CN112733118A - 云安全产品用户管理方法、装置、系统及可读存储介质 - Google Patents

云安全产品用户管理方法、装置、系统及可读存储介质 Download PDF

Info

Publication number
CN112733118A
CN112733118A CN202110056297.3A CN202110056297A CN112733118A CN 112733118 A CN112733118 A CN 112733118A CN 202110056297 A CN202110056297 A CN 202110056297A CN 112733118 A CN112733118 A CN 112733118A
Authority
CN
China
Prior art keywords
cloud
user
information
cloud security
management platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110056297.3A
Other languages
English (en)
Other versions
CN112733118B (zh
Inventor
张心笛
范渊
杨勃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202110056297.3A priority Critical patent/CN112733118B/zh
Publication of CN112733118A publication Critical patent/CN112733118A/zh
Application granted granted Critical
Publication of CN112733118B publication Critical patent/CN112733118B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种云安全产品用户管理方法,该方法将运行云安全产品的客户端与统一云管理平台的用户认证接口对接,用户在客户端登录云安全产品时将云安全管理平台作为中间代理,调用统一云管理平台提供的用户认证接口来获取在统一云管理平台中的角色信息,再根据该角色信息在云安全管理平台上进行角色映射,得到在云安全产品上的角色信息,不需要云安全管理平台来对接用户认证接口,用户仅需要在统一云安全管理平台做一次角色授权,统一云管理平台无需维护安全产品角色信息且支持角色的动态可配置,简化了在云安全产品上的用户管理实现逻辑,提升了管理效率。本发明还公开了一种云安全产品用户管理装置、系统及可读存储介质,具有相应的技术效果。

Description

云安全产品用户管理方法、装置、系统及可读存储介质
技术领域
本发明涉及云服务技术领域,特别是涉及一种云安全产品用户管理方法、装置、系统及可读存储介质。
背景技术
随着云计算的发展,越来越多的用户选择自己的业务上云,公有云、私有云遍地开花。云计算的日益成熟,让用户的业务上云越来越方便,而且建设成本也越来越低。
云计算的发展也带动了云安全的发展,云计算的环境和传统的本地环境一样需要云安全产品来保障系统安全运行,而云安全产品也需要遵循云计算的资源弹性和按需调配原则。因此目前主流的统一云管理平台都具有动态的管理安全组件的全生命周期,包括拉起vm、开通、扩容、销毁等功能,其背后的实现逻辑是统一云管理平台与云安全产品做了融合对接。
云安全管理平台作为统一的云安全能力资源池,具有与市面上大部分云安全产品对接的能力,也兼容了云安全产品的角色管理功能,例如可以实现云安全产品角色的动态可配置。
在目前的对接模式下,统一云管理平台与云安全产品的对接模式在角色体系设计中,统一云管理平台的角色授权操作界面无法满足云安全产品的角色授权,这不仅会造成统一云管理平台的开发成本增加,而且还会造成最终用户在使用过程中的混乱,用户需要两次进行角色授权操作,且用户需要去了解云安全产品中的所有角色起到的作用,用户的学习成本提高,用户体验差;且目前统一云管理平台需要维护所有云安全产品的角色信息,导致统一云管理平台需要在与云安全产品的对接开发阶段就内置云安全产品的角色信息,增加了系统的复杂度,同时系统的扩展性也比较差,无法满足对云安全产品新增角色的支持。
综上所述,如何提升云安全产品的用户角色信息关系管理效率,降低用户侧操作复杂度,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种云安全产品用户管理方法、装置、系统及可读存储介质,可以提升云安全产品的用户角色信息关系管理效率,降低用户侧操作复杂度。
为解决上述技术问题,本发明提供如下技术方案:
运行云安全产品的客户端接收到用户登录请求后,通过与统一云管理平台对接的用户认证接口向所述统一云管理平台发送登录验证请求;所述登录验证请求中携带token信息;
接收所述统一云管理平台反馈的用户信息;其中,所述用户信息根据所述token信息确定得到,包括用户在所述统一云管理平台中的角色信息;
根据所述角色信息向云安全管理平台发送角色映射请求,以调用所述云安全管理平台中的角色映射单元根据预设角色映射关系,将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
接收所述云安全管理平台反馈的所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
本发明还提供了一种云安全产品用户管理装置,应用于运行云安全产品的客户端,包括:
登录验证请求发送单元,用于接收到用户登录请求后,通过与统一云管理平台对接的用户认证接口向所述统一云管理平台发送登录验证请求;所述登录验证请求中携带token信息;
用户信息接收单元,用于接收所述统一云管理平台反馈的用户信息;其中,所述用户信息根据所述token信息确定得到,包括用户在所述统一云管理平台中的角色信息;
请求映射单元,用于根据所述角色信息向云安全管理平台发送角色映射请求,以调用所述云安全管理平台中的角色映射单元根据预设角色映射关系,将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
用户服务单元,用于接收所述云安全管理平台反馈的所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
本发明还提供了一种云安全产品用户管理方法,包括:
统一云管理平台通过用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取所述登录验证请求中的token信息;
确定所述token信息对应的用户信息;所述用户信息中包括用户在所述统一云管理平台中的角色信息;
将所述用户信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端调用云安全管理平台中的角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
可选地,在所述确定所述token信息对应的用户信息之前,还包括:
校验所述登录验证请求中token信息的有效性;
若验证有效,执行所述确定所述token信息对应的用户信息的步骤。
本发明还提供了一种云安全产品用户管理装置,应用于统一云管理平台,包括:
信息提取单元,用于通过用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取所述登录验证请求中的token信息;
用户信息确定单元,用于确定所述token信息对应的用户信息;所述用户信息中包括用户在所述统一云管理平台中的角色信息;
用户信息反馈单元,用于将所述用户信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端调用云安全管理平台中的角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
本发明还提供了一种云安全产品用户管理方法,包括:
云安全管理平台接收用户信息映射请求;其中,所述用户信息映射请求中的用户信息为根据token信息匹配得到的统一云管理平台中的角色信息,所述token信息为统一云管理平台根据对接的用户认证接口接收到的运行云安全产品的客户端的登录验证请求进行信息提取得到;
调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
将所述云安全产品中的角色信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端根据所述云安全产品中的角色信息提供相应的用户服务。
可选地,所述调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息,包括:
根据预先设置的统一云管理平台的角色信息与云安全产品的角色信息的键值对,查找所述统一云管理平台中的角色信息对应的键值对,作为目标键值对;
读取所述目标键值对中的键,作为所述统一云管理平台中的角色信息对应的所述云安全产品中的角色信息。
本发明还提供了一种云安全产品用户管理装置,应用于云安全管理平台,包括:
映射请求接收单元,用于接收用户信息映射请求;其中,所述用户信息映射请求中的用户信息为根据token信息匹配得到的统一云管理平台中的角色信息,所述token信息为统一云管理平台根据对接的用户认证接口接收到的运行云安全产品的客户端的登录验证请求进行信息提取得到;
角色映射单元,用于调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
映射角色反馈单元,用于将所述云安全产品中的角色信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端根据所述云安全产品中的角色信息提供相应的用户服务。
本发明还提供了一种云安全产品用户管理系统,包括:运行云安全产品的客户端、统一云管理平台以及云安全管理平台;
所述统一云管理平台以及所述云安全管理平台分别与运行所述云安全产品的客户端连接,其中,运行所述云安全产品的客户端通过用户认证接口与所述统一云管理平台对接;
运行所述云安全产品的客户端用于:接收到用户登录请求后,通过所述用户认证接口向所述统一云管理平台发送登录验证请求;所述登录验证请求中携带token信息;接收所述统一云管理平台反馈的用户信息;其中,所述用户信息中包括用户在所述统一云管理平台中的角色信息;根据所述角色信息向云安全管理平台发送角色映射请求;接收所述云安全管理平台反馈的云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务;
所述统一云管理平台用于:通过所述用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取所述登录验证请求中的token信息;确定所述token信息对应的用户信息;将所述用户信息反馈至运行所述云安全产品的客户端;
所述云安全管理平台用于:接收用户信息映射请求;调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;将所述云安全产品中的角色信息反馈至运行所述云安全产品的客户端。
本发明还提供了一种可读存储介质,,所述可读存储介质上存储有程序,所述程序被处理器执行时实现基于运行云安全产品的客户端的所述云安全产品用户管理方法和/或基于统一云管理平台的所述云安全产品用户管理方法和/或基于云安全管理平台的所述云安全产品用户管理的步骤。
应用本发明实施例所提供的方法,将运行云安全产品的客户端与统一云管理平台的用户认证接口对接,用户在客户端登录云安全产品时将云安全管理平台作为中间代理,调用统一云管理平台提供的用户认证接口来获取在统一云管理平台中的角色信息,再根据该角色信息在云安全管理平台上进行角色映射,得到在云安全产品上的角色信息,不需要云安全管理平台来对接用户认证接口,用户仅需要在统一云安全管理平台做一次角色授权,统一云管理平台无需维护安全产品角色信息且支持角色的动态可配置,简化了在运行云安全产品的客户端上的用户管理实现逻辑,提升了管理效率。
相应地,本发明实施例还提供了与上述云安全产品用户管理方法相对应的云安全产品用户管理装置、系统和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种云安全产品用户管理方法的信令图;
图2为本发明实施例中一种字典数据结构1的数据结构示意图;
图3为本发明实施例中一种字典数据结构N的数据结构示意图;
图4为本发明实施例中一种应用于运行云安全产品的客户端的云安全产品用户管理装置的结构示意图;
图5为本发明实施例中一种应用于统一云管理平台的云安全产品用户管理装置的结构示意图;
图6为本发明实施例中一种应用于云安全管理平台的云安全产品用户管理装置的结构示意图;
图7为本发明实施例中一种云安全产品用户管理系统的结构示意图。
具体实施方式
本发明的核心是提供一种云安全产品用户管理方法,提升云安全产品的用户角色信息关系管理效率,降低用户侧操作复杂度。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,云安全产品的角色体系独立于统一云管理平台的角色体系,角色授权指由具有用户授权功能的高权限用户发起的对当前不具备某个角色的用户进行角色授权的一次用户操作,经过角色授权操作后,被授权的用户即具备了该权限,而云安全产品的角色授权操作界面独立于统一云管理平台自身的角色授权页面之外,所以一般统一云管理平台的角色授权操作界面无法满足云安全产品的角色授权,这不仅会造成统一云管理平台的开发成本增加,而且还会造成最终用户在使用过程中的混乱,用户需要两次进行角色授权操作,且用户需要去了解云安全产品中的所有角色起到的作用,用户的学习成本提高。
且目前角色映射由统一云管理平台实现,角色映射指将两个不同系统的角色作转换,例如将系统A的角色1映射为系统B的角色2,在角色模块中维护了这种映射关系,统一云管理平台需要维护所有云安全产品的角色信息,这个特性导致统一云管理平台需要在与云安全产品的对接开发阶段就内置云安全产品的角色信息,增加了系统的复杂度。同时,系统的扩展性也比较差,无法满足对云安全产品新增角色的支持。
为避免上述问题,本申请提供了一种云安全产品用户管理方法,请参考图1,图1为本发明实施例中一种云安全产品用户管理方法的信令图,该方法主要包括以下步骤:
S110、运行云安全产品的客户端接收用户登录请求;
云安全产品为能在云环境下运行且能为云环境提供安全服务的安全能力的安全产品,比如云防御、云堡垒机、综合漏洞扫描等,本实施例中对于云安全产品的具体产品种类不做限定,可以实现上述功能即可,可以根据实际云计算环境的保护需要进行相应云安全产品的选择。
在运行云安全产品的客户端实现对于用户的正常响应之前,首次使用云安全产品时可能需要进行业务功能的开通,而本实施例中对于是否执行该业务开通过程以及业务开通的具体实现方式不做限定,为加深理解,在此介绍一种业务功能开通的实现方式,比如用户A(高权限用户,具有产品开通的功能)操作统一云管理平台相关操作界面开通一台WAF(Web应用防火墙,属于云安全产品中的一种)产品,在高权限用户使用安全产品的开通功能时,系统会提示需要先给自身授权一种安全角色才可以进行安全产品开通功能(安全系统管理员、安全管理员、安全操作员、安全审计员),角色授权操作结束后WAF自动开通成功。其它云安全产品的开通实现过程均可参照上述介绍,在此不再赘述。
在云安全产品可以实现用户的正常业务功能响应后,用户在客户端点击访问开通成功的云安全产品的管理页面,运行云安全产品的客户端接收用户的登录请求,登录请求中均携带统一云安全管理平台颁发的token信息。由于用户登录至统一云管理平台时就会自动生成token信息,而在登录统一云管理平台后才能实现对于云安全产品的访问请求的响应,而如果在登录统一云管理平台之前发起对于云安全产品的用户登录请求,则需要跳转至统一云管理平台的用户登录界面进行用户信息的输入,因此当用户通过用户认证接口发起对于安全产品的访问请求时,登录请求中均携带token信息。
S111、运行云安全产品的客户端通过与统一云管理平台对接的用户认证接口向统一云管理平台发送登录验证请求;
统一云管理平台指能够以统一的方式集中管理物理机、虚拟化平台、私有云、公有云以及不同供应商的云平台,统一云管理平台可以实现资源调度与管理的自动化,并且为上层应用按需、自助、敏捷、弹性地提供云服务。
统一云管理平台提供用户认证接口(用以获取当前登录的用户的角色信息),传统方法下用户登录安全产品是需要从云安全管理平台来实现请求的响应,处理的统一云管理平台需要在系统中维护有它管理的所有的云安全产品的角色信息,导致统一云管理平台业务复杂度变高,开发成本增加;同时,在传统的对接模式下,用户在使用统一云管理平台对云安全产品进行管理时,需要对安全产品的角色进行了解,增加了用户的学习成本,整体系统的一致性体验差。
本实施例中将运行云安全产品的客户端对接该用户认证接口,通过云安全管理平台作为中间代理,用户在客户端登录云安全产品时以访问请求中携带的token信息作为参数,调用统一云管理平台提供的用户认证接口来获取角色信息,利用云安全管理平台已有的功能,将安全产品直接对接用户认证接口来获取用户角色信息,不需要云安全管理平台来对接用户认证接口,用户仅需要在统一云安全管理平台做一次角色授权、统一云管理平台无需维护安全产品角色信息且支持角色的动态可配置。
通过云安全管理平台作为中间代理来解决运行云安全产品的客户端在对接了统一云管理平台后,统一云管理平台的角色体系与云安全产品自身角色体系不一致导致的一系列问题。其中,对接指两个软件系统通过互相调用对方的接口以实现两个平台协同工作的过程。
S120、统一云管理平台通过用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取登录验证请求中的token信息;
登录验证请求中包括token信息,token信息指示用户身份,为便于后续根据token信息确定在统一云管理平台下的角色信息,需要首先从登录验证请求中提取出token信息,而本实施例中对于具体的信息提取方式不做限定,可以参照相关技术的介绍。
S121、统一云管理平台确定token信息对应的用户信息;用户信息中包括用户在统一云管理平台中的角色信息;
识别到token信息后调用统一云管理平台提供用户认证接口获取当前登录的用户的角色信息,而具体地统一云管理平台根据token信息确定用户在统一云管理平台中的角色信息的具体实现过程本实施例中不做限定,可以参照传统方式的实现方式,在此不再赘述。除了角色信息外还可以进一步确定其他类型的用户信息,本实施例中对于除了角色信息外的用户信息不做限定。
本实施例中在运行云安全产品的客户端接收到用户访问的登录请求后,通过统一云管理平台对其进行响应,确定该用户在统一云管理平台中对应的角色信息,以便后续根据在统一云管理平台中对应的角色信息映射得到在云安全产品中的角色信息,避免了在云安全管理平台单独搭建针对各云安全产品的管理系统,将统一云管理平台中的角色信息与云安全产品中的角色信息相关联,既可以简化针对不同云安全产品中的用户管理流程,又可以简化用户操作,优化用户体验。
而进一步地,在确定token信息对应的用户信息之前,统一云管理平台可以校验登录验证请求中token信息的有效性;若验证有效,执行确定token信息对应的用户信息的步骤,以保障token信息的安全有效性,避免后续针对无效信息的无用功。
S122、统一云管理平台将用户信息反馈至运行云安全产品的客户端;
统一云管理平台将根据token信息匹配得到的当前用户在统一云管理平台的用户角色信息反馈至安全产品,比如当前用户在同一云管理平台中为安全系统管理员、安全管理员、安全操作员、安全审计员等,本实施例中对于统一云管理平台设置的安全角色类型不做限定,可以预先设置,如果是本身支持角色动态可配置的统一云管理平台则无需进行预置,在系统部署阶段由运维人员预先将这四种角色创建即可,在此不做限定。
S112、运行云安全产品的客户端根据角色信息向云安全管理平台发送角色映射请求;
运行云安全产品的客户端根据角色信息向云安全管理平台中的角色映射模块发送角色映射请求,请求将云安全管理平台中的用户角色映射为云安全产品中的用户角色。
S130、云安全管理平台调用角色映射单元根据预设角色映射关系将统一云管理平台中的角色信息映射为云安全产品中的角色信息;
云安全管理平台旨在帮助用户解决云计算环境下(结合了云计算作为基础设施的系统环境)的安全问题,其通过不断的汇聚云安全能力,帮助用户构建一个统一管理、弹性扩容、按需分配、安全能力完善的云安全资源池,为用户提供一站式的云安全综合解决方案。
云安全管理平台接收到角色映射请求后,根据角色映射请求中的统一云管理平台的角色信息,以及预先配置的统一云管理平台身份与安全产品身份间的映射关系,确定当前用户角色对应的安全产品的身份。
本实施例中对于映射关系的查找不做限定,角色映射模块内部可以内置多个基于“键-值”对的数据结构(一种字典结构)来存储角色映射关系,如图2所示为一种字典数据结构1的数据结构示意图,通过键值对来实现关系映射的查找,当然,也可以采取其它映射查找方式,本实施例中主要针对键值对查找方式进行介绍,其它实现方式均可参照本实施例的介绍,在此不再赘述。
如图3所示为一种字典数据结构N的数据结构示意图,可以同时存储N个云安全产品与统一云管理平台间的用户角色映射关系,适用于多云安全产品的应用场景,大大简化了云安全产品的用户管理。
其中,考虑到查询的效率,键的部分存储可以为统一云管理平台的角色信息,值的部分可以存储云安全产品的角色信息。则调用角色映射单元根据预设角色映射关系将统一云管理平台中的角色信息映射为云安全产品中的角色信息的过程具体包括:
(1)根据预先设置的统一云管理平台的角色信息与云安全产品的角色信息的键值对,查找统一云管理平台中的角色信息对应的键值对,作为目标键值对;
(2)读取目标键值对中的键,作为统一云管理平台中的角色信息对应的云安全产品中的角色信息。
每一个统一云管理平台的角色信息对应一个云安全产品内部角色(每一个键对应一个值)。另外,需要使用角色映射模块的安全产品,需要平台运营人员通过运营管理页面,最终通过调用API角色映射模块的API来将该款产品对应的角色映射关系(一份存储了角色映射关系的字典数据结构)初始化到角色映射模块的数据库中进行持久化存储。
通过统一云管理平台中的角色信息与云安全产品中的角色信息检的映射匹配,简化了确定云安全产品中的角色信息的实现过程,也可以通过映射关系的调整简化了云安全产品中的角色信息的动态配置。
S131、云安全管理平台将云安全产品中的角色信息反馈至运行云安全产品的客户端;
云安全管理平台可以基于已有的连接通道将映射得到的云安全产品中的角色信息反馈至运行云安全产品的客户端。
S112、运行云安全产品的客户端接收云安全管理平台反馈的云安全产品中的角色信息,并根据云安全产品中的角色信息提供相应的用户服务。
运行云安全产品的客户端接收到云安全管理平台反馈的当前用户在云安全产品中的角色信息后,即可根据确定的在云安全产品中的角色对当前用户进行用户服务。
而运行云安全产品的客户端基于确定的云安全产品中的角色对当前用户进行用户服务的具体实现过程可以参照相关技术中的实现方式,在此不再赘述。
本发明实施例所提供的技术方案,将运行云安全产品的客户端与统一云管理平台的用户认证接口对接,用户在客户端登录云安全产品时将云安全管理平台作为中间代理,调用统一云管理平台提供的用户认证接口来获取在统一云管理平台中的角色信息,再根据该角色信息在云安全管理平台上进行角色映射,得到在云安全产品上的角色信息,不需要云安全管理平台来对接用户认证接口,用户仅需要在统一云安全管理平台做一次角色授权,统一云管理平台无需维护安全产品角色信息且支持角色的动态可配置,简化了在云安全产品上的用户管理实现逻辑,提升了管理效率。
为加深理解,以下以云安全产品为WAF(Web应用防火墙,属于云安全产品中的一种)为例,从对接开发和用户使用两个阶段来介绍一种云安全产品用户管理的整体实现流程,具体如下:
对接开发阶段:
1.统一云管理平台提供用户认证接口(用以获取当前登录的用户的角色信息),运行云安全产品的客户端对接该用户认证接口,以实现用户在客户端登录云安全产品时以访问请求中携带的token信息作为参数,调用统一云管理平台提供的用户认证接口来获取角色信息,其中对接指两个软件系统通过互相调用对方的接口以实现两个平台协同工作的过程。
2.统一云管理平台预置四种安全角色(安全系统管理员、安全管理员、安全操作员、安全审计员)。
3.云安全管理平台中实现一套动态可配置的角色映射模块,角色映射模块的主要作用是将统一云管理平台预置的四种安全角色(安全系统管理员、安全管理员、安全操作员、安全审计员)通过可配置的方式映射成为云安全产品内部的角色。
例如,当这个模块接收到的输入为:“该用户在统一云管理平台被赋予了安全系统管理员角色”则其输出应为:“该用户在WAF(Web应用防火墙,属于云安全产品中的一种)具有超级管理员角色”。
用户使用阶段:
1.用户A(高权限用户,具有产品开通的功能)操作统一云管理平台相关操作界面开通一台WAF产品,在高权限用户使用安全产品的开通功能时,系统会提示需要先给自身授权一种安全角色才可以进行安全产品开通功能(安全系统管理员、安全管理员、安全操作员、安全审计员),角色授权操作结束后WAF自动开通成功;
2.用户A点击访问开通成功的WAF的管理页面,此时访问请求中携带了统一云安全管理平台颁发的token信息,云安全管理平台识别到token后调用统一云管理平台提供用户认证接口获取当前登录的用户的角色信息,并通过角色映射模块计算出当前用户对应的安全产品内部角色;
3.用户A授权用户B(低权限用户,不具备产品开通的功能)WAF实例的访问权限,如果用户B未被授权过安全角色,则需要同时进行用户B的角色授权操作。
4.用户B点击访问WAF的管理页面,此时访问请求中携带了统一云安全管理平台颁发的token信息,云安全管理平台识别到token后调用统一云管理平台提供用户认证接口获取当前登录的用户的角色信息,并通过角色映射模块计算出当前用户对应的安全产品内部角色M;
5.云安全管理平台将映射后得到的当前用户对应的安全产品内部角色M返回值安全产品;
6.运行云安全产品的客户端以角色M的权限呈现产品页面,提升用户服务。
本实施例中仅以上述实现流程为例进行整体的介绍,其它基于上述方法实施例的具体实现流程均可参照本实施例的介绍,在此不再赘述。
相应于上面的方法实施例,本发明实施例还提供了一种应用于运行云安全产品的客户端的云安全产品用户管理装置,下文描述的应用于运行云安全产品的客户端的云安全产品用户管理装置与上文描述的云安全产品用户管理方法可相互对应参照。
参见图4所示,该装置包括以下模块:
登录验证请求发送单元110主要用于接收到用户登录请求后,通过与统一云管理平台对接的用户认证接口向统一云管理平台发送登录验证请求;登录验证请求中携带token信息;
用户信息接收单元120主要用于接收统一云管理平台反馈的用户信息;其中,用户信息根据token信息确定得到,包括用户在统一云管理平台中的角色信息;
请求映射单元130主要用于根据角色信息向云安全管理平台发送角色映射请求,以调用云安全管理平台中的角色映射单元根据预设角色映射关系,将统一云管理平台中的角色信息映射为云安全产品中的角色信息;
用户服务单元140主要用于接收云安全管理平台反馈的云安全产品中的角色信息,并根据云安全产品中的角色信息提供相应的用户服务。
相应于上面的方法实施例,本发明实施例还提供了一种应用于统一云管理平台的云安全产品用户管理装置,下文描述的应用于统一云管理平台的云安全产品用户管理装置与上文描述的云安全产品用户管理方法可相互对应参照。
参见图5所示,该装置包括以下模块:
信息提取单元210主要用于通过用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取登录验证请求中的token信息;
用户信息确定单元220主要用于确定token信息对应的用户信息;用户信息中包括用户在统一云管理平台中的角色信息;
用户信息反馈单元230主要用于将用户信息反馈至运行云安全产品的客户端,以便运行云安全产品的客户端调用云安全管理平台中的角色映射单元根据预设角色映射关系将统一云管理平台中的角色信息映射为云安全产品中的角色信息,并根据云安全产品中的角色信息提供相应的用户服务。
相应于上面的方法实施例,本发明实施例还提供了一种应用于云安全管理平台的云安全产品用户管理装置,下文描述的应用于云安全管理平台的云安全产品用户管理装置与上文描述的云安全产品用户管理方法可相互对应参照。
参见图6所示,该装置包括以下模块:
映射请求接收单元310主要用于接收用户信息映射请求;其中,用户信息映射请求中的用户信息为根据token信息匹配得到的统一云管理平台中的角色信息,token信息为统一云管理平台根据对接的用户认证接口接收到的运行云安全产品的客户端的登录验证请求进行信息提取得到;
角色映射单元320主要用于调用角色映射单元根据预设角色映射关系将统一云管理平台中的角色信息映射为云安全产品中的角色信息;
映射角色反馈单元330主要用于将云安全产品中的角色信息反馈至运行云安全产品的客户端,以便运行云安全产品的客户端根据云安全产品中的角色信息提供相应的用户服务。
相应于上面的方法实施例,本发明实施例还提供了一种云安全产品用户管理系统,下文描述的一种云安全产品用户管理系统与上文描述的一种云安全产品用户管理方法可相互对应参照。
参见图7所示,该云安全产品用户管理系统主要包括:运行云安全产品的客户端、统一云管理平台以及云安全管理平台。
统一云管理平台以及云安全管理平台分别与运行云安全产品的客户端连接,其中,运行云安全产品的客户端通过用户认证接口与统一云管理平台对接;
运行云安全产品的客户端主要用于:接收到用户登录请求后,通过用户认证接口向统一云管理平台发送登录验证请求;登录验证请求中携带token信息;接收统一云管理平台反馈的用户信息;其中,用户信息中包括用户在统一云管理平台中的角色信息;根据角色信息向云安全管理平台发送角色映射请求;接收云安全管理平台反馈的云安全产品中的角色信息,并根据云安全产品中的角色信息提供相应的用户服务;
统一云管理平台主要用于:通过用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取登录验证请求中的token信息;确定token信息对应的用户信息;将用户信息反馈至运行云安全产品的客户端;
云安全管理平台主要用于:接收用户信息映射请求;调用角色映射单元根据预设角色映射关系将统一云管理平台中的角色信息映射为云安全产品中的角色信息;将云安全产品中的角色信息反馈至运行云安全产品的客户端。
运行云安全产品的客户端、统一云管理平台以及云安全管理平台间的具体交互示意可以参照图1对应实施例的介绍,在此不再赘述。
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种云安全产品用户管理方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的云安全产品用户管理方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。

Claims (10)

1.一种云安全产品用户管理方法,其特征在于,包括:
运行云安全产品的客户端接收到用户登录请求后,通过与统一云管理平台对接的用户认证接口向所述统一云管理平台发送登录验证请求;所述登录验证请求中携带token信息;
接收所述统一云管理平台反馈的用户信息;其中,所述用户信息根据所述token信息确定得到,包括用户在所述统一云管理平台中的角色信息;
根据所述角色信息向云安全管理平台发送角色映射请求,以调用所述云安全管理平台中的角色映射单元根据预设角色映射关系,将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
接收所述云安全管理平台反馈的所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
2.一种云安全产品用户管理装置,应用于运行云安全产品的客户端,其特征在于,包括:
登录验证请求发送单元,用于接收到用户登录请求后,通过与统一云管理平台对接的用户认证接口向所述统一云管理平台发送登录验证请求;所述登录验证请求中携带token信息;
用户信息接收单元,用于接收所述统一云管理平台反馈的用户信息;其中,所述用户信息根据所述token信息确定得到,包括用户在所述统一云管理平台中的角色信息;
请求映射单元,用于根据所述角色信息向云安全管理平台发送角色映射请求,以调用所述云安全管理平台中的角色映射单元根据预设角色映射关系,将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
用户服务单元,用于接收所述云安全管理平台反馈的所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
3.一种云安全产品用户管理方法,其特征在于,包括:
统一云管理平台通过用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取所述登录验证请求中的token信息;
确定所述token信息对应的用户信息;所述用户信息中包括用户在所述统一云管理平台中的角色信息;
将所述用户信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端调用云安全管理平台中的角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
4.根据权利要求3所述的云安全产品用户管理方法,其特征在于,在所述确定所述token信息对应的用户信息之前,还包括:
校验所述登录验证请求中token信息的有效性;
若验证有效,执行所述确定所述token信息对应的用户信息的步骤。
5.一种云安全产品用户管理装置,应用于统一云管理平台,其特征在于,包括:
信息提取单元,用于通过用户认证接口接收到运行云安全产品的客户端发送的登录验证请求后,提取所述登录验证请求中的token信息;
用户信息确定单元,用于确定所述token信息对应的用户信息;所述用户信息中包括用户在所述统一云管理平台中的角色信息;
用户信息反馈单元,用于将所述用户信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端调用云安全管理平台中的角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务。
6.一种云安全产品用户管理方法,其特征在于,包括:
云安全管理平台接收用户信息映射请求;其中,所述用户信息映射请求中的用户信息为根据token信息匹配得到的统一云管理平台中的角色信息,所述token信息为统一云管理平台根据对接的用户认证接口接收到的运行云安全产品的客户端的登录验证请求进行信息提取得到;
调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
将所述云安全产品中的角色信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端根据所述云安全产品中的角色信息提供相应的用户服务。
7.根据权利要求6所述的云安全产品用户管理方法,其特征在于,所述调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息,包括:
根据预先设置的统一云管理平台的角色信息与云安全产品的角色信息的键值对,查找所述统一云管理平台中的角色信息对应的键值对,作为目标键值对;
读取所述目标键值对中的键,作为所述统一云管理平台中的角色信息对应的所述云安全产品中的角色信息。
8.一种云安全产品用户管理装置,应用于云安全管理平台,其特征在于,包括:
映射请求接收单元,用于接收用户信息映射请求;其中,所述用户信息映射请求中的用户信息为根据token信息匹配得到的统一云管理平台中的角色信息,所述token信息为统一云管理平台根据对接的用户认证接口接收到的运行云安全产品的客户端的登录验证请求进行信息提取得到;
角色映射单元,用于调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;
映射角色反馈单元,用于将所述云安全产品中的角色信息反馈至运行所述云安全产品的客户端,以便运行所述云安全产品的客户端根据所述云安全产品中的角色信息提供相应的用户服务。
9.一种云安全产品用户管理系统,其特征在于,包括:运行云安全产品的客户端、统一云管理平台以及云安全管理平台;
所述统一云管理平台以及所述云安全管理平台分别与运行所述云安全产品的客户端连接,其中,运行所述云安全产品的客户端通过用户认证接口与所述统一云管理平台对接;
运行所述云安全产品的客户端用于:接收到用户登录请求后,通过所述用户认证接口向所述统一云管理平台发送登录验证请求;所述登录验证请求中携带token信息;接收所述统一云管理平台反馈的用户信息;其中,所述用户信息中包括用户在所述统一云管理平台中的角色信息;根据所述角色信息向云安全管理平台发送角色映射请求;接收所述云安全管理平台反馈的云安全产品中的角色信息,并根据所述云安全产品中的角色信息提供相应的用户服务;
所述统一云管理平台用于:通过所述用户认证接口接收到运行所述云安全产品的客户端发送的登录验证请求后,提取所述登录验证请求中的token信息;确定所述token信息对应的用户信息;将所述用户信息反馈至运行所述云安全产品的客户端;
所述云安全管理平台用于:接收用户信息映射请求;调用角色映射单元根据预设角色映射关系将所述统一云管理平台中的角色信息映射为所述云安全产品中的角色信息;将所述云安全产品中的角色信息反馈至运行所述云安全产品的客户端。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如权利要求1所述云安全产品用户管理方法和/或如权利要求3、4所述云安全产品用户管理方法和/或如权利要求6、7所述云安全产品用户管理方法的步骤。
CN202110056297.3A 2021-01-15 2021-01-15 云安全产品用户管理方法、装置、系统及可读存储介质 Active CN112733118B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110056297.3A CN112733118B (zh) 2021-01-15 2021-01-15 云安全产品用户管理方法、装置、系统及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110056297.3A CN112733118B (zh) 2021-01-15 2021-01-15 云安全产品用户管理方法、装置、系统及可读存储介质

Publications (2)

Publication Number Publication Date
CN112733118A true CN112733118A (zh) 2021-04-30
CN112733118B CN112733118B (zh) 2024-02-13

Family

ID=75591704

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110056297.3A Active CN112733118B (zh) 2021-01-15 2021-01-15 云安全产品用户管理方法、装置、系统及可读存储介质

Country Status (1)

Country Link
CN (1) CN112733118B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508818A (zh) * 2017-09-04 2017-12-22 安徽国广数字科技有限公司 一种基于应用角色的统一认证平台反向授权方法
CN108200022A (zh) * 2017-12-22 2018-06-22 新华三云计算技术有限公司 一种云平台接入方法、装置及多云平台管理系统
CN109040065A (zh) * 2018-08-01 2018-12-18 杭州安恒信息技术股份有限公司 一种云安全管理平台与云平台的对接方法及装置
CN109040066A (zh) * 2018-08-01 2018-12-18 杭州安恒信息技术股份有限公司 一种云安全管理平台与云安全产品的对接方法及装置
CN111541656A (zh) * 2020-04-09 2020-08-14 中央电视台 基于融合媒体云平台的身份认证方法及系统
CN111866013A (zh) * 2020-07-29 2020-10-30 杭州安恒信息技术股份有限公司 一种云安全产品管理平台部署方法、装置、设备及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508818A (zh) * 2017-09-04 2017-12-22 安徽国广数字科技有限公司 一种基于应用角色的统一认证平台反向授权方法
CN108200022A (zh) * 2017-12-22 2018-06-22 新华三云计算技术有限公司 一种云平台接入方法、装置及多云平台管理系统
CN109040065A (zh) * 2018-08-01 2018-12-18 杭州安恒信息技术股份有限公司 一种云安全管理平台与云平台的对接方法及装置
CN109040066A (zh) * 2018-08-01 2018-12-18 杭州安恒信息技术股份有限公司 一种云安全管理平台与云安全产品的对接方法及装置
CN111541656A (zh) * 2020-04-09 2020-08-14 中央电视台 基于融合媒体云平台的身份认证方法及系统
CN111866013A (zh) * 2020-07-29 2020-10-30 杭州安恒信息技术股份有限公司 一种云安全产品管理平台部署方法、装置、设备及介质

Also Published As

Publication number Publication date
CN112733118B (zh) 2024-02-13

Similar Documents

Publication Publication Date Title
US11513864B2 (en) Adoption of existing virtual computing resources into logical containers for management operations
US9524382B2 (en) System and method for centralizedly controlling server user rights
US8250192B2 (en) Data server administration using a chatbot
US20170149772A1 (en) Identity authentication method, system, business server and authentication server
CN105991734B (zh) 一种云平台管理方法及系统
CN110401655A (zh) 基于用户和角色的访问控制权限管理系统
US20090300180A1 (en) Systems and methods for remote management of networked systems using secure modular platform
CN111064749B (zh) 网络连接方法、设备及存储介质
CN109819053A (zh) 应用于混合云环境下的跳板机系统及其控制方法
CN106685949A (zh) 一种容器访问方法、装置以及系统
CN112583815B (zh) 一种操作指令管理方法、装置
CN109639719A (zh) 一种基于临时标识符的身份验证方法和装置
CN116170234B (zh) 一种基于虚拟账号认证的单点登录方法和系统
CN103377330A (zh) 一种虚拟资源分配方法及虚拟资源分配系统
CN107453872A (zh) 一种基于Mesos容器云平台的统一安全认证方法及系统
CN107483477B (zh) 账户管理方法及账户管理系统
CN106603721A (zh) 一种远程控制的方法及系统、一种远程控制客户端
CN107645474B (zh) 登录开放平台的方法及登录开放平台的装置
US10735399B2 (en) System, service providing apparatus, control method for system, and storage medium
CN112733118B (zh) 云安全产品用户管理方法、装置、系统及可读存储介质
CN111814130B (zh) 单点登录方法及系统
CN111131152B (zh) 一种跨平台的远程登录防护系统的自动化验证方法及系统
CN110430211A (zh) 一种虚拟化云桌面系统及操作方法
CN109257455A (zh) 一种终端资产实名制实现方法和系统
CN115297019B (zh) 物联网应用平台的管理方法、物联网系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant