本发明专利技术公开涉及基于LDAP的多租户云中身份管理系统。多租户身份管理(IDM)系统使IDM功能能够对于共享的云计算环境中的各种不同客户的域而被执行并且无需为每个单独的域复制单独的IDM系统。在实施那些域之间的隔离的同时,IDM系统可以向位于各种不同客户的域中的服务实例提供IDM功能。实现为单个LDAP目录的云范围身份存储可以包含多个客户的域的身份信息。这单个LDAP目录可以在LDAP目录的单独分区或子树中存储所有租户的实体的身份,每个这种分区或子树专用于租户的单独的域。云计算环境的部件确保特定子树中的LDAP条目只能由已经部署到对应于那个特定子树的域的服务实例访问。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】 对相关申请的优先权要求和交叉引用 本申请根据35U.S.C. § 119 (e)要求于2013年3月15日提交的标题为 "LDAP-BASEDMULTI-TENANTIN-化OUDIDENTITYMANAGEMENTSYSTEM"的美国临时专利 申请No. 61/801,048 和于 2013 年 9 月 5 日提交的标题为"LDAP-BASEDMULTI-TENANT IN-化OUDIDENTITYMANAGEMENTSYSTEM"的美国专利申请No. 14/019, 051 的优先权,出 于各种目的,该两个申请的全部内容通过引用被结合于此。本申请设及;于2012年9月 7日提交的标题为"SHAREDIDENTITYMANAGEMENTARCHITECTURE"的美国临时专利申 请No. 61/698, 463,出于各种目的,其全部内容通过引用被结合于此;于2012年9月7日 提交的标题为"TENANTAUTOMATIONSYSTEM"的美国临时专利申请No. 61/698, 413,出于 各种目的,其全部内容通过引用被结合于此;于2012年9月7日提交的标题为"SERVICE DE化0YMENTINFRASTRUCTURE"的美国临时专利申请No. 61/698,459 ;于2013年3月14日提 交的标题为"化0UDINFRASTRUCTURE"的美国临时专利申请No. 61/785, 299,出于各种目的, 其全部内容通过引用被结合于此;化及于2013年3月15日提交的标题为"MULTI-TENANCY IDENTITYMANAGEMENTSYSTEM"的美国专利申请No. 13/838, 813,出于各种目的,其全部内 容通过引用被结合于此。
W下本公开内容一般而言设及计算机安全性,并且更具体而言设及被分区成各个 单独的身份域的云计算环境中的身份管理。
技术介绍
云计算设及使用作为服务经网络(通常是因特网)交付的计算资源(例如,硬件 和软件)。云计算把用户的数据、软件和计算委托给远程服务。云计算可W被用来提供例 如软件即服务(Saas)或平台即服务(Paa巧。在利用SaaS的商业模型中,可W为用户提供 对应用软件和数据库的访问。云提供商可W管理应用在其上执行的基础设施和平台。SaaS 提供商一般利用订阅费给应用定价。通过把硬件和软件维护及支持外包给云提供商,SaaS 可W允许企业有减少信息技术运营成本的潜能。该种外包可W使企业远离硬件/软件花费 和人员开销而朝着满足其它信息技术目标重新分配信息技术运营成本。此外,通过应用被 集中托管,可W在无需用户安装新软件的情况下发布更新。但是,因为用户的数据存储在云 提供商的服务器上,所W有些组织会担屯、对那种数据的潜在未授权访问。 终端用户可W通过web浏览器或者轻量级台式或移动应用访问基于云的应用。同 时,企业软件和用户的数据可W存储在远离那个企业和远离那些用户的位置处的服务器 上。利用改进的管理性和更少的维护,云计算至少在理论上允许企业更快速地部署它们的 应用。云计算至少在理论上使信息技术管理者能够更快速地调整资源,W满足有时候波动 和不可预测的企业需求。 身份管理(IdentityManagement,IDM)是控制关于计算机系统的用户的信息的 任务。该种信息可w包括认证该种用户的身份的信息。该种信息可w包括描述那些用户被 授权访问哪些数据的信息。该种信息可W包括描述那些用户被授权关于各种系统资源(例 如,文件、目录、应用、通信端口、存储器片段,等等)执行哪些动作的信息。IDM还可W包括 关于每个用户的描述性信息的管理W及关于那种描述性信息可W如何和被谁访问和修改 的描述性信息的管理。对于使用云计算环境的每个单独的组织,云计算环境有可能可W包括单独的IDM 系统,或者IDM系统的单独实例。但是,该种模式可能被看作重复工作和计算资源的浪费。
技术实现思路
[000引本专利技术的某些实施例设及在云计算环境中实现的并且被分区到多个单独的身份 域中的身份管理(IDM)系统。 在本专利技术的实施例中,一组结构全都一起对齐,W产生单个IDM系统的抽象,或者 "成租户片的(tenant-sliced)"视图。该单个IDM系统可W包括多个单独的部件或子系统。 IDM系统可W在多个独立且分离的"租户"或IDM系统客户之间共享,使得IDM系统被更密 集地使用。因此,不需要为每个单独的客户实例化单独的IDM系统。单个IDM系统可W被 配置为使得,对于IDM系统的每个租户,特定于那个租户的IDM系统的虚拟视图可W呈现给 那个租户的用户。单个LDAP目录可W在LDAP目录的单独分区或子树中存储用于所有租户 的实体的身份,每个该种分区或子树专用于一个租户的单独身份域。云计算环境的部件确 保特定子树中的LDAP条目只能由已经部署到对应于那个特定子树的身份域的服务实例访 问。 本专利技术的实施例可W使用虚拟化的概念。W概念上与其中多个单独的虚拟机可在 单个托管计算设备上被虚拟化的方式类似的方式,IDM系统的单独视图可W在单个IDM系 统中被虚拟化。该种虚拟化可W通过W特殊的方式配置IDM系统来实现。IDM系统可W设 及多个单独的层,包括概念上垂直地彼此堆叠的上层和下层。至少上层可W被分区。在IDM 系统中,各种不同的服务(例如,认证和/或授权服务)可W与IDM系统的各种不同租户 关联。IDM系统可W隔离每个租户,使得每个租户能够只与专用于那个租户的IDM系统"片 (slice)"或分区(partition)交互。因此,IDM系统可W实施租户之间的隔离。 本专利技术的示例性实施例提供了计算机实现的方法,包括:在具有根节点的LDAP目 录中,在从根节点下行的第一目录子树中,存储与第一身份域关联但不与第二身份域关联 的实体的身份;在LDAP目录中,在也从根节点下行但是与第一目录子树分离的第二目录子 树中,存储与第二身份域关联但不与第一身份域关联的实体的身份;阻止已经部署到第一 身份域的服务实例访问存储在第二目录子树中的身份;并且阻止已经部署到第二身份域的 服务实例访问存储在第一目录子树中的身份。 在例子中,该计算机实现的方法还包括;在第一目录子树中,存储与第一身份域 关联但不与第二身份域关联的用户实体的身份;在第一目录子树中,存储与第一身份域关 联但不与第二身份域关联的服务实例实体的身份;阻止用户实体直接与维护LDAP目录的 LDAP服务器交互;并且允许服务实例实体代表用户实体直接与LDAP服务器交互。 在例子中,该计算机实现的方法还包括;响应于将第一服务实例部署到第一身份 域但不部署到第二身份域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第 一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存 储在第二目录子树中的身份;向第一服务实例提供第一凭证;响应于将第二服务实例部署 到第二身份域但不部署到第一身份域,生成第二凭证,当被LDAP服务器检查时,该第二凭 证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在 第一目录子树中的身份;并且向第二服务实例提供第二凭证。 在例子中,该计算机实现的方本文档来自技高网...
【技术保护点】
一种计算机实现的方法,包括:在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一身份域关联但不与第二身份域关联的实体的身份;在该LDAP目录中,在也从根节点下行但是与第一目录子树分离的第二目录子树中存储与第二身份域关联但不与第一身份域关联的实体的身份;阻止已经部署到第一身份域的服务实例访问存储在第二目录子树中的身份;及阻止已经部署到第二身份域的服务实例访问存储在第一目录子树中的身份。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:U·丝瑞尼瓦萨,V·阿索库玛,
申请(专利权)人:甲骨文国际公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。