提供身份云服务(IDCS)的租户和服务管理。通过网络从租户自动化系统(TAS)接收为租户创建IDCS服务实例的请求。IDCS服务实例使用包括任务协调器和多个同步任务的任务执行框架被创建,所述任务协调器实例化所述任务、控制所述任务并生成对所述请求的响应。通过网络向所述TAS发送指示已经为所述租户创建所述IDCS服务实例的响应。
【技术实现步骤摘要】
【国外来华专利技术】用于多租户身份和数据安全管理云服务的租户和服务管理
一个实施例一般涉及身份管理,尤其涉及基于云的系统中的身份管理。
技术介绍
一般而言,基于云的应用(例如,企业公共云应用、第三方云应用等等)的使用正在飞速发展,其中访问来自各种设备(例如,桌面和移动设备)以及各种用户(例如,员工、合作伙伴、客户等等)。基于云的应用的丰富多样性和可访问性已经导致访问安全性成为中心问题。云环境中的典型安全问题是未经授权的访问、账户劫持、恶意的内部人员等等。因而,需要安全地访问基于云的应用或位于任何地方的应用,而不管应用被何种设备类型或何种用户类型访问。
技术实现思路
实施例提供在无状态中间层中实现多个微服务以提供基于云的多租户身份和访问管理服务的系统和方法。在某些实施例中,提供身份云服务(IDCS)的租户和服务管理。通过网络从租户自动化系统(TAS)接收到为租户创建IDCS服务实例的请求。IDCS服务实例使用包括任务协调器和多个同步任务的任务执行框架被创建,任务协调器实例化任务、控制任务并生成对请求的响应。通过网络向TAS发送指示已经为租户创建IDCS服务实例的响应。附图说明图1-图5是提供基于云的身份管理的示例实施例的框图。图6是提供实施例的系统视图的框图。图6A是提供实施例的功能视图的框图。图7是实现云门的实施例的框图。图8图示了在一个实施例中实现多个租户的示例系统。图9是实施例的网络视图的框图。图10是一个实施例中的单点登录(“SSO”)功能的系统架构视图的框图。图11是一个实施例中的SSO功能的消息序列流。图12图示了一个实施例中的分布式数据网格的实例。图13示出了根据本专利技术实施例的IDCS服务实例生命周期管理的序列流。图14示出了根据本专利技术实施例的用于为IDCS提供租户和服务管理的过程。图15示出了根据本专利技术的实施例,当接收到创建IDCS服务实例的请求时执行的过程。图16示出了根据本专利技术实施例的任务执行框架的框图。图17示出了根据本专利技术实施例的租户升级功能的框图。图18示出了根据本专利技术实施例的模式创建功能的框图。具体实施方式本专利技术的实施例提供实现基于微服务的架构的身份云服务,并提供多租户身份和数据安全性管理以及对基于云的应用的安全访问。实施例支持对于混合云部署的安全访问(即,包括公共云和私有云的组合的云部署)。实施例保护云中和内部部署(on-premise)的应用和数据。实施例支持经由web、移动和应用编程接口(“API”)的多信道访问。实施例管理对于不同用户(诸如客户、合作伙伴和员工)的访问。实施例管理、控制和审计跨整个云以及内部部署的访问。实施例与新的和现有的应用和身份集成。实施例是水平可伸缩的。本专利技术的实施例提供了在无状态中间层环境中实现多个微服务以提供基于云的多租户身份和访问管理服务的系统和方法。在某些实施例中,每个被请求的身份管理服务被分解成实时任务和近实时任务。实时任务由中间层中的微服务处理,而近实时任务被卸载到消息队列。本专利技术的实施例实现由路由层和中间层消耗以强制实施用于访问微服务的安全模型的访问令牌。因而,实施例提供基于多租户、微服务架构的云规模的身份和访问管理(“IAM”)平台。在某些实施例中,提供身份云服务(IDCS)的租户和服务管理。通过网络从租户自动化系统(TAS)接收到为租户创建IDCS服务实例的请求。IDCS服务实例使用包括任务协调器和多个同步任务的任务执行框架被创建,任务协调器实例化任务、控制任务并生成对请求的响应。通过网络向TAS发送指示已经为租户创建IDCS服务实例的响应。访问的统一安全性一个实施例保护云环境中以及内部部署环境中的应用和数据。该实施例保护任何人从任何设备对任何应用的访问。由于两个环境之间的安全性不一致会导致较高的风险,因此该实施例提供跨两种环境的保护。例如,这种不一致会使销售人员即使在已经叛逃到竞争对手之后仍能继续访问其客户关系管理(“CRM”)账户。因而,实施例将在内部部署环境中提供的安全性控制扩展到云环境中。例如,如果一个人离开公司,那么实施例确保他们的账户在内部部署和云中都被禁用。一般而言,用户可以通过许多不同的渠道(诸如web浏览器、台式机、移动电话、平板电脑、智能手表、其它可穿戴设备等等)来访问应用和/或数据。因而,一个实施例提供跨所有这些渠道的安全访问。例如,用户可以使用他们的移动电话完成他们在台式机上开始的事务。一个实施例还管理对于各种用户(诸如客户、合作伙伴、员工等等)的访问。一般而言,应用和/或数据不仅可以由员工访问,而且可以由客户或第三方访问。虽然许多已知的系统在员工登入(onboarding)时采取安全措施,但是在向客户、第三方、合作伙伴等等给予访问时一般不采取相同级别的安全措施,从而导致由未妥善管理的各方造成的安全漏洞的可能。但是,实施例确保为每种类型的用户的访问而不仅仅是员工的访问提供足够的安全措施。身份云服务实施例提供了作为多租户、云规模的IAM平台的身份云服务(“IDCS”)。IDCS提供认证、授权、审计和联合。IDCS管理对公共云上以及内部部署系统上运行的自定义应用和服务的访问。在替代或附加的实施例中,IDCS还可以管理对公共云服务的访问。例如,可以使用IDCS在这样各种服务/应用/系统中提供单点登录(“SSO”)功能。实施例基于用于设计、构建和递送云规模的软件服务的多租户、微服务架构。多租户是指让服务的一个物理实现安全地支持多个客户购买那个服务。服务是可以被不同客户端用于不同的目的的软件功能或软件功能集合(诸如检索指定的信息或执行一组操作),以及控制该软件功能或该软件功能集合的使用的策略(例如,基于请求服务的客户端的身份)。在一个实施例中,服务是使得能够访问一个或多个能力的机制,其中访问是使用规定的接口提供的并且与由服务描述指定的约束和策略一致地被实施(exercised)。在一个实施例中,微服务是独立可部署的服务。在一个实施例中,术语微服务设想了一种软件架构设计模式,其中复杂应用由使用语言不可知的API彼此通信的小型独立进程组成。在一个实施例中,微服务是小的、高度解耦的服务,并且每个微服务可以专注于做一个小任务。在一个实施例中,微服务架构样式是将单个应用开发为一套小服务的做法,每个小服务在其自己的进程中运行并与轻量级机制(例如,HTTP资源API)通信。在一个实施例中,相对于执行全部或许多相同功能的单件式服务,微服务更容易更换。而且,每个微服务可以被更新而不会对其它微服务产生不利影响。相比之下,对单件式服务的一部分的更新会不期望地或无意地对单件服务的其它部分产生负面影响。在一个实施例中,微服务可以围绕其能力被有益地组织。在一个实施例中,微服务集合中的每一个微服务的启动时间远小于笼统执行那些微服务的所有服务的单个应用的启动时间。在一些实施例中,这种微服务中的每一个微服务的启动时间是大约一秒或更少,而这种单个应用的启动时间可以是大约一分钟、几分钟或更长。在一个实施例中,微服务架构是指用于面向服务的架构(“SOA”)的专业化(即,系统内任务的分离)和实现做法,以构建灵活的、独立可部署的软件系统。微服务架构中的服务是经网络彼此通信以便履行目标的进程。在一个实施例中,这些服务使用技术不可知的协议。在一个实施例中,服务具有小粒度并本文档来自技高网...
【技术保护点】
1.一种计算机可读介质,其上存储有指令,所述指令当由处理器执行时,使得所述处理器为身份云服务IDCS提供租户和服务管理,所述提供包括:通过网络从租户自动化系统TAS接收为租户创建IDCS服务实例的请求;使用包括任务协调器和多个同步任务的任务执行框架来创建所述IDCS服务实例,所述任务协调器实例化所述任务、控制所述任务并生成对所述请求的响应;以及通过网络向所述TAS发送指示已经为所述租户创建所述IDCS服务实例的所述响应。
【技术特征摘要】
【国外来华专利技术】2016.09.16 US 62/395,4261.一种计算机可读介质,其上存储有指令,所述指令当由处理器执行时,使得所述处理器为身份云服务IDCS提供租户和服务管理,所述提供包括:通过网络从租户自动化系统TAS接收为租户创建IDCS服务实例的请求;使用包括任务协调器和多个同步任务的任务执行框架来创建所述IDCS服务实例,所述任务协调器实例化所述任务、控制所述任务并生成对所述请求的响应;以及通过网络向所述TAS发送指示已经为所述租户创建所述IDCS服务实例的所述响应。2.根据权利要求1所述的计算机可读介质,其中所述IDCS服务实例在没有管理员手动干预的情况下被创建。3.根据权利要求1所述的计算机可读介质,其中所述响应包括特定于租户的数据。4.根据权利要求1所述的计算机可读介质,其中所述创建所述IDCS服务实例包括为所述租户配置负载均衡策略、创建路由统一资源定位符URL以及供应命名空间。5.根据权利要求4所述的计算机可读介质,其中所述路由URL包括永久URL、友好URL和虚拟URL。6.根据权利要求2所述的计算机可读介质,其中所述IDCS服务实例使用多个被预先创建的模式之一被创建。7.根据权利要求1所述的计算机可读介质,还包括使用所述任务执行框架来升级所述IDCS服务实例,包括升级与所述租户相关联的工件。8.一种用于为身份云服务IDCS提供租户和服务管理的方法,所述方法包括:通过网络从租户自动化系统TAS接收为租户创建IDCS服务实例的请求;使用包括任务协调器和多个同步任务的任务执行框架来创建所述IDCS服务实例,所述任务协调器实例化所述任务、控制所述任务并生成对所述请求的响应;以及通过网络向所述TAS发送指示已经为所述租户创建所述IDCS服务实例的所述响应。9.根据权利要求8所述的方法,其中所述IDCS...
【专利技术属性】
技术研发人员:E·瑟博拉玛尼安,M·尼拉坎特施瓦,R·普鲁首塔曼,
申请(专利权)人:甲骨文国际公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。