【技术实现步骤摘要】
在多租户框架内控制对微服务的访问
本公开涉及计算机网络。
技术介绍
计算机网络是可以交换数据和共享资源的互连计算设备的集,并且与网络相关联的安全策略可限制用户在计算机网络内执行动作的能力。在一些示例中,计算机网络可要求用户名和密码来访问网络,并且计算机网络可基于用户的用户名或其他登录证书来跟踪和限制对计算机网络的一些对象和服务的访问。Keystone是用于云计算的OpenStackTM开源软件平台的组件。一般来说,Keystone是开源软件,其能够在计算机网络内实现认证(authN)和高级授权(authZ)。更具体地,Keystone支持基于令牌的authN和用户服务授权。Keystone可以在计算机网络内跟踪特定用户的动作,并且Keystone可附加地基于分配给用户的“角色”或一组角色来限制用户的动作。此外,计算机网络内用户的特定动作或特权可以称为“能力”。网络服务供应方提供服务,诸如通过网络核心(VPN服务)或订阅者将客户站点链接到服务、安全、通道、虚拟专用网络、过滤、负载平衡、VoIP/多媒体处理以及针...
【技术保护点】
1.一种系统,包括:/n网络,被服务供应方管理并且被配置为向租户集提供对一个或多个对象的访问,每个所述租户都具有一个或多个用户,所述服务供应方和所述租户集是形成层级结构的实体集的一部分,其中形成所述层级结构的所述实体集中的每个实体与所述实体集的父实体和所述实体集的一个或多个子实体中的至少一个相关联;以及/n控制器,具有对所述网络的访问,其中,所述控制器被配置为:/n获取指示参数集的数据,其中,指示所述参数集的所述数据与所述实体集的所有者实体相关联;/n生成合并所述参数集的规则,其中,所述规则使所述控制器能够控制对所述一个或多个对象中的对象的访问;并且/n将所述规则添加至规则...
【技术特征摘要】
20190620 US 16/447,7331.一种系统,包括:
网络,被服务供应方管理并且被配置为向租户集提供对一个或多个对象的访问,每个所述租户都具有一个或多个用户,所述服务供应方和所述租户集是形成层级结构的实体集的一部分,其中形成所述层级结构的所述实体集中的每个实体与所述实体集的父实体和所述实体集的一个或多个子实体中的至少一个相关联;以及
控制器,具有对所述网络的访问,其中,所述控制器被配置为:
获取指示参数集的数据,其中,指示所述参数集的所述数据与所述实体集的所有者实体相关联;
生成合并所述参数集的规则,其中,所述规则使所述控制器能够控制对所述一个或多个对象中的对象的访问;并且
将所述规则添加至规则数据库,其中,所述控制器可访问所述规则数据库。
2.根据权利要求1所述的系统,其中,所述控制器被配置为:
从所述实体集中的请求实体接收请求访问所述对象的令牌,其中,所述令牌包括指示所述请求实体的身份的数据;
基于被存储在所述规则数据库中的信息,标识与所述对象相对应的所述规则;以及
基于由所述规则合并的所述参数集并且基于所述请求实体的所述身份,确定所述请求实体是否被授权访问所述对象。
3.根据权利要求2所述的系统,其中,所述参数集包括与所述实体集中的实体的至少一个子集共享所述对象的指示,并且其中为了确定所述请求实体是否被授权访问所述对象,所述控制器被配置为:
如果实体的所述至少一个子集包括所述请求实体,则确定所述请求实体被授权访问所述对象;或者
如果实体的所述至少一个子集不包括所述请求实体,则确定所述请求实体未被授权访问所述对象。
4.根据权利要求2所述的系统,其中,所述参数集包括:
所述所有者实体与所述规则相关联的指示;
对所述所有者实体可用的所述对象的访问级别的指示;
与所述实体集中的实体的至少一个子集共享对应于所述规则的所述对象的指示;以及
是否与所述实体集中的所有实体共享所述对象的指示。
5.根据权利要求4所述的系统,其中,为了确定所述请求实体是否被授权访问所述对象,所述控制器被配置为:
如果所述请求实体不是所述所有者实体,则在实体的所述至少一个子集包括所述请求实体的情况下、或者在所述参数集包括与所述实体集中的所有实体共享所述对象的指示的情况下,确定所述请求实体被授权访问所述对象;或者
如果所述请求实体不是所述所有者实体,则在实体的所述至少一个子集不包括所述请求实体的情况下、或者在所述参数集包括不与所述实体集中的所有实体共享所述对象的指示的情况下,确定所述请求实体未被授权访问所述对象。
6.根据权利要求4所述的系统,其中,为了确定所述请求实体是否被授权访问所述对象,所述控制器被配置为:
如果所述请求实体是所述所有者实体,则基于对所述所有者实体可用的所述对象的所述访问级别的指示,确定所述请求实体是否被授权访问所述对象。
7.根据权利要求4所述的系统,其中,对所述所有者实体可用的所述对象的所述访问级别的所述指示包括:
所述所有者实体被允许读取所述对象的指示,其中,所述所有者实体被允许读取所述对象的指示使所述所有者实体能够查看与所述对象相关联的数据;
所述所有者实体被允许写入所述对象的指示,其中,所述所有者实体被允许写入所述对象的指示使所述所有者实体能够编辑与所述对象相关联的数据;
所述所有者实体被允许执行所述对象的指示,其中,所述所有者实体被允许执行所述对象的指示使所述所有者实体能够接收与所述对象相关联的服务;
所述所有者实体被允许读取所述对象和写入所述对象的指示;
所述所有者实体被允许读取所述对象和执行所述对象的指示;
所述所有者实体被允许写入所述对象和执行所述对象的指示;
所述所有者实体被允许读取所述对象、写入所述对象和执行所述对象的指示;或者
所述所有者实体不被允许读取所述对象、写入所述对象和执行所述对象的指示。
8.根据权利要求4所述的系统,其中,与所述实体集中的实体的所述至少一个子集共享所述对象的指示包括以下指示中的至少一个:
与包括与所述所有者实体相关联的直接父实体的实体子集共享所述对象的指示;
与包括与所述所有者实体相关联的一个或多个直接子实体的实体子集共享所述对象的指示;
与包括源于所述层级结构中的所述所有者实体的实体集中的所有实体的实体子集共享所述对象的指示;以及
与包括先于所述层级结构中的所述所有者实体的实体集中的所有祖先实体的实体子集共享所述对象的指示。
9.根据权利要求4所述的系统,其中,所述实体集中的每个实体都与范围集中的相应范围相关联,并且其中与所述实体集中的实体的至少一个子集共享所述对象的指示包括:
与包括与所述范围集的范围相关联的实体集中的所有实体的实体子集共享所述对象的指示。
10.根据权利要求1至9中任一项所述的系统,其中,所述控制器还被配置为:
从形成所述层级结构的所述实体集的创建实体并且经由应用编程接口(API)接收指示创建新实体的请求的消息;
基于所述消息,创建所述新实体,使得所述新实体的父实体是所述创建实体,并且所述创...
【专利技术属性】
技术研发人员:G·辛格,杨佩瑜,谢蓉,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。