企业系统中的设备上的应用的统一供应技术方案

本公开一般涉及管理利用远程设备对企业系统的访问。公开了用于在远程设备上供应应用以访问企业系统中的资源的技术。具体而言，应用可以被自动配置为具有访问信息(例如，帐户信息)和连接信息，以利用远程设备访问企业系统中的资源。配置应用可以包括确定利用该应用访问资源的账户。如果尚未建立帐户，则可以供应帐户。在配置应用后，设备访问管理系统可以向为其配置应用的(一个或多个)远程设备提供经配置的应用。一旦接收到经配置的应用，该应用就可以被自动安装在远程设备上，之后该应用可以被执行以访问资源。

【技术实现步骤摘要】
【国外来华专利技术】企业系统中的设备上的应用的统一供应对相关申请的交叉引用本申请要求于2015年4月17日提交的标题为“UNIFIEDPROVISIONINGOFAPPLICATIONSONDEVICESINANENTERPRISESYSTEM(企业系统中的设备上的应用的统一供应)”的美国非临时申请No.14/690,062的权益和优先权，该美国非临时申请要求于2014年9月24日提交的标题为“MobileSecurityManager(MSM)(移动安全管理器)”的美国临时申请No.62/054,544的权益和优先权。出于所有目的将上述专利申请的全部内容通过引用并入本文。
本公开一般涉及管理利用远程设备对企业系统的访问。更特别地，公开了用于为了实现对企业系统的访问而统一远程设备和用户身份的管理的技术。公开了用于管理远程设备上的应用的供应以访问企业系统中的资源的技术。
技术介绍
随着设备(包括移动设备)的激增，许多企业正在采用“带自己的设备”(BYOD)策略。BYOD使得用户能够带他们自己的设备以连接到企业的系统，以便访问由企业提供的资源(例如，应用或数据)。BYOD策略可以允许用户为了个人使用而继续使用他们自己的设备。管理企业系统中用户拥有的设备的不同使用(例如，个人使用和公司使用)成为企业的首要关注点。允许用户自己的设备访问企业系统可能带来新的安全风险。一旦用户拥有的设备获得对企业系统的访问，则企业系统可能会暴露于来自非合规设备和设备的非合规使用的安全风险。企业系统可能面临寻找在用户拥有的设备上将个人数据与企业数据分开的方式的挑战。用户拥有的设备可能包含个人信息并且具有特殊的隐私考虑。许多用户拥有的设备可能缺乏使得这些设备能够被集成到企业系统中的企业安全控制。当用户拥有的设备受到威胁(例如，被黑、被盗或丢失)时，安全性变得更加令人关注。出于安全和合规性的原因，企业正在寻找新的和改进的方式来将用户拥有的设备与企业身份治理(governance)和访问控制基础设施集成。为了便于对访问企业系统的用户拥有的设备和公司设备的管理，一些企业可以实现移动设备管理(MDM)系统和/或移动应用管理(MAM)系统。这样的系统可以便于对访问企业系统的管理和控制，以确保企业系统及其资源是受保护的。对企业系统的访问的管理和控制可以包括传送关于合规性和资源的信息以及为了维持对企业系统的访问而必须采取的动作。具有成千上万个用户(例如，雇员、承包商和客户)的企业可能面临管理访问企业的成千上万个设备的访问和合规性的任务。用户可以操作不同的设备并且可以具有用于访问企业系统的不同角色。许多用户可能负担为企业系统管理访问和合规性，这往往可能是复杂的。使事情进一步复杂化的是，用户可能注册了不同类型的设备，这些不同类型的设备中的一些设备可能需要针对应用而被不同地配置。例如，可以基于支持应用的平台(例如，操作系统)和/或设备的类型来不同地配置应用。对于操作多个设备的用户，这些用户面临跟踪影响用于访问企业系统中的资源的应用的配置的不同因素的挑战。企业使得用户遵守它们的策略并且配置用于访问由这些企业提供的资源的应用可能有困难。使事情进一步复杂化的是，用户可以依照个人使用而不同地操作设备，以致于企业面临确保与用户相关联的每个设备能够访问由企业提供的资源的方式的挑战。由于管理访问企业系统的设备的复杂性，企业和访问由企业提供的资源的用户不能例行地管理应用的配置。为了确保对企业系统的访问不受威胁，当访问资源的应用的配置已经改变时，企业可以完全限制或禁止对企业系统的访问。这样的改变可以由用户角色的改变或用于访问企业的策略(例如，访问策略或合规性策略)的改变而引起。一些应用可能需要被手动配置以合规。因此，用户可能有必须单独地调整其设备中的每个设备上的其应用的配置的负担。企业正在寻找管理使得设备能够访问企业系统中的资源的应用的配置的方式。
技术实现思路
本公开一般涉及管理利用远程设备对企业系统的访问。更特别地，公开了用于为了实现对企业系统的访问而统一远程设备和用户身份的管理的技术。公开了用于供应远程设备上的应用以访问企业系统中的资源的技术。具体而言，可以将应用自动配置为具有访问信息(例如，帐户信息)和连接信息，以利用远程设备访问企业系统中的资源。经配置的应用可以使得远程设备的用户能够访问资源，而不必为了访问资源而手动配置应用。在一些实施例中，设备访问管理系统可以被实现以配置应用，以便利用远程设备访问资源。可以出于任何数量的原因来自动配置应用，这些原因包括为用户注册远程设备、接收访问资源的请求、发现对新资源的访问已被准许或者发现新应用。配置应用可以包括确定用于利用该应用访问资源的账户。可以为与要为其配置应用的远程设备相关联的用户确定账户。如果尚未为资源供应帐户，则可以基于用户的角色供应帐户以访问该资源。在一些实施例中，对资源的访问可以基于用户的角色而不同。通过确定用户的帐户，在配置应用以访问资源之前，用户不会负担检索帐户信息或请求帐户的附加过程。设备访问管理系统可以自动配置应用，以减少或消除用户可能必须通过其来配置应用的过程。通常，远程设备的属性(例如，设备的类型和设备的平台)可以不同，以使得取决于设备的属性，配置应用可以涉及不同的过程。用户可能不熟悉用于配置应用的不同过程。对于具有若干远程设备的用户，用户可能有必须配置这些远程设备中的每个远程设备上的应用的负担。企业可能同样有必须提供用于确保可以在为用户注册的远程设备中的每个远程设备上正确配置应用的机制的负担。设备访问管理系统可以对于为用户注册的远程设备中的每个远程设备将应用自动配置为至少具有访问信息(例如，帐户信息)和连接信息(例如，端口地址、主机地址或数据访问协议)。在一些实施例中，可以配置与应用的特征相关的一个或多个设置。可以基于用户的角色或用户的偏好来配置(一个或多个)设置。一旦配置了应用，则可以执行该应用以访问资源。用户可能必须提供机密访问信息(例如，密码)，以利用已经被配置的应用来访问资源。用户和企业都可以不必手动配置应用以访问资源。在配置应用后，设备访问管理系统可以将经配置的应用发送到为其配置该应用的(一个或多个)远程设备。在一些实施例中，可以利用推送通知服务将经配置的应用发送到远程设备。一旦接收到经配置的应用，该应用就可以被自动安装在远程设备上，之后可以执行该应用以访问资源。在一些实施例中，经配置的应用可以被存储在数据存储库(datastore)(例如，应用目录)中，在该数据存储库中远程设备可以访问和/或检索应用。远程设备可以接收数据存储库中的应用的可用性的通知。在一些实施例中，应用的配置而不是经配置的应用可以被发送到远程设备。远程设备可以基于接收到的配置来配置应用。应用可以被配置为用于多个远程设备，这些远程设备可以被注册到不同的用户。在可以针对为用户注册的多个远程设备类似地配置应用的情况下，设备访问管理系统可以将应用发送到这些远程设备中的每个远程设备。通过为用户配置应用，企业可以确保向远程设备提供了当前应用，而用户不必采取措施来识别和获得用于这些远程设备中的每个远程设备的应用。为多个设备配置应用可以通过减少对企业系统的应用的请求总数来提高应用分发的处理效率。在发现对企业系统中的资源的访问的改变时，设备访本文档来自技高网...

【技术保护点】
一种方法，包括：为企业系统的用户识别与身份相关联的用户角色；检索注册所述身份以访问所述企业系统的第一远程设备的设备信息；基于所述用户角色，确定向所述身份提供对所述企业系统中可访问的第一资源的访问的帐户，其中所述第一资源是利用所述用户角色可访问的多个应用中的第一应用从所述第一远程设备可访问的；由计算机系统配置所述第一应用，以利用所述第一远程设备访问用于所述账户的所述第一资源，其中所述第一应用被配置为具有用于连接到提供所述第一资源的第一目标系统的连接信息，并且其中所述第一应用被配置为具有用于访问用于所述帐户的所述第一资源的访问信息；以及在配置所述第一应用后，将所述第一应用发送到所述第一远程设备。

【技术特征摘要】
【国外来华专利技术】2014.09.24 US 62/054,544;2015.04.17 US 14/690,0621.一种方法，包括：为企业系统的用户识别与身份相关联的用户角色；检索注册所述身份以访问所述企业系统的第一远程设备的设备信息；基于所述用户角色，确定向所述身份提供对所述企业系统中可访问的第一资源的访问的帐户，其中所述第一资源是利用所述用户角色可访问的多个应用中的第一应用从所述第一远程设备可访问的；由计算机系统配置所述第一应用，以利用所述第一远程设备访问用于所述账户的所述第一资源，其中所述第一应用被配置为具有用于连接到提供所述第一资源的第一目标系统的连接信息，并且其中所述第一应用被配置为具有用于访问用于所述帐户的所述第一资源的访问信息；以及在配置所述第一应用后，将所述第一应用发送到所述第一远程设备。2.如权利要求1所述的方法，还包括：检测注册所述身份以访问所述企业系统的多个远程设备中的第二远程设备；以及在配置所述第一应用后将所述第一应用发送到所述第二远程设备。3.如权利要求1或2所述的方法，还包括：检测所述用户角色从第一用户角色到第二用户角色的改变；基于所述第二用户角色来确定所述身份对所述第一资源的访问的改变；以及指示所述第一远程设备基于所述访问的改变来修改所述第一应用的配置。4.如权利要求3所述的方法，还包括：发现注册所述身份以访问所述企业系统的多个远程设备；在配置所述第一应用后将所述第一应用发送到所述多个远程设备；以及指示所述多个远程设备中的每一个基于所述访问的改变来修改所述第一应用的配置。5.如权利要求3或4所述的方法，其中对所述第一资源的访问的改变包括撤销对所述第一资源的访问，并且其中修改所述第一应用包括删除为所述第一应用配置的所述连接信息和所述访问信息。6.如权利要求3至5中任一项所述的方法，其中对所述第一资源的访问的改变包括撤销对所述第一资源的访问，并且其中修改所述第一应用包括从所述第一远程设备移除所述第一应用。7.如权利要求3至6中任一项所述的方法，其中修改所述第一应用包括调整为所述第一应用配置的所述访问信息。8.如权利要求1至7中任一项所述的方法，还包括：检测所述用户角色从第一用户角色到第二用户角色的改变；基于所述第二用户角色，发现所述第二用户角色可访问的所述多个应用中的第二应用；利用所述身份来配置所述第二应用，以用于从所述第一远程设备进行访问，其中所述第二应用被配置为具有用于访问由第二目标系统提供的第二资源的信息；以及将所述第二应用发送到所述第一远程设备。9.如权利要求1至8中任一项所述的方法，其中所述设备信息指示所述第一远程设备的配置，所述配置指示所述第一远程设备上的操作系统配置和所述第一远程设备的硬件配置，并且其中所述第一应用是利用所述第一远程设备的所述配置来配置的。10.如权利要求1至9中任一项所述的方法，其中所述连接信息包括所述第一目标系统的端口地址、所述第一目标系统的主机地址，以及所述第一目标系统的轻量级目录访问协议(LDAP)。11.如权利要求1至10中任一项所述的方法，还包括：基于所述用户角色，识别所述多个应用中的第二应用，所述第二应用使得所述用户能够执行所述用户角色；供应所述第二应用，以访问所述企业系统中的第二资源；配置所述第二应用，以从所述第一远程设备访问所述第二资源；以及在配置所述第二应用后发送所述第二应用。12.如权利要求1至11中任一项所述的方法，其中确定所述帐户包括：确定是否为了访问所...

【专利技术属性】
技术研发人员：H·玛赫什瓦里，M·R·G·莫哈麦德·阿布杜尔，S·达斯，R·帕卡斯，S·卡蒂，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：美国,US