CN105074685A - 企业社交商业计算的多租户支持 - Google Patents
企业社交商业计算的多租户支持 Download PDFInfo
- Publication number
- CN105074685A CN105074685A CN201480015260.4A CN201480015260A CN105074685A CN 105074685 A CN105074685 A CN 105074685A CN 201480015260 A CN201480015260 A CN 201480015260A CN 105074685 A CN105074685 A CN 105074685A
- Authority
- CN
- China
- Prior art keywords
- user
- user account
- subscription
- computational resource
- tenant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
Abstract
提供了在多租户环境中采用单点登录(SSO)认证/授权使能跨租户协作的机制。提供了用于创建用户账户以及为用户供应订阅的不同实施例(例如,使能单点登录认证/授权)。通过使用用户的订阅认证而不是提示用户通过再次登录来认证(即,对于给定会话,在用户已经登录并被认证后,不再提示用户重新登录),允许该用户访问多租户环境中的服务(例如,协作服务)。提供了通过统一资源定位符(URL)主机映射网页空间的其它实施例,其中,每个组织(也就是租户)具有其自己的命名空间集。
Description
技术领域
本公开一般的涉及企业社交商业计算的多租户支持的技术领域。
背景技术
惯常的,所有跨多个组织的参与者在一起不能充分的社交联络。进而,对跨多个租户的用户账号生命周期典型的也不能进行有效率的以及有效的管理。
发明内容
在不同的实施例中,提供多种方法使得为企业社交商业计算提供多租户支持成为可能。
在一个实施例中,提供了一种方法使得至少第一用户能利用多租户计算环境,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,该方法包括:通过处理器为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;通过处理器将第一订阅(firstsubscription)链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;通过处理器将第二订阅链接至第一用户账户,其中该第二订阅具有与其关联的第二订阅信息;通过处理器从第一用户接收至少该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;通过处理器根据用该用户账户标识的登陆以及链接至该第一用户账户的第一订阅的第一订阅信息,允许该第一用户账户访问该第一计算资源;通过处理器根据用该用户账户标识的登陆以及链接至该第一用户账户的第二订阅的第二订阅信息,允许该第一用户账户访问该第二计算资源。
优选的,将第一订阅以及第二订阅链接至该第一用户账户包括在数据库中存储数据。更为优选的,该第一计算资源包括第一网页存在,该第二计算资源包括第二网页存在。进一步优选的,该第一网页存在至少包括一个网页,该第二网页存在至少包括一个网页。
优选的,第一租户具有与其关联的第一命名空间;第二租户具有与其关联的不同于该第一命名空间的第二命名空间;该第一计算资源与该第一命名空间相关联;以及,该第二计算资源与该第二命名空间相关联。更优选的,在第一用户登录之后,处理器使该第一用户能够与至少第二用户协作,该第二用户与访问第一计算资源和第二计算资源二者中至少之一相关。更加优选的是,该第一用户和第二用户中每一个的协作访问包括:(a)文件读访问;(b)文件写访问;(c)文件创建访问;或(d)其任意组合。
优选的,该方法进一步包括下列中的至少一个:(a)通过处理器,使与第一租户相关联的第一用户能够邀请与第二租户相关联的第二用户在与第一租户相关联的计算资源上协作;(b)通过处理器,保持在第一用户的第一订阅上的角色信息,该角色信息用于限制访问第一计算资源时的能力;(c)通过处理器,当第一用户的主订阅被删除或被无效,限制访问第一用户的多个第二订阅的全部;(d)通过处理器,从第一用户的一组订阅中禁用该第一用户的订阅;(e)通过处理器,使一租户能够基于与该第一用户的主订阅相关的规则限制该第一用户能够加入该第一用户的多个第二订阅中的哪一个,或(f)其任意组合。
在另一个实施例中,提供了一种计算机可读媒介,实现为有形计算机上的可执行的程序指令,用于使至少第一用户利用多租户计算环境,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,当执行该计算机程序时,实施下列步骤:为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;将第一订阅链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;将第二订阅链接至第一用户账户,其中该第二订阅具有与其关联的第二订阅信息;从第一用户至少接收该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;根据用该用户账户标识的登陆以及链接至该第一用户账户的第一订阅的第一订阅信息,允许该第一用户账户访问该第一计算资源;根据用该用户账户标识的登陆以及链接至该第一用户账户的第二订阅的第二订阅信息,允许该第一用户账户访问该第二计算资源。
在另一个实施例中,提供了一种使能至少第一用户利用多租户计算环境的系统,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,该系统包括:分配单元,配置为为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;第一链接单元,配置为将第一订阅链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;第二链接单元,配置为将第二订阅链接至该第一用户账户,其中该第二订阅具有与其相关联的第二订阅信息;接收单元,配置为从第一用户至少接收该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;第一允许单元,配置为响应于用该用户账户标识的登陆以及链接至该第一用户账户的第一订阅的第一订阅信息,通过处理器,允许该第一用户账户访问该第一计算资源;第二允许单元,配置为响应于用该用户账户标识的登陆以及链接至该第一用户账户的第二订阅的第二订阅信息,通过处理器,允许该第一用户账户访问该第二计算资源。
附图说明
现将通过举例的方式并参考下列附图对本发明的优选实施例进行描述:
图1描绘出根据本发明实施例的轻量级目录访问协议(LDAP)、数据信息树(DIT)及模式的参考实现的示例图;
图2A-2H描绘出与图1有关的多个节点的数据结构定义的示例图;
图3描绘出根据本发明一个实施例的方法流程图;
图4描绘出根据本发明一个实施例的系统框图;
图5描绘出根据本发明一个实施例的系统框图。
具体实施方式
在不同的实施例中,提供多种方法使得为企业社交商业计算提供多租户支持成为可能。
在不同的实施例中,为企业社交商业计算提供多租户支持可实施为系统、方法和/或算法等形式。
在其它实施例中,提供了在多租户环境中采用单点登录认证/授权使跨租户支持成为可能的机制。
在其它实施例中,提供了在多租户环境中通过跨租户的用户使能协作的机制。
在本公开中,术语“租户”指的是组织(例如,公司实体)。
在本公开中,术语“多租户环境”指的是托管(hosting)第一租户的至少一个计算存在(computerpresence)以及第二租户(其中该第一租户和第二租户相互不同)的至少一个计算存在的计算环境(例如,包括一个或多个服务器)。在一个具体的例子中,对于多数个租户中的每一个,多租户环境可托管各自的网页存在。
在本公开中,术语“托管计算存在(hostingacomputerpresence)”指的是为了维持和实施与社会商业应用相关的计算能力的存在。
在本公开中,术语“网页空间”指的是通过URL定义的基于云的页面存在。
在本公开中,术语“计算资源”指的是在多租户计算环境中可用的数据和/或应用。在不同的具体例子中,该计算资源可包括网页存在、网站和/或网页。在其它具体例子中,该计算存在可包括通过人们社交的网络相聚所贡献的数据(例如,分析数据)。
