界面上设置身份联邦配置属性，因此需要熟悉不同的云服务的专有数据格式。此外，企业210端的身份联邦配置属性和云服务220端的身份联邦配置属性，有些内容是相互关联的，甚至是相同的。系统管理员230要在不同的用户界面上重复地设置这些内容关联甚至相同的属性的值，这不必要地增加了系统管理员的工作量，也增加了出错的可能性。为此，本发明的基本构思，是以集中或统一的方式为这样的两个计算系统进行身份联邦配置的设置，以提高系统管理员的效率，减少出错的概率。以下参照附图3A和3B，详细说明本发明的各种实施方式。首先参看图3A，该图表示按照本发明一个实施例的方法的流程图。概括来说，图3A所示的是一种设置身份联邦配置属性的方法，包含以下步骤:获取第一计算系统的第一身份联邦配置属性集合和第二计算系统的第二身份联邦配置属性集合；识别一个或多个关联属性对，其中，每个关联属性对包含第一身份联邦配置属性集合中的一个属性和第二身份联邦配置属性集合中的一个属性；在统一用户界面上显示第一身份联邦配置属性集合和第二联邦配置属性集合中需要人工设置的属性，其中，如果所识别的任何关联属性对的其中一个属性的值可以从另一个属性的值导出，则需要人工设置的属性不包含该其中一个属性；根据关联属性对中属性之间的关联关系，自动设置关联属性对中的属性的值；向第一计算系统和第二计算系统分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。现在参照附图，详细说明各个步骤的操作。在以下的说明中，以订购云服务的企业和云服务分别作为第一计算系统和第二计算系统的例子。然而，以企业和云服务为例，只是为了提供了参照，以方便更好地理解本发明各个实施例。所属技术领域的技术人员阅读说明书后完全应当明了，本发明的第一计算系统和第二计算系统并不限于企业和云服务。本发明实施例 的方法的过程，始于步骤311。在步骤311，获取第一计算系统的第一身份联邦配置属性集合和第二计算系统的第二身份联邦配置属性集合。例如，第一计算系统是图2B所示的企业210。企业的身份联邦配置(下文也简称为“联邦配置”)，是一个属性-属性值对的集合，也可以表征为由属性-属性值对中的所有属性构成的联邦配置属性集合FCl:FCl = {paral_l, paral_2,...paral_m}(I)“paral_i” (i = 1...m)表示集合 FCl 中的一个属性。一般来说，在最初创建联邦配置时，集合FCl中的属性，可能都需要系统管理员赋值。而在重新设置(例如修改)联邦配置时，有的属性可能已经具有预定的值，即无需系统管理员再次输入的值。类似地，云服务的联邦配置，是一个属性-属性值对的集合，可以表征为由属性-属性值对中的所有属性构成的联邦配置属性集合FC2:FC2 = {para2_l, para2_2,...para2_n}(2)“para2_i” (i = 1...n)表示集合 FC2 中的一个属性。与上文关于集合FC2所述的类似，集合FC2中的属性，有的具有预定的值。
在身份联邦单点登录过程中，企业210与云服务220需要进行消息交互，为了保证消息的一致性，需要对交互消息进行签名和验证。企业需要“signature key”(签名密钥)，用于对企业发送给云服务的消息进行签名；云服务需要“validation key”(验证公钥)，用于对企业发送过来的消息进行验证。集合FCl中的属性,例如包含企业需要的“signaturekey”;集合FC2中的属性,例如包含云服务需要的“validation key”。在步骤312，在第一身份联邦配置属性集合FCl和第二身份联邦配置属性集合FC2中识别一个或多个关联属性对，其中，每个关联属性对包含第一身份联邦配置属性集合FCl中的一个属性和第二身份联邦配置属性集合FC2中的一个属性。例如，通过分析企业的联邦配置属性集合FCl中的属性与云服务的联邦配置属性集合FC2中的属性之间的关系，如果属性集合FCl中的一个属性paral_j与属性集合FC2中的一个属性para2_k之间具有关联关系,则识别出属性paral_j和属性para2_k是一对关联属性，记为<paral_j,para2_k>。属性paral_j和属性para2_k之间的关联关系,用关联函数F(l_j，2_k)表示。