用于访问服务的系统和方法与流程

用于访问服务的系统和方法

背景技术：
针对服务提供商，诸如IT服务的服务到其客户端的提供可能是特别复杂且耗时的任务，尤其是在客户端组织具有必须被提供对服务的访问的多个用户的情况下。为了向客户端组织的用户提供服务，服务提供商必须识别将为哪些客户端组织用户（在本文中一般地称为用户）提供对服务的访问。在许多情况下，服务提供商还必须识别每个用户的角色或用于服务的所需访问水平（诸如‘未特许用户’、‘监督者’、‘应用程序管理员’、‘数据库管理员’等）。服务提供商然后必须对服务进行配置以便为每个用户提供适当的访问水平。配置通常可以包括例如为每个用户分配用户名、生成口令并将分配的用户名和生成的口令传送给每个用户。通常，客户端组织提供列表，该列表识别哪些用户将被提供对服务的访问，并且在适当的情况下，要求相应的访问水平。服务提供商使用所提供的列表，并且在很大程度上的手动操作中针对每个用户配置该服务。在大型客户端组织中，在将为数百个、数千个或数十万个用户提供对服务的访问的情况下，该提供或‘机载’过程通常是复杂、耗时且在很大程度上手动的过程。此外，随着用户离开或加入客户端组织，由客户端组织提供给服务提供商的用户列表可能很快变得过时，产生其他困难。附图说明现在将参考附图仅以非限制性示例的方式来描述本发明的实施例，在所述附图中：图1是根据本发明的示例的系统的简化方框图；图2是概述根据本发明的示例的操作系统的元件的示例性方法的简化流程图；图3是概述根据本发明的示例的操作系统的元件的示例性方法的简化流程图；图4a是概述根据本发明的示例的操作系统的元件的示例性方法的简化流程图；图4b是概述根据本发明的示例的操作系统的元件的示例性方法的简化流程图；图5a是根据本发明的示例的系统的简化方框图；图5b是根据本发明的示例的系统的简化方框图；图6是概述根据本发明的示例的操作系统的元件的示例性方法的简化流程图；图7是概述根据本发明的示例的操作系统的元件的示例性方法的简化流程图；以及图8是概述根据本发明的示例的操作系统的元件的示例性方法的简化流程图。具体实施方式过去，服务提供商必须对其服务平台进行配置以便使得客户端组织用户能够访问和使用服务。然而，如从以下描述将显而易见的，本发明的示例和实施例提供向用户提供服务的新的且更高效的方式。现在参考图1，示出了根据本发明的示例的系统100的简化方框图。将参考图2、3、4a和4b中所示的流程图来进一步描述系统100的操作。系统100包括跨网络104向终端108a至108n的用户提供服务的服务提供商系统102。在一个示例中，网络104可以是专用网络，诸如私人云网络、WAN等。在另一示例中，网络104可以是公共网络，诸如因特网、公共云网络等。服务可以是例如IT服务，其示例可以包括帮助指南服务（helpdeskservice）、应用服务、旅行预订服务、人力资源管理服务等。服务提供商系统102可以包括例如计算机硬件、计算机软件、联网设备等。终端108a至108n可以包括例如个人计算机（PC）、膝上型计算机、笔记本计算机或其他移动式计算机、计算机服务器、虚拟终端、移动计算设备、移动电话、智能电话等。在其他示例中，服务提供商系统102可以提供多个服务。终端108a至108n终端可以例如是客户端组织106的终端，并且可以被连接到或者可以连接到客户端组织网络110。在本示例中，用户中的一个（以下称为请求用户）负责从服务提供商系统102获得服务以供客户端组织的用户使用。例如，请求用户可以是在组织116内或为组织106工作的管理员或管理者。在202处，请求用户使用诸如终端108a的终端向服务提供商系统102进行服务请求。在一个示例中，例如由请求用户使用终端通过发送电子邮件或以任何其他适当方式来连接到服务提供商网页而以电子方式进行请求。该服务请求识别正被请求的服务和将被提供对服务的访问的客户端组织用户的最大数目。在一个示例中，该服务请求另外识别组织106。在一个示例中，服务请求识别许多不同的用户角色，并且还识别将可以用每个用户角色来访问服务的用户的最大数目。例如，该服务请求可以指示将允许最多10000个用户利用‘类型1’角色访问服务，并且将允许最多15个用户以‘类型2’角色访问服务。在一个示例中，可以针对每个角色类型进行单独请求。在另一示例中，单个请求可以包括用于每个角色类型的多个请求。每个角色类型可以确定例如可用于每个角色类型的用户的服务功能，或者可以例如定义对服务的访问水平（或者服务访问水平）或与之相关联。例如，类型1角色可以是‘标准’用户角色，而类型2角色可以是‘特许’或‘管理员’类型角色。不同的角色类型因此可以可访问不同的服务功能。在其他示例中，附加角色类型可以可用于给定服务。在302处，服务提供商系统102接收服务请求，并且规定可以向所请求的用户数目提供所请求服务，生成（304）服务访问数据。服务访问数据包括使得用户随后能够访问所请求服务的信息或数据，如下面将更详细地描述的。在一个示例中，服务访问数据包括用于请求用户所请求的角色类型的标识符。在另一示例中，在请求了多个角色类型的情况下，服务访问数据包括用于请求用户所请求的每个角色类型的标识符。在另一示例中，服务访问数据可以另外包括通用资源指示符（URI）或其他网络地址，在该处可以访问服务。在又另一示例中，服务访问数据可以包括识别将被访问的服务的地址和角色标识符两者的URI。在至少一个示例中，部分地基于请求用户的特性而生成所生成的服务访问数据。例如，请求用户的特性可以包括例如请求用户的组织的姓名、请求用户的组织的域名、请求用户的组织的地址等，如下面将更详细地描述的。在306处，服务提供商系统102以任何适当的方式将生成的服务访问数据提供给请求用户，包括在电子邮件中发送服务访问数据，并且通过促使服务访问数据被显示在请求用户的终端上。在204处，请求用户接收服务访问数据并随后将服务访问数据分发（206）给将可访问所请求服务的不同客户端组织用户。可以以任何适当的方式来执行服务访问数据的分发，包括例如发送包含接收服务访问数据的全部或一部分的电子邮件、发送详述服务访问数据的全部或一部分的信或所写备忘录、发送短消息系统（SMS）消息等。在请求不同角色类型的情况下，请求用户可以将用于每个角色类型的服务访问数据发送到给不同的用户群。例如，请求用户可以在要求对服务的类型1角色访问时将用于类型1角色用户的服务访问数据仅发送给由请求用户识别的那些用户。一旦诸如用户108b至108n的用户已接收到服务访问数据，用户就可以访问从而识别的服务，如现在将参考图4a描述的。用户、诸如使用终端108b的用户通过连接到URI或与服务提供商系统102相关联的其他网络地址来访问服务。在一个示例中，该地址是服务控制访问模块或接口的地址，所请求服务通过该接口被访问。在另一示例中，该地址是提供服务的网络应用程序的地址。在一个示例中，在接收到的服务访问数据中提供被用来访问服务的URI或网络地址。终端108b连接到URI并被请求提供角色类型标识符。在其中URI包括角色类型标识符的示例中，用户可以不必单独地提供角色类型标识符。服务提供商系统102接收（402）服务访问请求并获得（404）服务访问数据。所获得的服务访问数据识别要访问的服务。在一个示例中，所获得的服务访问数据另外识别请求服务的组织或请求用户。在406处，服务提供商系统102确定是否可以向用户提供所请求的服务。在一个示例中，可以例如通过确定服务访问数据是否有效来进行确定。在另一示例中，服务提供商系统102保持跟踪先前已被使用给定服务访问数据提供对服务的访问的用户数目。服务提供商系统102然后可以检查用户的数目不超过用于特定角色类型的注册用户的所请求最大数目。在其他示例中，可以进行不同或附加检查以确定是否可以许可对服务的访问。此类检查可以包括例如身份检查、安全检查等。如果服务提供商系统102确定（406）可以提供服务，则服务提供商系统102许可（408）对服务的用户访问。否则，服务提供商系统102拒绝（410）对服务的用户访问。此类系统在其中例如将基于一次性（one-off）的不频繁使用为客户端用户提供对服务的访问的情况下可能是特别有利的。在图4b中所示的另一示例中，如果服务提供商系统102确定（406）可以提供该服务，则服务提供商系统102为用户创建（407）用户账户。服务提供商系统102可以例如从用户请求用户名和口令，并基于所提供的细节来创建用户账户。其后可以请求请求对服务的后续访问的用户提供存储在其用户账户中的细节诸如用户名和口令，以便被认证以访问服务。此类系统在将为客户端用户提供对其可以使用多次的服务的访问的情况下可能是特别有利的。在此类系统中，特别有利的是可以在服务提供商不必手动地配置和向用户提供服务的情况下给客户端用户提供对服务的访问。现在参考图5a，更详细地示出了根据本发明的示例的服务提供商系统502。服务提供商系统502包括服务管理系统504、服务请求处理器506、服务访问控制模块508以及账户数据储存库510。下面另外参考图6和7来进一步描述系统500的元件的操作。在图5b中所示的一个示例中，可以使用经由通信总线556耦合到存储器552和/或输入/输出模块554的微处理器550来实现服务提供商系统502的至少一部分。存储器552存储服务管理系统指令504'、服务顺序处理器指令506'以及服务访问控制模块指令508'。指令504'、506'和508'是处理器可理解指令，其在被处理器550执行时提供服务管理系统504、服务顺序处理器506以及服务访问控制模块508的功能，如下面进一步描述的。在一个示例中，服务控制访问模块508被实现为网络门户，通过该网络门户可控制对服务的访问。服务控制访问模块508从请求用户、诸如终端108a的用户接收（602）服务请求。可以将服务控制访问模块508提供为例如网络门户，请求用户可以通过使用在终端108a上运行的网络浏览器应用程序来连接到该网络门户以请求对一个或多个服务的访问。如前所述，服务请求可以指示一个或多个角色类型以及可以针对每个角色类型注册对服务的访问的用户的最大数目。服务请求处理器506处理接收到的请求以确定（604）成本或成本估计以便提供所请求的服务。在一个实施例中，服务请求可以包括附加数据，其指示例如要求所请求服务的时间长度、要求的服务支持水平、要求的服务质量等。在某些示例中，可以免费提供所请求服务。在其他示例中，成本可以是基于不同所请求角色中的所请求数目或用户的最大成本，或者是基于假定或预期服务使用模式的估计成本等。在606处，服务请求处理器506从请求用户请求支付。可以例如使用信用卡、电子支付账户或以任何其他适当方式来进行支付。在一个示例中，在不要求用于服务使用的支付的情况下，可以省略步骤604和606。在608处，服务请求处理器506分配资源或适当地将服务提供商系统502配置成为最大数目的注册用户提供所请求服务。在一个示例中，可以在没有延迟或有小的延迟的情况下执行资源分配，例如，如果服务提供商502已具有适当的资源。在另一示例中，如果服务提供商必须获取或重新分配附加资源以便提供所请求服务，则可能存在较长的延迟。在610处，服务请求处理器506生成服务访问数据以使得用户能够访问所请求服务。在一个示例中，服务访问数据包括用于每个所请求角色类型的服务角色标识符。应注意的是在本示例中服务角色标识符对于将被提供对服务的访问的每个不同用户而言是相同的。有利地，这显著地简化服务访问数据到用户的后续分发，因为可以为所有角色类型1用户发送相同的服务访问数据。在一个示例中，服务角色标识符可以是诸如大随机数、字母数字标识符、文本串、密码操作结果、令牌或其他适当标识符的标识符。在一个示例中，服务角色标识符识别用于给定服务的用户角色类型。在另一示例中，服务角色标识符识别用户角色类型和该用户角色类型关联到的服务。在612处，以任何适当方式将生成的服务访问数据提供给请求用户，如先前所述。下面在表1和2中示出了可以发送给请求用户的服务访问数据的示例。表1：示例性服务访问数据表2：示例性服务访问数据。请求用户然后可以将服务访问数据或其一部分分发给将被提供对服务的访问的不同用户。例如，可以为所有类型1角色用户发送具有服务角色标识符‘123456789’的电子邮件，同时可以为所有类型2角色用户发送具有服务访问类型2角色标识符‘987654321’的电子邮件。有利地，对于服务提供商而言，更容易使请求用户向适当的用户分发服务角色标识符，因为请求用户最可能可访问服务的预定用户是谁的最新细节。一旦用户已接收到服务角色标识符，其可以连接到服务提供商系统502以访问服务。在本示例中，在服务访问数据中提供的URI是与服务控制访问模块508相关联的URI。现在参考图7，示出了概述根据一个示例的服务提供商系统502的示例性操作的流程图。在702处，服务控制访问模块508从用户接收服务访问请求。如前所述，服务访问请求可以是用户使用适当的网络浏览器应用程序连接到在接收到的服务访问数据中提供的URI的结果。在704处，服务控制访问模块508从请求访问服务的用户获得服务角色标识符。如先前所述，在一个示例中，这可以作为被用户用来连接到服务控制访问模块508的URI的一部分提供，或者在另一示例中可以由遵循到服务控制访问模块508的连接的用户提供。在706处，服务控制访问模块508确定所获得的服务角色标识符是否有效。在一个示例中，如果服务角色标识符对应于先前由或代表服务提供商系统502生成的服务角色标识符，则将其确定为是有效的。在一个示例中，服务控制访问模块508可以执行附加安全检查，诸如确定请求访问服务的用户的IP地址是否在与请求用户的IP地址相同的网络域中，检查由请求访问服务的用户给出的电子邮件地址是否在与请求用户的电子邮件地址相同的域中等。如果服务控制访问模块508不能确定所获得的服务角色标识符是有效的，则其拒绝（712）对服务的访问。如果服务控制访问模块508确实确定（706）所获得的服务角色标识符是有效的，则其进行另一检查（708）以确定是否已超过了被允许使用请求用户所请求的服务的用户的最大数目。如果已经超过允许用户的数目，则服务控制访问模块508拒绝（712）对服务的用户访问。在一个示例中，如果已经超过了被允许用户的数目，则服务控制访问模块508可以通过针对附加访问对客户端组织收费来提供（710）对服务的访问。否则，以任何适当的方式为用户提供对服务（710）的访问。例如，可以通过使用户的网络浏览器改向至提供所请求服务的服务提供商系统502中的应用程序的URI来提供对服务的访问。在一个示例中，改向网络地址可以例如包括临时标识符以使得用户能够仅在单次连接尝试期间访问服务。现在转到图8，示出了概述根据本发明的另一示例的服务提供商系统502的示例性操作的流程图。在802处，服务控制访问模块508从用户接收服务访问请求。如前所述，服务访问请求可以是用户使用适当的网络浏览器应用程序连接到在接收到的服务访问数据中提供的URI的结果。在804处，服务控制访问模块508确定用户是否具有先前创建的用户账户。