用于提供基于云的身份和访问管理的系统、方法和介质技术方案

本发明专利技术涉及用于提供基于云的身份和访问管理的系统、方法和介质。实现单点登录(“SSO”)的基于云的身份和访问管理系统接收对被配置为允许访问应用的身份管理服务的第一请求。实施例将第一请求发送到第一微服务，该第一微服务通过生成令牌来执行身份管理服务。第一微服务至少部分地通过向SSO微服务发送第二请求来生成令牌，该SSO微服务被配置为跨基于不同协议的不同微服务来提供SSO功能。然后，实施例从第一微服务接收令牌并将令牌提供给应用，其中令牌允许访问应用。

【技术实现步骤摘要】
用于提供基于云的身份和访问管理的系统、方法和介质本申请是国际申请日为2017年9月14日、国家申请号为201780034546.0、专利技术名称为“用于多租户身份和数据安全管理云服务的单点登录和单点注销功能”的进入中国国家阶段的PCT申请的分案申请。相关申请的交叉引用本申请要求于2016年9月14日提交的序列号为62/394,273的美国临时专利申请和于2016年9月14日提交的序列号为62/394,345的美国临时专利申请的优先权。这些申请中的每一个的公开内容通过引用并入本文。
一个实施例一般涉及身份管理，尤其涉及云系统中的身份管理。
技术介绍
一般而言，基于云的应用(例如，企业公共云应用、第三方云应用等)的使用正在飞速发展，其中访问来自各种设备(例如，桌面和移动设备)以及各种用户(例如，员工、合作伙伴、客户等)。基于云的应用的丰富多样性和可访问性已经导致身份管理和访问安全性成为中心问题。云环境中的典型安全问题是未经授权的访问、帐户劫持、恶意的内部人员等。因而，需要安全地访问基于云的应用或位于任何地方的应用，而不管应用被何种设备类型或何种用户类型访问。
技术实现思路
一个实施例是实现单点登录(“SSO”)的基于云的身份和访问管理系统。实施例接收对被配置为允许访问应用的身份管理服务的第一请求。实施例将第一请求发送到第一微服务，该第一微服务通过生成令牌来执行身份管理服务。第一微服务至少部分地通过向SSO微服务发送第二请求来生成令牌，该SSO微服务被配置为跨基于不同协议的不同微服务提供SSO功能。然后，实施例从第一微服务接收令牌并将令牌提供给应用，其中令牌允许访问应用。一个实施例是实现单点登录(“SSO”)的基于云的身份和访问管理系统。实施例接收对被配置为允许访问应用的身份管理服务的第一请求。实施例将第一请求发送到第一微服务，其中该第一微服务通过生成令牌来执行身份管理服务。第一微服务至少部分地通过向SSO微服务发送第二请求来生成令牌，其中该SSO微服务被配置为跨基于不同协议的不同微服务提供SSO功能。SSO微服务实现SSO并生成包括全局状态并用于与不同的微服务进行通信的cookie。实施例接收SSO的单点注销(“SLO”)，并使用cookie迭代地从应用注销，其中在从第一协议的应用的每次注销之后，执行到SSO微服务的重定向以触发从不同协议的应用的注销。附图说明图1-图5是提供基于云的身份管理的示例实施例的框图。图6是提供实施例的系统视图的框图。图6A是提供实施例的功能视图的框图。图7是实现云门的实施例的框图。图7A是图示了实现云门的实施例中的主机标识符功能的框图。图8图示了在一个实施例中实现多个租户的示例系统。图9是实施例的网络视图的框图。图10是一个实施例中的单点登录(“SSO”)功能的系统架构视图的框图。图10A图示了一个实施例中的SSO运行时的示例框图。图10B图示了一个实施例中的SSO功能的示例状态和流程图。图11是一个实施例中的SSO功能的消息序列流程。图12图示了一个实施例中的分布式数据网格的实例。图13是根据实施例的身份和访问管理功能的流程图。图14是图示了根据一个实施例的部件的各种功能和cookie传播功能的注销流程。具体实施方式实施例在身份云服务(“IDCS”)中提供单点登录(“SSO”)功能，该身份云服务提供多租户、云规模、身份和访问管理(“IAM”)平台。在一个实施例中，SSO功能是通过提供全局会话然后基于全局会话生成协议特定的令牌来实现的。实施例还通过使用cookie迭代地从多个应用注销并使用重定向来提供单点注销(“SLO”)功能，从而安全信息不会存储在cookie上。实施例提供实现基于微服务的架构的身份云服务，并提供多租户身份和数据安全管理以及对基于云的应用的安全访问。实施例支持对于混合云部署的安全访问(即，包括公共云和私有云的组合的云部署)。实施例保护云中和内部部署(on-premise)的应用和数据。实施例支持经由web、移动和应用编程接口(“API”)的多信道访问。实施例管理对于不同用户(诸如客户、合作伙伴和员工)的访问。实施例管理、控制和审计跨云以及内部部署的访问。实施例与新的和现有的应用和身份集成。实施例是水平可伸缩的。一个实施例是在无状态中间层环境中实现多个微服务以提供基于云的多租户身份和访问管理服务的系统。在一个实施例中，每个被请求的身份管理服务被分解成实时任务和近实时任务。实时任务由中间层中的微服务处理，而近实时任务被卸载到消息队列。实施例实现由路由层和中间层消耗以强制实施用于访问微服务的安全模型的访问令牌。因而，实施例提供了基于多租户、微服务架构的云规模的IAM平台。一个实施例提供身份云服务，该服务使得组织能够为其新的商业计划快速开发高速、可靠和安全的服务。在一个实施例中，身份云服务提供许多核心服务，每个核心服务解决许多企业面临的独特挑战。在一个实施例中，身份云服务支持管理员例如进行用户的初始登入/导入、导入具有用户成员的组、创建/更新/禁用/启用/删除用户、将用户指派到组/从组中解除指派、创建/更新/删除组、重新设置密码、管理策略、发送激活等。身份云服务还支持最终用户例如修改简档、设置主要/恢复电子邮件、核实电子邮件、解锁其账户、改变密码、在忘记密码的情况下恢复密码等。访问的统一安全性一个实施例保护云环境中以及内部部署环境中的应用和数据。该实施例保护任何人从任何设备对任何应用的访问。由于两个环境之间的安全性不一致会导致较高的风险，因此该实施例提供跨两种环境的保护。例如，这种不一致会使销售人员即使在已经叛逃到竞争对手之后仍能继续访问其客户关系管理(“CRM”)账户。因而，实施例将在内部部署环境中提供的安全控制扩展到云环境中。例如，如果人员离开公司，则实施例确保他们的账户在内部部署和云中都被禁用。一般而言，用户可以通过许多不同的渠道(诸如web浏览器、台式机、移动电话、平板电脑、智能手表、其它可穿戴设备等)来访问应用和/或数据。因而，一个实施例提供跨所有这些渠道的安全访问。例如，用户可以使用他们的移动电话完成他们在台式机上开始的事务。一个实施例还管理对于各种用户(诸如客户、合作伙伴、员工等)的访问。一般而言，应用和/或数据不仅可以由员工访问，而且可以由客户或第三方访问。虽然许多已知的系统在员工登入(onboarding)时采取安全措施，但是在向客户、第三方、合作伙伴等给予访问时一般不采取相同级别的安全措施，从而导致由未妥善管理的各方造成的安全漏洞的可能。但是，实施例确保为每种类型的用户的访问而不仅仅是员工的访问提供足够的安全措施。身份云服务实施例提供了作为多租户、云规模IAM平台的IDCS。IDCS提供认证、授权、审计和联合(federation)。IDCS管理对公共云上以及内部部署系统上运行的自定义应用和服务的访问。在替代或附加的实施例中，IDCS还可以管理对公共云服务的访问。例如，IDCS可用于跨这样的各种服务/应用/系统来提供SSO功能。实施例基于用于设计、构建和递送云规模的软件服务的多租户、微服务架构。多租户是指让服务的一个物理实现安全地支持多个客户购买该服务。服务是可以被不同客户端出于不同目的重用的软件功能或软件功能集合(诸如检索指定的信息或执行一本文档来自技高网...

【技术保护点】
1.一种其上存储有指令的非瞬态计算机可读介质，所述指令在由处理器执行时使得所述处理器提供基于云的身份和访问管理，所述提供包括：接收对被配置为允许访问应用的身份管理服务的第一请求；将所述第一请求发送到第一微服务，其中所述第一微服务通过生成令牌来执行所述身份管理服务，其中所述第一微服务至少部分地通过向单点登录SSO微服务发送第二请求来生成所述令牌，其中所述SSO微服务被配置为跨基于不同协议的不同微服务提供SSO功能；其中所述SSO微服务实现SSO，并生成包括全局状态并用于与不同的微服务进行通信的cookie；接收所述SSO的单点注销SLO；以及使用所述cookie迭代地从所述应用注销，其中在从第一协议的应用的每次注销之后，执行到所述SSO微服务的重定向以触发从不同协议的应用的注销。

【技术特征摘要】
2016.09.14 US 62/394,273;2016.09.14 US 62/394,3451.一种其上存储有指令的非瞬态计算机可读介质，所述指令在由处理器执行时使得所述处理器提供基于云的身份和访问管理，所述提供包括：接收对被配置为允许访问应用的身份管理服务的第一请求；将所述第一请求发送到第一微服务，其中所述第一微服务通过生成令牌来执行所述身份管理服务，其中所述第一微服务至少部分地通过向单点登录SSO微服务发送第二请求来生成所述令牌，其中所述SSO微服务被配置为跨基于不同协议的不同微服务提供SSO功能；其中所述SSO微服务实现SSO，并生成包括全局状态并用于与不同的微服务进行通信的cookie；接收所述SSO的单点注销SLO；以及使用所述cookie迭代地从所述应用注销，其中在从第一协议的应用的每次注销之后，执行到所述SSO微服务的重定向以触发从不同协议的应用的注销。2.如权利要求1所述的计算机可读介质，其中所述cookie指示登录到所述SSO的应用。3.如权利要求1所述的计算机可读介质，还包括：从所述第一微服务接收所述令牌；以及将所述令牌提供给应用，其中所述令牌允许访问所述应用。4.如权利要求1所述的计算机可读介质，其中所述第一微服务被配置为基于所述协议提供认证功能。5.如权利要求4所述的计算机可读介质，其中所述协议是OAuth或安全断言标记语言SAML，其中所述SSO微服务被配置为跨OAuth和SAML两者提供SSO功能。6.如权利要求5所述的计算机可读介质，其中所述SSO微服务生成被配置为会话cookie的全局会话，并将所述全局会话提供给所述第一微服务。7.如权利要求6所述的计算机可读介质，其中所述第一微服务将所述全局会话转换成所述令牌。8.一种提供基于云的身份和访问管理的方法，包括：接收对被配置为允许访问应用的身份管理服务的第一请求；将所述第一请求发送到第一微服务，其中所述第一微服务通过生成令牌来执行所述身份管理服务，其中所述第一微服务至少部分地通过向单点登录SSO微服务发送第二请求来生成所述令牌，其中所述SSO微服务被配置为跨基于不同协议的不同微服务提供SSO功能；其中所述SSO微服务实现SSO，并生成包括全局状态并用于与不同的微服务进行通信的cookie；接收所述SSO的单点注销SLO；以及使用所述cookie迭代地从所述应用注销，其中在从第一协议的应用的每次注销之后，执行到所述SSO微服务的重定向以触发从不同协议的应...

【专利技术属性】
技术研发人员：J·V·甘咖韦恩，B·约瑟夫，B·萨恩克萨拉，M·P·尤奇尔，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：美国,US