可以将这样的关联属性对和相应的关联函数记为:(<paral_j, para2_k>, F(l_j,2_k))(3)例如，如果关联函数F(l_j，2_k)描述的关系是“等于”，则表示关联属性对<paral_j, para2_k>中的属性paral_j的值应该等于属性para2_k的值。企业和云服务可能属于不同的域，但是企业和云服务所属的域，都有内置的身份联邦域知识(built-1n identity federation domain knowledge)。利用这种身份联邦域知识，可以分析不同域的联邦配置属性的作用和意义，从而识别一个域(例如企业)的联邦配置属性与另一个域(例如云服务)的联邦配置属性之间是否存在关联关系。所属技术领域的技术人员，在具体的应用中，可以确定企业端的身份联邦域知识和云端身份联邦域知识之间的对应规则，进而制定关联规则，并将这种关联规则存储在一个计算机可读的关联规则库中。由此，计算机可以根据关联规则库中的规则，自动地确定集合FCl中的属性与集合FC2中的属性之间的关联关系,例如确定上文所述的企业需要的“signature key”与云服务需要的“validation key”之间具有关联关系按照本发明一个实 施例，可以在步骤312之前，执行一个可选的步骤312a，把在步骤311获取的第一联邦配置属性集合和第二联邦配置属性集合分别转换为第一公共联邦配置属性集合和第一公共联邦配置属性集合。这个步骤在图3A中用虚框和虚线箭头表示。公共联邦配置属性，也称为“统一的联邦配置属性”或“统一的联邦配置”。按照本发明一个实施例，第一公共联邦配置属性集合和第二公共联邦配置属性集合中的属性，包含根据身份联邦域知识和一个联邦协议定义的可配置属性。这样的可配置属性的集合，也称为身份联邦兀数据(identityfederation metadata)。按照本发明一个实施例，联邦协议可以是SAML协议。相应地，根据身份联邦域知识和SAML协议定义的可配置属性,是独立于平台的(platform-1ndependent)。这样的可配置属性的例子包括:Issuer、Signature_Key、Encryption_Key、SS0_Endpoint、SL0_Endpoint、Provider_ID> Partner_ID、Partner_SS0_Endpoint、Partner_SL0_Endpoint 等
坐寸ο与联邦配置属性集合FCl的表示相类似，第一公共联邦配置属性集合CFCl可以表示为:
CFCl = {Cparal_l, Cpara1_2,...Cparal_m} (I，)其中，“Cparal_i” (i = 1...m)是公共联邦配置属性集合CFCl中的一个属性，并且是身份联邦元数据中的可配置属性。类似地，第二公共联邦配置属性集合CFC2可以表示为:CFCl = {Cpara2_l, Cpara2_2,...Cpara2_n} (2，)其中，“Cpara2_i” (i = 1...η)是公共联邦配置属性集合CFC2中的一个属性，并且是身份联邦元数据中的可配置属性。按照本发明一个实施例，可以在步骤312a的基础上，执行步骤312，即在第一公共联邦配置属性集合CFCl和第二公共联邦配置属性集合CFC2中识别一个或多个关联属性对，其中，每个关联属性对包含第一公共联邦配置属性集合CFCl中的一个属性和第二公共联邦配置属性集合CFC2中的一个属性。例如，通过企业的 公共联邦配置属性集合CFCl中的属性与云服务公共联邦配置属性集合FC2中的属性之间的关系，识别关联属性对。如果企业的公共联邦配置属性Cparal」与云服务的公共联邦配置属性Cpara2_j之间具有关联关系，则识别出属性Cparal_j和属性Cpara2_k是一对关联属性,记为<Cparal_j, Cpara2_k>。关联属性对中的属性CparalJ和属性Cpara2_k之间的关联关系,用相应的关联函数F (l_j, 2_k)表示。可以将这样的一对属性paral_j和属性para2_k及其相应的关联函数记为: Cparal_j, Cpara2_k>, F (l_j, 2_k))(3，)在步骤312a中将不同域的联邦配置属性转换为统一的格式，有利于在步骤312中对转换后的联邦配置属性进行分析，更好地识别出关联属性对。图3B示例性表示两个不同计算系统的部分身份配置属性。如图3B所示，第一计算系统210的身份配置属性集合中，包含“Issuer”、“Partner_SSO_Endpoi”、“Sign_Authentivate_Request，，、“Sign_Single_Logout_Request，， 和 “Encrpt_Single_Logout_Request”等属性。第二计算系统220的身份配置属性集合中，包含属性“Provider_Id，，、“SSO_Endpoint，，、“Validate_Authentivate_Request，，、“ Val idate_Single_Logout_Request”和“Decrpt_Single_Logout_Request”等属性。图3B中连接两个属性的线段,表示在执行步骤312后，识别出的这两个属性之间具有关联关系。例如，属性“Issuer”和属性“Provider_Id”之间具有关联关系。在基于SAML规范的身份联邦的单点登录过程中，企业需要向云服务发出“认证请求消息”，并需要在此消息中包含消息颁发者，为此，企业内部需要配置属性“Issuer”；另外，云服务需要验证消息颁发者是否等于系统管理员在云服务中配置的属性，即属性"PiOvider ID"。因此，在步骤312中，根据身份联邦域知识可以识别出属性“Issuer”和属性"Provider ID"具有关联关系，且关联关系是等于关系。可以采用上文所述的表达式(3)表示属性“Issuer”和“Provider_Id”的关联关系: Issuer, Provider_Id>, FI},其中，关联函数 Fl 表示 “Issuer” 的值等于“Provider_Id，，的值。在基于SAML规范的身份联邦的单点登录过程中，企业需要配置属性“Partner_SS0_Endpoint” (云服务的单点登录端点)，而云服务提供了配置属性“SS0_Endpoint” (单点登录端点)(例如，对于云服务SampleCloudService来说，此属性值等于https://login.SampleCloudService.com),基于这个身份联邦域知识,在步骤312中识别出属性“Partner_SSO_Endpoint” 和属性 “SSO_Endpoint” 具有关联关系，即:{<Partner_SSO_Endpoint, SS0_Endpoint>, F2}其中，关联函数F2 表不“Partner_SSO_Endpoint”的值等于“SS0_Endpoint”的值。显然，如果属性SS0_Endpoint已经具有某个值，则在设置企业的配置属性“Partner_SS0_Endpoint ” 时，可以直接将属性 SS0_Endpoint 的值赋予属性“Partner_SS0_Endpoint”,而不必将此项配置属性暴露给系统管理员。企业需要配置的云服务的单点登出端点与云服务需要配置的单点登出端点(图中未予示出)之间的关系，与上述的企业需要配置的属性“Partner_SSO_Endp0int”和云服务的配置属性“SS0_Endpoint”之间的关系类似。在基于SAML规范的身份联邦的单点登录过程中，为了保证“认证请求消息”的一致性，企业需要对此消息进行签名，就要配置属性“SignAuthentication Request”。云服务通过配置属性“Validate AuthenticationRequest”声明是否对认证请求消息进行验证。根据这种知识，可以识别出这两个属性之间具有关联关系，即:{<Sign_Authentication_Request, Validate_Authentication_Request>, F3}其中，关联函数表示这两个属性的值相等。类似地，企业用于对“认证请求消息”进行加密的配置属性^EncryptAuthentication Request”(未予示出)与云服务用于对“认证请求消息”进行解密的配置属性“Decrypt Authentication Request”(未予示出)之间，也具有关联关系，且
关联关系是等于关系。对于单点登出消息，配置属性“Sign_Single_Logout_Request” 与 “Validate_Single_Logout_Request”也具有关联关系，且关联关系是等于关系。“Encrypt_Single_Logout_Request” 与 “Decrypt_Single_Logout_Request，，也具有关联关系7且关联关系是等于关系。在步骤313，在统一用户界面上显示第一身份联邦配置属性集合和第二联邦配置属性集合中需要人工设置的属性，其中，需要人工设置的属性不包含任何关联属性对中的其值可以从另一个属性的值导出的属性。换言之，如果所识别的任何关联属性对的其中一个属性的值可以从另一个属性的值导出，则需要人工设置的属性不包含该其中一个属性。系统管理员230通过在统一用户界面上输入需要人工设置的属性的值，由此可以获得经过设置的第一身份联邦配置属性集合和第二联邦配置属性集合。换言之，步骤313将需要系统管理员设置的第一身份联邦配置属性和第二联邦配置属性都在一个统一的用户界面上显示出来，而不是分别在不同的用户界面上显示出来。另外，在所显示的属性中，不包含可以自动赋值的属性，例如其值可以从另一个属性的值导出的属性。根据关联属性对中两个属性之间的关系、两个属性中是否有的属性具有预定的值，可以确定其中一个属性的值是否可以从另一个属性的值导出。如上文的表达式(3)所示,关联属性对<paral_j,para2_k>相应的关联函数F(l_j，2_k)，用于描述属性paral_j和属性para2_k之间的关联关系。因此，可以根据关联属性对<paral_j, para2_k>中的属性paral_j和属性para2_k之间的关联关系,判断其中一个属性paral_j的值是否可以从另一个属性para2_k的值导出，或者判断属性para2_k的值是否可以从另一个属性paral_j的值导出。属性paral_j和属性para2_k之间一种常见的关联关系是“等于”关系，在这种情况下，由属性paral_j的值可以导出属性para2_k的值，反之亦然。以图3B 中所不的属性 “Partner_SSO_Endpoint” 和属性 “SS0_Endpoint” 为例。根据身份联邦域知识，在步骤312可以识别出它们具有关联关系，S卩{〈Partner_SS0_Endpoint, SS0_Endpoint>, F},关联函数 F 定义的关系为 “Partner_SSO_Endpoint” 等于“SS0_Endpoint” (即可以将 “SS0_Endpoint” 的值赋予 “Partner_SSO_Endpoint”)，或者“SS0_Endpoint” 等于“Partner_SSO_Endpoint” (即可以将“Partner_SSO_Endpoint” 的值赋予 “SS0_Endpoint”。如果属性“SS0_Endpoint” 具有预定的值 “https: //login.SampleCloudService.com”,按照关联函数F的定义-“Partner_SSO_Endpoint”等于“SS0_Endpoint”,就可以将值“https: //login.SampleCloudService.com” 赋予属性“Partner_SSO_Endpoint” 在这种情况下，属性“Partner_SSO_Endpoint”属于可以自我设置的联邦配置属性，不需要系统管理员进行人工设置。再例如，图3B中所示的属性“Issuer”和“Partener_Id”也具有类似的关联关系。在SAML联邦中，一方的身份提供者(例如企业210)应当给出一个“Issuer”属性，而另一方的伙伴(例如云服务220)要求有一个“Partner_Id”属性。这两个属性的值必须相同，否则，从一方向另一方发出的令牌将不能通过验证。因此，步骤312将确定一个包含来自企业210的“Issuer”和来自云220的“Partener_Id”的关联属性对,并且在关联函数中规定“Issuer” 和“Partener_Id，，的关系为:“Partener_Id” 等于“Issuer，，；或者“Issuer” 等于“Partener_Id”。因此,在步骤313中，如果“Issuer”具有预定的值，贝U属性“Partener_Id”属于可以自我设置的联邦配置属性，不需要系统管理员进行人工设置。