CN111712792B - 在云计算环境中管理子租户的方法和系统 - Google Patents
在云计算环境中管理子租户的方法和系统 Download PDFInfo
- Publication number
- CN111712792B CN111712792B CN201980014163.6A CN201980014163A CN111712792B CN 111712792 B CN111712792 B CN 111712792B CN 201980014163 A CN201980014163 A CN 201980014163A CN 111712792 B CN111712792 B CN 111712792B
- Authority
- CN
- China
- Prior art keywords
- tenant
- asset
- sub
- access
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000012545 processing Methods 0.000 claims description 16
- 238000013475 authorization Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 238000007405 data analysis Methods 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 238000013079 data visualisation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
- H04L47/762—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions triggered by the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/72—Admission control; Resource allocation using reservation actions during connection setup
- H04L47/726—Reserving resources in multiple paths to be used simultaneously
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/78—Architectures of resource allocation
- H04L47/783—Distributed allocation of resources, e.g. bandwidth brokers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/148—Migration or transfer of sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及用于在云计算环境(100)中管理子租户(106A‑N)的方法和系统。在一个实施例中,该方法包括:从与租户(134A)的子租户(106A)相关联的子租户设备(114A)接收从云计算系统(102)访问资产(108A)的数据子集的请求。子租户(106A)与资产(108A)相关联。该请求包括子租户标识符、租户标识符和资产标识符。该方法包括基于用于访问所请求的资产(108A)子集数据的相关联的许可和至少一个角色,使用子租户标识符、租户标识符和资产标识符来确定是否授权子租户(106A)访问所请求的资产(108A)的数据的子集。如果子租户(106A)被授权访问所请求的资产(108A)的子集数据,则该方法包括向子租户(106A)提供对所请求的资产(108A)的子集数据的访问。
Description
技术领域
本发明涉及云计算系统领域,并且更加尤其涉及一种用于在云计算环境中管理子租户的云计算系统。
背景技术
随着云计算技术的出现,大量设备(也通常地称为“资产”)经由因特网连接到云计算系统。所述设备可以位于连接到云计算系统的远程设施中。例如,所述设备可以是(一个或多个)工业装置中的器材、传感器、致动器、机器人、机械装置。所述设备可以是医疗保健单元中的医疗设备和器材。所述设备可以是住宅/商业机构中的家用电器或办公电器。
云计算系统可以使得能够远程配置、监视、控制和维护连接的设备(也通常称为“资产”)。而且,云计算系统可以促进存储从所述设备定期收集的大量数据、分析所述大量数据,以及经由(例如,Web应用的)图形用户接口向操作员、现场工程师或所述设备的所有者提供洞察力(例如,关键性能指标、异常值)和警报。所述洞察力和警报可以使得能够控制和维护所述设备,从而导致所述设备的高效和故障安全操作。云计算系统还可以基于所述洞察力和警报经由图形用户接口使得能够修改与所述设备相关联的参数并发布控制命令。
云计算系统可以包括多个服务器或处理器(也称为“云基础设施”),其在地理上分布,经由网络彼此连接。专用平台(以下称为“云计算平台”)被安装在服务器/处理器上,用于提供上述功能作为服务(以下称为“云服务”)。云计算平台可以包括在云计算系统的一个或多个服务器或处理器上执行的多个软件程序,以使得能够将所请求的服务递送到设备及其用户(以下称为租户)。软件程序可以是工件(artifact),例如云应用、固件、数字孪生、设备配置等。工件由多个提供商部署在云计算平台上。
提供商可以将工件提供给一个或多个租户,以便租户可以访问云服务。例如,云服务可以使租户能够访问与一个或多个资产相关联的原始或分析的数据。可能的情况是租户可能不是资产的所有者而是原始设备制造商(OEM)。在这种情况下,工厂运营商可能是资产的所有者,并且可能希望访问与他/她在工厂中的资产相关联的数据。目前,由于租户(即OEM)已订阅访问资产的数据,因此像工厂运营商这样的子租户无法访问他/她资产的数据。因此,子租户可能无法安全地访问他/她资产的数据,从而导致给子租户带来不便。
发明内容
鉴于以上情况,需要一种能够管理租户的子租户的云计算系统。
因此,本发明的目的是提供一种云计算环境,其被配置为管理租户的子租户以访问与各个资产相关联的数据。
本发明的目的通过一种在云计算环境中管理子租户的方法来实现。该方法包括从与租户的子租户相关联的子租户设备接收从云计算系统访问资产的数据子集的请求。子租户与资产相关联。该请求包括子租户标识符、租户标识符和资产标识符。该方法包括基于用于访问所请求的资产子集数据的相关联的许可和至少一个角色,使用子租户标识符、租户标识符和资产标识符来确定是否授权子租户访问所请求的资产的数据的子集。该方法包括当子租户被授权访问所请求的资产的子集数据时,向子租户提供对所请求的资产的子集数据的访问。
在优选实施例中,该方法包括:当子租户未被授权访问所请求的资产的子集数据时,拒绝用于访问所请求的资产的子集数据的请求;以及向子租户设备发送指示子租户未被授权访问所请求的资产的子集数据的通知。
在另一个优选实施例中,该方法包括基于子租户标识符来确定是否存在与该子租户的活动会话。该方法包括:在不存在与子租户的活动会话时,与子租户建立会话。
在又另一个实施例中,该方法包括使用租户标识符来确定与该子租户相关联的租户是否被授权访问资产的数据子集。如果与子租户相关联的租户被授权访问所请求的资产的子集数据,该方法包括使用子租户标识符确定子租户是否被授权访问资产的数据子集。
在又另一优选实施例中,该方法包括:基于子租户标识符来确定为该子租户定义的至少一个角色;以及确定与所确定的角色相关联的一个或多个许可。此外,该方法包括:基于所确定的与子租户相关联的角色和许可,确定该子租户是否被授权访问资产数据的子集。
在又一个优选实施例中,该方法包括生成用于提供对所请求的资产数据子集的访问的访问令牌。访问令牌包括为子租户、子租户标识符和子租户标识符授予的角色和关联的许可。该方法包括基于访问令牌向子租户提供对所请求的资产数据子集的访问。访问令牌在与子租户的活动会话期间有效。
在另一个优选实施例中,该方法包括经由适当的应用编程接口(API)从数据存储中检索资产数据的子集,以及在与子租户相关联的子租户设备上可视化检索到的资产数据的子集。
在又另一个实施例中,该方法包括在子租户数据库中创建子租户简档。子租户简档包括子租户标识符、至少一个租户标识符、至少一个资产标识符、由至少一个租户所授予的用于访问与至少一个资产标识符相关联的至少一个资产数据子集的至少一个角色和许可。
在又另一个优选实施例中,该方法包括更新在子租户数据库中的子租户简档。
在仍另一优选实施例中,该方法包括向相关联的租户提供对子租户的一个或多个子租户简档的访问。
在又另一个优选实施例中,该方法包括从子租户设备接收更新与资产相关联的信息的请求。该请求包括子租户标识符、资产标识符以及要更新的与资产相关联的信息。该方法包括在相关联的资产模型中更新与该资产关联的信息。
本发明的目的是通过一种系统来实现的,该系统包括一个或多个处理单元,以及由所述一个或多个处理单元可访问的一个或多个存储器单元。存储器单元包括由一个或多个处理单元可执行的机器可读指令,其可以使一个或多个处理单元执行上述方法步骤。
本发明的目的通过一种计算环境来实现,该计算环境包括上述系统和通信地耦合至该系统的一个或多个子租户设备。
本发明的目的还通过一种计算机程序产品来实现,该计算机程序产品具有存储在其中的机器可读指令,该机器可读指令在由一个或多个处理单元执行时使一个或多个处理单元执行上述方法步骤。
现在将参考本发明的附图解决本发明的上述和其他特征。所图示的实施例旨在说明而非限制本发明。
附图说明
在下文中,参考附图中所示的图示实施例进一步描述本发明,其中:
图1是根据本发明的一个实施例的云计算环境的示意表示;
图2是图示出根据本发明的实施例的由租户创建子租户的子租户简档的方法的过程流程图;
图3是图示出根据本发明的实施例的在云计算环境中管理由授权的子租户对资产数据的访问的示例性方法的过程流程图;
图4是图示出根据本发明的实施例的由子租户更新资产的信息的示例性方法的过程流程图;
图5是用于提供对相关联的资产数据的访问的在租户和子租户之间的关系的示意展示图;
图6图示出了根据本发明的实施例的云计算系统的框图;
图7图示出了根据本发明的实施例的用于管理由授权的子租户对云服务的访问的访问控制模块的框图;和
图8是图示出根据本发明的实施例的向授权的子租户提供对资产数据的访问的示例性方法的流程图。
具体实施方式
参照附图描述了各种实施例,其中,相同的参考标记用于参考附图,其中,相同的参考标记始终用于指代相同的元件。在以下描述中,出于解释的目的,阐述了许多具体细节以便提供对一个或多个实施例的透彻理解。可以显而易见的是,可以在没有这些具体细节的情况下实践这样的实施例。
图1是根据本发明的实施例的云计算环境100的示意表示。特别地,图1描绘了能够提供用于管理资产108A-N,110A-N和112A-N的云服务的云计算系统102。云计算系统102经由网络104(例如,因特网)连接到资产108A-N、110A-N和112A-N。资产108A-N,110A-N和112A-N可以与子租户106A-N相关联。资产108A-N、110A-N和112A-N可以包括服务器、机器人、交换机、自动化设备、电动机、阀门、泵、致动器、传感器和其他工业器材。
云计算系统102还经由网络104连接到子租户设备114A-N。子租户设备114A-N可以访问云计算系统102以(例如,经由可视化服务)访问资产108A-N、110A-N和112A-N的数据。子租户设备114A-N可以是膝上型计算机、台式计算机、平板计算机、智能电话等。子租户设备114A-N可以经由图形用户接口访问云服务(诸如提供资产108A-N、110A-N和112A-N的性能可视化)。
云计算系统102可以是被配置以向其用户提供专用云服务的公共云、私有云或混合云。云计算系统102包括网络接口116、硬件资源和OS 118以及云计算平台120。网络接口116使得能够实现在云计算系统102与资产108A-N、110A-N和112A- N之间的通信。而且,网络接口116使得能够实现在云计算系统102和子租户设备114A-N之间的通信。
硬件资源和OS 118可以包括在其上安装操作系统(OS)的一个或多个服务器。服务器可以包括一个或多个处理单元、用于存储数据(例如,数据存储130、资产数据库128和子租户数据库132)和机器可读指令(例如,应用124和应用编程接口126)的一个或多个存储设备(例如,存储器单元),以及提供云计算功能所需的其他外围设备。
云平台120是这样的平台,其使用硬件资源和OS 118来使得能够实现诸如数据存储、数据分析、数据可视化、数据通信等功能,并使用部署在其中的应用编程接口126来传递上述云服务。云平台120可以包括建立在硬件和OS 118之上的专用硬件和软件的组合。
根据本发明,云平台120包括子租户管理模块121,其使租户134A-N能够管理与资产相关联的子租户106A-N。云计算平台120还包括访问控制模块122,访问控制模块122被配置为向租户134A-N和子租户106A-N提供对资产108A-N的数据的安全访问。
图2是图示出根据本发明的实施例的由租户创建子租户的子租户简档的方法的过程流程图200。在步骤202,从租户134A接收用于创建用于子租户106A的子租户简档的请求。租户134A是资产108A的原始设备制造商。租户希望向子租户106A提供对资产108A的数据子集的访问。子租户106A是资产108A在其中运行的工业工厂的运营商。该请求包括子租户标识符、租户标识符、资产标识符、用于访问与资产108A相关联的资产数据子集的由租户134A所授予的角色和许可。在步骤204,在子租户数据库132中创建子租户简档。子租户管理模块121使租户134A能够更新子租户简档中的信息。另外,当子租户106A不再与资产108A相关联时,子租户管理模块121使租户134A能够删除子租户简档。另外,子租户管理模块121向相关联的租户134A提供对子租户106A-N的一个或多个子租户简档的访问。
图3是图示出根据本发明的实施例的在云计算环境100中管理授权的子租户对资产数据的访问的示例性方法的过程流程图300。在步骤302,从与租户134A的子租户106A相关联的子租户设备114A接收从云计算系统102访问资产108A的数据子集的请求。子租户与资产108A相关联。该请求包括子租户标识符、租户标识符和资产标识符。在步骤304,使用租户标识符确定与子租户106A相关联的租户134A是否被授权访问资产108A的数据。
如果租户134A未被授权访问资产108A的数据,则执行步骤312。如果租户134A被授权访问资产108A的数据,则在步骤306,基于子租户标识符确定为子租户106A定义的用于访问资产108A的数据的至少一个角色。例如,角色可以是管理员角色或标准角色。在步骤308,确定与所确定的角色相关联的一个或多个许可。例如,与角色相关联的许可可以包括读取资产108A的数据的预定子集,修改资产108A的位置等。在步骤310,基于与子租户106A相关联的所确定的角色和许可确定子租户106A是否被授权访问资产数据的子集。如果子租户106A未被授权访问资产108A的数据的子集,则在步骤312,用于访问资产数据的子集的请求被拒绝,并且指示所述拒绝的通知被发送到子租户设备114A。
在步骤314,生成用于提供对所请求的资产数据子集的访问的访问令牌。访问令牌包括为子租户106A、子租户标识符和子租户标识符授予的角色和相关联的许可。在步骤316,应用124经由适当的应用编程接口(API)126从数据存储130中检索资产数据的子集。在步骤318,在与子租户106A相关联的子租户设备114A上可视化检索到的资产数据的子集。
图4是图示出根据本发明的实施例的由子租户106A更新资产108A的信息的示例性方法的过程流程图400。在步骤402,用于更新与资产108A相关联的信息的请求来自子租户106A的子租户设备114A。该请求包括子租户标识符、资产标识符以及要更新的与资产108A相关联的信息。例如,资产108A的信息可以是IP地址、位置信息等。在步骤404,与资产108A相关联的信息在相关联的资产数据库128中被更新。
图5是图示出用于提供对相关联的资产数据的访问的在租户和子租户之间的关系的示意展示图。如图5中所示,每个租户134可以创建负责分别管理资产108A-N、110A-N和112A-N的子租户106A-N的子租户简档。例如,租户134A可以是用于资产108A、110C和112A的OEM。租户134B可以是用于资产108C、110A和112C的OEM。租户134C可以是用于资产108B,110B和112B的OEM。子租户106A可以是工厂运营商,在他/她的工厂中具有资产108A-N。子租户106B可以是工厂运营商,在他/她的工厂中具有资产110A-N。子租户106C可以是工厂运营商,在他/她的工厂中具有资产112A-N。租户134A-N可以使用角色和许可来对子租户106A,106B和106N授予访问权以访问分别与资产108A-N、110A-N和112A-N相关联的各个数据。因此,子租户106A-N可以基于分配的角色和许可来访问相关联的资产108A-N、110A-N和112A-N的各个数据。
图6图示出了根据本发明的实施例的云计算系统102的框图。云计算系统102包括处理器602、至少一个可访问存储器单元604、存储单元606、云接口116和接口608。存储器单元604包括子租户管理模块121和访问控制模块122,其以机器可读指令的形式存储并且可由(一个或多个)处理器602执行。可替换地,子租户管理模块121和访问控制模块122可以采用硬件的形式,例如具有嵌入式软件的处理器。
(一个或多个)处理器602可以是能够处理来自租户106的请求的一个或多个处理单元(例如,服务器)。(一个或多个)处理器602也能够执行存储在计算机可读存储介质(例如存储器单元604)上的机器可读指令,用于执行各种功能,例如处理时序数据、分析时序数据、提供所分析的时序数据的可视化、管理租户134A-N、子租户106A-N和资产108A-N,110A-N,112A-N(身份验证,通信,升级等)等。
存储单元606可以是易失性或非易失性存储器。在优选实施例中,存储单元606被配置为存储工件124、应用编程接口(API)126、资产模型数据库128、数据存储130、子租户数据库132。工件可以包括云应用、软件以及固件、资产模型和IoT数据模型、数字孪生、可视化模板、大数据分析算法、应用编程接口等。
云接口116被配置为建立和维持与包括IoT边缘设备的资产108A-N,110A-N和112A-N的通信链路。而且,云接口116被配置为维持在云计算平台120与子租户设备114A-N之间的通信信道。接口708充当在云计算系统102的不同组件之间的互连装置。
图7图示出了根据本发明的实施例的用于管理由授权的子租户对云服务的访问的访问控制模块122的框图。访问控制模块122包括网关模块702、身份模块704、授权模块706和认证模块708。
网关模块702被配置为确定是否与子租户(例如,子租户106A)的子租户设备(例如,设备114A)建立了有效会话以访问云服务。有效会话指示子租户106A被认证。网关模块702被配置为确定与子租户106A相关联的租户是否具有访问资产108A的数据的有效订阅。网关模块702被配置为如果会话有效并且订阅有效,则检索与会话相关联的访问令牌。
身份模块704被配置为确定由租户(例如,租户134A)分配给子租户106A的角色和许可。身份模块704被配置为生成响应,该响应包括分配给子租户106A的角色和许可。
授权模块706被配置为确定分配给子租户106A的角色和许可是否与访问资产数据的子集的请求相匹配。换句话说,授权模块706基于分配给子租户106A的角色和许可来确定是否子租户106A被授权访问所请求的数据子集。授权模块706被配置为如果子租户106A被授权访问所请求的资产数据子集,则生成访问令牌,该访问令牌包括子租户106A的角色和许可以及与云服务相关联的标识符。
认证模块708被配置为基于用于访问资产数据的子集的子租户106A的有效证书来执行子租户106A的初始认证。例如,有效证书可以是用户名和密码组合或两个因素认证。
图8是图示出根据本发明的实施例的向授权的子租户提供对资产数据的访问的示例性方法的流程图800。考虑到子租户106A正试图经由应用124(例如,视觉分析应用)从子租户设备114A(例如,使用web浏览器)访问资产数据的子集(例如,数据分析和可视化)。例如,数据分析和可视化服务可以使子租户106A能够监视工业工厂中的资产108A的性能(例如,电动机的状态监视)。在步骤802,子租户设备114A向云计算系统102发送请求以提供对资产数据的子集的访问。该请求包括租户标识符、子租户标识符和资产108A的资产标识符。在步骤804,网关模块704确定不存在与子租户设备114A的有效会话,并且将请求重定向回子租户设备114A。在步骤806,子租户设备114A将请求重定向到授权模块706。在步骤808,授权模块706确定不存在与子租户设备114A的有效会话,并将请求重定向回到子租户设备114A。
在步骤810,子租户设备114A将请求重定向到身份模块704。在步骤812,身份模块704确定不存在与子租户设备114A的有效会话,并将请求重定向到子租户设备114A。在步骤814,子租户设备114A将请求重定向到认证模块708。在步骤816,认证模块708基于有效的登录证书对子租户106A进行认证,并将认证响应发送到子租户设备114A。
在步骤818,子租户设备114A将认证响应从认证模块708转发到身份模块704。在步骤820,身份模块704确定分配给子租户106A的角色和许可以访问数据子集并将具有已分配角色和相关联许可的响应发送到子租户设备114A。
在步骤822,子租户设备114A将具有分配给子租户106A的角色和许可的响应发送到授权模块706。在步骤824,授权模块706将子租户设备114A重定向到应用回调端点。在步骤826,子租户设备114A将到应用回调端点的请求发送至网关模块702。在步骤828,网关模块702发送请求以向子租户设备114A发布用于提供对资产数据子集的访问的访问令牌。在步骤830,授权模块706生成与子租户设备114A的会话的访问令牌。访问令牌定义了授予子租户106A的角色和许可,以经由应用124访问资产数据的子集。授予子租户106A(例如,工厂运营商)的角色和许可是基于租户134A(例如,原始设备制造商(OEM))分配给子租户106A的角色和许可。
在步骤832,授权模块706将访问令牌发送到网关模块702。此外,授权模块706存储该访问令牌,以便可以将该访问令牌重新用于授权子租户106A在当前会话期间访问资产数据的子集。有利地,这对于重新认证和重新授权子租户106A以在正在进行的会话期间提供对资产数据子集的访问来说将节省时间和精力。
在步骤834,网关模块702将与子租户106A相关联的访问令牌连同用于访问资产数据的子集的请求一起发送给应用124。在步骤836,应用124基于从网关模块702接收到的访问令牌将对与资产108A相关联的资产数据子集的访问提供给子租户设备114A。
本发明可以采取一种计算机程序产品的形式,该计算机程序产品包括可从计算机可用或计算机可读介质访问的程序模块,其存储供一个或多个计算机、处理器或指令执行系统使用或与其结合使用的程序代码。为了描述的目的,计算机可用或计算机可读介质可以是可以包含、存储、通信、传播或传输供指令执行系统、装置或设备使用或与其结合使用的程序的任何装置。介质可以是电子的、磁的、光学的、电磁的、红外的或半导体系统(或装置或设备)或传播介质本身,因为信号载体未包括在物理计算机可读介质的定义中,该物理计算机可读介质包括半导体或固态存储器、磁带、可移动计算机软盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘,例如光盘只读存储器(CD-ROM),光盘读/写和DVD。如本领域技术人员已知的,用于实现该技术的每个方面的处理器和程序代码都可以是集中的或分布式的(或其组合)。
尽管已经参考某些实施例详细描述了本发明,但是应当理解,本发明不限于那些实施例。鉴于本公开,在不脱离如本文所述的本发明的各种实施例的范围的情况下,对于本领域技术人员来说许多修改和变型本身将存在。因此,本发明的范围由所附权利要求书而不是前面的描述指示。落入权利要求的等同含义和范围之内的所有改变、修改和变化均应视为在其范围之内。方法权利要求中要求保护的所有有利实施例也可以应用于系统/装置权利要求。
Claims (13)
1.一种在云计算环境(100)中管理子租户(106A-N)的方法(300),该方法包括:
从与租户(134A)的子租户(106A)相关联的子租户设备(114A)接收(302)从云计算系统(102)访问资产的数据子集的请求,其中,子租户(106A)与资产(108A)相关联,其中,所述请求包括子租户标识符、租户标识符和资产标识符;
使用所述租户标识符来确定与所述子租户(106A)相关联的所述租户(134A)被授权访问所述资产(108A)的数据子集;
在确定所述租户(134A)被授权之后,基于所述子租户标识符来确定为所述子租户(106A)定义的至少一个角色;
确定与所述至少一个角色相关联的一个或多个许可;
基于所确定的与所述子租户(106A)相关联的角色和许可,确定所述子租户(106A)是否被授权访问资产数据的子集;以及
当子租户(106A)被授权访问所请求的资产(106A)的子集数据时,向子租户(106A)提供(314, 316, 318)对所请求的资产(108A)的子集数据的访问。
2.根据权利要求1所述的方法,还包括:
当子租户(106A)未被授权访问所请求的资产(108A)的子集数据时,拒绝(312)用于访问所请求的资产(108A)的子集数据的请求;以及
向子租户设备(114A)发送(312)指示子租户(106A)未被授权访问所请求的资产(108A)的子集数据的通知。
3.根据权利要求1或2所述的方法,还包括:
基于所述子租户标识符来确定(806, 808)是否存在与所述子租户(106A)的活动会话;以及
当不存在与子租户(106A)的活动会话时,与子租户(106A)建立会话。
4.根据权利要求1所述的方法,其中向子租户(106A)提供对所请求的资产(108A)的数据的访问包括:
产生(314,830)用于提供对所请求的资产数据子集的访问的访问令牌,其中,访问令牌包括为子租户(106A)、子租户标识符和资产标识符授予的角色和相关联的许可;以及
基于访问令牌,向子租户(106A)提供(316, 318, 836)对所请求的资产数据子集的访问。
5.根据权利要求4所述的方法,其中,基于所述访问令牌来提供对所请求的所述资产(108A)的数据的访问包括:
经由适当的应用编程接口(API)从数据存储(130)中检索(316)资产数据的子集;以及
在与子租户(106A)相关联的子租户设备(114A)上可视化(318)检索到的资产(108A)的数据子集。
6.根据权利要求5所述的方法,其中,所述访问令牌在与所述子租户(106A)的活动会话期间是有效的。
7.根据权利要求1所述的方法,还包括:
在子租户数据库(132)中创建(202)子租户简档,其中,子租户简档包括子租户标识符、至少一个租户标识符、至少一个资产标识符、由至少一个租户(134A)授予的用于访问与至少一个资产标识符相关联的至少一个资产数据子集的至少一个角色和许可。
8.根据权利要求1所述的方法,还包括:
更新(404)在子租户数据库(132)中的子租户简档。
9.根据权利要求1所述的方法,还包括:
向相关联的租户(134A-N)提供(402)对子租户(106A-N)的一个或多个子租户简档的访问。
10.根据权利要求1所述的方法,还包括:
从子租户设备(114A)接收(402)用于更新与资产(108A)相关联的信息的请求,其中该请求包括子租户标识符、资产标识符以及要更新的与资产(108A)相关联的信息;以及
在相关联的资产模型中更新与资产(108A)相关联的信息。
11.一种在云计算环境(100)中管理子租户(106A-N)的系统(102),包括:
i)一个或多个处理单元(602);
ii)由一个或多个处理单元(602)可访问的一个或多个存储器单元(604),其中至少一个存储器单元(604)包括由一个或多个处理单元(602)可执行的机器可读指令,这可能使得一个或多个处理单元(602)执行根据权利要求1至10所述的方法。
12.一种计算设备,其包括根据权利要求11所述的系统(102)以及通信地耦合到所述系统(102)的一个或多个子租户设备(114A-N)。
13.一种计算机可读存储介质,具有存储在其中的机器可读指令,其在由一个或多个处理单元(602)执行时使得所述一个或多个处理单元(602)执行根据权利要求1至10所述的方法步骤。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18157408.8A EP3511821A1 (en) | 2018-01-15 | 2018-02-19 | Method and system for managing access to artifacts in a cloud computing environment |
| EP18157408.8 | 2018-02-19 | ||
| EP18181234.8 | 2018-07-02 | ||
| EP18181234 | 2018-07-02 | ||
| EP18214045.9A EP3528110A1 (en) | 2018-02-19 | 2018-12-19 | Method and system for managing sub-tenants in a cloud computing environment |
| EP18214045.9 | 2018-12-19 | ||
| PCT/EP2019/054090 WO2019158774A1 (en) | 2018-02-19 | 2019-02-19 | Method and system for managing sub-tenants in a cloud computing environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111712792A CN111712792A (zh) | 2020-09-25 |
| CN111712792B true CN111712792B (zh) | 2023-12-05 |
Family
ID=62980994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980014163.6A Active CN111712792B (zh) | 2018-02-19 | 2019-02-19 | 在云计算环境中管理子租户的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11677679B2 (zh) |
| EP (2) | EP3528110A1 (zh) |
| CN (1) | CN111712792B (zh) |
| WO (1) | WO2019158774A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11501010B2 (en) | 2020-05-20 | 2022-11-15 | Snowflake Inc. | Application-provisioning framework for database platforms |
| US11249988B2 (en) | 2020-05-20 | 2022-02-15 | Snowflake Inc. | Account-level namespaces for database platforms |
| US11593354B2 (en) * | 2020-05-20 | 2023-02-28 | Snowflake Inc. | Namespace-based system-user access of database platforms |
| US11449028B2 (en) | 2020-09-03 | 2022-09-20 | Rockwell Automation Technologies, Inc. | Industrial automation asset and control project analysis |
| US11294360B2 (en) | 2020-09-09 | 2022-04-05 | Rockwell Automation Technologies, Inc. | Industrial automation project code development guidance and analysis |
| US11561517B2 (en) | 2020-09-09 | 2023-01-24 | Rockwell Automation Technologies, Inc. | Industrial development hub vault and design tools |
| US11415969B2 (en) | 2020-09-21 | 2022-08-16 | Rockwell Automation Technologies, Inc. | Connectivity to an industrial information hub |
| US11796983B2 (en) | 2020-09-25 | 2023-10-24 | Rockwell Automation Technologies, Inc. | Data modeling and asset management using an industrial information hub |
| US11677746B2 (en) * | 2020-10-30 | 2023-06-13 | Microsoft Technology Licensing, Llc | Device capability model sharing |
| CN112866212A (zh) * | 2021-01-04 | 2021-05-28 | 北京金山云网络技术有限公司 | 云计算资源的访问控制方法、装置、计算机设备和介质 |
| US20220417217A1 (en) * | 2021-06-29 | 2022-12-29 | Charter Communications Operating, Llc | Method and Apparatus for Automatically Switching Between Virtual Private Networks |
| US11924205B2 (en) * | 2022-05-10 | 2024-03-05 | Liveperson, Inc. | Systems and methods for account synchronization and authentication in multichannel communications |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312721A (zh) * | 2013-07-04 | 2013-09-18 | 北京迈普华兴信息技术有限公司 | 一种云平台访问控制架构及其实现方法 |
| WO2015108539A1 (en) * | 2014-01-20 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Determining a permission of a first tenant with respect to a second tenant |
| US9154296B1 (en) * | 2012-09-28 | 2015-10-06 | Emc Corporation | Secure and anonymous distributed authentication |
| US9774586B1 (en) * | 2015-08-31 | 2017-09-26 | EMC IP Holding Company LLC | Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9473419B2 (en) * | 2008-12-22 | 2016-10-18 | Ctera Networks, Ltd. | Multi-tenant cloud storage system |
| US9710626B2 (en) * | 2012-07-06 | 2017-07-18 | International Business Machines Corporation | Security model for network information service |
| US9069979B2 (en) * | 2012-09-07 | 2015-06-30 | Oracle International Corporation | LDAP-based multi-tenant in-cloud identity management system |
| US9323939B2 (en) * | 2012-12-17 | 2016-04-26 | Ca, Inc. | Multi-tenancy governance in a cloud computing environment |
| US9411973B2 (en) * | 2013-05-02 | 2016-08-09 | International Business Machines Corporation | Secure isolation of tenant resources in a multi-tenant storage system using a security gateway |
| US20140331337A1 (en) * | 2013-05-02 | 2014-11-06 | International Business Machines Corporation | Secure isolation of tenant resources in a multi-tenant storage system using a gatekeeper |
| US10476760B2 (en) * | 2013-10-30 | 2019-11-12 | Oracle International Corporation | System and method for placement logic in a cloud platform environment |
| US20150180872A1 (en) * | 2013-12-20 | 2015-06-25 | Cube, Co. | System and method for hierarchical resource permissions and role management in a multitenant environment |
| US9721117B2 (en) * | 2014-09-19 | 2017-08-01 | Oracle International Corporation | Shared identity management (IDM) integration in a multi-tenant computing environment |
| US20170351536A1 (en) * | 2016-06-02 | 2017-12-07 | Hewlett Packard Enterprise Development Lp | Provide hypervisor manager native api call from api gateway to hypervisor manager |
| US10560458B2 (en) * | 2017-07-06 | 2020-02-11 | Sap Se | Resource sharing in cloud computing |
-
2018
- 2018-12-19 EP EP18214045.9A patent/EP3528110A1/en not_active Withdrawn
-
2019
- 2019-02-19 EP EP19705185.7A patent/EP3738029B1/en active Active
- 2019-02-19 CN CN201980014163.6A patent/CN111712792B/zh active Active
- 2019-02-19 WO PCT/EP2019/054090 patent/WO2019158774A1/en active Search and Examination
- 2019-02-19 US US16/970,714 patent/US11677679B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154296B1 (en) * | 2012-09-28 | 2015-10-06 | Emc Corporation | Secure and anonymous distributed authentication |
| CN103312721A (zh) * | 2013-07-04 | 2013-09-18 | 北京迈普华兴信息技术有限公司 | 一种云平台访问控制架构及其实现方法 |
| WO2015108539A1 (en) * | 2014-01-20 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Determining a permission of a first tenant with respect to a second tenant |
| US9774586B1 (en) * | 2015-08-31 | 2017-09-26 | EMC IP Holding Company LLC | Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles |
Non-Patent Citations (5)
| Title |
|---|
| "A multi-tenant RBAC model for collaborative cloud services";Bo Tang等;《2013 Eleventh Annual Conference on Privacy, Security and Trust》;20130912;第229-238页 * |
| Design and Development of Multi-Tenant Web Framework;Sivakumar Kuppusamy等;Procedia Computer Science;第48卷;第180-191页 * |
| E-Science平台上层次化多租户协同访问控制系统的设计与实现;邹云鹤;中国优秀硕士学位论文全文数据库 信息科技辑(第1期);I138-127 * |
| Multi-tenancy authorization models for collaborative cloud services;Bo Tang等;2013 International Conference on Collaboration Technologies and Systems (CTS);第132-138页 * |
| 分布式对象云存储平台设计及第三方应用开发;赖文华;中国优秀硕士学位论文全文数据库 信息科技辑(第5期);I137-42 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111712792A (zh) | 2020-09-25 |
| EP3738029A1 (en) | 2020-11-18 |
| US20200382442A1 (en) | 2020-12-03 |
| EP3528110A1 (en) | 2019-08-21 |
| US11677679B2 (en) | 2023-06-13 |
| EP3738029B1 (en) | 2023-08-16 |
| WO2019158774A1 (en) | 2019-08-22 |
| EP3738029C0 (en) | 2023-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111712792B (zh) | 在云计算环境中管理子租户的方法和系统 | |
| CN112534792B (zh) | 在云计算环境中提供对云服务的安全访问的方法和系统 | |
| EP3511822A1 (en) | Method and system for managing access to artifacts in a cloud computing environment | |
| US11356440B2 (en) | Automated IoT device registration | |
| CN112040004B (zh) | 用于基于规则的设备注册的方法、系统和介质 | |
| EP3603031B1 (en) | Device credentials management | |
| JP7225326B2 (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
| US9473504B2 (en) | Role based access control for connected consumer devices | |
| US8935757B2 (en) | OAuth framework | |
| US20100174812A1 (en) | Secure remote maintenance and support system, method, network entity and computer program product | |
| US10637723B2 (en) | Configuring enterprise workspaces | |
| US10637805B2 (en) | Instant messaging method, server, and storage medium | |
| WO2017121928A1 (en) | Executing operation to service in industrial automation system | |
| WO2019158740A1 (en) | Method and system for providing a notification from a provider to a consumer for providing the notification to a user group | |
| CN116760617A (zh) | 一种用户行为分析的方法、装置及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |