CN105917309A - 确定第一租户关于第二租户的许可 - Google Patents
确定第一租户关于第二租户的许可 Download PDFInfo
- Publication number
- CN105917309A CN105917309A CN201480073659.8A CN201480073659A CN105917309A CN 105917309 A CN105917309 A CN 105917309A CN 201480073659 A CN201480073659 A CN 201480073659A CN 105917309 A CN105917309 A CN 105917309A
- Authority
- CN
- China
- Prior art keywords
- tenant
- privilege
- cloud
- access
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 16
- 230000007246 mechanism Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000004899 motility Effects 0.000 description 1
- 210000003205 muscle Anatomy 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
提供系统的多个租户之间的特权的第一表示。租户具有根据层次结构的关系,层次结构包括租户的多个层次级,其中,特权中的至少一个指定对第一租户执行关于第二租户的任务的许可。第一表示独立于多个租户之间的关系的表示。响应于来自第一租户的执行关于第二租户的任务的请求,系统基于第一表示确定第一租户是否被许可执行关于第二租户的任务。
Description
背景技术
云系统包括可由云系统的供应商的客户共享的资源或服务。资源可包括处理资源、存储资源、通信资源等。服务可由应用或其他机器可执行指令提供。云系统允许其资源或服务被客户按需访问。
附图说明
参照以下附图描述一些实施方式。
图1是根据一些实施方式的租户特权层次结构(hierarchy)的示意图。
图2是根据一些实施方式的租户关系层次结构的示意图。
图3是根据一些实施方式的包括身份管理系统和租户系统的示例性布置的框图。;
图4是根据进一步的实施方式的包括云系统和租户系统的示例性布置的框图。
图5是根据一些实施方式的租户对租户(tenant-to-tenant)特权管理过程的流程图。
图6是根据一些实施方式的示例性系统的框图。
具体实施方式
云系统的基础结构可由供应商拥有或管理,供应商可为诸如商行、政府机关、教育机构或个人的实体。云系统的基础结构可位于特定的地理位置中,或者可分布在多个地理位置。基础结构包括可由云系统的供应商的客户可用的云资源和云服务。此类客户也被称为是租户,其可位于任何位置,只要其能够通过网络访问云系统。租户可指单个用户或者用户的集合,诸如作为商行、政府机关或教育机构的成员的用户。
云资源可包括以下中的任何一个或者一些组合:处理资源(其可包括一个或多个计算机的处理器)、存储资源(其可包括存储装置,诸如基于磁盘的存储装置或者固态存储装置)、通信资源(其可包括通信装置以允许由用户进行通信,其中通信装置的示例可包括路由器、交换机、通信设施服务器等)以及其他资源。
除了云资源之外,云系统还可提供诸如网页服务的云服务,其可由云系统的租户的用户调用。租户的用户可指机器或人。云服务指的是可由租户调用的功能。该功能可由机器可读指令提供。网页服务指的是可通过诸如因特网的网络访问的服务。
虽然在本讨论中参照了云系统,但应该注意的是,根据一些实施方式的技术或机制也可应用于可包括可由多个租户共享的资源和/或服务的其他类型的系统。
云系统可包括身份管理系统,其存储信息以能够对用户尝试访问云系统进行认证并且能够对访问所请求的该云系统的资源或服务进行授权。其他实体可与身份管理系统交互以执行授权和认证。身份管理系统可定义与云系统的资源和服务的访问相关的特权。特权可指:对给定用户执行动作的许可,该动作可涉及访问云系统的资源或服务。
身份管理系统还提供与创建、读取、更新或删除用户的配置文件(profile)信息的能力相关联的特权。由身份管理系统维持的用户的配置文件信息可包括各种类型的用户数据,包括用户名、邮件地址、登录名(用于登入到云系统)、允许用户访问云系统的一个或多个认证证书(认证证书的示例可包括密码、用户的生物识别信息、密钥等)等。
“多租户”身份管理系统是一种能够执行对多个租户(诸如云系统的多个租户)的身份管理的身份管理系统。
在一些实施方式中,多租户身份管理系统还可存储租户信息和租户关系信息。租户信息包括描述租户的信息,其中,信息可包括租户名、由租户提供的产品或服务以及与租户有关的其他信息。租户关系信息描述了租户之间的关系。例如,第一租户可为各种产品的制造商。第二租户可为第一租户的转销商,其中,第二租户出售第一租户的某些产品。第三租户可为第二租户的客户。在前述示例中,第二租户可被视为是第一租户的子租户,而第三租户可被视为是第二租户的子租户。租户之间的子租户关系也可被称为租户从属(tenant-of-tenant)关系。租户从属关系可指租户之间已建立的关系,其中,该关系可通过协议建立,可基于公司布置(例如,母公司的子公司)建立,或者通过其他类型的布置或理解而建立。
取决于在租户之间提供的特定服务或租户的特定交互,一个租户可以访问另一租户的租户资源。租户资源可包括租户的信息、租户的处理资源、租户的存储资源、租户的通信资源等。注意到,租户的租户资源不同于云系统的云资源。
在一个示例中,转销商可向该转销商的客户提供高级服务,诸如维持服务、支持服务等等。在此类关系中,转销商可部分访问或完全访问转销商的客户的或信息。在另一示例中,如果转销商未向特定客户提供任何高级服务(例如,转销商仅仅向特定客户出售产品而没有在出售产品之后提供进一步的服务),则转销商不会被允许访问该特定客户的信息。
在租户特权信息中指示了一个租户访问另一租户的资源的能力。租户特权信息可指定一个租户关于另一租户具有什么特权。通常来说,租户之间的特权可由租户对租户关系来暗示。例如,一个租户访问子租户的信息,但不可访问另一租户的信息。然而,以这种静态的方式指定租户之间的特权减少了租户之间特权的赋予的灵活性。
根据一些实施方式,提供技术或机制来管理多租户环境中的租户对租户特权,其中,租户具有层次结构中的关系,该层次结构包括多个不同层次级。在租户对租户关系层次结构中,处于层次结构的顶层的租户可具有处于第二、较低层次级的一个或多个子租户。处于第二层次级的租户又可具有处于租户对租户关系层次结构的第三、较低层次级的子租户。
可提供多个租户之间的特权的明确租户特权表示(representation)。该租户特权表示对于多个租户之间的关系的表示而言是额外的并且是独立的。由此,租户之间的特权的表示不必依赖于租户之间的关系。以此方式,可在持续的基础上动态地修改租户之间的特权的表示,无论租户之间的关系是否已被修改。
可在租户特权表示中指定的租户之间的特权的示例可包括以下,作为示例:
将新的子租户添加至租户;
从租户中移除子租户;
访问租户的资源,其中,资源可包括包含在特定租户的租户记录中的信息、或者与该特定租户相关联的任意其他资源,诸如处理资源、存储资源、通信资源等等;
访问包含在与租户相关联的身份管理系统中的信息(包含在身份管理系统中的信息包括:由身份管理系统用来认证用户或者授权对云系统的云资源或云服务的访问的用户身份数据);或
访问包含在与租户相关联的外部系统中的信息,其中,外部系统可为文档存储库或其他外部系统。
更普遍而言,租户特权表示指定对各个层次级处的租户执行关于各个层次级处的其他租户的任务(例如,诸如前述的任何一项)的许可。
图1是租户之间的特权的租户特权表示的示例,其中,从第一租户到第二租户的箭头指示已从第一租户向第二租户赋予某些权限。图1中描绘的租户特权表示是租户特权层次结构100。基础租户位于租户特权层次结构100的第一(顶)层次级102。在一些示例中,基础租户可为产品的制造商或服务的供应商。基础租户的子租户位于租户特权层次结构100的下一层次级104,其中,子租户包括转销商1、转销商2和服务承包商。第二层次级104处的租户的其他子租户位于下一较低层次级106。层次级106处的租户包括客户1.1、客户1.2、客户2.1和客户2.2。客户1.1和1.2是转销商1的子租户,而客户2.1和2.2是转销商2的子租户。
虽然在图1中描绘了三个层次级102、104和106,但应注意的是,不同的租户特权层次结构可包括不同数量的层次级(例如,小于三个或多于三个)。
在图1的租户特权层次结构100中,基础租户关于其子租户中的每个而被赋予特权(诸如上文中列出的那些),子租户包括转销商1、服务承包商和转销商2。而且,转销商2被赋予关于客户2.1和客户2.2的特权。虽然在服务承包商与客户1.2、2.1之间不存在租户对租户关系,但赋予服务承包商关于客户1.2、2.1的特权,因为客户1.2和2.1可能已被选为使用服务承包商的服务。
注意到,在图1中,没有在转销商1及其客户1.1、1.2之间指定特权关系。结果是,转销商1不被赋予任何关于客户1.1和1.2的特权。
虽然示例性租户特权层次结构100示出了处于较高层次级的租户被赋予关于较低层次级处的租户的特权,但应注意的是,在进一步的示例中,较低级租户可被赋予关于较高级租户的特权。例如,客户2.1可被赋予关于转销商2的特权。此外,在额外的示例中,给定层次级处的第一租户可能被赋予关于同一给定层次级处的第二租户的特权。
在进一步的示例中,还可在基础租户与远离基础租户的多于一个层次级的租户之间建立特权关系。例如,可在基础租户与客户1.1、1.2、2.1中的每个之间建立特权关系,以允许基础客户具有关于客户的特权。
图1还描绘了“完全访问”特权(由实线箭头表示)和“部分访问”特权(由虚线箭头表示)。在图1的示例中,基础租户具有关于基础租户的子租户中的每个的完全访问特权,子租户包括转销商1、服务承包商和转销商2。完全访问特权指定基础租户具有所有可能的特权,例如,包括上文中进一步列出的所有示例性特权。图1中的示例性租户特权层次结构指定服务承包商具有关于客户1.2和2.1的部分访问特权,转销商2具有关于客户2.1和2.2的部分访问特权。部分访问特权指示租户具有的特权少于关于另一租户的所有可用的特权。注意到,对于具有多个子租户的第一租户,租户特权层次结构100可指定第一租户关于相应的多个子租户的不同特权。
图2示出了图1中描绘的租户之间的关系的租户关系表示。在一些示例中,租户关系表示可以以租户关系层次结构200的形式。从第一租户到第二租户的箭头指示第二租户是第一租户的子租户。租户关系层次结构200具有多个层次级202、204和206。基础租户处于顶层次及202,转销商1、服务承包商和转销商2处于第二层次级204,而客户1.1、1.2、2.1和2.2处于第三层次级206。
在其他示例中,租户关系层次结构200可包括不同数量的层次级。
在租户关系层次结构200中,客户1.1和1.2是转销商1的子租户,并且客户2.1和2.2是转销商2的子租户。然而,应注意,客户1.1、1.2、2.1和2.2不是服务承包商的子租户。即使在租户关系层次结构200中不存在服务承包商与客户之间的租户对租户关系,图1中的租户特权层次结构100也允许特权关系在服务承包商与客户1.1、2.1之间被建立。
图3示出了包括通过网络302连接至租户系统304的身份管理系统300的示例性布置。租户系统指的是与租户相关联的系统。系统可包括一个或多个计算机,并且可能还包括其他装置。
身份管理系统300可为(图4中描绘的)云系统的一部分,云系统具有可由租户系统304访问的云资源和/或云服务。租户系统对云资源和/或云服务的访问是由身份管理系统300控制的。身份管理系统300包括身份管理引擎306,其可使用用户的配置文件信息(未示出)来认证租户的用户,并且确定用户是否被许可访问云系统的云资源和/或云服务。
身份管理系统300还包括租户信息库308,其存储租户之间的特权(例如,图1中的租户特权层次结构100)的租户特权表示310和租户之间的关系(例如,图2中的租户关系层次结构200)的租户关系表示312。
虽然描绘了作为同一库308的一部分的表示310和312,但应注意的是,在其他示例中,表示310和312可存储在独立的库中。
身份管理系统300包括租户对租户特权管理引擎314,其可访问租户信息库308。租户对租户特权管理引擎314能够访问租户特权表示310,以确定指定租户之间是否存在特权关系。租户对租户特权管理引擎314能够访问租户关系表示312,以确定指定租户之间是否存在租户对租户关系。
租户对租户特权管理引擎314能够更新租户关系表示312。在一个示例中,如果特定的特权关系指示第一租户能够将子租户添加到第二租户,则租户对租户特权管理引擎314将会允许第一租户将子租户添加到第二租户,这可能引起租户关系表示312的修改(第二租户的新的子租户将会被添加至租户关系表示312)。
可在动态的基础上通过租户对租户特权管理引擎314修改该租户特权表示310。例如,身份管理系统300的管理员可决定添加特权、修改特权或删除指定租户之间的特权,这可能通过修改租户特权表示310来实现。注意到,可改变租户特权表示310而不必改变租户关系表示312。
身份管理系统300的引擎中的每个(例如,包括引擎306和314)可为实施各个引擎的功能的硬件和程序的任意组合。硬件和程序的此类组合可以以多种不同方式实施。例如,用于引擎的程序可包括存储在非暂时性机器可读存储介质上的可执行指令,而用于引擎的硬件可包括执行那些指令的处理器。在此类示例中,机器可读存储介质可存储当被处理器运行时实施引擎的功能的指令。存储该指令的机器可读存储介质可集成在计算装置中,计算装置包括运行该指令的处理资源,或者该机器可读存储介质可以是独立的但可由该计算装置和处理资源访问。处理资源可包括包含在单个计算装置中或者分布在多个计算装置中的一个处理器或多个处理器。在其他示例中,任一引擎的功能可以以电路的形式实施。
图4是另一示例性布置的框图,其包括通过网络302连接至租户系统304的云系统400。云系统400包括结合图3讨论过的身份管理系统300。此外,云系统400包括管理对云服务404和云资源406的访问的一个或多个应用402。通过访问应用402,租户系统304可按需访问云服务404和云资源406。
图5是租户对租户特权管理过程的流程图,该方法可通过根据一些示例的租户对租户特权管理引擎314执行。租户对租户特权管理引擎314将租户之间的特权的租户特权表示310(图3)存储在租户信息库308中(在502处)。该表示310的特权中的至少一个指定第一层次级处的第一租户对层次级(其可与第一层次级相同或不同)处的第二租户的资源的访问许可。此外,还可指定其他特权,包括上文列举的那些。
响应于来自第一租户的对第二租户的资源的请求,租户对租户特权管理引擎314可基于租户特权表示310确定第一租户是否被许可访问第二租户的资源(504处)。在其他示例中,来自第一租户的请求可为添加第二租户的子租户的请求,或者可为从第二租户移除子租户的请求,或者可为执行关于第二租户的其他任务的请求。响应于此类其他请求,租户对租户特权管理引擎314可类似地询问该租户特权表示310以确定是否可赋予该请求。
可使用访问控制机制来指定租户特权表示310,访问控制机制可包括一个或多个访问控制列表(ACL)。例如,ACL可与租户中的每个相关联,其中,给定租户的ACL可指定其他租户具有关于给定租户的什么特权以及那些特权是什么。
在进一步的示例中,可使用加密机制来指定租户之间的关系。例如,加密机制可防止另一租户对租户的资源的未授权访问。加密机制可包括以下的一个或一些组合。在一些示例中,为了访问给定租户的资源,就必须使用访问证书。此访问证书可被加密,并且可仅向指定租户提供密钥以解密被加密的访问证书。具有用于解密被加密的访问证书的密钥的租户将能够访问给定租户的资源。
在进一步的示例中,可采用数字签名的访问策略和基于这些签名的强制执行。作为示例,可使用策略管理和强制执行机制,诸如可扩展访问控制标记语言(XACML)机制。此类机制可包括策略管理点,其以数字签名访问策略的形式创建授权策略。当第一租户希望访问第二租户的资源时,策略决策点可基于由第一租户呈现的数字签名访问策略来决定是否可赋予此类访问请求。通过策略管理点事先应用于访问策略的数字签名允许策略决策点独立于策略管理点来验证访问策略。数字签名可为非对称数字签名(例如,数字签名算法或DSA签名),在这种情况下,策略管理点和策略决策点不必共享公共加密机密。
在又进一步的示例中,可使用已采用哈希信息认证码(HMAC)保护的访问策略,并且强制执行可基于该HMAC。作为上述通过使用非对称数字签名来保护访问策略的替代方案,策略管理点和策略决策点可共享公共加密机密,其允许使用对称HMAC技术来验证访问策略,诸如在1997年2月的题为“HMAC:Keyed-Hashing for Message Authentication”的征求评议文件中描述的。
图6是根据一些实施方式的包括一个或多个计算机602的示例性身份管理系统300的框图。每个计算机602包括一个或多个处理器604,其可连接至网络接口606以允许计算机602通过数据网络进行通信。
处理器604可联接至非暂时性机器可读存储介质(或存储媒介)608,其可存储指令和其他信息。指令可包括机器可读指令610,其可包括身份管理指令612(其为图3的身份管理引擎306的一部分)和租户对租户管理指令614(其为图4的租户对租户管理引擎314的一部分)。机器可读指令610可在处理器604上执行。处理器可为微处理器、微控制器、处理器模块或子系统、可编程集成电路、可编程门阵列或其他控制或计算装置。
存储介质(或存储媒介)608还可存储上述租户信息库308。在此使用的“机器可读存储介质”可为包含或存储诸如可执行指令、数据等的电、磁、光或其他物理存储设备。例如,在此描述的任意机器可读存储介质可包括不同形式的存储器,包括:半导体存储装置,诸如动态或静态随机存取存储器(DRAM或SRAM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)和闪存;磁盘,诸如固定硬盘、软盘和可换式磁盘;其他磁介质,包括磁带;光介质,诸如光盘(CD)或数字视频磁盘(DVD);或其他类型的存储装置。注意到,上文讨论的指令可设置在一个计算机可读或机器可读存储介质上,或者可替换地,可设置在分布在具有可能的复数个节点的大型系统中的多个计算机可读或机器可读存储介质上。此类计算机可读或机器可读存储介质或媒介被视为是物品(或者制品)的一部分。物品或制品可指任意制造的单个组件或多个组件。存储介质或媒介可位于运行机器可读指令的机器中或者位于远程位置中,可通过网络从该远程位置下载机器可读指令以运行。
在前述描述中,列举了多个细节以提供对在此描述的主题的理解。然而,各实施方式可在没有这些细节中的一些细节的情况下实施。其他实施方式可包括源自上述细节的修改和变型。随附权利要求书旨在覆盖此类修改和变型。
Claims (15)
1.一种方法,包括:
通过包括处理器的系统存储所述系统的多个租户之间的特权的第一表示,所述多个租户具有根据层次结构的关系,所述层次结构包括租户的多个层次级,其中,所述特权中的至少一个指定第一层次级处的第一租户对层次级中的一个处的第二租户的资源的访问许可,并且其中,所述第一表示独立于所述多个租户之间的关系的表示;以及
响应于来自所述第一租户的对所述第二租户的所述资源的请求,通过所述系统基于所述第一表示确定所述第一租户是否被许可访问所述第二租户的所述资源。
2.如权利要求1所述的方法,其中,所述至少一个特权指定所述第一租户对作为所述层次级中的不同的一个层次级的第二层次级处的所述第二租户的所述资源的访问许可。
3.如权利要求1所述的方法,其中,所述至少一个特权指定所述第一租户对所述第二租户的用户身份数据的访问许可,所述用户身份数据用于授权对由所述系统提供的云服务或云资源的访问。
4.如权利要求1所述的方法,其中,所述特权中的第二特权指定对所述第一租户修改所述第二租户的许可,所述方法进一步包括:
响应于所述第一租户的修改所述第二租户的请求,通过所述系统基于第一表示确定所述第一租户是否被许可修改所述第二租户。
5.如权利要求4所述的方法,其中,所述第二特权指定对所述第一租户通过添加或移除所述第二租户的子租户而修改所述第二租户的许可。
6.如权利要求1所述的方法,进一步包括:
动态地修改所述第一表示,以改变所述多个租户之间的所述特权,而不改变所述多个租户之间的所述关系的所述表示。
7.如权利要求1所述的方法,其中,存储所述第一表示包括:将访问控制信息存储在至少一个访问控制列表中。
8.如权利要求1所述的方法,其中,存储所述第一表示包括:使用加密机制来控制所述特权。
9.如权利要求1所述的方法,其中,所述存储和所述确定是通过身份管理系统执行的,所述身份管理系统执行对所述系统的云服务或云资源的访问的授权。
10.一种系统,包括:
至少一个处理器,用于:
从系统的第一租户接收请求以执行关于所述系统的第二租户的任务;
响应于所述请求,访问多个租户之间的特权的第一表示,所述多个租户具有根据层次结构的关系,所述层次结构包括租户的多个层次级,其中,所述特权指定对各个层次级处的租户执行关于各个层次级处的其他租户的任务的许可,并且其中,所述第一表示独立于所述多个租户之间的所述关系的表示;以及
基于所述第一表示确定所述第一租户是否被许可执行关于所述第二租户的所述任务。
11.如权利要求10所述的系统,其中,确定所述第一租户是否被许可执行关于所述第二租户的所述任务包括:确定所述第一租户是否被许可访问所述第二租户的资源。
12.如权利要求10所述的系统,其中,确定所述第一租户是否被许可执行关于所述第二租户的所述任务包括:确定所述第一租户是否被许可添加或移除所述第二租户的子租户。
13.如权利要求10所述的系统,其中,所述系统是云系统,并且所述云系统进一步包括身份管理引擎,所述身份管理引擎包括所述至少一个处理器,所述身份管理系统授权由所述多个租户中的一个租户的用户访问所述云系统的云服务或云资源。
14.如权利要求10所述的系统,其中,所述第一表示包括租户特权层次结构,所述租户特权层次结构指定所述多个租户之间的特权关系,所述租户特权层次结构包括设置有各个租户的多个层次级。
15.一种制品,包括存储指令的至少一个非暂时性机器可读存储介质,所述指令在被运行时使得云系统执行如下操作:
从所述云系统的第一租户接收请求以执行关于所述云系统的第二租户的任务,所述云系统包括可由多个租户共享的至少一个云资源或至少一个云服务,并且所述云系统进一步包括身份管理系统以授权对所述至少一个云资源或至少一个云服务的访问;
响应于所述请求,访问所述多个租户之间的特权的第一表示,所述多个租户具有根据层次结构的关系,所述层次结构包括租户的多个层次级,其中,所述特权指定对各个层次级处的租户执行关于所述各个层次级处的其他租户的任务的许可,并且其中,所述第一表示独立于所述多个租户之间的所述关系的表示;以及
基于所述第一表示确定所述第一租户是否被许可执行关于所述第二租户的所述任务。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2014/012177 WO2015108539A1 (en) | 2014-01-20 | 2014-01-20 | Determining a permission of a first tenant with respect to a second tenant |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105917309A true CN105917309A (zh) | 2016-08-31 |
| CN105917309B CN105917309B (zh) | 2020-02-07 |
Family
ID=53543297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480073659.8A Expired - Fee Related CN105917309B (zh) | 2014-01-20 | 2014-01-20 | 确定第一租户关于第二租户的许可 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10218703B2 (zh) |
| EP (1) | EP3097486A4 (zh) |
| CN (1) | CN105917309B (zh) |
| WO (1) | WO2015108539A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110365547A (zh) * | 2019-09-09 | 2019-10-22 | 数字广东网络建设有限公司 | 多层级租户体系的租户节点创建方法、装置、设备和介质 |
| CN112567341A (zh) * | 2018-06-15 | 2021-03-26 | 贝宝公司 | 用于多租户架构的统一身份服务 |
| CN114503512A (zh) * | 2019-09-30 | 2022-05-13 | 易享信息技术有限公司 | 允许具有多级的层次结构的嵌套租户 |
Families Citing this family (98)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9678773B1 (en) | 2014-09-30 | 2017-06-13 | Amazon Technologies, Inc. | Low latency computational capacity provisioning |
| US9146764B1 (en) | 2014-09-30 | 2015-09-29 | Amazon Technologies, Inc. | Processing event messages for user requests to execute program code |
| US9600312B2 (en) | 2014-09-30 | 2017-03-21 | Amazon Technologies, Inc. | Threading as a service |
| US9715402B2 (en) | 2014-09-30 | 2017-07-25 | Amazon Technologies, Inc. | Dynamic code deployment and versioning |
| US9830193B1 (en) | 2014-09-30 | 2017-11-28 | Amazon Technologies, Inc. | Automatic management of low latency computational capacity |
| US9323556B2 (en) | 2014-09-30 | 2016-04-26 | Amazon Technologies, Inc. | Programmatic event detection and message generation for requests to execute program code |
| US10048974B1 (en) | 2014-09-30 | 2018-08-14 | Amazon Technologies, Inc. | Message-based computation request scheduling |
| US20160117318A1 (en) | 2014-10-28 | 2016-04-28 | Salesforce.Com, Inc. | Facilitating dynamically unified system of record in an on-demand services environment |
| US9537788B2 (en) | 2014-12-05 | 2017-01-03 | Amazon Technologies, Inc. | Automatic determination of resource sizing |
| US9733967B2 (en) | 2015-02-04 | 2017-08-15 | Amazon Technologies, Inc. | Security protocols for low latency execution of program code |
| US9588790B1 (en) | 2015-02-04 | 2017-03-07 | Amazon Technologies, Inc. | Stateful virtual compute system |
| US9785476B2 (en) | 2015-04-08 | 2017-10-10 | Amazon Technologies, Inc. | Endpoint management system and virtual compute system |
| US9930103B2 (en) | 2015-04-08 | 2018-03-27 | Amazon Technologies, Inc. | Endpoint management system providing an application programming interface proxy service |
| US10044723B1 (en) | 2015-06-30 | 2018-08-07 | EMC IP Holding Company LLC | Principal/user operation in the context of a tenant infrastructure |
| US10009337B1 (en) * | 2015-06-30 | 2018-06-26 | EMC IP Holding Company LLC | Child tenant revocation in a multiple tenant environment |
| US9992186B1 (en) | 2015-06-30 | 2018-06-05 | EMC IP Holding Company LLC | SAML representation for multi-tenancy environments |
| US10042660B2 (en) | 2015-09-30 | 2018-08-07 | Amazon Technologies, Inc. | Management of periodic requests for compute capacity |
| US10374868B2 (en) * | 2015-10-29 | 2019-08-06 | Pure Storage, Inc. | Distributed command processing in a flash storage system |
| US10754701B1 (en) | 2015-12-16 | 2020-08-25 | Amazon Technologies, Inc. | Executing user-defined code in response to determining that resources expected to be utilized comply with resource restrictions |
| US9811434B1 (en) | 2015-12-16 | 2017-11-07 | Amazon Technologies, Inc. | Predictive management of on-demand code execution |
| US10013267B1 (en) | 2015-12-16 | 2018-07-03 | Amazon Technologies, Inc. | Pre-triggers for code execution environments |
| US9910713B2 (en) | 2015-12-21 | 2018-03-06 | Amazon Technologies, Inc. | Code execution request routing |
| US10002026B1 (en) | 2015-12-21 | 2018-06-19 | Amazon Technologies, Inc. | Acquisition and maintenance of dedicated, reserved, and variable compute capacity |
| US10067801B1 (en) | 2015-12-21 | 2018-09-04 | Amazon Technologies, Inc. | Acquisition and maintenance of compute capacity |
| US10412168B2 (en) | 2016-02-17 | 2019-09-10 | Latticework, Inc. | Implementing a storage system using a personal user device and a data distribution device |
| US10162672B2 (en) | 2016-03-30 | 2018-12-25 | Amazon Technologies, Inc. | Generating data streams from pre-existing data sets |
| US11132213B1 (en) | 2016-03-30 | 2021-09-28 | Amazon Technologies, Inc. | Dependency-based process of pre-existing data sets at an on demand code execution environment |
| US10891145B2 (en) | 2016-03-30 | 2021-01-12 | Amazon Technologies, Inc. | Processing pre-existing data sets at an on demand code execution environment |
| EP3361700B1 (en) | 2016-05-11 | 2021-08-04 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
| US10282229B2 (en) | 2016-06-28 | 2019-05-07 | Amazon Technologies, Inc. | Asynchronous task management in an on-demand network code execution environment |
| US10102040B2 (en) | 2016-06-29 | 2018-10-16 | Amazon Technologies, Inc | Adjusting variable limit on concurrent code executions |
| US10277708B2 (en) | 2016-06-30 | 2019-04-30 | Amazon Technologies, Inc. | On-demand network code execution with cross-account aliases |
| CN109478134B (zh) * | 2016-06-30 | 2022-08-26 | 亚马逊技术有限公司 | 用跨账户别名执行按需网络代码 |
| US10203990B2 (en) | 2016-06-30 | 2019-02-12 | Amazon Technologies, Inc. | On-demand network code execution with cross-account aliases |
| US10884787B1 (en) | 2016-09-23 | 2021-01-05 | Amazon Technologies, Inc. | Execution guarantees in an on-demand network code execution system |
| US10061613B1 (en) | 2016-09-23 | 2018-08-28 | Amazon Technologies, Inc. | Idempotent task execution in on-demand network code execution systems |
| US11119813B1 (en) | 2016-09-30 | 2021-09-14 | Amazon Technologies, Inc. | Mapreduce implementation using an on-demand network code execution system |
| US10592681B2 (en) * | 2017-01-10 | 2020-03-17 | Snowflake Inc. | Data sharing in a multi-tenant database system |
| US10223443B2 (en) * | 2017-04-06 | 2019-03-05 | Ringcentral, Inc. | System, device, and method for administration of an electronic communications device in a communications network |
| US10564946B1 (en) | 2017-12-13 | 2020-02-18 | Amazon Technologies, Inc. | Dependency handling in an on-demand network code execution system |
| US10303492B1 (en) | 2017-12-13 | 2019-05-28 | Amazon Technologies, Inc. | Managing custom runtimes in an on-demand code execution system |
| US10353678B1 (en) | 2018-02-05 | 2019-07-16 | Amazon Technologies, Inc. | Detecting code characteristic alterations due to cross-service calls |
| US10831898B1 (en) | 2018-02-05 | 2020-11-10 | Amazon Technologies, Inc. | Detecting privilege escalations in code including cross-service calls |
| US10733085B1 (en) | 2018-02-05 | 2020-08-04 | Amazon Technologies, Inc. | Detecting impedance mismatches due to cross-service calls |
| US10572375B1 (en) | 2018-02-05 | 2020-02-25 | Amazon Technologies, Inc. | Detecting parameter validity in code including cross-service calls |
| US10725752B1 (en) | 2018-02-13 | 2020-07-28 | Amazon Technologies, Inc. | Dependency handling in an on-demand network code execution system |
| EP3528110A1 (en) * | 2018-02-19 | 2019-08-21 | Siemens Aktiengesellschaft | Method and system for managing sub-tenants in a cloud computing environment |
| US10776091B1 (en) | 2018-02-26 | 2020-09-15 | Amazon Technologies, Inc. | Logging endpoint in an on-demand code execution system |
| US11734658B2 (en) | 2018-06-15 | 2023-08-22 | Paypal, Inc. | Transactions between services in a multi-tenant architecture |
| US11336453B2 (en) | 2018-06-15 | 2022-05-17 | Paypal, Inc. | Transactions between services in a multi-tenant architecture |
| US11055719B2 (en) * | 2018-06-15 | 2021-07-06 | Paypal, Inc. | Multi-tenant dispute services |
| US11470166B2 (en) | 2018-06-15 | 2022-10-11 | Paypal, Inc. | Multi-tenant marketplace architectures |
| US11586456B2 (en) | 2018-06-15 | 2023-02-21 | Paypal, Inc. | Agency and regulation modeling for transactions in multi-tenant systems |
| US11113675B2 (en) * | 2018-06-15 | 2021-09-07 | Paypal, Inc. | Unified transaction services for multi-tenant architectures |
| US10853115B2 (en) | 2018-06-25 | 2020-12-01 | Amazon Technologies, Inc. | Execution of auxiliary functions in an on-demand network code execution system |
| US10649749B1 (en) | 2018-06-26 | 2020-05-12 | Amazon Technologies, Inc. | Cross-environment application of tracing information for improved code execution |
| US11146569B1 (en) | 2018-06-28 | 2021-10-12 | Amazon Technologies, Inc. | Escalation-resistant secure network services using request-scoped authentication information |
| US10949237B2 (en) | 2018-06-29 | 2021-03-16 | Amazon Technologies, Inc. | Operating system customization in an on-demand network code execution system |
| US11099870B1 (en) | 2018-07-25 | 2021-08-24 | Amazon Technologies, Inc. | Reducing execution times in an on-demand network code execution system using saved machine states |
| US11243953B2 (en) | 2018-09-27 | 2022-02-08 | Amazon Technologies, Inc. | Mapreduce implementation in an on-demand network code execution system and stream data processing system |
| US11099917B2 (en) | 2018-09-27 | 2021-08-24 | Amazon Technologies, Inc. | Efficient state maintenance for execution environments in an on-demand code execution system |
| US11943093B1 (en) | 2018-11-20 | 2024-03-26 | Amazon Technologies, Inc. | Network connection recovery after virtual machine transition in an on-demand network code execution system |
| US10884812B2 (en) | 2018-12-13 | 2021-01-05 | Amazon Technologies, Inc. | Performance-based hardware emulation in an on-demand network code execution system |
| US11650749B1 (en) | 2018-12-17 | 2023-05-16 | Pure Storage, Inc. | Controlling access to sensitive data in a shared dataset |
| US11010188B1 (en) | 2019-02-05 | 2021-05-18 | Amazon Technologies, Inc. | Simulated data object storage using on-demand computation of data objects |
| US11861386B1 (en) | 2019-03-22 | 2024-01-02 | Amazon Technologies, Inc. | Application gateways in an on-demand network code execution system |
| US11119809B1 (en) | 2019-06-20 | 2021-09-14 | Amazon Technologies, Inc. | Virtualization-based transaction handling in an on-demand network code execution system |
| US11159528B2 (en) | 2019-06-28 | 2021-10-26 | Amazon Technologies, Inc. | Authentication to network-services using hosted authentication information |
| US11190609B2 (en) | 2019-06-28 | 2021-11-30 | Amazon Technologies, Inc. | Connection pooling for scalable network services |
| US11115404B2 (en) | 2019-06-28 | 2021-09-07 | Amazon Technologies, Inc. | Facilitating service connections in serverless code executions |
| US11386230B2 (en) | 2019-09-27 | 2022-07-12 | Amazon Technologies, Inc. | On-demand code obfuscation of data in input path of object storage service |
| US10996961B2 (en) | 2019-09-27 | 2021-05-04 | Amazon Technologies, Inc. | On-demand indexing of data in input path of object storage service |
| US11416628B2 (en) | 2019-09-27 | 2022-08-16 | Amazon Technologies, Inc. | User-specific data manipulation system for object storage service based on user-submitted code |
| US11263220B2 (en) | 2019-09-27 | 2022-03-01 | Amazon Technologies, Inc. | On-demand execution of object transformation code in output path of object storage service |
| US11394761B1 (en) | 2019-09-27 | 2022-07-19 | Amazon Technologies, Inc. | Execution of user-submitted code on a stream of data |
| US11250007B1 (en) | 2019-09-27 | 2022-02-15 | Amazon Technologies, Inc. | On-demand execution of object combination code in output path of object storage service |
| US10908927B1 (en) | 2019-09-27 | 2021-02-02 | Amazon Technologies, Inc. | On-demand execution of object filter code in output path of object storage service |
| US11023311B2 (en) | 2019-09-27 | 2021-06-01 | Amazon Technologies, Inc. | On-demand code execution in input path of data uploaded to storage service in multiple data portions |
| US11106477B2 (en) | 2019-09-27 | 2021-08-31 | Amazon Technologies, Inc. | Execution of owner-specified code during input/output path to object storage service |
| US11656892B1 (en) | 2019-09-27 | 2023-05-23 | Amazon Technologies, Inc. | Sequential execution of user-submitted code and native functions |
| US11360948B2 (en) | 2019-09-27 | 2022-06-14 | Amazon Technologies, Inc. | Inserting owner-specified data processing pipelines into input/output path of object storage service |
| US11550944B2 (en) | 2019-09-27 | 2023-01-10 | Amazon Technologies, Inc. | Code execution environment customization system for object storage service |
| US11055112B2 (en) | 2019-09-27 | 2021-07-06 | Amazon Technologies, Inc. | Inserting executions of owner-specified code into input/output path of object storage service |
| US11023416B2 (en) | 2019-09-27 | 2021-06-01 | Amazon Technologies, Inc. | Data access control system for object storage service based on owner-defined code |
| US11768699B2 (en) * | 2019-10-05 | 2023-09-26 | Microsoft Technology Licensing, Llc | Enforce changes in session behavior based on updated machine learning model with detected risk behavior during session |
| US11368547B2 (en) * | 2019-10-11 | 2022-06-21 | Sap Se | Component zones in a cloud platform |
| US11503037B2 (en) * | 2019-11-04 | 2022-11-15 | Microsoft Technology Licensing, Llc | Nested access privilege check for multi-tenant organizations |
| US11675927B2 (en) * | 2019-11-13 | 2023-06-13 | Open Text Sa Ulc | System and method for external users in groups of a multitenant system |
| US11119826B2 (en) | 2019-11-27 | 2021-09-14 | Amazon Technologies, Inc. | Serverless call distribution to implement spillover while avoiding cold starts |
| US10942795B1 (en) | 2019-11-27 | 2021-03-09 | Amazon Technologies, Inc. | Serverless call distribution to utilize reserved capacity without inhibiting scaling |
| US11714682B1 (en) | 2020-03-03 | 2023-08-01 | Amazon Technologies, Inc. | Reclaiming computing resources in an on-demand code execution system |
| US11188391B1 (en) | 2020-03-11 | 2021-11-30 | Amazon Technologies, Inc. | Allocating resources to on-demand code executions under scarcity conditions |
| JP7456217B2 (ja) * | 2020-03-18 | 2024-03-27 | 株式会社リコー | 情報処理システム、ユーザー作成方法 |
| US11775640B1 (en) | 2020-03-30 | 2023-10-03 | Amazon Technologies, Inc. | Resource utilization-based malicious task detection in an on-demand code execution system |
| US11593270B1 (en) | 2020-11-25 | 2023-02-28 | Amazon Technologies, Inc. | Fast distributed caching using erasure coded object parts |
| US11550713B1 (en) | 2020-11-25 | 2023-01-10 | Amazon Technologies, Inc. | Garbage collection in distributed systems using life cycled storage roots |
| US11388210B1 (en) | 2021-06-30 | 2022-07-12 | Amazon Technologies, Inc. | Streaming analytics using a serverless compute system |
| US20230095050A1 (en) * | 2021-09-30 | 2023-03-30 | Microsoft Technology Licensing, Llc | Dynamic enforcement of cross-tenant access policies |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067406A (zh) * | 2013-01-14 | 2013-04-24 | 暨南大学 | 一种公有云与私有云之间的访问控制系统及方法 |
| CN103312721A (zh) * | 2013-07-04 | 2013-09-18 | 北京迈普华兴信息技术有限公司 | 一种云平台访问控制架构及其实现方法 |
| US20140007178A1 (en) * | 2012-06-27 | 2014-01-02 | Microsoft Corporation | Model for managing hosted resources using logical scopes |
Family Cites Families (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6397125B1 (en) | 1998-12-18 | 2002-05-28 | International Business Machines Corporation | Method of and apparatus for performing design synchronization in a computer system |
| US8161081B2 (en) | 2001-03-16 | 2012-04-17 | Michael Philip Kaufman | System and method for generating automatic user interface for arbitrarily complex or large databases |
| AU2003239490A1 (en) | 2002-05-14 | 2003-12-02 | Verity, Inc. | Searching structured, semi-structured, and unstructured content |
| US7343628B2 (en) | 2003-05-28 | 2008-03-11 | Sap Ag | Authorization data model |
| US7630974B2 (en) | 2004-09-28 | 2009-12-08 | Oracle International Corporation | Multi-language support for enterprise identity and access management |
| US7996883B2 (en) | 2004-12-09 | 2011-08-09 | International Business Machines Corporation | Centralized identity management for delegating resource management in a technology outsourcing environment |
| US7730523B1 (en) * | 2005-06-17 | 2010-06-01 | Oracle America, Inc. | Role-based access using combinatorial inheritance and randomized conjugates in an internet hosted environment |
| US8447829B1 (en) | 2006-02-10 | 2013-05-21 | Amazon Technologies, Inc. | System and method for controlling access to web services resources |
| US9177124B2 (en) | 2006-03-01 | 2015-11-03 | Oracle International Corporation | Flexible authentication framework |
| WO2008091912A2 (en) | 2007-01-22 | 2008-07-31 | Syracuse University | Distributed video content management and sharing systems |
| US8434129B2 (en) | 2007-08-02 | 2013-04-30 | Fugen Solutions, Inc. | Method and apparatus for multi-domain identity interoperability and compliance verification |
| US8132231B2 (en) | 2007-12-06 | 2012-03-06 | International Business Machines Corporation | Managing user access entitlements to information technology resources |
| US8478782B1 (en) * | 2008-05-08 | 2013-07-02 | Salesforce.Com, Inc. | System, method and computer program product for sharing tenant information utilizing a multi-tenant on-demand database service |
| US8843648B2 (en) * | 2009-05-26 | 2014-09-23 | Microsoft Corporation | External access and partner delegation |
| US8555055B2 (en) | 2009-06-02 | 2013-10-08 | Microsoft Corporation | Delegation model for role-based access control administration |
| US8468345B2 (en) | 2009-11-16 | 2013-06-18 | Microsoft Corporation | Containerless data for trustworthy computing and data services |
| US20110126197A1 (en) | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
| WO2011091056A1 (en) | 2010-01-19 | 2011-07-28 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer |
| US8458191B2 (en) | 2010-03-15 | 2013-06-04 | International Business Machines Corporation | Method and system to store RDF data in a relational store |
| WO2011159842A2 (en) | 2010-06-15 | 2011-12-22 | Nimbula, Inc. | Virtual computing infrastructure |
| EP2458548A1 (en) | 2010-11-30 | 2012-05-30 | France Telecom | System and method for implementing dynamic access control rules to personal cloud information |
| US8612600B2 (en) | 2010-12-07 | 2013-12-17 | Nec Laboratories America, Inc. | Negotiation tool and method for cloud infrastructure data sharing |
| US9699168B2 (en) | 2010-12-13 | 2017-07-04 | International Business Machines Corporation | Method and system for authenticating a rich client to a web or cloud application |
| US9430291B2 (en) | 2010-12-30 | 2016-08-30 | International Business Machines Corporation | Distributed topology enabler for identity manager |
| US9460169B2 (en) | 2011-01-12 | 2016-10-04 | International Business Machines Corporation | Multi-tenant audit awareness in support of cloud environments |
| US8510267B2 (en) | 2011-03-08 | 2013-08-13 | Rackspace Us, Inc. | Synchronization of structured information repositories |
| US8806568B2 (en) | 2011-07-11 | 2014-08-12 | International Business Machines Corporation | Automatic generation of user account policies based on configuration management database information |
| US8533231B2 (en) | 2011-08-12 | 2013-09-10 | Nexenta Systems, Inc. | Cloud storage system with distributed metadata |
| US10044713B2 (en) | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
| US20130053356A1 (en) | 2011-08-26 | 2013-02-28 | Hector F. DeLuca | 2-methylene-19,23,24-trinor-1alpha-hydroxyvitamin d3 |
| US10885179B2 (en) | 2011-10-05 | 2021-01-05 | Salesforce.Com, Inc. | Just-in-time user provisioning framework in a multitenant environment |
| CN103136055B (zh) | 2011-11-25 | 2016-08-03 | 国际商业机器公司 | 用于在数据库服务中控制对计算资源的使用的方法和装置 |
| US9256840B2 (en) | 2011-12-01 | 2016-02-09 | Sap Se | Establishing business networks using a shared platform |
| US20130185431A1 (en) | 2012-01-12 | 2013-07-18 | Hcl Technologies Limited | Uniform Definition, Provision, and Access of Software Services on the Cloud |
| US9009319B2 (en) * | 2012-01-18 | 2015-04-14 | Rackspace Us, Inc. | Optimizing allocation of on-demand resources using performance |
| US9058198B2 (en) * | 2012-02-29 | 2015-06-16 | Red Hat Inc. | System resource sharing in a multi-tenant platform-as-a-service environment in a cloud computing system |
| US9053117B2 (en) | 2012-04-11 | 2015-06-09 | 4Clicks Solutions, LLC | Storing application data with a unique ID |
| US20140007189A1 (en) * | 2012-06-28 | 2014-01-02 | International Business Machines Corporation | Secure access to shared storage resources |
| US9405532B1 (en) * | 2013-03-06 | 2016-08-02 | NetSuite Inc. | Integrated cloud platform translation system |
| US9411973B2 (en) * | 2013-05-02 | 2016-08-09 | International Business Machines Corporation | Secure isolation of tenant resources in a multi-tenant storage system using a security gateway |
| US9471798B2 (en) * | 2013-09-20 | 2016-10-18 | Oracle International Corporation | Authorization policy objects sharable across applications, persistence model, and application-level decision-combining algorithm |
| WO2015108536A1 (en) | 2014-01-20 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Mapping tenant groups to identity management classes |
| US20160335338A1 (en) | 2014-01-20 | 2016-11-17 | Hewlett-Packard Development Company, L.P. | Controlling replication of identity information |
| US10708253B2 (en) | 2014-01-20 | 2020-07-07 | Hewlett-Packard Development Company, L.P. | Identity information including a schemaless portion |
| US9641964B2 (en) * | 2014-09-03 | 2017-05-02 | CloudLeaf, Inc. | Systems, methods and devices for asset status determination |
| US9774586B1 (en) * | 2015-08-31 | 2017-09-26 | EMC IP Holding Company LLC | Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles |
-
2014
- 2014-01-20 EP EP14879051.2A patent/EP3097486A4/en not_active Ceased
- 2014-01-20 US US15/112,394 patent/US10218703B2/en not_active Expired - Fee Related
- 2014-01-20 WO PCT/US2014/012177 patent/WO2015108539A1/en active Application Filing
- 2014-01-20 CN CN201480073659.8A patent/CN105917309B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140007178A1 (en) * | 2012-06-27 | 2014-01-02 | Microsoft Corporation | Model for managing hosted resources using logical scopes |
| CN103067406A (zh) * | 2013-01-14 | 2013-04-24 | 暨南大学 | 一种公有云与私有云之间的访问控制系统及方法 |
| CN103312721A (zh) * | 2013-07-04 | 2013-09-18 | 北京迈普华兴信息技术有限公司 | 一种云平台访问控制架构及其实现方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112567341A (zh) * | 2018-06-15 | 2021-03-26 | 贝宝公司 | 用于多租户架构的统一身份服务 |
| CN110365547A (zh) * | 2019-09-09 | 2019-10-22 | 数字广东网络建设有限公司 | 多层级租户体系的租户节点创建方法、装置、设备和介质 |
| CN110365547B (zh) * | 2019-09-09 | 2019-12-24 | 数字广东网络建设有限公司 | 多层级租户体系的租户节点创建方法、装置、设备和计算机可读存储介质 |
| CN114503512A (zh) * | 2019-09-30 | 2022-05-13 | 易享信息技术有限公司 | 允许具有多级的层次结构的嵌套租户 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160337365A1 (en) | 2016-11-17 |
| EP3097486A4 (en) | 2018-04-04 |
| CN105917309B (zh) | 2020-02-07 |
| EP3097486A1 (en) | 2016-11-30 |
| US10218703B2 (en) | 2019-02-26 |
| WO2015108539A1 (en) | 2015-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105917309A (zh) | 确定第一租户关于第二租户的许可 | |
| Wang et al. | Protecting outsourced data in cloud computing through access management | |
| EP3084590B1 (en) | Controlling access to a software application | |
| US10397213B2 (en) | Systems, methods, and software to provide access control in cloud computing environments | |
| US20160330209A1 (en) | A data securing system and method | |
| US9223807B2 (en) | Role-oriented database record field security model | |
| US20160057150A1 (en) | Event analytics for determining role-based access | |
| US10372483B2 (en) | Mapping tenat groups to identity management classes | |
| US20140129632A1 (en) | Apparatus and Method for Social Account Access Control | |
| Golightly et al. | Securing distributed systems: A survey on access control techniques for cloud, blockchain, IoT and SDN | |
| US20160335338A1 (en) | Controlling replication of identity information | |
| Masood et al. | Comparative analysis of access control systems on cloud | |
| JP5443236B2 (ja) | 分散型データベースシステム | |
| Fernandez et al. | Two patterns for cloud computing: Secure virtual machine image repository and cloud policy management point | |
| Kanimozhi et al. | Secure cloud‐based e‐learning system with access control and group key mechanism | |
| US8995665B1 (en) | Role based encryption without key management system | |
| Raje | Security and Microservice Architecture on AWS | |
| Abdelfattah et al. | A novel role-mapping algorithm for enhancing highly collaborative access control system | |
| Mammass et al. | An overview on access control models | |
| Chen | A hierarchical virtual role assignment for negotiation-based RBAC scheme | |
| Maroua et al. | Formal approach for authorization in distributed business process related task document role based access control | |
| Lance et al. | Designing and deploying a data security strategy with Google Cloud | |
| US20230342486A1 (en) | Permissions management for queries in a graph | |
| Prasanth | Cloud Computing: Secure and Scalable Data Access Security Models | |
| Fakhar et al. | Comparative analysis on security mechanisms in cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200207 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |