【技术实现步骤摘要】
【国外来华专利技术】版权声明本专利文档的公开内容的一部分包含受版权保护的材料。版权所有者不反对任何人对专利文档或专利公开内容按照在专利商标局的专利文件或记录中出现的那样进行传真复制,但是除此之外在任何情况下都保留所有版权。
本专利技术的实施例一般而言涉及应用服务器和云环境,并且具体地涉及用于在多租户应用服务器环境中提供安全性的系统和方法。
技术介绍
软件应用服务器(其示例包括OracleWebLogicServer(WLS)与Glassfish)通常提供用于运行企业软件应用的受管控的环境。近来,允许用户或者租户在云环境中开发和运行它们的应用以及利用环境所提供的分布式资源的技术也已经被研发,以用于在云环境中使用。
技术实现思路
根据实施例,本文描述了用于在多租户应用服务器环境中提供安全性的系统和方法。根据实施例,每分区的安全性配置包括:每分区的安全性领域(包括用于认证、授权、凭证映射、审核、密码验证、证书验证以及用户锁定的配置);SSL配置,包括密钥、证书以及其他配置属性;以及用于分区资源和全局资源的访问控制。管理员可以经由角色的授予将一个或更多分区用户指派为分区管理员。附图说明图1示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。图2进一步示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。图3进一步示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。图4示出了根据实施例的资源组模板的示例性使用。图5示出了根据实施例的示例性多租户环境。图6示出了根据实施例的用于在多租户环境中支持安全性的系统和方法的一般功能。图7示出了根据实 ...
【技术保护点】
一种用于在多租户应用服务器环境中提供安全性的方法,所述多租户应用服务器环境包括多个分区、多个分区资源以及多个全局资源,所述方法包括:定义多个安全性领域,所述多个安全性领域包括管理员安全性领域、第一安全性领域以及第二安全性领域;将所述多个分区中的第一分区配置为具有所述多个分区资源中的第一多个分区资源;将所述多个分区中的第二分区配置为具有所述多个分区资源中的第二多个分区资源;提供将所述第一分区与所述第一安全性领域关联的第一安全性配置;提供将所述第二分区与所述第二安全性领域关联的第二安全性配置;将第一主身份域与所述第一分区关联,其中所述第一主身份域表示与第一租户关联的第一多个用户;将第二主身份域与所述第二分区关联,其中所述第二主身份域表示与第二租户关联的第二多个用户;在运行时同时操作所述管理员安全性领域、第一安全性领域以及第二安全性领域中的每一个,以控制用于对所述多个分区资源及所述多个全局资源的访问的认证与授权;由此,与所述第一租户关联的所述第一多个用户能够访问所述第一分区的所述第一多个分区资源,但不能访问所述第二分区的所述第二多个分区资源;以及由此,与所述第二租户关联的所述第二多个用户能够 ...
【技术特征摘要】
【国外来华专利技术】2014.06.23 US 62/016,058;2014.09.24 US 62/054,9121.一种用于在多租户应用服务器环境中提供安全性的方法,所述多租户应用服务器环境包括多个分区、多个分区资源以及多个全局资源,所述方法包括:定义多个安全性领域,所述多个安全性领域包括管理员安全性领域、第一安全性领域以及第二安全性领域;将所述多个分区中的第一分区配置为具有所述多个分区资源中的第一多个分区资源;将所述多个分区中的第二分区配置为具有所述多个分区资源中的第二多个分区资源;提供将所述第一分区与所述第一安全性领域关联的第一安全性配置;提供将所述第二分区与所述第二安全性领域关联的第二安全性配置;将第一主身份域与所述第一分区关联,其中所述第一主身份域表示与第一租户关联的第一多个用户;将第二主身份域与所述第二分区关联,其中所述第二主身份域表示与第二租户关联的第二多个用户;在运行时同时操作所述管理员安全性领域、第一安全性领域以及第二安全性领域中的每一个,以控制用于对所述多个分区资源及所述多个全局资源的访问的认证与授权;由此,与所述第一租户关联的所述第一多个用户能够访问所述第一分区的所述第一多个分区资源,但不能访问所述第二分区的所述第二多个分区资源;以及由此,与所述第二租户关联的所述第二多个用户能够访问所述第二分区的所述第二多个分区资源,但不能访问所述第一分区的所述第一多个分区资源。2.如权利要求1所述的方法,还包括:将所述第一主身份域配置为引用第一身份存储,所述第一身份存储用于存储与所述第一租户关联的所述第一多个用户的第一表示;以及将所述第二主身份域配置为引用与所述第一身份存储不同的第二身份存储,所述第二身份存储用于存储与所述第二租户关联的所述第二多个用户的第二表示。3.如权利要求1所述的方法,还包括:将所述第一主身份域配置为引用身份存储的第一部分,所述身份存储的第一部分用于存储与所述第一租户关联的所述第一多个用户的第一表示;以及将所述第二主身份域配置为引用所述身份存储的第二部分,所述身份存储的第二部分用于存储与所述第二租户关联的所述第二多个用户的第二表示。4.如前述任一项权利要求所述的方法,还包括:将管理员身份域与所述多租户应用服务器环境关联,其中所述管理员身份域表示所述多租户应用服务器环境的多个系统管理员;以及由此,与所述多租户应用服务器环境关联的所述多个系统管理员能够访问所述多个全局资源。5.如前述任一项权利要求所述的方法,还包括:提供第一认证服务,所述第一认证服务被配置为认证与所述第一租户关联的所述第一多个用户,以及结合所述第一多个用户中的一个或更多个用户生成标识所述第一主身份域的第一被签名的主体。6.如前述任一项权利要求所述的方法,还包括:将所述第一多个资源中的每一个资源与所述第一主身份域关联;将所述第二多个资源中的每一个资源与所述第二主身份域关联;提供授权服务,所述授权服务响应于接收到来自用户的访问资源的调用,将与所述用户关联的主身份域和与所述资源关联的主身份域进行比较,并且仅当与所述用户关联的主身份域匹配与所述资源关联的主身份域时授权对所述资源的访问。7.如权利要求1至4中任一项所述的方法,还包括:提供第一认证服务,所述第一认证服务被配置为认证与所述第一租户关联的所述第一多个用户,以及结合所述第一多个用户中的一个或更多用户生成标识所述第一主身份域的第一被签名的主体;提供第二认证服务,所述第二认证服务被配置为认证与所述第二租户关联的所述第二多个用户,以及结合所述第二多个用户中的一个或更多用户生成标识所述第二主身份域的第二被签名的主体;将所述第一多个资源中的每一个资源与所述第一主身份域关联;将所述第二多个资源中的每一个资源与所述第二主身份域关联;提供授权服务,所述授权服务响应于接收到与主体关联的访问资源的调用,将在所述主体中标识的主身份域和与所述资源关联的主身份域进行比较,并且仅当与所述主体关联的主身份域匹配与所述资源关联的主身份域时授权对所述资源的访问。8.一种计算机程序,包括机器可读格式的程序指令,所述程序指令在被计算机系统执行时,使所述计算机系统执行如权利要求1至7中任一项所述的方法。9.一种计算机程序,包括存储在非暂态机器可读数据存储介质中的如权利要求8所述的计算机程序。10.一种包括存储于其...
【专利技术属性】
技术研发人员:W·霍普金斯,C·普瑞,D·盖,P·鲍尔,J·李,J·谭希尔,K·斯瑞拉玛德斯肯,
申请(专利权)人:甲骨文国际公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。