基于ldap的多租户云中身份管理系统的制作方法

文档序号:8449505阅读:839来源:国知局
基于ldap的多租户云中身份管理系统的制作方法
【专利说明】
[0001] 对相关申请的优先权要求和交叉引用
[0002] 本申请根据35U.S.C. § 119 (e)要求于2013年3月15日提交的标题为 "LDAP-BASEDMULTI-TENANTIN-化OUDIDENTITYMANAGEMENTSYSTEM"的美国临时专利 申请No. 61/801,048 和于 2013 年 9 月 5 日提交的标题为"LDAP-BASEDMULTI-TENANT IN-化OUDIDENTITYMANAGEMENTSYSTEM"的美国专利申请No. 14/019, 051 的优先权,出 于各种目的,该两个申请的全部内容通过引用被结合于此。本申请设及;于2012年9月 7日提交的标题为"SHAREDIDENTITYMANAGEMENTARCHITECTURE"的美国临时专利申 请No. 61/698, 463,出于各种目的,其全部内容通过引用被结合于此;于2012年9月7日 提交的标题为"TENANTAUTOMATIONSYSTEM"的美国临时专利申请No. 61/698, 413,出于 各种目的,其全部内容通过引用被结合于此;于2012年9月7日提交的标题为"SERVICE DE化0YMENTINFRASTRUCTURE"的美国临时专利申请No. 61/698,459 ;于2013年3月14日提 交的标题为"化0UDINFRASTRUCTURE"的美国临时专利申请No. 61/785, 299,出于各种目的, 其全部内容通过引用被结合于此;化及于2013年3月15日提交的标题为"MULTI-TENANCY IDENTITYMANAGEMENTSYSTEM"的美国专利申请No. 13/838, 813,出于各种目的,其全部内 容通过引用被结合于此。
技术领域
[0003] W下本公开内容一般而言设及计算机安全性,并且更具体而言设及被分区成各个 单独的身份域的云计算环境中的身份管理。
【背景技术】
[0004] 云计算设及使用作为服务经网络(通常是因特网)交付的计算资源(例如,硬件 和软件)。云计算把用户的数据、软件和计算委托给远程服务。云计算可W被用来提供例 如软件即服务(Saas)或平台即服务(Paa巧。在利用SaaS的商业模型中,可W为用户提供 对应用软件和数据库的访问。云提供商可W管理应用在其上执行的基础设施和平台。SaaS 提供商一般利用订阅费给应用定价。通过把硬件和软件维护及支持外包给云提供商,SaaS 可W允许企业有减少信息技术运营成本的潜能。该种外包可W使企业远离硬件/软件花费 和人员开销而朝着满足其它信息技术目标重新分配信息技术运营成本。此外,通过应用被 集中托管,可W在无需用户安装新软件的情况下发布更新。但是,因为用户的数据存储在云 提供商的服务器上,所W有些组织会担屯、对那种数据的潜在未授权访问。
[0005] 终端用户可W通过web浏览器或者轻量级台式或移动应用访问基于云的应用。同 时,企业软件和用户的数据可W存储在远离那个企业和远离那些用户的位置处的服务器 上。利用改进的管理性和更少的维护,云计算至少在理论上允许企业更快速地部署它们的 应用。云计算至少在理论上使信息技术管理者能够更快速地调整资源,W满足有时候波动 和不可预测的企业需求。
[0006] 身份管理(IdentityManagement,IDM)是控制关于计算机系统的用户的信息的 任务。该种信息可w包括认证该种用户的身份的信息。该种信息可w包括描述那些用户被 授权访问哪些数据的信息。该种信息可W包括描述那些用户被授权关于各种系统资源(例 如,文件、目录、应用、通信端口、存储器片段,等等)执行哪些动作的信息。IDM还可W包括 关于每个用户的描述性信息的管理W及关于那种描述性信息可W如何和被谁访问和修改 的描述性信息的管理。
[0007]对于使用云计算环境的每个单独的组织,云计算环境有可能可W包括单独的IDM 系统,或者IDM系统的单独实例。但是,该种模式可能被看作重复工作和计算资源的浪费。

【发明内容】

[000引本发明的某些实施例设及在云计算环境中实现的并且被分区到多个单独的身份 域中的身份管理(IDM)系统。
[0009] 在本发明的实施例中,一组结构全都一起对齐,W产生单个IDM系统的抽象,或者 "成租户片的(tenant-sliced)"视图。该单个IDM系统可W包括多个单独的部件或子系统。 IDM系统可W在多个独立且分离的"租户"或IDM系统客户之间共享,使得IDM系统被更密 集地使用。因此,不需要为每个单独的客户实例化单独的IDM系统。单个IDM系统可W被 配置为使得,对于IDM系统的每个租户,特定于那个租户的IDM系统的虚拟视图可W呈现给 那个租户的用户。单个LDAP目录可W在LDAP目录的单独分区或子树中存储用于所有租户 的实体的身份,每个该种分区或子树专用于一个租户的单独身份域。云计算环境的部件确 保特定子树中的LDAP条目只能由已经部署到对应于那个特定子树的身份域的服务实例访 问。
[0010] 本发明的实施例可W使用虚拟化的概念。W概念上与其中多个单独的虚拟机可在 单个托管计算设备上被虚拟化的方式类似的方式,IDM系统的单独视图可W在单个IDM系 统中被虚拟化。该种虚拟化可W通过W特殊的方式配置IDM系统来实现。IDM系统可W设 及多个单独的层,包括概念上垂直地彼此堆叠的上层和下层。至少上层可W被分区。在IDM 系统中,各种不同的服务(例如,认证和/或授权服务)可W与IDM系统的各种不同租户 关联。IDM系统可W隔离每个租户,使得每个租户能够只与专用于那个租户的IDM系统"片 (slice)"或分区(partition)交互。因此,IDM系统可W实施租户之间的隔离。
[0011] 本发明的示例性实施例提供了计算机实现的方法,包括:在具有根节点的LDAP目 录中,在从根节点下行的第一目录子树中,存储与第一身份域关联但不与第二身份域关联 的实体的身份;在LDAP目录中,在也从根节点下行但是与第一目录子树分离的第二目录子 树中,存储与第二身份域关联但不与第一身份域关联的实体的身份;阻止已经部署到第一 身份域的服务实例访问存储在第二目录子树中的身份;并且阻止已经部署到第二身份域的 服务实例访问存储在第一目录子树中的身份。
[0012] 在例子中,该计算机实现的方法还包括;在第一目录子树中,存储与第一身份域 关联但不与第二身份域关联的用户实体的身份;在第一目录子树中,存储与第一身份域关 联但不与第二身份域关联的服务实例实体的身份;阻止用户实体直接与维护LDAP目录的 LDAP服务器交互;并且允许服务实例实体代表用户实体直接与LDAP服务器交互。
[0013] 在例子中,该计算机实现的方法还包括;响应于将第一服务实例部署到第一身份 域但不部署到第二身份域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第 一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存 储在第二目录子树中的身份;向第一服务实例提供第一凭证;响应于将第二服务实例部署 到第二身份域但不部署到第一身份域,生成第二凭证,当被LDAP服务器检查时,该第二凭 证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在 第一目录子树中的身份;并且向第二服务实例提供第二凭证。
[0014] 在例子中,该计算机实现的方法还包括:在LDAP目录中,存储从多个身份域中指 定各种身份域的访问控制策略;并且至少部分地基于该访问控制策略控制对LDAP目录中 与身份域关联的子树的访问。
[0015] 在例子中,该计算机实现的方法还包括:在LDAP目录中,存储指定应用于第一目 录子树但不应用于第二目录子树的访问限制的第一访问控制策略;并且在LDAP目录中,存 储指定应用于第二目录子树但不应用于第一目录子树的访问限制的第二访问控制策略。
[0016] 在例子中,该计算机实现的方法还包括;通过把第一身份域的标识符附连到第一 用户的登录名,为第一用户生成全局唯一标识符;在第一目录子树中存储第一用户的全局 唯一标识符;通过把第二身份域的标识符附连到第二用户的登录名,为第二用户生成全局 唯一标识符;并且在第二目录子树中存储第二用户的全局唯一标识符。
[0017] 在例子中,该计算机实现的方法还包括;与第一统一资源定位符扣化)相关联地 存储指定第一身份域的标识符的第一登录网页;与和第一U化不同的第二U化相关联地存 储指定第二身份域的标识符的第二登录网页;通过特定的登录网页从特定用户接收该特定 用户的登录名,其中特定的登录网页是第一登录网页或第二登录网页;基于(a)特定用户 的登录名和化)由特定登录网页指定的特定身份域标识符二者重构用于该特定该用户的 全局唯一标识符;并且基于该特定用户的全局唯一标识符认证该特定用户。
[0018] 在例子中,该计算机实现的方法还包括;响应于将特定服务实例部署到第一身份 域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证;并且响应于 将特定服务实例部署到第一身份域,向LDAP目录自动添加新访问控制策略,该新访问控制 策略指定具有特定服务实例的名字的实体只能访问与该特定服务实例被部署到的身份域 有关的信息。
【附图说明】
[0019] 图1是根据本发明实施例、说明在云计算环境中实现的多租户(或者多身份域) IDM系统中使用的LDAP身份存储的例子的框图;
[0020] 图2示出了根据本发明实施例、LDAP目录可W组织到其中的子树结构的例子;
[0021] 图3示出了根据本发明实施例、LDAP目录树的身份域子树的例子;
[002引图4示出了根据本发明实施例、LDAP目录树的客户支持代表(化stomer Support Representative, CSR)子树的例子;
[0023] 图5示出了根据本发明实施例、LDAP目录树的Clou贴Context子树的例子;
[0024] 图6示出了根据本发明实施例、在单租户(单个身份域)融合应用实例与共享的 IDM系统的部件--其中包括Oracle身份管理器(Oracle Identity Manager, 0IM)--之 间交互的例子;
[0025] 图7是说明可W根据本发明实施例使用的系统环境的部件的简化框图;
[0026] 图8是可W根据本发明实施例使用的计算机系统的简化框图;
[0027] 图9是说明包括多租户LDAP系统的云计算环境的例子的框图;
[002引图10是说明根据本发明实施例、用于为特定身份域生成并使用身份域指定的登 录网页的技术示例的流程图。
当前第1页1 2 3 4 5 6 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1