在具体应用中，关联属性对<paral_j, para2_k>的属性之间除了这种简单的“等于”关系，还可能有更复杂的关联关系，所属技术领域的技术人员可以针对具体应用，在关联规则库中设置相应的规则，使计算机能自动识别出其它关联关系，对于每个关联属性对，确定其中一个属性的值是否可以由另一个属性的值导出，从而确定该一个属性是否是需要人工设置的属性。在步骤314，对其值可以从另一个属性的值导出的属性进行自动赋值。就是说，根据关联属性对中属性之间的关联关系，自动设置关联属性对中的属性的值。仍然以图3B 中所不的关联属性对〈Partner_SS0_Endpoint, SS0_Endpoint> 为例。如上文所述,“Partner_SS0_Endpoint”和属性“SS0_Endpoint”具有关联关系，即{<Partner_SS0_Endpoint, SS0_Endpoint>, F},关联函数 F 定义的关系为 “Partner_SS0_Endpoint” 等于 “SS0_Endpoint”。如果 “SS0_Endpoint” 具有予页定的值“https: //login.SampleCloudService.com”,属性 “Partner_SS0_Endpoint” 属于可以自我设置的联邦配置属性，不需要系统管理员进行人工设置。在这种情况下，步骤314根据关联属性对<Partner_SS0_Endpoint, SS0_Endpoint〉中属性 “Partner_SS0_Endpoint” 与属性 “SS0_Endpoint” 之间的关联关系，即“Partner_SS0_Endpoint” 等于 “SS0_Endpoint”，自动设置属性 “Partner_SS0_Endpoint”的值，即把属性 “SSO_Endpoint” 的倌 “https: "login.SampleCloudService.com，，,赋予属性 “Partner_SSO_Endpoint”。在上面的例子中，对其值可以从另一个属性“Partner_SSO_Endpoint ”的值导出的属性“SS0_Endpoint”进行自动赋值时，所述另一个属性的倌“https://1Rin.SampleCloudService.com，，,是一个预定的值。按照本发明一个实施例，所述另一个属性的值，可以是从统一用户界面输入的值。例如，上例中属性 “Partner_SSO_Endpoint ” 的值 “https: //login.SampleCloudService.com",也可以系统管理员是在统一用户界面上输入的。在步骤313和314之后，在统一界面上显示的需要人工设置的属性，以及其值可以从另一个属性的值导出的属性，都得到人工设置或自动设置，于是，过程前进到步骤315。在步骤315，向第一计算系统210和第二计算系统220分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。例如，可以将经过设置的第一身份联邦配置属性集合CFl和第二身份联邦配置属性集合CF2分别直接提供给企业端的身份联邦运行时部件(idtificationfederation runtime) 218和云端的身份联邦运行时部件228。如上文所述，在执行步骤312之前，可以执行一个可选的步骤312a，把在步骤311获取的第一联邦配置属性集合和第二联邦配置属性集合分别转换为第一公共联邦配置属性集合和第一公共联邦配置属性集合。这样，步骤312至314的操作中的第一联邦配置属性集合和第二联邦配置属性集合，分别以第一公共联邦配置属性集合和第一公共联邦配置属性集合的格式呈现。按照本发明一个实施例，在执行了步骤312a的情况下，则步骤315可以包含步骤315a，将第一公共身份联邦配置属性集合CFCl和第二公共身份联邦配置属性集合CFC2分别转换为第一身份联邦配置属性集合FCl和第二身份联邦配置属性集合FC2。这样，第一计算系统210和第二计算系统220分别接收到的联邦配置属性的格式，是未作转换前的格式，可以直接使用。将第一和第二公共身份联邦配置属性集合(CFC1、CFC2)和转换为第一和第二身份联邦配置属性集合(FC1、FC2)，是将第一和第二身份联邦配置属性集合转换为第一和第二公共身份联邦配置属性集合的逆操作，在此无需赘述。按照本发明一个实施例，还可以将经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合存储起来，例如存储在一个配置数据库中。这样，在以后需要重新设置联邦配置时，可以直接从配置数据库中获取第一身份联邦配置属性集合和第二身份联邦配置属性集合。从以上说明中可以知道，运用本发明各实施例的方法，系统管理员无需在不同的用户界面上对身份联邦属性进行设置，并且，通过对属性的自动赋值，减少了需要系统管理员人工设置的属性的数量。以上说明了本发明的用于设置身份联邦配置的方法的各种实施方式。按照相同的发明构思，本发明也提供一种用于设置身份联邦配置的装置。图4是按照本发明一个实施例的用于设置身份联邦配置的装置的框图。图4所示的装置，包含获取模块411、关联模块412、用户交互模块413、交叉赋值模块414和配置适配器415。
获取模块411被配置以获取第一计算系统210的第一身份联邦配置属性集合和第二计算系统220的第二身份联邦配置属性集合。关联模块412被配置以在第一身份联邦配置属性集合和第二身份联邦配置属性集合中识别一个或多个关联属性对，其中，每个关联属性对包含第一身份联邦配置属性集合中的一个属性和第二身份联邦配置属性集合中的一个属性。用户交互模块413被配置以在统一用户界面上显示第一身份联邦配置属性集合和第二联邦配置属性集合中需要人工设置的属性，其中，需要人工设置的属性不包含任何关联属性对中的其值可以从另一个属性的值导出的属性。换言之，如果所识别的任何关联属性对的其中一个属性的值可以从另一个属性的值导出，则需要人工设置的属性不包含该其中一个属性。交叉赋值模块414被配置以对其值可以从另一个属性的值导出的属性进行自动赋值。换言之，交叉赋值模块414可以根据关联属性对中属性之间的关联关系，自动设置关联属性对中的属性的值。配置适配器415被配置以向第一计算系统210和第二计算系统220分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。例如，可以将经过设置的第一身份联邦配置属性集合(CF1，CFC1)和第二身份联邦配置属性集合(CF2，CFC2)分别直接提供给企业端的身份联邦运行时部件218和云端的身份联邦运行时部件228。按照本发明一个实施例，用于设置身份联邦配置的装置进一步包含一个转换模块412a，其被配置以将所获取的第一联邦配置属性集合和第二联邦配置属性集合分别转换为第一公共联邦配置属性集合和第二公共联邦配置属性集合。按照本发明一个实施例，第一公共联邦配置属性集合和第二公共联邦配置属性集合中的属性，包含根据身份联邦域知识和一个联邦协议定义的可配置属性。按照本发明一个实施例，所述联邦协议包含SAML协议。按照本发明一个实施例，所述关联模块412进一步被配置以在第一公共联邦配置属性集合和第二公共联邦配置属性集合中识别一个或多个关联属性对，每个关联属性对包含第一公共身份联邦配置属性集合中的一个属性和第二公共身份联邦配置属性集合中的
一个属性。按照本发明一个实施例，所述转换模块412进一步被配置以将第一公共身份联邦配置属性集合CFCl和第二公共身份联邦配置属性集合CFC2分别转换为第一身份联邦配置属性集合FCl和第二身份联邦配置属性集合FC2。这种转换，是按照本发明一个实施例，第一计算系统是订购云服务的企业，第二计算系统是云服务。按照本发明一个实施例，所述交叉赋值模块414被配置以根据预定的值设置关联属性对中的属性的值。换言之，交叉赋值模块414对其值可以从另一个属性的值导出的属性进行自动赋值时，所述另一个属性的值，是一个预定的值。按照本发明一个实施例，所述交叉赋值模块414被配置以根据从统一用户界面输入的属性值设置关联属性对中的属性的值。换言之，交叉赋值模块414对其值可以从另一个属性的值导出的属性进行自动赋值时，所述另一个属性的值，是从统一用户界面输入的值。按照本发明一个实施例，用于设置身份联邦配置的装置进一步被配置以将经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合存储在一个数据库中，例如图4所示的配置数据库450中。