用于在多租户应用服务器环境中支持安全性的系统和方法技术方案

根据实施例，本文描述了用于在多租户应用服务器环境中提供安全性的系统和方法。根据实施例，每分区的安全性配置包括：每分区的安全性领域(包括用于认证、授权、凭证映射、审核、密码验证、证书验证以及用户锁定的配置)；SSL配置，包括密钥、证书以及其他配置属性；以及用于分区资源和全局资源的访问控制。管理员可以经由角色的授予将一个或更多分区用户指派为分区管理员。

【技术实现步骤摘要】
【国外来华专利技术】版权声明本专利文档的公开内容的一部分包含受版权保护的材料。版权所有者不反对任何人对专利文档或专利公开内容按照在专利商标局的专利文件或记录中出现的那样进行传真复制，但是除此之外在任何情况下都保留所有版权。
本专利技术的实施例一般而言涉及应用服务器和云环境，并且具体地涉及用于在多租户应用服务器环境中提供安全性的系统和方法。
技术介绍
软件应用服务器(其示例包括OracleWebLogicServer(WLS)与Glassfish)通常提供用于运行企业软件应用的受管控的环境。近来，允许用户或者租户在云环境中开发和运行它们的应用以及利用环境所提供的分布式资源的技术也已经被研发，以用于在云环境中使用。
技术实现思路
根据实施例，本文描述了用于在多租户应用服务器环境中提供安全性的系统和方法。根据实施例，每分区的安全性配置包括：每分区的安全性领域(包括用于认证、授权、凭证映射、审核、密码验证、证书验证以及用户锁定的配置)；SSL配置，包括密钥、证书以及其他配置属性；以及用于分区资源和全局资源的访问控制。管理员可以经由角色的授予将一个或更多分区用户指派为分区管理员。附图说明图1示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。图2进一步示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。图3进一步示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。图4示出了根据实施例的资源组模板的示例性使用。图5示出了根据实施例的示例性多租户环境。图6示出了根据实施例的用于在多租户环境中支持安全性的系统和方法的一般功能。图7示出了根据实施例的被配置用于多领域的使用的多租户环境。图8示出了根据实施例的在具有多个身份域的多租户环境中由登录模块实现的认证方法。图9示出了根据实施例的在具有多个身份域的多租户环境中实现的授权子系统。具体实施方式根据实施例，本专利技术提供安全性服务的每分区配置，包括用在多租户服务器环境中的认证、授权、凭证映射、审核、密码验证、证书验证以及用户锁定的配置。本专利技术的实施例也提供用于分区资源和全局资源的访问控制，使得部署到具体分区的应用只能被该具体分区的用户访问；用于具体分区的分区配置只对该具体分区的管理员(以及WebLogic管理员)可用；并且分区管理员对全局可见的资源和配置只能够只读访问。图1-5与附随的文本描述多租户应用服务器环境。图6-8与附随的文本描述用于在诸如例如就图1-5所描述的多租户服务器环境中支持安全性的系统和方法。在以下描述中，本专利技术将在附图的图形中以示例的方式而非限制的方式被示出。此公开中对各种实施例的引用并非必然是对同一实施例，并且这些引用意味着至少一个。尽管讨论了特定的实施方案，但是应当理解这只是为了示意性的目的而提供的。相关领域的技术人员将认识到在不脱离本专利技术的范围和精神的情况下可以使用其他的部件和配置。此外，在某些实例中，将阐述若干特定的细节以提供本专利技术的完整描述。然而，对本领域技术人员显而易见的是，本专利技术可以在不具有这些特定的细节的情况下实施。在其他实例中，未如此详细地描述公知的特征，以免使本专利技术变得模糊。整个附图和具体实施方式中共同的引用标号被用来指示相同的元素；因此，如果元素在其他地方被描述，则图中所使用的引用标号在特定于该图的具体实施方式中可能被引用或者可能未被引用。三位引用标号中的首位指示元素首次出现于其中的图系列。应用服务器(例如多租户(MT))环境图1示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。如图1中所示，根据实施例，应用服务器(例如多租户(MT))环境100或者启用软件应用的部署和执行的其他计算环境可以被配置为包括在运行时被用来定义应用服务器域的域配置102以及根据域配置102来操作。根据实施例，应用服务器可以包括被定义用于在运行时使用的一个或更多分区104。每个分区可以与全局唯一的分区标识符(ID)以及分区配置关联，并且可以进一步包括和对资源组模板的引用126一起的一个或更多资源组124，和/或分区特定(partition-specific)的应用或资源128。域级别的资源组、应用和/或资源140也可以在域级别上被定义，可选地具有对资源组模板的引用。每个资源组模板160可以定义一个或更多应用A162、B164、资源A166、B168和/或其他可部署应用或资源170，并且可以被资源组引用。例如，如图1中所示，分区104中的资源组124可以引用(190)资源组模板160。通常，系统管理员可以定义分区、域级别的资源组和资源组模板，以及安全性领域；而分区管理员可以定义其自己分区的方面，例如通过创建分区级别资源组、部署应用到该分区、或者引用用于该分区的特定的领域。图2进一步示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。如图2中所示，根据实施例，分区202可以包括：例如，包括对资源组模板210的引用206的资源组205，虚拟目标(例如虚拟主机)信息207，以及可插拔的数据库(PDB)信息208。资源组模板(例如210)可以定义例如多个应用A211和B212，以及诸如JavaMessageServer(JMS)服务器213、存储并转发(SAF)中介215、邮件会话组件216或者JavaDatabaseConnectivity(JDBC)资源217的资源。图2中示出的资源组模板是以示例的方式提供的；根据实施例，可以提供不同类型的资源组模板和元素。根据实施例，当分区(例如202)内的资源组引用(220)具体资源组模板(例如210)时，与具体分区关联的信息可以结合被引用的资源组模板使用，以指示分区特定的信息230，例如分区特定的PDB信息。分区特定的信息可以随后被应用服务器使用以配置资源(例如PDB资源)用于被该分区使用。例如，与分区202关联的分区特定的PDB信息可以被应用服务器使用来配置(232)具有适当的PDB238的容器数据库(CDB)236以被该分区使用。类似地，根据实施例，与具体分区关联的虚拟目标信息可以被用来定义(239)分区特定的虚拟目标240(例如，baylandurgentcare.com)以被该分区使用，该虚拟目标240随后可以被置为可以经由统一资源定位符(URL)(例如http://baylandurgentcare.com)访问。图3进一步示出了根据实施例的用于在应用服务器、云或者其他环境中支持多租赁的系统。根据实施例，诸如config.xml配置文件的系统配置被用于定义分区，该系统配置包括用于与该分区关联的资源组的配置元素和/或其他分区特性。可以使用特性名/值对来每个分区地指定值。根据实施例，在受管控的服务器/集群242或者类似的环境内可以执行多个分区，该多个分区可以提供对CDB243的访问并可以经由网络层244访问。这允许例如域或分区与(CDB中的)PDB中的一个或更多个关联。根据实施例，多个分区中的每个分区(在此示例中是分区A250和分区B260)可以被配置为包括与该分区关联的多个资源。例如，分区A可以被配置为包括资源组251，资源组251包含应用A1252、应用A2254和JMSA256，以及与PDBA259关联的数据源A257，其本文档来自技高网...

【技术保护点】
一种用于在多租户应用服务器环境中提供安全性的方法，所述多租户应用服务器环境包括多个分区、多个分区资源以及多个全局资源，所述方法包括：定义多个安全性领域，所述多个安全性领域包括管理员安全性领域、第一安全性领域以及第二安全性领域；将所述多个分区中的第一分区配置为具有所述多个分区资源中的第一多个分区资源；将所述多个分区中的第二分区配置为具有所述多个分区资源中的第二多个分区资源；提供将所述第一分区与所述第一安全性领域关联的第一安全性配置；提供将所述第二分区与所述第二安全性领域关联的第二安全性配置；将第一主身份域与所述第一分区关联，其中所述第一主身份域表示与第一租户关联的第一多个用户；将第二主身份域与所述第二分区关联，其中所述第二主身份域表示与第二租户关联的第二多个用户；在运行时同时操作所述管理员安全性领域、第一安全性领域以及第二安全性领域中的每一个，以控制用于对所述多个分区资源及所述多个全局资源的访问的认证与授权；由此，与所述第一租户关联的所述第一多个用户能够访问所述第一分区的所述第一多个分区资源，但不能访问所述第二分区的所述第二多个分区资源；以及由此，与所述第二租户关联的所述第二多个用户能够访问所述第二分区的所述第二多个分区资源，但不能访问所述第一分区的所述第一多个分区资源。...

【技术特征摘要】
【国外来华专利技术】2014.06.23 US 62/016,058;2014.09.24 US 62/054,9121.一种用于在多租户应用服务器环境中提供安全性的方法，所述多租户应用服务器环境包括多个分区、多个分区资源以及多个全局资源，所述方法包括：定义多个安全性领域，所述多个安全性领域包括管理员安全性领域、第一安全性领域以及第二安全性领域；将所述多个分区中的第一分区配置为具有所述多个分区资源中的第一多个分区资源；将所述多个分区中的第二分区配置为具有所述多个分区资源中的第二多个分区资源；提供将所述第一分区与所述第一安全性领域关联的第一安全性配置；提供将所述第二分区与所述第二安全性领域关联的第二安全性配置；将第一主身份域与所述第一分区关联，其中所述第一主身份域表示与第一租户关联的第一多个用户；将第二主身份域与所述第二分区关联，其中所述第二主身份域表示与第二租户关联的第二多个用户；在运行时同时操作所述管理员安全性领域、第一安全性领域以及第二安全性领域中的每一个，以控制用于对所述多个分区资源及所述多个全局资源的访问的认证与授权；由此，与所述第一租户关联的所述第一多个用户能够访问所述第一分区的所述第一多个分区资源，但不能访问所述第二分区的所述第二多个分区资源；以及由此，与所述第二租户关联的所述第二多个用户能够访问所述第二分区的所述第二多个分区资源，但不能访问所述第一分区的所述第一多个分区资源。2.如权利要求1所述的方法，还包括：将所述第一主身份域配置为引用第一身份存储，所述第一身份存储用于存储与所述第一租户关联的所述第一多个用户的第一表示；以及将所述第二主身份域配置为引用与所述第一身份存储不同的第二身份存储，所述第二身份存储用于存储与所述第二租户关联的所述第二多个用户的第二表示。3.如权利要求1所述的方法，还包括：将所述第一主身份域配置为引用身份存储的第一部分，所述身份存储的第一部分用于存储与所述第一租户关联的所述第一多个用户的第一表示；以及将所述第二主身份域配置为引用所述身份存储的第二部分，所述身份存储的第二部分用于存储与所述第二租户关联的所述第二多个用户的第二表示。4.如前述任一项权利要求所述的方法，还包括：将管理员身份域与所述多租户应用服务器环境关联，其中所述管理员身份域表示所述多租户应用服务器环境的多个系统管理员；以及由此，与所述多租户应用服务器环境关联的所述多个系统管理员能够访问所述多个全局资源。5.如前述任一项权利要求所述的方法，还包括：提供第一认证服务，所述第一认证服务被配置为认证与所述第一租户关联的所述第一多个用户，以及结合所述第一多个用户中的一个或更多个用户生成标识所述第一主身份域的第一被签名的主体。6.如前述任一项权利要求所述的方法，还包括：将所述第一多个资源中的每一个资源与所述第一主身份域关联；将所述第二多个资源中的每一个资源与所述第二主身份域关联；提供授权服务，所述授权服务响应于接收到来自用户的访问资源的调用，将与所述用户关联的主身份域和与所述资源关联的主身份域进行比较，并且仅当与所述用户关联的主身份域匹配与所述资源关联的主身份域时授权对所述资源的访问。7.如权利要求1至4中任一项所述的方法，还包括：提供第一认证服务，所述第一认证服务被配置为认证与所述第一租户关联的所述第一多个用户，以及结合所述第一多个用户中的一个或更多用户生成标识所述第一主身份域的第一被签名的主体；提供第二认证服务，所述第二认证服务被配置为认证与所述第二租户关联的所述第二多个用户，以及结合所述第二多个用户中的一个或更多用户生成标识所述第二主身份域的第二被签名的主体；将所述第一多个资源中的每一个资源与所述第一主身份域关联；将所述第二多个资源中的每一个资源与所述第二主身份域关联；提供授权服务，所述授权服务响应于接收到与主体关联的访问资源的调用，将在所述主体中标识的主身份域和与所述资源关联的主身份域进行比较，并且仅当与所述主体关联的主身份域匹配与所述资源关联的主身份域时授权对所述资源的访问。8.一种计算机程序，包括机器可读格式的程序指令，所述程序指令在被计算机系统执行时，使所述计算机系统执行如权利要求1至7中任一项所述的方法。9.一种计算机程序，包括存储在非暂态机器可读数据存储介质中的如权利要求8所述的计算机程序。10.一种包括存储于其...

【专利技术属性】
技术研发人员：W·霍普金斯，C·普瑞，D·盖，P·鲍尔，J·李，J·谭希尔，K·斯瑞拉玛德斯肯，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：美国;US