CN104769908A - 基于ldap的多租户云中身份管理系统 - Google Patents
基于ldap的多租户云中身份管理系统 Download PDFInfo
- Publication number
- CN104769908A CN104769908A CN201380055658.6A CN201380055658A CN104769908A CN 104769908 A CN104769908 A CN 104769908A CN 201380055658 A CN201380055658 A CN 201380055658A CN 104769908 A CN104769908 A CN 104769908A
- Authority
- CN
- China
- Prior art keywords
- identity
- territory
- user
- access
- deployed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开涉及基于LDAP的多租户云中身份管理系统。多租户身份管理(IDM)系统使IDM功能能够对于共享的云计算环境中的各种不同客户的域而被执行并且无需为每个单独的域复制单独的IDM系统。在实施那些域之间的隔离的同时,IDM系统可以向位于各种不同客户的域中的服务实例提供IDM功能。实现为单个LDAP目录的云范围身份存储可以包含多个客户的域的身份信息。这单个LDAP目录可以在LDAP目录的单独分区或子树中存储所有租户的实体的身份,每个这种分区或子树专用于租户的单独的域。云计算环境的部件确保特定子树中的LDAP条目只能由已经部署到对应于那个特定子树的域的服务实例访问。
Description
对相关申请的优先权要求和交叉引用
本申请根据35U.S.C.§119(e)要求于2013年3月15日提交的标题为“LDAP-BASED MULTI-TENANT IN-CLOUD IDENTITYMANAGEMENT SYSTEM”的美国临时专利申请No.61/801,048和于2013年9月5日提交的标题为“LDAP-BASED MULTI-TENANTIN-CLOUD IDENTITY MANAGEMENT SYSTEM”的美国专利申请No.14/019,051的优先权,出于各种目的,这两个申请的全部内容通过引用被结合于此。本申请涉及:于2012年9月7日提交的标题为“SHARED IDENTITY MANAGEMENT ARCHITECTURE”的美国临时专利申请No.61/698,463,出于各种目的,其全部内容通过引用被结合于此;于2012年9月7日提交的标题为“TENANTAUTOMATION SYSTEM”的美国临时专利申请No.61/698,413,出于各种目的,其全部内容通过引用被结合于此;于2012年9月7日提交的标题为“SERVICE DEPLOYMENT INFRASTRUCTURE”的美国临时专利申请No.61/698,459;于2013年3月14日提交的标题为“CLOUD INFRASTRUCTURE”的美国临时专利申请No.61/785,299,出于各种目的,其全部内容通过引用被结合于此;以及于2013年3月15日提交的标题为“MULTI-TENANCY IDENTITYMANAGEMENT SYSTEM”的美国专利申请No.13/838,813,出于各种目的,其全部内容通过引用被结合于此。
技术领域
以下本公开内容一般而言涉及计算机安全性,并且更具体而言涉及被分区成各个单独的身份域的云计算环境中的身份管理。
背景技术
云计算涉及使用作为服务经网络(通常是因特网)交付的计算资源(例如,硬件和软件)。云计算把用户的数据、软件和计算委托给远程服务。云计算可以被用来提供例如软件即服务(Saas)或平台即服务(PaaS)。在利用SaaS的商业模型中,可以为用户提供对应用软件和数据库的访问。云提供商可以管理应用在其上执行的基础设施和平台。SaaS提供商一般利用订阅费给应用定价。通过把硬件和软件维护及支持外包给云提供商,SaaS可以允许企业有减少信息技术运营成本的潜能。这种外包可以使企业远离硬件/软件花费和人员开销而朝着满足其它信息技术目标重新分配信息技术运营成本。此外,通过应用被集中托管,可以在无需用户安装新软件的情况下发布更新。但是,因为用户的数据存储在云提供商的服务器上,所以有些组织会担心对那种数据的潜在未授权访问。
终端用户可以通过web浏览器或者轻量级台式或移动应用访问基于云的应用。同时,企业软件和用户的数据可以存储在远离那个企业和远离那些用户的位置处的服务器上。利用改进的管理性和更少的维护,云计算至少在理论上允许企业更快速地部署它们的应用。云计算至少在理论上使信息技术管理者能够更快速地调整资源,以满足有时候波动和不可预测的企业需求。
身份管理(Identity Management,IDM)是控制关于计算机系统的用户的信息的任务。这种信息可以包括认证这种用户的身份的信息。这种信息可以包括描述那些用户被授权访问哪些数据的信息。这种信息可以包括描述那些用户被授权关于各种系统资源(例如,文件、目录、应用、通信端口、存储器片段,等等)执行哪些动作的信息。IDM还可以包括关于每个用户的描述性信息的管理以及关于那种描述性信息可以如何和被谁访问和修改的描述性信息的管理。
对于使用云计算环境的每个单独的组织,云计算环境有可能可以包括单独的IDM系统,或者IDM系统的单独实例。但是,这种模式可能被看作重复工作和计算资源的浪费。
发明内容
本发明的某些实施例涉及在云计算环境中实现的并且被分区到多个单独的身份域中的身份管理(IDM)系统。
在本发明的实施例中,一组结构全都一起对齐,以产生单个IDM系统的抽象,或者“成租户片的(tenant-sliced)”视图。这单个IDM系统可以包括多个单独的部件或子系统。IDM系统可以在多个独立且分离的“租户”或IDM系统客户之间共享,使得IDM系统被更密集地使用。因此,不需要为每个单独的客户实例化单独的IDM系统。单个IDM系统可以被配置为使得,对于IDM系统的每个租户,特定于那个租户的IDM系统的虚拟视图可以呈现给那个租户的用户。单个LDAP目录可以在LDAP目录的单独分区或子树中存储用于所有租户的实体的身份,每个这种分区或子树专用于一个租户的单独身份域。云计算环境的部件确保特定子树中的LDAP条目只能由已经部署到对应于那个特定子树的身份域的服务实例访问。
本发明的实施例可以使用虚拟化的概念。以概念上与其中多个单独的虚拟机可在单个托管计算设备上被虚拟化的方式类似的方式,IDM系统的单独视图可以在单个IDM系统中被虚拟化。这种虚拟化可以通过以特殊的方式配置IDM系统来实现。IDM系统可以涉及多个单独的层,包括概念上垂直地彼此堆叠的上层和下层。至少上层可以被分区。在IDM系统中,各种不同的服务(例如,认证和/或授权服务)可以与IDM系统的各种不同租户关联。IDM系统可以隔离每个租户,使得每个租户能够只与专用于那个租户的IDM系统“片(slice)”或分区(partition)交互。因此,IDM系统可以实施租户之间的隔离。
本发明的示例性实施例提供了计算机实现的方法,包括:在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中,存储与第一身份域关联但不与第二身份域关联的实体的身份;在LDAP目录中,在也从根节点下行但是与第一目录子树分离的第二目录子树中,存储与第二身份域关联但不与第一身份域关联的实体的身份;阻止已经部署到第一身份域的服务实例访问存储在第二目录子树中的身份;并且阻止已经部署到第二身份域的服务实例访问存储在第一目录子树中的身份。
在例子中,该计算机实现的方法还包括:在第一目录子树中,存储与第一身份域关联但不与第二身份域关联的用户实体的身份;在第一目录子树中,存储与第一身份域关联但不与第二身份域关联的服务实例实体的身份;阻止用户实体直接与维护LDAP目录的LDAP服务器交互;并且允许服务实例实体代表用户实体直接与LDAP服务器交互。
在例子中,该计算机实现的方法还包括:响应于将第一服务实例部署到第一身份域但不部署到第二身份域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;向第一服务实例提供第一凭证;响应于将第二服务实例部署到第二身份域但不部署到第一身份域,生成第二凭证,当被LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;并且向第二服务实例提供第二凭证。
在例子中,该计算机实现的方法还包括:在LDAP目录中,存储从多个身份域中指定各种身份域的访问控制策略;并且至少部分地基于该访问控制策略控制对LDAP目录中与身份域关联的子树的访问。
在例子中,该计算机实现的方法还包括:在LDAP目录中,存储指定应用于第一目录子树但不应用于第二目录子树的访问限制的第一访问控制策略;并且在LDAP目录中,存储指定应用于第二目录子树但不应用于第一目录子树的访问限制的第二访问控制策略。
在例子中,该计算机实现的方法还包括:通过把第一身份域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符;在第一目录子树中存储第一用户的全局唯一标识符;通过把第二身份域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符;并且在第二目录子树中存储第二用户的全局唯一标识符。
在例子中,该计算机实现的方法还包括:与第一统一资源定位符(URL)相关联地存储指定第一身份域的标识符的第一登录网页;与和第一URL不同的第二URL相关联地存储指定第二身份域的标识符的第二登录网页;通过特定的登录网页从特定用户接收该特定用户的登录名,其中特定的登录网页是第一登录网页或第二登录网页;基于(a)特定用户的登录名和(b)由特定登录网页指定的特定身份域标识符二者重构用于该特定该用户的全局唯一标识符;并且基于该特定用户的全局唯一标识符认证该特定用户。
在例子中,该计算机实现的方法还包括:响应于将特定服务实例部署到第一身份域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证;并且响应于将特定服务实例部署到第一身份域,向LDAP目录自动添加新访问控制策略,该新访问控制策略指定具有特定服务实例的名字的实体只能访问与该特定服务实例被部署到的身份域有关的信息。
附图说明
图1是根据本发明实施例、说明在云计算环境中实现的多租户(或者多身份域)IDM系统中使用的LDAP身份存储的例子的框图;
图2示出了根据本发明实施例、LDAP目录可以组织到其中的子树结构的例子;
图3示出了根据本发明实施例、LDAP目录树的身份域子树的例子;
图4示出了根据本发明实施例、LDAP目录树的客户支持代表(Customer Support Representative,CSR)子树的例子;
图5示出了根据本发明实施例、LDAP目录树的Cloud9Context子树的例子;
图6示出了根据本发明实施例、在单租户(单个身份域)融合应用实例与共享的IDM系统的部件——其中包括Oracle身份管理器(Oracle Identity Manager,OIM)——之间交互的例子;
图7是说明可以根据本发明实施例使用的系统环境的部件的简化框图;
图8是可以根据本发明实施例使用的计算机系统的简化框图;
图9是说明包括多租户LDAP系统的云计算环境的例子的框图;
图10是说明根据本发明实施例、用于为特定身份域生成并使用身份域指定的登录网页的技术示例的流程图。
图11是说明根据本发明实施例、用于向特定身份域添加新用户身份的技术示例的流程图。
图12是说明根据本发明实施例、用于把新服务实例部署到特定身份域的技术示例的流程图。
图13是说明根据本发明实施例、用于在服务实例部署时利用提供给服务实例的绑定凭证认证那个服务实例的技术示例的流程图。
图14绘出了根据本发明实施例的计算装置的功能框图。
具体实施方式
在以下描述中,为了解释,阐述了具体的细节,以便提供对本发明实施例的透彻理解。但是,应当认识到,本发明没有这些具体细节也可以实践。附到本文并且通过引用被结合于此的附录1提供了关于本发明实施例的附加细节。
图1是根据本发明实施例、说明在云计算环境中实现的多租户(或者多身份域)IDM系统中使用的LDAP身份存储的例子的框图。身份存储102可以实现为LDAP目录。Oracle互联网目录(OracleInternet Direcory,OID)是这种LDAP目录的例子。在身份存储102中,可以存储在各种身份域中认可的各种用户身份。在身份存储102中,每个完全合格的用户身份可以通过身份域标识符加前缀。在身份存储102域中具有身份的示例用户Bill Smith可能具有诸如“bill.smithford.com”的电子邮件地址10,这不是完全合格的。在实施例中,IDM系统可以在那个用户尝试登录到由该IDM系统管理的身份域时让用户提供他的电子邮件地址104。在实施例中,用户可以尝试通过其URL特定于一个身份域而不是其它身份域的登录网页登录该身份域。然后,IDM系统可以把用于那个身份域的身份域标识符(从登录网页得知)作为前缀加到电子邮件地址,以便构成用户的完全合格的用户身份。
根据实施例,不同的客户可以在IDM系统中建立不同的身份域。例如,如图1中所示,客户GE可以建立GE身份域106,客户3M可以建立3M身份域108,而客户Ford可以建立Ford身份域110。这些身份域106-110中每一个可以具有特定于那个身份域的单独的登录网页。这种登录网页可以在用户尝试登录到对应的身份域时呈现给用户。登录网页可以包括用于电子邮件地址104和口令的字段。
在用户成功登录到特定的身份域之后,IDM系统可以为该用户提供与该特定身份域(并且不与其它身份域)关联并且可以呈现给保护IDM系统中资源的授权单元的凭证。根据实施例,如果保护属于特定身份域的资源的授权单元确定凭证与特定的身份域关联,则该授权单元将只允许该用户访问该资源。这种受保护的资源可以包括客户数据。例如,在图1中,GE身份域106可以包括GE数据112,3M身份域108可以包括3M数据114,而Ford身份域110可以包括Ford数据116。
如以上所讨论的,各种客户可以在IDM系统中建立单独的身份域。通常,为了建立这种身份域,这些客户支付一些订阅费。但是,在实施例中,IDM系统还可以识别本身不一定是客户以及不一定在IDM系统中具有身份域的这些客户的商业合作伙伴。在实施例中,每个身份域可以与一个或多个合作伙伴关联,该一个或多个合作伙伴在IDM系统中也可能具有或可能不具有身份域。例如,如图1中所示,GE身份域106可以与ACME合作伙伴118和Ford合作伙伴120关联。不管是否是IDM系统的客户,合作伙伴都可以具有在IDM系统中唯一识别该合作伙伴并且允许相同的合作伙伴与多个不同的身份域关联的合作伙伴标识符。继续前面的例子,3M身份域108可以与Ford合作伙伴120(还与GE身份域106关联)和另一合作伙伴122关联。如果与合作伙伴标识符相关的合作伙伴也是客户(即,已经建立了身份域),则合作伙伴标识符可以与身份域标识符关联,或者可以与其相同。继续前面的例子,Ford身份域110(潜在地具有链接到Ford合作伙伴120的合作伙伴标识符的标识符)可以与XYZ合作伙伴标识符124和另一个合作伙伴标识符126关联。
在实施例中,订阅在云计算环境中托管的PaaS或SaaS的客户的每个身份域与唯一的身份域标识符关联。这种身份域标识符在云计算环境中可以是唯一的。身份域标识符可以利用生成唯一标识符的算法生成。在实施例中,身份域标识符与属于由那个身份域标识符识别的身份域的数据和元数据的每一项关联。在实施例中,被用来保护属于身份域的资源的访问控制策略也与用于那个身份域的身份域标识符关联。
为了使每个身份域成为用于建立那个身份域的客户的虚拟私有环境,可以使用身份域标识符。身份域标识符可以被直接或间接地使用,以便,即使在云计算环境中维护的存储库在多个身份域之间共享,也能通过身份域隔离在这种存储库中所包含的对象。这种隔离可以通过例如在构成存储库的共享物理存储设备中建立的分条(striping)或分区来实现;每个条或分区可以与那个条或分区中包含的对象所属的身份域的身份域标识符关联。关于这种存储库的不同类型,可以使用不同的隔离机制。例如,如果存储库是LDAP目录,则包含用于对象的数据的LDAP条目可以利用用于那些对象所属的身份域的身份域标识符加前缀。在策略存储库中,关于那些对象的策略也可以利用这种身份域标识符加前缀。对于另一个例子,如果存储库包括关系数据库管理系统(RDBMS)模式,则身份域标识符可以用作虚拟私有数据库(Virtual Private Database,VPD)分区的人为因素(artifact)。
如以上联系图1讨论的,身份存储102可以实现为LDAP目录。LDAP目录中的条目可以特定于身份域。对启用身份域中单独服务实例之间的单点登录(Single Sign-On,SSO)功能有用的属性可以在LDAP条目中指定。这种属性可以包括用户名、登录ID以及其它可以被限定为在身份存储102中唯一的标识符。
在实施例中,不完全合格的用户名不需要在整个云计算环境中是唯一的,但是需要在特定的身份域中是唯一的。因此,电子邮件地址“bill.smithford.com”可以作为不完全合格的用户名在多个身份域中存在,但是在实施例中,不能在相同的身份域中存在多次。在图1中,身份存储102示为包含多个包含相同电子邮件地址“bill.smithford.com”的完全合格的用户身份:“GE.bill.smithford.com”是在GE身份域106中被认可的完全合格的用户身份,“3M.bill.smithford.com”是在3M身份域108中被认可的完全合格的用户身份,而“FORD.bill.smithford.com”是在Ford身份域110中被认可的完全合格的用户身份。因此,完全合格的用户身份可以采取<身份域标识符>.<电子邮件地址>的形式。在一种实施例中,用户的电子邮件地址存储在身份存储102中LDAP条目的“uid”属性中。
在实施例中,LDAP模式(LDAP Schema)可以指定属性和对象类。LDAP模式可以指定的属性可以包括,例如,(a)身份域的全局唯一ID(GUID)、(b)身份域的名字、(c)服务实例标识符、(d)服务实例的名字以及(e)服务实例的类型(例如,JAVA服务实例、数据库服务实例、融合应用实例,等等)。LDAP模式可以指定的对象类可以包括,例如,(a)可被用来识别系统标识符的对象类、(b)可被用来识别系统标识符组的对象类、(c)可被用来识别CSR管理员的对象类以及(d)可被用来定义云服务类型(例如,JAVA服务、数据库服务,等等)的对象类。
在实施例中,LDAP模式可以为各种不同类型的实体指定各种不同的特性组。LDAP模式可以为其指定特性的实体可以包括,例如,(a)身份域条目、(b)用户条目、(c)组条目、(d)系统标识符、(e)身份域管理员以及(f)服务实例管理员。
对于身份域条目,LDAP模式可以指定包括(a)身份域名、(b)全局唯一的身份域标识符和(c)身份域状态的特性。身份域名可以是代表由建立该身份域的客户选择的身份域的名字的文本值。身份域名可以作为前缀加到用户的电子邮件地址,以便为那个用户生成完全合格的用户标识符。全局唯一的身份域标识符可以是自动生成的GUID。这个GUID可以代表数据库中用于该身份域的数据条。作为替代,这个GUID可以被用来分区其它形式的共享存储库,从而在那个共享的存储库中隔离一个身份域的数据与每个其它身份域的数据,由此把身份域数据组织到,例如,单独的IDM策略域、单独的LDAP子树、单独的文件系统文件夹等等当中。身份域状态可以维护身份域的状态,诸如像身份域当前是否在试验期内。
对于用户条目,LDAP模式可以指定包括(a)公共名、(b)不合格的用户名、(c)该用户的目录唯一标识符、(d)该用户的GUID以及(e)该用户所属的身份域的身份域标识符的特性。公共名可以由建立身份域的客户指定,并且是标准的LDAP属性。不合格的用户名可以是用户在从特定于那个身份域的网页登录身份域时输入到用户名字段的用户名。例如,这个用户名可以是用户的电子邮件地址。目录唯一标识符在目录中唯一地识别该用户条目。例如,如以上所讨论的,目录唯一标识符可以采取<身份域标识符>.<电子邮件地址>的形式。GUID可以是自动生成的标识符,该标识符放在所有指向(refer to)具有该用户条目的目录唯一标识符的用户的LDAP条目中。如将在以下讨论中看到的,用于用户条目的目录唯一标识符可以在多个身份域系统的不同部件,包括Oracle访问管理器(OracleAccess Manager,OAM)和Oracle身份管理器(Oracle IdentityManager,OIM),当中被用作唯一标识符。
对于组条目,LDAP模式可以指定包括(a)公共名、(b)该组的目录唯一标识符、(c)该组的GUID以及(d)该组所属的身份域的身份域标识符的特性。公共名可以由建立身份域的客户指定,并且是标准的LDAP属性。目录唯一标识符在目录中唯一地识别该组条目。目录唯一标识符可以采取<身份域标识符>.<公共名>的形式。GUID可以是自动生成的标识符,该标识符放在所有指向具有该组条目的目录唯一标识符的组的LDAP条目中。
在实施例中,LDAP模式可以指定代表特殊类型用户的系统标识符。具体地用于系统用户的对象类可以识别这些特殊类型用户。用于这些特殊类型用户的属性可以与用于以上联系用户条目讨论的那些用户的相同。
在实施例中,LDAP模式可以为身份域管理员和服务实例管理员指定系统帐号。这些可以是用于监督管理身份域和服务实例的特殊帐号。身份域管理员条目可以是身份域管理员组的成员。身份域管理员的身份可以采取<身份域标识符>.<身份域管理员名>的形式。服务可以在身份域中具有一个或多个实例。这些服务实例每个都可以具有单独的服务实例管理员。
LDAP目录可以构造为包括专注于特殊目的的多个子树的树。图2示出了根据本发明实施例、LDAP目录可以组织到其中的子树结构的例子。树可以包括用户容器和组容器。这些容器可以是Oracle互联网目录(Oracle Internet Directory)中的开箱即装即用容器(out-of-the-box container)。按照层次在树中这些容器下面,可以创建应用身份用户容器和应用身份组容器。后面这些容器可以作为融合应用供应过程的一部分来创建。
系统标识符子树可以包含所有的系统标识符。这种系统标识符可以被用来在云计算环境中管理系统。系统标识符可以由专用于这种系统标识符的对象类识别。这种对象类使得更容易识别系统用户标识符并且使得有可能对系统用户标识符应用与应用到其它种类用户身份不同的策略。系统用户身份的对象类可以是更一般的用户的对象类的子类。在实施例中,系统用户身份的对象类不包含超出其父对象类中所包含的属性的任何属性。
图3示出了根据本发明实施例、LDAP目录树的身份域子树的例子。这种子树可以包括以下人为因素:(a)指定身份域的身份域标识符的根节点(例如,“Intel”)、(b)可以存储属于该身份域的用户的身份的用户容器,以及(c)可以存储属于该身份域的组的身份的组容器。在身份域环境中,用户容器可以包含身份域管理员标识符和普通用户的标识符。组容器可以包含组标识符。
身份域子树可以包括系统标识符容器,该容器可以包含可以用作为认证提供者的代理用户的用户的身份。在融合应用的情况下,这种代理用户可以具有多语言支持属性的特权。
身份域子树可以包括用户容器,该容器可以包含作为用户对象类的实例的对象。有关这个子树的口令策略可以被设为永不过期。Oracle访问管理器(Oracle Access Manager)策略可以应用到这个子树中的用户身份。用于身份域的身份域管理员组中的身份域管理员具有管理这种用户身份的许可。客户支持代表组中的客户支持代表也具有管理这种用户身份的许可。
身份域子树可以包括用于特殊企业角色的组容器。组容器可以包含作为组对象类的实例的对象。用于身份域的身份域管理员组中的身份域管理员具有管理这种组身份的许可。客户支持代表组中的客户支持代表也具有管理这种组身份的许可。
身份域子树可以包括包含应用身份用户别名的应用身份用户容器。身份域子树可以包括包含应用身份组别名的应用身份组容器。
图4示出了根据本发明实施例、LDAP目录树的客户支持代表(CSR)子树的例子。这个子树可以包括用户子树和组子树。用户子树可以是用于CSR用户身份的容器。组子树可以是用于CSR组身份的容器。在实施例中,只有身份存储管理员组中的用户被允许在这些子树中创建用户和组。
图5示出了根据本发明实施例、LDAP目录树的Cloud9Context子树的例子。这个子树可以包含用于服务类型、服务定义以及用于服务类型的角色模板的子树。当在IDM系统中接收到新服务实例创建请求时,角色模板子树中的角色可以被克隆到特定于身份域的容器中。
在实施例中,LDAP目录树可以包括定义在PaaS环境中被支持的各种服务类型的服务节点。这种服务类型可以包括,例如,JAVA服务、Apex服务和web中心服务。
