CN113065108B - 用户权限的管理、应用运行方法及装置 - Google Patents
用户权限的管理、应用运行方法及装置 Download PDFInfo
- Publication number
- CN113065108B CN113065108B CN202110414097.0A CN202110414097A CN113065108B CN 113065108 B CN113065108 B CN 113065108B CN 202110414097 A CN202110414097 A CN 202110414097A CN 113065108 B CN113065108 B CN 113065108B
- Authority
- CN
- China
- Prior art keywords
- user
- group
- identity
- target application
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Abstract
本说明书实施例提供一种用户权限的管理、应用运行方法及装置,在用户权限的管理方法中,用户管理系统接收针对目标应用的权限配置请求。该权限配置请求包括第一用户组的组身份以及所请求的第一操作权限。根据预定义的权限审批规则,对权限配置请求进行审批。在审批通过的情况下,根据所请求的第一操作权限以及第一用户组的归属拓扑关系,确定针对目标应用的第二操作权限。之后,针对目标应用配置第一权限策略,该第一权限策略用于描述,与第一用户组相关且与第一权限继承模式对应的第一身份具有针对目标应用的第二操作权限,并且第一身份用于作为目标应用运行时的备选应用身份。
Description
技术领域
本说明书一个或多个实施例涉及计算机技术领域,尤其涉及一种用户权限的管理、应用运行方法及装置。
背景技术
传统的以自然人为中心的权限管理,随着企业员工规模和流动性变大,权限管理复杂度与日俱增。因此,迫切需要一种能够对用户的权限进行简单而有效管理的方案。
发明内容
本说明书一个或多个实施例描述了一种用户权限的管理、应用运行方法及装置,可以降低对用户权限管理的复杂度。
第一方面,提供了一种用户权限的管理方法,包括:
接收针对目标应用的权限配置请求;所述权限配置请求中携带有所述若干用户组中的第一用户组的组身份,以及所请求的第一操作权限;所述第一用户组具有第一权限继承模式;
根据预定义的权限审批规则,对所述权限配置请求进行审批;
在所述权限配置请求审批通过的情况下,根据所述第一操作权限以及所述第一用户组在所述群组关系中的归属拓扑关系,确定其针对目标应用的第二操作权限;
针对所述目标应用配置第一权限策略,该第一权限策略用于描述,与所述第一用户组相关且与所述第一权限继承模式对应的第一身份具有针对所述目标应用的第二操作权限,并且所述第一身份用于作为所述目标应用运行时的备选应用身份。
第二方面,提供了一种应用运行方法,包括:
接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及目标应用的镜像文件;
向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述目标用户组的组身份是否可以作为所述目标应用的应用身份,以及所述目标用户组是否具有针对所述目标应用的运行权限;
在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立所述目标应用的副本与所述目标用户组的对应关系,以供所述目标应用的副本使用所述目标用户组的组身份访问其它应用或服务。
第三方面,提供了一种应用运行方法,包括:
接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及目标应用的镜像文件;
向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述请求用户的用户身份是否可以作为所述目标应用的应用身份,以及所述请求用户是否具有针对所述目标应用的运行权限;
在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立所述目标应用的副本与所述请求用户的对应关系,以供所述目标应用的副本使用所述请求用户的用户身份访问其它应用或服务。
第四方面,提供了一种用户权限的管理装置,包括:
接收单元,用于接收针对目标应用的权限配置请求;所述权限配置请求中携带有所述若干用户组中的第一用户组的组身份,以及所请求的第一操作权限;所述第一用户组具有第一权限继承模式;
审批单元,用于根据预定义的权限审批规则,对所述权限配置请求进行审批;
确定单元,用于在所述权限配置请求审批通过的情况下,根据所述第一操作权限以及所述第一用户组在所述群组关系中的归属拓扑关系,确定其针对目标应用的第二操作权限;
配置单元,用于针对所述目标应用配置第一权限策略,该第一权限策略用于描述,与所述第一用户组相关且与所述第一权限继承模式对应的第一身份具有针对所述目标应用的第二操作权限,并且所述第一身份用于作为所述目标应用运行时的备选应用身份。
第五方面,提供了一种应用运行装置,包括:
接收单元,用于接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及目标应用的镜像文件;
发送单元,用于向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
所述接收单元,还用于从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述目标用户组的组身份是否可以作为所述目标应用的应用身份,以及所述目标用户组是否具有针对所述目标应用的运行权限;
运行单元,用于在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立单元,用于建立所述目标应用的副本与所述目标用户组的对应关系,以供所述目标应用的副本使用所述目标用户组的组身份访问其它应用或服务。
第六方面,提供了一种应用运行装置,包括:
接收单元,用于接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及目标应用的镜像文件;
发送单元,用于向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
所述接收单元,还用于从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述请求用户的用户身份是否可以作为所述目标应用的应用身份,以及所述请求用户是否具有针对所述目标应用的运行权限;
运行单元,用于在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立单元,用于建立所述目标应用的副本与所述请求用户的对应关系,以供所述目标应用的副本使用所述请求用户的用户身份访问其它应用或服务。
第七方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行上述第一方面或第二方面或第三方面的方法。
第八方面,提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现上述第一方面或第二方面或第三方面的方法。
本说明书一个或多个实施例提供的用户权限的管理、应用运行方法及装置,用户管理系统接收针对目标应用的权限配置请求。该权限配置请求包括第一用户组的组身份以及所请求的第一操作权限。根据预定义的权限审批规则,对权限配置请求进行审批。在审批通过的情况下,根据所请求的第一操作权限以及第一用户组的归属拓扑关系,确定针对目标应用的第二操作权限。之后,针对目标应用配置第一权限策略,该第一权限策略用于描述,与第一用户组相关且与第一权限继承模式对应的第一身份具有针对目标应用的第二操作权限,并且第一身份用于作为目标应用运行时的备选应用身份。由此可以看出,本说明书实施例提供的方案,可以用户组为粒度对用户的权限进行管理。与自然人相比,用户组是一个更加稳定的结构,从而本方案以降低对用户权限管理的复杂度。
附图说明
为了更清楚地说明本说明书实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本说明书提供的用户管理系统示意图;
图2为本说明书一个实施例提供的用户组的创建方法流程图;
图3为本说明书提供的权限继承模式示意图;
图4为本说明书一个实施例提供的用户权限的管理方法流程图;
图5为本说明书一个实施例提供的应用运行方法交互图;
图6为本说明书提供的应用运行方法示意图;
图7为本说明书另一个实施例提供的应用运行方法交互图;
图8为本说明书一个实施例提供的用户权限的管理装置示意图;
图9为本说明书一个实施例提供的应用运行装置示意图;
图10为本说明书另一个实施例提供的应用运行装置示意图。
具体实施方式
下面结合附图,对本说明书提供的方案进行描述。
如前所述,传统的以自然人为中心的权限管理,随着企业员工规模和流动性变大,权限管理复杂度与日俱增。此外,传统技术中,企业研发的应用通常为单体应用,其配置静态化,一般不存在身份管理的需求。然而,随着微服务范式的推广,单体应用也逐渐分解成为多个独立自治的微服务合作提供原先的功能。在向微服务范式转型之后,微服务的应用身份的缺失,会导致微服务之间鉴权的缺失。而在鉴权缺失的情况下,通常无法保证应用运行在指定的环境中,这将不利于对应用的管控。
为解决上述两方面的问题,本申请将以用户组为核心,来为应用映射相应的应用身份,并且对应用的应用身份和用户的用户身份进行相整合后管理。以下进行具体说明。
图1为本说明书提供的用户管理系统示意图。该用户管理系统包括第一子系统和第二子系统,其中,第一子系统(也称全局子系统)用于维护群组关系,该群组关系记录用户与若干用户组,以及该若干用户之间的归属拓扑关系。第二子系统用于基于第一子系统中的群组关系,针对应用配置对应的权限策略。
需要说明,上述第二子系统也可以称为策略配置器(Po l icy Configurator),其可以与一个或多个应用对应。该第二子系统的数目通常为多个,其中的每个第二子系统与其对应的应用相关,其可以执行如下两个功能:第一,采用申请/审批的模式管理针对对应应用的权限配置请求。并且,每当有新的权限配置请求审批通过时,它将会去配置对应的权限策略。第二,持续检测用户组之间的归属拓扑关系,当检测到用户组之间的归属拓扑关系发生变化,且该变化会影响到对应应用的权限策略时,修改该权限策略。总而言之,上述第二子系统可以将不具有任何具体权限的用户/用户组对接到不同的应用之中。
总之,本说明书提供的用户管理系统以用户组为核心的权限管理机制,带来了管理上的一致性,减轻了理解整个用户管理系统的心智负担和现实中的实际操作负担。此外,各个环节的申请/审批模式也为“最小权限”原则提供了技术实现的基础。
图2为本说明书一个实施例提供的用户组的创建方法流程图。如图2所示,所述方法的执行主体可以为具有处理能力的设备:服务器或者系统或者装置,如,可以为图1中的第一子系统等。如图2所示,所述方法具体可以包括:
步骤202,接收第一用户发起的第一请求。
这里的第一用户可以是指第一子系统中维护的群组关系中的任一用户。该第一用户可以具有相应的用户身份。在一个例子中,该用户身份可以是从身份提供者(例如,LDAP)获取得到。其例如可以为令牌信息或数字证书等。
上述第一请求用于请求创建第一用户组,其中可以包括第一用户组的描述信息,该描述信息至少指出第一用户组的组身份以及第一用户组中的用户成员的用户身份等信息,此外,还可以指示出该第一用户组的归属拓扑关系以及用途信息(比如,用于开发、测试或者运维)等。
步骤204,将第一请求发送给超级管理员进行审批。
这里的超级管理员是上述第一子系统初始化时创建的创世用户组的管理员。
步骤206,在审批通过的情况下,在群组关系中创建第一用户组,并将第一用户作为第一用户组的管理员。
这里,可以是基于第一用户组的归属拓扑关系,在群组关系中创建第一用户组。
需要说明,本说明书实施例创建的第一用户组可以具有如下三方面的特点:第一,第一用户组可以包含其它用户组。第二,第一用户组可以加入一个或多个其它用户组。第三,当第一用户组加入另一个用户组时,不允许循环嵌套。
此外,在创建上述第一用户组之后,还可以为其设定相应的权限继承模式。该权限继承模式用于描述该第一用户组针对其归属的第二用户组的权限的继承方式。这里的权限可以是指针对应用或资源的操作权限。这里的操作权限可以包括但不限于运行权限(也称创建(Create)权限)、访问(Read)权限、更改(Update)权限以及删除(De lete)权限中的至少一项。另外,上述权限继承模式可以包括但不限于用户继承模式、用户组继承模式或者用户/用户组继承模式。以下针对该三种权限继承模式进行说明。
图3为本说明书提供的权限继承模式示意图。图3中,最左侧图对应于用户继承模式,在该模式下,第二用户组的权限仅被第一用户组中的所有的用户所继承。图3的中间图对应于用户组继承模式,在该模式下,第二用户组的权限仅被第一用户组所继承。图3的最右侧图对应于用/用户组继承模式,在该模式下,第二用户组的权限同时被第一用户组和第一用户组的用户所继承。
应理解,与第一用户组的创建方式类似地,还可以创建其它用户组,最后得到若干用户组。基于用户与若干用户组,以及该若干用户组之间的归属拓扑关系,就可以得到上述群组关系。
在一个示例中,上述群组关系可以记录为群组关系图,该群组关系图可以包括代表若干用户组的各节点,以及代表各用户组之间的归属拓扑关系的各有向边。在一个具体的例子中,该群组关系图为有向无环图。
还需要说明,上述群组关系中的任一用户可以归属于一个或多个用户组。具体地,当某用户属于某个用户组时,那么该用户可以拥有该用户组所拥有的权限。因此,对于特定用户权限的管理归一化到相应的用户组管理。
最后需要说明,第一用户组的管理员用于对其它用户发送的加入第一用户组的请求进行审批。以下对该审批过程进行说明。
具体地,第一子系统接收第二用户发起的第二请求,该第二请求用于请求加入第一用户组。其可以包括第二用户的用户身份以及第一用户组的组身份。第一子系统将第二请求发送给第一用户进行审批。在审批通过的情况下,将第二用户添加到第一用户组中。
应理解,由于第一用户为第一用户组的管理员,其通常十分了解第一用户组和组内各用户成员所拥有的权限,因此由该第一用户对第二用户的第二请求进行审批,可以降低权限滥发的几率。这里之所以说是可以降低权限滥发的几率,是因为当某一用户归属于某一用户组时,该用户会拥有所归属的用户组所拥有的权限。
以上是针对第一子系统中的群组关系的创建方法的说明,以下对基于该群组关系所进行的用户的权限的管理方法进行说明。
图4为本说明书一个实施例提供的用户权限的管理方法流程图。如图4所示,所述方法的执行主体可以为具有处理能力的设备:服务器或者系统或者装置,如,可以为图1中的第二子系统。如图4所示,所述方法具体可以包括:
步骤402,接收针对目标应用的权限配置请求。
这里的目标应用可以包括企业内部应用和对外发布的应用。其中,企业内部应用可以包括但不限于开发、测试或运维(或生产)阶段的应用等。
该权限配置请求中携带有若干用户组中的第一用户组的组身份,以及请求的第一操作权限。这里的组身份可以包括但不限于令牌信息或者数字证书等。此外,第一操作权限可以包括但不限于运行权限、访问(Read)权限、更改(Update)权限以及删除(De lete)权限中的至少一项。
当然,在实际应用中,上述权限配置请求还可以包括第一用户组的用途信息以及申请期限等信息。其中,用途信息例如可以为用于开发、用于测试或者用于运维等。
步骤404,根据预计定义的权限审批规则,对权限配置请求进行审批。
这里的预定义的权限审批规则可以包括但不限于以下至少一项:第一用户组的用途信息是否与目标应用的类型相匹配、申请期限是否合理以及该第一用户组是否有相应的权限请求历史等等。
以基于第一用户组的用途信息是否与目标应用的类型相匹配,对权限配置请求进行审批为例来说,如果第一用户组的用途信息用于开发,且目标应用为开发阶段的应用,那么基于该项权限审批规则的审批通过。而如果第一用户组的用途信息用于开发,且目标应用为测试阶段的应用,那么基于该项权限审批规则的审批不通过。
再以第一用户组是否有相应的权限请求历史为例来说,如果第一用户组有相应的权限请求历史,那么该权限配置请求审批通过。
应理解,以上只是示例性地给出几种权限审批规则,在实际应用中,上述权限审批规则还可以包括其它内容,比如,资源量是否充足等等,本说明书对此不作限定。
步骤406,在权限配置请求审批通过的情况下,根据第一操作权限以及第一用户组在群组关系中的归属拓扑关系,确定其针对目标应用的第二操作权限。
具体地,可以先根据第一用户组在群组关系中的归属拓扑关系,确定第一用户组是否归属于任意的第二用户组。如果否,则直接根据第一操作权限,确定针对目标应用的第二操作权限。如果是,则确定第二用户组针对目标应用的第三操作权限。之后将第一操作权限和第三操作权限的并集,确定为第二操作权限。
比如,在第一操作权限为:Q1,第三操作权限为:Q2的情况下,第二操作权限可以为:Q1+Q2。再比如,在第一操作权限为:Q1+Q2,第三操作权限为:Q2的情况下,第二操作权限可以为:Q1+Q2。
步骤408,针对目标应用配置第一权限策略。
该第一权限策略用于描述,与第一用户组相关且与第一用户组的第一权限继承模式对应的第一身份具有针对目标应用的第二操作权限,并且第一身份用于作为目标应用运行时的备选应用身份。
其中,上述第一身份可以是根据第一用户组的组身份和/或第一用户组中各用户的用户身份,以及第一用户组的第一权限继承模式确定。也就是说,该第一身份与第一用户组相关。以下进行详细说明。
具体地,在第一权限继承模式为用户继承模式的情况下,可以将第一用户组中各用户的用户身份确定为上述第一身份。在第一权限继承模式为用户组继承模式的情况下,可以将第一用户组的组身份确定为上述第一身份。在第一权限继承模式为用户/用户组继承模式的情况下,可以将第一用户组的组身份和第一用户组中各用户的用户身份同时确定为上述第一身份。
需要说明,本说明书实施例之所以针对不同的用户继承模式确定不同的第一身份,是因为该第一身份用于作为目标应用运行时的备选应用身份。而对于不同类型的目标应用,针对其进行身份映射时通常有着不同的需求。
比如,对于开发阶段的应用,通常希望可以使用各用户的用户身份来映射该应用的应用身份,以此为每个用户创建隔离的开发环境。对于运维阶段的应用,由于在运维环境对软件的质量有更高的标准,通常希望可以使用用户组的组身份来映射该应用的应用身份。对于测试阶段的应用,通常希望既可以使用各用户的用户身份来映射该应用的应用身份,也可以使用用户组的组身份来映射该应用的应用身份。
应理解,在针对目标应用配置对应的权限策略之后,该权限策略就会写入到目标应用的配置信息或者配置文件中,以便于后续可以基于该权限策略,对请求运行应用的身份(包括组身份和用户身份)进行审批,并且在审批通过后,将该请求的身份映射为相应的应用身份。具体映射过程后续说明。
还需要说明,本说明书实施例针对目标应用配置的权限策略是动态变化的。比如,可以动态检测用户组之间的归属拓扑关系,当检测到用户组之间的归属拓扑关系发生变化,且该变化会影响到目标应用的权限策略时,修改该权限策略。
比如,在第一用户组中新增用户A时,可以在目标应用的第一权限策略中新增如下描述:用户A具有针对目标应用的第二操作权限。或者,在第一用户组中的已有用户B退出第一用户组时,可以在目标应用的第一权限策略中删除如下描述:用户B具有针对目标应用的第二操作权限等等。
应理解,与目标应用的第一权限策略的配置方法类似地,对应于其它各应用的各第二子系统,还可以针对其它各应用分别配置对应的权限策略,本说明书在此不复赘述。
综合以上,本说明书实施例提供的用户权限的管理方法,可以用户组为粒度对用户的权限进行管理。与自然人相比,用户组是一个更加稳定的结构,从而本方案以降低对用户权限管理的复杂度。此外,本方案可以用户的身份为基石,对用户的权限进行管理,由此可便于对企业内部各种环境以及资源进行数字化,精细化管理。最后,本方案将用户组的组身份或者用户组中各用户的用户身份映射为应用的应用身份,可以实现用户身份和应用身份的统一管理,由此可以大大提升身份管理效率。
此外,从上述各实施例可以看出,本说明书实施例提供的用户管理系统可以作为中枢系统对接各种应用。以及可以将针对自然人细粒度的,依托组织汇报关系的权限管理体系转化为通晓更多上下文的用户组管理。最后,还可以将自然人和应用的身份有机统一起来。与此同时,结合权限策略带来的隔离机制,可以为应用创建不同的(开发、测试和运维)环境。
以下以应用为容器化应用(一种通过容器管理平台部署的应用)为例,对应用的应用身份映射过程进行说明。需要说明,这里的容器化应用仅为了示例性目的,并且本说明书决不被限制于这里描述的特殊示例性实施例。
图5为本说明书一个实施例提供的应用运行方法交互图。如图5所示,该方法可以包括:
步骤502,容器管理平台接收请求用户发送的应用运行请求。
该容器管理平台中可以维护有若干应用各自的权限策略。以若干应用中的目标应用为例来说,该目标应用的权限策略可以同上文所述,即其可以用于描述,与某用户组相关且与该用户组的权限继承模式对应的目标身份具有针对目标应用的若干操作权限,并且该目标身份用于作为目标应用运行时的备选应用身份。其中的目标身份以及操作权限由上述第二子系统配置得到,具体配置过程同上所述。
上述请求用户可以是指第一子系统中维护的群组关系中的任一用户,其可以归属于一个或多个用户组。
上述应用运行请求中可以携带请求用户的用户身份、请求用户所属的目标用户组的组身份以及目标应用的镜像文件。其中,目标用户组可以是指请求用户所归属的一个或多个用户组中任一用户组。在本说明书实施例中,假设目标用户组的权限继承模式为用户组继承模式。
需要说明,上述目标应用的镜像文件可以是指Docker镜像文件,该Docker镜像文件中可以封装有目标应用以及目标应用的依赖包。需要说明,通过运行该Docker镜像文件,就可以启动一个对应的Docker容器。在该Docker容器中,目标应用可以像在真实的物理机上一样正常运行。
步骤504,容器管理平台向用户管理系统发送携带请求用户的用户身份和目标用户组的组身份的验证请求,以请求用户管理系统对请求用户的用户身份进行第一验证。
这里,具体可以是向用户管理系统中的第一子系统发送验证请求。这里的目标用户组可以理解为是请求用户当前想要代表的用户组。
此外,上述第一验证可以包括:验证请求用户是否存在于第一子系统维护的群组关系(即记录用户与若干用户组,以及该若干用户组之间的归属拓扑关系)中,以及验证该请求用户是否归属于目标用户组,或者说验证是否对请求用户想要代表的目标用户组进行授权。需要说明,在请求用户存在于群组关系中,且该请求用户归属于目标用户组时,针对该请求用户的用户身份的第一验证的验证结果为验证通过。而在上述两个条件中的任一条件不满足时,针对该请求用户的用户身份的第一验证的验证结果为验证不通过。
步骤506,容器管理平台从用户管理系统接收验证结果,并且在验证结果为验证通过的情况下,根据目标应用的权限策略,进行第二验证。
这里的第二验证可以包括:验证目标用户组的组身份是否可以作为目标应用的应用身份,以及目标用户组是否具有针对目标应用的运行权限。其中,验证目标用户组的组身份是否可以作为目标应用的应用身份可以是指,将目标用户组的组身份与目标应用的权限策略中的目标身份进行匹配。这里的匹配具体可以包括:在目标身份为一个时,可以将目标用户组的组身份与目标身份进行比对,以判断是否一致。而在目标身份为多个时,可以将目标用户组的组身份与多个目标身份一一进行比对,以判断是否存在相一致的目标身份。应理解,在比对一致或存在相一致的目标身份时,则认为目标用户组的组身份与权限策略中的目标身份相匹配,从而目标用户组的组身份可以作为目标应用的应用身份。
另外,验证目标用户组是否具有针对目标应用的运行权限可以是指,判断权限策略中与目标用户组的组身份相匹配的目标身份所具有的操作权限中是否包含运行权限。如果包含,则认为目标用户组具有针对目标应用的运行权限。
需要说明,在目标用户组的组身份可以作为目标应用的应用身份,且目标用户组具有针对目标应用的运行权限时,上述第二验证的验证结果为验证通过。否则上述两个条件中的任一条件不满足时,上述第二验证的验证结果为验证不通过。
步骤508,在第二验证的验证结果为验证通过的情况下,容器管理平台运行目标应用的镜像文件,以启动对应于目标应用的容器,并在容器中运行目标应用的副本。
步骤510,容器管理平台建立目标应用的副本与目标用户组的对应关系,以供目标应用的副本使用目标用户组的组身份访问其它应用或服务。
该步骤也相当于将目标用户组的组身份映射为目标应用的应用身份。
综上所述,本说明书实施例提供的应用运行方法,可以将用户组的组身份映射为目标应用的应用身份,这方便于实现应用之间通信的鉴权,进而可以确保应用正确地运行在指定的环境中。此外,本方案基于用户组的组身份,来映射目标应用的应用身份,可以实现用户身份和应用身份的统一管理。
图6为本说明书提供的应用运行方法示意图。图6中,请求用户在向容器管理平台发送应用运行请求之前,可以先从身份提供者(例如,LDAP)获取对应的用户身份。之后,请求用户可以基于获取的用户身份向用户管理系统中的第一子系统发送组身份获取请求,之后由第一子系统基于该请求用户的用户身份,从其维护的群组关系中选取与请求用户相关联的目标用户组,并将该目标用户组的组身份返回给请求用户。最后,请求用户向容器管理平台发起携带请求用户的用户身份、目标用户组的组身份以及目标应用的镜像文件的应用运行请求。以使得容器管理平台通过图5示出的各步骤,对应用运行请求进行处理。
当然,在实际应用中,请求用户也可以不执行获取目标用户组的步骤,而直接指定其想要代表的目标用户组。然后通过执行上述步骤504,来验证是否对请求用户想要代表的目标用户组进行授权。
需要说明,以上是对请求用户所请求的目标用户组的权限继承模式为用户组继承模式的情况下,应用的身份映射过程的说明。以下对请求用户所请求的目标用户组的权限继承模式为用户继承模式的情况下,应用的身份映射过程进行说明。
图7为本说明书另一个实施例提供的应用运行方法交互图。如图7所示,该方法可以包括:
步骤702-步骤704与步骤502-步骤504相同。
步骤706,从用户管理系统接收验证结果,并且在验证结果为验证通过的情况下,根据目标应用的权限策略,进行第二验证。
这里的第二验证可以包括:验证请求用户的用户身份是否可以作为目标应用的应用身份,以及请求用户是否具有针对目标应用的运行权限。其中,验证请求用户的用户身份是否可以作为目标应用的应用身份可以是指,将请求用户的用户身份与目标应用的权限策略中的目标身份进行匹配。这里的匹配具体可以包括:在目标身份为一个时,可以将请求用户的用户身份与目标身份进行比对,以判断是否一致。而在目标身份为多个时,可以将请求用户的用户身份与多个目标身份一一进行比对,以判断是否存在相一致的目标身份。应理解,在比对一致或存在相一致的目标身份时,则认为请求用户的用户身份与权限策略中的目标身份相匹配,从而请求用户的用户身份可以作为目标应用的应用身份。
另外,验证请求用户是否具有针对目标应用的运行权限可以是指,判断权限策略中与请求用户的用户身份相匹配的目标身份所具有的操作权限中是否包含运行权限。如果包含,则认为请求用户具有针对目标应用的运行权限。
需要说明,在请求用户的用户身份可以作为目标应用的应用身份,且请求用户具有针对目标应用的运行权限时,上述第二验证的验证结果为验证通过。否则上述两个条件中的任一条件不满足时,上述第二验证的验证结果为验证不通过。
步骤708,在第二验证的验证结果为验证通过的情况下,运行目标应用的镜像文件,以启动对应于目标应用的容器,并在容器中运行目标应用的副本。
步骤710,建立目标应用的副本与请求用户的对应关系,以供目标应用的副本使用请求用户的用户身份访问其它应用或服务。
该步骤也相当于将请求用户的用户身份映射为目标应用的应用身份。
综上所述,本说明书实施例提供的应用运行方法,可以将请求用户的用户身份映射为目标应用的应用身份,这方便于实现应用之间通信的鉴权,进而可以确保应用正确地运行在指定的环境中。此外,基于上述应用身份的映射方法,可以在企业内部形成人,应用,权限的统一视图,将不同类型的主体及资源管控起来,为提高企业安全、研发效能和资源效能打下基础。
应理解,在请求用户所请求的目标用户组的权限继承模式为用户/用户组继承模式的情况下,在运行应用时,可以同时将请求用户的用户身份和目标用户组的组身份映射为应用的身份,具体映射过程参见上述图5和图7中示出的各步骤,本说明书在此不复赘述。
与上述用户权限的管理方法对应地,本说明书一个实施例还提供的一种用户权限的管理装置,该装置设置于用户管理系统。该用户管理系统中维护有群组关系,该群组关系用于记录用户与若干用户组,以及该若干用户组之间的归属拓扑关系,其中的每个用户组具有对应的权限继承模式。
在一个示例中,上述群组关系可以记录为群组关系图,该群组关系图包括代表若干用户组的各节点,以及代表各用户组之间的归属拓扑关系的各有向边。该群组关系图具体可以为有向无环图。
如图8所示,该装置可以包括:
接收单元802,用于接收针对目标应用的权限配置请求。该权限配置请求中携带有若干用户组中的第一用户组的组身份,以及所请求的第一操作权限。该第一用户组具有第一权限继承模式。
审批单元804,用于根据预定义的权限审批规则,对权限配置请求进行审批。
确定单元806,用于在权限配置请求审批通过的情况下,根据第一操作权限以及第一用户组在群组关系中的归属拓扑关系,确定其针对目标应用的第二操作权限。
其中,第一用户组归属于第二用户组,确定单元806具体用于:
确定第二用户组针对目标应用的第三操作权限;
将第一操作权限和第三操作权限的并集,确定为第二操作权限。
上述第二操作权限可以包括运行权限、访问权限、更改权限以及删除权限中的至少一项。
配置单元808,用于针对目标应用配置第一权限策略,该第一权限策略用于描述,与第一用户组相关且与第一权限继承模式对应的第一身份具有针对目标应用的第二操作权限,并且第一身份用于作为目标应用运行时的备选应用身份。
其中,第一权限继承模式包括:用户继承模式、用户组继承模式或者用户/用户组继承模式;
若第一权限继承模式为用户继承模式,则第一身份为第一用户组中的各用户的用户身份;
若第一权限继承模式为用户组继承模式,则第一身份为第一用户组的组身份;
若第一权限继承模式为用户/用户组继承模式,则第一身份包括第一用户组的组身份和第一用户组中各用户的用户身份。
可选地,该装置还可以包括:发送单元810和创建单元812。
接收单元802,还用于接收第一用户发起的第一请求,该第一请求用于请求创建第一用户组。
发送单元810,用于将第一请求发送给超级管理员进行审批,该超级管理员是用户管理系统初始化时创建的创世用户组的管理员。
创建单元812,用于在审批通过的情况下,在群组关系中创建第一用户组,并将第一用户作为第一用户组的管理员。
可选地,该装置还可以包括:添加单元814。
接收单元802,还用于接收第二用户发起的第二请求,该第二请求用于请求加入第一用户组。
发送单元810,还用于将第二请求发送给第一用户进行审批。
添加单元814,用于在审批通过的情况下,将第二用户添加到第一用户组中。
本说明书上述实施例装置的各功能模块的功能,可以通过上述方法实施例的各步骤来实现,因此,本说明书一个实施例提供的装置的具体工作过程,在此不复赘述。
本说明书一个实施例提供的用户权限的管理装置,可以降低对用户权限管理的复杂度。
与上述应用运行方法对应地,本说明书一个实施例还提供的一种应用运行装置,设置于容器管理平台,该容器管理平台中维护有目标应用的权限策略。如图9所示,该装置可以包括:
接收单元902,用于接收请求用户发送的应用运行请求。该应用运行请求中携带请求用户的用户身份、请求用户所属的目标用户组的组身份以及目标应用的镜像文件。
发送单元904,用于向用户管理系统发送携带用户身份和组身份的验证请求,以请求用户管理系统对请求用户的用户身份进行第一验证。
接收单元902,还用于从用户管理系统接收验证结果,并且在验证结果为验证通过的情况下,根据权限策略,进行第二验证。该第二验证包括:验证目标用户组的组身份是否可以作为目标应用的应用身份,以及目标用户组是否具有针对目标应用的运行权限。
运行单元906,用于在第二验证的验证结果为验证通过的情况下,运行镜像文件,以启动对应于目标应用的容器,并在容器中运行目标应用的副本。
建立单元908,用于建立目标应用的副本与目标用户组的对应关系,以供目标应用的副本使用目标用户组的组身份访问其它应用或服务。
本说明书上述实施例装置的各功能模块的功能,可以通过上述方法实施例的各步骤来实现,因此,本说明书一个实施例提供的装置的具体工作过程,在此不复赘述。
本说明书一个实施例提供的应用运行装置,可以将用户组的组身份映射为目标应用的应用身份,这方便于实现应用之间通信的鉴权,进而可以确保应用正确地运行在指定的环境中。
与上述应用运行方法对应地,本说明书一个实施例还提供的一种应用运行装置,设置于容器管理平台,该容器管理平台中维护有目标应用的权限策略。如图10所示,该装置可以包括:
接收单元1002,用于接收请求用户发送的应用运行请求。该应用运行请求中携带请求用户的用户身份、请求用户所属的目标用户组的组身份以及目标应用的镜像文件。
发送单元1004,用于向用户管理系统发送携带用户身份和组身份的验证请求,以请求用户管理系统对请求用户的用户身份进行第一验证。
接收单元1002,还用于从用户管理系统接收验证结果,并且在验证结果为验证通过的情况下,根据权限策略,进行第二验证。该第二验证包括:验证请求用户的用户身份是否可以作为目标应用的应用身份,以及请求用户是否具有针对目标应用的运行权限。
运行单元1006,用于在第二验证的验证结果为验证通过的情况下,运行镜像文件,以启动对应于目标应用的容器,并在容器中运行目标应用的副本。
建立单元1008,用于建立目标应用的副本与请求用户的对应关系,以供目标应用的副本使用请求用户的用户身份访问其它应用或服务。
本说明书上述实施例装置的各功能模块的功能,可以通过上述方法实施例的各步骤来实现,因此,本说明书一个实施例提供的装置的具体工作过程,在此不复赘述。
本说明书一个实施例提供的应用运行装置,可以将请求用户的用户身份映射为目标应用的应用身份,这方便于实现应用之间通信的鉴权,进而可以确保应用正确地运行在指定的环境中。
根据另一方面的实施例,还提供一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行结合图2、图4、图5或图7所描述的方法。
根据再一方面的实施例,还提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现结合图2、图4、图5或图7所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
结合本说明书公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于服务器中。当然,处理器和存储介质也可以作为分立组件存在于服务器中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述的具体实施方式,对本说明书的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本说明书的具体实施方式而已,并不用于限定本说明书的保护范围,凡在本说明书的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本说明书的保护范围之内。
Claims (20)
1.一种用户权限的管理方法,通过用户管理系统执行;所述用户管理系统中维护有群组关系,所述群组关系用于记录用户与若干用户组,以及该若干用户组之间的归属拓扑关系,其中的每个用户组具有对应的权限继承模式;所述方法包括:
接收针对目标应用的权限配置请求;所述权限配置请求中携带有所述若干用户组中的第一用户组的组身份,以及所请求的第一操作权限;所述第一用户组具有第一权限继承模式;
根据预定义的权限审批规则,对所述权限配置请求进行审批;
在所述权限配置请求审批通过的情况下,根据所述第一操作权限以及所述第一用户组在所述群组关系中的归属拓扑关系,确定其针对目标应用的第二操作权限;
针对所述目标应用配置第一权限策略,该第一权限策略用于描述,与所述第一用户组相关且与所述第一权限继承模式对应的第一身份具有针对所述目标应用的第二操作权限,并且所述第一身份用于作为所述目标应用运行时的备选应用身份。
2.根据权利要求1所述的方法,其中,所述第一用户组归属于第二用户组;所述根据所述第一操作权限以及所述第一用户组在所述群组关系中的归属拓扑关系,确定其针对目标应用的第二操作权限,包括:
确定所述第二用户组针对所述目标应用的第三操作权限;
将所述第一操作权限和所述第三操作权限的并集,确定为所述第二操作权限。
3.根据权利要求1所述的方法,所述第一权限继承模式包括:用户继承模式、用户组继承模式或者用户/用户组继承模式;
若所述第一权限继承模式为用户继承模式,则所述第一身份为所述第一用户组中的各用户的用户身份;
若所述第一权限继承模式为用户组继承模式,则所述第一身份为所述第一用户组的组身份;
若所述第一权限继承模式为用户/用户组继承模式,则所述第一身份包括所述第一用户组的组身份和所述第一用户组中各用户的用户身份。
4.根据权利要求1所述的方法,在接收针对目标应用的权限配置请求之前,所述方法还包括:
接收第一用户发起的第一请求,该第一请求用于请求创建所述第一用户组;
将所述第一请求发送给超级管理员进行审批,所述超级管理员是所述用户管理系统初始化时创建的创世用户组的管理员;
在审批通过的情况下,在所述群组关系中创建所述第一用户组,并将所述第一用户作为所述第一用户组的管理员。
5.根据权利要求4所述的方法,还包括:
接收第二用户发起的第二请求,该第二请求用于请求加入所述第一用户组;
将所述第二请求发送给所述第一用户进行审批;
在审批通过的情况下,将所述第二用户添加到所述第一用户组中。
6.根据权利要求1所述的方法,所述第二操作权限包括运行权限、访问权限、更改权限以及删除权限中的至少一项。
7.根据权利要求1所述的方法,其中所述群组关系记录为群组关系图,所述群组关系图包括代表所述若干用户组的各节点,以及代表各用户组之间的归属拓扑关系的各有向边;所述群组关系图为有向无环图。
8.一种应用运行方法,通过容器管理平台执行,所述容器管理平台中维护有目标应用的权限策略;所述方法包括:
接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及所述目标应用的镜像文件;
向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述目标用户组的组身份是否可以作为所述目标应用的应用身份,以及所述目标用户组是否具有针对所述目标应用的运行权限;
在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立所述目标应用的副本与所述目标用户组的对应关系,以供所述目标应用的副本使用所述目标用户组的组身份访问其它应用或服务。
9.一种应用运行方法,通过容器管理平台执行,所述容器管理平台中维护有目标应用的权限策略;包括:
接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及所述目标应用的镜像文件;
向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述请求用户的用户身份是否可以作为所述目标应用的应用身份,以及所述请求用户是否具有针对所述目标应用的运行权限;
在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立所述目标应用的副本与所述请求用户的对应关系,以供所述目标应用的副本使用所述请求用户的用户身份访问其它应用或服务。
10.一种用户权限的管理装置,设置于用户管理系统;所述用户管理系统中维护有群组关系,所述群组关系用于记录用户与若干用户组,以及该若干用户组之间的归属拓扑关系,其中的每个用户组具有对应的权限继承模式;所述装置包括:
接收单元,用于接收针对目标应用的权限配置请求;所述权限配置请求中携带有所述若干用户组中的第一用户组的组身份,以及所请求的第一操作权限;所述第一用户组具有第一权限继承模式;
审批单元,用于根据预定义的权限审批规则,对所述权限配置请求进行审批;
确定单元,用于在所述权限配置请求审批通过的情况下,根据所述第一操作权限以及所述第一用户组在所述群组关系中的归属拓扑关系,确定其针对目标应用的第二操作权限;
配置单元,用于针对所述目标应用配置第一权限策略,该第一权限策略用于描述,与所述第一用户组相关且与所述第一权限继承模式对应的第一身份具有针对所述目标应用的第二操作权限,并且所述第一身份用于作为所述目标应用运行时的备选应用身份。
11.根据权利要求10所述的装置,其中,所述第一用户组归属于第二用户组;所述确定单元具体用于:
确定所述第二用户组针对所述目标应用的第三操作权限;
将所述第一操作权限和所述第三操作权限的并集,确定为所述第二操作权限。
12.根据权利要求10所述的装置,所述第一权限继承模式包括:用户继承模式、用户组继承模式或者用户/用户组继承模式;
若所述第一权限继承模式为用户继承模式,则所述第一身份为所述第一用户组中的各用户的用户身份;
若所述第一权限继承模式为用户组继承模式,则所述第一身份为所述第一用户组的组身份;
若所述第一权限继承模式为用户/用户组继承模式,则所述第一身份包括所述第一用户组的组身份和所述第一用户组中各用户的用户身份。
13.根据权利要求10所述的装置,所述装置还包括:发送单元和创建单元;
所述接收单元,还用于接收第一用户发起的第一请求,该第一请求用于请求创建所述第一用户组;
所述发送单元,用于将所述第一请求发送给超级管理员进行审批,所述超级管理员是所述用户管理系统初始化时创建的创世用户组的管理员;
所述创建单元,用于在审批通过的情况下,在所述群组关系中创建所述第一用户组,并将所述第一用户作为所述第一用户组的管理员。
14.根据权利要求13所述的装置,还包括:添加单元;
所述接收单元,还用于接收第二用户发起的第二请求,该第二请求用于请求加入所述第一用户组;
所述发送单元,还用于将所述第二请求发送给所述第一用户进行审批;
所述添加单元,用于在审批通过的情况下,将所述第二用户添加到所述第一用户组中。
15.根据权利要求10所述的装置,所述第二操作权限包括运行权限、访问权限、更改权限以及删除权限中的至少一项。
16.根据权利要求10所述的装置,其中所述群组关系记录为群组关系图,所述群组关系图包括代表所述若干用户组的各节点,以及代表各用户组之间的归属拓扑关系的各有向边;所述群组关系图为有向无环图。
17.一种应用运行装置,设置于容器管理平台,所述容器管理平台中维护有目标应用的权限策略;包括:
接收单元,用于接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及所述目标应用的镜像文件;
发送单元,用于向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
所述接收单元,还用于从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述目标用户组的组身份是否可以作为所述目标应用的应用身份,以及所述目标用户组是否具有针对所述目标应用的运行权限;
运行单元,用于在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立单元,用于建立所述目标应用的副本与所述目标用户组的对应关系,以供所述目标应用的副本使用所述目标用户组的组身份访问其它应用或服务。
18.一种应用运行装置,设置于容器管理平台,所述容器管理平台中维护有目标应用的权限策略;包括:
接收单元,用于接收请求用户发送的应用运行请求;所述应用运行请求中携带所述请求用户的用户身份、所述请求用户所属的目标用户组的组身份以及所述目标应用的镜像文件;
发送单元,用于向用户管理系统发送携带所述用户身份和所述组身份的验证请求,以请求所述用户管理系统对所述请求用户的用户身份进行第一验证;
所述接收单元,还用于从所述用户管理系统接收验证结果,并且在所述验证结果为验证通过的情况下,根据所述权限策略,进行第二验证;所述第二验证包括:验证所述请求用户的用户身份是否可以作为所述目标应用的应用身份,以及所述请求用户是否具有针对所述目标应用的运行权限;
运行单元,用于在所述第二验证的验证结果为验证通过的情况下,运行所述镜像文件,以启动对应于所述目标应用的容器,并在所述容器中运行所述目标应用的副本;
建立单元,用于建立所述目标应用的副本与所述请求用户的对应关系,以供所述目标应用的副本使用所述请求用户的用户身份访问其它应用或服务。
19.一种计算机可读存储介质,其上存储有计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法或权利要求8所述的方法或者权利要求9所述的方法。
20.一种计算设备,包括存储器和处理器,其中,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-7中任一项所述的方法或权利要求8所述的方法或权利要求9所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110414097.0A CN113065108B (zh) | 2021-04-16 | 2021-04-16 | 用户权限的管理、应用运行方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110414097.0A CN113065108B (zh) | 2021-04-16 | 2021-04-16 | 用户权限的管理、应用运行方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113065108A CN113065108A (zh) | 2021-07-02 |
| CN113065108B true CN113065108B (zh) | 2022-05-17 |
Family
ID=76567371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110414097.0A Active CN113065108B (zh) | 2021-04-16 | 2021-04-16 | 用户权限的管理、应用运行方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113065108B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113434257A (zh) * | 2021-07-07 | 2021-09-24 | 曙光信息产业(北京)有限公司 | 一种Docker的操作方法、装置、服务器和存储介质 |
| CN116302298A (zh) * | 2021-12-07 | 2023-06-23 | 中兴通讯股份有限公司 | 容器运行方法、装置、电子设备和存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN104769911A (zh) * | 2012-09-07 | 2015-07-08 | 甲骨文国际公司 | 多域身份管理系统 |
| CN107343007A (zh) * | 2017-07-17 | 2017-11-10 | 广西科技大学 | 基于用户身份及权限认证的分布式文件管理方法及系统 |
| CN107968763A (zh) * | 2016-10-19 | 2018-04-27 | 巽风数位工程有限公司 | 群组档案管理系统与方法 |
| CN109063436A (zh) * | 2018-07-30 | 2018-12-21 | 中国石油化工股份有限公司 | 支持多应用的企业级权限管控和应用方法 |
| CN110784433A (zh) * | 2018-07-31 | 2020-02-11 | 阿里巴巴集团控股有限公司 | 一种用户访问处理方法、装置及设备 |
| CN111176794A (zh) * | 2020-01-02 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种容器管理方法、装置及可读存储介质 |
| CN111274609A (zh) * | 2020-01-19 | 2020-06-12 | 苏州浪潮智能科技有限公司 | 一种分布式文件存储系统的用户权限继承方法及装置 |
| CN111399980A (zh) * | 2020-03-16 | 2020-07-10 | 中国联合网络通信集团有限公司 | 容器编排器的安全认证方法、装置及系统 |
| CN111475802A (zh) * | 2020-04-07 | 2020-07-31 | 网易(杭州)网络有限公司 | 权限的控制方法和装置 |
| CN111556005A (zh) * | 2019-12-31 | 2020-08-18 | 远景智能国际私人投资有限公司 | 权限管理方法、装置、电子设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8055680B2 (en) * | 2005-04-19 | 2011-11-08 | International Business Machines Corporation | Assigning access control lists to a hierarchical namespace to optimize ACL inheritance |
| US9471801B2 (en) * | 2007-11-29 | 2016-10-18 | Oracle International Corporation | Method and apparatus to support privileges at multiple levels of authentication using a constraining ACL |
| US8805882B2 (en) * | 2011-01-20 | 2014-08-12 | Microsoft Corporation | Programmatically enabling user access to CRM secured field instances based on secured field instance settings |
-
2021
- 2021-04-16 CN CN202110414097.0A patent/CN113065108B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104769911A (zh) * | 2012-09-07 | 2015-07-08 | 甲骨文国际公司 | 多域身份管理系统 |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN107968763A (zh) * | 2016-10-19 | 2018-04-27 | 巽风数位工程有限公司 | 群组档案管理系统与方法 |
| CN107343007A (zh) * | 2017-07-17 | 2017-11-10 | 广西科技大学 | 基于用户身份及权限认证的分布式文件管理方法及系统 |
| CN109063436A (zh) * | 2018-07-30 | 2018-12-21 | 中国石油化工股份有限公司 | 支持多应用的企业级权限管控和应用方法 |
| CN110784433A (zh) * | 2018-07-31 | 2020-02-11 | 阿里巴巴集团控股有限公司 | 一种用户访问处理方法、装置及设备 |
| CN111556005A (zh) * | 2019-12-31 | 2020-08-18 | 远景智能国际私人投资有限公司 | 权限管理方法、装置、电子设备及存储介质 |
| CN111176794A (zh) * | 2020-01-02 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种容器管理方法、装置及可读存储介质 |
| CN111274609A (zh) * | 2020-01-19 | 2020-06-12 | 苏州浪潮智能科技有限公司 | 一种分布式文件存储系统的用户权限继承方法及装置 |
| CN111399980A (zh) * | 2020-03-16 | 2020-07-10 | 中国联合网络通信集团有限公司 | 容器编排器的安全认证方法、装置及系统 |
| CN111475802A (zh) * | 2020-04-07 | 2020-07-31 | 网易(杭州)网络有限公司 | 权限的控制方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| Flexible Enforcement of Multi-factor Authentication with SSH via Linux-PAM for Federated Identity Users;Derek Simmel;《PEARC17: Proceedings of the Practice and Experience in Advanced Research Computing 2017 on Sustainability, Success and Impact》;20170709;全文 * |
| 基于RBAC的多等级移动Agent系统访问控制机制;李爱宁等;《计算机系统应用》;20090715(第07期);全文 * |
| 实现基于角色访问控制的PMI角色模型;徐兰芳等;《华中科技大学学报(自然科学版)》;20060728(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113065108A (zh) | 2021-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10735472B2 (en) | Container authorization policies for network trust | |
| Maesa et al. | Blockchain based access control services | |
| US11151254B2 (en) | Secure communications gateway for trusted execution and secure communications | |
| US8990900B2 (en) | Authorization control | |
| Gessner et al. | Trustworthy infrastructure services for a secure and privacy-respecting internet of things | |
| CN113065108B (zh) | 用户权限的管理、应用运行方法及装置 | |
| US20070283443A1 (en) | Translating role-based access control policy to resource authorization policy | |
| CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
| Carniani et al. | Usage control on cloud systems | |
| US11888856B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| US11233800B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| Solanki et al. | Multi-tenant access and information flow control for SaaS | |
| CN107135223A (zh) | 海量数据管理系统的数据持久化方法 | |
| Zhang et al. | Access control and trust management for emerging multidomain environments | |
| Abi Haidar et al. | XeNA: an access negotiation framework using XACML | |
| Amini et al. | Multi-level authorisation model and framework for distributed semantic-aware environments | |
| Martinelli et al. | A Model for Usage Control in GRID systems | |
| CN114297598B (zh) | 用户权限处理方法及装置 | |
| Ben Yahya et al. | MA-MOrBAC: A Distributed Access Control Model Based on Mobile Agent for Multi-organizational, Collaborative and Heterogeneous Systems | |
| Ju | Research on cloud computing-based power security management software | |
| Sardar et al. | Formal Specification and Verification of Architecturally-defined Attestation Mechanisms in Arm CCA and Intel TDX | |
| Liu | Trust-based access control for collaborative system | |
| Demichev et al. | Metadata driven data management in distributed computing environments with partial or complete lack of trust between user groups | |
| CN116760640B (zh) | 访问控制方法、装置、设备及存储介质 | |
| Liu et al. | A Temporal Multi-Tenant RBAC Model for Collaborative Cloud Services. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |