在多部署数据库中复制帐户安全特征制造技术

本申请涉及在多部署数据库中复制帐户安全特征。接收复制由数据平台维护的第一帐户的请求。基于该请求，访问与帐户相关联的帐户数据。帐户数据包括第一帐户的安全配置。响应于该请求，使用帐户数据复制第一帐户。复制第一帐户会产生第二帐户。复制第一帐户包括将第一帐户的安全配置自动复制到第二帐户。复制安全配置包括复制第一帐户的身份管理配置；复制第一帐户的授权配置；以及复制第一帐户的认证配置。置。置。

【技术实现步骤摘要】
在多部署数据库中复制帐户安全特征


[0001]本公开的实施例总体上涉及数据库，并且更具体地，涉及用于多部署数据库(multiple deployment database)的帐户安全特征的复制。
[0002]背景
[0003]数据平台广泛用于计算和通信环境中的数据存储和数据访问。关于架构，数据平台可以是本地(on
‑
premises)数据平台、基于网络的数据平台(例如，基于云的数据平台)、这两者的组合，和/或包括另外的类型的架构。关于数据处理的类型，数据平台可以实现在线事务处理(OLTP)、在线分析处理(OLAP)、这两者的组合、和/或另外的类型的数据处理。此外，数据平台可以是或包括关系数据库管理系统(RDBMS)和/或一个或更多个其他类型的数据库管理系统。
[0004]在典型的实现中，数据平台包括代表客户帐户维护的一个或更多个数据库。实际上，数据平台可以包括分别与任意数量的客户帐户相关联地维护的一个或更多个数据库、以及与数据平台的系统帐户(例如，管理帐户)相关联的一个或更多个数据库、用于管理目的的一个或更多个其他数据库、和/或与一个或更多个其他组织相关联地维护和/或用于任何其他目的的一个或更多个其他数据库。数据平台还可以存储一般与数据平台相关联并且还与例如特定数据库和/或特定客户帐户相关联的元数据。
[0005]与给定客户帐户相关联的用户和/或执行过程可以通过一种或更多种类型的客户端使数据被纳入数据库中，并且还可以操纵数据、添加附加数据、移除数据、对数据运行查询、生成数据的视图等等。
[0006]在数据平台的示例实现中，给定数据库被表示为客户帐户内的帐户级对象，并且客户帐户还可以包括一个或更多个其他帐户级对象，例如用户、角色等等。此外，给定的帐户级数据库对象本身可以包含一个或更多个对象，例如表、模式(schemas)、视图、流、任务等等。给定表可以被组织为记录(例如，行)，每个记录包括一个或更多个属性(例如，列)。数据平台可以将数据库数据物理地存储在多个存储单元中，这些存储单元可以被称为块、微分区、和/或一个或更多个其他名称。
[0007]附图简述
[0008]从下面给出的详细描述和本公开的各种实施例的附图中，将更全面地理解本公开。
[0009]图1示出了根据本公开的一些实施例的示例计算环境，其包括与云存储提供商系统通信的基于网络的数据平台。
[0010]图2是示出根据本公开的一些实施例的计算服务管理器的部件的框图。
[0011]图3是示出根据本公开的一些实施例的执行平台的部件的框图。
[0012]图4是示出根据本公开的一些实施例的各种客户帐户复制组的概念图。
[0013]图5
‑
图8是示出根据本公开的一些实施例的基于网络的数据平台在执行用于客户帐户复制的方法中的操作的流程图。
[0014]图9示出了根据本公开的一些实施例的计算机系统形式的机器的图解表示，在该
计算机系统形式的机器内可以执行指令集，以用于使机器执行本文所讨论方法中的任何一种或更多种方法。
[0015]详细描述
[0016]现在将详细参考用于实现本专利技术主题的具体示例实施例。这些具体实施例的示例在附图中示出，并且具体细节在以下描述中阐述，以便提供对主题的透彻理解。应当理解，这些示例并不旨在将权利要求的范围限制于所示的实施例。相反，它们旨在覆盖可能被包含在本公开范围内的替代、修改、和等同物。
[0017]在一些情况下，跨多个地理位置、跨多个数据库供应商或提供商和/或跨可能位于同一物理位置或位于两个或更多个不同位置的多个计算设备复制数据库数据可能是有益的。这些多个位置、供应商、提供商和/或计算设备在本文可以被称为“部署”。这可以为数据库客户端提供显著的益处，因为数据是在多于一个位置被备份的。如果一个部署由于例如断电、系统错误、计划的维护停机时间等而不可用，则故障转移过程确保不同的部署接管对数据库的管理和操作。
[0018]在传统的数据平台中，可以跨多个部署复制客户帐户。对于具有多个部署的典型数据库，帐户管理员必须手动管理帐户安全配置，以使它们在用于故障转移的主帐户和辅助帐户之间保持同步。此外，当复制帐户时，终端用户(end user)必须手动重新配置安全配置并重新认证所有安全令牌。
[0019]本公开的方面包括通过使用帐户复制方法来解决利用传统数据平台进行帐户复制的上述缺点以及其他问题的系统、方法、和设备，该帐户复制方法涉及将安全配置从主帐户自动复制到复制帐户(在本文也被称为“辅助帐户”)。使用这种帐户复制方法，对主帐户所做的任何配置更改也会自动被复制，从而消除了帐户管理员手动管理主帐户和辅助帐户中的安全配置以使它们保持同步的需要。此外，当从主帐户到辅助帐户发生故障转移时，连接到数据平台的终端用户可以继续无缝工作。
[0020]当根据本文描述的方法从主帐户复制到辅助帐户时，所有现有的安全配置都被无缝复制。同时，由主帐户生成的所有长期令牌都可以被辅助帐户验证。因此，即使发生故障转移或恢复，终端用户也不会受到影响。
[0021]在示例实施例中，数据平台接收将主帐户复制到辅助帐户的请求。基于该请求，数据平台访问主帐户的帐户数据。帐户数据可以包括诸如用户、角色等的帐户级对象以及一个或更多个安全配置。安全配置可包括：身份管理配置，该身份管理配置定义用于主帐户的用户和角色供应特征，例如跨域身份管理系统(SCIM)配置；授权配置，该授权配置定义用于主帐户的资源访问授权，例如开放授权(OAuth)配置；以及认证(authorization)配置，该认证配置定义用于主帐户的访问凭据认证特征，例如安全断言标记语言(SAML)单点登录(SSO)配置。数据平台使用帐户数据来复制主帐户，从而产生辅助帐户。
[0022]当复制主帐户时，数据平台会自动将主帐户的安全配置复制到辅助帐户。在复制安全配置时，数据平台复制身份管理配置并配置与身份管理配置相关联的访问令牌，以供辅助帐户进行验证。数据平台还复制授权配置，并配置与授权配置相关联的刷新令牌，以供辅助帐户进行验证。此外，数据平台会自动将认证配置复制到辅助帐户。
[0023]这种帐户复制方法支持复杂的复制/故障转移情况。例如，假设一个复制组中有多个帐户，它们形成复杂的复制拓扑结构，例如链型、星型、或甚至环型。在复制/故障转移过
程期间生成的所有令牌和安全配置被维护。安全令牌生成过程可以涉及来自帐户的多个对象，例如用户、安全集成、密钥、角色等。本文描述的帐户复制方法可以利用从不同帐户复制的对象来生成安全令牌，并且这些令牌在后续复制之后仍然有效。
[0024]图1示出了根据本公开的一些实施例的示例计算环境100，其包括与客户端设备112通信的数据平台102。为了避免用不必要的细节模糊本专利技术主题，图1中省略了与传达对本专利技术主题的理解不密切相关的各种功能部件。然而，本领域技术人员将容易认识到，各种附加功能部件可以被包括作为计算环境100的一部分，以促进本文没本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据平台，包括：至少一个硬件处理器；以及至少一个存储器，所述至少一个存储器存储指令，所述指令使所述至少一个硬件处理器执行包括以下项的操作：接收复制由所述数据平台维护的第一帐户的请求；基于所述请求，访问与所述第一帐户相关联的帐户数据，所述帐户数据包括所述第一帐户的一个或更多个安全配置；以及响应于所述请求，使用所述帐户数据复制所述第一帐户，复制所述第一帐户产生第二帐户，复制所述第一帐户包括将所述第一帐户的所述一个或更多个安全配置自动复制到所述第二帐户。2.根据权利要求1所述的数据平台，其中，复制所述第一帐户的所述一个或更多个安全配置包括将所述第一帐户的身份管理配置复制到所述第二帐户。3.根据权利要求2所述的数据平台，其中，复制所述一个或更多个安全配置还包括配置与所述身份管理配置相关联的访问令牌以供所述第二帐户进行验证。4.根据权利要求3所述的数据平台，其中，配置与所述身份管理配置相关联的所述访问令牌包括修改所述访问令牌的数据结构以包括全局标识符。5.根据权利要求4所述的数据平台，其中，配置所述访问令牌还包括：修改所述访问令牌的串结构以包括复制组标识符，所述复制组标识符标识帐户组，所述帐户组包括所述第一帐户和所述第二帐户；复制用于加密所述访问令牌的令牌加密密钥；以及修改与所述访问令牌相关联的标识符格式以包括所述全局标识符。6.根据权利要求4所述的数据平台，其中，所述全局标识符包括部署标识符和实体标识符的组合，所述部署标识符标识所述第一帐户的部署，所述实体标识符标识对应于所述第一帐户的客户实体。7.根据权利要求2所述的数据平台，其中，复制所述身份管理配置包括：复制所述身份管理配置中的供应者角色，所述供应者角色具有在所述第一帐户内供应新的用户和角色的相关联许可，复制所述供应者角色导致复制的供应者角色具有在所述第二帐户内供应新的用户和角色的相关联许可；复制与所述身份管理配置相关联的集成对象，所述集成对象提供所述数据平台与对应于所述身份管理配置的身份管理服务之间的接口；以及将所述供应者角色与所述集成对象连接。8.根据权利要求1所述的数据平台，其中，复制所述第一帐户的所述一个或更多个安全配置包括将所述第一帐户的授权配置复制到所述第二帐户。9.根据权利要求8所述的数据平台，其中，复制所述一个或更多个安全配置还包括配置与所述授权配置相关联的刷新令牌以供所述第二帐户进行验证。10.根据权利要求9所述的数据平台，其中，配置所述刷新令牌包括修改所述刷新令牌的数据结构以包括全局标识符，所述全局标识符包括部署标识符和实体标识符的组合，所述部署标识符标识所述第一帐户的部署，所述实体标识符标识对应于所述第一帐户的客户实体。
11.根据权利要求10所述的数据平台，其中，配置所述刷新令牌还包括：修改所述刷新令牌的串结构以包括所述全局标识符和复制组标识符，所述复制组标识符标识帐户组，所述帐户组包括所述第一帐户和所述第二帐户；以及复制用于加密所述刷新令牌的令牌加密密钥。12.根据权利要求8所述的数据平台，其中，复制所述第一帐户的所述授权配置包括：复制与所述授权配置相关联的集成对象，所述集成对象提供所述数据平台与对应于所述授权配置的授权服务之间的接口；复制在所述授权配置中的用户；复制在所述授权配置中的角色；复制在所述授权配置中的授权同意书；以及将所述授权同意书与所述集成对象、所述用户和所述角色链接起来。13.根据权利要求1所述的数据平台，其中，复制所述第一帐户的所述一个或更多个安全配置包括将所述第一帐户的认证配置复制到所述第二帐户。14.根据权利要求13所述的数据平台，其中，复制所述第一帐户的所述认证配置包括：复制与所述认证配置相关联的集成对象，所述集成对象提供所述数据平台和与所述认证配置相关联的认证服务之间的接口，复制所述集成对象产生复制的集成对象；以及配置所述复制的集成对象以包括全局帐户统一资源定位器(URL)。15.一种方法，包括：接收复制由数据平台维护的第一帐户的请求；基于所述请求，访问与所述第一帐户相关联的帐户数据，所述帐户数据包括所述第一帐户的一个或更多个安全配置；以及响应于所述请求，由一个或...

【专利技术属性】
技术研发人员：苏拉杰，
申请(专利权)人：斯诺弗雷克公司，
类型：发明
国别省市：