CN108476216B - 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 - Google Patents
用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 Download PDFInfo
- Publication number
- CN108476216B CN108476216B CN201680078123.4A CN201680078123A CN108476216B CN 108476216 B CN108476216 B CN 108476216B CN 201680078123 A CN201680078123 A CN 201680078123A CN 108476216 B CN108476216 B CN 108476216B
- Authority
- CN
- China
- Prior art keywords
- server
- middleware platform
- centralized access
- domain
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
根据实施例,本文描述了用于集成事务中间件平台与集中式访问管理器以在企业级计算环境中提供单点登录认证的系统和方法。企业级计算环境可以包括事务中间件平台和一个或多个SOA中间件平台。每个中间件平台可以包括一个或多个访问代理,以访问被配置为存储企业级计算环境的用户身份和安全策略信息的集中式访问管理器。来自客户端的对事务中间件平台中的应用服务的请求可以被其中的访问代理拦截,该访问代理能够与集中式访问管理器的集中式访问服务器进行通信以获得会话令牌。该会话令牌可以被存储在客户端的执行上下文中,用于授权客户端访问企业级计算环境中每个中间件平台中的资源。
Description
版权声明
本专利文献的公开内容的一部分包含受版权保护的素材。版权拥有者不反对任何人对专利文献或专利公开内容按照其在专利商标局的专利文件或记录中出现的那样进行传真复制,但是除此之外在任何情况下都保留所有版权权利。
技术领域
本发明的实施例一般而言涉及中间件平台,并且具体地涉及用于将事务中间件平台集成到集中式访问管理器中用于在企业级计算环境中跨多个中间件平台的单点登录(single sign-on)认证的系统和方法。
背景技术
事务中间件平台(例如,Oracle的Tuxedo)可以与许多其它系统进行交互以管理分布式事务,因此可以包括多个安全服务器以支持不同类型的认证和授权机制。不同类型的安全服务器可能难以管理,并且使得难以实现在企业级计算环境中跨多个不同类型的中间件平台的单点登录认证。
发明内容
根据实施例,本文描述了用于集成事务中间件平台与集中式访问管理器以在企业级计算环境中提供单点登录认证的系统和方法。企业级计算环境可以包括事务中间件平台和一个或多个SOA中间件平台。每个中间件平台可以包括一个或多个访问代理,以访问被配置为存储企业级计算环境的用户身份和安全策略信息的集中式访问管理器。来自客户端的对事务中间件平台中的应用服务的请求可以被其中的访问代理拦截,访问代理可以与集中式访问管理器的集中式访问服务器进行通信以获得会话令牌。会话令牌可以存储在客户端的执行上下文中,用于授权客户端访问企业级计算环境中每个中间件平台中的资源。
附图说明
图1图示了根据实施例的集中式访问管理器。
图2图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的系统。
图3进一步图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的系统。
图4进一步图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的系统。
图5图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的方法。
图6-图7图示了根据实施例的示例性事务中间件平台。
具体实施方式
在如今的公司环境中,用户常常需要在一个地点(sitting)访问不同的资源。这些资源常常托管在不同类型的中间件系统上。例如,雇员可以登入到人力资源网站来更新他/她的雇员简档,并且随后用户可以登入到另一个网站来检查他/她的费用报销账户。
理想情况下,应当在上述场景中使用单点登录,以避免单独登入到每个网站。但是,这两个网站可能托管在两种不同类型的中间件平台上,这会使得难以实现单点登录解决方案。
例如,人力资源网站可以托管在事务中间件平台上,例如Oracle的Tuxedo平台;用于费用报销的网站可以托管在面向服务的体系架构(SOA)中间件平台上,例如在WebLogic服务器上执行的Oracle的融合中间件(Fusion Middleware)。
根据实施例,本文描述了用于集成事务中间件平台与集中式访问管理器以在企业级计算环境中提供单点登录认证的系统和方法。企业级计算环境可以包括事务中间件平台和一个或多个SOA中间件平台。每个中间件平台可以包括一个或多个访问代理,以访问被配置为存储企业级计算环境的用户身份和安全策略信息的集中式访问管理器。来自客户端的对事务中间件平台中的应用服务的请求可以被其中的访问代理拦截,访问代理可以与集中式访问管理器的集中式访问服务器进行通信以获得会话令牌。会话令牌可以存储在客户端的执行上下文中,用于授权客户端访问企业级计算环境中每个中间件平台中的资源。
中间件平台
中间件平台可以提供软件模块的集合,这些软件模块使得能够构造、执行和管理高性能的分布式应用。中间件平台可以是面向事务的系统,例如Oracle的Tuxedo系统;或者面向面向服务的体系架构(SOA)的系统,例如Oracle融合中间件。
根据实施例,针对面向SOA的中间件平台的应用通常是基于标准的web服务,例如简单对象访问协议(SOAP)服务或代表性状态转移(REST)服务。每个web服务可以与web服务描述语言(WSDL)文件或web应用描述语言(WADL)相关联,该语言描述由web服务提供的方法以及访问web服务所需的参数。
web服务可以被各种基于web的客户端访问,这些客户端包括在web浏览器内部执行的应用(例如,Java小应用程序(Applet))、独立的Java应用、另一个web服务或者通过使用web协议(诸如HTTP)的网络连接来访问基于web的服务的任何程序。web服务可以通过XML消息与另一个基于web的客户端进行通信。
根据实施例,被部署到面向事务的中间件平台或事务中间件平台的应用可以包括一个或多个客户端程序和一个或多个服务器程序。这种应用的客户端程序可以作为应用的一部分进行开发、编译和部署。例如,客户端程序可以被编译并与事务中间件平台的运行时库链接,用于收集来自用户的输入并将请求发送到服务器。服务器程序表示封装业务逻辑以处理来自客户端的输入的一个或多个应用服务。
根据实施例,作为客户端,程序需要能够调用事务中间件平台的通信库(例如,Tuxedo的应用到事务监视器接口或ATMI)中的函数和过程。客户端可以通过调用通信库中的客户端初始化例程来加入应用。一旦客户端加入应用,客户端就可以定义事务边界并调用通信库中的函数以与应用中的应用服务进行通信。
根据实施例,在客户端可以向服务器发送数据之前,客户端需要从事务中间件平台的运行时分配存储器区域/类型化缓冲区(例如,C结构或COBOL记录)。
根据实施例,事务中间件平台可以包括具有关于客户端和服务器的信息的共享存储器(例如,Tuxedo的电子公告板)。客户端可以是本机客户端或工作站客户端。本机客户端在共享存储器所存在的同一台机器上运行来直接访问共享存储器以与服务器进行通信。工作站客户端无法访问共享存储器,并且需要使用TCP/IP套接字(例如,通过执行tpinit()调用)将消息发送到一个或多个服务器进程,这些进程代表工作站客户端访问共享存储器。
事务中间件平台中的应用服务可以使用到事务中间件平台的附加产品或扩展接口被暴露为web服务来可被基于web的客户端访问。
例如,Oracle利用Tuxedo的服务体系架构(SALT)表示使事务中间件平台中的应用服务能够参与到SOA环境中的附加产品。Java在线事务(JOLT)表示基于Java的接口,该接口扩展现有应用服务的功能以包括内联网范围和因特网范围的可用性。
根据实施例,事务中间件平台中的应用服务还可以通过桥接两个平台的网关(例如,WebLogic Tuxedo连接器或WTC)来使得可被基于web的客户端进行web访问。
无论要使用哪种方法,都可以使用执行上下文标识符(ECID)来关联与跨不同平台的特定服务请求相关联的事件和活动,该ECID可以与事务中间件平台内以及跨不同的中间件平台的每个请求一起传播。
根据实施例,在客户端可以访问事务中间件平台中的受保护资源之前,客户端需要被认证和授权。
根据实施例,为了管理分布式事务处理,事务中间件平台可以具有多个安全服务器以支持不同类型的认证和授权机制。例如,Tuxedo可以提供安全服务器来支持基于Unix密码文件和轻量目录访问协议(LDAP)的认证,以及基于访问控制列表(ACL)和LDAP的授权。不同类型的安全服务器的存在可以是难以管理的,并且使得难以在分布式计算环境中实现单点登录认证。
根据实施例,贯穿本文档中使用以下术语:
单点登录(SSO):根据实施例,SSO是指用户只登录一次应用并获得对许多不同应用部件的访问的能力,即使这些部件可能具有它们自己的认证方案。SSO使得用户能够仅以一种身份安全地登入到他们的所有应用、网站和大型机会话。
认证:根据实施例,认证是指用户通过其证明用户的身份并且使用诸如用户名/密码组合之类的凭证来回答用户是谁的问题的机制。
授权:根据实施例,授权是指基于用户身份或其它信息来控制用户和资源之间的交互的处理。授权回答用户可以访问什么的问题。
安全策略:根据实施例,安全策略回答哪个用户有权访问受保护资源的问题。在定义资源与一个或多个用户、组或安全角色之间的关联时,可以创建安全策略。在向资源指派安全策略之前,该资源不受保护。
集中式访问管理器
集中式安全管理器(例如,Oracle访问管理(OAM)套件)可以使应用、数据、web服务和基于云的服务安全。集中式访问管理器可以提供安全功能和单点登录服务,包括身份上下文、认证和授权、策略管理、测试、日志记录和审计。
根据实施例,集中式访问管理器可以提供协议的完整覆盖,以保护通过HTTP、REST和SOAP信道的访问;可以支持用于认证和用户管理的标准,包括OAuth、OpenID和安全声明标记语言(SAML);并且可以供应与现场(on-premises)、SaaS、云、移动应用以及社交网站的集成。
图1图示了根据实施例的集中式访问管理器。
如图1中所示,集中式访问管理器可以包括集中式访问服务器109和一个或多个访问代理(例如,访问代理)105。集中式访问管理器可以驻留于在SOA中间件平台113中的一个或多个微处理器101上执行的应用服务器的实例(例如,Oracle的WebLogic服务器)115上;并且可以包括认证引擎112、授权服务118、单点登录引擎114、会话管理模块116和令牌处理模块121。服务和引擎与多个安全服务124一起工作,以向由向集中式访问管理器注册的访问代理保护的资源(例如,web服务)107提供SSO、认证和授权。
根据实施例,访问代理可以是使得能够跨企业应用进行单点登录的前端实体。集中式访问管理器可以提供软件开发工具包(SDK),例如纯Java SDK和用于创建定制访问代理的应用编程接口(API)。访问代理可以向集中式访问管理器注册以在访问代理与集中式访问服务器之间建立所需的信任机制。
如图1中所示,访问代理可以是web服务器103的一部分,并且可以将认证和授权任务委托给集中式访问服务器。集中式访问服务器可以经由LDAP服务器116在安全数据存储库117中使用用户身份和安全策略数据来认证和授权来自用户102的客户端请求。
根据实施例,对使用访问管理器的安全流程可以进行如下描述:
当在应用处接收到对资源的请求时,访问代理可以构造数据结构,并且使用该数据结构与集中式访问服务器进行通信,以获得指示所请求的资源是否受保护的信息。如果资源不受保护,则访问代理可以授予或拒绝对资源的访问。如果资源受保护,则访问代理可以构造另一个数据结构,用于从集中式访问服务器获得指示用户需要供给什么凭证的信息。
应用可以使用表单或另一种手段向用户询问用户凭证。当用户对应用做出响应时,访问代理可以构造数据结构以将用户凭证呈现给集中式访问服务器,该集中式访问服务器可以将它们映射到安全数据存储库中的用户简档。如果凭证证明是有效的,则访问代理可以为用户创建会话令牌,并向集中式访问服务器发送授权请求。
根据实施例,请求可以包含会话令牌、用户身份、目标资源的名称以及所请求的操作。访问代理可以授予用户对所请求资源的访问,前提是该用户被授权在特定资源上的所请求的操作。
与集中式访问管理器的集成
根据实施例,系统可以集成事务中间件平台与集中式访问管理器,以在企业级计算环境中提供单点登录认证。企业级计算环境可以包括事务中间件平台和一个或多个SOA中间件平台。每个中间件平台可以包括一个或多个访问代理,以访问被配置为存储企业级计算环境的用户身份和安全策略信息的集中式访问管理器。来自客户端的对事务中间件平台中的应用服务的请求可以被其中的定制访问代理拦截,该定制访问代理可以与集中式访问管理器的集中式访问服务器进行通信以获得会话令牌。会话令牌可以存储在客户端的执行上下文中,用于授权客户端访问企业级计算环境中每个中间件平台中的资源。
根据实施例,用户身份和安全策略信息可以存储在集中式访问管理器的数据存储库中。安全策略可以包括关于服务、队列和事件的策略。定制访问代理可以包括认证服务和授权服务,并且可以向集中式访问管理器注册。
根据实施例,当客户端加入应用时,被传递给初始化调用(例如,tpinit())的类型化缓冲区(例如,TPINIT缓冲区)可以被转发到定制访问代理中的认证服务。定制访问代理可以起动与集中式访问服务器的会话、构造包括用户凭证的用户会话对象,并使用该用户会话对象来与集中式访问服务器进行通信用于认证。定制访问代理可以检查响应状态信息以确定认证是否已经成功。
根据实施例,如果认证成功,则可以从会话中检索会话令牌,并将其放在客户端的执行上下文中。会话令牌可以在来自客户端的后续调用中被自动传递到服务器进程,并由服务器用于授权客户端在服务器进程上执行服务。
根据实施例,会话令牌可以在事务中间件平台的不同域之间的类型化缓冲区中传递,以使得第一域中已被授权的客户端能够调用第二域中的服务而无需被重新认证,反之亦然。
根据实施例,可以支持事务中间件平台与外部系统(例如,SOA中间件平台)的web服务之间的SSO。
根据实施例,如果用户通过web服务网关(例如,Oracle SALT)在事务中间件平台中访问应用服务,则可以在HTTP响应中设置会话令牌,并且对外部系统中的外部web服务的任何后续调用可以携带该会话令牌。外部系统中的身份声明安全提供者可以使用该会话令牌来声明用户的身份以实现SSO。如果用户首先访问web服务,则也可以在HTTP响应中设置会话令牌。当用户之后访问事务中间件平台中的资源时,web服务网关可以检索会话令牌并使用这个令牌来声明用户的身份。
图2图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的系统。
如图2中所示,可以在事务中间件平台的域(例如,域A)211中提供安全服务器213。安全服务器可以包括认证服务217和授权服务219。
根据实施例,安全服务器可以是使用由集中式访问管理器提供的软件开发工具包(SDK)开发的定制访问客户端。SDK可以用于为安全服务器提供运行时环境。
如图2中进一步所示,域可以包括多个应用服务器(例如,应用服务器X 221和应用服务器Y 222)。每个应用服务器可以是Tuxedo服务器,并且可以托管一个或多个应用服务,例如应用服务X 223和应用服务Y 224。每个应用服务器可以进一步包括授权插件(例如,授权插件X 225或授权插件Y 226)。每个授权插件可以包括授权高速缓存(例如,授权高速缓存X 229或授权高速缓存Y 230)。
根据实施例,当客户端应用231加入应用时,被传递给tpinit()的TPINIT缓冲区可以被转发到由安全服务器提供的认证服务,该认证服务可以构造包括用户凭证的认证结构。安全服务器可以使用访问SDK API 215将认证请求传递到集中式访问服务器以获得会话令牌218,并且将会话令牌218放在客户端执行上下文216中。
根据实施例,对于具有被设置为ACL至MANDATORY_ACL的安全级别的资源,来自用户的操作(例如,执行应用服务、在应用队列上公布事件)可以触发授权插件来检查被配置为存储授权用户、资源和/或会话令牌的本地授权高速缓存。
如果未找到高速缓存条目,则授权插件可以调用授权服务,例如,使用字段操纵语言(FML)缓冲区。授权服务可以使用会话令牌来针对集中式访问服务器授权所请求的资源。
根据实施例,除了会话令牌之外,客户端执行上下文可以是可以包括用户名或应用密钥的数据结构。
列表1图示了根据实施例的示例性客户端执行上下文。
列表1
根据实施例,会话令牌可以在不同的事务中间件平台域之间传递,例如从域A到域B 277,使得域A中已经被授权的客户端可以调用域B中的应用服务而无需被重新认证,反之亦然。会话令牌可以在数据结构中与域之间的服务请求一起被传递。
根据实施例,会话令牌还可以使用事务中间件平台中的web服务网关(例如,Oracle SALT)266或应用服务网关(例如,WTC)255从事务中间件平台域被传递到SOA中间件平台。
在不同中间件平台之间的会话令牌传递
图3进一步图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的系统。
根据实施例,可以在用于远程域接入点的配置文件中设置在不同事务中间件平台域中执行的应用之间的访问控制列表(ACL)策略。特定远程域的接入点的值可以确定本地域网关是否可以修改从该特定远程域接收到的服务请求的身份。如果ACL策略被设置为LOCAL(本地),则可以修改服务请求的身份;而如果ACL策略被设置为GLOBAL(全局),则可以将服务请求的身份在不改变的情况下传递到本地域。
根据实施例,还可以将凭证策略(例如,CREDENTIAL_POLICY)设置为本地或全局,其中本地指示将移除去往远程域接入点的来自本地服务请求的凭证,而全局指示将不移除去往远程域接入点的来自本地服务请求的凭证。
如图3中所示,ACL策略313和凭证策略314二者都可以在事务中间件平台域A的域配置文件311中被设置为全局,使得从集中式访问服务器获得的会话令牌可以从域A被传递323到域B。
根据实施例,可以对每个域中的访问客户端使用类似的配置以确保会话令牌在两个域中都是有效的。例如,域A中的安全服务器213和域B中的安全服务器377可以使用类似的配置。
根据实施例,会话令牌可以通过本地域网关322在服务请求324中从域A被传递到域B,使得已经在域A中被认证的用户不需要在域B中被重新认证。
根据实施例,web服务网关(例如,Oracle SALT)可以将事务中间件平台中的应用服务暴露为web服务。
如图3中所示,web服务网关可以包括网关服务器366,该网关服务器366可以通过HTTP/S协议经由SOAP与web服务应用连接。网关服务器可以充当网关进程,并且可以作为事务中间件平台中的应用服务器进行管理。
例如,网关服务器可以从SOA中间件平台接受来自web服务应用的SOAP请求,并向Tuxedo服务发出Tuxedo本机调用,或者接受Tuxedo ATMI请求并向web服务应用发出SOAP调用。
根据实施例,对于来自web服务网关的出站(outbound)HTTP请求(例如,HTTP请求367),网关服务器可以在HTTP请求的报头中设置现有会话令牌。SOA中间件平台可以使用该会话令牌作为身份声明。
根据实施例,SOA中间件平台可以使用应用服务网关(例如,WebLogic Tuxedo连接器(WebLogic Tuxedo Connector)或WTC)255来提供web服务应用与应用服务(例如,Tuxedo服务)之间的互操作性。
根据实施例,对于从客户端到应用服务网关的入站(inbound)服务请求(例如,服务请求324),客户端可以在事务中间件平台中被认证。服务请求在被应用服务网关接收之后不需要被重新认证。应用服务网关可以使用密码或域名来直接调用目标web服务。
根据实施例,SOA中间件平台中的安全模块可以检查这个主体的授权(安全身份)。目标web服务(例如,企业Java Bean(EJB))可以在不接收任何认证数据的情况下接收身份。身份可以用于授权检查。
图4进一步图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的系统。
根据实施例,如果在从域B接收到的服务请求中不存在会话令牌,则可以拒绝该服务请求。
如果存在会话令牌,如图4中所示,则可以使用会话令牌423来检查ACL。当接收到424授权请求时,安全服务器可以使用会话令牌来创建用户会话。如果会话令牌有效,则可以成功地创建用户会话,并且可以执行进一步的授权;否则服务请求可能被拒绝。
根据实施例,当域网关从远程域接收到对资源的请求时,如果资源的ACL_POLICY被设置为本地或者该请求不包含会话令牌,则本地域网关可以用在LOCAL_PRINCIPAL_NAME参数中指定的主体名称替换该请求的凭证。如果未指定主体的名称,则主体名称可以缺省为用于远程域接入点的ACCESSPOINTID串。对于这个远程域接入点,也可以提供缺省的密码。
根据实施例,可以在集中式访问服务器中定义缺省的密码和指定的主体名称。
根据实施例,对于入站HTTP请求(例如,HTTP请求467),如果HTTP基本认证用于HTTP请求,则网关服务器可以从请求中提取用户名和密码。网关服务器可以使用提取出的用户名和密码在事务中间件域中的安全服务器上调用421认证服务。安全服务器可以使用上述步骤获得会话令牌。
根据实施例,如果用户已经在SOA中间件平台中被认证,并且会话令牌存在于HTTP报头中,则网关服务器可以提取会话令牌并将其用于授权。
根据实施例,对于来自应用服务网关的出站服务请求,可以在SOA中间件平台中执行对与请求相关联的用户的认证检查。由于没有会话令牌被传递到事务中间件平台(即,域A),因此本地域网关可以使用与上述相同的方法来模仿425期望的主体(LOCAL_PRINCIPAL_NAME或ACCESSPOINTID和远程域密码)。
图5图示了根据实施例的用于集成事务中间件平台与集中式访问管理器的方法。
如图5中所示,在步骤511,可以在面向服务的体系架构(SOA)中间件平台中提供集中式访问管理器,其中该集中式访问管理器包括集中式访问服务器。
在步骤513,可以在事务中间件平台的第一域中提供安全服务器,其中该安全服务器包括认证服务和授权服务,并且被配置为集中式访问管理器的访问代理。
在步骤515,安全服务器可以拦截从客户端到第一域的服务请求。
在步骤517,安全服务器可以使用来自该服务请求的凭证从集中式访问服务器获得会话令牌。
在步骤519,安全服务器可以使用该会话令牌来授权客户端访问事务中间件平台的第二域中以及SOA中间件平台中的资源。
图6-图7图示了根据实施例的示例性事务中间件平台。
根据实施例,Tuxedo(分布式操作被增强的UNIX事务)可以是本发明的各种实施例中描述的事务中间件平台。
Tuxedo表示可以作为操作系统(例如,UNIX)的扩展进行操作的中间件产品或系统。作为用于执行和开发的平台,Tuxedo被设计用于电子商务在线事务处理(OLTP)系统的创建和管理。
根据实施例,图6中所示的Tuxedo系统可以包括用于数据缓冲区的通信、事务和管理中的应用到事务监视器接口(ATMI)环境。
如图6中所示,ATMI环境可以包括外部接口层611、ATMI层613、系统服务层615和资源管理器层617。外部接口层可以提供用户与ATMI环境之间的多个接口。ATMI层可以表示应用与ATMI环境之间的接口。系统服务层可以为开发和管理应用提供服务和/或能力。
根据实施例,Tuxedo系统可以使用基于消息的通信系统来跨各种操作系统平台和数据库来分发应用。
如图7中所示,ATMI环境内的通信可以通过传送消息来完成。Tuxedo系统可以通过操作系统(OS)进程间通信(IPC)消息队列在ATMI客户端与服务器之间传递服务请求消息。系统消息和数据可以在缓冲区中客户端和服务器的OS支持的基于存储器的队列之间传递。
根据实施例,ATMI环境中的消息可以在类型化缓冲区中打包,所述类型化缓冲区可以表示既包含消息数据又包含标识正在被发送的消息数据的类型的数据的缓冲区。
本发明的实施例可以使用一个或多个常规的通用或专用数字计算机、计算设备、机器或微处理器(包括根据本公开的教导进行编程的一个或多个处理器、存储器和/或计算机可读存储介质)来方便地实现。如对软件领域技术人员将显而易见的,基于本公开的教导,适当的软件编码可以由熟练的程序员容易地准备。
在一些实施例中,本发明包括计算机程序产品,计算机程序产品是其上/其中存储有指令的非暂态存储介质或计算机可读介质,指令可以用来对计算机进行编程以执行本发明的任何处理。存储介质的示例可以包括但不限于任何类型的盘(包括软盘、光盘、DVD、CD-ROM、微驱动器和磁光盘)、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪存设备,磁卡或光卡、纳米系统(包括分子存储器IC),或适于存储指令和/或数据的任何类型的介质或设备。
为了说明和描述的目的已经提供了本发明的实施例的前述描述。它不旨在是详尽的或者将本发明限于所公开的精确形式。许多修改和变化对于本领域技术人员来说将是显而易见的。修改和变化包括所公开特征的任何相关组合。实施例的选择和描述是为了最好地解释本发明的原理及其实际应用,由此使本领域的其他技术人员能够理解本发明的各种实施例以及适于预期的特定用途的各种修改。
Claims (28)
1.一种用于集成事务中间件平台与集中式访问管理器的系统,所述系统包括:
面向服务的体系架构(SOA)中间件平台中的集中式访问管理器,其中所述集中式访问管理器包括集中式访问服务器;
事务中间件平台的第一域中的安全服务器,其中所述安全服务器包括认证服务和授权服务,并且被配置为所述集中式访问管理器的访问代理;
其中所述安全服务器进行操作以拦截从客户端到所述第一域的服务请求、使用来自所述服务请求的凭证从所述集中式访问服务器获得会话令牌,并且使用所述会话令牌来授权所述客户端访问所述事务中间件平台的第二域中以及所述SOA中间件平台中的资源。
2.如权利要求1所述的系统,其中所述会话令牌被设置在所述客户端的执行上下文中,并随着来自所述客户端的后续服务请求被自动传递到多个服务器进程。
3.如权利要求1或2所述的系统,其中所述事务中间件平台的所述第一域包括多个应用服务器,其中每个应用服务器包括授权插件和所述授权插件中的授权高速缓存。
4.如权利要求3所述的系统,其中当应用服务器接收到服务请求时,在调用所述安全服务器上的所述认证服务之前,所述授权插件首先检查相关联的授权高速缓存。
5.如权利要求1或2所述的系统,其中所述安全服务器上的所述认证服务构造包括用户凭证的认证结构,并且使用由软件开发工具包(SDK)暴露的访问应用编程接口(API)将所述认证结构传递到所述集中式访问服务器。
6.如权利要求1或2所述的系统,其中所述第一域从所述第二域接收会话令牌,并且使用接收到的会话令牌来授权针对所述集中式访问服务器的请求。
7.如权利要求1或2所述的系统,其中所述第一域经由web服务网关接收HTTP请求,并且从所述HTTP请求中提取用户名和密码,并且使用提取出的凭证从所述集中式访问服务器获得会话令牌。
8.如权利要求1或2所述的系统,其中所述事务中间件平台使用基于消息的通信系统来跨多个不同类型的操作系统平台和数据库来分发应用。
9.如权利要求1或2所述的系统,其中所述事务中间件平台包括用于在一个或多个客户端程序与一个或多个服务器程序之间传送消息的应用到事务监视器接口(ATMI)环境。
10.一种用于集成事务中间件平台与集中式访问管理器的方法,所述方法包括:
在面向服务的体系架构(SOA)中间件平台中提供集中式访问管理器,其中所述集中式访问管理器包括集中式访问服务器;
在事务中间件平台的第一域中提供安全服务器,其中所述安全服务器包括认证服务和授权服务,并且被配置为所述集中式访问管理器的访问代理;
经由所述安全服务器拦截从客户端到所述第一域的服务请求;
使用来自所述服务请求的凭证从所述集中式访问服务器获得会话令牌;以及
使用所述会话令牌来授权所述客户端访问所述事务中间件平台的第二域中以及所述SOA中间件平台中的资源。
11.如权利要求10所述的方法,其中所述会话令牌被设置在所述客户端的执行上下文中,并随着来自所述客户端的后续服务请求被自动传递到多个服务器进程。
12.如权利要求10或11所述的方法,其中所述事务中间件平台的所述第一域包括多个应用服务器,其中每个应用服务器包括授权插件和所述授权插件中的授权高速缓存。
13.如权利要求12所述的方法,其中当应用服务器接收到服务请求时,在调用所述安全服务器上的所述认证服务之前,所述授权插件首先检查相关联的授权高速缓存。
14.如权利要求10或11所述的方法,其中所述安全服务器上的所述认证服务构造包括用户凭证的认证结构,并且使用由软件开发工具包(SDK)暴露的访问应用编程接口(API)将所述认证结构传递到所述集中式访问服务器。
15.如权利要求10或11所述的方法,其中所述第一域从所述第二域接收会话令牌,并且使用接收到的会话令牌来授权针对所述集中式访问服务器的请求。
16.如权利要求10或11所述的方法,其中所述第一域经由web服务网关接收HTTP请求,并且从所述HTTP请求中提取用户名和密码,并且使用提取出的凭证从所述集中式访问服务器获得会话令牌。
17.如权利要求10或11所述的方法,其中所述事务中间件平台使用基于消息的通信系统来跨多个不同类型的操作系统平台和数据库来分发应用。
18.如权利要求10或11所述的方法,其中所述事务中间件平台包括用于在一个或多个客户端程序与一个或多个服务器程序之间传送消息的应用到事务监视器接口(ATMI)环境。
19.一种存储用于集成事务中间件平台与集中式访问管理器的一组指令的非暂态计算机可读存储介质,所述指令在由一个或多个处理器执行时,使得所述一个或多个处理器执行包括以下的步骤:
在面向服务的体系架构(SOA)中间件平台中提供集中式访问管理器,其中所述集中式访问管理器包括集中式访问服务器;
在事务中间件平台的第一域中提供安全服务器,其中所述安全服务器包括认证服务和授权服务,并且被配置为所述集中式访问管理器的访问代理;
经由所述安全服务器拦截从客户端到所述第一域的服务请求;
使用来自所述服务请求的凭证从所述集中式访问服务器获得会话令牌;以及
使用所述会话令牌来授权所述客户端访问所述事务中间件平台的第二域中以及所述SOA中间件平台中的资源。
20.如权利要求19所述的非暂态计算机可读存储介质,其中所述会话令牌被设置在所述客户端的执行上下文中,并随着来自所述客户端的后续服务请求被自动传递到多个服务器进程。
21.如权利要求19或20所述的非暂态计算机可读存储介质,其中所述事务中间件平台的所述第一域包括多个应用服务器,其中每个应用服务器包括授权插件和所述授权插件中的授权高速缓存。
22.如权利要求21所述的非暂态计算机可读存储介质,其中当应用服务器接收到服务请求时,在调用所述安全服务器上的所述认证服务之前,所述授权插件首先检查相关联的授权高速缓存。
23.如权利要求19或20所述的非暂态计算机可读存储介质,其中所述安全服务器上的所述认证服务构造包括用户凭证的认证结构,并且使用由软件开发工具包(SDK)暴露的访问应用编程接口(API)将所述认证结构传递到所述集中式访问服务器。
24.如权利要求19或20所述的非暂态计算机可读存储介质,其中所述第一域从所述第二域接收会话令牌,并且使用接收到的会话令牌来授权针对所述集中式访问服务器的请求。
25.如权利要求19或20所述的非暂态计算机可读存储介质,其中所述事务中间件平台使用基于消息的通信系统来跨多个不同类型的操作系统平台和数据库来分发应用。
26.如权利要求19或20所述的非暂态计算机可读存储介质,其中所述事务中间件平台包括用于在一个或多个客户端程序与一个或多个服务器程序之间传送消息的应用到事务监视器接口(ATMI)环境。
27.一种包括用于执行如权利要求10-18中任一项所述的方法的组件的装置。
28.一种设备,包括:
处理器;以及
存储器,耦合到所述处理器并且所述存储器包括存储在其上的指令,所述指令在由所述处理器执行时,使得所述处理器执行如权利要求10-18中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2016/078002 WO2017166172A1 (en) | 2016-03-31 | 2016-03-31 | System and method for integrating a transactional middleware platform with a centralized access manager for single sign-on in an enterprise-level computing environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108476216A CN108476216A (zh) | 2018-08-31 |
| CN108476216B true CN108476216B (zh) | 2021-01-22 |
Family
ID=59961309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680078123.4A Active CN108476216B (zh) | 2016-03-31 | 2016-03-31 | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10200361B2 (zh) |
| CN (1) | CN108476216B (zh) |
| WO (1) | WO2017166172A1 (zh) |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US10621658B1 (en) | 2015-01-15 | 2020-04-14 | Wells Fargo Bank, N.A. | Identity verification services with identity score through external entities via application programming interface |
| US10937025B1 (en) | 2015-01-15 | 2021-03-02 | Wells Fargo Bank, N.A. | Payment services via application programming interface |
| US10997654B1 (en) | 2015-01-15 | 2021-05-04 | Wells Fargo Bank, N.A. | Identity verification services through external entities via application programming interface |
| US10990974B1 (en) | 2015-01-15 | 2021-04-27 | Wells Fargo Bank, N.A. | Identity verification services and user information provision via application programming interface |
| US20170140134A1 (en) * | 2015-11-16 | 2017-05-18 | Welch Allyn, Inc. | Medical device user caching |
| US10938814B2 (en) * | 2016-05-09 | 2021-03-02 | Aetna Inc. | Unified authentication software development kit |
| US10244071B2 (en) * | 2016-11-21 | 2019-03-26 | Intel Corporation | Data management in an edge network |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11676126B1 (en) | 2017-12-28 | 2023-06-13 | Wells Fargo Bank, N.A. | Account open interfaces |
| US11995619B1 (en) | 2017-12-28 | 2024-05-28 | Wells Fargo Bank, N.A. | Account open interfaces |
| US11106515B1 (en) | 2017-12-28 | 2021-08-31 | Wells Fargo Bank, N.A. | Systems and methods for multi-platform product integration |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| CN109257435B (zh) * | 2018-10-22 | 2021-03-23 | 中国银行股份有限公司 | 基于消息中间件的多实例多子系统应用的通信系统 |
| US11025672B2 (en) | 2018-10-25 | 2021-06-01 | Palantir Technologies Inc. | Approaches for securing middleware data access |
| US11140169B1 (en) * | 2018-10-31 | 2021-10-05 | Workday, Inc. | Cloud platform access system |
| US11093912B1 (en) | 2018-12-10 | 2021-08-17 | Wells Fargo Bank, N.A. | Third-party payment interfaces |
| US12041039B2 (en) * | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US20200364354A1 (en) * | 2019-05-17 | 2020-11-19 | Microsoft Technology Licensing, Llc | Mitigation of ransomware in integrated, isolated applications |
| US11044246B1 (en) * | 2019-06-21 | 2021-06-22 | Wells Fargo Bank, N.A. | Secure communications via third-party systems through frames |
| CN110497920B (zh) * | 2019-08-29 | 2020-11-27 | 华人运通(江苏)技术有限公司 | 信号处理方法、装置及系统 |
| US11695762B2 (en) * | 2019-11-01 | 2023-07-04 | Hyundai Motor Company | Heterogeneous device authentication system and heterogeneous device authentication method thereof |
| US11516202B2 (en) | 2019-12-26 | 2022-11-29 | Vmware, Inc. | Single sign on (SSO) capability for services accessed through messages |
| TR202000707A1 (tr) * | 2020-01-17 | 2021-07-26 | Teknasyon Yazilim Sanayi Ve Ticaret Anonim Sirketi | PROGRAMLANABİLİR CİHAZLARLA DOĞRULAMA YÖNTEMİ ve SİSTEMİ |
| CN111818125A (zh) * | 2020-06-04 | 2020-10-23 | 北京天行有灵科技有限公司 | 一种全厂商rpa机器人的控制方法 |
| CN112367347B (zh) * | 2020-09-18 | 2022-08-23 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 加密设备访问方法、装置和计算机可读存储介质 |
| CN112214211B (zh) * | 2020-09-25 | 2023-08-01 | 华迪计算机集团有限公司 | 基于soa架构的应用系统集成平台 |
| CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
| CN112330288A (zh) * | 2020-11-09 | 2021-02-05 | 东方蓝天钛金科技有限公司 | 一种企业智能核销系统及其核销方法 |
| CN112434276B (zh) * | 2020-12-08 | 2024-08-09 | 武汉卓尔信息科技有限公司 | 一种基于ukey的自适应身份识别系统 |
| CN112583834B (zh) * | 2020-12-14 | 2022-08-09 | 建信金融科技有限责任公司 | 一种通过网关单点登录的方法和装置 |
| CN112822080B (zh) * | 2020-12-31 | 2022-09-16 | 中国人寿保险股份有限公司上海数据中心 | 一种基于soa架构的总线系统 |
| CN113973017B (zh) * | 2021-10-26 | 2022-06-07 | 北京华品博睿网络技术有限公司 | 一种商业智能平台数据处理系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN102065141A (zh) * | 2010-12-27 | 2011-05-18 | 广州欢网科技有限责任公司 | 一种跨应用与浏览器实现单点登录的方法及系统 |
| CN102932136A (zh) * | 2007-09-14 | 2013-02-13 | 安全第一公司 | 用于管理加密密钥的系统和方法 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
| WO2003038608A1 (en) | 2001-10-29 | 2003-05-08 | Accenture Global Services Gmbh | A generic connector between vitria and an ejb compliant api for an application |
| US7831693B2 (en) * | 2003-08-18 | 2010-11-09 | Oracle America, Inc. | Structured methodology and design patterns for web services |
| US7886281B2 (en) | 2004-03-30 | 2011-02-08 | Symantec Corporation | System and methods for cross-tier transaction tracing |
| US8010783B1 (en) * | 2004-04-15 | 2011-08-30 | Aol Inc. | Service provider invocation |
| US7664948B2 (en) | 2004-05-21 | 2010-02-16 | Bea Systems, Inc. | Certificate lookup and validation |
| US8607322B2 (en) * | 2004-07-21 | 2013-12-10 | International Business Machines Corporation | Method and system for federated provisioning |
| US7721322B2 (en) * | 2005-11-22 | 2010-05-18 | Oracle International Corporation | Enterprise service-to-service trust framework |
| US20070220598A1 (en) * | 2006-03-06 | 2007-09-20 | Cisco Systems, Inc. | Proactive credential distribution |
| CN101408955A (zh) | 2008-10-28 | 2009-04-15 | 中国科学院软件研究所 | 一种基于策略的责任认定方法与系统 |
| US8423973B2 (en) | 2009-05-08 | 2013-04-16 | Ca, Inc. | Instrumenting an application with flexible tracers to provide correlation data and metrics |
| US8965957B2 (en) * | 2010-12-15 | 2015-02-24 | Sap Se | Service delivery framework |
| TW201345217A (zh) * | 2012-01-20 | 2013-11-01 | Interdigital Patent Holdings | 具區域功能性身份管理 |
| US20140052548A1 (en) * | 2012-07-18 | 2014-02-20 | Maynard L. Dokken, JR. | System and method for automated advocate marketing with digital rights registration |
| US9369456B2 (en) * | 2012-09-21 | 2016-06-14 | Intuit Inc. | Single sign-on in multi-tenant environments |
| US20140189839A1 (en) * | 2012-12-31 | 2014-07-03 | Michal Jezek | Single sign-on methods and apparatus therefor |
| US9356918B2 (en) * | 2013-03-13 | 2016-05-31 | Google Inc. | Identification delegation for devices |
| US10778663B2 (en) * | 2013-03-15 | 2020-09-15 | Cox Communications, Inc. | Network token authentication scheme |
| US9544293B2 (en) * | 2013-09-20 | 2017-01-10 | Oracle International Corporation | Global unified session identifier across multiple data centers |
| CN103647794B (zh) | 2013-12-31 | 2017-07-21 | 北京启明星辰信息安全技术有限公司 | 一种基于j2ee平台的数据关联方法及关联插件 |
| US9300660B1 (en) * | 2015-05-29 | 2016-03-29 | Pure Storage, Inc. | Providing authorization and authentication in a cloud for a user of a storage array |
| US10348730B2 (en) * | 2015-12-28 | 2019-07-09 | International Business Machines Corporation | Reducing complexities of authentication and authorization for enterprise web-based social applications |
-
2016
- 2016-03-31 CN CN201680078123.4A patent/CN108476216B/zh active Active
- 2016-03-31 WO PCT/CN2016/078002 patent/WO2017166172A1/en active Application Filing
- 2016-06-27 US US15/193,949 patent/US10200361B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932136A (zh) * | 2007-09-14 | 2013-02-13 | 安全第一公司 | 用于管理加密密钥的系统和方法 |
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN102065141A (zh) * | 2010-12-27 | 2011-05-18 | 广州欢网科技有限责任公司 | 一种跨应用与浏览器实现单点登录的方法及系统 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170289140A1 (en) | 2017-10-05 |
| US10200361B2 (en) | 2019-02-05 |
| WO2017166172A1 (en) | 2017-10-05 |
| CN108476216A (zh) | 2018-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108476216B (zh) | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 | |
| CN112088373B (zh) | 用于多租户身份云服务的声明性第三方身份提供者集成 | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| CN109565511B (zh) | 用于多租户身份和数据安全管理云服务的租户和服务管理 | |
| CN109639687B (zh) | 用于提供基于云的身份和访问管理的系统、方法和介质 | |
| CN107852417B (zh) | 多租户身份和数据安全性管理云服务 | |
| CN112913208B (zh) | 具有内部部署的认证集成和桥接器高可用性的多租户身份云服务 | |
| US7721322B2 (en) | Enterprise service-to-service trust framework | |
| US7860883B2 (en) | Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments | |
| CN110995450B (zh) | 基于Kubernetes的认证授权方法及系统 | |
| TWI400922B (zh) | 在聯盟中主用者之認證 | |
| US9380062B2 (en) | Techniques for sharing virtual machine (VM) resources | |
| US8151317B2 (en) | Method and system for policy-based initiation of federation management | |
| US9560080B2 (en) | Extending organizational boundaries throughout a cloud architecture | |
| US7860882B2 (en) | Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations | |
| US8528058B2 (en) | Native use of web service protocols and claims in server authentication | |
| US9497184B2 (en) | User impersonation/delegation in a token-based authentication system | |
| CN112805699A (zh) | 具有内部部署的认证集成的多租户身份云服务 | |
| US8275985B1 (en) | Infrastructure to secure federated web services | |
| US20080271121A1 (en) | External user lifecycle management for federated environments | |
| US20170187705A1 (en) | Method of controlling access to business cloud service | |
| US8543810B1 (en) | Deployment tool and method for managing security lifecycle of a federated web service | |
| CN114205112B (zh) | 一种云端mqtt访问权限控制方法 | |
| Kanaskar et al. | Globus security model for grid environment | |
| Edge et al. | Identity and Device Trust |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |