访问管理系统、访问管理机器人促进系统和访问管理方法与流程

访问管理系统、访问管理机器人促进系统和访问管理方法
1.本技术是申请日为2017年12月18日、申请号为201711366309.2、名称为“目标系统的集成机器人学和访问管理”的中国发明专利申请的分案申请。
技术领域
2.本技术的各实施例涉及目标系统的集成机器人学和访问管理。


背景技术：

3.在信息技术中，身份和访问管理通常包括管理各种系统上的用户帐户。这些系统可以包括不同的应用，诸如数据库应用、客户关系管理(crm)应用、会计应用、工厂自动化应用等。系统管理员经常负责在用户加入、离开或者改变其在组织内的角色时，在系统上在本地管理用于这些系统的用户帐户的生命周期。系统管理员可以创建用户帐户，删除用户帐户，修改权限，等等。
4.在许多情况中，用户帐户正被针对其而被管理的系统具有用于管理它们的用户帐户的非标准和手动的过程和机制。系统对帐户和访问管理可以具有定义明确的过程，但是跨不同系统对帐户和访问管理没有共同的定义明确的过程或者接口。因此，为了管理这些系统上的用户帐户，组织通常依靠帮助台来管理用户帐户。通常，当要创建用户帐户时，通过访问请求管理系统、电子邮件或者电话提出请求，并且生成票据以创建用户帐户。然后，经由访问请求管理系统中的电子邮件或者批准工作流程来获得批准以创建用户帐户，并且然后可以将票据放入队列中。然后，系统管理员(诸如帮助台管理员)最终可以被指派给票据，并且系统管理员在系统中创建用户帐户。
5.帮助台是用于管理用户帐户的低效且昂贵的解决方案。在许多情况中，需要更大的运营团队来运行帮助台，这除了代价高昂之外还存在人为错误、效率低下等问题。同时，随着组织发展，可能需要昂贵的开发者来保持帮助台系统相关和运行。另外，帮助台经常不及时。可以生成票据以创建用户帐户，但是由于积压，要完成帐户创建可能要用数天甚至一周。另外，可能让等待访问系统的用户无法执行他们的需要使用系统的任务和职责。


技术实现要素：

6.根据本技术的第一方面，公开了一种访问管理系统，包括：身份和访问管理(iam)系统，包括：中央目录数据存储装置，其存储个人的电子身份和个人的证书；以及iam计算机，用来：接收用来执行访问管理任务的请求；确定所述请求是否被批准；响应于确定所述请求被批准，基于接收到的所述请求来生成用来执行所述访问管理任务的访问管理请求；访问管理机器人促进(amrf)系统，包括：机器人指令队列；以及访问管理机器人促进计算机，用来：从所述iam系统接收所述访问管理请求不去从所述访问管理请求提取信息；基于提取的所述信息来在所述机器人指令队列中生成访问管理指令；确定所述访问管理指令是否缺少所需信息；如果所述访问管理指令缺少所述所需信息，则从所述中央目录数据存储装置获得所述所需信息，并且将获得的所述信息插入所述访问管理指令中；以及将所述机
器人指令队列中的所述访问管理指令标记为尚未被开始；机器人过程自动化(rpa)系统，包括：机器人，包括处理器，所述处理器用来：针对新的访问管理指令来监视所述机器人指令队列；标识所述机器人指令队列中的所述访问管理指令；将所述机器人指令队列中的所述访问管理指令标记为未决；对在所述访问管理指令中被指定的目标系统执行所述访问管理指令；以及基于所述指令的所述执行来更新所述机器人指令队列中的所述访问管理指令的状态。
7.根据本技术的第二方面，公开了一种访问管理机器人促进系统，包括：存储设备，其存储机器人指令队列；以及访问管理机器人促进计算机，其包括处理器，所述处理器用来：从身份访问管理系统接收访问管理请求；从接收到的所述请求提取信息；基于提取的所述信息来在所述机器人指令队列中生成访问管理指令；确定所述访问管理指令是否缺少所需信息；如果所述访问管理指令缺少所述所需信息，则从访问管理系统的目录获得所述所需信息；将获得的所述信息插入所述访问管理指令中；以及将所述机器人指令队列中的所述访问管理指令标记为尚未被开始，其中包括处理器的机器人被编程为针对新的访问管理指令来监视所述机器人指令队列，以及检索并且执行所述访问管理指令以在目标系统中执行自动化的访问管理任务。
8.根据本技术的第三方面，公开了一种用来促进由至少一个机器人对访问管理任务的执行的计算机实现的方法，所述方法包括：从身份访问管理系统接收访问管理请求；从接收到的所述请求提取信息；基于提取的所述信息来在机器人指令队列中生成访问管理指令；确定所述访问管理指令是否缺少所需信息；如果所述访问管理指令缺少所述所需信息，则从所述身份访问管理系统的中央目录获得所述所需信息；将获得的所述信息插入所述访问管理指令中；以及将所述机器人指令队列中的所述访问管理指令的状态标记为尚未被开始。
附图说明
9.在以下描述中参照以下附图详细描述了实施例和示例。实施例通过附图中所示的示例而被图示，在附图中相似的标号指示类似的元件。
10.图1图示了根据一个实施例的访问管理系统；
11.图2图示了根据一个实施例的访问管理系统的计算机体系结构；
12.图3图示了根据一个实施例的机器人指令队列；
13.图4a至图4b图示了根据一个实施例的方法；以及
14.图5至图6图示了根据实施例的附加方法。
具体实施方式
15.为了简单和说明的目的，本公开内容的原理主要参考其示例而被描述。在以下描述中，阐述了许多具体细节以便提供对示例的理解。然而，对于本领域普通技术人员来说显而易见的是，这些示例可以被实践而不限于这些具体细节。在一些情况中，众所周知的方法和/或结构没有被详细描述以免不必要地模糊示例。另外，示例在各种组合中可以被一起使用。
16.根据本公开内容的一个实施例，通过机器人过程自动化(rpa)系统而被配置的机
器人使用于管理对目标系统的访问的任务自动化。机器人可以包括执行为之而被训练的一个或者多个任务的计算机软件。任务的示例可以包括管理目标系统上的用户帐户，诸如创建、删除或者修改用户帐户。任务可以与控制对目标系统或者对目标系统的一个或者多个资源的用户访问相关联。任务可以包括将用户权限和限制与电子用户身份相关联。访问控制可以基于取决于设备类型、位置、角色和其他因素来定义网络上允许哪些设备和用户以及允许哪些用户完成的策略。目标系统可以包括应用或者任何类型的系统，由此由用户或者其他系统对系统的访问将被管理。
17.根据一个实施例，机器人可以执行复合请求。例如，可以接收单个请求，其要求执行多个任务以实现请求的期望的结果。因此，接收到的请求可以是要求执行多个任务以实现期望的结果的复合请求。另外，复合请求可能要求按照特定顺序执行一系列任务来实现期望的结果。系统可以分解复合请求以标识要被执行的一系列任务，并且一个或者多个机器人可以按照特定顺序来执行该一系列任务。
18.一种访问管理系统可以包括访问管理机器人促进系统，其可以向机器人提供用来执行用于管理对目标系统的访问的指令。例如，访问管理机器人促进系统可以接收与管理对目标系统的访问相关联的请求，并且该请求可以来自身份和访问管理(iam)系统或者另一系统，如服务管理系统或者帮助台管理系统。访问管理机器人促进系统可以基于该请求来生成指令，以提供给所述机器人以执行与用于管理对目标系统的访问的请求相关联的任务。访问管理机器人促进系统在下面被称为amrf系统。
19.访问管理机器人促进系统使用机器人，其通过模仿通常被手动执行的人类动作来使复杂且重要的过程自动化。另外，访问管理机器人促进系统通过由机器人对访问管理任务的自动化的触发并且除去用于事件通知和过程执行所需的手动干预来降低操作成本。
20.图1图示了根据一个实施例的访问管理系统100。访问管理系统100可以包括一个或者多个计算机平台。计算机平台包括诸如处理器、存储器、存储设备、网络接口等的计算机硬件。计算机平台可以包括执行机器可读指令以执行本文描述的访问管理系统100的操作的服务器或者其他类型的计算机系统。访问管理系统100包括iam系统110、amrf系统120和rpa系统130。iam系统110促进对用于用户的电子身份的管理。iam系统110可以包括组织的个人的电子身份的中央目录111。中央目录111可以是数据库或者包括数据存储设备的另一类型的数据存储系统。证书可以包括个人的属性，诸如雇员标识符(id)、职称、地理位置、业务单位id等。例如，当雇员加入组织时，用于新雇员的证书被创建并且存储在中央目录111中。iam系统110可以包括策略数据库112，策略数据库112存储可以与访问管理有关的用于组织的策略。例如，策略可以指定雇员基于它们的角色、部门或者职位应该能够访问的目标系统140中的目标系统。目标系统140可以包括应用140a-140n或者任何类型的系统，由此由用户或者其他系统对系统的访问将被管理。
21.iam系统110可以从用户10或者系统20接收用来执行访问管理任务的请求。请求如果被批准则可以由系统100执行。例如，可以由用户创建请求以在会计应用中为新雇员创建新帐户，或者可以从自动化系统发送请求以为新雇员创建新帐户。该请求可能需要由一个或者多个个人基于被存储在策略数据库112中的策略来批准。iam系统110可以获得必要的批准以便执行任务。批准可以通过自助服务用户界面在iam系统110上被执行，或者经由电子邮件或者以某种其他形式被发送给iam系统110或者amrf系统120。例如，通过amrf共享邮
箱中的电子邮件来寻找并且接受批准。amrf系统120可以读取电子邮件批准并生成供机器人继续进行用户访问创建的指令。所以，批准可以在iam系统110处被本地化，或者批准反馈可以被发送给amrf系统120。
22.iam系统110可以包括用来生成访问管理请求的请求生成器113。在一个示例中，如果从用户10中的一个用户或者系统20中的一个系统接收到的请求被批准，则请求生成器113可以生成用于被批准的请求的访问管理请求。访问管理请求例如用于执行用于管理对目标系统140的访问的访问管理任务。例如，访问管理请求可以用于创建、修改或者删除目标系统上的帐户。访问管理请求可以包括任务正在针对其而被执行的个人的属性。属性可以被存储在中央目录111中，并且被从中央目录111取回以包括在访问管理请求中。访问管理请求可以标识要被执行的任务，诸如创建帐户，并且可以标识任务要在其上被执行的目标系统。访问管理请求可以是电子邮件、帮助台票据、可扩展标记语言(xml)消息、csv(分隔平面文件)文件的形式或者是其他格式。现有的iam系统(诸如由sailpoint
tm
、oracle
tm
或者forgerock
tm
提供的)可以被用于iam系统110。
23.amrf系统120从iam系统110接收访问管理请求，并且存储请求并且创建供机器人执行请求的指令。amrf系统120可以包括请求管理器121，其用于将请求转换成可以由机器人执行的指令并且存储也被称为机器人指令的指令。amrf系统120可以包括机器人指令数据库125以存储机器人指令。amrf系统120可以包括机器人指令队列126，其用于存储机器人指令的状态。状态可以指示机器人指令是尚未被开始、未决、完成、失败还是异常(例如，预定的或者未知的异常在机器人指令的执行期间被遇到)。与机器人指令有关的其他信息可以被存储在机器人指令队列126中。机器人指令队列126可以包括存储用于机器人指令的信息的数据结构。数据结构可以包括机器人指令数据库125中的数据库表或者文档(xml、javascript对象表示法(json)等)，或者可以包括与机器人指令数据库125分离的数据结构。
24.amrf系统120可以包括更新器122，其更新机器人指令队列126中的机器人指令的状态。例如，如果机器人指令正在等待由机器人执行，则机器人指令可能尚未被开始，或者如果机器人指令当前正被执行，则机器人指令可能是活动的或者是未决的，如果机器人执行了该指令，则机器人指令可能被完成。更新器122还可以更新指令是被成功完成还是失败。消息处理器123处理与机器人指令有关的传入和传出消息。传出消息可以包括指示请求的状态的到iam系统110的消息。例如，iam系统110可以请求机器人指令的状态，并且消息处理器123将状态发送给iam系统110。amrf系统120可以在状态变化针对机器人指令而发生时推送状态信息。
25.rpa系统130可以包括机器人生成器131和机器人132。机器人生成器131可以基于过程和针对过程的步骤而被确定的输入和输出来生成机器人132。例如，在设计阶段中，过程可以由用户在编辑器中诸如以流程图的形式被创建，并且包括用于流程图的步骤的属性。在一个示例中，过程可以根据统一建模语言(uml)标准被创建，并且被存储在rpa系统130中。在学习阶段中，机器人学习目标系统的行为，并且目标系统上的字段元素例如被标识和配置为对象。在学习被完成后，认为机器人被生成。在被生成之后，机器人可以独立地导航通过目标系统，并且在目标系统上执行动作。
26.在一个示例中，机器人被创建以在由crm应用组成的目标系统中创建用户帐户。通
常，要手动创建用户帐户，系统管理员可能必须通过内部门户登录到crm应用，在图形用户界面(gui)登录页面录入系统管理员登录id和口令，然后选择一个或者多个选项并且录入用户数据以用于创建用户帐户。机器人例如通过经由编辑器录入这些步骤来而被编程为创建用户帐户。机器人生成器131接收这些步骤并且训练机器人以根据模仿手动步骤的步骤来创建用户帐户。一个或者多个机器人(例如，机器人132)可以被创建以在目标系统140上执行访问管理任务。目标系统140可以包括不同类型的应用，诸如数据库应用、crm应用、会计应用、工厂自动化应用、云应用、本地应用等。在一个示例中，机器人生成器131可以包括rpa机器人生成软件，诸如blueprism
tm
、automation anywhere
tm
、uipath
tm
或者fusion
tm
以及未示出的其他组件。机器人可以被编程为执行用于特定目标系统的特定访问管理指令。rpa系统130可以标识机器人132中的机器人以执行基于目标系统的特定访问管理指令以及要针对访问管理指令而被执行的操作。
27.图2示出了用于系统100的计算硬件体系结构的示例。虽然未被示出，但是附加硬件组件可以被用于系统100。一个或者多个处理器可以执行被存储在非暂时性计算机可读介质中的机器可读指令以执行系统100的操作。
28.图2还示出了用于iam系统110、amrf系统120和rpa系统130的计算机平台的示例。例如，iam系统110可以包括一个或者多个身份访问管理计算机，其可以包括执行用于iam系统110的软件(包括请求生成器113)的应用服务器201，并且可以包括用于托管用于策略数据库112和中央目录111的数据库的数据库服务器202。计算机250示出了可以被包括在服务器或者可以在系统100中被用来执行这里描述的操作的任何计算机系统中的组件的示例。例如，计算机250可以包括可以执行被存储在非暂时性计算机可读介质252上的机器可读指令253的一个或者多个处理器251。计算机可读介质252可以包括硬件存储装置，诸如存储器、硬驱动等。虽然未被示出，但是计算机250可以包括网络接口254以连接到网络，该网络可以包括局域网、广域网、公共网络(例如，因特网)、专用网络、有线和/或无线网络。网络260和261被示出为连接iam系统110、amrf系统120和rpa系统130。可以使用一个或者多个网络来连接这些系统。而且，机器人132可以使用网络来访问目标系统140。
29.类似于iam系统110，amrf系统120可以包括一个或者多个访问管理机器人促进计算机，其可以包括服务器210或者用来托管用于amrf系统120的软件和用于指令数据库125的数据库和机器人指令队列126的其他类型的计算机系统。在一个示例中，数据库服务器211可以被用于机器人指令队列126。
30.amrf系统120可以包括用来管理机器人指令队列126并且执行在此描述的其他功能的专家系统。专家系统可以由专家系统服务器212或者另一类型的计算机系统托管。专家系统服务器212可以是服务器210中的服务器。专家系统的体系结构在图2中被示出为212a。专家系统可以包括模拟人的决策做出能力或者与人的决策做出能力一起作用的计算机系统，但是决策做出由推理引擎213基于知识库214执行。工作存储器215可以存储事实，推理引擎213对这些事实做出决策。
31.推理引擎213可以是基于规则的引擎。用于决策的规则可以被存储在知识库214中，知识库214可以包括数据库或者另一类型的存储系统。关于接收到的访问管理请求或者机器人指令队列126的状态的一组事实被确定并且被存储在工作存储器215中。推理引擎213确定事实满足哪些规则，对它们区分优先级，并以最高优先级执行一个或者多个规则。
如本领域中所知，基于规则的推理引擎213可以执行正向推理和/或反向推理以确定要应用的规则。正向推理是从事实到结论的推理，而反向推理是从假设到支持这一假设的事实。执行正向推理和/或反向推理的基于规则的专家系统的示例包括clips、art和kee。推理引擎213可以将机器学习应用于决策做出过程。例如，推理引擎213可以包括分类器或者神经网络，以基于工作存储器215中的事实来做出决策。
32.推理引擎213可以做出的决策的一些示例可以包括确定接收到的访问管理请求是否是复合请求，以及标识和响应机器人指令的失败执行。响应于确定接收到的访问管理请求是复合请求，推理引擎213针对一个或者多个机器人132为了执行合成请求而要执行的一系列任务，在机器人指令队列126中创建机器人指令。例如，可以使用规则或者分类器来确定接收到的访问管理请求是否是复合请求，以促进用于复合请求的一系列任务的执行。
33.推理引擎213可以从机器人指令队列126标识未能执行的机器人指令，并且确定是否可以执行补救操作以执行那些机器人指令。例如，因为机器人由于网络连接故障或者其他原因而不能连接到目标系统，机器人可能未能在目标系统上执行访问管理任务。推理引擎213可以获知诸如未能连接之类的特定失败消息指示到目标系统的连接失败，并且生成警报以修复连接问题。推理引擎213可以标识机器人指令的失败执行的其他原因，诸如目标系统的用户界面中的变化，并且执行补救动作以纠正失败的执行。在一个示例中，补救动作可以包括基于系统管理员从他们的计算机系统执行访问管理任务的记录的桌面操作来重新训练机器人以执行访问管理任务。
34.专家系统的体系结构212a可以包括被存储在非暂时性计算机可读介质(其可以包括数据存储装置217)上并且由一个或者多个处理器216执行的软件。专家系统的软件可以包括用来执行用于推理引擎213、知识库214和工作存储器215的操作的软件。工作存储器215可以包括存储器或者另一类型的存储系统。同时，专家系统可以被连接到帮助台系统230。专家系统可以针对在机器人指令队列126中未能执行的指令向帮助台系统230发送通知。系统管理员可以访问帮助台系统230以标识失败的指令并且执行补救动作。
35.rpa系统130可以包括一个或者多个服务器220或者用来托管用于amrf系统120的软件的其他类型的计算机系统，并且可以包括数据库。在一个示例中，运行时资源221被用来执行机器人132。运行时资源221可以包括处理器、存储器和其他存储装置，以及用来对接到目标系统140的网络接口。用于机器人132的软件(包括编程的过程)也可以被存储在运行时资源221中并且由运行时资源221的处理器执行。
36.根据一个实施例，amrf系统120和rpa系统130可以是单个系统。例如，rpa系统130可以具有客户端—服务器架构，其中机器人132充当客户端以接收和处理来自中央应用服务器的指令。中央应用服务器可以包括机器人指令队列126。
37.如上所述，amrf系统120可以从iam系统110接收用来执行用于目标系统140的访问管理任务的请求，以及创建可以由机器人132用来执行在请求中被指定的访问管理任务的指令。图3示出了可以被包括在用于机器人132的指令(即，机器人指令)中的信息的示例。信息可以被存储在表格300中。机器人指令队列126可以由表格300组成。表格300可以包括用于loginid(登录id)、operation(操作)、status(状态)、firstname(名字)、lastname(姓)、fullname(全名)、password(口令)、userstatus(用户状态)和remarks(备注)的字段。虽然未被示出，但是表格300可以包括其他字段，诸如标识要对其执行访问管理任务的目标系统
的targetsystem(目标系统)字段。字段中的一个或者多个字段可以是强制性的。例如，如果对于必填字段而言字段为空(例如，字段值＝空)，则amrf系统120的请求管理器121可以通知iam系统110或者以其他方式向其提供反馈以获得强制信息。必填字段的一些示例可以包括loginid、fullname和operation。iam系统110可以生成信息或者从中央目录111取回信息并且将其发送给amrf系统120。
38.在表格300中，loginid、firstname、lastname、fullname、password和userstatus用于正针对其执行访问管理任务的目标系统的用户，并且operation和status分别描述要被执行的访问管理任务和执行任务的状态。例如，表格300的第1行用于用来从作为用于这一访问管理任务的目标系统的openam
tm
应用删除用户帐户的机器人指令。amrf系统120通过经由amrf系统120向机器人132提供用来执行访问管理任务的指令来使得能够在openam
tm
上执行自动化的访问管理任务。表格300的第1行示出了可以被包括在指令中的信息，诸如用来从openam
tm
删除用户帐户的机器人指令。用于要被删除的帐户的用户名是alpha anderson，并且用于这一用户的loginid和口令分别是testopenam001和test123！！。机器人执行该指令，并且将状态更新为失败，因为针对同一用户名alpha anderson找到了多个记录。机器人可以用失败的指令执行的原因来填充备注字段。指令信息的其它示例也在表格300中被示出。示出了用于指令的具有异常或者已完成状态的示例。如果机器人被编程为标识和处理异常，则状态字段可以被更改为异常。例如，表格300中的第2行被标记为异常，因为当机器人尝试在openam
tm
应用中创建登录id为testopenam002的用户时，openam
tm
应用生成如下消息：即在openam
tm
应用中已经存在(例如，当前正被使用)testopenam002的登录id。机器人可以基于在异常处理期间遇到的错误来更新备注字段。异常处理可以仅仅是提供针对异常处理而被遇到的错误的通知，或者可以更复杂，诸如执行补救任务。机器人可以被编程为处理多个异常。在表格300中示出了异常的其他示例，诸如一个或者多个必填字段为空、口令长度小于8个字符等。尽管未被示出，但是状态的其他示例如果访问管理任务当前正被执行则可以是未决或者进行中，或者如果指令正在等待被机器人执行则可以是尚未被开始。表格300中的状态和备注可以由机器人更新，或者amrf系统120的更新器122可以从机器人接收状态信息和备注并且更新表格300。状态可以被从amrf系统120被发送给iam系统110或者由iam系统110查询。
39.图4a至图4b图示了根据一个实施例的方法400。方法400可以由系统100执行。在401处，iam系统110接收用来执行访问管理任务的请求。例如，用户可以经由请求门户来向iam系统110提交请求，或者可以利用该请求来向iam系统110发送消息。请求可以包括用来创建、修改或者删除目标系统140中的目标系统上的用户帐户的请求。
40.在402处，iam系统110确定请求是否被批准。例如，策略可以基于它们的部门来指定用户被授权访问哪些目标系统，并且iam系统110可以基于策略来确定用户是否被授权访问目标系统，以确定是否批准用来在目标系统上创建用户帐户的请求。另外，可能需要来自授权人员的批准来批准请求。
41.在403处，如果请求未被批准，则该请求被拒绝的消息可以被生成，并且可以指示该请求被拒绝的原因，诸如未能从授权人员获得批准。该消息可以被发送给提交请求的用户。
42.在404处，如果请求被批准，则iam系统110基于在401处接收到的请求来生成用于
执行访问管理任务的请求，并且将该请求发送给amrf系统120。iam系统110可以将请求发送给amrf系统120的预定网络地址或者统一资源定位符。在一个示例中，iam系统110可以将该请求发送给amrf系统120的邮箱、服务接口或者请求临时数据库以针对该请求在表格300中添加新条目。该请求可以包括描述要被执行的访问管理任务的信息。在一个示例中，请求可以是电子票据、电子邮件或者可以是预定的可扩展标记语言(xml)格式、灵活的json，或者可以是另一形式。被包括在请求中的信息的示例在图3中的表格300中被示出。
43.在405处，amrf系统120从iam系统110接收请求，并且从接收到的请求提取信息。例如，amrf系统120解析接收到的请求以标识用于预定字段的信息。
44.在406处，amrf系统120基于提取的信息来生成要由机器人执行的访问管理指令。例如，amrf系统120可以针对包括提取的信息的指令来在图3中所示的表格300中创建条目。代替表格300，可以使用另一种类型的数据结构来存储指令。
45.在407处，amrf系统120确定访问管理指令是否缺少所需信息，诸如用于预定的必填字段的信息。例如，amrf系统120填充表格300的字段并且确定是否有任何必填字段具有值＝空。在408处，如果访问管理指令缺少所需信息，则amrf系统120执行缺失信息过程以获得所需信息。缺失信息过程可以包括向iam系统110发送指示该请求缺少所需信息的消息，并且可以标识缺少的所需信息。amrf系统120可以试图获得缺失信息。例如，如关于图1所讨论的，iam系统110可以包括组织的个人的电子身份的中央目录111及其证书。amrf系统120可以使用在406处从请求提取的一些信息以向中央目录111查询缺失信息。例如，fullname可以在405处被提取，并且在查询中被使用以从中央目录111检索用于由在405处被提取的fullname标识的用户的userstatus或者其他信息。在409处，关于是否获得缺失信息进行确定。如果没有获得缺失信息，则在410处将该指令标记为失败，诸如针对表格300中的访问管理指令将状态字段设置为失败。例如，当缺失信息过程在408处被执行时，访问管理指令在表格300的状态字段中最初可以被标记为“异常”。如果无法通过缺失信息过程(诸如在预定时段内)获得缺失信息，则可以在410处在表格300的状态字段中将访问管理指令标记为失败。注释字段可以被填充以关于访问管理指令为何失败的原因(诸如不能获得所需信息)的信息。在411处，如果访问管理指令具有全部所需信息，则访问管理指令在表格300的状态字段中被标记为尚未被开始。
46.在412处，机器人132中的机器人监视amrf系统120中的访问管理指令的队列。队列可以包括表格300中的尚未被开始的访问管理指令。监视可以包括向amrf系统120查询表格300中的状态为尚未被开始的访问管理指令。机器人132中的一个或者多个机器人可以监视访问管理指令的队列，并且访问管理指令可以按照由指令执行策略确定的顺序被执行。例如，指令执行策略可以指定执行最老的指令，或者指令执行策略可以基于指令将被执行的目标系统或者基于与指令相关联的用户的部门或者角色来指定用于执行指令的优先级。例如，可以在用于其他用户的帐户之前创建用于管理人员的帐户。
47.在413处，机器人标识在406处根据供执行的队列被创建的访问管理指令，并且在414处，将消息发送给amrf系统120以在状态字段中将队列(例如，表格300)中的访问管理指令标记为未决。该消息可以包括用来修改表格300中的用于访问管理指令的条目以将它的状态改变为未决的操作请求。
48.在415处，机器人在访问管理指令中被指定的目标系统上执行访问管理指令。例
如，机器人登入在访问管理指令中被指定的目标系统。机器人可以根据其编程而作为系统管理员登录，以执行在访问管理指令中被指定的访问管理任务。机器人执行在访问管理指令中被指定的管理任务，诸如为在访问管理指令中被指定的用户创建用户帐户。机器人可以模仿系统管理员的用来执行访问管理任务的动作。例如，机器人访问用于目标系统的门户。该门户可以包括登录页面。机器人作为系统管理员登入。为了创建用户帐户，机器人在门户中选择一个选项以创建帐户，并且通过门户来执行操作以创建用户帐户。
49.在416处，机器人基于对用来执行在指令中被指定的访问管理任务的操作的执行来更新队列(诸如表格300)中的访问管理指令的状态。例如，机器人可以向amrf系统120发送表格更新指令，以更新表格300中的用于被执行的访问管理指令的条目中的状态。可以基于访问管理指令是被成功完成还是失败或者是否遇到异常来更新状态字段。备注字段可以被更新以提供对异常或者失败执行的说明。
50.在417处，更新后的状态被提供给iam系统110。例如，amrf系统120确定状态在表格300中被更新，并且向iam系统110发送包括新状态的通知消息。通知消息可以包括来自表格300中用于该指令的条目的附加细节，包括备注字段中的信息(如果备注字段被填充的话)。在418处，iam系统110可以在接收到更新后的状态之后从表格300删除用于该指令的条目。例如，在接收到更新后的状态之后，iam系统110可以向amrf系统120发送操作请求消息以从表格300删除用于该指令的条目。
51.iam系统110还可以与系统管理员交互以补救失败的访问管理指令或者遇到异常的访问管理指令。例如，如果更新后的状态是失败或者异常，则iam系统110可以向系统管理员发送诸如电子邮件、文本消息或者即时消息之类的消息以采取补救动作。该消息可以被发送给帮助台系统230，因而系统管理员可以响应失败的访问管理指令。该消息可以包括来自表格300中的用于该指令的条目的信息，包括备注。系统管理员然后可以采取补救动作，诸如删除用于同一用户的多个记录、用用于特定用户的必填信息来填充中央目录111，等等。然后，如果需要的话，iam系统110可以生成将被发送给amrf系统120以用来执行用于失败的访问管理任务的访问管理指令的新请求，并且该访问管理指令应当能够被机器人成功完成。
52.图5图示了用于执行访问管理请求的方法500。方法500的步骤可以由amrf系统120执行以执行接收到的访问管理请求，并且可以作为方法400的步骤中的一个或者多个步骤的子步骤被执行。
53.在501处，amrf系统120从iam系统110接收请求并且从接收到的请求提取信息。例如，amrf系统120解析接收到的请求以标识用于预定字段的信息。传入的请求可以是来自iam系统110的访问管理请求。
54.在502处，amrf系统120确定接收到的请求是否为复合请求。复合请求可能需要执行一系列的任务以执行该复合请求。复合请求的示例可以包括用来为新用户在目标系统上创建用户帐户的请求。为了让新用户访问目标系统，用户可能需要被添加到用于网络验证的活动目录，以便有权访问网络以连接到目标系统。同时，用户可能需要访问用于目标系统的共享文件系统以存储由其他用户共享的文件。因此，用于复合请求的一系列任务可以包括将新用户添加到活动目录和提供用于适当网络的权限，以及为新用户提供用来访问共享文件系统的权限，以及在目标系统中为新用户创建新的用户帐户。知识库214中的规则可以
指定为了执行复合请求而需要被执行的这些任务。
55.在一个示例中，amrf系统120包括基于规则的专家系统，其可以确定来自iam系统110的传入请求是复合请求还是另一类型的访问管理请求。传入访问管理请求可以被解析以标识目标系统、要被执行的操作(例如，创建用户帐户、修改用户帐户、删除用户帐户等)以及与该请求相关联的用户。这一解析后的信息可以被存储在专家系统的图2中所示的工作存储器215中。推理引擎213可以标识来自与操作和目标系统相关联的知识库214的规则，并且该规则可以基于操作和目标系统来标识传入的访问管理请求是否是复合请求。如果传入的访问管理请求是复合请求，则规则可以指定为了执行该复合请求而要被执行的一组任务。根据另一示例，amrf系统120的专家系统可以使用机器学习分类器来将传入的请求分类为复合请求或者另一类型的请求，以便标识传入的复合请求，并且规则可以指定针对传入的复合请求而要被执行的任务。
56.在503处，如果传入的访问管理请求被确定为复合请求，则amrf系统120的专家系统生成为了针对该复合请求而被执行任务而要由一个或者多个机器人132执行的访问管理指令。访问管理指令被存储在机器人指令队列126中。例如，amrf系统120在表格300中针对要被执行的访问管理指令创建条目。如果传入的访问管理请求被确定为不是合成请求，则在504处，amrf系统120生成要针对传入的访问管理请求而由机器人执行的访问管理指令，并且将该访问管理指令存储在机器人指令队列126中。虽然未被示出，但是可以根据需要针对被创建并且被存储在机器人指令队列126中的访问管理指令来执行步骤407-411。
57.在机器人执行或者尝试执行来自机器人指令队列126的访问管理指令之后，来自机器人指令队列126的访问管理指令的状态如上所述被更新。在某些情况中，机器人可能尝试执行访问管理指令，但执行失败。机器人对访问管理指令的失败执行可能存在各种原因。例如，可能存在连接失败，从而导致机器人无法连接到目标系统以在目标系统上执行访问管理指令。机器人对访问管理指令的失败执行的另一原因可以是由于机器人的编程失败。机器人可以被编程为在目标系统上执行任务。编程失败可以包括机器人对编程指令的失败执行。编程失败的一个常见原因是针对目标系统的更改的接口。例如，机器人可以被编程为模仿由人类执行的操作。例如，为了在目标系统上创建用户帐户，系统管理员可以经由浏览器来访问用于目标系统的统一资源定位符(url)，并且可以被呈现以登录页面，其包括用于录入登录id和口令的文本框。系统管理员可以在文本框中录入用于系统管理员的登录id和口令以在目标系统上执行必要的访问管理任务。机器人可以被编程为模仿系统管理员的这些操作。例如，机器人在浏览器中录入目标系统的url以访问登录页面，并且机器人被编程为在文本框中录入用于系统管理员的登录id和口令。机器人可以被编程为在登录页面的代码(诸如超文本标记语言(html))中搜索具有特定名称的文本框。如果用于录入登录id的文本框的名称诸如由于目标系统的版本更新而改变，则机器人可能无法找到用来录入登录的文本框，从而导致访问管理指令的失败执行。机器人将需要用新的文本框名称来被重新编程。编程失败的另一示例可以包括未能录入系统管理员的正确的登录id或者口令。例如，如果口令改变，则机器人必须用新口令来被重新编程。如下面进一步所讨论的，机器人可以被自动重新编程。
58.根据一个实施例，amrf系统120可以确定机器人指令队列126中的访问管理指令的失败执行的原因，并且响应于失败执行来执行补救动作。图6示出了方法600。amrf系统120
监视位于机器人指令队列126中的访问管理指令的状态。在601处，amrf系统120标识机器人指令队列126中的失败的访问管理指令，诸如状态为异常或者失败的访问管理指令。
59.在602处，amrf系统120确定与失败的访问管理指令相关联的信息。与失败的访问管理指令相关联的信息可以包括可以至少部分地说明失败执行的原因的信息。例如，该信息可以包括可由目标系统或者另一系统生成的错误消息。例如，如果异常是由于连接错误，则机器人可以接收到与无法连接有关的错误消息，诸如“连接失败”。错误消息可以由机器人记录并且可以例如在表格300中的用于访问管理指令的备注字段中被提供。在另一示例中，如果用于系统管理员的登录id或者口令改变，则机器人可以接收到与未知的登录id或者口令有关的错误消息，并且在备注字段中提供该错误消息。
60.与失败的访问管理指令相关联的信息的其他示例在图3中的表格300中被示出。例如，对于用来创建具有相同名称的新用户的失败尝试，机器人可以将诸如名称已经存在之类的信息包括在备注字段中，或者如果用于执行指令的必填信息缺失则可以包括诸如必填字段为空白之类的信息。机器人还可以标识未能被执行的步骤。例如，机器人可以被编程为导航到网页上的文本框以录入登录id。如果该步骤诸如由于网页中的代码变化而失败，则机器人可以在备注字段中包括标识失败的导航步骤的信息。
61.在603处，amrf系统120针对机器人指令队列126中的失败指令来确定要执行的补救动作，并且可以基于在602处被确定的与失败的访问管理指令相关联的信息来确定补救动作。在一个示例中，amrf系统120的专家系统确定补救动作。例如，推理引擎213可以基于与失败的访问管理指令相关联的信息和描述失败的访问管理指令的其他信息来标识来自知识库214的规则，并且该规则可以指定要执行的补救动作。例如，对于网络连接问题，规则可以指定向帮助台系统230发送通知，并且在该通知中标识针对特定目标系统已经发生了网络连接问题。
62.在另一示例中，规则可以指定用于编程失败的补救动作。例如，规则可以指定向帮助台系统230发送通知，并且包括关于失败的指令的信息。系统管理员可以访问帮助台系统230以执行补救动作和/或手动执行失败的指令。机器人可以响应于检测到的编程失败而被自动地重新编程。例如，帮助台系统230可以包括记录器以记录失败的指令的手动执行。例如，如果执行由于目标系统处的新用户界面而失败，则记录器可以记录在系统管理员的计算机的浏览器上被执行的用户操作，以经由浏览器来在目标系统的新界面上执行操作。被记录的用户操作然后可以被用于对机器人编程。
63.以上描述了实施例和示例，并且本领域技术人员将能够在不脱离实施例和示例的范围的情况下对所描述的实施例和示例做出各种修改。