服务控制访问模块508可以例如通过让用户输入与其用户账户相关联的诸如用户名或口令的某些认证数据或指示其不具有账户但将要创建一个以便访问所请求服务来确定这一点。如果在804处服务控制访问模块508确定用户希望创建用户账户，则服务控制访问模块508首先从用户获得（806）服务角色标识符。如前所述，在一个示例中，这可以被包括在被用户用来连接到服务控制访问模块508的URI中，或者在另一示例中，单独地由用户提供给服务控制访问模块508。在808处，服务控制访问模块508确定所获得的服务角色标识符是否有效。在一个示例中，如果服务角色标识符对应于先前由或代表服务提供商系统502生成的服务角色标识符，则将其确定为是有效的。在一个示例中，服务控制访问模块508可以执行附加安全检查，诸如确定请求访问服务的用户的IP地址是否在与请求用户的IP地址相同的网络域中，检查由请求访问服务的用户给出的电子邮件地址是否在与请求用户的电子邮件地址相同的域中、用URI向用户的电子邮件地址发送电子邮件以确认用户的注册等。如果服务控制访问模块508不能确定（808）所获得的服务角色标识符是有效的，则其拒绝（820）对所请求服务的访问。如果服务控制访问模块508确实确定（808）所获得的服务角色标识符是有效的，则其进行另一检查（810）以确定是否已超过了用于服务的允许用户注册的数目。允许用户注册的数目是用于给定服务角色的请求用户所请求的用户的数目。如果已经超过了允许用户注册的数目，则服务控制访问模块508拒绝（820）对所请求服务的用户访问。在一个示例中，如果已经超过了被允许用户的数目，则服务控制访问模块508可以通过针对附加访问对客户端组织收费来提供（710）对服务的访问。如果服务角色标识符是有效的且尚未超过允许用户注册的数目，则服务控制访问模块508为用户创建（812）账户。该账户可以被存储在账户数据储存库或存储器（未示出）中。账户创建可以例如从用户请求用户名和口令以用来在后续的场合在访问服务时对用户进行认证。在某些示例中，账户创建的步骤可以另外从用户请求附加个人信息，诸如电话号码、职务、地址等。服务控制访问模块508在用户账户中或另外与用户账户相关联存储与所获得服务角色标识符相关联的服务角色类型或指示用户相对于服务具有的服务访问水平的其他数据。在一个示例中，用户账户可以存储多个服务角色标识符。在一个示例中，服务控制访问模块508生成用户可以当在后续场合访问服务时用于认证目的的令牌、cookie等。在一个示例中，如果在创建账户的过程期间，服务控制访问模块508确定用户已具有账户，则不再为同一用户创建另一账户，并且可以拒绝该用户对服务的访问，或者可以直接转至认证步骤816。这样，可以阻止已经创建账户的用户仅使用该服务角色标识符在后续场合访问服务。这例如对于保证期望数目的用户可访问服务而言可能是重要的。一旦已经成功地创建了用户账户，则服务控制访问模块508提供（814）对所请求服务的访问。如果在804处用户指示其具有先前创建的用户账户，则服务控制访问模块508从用户获得（816）认证数据，诸如用户名和口令或其他适当的认证数据。如果服务控制访问模块508能够基于存储在账户数据储存库中的细节对用户的身份进行认证（818），则服务控制访问模块508提供（814）对请求服务的用户访问。否则，服务控制访问模块508拒绝（820）对所请求服务的访问。服务控制访问模块508可以以任何适当的方式来提供对服务的访问（814），包括例如通过经由服务控制访问模块508来提供访问，或者通过使用户的浏览器改向至与所请求服务相关联的URI。当服务控制访问模块508提供对服务的访问（814）时，在一个示例中，其可以适当地针对与请求访问服务的用户相关联的角色类型对服务进行配置，从而保证请求访问服务的用户被提供适当的访问水平。在另一示例中，当服务被访问时，其从存储在用户账户储存库中的用户账户获得用户服务访问水平的细节，并且保证用户根据其关联的服务访问水平或角色类型可访问功能。如前所述，随着客户端组织用户访问服务，服务控制访问模块508通过存储访问服务的用户的细节来跟踪用户的数目。在一个示例中，这些细节被存储在服务管理文件（未示出）中。服务管理文件还可以是客户端组织用户中的至少某些可访问的，诸如具有特许角色的用户。这样，诸如请求用户的管理员用户可以管理可访问服务的用户的列表，并且可以例如删除不再可访问服务的用户，可以改变与每个用户相关联的角色类型，并且执行其他常见管理员类型任务。在本发明的某些示例中，具有管理角色的用户可能能够观看或管理其他用户账户，例如以检查正确的用户具有正确的访问水平，修改与用户相关联的角色类型等。在又另一示例中，服务控制访问模块508包括账单模块（未示出），其使得服务提供商能够针对客户端组织用户进行的服务使用来开账单。在一个示例中，账单模块基于已访问服务的用户的实际数目来计算账单，与最初请求用户所请求的用户的数目相反。与常规开账单方法相比，这可以例如允许客户端组织实现重要的节省。在另一示例中，除将被提供对服务的访问的用户的最大数目之外，由服务控制访问模块508接收到的服务请求还可以包括将能够访问服务的同时用户的最大数目。在本示例中，服务控制访问模块508在许可对服务的访问之前执行附加检查，以保证当前使用服务的用户数目不超过同时用户的所请求最大数目。例如，请求客户端可以请求可访问服务的用户的最大数目为10000且同时用户的最大数目为5000。例如，如果客户端组织在地理上分布在不同的时区之中，并且在任一时间将只有客户端组织用户的一部分在使用服务，则这可能是有用的。这样，服务提供商系统可能能够使用较少的资源提供服务（诸如在步骤608中），并且因此可能能够以降低的成本提供服务。上述示例可以向服务提供商和客户端组织两者提供显著的优点。针对服务提供商，以上示例使得客户端组织能够在不要求或仅要求有限的服务提供商的人为干预的情况下将用于多个客户端组织用户的服务访问排序。因此，这可以导致服务提供商成本的降低，该成本降低又可以使得服务提供商能够以较低成本向客户端提供服务。针对客户端组织，以上示例使得客户端组织能够将服务访问排序并向需要服务访问的客户端组织用户分发访问细节。此外，通过能够在服务提供商系统上直接地修改用户列表及其关联服务访问水平或角色，客户端组织管理员可以直接地管理其组织内的什么人可继续访问服务。将认识到的是可以以硬件、软件或硬件和软件的组合来实现本发明的示例和实施例。可以以易失性或非易失性储存器的形式来存储任何此类软件，诸如，例如类似于ROM的存储器件，无论是不是可擦除或可重写的，或者以存储器的形式，诸如，例如RAM、存储器芯片、器件或集成电路，或者在光或磁可读介质上，诸如，例如CD、DVD、磁盘或磁带。将认识到的是存储器件和存储介质是适合于存储一个或多个程序的机器可读储存器的示例，所述程序在被执行时实现本发明的示例。相应地，示例提供了包括用于实现如在任何前述权利要求中所述的系统或方法的代码的程序和存储此类程序的机器可读储存器。更进一步地，可以经由任何介质来以电子方式传达本发明的示例，诸如通过有线或无线连接载送的通信信号，并且示例适当地涵盖这一点。可以以任何组合将在本说明书（包括任何所附权利要求、摘要和附图）中公开的所有特征和/或因此公开的任何方法或过程的所有步骤组合，除其中此类特征和/或步骤中的至少某些互相排斥的组合之外。可以用服务于相同、等价或类似目的的替换特征来替换在本说明书（包括任何所附权利要求、摘要和附图）中公开的每个特征，除非另外明确地说明。因此，除非另外明确地说明，公开的每个特征仅仅是等价或类似特征的一般系列的一个示例。