按照本发明一个实施例，所述获取装置411被配置以从所述数据库450中获取经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。以上描述了按照本发明实施例的用于设置身份联邦配置的装置，由于上文已经详细地描述了按照本发明各种实施例的用于设置身份联邦配置的方法，在上述对装置的描述中，省略了明显与对方法的描述重复、或者很容易从对方法的描述中引申得出的内容。应指出的是，以上描述仅为示例，而不是对本发明的限制。在本发明的其他实施例中，该方法可具有更多、更少或不同的步骤，对步骤的编号，是为了使说明更加简明，而不是对各步骤之间的顺序关系的严格限定，各步骤与步骤之间的顺序可以与所描述的不同。因此，在本发明的一些实施例中，可以没有上述一个或多个可选步骤。每个步骤的具体执行方式可以与所描述的不同。所有这些变化都处于本发明的精神和范围之内。本发明可以采取硬件实施方式、软件实施方式或既包含硬件组件又包含软件组件的实施方式的形式。在优选实施方式中，本发明实现为软件，其包括但不限于固件、驻留软件、微代码等。而且，本发明还可以采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式，这些介质提供程序代码以供计算机或任何指令执行系统使用或与其结合使用。出于描述目的，计算机可用或计算机可读机制可以是任何有形的装置，其可以包含、存储、通信、传播或传输程序以由指令执行系统、装置或设备使用或与其结合使用。介质可以是电的、磁的、光的、电磁的、红外线的、或半导体的系统(或装置或器件)或传播介质。计算机可读介质的例子包括半导体或固态存储器、磁带、可移动计算机磁盘、随机访问存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。目前光盘的例子包括紧凑盘-只读存储器(CD-ROM)、压缩盘-读/写(CD-R/W)和DVD。适合于存储/或执行程序代码的数据处理系统将包括至少一个处理器，其直接地或通过系统总线间接地耦合到存储器元件。存储器元件可以包括在程序代码的实际执行期间所利用的本地存储器、大容量存储器、以及提供至少一部分程序代码的临时存储以便减少执行期间从大容量存储器必须取回代码的次数的高速缓存存储器。输入/输出或I/O设备(包括但不限于键盘、显示器、指点设备等等)可以直接地或通过中间I/o控制器耦合到系统。网络适配器也可以耦合到系统，以使得数据处理系统能够通过中间的私有或公共网络而耦合到其他数据处理系统或远程打印机或存储设备。调制解调器、线缆调制解调器以及以太网卡仅仅是当前可用的网络适配器类型的几个例子。从上述描述应当理解，在不脱离本发明真实精神的情况下，可以对本发明各实施方式进行修改和变更。本说明书中的描述仅仅是说明性的，而不应被认为是限制性的。本发明的范围仅受所附权利要求书的限制。
权利要求
1.一种用于设置身份联邦配置的方法，包含: 获取第一计算系统的第一身份联邦配置属性集合和第二计算系统的第二身份联邦配置属性集合； 在第一第二身份联邦配置属性集合中识别一个或多个关联属性对，其中，每个关联属性对包含第一身份联邦配置属性集合中的一个属性和第二身份联邦配置属性集合中的一个属性； 在统一用户界面上显示第一和第二联邦配置属性集合中需要人工设置的属性，其中，需要人工设置的属性不包含任何关联属性对中的其值可以从另一个属性的值导出的属性； 对其值可以从另一个属性的值导出的属性进行自动赋值； 向第一和第二计算系统分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。
2.权利要求1的方法，进一步包含: 将所获取的第一和第二联邦配置属性集合分别转换为第一公共联邦配置属性集合和第二公共联邦配置属性集合。
3.权利要求2的方法，其中，第一公共联邦配置属性集合和第二公共联邦配置属性集合中的属性，包含根据身份联邦域知识和一个联邦协议定义的可配置属性。
4.权利要求3的方法，其中，所述联邦协议包含SAML协议。
5.权利要求2-4的任何之一的方法，其中，所述在第一和第二身份联邦配置属性集合中识别一个或多 个关联属性对，包含在第一第二公共联邦配置属性集合中识别一个或多个关联属性对，每个关联属性对包含第一公共身份联邦配置属性集合中的一个属性和第二公共身份联邦配置属性集合中的一个属性；
6.权利要求5的方法，其中，所述向第一和第二计算系统分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合，包含将第一和第二公共身份联邦配置属性集合分别转换为第一和第二身份联邦配置属性集合。
7.权利要求1的方法，其中，所述另一个属性的值，是一个预定的值。。
8.权利要求1的方法，其中，所述另一个属性的值，是从统一用户界面输入的值。
9.权利要求5的方法，其中，将经过设置的第一和第二身份联邦配置属性集合存储在一个数据库中。
10.权利要求9的方法，其中，所述获取第一计算系统的第一身份联邦配置属性集合和第二计算系统的第二身份联邦配置属性集合，包含从所述数据库中获取经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。
11.一种用于设置身份联邦配置的装置，包含: 获取模块，被配置以获取第一计算系统的第一身份联邦配置属性集合和第二计算系统的第二身份联邦配置属性集合； 关联模块，被配置以在第一和第二身份联邦配置属性集合中识别一个或多个关联属性对，其中，每个关联属性对包含第一身份联邦配置属性集合中的一个属性和第二身份联邦配置属性集合中的一个属性； 用户交互模块，被配置以在统一用户界面上显示第一身份联邦配置属性集合和第二联邦配置属性集合中需要人工设置的属性，其中，需要人工设置的属性不包含任何关联属性对中的其值可以从另一个属性的值导出的属性； 交叉赋值模块，被配置以对其值可以从另一个属性的值导出的属性进行自动赋值； 配置适配器，被配置以向第一和第二计算系统分别提供经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。
12.权利要求11的装置，进一步包含: 转换模块，被配置以将所获取的第一联邦配置属性集合和第二联邦配置属性集合分别转换为第一公共联邦配置属性集合和第二公共联邦配置属性集合。
13.权利要求12的装置，其中，第一公共联邦配置属性集合和第二公共联邦配置属性集合中的属性，包含根据身份联邦域知识和一个联邦协议定义的可配置属性。
14.权利要求13的装置，其中，所述联邦协议包含SAML协议。
15.权利要求12-14的任何之一的装置，其中，所述关联模块进一步被配置以在第一公共联邦配置属性集合和第二公共联邦配置属性集合中识别一个或多个关联属性对，每个关联属性对包含第一公共身份联邦配置属性集合中的一个属性和第二公共身份联邦配置属性集合中的一个属性；
16.权利要求15的装置，其中，所述转换模块进一步被配置以将第一公共身份联邦配置属性集合和第二公共身份联邦配置属性集合分别转换为第一身份联邦配置属性集合和第二身份联邦配置属性集合。
17.权利要求11的装置，其中，所述另一个属性的值，是预定的值。
18.权利要求11的 装置，所述所述另一个属性的值，是从统一用户界面输入的值。
19.权利要求15的装置，进一步被配置以将经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合存储在一个数据库中。
20.权利要求19的装置，其中，所述获取装置被配置以从所述数据库中获取经过设置的第一身份联邦配置属性集合和第二身份联邦配置属性集合。
全文摘要
用于设置身份联邦配置的方法和装置，该方法包含获取第一计算系统的第一身份联邦配置属性和第二计算系统的第二身份联邦配置属性；在第一和第二身份联邦配置属性中识别至少一个关联属性对；在统一用户界面上显示第一和第二身份联邦配置属性中需要人工设置的属性，其中，需要人工设置的属性不包含任何关联属性对中的其值可以从另一个属性的值导出的属性；对其值可以从另一个属性的值导出的属性进行自动赋值；向第一和第二计算系统分别提供经过设置的第一和第二身份联邦配置属性集合。
文档编号G06F21/45GK103164648SQ20111042656
公开日2013年6月19日 申请日期2011年12月19日 优先权日2011年12月19日
发明者刘建, 刘晓曦, 黄鹤远, 李敏 申请人:国际商业机器公司