在本公开中,术语“订阅信息”指的是定义在用户(例如,终端用户)和租户之间建立的有效关系的数据。在一个具体的例子中,该订阅信息可被用于提供一个订阅者对一个或多个租户边界的访问(以及在网络社交中的能力)。
在本公开中,术语“主订阅”指的是一用户(例如,终端用户)对该用户所属的原始(或“第一”)组织的订阅。
在本公开中,术语“第二订阅”指的是用户(例如,终端用户)对该用户所属的后来的(或“随后”)组织的订阅。
.如本文所描述的,提供了在多租户环境中采用单点登录认证/授权的机制。在一个具体的例子中,提供了在多租户环境中采用单点登录认证/授权使能跨租户的协作的机制。在另一个具体的例子中,提供了创建用户账户以及为该用户供应一个或多个订阅的机制(例如,使能单点登录认证/授权)。在另一个具体的例子中,提供了允许用户访问多租户环境中的协作服务的机制,该机制是通过使用用户的订阅认证而不是提示用户通过再次登录来认证(即,对于给定会话在初始登录后进行认证)。在另一个具体的例子中,提供了通过统一资源定位符(URL)主机映射网页空间的机制(例如,每个组织(也就是租户)作为其自己的命名空间集)。
值得注意的,通常只有在少数方法中传统的多租户环境能够提供对组织内容的安全访问。或者通过适当保护在堆栈不同级别的数据模式,或者可替换的,在最极端情况下通过用他们自身部署提供组织,能够获得内容以及用户库(userbase)的隔离。
一方面,如果云架构类型的选择在于用户库是中央注册的,一般来说对于用户跨组织边界的协作并不容易。
另一方面,如果云架构类型的选择在于用户库不是中央注册的,一般来说要么会导致给定用户的认证证书被复制到不同的组织中(这会导致在身份管理和用户/身份信任上的困难),要么会使得用户生命周期管理非常困难。
.因此,如本文所描述的,提供了不同的机制,能够有效的管理中央用户库以解决用户身份和生命周期的问题。在一个例子中,策略对象(policyobjects)能被存储在组织级(organizationlevel)和/或用户级(userlevel)以允许给定组织的用户将来自其他组织的用户邀请到他们的协作空间(在下文中,这些来自其他组织的用户可被称为“组织外用户”)中。在另一个例子中,提供用于维护与用户相关联的角色的规定(例如,其中这样的角色能被查询和/或通过不同服务实施以更好的控制/定义该用户所具有的权利(例如,“组织外用户”所具有的))。在其它例子中,处理用户的机制还能容易的处理管理、用户生命周期问题以及内容归属问题。
现将参考一个将用户账户与用户订阅相区分的实施例。在这个实施例中,用户账户被用于认证,而用户订阅被用于授权。在一个例子中,一个单个用户账户可与多个用户订阅相关联,并且每个订阅可被应用于给定组织的网页空间(即,在多租户环境中的给定租户)。因此,在这个例子中,单个用户账户可能社会化的加入多数个组织(也就是租户)的每一个的网页空间中,而不会多次登录和登出。
在一个具体的例子中,多租户环境通过统一资源定位符(URL)主机虚拟映射到多个网页空间。所有参加的组织(即,租户)能够拥有(或以其它方式与其相关联)多个唯一命名空间。当终端用户围绕(movesaround)或超越该用户已经在第一位置处登录(例如,对于给定会话)的原始组织的命名空间时,这些命名空间能被唯一的识别。为了本公开的目的,围绕和超越原始组织的命名空间是指当相同的人登录进一个网页空间时,并且愿意跨越该当前租户并进入另一个租户——在这个例子中,这个用户将被核查他的来自账户信息的订阅以允许或拒绝他的移动。
所有有效的用户订阅(对于给定的用户账户)能通过与给定用户账户(例如,其能基于组织的命名空间以及订阅者的相关联的组织标识被识别)相关联的链接获得。用户订阅数据能被用于授权给定用户访问(例如,安全的访问)位于给定组织界线内的受保护的网页资源。
在另一个例子中,可通过邀请供应(provisioning)用户账户和/或授予订阅。在另一例子中,可为用户账户提供每个租户一个订阅。在这个例子中,只有具有有效订阅的终端用户被允许访问给定租户。
在一个具体的例子中,可通过组织的系统管理员的邀请授予用户订阅,以及能够通过全系统范围的管理员(system-wideadministrators)供应用户账户。在下面更细节的讨论中,这种供应流程可在两个不同层级中被用于管理、激活、撤销和/或终止用户账户和用户订阅(例如,用户账户可独立于用户订阅被管理)。
在一个具体例子中,用户账户可以影响所有相关联的用户订阅的方式被管理。例如,一旦给定用户账户被撤销,所有与该给定账户相关联的订阅则完全不能被用于访问任何网页的命名空间(这是由于对这个给定用户账户的认证流程会失败)。为了说明本公开,两个命名空间的例子是https://bankXYZ.connections.com/homepage以及https://bankABC.connections.com/homepage。
在另一个例子中,能再次激活给定用户账户,并且可以获得所有先前存储的该账户的用户应用数据。在另一个例子中,可终止给定用户账户,这会导致收集并删除所有相关的用户账户数据。
现将参考为给定组织管理用户订阅的一个实施例(例如,直接的)。在一个具体的例子中,对于给定组织,一个用户订阅可被管理为被激活、撤销和/或终止。在这个例子中,对于同样的用户账户这样的行为不会影响其他有效订阅。
.现将参考通过中央组件实施的一个实施例(例如,不影响现存的应用)。在一个具体的例子中,可通过虚拟层实现此处所描述的各种多租户支持。在这个例子中,可在一个单一代码库(codebase)中保存所有现存的应用。这种虚拟层可被用于提供基于订阅者组织和网页的应用。
参看图1以及图2A-2H,现在所提及的是采用轻量目录访问协议(LDAP)、数据信息树及模式(schema)的示例性实施方式(这个例子描述了如何使用LDAP服务实施具有用户账户和订阅的组织结构)。在一个例子中,“WALTZ”是API中的一个参考实施。在这个社交商业平台之上运行的应用能依靠这个API得知给定终端用户(谁)是否能被允许访问什么网页空间(where)的概要的更多细节(what)。在一个具体的例子中,WALTZ识别uid=jsmith(你是谁?)以及www.bankABC.com(你要去哪里?)以便返回ID,角色(role),邮件等等。
特别是如图1所示的互联节点的如下例子:节点A(在图2A中参看这个节点的属性集的细节);节点B(在图2B中参看这个节点的属性集的细节);节点C(在图2C中参看这个节点的属性集的细节);节点D(在图2D中参看这个节点的属性集的细节);节点E(在图2E中参看这个节点的属性集的细节);节点F(在图2F中参看这个节点的属性集的细节)。
现参看图3,使至少第一用户利用多租户计算环境的方法,其中所示出的该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源。如图3所示,该实施例的方法包括:在301-通过处理器为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;在303-通过处理器将第一订阅(firstsubscription)链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;在305-通过处理器将第二订阅链接至第一用户账户,其中该第二订阅具有与其关联的第二订阅信息;在307-通过处理器从第一用户至少接收该用户账户标识(useraccountindicium),该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;在309-通过处理器根据用该用户账户标识的登陆以及链接至该第一用户账户的第一订阅的第一订阅信息,允许该第一用户账户访问该第一计算资源;以及在311-通过处理器根据用该用户账户标识的登陆以及链接至该第一用户账户的第二订阅的第二订阅信息,允许该第一用户账户访问该第二计算资源。
在一个例子中,任何步骤都可按照所叙述的顺序实施,也可以按照其它顺序实施。
现参看图4,在另一个实施例中提供了系统400。该系统用于使得至少第一用户能够使用多租户计算环境,其中,该多租户计算环境包括与第一租户关联的至少第一计算资源,以及与第二租户关联的第二计算资源。该系统可包括下列单元:分配单元401,被配置为给第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息至少包括跨该多租户计算环境唯一的用户账户标识;第一链接单元403,被配置为将第一订阅链接至第一用户账户,其中第一订阅具有与其关联的第一订阅信息;第二链接单元405,配置为将第二订阅链接至第一用户账户,其中该第二订阅具有与其关联的第二订阅信息;接收单元407,配置为从该第一用户接收至少该用户账户标识,该用户账户标识与该第一用户在该多租户计算环境的登录相关;第一允许单元409,被配置为基于用该用户账户标识的登录以及链接至该第一用户账户的第一订阅的第一订阅信息,允许该第一用户账户访问第一计算资源;第二允许单元411,被配置为基于用该用户账户标识的登录以及链接至该第一用户账户的第二订阅的第二订阅信息,允许该第一用户账户访问第二计算资源;数据库413存储数据以将该第一订阅和第二订阅链接至第一用户账户;以及协作单元415,被配置为在该第一用户登录之后,使能第一用户与至少第二用户的协作,该第二用户与访问第一计算资源和第二计算资源二者中至少之一相关。
进而,在一个例子中,该多租户计算环境至少包括与第三租户相关联的第三计算资源;该系统还包括阻止单元417,被配置为阻止第一用户访问该第三计算资源。
上述单元/组件能够通过系统总线402可操作的连接在一起。在一个例子中,在不同单元/组件之间的通信可以是双向的。在另一个例子中,可通过互联网、内联网、局域网、广域网/或任何其他期望的通信信道进行通信。在另一个例子中,可在图5所示类型的计算机系统中实施这些单元/组件的一些或全部。
在一个例子中,是图1的树结构以及与下列实施例操作关联的对象类函数:用于authN(认证)流程的订户对象(subscriberobject,),总是与一个用于authZ(授权)流程的账户关联。一旦授权(authZ)完成,该相同用户就不再需要被authN(认证)。账户对象包括订阅对象列(subscriptionobjects)。用于相同账户的订阅清单将会被用于确定这个账户是否能被移动(movearound)到不同的租户。每个订阅与其自己的网页空间关联。当一个用户通过账户和订阅移动时,获得允许的网页空间将会适应他/她的移动。
现参看图5,该图示出了根据本发明实施例的计算环境500的硬件配置。如图所示,这个硬件配置至少包括一个处理器或中央处理单元(CPU)511。CPUs511通过系统总线512互连至随机存取存储器(RAM)514,只读存储器(ROM)516,输入/输出(I/O)适配器518(用于将磁盘单元521以及磁带驱动540等外围装置连接至总线512),用户接口适配器522(用于将键盘524,鼠标526,扬声器528,麦克风532,和/或其它用户接口装置连接至总线512),用于将系统500连接至数据处理网络、因特网、企业网、局域网等的通信适配器534,以及用于将总线512连接至显示装置538和/或打印机539(例如数字打印机等)的显示适配器536。
.需要注意的是,不同附图可能说明不同实体的通信,能够理解的是,该附图实际上指的是通过每个实体拥有、占有、租用、操作、使用和/或控制的计算系统或诸如此类的来通信。
如本文所描述的,通过跨租户用户用单一用户(对于给定用户)登录访问订阅基于多租户的服务提供了用于协作的机制,该机制包括:使用至少一个用户cookie,用于访问基于订阅的跨多租户环境的服务,而不会再被提示登录(即,在与给定会话的第一登录相关的认证之后,不会再被提示登录)。在这个例子中,此处的“cookie”指的是SSO加密cookies,它只有在用户账户能被成功认证(authenticated)时才被授权(granted)。相同用户cookies将被用于用户穿过和超过通过原始租户供应的原始网页空间,该原始租户他/她可能曾在第一位置处登录。
在另一个例子中,不同的实施例可能使用传统WebSphere(WebSphere是国际商业机器公司的注册商标)的利用LTPA(轻量第三方认证协议)cookies(用于SSO的机制)的用于安全认证/SSO的机制/协议的全部或部分。然而,一些客户可能应用第三方安全协议,这会将多个cookies并入到最终基于网页的流量中去。
在一个例子中,可能通过邀请授予(granted)一个订阅认证。在一个这样的邀请的具体例子中,用于JohnSmith(为公司A工作)的账户能够访问通过A公司初始提供的社交网页空间。当JohnSmith致力于一个项目时,这可能需要与诸如B公司的第三方协作,那么,如果B公司的系统管理员授予JohnSmith一个订阅(subscription),他将会被允许访问这两者社交空间。
在另一个例子中,订阅授权可能被用于访问协作服务。
在另一个例子中,单一用户账户可有权被社交的服务。在一个具体的社交的服务的例子中,一个人可能参加很多社会应用服务。
在另一个例子中,单一用户账户的用户可能与超越公司边界的不同的同事集合相关联(例如,这就使得JohnSmith能够与A公司和B公司两者社交的相关联)。
在另一个例子中,可提供通过URL主机(例如,其中每个组织具有其自己的命名空间集合)的用于映射网页空间的机制。
在另一个例子中,通过管理员实施协作服务的授权(authorization),可管理订阅以用于协作服务。
在另一个例子中,可通过系统管理员(能够用于为组织创建用户账户)管理用户账户。
如本文所描述的,可在下述背景中操作不同的实施例:社交软件;社交计算;协作与通信;和/或社交商业框架。
如本文所描述的,可在下述背景中操作不同实施例:云:交付模式(Deliverymodel):软件即服务(SaaS);云:授权技术:多租户;消费器件或装置:网页;融合通信(ConvergedCommunications):移动应用;IT服务:商业和IT咨询;软件:应用开发软件;软件:应用服务中间件;软件:协作应用;和/或网页技术:内容管理和使用。
在另一个例子中,系统管理员或诸如此类的能够增加和/或删除一给定用户被许可访问的租户。
在另一个例子中,系统管理员或诸如此类的能够通过“云”控制很多账户和应用。
如本文所描述的,为基于“云”的软件即服务(SaaS)提供多种机制,该软件即服务具有用于企业社交网络商业的多租户支持。
如本文所描述的,提供一种机制以管理(以安全、可控以及管理有效的方式)多租户环境(例如,其中的给定用户被注册为一或多个租户中的一个用户或者作为该多租户环境中的一个访客)中的给定用户。
如本文所描述的,提供一种机制以利用(以安全、可控以及管理有效的方式)多租户环境中的第一用户(与第一组织相关)的单一注册以使得该第一用户加入与一个或多个组织的一个或多个用户相关的协作(例如,内容共享)中。
如本文所描述的,在不同实施例中,跨多个组织的所有参与者能够被充分的社交联络在一起。进而,在不同的实施例中,跨多个租户的用户账户生命周期能被有效率的和有效果的管理。
如本文所描述的,在不同实施例中提供了令人满意的能够超越(gobeyond)组织边界的邀请模型,以及令人满意的能够超越组织边界的单点登录认证/授权模型。因此,根据这些实施例,对于多个租户中的每一个,终端用户能够实施单点登录以访问各自的计算机存在(该终端用户被允许通过订阅来访问)。
如本文所描述的,不同实施例可能操作为首先使用认证(例如登录),然后跟随的是授权(例如,基于订阅)。
如本文所描述的,不同实施例可能为用户间提供社交联系。
如本文所描述的,不同的实施例可提供跨一些或全部租户的协作。在一个具体的例子中,在多租户提供跨租户协作能被无缝启用。在另一个具体例子中,用户能够容易的跨组织(例如租户)边界工作。进而,这些用户能够邀请(和/或通过管理员注册)他人进入组织的(例如租户)网页存在(webpresence)。进一步的,可提供与用户策略相关的机制(例如可提供控制用户行为的机制)。
如本文所描述的,不同实施例可操作以致于跨多个组织的所有参加者能够单点登录以访问该多个租户(即,给定终端用户可被授权访问(例如,基于订阅的),而不需要再被提示认证)。
如本文所描述的,不同实施例可运行以管理账户生命周期(例如,跨多个租户)。在一个具体实施例中,每个参与者可被管理为(例如,通过管理员)已经激活、未激活和/或终止与访问多个结构的网页空间相关的每个订阅。
如本文所描述的,不同实施例可通过更多的依赖授权流程而不是基于认证增加太多负担来运行。在一个具体的例子中,可使用一个或多个安全cookies和/或证书。
如本文所描述的,不同的实施例可使用轻量级的操作模型。
如本文所描述的,不同实施例可使用绑定至网页URL命名空间的租借资源(tenantedresources)。
如本文所描述的,给定用户可具有多个订阅(例如,多个租户中的每一个都有一个)。在一个具体例子中,该订阅可定义这个人被许可使用“云”中的什么应用。
如本文所描述的,在一个具体的例子中,用户账户可具有与其相关联的唯一、静态的以及永不重用的(例如,对于给定的多租户环境)标识符。为了本公开的目的,术语“永不重用”是在身份环境中所用的概念术语。在一个例子中,所有的身份都应落入诸如静态、唯一以及永不重用三个标准中。因此,应用能够保持给定的ID并且依靠这个ID来与用户数据链接。在一个例子中,如果用户账户能被清洗(purged),新的用户账户不允许使用任何先前的ID。即,在这个例子中,任何给定的ID都不能被回收,并且应该尽可能的“永生”。
如本文所描述的,在一个具体的例子中,系统管理员可增加和/或删除租户(例如,对于给定的多租户环境)。
如本文所描述的,在一个具体的例子中,系统管理员(例如通过“云”)能够控制许多用户账户、许多用户订阅以及许多应用(例如,对于给定的多租户环境)。
在一个实施例中,本文所描述的多种功能可使用图1和图2A-2H的树结构和对象属性来实施。在一个具体的例子中,所有需要的数据可存储在订阅对象中(例如用作占位符(placeholder),因为(在这个例子中)它在诸如LDAP的目录服务中将用户账户、租户标识、网页空间模式保存至单个条目中)。在一个例子中,对于每个订阅,调用该参考API的应用将能够获悉该许可、限制以及边界。
在一个实施例中,提供了一种使能至少第一用户使用多租户计算环境的方法,其中,该多租户计算环境至少包括与第一租户关联的第一计算资源以及与第二租户关联的第二计算资源,该方法包括:通过处理器为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;通过处理器将第一订阅(firstsubscription)链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;通过处理器将第二订阅链接至第一用户账户,其中该第二订阅具有与其关联的第二订阅信息;通过处理器从第一用户至少接收该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;通过处理器根据用该用户账户标识以及链接至该第一用户账户的第一订阅的第一订阅信息的登陆,允许该第一用户账户访问该第一计算资源;通过处理器根据用该用户账户标识以及链接至该第一用户账户的第二订阅的第二订阅信息的登陆,允许该第一用户账户访问该第二计算资源。
在一个例子中,第一订阅以及第二订阅到第一用户账户的链接包括在数据库中存储数据。
在另一个例子中,第一计算资源包括第一网页存在,第二计算资源包括第二网页存在。
在另一个例子中,第一网页存在至少包括一个网页,第二网页存在至少包括一个网页。
在另一个例子中:第一租户具有与其关联的第一命名空间;第二租户具有与其关联的不同于该第一命名空间的第二命名空间;该第一计算资源位于该第一命名空间中;以及,该第二计算资源位于该第二命名空间中。
在另一个例子中,在第一用户登录之后,通过处理器使能该第一用户与至少第二用户的协作,该第二用户与访问第一计算资源和第二计算资源二者中至少之一相关。
在另一个例子中,该第一用户和第二用户中每一个的协作访问包括:(a)文件读访问;(b)文件写访问;(c)文件创建访问;或(d)其任意组合。
在另一个例子中,该多租户计算环境至少还包括与第三租户相关联的第三计算资源;该处理器还阻止该第一用户访问该第三计算资源。
在另一个实施例中,提供切实包括计算机可执行程序指令的计算机可读存储媒介,用于使至少第一用户利用多租户计算环境,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,当执行该计算机程序时,实施下列步骤:为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;将第一订阅(firstsubscription)链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;将第二订阅链接至第一用户账户,其中该第二订阅具有与其关联的第二订阅信息;从第一用户至少接收该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;根据用该用户账户标识以及链接至该第一用户账户的第一订阅的第一订阅信息的登陆,允许该第一用户账户访问该第一计算资源;根据用该用户账户标识以及链接至该第一用户账户的第二订阅的第二订阅信息的登陆,允许该第一用户账户访问该第二计算资源。
在一个实施例中,将第一订阅以及第二订阅链接至第一用户账户包括在数据库中存储数据。
在另一个例子中,第一计算资源包括第一网页存在,第二计算资源包括第二网页存在。
在另一个例子中,第一网页存在包括至少一个网页,第二网页存在至少包括一个网页。
在另一个例子中:第一租户具有与其关联的第一命名空间;第二租户具有与其关联的不同于该第一命名空间的第二命名空间;该第一计算资源位于该第一命名空间中;以及,该第二计算资源位于该第二命名空间中。
在另一个例子中,在第一用户登录之后,该第一用户被使能为与至少第二用户的协作,该第二用户与访问第一计算资源和第二计算资源二者中至少之一相关。
在另一个例子中,该第一用户和第二用户中每一个的协作访问包括:(a)文件读访问;(b)文件写访问;(c)文件创建访问;或(d)其任意组合。
在另一个例子中:该多租户计算环境至少还包括与第三租户相关联的第三计算资源;以及,该程序指令被执行时阻止该第一用户访问该第三计算资源。
在另一个实施例中,提供了一种使能至少第一用户利用多租户计算环境的系统,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,该系统包括:分配单元,配置为为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;第一链接单元,配置为将第一订阅链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;第二链接单元,配置为将第二订阅链接至该第一用户账户,其中该第二订阅具有与其相关联的第二订阅信息;接收单元,配置为从第一用户至少接收该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;第一允许单元,配置为响应于用该用户账户标识以及链接至该第一用户账户的第一订阅的第一订阅信息的登陆,通过处理器,允许该第一用户账户访问该第一计算资源;第二允许单元,配置为响应于用该用户账户标识以及链接至该第一用户账户的第二订阅的第二订阅信息的登陆,通过处理器,允许该第一用户账户访问该第二计算资源。
在一个例子中,还包括数据库,用于存储将第一订阅以及第二订阅链接至第一用户账户的数据。
在另一个例子中,第一计算资源包括第一网页存在,第二计算资源包括第二网页存在。
在另一个例子中,第一网页存在至少包括一个网页,第二网页存在至少包括一个网页。
在另一个例子中:第一租户具有与其关联的第一命名空间;第二租户具有与其关联的不同于该第一命名空间的第二命名空间;该第一计算资源位于该第一命名空间中;以及,该第二计算资源位于该第二命名空间中。
在另一个例子中,该系统进一步包括协作单元,被配置为在该第一用户登录之后,使能第一用户与至少第二用户的协作,该第二用户与访问第一计算资源和第二计算资源二者中至少之一相关。
在另一个例子中,该第一用户和第二用户中每一个的协作访问包括:(a)文件读访问;(b)文件写访问;(c)文件创建访问;或(d)其任意组合。
在另一个例子中,该多租户计算环境至少还包括与第三租户相关联的第三计算资源;该系统还包括阻止单元,被配置为阻止第一用户访问该第三计算资源。
在其它例子中,本文所描述的任何步骤可以任何适当的期望顺序实施。
在一个实施例中,可提供下列中的一个或多个:(a)使与第一租户相关联的第一用户能够邀请与第二租户相关联的第二用户(其中该第二租户与该第一租户不同)在与第一租户相关联的资源(例如计算资源)上协作的功能;(b)保持用户的租户订阅上的角色信息的功能,该角色信息用于限制当在那个租户空间(例如在该租户的网页存在中)中运行时的能力;(c)当一用户的“主订阅”被删除或被无效时,限制访问该用户的全部“第二订阅”的功能;(d)从一组订阅中只禁用一个订阅的功能;和/或(e)使组织拥有者(例如租户)能够基于该用户“主订阅”空间中的规则限制能够加入一用户的多个“第二订阅”中的哪一个的功能。
如本文所描述的,提供了允许受邀用户在多租户环境中保持(retain)跨所有组织(即,租户)的单一身份的机制。即,给定用户的组织身份可被带入到多租户环境中(其中,可在组织管理范围下管理这样的组织身份)。
.如本文所描述的,提供了当跨多个组织边界进行协作时维护单一身份的机制。在一个例子中,可利用SSO实现。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(articleofmanufacture)。
也可以把该计算机程序指令装载到计算机、其它可编程程序装置、或其它装置上,使得一系列可操作的步骤在计算机、其它可编程程序装置、或其它装置上实施以产生计算机实施的流程,这样,在计算机、其它可编程程序装置、或其它装置上执行这些指令就提供用于实施流程图和/或框图或框中指定的函数/动作的流程。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
值得注意的是前面已经概述了本发明的一些目的和实施例。这个发明可被用于许多应用。因此,尽管该描述是为了特殊配置和方法所作出的,但本发明的目的和概念适合并且可应用于其它配置及和应用。本领域技术人员很清楚,对于本发明所公开的实施例的修改能够有效果并且不脱离本发明的保护范围。所描述的实施例应该被解释为仅仅是对本发明一些特征和应用的示例性说明。通过以不同的方式或以熟悉该技艺人士所熟知的方式修改时,能够实现其它的有利效果。此外,本文所公开的所有例子都旨在示例而不是限制。
Claims (24)
1.一种使至少第一用户能利用多租户计算环境的方法,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,该方法包括:
通过处理器,为该第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;
通过处理器,将第一订阅链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;
通过处理器,将第二订阅链接至该第一用户账户,其中该第二订阅具有与其相关联的第二订阅信息;
通过处理器,从该第一用户接收至少该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;
通过处理器,响应于用该用户账户标识的登陆以及链接至该第一用户账户的该第一订阅的第一订阅信息,允许该第一用户账户访问该第一计算资源;
通过处理器,响应于用该用户账户标识的登陆以及链接至该第一用户账户的第二订阅的第二订阅信息,允许该第一用户账户访问该第二计算资源。
2.按照权利要求1所述的方法,其中将该第一订阅以及该第二订阅链接至该第一用户账户包括在数据库中存储数据。
3.按照权利要求1或2所述的方法,其中,该第一计算资源包括第一网页存在,该第二计算资源包括第二网页存在。
4.按照权利要求3所述的方法,其中,该第一网页存在至少包括一个网页,该第二网页存在至少包括一个网页。
5.按照前述任意权利要求所述的方法,其中:
该第一租户具有与其关联的第一命名空间;
该第二租户具有与其关联的不同于该第一命名空间的第二命名空间;
该第一计算资源与该第一命名空间相关联;以及
该第二计算资源与该第二命名空间相关联。
6.按照前述任意权利要求所述的方法,其中,在第一用户登录之后,通过处理器使该第一用户能与至少第二用户的协作,该第二用户与访问该第一计算资源和该第二计算资源二者中至少之一相关。
7.按照前述权利要求6所述的方法,其中,该第一用户和该第二用户中每一个的协作访问包括:(a)文件读访问;(b)文件写访问;(c)文件创建访问;或(d)其任意组合。
8.按照前述任意权利要求所述的方法,进一步包括下列中的至少一个:
(a)通过处理器,使与该第一租户相关联的该第一用户能够邀请与该第二租户相关联的该第二用户在与该第一租户相关联的计算资源上协作;
(b)通过处理器,保持在该第一用户的该第一订阅上的角色信息,该角色信息用于限制在访问该第一计算资源时的能力;
(c)通过处理器,当该第一用户的主订阅被删除或被无效,限制访问该第一用户的多个第二订阅的全部;
(d)通过处理器,从该第一用户的一组订阅中禁用该第一用户的订阅;
(e)通过处理器,使一租户能够基于与该第一用户的主订阅相关的规则限制该第一用户能够加入该第一用户的多个第二订阅中的哪一个,或
(f)其任意组合。
9.一种计算机可读媒介,可行的实现为包括计算机可执行的程序指令,用于使至少第一用户能利用多租户计算环境,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,当执行该计算机程序时,实施下列步骤:
为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;
将第一订阅链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;
将第二订阅链接至第一用户账户,其中该第二订阅具有与其关联的第二订阅信息;
从该第一用户接收至少该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;
基于用该用户账户标识的登陆以及链接至该第一用户账户的该第一订阅信息,允许该第一用户账户访问该第一计算资源;
基于用该用户账户标识的登陆以及链接至该第一用户账户的该第二订阅信息,允许该第一用户账户访问该第二计算资源。
10.根据权利要求9的计算机可读媒介,其中将该第一订阅以及该第二订阅链接至该第一用户账户包括在数据库中存储数据。
11.根据权利要求9或10的计算机可读媒介,其中该第一计算资源包括第一网页存在,该第二计算资源包括第二网页存在。
12.根据权利要求11的计算机可读媒介,其中该第一网页存在包括至少一个网页,该第二网页存在至少包括一个网页。
13.根据权利要求9至12中任一项的计算机可读媒介,其中:
该第一租户具有与其关联的第一命名空间;
该第二租户具有与其关联的不同于该第一命名空间的第二命名空间;
该第一计算资源与该第一命名空间相关联;以及
该第二计算资源与该第二命名空间相关联。
14.根据权利要求9至13中任一项的计算机可读媒介,其中,在该第一用户登录之后,通过处理器使能该第一用户与至少第二用户的协作,该第二用户与访问该第一计算资源和该第二计算资源二者中至少之一相关。
15.根据权利要求14的计算机可读媒介,其中,该第一用户和该第二用户中每一个的协作访问包括:(a)文件读访问;(b)文件写访问;(c)文件创建访问;或(d)其任意组合。
16.根据权利要求9至15中任一项的计算机可读媒介,其中:
所述多租户计算环境至少还包括与第三租户相关联的第三计算资源;以及,
该程序指令被执行时阻止该第一用户访问该第三计算资源。
17.一种使至少第一用户能利用多租户计算环境的系统,其中该多租户计算环境至少包括与第一租户关联的第一计算资源,以及与第二租户关联的第二计算资源,该系统包括:
分配单元,配置为为第一用户分配第一用户账户,其中该第一用户账户具有与其关联的第一用户账户信息,该第一用户账户信息包括至少一个在多租户计算环境中唯一的用户账户标识;
第一链接单元,配置为将第一订阅链接至该第一用户账户,其中该第一订阅具有与其相关联的第一订阅信息;
第二链接单元,配置为将第二订阅链接至该第一用户账户,其中该第二订阅具有与其相关联的第二订阅信息;
接收单元,配置为从该第一用户至少接收该用户账户标识,该用户账户标识与通过该第一用户对该多租户计算环境的登陆有关;
第一允许单元,配置为响应于用该用户账户标识的登陆以及链接至该第一用户账户的该第一订阅的该第一订阅信息,通过处理器,允许该第一用户账户访问该第一计算资源;
第二允许单元,配置为响应于用该用户账户标识的登陆以及链接至该第一用户账户的该第二订阅的该第二订阅信息,通过处理器,允许该第一用户账户访问该第二计算资源。
18.按照权利要求17所述的系统,还包括数据库,用于存储将该第一订阅以及该第二订阅链接至该第一用户账户的数据。
19.按照权利要求17或18所述的系统,其中,该第一计算资源包括第一网页存在,该第二计算资源包括第二网页存在。
20.按照权利要求19所述的系统,其中,该第一网页存在至少包括一个网页,该第二网页存在至少包括一个网页。
21.根据权利要求17至20中任一项的系统,其中:
该第一租户具有与其关联的第一命名空间;
该第二租户具有与其关联的不同于该第一命名空间的第二命名空间;
该第一计算资源与该第一命名空间相关联;以及
该第二计算资源与该第二命名空间相关联。
22.根据权利要求17至21中任一项的系统,其中,在该第一用户登录之后,通过处理器使能该第一用户与至少第二用户的协作,该第二用户与访问第一计算资源和第二计算资源二者中至少之一相关。
23.根据权利要求22的系统,其中,该第一用户和该第二用户中每一个的协作访问包括:(a)文件读访问;(b)文件写访问;(c)文件创建访问;或(d)其任意组合。
24.根据权利要求17至23中任一项的系统,还包括下列中的至少一个:
(a)可配置为使与第一租户相关联的第一用户能够邀请与第二租户相关联的第二用户在与第一租户相关联的资源上协作的使能单元;
(b)可配置为保持在该第一用户的第一订阅上的角色信息的保持单元,该角色信息用于限制在访问该第一计算资源时的能力;
(c)可配置为当该第一用户的主订阅被删除或被无效时,限制访问该第一用户的多数个第二订阅的全部的限制单元;
(d)可配置为从该第一用户的一组订阅中禁用该第一用户的一个订阅的禁用单元;或
(e)可配置为使租户能够基于与该第一用户的主订阅相关的规则限制该第一用户能够加入多个第二订阅中的哪一个的使能单元;或,
(f)其任意组合。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/841,258 | 2013-03-15 | ||
| US13/841,258 US9325632B2 (en) | 2013-03-15 | 2013-03-15 | Multi-tenancy support for enterprise social business computing |
| PCT/IB2014/058967 WO2014140963A1 (en) | 2013-03-15 | 2014-02-13 | Multi-tenancy support for enterprise social business computing |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105074685A true CN105074685A (zh) | 2015-11-18 |
| CN105074685B CN105074685B (zh) | 2017-10-13 |
Family
ID=51533464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480015260.4A Active CN105074685B (zh) | 2013-03-15 | 2014-02-13 | 企业社交商业计算的多租户支持方法、计算机可读介质及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9325632B2 (zh) |
| JP (1) | JP6355656B2 (zh) |
| CN (1) | CN105074685B (zh) |
| GB (1) | GB2529325B (zh) |
| WO (1) | WO2014140963A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871880A (zh) * | 2016-05-10 | 2016-08-17 | 华中科技大学 | 一种云环境下基于信任模型的跨租户访问控制方法 |
| CN108701175A (zh) * | 2016-03-30 | 2018-10-23 | 安维智有限公司 | 将用户账户与企业工作空间相关联 |
| CN111988173A (zh) * | 2020-08-19 | 2020-11-24 | 北京安瑞志远科技有限公司 | 基于多层父子结构租户的租户管理平台和租户管理方法 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150006730A1 (en) * | 2013-06-27 | 2015-01-01 | Sap Ag | Enabling multi-tenant virtual servers in a cloud system |
| US9836332B2 (en) * | 2014-07-31 | 2017-12-05 | Corent Technology, Inc. | Software defined SaaS platform |
| US20170242881A1 (en) * | 2014-09-22 | 2017-08-24 | Hewlett Packard Enterprise Development Lp | Tenant data mapping for multiple tenant cloud applications |
| US9825928B2 (en) | 2014-10-22 | 2017-11-21 | Radware, Ltd. | Techniques for optimizing authentication challenges for detection of malicious attacks |
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| US10148611B2 (en) | 2015-03-30 | 2018-12-04 | EMC IP Holding Company LLC | Network address sharing in a multitenant, monolithic application environment |
| US9979733B2 (en) | 2015-09-24 | 2018-05-22 | International Business Machines Corporation | Automatically provisioning new accounts on managed targets by pattern recognition of existing account attributes |
| US10944747B2 (en) * | 2016-05-25 | 2021-03-09 | Canon Information And Imaging Solutions, Inc. | Devices, systems, and methods for zero-trust single sign-on |
| EP3466028B1 (en) * | 2016-06-06 | 2021-09-08 | Illumina, Inc. | Tenant-aware distributed application authentication |
| US10536446B2 (en) | 2017-01-31 | 2020-01-14 | Microsoft Technology Licensing, Llc. | Single authentication to a multi-tenancy single-page cloud application |
| US10951600B2 (en) * | 2017-05-08 | 2021-03-16 | Microsoft Technology Licensing, Llc | Domain authentication |
| US10924578B2 (en) | 2019-03-27 | 2021-02-16 | Microsoft Technology Licensing, Llc | Late binding of social identity in invitation management systems |
| US11503037B2 (en) * | 2019-11-04 | 2022-11-15 | Microsoft Technology Licensing, Llc | Nested access privilege check for multi-tenant organizations |
| US10997121B1 (en) * | 2020-07-17 | 2021-05-04 | Snowflake Inc. | Attachable-and-detachable database sessions |
| CN114978998B (zh) * | 2021-02-26 | 2023-12-12 | 中移(苏州)软件技术有限公司 | 一种流量控制方法、装置、终端及存储介质 |
| CN115102749B (zh) * | 2022-06-16 | 2024-03-19 | 上海商汤阡誓科技有限公司 | 一种资源交互方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159072A1 (en) * | 2002-02-04 | 2003-08-21 | Atreus Systems Corp. | Single sign-on for multiple network -based services |
| US20090249440A1 (en) * | 2008-03-30 | 2009-10-01 | Platt Darren C | System, method, and apparatus for managing access to resources across a network |
| CN102571821A (zh) * | 2012-02-22 | 2012-07-11 | 浪潮电子信息产业股份有限公司 | 一种云安全访问控制模型 |
| CN102708316A (zh) * | 2012-04-19 | 2012-10-03 | 北京华胜天成科技股份有限公司 | 一种用于多租户架构中数据隔离的方法 |
| CN102932405A (zh) * | 2011-09-14 | 2013-02-13 | 微软公司 | 对应用的多租户访问 |
| CN102932404A (zh) * | 2011-09-14 | 2013-02-13 | 微软公司 | 对单租赁应用的多重租赁 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002251502A (ja) * | 2001-02-22 | 2002-09-06 | Hitachi Ltd | ユーザ認証とアクセス制限機能とを有する化学物質総合管理システム及びアクセス方法 |
| US20040128542A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
| JP4500608B2 (ja) * | 2004-07-07 | 2010-07-14 | 有限会社インフォメーション・ネット | 企業間電子商取引方法及びシステム |
| US8554694B1 (en) * | 2005-01-31 | 2013-10-08 | Amazon Technologies, Inc. | Computer system and method for community-based shipping |
| US7590565B2 (en) * | 2005-01-31 | 2009-09-15 | Amazon Technologies, Inc. | Method and apparatus for subscription-based shipping |
| US7925973B2 (en) * | 2005-08-12 | 2011-04-12 | Brightcove, Inc. | Distribution of content |
| JP4757687B2 (ja) * | 2006-03-31 | 2011-08-24 | 三菱電機株式会社 | 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム |
| US7991790B2 (en) * | 2007-07-20 | 2011-08-02 | Salesforce.Com, Inc. | System and method for storing documents accessed by multiple users in an on-demand service |
| US8291490B1 (en) | 2008-06-30 | 2012-10-16 | Emc Corporation | Tenant life cycle management for a software as a service platform |
| US8271536B2 (en) | 2008-11-14 | 2012-09-18 | Microsoft Corporation | Multi-tenancy using suite of authorization manager components |
| US8584221B2 (en) * | 2009-10-23 | 2013-11-12 | Microsoft Corporation | Authenticating using cloud authentication |
| KR101684753B1 (ko) * | 2010-02-09 | 2016-12-08 | 인터디지탈 패튼 홀딩스, 인크 | 신뢰적인 연합 아이덴티티를 위한 방법 및 장치 |
| US8566917B2 (en) | 2010-03-19 | 2013-10-22 | Salesforce.Com, Inc. | Efficient single sign-on and identity provider configuration and deployment in a database system |
| US8782748B2 (en) * | 2010-06-22 | 2014-07-15 | Microsoft Corporation | Online service access controls using scale out directory features |
| US9560036B2 (en) | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
| US20120060108A1 (en) * | 2010-09-06 | 2012-03-08 | Gilles Domartini | Systems and methods for flexible digital content monetization in a networked environment |
| US8762344B2 (en) * | 2010-09-17 | 2014-06-24 | Hitachi, Ltd. | Method for managing information processing system and data management computer system |
| US9031957B2 (en) * | 2010-10-08 | 2015-05-12 | Salesforce.Com, Inc. | Structured data in a business networking feed |
| JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
| US20120221709A1 (en) * | 2011-02-24 | 2012-08-30 | Bowes James R | Mechanism to allow hosted and on-site implementations to manage product assets as specified by a third party |
| JP2012212211A (ja) * | 2011-03-30 | 2012-11-01 | Hitachi Ltd | 認証連携システム、および、認証連携方法 |
| US10324946B2 (en) * | 2011-06-23 | 2019-06-18 | Salesforce.Com Inc. | Methods and systems for caching data shared between organizations in a multi-tenant database system |
| US9535573B2 (en) * | 2011-08-26 | 2017-01-03 | Salesforce.Com, Inc. | Systems and methods for dynamic list views and detail pages |
| US9178753B2 (en) * | 2011-08-31 | 2015-11-03 | Salesforce.Com, Inc. | Computer implemented methods and apparatus for providing access to an online social network |
| US9256840B2 (en) * | 2011-12-01 | 2016-02-09 | Sap Se | Establishing business networks using a shared platform |
| US20140058945A1 (en) * | 2012-08-22 | 2014-02-27 | Mcafee, Inc. | Anonymous payment brokering |
| US9397884B2 (en) * | 2012-09-07 | 2016-07-19 | Oracle International Corporation | Workflows for processing cloud services |
| US20140180915A1 (en) * | 2012-12-21 | 2014-06-26 | Zetta, Inc. | Systems and methods for real-time billing and metrics reporting |
-
2013
- 2013-03-15 US US13/841,258 patent/US9325632B2/en not_active Expired - Fee Related
- 2013-11-14 US US14/080,381 patent/US9515950B2/en not_active Expired - Fee Related
-
2014
- 2014-02-13 GB GB1517886.6A patent/GB2529325B/en active Active
- 2014-02-13 CN CN201480015260.4A patent/CN105074685B/zh active Active
- 2014-02-13 JP JP2015562434A patent/JP6355656B2/ja active Active
- 2014-02-13 WO PCT/IB2014/058967 patent/WO2014140963A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159072A1 (en) * | 2002-02-04 | 2003-08-21 | Atreus Systems Corp. | Single sign-on for multiple network -based services |
| US20090249440A1 (en) * | 2008-03-30 | 2009-10-01 | Platt Darren C | System, method, and apparatus for managing access to resources across a network |
| CN102932405A (zh) * | 2011-09-14 | 2013-02-13 | 微软公司 | 对应用的多租户访问 |
| CN102932404A (zh) * | 2011-09-14 | 2013-02-13 | 微软公司 | 对单租赁应用的多重租赁 |
| CN102571821A (zh) * | 2012-02-22 | 2012-07-11 | 浪潮电子信息产业股份有限公司 | 一种云安全访问控制模型 |
| CN102708316A (zh) * | 2012-04-19 | 2012-10-03 | 北京华胜天成科技股份有限公司 | 一种用于多租户架构中数据隔离的方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108701175A (zh) * | 2016-03-30 | 2018-10-23 | 安维智有限公司 | 将用户账户与企业工作空间相关联 |
| CN105871880A (zh) * | 2016-05-10 | 2016-08-17 | 华中科技大学 | 一种云环境下基于信任模型的跨租户访问控制方法 |
| CN105871880B (zh) * | 2016-05-10 | 2018-11-06 | 华中科技大学 | 一种云环境下基于信任模型的跨租户访问控制方法 |
| CN111988173A (zh) * | 2020-08-19 | 2020-11-24 | 北京安瑞志远科技有限公司 | 基于多层父子结构租户的租户管理平台和租户管理方法 |
| CN111988173B (zh) * | 2020-08-19 | 2023-09-12 | 北京安瑞志远科技有限公司 | 基于多层父子结构租户的租户管理平台和租户管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2529325B (en) | 2020-08-05 |
| US9515950B2 (en) | 2016-12-06 |
| GB201517886D0 (en) | 2015-11-25 |
| JP6355656B2 (ja) | 2018-07-11 |
| CN105074685B (zh) | 2017-10-13 |
| US20140280939A1 (en) | 2014-09-18 |
| US20140280583A1 (en) | 2014-09-18 |
| WO2014140963A1 (en) | 2014-09-18 |
| JP2016511479A (ja) | 2016-04-14 |
| US9325632B2 (en) | 2016-04-26 |
| GB2529325A (en) | 2016-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105074685A (zh) | 企业社交商业计算的多租户支持 | |
| CN105991734B (zh) | 一种云平台管理方法及系统 | |
| US9082091B2 (en) | Unified user login for co-location facilities | |
| CN107579958B (zh) | 数据管理方法、装置及系统 | |
| US11870784B2 (en) | Systems and methods for deploying and managing secure limited-administration server systems | |
| CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| US20140317707A1 (en) | Method for sharing data of device in m2m communication and system therefor | |
| CN111314340B (zh) | 认证方法及认证平台 | |
| CN105721433B (zh) | 一种在线社交网络用户私有数据的访问控制方法 | |
| CN109413080B (zh) | 一种跨域动态权限控制方法及系统 | |
| CN108833464A (zh) | 邦联式多域物联网协同系统及方法、智慧城市、智能家居 | |
| CN105871914A (zh) | 客户关系管理系统访问控制方法 | |
| CN105099986A (zh) | 一种网络游戏游戏数据的共享方法和服务器 | |
| WO2021027532A1 (zh) | 一种智能合约的权限验证方法及装置 | |
| CN107113596A (zh) | 在多个物理和虚拟sim卡上提供服务许可聚合的系统和方法 | |
| CN111614664A (zh) | 基于区块链的社区矫正信息共享方法 | |
| US20230185948A1 (en) | Methods and systems for tenancy in a multitenant environment | |
| US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
| US11418509B2 (en) | Cloud architecture to secure privacy of personal data | |
| JP2009031831A (ja) | コミュニティ通信ネットワーク、通信制御方法、コミュニティ管理サーバ、コミュニティ管理方法、およびプログラム | |
| Wang et al. | Shibboleth access for resources on the national grid service (SARoNGS) | |
| CN113542220B (zh) | 一种基于区块链的数据安全共享方法 | |
| CN102833226A (zh) | 一种信息访问系统及其安全控制方法 | |
| CN109684868A (zh) | Acl多租户系统的权限设置方法 | |
| US10375113B2 (en) | Method of managing access control in a cloud network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |