多租户身份云服务的本地写入制造技术

实施例在多租户云系统中执行写入操作，该多租户云系统包括：第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；以及第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域。实施例从第一客户端接收对在第二数据中心处针对资源执行第一写入的请求。实施例生成对第一数据中心的调用，该调用包括在第一数据中心处针对该资源的第二写入。实施例检索与第一写入对应的数据并将检索到的数据发送到第一数据中心。实施例基于第一写入对数据进行写入，对数据进行写入包括改变数据以生成改变的数据。

【技术实现步骤摘要】
【国外来华专利技术】多租户身份云服务的本地写入相关申请的交叉引用本申请要求于2018年4月4日提交的美国临时专利申请序列No.62/652,509的优先权，该申请的公开内容通过引用并入本文。
一个实施例一般涉及身份管理，尤其涉及云系统中的身份管理。
技术介绍
一般而言，基于云的应用(例如，企业公共云应用、第三方云应用等等)的使用正在飞速发展，其中访问来自各种设备(例如，桌面和移动设备)以及各种用户(例如，员工、合作伙伴、客户等等)。基于云的应用的丰富多样性和可访问性已经导致身份管理和访问安全性成为中心问题。云环境中的典型安全问题是未经授权的访问、账户劫持、恶意的内部人员等等。因而，需要安全地访问基于云的应用或位于任何地方的应用，而不管应用被何种设备类型或何种用户类型访问。
技术实现思路
实施例在多租户云系统中执行写入操作，该多租户云系统包括：第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；以及第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域。第二数据中心处的实施例从第一多个注册客户端中的第一客户端接收对在第二数据中心处针对资源执行第一写入的请求。第二数据中心处的实施例生成对第一数据中心的调用，该调用包括在第一数据中心处针对该资源的第二写入，第二写入包括特殊报头。第二数据中心处的实施例检索与第一写入对应的数据并将检索到的数据发送到第一数据中心。第一数据中心处的实施例基于第一写入对数据进行写入，对数据进行写入包括改变数据以生成改变的数据。附图说明图1-图5是提供基于云的身份管理的示例实施例的框图。图6是提供实施例的系统视图的框图。图6A是提供实施例的功能视图的框图。图7是实现云门的实施例的框图。图8图示了在一个实施例中实现多个租户的示例系统。图9是实施例的网络视图的框图。图10是一个实施例中的单点登录(“SSO”)功能的系统架构视图的框图。图11是一个实施例中的SSO功能的消息序列流。图12图示了一个实施例中的分布式数据网格的实例。图13图示了根据本专利技术的实施例的具有多个部署的数据中心(指定为“DC”)的公共云，每个数据中心形成“区域”。图14图示了根据本专利技术的实施例的具有附加JSON“元数据”列的数据库表。图15是根据实施例的用于使用基于多租户云的系统将资源从主身份云账户复制到分开区域中的远程数据中心中的复制云账户的功能的流程图。具体实施方式实施例允许租户对副本身份账户执行本地写入，而不必首先在主身份账户处执行写入。实施例使用全局签名密钥。本地写入允许以最小时延来实现副本账户处的更改，并且特别适合于需要立即生效的功能，诸如密码更改。实施例提供实现基于微服务的架构的身份云服务，并提供多租户身份和数据安全性管理以及对基于云的应用的安全访问。实施例支持对于混合云部署的安全访问(即，包括公共云和私有云的组合的云部署)。实施例保护云中和内部部署(on-premise)的应用和数据。实施例支持经由web、移动和应用编程接口(“API”)的多信道访问。实施例管理对于不同用户(诸如客户、合作伙伴和员工)的访问。实施例管理、控制和审计跨整个云以及内部部署的访问。实施例与新的和现有的应用和身份集成。实施例是水平可伸缩的。一个实施例是在无状态中间层环境中实现多个微服务以提供基于云的多租户身份和访问管理服务的系统。在一个实施例中，每个被请求的身份管理服务被分解成实时任务和近实时任务。实时任务由中间层中的微服务处理，而近实时任务被卸载到消息队列。实施例实现由路由层和中间层消耗以强制实施用于访问微服务的安全模型的访问令牌。因而，实施例提供基于多租户、微服务架构的云规模的身份和访问管理(“IAM”)平台。一个实施例提供了使得组织能够为其新业务计划迅速开发快速、可靠和安全的服务的身份云服务。在一个实施例中，身份云服务提供多个核心服务，每个核心服务解决许多企业面临的独特挑战。在一个实施例中，身份云服务在以下方面支持管理员，例如，初始登入(on-boarding)/导入用户、导入具有用户成员的组、创建/更新/禁用/启用/删除用户、向/从组中分配/取消分配用户、创建/更新/删除组、重置密码、管理策略、发送激活等等。身份云服务还在以下方面支持最终用户，例如，修改简档、设置主要/恢复电子邮件、核实电子邮件、解锁其账户、更改密码、忘记密码时恢复密码等等。访问的统一安全性一个实施例保护云环境中以及内部部署环境中的应用和数据。该实施例保护任何人从任何设备对任何应用的访问。由于两个环境之间的安全性不一致会导致较高的风险，因此该实施例提供跨两种环境的保护。例如，这种不一致会使销售人员即使在已经叛逃到竞争对手之后仍能继续访问其客户关系管理(“CRM”)账户。因而，实施例将在内部部署环境中提供的安全性控制扩展到云环境中。例如，如果一个人离开公司，那么实施例确保他们的账户在内部部署和云中都被禁用。一般而言，用户可以通过许多不同的渠道(诸如web浏览器、台式机、移动电话、平板电脑、智能手表、其它可穿戴设备等等)来访问应用和/或数据。因而，一个实施例提供跨所有这些渠道的安全访问。例如，用户可以使用他们的移动电话完成他们在台式机上开始的事务。一个实施例还管理对于各种用户(诸如客户、合作伙伴、员工等等)的访问。一般而言，应用和/或数据不仅可以由员工访问，而且可以由客户或第三方访问。虽然许多已知的系统在员工登入时采取安全措施，但是在向客户、第三方、合作伙伴等等给予访问时一般不采取相同级别的安全措施，从而导致由未妥善管理的各方造成的安全漏洞的可能。但是，实施例确保为每种类型的用户的访问而不仅仅是员工的访问提供足够的安全措施。身份云服务实施例提供了作为多租户、云规模的IAM平台的身份云服务(“IDCS”)。IDCS提供认证、授权、审计和联合。IDCS管理对公共云上以及内部部署系统上运行的自定义应用和服务的访问。在替代或附加的实施例中，IDCS还可以管理对公共云服务的访问。例如，可以使用IDCS在这样各种服务/应用/系统中提供单点登录(“SSO”)功能。实施例基于用于设计、构建和递送云规模的软件服务的多租户、微服务架构。多租户是指让服务的一个物理实现安全地支持多个客户购买那个服务。服务是可以被不同客户端用于不同的目的的软件功能或软件功能集合(诸如检索指定的信息或执行一组操作)，以及控制该软件功能或该软件功能集合的使用的策略(例如，基于请求服务的客户端的身份)。在一个实施例中，服务是使得能够访问一个或多个能力的机制，其中访问是使用规定的接口提供的并且与由服务描述指定的约束和策略一致地被实施(exercised)。在一个实施例中，微服务是独立可部署的服务。在一个实施例中，术语微服务设想了一种软件架构设计模式，其中复杂应用由使用语言不可知的API彼此通信的小型独立进程组成。在一个实施例中，微服务是小的、高度解耦的本文档来自技高网...

【技术保护点】
1.一种多租户云系统，包括：/n第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；/n第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域；/n第二数据中心从第一多个注册客户端中的第一客户端接收对在第二数据中心处针对资源执行第一写入的请求；/n第二数据中心生成对第一数据中心的调用，所述调用包括在第一数据中心处针对所述资源的第二写入，第二写入包括特殊报头；/n第二数据中心检索与第一写入对应的数据并将检索到的数据发送到第一数据中心；以及/n第一数据中心基于第一写入对所述数据进行写入，对所述数据进行写入包括改变所述数据以生成改变的数据。/n

【技术特征摘要】
【国外来华专利技术】20180404 US 62/652,509;20190116 US 16/249,0451.一种多租户云系统，包括：
第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；
第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域；
第二数据中心从第一多个注册客户端中的第一客户端接收对在第二数据中心处针对资源执行第一写入的请求；
第二数据中心生成对第一数据中心的调用，所述调用包括在第一数据中心处针对所述资源的第二写入，第二写入包括特殊报头；
第二数据中心检索与第一写入对应的数据并将检索到的数据发送到第一数据中心；以及
第一数据中心基于第一写入对所述数据进行写入，对所述数据进行写入包括改变所述数据以生成改变的数据。


2.如权利要求1所述的多租户云系统，其中第一数据中心是第一客户端的主区域并且包括第一客户端的身份账户，并且第二数据中心是第一客户端的副本区域并且不包括第一客户端的身份账户。


3.如权利要求1所述的多租户云系统，还包括：
第二数据中心确定所述资源是否支持本地写入；
当所述资源不支持本地写入时，不是生成对第一数据中心的调用，而是向第二数据中心返回对第一客户端的响应，该响应包括重定向统一资源定位符URL。


4.如权利要求1所述的多租户云系统，还包括在第二数据中心中复制所述改变的数据。


5.如权利要求1所述的多租户云系统，其中所述特殊报头是使用全局签名密钥签名的。


6.如权利要求1所述的多租户云系统，其中来自第一客户端的所述请求包括能够既用于写入数据又用于从第二数据中心读取数据的请求统一资源定位符URL。


7.如权利要求6所述的多租户云系统，其中所述云系统包括执行身份管理任务的多个微服务，请求URL包括：
第一客户端的身份、所述资源的身份和所述多个微服务之一的身份。


8.如权利要求1所述的多租户云系统，所述改变所述数据包括添加新数据。


9.一种在多租户云系统中执行写入操作的方法，所述多租户云系统包括：第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；以及第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域，所述方法包括：
在第二数据中心处，从第一多个注册客户端中的第一客户端接收对在第二数据中心处针对资源执行第一写入的请求；
在第二数据中心处，生成对第一数据中心的调用，所述调用包括在第一数据中心处针对所述资源的第二写入，第二写入包括特殊报头；
在第二数据中心处，检索与第一写入对应的数据并将检索到的数据发送到第一数据中心；以及
在第一...

【专利技术属性】
技术研发人员：V·兰德，B·巴鲁，V·R·米达姆，史光宇，L·古波塔，V·阿索库玛，G·威尔逊，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：美国;US