在实施例中,LDAP目录的条目可以利用Oracle身份管理框架(Identity Governance Framework,IGF)API和/或用户/角色(U/R)API来访问。这些API可以包括特定于多租户的方法。一些方法可以被用来访问用户条目。为了访问身份域唯一的名字,可以调用idxuserrole.User.getTenantuniquename()方法。为了访问身份域唯一的标识符,可以调用idxuserrole.User.getTenantuid()方法。一些方法可以被用来访问组条目。为了访问身份域唯一的名字,可以调用idxuserrole.Role.getTenantuniquename()方法。为了访问身份域唯一的标识符,可以调用idxuserrole.Role.getTenantuid()方法。为了访问身份域全局唯一的标识符,可以调用idxuserrole.Role.getTenantguid()方法。在实施例中,应用可以使用某些被定义为LDAP属性的常量,诸如用户简档身份域名、用户简档身份域GUID、用户简档身份域唯一标识符、角色简档身份域名、角色简档身份域GUID和角色简档身份域唯一标识符。
根据本发明的实施例,云计算环境中的每种服务类型(例如,JAVA服务、融合应用服务,等等)受共享的IDM系统的保护。身份存储102可以存储在云计算环境中已知的用户身份。身份存储102可以封装这种用户的组成员资格。在实施例中,Oracle平台安全服务(Oracle Platform Security Services,OPSS)可以为服务实例提供安全功能。这种安全功能可以包括,例如,授权、凭证和密钥管理、审核,等等。任何类型的每个服务实例都可以以每个实例为基础具有其自己的复合OPSS安全存储。安全存储可以为服务实例的所有安全人为因素提供与那个实例的隔离。这种人为因素可以包括用来实施授权的那些人为因素。这种人为因素可以包括用来获得并消费凭证以便连接到后端系统的那些人为因素。这种人为因素可以包括用来获得并消费密钥和凭证以便建立安全套接字层(SSL)连接并加密数据的那些人为因素。这种人为因素可以包括用来管理通过服务实例暴露的功能的审核的那些人为因素。这种审核可以被用来关于特定的服务实例回答有关谁做什么以及何时做的问题。
在云计算环境和共享的IDM中,安全存储可以在与身份存储102的实例分离且不同的Oracle互联网目录(OID)中被持久化。单个OID可以托管用于云计算环境中多个服务实例的安全存储。在实施例中,对安全存储的访问可以由绑定身份控制,服务实例的中间层部件可以利用该绑定身份连接到安全存储。绑定身份可以由目录访问控制列表(access control list,ACL)来界定范围,使得该绑定身份只对与该绑定身份有关的服务实例的服务存储具有可见性。绑定身份可以在其对应的服务实例中作为由OPSS管理的OPSS引导信息来维护。
身份供应可以在云计算环境中发生。本发明的实施例可以使用服务供应标记语言(Service Provisioning Markup Language,SPML)。在一种实施例中,融合应用实例可以在进行SPML调用时把身份域GUID“1”传递到IDM系统。在这些条件下,处理SPML请求的共享IDM OID实例可以得出正确的身份域GUID并且可以适当地处理该请求。在备选实施例中,单独的身份域可以托管单独的融合应用实例。在这种条件下,每个融合应用实例可以把正确的身份域GUID(例如,该融合应用实例所属的身份域的身份域GUID)传递到共享的IDM OID实例。每个融合应用实例可以在回调有效载荷中接收适当的身份域GUID。
在一种实施例中,每个单独的融合应用实例可以使用相同的应用身份凭证来与共享的IDM系统通信。但是,在备选实施例中,每个部署的融合应用实例可以具有其自己的单独应用身份凭证,它可以在与共享的IDM系统通信时使用该凭证。共享的IDM系统可以使用这种特定于融合应用实例部署的应用身份凭证来得出与该共享的IDM系统通信的融合应用实例的身份域GUID。图6示出了根据本发明实施例、在单租户(单个身份域)融合应用实例与共享的IDM系统的部件,包括Oracle身份管理器(OIM),之间交互的例子。
融合应用实例可以使用IGF用于读操作和使用SPML用于写操作。在一种实施例中,如果融合应用实例把身份域GUID“1”传递到共享的IDM系统,则IGF层可以得出正确的身份域GUID。根据一种实施例,单身份域客户端和多身份域客户端都被共享的IDM系统预期传递正确的身份域GUID。在备选实施例中,共享的IDM系统预期单身份域客户端传递身份域GUID值“1”作为参数。在这种条件下,IGF层可以使用可在Oracle虚拟机(Oracle VirtualMachine,OVM)补水(re-hydration)期间设定的配置设置来获得适当的身份域GUID(例如,融合应用实例所属的身份域的身份域GUID)。
在一种实施例中,当共享的IDM系统中的OIM模块处理SPML请求以便创建用户身份时,OIM模块可以为融合应用实例提供两条用户识别信息:(a)用户登录名和(b)用户GUID。用于用户登录名的SPML属性可以被称为“username”。在一种实施例中,“username”属性的值可以存储在LDAP目录中用户条目的目录唯一身份属性中。该值可以以<身份域名>.<uid>的格式存储,其中<uid>可以是由用户在登录屏幕中输入的值。这个<uid>值还可以存储在LDAP目录中的“uid”属性中。在备选实施例中,“username”SPML属性可以简单地作为<uid>返回,而不带任何身份域名前缀。
用于用户GUID的SPML属性可以被称为“用户ID”。“用户ID”属性的值可以是LDAP目录中用户条目的GUID。这个值可以传递到OIM模块,在来自融合应用实例的后续SPML调用中作为“psoID”属性,用以识别要被修改的用户实体。
共享的IDM系统和在共享的IDM系统中执行的应用的部件可以获得对关于通过认证的用户的信息的访问。在一种实施例中,可以使用户身份在通过认证的主体中被获得。通过认证的主体名字可以由Oracle访问管理器(OAM)声明者为由该OAM控制的所有SSO认证设置。声明者可以把这个通过认证的主体名字设置为LDAP目录中用于该通过认证的用户的用户条目的目录唯一标识符属性中的值。如以上所讨论的,这个值可以以格式<身份域名>.<uid>编码。在一种实施例中,非SSO的认证,诸如涉及web服务调用的认证,也可以遵循以上方法。
在备选实施例中,可以使用户身份作为两个属性的元组被获得,“uid”和身份域GUID。通过认证的主体名可以设置为“uid”值。“uid”值可以是在身份域中唯一的用户登录名。可以使身份域GUID值在与通过认证的主体关联的标识符上下文中能被获得。OPSS基础设施可以确保“uid”和身份域GUID(在标识符上下文中)都可以经身份传播让容器可获得。单身份域客户端可以使用通过认证的主体获得对通过认证的用户身份的访问。这些客户端可以获得不带任何身份域相关的前缀的“uid”值。因此,在实施例中,单身份域客户端不需要解析或重构“uid”,因为“uid”代表身份域中的唯一值。在一种实施例中,多身份域客户端可以使用通过认证的主体中的“uid”和标识符上下文中的身份域GUID二者来识别通过认证的用户。
在本发明的一种实施例中,企业标识符可以添加到每个AppleCore表。种子数据可以作为安装的一部分交付,具有企业标识符“1”。当用于客户的新身份域在IDM系统中供应时,与企业标识符“1”关联的所有行可以拷贝到与特定于那个客户的企业身份关联的行。AppleCore可以使用包含用户标识符与企业标识符/客户之间映射的映射表。作为替代,这种映射可以在LDAP目录中表示。当用户登录时,这种映射信息可以被用来建立用于AppleCore会话的企业标识符。由应用使用的每个数据库连接可以利用FND_GLOBAL获得企业标识符上下文。虚拟私有数据库(VPD)策略可以应用到每个AppleCore表。每个这种策略可以包含“where”子句,该子句有效地把访问限定到具有等于FND_GLOBAL.enterprise_ID的企业标识符的实体。插入每个这种表的行可以包括被设置为FND_GLOBAL.enterprise_ID的企业标识符。
在本发明的一种实施例中,当执行应用标识符上下文切换时,底层AppleCore会话的企业标识符可以作为现有的终端用户标识符保持。因此,与用户的身份域关联的VPD策略可以保持在范围内。因此,虽然提高的数据特权和功能特权可以反映那些应用标识符,但是范围内的数据特权可以在用户的企业或身份域VPD条(VPD stripe)的范围中应用。
根据本发明的实施例,多租户(即,多个身份域)可以在Oracle访问管理器(OAM)中启用。为了在OAM中启用多个身份域,OAM登录过程可以被扩展为接受身份域名作为登录时使用的属性之一。
根据本发明的实施例,多租户(即,多个身份域)可以在Oracle身份管理器(OIM)中启用。为了在OIM中启用多个身份域,可以支持在诸如SPML请求和回调的供应接口中所包含的身份域相关的属性。可以指定用于在LDAP目录中构造用户条目的目录唯一身份属性的规则,使得这个属性在LDAP目录中具有唯一的值。在一种实施例中,电子邮件地址可以被配置为OIM中用于用户的唯一属性。在备选实施例中,LDAP目录中用户条目的目录唯一身份属性可以用作OIM中用户的唯一属性。在OIM中,诸如OIM.EmailUniqueCheck和MTEntitySeparator的系统特性可以被配置为反映这个用户的用户条目的目录唯一身份属性。作为配置用户/角色供应子系统的一部分,诸如身份域GUID和身份域名的身份域属性可以存储在用于OIM的数据库中。在共享的IDM系统中,这些属性可以被配置为用户定义的字段。OIM可以供应包含在LDAP目录中的用户身份。在多身份域环境中,每个用户条目的相对可分辨名字(Relative Distinguished Name,RDN)属性可以是用于那个用户条目的目录唯一身份属性。由OIM使用的RDN构造规则可以被更改,以便使每个用户条目的RDN属性采用目录唯一身份属性的值。在实施例中,LDAP目录中的每个条目可以与OIM数据库一致。因为登录属性可以是用于用户条目的目录唯一身份属性,所以,在多身份域环境中,对应的映射可以在LDAPSync配置中反映。OIM中的多租户启用可以涉及LDAP容器规则的配置。用于现有身份域的这种LDAP容器规则可以至少部分地通过配置融合中间件元数据服务存储库文件“/dc/LDAPContainerRules.xml”来配置。例如,给定具有GUID值49431843829924000和49431843829925000的两个身份域,LDAP容器规则可以如表1中所示的那样配置:
表1–示例LDAP容器规则配置
在本发明的实施例中,在共享的IDM系统中供应新身份域的过程可以涉及(a)在LDAP目录中用于该身份域的身份域子树的创建,及(b)在OAM和OIM部件中其它等效的人为因素的创建。OPSS策略可以被这种供应影响。OPSS策略可以反映应用角色到企业角色的关联。在共享的IDM系统外部起源的客户的企业角色可以在共享的IDM系统的LDAP目录(例如,OID)中被克隆。作为这种克隆的一部分,关联的应用角色映射可以通过执行以下操作来建立:(1)为每个应用找出原始的system-jazn-data.xml文件;(2)把提取出的system-jazn-data.xml文件中的企业角色修改为具有新身份域的身份域名前缀,以反映特定于新身份域的角色;以及(3)把修改后的文件作为新的system-jazn-data.xml文件对待并且再次执行migrateSecurityStore操作,操作的目的地被设置为Oracle身份目录(OID)。
基于域的目录分区和绑定凭证
在本发明的实施例中,与特定身份域(在潜在多个单独的身份域中)关联的用户可以使用已经部署到那个特定身份域的服务–但不使用已经部署到任何其它身份域的服务。在这种实施例中,LDAP目录(例如,OID)可以充当用于在云计算环境中创建的所有多个身份域中的所有身份的身份存储。不需要在单独的身份域中创建单独的LDAP目录来为那些身份域充当隔离的身份存储;单个LDAP目录可以为所有身份域服务。在该LDAP目录中,单独的目录子树可以专注于单独的身份存储,使得,例如,用于第一身份域的所有身份可以存储在第一目录子树中,并且用于第二身份域的所有身份可以存储在第二目录子树中。这种子树目录都可以具有公共的根。
对LDAP中每个子树目录的访问可以被限定到某些云计算系统部件。一些这种部件–诸如云管理部件–可以访问所有子树目录,而其它这种部件只能访问某些指定的子树目录。例如,一些组件,诸如已经在特定身份域中部署的服务,可以被限制到只访问专用于那个特定身份域的子树目录。在本发明的实施例中,身份域与它们各自的子树目录之间的这种隔离可以通过已经在LDAP目录系统中可获得的机制实施。在服务被部署到特定身份域的时候,云计算环境的服务部署部件可以具体地为那个服务生成安全凭证。安全凭证可以这样生成,使得当凭证被LDAP目录系统检查时,将使LDAP目录系统准许服务只访问与该服务被部署到其中的特定身份域关联的子树目录。
在本发明的实施例中,其身份可以存储在LDAP目录中的实体种类可以被归类为不同的类型。一个这种实体类型是用户类型。与特定身份域关联的用户的身份可以存储在专注于那个特定身份域的LDAP目录子树中。另一个实体类型是服务实例类型。已经部署到特定身份域的服务实例的身份(这样称呼是因为相同服务–诸如数据服务–的单独实例可以部署到单独的身份域)可以存储在专注于那个特定身份域的LDAP目录子树中。在本发明的实施例中,只有服务实例实体,而没有用户实体,能访问云计算环境的LDAP服务器。在这种实施例中,用户实体不暴露给LDAP服务器,并且被阻止直接与LDAP服务器交互。在这种实施例中,用户实体不具有LDAP访问特权,不能直接访问存储在LDAP目录中的任何信息。在这种实施例中,只有服务实例实体具有LDAP访问特权。
在本发明的实施例中,当通过云计算环境的供应机制供应给特定的身份域时,可以为具有服务实例类型的实体供应具体而言与那个特定身份域关联并且不与其它身份域关联的“绑定凭证”。每个绑定凭证可以指定某个受限的访问范围,并且不同的绑定凭证可以指定不同的访问范围。响应于并且在那些实体被部署在云计算环境中时,这些绑定凭证可以被生成并提供给服务实例类型实体。绑定凭证被云计算环境内部的部件使用并且不透露给外部实体。在实施例中,从来没有人类用户接收绑定凭证。
网络中存在的实体可以具有被LDAP服务器认可的身份。这种实体可以包括服务实例。在实施例中,虽然用户被阻止直接访问LDAP目录中的信息,但是在这种实施例中,服务实例可以代表那些用户访问那种信息。服务实例从LDAP目录访问的信息可以关于用户自己。在实施例中,只有在云计算环境的网络中的实体才能访问云计算环境的LDAP系统;在网络外部的部件不能这样访问。在实施例中,LDAP服务器被配置为对不具有上述类型的绑定凭证的所有实体拒绝访问。在网络外部的实体不能获得这种绑定凭证并且因此不能获得对LDAP目录的访问。在实施例中,这种配置是通过LDAP服务器遵守的访问控制策略实现的。在一种实施例中,这种访问控制策略也存储在LDAP目录中。
如以下将进一步讨论的,用户名和口令有时候可以从云计算环境的客户端(或者“租户”)的专有单域企业导入以在云计算环境中为那个客户端创建的客户端身份域中连续使用。这些用户名和口令仍然在客户端自己的专有系统中存在的事实可以被看作有几分潜在的安全漏洞。但是,即使用户名和口令在客户端的专有单域企业中以某种方式被危及,潜在的系统入侵者缺乏绑定凭证的事实(因为,如以上所讨论的,这种凭证不直接提供给用户,而是提供给代表那些用户动作的服务)也将保护LDAP目录的内容不受潜在入侵者的破坏。在实施例中,服务标识符在LDAP目录中与用户标识符分离,并且用户标识符的发现将不透露任何服务标识符。
在本发明的实施例中,实体还基于那些实体是否(a)专用于特殊身份域或者(b)不专用于任何特殊身份域的基础设施部件而被归类。基础设施部件可以包括负责向特殊身份域供应服务实例的系统供应部件。基础设施部件还可以包括访问管理部件,该部件可以针对服务实例实体为用户实体提供单点登录(SSO)功能。基础设施部件可以包括管理存储在LDAP目录中的身份的身份管理(IDM)部件。这些基础设施部件可以直接与LDAP系统交互,以便认证和授权与那些基础设施部件交互的实体。
如以上所讨论的,在实施例中,专用于特定身份域的实体受限于访问与那个特定身份域关联但不与其它身份域关联的身份。在本发明的实施例中,这种访问限制是通过也可以包含在LDAP目录中的访问控制策略的实施来实现的。LDAP服务器通常基于访问控制策略允许或拒绝对存储在LDAP目录中的信息的访问。为了使云计算环境的LDAP服务器基于特定于身份域的访问控制策略来允许或拒绝对与某些身份域关联的LDAP目录子树的访问,本发明的实施例使用这个事实。这种特定于身份域的访问控制策略之前是未知的或者未在LDAP系统中使用的。
多租户唯一标识符
在本发明的实施例中,具有存储在LDAP目录中的身份的每个实体具有存储在LDAP目录中的全局(跨整个LDAP目录及其所有子树)唯一身份。这种全局唯一的身份可以通过使用附连到身份的规范格式化前缀(例如)来生成,否则,其中的身份即使在特定的身份域中是唯一的,也有可能不是全局唯一的。在实施例中,在用户可以与在基于云的环境中提供的任何服务交互之前,那些用户需要登录到环境。登录过程涉及认证过程。用户提供给认证器的登录名,或身份,即使在特定的身份域中是唯一的,也有可能在整个LDAP目录中不是全局唯一的。因此,在实施例中,在用户登录到环境时,除用户的登录名之外,认证器还要求用户期望访问的身份域的名字。在备选实施例中,认证器不从用户自己要求身份域的名字。代替地,每个单独的身份域可以与和单独URL关联的单独登录网页关联。身份域的名字可以包含在用户为了登录那个身份域而需要访问的网页的代码中。因此,当用户把他的浏览器指向访问用于特定于那个域的网页的特定URL时,认证器可以从网页自己的代码确定用户寻求访问的身份域。
在本发明的实施例中,不管用户是否明确地提供身份域的名字,那个身份域的标识符都附连到用户提供的登录名,以便为那个用户生成全局唯一标识符。这种全局唯一的标识符可以被称为多租户唯一标识符。在实施例中,一旦特定用户的用户帐号已经创建,他就总是与相同的多租户唯一标识符关联,并且相同的多租户唯一标识符被云计算环境的认证系统用来在每次该用户寻求访问环境内的服务时认证该用户。因为多租户唯一标识符指定用户所属的身份域,所以LDAP服务器能够确定哪个LDAP目录子树适用于用户。多租户唯一标识符在云环境中的系统之间传播,使得用户不会与具有相同名字(但不具有相同身份域)的另一个用户混淆。多租户唯一标识符被云环境使用的事实对终端用户可以是完全透明的,终端用户可以向认证子系统提供他们的域不合格的登录名。在本发明的实施例中,实体的多租户唯一标识符是响应于并且在用于那个实体的新纪录被创建并添加到LDAP目录时而为那个实体生成的。多租户唯一标识符可以在云计算环境的子系统之间在消息有效载荷中传播。因此,没有必要依赖于实体的身份位于其中的LDAP目录子树的名字来为那个实体确定多租户唯一标识符。
在本发明的实施例中,多租户唯一标识符是用于该实体的LDAP目录条目中的几个单独字段之一。LDAP目录模式可以被扩展为包括多租户唯一标识符作为属性。多租户唯一标识符在LDAP目录条目中与用户的登录名分离,使得,在用户的身份已经从单域(单客户)系统移植到多域云计算环境之后,可能已经从单域系统直接导入的用户的登录名可以继续被使用,而没有中断或可见的修改。因此,在实施例中,已经在特定云计算环境客户端(或“租户”)的单独专有(通常不是基于云的)企业中使用的相同登录名可以继续在云计算环境中创建的身份域中使用并且专用于那个特定客户端。实际上,在移植过程中,这些登录名可以直接从客户端的专有企业上载到云计算环境,在这个时候,多租户唯一标识符可以为那些登录名自动生成并且存储在用于该客户端的用户的LDAP目录条目中。
在典型的LDAP目录中,可分辨的名字可能被看作一种全局唯一标识符。但是,在典型的LDAP目录中,可分辨的名字通常是多个单独LDAP属性值的级联而不是专用于全局唯一身份目的的单个明确的LDAP属性值。如果云计算环境的客户端(租户)出于某种原因需要自己构造全局唯一标识符,则可以为该客户端提供规范的规则,系统自己在构造全局唯一标识符时可以遵循该规则。例如,这种规则可以涉及把客户端的身份域的名字附到用户的登录名的前面,用点号隔开。通过遵循这种规则,多租户唯一标识符可以相对容易地通过编程重构。相同的质量不一定是LDAP可分辨的名字所拥有的。
有可能在云计算环境中执行的一些应用或服务可能没有被配置为处理加有身份域名前缀的用户身份。在这种条件下,在把多租户唯一标识符传递到这种应用或服务之前,身份域名前缀可以很容易地从多租户唯一标识符剥离,使得应用或服务只接收用户的不合格的登录名。多租户唯一标识符根据明确定义的规范格式构造的事实使得这种有可能被需要的调整以自动方式相对简单地执行。
在云计算环境中执行的一些其它应用或服务可能能够识别出身份域名并依赖于那些身份域名以变化的方式工作。在这种条件下,身份域名可以从多租户唯一标识符中被解析并提取,供应用或服务使用。然后,应用或服务可以确定它要与几个身份域中的哪个一起工作。再次,多租户唯一标识符根据明确定义的规范格式构造的事实使得这种有可能有益的提取以自动方式相对简单地执行。
云基础设施部件在可以使用身份域名的服务当中。这些部件可以是具有多租户(或者多身份域)能力的。这些部件可以接收与不同用户有关的请求。为了确定请求与之有关的身份域,这些部件可以基于那些标识符普遍遵守的规范格式简单并自动地解析用户的多租户唯一标识符。具有多租户能力的云基础设施部件可以使用按照身份域分条的数据存储库。在这种条件下,这些部件可以使用从多租户唯一标识符解析的身份域名,作为对专用于适当身份域的条的句柄(handle)。该处理可以被用来访问条。
当供应服务实例时更新LDAP目录
在本发明的实施例中,在云计算环境中执行的供应服务在该环境的各种身份域中执行所有服务实例的所有部署。供应服务具有用于为云计算环境的指定客户端(或者“租户”)创建服务实例的应用编程接口(API)。供应服务可以创建,或者从某个其它部件请求,利用其配置要部署的服务实例的绑定凭证。在实施例中,供应服务使用API从另一部件请求用于指定的服务实例和指定的身份域的绑定凭证。每个绑定凭证可以包括名字和口令。名字可以基于标准惯例自动生成,并且可以既包括指定的服务实例的名字又包括指定的身份域的名字。口令可以随机生成。
与绑定凭证的生成并发地,新的对应访问策略可以自动生成并添加到LDAP目录。访问策略指定具有在绑定凭证中指定的名字的服务实例只被允许访问对应于该服务实例被部署到其的身份域的LDAP目录子树。在实施例中,访问策略还指定具有那个名字的服务实例不被允许修改LDAP目录中的身份;在实施例中,只有云计算环境的身份管理(IDM)子系统被允许修改这种身份。IDM子系统本身是云计算环境的用户可以与其交互的服务。在实施例中,访问策略还指定具有在绑定凭证中指定的名字的服务实例只被允许读取LDAP目录条目的某些指定属性。前述操作可以经以上讨论的API执行。在本发明的实施例中,没有实体或部件被赋予修改现有绑定凭证的能力。
示例多租户LDAP系统
图9是说明包括多租户LDAP系统的云计算环境的例子的框图。本发明的各种实施例可以包括附加的、更少的或者与图9中明确示出的那些不同的部件。图9示出了云计算环境902和客户端(租户)904A-N。例如,每个客户端(租户)904A-N可以代表单独的组织。每个客户端(租户)904A-N可以具有在云计算环境902中定义的单独身份域,使得包含在那个身份域中的身份和服务与云计算环境902中所有其它身份域中的身份和服务隔离。客户端(租户)904A-N与云计算环境902的部件交互,通常是通过潜在地包括因特网的一个或多个网络。
如图9中所示,云计算环境902包含LDAP服务器906和LDAP目录908。很显然,LDAP目录908是包含用于多个单独身份域的LDAP条目的单个统一的LDAP目录–用于客户端(租户)904A-N每一个的单独身份域。对于每个这种身份域,(具有树结构的)LDAP目录908包含具体而言专用于那个身份域的对应子树。例如,子树910A可以专用于客户端(租户)904A的身份域,子树910B可以专用于客户端(租户)904B的身份域,依此类推,子树910N可以专用于客户端(租户)904N的身份域。
每个子树910A-N可以包含用于用户身份、服务实例身份以及只与那个子树对应的身份域有关的访问策略的LDAP条目。例如,子树910A包含用户身份912A、服务实例身份914A以及访问策略916A;子树910B包含用户身份912B、服务实例身份914B以及访问策略916B;依此类推,子树910N包含用户身份912N、服务实例身份914N以及访问策略916N。
示例技术
图10是说明根据本发明实施例、用于为特定身份域生成并使用身份域指定的登录网页的技术示例的流程图。在方框1002中,接收创建新身份域的请求。在方框1004中,响应于该请求,在LDAP目录中创建用于该新身份域的LDAP子树。在方框1006中,响应于该请求,生成并存储具有唯一URL并指定新身份域的名字的登录网页。
在方框1008中,接收对对应于该唯一URL的网页的请求。在方框1010中,响应于该请求,发送对应于该唯一URL的网页。在方框1012中,经网页的用户名字段和口令字段接收域不合格的用户名和口令。在方框1014中,通过把在网页中指定的身份域名附加到域不合格的用户名前面来构造多租户唯一标识符。在方框1016中,基于所提供的口令对照存储在LDAP目录中的安全信息认证该多租户唯一标识符。
图11是说明根据本发明实施例、用于向特定身份域添加新用户身份的技术示例的流程图。在方框1102中,接收对向指定的身份域添加新用户的请求,该新用户具有指定的域不合格的用户名。在方框1104中,响应于该请求,通过把在网页中指定的身份域名附加到域不合格的用户名前面来构造多租户唯一标识符。在方框1106中,为新用户选择口令。在方框1108中,生成新LDAP条目,该条目指定用户名、身份域、多租户唯一标识符以及口令作为单独的属性。在方框1110中,该新LDAP条目被添加到对应于身份域的LDAP目录的子树。
图12是说明根据本发明实施例、用于把新服务实例部署到特定身份域的技术示例的流程图。在方框1202中,接收对把特定类型的新服务实例部署到指定的身份域的请求。在方框1204中,响应于该请求,基于该特定类型和指定的身份域二者为新服务实例自动生成域合格的名字。在方框1206中,自动生成随机口令。在方框1208中,生成既指定域合格的名字又指定随机口令的绑定凭证。在方框1210中,绑定凭证存储在对应于所指定身份域的LDAP目录的子树中。
在方框1212中,创建新访问策略,该新访问策略指定具有(在绑定凭证中指示的)域合格名字的服务实例只能访问关于所指定身份域的信息(即,包含在对应于该服务实例被部署到其的身份域的LDAP目录的子树中的LDAP条目)。在方框1214中,访问策略存储在对应于所指定身份域的LDAP目录的子树中。在方框1216中,服务实例在所指定的身份域中部署。在方框1218中,绑定凭证提供给服务实例。
图13是说明根据本发明实施例、用于在服务实例部署时利用提供给该服务实例的绑定凭证认证那个服务实例的技术示例的流程图。在方框1302中,LDAP服务器从服务实例接收访问指定的子树中的LDAP信息的请求。在方框1304中,LDAP服务器从服务实例接收绑定凭证。在方框1306中,LDAP服务器基于在绑定凭证中指定的域合格名字来确定服务实例所属的身份域。在方框1308中,LDAP服务器在对应于所确定的身份域的LDAP目录子树中定位与该服务实例有关的LDAP条目。在方框1310中,通过比较绑定凭证中指定的口令与LDAP条目中指定的口令,LDAP服务器认证服务实例。在方框1312中,LDAP服务器在对应于所确定的身份域的LDAP目录子树中定位指定与该服务实例有关的访问策略的LDAP条目。在方框1314中,就由访问策略指定的程度而言,LDAP服务器允许和/或拒绝服务实例访问对应于所确定的身份域的LDAP目录子树中LDAP条目的策略指定的属性。
硬件概述
图7是说明可以根据本发明实施例使用的系统环境700的部件的简化框图。如所示出的,系统环境700包括一个或多个客户端计算设备702、704、706、708,这些设备配置为操作客户端应用,包括本地客户端应用以及有可能诸如web浏览器等的其它应用。在各种实施例中,客户端计算设备702、704、706和708可以与服务器712交互。
客户端计算设备702、704、706、708可以是通用个人计算机(作为例子,包括运行各种版本的Microsoft Windows和/或AppleMacintosh操作系统的个人计算机和/或膝上型计算机)、手机或PDA(运行诸如Microsoft Windows Mobile的软件,并且是启用互联网、电子邮件、SMS、Blackberry或其它通信协议的),和/或运行各种市售UNIX或类UNIX操作系统(包括但不限于各种GNU/Linux操作系统)中任一种的工作站计算机。作为替代,客户端计算设备702、704、706、708可以是能够经网络(例如,下面描述的网络710)进行通信的任何其它电子设备,诸如瘦客户端计算机、启用互联网的游戏系统和/或个人消息传输设备。虽然示例性系统环境700被示为具有四个客户端计算设备,但是任何数量的客户端计算设备都可以被支持。其它设备,诸如带传感器的设备等,可以与服务器712交互。
系统环境700可以包括网络710。网络710可以是本领域技术人员熟悉的任何类型的网络,这些网络可以利用包括但不限于TCP/IP、SNA、IPX、AppleTalk等的各种市售的协议中任一种来支持数据通信。仅仅作为例子,网络710可以是局域网(LAN),诸如以太网网络和/或令牌环网等;广域网;虚拟网络,包括但不限于虚拟专用网(VPN);互联网;内联网;外联网;公共交换电话网(PSTN);红外线网络;无线网络(例如,按照IEEE802.11协议套件、本领域中已知的蓝牙协议和/或任何其它无线协议中任一种操作的网络);和/或这些和/或其它网络的任何组合。
系统环境700还包括一个或多个服务器计算机712,这可以是通用计算机、专用服务器计算机(作为例子,包括PC服务器、UNIX服务器、中档服务器、大型计算机、机架式服务器等),服务器群、服务器群集,或者任何其它适当的布置和/或组合。在各种实施例中,服务器712可以适于运行一个或多个服务或软件应用。
服务器712可以运行操作系统,包括以上讨论的任意操作系统,以及任意市售的服务器操作系统。服务器712还可以运行各种附加的服务器应用和/或中间层应用中任一种,包括HTTP服务器、FTP服务器、CGI服务器、Java服务器、数据库服务器等。示例性数据库服务器包括但不限于可从Oracle,Microsoft、Sybase、IBM等商购的那些。
系统环境700还可以包括一个或多个数据库714、716。数据库714、716可以驻留在各种不同的位置。作为例子,数据库714、716中的一个或多个可以驻留在服务器712本地的非临时性存储介质上(和/或驻留在服务器712中)。作为替代,数据库714、716可以远离服务器712,并且经基于网络的或专用的连接与服务器712通信。在一组实施例中,数据库714、716可以驻留在本领域技术人员熟悉的存储区域网络(SAN)中。类似地,用于执行服务器712所具有的功能的任何必要的文件都可以适当地本地存储在服务器712上和/或远程存储。在一组实施例中,数据库714、716可以包括适于响应于SQL格式的命令而存储、更新和检索数据的关系数据库,诸如由Oracle提供的数据库。
图8是可以根据本发明实施例使用的计算机系统800的简化框图。例如,服务器712或客户端702、704、706或708可以利用诸如系统800的系统实现。计算机系统800被示为包括可以经总线824电耦合的硬件元件。硬件元件可以包括一个或多个中央处理单元(CPU)802、一个或多个输入设备804(例如,鼠标、键盘等),以及一个或多个输出设备806(例如,显示设备、打印机等)。计算机系统800还可以包括一个或多个存储设备808。作为例子,存储设备808可以包括可编程和/或可闪速更新等的设备,诸如盘驱动器、光存储设备以及诸如随机存取存储器(RAM)和/或只读存储器(ROM)的固态存储设备。
计算机系统800还可以包括计算机可读存储介质读取器812、通信子系统814(例如,调制解调器、网卡(无线的或有线的)、红外通信设备等)和工作存储器818,其中存储器818可包括如上所述的RAM和ROM设备。在一些实施例中,计算机系统800还可以包括处理加速单元816,这可以包括数字信号处理器(DSP)和/或专用处理器等。
计算机可读存储介质读取器812还可被连接到计算机可读存储介质810,一起(并且,可选地,结合存储设备808)全面地表示远程、本地、固定和/或可移动存储设备加上用于临时和/或更永久地包含计算机可读信息的存储介质。通信系统814可以允许数据与网络710和/或以上关于系统环境700所描述的任何其它计算机进行交换。
计算机系统800还可以包括软件元件,当前示为位于工作存储器818中,包括操作系统820和/或其它代码822,诸如应用程序(这可以是客户端应用、Web浏览器、中间层应用、RDBMS等等)。在示例性实施例中,工作存储器818可以包括用于如上所述的基于多租户云的IDM系统的可执行代码和关联的数据结构。应当认识到,计算机系统800的备选实施例可以具有不同于以上所述的众多变化。例如,定制的硬件也可被使用和/或特定的元件可以用硬件、软件(包括便携式软件,诸如小程序)或两者实现。另外,可以采用到诸如网络输入/输出设备的其它计算设备的连接。
用于包含代码或部分代码的存储介质和计算机可读介质可以包括本领域中已知或被使用的任何适当的介质,包括存储介质和通信介质,诸如但不限于,以任何方法或技术实现的用于诸如计算机可读指令、数据结构、程序模块或其它数据之类的信息存储和/或传输的易失性和非易失性(非临时性)、可移动和不可移动介质,包括RAM、ROM、EEPROM、闪存存储器或其它存储器技术、CD-ROM、数字多样化盘(DVD)或其它光储存器、磁带盒、磁带、磁盘储存器或其它磁存储设备、数据信号、数据传输,或者可以被用来存储或发送期望信息并且可以被计算机访问的任何其它介质。
虽然已经描述了本公开内容的具体实施例,但是各种修改、变更、备选构造和等价物也包含在本公开内容的范围内。本公开内容的实施例不限于在某些具体数据处理环境中的操作,而是可以自由地在多种数据处理环境中操作。此外,虽然本公开内容的实施例已经利用事务或步骤的特定序列进行了描述,但是对本领域技术人员来说很显然,本公开内容的范围不限于所描述的事务或步骤的序列。
另外,虽然本公开内容的实施例已经利用硬件和软件的特定组合进行了描述,但是应当认识到,硬件和软件的其它组合也在本公开内容的范围之内。本公开内容的实施例可以只用硬件或者只用软件或者利用其组合来实现。
图14示出了分别根据如上所述本发明原理配置的计算装置1400的功能框图。计算装置的功能块可以由硬件、软件或者硬件和软件的组合来实现,以执行本发明的原理。本领域技术人员应当理解,图14中所描述的功能块可以组合或者分成子块,以实现如上所述的本发明的原理。因此,本文的描述可以支持任何可能的组合或分离或者本文所述的功能块的进一步定义。
如图14中所示,计算装置1400包括第一存储单元1402、第二存储单元1404、第一阻止单元1406和第二阻止单元1408。
第一存储单元1402可以在具有根节点的LDAP目录中在从根节点下行的第一目录子树中存储与第一身份域关联但不与第二身份域关联的实体。第二存储单元1404可以在LDAP目录中在也从根节点下行但与第一目录子树分离的第二目录子树中存储与第二身份域关联但不与第一身份域关联的实体的身份。第一阻止单元1406可以阻止已经部署到第一身份域的服务实例访问存储在第二目录子树中的身份。第二阻止单元1408可以阻止已经部署到第二身份域的服务实例访问存储在第一目录子树中的身份。
计算装置1400还可以包括第三存储单元1410、第四存储单元1412、第三阻止单元1414和第一允许单元1416。第三存储单元1410可以在第一目录子树中存储与第一身份域关联但不与第二身份域关联的用户实体的身份。第四存储单元1412可以在第一目录子树中存储与第一身份域关联但不与第二身份域关联的服务实例实体的身份。第三阻止单元1414可以阻止用户实体直接与维护LDAP目录的LDAP服务器交互。第一允许单元1416可以允许服务实例实体代表用户实体直接与LDAP服务器交互。
计算装置1400还可以包括第一生成单元1418、第一提供单元1420、第二生成单元1422和第二提供单元1424。第一生成单元1418可以,响应于将第一服务实例部署到第一身份域但不部署到第二身份域,生成第一凭证,当该第一凭证被维护LDAP目录的LDAP服务器检查时,使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份。第一提供单元1420可以把第一凭证提供给第一服务实例。第二生成单元1422可以,响应于将第二服务实例部署到第二身份域但不部署到第一身份域,生成第二凭证,当该第二凭证被LDAP服务器检查时,使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份。第二提供单元1424可以把第二凭证提供给第二服务实例。
计算装置1400还可以包括第五存储单元1426和第一控制单元1428。第五存储单元1426可以在LDAP目录中存储从多个身份域中指定各种身份域的访问控制策略。第一控制单元1428可以至少部分地基于该访问控制策略来控制对LDAP目录中与身份域关联的子树的访问。
计算装置1400还可以包括第六存储单元1430和第七存储单元1432。第六存储单元1430可以在LDAP目录中存储指定应用于第一目录子树但不应用于第二目录子树的访问限制的第一访问控制策略。第七存储单元1432可以在LDAP目录中存储指定应用于第二目录子树但不应用于第一目录子树的访问限制的第二访问控制策略。
计算装置1400还可以包括第三生成单元1434、第八存储单元1436、第四生成单元1438和第九存储单元1440。通过把第一身份域的标识符附连到第一用户的登录名,第三生成单元1434可以为第一用户生成全局唯一标识符。第八存储单元1436可以在第一目录子树中存储用于第一用户的全局唯一标识符。通过把第二身份域的标识符附连到第二用户的登录名,第四生成单元1438可以为第二用户生成全局唯一标识符。第九存储单元1440可以在第二目录子树中存储第二用户的全局唯一标识符。
计算装置1400还可以包括第十存储单元1442、第十一存储单元1444、第一接收单元1446、第一重构单元1448和第一认证单元1450。第十存储单元1442可以与第一统一资源定位符(URL)关联地存储指定第一身份域的标识符的第一登录网页。第十一存储单元1444可以与和第一URL不同的第二URL关联地存储指定第二身份域的标识符的第二登录网页。第一接收单元1446可以通过特定的登录网页从特定用户接收该特定用户的登录名,其中特定的登录网页可以是第一登录网页或第二登录网页。第一重构单元1448可以基于(a)特定用户的登录名和(b)由特定登录网页指定的特定身份域标识符二者为该特定用户重构全局唯一标识符。第一认证单元1450可以基于特定用户的全局唯一标识符认证该特定用户。
计算装置1400还可以包括第五生成单元1452和第一添加单元1454。第五生成单元可以,响应于将特定服务实例部署到第一身份域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证。第一添加单元可以,响应于将特定服务实例部署到第一身份域,自动地把新访问控制策略添加到LDAP目录,其中新访问控制策略指定具有该特定服务实例的名字的实体只能访问与该特定服务实例被部署到的身份域有关的信息。
另外,可以如下功能定义本发明的某些实施例。具体而言,提供了在云计算环境中包括轻量级目录访问协议(lightweight directoryaccess protocol,LDAP)目录的装置或系统。该装置或系统包括用于在具有根节点的LDAP目录中在从根节点下行的第一目录子树中存储与第一域关联但不与第二域关联的实体的身份的装置;用于在该LDAP目录中在也从根节点下行但与第一目录子树分离的第二目录子树中存储与第二域关联但不与第一域关联的实体的身份的装置;用于阻止已经部署到第一域的服务实例访问存储在第二目录子树中的身份的装置;以及用于阻止已经部署到第二域的服务实例访问存储在第一目录子树中的身份的装置。
优选地,装置或系统还包括用于响应于将第一服务实例部署到第一域但不部署到第二域而生成第一凭证的装置,当该第一凭证被维护LDAP目录的LDAP服务器检查时,使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;用于把第一凭证提供给第一服务实例的装置;用于响应于将第二服务实例部署到第二域但不部署到第一域而生成第二凭证的装置,当该第二凭证被LDAP服务器检查时,使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;以及用于把第二凭证提供给第二服务实例的装置。
优选地,装置或系统还包括用于通过把第一域的标识符附连到第一用户的登录名来为第一用户生成全局唯一标识符的装置;用于在第一目录子树中存储第一用户的全局唯一标识符的装置;用于通过把第二域的标识符附连到第二用户的登录名来为第二用户生成全局唯一标识符的装置;用于在第二目录子树中存储第二用户的全局唯一标识符的装置;用于与第一统一资源定位符(URL)关联地存储指定第一域的标识符的第一登录网页的装置;用于与和第一URL不同的第二URL关联地存储指定第二域的标识符的第二登录网页的装置;用于通过特定的登录网页从特定用户接收该特定用户的登录名的装置,其中特定的登录网页是第一登录网页或第二登录网页;用于基于(a)特定用户的登录名和(b)由特定登录网页指定的特定域标识符二者为该特定用户重构全局唯一标识符的装置;以及基于特定用户的全局唯一标识符认证该特定用户的装置。
优选地,装置或系统还包括用于响应于将特定服务实例部署到第一域而自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证的装置;以及,响应于将特定服务实例部署到第一域而把新访问控制策略自动添加到LDAP目录的装置,其中新访问控制策略指定具有该特定服务实例的名字的实体只能访问与该特定服务实例被部署到的域有关的信息。
因而,说明书和附图应当在说明性而不是限制性的意义上理解。但是,很显然,在不背离更广泛精神和范围的情况下,可以对其进行添加、减少、删除以及其它修改和变化。
Claims (52)
1.一种计算机实现的方法,包括:
在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一身份域关联但不与第二身份域关联的实体的身份;
在该LDAP目录中,在也从根节点下行但是与第一目录子树分离的第二目录子树中存储与第二身份域关联但不与第一身份域关联的实体的身份;
阻止已经部署到第一身份域的服务实例访问存储在第二目录子树中的身份;及
阻止已经部署到第二身份域的服务实例访问存储在第一目录子树中的身份。
2.如权利要求1所述的计算机实现的方法,还包括:
在第一目录子树中存储与第一身份域关联但不与第二身份域关联的用户实体的身份;
在第一目录子树中存储与第一身份域关联但不与第二身份域关联的服务实例实体的身份;
阻止用户实体直接与维护LDAP目录的LDAP服务器交互;及
允许服务实例实体代表用户实体直接与LDAP服务器交互。
3.如权利要求1所述的计算机实现的方法,还包括:
响应于将第一服务实例部署到第一身份域但未部署到第二身份域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
向第一服务实例提供第一凭证;
响应于将第二服务实例部署到第二身份域但未部署到第一身份域,生成第二凭证,当被LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
向第二服务实例提供第二凭证。
4.如权利要求1所述的计算机实现的方法,还包括:
在LDAP目录中存储访问控制策略,该访问控制策略从多个身份域中指定各种身份域;及
至少部分地基于访问控制策略控制对LDAP目录中与身份域关联的子树的访问。
5.如权利要求4所述的计算机实现的方法,还包括:
在LDAP目录中存储第一访问控制策略,该第一访问控制策略指定应用于第一目录子树但不应用于第二目录子树的访问限制;及
在LDAP目录中存储第二访问控制策略,该第二访问控制策略指定应用于第二目录子树但不应用于第一目录子树的访问限制。
6.如权利要求1所述的计算机实现的方法,还包括:
通过把第一身份域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符;
在第一目录子树中存储第一用户的全局唯一标识符;
通过把第二身份域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符;及
在第二目录子树中存储第二用户的全局唯一标识符。
7.如权利要求6所述的计算机实现的方法,还包括:
与第一统一资源定位符(URL)相关联地存储指定第一身份域的标识符的第一登录网页;
与和第一URL不同的第二URL相关联地存储指定第二身份域的标识符的第二登录网页;
通过特定登录网页从特定用户接收该特定用户的登录名,其中特定登录网页是第一登录网页或第二登录网页;
基于(a)特定用户的登录名和(b)由特定登录网页指定的特定身份域标识符二者为该特定用户重构全局唯一标识符;及
基于该特定用户的全局唯一标识符认证该特定用户。
8.如权利要求1所述的计算机实现的方法,还包括:
响应于将特定服务实例部署到第一身份域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证;及
响应于将特定服务实例部署到第一身份域,向LDAP目录自动添加新访问控制策略,该新访问控制策略指定具有特定服务实例的名字的实体只能访问与该特定服务实例被部署到的身份域有关的信息。
9.一种存储特定指令的计算机可读存储存储器,该特定指令能够使一个或多个处理器执行指定操作,所述特定指令包括:
在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一身份域关联但不与第二身份域关联的实体的身份的指令;
在该LDAP目录中,在也从根节点下行但是与第一目录子树分离的第二目录子树中存储与第二身份域关联但不与第一身份域关联的实体的身份的指令;
阻止已经部署到第一身份域的服务实例访问存储在第二目录子树中的身份的指令;及
阻止已经部署到第二身份域的服务实例访问存储在第一目录子树中的身份的指令。
10.如权利要求9所述的计算机可读存储存储器,其中特定指令还包括:
在第一目录子树中存储与第一身份域关联但不与第二身份域关联的用户实体的身份的指令;
在第一目录子树中存储与第一身份域关联但不与第二身份域关联的服务实例实体的身份的指令;
阻止用户实体直接与维护LDAP目录的LDAP服务器交互的指令;及
允许服务实例实体代表用户实体直接与LDAP服务器交互的指令。
11.如权利要求9所述的计算机可读存储存储器,其中特定指令还包括:
响应于将第一服务实例部署到第一身份域但未部署到第二身份域,生成第一凭证的指令,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
向第一服务实例提供第一凭证的指令;
响应于将第二服务实例部署到第二身份域但未部署到第一身份域,生成第二凭证的指令,当被LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
向第二服务实例提供第二凭证的指令。
12.如权利要求9所述的计算机可读存储存储器,其中特定指令还包括:
在LDAP目录中存储访问控制策略的指令,该访问控制策略从多个身份域中指定各种身份域;及
至少部分地基于访问控制策略控制对LDAP目录中与身份域关联的子树的访问的指令。
13.如权利要求12所述的计算机可读存储存储器,其中特定指令还包括:
在LDAP目录中存储第一访问控制策略的指令,该第一访问控制策略指定应用于第一目录子树但不应用于第二目录子树的访问限制;及
在LDAP目录中存储第二访问控制策略的指令,该第二访问控制策略指定应用于第二目录子树但不应用于第一目录子树的访问限制。
14.如权利要求9所述的计算机可读存储存储器,其中特定指令还包括:
通过把第一身份域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符的指令;
在第一目录子树中存储第一用户的全局唯一标识符的指令;
通过把第二身份域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符的指令;及
在第二目录子树中存储第二用户的全局唯一标识符的指令。
15.如权利要求14所述的计算机可读存储存储器,其中特定指令还包括:
与第一统一资源定位符(URL)相关联地存储指定第一身份域的标识符的第一登录网页的指令;
与和第一URL不同的第二URL相关联地存储指定第二身份域的标识符的第二登录网页的指令;
通过特定登录网页从特定用户接收该特定用户的登录名的指令,其中特定登录网页是第一登录网页或第二登录网页;
基于(a)特定用户的登录名和(b)由特定登录网页指定的特定身份域标识符二者为该特定用户重构全局唯一标识符的指令;及
基于该特定用户的全局唯一标识符认证该特定用户的指令。
16.如权利要求9所述的计算机可读存储存储器,其中特定指令还包括:
响应于将特定服务实例部署到第一身份域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证的指令;及
响应于将特定服务实例部署到第一身份域,向LDAP目录自动添加新访问控制策略的指令,该新访问控制策略指定具有特定服务实例的名字的实体只能访问与该特定服务实例被部署到的身份域有关的信息。
17.一种系统,包括:
一个或多个处理器;及
存储特定指令的计算机可读存储存储器,该特定指令包括:
在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一身份域关联但不与第二身份域关联的实体的身份的指令;
在该LDAP目录中,在也从根节点下行但是与第一目录子树分离的第二目录子树中存储与第二身份域关联但不与第一身份域关联的实体的身份的指令;
阻止已经部署到第一身份域的服务实例访问存储在第二目录子树中的身份的指令;及
阻止已经部署到第二身份域的服务实例访问存储在第一目录子树中的身份的指令。
18.如权利要求17所述的系统,其中该特定指令还包括:
响应于将第一服务实例部署到第一身份域但未部署到第二身份域,生成第一凭证的指令,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
向第一服务实例提供第一凭证的指令;
响应于将第二服务实例部署到第二身份域但未部署到第一身份域,生成第二凭证的指令,当被LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
向第二服务实例提供第二凭证的指令。
19.如权利要求17所述的系统,其中该特定指令还包括:
通过把第一身份域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符的指令;
在第一目录子树中存储第一用户的全局唯一标识符的指令;
通过把第二身份域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符的指令;
在第二目录子树中存储第二用户的全局唯一标识符的指令;
与第一统一资源定位符(URL)相关联地存储指定第一身份域的标识符的第一登录网页的指令;
与和第一URL不同的第二URL相关联地存储指定第二身份域的标识符的第二登录网页的指令;
通过特定登录网页从特定用户接收该特定用户的登录名的指令,其中特定登录网页是第一登录网页或第二登录网页;
基于(a)特定用户的登录名和(b)由特定登录网页指定的特定身份域标识符二者为该特定用户重构全局唯一标识符的指令;及
基于该特定用户的全局唯一标识符认证该特定用户的指令。
20.如权利要求17所述的系统,其中该特定指令还包括:
响应于将特定服务实例部署到第一身份域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证的指令;及
响应于将特定服务实例部署到第一身份域,向LDAP目录自动添加新访问控制策略的指令,该新访问控制策略指定具有特定服务实例的名字的实体只能访问与该特定服务实例被部署到的身份域有关的信息。
21.一种计算机实现的方法,包括:
在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一域关联但不与第二域关联的实体的身份;
在该LDAP目录中,在也从根节点下行但与第一目录子树分离的第二目录子树中存储与第二域关联但不与第一域关联的实体的身份;
阻止已经部署到第一域的服务实例访问存储在第二目录子树中的身份;及
阻止已经部署到第二域的服务实例访问存储在第一目录子树中的身份。
22.如权利要求21所述的计算机实现的方法,还包括:
在第一目录子树中存储与第一域关联但不与第二域关联的用户实体的身份;
在第一目录子树中存储与第一域关联但不与第二域关联的服务实例实体的身份;
阻止用户实体直接与维护LDAP目录的LDAP服务器交互;及
允许服务实例实体代表用户实体直接与LDAP服务器交互。
23.如权利要求21或22所述的计算机实现的方法,还包括:
响应于将第一服务实例部署到第一域但不部署到第二域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
把第一凭证提供给第一服务实例;
响应于将第二服务实例部署到第二域但不部署到第一域,生成第二凭证,当被该LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
把第二凭证提供给第二服务实例。
24.如权利要求21至23中任一项所述的计算机实现的方法,还包括:
在LDAP目录中存储从多个域中指定各种域的访问控制策略;及
至少部分地基于该访问控制策略控制对LDAP目录中与域关联的子树的访问。
25.如权利要求21至24中任一项所述的计算机实现的方法,还包括:
在LDAP目录中存储第一访问控制策略,该第一访问控制策略指定应用于第一目录子树但不应用于第二目录子树的访问限制;及
在LDAP目录中存储第二访问控制策略,该第二访问控制策略指定应用于第二目录子树但不应用于第一目录子树的访问限制。
26.如权利要求21至25中任一项所述的计算机实现的方法,还包括:
通过把第一域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符;
在第一目录子树中存储第一用户的全局唯一标识符;
通过把第二域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符;及
在第二目录子树中存储第二用户的全局唯一标识符。
27.如权利要求21至26中任一项所述的计算机实现的方法,还包括:
与第一统一资源定位符(URL)关联地存储指定第一域的标识符的第一登录网页;
与和第一URL不同的第二URL关联地存储指定第二域的标识符的第二登录网页;
通过特定登录网页从特定用户接收该特定用户的登录名,其中特定登录网页是第一登录网页或第二登录网页;
基于(a)特定用户的登录名和(b)由特定登录网页指定的特定域标识符二者为该特定用户重构全局唯一标识符;及
基于特定用户的全局唯一标识符认证该特定用户。
28.如权利要求21至27中任一项所述的计算机实现的方法,还包括:
响应于将特定服务实例部署到第一域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证;及
响应于将特定服务实例部署到第一域,把新访问控制策略自动添加到LDAP目录,其中新访问控制策略指定具有该特定服务实例的名字的实体只能访问与该特定服务实例被部署到的域有关的信息。
29.一种携带指令的计算机可读介质,当被一个或多个处理器执行时,该指令使计算机:
在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一域关联但不与第二域关联的实体的身份;
在该LDAP目录中,在也从根节点下行但与第一目录子树分离的第二目录子树中存储与第二域关联但不与第一域关联的实体的身份;
阻止已经部署到第一域的服务实例访问存储在第二目录子树中的身份;及
阻止已经部署到第二域的服务实例访问存储在第一目录子树中的身份。
30.如权利要求29所述的计算机可读介质,其中,当被一个或多个处理器执行时,该指令使计算机:
在第一目录子树中存储与第一域关联但不与第二域关联的用户实体的身份;
在第一目录子树中存储与第一域关联但不与第二域关联的服务实例实体的身份;
阻止用户实体直接与维护LDAP目录的LDAP服务器交互;及
允许服务实例实体代表用户实体直接与LDAP服务器交互。
31.如权利要求29或30所述的计算机可读介质,其中,当被一个或多个处理器执行时,该指令使计算机:
响应于将第一服务实例部署到第一域但不部署到第二域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
把第一凭证提供给第一服务实例;
响应于将第二服务实例部署到第二域但不部署到第一域,生成第二凭证,当被该LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
把第二凭证提供给第二服务实例。
32.如权利要求29至31中任一项所述的计算机可读介质,其中,当被一个或多个处理器执行时,该指令使计算机:
在LDAP目录中存储从多个域中指定各种域的访问控制策略;及
至少部分地基于该访问控制策略控制对LDAP目录中与域关联的子树的访问。
33.如权利要求29至32中任一项所述的计算机可读介质,其中,当被一个或多个处理器执行时,该指令使计算机:
在LDAP目录中存储第一访问控制策略,该第一访问控制策略指定应用于第一目录子树但不应用于第二目录子树的访问限制;及
在LDAP目录中存储第二访问控制策略,该第二访问控制策略指定应用于第二目录子树但不应用于第一目录子树的访问限制。
34.如权利要求29至33中任一项所述的计算机可读介质,其中,当被一个或多个处理器执行时,该指令使计算机:
通过把第一域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符;
在第一目录子树中存储第一用户的全局唯一标识符;
通过把第二域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符;及
在第二目录子树中存储第二用户的全局唯一标识符。
35.如权利要求29至34中任一项所述的计算机可读介质,其中,当被一个或多个处理器执行时,该指令使计算机:
与第一统一资源定位符(URL)关联地存储指定第一域的标识符的第一登录网页;
与和第一URL不同的第二URL关联地存储指定第二域的标识符的第二登录网页;
通过特定登录网页从特定用户接收该特定用户的登录名,其中特定登录网页是第一登录网页或第二登录网页;
基于(a)特定用户的登录名和(b)由特定登录网页指定的特定域标识符二者为该特定用户重构全局唯一标识符;及
基于特定用户的全局唯一标识符认证该特定用户。
36.如权利要求29至35中任一项所述的计算机可读介质,其中,当被一个或多个处理器执行时,该指令使计算机:
响应于将特定服务实例部署到第一域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证;及
响应于将特定服务实例部署到第一域,把新访问控制策略自动添加到LDAP目录,其中新访问控制策略指定具有该特定服务实例的名字的实体只能访问与该特定服务实例被部署到的域有关的信息。
37.一种设备,包括:
一个或多个处理器;及
携带指令的计算机可读介质,当被一个或多个处理器执行时,该指令使计算机:
在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一域关联但不与第二域关联的实体的身份;
在该LDAP目录中,在也从根节点下行但与第一目录子树分离的第二目录子树中存储与第二域关联但不与第一域关联的实体的身份;
阻止已经部署到第一域的服务实例访问存储在第二目录子树中的身份;及
阻止已经部署到第二域的服务实例访问存储在第一目录子树中的身份。
38.如权利要求37所述的设备,其中,当被一个或多个处理器执行时,该指令使计算机:
响应于将第一服务实例部署到第一域但不部署到第二域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
把第一凭证提供给第一服务实例;
响应于将第二服务实例部署到第二域但不部署到第一域,生成第二凭证,当被该LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
把第二凭证提供给第二服务实例。
39.如权利要求37或38所述的设备,其中,当被一个或多个处理器执行时,该指令使计算机:
通过把第一域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符;
在第一目录子树中存储第一用户的全局唯一标识符;
通过把第二域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符;
在第二目录子树中存储第二用户的全局唯一标识符;
与第一统一资源定位符(URL)关联地存储指定第一域的标识符的第一登录网页;
与和第一URL不同的第二URL关联地存储指定第二域的标识符的第二登录网页;
通过特定登录网页从特定用户接收该特定用户的登录名,其中特定登录网页是第一登录网页或第二登录网页;
基于(a)特定用户的登录名和(b)由特定登录网页指定的特定域标识符二者为该特定用户重构全局唯一标识符;及
基于特定用户的全局唯一标识符认证该特定用户。
40.如权利要求37至39中任一项所述的设备,其中,当被一个或多个处理器执行时,该指令使计算机:
响应于将特定服务实例部署到第一域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证;及
响应于将特定服务实例部署到第一域,把新访问控制策略自动添加到LDAP目录,其中新访问控制策略指定具有该特定服务实例的名字的实体只能访问与该特定服务实例被部署到的域有关的信息。
41.一种使一个或多个处理器执行指定的操作的计算机可读程序,该操作包括:
在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一域关联但不与第二域关联的实体的身份;
在该LDAP目录中,在也从根节点下行但与第一目录子树分离的第二目录子树中存储与第二域关联但不与第一域关联的实体的身份;
阻止已经部署到第一域的服务实例访问存储在第二目录子树中的身份;及
阻止已经部署到第二域的服务实例访问存储在第一目录子树中的身份。
42.如权利要求41所述的计算机可读程序,该操作还包括:
在第一目录子树中存储与第一域关联但不与第二域关联的用户实体的身份;
在第一目录子树中存储与第一域关联但不与第二域关联的服务实例实体的身份;
阻止用户实体直接与维护LDAP目录的LDAP服务器交互;及
允许服务实例实体代表用户实体直接与LDAP服务器交互。
43.如权利要求41或42所述的计算机可读程序,该操作还包括:
响应于将第一服务实例部署到第一域但不部署到第二域,生成第一凭证,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
把第一凭证提供给第一服务实例;
响应于将第二服务实例部署到第二域但不部署到第一域,生成第二凭证,当被该LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
把第二凭证提供给第二服务实例。
44.如权利要求41至43中任一项所述的计算机可读程序,该操作还包括:
在LDAP目录中存储从多个域中指定各种域的访问控制策略;及
至少部分地基于该访问控制策略控制对LDAP目录中与域关联的子树的访问。
45.如权利要求41至44中任一项所述的计算机可读程序,该操作还包括:
在LDAP目录中存储第一访问控制策略,该第一访问控制策略指定应用于第一目录子树但不应用于第二目录子树的访问限制;及
在LDAP目录中存储第二访问控制策略,该第二访问控制策略指定应用于第二目录子树但不应用于第一目录子树的访问限制。
46.如权利要求41至45中任一项所述的计算机可读程序,该操作还包括:
通过把第一域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符;
在第一目录子树中存储第一用户的全局唯一标识符;
通过把第二域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符;及
在第二目录子树中存储第二用户的全局唯一标识符。
47.如权利要求41至46中任一项所述的计算机可读程序,该操作还包括:
与第一统一资源定位符(URL)关联地存储指定第一域的标识符的第一登录网页;
与和第一URL不同的第二URL关联地存储指定第二域的标识符的第二登录网页;
通过特定登录网页从特定用户接收该特定用户的登录名,其中特定登录网页是第一登录网页或第二登录网页;
基于(a)特定用户的登录名和(b)由特定登录网页指定的特定域标识符二者为该特定用户重构全局唯一标识符;及
基于特定用户的全局唯一标识符认证该特定用户。
48.如权利要求41至47中任一项所述的计算机可读程序,该操作还包括:
响应于将特定服务实例部署到第一域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证;及
响应于将特定服务实例部署到第一域,把新访问控制策略自动添加到LDAP目录,其中新访问控制策略指定具有该特定服务实例的名字的实体只能访问与该特定服务实例被部署到的域有关的信息。
49.一种设备,包括:
用于在具有根节点的LDAP目录中,在从根节点下行的第一目录子树中存储与第一域关联但不与第二域关联的实体的身份的装置;
用于在该LDAP目录中,在也从根节点下行但与第一目录子树分离的第二目录子树中存储与第二域关联但不与第一域关联的实体的身份的装置;
用于阻止已经部署到第一域的服务实例访问存储在第二目录子树中的身份的装置;及
用于阻止已经部署到第二域的服务实例访问存储在第一目录子树中的身份的装置。
50.如权利要求49所述的设备,还包括:
用于响应于将第一服务实例部署到第一域但不部署到第二域,生成第一凭证的装置,当被维护LDAP目录的LDAP服务器检查时,该第一凭证使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份;
用于把第一凭证提供给第一服务实例的装置;
用于响应于将第二服务实例部署到第二域但不部署到第一域,生成第二凭证的装置,当被该LDAP服务器检查时,该第二凭证使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份;及
用于把第二凭证提供给第二服务实例的装置。
51.如权利要求49或50所述的设备,还包括:
用于通过把第一域的标识符附连到第一用户的登录名,为第一用户生成全局唯一标识符的装置;
用于在第一目录子树中存储第一用户的全局唯一标识符的装置;
用于通过把第二域的标识符附连到第二用户的登录名,为第二用户生成全局唯一标识符的装置;
用于在第二目录子树中存储第二用户的全局唯一标识符的装置;
用于与第一统一资源定位符(URL)关联地存储指定第一域的标识符的第一登录网页的装置;
用于与和第一URL不同的第二URL关联地存储指定第二域的标识符的第二登录网页的装置;
用于通过特定登录网页从特定用户接收该特定用户的登录名的装置,其中特定登录网页是第一登录网页或第二登录网页;
用于基于(a)特定用户的登录名和(b)由特定登录网页指定的特定域标识符二者为该特定用户重构全局唯一标识符的装置;及
用于基于特定用户的全局唯一标识符认证该特定用户的装置。
52.如权利要求49至51中任一项所述的设备,还包括:
用于响应于将特定服务实例部署到第一域,自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证的装置;及
用于响应于将特定服务实例部署到第一域,把新访问控制策略自动添加到LDAP目录的装置,其中新访问控制策略指定具有该特定服务实例的名字的实体只能访问与该特定服务实例被部署到的域有关的信息。
Applications Claiming Priority (15)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261698413P | 2012-09-07 | 2012-09-07 | |
| US201261698463P | 2012-09-07 | 2012-09-07 | |
| US201261698459P | 2012-09-07 | 2012-09-07 | |
| US61/698,463 | 2012-09-07 | ||
| US61/698,459 | 2012-09-07 | ||
| US61/698,413 | 2012-09-07 | ||
| US201361785299P | 2013-03-14 | 2013-03-14 | |
| US61/785,299 | 2013-03-14 | ||
| US201361801048P | 2013-03-15 | 2013-03-15 | |
| US13/838,813 US9276942B2 (en) | 2012-09-07 | 2013-03-15 | Multi-tenancy identity management system |
| US61/801,048 | 2013-03-15 | ||
| US13/838,813 | 2013-03-15 | ||
| US14/019,051 | 2013-09-05 | ||
| US14/019,051 US9069979B2 (en) | 2012-09-07 | 2013-09-05 | LDAP-based multi-tenant in-cloud identity management system |
| PCT/US2013/058596 WO2014039882A1 (en) | 2012-09-07 | 2013-09-06 | Ldap-based multi-tenant in-cloud identity management system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104769908A true CN104769908A (zh) | 2015-07-08 |
| CN104769908B CN104769908B (zh) | 2017-11-17 |
Family
ID=50234787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380055658.6A Active CN104769908B (zh) | 2012-09-07 | 2013-09-06 | 基于ldap的多租户云中身份管理系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9069979B2 (zh) |
| EP (1) | EP2893686B1 (zh) |
| JP (1) | JP6263537B2 (zh) |
| CN (1) | CN104769908B (zh) |
| WO (1) | WO2014039882A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109074603A (zh) * | 2016-04-21 | 2018-12-21 | 瑞典爱立信有限公司 | 用于供应客户产品的方法和系统 |
| CN109565511A (zh) * | 2016-09-16 | 2019-04-02 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| CN110546935A (zh) * | 2017-04-18 | 2019-12-06 | 微软技术许可有限责任公司 | 用于组织用户的个人标识符登录 |
| CN110806916A (zh) * | 2019-11-05 | 2020-02-18 | 北京金和网络股份有限公司 | 实现saas平台各租户个性化登录页的方法及系统 |
| CN110855714A (zh) * | 2019-11-29 | 2020-02-28 | 广州鲁邦通物联网科技有限公司 | 一种多租户设备的安全连接方法和系统 |
| US10581867B2 (en) | 2012-09-07 | 2020-03-03 | Oracle International Corporation | Multi-tenancy identity management system |
| CN111950866A (zh) * | 2020-07-24 | 2020-11-17 | 合肥森亿智能科技有限公司 | 基于角色的多租户组织结构管理系统、方法、设备和介质 |
| CN114281464A (zh) * | 2021-12-31 | 2022-04-05 | 瀚云科技有限公司 | 一种多租户的动态登录页面生成方法及系统 |
Families Citing this family (183)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9736065B2 (en) | 2011-06-24 | 2017-08-15 | Cisco Technology, Inc. | Level of hierarchy in MST for traffic localization and load balancing |
| US8908698B2 (en) | 2012-01-13 | 2014-12-09 | Cisco Technology, Inc. | System and method for managing site-to-site VPNs of a cloud managed network |
| US9058471B2 (en) | 2012-06-08 | 2015-06-16 | Oracle International Corporation | Authorization system for heterogeneous enterprise environments |
| US10148530B2 (en) | 2012-09-07 | 2018-12-04 | Oracle International Corporation | Rule based subscription cloning |
| US9667470B2 (en) | 2012-09-07 | 2017-05-30 | Oracle International Corporation | Failure handling in the execution flow of provisioning operations in a cloud environment |
| US9253113B2 (en) | 2012-09-07 | 2016-02-02 | Oracle International Corporation | Customizable model for throttling and prioritizing orders in a cloud environment |
| US9467355B2 (en) | 2012-09-07 | 2016-10-11 | Oracle International Corporation | Service association model |
| US9621435B2 (en) | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
| US9397884B2 (en) | 2012-09-07 | 2016-07-19 | Oracle International Corporation | Workflows for processing cloud services |
| US9542400B2 (en) | 2012-09-07 | 2017-01-10 | Oracle International Corporation | Service archive support |
| US9069979B2 (en) | 2012-09-07 | 2015-06-30 | Oracle International Corporation | LDAP-based multi-tenant in-cloud identity management system |
| US10521746B2 (en) | 2012-09-07 | 2019-12-31 | Oracle International Corporation | Recovery workflow for processing subscription orders in a computing infrastructure system |
| US9015212B2 (en) * | 2012-10-16 | 2015-04-21 | Rackspace Us, Inc. | System and method for exposing cloud stored data to a content delivery network |
| US9608958B2 (en) | 2013-03-12 | 2017-03-28 | Oracle International Corporation | Lightweight directory access protocol (LDAP) join search mechanism |
| US9071606B2 (en) * | 2013-03-13 | 2015-06-30 | Meetrix Communications, Inc. | Managing cloud service with community invitations |
| US8677359B1 (en) | 2013-03-14 | 2014-03-18 | Joyent, Inc. | Compute-centric object stores and methods of use |
| US20140280796A1 (en) * | 2013-03-14 | 2014-09-18 | Joyent, Inc. | Systems and methods for providing a distributed service configuration framework |
| US9043439B2 (en) | 2013-03-14 | 2015-05-26 | Cisco Technology, Inc. | Method for streaming packet captures from network access devices to a cloud server over HTTP |
| US9348572B2 (en) * | 2013-03-15 | 2016-05-24 | Tapjoy, Inc. | Rewarding mobile app installations without a software development kit in the mobile app |
| US10164962B2 (en) * | 2013-03-15 | 2018-12-25 | Blackhawk Network, Inc. | Using client certificates to communicate trusted information |
| US8775485B1 (en) | 2013-03-15 | 2014-07-08 | Joyent, Inc. | Object store management operations within compute-centric object stores |
| US8978122B1 (en) | 2013-03-29 | 2015-03-10 | Emc Corporation | Secure cross-tenancy federation in software-as-a-service system |
| US9736159B2 (en) * | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
| US10511566B2 (en) | 2013-11-11 | 2019-12-17 | Amazon Technologies, Inc. | Managed directory service with extension |
| US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
| US9407615B2 (en) | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
| US9569634B1 (en) | 2013-12-16 | 2017-02-14 | Amazon Technologies, Inc. | Fine-grained structured data store access using federated identity management |
| US10037514B2 (en) * | 2013-12-19 | 2018-07-31 | Centurylink Intellectual Property Llc | Ubiquitous in-cloud microsite generator for high speed data customer intake and activation |
| WO2015108536A1 (en) * | 2014-01-20 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Mapping tenant groups to identity management classes |
| CN105900059B (zh) | 2014-01-21 | 2019-06-07 | 甲骨文国际公司 | 用于在应用服务器、云或其它环境中支持多租户的系统和方法 |
| US9733921B1 (en) * | 2014-01-23 | 2017-08-15 | NetSuite Inc. | System and methods for management of cloud application extensions |
| KR101597035B1 (ko) * | 2014-05-30 | 2016-02-23 | 주식회사 디케이아이테크놀로지 | 하이브리드 클라우드기반 아이씨티 서비스시스템을 이용한 소프트웨어 등록처리방법 |
| JP6510568B2 (ja) * | 2014-06-23 | 2019-05-08 | オラクル・インターナショナル・コーポレイション | マルチテナントアプリケーションサーバ環境におけるセキュリティをサポートするためのシステムおよび方法 |
| US9712542B1 (en) * | 2014-06-27 | 2017-07-18 | Amazon Technologies, Inc. | Permissions decisions in a service provider environment |
| US9948682B2 (en) * | 2015-08-11 | 2018-04-17 | Vescel, Llc | Data resource control through a control policy defining an authorized context for utilization of a protected data resource |
| US10318753B2 (en) * | 2014-06-30 | 2019-06-11 | Vescel, Llc | Semantic data structure and method |
| US10122605B2 (en) | 2014-07-09 | 2018-11-06 | Cisco Technology, Inc | Annotation of network activity through different phases of execution |
| WO2016048266A1 (en) * | 2014-09-22 | 2016-03-31 | Hewlett Packard Enterprise Development Lp | Tenant data mapping for multiple tenant cloud applications |
| US10382537B2 (en) * | 2014-09-25 | 2019-08-13 | Oracle International Corporation | System and method for use of a global runtime in a multitenant application server environment |
| US9825878B2 (en) | 2014-09-26 | 2017-11-21 | Cisco Technology, Inc. | Distributed application framework for prioritizing network traffic using application priority awareness |
| US10257184B1 (en) | 2014-09-29 | 2019-04-09 | Amazon Technologies, Inc. | Assigning policies for accessing multiple computing resource services |
| US9967319B2 (en) * | 2014-10-07 | 2018-05-08 | Microsoft Technology Licensing, Llc | Security context management in multi-tenant environments |
| US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
| US10050862B2 (en) | 2015-02-09 | 2018-08-14 | Cisco Technology, Inc. | Distributed application framework that uses network and application awareness for placing data |
| US10708342B2 (en) | 2015-02-27 | 2020-07-07 | Cisco Technology, Inc. | Dynamic troubleshooting workspaces for cloud and network management systems |
| US10037617B2 (en) | 2015-02-27 | 2018-07-31 | Cisco Technology, Inc. | Enhanced user interface systems including dynamic context selection for cloud-based networks |
| US9729541B2 (en) * | 2015-03-31 | 2017-08-08 | Here Global B.V. | Method and apparatus for migrating encrypted data |
| US10382534B1 (en) | 2015-04-04 | 2019-08-13 | Cisco Technology, Inc. | Selective load balancing of network traffic |
| US9729406B2 (en) * | 2015-04-30 | 2017-08-08 | Cisco Technology, Inc. | Cloud provider, service, and tenant classification in cloud computing |
| US10728092B2 (en) | 2015-05-01 | 2020-07-28 | Microsoft Technology Licensing, Llc | Cloud-mastered settings |
| US10476982B2 (en) | 2015-05-15 | 2019-11-12 | Cisco Technology, Inc. | Multi-datacenter message queue |
| US10034201B2 (en) | 2015-07-09 | 2018-07-24 | Cisco Technology, Inc. | Stateless load-balancing across multiple tunnels |
| US10169351B2 (en) | 2015-08-19 | 2019-01-01 | International Business Machines Corporation | Merging directory information from a user directory to a common directory |
| US10581670B2 (en) | 2015-10-02 | 2020-03-03 | Microsoft Technology Licensing, Llc | Cross-data center interoperation and communication |
| US10067780B2 (en) | 2015-10-06 | 2018-09-04 | Cisco Technology, Inc. | Performance-based public cloud selection for a hybrid cloud environment |
| US11005682B2 (en) | 2015-10-06 | 2021-05-11 | Cisco Technology, Inc. | Policy-driven switch overlay bypass in a hybrid cloud network environment |
| US10462136B2 (en) | 2015-10-13 | 2019-10-29 | Cisco Technology, Inc. | Hybrid cloud security groups |
| KR101739415B1 (ko) | 2015-10-28 | 2017-05-24 | 주식회사 엘지유플러스 | 인터넷을 통한 정보의 접속 제어 장치 및 그 방법 |
| US10523657B2 (en) | 2015-11-16 | 2019-12-31 | Cisco Technology, Inc. | Endpoint privacy preservation with cloud conferencing |
| US10205677B2 (en) | 2015-11-24 | 2019-02-12 | Cisco Technology, Inc. | Cloud resource placement optimization and migration execution in federated clouds |
| US10084703B2 (en) | 2015-12-04 | 2018-09-25 | Cisco Technology, Inc. | Infrastructure-exclusive service forwarding |
| US10367914B2 (en) | 2016-01-12 | 2019-07-30 | Cisco Technology, Inc. | Attaching service level agreements to application containers and enabling service assurance |
| US10218663B2 (en) * | 2016-01-20 | 2019-02-26 | Facebook, Inc. | Splitting message channels |
| US10917400B1 (en) * | 2016-02-19 | 2021-02-09 | United Services Automobile Association (Usaa) | Online security center |
| US10498772B2 (en) * | 2016-03-21 | 2019-12-03 | Vireshwar K. Adhar | Method and system for digital privacy management |
| US10404710B2 (en) * | 2016-03-30 | 2019-09-03 | Change Healthcare Holdings, Llc | Methods and apparatuses for providing improved directory services |
| WO2017175073A1 (en) * | 2016-04-05 | 2017-10-12 | Vchain Technology Limited | Method and system for managing personal information within independent computer systems and digital networks |
| US10339153B2 (en) | 2016-04-12 | 2019-07-02 | International Business Machines Corporation | Uniformly accessing federated user registry topologies |
| US10454940B2 (en) | 2016-05-11 | 2019-10-22 | Oracle International Corporation | Identity cloud service authorization model |
| US10878079B2 (en) | 2016-05-11 | 2020-12-29 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
| US10581820B2 (en) | 2016-05-11 | 2020-03-03 | Oracle International Corporation | Key generation and rollover |
| US10341410B2 (en) | 2016-05-11 | 2019-07-02 | Oracle International Corporation | Security tokens for a multi-tenant identity and data security management cloud service |
| US9838377B1 (en) | 2016-05-11 | 2017-12-05 | Oracle International Corporation | Task segregation in a multi-tenant identity and data security management cloud service |
| US9838376B1 (en) | 2016-05-11 | 2017-12-05 | Oracle International Corporation | Microservices based multi-tenant identity and data security management cloud service |
| US9781122B1 (en) | 2016-05-11 | 2017-10-03 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
| US10425386B2 (en) | 2016-05-11 | 2019-09-24 | Oracle International Corporation | Policy enforcement point for a multi-tenant identity and data security management cloud service |
| US10230708B2 (en) * | 2016-05-20 | 2019-03-12 | Sap Se | Application managed service instances |
| US10129177B2 (en) | 2016-05-23 | 2018-11-13 | Cisco Technology, Inc. | Inter-cloud broker for hybrid cloud networks |
| US10659283B2 (en) | 2016-07-08 | 2020-05-19 | Cisco Technology, Inc. | Reducing ARP/ND flooding in cloud environment |
| US10432532B2 (en) | 2016-07-12 | 2019-10-01 | Cisco Technology, Inc. | Dynamically pinning micro-service to uplink port |
| US10382597B2 (en) | 2016-07-20 | 2019-08-13 | Cisco Technology, Inc. | System and method for transport-layer level identification and isolation of container traffic |
| US10263898B2 (en) * | 2016-07-20 | 2019-04-16 | Cisco Technology, Inc. | System and method for implementing universal cloud classification (UCC) as a service (UCCaaS) |
| US10142346B2 (en) | 2016-07-28 | 2018-11-27 | Cisco Technology, Inc. | Extension of a private cloud end-point group to a public cloud |
| US10263947B2 (en) | 2016-08-05 | 2019-04-16 | Oracle International Corporation | LDAP to SCIM proxy service |
| US10735394B2 (en) | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
| US10585682B2 (en) | 2016-08-05 | 2020-03-10 | Oracle International Corporation | Tenant self-service troubleshooting for a multi-tenant identity and data security management cloud service |
| US10530578B2 (en) | 2016-08-05 | 2020-01-07 | Oracle International Corporation | Key store service |
| US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
| US10255061B2 (en) | 2016-08-05 | 2019-04-09 | Oracle International Corporation | Zero down time upgrade for a multi-tenant identity and data security management cloud service |
| US10505941B2 (en) | 2016-08-05 | 2019-12-10 | Oracle International Corporation | Virtual directory system for LDAP to SCIM proxy service |
| US10567344B2 (en) | 2016-08-23 | 2020-02-18 | Cisco Technology, Inc. | Automatic firewall configuration based on aggregated cloud managed information |
| US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
| US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
| US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
| US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
| US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
| US10791087B2 (en) | 2016-09-16 | 2020-09-29 | Oracle International Corporation | SCIM to LDAP mapping using subtype attributes |
| US10567364B2 (en) | 2016-09-16 | 2020-02-18 | Oracle International Corporation | Preserving LDAP hierarchy in a SCIM directory using special marker groups |
| US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
| US11138017B2 (en) | 2016-09-16 | 2021-10-05 | Oracle International Corporation | System and method for partition administrative targeting in an application server environment |
| US10341354B2 (en) | 2016-09-16 | 2019-07-02 | Oracle International Corporation | Distributed high availability agent architecture |
| US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
| US10523592B2 (en) | 2016-10-10 | 2019-12-31 | Cisco Technology, Inc. | Orchestration system for migrating user data and services based on user information |
| US11044162B2 (en) | 2016-12-06 | 2021-06-22 | Cisco Technology, Inc. | Orchestration of cloud and fog interactions |
| US11153273B2 (en) | 2016-12-13 | 2021-10-19 | International Business Machines Corporation | Generating and managing names of instances |
| US11044145B2 (en) * | 2016-12-13 | 2021-06-22 | International Business Machines Corporation | Configuring and naming of cloud provisioning entities |
| US10419410B2 (en) | 2016-12-15 | 2019-09-17 | Seagate Technology Llc | Automatic generation of unique identifiers for distributed directory management users |
| US10326817B2 (en) | 2016-12-20 | 2019-06-18 | Cisco Technology, Inc. | System and method for quality-aware recording in large scale collaborate clouds |
| US10334029B2 (en) | 2017-01-10 | 2019-06-25 | Cisco Technology, Inc. | Forming neighborhood groups from disperse cloud providers |
| US10552191B2 (en) | 2017-01-26 | 2020-02-04 | Cisco Technology, Inc. | Distributed hybrid cloud orchestration model |
| CA3051851A1 (en) * | 2017-01-26 | 2018-08-02 | Semper Fortis Solutions, LLC | Multiple single levels of security (msls) in a multi-tenant cloud |
| US10320683B2 (en) | 2017-01-30 | 2019-06-11 | Cisco Technology, Inc. | Reliable load-balancer using segment routing and real-time application monitoring |
| US10671571B2 (en) | 2017-01-31 | 2020-06-02 | Cisco Technology, Inc. | Fast network performance in containerized environments for network function virtualization |
| US10880295B2 (en) * | 2017-03-06 | 2020-12-29 | Ssh Communications Security Oyj | Access control in a computer system |
| US10261836B2 (en) | 2017-03-21 | 2019-04-16 | Oracle International Corporation | Dynamic dispatching of workloads spanning heterogeneous services |
| US11005731B2 (en) | 2017-04-05 | 2021-05-11 | Cisco Technology, Inc. | Estimating model parameters for automatic deployment of scalable micro services |
| US10771591B2 (en) * | 2017-05-03 | 2020-09-08 | Open Text GXS ULC | Just-in-time auto-provisioning systems and methods for information exchange platform |
| US10454915B2 (en) | 2017-05-18 | 2019-10-22 | Oracle International Corporation | User authentication using kerberos with identity cloud service |
| US10511593B2 (en) * | 2017-06-13 | 2019-12-17 | Microsoft Technology Licensing, Llc | Cross cloud application access |
| US10469479B2 (en) * | 2017-06-13 | 2019-11-05 | Microsoft Technology Licensing, Llc | Cross cloud tenant discovery |
| US10382274B2 (en) | 2017-06-26 | 2019-08-13 | Cisco Technology, Inc. | System and method for wide area zero-configuration network auto configuration |
| US10439877B2 (en) | 2017-06-26 | 2019-10-08 | Cisco Technology, Inc. | Systems and methods for enabling wide area multicast domain name system |
| SG11202008633TA (en) | 2017-07-10 | 2020-10-29 | Zamna Tech Limited | Method and system for data security within independent computer systems and digital networks |
| US10892940B2 (en) | 2017-07-21 | 2021-01-12 | Cisco Technology, Inc. | Scalable statistics and analytics mechanisms in cloud networking |
| US10425288B2 (en) | 2017-07-21 | 2019-09-24 | Cisco Technology, Inc. | Container telemetry in data center environments with blade servers and switches |
| US10601693B2 (en) | 2017-07-24 | 2020-03-24 | Cisco Technology, Inc. | System and method for providing scalable flow monitoring in a data center fabric |
| US10541866B2 (en) | 2017-07-25 | 2020-01-21 | Cisco Technology, Inc. | Detecting and resolving multicast traffic performance issues |
| US10367735B2 (en) * | 2017-08-22 | 2019-07-30 | Cisco Technology, Inc. | Cloud provider classification for different service deployment schemes |
| US10348735B2 (en) * | 2017-09-01 | 2019-07-09 | Atlassian Pty Ltd | Systems and methods for accessing cloud resources from a local development environment |
| US10348858B2 (en) | 2017-09-15 | 2019-07-09 | Oracle International Corporation | Dynamic message queues for a microservice based cloud service |
| US11308132B2 (en) | 2017-09-27 | 2022-04-19 | Oracle International Corporation | Reference attributes for related stored objects in a multi-tenant cloud service |
| US11271969B2 (en) | 2017-09-28 | 2022-03-08 | Oracle International Corporation | Rest-based declarative policy management |
| US10834137B2 (en) | 2017-09-28 | 2020-11-10 | Oracle International Corporation | Rest-based declarative policy management |
| US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
| US10877960B2 (en) * | 2017-10-16 | 2020-12-29 | Citrix Systems, Inc. | Normalizing user identification across disparate systems |
| US10353800B2 (en) | 2017-10-18 | 2019-07-16 | Cisco Technology, Inc. | System and method for graph based monitoring and management of distributed systems |
| US11481362B2 (en) | 2017-11-13 | 2022-10-25 | Cisco Technology, Inc. | Using persistent memory to enable restartability of bulk load transactions in cloud databases |
| MX2020005746A (es) | 2017-12-06 | 2020-08-20 | Zamna Tech Limited | Metodo y sistema para seguridad, validacion, verificacion y procedencia de datos dentro de sistemas de computadora independientes y redes digitales. |
| US10601804B2 (en) | 2017-12-11 | 2020-03-24 | International Business Machines Corporation | Provide access to data storage services in a network environment |
| US10705882B2 (en) | 2017-12-21 | 2020-07-07 | Cisco Technology, Inc. | System and method for resource placement across clouds for data intensive workloads |
| US10866963B2 (en) | 2017-12-28 | 2020-12-15 | Dropbox, Inc. | File system authentication |
| US11595474B2 (en) | 2017-12-28 | 2023-02-28 | Cisco Technology, Inc. | Accelerating data replication using multicast and non-volatile memory enabled nodes |
| US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
| EP3528110A1 (en) * | 2018-02-19 | 2019-08-21 | Siemens Aktiengesellschaft | Method and system for managing sub-tenants in a cloud computing environment |
| US10931656B2 (en) | 2018-03-27 | 2021-02-23 | Oracle International Corporation | Cross-region trust for a multi-tenant identity cloud service |
| US11165634B2 (en) | 2018-04-02 | 2021-11-02 | Oracle International Corporation | Data replication conflict detection and resolution for a multi-tenant identity cloud service |
| US10798165B2 (en) | 2018-04-02 | 2020-10-06 | Oracle International Corporation | Tenant data comparison for a multi-tenant identity cloud service |
| US11258775B2 (en) | 2018-04-04 | 2022-02-22 | Oracle International Corporation | Local write for a multi-tenant identity cloud service |
| US10511534B2 (en) | 2018-04-06 | 2019-12-17 | Cisco Technology, Inc. | Stateless distributed load-balancing |
| US10728361B2 (en) | 2018-05-29 | 2020-07-28 | Cisco Technology, Inc. | System for association of customer information across subscribers |
| US10904322B2 (en) | 2018-06-15 | 2021-01-26 | Cisco Technology, Inc. | Systems and methods for scaling down cloud-based servers handling secure connections |
| US10764266B2 (en) | 2018-06-19 | 2020-09-01 | Cisco Technology, Inc. | Distributed authentication and authorization for rapid scaling of containerized services |
| US11019083B2 (en) | 2018-06-20 | 2021-05-25 | Cisco Technology, Inc. | System for coordinating distributed website analysis |
| US11012444B2 (en) | 2018-06-25 | 2021-05-18 | Oracle International Corporation | Declarative third party identity provider integration for a multi-tenant identity cloud service |
| US11025425B2 (en) | 2018-06-25 | 2021-06-01 | Elasticsearch B.V. | User security token invalidation |
| US11223626B2 (en) * | 2018-06-28 | 2022-01-11 | Elasticsearch B.V. | Service-to-service role mapping systems and methods |
| US10764273B2 (en) | 2018-06-28 | 2020-09-01 | Oracle International Corporation | Session synchronization across multiple devices in an identity cloud service |
| US10819571B2 (en) | 2018-06-29 | 2020-10-27 | Cisco Technology, Inc. | Network traffic optimization using in-situ notification system |
| US11196554B2 (en) | 2018-07-27 | 2021-12-07 | Elasticsearch B.V. | Default password removal |
| US10904342B2 (en) | 2018-07-30 | 2021-01-26 | Cisco Technology, Inc. | Container networking using communication tunnels |
| US11102214B2 (en) | 2018-08-27 | 2021-08-24 | Amazon Technologies, Inc. | Directory access sharing across web services accounts |
| US11693835B2 (en) | 2018-10-17 | 2023-07-04 | Oracle International Corporation | Dynamic database schema allocation on tenant onboarding for a multi-tenant identity cloud service |
| US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
| US11023598B2 (en) | 2018-12-06 | 2021-06-01 | Elasticsearch B.V. | Document-level attribute-based access control |
| US11050837B2 (en) * | 2019-01-31 | 2021-06-29 | Hewlett Packard Enterprise Development Lp | Providing cloud services associated with unused hardware resources of private cloud providers |
| US11651357B2 (en) | 2019-02-01 | 2023-05-16 | Oracle International Corporation | Multifactor authentication without a user footprint |
| US11061929B2 (en) | 2019-02-08 | 2021-07-13 | Oracle International Corporation | Replication of resource type and schema metadata for a multi-tenant identity cloud service |
| US11321343B2 (en) | 2019-02-19 | 2022-05-03 | Oracle International Corporation | Tenant replication bootstrap for a multi-tenant identity cloud service |
| US11669321B2 (en) | 2019-02-20 | 2023-06-06 | Oracle International Corporation | Automated database upgrade for a multi-tenant identity cloud service |
| US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
| US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
| US11695777B2 (en) * | 2019-02-26 | 2023-07-04 | Vmware, Inc. | Hybrid access control model in computer systems |
| US20200280550A1 (en) * | 2019-02-28 | 2020-09-03 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
| US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
| LU101390B1 (en) | 2019-09-18 | 2021-03-25 | Microsoft Technology Licensing Llc | Multimaster database for identity and electronic mail in ddil environments |
| US11200095B2 (en) * | 2019-09-23 | 2021-12-14 | Open Text Holdings, Inc. | System and method for an efficient and scalable multitenant implementation for content management services platforms, including cloud deployed content management services platforms |
| US11611548B2 (en) | 2019-11-22 | 2023-03-21 | Oracle International Corporation | Bulk multifactor authentication enrollment |
| US11843593B2 (en) | 2020-06-01 | 2023-12-12 | Citrix Systems, Inc. | Application integration using multiple user identities |
| US11895119B2 (en) * | 2021-01-31 | 2024-02-06 | Salesforce, Inc. | Systems, methods, and apparatuses for pre-configured per-tenant isolation in a multi-tenant cloud based computing environment |
| CN114693283B (zh) * | 2022-06-01 | 2022-09-27 | 四川高灯企服科技有限公司 | 跨系统的业务流程审批处理方法、装置和计算机设备 |
| CN115604199B (zh) * | 2022-10-09 | 2023-05-26 | 上海道客网络科技有限公司 | 一种云原生平台微服务网关的服务路由方法和系统 |
| CN116800550A (zh) * | 2023-08-29 | 2023-09-22 | 北京仁科互动网络技术有限公司 | 软件即服务SaaS模式下区域管理方法、装置和设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007106328A2 (en) * | 2006-03-14 | 2007-09-20 | Sbc Knowledge Ventures, L.P. | Methods and apparatus for identity and role management in communication networks |
| US20070283147A1 (en) * | 2006-05-30 | 2007-12-06 | Fried Eric P | System and method to manage device access in a software partition |
| CN101232515A (zh) * | 2008-02-25 | 2008-07-30 | 浪潮电子信息产业股份有限公司 | 一种基于ldap的分布式的集群管理监控系统 |
| WO2009018584A1 (en) * | 2007-08-02 | 2009-02-05 | Fugen Solutions, Inc. | Method and apparatus for multi-domain identity interoperability and certification |
| CN101447981A (zh) * | 2008-04-03 | 2009-06-03 | 中兴通讯股份有限公司 | 基于ldap协议的客户端与服务器的交互方法及系统 |
| CN102064953A (zh) * | 2009-11-12 | 2011-05-18 | 中兴通讯股份有限公司 | ldap服务器的用户权限信息配置系统、装置和方法 |
Family Cites Families (94)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7290288B2 (en) | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
| US6516416B2 (en) | 1997-06-11 | 2003-02-04 | Prism Resources | Subscription access system for use with an untrusted network |
| GB2329044B (en) | 1997-09-05 | 2002-10-09 | Ibm | Data retrieval system |
| US5991756A (en) | 1997-11-03 | 1999-11-23 | Yahoo, Inc. | Information retrieval from hierarchical compound documents |
| US6052684A (en) | 1998-03-24 | 2000-04-18 | Hewlett-Packard Company | System and method for performing consistent workflow process execution in a workflow management system |
| US6085188A (en) | 1998-03-30 | 2000-07-04 | International Business Machines Corporation | Method of hierarchical LDAP searching with relational tables |
| US6526513B1 (en) | 1999-08-03 | 2003-02-25 | International Business Machines Corporation | Architecture for dynamic permissions in java |
| US7657436B2 (en) | 2000-03-30 | 2010-02-02 | Convergys Cmg Utah, Inc. | System and method for establishing electronic business systems for supporting communications services commerce |
| US6757673B2 (en) | 2000-10-09 | 2004-06-29 | Town Compass Llc | Displaying hierarchial relationship of data accessed via subject index |
| CA2436636A1 (en) | 2000-12-06 | 2002-06-13 | Waveset Technologies, Inc. | System and method for managing information objects |
| US7051039B1 (en) | 2001-09-28 | 2006-05-23 | Oracle International Corporation | Mechanism for uniform access control in a database system |
| US7096213B2 (en) * | 2002-04-08 | 2006-08-22 | Oracle International Corporation | Persistent key-value repository with a pluggable architecture to abstract physical storage |
| US7136867B1 (en) * | 2002-04-08 | 2006-11-14 | Oracle International Corporation | Metadata format for hierarchical data storage on a raw storage device |
| US9565275B2 (en) | 2012-02-09 | 2017-02-07 | Rockwell Automation Technologies, Inc. | Transformation of industrial data into useful cloud information |
| US20040215610A1 (en) | 2003-04-22 | 2004-10-28 | Lawson Software, Inc. | System and method for extracting and applying business organization information |
| US8463819B2 (en) | 2004-09-01 | 2013-06-11 | Oracle International Corporation | Centralized enterprise security policy framework |
| EP1674960B1 (en) | 2004-12-23 | 2011-10-05 | Sap Ag | Reverse engineering access control |
| US7945041B2 (en) | 2005-05-27 | 2011-05-17 | International Business Machines Corporation | Method, system and program product for managing a customer request |
| US7774827B2 (en) | 2005-06-06 | 2010-08-10 | Novell, Inc. | Techniques for providing role-based security with instance-level granularity |
| US20070028098A1 (en) | 2005-07-28 | 2007-02-01 | International Business Machines Corporation | Encrypting units of work based on a trust level |
| US20070055602A1 (en) | 2005-09-02 | 2007-03-08 | Mohn Anne M | Methods and systems for financial account management |
| US8832048B2 (en) | 2005-12-29 | 2014-09-09 | Nextlabs, Inc. | Techniques and system to monitor and log access of information based on system and user context using policies |
| US8862551B2 (en) | 2005-12-29 | 2014-10-14 | Nextlabs, Inc. | Detecting behavioral patterns and anomalies using activity data |
| US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
| US9110934B2 (en) | 2006-06-02 | 2015-08-18 | International Business Machines Corporation | System and method for delivering an integrated server administration platform |
| US8201216B2 (en) | 2006-09-11 | 2012-06-12 | Interdigital Technology Corporation | Techniques for database structure and management |
| US8705746B2 (en) | 2006-09-29 | 2014-04-22 | Microsoft Corporation | Data security in an off-premise environment |
| US8601598B2 (en) | 2006-09-29 | 2013-12-03 | Microsoft Corporation | Off-premise encryption of data storage |
| EP1914951B8 (en) | 2006-10-17 | 2009-06-03 | Software Ag | Methods and system for storing and retrieving identity mapping information |
| US8402514B1 (en) | 2006-11-17 | 2013-03-19 | Network Appliance, Inc. | Hierarchy-aware role-based access control |
| US7664866B2 (en) * | 2007-04-10 | 2010-02-16 | Apertio Limited | Sub-tree access control in network architectures |
| US9769177B2 (en) | 2007-06-12 | 2017-09-19 | Syracuse University | Role-based access control to computing resources in an inter-organizational community |
| US20090126007A1 (en) | 2007-11-08 | 2009-05-14 | Avantia, Inc. | Identity management suite |
| KR101189427B1 (ko) | 2007-11-21 | 2012-10-10 | 알카텔-루센트 유에스에이 인코포레이티드 | 규칙 기반의 계층적 계정 자원 관리 시스템 및 방법 |
| US9323938B2 (en) | 2007-12-31 | 2016-04-26 | Enterra Solutions, Llc | Holistic XACML and obligation code automatically generated from ontologically defined rule set |
| US20090178102A1 (en) | 2008-01-04 | 2009-07-09 | Khaled Alghathbar | Implementing Security Policies in Software Development Tools |
| US20090205018A1 (en) | 2008-02-07 | 2009-08-13 | Ferraiolo David F | Method and system for the specification and enforcement of arbitrary attribute-based access control policies |
| US8484174B2 (en) | 2008-03-20 | 2013-07-09 | Microsoft Corporation | Computing environment representation |
| US8291474B2 (en) | 2008-04-16 | 2012-10-16 | Oracle America, Inc. | Using opaque groups in a federated identity management environment |
| US8572602B1 (en) | 2008-06-05 | 2013-10-29 | Appcelerator, Inc. | System and method for synchronization of a web application to a cloud provider |
| US8533797B2 (en) | 2008-06-12 | 2013-09-10 | Microsoft Corporation | Using windows authentication in a workgroup to manage application users |
| US8843997B1 (en) * | 2009-01-02 | 2014-09-23 | Resilient Network Systems, Inc. | Resilient trust network services |
| US7953896B2 (en) | 2009-05-27 | 2011-05-31 | Microsoft Corporation | Managing user accounts and groups in multiple forests |
| EP2256660B1 (en) | 2009-05-28 | 2015-08-12 | Sap Se | Computer-implemented method, computer system, and computer program product for optimization of evaluation of a policy specification |
| WO2010149222A1 (en) | 2009-06-26 | 2010-12-29 | Nokia Siemens Networks Oy | Attribute management |
| US8631477B2 (en) | 2009-07-23 | 2014-01-14 | International Business Machines Corporation | Lifecycle management of privilege sharing using an identity management system |
| US20110040793A1 (en) | 2009-08-12 | 2011-02-17 | Mark Davidson | Administration Groups |
| US8671036B2 (en) | 2009-11-06 | 2014-03-11 | Microsoft Corporation | User interface for defining account dimension combinations |
| US20110126197A1 (en) | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
| US20110131146A1 (en) | 2009-12-02 | 2011-06-02 | Anthony John Skutnik | Employment management system |
| US8615584B2 (en) | 2009-12-03 | 2013-12-24 | International Business Machines Corporation | Reserving services within a cloud computing environment |
| US8387137B2 (en) | 2010-01-05 | 2013-02-26 | Red Hat, Inc. | Role-based access control utilizing token profiles having predefined roles |
| US8387136B2 (en) | 2010-01-05 | 2013-02-26 | Red Hat, Inc. | Role-based access control utilizing token profiles |
| JP2011232840A (ja) * | 2010-04-26 | 2011-11-17 | Hitachi Ltd | アクセス制御情報管理方法、計算機システム及びプログラム |
| US8676848B2 (en) | 2010-06-09 | 2014-03-18 | International Business Machines Corporation | Configuring cloud resources |
| EP2583211B1 (en) * | 2010-06-15 | 2020-04-15 | Oracle International Corporation | Virtual computing infrastructure |
| US8904382B2 (en) | 2010-06-17 | 2014-12-02 | International Business Machines Corporation | Creating instances of cloud computing environments |
| US20110313902A1 (en) | 2010-06-18 | 2011-12-22 | International Business Machines Corporation | Budget Management in a Compute Cloud |
| US8935397B2 (en) | 2010-07-01 | 2015-01-13 | Red Hat, Inc. | Dividing cloud resources |
| US10482254B2 (en) * | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| US8769704B2 (en) | 2010-09-10 | 2014-07-01 | Salesforce.Com, Inc. | Method and system for managing and monitoring of a multi-tenant system |
| US8825791B2 (en) | 2010-11-24 | 2014-09-02 | Red Hat, Inc. | Managing subscribed resource in cloud network using variable or instantaneous consumption tracking periods |
| EP2458548A1 (en) | 2010-11-30 | 2012-05-30 | France Telecom | System and method for implementing dynamic access control rules to personal cloud information |
| US20120221454A1 (en) | 2011-02-28 | 2012-08-30 | Morgan Christopher Edwin | Systems and methods for generating marketplace brokerage exchange of excess subscribed resources using dynamic subscription periods |
| US8959221B2 (en) | 2011-03-01 | 2015-02-17 | Red Hat, Inc. | Metering cloud resource consumption using multiple hierarchical subscription periods |
| US8832219B2 (en) | 2011-03-01 | 2014-09-09 | Red Hat, Inc. | Generating optimized resource consumption periods for multiple users on combined basis |
| US8661500B2 (en) | 2011-05-20 | 2014-02-25 | Nokia Corporation | Method and apparatus for providing end-to-end privacy for distributed computations |
| US8631099B2 (en) | 2011-05-27 | 2014-01-14 | Red Hat, Inc. | Systems and methods for cloud deployment engine for selective workload migration or federation based on workload conditions |
| US9037723B2 (en) | 2011-05-31 | 2015-05-19 | Red Hat, Inc. | Triggering workload movement based on policy stack having multiple selectable inputs |
| US8769622B2 (en) | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
| US8782762B2 (en) | 2011-08-17 | 2014-07-15 | International Business Machines Corporation | Building data security in a networked computing environment |
| US8789157B2 (en) | 2011-09-06 | 2014-07-22 | Ebay Inc. | Hybrid cloud identity mapping infrastructure |
| US9152783B2 (en) | 2011-09-29 | 2015-10-06 | Oracle International Corporation | Privileged account manager, application account management |
| US9081951B2 (en) | 2011-09-29 | 2015-07-14 | Oracle International Corporation | Mobile application, identity interface |
| US8813205B2 (en) | 2012-02-06 | 2014-08-19 | International Business Machines Corporation | Consolidating disparate cloud service data and behavior based on trust relationships between cloud services |
| US20130268480A1 (en) | 2012-04-05 | 2013-10-10 | Box, Inc. | Method and apparatus for selective subfolder synchronization in a cloud-based environment |
| US10089323B2 (en) | 2012-04-05 | 2018-10-02 | Microsoft Technology Licensing, Llc | Telemetry system for a cloud synchronization system |
| US9307006B2 (en) | 2012-04-11 | 2016-04-05 | Salesforce.Com, Inc. | System and method for synchronizing data objects in a cloud based social networking environment |
| US8788819B2 (en) | 2012-04-27 | 2014-07-22 | Yahoo! Inc. | System and method for a cloud-based electronic communication vault |
| US9058471B2 (en) | 2012-06-08 | 2015-06-16 | Oracle International Corporation | Authorization system for heterogeneous enterprise environments |
| GB2513671A (en) | 2012-08-27 | 2014-11-05 | Box Inc | Server side techniques for reducing database workload in implementing selective subfolder synchronization in a cloud-based environment |
| US9621435B2 (en) | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
| US9397884B2 (en) | 2012-09-07 | 2016-07-19 | Oracle International Corporation | Workflows for processing cloud services |
| CN104737517B (zh) | 2012-09-07 | 2018-08-31 | 甲骨文国际公司 | 用于提供云服务集合的系统和方法 |
| WO2014039921A1 (en) | 2012-09-07 | 2014-03-13 | Oracle International Corporation | Infrastructure for providing cloud services |
| US9253113B2 (en) | 2012-09-07 | 2016-02-02 | Oracle International Corporation | Customizable model for throttling and prioritizing orders in a cloud environment |
| US9542400B2 (en) | 2012-09-07 | 2017-01-10 | Oracle International Corporation | Service archive support |
| US10521746B2 (en) | 2012-09-07 | 2019-12-31 | Oracle International Corporation | Recovery workflow for processing subscription orders in a computing infrastructure system |
| US9667470B2 (en) | 2012-09-07 | 2017-05-30 | Oracle International Corporation | Failure handling in the execution flow of provisioning operations in a cloud environment |
| US9069979B2 (en) | 2012-09-07 | 2015-06-30 | Oracle International Corporation | LDAP-based multi-tenant in-cloud identity management system |
| US9276942B2 (en) | 2012-09-07 | 2016-03-01 | Oracle International Corporation | Multi-tenancy identity management system |
| US9467355B2 (en) | 2012-09-07 | 2016-10-11 | Oracle International Corporation | Service association model |
| US9154641B2 (en) | 2012-11-21 | 2015-10-06 | At&T Intellectual Property I, L.P. | Long term evolution intelligent subscriber profile |
| US9608958B2 (en) | 2013-03-12 | 2017-03-28 | Oracle International Corporation | Lightweight directory access protocol (LDAP) join search mechanism |
-
2013
- 2013-09-05 US US14/019,051 patent/US9069979B2/en active Active
- 2013-09-06 EP EP13771256.8A patent/EP2893686B1/en active Active
- 2013-09-06 WO PCT/US2013/058596 patent/WO2014039882A1/en active Application Filing
- 2013-09-06 JP JP2015531254A patent/JP6263537B2/ja active Active
- 2013-09-06 CN CN201380055658.6A patent/CN104769908B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007106328A2 (en) * | 2006-03-14 | 2007-09-20 | Sbc Knowledge Ventures, L.P. | Methods and apparatus for identity and role management in communication networks |
| US20070283147A1 (en) * | 2006-05-30 | 2007-12-06 | Fried Eric P | System and method to manage device access in a software partition |
| WO2009018584A1 (en) * | 2007-08-02 | 2009-02-05 | Fugen Solutions, Inc. | Method and apparatus for multi-domain identity interoperability and certification |
| CN101232515A (zh) * | 2008-02-25 | 2008-07-30 | 浪潮电子信息产业股份有限公司 | 一种基于ldap的分布式的集群管理监控系统 |
| CN101447981A (zh) * | 2008-04-03 | 2009-06-03 | 中兴通讯股份有限公司 | 基于ldap协议的客户端与服务器的交互方法及系统 |
| CN102064953A (zh) * | 2009-11-12 | 2011-05-18 | 中兴通讯股份有限公司 | ldap服务器的用户权限信息配置系统、装置和方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10581867B2 (en) | 2012-09-07 | 2020-03-03 | Oracle International Corporation | Multi-tenancy identity management system |
| CN109074603A (zh) * | 2016-04-21 | 2018-12-21 | 瑞典爱立信有限公司 | 用于供应客户产品的方法和系统 |
| CN109565511B (zh) * | 2016-09-16 | 2021-06-29 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| CN109565511A (zh) * | 2016-09-16 | 2019-04-02 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| CN110546935A (zh) * | 2017-04-18 | 2019-12-06 | 微软技术许可有限责任公司 | 用于组织用户的个人标识符登录 |
| CN110546935B (zh) * | 2017-04-18 | 2021-10-26 | 微软技术许可有限责任公司 | 用于组织用户的个人标识符登录 |
| CN110806916A (zh) * | 2019-11-05 | 2020-02-18 | 北京金和网络股份有限公司 | 实现saas平台各租户个性化登录页的方法及系统 |
| CN110806916B (zh) * | 2019-11-05 | 2024-01-26 | 北京金和网络股份有限公司 | 实现saas平台各租户个性化登录页的方法及系统 |
| CN110855714B (zh) * | 2019-11-29 | 2021-09-14 | 广州鲁邦通物联网科技有限公司 | 一种多租户设备的安全连接方法和系统 |
| CN110855714A (zh) * | 2019-11-29 | 2020-02-28 | 广州鲁邦通物联网科技有限公司 | 一种多租户设备的安全连接方法和系统 |
| CN111950866A (zh) * | 2020-07-24 | 2020-11-17 | 合肥森亿智能科技有限公司 | 基于角色的多租户组织结构管理系统、方法、设备和介质 |
| CN111950866B (zh) * | 2020-07-24 | 2023-11-07 | 合肥森亿智能科技有限公司 | 基于角色的多租户组织结构管理系统、方法、设备和介质 |
| CN114281464A (zh) * | 2021-12-31 | 2022-04-05 | 瀚云科技有限公司 | 一种多租户的动态登录页面生成方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2893686B1 (en) | 2016-08-24 |
| WO2014039882A1 (en) | 2014-03-13 |
| JP6263537B2 (ja) | 2018-01-17 |
| EP2893686A1 (en) | 2015-07-15 |
| US20140075501A1 (en) | 2014-03-13 |
| JP2015537269A (ja) | 2015-12-24 |
| CN104769908B (zh) | 2017-11-17 |
| US9069979B2 (en) | 2015-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104769908A (zh) | 基于ldap的多租户云中身份管理系统 | |
| US11750609B2 (en) | Dynamic computing resource access authorization | |
| US10764290B2 (en) | Governed access to RPA bots | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| US10171455B2 (en) | Protection of application passwords using a secure proxy | |
| US9667654B2 (en) | Policy directed security-centric model driven architecture to secure client and cloud hosted web service enabled processes | |
| CN104718526A (zh) | 安全移动框架 | |
| CN105247526A (zh) | 提供企业应用商店 | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| US20230396603A1 (en) | Unified identity and access management (iam) control plane for services associated with a hybrid cloud | |
| US10719611B2 (en) | Static security scanner for applications in a remote network management platform | |
| US20090259945A1 (en) | System and method for generating web based multi-tier, wiki-based control panels | |
| CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
| RU2415466C1 (ru) | Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети | |
| Nwobodo | Cloud computing: Models, services, utility, advantages, security issues, and prototype | |
| Thakur et al. | User identity & lifecycle management using LDAP directory server on distributed network | |
| CN102867152B (zh) | 使用主动化身保护资源的系统和方法 | |
| Hawasli | azureLang: a probabilistic modeling and simulation language for cyber attacks in Microsoft Azure cloud infrastructure | |
| Paiusescu et al. | Efficient datacenters management for network and security operations | |
| Jovanović et al. | THE ARCHITECTURE OF INTEGRATED IDENTITY MANAGEMENT AND MULTIMODAL BIOMETRIC SYSTEM | |
| Ferle | Account Access and Security | |
| WO2015108537A1 (en) | Identity information including a schemaless portion | |
| Ramey et al. | Oracle Identity and Access Management Suite Overview | |
| Karaca | Migration of an On-Premise Single-Tenant Enterprise Application to the Azure Cloud: The Multi-Tenancy Case Study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |