将用户账户与企业工作空间相关联的制作方法

相关申请的交叉引用

本申请要求于2016年3月30日提交的标题为“将用户账户与企业工作空间相关联(ASSOCIATING USER ACCOUNTS WITH ENTERPRISE WORKSPACES)”的美国非临时专利申请第15/085,400号的权益，其全部内容通过引用并入本文。

背景技术：

一些公司为其员工提供专用于工作目的的计算设备。这些公司通常对设备的使用施加限制。例如，一些公司指示他们的员工抑制使用他们的工作设备进行个人活动。

有些公司实施“自带设备”(BYOD)政策，允许员工携带他们的个人设备上班，并将个人设备用于工作目的。例如，这些公司可允许员工使用他们的个人笔记本电脑访问其公司的内部网络、电子邮件服务器和工作文件。

但是，如果员工的个人设备的安全性受损，受损设备可能会使公司受到更高的安全风险。例如，如果员工的操作系统没有用最新的安全补丁更新，恶意用户可以利用受损设备中的安全漏洞通过用户的受损设备访问公司资源。

附图说明

参照以下附图可以更好地理解本公开的许多方面。附图中的组件不一定按比例绘制，而是着重于清楚地示出本公开的原理。而且，在附图中，贯穿几个视图，相同的附图标记表示相应的部分。

图1是联网环境的示例的图。

图2A-图2C是示出组件交互的示例的序列图。

图3A-图3C是示出组件交互的另一示例的序列图。

图4A-图4C是示出组件交互的另一示例的序列图。

图5是示出由管理服务实现的功能的示例的流程图。

图6是示出由管理服务实现的功能的另一示例的流程图。

图7是示出由企业管理组件实现的功能的示例的流程图。

图8是示出由工作空间配置组件实现的功能的示例的流程图。

图9是示出由管理服务实现的功能的另一示例的流程图。

图10是示出由企业管理组件实现的功能的另一示例的流程图。

图11是示出由工作空间配置组件实现的功能的另一示例的流程图。

具体实施方式

本公开涉及可以在计算设备中创建的企业工作空间的配置。在一些示例中，计算设备中的操作系统可以在设备中建立个人工作空间和企业工作空间。操作系统可以将企业工作空间中的组件和数据与个人工作空间中的组件和数据分开。另外，组件可以监视、控制和限制企业工作空间中的活动，而无需监视、控制或限制个人工作空间中的活动。

为了配置设备的企业工作空间，操作系统可以要求客户端设备的用户利用分发器创建用户账户并将该用户账户与企业工作空间相关联。如将在下面进一步详细描述的，本文描述的组件可以促进用户账户的创建以及将用户账户与企业工作空间相关联的过程。

在下面的讨论中，将描述系统及其组件的示例，然后描述这些系统的操作的示例。

参照图1，示出了联网环境100的示例。联网环境100可以包括通过网络113进行数据通信的企业计算环境103、客户端设备106和操作系统分发器计算环境109。网络113可以包括互联网、一个或更多个内联网、外联网、广域网(WAN)、局域网(LAN)、有线网络、无线网络、或两个或更多个这种网络的任何组合。网络113可以包括卫星网络、有线电视网络、以太网、蜂窝网络和电话网络。

企业计算环境103可以是由一个或更多个企业(例如企业或其他组织)操作的计算系统。企业计算环境103可以包括可以提供计算能力的计算设备，例如服务器计算机。可选地，企业计算环境103可以包括在一个或更多个服务器库或计算机库中布置的多个计算设备。对于其中企业计算环境103包括多个计算设备的示例，计算设备可以位于单个安装中，或者计算设备可以分布在多个不同的地理位置中。

在一些示例中，企业计算环境103可以包括一起形成托管计算资源或网格计算资源的计算设备。在其他示例中，企业计算环境103可以作为弹性计算资源来操作，用于弹性计算资源的计算相关资源(例如处理资源、网络资源和存储资源)的分配容量可以随着时间而变化。在其他示例中，企业计算环境103可以包括或可以操作为可以被执行以便执行本文描述的功能的一个或更多个虚拟化计算机实例。

企业计算环境103可以包括各种系统。例如，企业计算环境103可以包括管理服务116，其可以监视和管理与操作企业计算环境103的企业相关联的客户端设备106的操作。在一些示例中，管理服务116可以管理和监督登记在由管理服务116提供的移动设备管理服务中的多个客户端设备106的操作。管理服务116还可以向客户端设备106提供对电子邮件、日历数据、联系人信息以及与企业相关联的其他资源的访问。

企业计算环境103还可以包括目录服务119。目录服务119可以认证用户并确定用户有权访问哪些特定的企业资源。目录服务119还可以管理已访问企业计算环境103的资源的用户的凭证，例如用户名和密码。在一些示例中，目录服务119可以包括MICROSOFT ACTIVE DIRECTORY目录服务。

管理服务116可以包括认证服务123，其可以在各种组件之间交换用户认证和授权数据。例如，组件可以请求认证服务123认证用户并且通知组件用户是否已经被认证。为此，认证服务123可以获得认证数据(诸如用户名和密码)，并且针对身份提供者(诸如目录服务119)来认证用户。如果目录服务119认证用户，则认证服务123可以向组件提供令牌以指示该用户已认证。各种示例中的认证服务123可以包括安全断言标记语言(SAML)端点。

企业计算环境103还可以包括企业数据存储126。企业数据存储126可以代表可由联网环境100中的组件访问的多个企业数据存储126。企业数据存储126可以存储与企业计算环境103相关联的各种数据。例如，企业数据存储126可以存储用户数据129和合规规则133。

存储在企业数据存储126中的用户数据129可以包括表示与关联于企业计算环境103的用户相对应的信息的数据。例如，用户数据129可以指定特定用户有权访问哪些特定资源(诸如数据和应用程序)。另外，用户数据129可以指示是否允许用户向管理服务116注册。

管理服务116可以将各种合规规则133分配给各个客户端设备106。合规规则133可以指定例如必须满足的一个或更多个条件，以使客户端设备106被认为符合合规规则133。在各种示例中，企业计算环境103、客户端设备106或者企业计算环境103和客户端设备106两者都可以确定客户端设备106是否满足合规规则133。例如，客户端设备106可以生成描述客户端设备106的状态以及关联的信息、设置和参数的数据对象。客户端设备106或管理服务116中的组件可评估数据对象以确定客户端设备106是否符合对应的合规规则133。

在一个示例中，合规规则133可以指定特定应用程序被禁止安装在客户端设备106中。作为另一示例，合规规则133可以指定客户端设备106必须位于安全位置，诸如操作企业计算环境103的企业的场所，以便客户端设备106被授权访问或呈现客户端设备106中的内容。在另一示例中，合规规则133可以指定当客户端设备106从低功率“睡眠”状态被“唤醒”时要求生成锁屏以及用户需要密码来解锁锁屏。

各种合规规则133可以基于时间、地理位置或设备和网络属性。例如，当客户端设备106位于特定地理位置内时，客户端设备106可以满足合规规则133。在其他示例中，当客户端设备106与特定局域网(诸如由企业计算环境103管理的特定局域网)通信时，客户端设备106可以满足合规规则133。此外，在另一个例子中，可以在时间和日期匹配指定值时满足合规规则133。

合规规则133的另一个示例涉及用户是否属于特定的用户组。例如，合规规则133可以包括指定特定用户或用户组是否被授权执行各种功能(例如安装或执行特定应用程序)的白名单或黑名单。

在一些示例中，企业可以操作管理服务116以确保其用户的客户端设备106满足各个合规规则133。通过确保其用户的客户端设备106符合合规规则133操作，企业可以控制对资源的访问并且由此改善与企业和客户端设备106的用户相关联的设备的安全性。

客户端设备106可以代表可以耦合到网络113的多个客户端设备106。客户端设备106可以包括基于处理器的计算机系统，诸如台式计算机、膝上型计算机、个人数字助理、手机或平板电脑。

客户端设备106可以包括操作系统136。操作系统136可以管理客户端设备106中的硬件和软件资源。操作系统136还可以提供各种服务，诸如进程间通信服务，其可以促进客户端设备106内的各种组件彼此通信和共享数据。

操作系统136还可以包括工作空间配置组件139。工作空间配置组件139可以创建、配置和维护客户端设备106中的多个工作空间。例如，如图1所示，工作空间配置组件139可以创建个人工作空间143和企业工作空间146。工作空间(诸如个人工作空间143和企业工作空间146)可以是虚拟容器，其中工作空间内的组件和数据与工作空间外部的其他组件分开并隔离。例如，操作系统136可以防止个人工作空间143中的至少一些组件与企业工作空间146内的组件通信或访问企业工作空间146内的数据。类似地，操作系统136可以防止企业工作空间146中的至少一些组件与个人工作空间143内的组件通信或访问个人工作空间143内的数据。在一些示例中，个人工作空间143可被认为是客户端设备106的默认工作空间。

客户端设备106可以包括个人工作空间143中的激活组件149。激活组件149可以监视和控制个人工作空间143中的组件。例如，个人工作空间组件149可以确定是否满足各种合规规则133。在一些示例中，激活组件149可以解析描述个人工作空间143的状态和个人工作空间143中的设置的数据对象，以确定客户端设备106是否满足合规规则133。在其他示例中，激活组件149可以与管理服务116通信以确定管理服务116是否认为满足合规规则133。如将在下面进一步详细描述的，激活组件149还可以与工作空间配置组件139通信以辅助供应和配置企业工作空间146。

在一些示例中，激活组件149可以是操作系统136的一部分。在另一示例中，激活组件149可以在客户端设备106的应用层中操作。例如，激活组件149可以作为可以监视和管理与客户端设备106相关联的数据、软件组件和硬件组件的专用应用程序来操作。

客户端设备106还可以包括企业工作空间146中的企业管理组件153。企业管理组件153可以监视和控制企业工作空间146中的组件。例如，企业管理组件153可以确定是否满足各种合规规则133。为此，企业管理组件153可以解析描述企业管理组件153的状态和企业管理组件153中的设置的数据对象，以确定客户端设备106是否满足合规规则133。在其他示例中，企业管理组件153可以与管理服务116进行通信，以确定管理服务116是否认为满足合规规则133。如将在下面进一步详细描述的，企业管理组件153可以与工作空间配置组件139通信，以辅助企业工作空间146的配置。

在一些示例中，企业管理组件153可以是操作系统136的一部分。在其他示例中，企业管理组件153可以在客户端设备106的应用层中操作。例如，企业管理组件153可以作为可以监视和管理与客户端设备106相关联的数据、软件组件和硬件组件的专用应用程序来操作。此外，企业管理组件153可以包括设备策略控制器，其可以辅助管理服务116管理对企业组件和数据的访问。设备策略控制器还可以与管理服务116通信以应用设备限制和设置并验证符合合规规则133。此外，设备策略控制器可以提供和配置企业工作空间146，如将在下面进一步详细描述的。

操作系统分发器计算环境109可以包括由操作系统136的分发器操作的组件。操作系统136的分发器可以是开发、管理、支持、分发操作系统136或为操作系统136提供更新的实体。对于其中操作系统136是ANDROID操作系统的示例，操作系统分发器计算环境109可以是与开发和分销ANDROID操作系统的Google公司相关联的或由其操作的计算环境。

操作系统分发器计算环境109可以包括组件储存库156。组件储存库156可以包括门户，通过该门户客户端设备106可以获得各种组件，诸如应用程序、操作系统136以及对操作系统136的更新。在一些示例中，组件储存库156可以是通常由公众访问的公共储存库。在其他示例中，组件储存库156可以是只能由注册到管理服务116的客户端设备106访问的私有储存库。此外，管理服务116可以指定组件储存库156使其可用于客户端设备106的特定组件。例如，客户端设备106的用户数据129可以指定客户端设备106被分配给特定组，并且管理服务116可以识别可用于客户端设备106是其成员的组的特定应用程序。

操作系统分发器计算环境109还可以包括用户账户管理器159。用户账户管理器159可以创建、更新和维护用户账户163，其可以存储在操作系统分发器数据存储166中。用户账户管理器159可以包括可以促进客户端设备106和企业计算环境103与用户账户管理器159进行通信和交互的接口，诸如应用程序编程接口(API)，如将在下面进一步详细讨论的。

操作系统分发器数据存储166可以表示由操作系统分发器计算环境109中的组件访问的多个操作系统分发器数据存储166。操作系统分发器数据存储166可以存储与操作系统136的分发器相关联的各种数据。例如，操作系统分发器数据存储166可以存储用户账户163。

用户账户163可以包括与已经向操作系统分发器计算环境109注册服务的用户相关联的信息。用户账户163可以向用户提供对由操作系统分发器计算环境109提供的服务和组件的访问。例如，用户账户163可以向用户提供对由操作系统分发器计算环境109托管的电子邮件和基于网页的应用程序的访问。另外，操作系统136可以要求将用户账户163与企业工作空间146关联，以便操作系统136供应企业工作空间146。在操作系统136是由Google公司开发和分销的ANDROID操作系统的示例中，用户账户163可以是GOOGLE账户，其可以提供对GMAIL电子邮件账户和GOOGLE PLAY组件库的访问。

接下来，描述联网环境100中的组件的操作的示例。以下讨论假定激活组件149尚未被安装并且工作空间配置组件139尚未供应企业工作空间146。

供应企业工作空间146的过程可以在客户端设备106被注册到管理服务116时发起。例如，操作企业计算环境103的企业可以要求其员工和承包商将客户端设备106注册到管理服务116，以便客户端设备106访问由企业计算环境103提供的资源。

首先，客户端设备106可以将激活组件149安装在个人工作空间143中。在一些示例中，企业计算环境103可以向客户端设备106的用户提供用于获取和安装激活组件149的指令。

一旦将激活组件149安装在个人工作空间143中，激活组件149可以提示用户输入他或她的企业电子邮件地址，该企业电子邮件地址可以与用户唯一关联。激活组件149然后可以将企业电子邮件地址发送到管理服务116，管理服务116可以获得与企业电子邮件地址相关联的用户数据129。用户数据129可以指示用户是否被授权将客户端设备106注册到管理服务116。在一些示例中，管理服务116可以基于企业电子邮件地址来认证客户端设备106的用户。

如果用户数据129指示与企业电子邮件地址相关联的用户被授权向管理服务116注册，则管理服务116可以请求激活组件149提供设备属性，诸如操作系统136是否被配置为在客户端设备106中供应企业工作空间146的指示。在一些示例中，操作系统136是否被配置为供应企业工作空间146的指示可以包括安装在客户端设备106中的操作系统136的名称和版本。

如果操作系统136被配置为供应企业工作空间146，则管理服务116可以指示激活组件149向管理服务116注册客户端设备106并且使操作系统136供应企业工作空间146，如现在将要描述的。

为了向管理服务116注册客户端设备106，激活组件149可以在客户端设备106的显示器中向用户呈现消息，例如欢迎消息。另外，激活组件149可以呈现请求用户输入他或她的企业电子邮件地址和密码的提示。当接收到企业电子邮件地址和密码时，激活组件149可以将企业电子邮件地址和密码发送到管理服务116。

一旦管理服务116基于企业电子邮件地址和密码认证用户，则管理服务116可以将表示客户端设备106的数据与用于客户端设备106的用户的用户数据129相关联。另外，管理服务116可以确定客户端设备106是否符合可以分配给客户端设备106的合规规则133。

如果客户端设备106满足合规规则133，则管理服务116可以请求激活组件149呈现管理服务116的使用条款以向用户显示。激活组件149然后可以请求客户端设备106的用户接受或拒绝使用条款。如果用户接受使用条款，则激活组件149可以向管理服务116发送对接受的确认。作为响应，管理服务116可以创建客户端设备106的记录并将其存储在企业数据存储126中。一旦客户端设备106的记录已经存储在用户数据129中，则激活组件149可以使工作空间配置组件139供应企业工作空间146，如现在将描述的。

激活组件149可以通过例如对操作系统136进行请求配置企业工作空间146的API调用，来请求工作空间配置组件139开辟(initiate)企业工作空间146。如上所述，工作空间配置组件139可以是操作系统136的能够创建、配置和维护企业工作空间146的组件。响应于该请求，工作空间配置组件139可以呈现消息，诸如操作系统136或企业工作空间146的使用条款，并且请求客户端设备106的用户接受或拒绝使用条款。在供应企业工作空间146之前，工作空间配置组件139还可以通知用户操作系统136要求客户端设备106被加密。

如果用户接受使用条款，如果客户端设备106尚未被加密，则工作空间配置组件139可以加密客户端设备106中的资源。在一些示例中，加密资源可能需要重新启动客户端设备106。

在客户端设备106被加密之后，工作空间配置组件139可以为企业工作空间146配置企业配置文件(profile)。企业配置文件可以包括数据(例如合规规则133)，其指定企业管理组件153的许可和限制。在各种示例中，激活组件149可以将由合规规则133或管理服务116指定的设置转移至企业工作空间146的企业配置文件。

然后，激活组件149可以请求工作空间配置组件139安装或激活企业工作空间146中的企业管理组件153。一旦企业管理组件153被激活，企业管理组件153就可以从管理服务116获得配置设置和合规规则133。

此时，企业工作空间146可以存在，但是如上所述，操作系统136可以要求用于操作系统136的分发器的用户账户163与企业工作空间146相关联，以便企业工作空间146访问服务(诸如组件储存库156)。在一些示例中，企业管理组件153或管理服务116可以请求用户账户管理器159提供用户账户163是否已经存在的指示，其与客户端设备106的用户的企业电子邮件地址相关联。

如果用户账户管理器159利用指示用户尚未具有操作系统136的分发器的用户账户163的消息进行响应，则管理服务116和企业管理组件153可以创建用户账户163。现在将描述创建用户账户163和将用户账户163与企业工作空间146相关联的各种方法。

在一种方法中，管理服务116可以发送对企业管理组件153的请求，以获取要为用户创建的用户账户163的密码。在接收到请求时，企业管理组件153可以请求客户端设备106的用户输入用户账户163的密码。在用户提供密码之后，企业管理组件153可以将密码发送到管理服务116。在替代示例中，管理服务116或企业管理组件153可以在没有来自用户的输入的情况下生成密码(诸如随机密码)。

管理服务116或企业管理组件153然后可以发送对操作系统分发器计算环境109中的用户账户管理器159的请求，以为用户创建用户账户163。如上所讨论的，用户账户管理器159可以提供通信接口(诸如API)，其可以促进组件(诸如管理服务116或企业管理组件153)请求创建用户账户163。因此，在一些示例中，管理服务116或企业管理组件153可以向用户账户管理器159发送API调用，请求创建用户账户163。API调用可以指定用户账户163的用户名是用户的企业电子邮件地址，并且指定用户账户163的密码与先前由管理服务116、企业管理组件153或客户端设备106的用户生成的密码相同，如上所述。然后，用户账户管理器159可以基于企业电子邮件地址和密码创建用户账户163，并通知管理服务116或企业管理组件153该创建。

在企业管理组件153被通知用户账户163的创建之后，企业管理组件153可以请求工作空间配置组件139呈现用于配置企业工作空间146的用户界面。在一些示例中，企业管理组件153可以通过提供对操作系统136的API调用来进行请求。作为响应，工作空间配置组件139可以呈现包括用于电子邮件地址和密码的输入字段的用户界面。然后，企业管理组件153可以使用与客户端设备106的用户相关联的企业电子邮件地址填充电子邮件地址的字段。在其他示例中，用户可以将企业电子邮件地址手动输入到电子邮件地址的字段中。

然后，企业管理组件153可以提示用户将用户账户163的密码输入到用户界面的密码字段中。在替代示例中，企业管理组件153可以使用用户账户163的密码自动填充密码字段。

在用户账户163的企业电子邮件地址和密码已被输入到用户界面中之后，工作空间配置组件139可以与用户账户管理器159通信，以基于电子邮件地址和密码来认证用户。如果用户账户管理器159认证用户，则用户账户管理器159可以通知工作空间配置组件139。响应于工作空间配置组件139被通知该认证，工作空间配置组件139可以将用户账户163与企业管理组件153相关联。然后，如上所述，企业工作空间146中的组件可以访问各种服务，诸如由操作系统136的分发器提供的组件储存库156。另外，在一些示例中，企业管理组件153可以请求操作系统136卸载个人工作空间143中的激活组件149。

创建用户账户163并将其与企业工作空间146相关联的另一种方法可以涉及由管理服务116提供的认证服务123。如上所述，上述认证服务123可以包括SAML端点。

对于涉及认证服务123的示例，管理服务116或企业管理组件153可以发送对用户账户管理器159的请求，以为用户创建用户账户163。为此，管理服务116或企业管理组件153可以发送对用户账户管理器159的API调用，请求创建用户账户163。API调用可以指定用户账户163的用户名是用户的企业电子邮件地址。另外，API调用可以指定认证服务123将代表用户账户管理器159为用户执行认证。在一些示例中，API调用可以包括用于用户账户163的密码数据(诸如随机密码或占位符密码)，即使认证服务123将在没有用户账户163的密码的情况下执行用户认证。然后用户账户管理器159可以基于企业电子邮件地址创建用户账户163并通知管理服务116或企业管理组件153该创建。

然后，企业管理组件153可以请求工作空间配置组件139呈现用于配置企业工作空间146的用户界面。例如，企业管理组件153可以通过提供对操作系统136的API调用来进行请求。作为响应，工作空间配置组件139可以呈现包括电子邮件地址的输入字段的用户界面。然后，企业管理组件153可以使用与客户端设备106的用户相关联的企业电子邮件地址填充电子邮件地址的字段。在其他示例中，用户可以将企业电子邮件地址手动输入到电子邮件地址字段中。

然后，企业管理组件153可以发送对认证服务123的请求以认证用户。因为当用户提供他或她的凭证以向管理服务116注册时，认证服务123已经对用户进行了认证，如上所述，所以认证服务123可以在没有来自客户端设备106的用户的任何附加输入的情况下认证用户。

然后管理服务116可以向工作空间配置组件139发送认证确认。对于其中认证服务123包括SAML端点的示例，认证确认可以包括SAML认证令牌。

响应于从认证服务123接收到认证确认，工作空间配置组件139可将用户账户163与企业管理组件153相关联。然后，如上所述，企业工作空间146中的组件可访问各种服务，诸如由操作系统136的分发器提供的组件储存库156。另外，在一些示例中，企业管理组件153可以请求操作系统136卸载个人工作空间143中的激活组件149。

参照图2A-图2C，示出了说明联网环境100中的组件的交互的示例的序列图。图2A-图2C的序列图示出了确定代表客户端设备106的用户创建用户账户163的组件的示例。

从步骤203开始，激活组件149可以请求工作空间配置组件139开辟企业工作空间146。在一些示例中，这可以涉及激活组件149提供对操作系统136的API调用以请求工作空间配置组件139开辟企业工作空间146。

在步骤206，工作空间配置组件139可以从操作系统136或企业工作空间146的服务条款的用户获得接受。在一些示例中，工作空间配置组件139可以呈现显示用于用户的服务条款的用户界面。用户可以在用户界面中选择一个按钮来指示用户接受服务条款。

如上所述，操作系统136可以要求在创建企业工作空间146之前客户端设备106被加密。这样，在步骤209，工作空间配置组件139可以加密客户端设备106。在一些示例中，加密客户端设备106可以要求重新启动客户端设备106。

如步骤213所示，激活组件149然后可以转移用于企业工作空间146的配置文件的设置。该配置文件可以包括数据(例如合规规则133)，其为企业管理组件153指定许可和限制。激活组件149可以从管理服务116获得配置文件的设置。

在如图2B所示的步骤216，激活组件149可以请求工作空间配置组件139激活企业管理组件153。为此，激活组件149可以提供对操作系统136的API调用，请求激活企业管理组件153。作为对该请求的响应，工作空间配置组件139可以激活企业管理组件153，如步骤219所示。

在步骤223，企业管理组件153然后可以向管理服务116发送消息，以通知管理服务116企业管理组件153被激活。作为响应，如步骤226所指示的，管理服务116可以发送企业管理组件153的设置。例如，管理服务116可以向企业管理组件153提供管理服务116分配给客户端设备106的合规规则133。

在如图2C所示的步骤229，管理服务116然后可以从用户账户管理器159请求与企业电子邮件账户相关联的用户账户163是否已经存在于操作系统分发器数据存储166中的指示。为此，管理服务116可以使用企业电子邮件地址作为参数，发送对用户账户管理器159的API调用。在本示例中，尚不存在针对企业电子邮件地址的用户账户163。这样，如步骤233所示，用户账户管理器159可以通过发送用户账户163尚不存在的通知来响应管理服务116。

如步骤236所示，管理服务116然后可以发起针对企业电子邮件地址的用户账户163的创建。为此，可以应用参照图3A-图3C和图4A-图4C描述的方法。

参照图3A-图3C，示出了说明联网环境100中的组件的交互的另一示例的序列图。图3A-图3C的序列图示出了创建用户账户163的组件的示例。

如步骤303所示，管理服务116可以发送对企业管理组件153的请求，以从用户获得要创建的用户账户163的密码。在步骤306，企业管理组件153可以提示用户提供密码。例如，企业管理组件153可以在用户界面中呈现请求用户输入密码的消息。然后，在步骤309，企业管理组件153可以从用户获得密码。在其他示例中，企业管理组件153或管理服务116可以在没有来自用户的输入的情况下生成密码。

在步骤313，企业管理组件153可以将密码发送给管理服务116。然后，如步骤316所示，管理服务116可以发送对用户账户管理器159的请求，以基于用户的企业电子邮件地址和从企业管理组件153获得的密码来创建用户账户163。如上所述，该请求可以是API调用的形式，其包括企业电子邮件地址和密码作为参数。

在如图3B所示的步骤319，用户账户管理器159可以创建用户账户163。此后，如步骤323所示，用户账户管理器159可以向管理服务116发送通知，以通知管理服务116该账户创建。在步骤326，管理服务116可以通知企业管理组件153该账户创建。

如步骤329所示，企业管理组件153然后可以请求工作空间配置组件139呈现用于配置企业工作空间146的用户界面。如上所述，用户界面可以包括电子邮件地址和密码可以输入其中的字段。在步骤333，工作空间配置组件139可以呈现用户界面。

在如图3C所示的步骤336，企业管理组件153然后可以用用户的企业电子邮件地址填充该用户界面中的电子邮件地址字段。如步骤339所示，企业管理组件153然后可以提示用户将用户账户163的密码输入到用户界面的密码字段中。在其他示例中，企业管理组件153或管理服务116可以用密码填充密码字段。如步骤343所示，工作空间配置组件139可以在用户界面的密码字段中获得密码。

如步骤346所示，工作空间配置组件139然后可以基于所获得的企业电子邮件地址和密码来发送对用户账户管理器159的请求，以认证客户端设备106的用户。在本示例中，如步骤349所示，用户账户管理器159已经对用户进行了认证，因此用户账户管理器159可以向工作空间配置组件139发送认证的确认。

如步骤353所示，响应于从用户账户管理器159获得认证确认，工作空间配置组件139可将用户账户163与企业工作空间146相关联。如上所述，操作系统136然后可向企业工作空间146中的组件提供对服务(例如组件储存库156)的访问。

参照图4A-图4C，示出了说明联网环境100中的组件的交互的另一示例的序列图。图4A-图4C的序列图示出了创建用户账户163的组件的另一个示例。

首先，在步骤403，管理服务116可以发送对用户账户管理器159的请求，以基于用户的企业电子邮件地址创建用户账户163。另外，该请求可以通知用户账户管理器159认证服务123将代表用户账户管理器159对用户执行认证。

在步骤406，用户账户管理器159可以创建用户账户163。此后，如步骤409所示，用户账户管理器159可以向管理服务116发送通知，以通知管理服务116该账户创建。在步骤413，管理服务116可以通知企业管理组件153该账户创建。

如步骤329所示，企业管理组件153然后可以请求工作空间配置组件139呈现用于配置企业工作空间146的用户界面。如上所述，用户界面可以包括电子邮件地址和密码可以输入其中的字段。在步骤416，工作空间配置组件139可以呈现用户界面。如图4B所示的步骤419处所示，工作空间配置组件139可以呈现用户界面。然后，在步骤423，企业管理组件153可以用用户的企业电子邮件地址填充用户界面中的电子邮件地址字段。在其他示例中，用户可以将企业电子邮件地址输入到用户界面的字段中。

然后，如步骤426所示，企业管理组件153可以向管理服务116请求认证服务123以认证用户。如上所述，认证服务123可以包括SAML端点，其能够针对目录服务119认证用户。由于认证服务123可能之前已经基于企业电子邮件地址和用于管理服务116的密码认证了用户，所以认证服务123可以在用户不提供附加信息的情况下认证用户。在其他示例中，认证服务123可以请求用户提供凭证，诸如企业电子邮件地址和用于管理服务116的密码，以便认证用户。

在图4C所示的步骤429，管理服务116中的认证服务123可以认证用户，然后向工作空间配置组件139发送认证的通知，如步骤433所示。一旦从管理服务116获得认证确认，则工作空间配置组件139可以将用户账户163与企业工作空间146相关联，如步骤436所示。如上所述，操作系统136然后可以向企业工作空间146中的组件提供对服务(例如组件储存库156)的访问。

参照图5，示出了提供管理服务116的一部分操作的示例的流程图。特别地，图5提供管理服务116确定是否在客户端设备106中供应企业工作空间146以及是否使用认证服务123来认证用户的示例。图5的流程图可以被视为描绘了在企业计算环境103中实现的方法的示例。

从步骤503开始，管理服务116可以发起客户端设备106向管理服务116的注册。例如，管理服务116可以从客户端设备106接收客户端设备106试图注册到管理服务116的通知。

在步骤506，管理服务116可以确定客户端设备106中的操作系统136是否被配置为提供企业工作空间146。为此，管理服务116可以请求客户端设备106识别操作系统136的类型以及版本，并且管理服务116可以确定所识别的操作系统136是否在被配置为提供企业工作空间146的操作系统136的列表中。

如果操作系统136未被配置为提供企业工作空间146，则该过程可以如图所示结束。否则，如果操作系统136被配置为提供企业工作空间146，则管理服务116可以确定认证服务123是否将被用于对客户端设备106的用户的认证，如步骤509所示。为此，管理服务116可以咨询指定认证服务123是否将用于认证的用户数据129。

如果未使用认证服务123，则管理服务116可以移动到步骤516并且不使用认证服务123配置企业工作空间146。不使用认证服务123配置企业工作空间146的示例在下文关于图6-图8进行讨论。如果管理服务116确定认证服务123将被用于认证，则管理服务116可以移动到步骤513并且使用认证服务123来配置企业工作空间146。使用认证服务123配置企业工作空间146的示例在下文关于图9-图11进行讨论。在步骤513或516之后，过程可以如图所示结束。

参照图6，示出了提供管理服务116的一部分操作的另一示例的流程图。特别地，图6提供了管理服务116用操作系统136的分发器创建用户账户163的示例，例如其中认证服务123未被用于认证用户。图6的流程图可被视为描绘了在企业计算环境103中实现的方法的示例。

首先，如步骤603所示，管理服务116可以发送对企业管理组件153的请求以从用户获得密码。密码可以是将被用于访问即将创建的用户账户163的密码。在步骤606，管理服务116可以从企业管理组件153获得密码。在其他示例中，管理服务116或企业管理组件153可以生成密码，而不是用户提供密码。

在步骤609，管理服务116然后可以发送对用户账户管理器159的请求，以基于用户的企业电子邮件地址和用户提供的密码为用户创建用户账户163。为此，管理服务116可以使用企业电子邮件地址和密码作为调用的参数，发送对用户账户管理器159的API调用。用户账户管理器159可以将API调用识别为创建用户账户163的请求。

然后，管理服务116可以移动到步骤613，并确定它是否从用户账户管理器159获得了创建用户账户163的通知。如果否，则该过程可以如图所示结束。否则，如果管理服务116获得了创建用户账户163的通知，则管理服务116可以向企业管理组件153发送创建用户账户163的通知。之后，该过程可以结束。

参照图7，示出了提供企业管理组件153的一部分操作的示例的流程图。特别地，图7提供了企业管理组件153使得用户账户163与企业工作空间146相关联的示例。图7的流程图可被视为描绘了在客户端设备106中实现的方法的示例。

从步骤703开始，企业管理组件153可以获得从客户端设备106的用户获得密码的请求。如上所述，可以从管理服务116接收该请求。所接收的密码可以是用于访问将要创建的用户账户163的密码。

然后，在步骤706，企业管理组件153可以提示用户提供密码。在一些示例中，企业管理组件153可以呈现具有请求用户提供密码的消息的用户界面。如步骤709所示，企业管理组件153然后可以获得用户输入的密码。在步骤713，企业管理组件153可以将接收到的密码发送到管理服务116。

如步骤716所示，企业管理组件153可以基于用户的企业电子邮件地址和在步骤709获得的密码来确定其是否获得了指示已经创建了用户账户163的通知。如上所述，管理服务116可以转发来自用户账户管理器159的账户创建的通知。

如果没有获得指示用户账户163被创建的通知，则该过程可以如图所示结束。否则，如果企业管理组件153获得账户创建的通知，则企业管理组件153可以移动到步骤719并请求工作空间配置组件呈现用于配置企业工作空间146的用户界面。为此，企业管理组件153可以提供对操作系统136的API调用。如上所讨论的，用于配置企业工作空间的用户界面可以包括用于企业电子邮件地址和与用户账户163相关联的密码的字段。

在步骤723，企业管理组件153可以用用户的企业电子邮件地址填充用户界面中的电子邮件地址字段。在其他示例中，用户可以将企业电子邮件地址输入到用户界面中。

另外，如步骤726所示，企业管理组件可以提示用户将与用户账户163相关联的密码输入到用户界面的密码字段中。在其他示例中，当在步骤709获得密码时，企业管理组件153可以通过复制密码来用密码填充密码字段。此后，该过程可以结束。

参照图8，示出了提供工作空间配置组件139的一部分操作的示例的流程图。特别地，图8提供了工作空间配置组件139将用户账户163与企业工作空间146相关联的示例。图8的流程图可以被视为描绘了在客户端设备106中实现的方法的示例。

从步骤803开始，工作空间配置组件139可以获得呈现用于配置企业工作空间146的用户界面的请求。如上所述，企业管理组件153可以提供该请求。在步骤806，工作空间配置组件139可以呈现用户界面，其可以包括用于输入与用户账户163相关联的电子邮件地址和密码的字段。在步骤809，工作空间配置组件139可以从例如企业管理组件153获得用户的企业电子邮件地址。此后，工作空间配置组件139可以将企业电子邮件地址插入到用户界面的电子邮件地址字段中，如步骤813所示。

在步骤816，工作空间配置组件139还可以从用户获得用户账户163的密码。在替代示例中，企业管理组件153可以提供密码。

如步骤819所示，工作空间配置组件139可以发送对用户账户管理器159的请求，以基于所获得的电子邮件地址和密码来认证用户。在步骤823，工作空间配置组件139然后可以确定它是否接收到用户账户管理器159认证了用户的确认。如果否，则该过程可以结束。如果工作空间配置组件139确实从用户账户管理器159获得了确认，则工作空间配置组件可以将用户账户163与企业工作空间146相关联，如步骤826所示。之后，该过程可以结束。

参照图9，示出了提供管理服务116的一部分操作的示例的流程图。特别地，图9提供了管理服务116用操作系统136的分发器创建用户账户163的示例，例如其中使用认证服务123来认证用户。图9的流程图可被看作描绘了在企业计算环境103中实现的方法的示例。

从步骤903开始，管理服务116可以发送对用户账户管理器159的请求，以基于与客户端设备106的用户相关联的企业电子邮件地址创建用户账户163。为此，管理服务116可以发送对用户账户管理器159的API调用，其包括企业电子邮件地址作为参数。另外，API调用可以指定认证服务123将代表用户账户管理器159认证用户。

在步骤906，管理服务116可以确定它是否接收到用户账户163正在被创建的通知。该通知可以由用户账户管理器159提供。如果没有接收到确认账户创建的通知，则该过程可以如图所示结束。否则，如果管理服务116获得了用户账户163被创建的通知，则管理服务116可以移动到步骤909，并向企业管理组件153发送用户账户163被创建的通知。

在步骤913，管理服务116可以获得对认证服务123的请求以认证用户。如前所述，认证服务123可以包括SAML端点，其针对目录服务119认证用户。如步骤916所示，管理服务116可以确定是否认证用户。在一些示例中，认证服务123可以之前在管理服务116注册过程期间已经对用户进行了认证。如果是，则认证服务123可以依赖于先前的认证并且确定认证了用户。在其他示例中，认证服务123可以请求用户提供认证信息，例如企业电子邮件地址和密码或生物特征数据，以认证用户。

如果管理服务116确定不认证用户，则过程可以如图所示结束。否则，如果管理服务116确定认证用户，则管理服务116可以移动到步骤919并将认证通知发送到工作空间配置组件139。在一些示例中，通知可以包括SAML认证令牌。之后，该过程可以结束。

参照图10，示出了提供企业管理组件153的一部分操作的示例的流程图。特别地，图10提供了企业管理组件153使用户账户163与企业工作空间146相关联的示例。图10的流程图可以被视为描绘了在客户端设备106中实现的方法的示例。

首先，如步骤1003所示，企业管理组件153可以获得用户账户163已被创建的通知。如上所述，管理服务116或用户账户管理器159可以将通知提供给企业管理组件153。

在步骤1006，企业管理组件153然后可以请求工作空间配置组件139呈现用于配置企业工作空间146的用户界面。如上所述，用户界面可以包括用于输入与用户账户163相关联的电子邮件地址的字段。在步骤1009，企业管理组件153可以用为客户端设备106的用户创建的用户账户163的企业电子邮件地址填充电子邮件地址字段。在其他示例中，用户可以输入企业电子邮件地址。

然后，如步骤1013所示，企业管理组件153可以发送对认证服务123的请求以认证用户。在一些示例中，该请求可以包括对认证服务123的API调用。此后，该过程可以结束。

参照图11，示出了提供工作空间配置组件139的一部分操作的示例的流程图。特别地，图1提供了工作空间配置组件139将用户账户163与企业工作空间146相关联的示例。图11的流程图可以被视为描绘了在客户端设备106中实现的方法的示例。

从步骤1103开始，工作空间配置组件139可以获得呈现用于配置企业工作空间146的用户界面的请求。如上所述，用户界面可以包括用于输入与用户账户163相关联的电子邮件地址的字段。可以由企业管理组件153提供呈现用户界面的请求。在步骤1106，工作空间配置组件139可以呈现用户界面。

然后，如步骤1109所示，工作空间配置组件139可以从企业管理组件153接收与客户端设备106的用户的用户账户163相关联的企业电子邮件地址。在其他示例中，客户端设备106的用户可以输入企业电子邮件地址。如步骤1113所示，工作空间配置组件139然后可以将企业电子邮件地址插入到所呈现的用户界面的电子邮件地址字段中。

如步骤1116所示，工作空间配置组件139然后可以发送对认证服务123的请求以认证客户端设备106的用户。如上所述，认证服务123可以包括SAML端点，其可以基于先前由用户提供的认证数据认证用户。

在步骤1119，工作空间配置组件139可以确定它是否获得了认证服务123认证了用户的确认。如果否，该过程可以如图所示结束。否则，如果工作空间配置组件139获得了认证确认，则工作空间配置组件139可移动到步骤1123并将用户账户163与企业工作空间146相关联。结果，企业工作空间146中的组件可访问各种服务，例如由操作系统分发器计算环境109提供的组件储存库156。此后，该过程可以如图所示结束。

上面讨论的序列图和流程图示出了本文描述的组件的实现方式的功能和操作的示例。本文描述的联网环境100的组件可以体现为硬件、软件或硬件和软件的组合。如果体现为软件，则序列图和流程图中的每个步骤可以代表模块或一部分代码，其包括用于实现指定的逻辑功能的计算机指令。计算机指令可以包括源代码或机器代码，该源代码包括用编程语言编写的人类可读语句，该机器代码包括由合适的执行系统(诸如计算机系统中的处理器)可识别的机器指令。如果体现为硬件，则每个步骤可以表示实现指定逻辑功能的电路或多个互连电路。

尽管序列图和流程图示出了特定的执行顺序，但是执行顺序可以不同于所示顺序。例如，可以相对于所示的顺序交换两个或更多个步骤的执行顺序。此外，连续示出的两个或更多个步骤可以同时执行或部分同时执行。此外，在一些示例中，可以跳过或省略流程图中所示的步骤中的一个或更多个。此外，为了增强实用性、计数、性能测量或辅助故障排除的目的，可以将任意数量的计数器、状态变量、警告信号或消息添加到本文描述的逻辑流程中。

企业计算环境103和客户端设备106可以包括至少一个处理电路。这样的处理电路可以包括一个或更多个处理器和耦合到本地接口的一个或更多个存储设备。本地接口可以包括带有随附地址/控制总线的数据总线。

用于处理电路的存储设备可以存储可由处理电路的一个或更多个处理器执行的数据和组件。在一些示例中，管理服务116、目录服务119、激活组件149和企业管理组件153的至少部分可以存储在一个或更多个存储设备中并且可以由一个或更多个处理器执行。此外，企业数据存储126可以位于一个或更多个存储设备中。

本文描述的组件可以以硬件形式、作为可由硬件执行的软件组件，或作为软件和硬件的组合来体现。如果体现为硬件，则本文描述的组件可以被实现为采用任何合适的硬件技术的电路或状态机。这种硬件技术包括例如微处理器、具有用于在应用一个或更多个数据信号时实现各种逻辑功能的逻辑门的分立逻辑电路、具有适当逻辑门的专用集成电路(ASIC)或可编程逻辑器件，诸如现场可编程门阵列(FPGA)和复杂可编程逻辑器件(CPLD)。

此外，本文描述的包括软件或计算机指令的组件中的一个或更多个可以包含在任何非暂时性计算机可读介质中，以供指令执行系统(例如，计算机系统或其他系统中的处理器)使用或与其结合使用。这样的计算机可读介质可以包含、存储和维护软件和计算机指令，以由指令执行系统使用或与其结合使用。

计算机可读介质可以包括物理介质，诸如磁、光学、半导体或其他合适的介质。合适的计算机可读介质的示例包括固态驱动器、磁驱动器、闪存以及存储盘(诸如光盘(CD))。此外，本文描述的任何逻辑或组件可以以各种方式来实现和构造。例如，所描述的一个或更多个组件可以被实现为单个应用程序的模块或组件。此外，本文描述的一个或更多个组件可以在一个计算设备中执行或者通过使用多个计算设备来执行。

上面描述的示例仅仅是为了清楚地理解本公开的原理而阐述的实现方式的示例。在基本不偏离本公开的精神和原理的情况下，可以对上述示例做出许多变化和修改。所有这些修改和变化旨在被包括在本公开的范围内。