多域身份管理系统技术方案

多租户身份管理(IDM)系统使得能够对共享云计算环境内的各个不同客户的域实现IDM功能，而不为每个单独的域复制单独的IDM系统。在强制实施这些域之间的隔离的同时，IDM系统能够向位于各个不同客户的域内的服务实例提供IDM功能。整个云的身份存储库可包含多个客户的域的身份信息，整个云的策略存储库可包含多个客户的域的安全策略信息。多租户IDM系统可提供委托模型，在所述委托模型中，可为各个域指定域管理员，并且各个域管理员可把某些角色委派给属于他的域的其它用户身份。域管理员可以指定特定于服务实例的管理员，以管理域内的特定服务实例。

【技术实现步骤摘要】
【国外来华专利技术】多域身份管理系统相关申请的引用本申请要求以下申请的优先权：2013年3月13日提交的美国专利申请No.13/838,813，“MULTI-TENANCYIDENTITYMANAGEMENTSYSTEM”，其所有内容通过引用包含于此；2012年9月7日提交的美国临时专利申请No.61/698,463，“SHAREDIDENTITYMANAGEMENTARCHITECTURE”，其所有内容通过引用包含于此；2012年9月7日提交的美国临时专利申请No.61/698,413，“TENANTAUTOMATIONSYSTEM”，其所有内容通过引用包含于此；2012年9月7日提交的美国临时专利申请No.61/698,459，“SERVICEDEPLOYMENTINFRASTRUCTURE”；和2014年3月14日提交的美国临时专利申请No.61/785,299，“CLOUDINFRASTRUCTURE”，其所有内容通过引用包含于此。
本公开涉及计算机安全，更具体地，涉及被分成各个单独的身份域的云计算环境内的身份管理。
技术介绍
云计算涉及通过网络(一般是因特网)，以服务的形式交付的计算资源(例如，硬件和软件)的使用。云计算把用户的数据、软件和计算委托给远程服务。例如，云计算可用于提供软件即服务(SaaS)或平台即服务(PaaS)。在利用SaaS的业务模型中，可向用户提供对应用软件和数据库的访问。云提供者可管理应用运行于的基础设施和平台。SaaS提供者通常利用预订费，给应用定价。SaaS可使企业获得通过把硬件和软件维护和支持外包给云提供者，来降低信息技术运营成本的潜能。这种外包可使企业能够远离硬件/软件开销和人员费用地重新分配信息技术运营费用，以满足其它信息技术目标。此外，由于应用被集中托管，因此能够不需要用户安装新软件地发布更新。然而，由于用户的数据被保存在云提供者的服务器上，因此，一些机构担心可能的对所述数据的潜在访问。通过web浏览器或者轻型桌面或移动应用，最终用户能够访问基于云的应用。同时，企业软件和用户的数据可被保存在位于远离所述企业和用户的位置的服务器上。至少在理论上，云计算使企业可以更迅速地部署其应用，同时可管理性得到改善，并且维护更少。至少在理论上，云计算使信息技术管理者可以更快地调整资源，以满足不时波动和不可预测的企业需求。身份管理(IDM)是控制计算机系统的用户的有关信息的任务。所述信息可包括验证所述用户的身份的信息。所述信息可包括描述所述用户被准许访问哪些数据的信息。所述信息可包括描述所述用户被准许对各种系统资源(例如，文件、目录、应用、通信端口、存储段等)，进行哪些操作的信息。IDM还可包括关于各个用户的描述信息以及所述描述信息可被谁如何访问和变更的管理。潜在地，云计算环境可包括用于使用云计算环境的各个独立机构的独立IDM系统，或者IDM系统的独立实例。不过，这种方案被视为工作的重复，和计算资源的浪费。
技术实现思路
本专利技术的一些实施例涉及在云计算环境中实现的、被分成多个单独的身份域的身份管理(IDM)系统。在本专利技术的实施例中，一组构成都排列在一起，从而创建单一IDM系统的抽象或者“租户切片化”视图。所述单一IDM系统可包括多个独立的组件或子系统。IDM系统可在多个独立的单独“租户”或者说IDM系统客户之间被共享，以致IDM系统被更密集地使用。从而，不需要为每个单独的客户例示单独的IDM系统。所述单一IDM系统可被配置成以致对于IDM系统的各个租户，可向该租户的用户呈现特定于该租户的IDM系统的虚拟视图。本专利技术的实施例可以利用虚拟化的概念。可按照概念上和在单一的主计算设备上可虚拟化多个单独虚拟机的方式类似的方式，在所述单一IDM系统内虚拟化IDM系统的单独视图。通过按照特定的方式配置IDM系统，可以实现这种虚拟化。IDM系统可涉及多个单独的层，包括概念上一个垂直地堆叠在另一个之上的上层和下层。上层至少可被分区。在IDM系统中，各个不同的服务(例如，验证和/或授权服务)可以与IDM系统的各个不同租户关联。IDM系统可以隔离各个租户，以致各个租户只能够与专用于该租户的IDM系统“切片”或分区交互作用。从而，IDM系统可强制实施租户之间的隔离。本专利技术的例证实施例提供一种计算机实现的方法，包括：在云计算环境内，创建多个身份域；在所述多个身份域内，强制实施身份域之间的隔离；把服务实例增加到所述多个身份域中的特定身份域；保存使服务实例和身份存储库的特定分区关联的数据，所述身份存储库保存所述多个身份域中的每个身份域的身份；和保存使服务实例和策略存储库的特定分区相关联的数据，所述策略存储库保存关于与所述多个身份域中的不同身份域相关的多个服务实例的策略。在例子中，计算机实现的方法还包括：把角色的层次中的第一角色分配给第一用户，所述第一用户具有保存在身份存储库中并且与特定身份域相关的第一用户身份，其中第一角色是允许具有第一角色的用户管理与所述特定身份域相关的所有服务实例的角色；把所述角色的层次中的第二角色分配给第二用户，所述第二用户具有保存在身份存储库中的第二用户身份，其中第二角色是允许具有第二角色的用户管理与所述特定身份域相关的单一服务实例的角色。在例子中，把第二角色分配给第二用户包括响应第一用户把第二角色委派给第二用户，把第二角色分配给第二用户。在例子中，把服务实例增加到所述多个身份域中的特定身份域中包括向第三用户分配第三角色，所述第三用户具有保存在身份存储库中并且与所述特定身份域相关的第三身份，所述第三角色由与特定服务实例的类型相关的多个角色定义。在例子中，计算机实现的方法还包括：使第二角色继承与第三角色相关的所有权限(permission)；和使第一角色继承被第二角色继承的所有权限。在例子中，在云计算环境内创建多个身份域包括在云计算环境内创建所述特定身份域，在云计算环境内创建所述特定身份域包括向指定的电子邮件地址发送电子邮件消息，所述电子邮件消息提供一种机制，借助所述机制，电子邮件消息的收件人能够在所述特定身份域内，建立管理身份。本专利技术的例证实施例提供一种计算机实现的方法，包括：导致在云计算环境中建立单一身份管理(IDM)系统；使所述单一IDM系统向与第一身份域相关的第一服务实例提供IDM功能，所述第一身份域是在云计算环境内定义的并且与在云计算环境内定义的第二身份域隔离；和使所述单一IDM系统向与第二身份域相关的第二服务实例提供IDM功能。在例子中，计算机实现的方法还包括：使所述单一IDM系统把与第一身份域相关、但是不与第二身份域相关的用户身份保存在维持于云计算环境内的单一身份存储库内；使所述单一IDM系统把与第二身份域相关、但是不与第一身份域相关的用户身份保存在所述单一身份存储库内；使所述单一IDM系统生成第一凭证，所述第一凭证允许第一服务实例与所述单一身份存储库的包含和第一身份域相关的用户身份的一部分交互作用，但不允许第一服务实例与所述单一身份存储库的包含和第一身份域不相关的用户身份的各个部分交互作用；和使所述单一IDM系统生成第二凭证，所述第二凭证允许第二服务实例与所述单一身份存储库的包含和第二身份域相关的用户身份的一部分交互作用，但不允许第二服务实例与所述单一身份存储库的包含和第二身份本文档来自技高网...

【技术保护点】
一种计算机实现的方法，包括：通过共享身份管理系统，创建第一身份域；使第一批多个服务与第一身份域关联；在第一批多个服务之间，共享由共享身份管理系统管理的第一组用户的身份；通过共享身份管理系统，创建与第一身份域隔离的第二身份域；使第二批多个服务与第二身份域关联；和在第二批多个服务之间，共享由共享身份管理系统管理的第二组用户的身份。

【技术特征摘要】
【国外来华专利技术】2012.09.07 US 61/698,413;2012.09.07 US 61/698,463;1.一种计算机实现的方法，包括：由共享身份管理系统创建与共享计算环境的多个客户中的第一客户相关的第一组用户身份，所述共享计算环境向与所述多个客户中的独立客户相关的用户提供服务；把指定第一组用户身份并使第一组用户身份与第一客户相关的数据保存在共享计算环境中；使共享计算环境内可用的第一批多个服务与第一客户关联；根据第一批多个服务和第一客户之间的关联，由共享身份管理系统决定使第一批多个服务内的所有服务能够获得第一组用户身份；由共享身份管理系统创建与多个客户中的第二客户相关的第二组用户身份；把指定第二组用户身份并使第二组用户身份与第二客户相关的数据保存在共享计算环境中；使共享计算环境内可用的第二批多个服务与第二客户关联；和根据第二批多个服务和第二客户之间的关联，由共享身份管理系统决定使第二批多个服务内的所有服务能够获得第二组用户身份；其中第一批多个服务不同于第二批多个服务；其中共享身份管理系统为在专用于第一客户而不专用于第二客户的第一域内开通的服务提供身份管理功能；其中共享身份管理系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能；其中第一域和第二域是共享计算环境的域。2.按照权利要求1所述的计算机实现的方法，还包括：通过共享身份管理系统，把(a)第一组用户身份中的第一用户映射到(b)对于第一批多个服务的子集的第一访问权限；通过共享身份管理系统，把(c)第二组用户身份中的第二用户映射到(d)对于第二批多个服务的子集的第二访问权限；其中第一组用户身份是作为第一客户的组织的雇员的一组身份；其中第二组用户身份是作为第二客户的组织的雇员的一组身份。3.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：通过共享身份管理系统，把(a)第一组用户身份中的第一用户映射到(b)第一角色，所述第一角色被映射到对于第一批多个服务的子集的第一访问权限；通过共享身份管理系统，把(c)第二组用户身份中的第二用户映射到(d)第二角色，所述第二角色被映射到对于第二批多个服务的子集的第二访问权限。4.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：阻止第一组用户身份中的用户进行与在第二组服务之中、但不在第一组服务之中的服务有关的操作；阻止第二组用户身份中的用户进行与在第一组服务之中、但不在第二组服务之中的服务有关的操作。5.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：把第一组用户身份的身份保存在由客户分隔的轻量存取协议LDAP目录的第一分区内；和把第二组用户身份的身份保存在LDAP目录的第二分区内。6.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：呈现包括用户界面元素的用户界面，通过所述用户界面元素，作为登录过程的一部分，特定用户能够识别所述特定用户正在试图访问的共享计算环境的特定视图。7.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：呈现控制台，所述控制台提供用于把用户身份增加到与多个客户中的特定客户相关的一组用户中，和从所述一组用户中删除用户身份的控件；通过控制台，从身份域管理员接收命令；确定身份域管理员属于的特定一组用户；和把身份域管理员通过控制台进行的用户身份增加和删除操作局限于所述特定一组用户。8.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：向第一组用户身份中的第一用户分配身份域管理员角色，所述身份域管理员角色给予第一用户向在第一组用户身份中具有身份的其他用户分配服务管理员角色的能力；向由作为身份域管理员的第一用户选择的第一组用户身份中的第二用户，分配第一服务管理员角色，所述第一服务管理员角色给予第二用户管理第一批多个服务中的第一服务的能力；和向由作为身份域管理员的第一用户选择的第一组用户身份中的第三用户，分配第二服务管理员角色，所述第二服务管理员角色给予第三用户管理第一批多个服务中的第二服务的能力。9.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：从在第一组用户身份中无用户身份、但是与第一客户的账户相关的第一人，接收在第一组用户中也没有用户身份的第二人的电子邮件地址；从所述第一人接收所述第一人提名第二人担任的角色；向第二人的电子邮件地址发送电子邮件消息，所述电子邮件消息包含到基于web的表格的超链接，所述表格能够用于创建第一组用户身份内的用户身份；根据第二人通过基于web的表格提供的信息，把第二人的身份增加到第一组用户身份；和把所述角色分配给第二人的身份。10.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：接收把特定服务增加到第一组服务中的请求；响应所述请求，把所述特定服务增加到第一组服务中；和在共享计算环境内，定义根据所述特定服务的类型，从角色的多个层次中自动选择的角色的层次。11.按照权利要求1-2任意之一所述的计算机实现的方法，还包括：将特定服务实例绑定到身份存储库的第一分区，所述特定服务实例是第一组服务中的服务的实例；和将特定服务实例绑定到策略存储库的第二分区，所述策略存储库保存关于与多个客户中的独立客户相关的多个服务实例的策略；其中第一分区只包含与第一客户相关的身份；其中第二分区只包含和特定服务实例有关的策略。12.一种保存特定指令的计算机可读存储器，所述特定指令能够使一个或多个处理器进行指定操作，所述特定指令包括：在共享计算环境内，创建多个客户-服务关联和多个客户-用户关联的指令，所述共享计算环境向与共享计算环境的多个客户中的独立客户相关的用户提供服务；根据客户-服务关联和客户-用户关联，对于共享计算环境的多个用户中的每个特定用户，确定所述特定用户被准许访问的服务的子集的指令；把服务实例增加到所述多个客户-服务关联中的特定客户-服务关联中的指令；保存使服务实例和身份存储库的特定分区相关联的数据的指令，所述身份存储库保存每个客户-用户关联中的用户的身份；保存使服务实例和策略存储库的特定分区相关联的数据的指令，所述策略存储库保存关于每个客户-服务关联中的服务实例的策略；和提供共享身份管理系统的指令，所述共享身份管理系统为在专用于多个客户中的第一客户而不专用于多个客户中的第二客户的第一域内开通的服务提供身份管理功能；其中共享身份管理系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能；其中第一域和第二域是共享计算环境的域。13.按照权利要求12所述的计算机可读存储器，其中所述特定指令还包括：把角色的层次中的第一角色分配给第一用户的指令，所述第一用户具有保存在身份存储库中并在特定的客户-用户关联中指定的第一用户身份；其中第一角色是允许具有第一角色的用户管理在所述特定客户-服务关联中指定的所有服务实例的角色；把所述角色的层次中的第二角色分配给第二用户的指令，所述第二用户具有保存在身份存储库中的第二用户身份；其中第二角色是允许具有第二角色的用户管理在特定的客户-服务关联中指定的单一服务实例的角色。14.按照权利要求13所述的计算机可读存储器，其中把第二角色分配给第二用户的指令包括响应于第一用户把第二角色委派给第二用户，把第二角色分配给第二用户的指令。15.按照权利要求13所述的计算机可读存储器，其中增加服务实例的指令包括向第三用户分配第三角色的指令，所述第三用户具有保存在身份存储库中并且在特定的客户-用户关联内指定的第三身份，所述第三角色由与特定服务实例的类型相关的多个角色定义。16.按照权利要求15所述的计算机可读存储器，其中所述特定指令包括使第二角色继承与第三角色相关的所有权限的指令；其中所述特定指令包括使第一角色继承被第二角色继承的所有权限的指令。17.按照权利要求12所述的计算机可读存储器，其中所述特定指令还包括向指定的电子邮件地址发送电子邮件消息的指令，所述电子邮件消息提供一种机制，借助所述机制，电子邮件消息的收件人能够在特定的客户-用户关联内建立管理身份。18.一种方法，包括：导致在共享计算环境中建立单一身份管理IDM系统，所述共享计算环境向与共享计算环境的多个客户中的独立客户相关的用户提供服务；使所述单一IDM系统向与共享计算环境的第一客户相关的第一服务实例提供IDM功能；使所述单一IDM系统向与共享计算环境的第二客户相关的第二服务实例提供IDM功能；使所述单一IDM系统阻止与第一客户相关的用户访问第二服务实例；和使所述单一IDM系统阻止与第二客户相关的用户访问第一服务实例；其中单一IDM系统为在专用于第一客户而不专用于第二客户的第一域内开通的服务提供身份管理功能；其中单一IDM系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能；其中第一域和第二域是共享计算环境的域。19.按照权利要求18所述的方法，还包括：使所述单一IDM系统把与第一客户相关、但是不与第二客户相关的用户身份保存在维持于共享计算环境内的单一身份存储库内；使所述单一IDM系统把与第二客户相关、但是不与第一客户相关的用户身份保存在所述单一身份存储库内；使所述单一IDM系统生成第一凭证，所述第一凭证允许第一服务实例与所述单一身份存储库的包含和第一客户相关的用户身份的一部分交互作用，但不允许第一服务实例与所述单一身份存储库的包含和第一客户不相关的用户身份的各个部分交互作用；和使所述单一IDM系统生成第二凭证，所述第二凭证允许第二服务实例与所述单一身份存储库的包含和第二客户相关的用户身份的一部分交互作用，但不允许第二服务实例与所述单一身份存储库的包含和第二客户不相关的用户身份的各个部分交互作用。20.按照权利要求18所述的方法，还包括：使所述单一IDM系统把与第一服务实例相关、但是不与第二服务实例相关的安全访问策略保存在维持于共享计算环境内的单一策略存储库内；使所述单一IDM系统把与第二服务实例相关、但是不与第一服务实例相关的安全访问策略保存在所述单一策略存储库内；使所述单一IDM系统生成第一凭证，所述第一凭证允许第一服务实例与所述单一策略存储库的包含和第一服务实例相关的安全访问策略的一部分交互作用，但不允许第一服务实例与所述单一策略存储库的包含和第一服务实例不相关的安全访问策略的各个部分交互作用；和使所述单一IDM系统生成第二凭证，所述第二凭证允许第二服务实例与所述单一策略存储库的包含和第二服务实例相关的安全访问策略的一部分交互作用，但不允许第二服务实例与所述单一策略存储库的包含和第二服务实例不相关的安全访问策略的各个部分交互作用。21.一种系统，包括：由共享身份管理系统创建与共享计算环境的多个客户中的第一客户相关的第一组用户身份的装置，所述共享计算环境向与所述多个客户中的独立客户相关的用户提供服务；把指定第一组用户身份并使第一组用户身份与第一客户相关的数据保存在共享计算环境中的装置；使共享计算环境内可用的第一批多个服务与第一客户关联的装置；根据第一批多个服务和第一客户之间的关联，由共享身份管理系统决定使第一批多个服务内的所有服务能够获得第一组用户身份的装置；由共享身份管理系统创建与多个客户中的第二客户相关的第二组用户身份的装置；把指定第二组用户身份并使第二组用户身份与第二客户相关的数据保存在共享计算环境中的装置；使共享计算环境内可用的第二批多个服务与第二客户关联的装置；和根据第二批多个服务和第二客户之间的关联，由共享身份管理系统决定使第二批多个服务内的所有服务能够获得第二组用户身份的装置；其中第一批多个服务不同于第二批多个服务；其中共享身份管理系统为在专用于第一客户而不专用于第二客户的第一域内开通的服务提供身份管理功能；其中共享身份管理系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能；其中第一域和第二域是共享计算环境的域。22.按照权利要求21所述的系统，还包括：通过共享身份管理系统，把(a)第一组用户身份中的第一用户映射到(b)对于第一批多个服务的子集的第一访问权限的装置；通过共享身份管理系统，把(c)第二组用户身份中的第二用户映射到(d)对于第二批多个服务的子集的第二访问权限的装置；其中第一组用户身份是作为第一客户的组织的雇员的一组身份；其中第二组用户身份是作为第二客户的组织的雇员的一组身份。23.按照权利要求21-22任意之一所述的系统，还包括：通过共享身份管理系统，把(a)第一组用户身份中的第一用户映射到(b)第一角色的装置，所述第一角色被映射到对于第一批多个服务的子集的第一访问权限；通过共享身份管理系统，把(c)第二组用户身份中的第二用户映射到(d)第二角色的装置，所述第二角色被映射到对于第二批多个服务的子集的第二访问权限。24.按照权利要求21-22任意之一所述的系统，还包括：阻止第一组用户身份中的用户进行与...

【专利技术属性】
技术研发人员：U·丝瑞尼瓦萨，V·阿索库玛，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：美国;US