【技术实现步骤摘要】
【国外来华专利技术】多域身份管理系统相关申请的引用本申请要求以下申请的优先权:2013年3月13日提交的美国专利申请No.13/838,813,“MULTI-TENANCYIDENTITYMANAGEMENTSYSTEM”,其所有内容通过引用包含于此;2012年9月7日提交的美国临时专利申请No.61/698,463,“SHAREDIDENTITYMANAGEMENTARCHITECTURE”,其所有内容通过引用包含于此;2012年9月7日提交的美国临时专利申请No.61/698,413,“TENANTAUTOMATIONSYSTEM”,其所有内容通过引用包含于此;2012年9月7日提交的美国临时专利申请No.61/698,459,“SERVICEDEPLOYMENTINFRASTRUCTURE”;和2014年3月14日提交的美国临时专利申请No.61/785,299,“CLOUDINFRASTRUCTURE”,其所有内容通过引用包含于此。
本公开涉及计算机安全,更具体地,涉及被分成各个单独的身份域的云计算环境内的身份管理。
技术介绍
云计算涉及通过网络(一般是因特网),以服务的形式交付的计算资源(例如,硬件和软件)的使用。云计算把用户的数据、软件和计算委托给远程服务。例如,云计算可用于提供软件即服务(SaaS)或平台即服务(PaaS)。在利用SaaS的业务模型中,可向用户提供对应用软件和数据库的访问。云提供者可管理应用运行于的基础设施和平台。SaaS提供者通常利用预订费,给应用定价。SaaS可使企业获得通过把硬件和软件维护和支持外包给云提供者,来降低信息技术运营成本的潜能。 ...
【技术保护点】
一种计算机实现的方法,包括:通过共享身份管理系统,创建第一身份域;使第一批多个服务与第一身份域关联;在第一批多个服务之间,共享由共享身份管理系统管理的第一组用户的身份;通过共享身份管理系统,创建与第一身份域隔离的第二身份域;使第二批多个服务与第二身份域关联;和在第二批多个服务之间,共享由共享身份管理系统管理的第二组用户的身份。
【技术特征摘要】
【国外来华专利技术】2012.09.07 US 61/698,413;2012.09.07 US 61/698,463;1.一种计算机实现的方法,包括:由共享身份管理系统创建与共享计算环境的多个客户中的第一客户相关的第一组用户身份,所述共享计算环境向与所述多个客户中的独立客户相关的用户提供服务;把指定第一组用户身份并使第一组用户身份与第一客户相关的数据保存在共享计算环境中;使共享计算环境内可用的第一批多个服务与第一客户关联;根据第一批多个服务和第一客户之间的关联,由共享身份管理系统决定使第一批多个服务内的所有服务能够获得第一组用户身份;由共享身份管理系统创建与多个客户中的第二客户相关的第二组用户身份;把指定第二组用户身份并使第二组用户身份与第二客户相关的数据保存在共享计算环境中;使共享计算环境内可用的第二批多个服务与第二客户关联;和根据第二批多个服务和第二客户之间的关联,由共享身份管理系统决定使第二批多个服务内的所有服务能够获得第二组用户身份;其中第一批多个服务不同于第二批多个服务;其中共享身份管理系统为在专用于第一客户而不专用于第二客户的第一域内开通的服务提供身份管理功能;其中共享身份管理系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能;其中第一域和第二域是共享计算环境的域。2.按照权利要求1所述的计算机实现的方法,还包括:通过共享身份管理系统,把(a)第一组用户身份中的第一用户映射到(b)对于第一批多个服务的子集的第一访问权限;通过共享身份管理系统,把(c)第二组用户身份中的第二用户映射到(d)对于第二批多个服务的子集的第二访问权限;其中第一组用户身份是作为第一客户的组织的雇员的一组身份;其中第二组用户身份是作为第二客户的组织的雇员的一组身份。3.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:通过共享身份管理系统,把(a)第一组用户身份中的第一用户映射到(b)第一角色,所述第一角色被映射到对于第一批多个服务的子集的第一访问权限;通过共享身份管理系统,把(c)第二组用户身份中的第二用户映射到(d)第二角色,所述第二角色被映射到对于第二批多个服务的子集的第二访问权限。4.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:阻止第一组用户身份中的用户进行与在第二组服务之中、但不在第一组服务之中的服务有关的操作;阻止第二组用户身份中的用户进行与在第一组服务之中、但不在第二组服务之中的服务有关的操作。5.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:把第一组用户身份的身份保存在由客户分隔的轻量存取协议LDAP目录的第一分区内;和把第二组用户身份的身份保存在LDAP目录的第二分区内。6.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:呈现包括用户界面元素的用户界面,通过所述用户界面元素,作为登录过程的一部分,特定用户能够识别所述特定用户正在试图访问的共享计算环境的特定视图。7.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:呈现控制台,所述控制台提供用于把用户身份增加到与多个客户中的特定客户相关的一组用户中,和从所述一组用户中删除用户身份的控件;通过控制台,从身份域管理员接收命令;确定身份域管理员属于的特定一组用户;和把身份域管理员通过控制台进行的用户身份增加和删除操作局限于所述特定一组用户。8.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:向第一组用户身份中的第一用户分配身份域管理员角色,所述身份域管理员角色给予第一用户向在第一组用户身份中具有身份的其他用户分配服务管理员角色的能力;向由作为身份域管理员的第一用户选择的第一组用户身份中的第二用户,分配第一服务管理员角色,所述第一服务管理员角色给予第二用户管理第一批多个服务中的第一服务的能力;和向由作为身份域管理员的第一用户选择的第一组用户身份中的第三用户,分配第二服务管理员角色,所述第二服务管理员角色给予第三用户管理第一批多个服务中的第二服务的能力。9.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:从在第一组用户身份中无用户身份、但是与第一客户的账户相关的第一人,接收在第一组用户中也没有用户身份的第二人的电子邮件地址;从所述第一人接收所述第一人提名第二人担任的角色;向第二人的电子邮件地址发送电子邮件消息,所述电子邮件消息包含到基于web的表格的超链接,所述表格能够用于创建第一组用户身份内的用户身份;根据第二人通过基于web的表格提供的信息,把第二人的身份增加到第一组用户身份;和把所述角色分配给第二人的身份。10.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:接收把特定服务增加到第一组服务中的请求;响应所述请求,把所述特定服务增加到第一组服务中;和在共享计算环境内,定义根据所述特定服务的类型,从角色的多个层次中自动选择的角色的层次。11.按照权利要求1-2任意之一所述的计算机实现的方法,还包括:将特定服务实例绑定到身份存储库的第一分区,所述特定服务实例是第一组服务中的服务的实例;和将特定服务实例绑定到策略存储库的第二分区,所述策略存储库保存关于与多个客户中的独立客户相关的多个服务实例的策略;其中第一分区只包含与第一客户相关的身份;其中第二分区只包含和特定服务实例有关的策略。12.一种保存特定指令的计算机可读存储器,所述特定指令能够使一个或多个处理器进行指定操作,所述特定指令包括:在共享计算环境内,创建多个客户-服务关联和多个客户-用户关联的指令,所述共享计算环境向与共享计算环境的多个客户中的独立客户相关的用户提供服务;根据客户-服务关联和客户-用户关联,对于共享计算环境的多个用户中的每个特定用户,确定所述特定用户被准许访问的服务的子集的指令;把服务实例增加到所述多个客户-服务关联中的特定客户-服务关联中的指令;保存使服务实例和身份存储库的特定分区相关联的数据的指令,所述身份存储库保存每个客户-用户关联中的用户的身份;保存使服务实例和策略存储库的特定分区相关联的数据的指令,所述策略存储库保存关于每个客户-服务关联中的服务实例的策略;和提供共享身份管理系统的指令,所述共享身份管理系统为在专用于多个客户中的第一客户而不专用于多个客户中的第二客户的第一域内开通的服务提供身份管理功能;其中共享身份管理系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能;其中第一域和第二域是共享计算环境的域。13.按照权利要求12所述的计算机可读存储器,其中所述特定指令还包括:把角色的层次中的第一角色分配给第一用户的指令,所述第一用户具有保存在身份存储库中并在特定的客户-用户关联中指定的第一用户身份;其中第一角色是允许具有第一角色的用户管理在所述特定客户-服务关联中指定的所有服务实例的角色;把所述角色的层次中的第二角色分配给第二用户的指令,所述第二用户具有保存在身份存储库中的第二用户身份;其中第二角色是允许具有第二角色的用户管理在特定的客户-服务关联中指定的单一服务实例的角色。14.按照权利要求13所述的计算机可读存储器,其中把第二角色分配给第二用户的指令包括响应于第一用户把第二角色委派给第二用户,把第二角色分配给第二用户的指令。15.按照权利要求13所述的计算机可读存储器,其中增加服务实例的指令包括向第三用户分配第三角色的指令,所述第三用户具有保存在身份存储库中并且在特定的客户-用户关联内指定的第三身份,所述第三角色由与特定服务实例的类型相关的多个角色定义。16.按照权利要求15所述的计算机可读存储器,其中所述特定指令包括使第二角色继承与第三角色相关的所有权限的指令;其中所述特定指令包括使第一角色继承被第二角色继承的所有权限的指令。17.按照权利要求12所述的计算机可读存储器,其中所述特定指令还包括向指定的电子邮件地址发送电子邮件消息的指令,所述电子邮件消息提供一种机制,借助所述机制,电子邮件消息的收件人能够在特定的客户-用户关联内建立管理身份。18.一种方法,包括:导致在共享计算环境中建立单一身份管理IDM系统,所述共享计算环境向与共享计算环境的多个客户中的独立客户相关的用户提供服务;使所述单一IDM系统向与共享计算环境的第一客户相关的第一服务实例提供IDM功能;使所述单一IDM系统向与共享计算环境的第二客户相关的第二服务实例提供IDM功能;使所述单一IDM系统阻止与第一客户相关的用户访问第二服务实例;和使所述单一IDM系统阻止与第二客户相关的用户访问第一服务实例;其中单一IDM系统为在专用于第一客户而不专用于第二客户的第一域内开通的服务提供身份管理功能;其中单一IDM系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能;其中第一域和第二域是共享计算环境的域。19.按照权利要求18所述的方法,还包括:使所述单一IDM系统把与第一客户相关、但是不与第二客户相关的用户身份保存在维持于共享计算环境内的单一身份存储库内;使所述单一IDM系统把与第二客户相关、但是不与第一客户相关的用户身份保存在所述单一身份存储库内;使所述单一IDM系统生成第一凭证,所述第一凭证允许第一服务实例与所述单一身份存储库的包含和第一客户相关的用户身份的一部分交互作用,但不允许第一服务实例与所述单一身份存储库的包含和第一客户不相关的用户身份的各个部分交互作用;和使所述单一IDM系统生成第二凭证,所述第二凭证允许第二服务实例与所述单一身份存储库的包含和第二客户相关的用户身份的一部分交互作用,但不允许第二服务实例与所述单一身份存储库的包含和第二客户不相关的用户身份的各个部分交互作用。20.按照权利要求18所述的方法,还包括:使所述单一IDM系统把与第一服务实例相关、但是不与第二服务实例相关的安全访问策略保存在维持于共享计算环境内的单一策略存储库内;使所述单一IDM系统把与第二服务实例相关、但是不与第一服务实例相关的安全访问策略保存在所述单一策略存储库内;使所述单一IDM系统生成第一凭证,所述第一凭证允许第一服务实例与所述单一策略存储库的包含和第一服务实例相关的安全访问策略的一部分交互作用,但不允许第一服务实例与所述单一策略存储库的包含和第一服务实例不相关的安全访问策略的各个部分交互作用;和使所述单一IDM系统生成第二凭证,所述第二凭证允许第二服务实例与所述单一策略存储库的包含和第二服务实例相关的安全访问策略的一部分交互作用,但不允许第二服务实例与所述单一策略存储库的包含和第二服务实例不相关的安全访问策略的各个部分交互作用。21.一种系统,包括:由共享身份管理系统创建与共享计算环境的多个客户中的第一客户相关的第一组用户身份的装置,所述共享计算环境向与所述多个客户中的独立客户相关的用户提供服务;把指定第一组用户身份并使第一组用户身份与第一客户相关的数据保存在共享计算环境中的装置;使共享计算环境内可用的第一批多个服务与第一客户关联的装置;根据第一批多个服务和第一客户之间的关联,由共享身份管理系统决定使第一批多个服务内的所有服务能够获得第一组用户身份的装置;由共享身份管理系统创建与多个客户中的第二客户相关的第二组用户身份的装置;把指定第二组用户身份并使第二组用户身份与第二客户相关的数据保存在共享计算环境中的装置;使共享计算环境内可用的第二批多个服务与第二客户关联的装置;和根据第二批多个服务和第二客户之间的关联,由共享身份管理系统决定使第二批多个服务内的所有服务能够获得第二组用户身份的装置;其中第一批多个服务不同于第二批多个服务;其中共享身份管理系统为在专用于第一客户而不专用于第二客户的第一域内开通的服务提供身份管理功能;其中共享身份管理系统为在专用于第二客户而不专用于第一客户的第二域内开通的服务提供身份管理功能;其中第一域和第二域是共享计算环境的域。22.按照权利要求21所述的系统,还包括:通过共享身份管理系统,把(a)第一组用户身份中的第一用户映射到(b)对于第一批多个服务的子集的第一访问权限的装置;通过共享身份管理系统,把(c)第二组用户身份中的第二用户映射到(d)对于第二批多个服务的子集的第二访问权限的装置;其中第一组用户身份是作为第一客户的组织的雇员的一组身份;其中第二组用户身份是作为第二客户的组织的雇员的一组身份。23.按照权利要求21-22任意之一所述的系统,还包括:通过共享身份管理系统,把(a)第一组用户身份中的第一用户映射到(b)第一角色的装置,所述第一角色被映射到对于第一批多个服务的子集的第一访问权限;通过共享身份管理系统,把(c)第二组用户身份中的第二用户映射到(d)第二角色的装置,所述第二角色被映射到对于第二批多个服务的子集的第二访问权限。24.按照权利要求21-22任意之一所述的系统,还包括:阻止第一组用户身份中的用户进行与...
【专利技术属性】
技术研发人员:U·丝瑞尼瓦萨,V·阿索库玛,
申请(专利权)人:甲骨文国际公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。