技术特征:
1.一种用于授权第二域的远程主体访问第一域的安全数据资源的系统,所述系统包括:处理系统,包括一个或多个处理器;以及至少一个存储器,其存储将由所述处理系统运行以执行方法的程序代码,所述方法包括:从与远程主体相关联的接口接收访问域主机的第一域的请求,所述第一域不同于所述第二域,所述请求包括所述远程主体的标识符和第二域凭证;确定在所述域主机的目录处生成并存储的、并且从所述第二域无法访问的远程主体对象在所述目录中存在且有效;验证所述远程主体被标识为与所述第二域的群组相关联,所述群组具有如在权限集合中枚举的、对所述安全数据资源的至少一个权利以及由所述第二域定义并在所述远程主体对象中表示的至少一个相关联的访问策略;生成用于所述远程主体的访问令牌,所述访问令牌包括所述至少一个权利;以及向所述远程主体提供所述访问令牌,以引起所述接口的重定向,所述接口提供所述远程主体对所述安全数据资源的访问。2.根据权利要求1所述的系统,其中所述方法包括:在所述确定之前,使得在所述域主机处的所述第一域的所述目录中生成所述远程主体对象,所述远程主体对象基于所述权限集合将所述远程主体链接到所述权利。3.根据权利要求2所述的系统,其中所述生成所述远程主体对象是基于在所述第一域内对代表所述第二域被发起并提供的所述安全数据资源的访问权限批准请求的接受而执行的。4.根据权利要求2所述的系统,其中所述生成所述远程主体对象包括确定与其相关联的时间有效期;并且其中所述方法包括在所述域主机处并且在所述时间有效期到期后,执行以下至少一项:从所述目录中删除所述远程主体对象;或者从所述目录中删除所述权限集合和所述至少一个相关联的访问策略。5.根据权利要求1所述的系统,其中所述方法包括:在所述提供所述访问令牌之后,生成审计报告,所述审计报告包括以下至少一项:用于由所述远程主体对所述安全数据资源执行的操作的一个或多个条目,所述一个或多个条目不包括所述远程主体的个人标识符,或者所述远程主体对象所关联的所述权限集合的标记。6.根据权利要求1所述的系统,包括:基于云的服务平台,包括被配置为生成所述访问令牌的安全令牌服务;并且其中所述域主机包括所述基于云的服务平台的第一租户,并且所述第二域包括所述基于云的服务平台的第二租户。7.根据权利要求1所述的系统,其中所述方法包括:在所述接收之后,验证所述远程主体的所述身份的条目在所述第一域中的所述目录中不存在,并且在所述第二域的目录中存在;以及
响应于所述验证而执行所述确定。8.一种用于授权第二域的远程主体访问第一域的安全数据资源的方法,所述方法包括:从与所述远程主体相关联的接口接收访问域主机的第一域的请求,所述第一域不同于所述第二域,所述请求包括所述远程主体的标识符和第二域凭证;确定在所述域主机的目录处生成并存储的、并且从所述第二域无法访问的远程主体对象在所述目录中存在且有效;验证所述远程主体被标识为与所述第二域的群组相关联,所述群组具有如在权限集合中枚举的、对所述安全数据资源的至少一个权利以及由所述第二域定义并在所述远程主体对象中表示的至少一个相关联的访问策略;生成用于所述远程的访问令牌,所述访问令牌包括所述至少一个权利;以及向所述远程主体提供所述访问令牌,以引起所述接口的重定向,所述接口提供所述远程主体对所述安全数据资源的访问。9.根据权利要求8所述的方法,其中所述方法包括:在所述确定之前,使得在所述域主机处的所述第一域的所述目录中生成所述远程主体对象,所述远程主体对象基于所述权限集合将所述远程主体链接到所述权利。10.根据权利要求9所述的方法,其中所述生成所述远程主体对象是基于在所述第一域内对代表所述第二域被发起并提供的所述安全数据资源的访问权限批准请求的接受而执行的。11.根据权利要求9所述的方法,其中所述生成所述远程主体对象包括确定与其相关联的时间有效期;并且其中所述方法包括在所述域主机处并且在所述时间有效期到期后,执行以下至少一项:从所述目录中删除所述远程主体对象;或者从所述目录中删除所述权限集合和所述至少一个相关联的访问策略。12.根据权利要求8所述的方法,其中所述方法包括:在所述提供所述访问令牌之后,生成审计报告,所述审计报告包括以下至少一项:用于由所述远程主体对所述安全数据资源执行的操作的一个或多个条目,或者所述远程主体对象所关联的所述权限集合的标记。13.根据权利要求8所述的方法,其中所述生成所述访问令牌是在基于云的服务平台处由其安全令牌服务执行的;并且其中所述域主机包括所述基于云的服务平台的第一租户,并且所述第二域包括所述基于云的服务平台的第二租户。14.根据权利要求8所述的方法,其中所述方法包括:标识所述第一域的所述目录中的与所述第二域相关联的一个或多个远程主体对象;以及确定所述一个或多个远程主体对象中的至少一个远程主体对象为具有群组属性;并且其中所述远程主体对象被包括在所述一个或多个远程主体对象中的所述至少一个远程主体对象中,并且
其中所述确定所述远程主体与所述远程主体对象相关联包括确定所述远程主体被标识为如所述远程主体对象中所表示的所述群组的成员。15.至少一种计算机可读存储介质,其存储程序指令,所述程序指令在由一个或多个处理设备运行时,执行根据权利要求8至14中任一项所述的用于授权第二域的远程主体访问第一域的安全数据资源的方法。
技术总结
用于使用远程主体对象对外部身份进行安全资源授权的方法由系统和设备执行。外部实体创建用户群组,并将所有实体的安全资源的权利定义为针对该群组的权限集合。具有权限的不可变的访问模板和针对安全资源的访问策略被提供给所有实体以用于批准。批准后,根据权限和访问策略在所有者目录中创建远程主体对象。作为群组成员的远程主体使用外部域凭证请求经由接口访问所有者域。远程主体的身份由令牌服务针对远程主体对象进行验证。验证导致生成具有枚举权利的令牌并向远程主体接口发放该令牌,从而影响对安全资源的访问的重定向。从而影响对安全资源的访问的重定向。从而影响对安全资源的访问的重定向。
技术研发人员:C
受保护的技术使用者:微软技术许可有限责任公司
技术研发日:2021.04.22
技术公布日:2023/2/3