CN116134795A - 虚拟机置备和目录服务管理 - Google Patents

虚拟机置备和目录服务管理 Download PDF

Info

Publication number
CN116134795A
CN116134795A CN202180055840.6A CN202180055840A CN116134795A CN 116134795 A CN116134795 A CN 116134795A CN 202180055840 A CN202180055840 A CN 202180055840A CN 116134795 A CN116134795 A CN 116134795A
Authority
CN
China
Prior art keywords
tenant
client
service
virtual machine
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180055840.6A
Other languages
English (en)
Inventor
张岩
罗徐玲
陈虹潞
吴益忠
C·C·蒙托亚
J·史
N·李
P·C·帕德马纳巴恩
S·戈尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN116134795A publication Critical patent/CN116134795A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5041Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
    • H04L41/5054Automatic deployment of services triggered by the service manager, e.g. service implementation by automatic configuration of network components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)

Abstract

一种计算机实现方法,包括:授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问。响应于从该租户管理员客户端机器接收到的请求来获得针对租户的批量令牌。该云托管租户服务的经授权的租户客户端的标识符被接收到,并导致根据与该批量令牌相关联的指定置备包为该经授权的租户客户端在云服务中置备租户客户端虚拟机。该租户客户端虚拟机被随后联合至该目录服务。在该云托管租户服务处从租户客户端机器接收到经授权的客户端令牌时,向该租户客户端机器提供到该租户客户端虚拟机的连接。

Description

虚拟机置备和目录服务管理
背景技术
在基于云的计算环境中,基于云的计算机服务可被提供给没有其自己的计算基础设施的租户。所有服务都在云环境中被管理,其中基于云的目录服务管理对信息的存储和租户用户的访问。许多用户利用个人计算机和其他智能设备来访问云环境。用户提供凭证以获得由目录服务授予的此类访问。
为用户设置或置备(provision)虚拟计算机可能是一项耗时的工作,因为系统管理员必须手动创建和分发置备包,这可能是不安全的。终端用户仍然需要在虚拟计算机准备好使用之前执行交互操作。
从系统的角度来看,这样的交互动作效率很低,增加了网络信息流通量并需要额外的访问控制动作,还增加了安全风险。
发明内容
一种计算机实现方法,包括:授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问。响应于从该租户管理员客户端机器接收到的请求来获得针对租户的批量令牌。该云托管租户服务的经授权的租户客户端的标识符被接收到,并导致根据与该批量令牌相关联的指定置备包为该经授权的租户客户端在云服务中置备租户客户端虚拟机。该租户客户端虚拟机随后被联合至该目录服务。在该云托管租户服务处从租户客户端机器接收到经授权的租户客户端令牌时,向该租户客户端机器提供到该租户客户端虚拟机的连接。
附图说明
图1是根据示例实施例的用于向租户客户端提供第一云服务以及向该客户端提供第二云服务中的相应租户客户端虚拟机的系统的框图。
图2是根据示例实施例的向经授权的客户端提供客户端虚拟机的方法的流程图。
图3是根据示例实施例的用于为多个租户客户端置备客户端虚拟机的系统的框图流程图。
图4是根据示例实施例的例示用于创建、置备和联合客户端虚拟计算机的数据流的序列图。
图5是用于实现一个或多个示例实施例的计算机系统的框图示意图。
具体实施方式
在下面的描述中,对附图进行了参考,附图构成了描述的一部分且在其中作为示例示出了可实践的具体实施例。这些实施例被充分详细地描述以使本领域技术人员能够实践本发明,并且应当理解,可以利用其他实施例并可做出结构、逻辑和电气改变,而不脱离所提出的概念的精神或范围。因此,对示例性实施例的以下描述并不旨在限制,并且本发明的范围由所附权利要求限定。
在一个实施例中,本文描述的功能或算法可以在软件中实现。软件可以由存储在计算机可读介质或计算机可读存储设备(诸如一个或多个非暂时性存储器或其他类型的基于硬件的本地或联网的存储设备)上的计算机可执行指令组成。此外,这些功能对应于模块,其可以是软件、硬件、固件或其任何组合。根据需要,可以在一个或多个模块中执行多个功能,所描述的实施例仅仅是示例。软件可以在数字信号处理器、ASIC、微处理器或在计算机系统(诸如个人计算机、服务器或其他计算机系统)上操作的其他类型的处理器上执行,从而将这样的计算机系统变成专门编程的机器。
功能性可以被配置成使用例如软件、硬件、固件等来执行操作。例如,短语“被配置成”可以指用于实现相关联的功能性的硬件元件的逻辑电路结构。短语“被配置成”还可以指用于实现固件或软件的相关联的功能性的代码设计的硬件元件的逻辑电路结构术语“模块”指的是能够使用任何合适的硬件(例如,处理器等)、软件(例如,应用等)、固件或者硬件、软件和固件的任何组合来实现的结构元件。术语“逻辑”涵盖用于执行任务的任何功能性。例如,流程图中所解说的每个操作对应于用于执行该操作的逻辑。操作可使用软件、硬件、固件等来执行。术语“组件”、“系统”等可指代计算机相关的实体、硬件、和执行中的软件、固件或其组合。组件可以是在在处理器上运行的进程、对象、可执行码、程序、函数、子例程、计算机,或软件和硬件的组合。术语“处理器”可指代硬件组件,诸如计算机系统的处理单元。
此外,所要求保护的主题可以使用产生控制计算设备以实现所公开的主题内容的软件、固件、硬件或其任意组合的标准编程和工程技术而被实现为方法、装置或制品。如此处所使用的术语“制品”旨在涵盖可以从任何计算机可读存储设备或介质访问的计算机程序。计算机可读存储介质可以包括但不限于磁存储设备,例如硬盘、软盘、磁条、光盘、紧致盘(CD)、数字多功能盘(DVD)、智能卡、闪存设备等。相反,计算机可读介质(即,非存储介质)可附加地包括通信介质,诸如用于无线信号的传输介质,等等。
一些企业利用完全基于云的信息技术基础设施为用户提供计算服务。企业可以是具有在线身份的任何规模的企业、组织或团体,并被称为租户。租户可以与基于云的服务提供商签订合同,以创建由用户访问的租户云服务。置备虚拟计算机以供企业的用户使用可能涉及针对每个雇员的手动过程。虚拟计算机可根据第二许可来提供,并且由不同的云服务提供。每个这样的虚拟计算机由管理员以时间和精力密集的方式手动设置。这种设置通常涉及在没有可信平台的情况下登录当前虚拟机,然后向目录服务注册,然后向租户注册,然后获得配置包。
本发明的主题利用批量令牌以供系统使用来为租户的客户端创建和提供虚拟机。在第一次获得与为第一租户客户端配置客户端虚拟机相关联的批量令牌之后,该批量令牌可被系统用于:自动地发起创建、使用指定的配置策略进行配置、以及将附加客户端虚拟机联合至目录服务,以允许租户客户端机器以可信的方式轻松地安全访问其各自的虚拟机,而系统开销很小,且对客户端的负担很小甚至没有。
图1是用于向一个或多个客户端机器115提供云服务110以供租户客户端使用的系统100的框图。客户端机器115可由称为租户的订户组织的用户使用。客户端机器115也可以由租户管理员使用,租户管理员可以是拥有执行典型的系统管理功能的系统管理级别访问权限的用户。租户可以具有订阅由云服务110提供的多个服务的许可。云服务110可以向租户提供其自己的域。
客户端机器115对云服务110的访问可以由目录服务120授予。目录服务120提供对服务和存储数据的访问控制。目录服务120的一个示例是微软的Azure活动目录(AzureActive Directory)(AAD)。客户端机器115可以提供令牌(诸如用户标识符和密码)以获得访问。
在一个示例中,客户端机器115可以由租户管理员使用,该租户管理员负责帮助其他用户进行设置以访问云服务110(诸如Azure云服务)。租户管理员可以接收对客户端虚拟机125的请求,该请求由云服务域中的另一云服务130提供。云服务130可以利用又一许可来为一个或多个客户端虚拟机125提供第二订阅。
为了建立客户端虚拟机125,租户管理员可以经由客户端机器115向门户提供令牌以获得对云服务110的访问。租户管理员随后将经由客户端机器115请求批量令牌135,并且还创建或以其他方式获得置备包140。批量令牌135可以从目录服务120获得,并且是与租户相关联的唯一二进制数。一旦获得了批量令牌和置备包,租户管理员就可以标识一个或多个租户客户端,诸如在虚拟机的第二订阅下被授权的用户。云服务110随后将使用相同的批量令牌置备包来为每个经授权的租户客户端自动创建和置备客户端虚拟机。
然后,每个客户端虚拟机将自动与目录服务120联合。联合可以通过联合域来完成,以便登录到一个域的客户端将能够访问所有经联合的域。联合域最初是在MicrosoftWindows 7中引入的。一旦虚拟机准备就绪,就将其分配给经许可客户端。当客户端第一次经由门户登录以访问其虚拟机时,该虚拟机已经准备就绪并可以使用。
图2是以有效方式向经授权的租户客户端提供客户端虚拟机的方法200的流程图。在操作210,方法200通过从租户管理员客户端机器接收租户管理员令牌来开始。响应于接收到租户管理员令牌,授予对云托管租户服务的访问。云托管租户服务被联合至目录服务,该目录服务管理对云托管租户服务的访问。目录服务基于令牌来认证和授予访问。
在操作220,从租户管理员客户端机器接收对批量令牌的请求。在一个示例中,对批量令牌的请求被用于从目录服务请求批量令牌。在操作230,从目录服务获得批量令牌。
在操作240,云托管租户服务的经授权的租户客户端的标识符被接收。租户管理员可响应于租户客户端具有云托管租户服务的许可和客户端虚拟机的许可来经由客户端机器提供标识符。
在操作250,根据与批量令牌相关联的指定置备包在云服务中置备客户端虚拟机。租户管理员可以选择或创建指定的置备包。云服务可以将批量令牌与置备包相关联或在置备包中包括批量令牌。
在操作260,客户端虚拟机联合至目录服务以在使用客户端机器访问云托管租户服务时向租户客户端提供对客户端虚拟机的访问。客户端虚拟机可以凭借被联合至目录服务而在云服务内被管理。此外,目录服务可被用于管理对经存储的信息的访问和对服务的部署。
将客户端虚拟机联合至目录服务可以包括提供客户端虚拟机和目录服务之间的连接以向客户端虚拟机提供目录服务功能。这样的连接允许使用目录服务来管理客户端虚拟机。
在操作270,一旦客户端虚拟机被联合,经授权的客户端令牌就可在云托管租户服务处从客户端机器被接收。在一个示例中,经授权的客户端令牌包括用户标识符和密码。经授权的客户端令牌被用于向客户端设备授予对云托管租户服务的访问,前提是客户端设备的用户被许可使用云托管租户服务。在操作280,凭借客户端虚拟机已经被联合至目录服务,客户端机器被授予到客户端虚拟机的连接。
在一个示例中,批量令牌包括唯一的二进制字符串,并且可以用于帮助为租户的多个客户端授权和置备多个客户端虚拟机。通过接收多个附加标识符,此类置备可以使用已经创建的批量令牌来被完成。每个标识符对应于云托管租户服务的多个附加的经授权的租户客户端中的相应一者。然后,根据与批量令牌相关联的指定置备包,在云服务中置备多个附加的相应客户端虚拟机。每个客户端虚拟机随后都被联合至目录服务,从而使得每个客户端机器能够简单地获得对云托管租户服务的访问以获得对其客户端虚拟机的访问。
批量令牌可以在云托管平台内被加密。虽然批量令牌仅在基于云的系统中被共享并用于置备客户端虚拟机,但在不太可能发生未授权访问或未授权访问尝试的情况下,加密批量令牌是有帮助的。批量令牌也可被包括在置备包中。
在操作270处在云托管租户服务器处接收经授权的租户客户端令牌并在操作280处提供连接是响应于客户端被确认具有对云托管租户服务的许可而执行的。在一个示例中,经授权的租户客户端可使用客户端机器来提供包括在许可中的用户的经授权的客户端令牌。客户端机器可被耦合到提供对云托管租户服务的访问的门户网站。
图3是用于为多个租户客户端置备客户端虚拟机的系统300的详细框图。在一个示例中,系统300的各元素可以由基于云的服务来提供。系统300适用于没有其自己的信息技术基础设施的企业(称为租户)。
在一个示例中,系统300包括向租户提供软件服务的云托管租户服务310。云托管租户服务310可以包括计算资源(诸如处理器、存储器和程序设计)以提供服务。具有对云托管租户服务310的订阅的租户客户端315(诸如信息工作者)可以利用诸如客户端机器之类的设备(也在315处表示),这些设备能够运行浏览器或其他软件来访问租户的web门户320。web门户320允许具有订阅的租户客户端(诸如经授权的用户)使用其设备315登录到订户帐户。经由web门户320登录提供了利用云托管租户服务310的服务的访问。
系统300还可以包括云虚拟机服务325,其提供用于为每个租户客户端生成客户端虚拟机330的计算资源。当每个客户端虚拟机被创建和置备时,客户端虚拟机与目录服务335(诸如微软的Azure活动目录服务)联合。租户服务310也与目录服务335联合。目录服务可以提供访问控制和其他服务(诸如由Azure活动目录服务提供的那些服务)。由于每个云服务可以向租户提供其自己的域,所以联合可以通过域联合来完成,以允许租户客户端和租户管理员通过使用单个令牌来访问每个域。在一个示例中,令牌可以是用户或客户端id以及密码。
系统300的以上描述假设客户端虚拟机330已经被置备并被联合至目录服务335。图3还示出了租户云服务310的各元素,这些元素的操作是为了协助为租户客户端初始置备客户端虚拟机330。
在一个示例中,客户端315是由租户管理员使用的机器。租户的租户管理员通常负责为租户客户端(诸如租户的雇员、系统或其他经授权的用户)设置计算资源。如上文提及的,每个客户端315可以具有对租户云服务310的订阅,并且在340处发布访问令牌以经由门户320进行访问。
租户管理员具有访问一组应用服务345的能力,该组应用服务用作与目录服务335对接以执行管理任务的代理资源群。在一个示例中,应用服务345包括代理服务350、存储批量令牌的代理数据库355和代理存储360。
租户管理员可以响应于第一租户客户端被批准使用客户端虚拟机330而从代理服务350请求批量令牌。代理服务350可以与目录服务335对接以认证租户管理员并请求批量令牌。在从目录服务335接收到批量令牌时,批量令牌可使用来自加密密钥库365的密钥来被加密并被存储在代理数据库355中。批量令牌可以是唯一的二进制字符串,一旦创建并提供,该二进制字符串可被用于将虚拟机330联合至目录服务335。在接收到批量令牌时,推送通知被提供给事件中枢368。在创建、配置和联合附加的客户端虚拟机时,相同的批量令牌也可被用于附加的租户客户端。
一旦创建了批量令牌,代理服务350就为租户创建具有批量令牌的置备包。置备包描述用于创建和置备客户端虚拟机330的计算机资源。
响应于推送通知被提供给事件中枢368,置备包被提供给置备服务370。事件中枢368是用于置备服务370的消息通知服务,以便一旦批量令牌准备就绪就开始置备。置备服务370继续创建和置备客户端虚拟机330,并使用批量令牌来请求目录服务335与客户虚拟机330联合。置备包也可以被加密。置备包可被存储在代理存储器360中以用于为附加的租户客户端设置附加的客户端虚拟机。
响应于附加的客户端被添加到云虚拟机服务325订阅,置备包可被用于自动创建、置备和联合附加的相应客户端虚拟机330。在一个示例中,客户端虚拟机330可以被置备成像客户端的个人计算机一样操作,并且可以被认为是云个人计算机(CPC)。置备的服务可以包括电子邮件、文字处理软件、办公类型软件、应用以及每个租户客户端在为租户执行工作时可利用的任何其他期望的软件。
一旦每个客户端虚拟机被创建、置备和联合,租户客户端机器315就可被用于简单地通过经由门户320提供租户客户端令牌来访问客户端虚拟机。在一个示例中,租户客户端机器315将被直接地耦合到客户端的客户端虚拟机330,而不必执行任何设置或提供任何附加凭证。
图4是例示用于创建、置备和联合客户端虚拟计算机的数据流的序列图400。图400还例示了租户客户端机器在访问相应的客户端虚拟计算机时的容易程度。图4中的顶行例示了接收正在流动的数据的设备。这些设备因接收到数据而执行功能,包括管理接口410、云托管租户服务412、云虚拟机服务414和目录服务416。在云托管租户服务412中还示出了门户418、代理服务420和置备服务422。目录服务416包括访问服务424和联合服务426。
数据流可以从租户管理员客户端机器430经由门户418在432处提供租户管理员访问令牌开始。门户418在434处向访问服务424或目录服务416提供访问令牌以经由客户端机器430以目录服务受众的形式获得租户管理员访问权限以执行管理功能。在436处向受众授予目录服务访问令牌。
在438,租户管理员经由客户端机器430将提供数据以检索在440处授予的具有受众的访问令牌。在此,租户管理员在442处通过提供目录服务访问令牌和具有受众的访问令牌两者而被授权经由客户端机器430访问代理服务420,并且在442处通过调用代理服务420来这样做。
代理服务420在444处从目录服务416的访问服务434检索批量令牌。在446处,代理服务420使用诸如PKId之类的加密id和标识租户的其他元数据来保持批量令牌。已创建的状态在448处被提供给门户418,在那里它可经由客户机430被租户管理员看到。如外壳450所指示的,上述数据流因此创建了租户独有的批量令牌,并可被用于开始置备客户端虚拟计算机。
一旦创建了批量令牌,租户管理员就可以通过客户端机器452在454处开始标识被许可用于客户端虚拟计算机的客户端的过程,并发起对此类客户端虚拟机的置备。此时,租户管理员经由客户端机器452使用云托管租户服务412的管理接口410在455处标识第一租户客户端以及也被许可用于客户端虚拟计算机的其他客户端。
在456,向置备服务422通知关于被许可的客户端的标识。通知456可以是策略改变的形式。代理服务420在458处发送请求以获得客户端虚拟机的置备包。如上文描述的,置备包包括对计算资源的标识。在458处为代理服务420检索置备包。
代理服务420将批量令牌添加到置备包,并在460将具有批量令牌的置备包返回给置备服务422。然后,在462,置备服务422继续置备客户端虚拟机。
在外壳463中概述了用以联合客户端虚拟机的数据流。一旦被置备,客户端虚拟机就在464向目录服务416的访问服务424提供批量令牌。作为回报,在466处提供联合服务426的访问令牌。然后,客户端虚拟机414向联合服务426提供用于联合的访问令牌,联合服务426继续在470处向客户端虚拟机416提供设备目录服务证书以联合客户端虚拟机目录服务416。并且准备好由第一租户客户端使用。在472处,传送到执行联合所需的客户端虚拟机的元数据被移除。
第一租户客户端经由客户端设备478的访问在外壳480内被例示,并且开始于第一租户客户端在482处使用门户418经由客户端设备476以租户客户端访问令牌的形式提供登录凭证。门户418提供到客户端虚拟机414的连接484。可以在不需要租户管理员或租户客户端机器478进行任何进一步设置的情况下进行连接418。虽然为第一租户客户端创建、置备和联合客户端虚拟机涉及获得批量令牌并将批量令牌添加到置备包,但是在455处由租户管理员标识其他租户客户端时,对其他租户客户端和相应客户端虚拟机的添加可以自动地发生。
图5是计算机系统500的框图,该计算机系统500用作用于服务的递送和客户端虚拟计算机的置备和联合的设备和云计算资源。系统500还可用于执行根据所描述的示例的方法和算法。在各种实施例中不需要使用所有组件。
计算机500形式的一个示例计算设备可以包括处理单元502、存储器503、可移动存储510和不可移动存储512。尽管示例计算设备被例示和描述为计算机500,但是在不同的实施例中,计算设备可以是不同的形式。例如,计算设备可以替代地是智能电话、平板、智能手表、智能存储设备(SSD)或包括与图5所示和描述的相同或类似元件的其他计算设备。智能电话、平板和智能手表之类的设备通常统称为移动设备或用户装备。
尽管各种数据存储元件被例示为计算机500的一部分,但是该存储还可以或替代地包括可经由网络访问的基于云的存储,诸如因特网或基于服务器的存储。还要注意,SSD可以包括处理器,解析器可以在该处理器上运行,从而允许通过SSD和主存储器之间的I/O通道传输经解析的、经过滤的数据。
存储器503可以包括易失性存储器514和非易失性存储器508。计算机500可以包括各种计算机可读介质或者可以访问包括各种计算机可读介质的计算环境,诸如易失性存储器514和非易失性存储器508、可移动存储510和不可移动存储512。计算机存储包括随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)或电可擦除可编程只读存储器(EEPROM)、闪存或其他存储技术、光盘只读存储器(CD ROM)、数字多功能磁盘(DVD)或其他光盘存储、盒式磁带、磁带、磁盘存储或其他磁性存储设备,或能够存储计算机可读指令的任何其他介质。
计算机500可以包括或可以访问包括输入接口506、输出接口504和通信接口516的计算环境。输出接口504可以包括也可以用作输入设备的显示设备,诸如触摸屏。输入接口506可以包括触摸屏、触摸板、鼠标、键盘、相机、一个或多个设备专用按钮、集成在计算机500内或经由有线或无线数据连接耦合到计算机500的一个或多个传感器以及其他输入设备中的一者或多者。计算机可以使用通信连接在联网环境中操作以连接到一个或多个远程计算机,诸如数据库服务器。远程计算机可以包括个人计算机(PC)、服务器、路由器、网络PC、对等设备或其他公共数据流网络交换机等。通信连接可以包括局域网(LAN)、广域网(WAN)、蜂窝、Wi-Fi、蓝牙或其他网络。根据一个实施例,计算机500的各种组件与系统总线520连接。
存储在计算机可读介质上的计算机可读指令可由计算机500的处理单元502(诸如程序518)执行。在一些实施例中,程序518包括用于实现本文描述的一个或多个方法的软件。硬盘驱动、CD-ROM和RAM是包括诸如存储设备之类的非暂时性计算机可读介质的物品的一些示例。术语计算机可读介质、机器可读介质和存储设备不包括载波或信号,因为载波和信号被认为太短暂。存储还可以包括网络存储,诸如存储区域网络(SAN)。计算机程序518连同工作空间管理器522可被用于使处理单元502执行本文描述的一个或多个方法或算法。
示例:
1.一种计算机实现的方法,包括:授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问;从所述租户管理员客户端机器接收对批量令牌的请求;从所述目录服务获得所述批量令牌;接收所述云托管租户服务的经授权的租户客户端的标识符;根据与所述批量令牌相关联的指定置备包,在云服务中为所述经授权的租户客户端置备租户客户端虚拟机;以及将所述租户客户端虚拟机联合至所述目录服务。批量令牌可被用于自动地发起创建、使用指定的配置策略进行配置、以及将附加客户机虚拟机联合至目录服务以允许客户端轻松地访问其各自的虚拟机,而管理开销很小,且对客户端的负担很小。
2.如示例1所述的方法并进一步包括:在所述云托管租户服务处从租户客户端机器接收经授权的租户客户端令牌;以及向所述租户客户端机器授予到所述客户端虚拟机的连接。
3.如示例2所述的方法,其中所述租户客户端令牌包括所述标识符和密码。
4.如示例1-3中任一项所述的方法,其中所述租户客户端虚拟机在所述云服务内被管理。
5.如示例1-4中任一项所述的方法,其中所述目录服务基于令牌来认证和授权访问。
6.如示例1-5中任一项所述的方法,其中所述批量令牌包括唯一的二进制字符串。
7.如示例1-6中任一项所述的方法并进一步包括:接收多个附加标识符,每个标识符对应于所述云托管租户服务的多个附加的经授权的租户客户端中的相应一者;根据与所述批量令牌相关联的指定置备包,在所述云服务中置备多个附加的相应租户客户端虚拟机;以及将所述租户客户端虚拟机联合至所述目录服务。
8.如示例1-7中任一项所述的方法,其中所述批量令牌在所述云托管平台内被加密。
9.如示例1-8中任一项所述的方法,其中所述置备包包括所述批量令牌。
10.如示例1-9中任一项所述的方法,其中接收所述云托管租户服务的经授权的租户客户端的标识符是响应于租户客户端被确认为具有对所述指定置备包中的服务的许可而被执行的。
11.如示例10所述的方法,其中所述经授权的租户客户端包括提供包括在所述许可中的用户的所述经授权的租户客户端令牌的设备。
12.如示例11所述的方法,其中所述设备被耦合到提供对所述云托管租户服务的访问的门户网站。
13.如示例1-12中任一项所述的方法,其中将所述租户客户端虚拟机联合至所述目录服务包括提供所述客户端虚拟机和所述目录服务之间的连接以向所述租户客户端虚拟机提供目录服务功能。
14.一个机器可读存储设备具有用于由机器的处理器执行以使该处理器执行操作以执行一种方法的指令。这些操作包括:授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问;从所述租户管理员客户端机器接收对批量令牌的请求;从所述目录服务获得所述批量令牌;接收所述云托管租户服务的经授权的租户客户端的标识符;根据与所述批量令牌相关联的指定置备包,在云服务中为所述经授权的租户客户端置备租户客户端虚拟机;以及将所述租户客户端虚拟机联合至所述目录服务。
15.如示例14所述的设备,其特征在于,所述操作进一步包括:在所述云托管租户服务处从租户客户端机器接收经授权的租户客户端令牌;以及向所述租户客户端机器授予到所述客户端虚拟机的连接。
16.如示例14-15中任一项所述的设备,其中所述目录服务基于令牌来认证和授予访问,其中所述目录服务管理对信息的存储和对服务的部署,并且其中所述批量令牌包括唯一的二进制字符串。
17.如示例14-16中任一项所述的设备,其中所述操作进一步包括:接收多个附加标识符,每个标识符对应于所述云托管租户服务的多个附加的经授权的租户客户端中的相应一者;根据与所述批量令牌相关联的指定置备包,在所述云服务中置备多个附加的相应租户客户端虚拟机;以及将所述租户客户端虚拟机联合至所述目录服务。
18.如示例14-17中任一项所述的设备,其中所述置备包包括所述批量令牌;其中接收所述云托管租户服务的经授权的租户客户端的标识符是响应于租户客户端被确认为具有对所述指定置备包中的服务的许可而被执行的;其中所述经授权的租户客户端包括提供包括在所述许可中的用户的所述经授权的租户客户端令牌的设备;并且其中所述设备被耦合到提供对所述云托管租户服务的访问的门户网站。
19.如示例14-18中任一项所述的设备,其中将所述租户客户端虚拟机联合至所述目录服务包括提供所述客户端虚拟机和所述目录服务之间的连接以向所述租户客户端虚拟机提供目录服务功能。
20.一种设备,包括:处理器以及存储器设备,所述存储器设备耦合到所述处理器并具有存储在其上以在由所述处理器执行时执行操作的程序。这些操作包括:授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问;从所述租户管理员客户端机器接收对批量令牌的请求;从所述目录服务获得所述批量令牌;接收所述云托管租户服务的经授权的租户客户端的标识符;根据与所述批量令牌相关联的指定置备包,在云服务中为所述经授权的租户客户端置备租户客户端虚拟机;以及将所述租户客户端虚拟机联合至所述目录服务。
虽然上面已经详细描述了几个实施例,但其他的修改也是可能的。例如,附图中所描述的逻辑流并不要求以所示的特定次序或顺序次序来实现理想的结果。可以从所描述的流程中提供其他步骤,或者可以消除步骤,并且可以向所描述的系统添加或从所描述系统中移除其他组件。其他实施例可在以下权利要求书的范围内。

Claims (20)

1.一种计算机实现方法,包括:
授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问;
从所述租户管理员客户端机器接收对批量令牌的请求;
从所述目录服务获得所述批量令牌;
接收所述云托管租户服务的经授权的租户客户端的标识符;
根据与所述批量令牌相关联的指定置备包,在云服务中为所述经授权的租户客户端置备租户客户端虚拟机;以及
将所述租户客户端虚拟机联合至所述目录服务。
2.如权利要求1所述的方法,其特征在于,进一步包括:
在所述云托管租户服务处从租户客户端机器接收经授权的租户客户端令牌;以及
向所述租户客户端机器授予到所述客户端虚拟机的连接。
3.如权利要求2所述的方法,其特征在于,所述租户客户端令牌包括所述标识符和密码。
4.如权利要求1所述的方法,其特征在于,所述租户客户端虚拟机在所述云服务内被管理。
5.如权利要求1所述的方法,其特征在于,所述目录服务基于令牌来认证和授权访问。
6.如权利要求1所述的方法,其特征在于,所述批量令牌包括唯一的二进制字符串。
7.如权利要求1所述的方法,其特征在于,进一步包括:
接收多个附加标识符,每个标识符对应于所述云托管租户服务的多个附加的经授权的租户客户端中的相应一者;
根据与所述批量令牌相关联的指定置备包,在所述云服务中置备多个附加的相应租户客户端虚拟机;以及
将所述租户客户端虚拟机联合至所述目录服务。
8.如权利要求1所述的方法,其特征在于,所述批量令牌在所述云托管平台内被加密。
9.如权利要求1所述的方法,其特征在于,所述置备包包括所述批量令牌。
10.如权利要求1所述的方法,其特征在于,接收所述云托管租户服务的经授权的租户客户端的标识符是响应于租户客户端被确认为具有对所述指定置备包中的服务的许可而被执行的。
11.如权利要求10所述的方法,其特征在于,所述经授权的租户客户端包括提供包括在所述许可中的用户的所述经授权的租户客户端令牌的设备。
12.如权利要求11所述的方法,其特征在于,所述设备被耦合到提供对所述云托管租户服务的访问的门户网站。
13.如权利要求1所述的方法,其特征在于,将所述租户客户端虚拟机联合至所述目录服务包括提供所述客户端虚拟机和所述目录服务之间的连接以向所述租户客户端虚拟机提供目录服务功能。
14.一种具有用于由机器的处理器执行以使所述处理器执行操作以执行权利要求1-13所述的方法中的任一项的指令的机器可读存储设备,所述操作包括:
授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问;
从所述租户管理员客户端机器接收对批量令牌的请求;
从所述租户管理员接收对批量令牌的请求;
从所述目录服务获得所述批量令牌;
接收所述云托管租户服务的经授权的租户客户端的标识符;
根据与所述批量令牌相关联的指定置备包,在云服务中为所述经授权的租户客户端置备租户客户端虚拟机;以及
将所述租户客户端虚拟机联合至所述目录服务。
15.如权利要求14所述的设备,其特征在于,所述操作进一步包括:
在所述云托管租户服务处接收经授权的租户客户端令牌;以及
向所述经授权的租户客户端授予到所述客户端虚拟机的连接。
16.如权利要求14所述的设备,其特征在于,所述目录服务基于令牌来认证和授予访问,其中所述目录服务管理对信息的存储和对服务的部署,并且其中所述批量令牌包括唯一的二进制字符串。
17.如权利要求14所述的设备,其特征在于,所述操作进一步包括:
接收多个附加标识符,每个标识符对应于所述云托管租户服务的多个附加的经授权的租户客户端中的相应一者;
根据与所述批量令牌相关联的指定置备包,在所述云服务中置备多个附加的相应租户客户端虚拟机;以及
将所述租户客户端虚拟机联合至所述目录服务。
18.如权利要求14所述的设备,其特征在于,所述置备包包括所述批量令牌;其中接收所述云托管租户服务的经授权的租户客户端的标识符是响应于租户客户端被确认为具有对所述指定置备包中的服务的许可而被执行的;其中所述经授权的租户客户端包括提供包括在所述许可中的用户的所述经授权的租户客户端令牌的设备;并且其中所述设备被耦合到提供对所述云托管租户服务的访问的门户网站。
19.如权利要求14所述的设备,其特征在于,将所述租户客户端虚拟机联合至所述目录服务包括提供所述客户端虚拟机和所述目录服务之间的连接以向所述租户客户端虚拟机提供目录服务功能。
20.一种设备,包括:
处理器;以及
存储器设备,所述存储器设备耦合到所述处理器并具有存储在其上以在由所述处理器执行时执行以下操作的程序,所述操作包括:
授予租户管理员客户端机器对联合至目录服务的云托管租户服务的访问;
从所述租户管理员客户端机器接收对批量令牌的请求;
从所述租户管理员接收对批量令牌的请求;
从所述目录服务获得所述批量令牌;
接收所述云托管租户服务的经授权的租户客户端的标识符;
根据与所述批量令牌相关联的指定置备包,在云服务中为所述经授权的租户客户端置备租户客户端虚拟机;以及
将所述租户客户端虚拟机联合至所述目录服务。
CN202180055840.6A 2021-06-28 2021-06-28 虚拟机置备和目录服务管理 Pending CN116134795A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2021/102637 WO2023272419A1 (en) 2021-06-28 2021-06-28 Virtual machine provisioning and directory service management

Publications (1)

Publication Number Publication Date
CN116134795A true CN116134795A (zh) 2023-05-16

Family

ID=77126488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180055840.6A Pending CN116134795A (zh) 2021-06-28 2021-06-28 虚拟机置备和目录服务管理

Country Status (4)

Country Link
US (1) US12015606B2 (zh)
EP (1) EP4364352A1 (zh)
CN (1) CN116134795A (zh)
WO (1) WO2023272419A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230231847A1 (en) * 2022-01-14 2023-07-20 Verizon Patent And Licensing Inc. Systems and methods for providing secure access to a private multiaccess edge computing device via a multi-tenancy environment

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013174437A1 (en) * 2012-05-24 2013-11-28 Telefonaktiebolaget L M Ericsson (Publ) Enhanced secure virtual machine provisioning
US10382202B1 (en) * 2012-09-28 2019-08-13 EMC IP Holding Company LLC Method and apparatus for federated identity and authentication services
US20150067677A1 (en) * 2013-08-27 2015-03-05 Connectloud, Inc. Method and apparatus for defining virtual machine placement logic that is configurable and restricts virtual machine provisioning within a software defined cloud
US9565190B1 (en) * 2014-11-07 2017-02-07 Amazon Technologies, Inc. Domain join and managed directory support for virtual computing environments
US20180018745A1 (en) * 2016-07-12 2018-01-18 Salesforce.Com, Inc. Licensing as a service (laas)
US20180034817A1 (en) * 2016-07-27 2018-02-01 Microsoft Technology Licensing, Llc Bulk Joining Of Computing Devices To An Identity Service
US12056383B2 (en) * 2017-03-10 2024-08-06 Pure Storage, Inc. Edge management service
US10911233B2 (en) * 2017-09-11 2021-02-02 Zscaler, Inc. Identification of related tokens in a byte stream using structured signature data
US11632360B1 (en) * 2018-07-24 2023-04-18 Pure Storage, Inc. Remote access to a storage device
US10705860B2 (en) * 2018-07-27 2020-07-07 Salesforce.Com, Inc. Method and system for declarative configuration of user self-registration and log in pages and processes for a service provider and automatic deployment of the same
US11057778B2 (en) * 2019-02-28 2021-07-06 Ebay Inc. Complex composite tokens
US11657393B2 (en) * 2019-09-30 2023-05-23 Kddi Corporation Privilege granting method and privilege granting device
US11570181B2 (en) * 2020-05-29 2023-01-31 Microsoft Technology Licensing, Llc Secure resource authorization for external identities using remote principal objects
US20220198267A1 (en) * 2020-12-18 2022-06-23 Vmware, Inc. Apparatus and method for anomaly detection using weighted autoencoder
US11463362B2 (en) * 2021-01-29 2022-10-04 Netskope, Inc. Dynamic token bucket method adaptive to opaque server limits
US11178188B1 (en) * 2021-04-22 2021-11-16 Netskope, Inc. Synthetic request injection to generate metadata for cloud policy enforcement
US11184231B1 (en) * 2021-04-29 2021-11-23 Vmware, Inc. Device connector service for device and management service integration
US20220368528A1 (en) * 2021-05-14 2022-11-17 Microsoft Technology Licensing, Llc Establishing authentic remote presence using tokens
US11646897B2 (en) * 2021-06-01 2023-05-09 Springcoin, Inc. Method and apparatus for utilizing off-platform-resolved data as an input to code execution on a decentralized platform
US12001871B2 (en) * 2021-06-23 2024-06-04 Microsoft Technology Licensing, Llc Virtual machine provisioning and directory service management

Also Published As

Publication number Publication date
EP4364352A1 (en) 2024-05-08
US12015606B2 (en) 2024-06-18
US20220417240A1 (en) 2022-12-29
WO2023272419A1 (en) 2023-01-05

Similar Documents

Publication Publication Date Title
US20220014515A1 (en) Secure Authentication Of A Device Through Attestation By Another Device
JP6609086B1 (ja) フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施
US9860234B2 (en) Bundled authorization requests
US10084823B2 (en) Configurable adaptive access manager callouts
JP7225326B2 (ja) ユーザアカウントと企業ワークスペースとの関連付け
US9038138B2 (en) Device token protocol for authorization and persistent authentication shared across applications
WO2015042349A1 (en) Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service
US11658957B2 (en) Methods and apparatuses for temporary session authentication and governor limits management
US11977620B2 (en) Attestation of application identity for inter-app communications
JP2024501752A (ja) 鍵付きハッシュメッセージ認証コードの鍵マテリアルとしての属性ベースの暗号化鍵ユーザ認証および認可
US12015606B2 (en) Virtual machine provisioning and directory service management
Köhler et al. Federating hpc access via saml: Towards a plug-and-play solution
Dočár Bezpečnostní řešení pro cloudové technologie

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination