CN116438778A - 承担的替代身份的持久源值 - Google Patents
承担的替代身份的持久源值 Download PDFInfo
- Publication number
- CN116438778A CN116438778A CN202180073966.6A CN202180073966A CN116438778A CN 116438778 A CN116438778 A CN 116438778A CN 202180073966 A CN202180073966 A CN 202180073966A CN 116438778 A CN116438778 A CN 116438778A
- Authority
- CN
- China
- Prior art keywords
- identity
- request
- credential
- source value
- persistent source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
身份和访问管理服务实现承担身份的持久源值PSV。源值(例如,实体的原始标识符)在承担身份中持久化,从而促进识别对承担(例如,替代)身份所采取的动作负责的实体(用户或应用程序)。管理器接收承担身份的请求。该请求包括实体当前凭证和PSV。当前凭证已通过验证,并且可以依赖持久源值策略来确定是否和/或如何授予承担身份。PSV可以从请求中的凭证中复制,以便包括在管理器响应于请求而提供的所请求身份的凭证中。使用所请求的凭证(包括PSV)来访问服务或资源可能被记录,日志包括来自承担身份的请求的PSV。
Description
背景技术
身份和访问管理可包括策略和技术框架,以确保各种客户实体能够适当地访问技术资源。例如,身份和访问管理系统不仅识别、验证和授权使用计算资源的实体,还识别、验证和授权员工需要访问的硬件和应用程序。近年来,随着法规遵从性要求变得越来越严格和复杂,身份和访问管理解决方案变得越来越普遍和重要。身份和访问管理解决了确保在日益异构的技术环境中适当访问资源的需要。身份管理系统、产品和应用程序管理有关实体的标识和辅助数据,所述实体包括一些此类异构系统中的个人、计算机相关硬件和软件应用程序。
身份管理可以解决诸如客户端(在本文中有时称为用户或程序化应用程序)如何获得身份并承担替代身份(有时在本文中称为临时身份、替代身份的临时承担)等问题,以及在某些情况下,身份授予的权限以及对该身份的保护和支持该保护的技术(例如,网络协议、数字证书、密码等)。
由于系统不会跨多个承担的临时身份自动跟踪长期身份,因此很难确定使用多个承担的临时身份执行的动作的责任,尤其是跨多个域,其中不同的域被阻止查看其他域的日志。作出此类决定可能需要复杂的、定制的应用程序,该应用程序跨越许多不同域的许多不同日志比较身份标识符链(例如,以识别承担临时身份并执行特定动作的实体)。例如,可能有必要揭示一整条临时身份链,以将动作追溯到负责该动作的长期身份。由于不允许访问其他帐户的日志,因此可能无法发现已跨帐户承担角色的实体的原始来源。
附图说明
图1是示出了根据一些实施方案的实现承担的替代身份的持久源值的系统的部件的框图。
图2A和图2B是示出了根据一些实施方案的用于实现承担的替代身份的持久源值的架构和技术的组合框图/数据流图。
图3是示出了根据一些实施方案的用于在实现承担的替代身份的持久源值的系统中处理对临时身份的请求的技术的流程图。
图4是示出了根据一些实施方案的针对实现承担的替代身份的持久源值的系统的持久源值策略的各种特性的表格。
图5是示出了根据一些实施方案的用于在实现承担的替代身份的持久源值的系统中处理经由临时身份作出的请求的技术的流程图。
图6是示出了根据一些实施方案的用于从日志获得持久源值的技术的流程图。
图7示出了根据实施方案的计算机系统的示例,其中的一个或多个可以实现贯穿本公开描述和示出的各种部件,包括实现承担的替代身份的持久源值的系统的部件。
尽管本文通过对一些实施方案和说明性图式的举例说明来描述了本发明,但是本领域技术人员应认识到,本发明并不限于所描述的实施方案或图式。应理解的是,图式和对其的详述并不意图将本发明局限于所公开的具体形式,而相反,本发明将涵盖落入本发明的精神和范围内的所有修改、等效物和替代方案。本文所用的标题只出于组织目的,并非意在用于限制说明书的范围。
具体实施方式
如下面更详细地讨论的,公开了实现身份和访问管理服务的系统的各种实施方案,该身份和访问管理服务实现承担的替代身份的持久源值。在实施方案中,所公开的能力有助于跟踪(例如,日志记录等)由该实体已承担的一个或多个替代身份(有时在本文中称为临时身份、替代身份的临时承担)执行的动作的原始源值(例如,服务实体或用户实体的标识符)。实体意在广泛并且可以包括用户、委托人、客户端装置、客户端应用程序、服务(例如,程序化客户端)、服务器等。在一些实施方案中,“临时”可以指身份的承担的持续时间,而不是身份在系统内的存在或可用性的持续时间。
在一些系统中,当实体承担替代(或临时)身份时,记录作为替代身份动作目标的资源动作的日志记录软件记录替代身份,而不是承担替代身份的实体的长期(或“原始”)身份。在此类系统中,可能很难将替代身份执行的动作追溯到长期的原始身份。
相比之下,对于本文描述的至少一些实施方案,系统可以在替代身份的承担时强制或要求持久源值的定义,甚至跨过同一会话中的多个替代身份的承担。持久源值可以跨多个替代身份(或跨角色,一些系统中的一种身份)的承担持续存在,并在任何承担的替代身份执行动作时被记录下来。例如,可以记录对资源的失败或成功的访问请求,和/或也可以记录承担替代身份的请求。在实施方案中,会话的许多替代身份链中的最后一个的凭证中持久源值的存在可能使得没有必要调查和揭示整个替代身份链以将动作追溯到最终对动作负责的长期身份。在实施方案中,最后一个替代身份的凭证中的持久源值将是负责该动作的长期身份(例如,原始身份)。在示例使用中,可以查看或查询记录对资源做出的请求的动作和持久源值(例如,来自凭证)的日志,以识别在客户帐户中使用替代身份执行的动作的责任(例如,不必将整个链条追溯到与实体关联的原始身份)。
在实施方案中,持久源值通过承担的身份和日志记录系统充当跟踪器,该日志记录系统通过多个承担保留源值,使得就没有必要重新创建或发现整个身份链以确定动作的原始负责实体。
尽管本文的实施方案描述了使用持久源值跨承担身份来持久化实体的原始身份的标识符(例如,长期凭证的用户名或类似物),但设想到持久源值可用于持久化其他值,诸如但不限于故障单、项目名称等。
在一些实施方案中,由于承担了后续身份(例如,后续临时身份),与第一身份(长期或临时身份)的一组凭证相关联的标识符被持久化。在实施方案中,作为用户身份的一部分或与用户身份相关联的凭证具有广泛的意图,并且凭证的非穷举示例包括密码、访问密钥、服务器证书、各种其他标识符(诸如会话密钥等,但不限于)。
在实施方案中,当承担临时身份时,持久源值可以是也可以不是必需的请求参数(例如,持久源值策略等可以指定要求)。例如,管理员可以配置系统(例如,经由策略)以要求请求实体(编程的或用户)在帐户中承担临时身份时定义它们的持久源值。可以防止不根据策略提供所需的持久源值的实体承担相应的临时身份,并且在实施方案中可以记录失败的身份承担(例如,由身份管理器处的日志记录代理)。
在实施方案中,被持久化的标识符可以被称为持久源值。在实施方案中,持久源值是长期身份或应用程序在承担临时身份时设置为属性的唯一标识符。在实施方案中,持久源值属性接受字符串作为其值,诸如但不限于密码短语或策略变量等。
在一些系统中,一种特殊类型的身份(有时称为角色)是与具有特定权限的帐户相关联的身份。例如,角色可具有身份,该身份具有确定该身份在系统中可以做什么和不能做什么的权限策略。然而,角色不是与一个人唯一关联,而是可以由任何需要它的人承担。此外,在一些实施方案中,角色不具有标准的长期凭证,诸如与其相关联的密码或访问密钥。相反,当角色被承担时,其为角色会话提供临时安全凭证。
一些系统可以实现RoleSessionName条件元素,与此处的持久源值不同。在一些系统中,RoleSessionName条件有助于控制个人身份(或角色)会话的命名。例如,替代身份的每个实例化以及相关联的凭证集(例如,短期凭证)可以被称为角色会话。在示例中,角色会话由角色会话名称唯一标识。RoleSessionName条件元素可用于控制实体(例如,用户和应用程序)在承担身份时如何命名其角色会话。此类RoleSessionName条件与此处描述的持久源值不同,至少RoleSessionName条件不跨身份承担而持久化;它仅在与当前身份相关联的会话期间存在。相反,在实施方案中,持久源值是可传递的、粘性的,并且被位于目标资源处的日志记录代理记录。
例如,持久源值可以跨承担身份被持久化为在为承担身份提供的凭证(例如,令牌等)中维护的持久标识符(例如,属性或字段)。本文的一些实施方案将持久源值描述为发起实体或客户端的标识符(例如,有时称为实体的持久源标识符)。然而,持久源值可以被广泛地解释。持久源值可以识别IT服务的特定故障单(或任务),或者可以识别在网络上运行的特定程序化过程,或者可以识别组织的特定项目,作为几个非详尽的示例。
在一个示例中,系统或身份服务的身份管理器部件可以接收承担临时身份的请求。该请求可源自客户端(例如,运行客户端软件的用户装置,或充当客户端的程序化过程(应用程序))。该请求呈现与发出请求的实体的第一身份相关联的第一凭证。该服务验证与第一身份相关联的第一凭证并且对于有效凭证,准许该请求(在实施方案中可以在策略的权限中进一步指定是否准许该请求的确定)并且在第二凭证中嵌入持久源值(第二凭证是请求的临时身份的凭证)。
在实施方案中,如果附加身份被该实体承担,则持久源值跨附加承担实体被持久化。持久化的持久源值的值可能源自各种来源,包括但不限于请求(例如,请求中提供的用户名、用户经由CLI、API或GUI提供的字段),或由持久源值策略指定的字段或属性等等。在实施方案中,持久源值是从长期身份和长期凭证的初始使用中(例如,在获得临时身份/凭证之前)跨承担的临时身份和凭证的一次或多次使用来持久化一些值的机制。在实施方案中,短语长期和临时是相对术语。例如,长期凭证的寿命可比临时凭证更长(在实施方案中明显更长)。在实施方案中,临时身份和/或凭证可以与相对较短的寿命相关联并且具有比具有较晚到期的长期凭证更早的到期。在实施方案中,长期和短期身份和/或凭证可以是可更新的。在实施方案中,当承担的临时身份会话期满时,实体身份可以返回或回复到长期身份。在实施方案中,在临时身份会话到期时,可能需要实体验证长期凭证。
在实施方案中,当使用承担的替代身份时,日志记录代理将记录由承担的身份执行的活动(例如,生成包括持久源值和关于活动的信息的日志)。当查看日志时,持久源值有助于跟踪执行该动作的实体,即使该实体正在以承担的(例如,临时的)身份进行动作。例如,如果实体在承担临时身份时将持久源值设置为实体长期凭证的实体用户名,则日志记录服务将记录临时身份执行的任何活动,并且管理员可以在查看相关联的日志时依赖在持久源值中被持久化的用户名来识别负责使用临时身份执行的动作的实体。在实施方案中,当使用临时身份在现有会话中承担另一个临时身份时,身份和访问管理服务还将维护持久源值(例如,源身份信息)以执行动作。
为承担身份维护源身份的一些好处的非详尽示例包括促进识别负责以承担身份执行的动作的实体(例如,不使用实体的原始身份执行)。例如,管理员可能要求他们公司中的所有实体在承担另一个身份时将他们的用户名(或其他标识符)设置为他们的源身份。在特定示例中,可以记录由第一承担身份执行的活动(例如,源身份可以连同用于第一承担身份的凭证或令牌一起被传递并在目标资源接收到请求时被记录),并且管理员可以在查看日志时依赖源身份来识别负责以承担身份执行的动作的实体。在一些实施方案中,即使当该身份在现有会话中承担又一个身份时,系统也可以维护持久源值以执行动作。
现在呈现各种图的描述。通常,在一些实施方案中,图1和图8中描绘的部件可以执行图2A/图2B至图6中描绘的至少一些功能,并且图4所示的表格提供了可由图1和图8中所示的系统和部件实施的并且图2A/图2B至图3和图5中描绘的功能所依赖的策略的示例。例如,图2A/图2B中描绘的身份承担过程和部件由图1中的类似部件执行,并且图3中所示的身份承担过程可以由图1、图2A/图2B中的身份和访问管理服务102执行。在实施方案中,图5中所示的访问请求过程可以由图1的服务110、120或130的资源112、122或132执行。在实施方案中,图6中所示的日志处理过程可以由图1中的日志记录服务140的一个或多个部件执行。
图1是示出了根据一些实施方案的实现承担的替代身份的持久源值的系统的部件的框图。各种图示的部件可以执行图2A/图2B至图3和图5至图6中描绘的功能。例如,身份和访问管理服务用身份管理器104和替代身份标识符到持久源值策略的映射表来示出(例如,策略在图4中示出,如下所述)。
在实施方案中,策略是当与身份或资源相关联时定义它们的权限的对象。当实体(用户或程序化的)使用身份发出请求时,系统的部件评估这些策略。系统(服务提供商网络或其他类型的系统)可以实施各种类型的策略(例如,基于身份的策略、基于资源的策略、访问控制列表、会话策略等)。例如,不同类型和不同数量的策略可以与身份或资源相关联。系统可以提供界面(命令行界面-CLI、应用程序界面-API、图形界面-GUI等),以用于访问、创建、配置和/或管理各种类型的策略。如下所述,图1和4中示出的持久源值策略是多种类型的策略的示例类型。
在一些实施方案中,具有长期身份和相关联的长期凭证的客户端(例如,外部客户端152(a,n)或内部客户端152b/c)向服务(计算服务110、存储服务120和/或数据库服务130)的资源(112a-n、122a-n和/或132a-n)发送请求(例如,访问请求——其意在广泛并且包括但不限于存储请求、数据检索请求、处理请求、更新请求等)。在实施方案中,服务包括但不限于服务提供商网络100的服务(例如基于网络的服务),其提供计算能力、存储、内容交付或其他功能,诸如从计算和存储资源构建的各种应用程序。在实施方案中,服务可以包括技术基础设施和分布式计算构建块和工具,它们被布置在各种架构中以用于可以经由本文描述的请求访问的其他服务。各种服务的资源处理请求并提供对请求的响应。
客户端152a、b、c、...n可以使用它们的长期凭证向服务110-130发送请求,或者可以承担临时凭证,然后改为使用临时凭证向服务110-130发送请求。例如,内部客户端152b(例如,在一个或多个服务110-130的一个或多个资源上或跨一个或多个资源运行的应用程序)可以与身份和访问管理服务102的身份管理器104交互以请求与替代凭证相关联的替代身份,然后如果成功获得替代身份,则使用替代凭证向服务110-130的其他资源发送请求。类似地,外部客户端152a可以在对身份管理器104的请求中提供来自外部身份提供商180(例如,第三方身份提供商或客户端网络上的身份提供商)的长期凭证以承担替代身份,然后使用这些替代凭证访问服务110-130。如本文所述,在身份承担时确定的持久源值可以在承担的凭证中持久化。持久化值可以在对服务110、120、130的请求中提供并记录(例如,由资源上的本地代理记录)以便跟踪关于请求的源信息(例如,跟踪承担提出请求的替代身份的原始长期身份)。
在实施方案中,当资源112、122、132处理请求时,日志记录代理142a-n可以记录与请求相关联的信息。例如,日志记录代理可以记录替代身份标识符(例如,替代身份的名称)和持久源值以及关于请求的其他信息。例如,日志记录服务140的日志查看器144可以提供对日志的访问,以确定与请求相关联的持久源值。
在图1的身份和访问管理服务102中示出了持久源值策略。对于给定身份(诸如由身份标识符标识的替代身份,在图1中示为TempDev123、TempSvcxyz等),用于该身份的策略可能需要也可能不需要存在持久源值。策略(例如,持久源值策略,诸如如图1和图4中所示的那些)可以指定其他标准,诸如持久源值的特定值、格式或来源。在一些实施方案中,持久源值的值可用于控制授予承担替代标识符的实体的权限。例如,实体可请求承担名为TempUserxyz的替代身份,其中名为PSV_Cust_Policy的策略指定目标存储服务的权限为只读,但是当持久源值设置为RoyG44时,允许TempUserxyz替代身份读取和写入。在一些实施方案中,策略中指定的信息可以嵌入为所请求的替代身份生成的凭证中。
在一些实施方案中,系统可以将用于管理临时和长期凭证的功能划分为不同的身份管理部件。例如,系统可以实现用于创建、管理和/或验证与长期身份相关联的凭证的长期身份部件或服务,并且可以实现用于创建、管理和/或验证与短期(例如,临时)身份相关联的凭证的单独的短期身份部件或服务。例如,用户或应用程序可以使用第一组凭证经由长期身份部件作为长期身份访问系统,然后经由短期部件承担短期身份来执行一些仅限于该短期身份的动作。在实施方案中,身份和访问管理服务被配置为确保持久源值在多个承担的临时身份中持久,而不管与身份承担请求一起提交的凭证的来源。
在一些实施方案中,身份和访问管理服务102可以包括管理界面(例如,API、CLI或GUI)(未示出)。在实施方案中,对于长期身份或应用程序,要在承担临时身份时定义它们的持久源值,管理员可以授予它们对该动作的权限。此外,在授予权限时,管理员可以使用条件来控制长期身份或应用程序将什么设置为其持久源值。
图2A和图2B是示出了根据一些实施方案的用于实现承担的替代身份的持久源值的技术的组合框图/数据流图。图2A和图2B一起示出了身份链的示例。在实施方案中,图2A和图2B一起示出了持久源值的传递属性(例如,PSV适用于连续的身份承担之间)。
如图2A中的步骤1所示,客户端152b生成并向身份和访问管理服务102发送对第一替代身份的请求。所示请求包括与请求实体的当前身份相关联的凭证(CR)(在各种实施方案中,这些可以是与长期或替代身份相关联的长期或替代凭证),实体的当前凭证包括(由方括号指示)持久源值(PSV),并且请求指示请求的(第一)替代身份(AII1)的身份标识符。
在所示的实施方案中,身份和访问管理服务102处理请求、验证凭证并根据持久源值策略处理请求(例如,确定是否授权使用替代身份、是否需要持久源值或是否必须符合特定格式等)。对于凭证被验证并且替代身份的承担被允许的情况,身份和访问管理服务102生成响应(在步骤2中传输),其包括用于第一替代身份(ACR1)的凭证,所生成的凭证包括第一替代身份的身份标识符(AII1)和出现在步骤1中的请求中的持久源值(PSV)的副本。在步骤2中,身份和访问管理服务102用生成的响应来响应步骤1中的客户端请求(例如,使用包含第一替代身份(AII1)和持久源值(PSV)的副本的令牌进行响应)。
图2A继续示出在步骤3,客户端152b传输对资源(例如,资源112a)的访问请求。访问请求包括凭证,所述凭证包括第一替代身份的身份标识符(AII1)和持久源值(PSV)的副本。在所示实施方案中,资源处理请求,并且资源处的日志记录代理(例如,日志代理142a)记录关于该请求的信息,至少包括第一替代身份的身份标识符(AII1)和持久源值(PSV)的副本。资源112a生成响应,并传输该响应(步骤4)。图2A和图2B之间的省略号说明时间在图2A和图2B之间进行。
在图2B中,同一客户端152b请求承担又一个替代身份。这次,针对第二替代身份(AII2)的请求(步骤5)是使用图2A中承担的第一替代身份(ACR1)的凭证作出的,所述凭证包括已经经由步骤1-2持久化的相同PSV。身份和访问管理服务102处理该请求(例如,基于持久源值策略)并生成具有所请求凭证(ACR2)的响应,所述凭证包括第二替代身份AII2和持久化PSV。
图2B示出了客户端152b使用第二替代身份(ACR2)的凭证来作出数据访问请求,这次是(数据库服务130的)资源132a。资源132a处理请求并传输回响应(步骤8)。日志代理142j生成关于请求的日志,至少指示第二替代身份。图2B示出了来自图2A的PSV(步骤1中的那个)通过多个身份承担和访问请求被持久化,并最终在日志中结束,该日志将PSV与在不同于步骤1中使用的身份的某个其他(替代)身份下执行的访问请求相关联。
在实施方案中,当实体在会话中承担多个替代身份(也称为身份或角色链)时,持久源值对于在会话中承担的所有替代身份保持相同。在实施方案中,身份和访问管理服务102将不允许在实体在会话内承担另一替代身份时修改持久源值。在实施方案中,身份和访问管理服务102将拒绝当在现有承担替代身份会话中承担另一替代身份时尝试修改持久源值的承担替代身份请求。
图2A/图2B用发起替代身份请求和发送到资源的请求的客户端152b来说明,但是该过程对于诸如外部客户端152a和客户端152c的其他客户端是类似的。
图2A/图2B示出了包括在凭证中的持久源值和替代身份标识符(例如,在令牌中以加密形式)。可以设想,在实施方案中,持久源值和替代身份标识符可以作为请求的一部分传递,但不一定在请求的凭证部分内传递。
在一些实施方案(例如,用会话令牌实现的实施方案)中,持久源值在会话令牌中,例如,会话令牌用于由替代身份执行的每个动作,包括又一个替代身份的承担。在实施方案中,传递会话令牌可能是承担替代身份的所需部分。在一些实施方案中,会话令牌可以被加密,并且接收加密会话令牌的目标资源可以将令牌发送到验证服务,该验证服务解密令牌、提取持久源值并且用解密的持久源值填充验证结果。
在实施方案中,承担替代身份的请求,如图2A中的步骤1所示,可以经由各种API来实现,例如但不限于自定义AssumeIdentity AP I、基于SAML的AssumeIdentity API和基于WebIdentity的AssumeI dentity API。请求中包括的示例参数包括但不限于持久源值参数(PS V)的值、被请求的替代身份的标识符以及作出请求的身份的凭证。在调用AssumeIdentity API之前,管理员可以授予设置持久源值的权限。管理员可以授予的示例样本权限是承担开发人员身份,条件是开发人员将开发人员长期身份用户名设置为持久源值。
在实施方案中,当承担开发人员身份时,管理员使用身份条件来强制将长期身份用户名设置为持久源值。管理员还可以使用条件来定义可接受的源身份值,诸如:已知值,如长期身份用户名或可供选择的预定义值列表(例如,一些角色可能仅限于由列出的实体组使用)。管理员还可以在他们拥有的任何替代身份的身份信任策略中强制执行这些或类似条件。例如,如果两个用户Connor和Doug是唯一允许承担身份的用户(由策略中的条件指定),则尝试将持久源值设置为Connor或Doug以外的其他值将导致承担身份的尝试失败。
在另一个示例中,持久源值策略可以指定持久源值必须是某种信息组合的格式,诸如但不限于用户名-项目ID。使用上面的示例,例如,结合图4中的TempIT1234临时身份标识符(如下所述),持久源值名称将是Connor-TroubleTicket3914。例如,持久源值的所需特征可以由策略中规定的条件来设置。
在又一示例中,策略中的语句(例如,条件语句)可用于基于持久源值来指定权限。下面描述的图4提供了示例。例如,给定资源的策略或给定身份的策略可能引用持久源值属性。
可以设想,在各种实施方案中,图2A中的凭证CR可以是作为基于安全断言标记语言(SAML)的协议或联合身份协议的一部分的凭证。在实施方案中,图2A中的凭证CR可以起源于服务提供商网络100外部的身份提供商180。例如,图2A中的客户端172可以登录到身份提供商180(或企业客户端网络的活动目录代理)并请求SAML断言,然后使用SAML断言来请求临时身份(图2A,步骤1)等。在实施方案中,SAML断言中的属性(由SAML断言的提供商输入)或来自请求实体的输入(例如,如策略指定或要求的)或请求客户端服务器应用程序身份可以用作步骤1中的请求中的持久源值(PSV)。可以设想,在一些实施方案中,身份提供商180可以在诸如客户端网络的客户端网络上实现。
在至少一些实施方案中,持久源值可以由身份和访问管理服务102自动设置(例如,设置为请求实体的长期用户名或一些策略指定的属性等)。在一些实施方案中,临时身份的所有者可以指定持久源值是否是承担该临时身份的要求(例如,可以在策略中指定,或以其他方式指定)和/或可以指定对什么是来自持久源值的可允许条目的要求。在一些实施方案中,临时身份的所有者可以指定不允许持久源值承担该临时身份(例如,可以在策略中指定,或以其他方式指定)。
在实施方案中,承担身份(图2A,步骤2)的凭证(例如,有时称为令牌)是基于至少三个特征生成的:访问密钥ID、会话令牌和秘有密钥(私有密钥用于签署基于访问密钥ID和会话令牌生成的令牌;私有密钥不作为令牌的一部分发送)。在实施方案中,会话令牌可以包括持久源值。例如,持久源值可以是会话令牌中的字段。在收到使用加密凭证作出的并以服务资源为目标的请求后,目标资源或服务可以将加密凭证传递给验证服务,该验证服务解密并验证凭证、提取该持久源值并将解密的持久源值传递回验证响应中的目标资源,其中可以为与请求相关联的动作生成与请求相关联并包括持久源值的日志记录。在实施方案中,临时身份会话名称不同于持久源值。
在图2B中,客户端172请求(步骤5)第二替代身份。该请求包括第一替代身份(ACR1)的替代凭证、第一身份的身份标识符(AII1)和持久源值(PSV)。在一些实施方案中,当接收身份和访问管理服务102接收到请求时,它可以识别请求中的持久源值字段并将该字段中的值持久化在该会话的其他替代凭证中(例如,在实施方案中,是否需要持久源值)。例如,如果传入请求(步骤5)包括持久源值并且尝试将所请求的替代身份的持久源值设置为某个其他值,则请求可能会被拒绝并生成错误消息(例如,系统可能会阻止持久性源值在会话中被更改,因为承担了各种替代身份)。
在一些实施方案中,即使持久源值策略没有指定持久源值对于获得所请求的替代身份是必要的或被要求包括在所请求的替代身份的凭证中,系统仍然可以嵌入(或以其他方式包括)为所请求的替代身份的凭证中的持久源值提供的值。在实施方案中,一个或多个替代身份(例如,粘性、瞬态标识符)中的值的此类主动“粘性”,即使在策略不需要时,也可以使值保持“活跃”或处于过程中,使得该值仍然可用于与持久源值策略相关联的后续替代身份,该持久源值策略确实指定持久源值是获得所请求的替代身份所必需的或需要被包括在所请求的替代身份的凭证中。
图2A未指定当前身份(步骤1)的凭证是长期凭证还是短期凭证。在实施方案中,当前身份的凭证可以是任一类型。当前身份的凭证可以在多个不同来源中的任何一个处生成。例如,图2A中所示的当前身份的凭证可能已经由身份和访问管理服务202生成,或者可能已经由服务提供商网络100外部的身份提供商180(图1)生成。例如,当前身份的凭证可能已经由第三方身份提供商或由客户端网络(例如,客户端网络的一部分,未示出)的身份提供商服务生成。在实施方案中,身份提供商可以实现长期凭证服务和单独的替代凭证服务以提供不同类型的凭证。
在实施方案中,一旦替代开发人员身份被承担并且持久源值被设置,身份和访问管理服务102将不允许在承担身份会话的持续时间内改变持久源值。在实施方案中,此时改变持久源值的尝试可能导致错误消息和/或拒绝请求。身份和访问管理服务102将携带持久源值,用于使用替代身份执行的任何动作,以及何时在现有承担身份会话中承担又一个替代身份。
在一些实施方案中(未示出),而不是像图2A/图B的步骤2、3、6和7那样在凭证中传输PSV,身份和访问管理服务102可以存储PSV。当对资源提出请求时,可以使用存储的PSV。例如,客户端可以在生成要发送到目标资源的请求时从身份和访问管理服务102获得PSV。在一些实施方案中,客户端可以生成指示所存储的PSV的位置的请求,并且目标资源可以从身份和访问管理服务102获得PSV。
图3是示出了根据一些实施方案的用于在实现承担的替代身份的持久源值的系统中处理对替代身份的请求的技术的流程图。图3中所示的至少一些步骤类似于图2A/图2B中所示的步骤,并且可以由诸如图1和图2A/图2B所示的实体执行。
在框302,身份管理器104例如从客户端152接收到承担替代身份的请求,该请求包括凭证和持久源值。在实施方案中,该请求可以包括用于对应的长期或替代身份的长期或替代凭证中的任一者。凭证被验证(框304)。例如,身份管理器104可以直接验证凭证,或者身份管理器104可以将凭证(加密的)发送到验证/授权服务以进行验证,并且验证服务可以将来自解密凭证的一个或多个解密值返回到身份管理器104。在一些实施方案中,步骤304处的验证可以是基于密码的验证——而不是基于持久源值策略的验证。对于失败的验证(例如,无效凭证),可以生成错误并且传输错误响应(框306)。例如,可以生成并发送验证失败响应消息。
对于有效凭证(框308),身份管理器104可以检查所请求的替代身份的使用是否被授权。例如,身份管理器104可以检索与所请求的替代身份相关联的一个或多个策略并根据对应策略中的语句(例如,条件语句等)确定授权。在实施方案中,访问控制列表也是用于在框308中确定替代身份的使用是否被授权的示例实现方式。如果替代身份的使用未被授权(框308,否),则可以生成并传输错误(框310)。例如,可生成并发送授权错误。在实施方案中,可以记录错误(例如,通过日志记录代理142a-n,如下所述)。
在一些实施方案中,身份管理器104可以检查一个或多个策略以确定授权以及其他权限/要求。框312示出了可以检查持久源值要求。例如,图1示出了对于替代标识符AltDev123,持久源值(PSV)被设置为必需。在示例中,身份管理器104确定需要为所请求的身份提供PSV(基于策略中指定的PSV要求)并查找请求中的值(例如,图2A/图2B中的步骤1和5)。如果已提供值,则满足持久值要求(312,是)。如果未提供PSV(312,否)(或者如果格式与策略中的格式规范不匹配),则可生成、记录和/或传输错误(框314)。例如,可生成并发送指出需要持久源值的错误。在实施方案中,关于错误306、310和314,在一些高安全性系统中,可以拒绝请求而不提供拒绝的原因。
对于已经满足的PSV要求,身份管理器104可以复制请求的凭证中呈现的持久源值以包括所请求的替代身份的凭证(框318),并使用所请求的替代身份的凭证响应该请求,其中响应中的凭证包括与请求中的凭证一起提供的持久源值(框318),类似于图2A/图2B中的步骤2和6。
图4是示出了根据一些实施方案的针对实现承担的替代身份的持久源值的系统的持久源值策略的各种特性的表格。在实施方案中,图4中所示的表是图1中表格的更详细视图。
如上所述,系统可以实现各种类型的策略。图4示出了这些策略的特定类型,即持久源值策略。可以设想,在不脱离公开范围的情况下,其他类型的策略可包括属性、字段或与图4中所示的那些类似的其他特征。该表说明了替代和临时身份标识符(在顶部)到持久源值策略(策略名称行)的映射,以及示例策略的各种特征(例如,目标资源、权限等)。
第一个持久源值策略(TempDev123)是策略的示例,所述策略为开发人员指定访问数据库服务(例如,数据库服务130)的权限。承担身份的权限是读/写,并且特别地,策略具有另一个权限语句,其将读/写权限限制在开发人员数据库Dev_Database。该策略指定替代身份的持续时间(此处为4小时)。
下一个持久源值策略(AltSvcxyz)是策略的示例,所述策略指定服务(例如,应用程序或其他程序化客户端)访问存储服务(例如,存储服务120)的权限。目标资源为存储资源xyz,并且指定写权限。特别是,此策略具有另一个权限语句,其防止从该身份承担其他身份。该策略指定替代身份的持续时间(此处为24小时),并且持久源值要求是可选的。
下一个持久源值策略(TempUserxyz)是客户的策略的示例,所述策略指定存储服务(例如,存储服务120)的权限,通常指定只读权限。此外,该策略还基于持久源值指定权限值(当请求中的持久源值设置为“RoyG44”时,目标存储服务允许读/写。此外,此策略指定必须将持久源值(PSV)设置为长期凭证的用户名字段。
持久源值策略TempIT234是管理员的策略的示例,所述策略指定计算服务(例如,计算服务110,或事件驱动的无服务器计算服务等)的完全权限。该策略指定PSV必须采用“用户名-故障单号”格式,它不仅标识用于承担临时身份的长期凭证的用户名,而且还标识用户正在处理的项目的标识符——故障单。
策略,诸如本文描述的策略,可包括其他权限语句。在示例中,语句中的信息包含在一系列元素中。版本元素可以指定策略语言的版本。语句策略元素可以用作其他元素的容器。策略中可包括多于一个语句。其他元素的示例包括但不限于语句标识符(以区分语句)、效果元素(指示策略是允许还是拒绝访问)、动作(策略允许或拒绝的动作列表)、资源(例如,动作适用的资源列表)。
在一些实施方案中,系统可以实现多个策略。例如,一个策略可以指定请求实体是否被授权承担与该策略相关联的身份,并且另一个策略可以指定与所承担的身份相关联的权限。在实施方案中,任一类型的策略都可以与持久源值相关。例如,请求实体(从用户或程序化实体接收输入的客户端实体)可能会或可能不会被允许基于是否为持久源值提供值来承担身份。在另一个示例中,仅允许提供管理值作为持久源值的实体具有对目标资源的配置类型访问权限。
在实施方案中,权限仅针对承担的替代身份缩小范围。在其他实施方案中,权限不一定针对承担的替代身份缩小范围并且可以在逐个身份的基础上独立地确定。
图5是示出了根据一些实施方案的用于在实现承担的替代身份的持久源值的系统中处理经由替代身份作出的请求的技术的流程图。在实施方案中,所示出的过程可以由服务110、120、130的各种资源和日志记录代理来执行。
在框502,接收请求以及用于处理该请求的凭证。例如,图2A/图2B中的步骤3和7示出了接收请求的服务的资源。记录关于请求的信息。例如,关于请求的信息,诸如但不限于请求实体的身份,以及随请求提供的持久源值可以由日志记录代理(例如,日志记录代理142a、142j)记录。在框504处,检查请求的凭证的有效性。如果凭证无效(框504,否),则请求被拒绝,并且记录关于拒绝的信息(例如,关于请求的信息,诸如但不限于拒绝的原因、请求实体的替代身份,并且可以记录随请求提供的持久源值)。
在实施方案中,当在承担替代身份时指定持久源值时,日志记录部件(例如,目标资源的日志记录代理)将持久源值包括在为使用承担的替代身份执行的动作捕获的日志细节中。在实施方案中,当使用承担的替代身份对资源执行动作时,持久源值被放置在日志细节的一部分中。例如,当为承担的替代身份设置持久源值时,日志查看器部件可以在日志细节的参数部分中显示持久源值。
图6是示出了根据一些实施方案的用于从日志获得持久源值的技术的流程图。在实施方案中,所示出的功能可以经由日志记录服务140的界面(例如,日志查看器144)来执行。
在框602,经由用于日志记录服务的界面接收对与账户相关联的日志的请求。检索与账户相关联的日志(框604),然后针对持久源值和替代身份标识符进行解析(框606)。在实施方案中,经由界面提供来自日志的信息,提供的信息包括关于请求、持久源值和/或替代身份标识符的信息(框608)。
在实施方案中,日志查看器144的部件可以包括提供持久源值的访问请求的视图的部件(与基于长期或替代凭证创建的查询或呈现相反)。各种系统可以提供可配置的设置,其可选择以使得显示的日志信息基于持久源值被组织。在实施方案中,特定访问请求的日志视图提供来自日志的持久源值。
日志查看器144不一定是从日志中获得持久源值的唯一方式。可以设想,一些系统可以实现各种API(访问日志记录系统的API)或代码,其促进除日志记录服务之外的应用程序从日志中获得和呈现信息。
在实施方案中,第一账户的日志记录可以包括指示来自某个其他第二账户的长期用户id的持久源值,否则第一账户的日志记录对第二账户不可用。
尽管为了清楚起见描述了特定功能,但是可以设想用于获得与特定请求相关联的记录的持久源值的其他功能。例如,控制台等可以提供用于查询日志的界面元素。
示例计算机系统
图7示出了根据实施方案的计算机系统的示例,其中的一个或多个可以实现贯穿本公开描述和示出的各种部件,包括实现身份和访问管理服务的一个或多个部件,所述身份和访问管理服务实现承担的替代身份的持久源值。
本文所述的图1、图2A/图2B和图7中的系统的各个部分和/或在图3、图5和图6中呈现的方法可以在类似于本文描述的一个或多个计算机系统上执行,其可以与系统的各种其他装置交互。
在所说明的实施方案中,计算机系统700包括经由输入/输出(I/O)接口730耦合到系统存储器720的一个或多个处理器710。计算机系统700还包括耦合到I/O接口730和一个或多个输入/输出装置760(诸如光标控制装置、键盘、音频装置和显示器)的网络接口740。在一些实施方案中,可以设想,可以使用计算机系统700的单一实例实现实施方案,而在其它实施方案中,多个此类系统或组成计算机系统700的多个节点可以被配置为托管实施方案的不同部分或实例。例如,在一个实施方案中,可以经由与实现其它元件的节点不同的计算机系统700的一个或多个节点实现一些元件。
在各种实施方案中,计算机系统700可为包括一个处理器710的单处理器系统,或包括几个处理器710(例如,两个、四个、八个或另一合适数量)的多处理器系统。处理器710可以为能够执行指令的任何合适处理器。例如,在各种实施方案中,处理器710可以为实现各种指令集架构(ISA)中的任何一种(诸如x86、PowerPC、SPARC、或MIPSISA、或任何其它合适ISA)的通用或嵌入式处理器。在多处理器系统中,处理器710中的每一个通常可(但不一定)实现相同的ISA。
在一些实施方案中,至少一个处理器710可以为图形处理单元。图形处理单元(GPU)可以被视为个人计算机、工作站、游戏机或其它计算机系统的专用图形呈现装置。GPU可以对操控和显示计算机图形非常有效,且在复杂图形算法的范围内其高度平行结构可以使其比典型CPU更有效。例如,图形处理器可以按使执行其远快于直接拖拽到具有主机中央处理单元(CPU)的屏幕的方式实现多种图形原始操作。在各种实施方案中,本文公开的用于为承担的替代身份实现持久源值的身份和访问管理服务的方法可以通过被配置为在此类GPU之一上执行或者在两个或更多个此类GPU上并行执行的程序指令来实现。GPU可以实现允许程序员调用GPU的功能性的一个或多个应用程序员接口(API)。合适GPU可以商购自诸如NVIDIA公司、ATI Technologies等的供应商。
系统存储器720可以被配置为存储可供处理器710访问的程序指令和/或数据。在各种实施方案中,可以使用任何合适存储器技术(诸如静态随机存取存储器(SRAM)、同步动态RAM(SDRAM)、非易失性/闪存类型存储器、或任何其它类型的存储器)实现系统存储器720。在图示的实施方案中,实现所需功能的程序指令和数据,诸如上面描述的用于为承担的替代身份实现持久源值的身份和访问管理服务的程序指令和数据,被示为分别存储在系统存储器720内作为身份和访问管理代码102和数据726(例如,策略等)。在其它实施方案中,可以在不同类型的计算机可访问介质上或在与系统存储器720或计算机系统700分离的相似介质上接收、发送或存储程序指令和/或数据。一般来说,计算机可访问介质可以包括存储介质或存储器介质,诸如磁性介质或光学介质,例如经由I/O接口730耦合到计算机系统700的CD/DVD-ROM。可以通过传输介质或信号(诸如可以经由通信介质(例如诸如可以经由网络接口740实现的网络和/或无线链路)递送的电信号、电磁信号或数字信号)传输经由计算机可访问介质存储的程序指令和数据。程序指令可以包括用于实现关于任何图描述的技术的指令。
在一些实施方案中,I/O接口730可以被配置为协调装置中的处理器710、系统存储器720与任何外围装置(包括网络接口740或其它外围接口(诸如输入/输出装置750))之间的I/O流量。在一些实施方案中,I/O接口730可以执行任何必需协议、时序或其他数据变换以将来自一个部件(例如,系统存储器720)的数据信号转换为适于供另一部件(例如,处理器710)使用的格式。在一些实施方案中,例如,I/O接口730可包括对通过各种类型的外围总线(诸如,外围部件互连(PCI)总线标准或通用串行总线(USB)标准的变体)附接的装置的支持。在一些实施方案中,I/O接口730的功能可以划分到两个或两个以上单独的部件。此外,在一些实施方案中,I/O接口730的功能性中的一些或所有(诸如到系统存储器720的接口)可以直接并入处理器710中。
网络接口740可以被配置为允许在计算机系统700与附接到网络的其它装置(诸如其它计算机系统)之间或在计算机系统700的节点之间交换数据。在各种实施方案中,网络接口740可以经由以下网络支持通信:有线或无线通用数据网络,例如诸如任何合适类型的以太网网络;电信/电话网络,诸如模拟语音网络或数字光纤通信网络;存储区域网络,诸如光纤通道SAN;或任何其它合适类型的网络和/或协议。
在一些实施方案中,计算装置700可以包括输入/输出装置,其可以包括一个或多个显示器终端机、键盘、小键盘、触摸板、扫描装置、语音或光学辨识装置、加速度计、多点触控屏幕或适于通过一个或多个计算机系统700输入或检索数据的任何其它装置。多个输入/输出装置750可以存在于计算机系统700中或可以分布在计算机系统700的各种节点上。在一些实施方案中,相似输入/输出装置可以与计算机系统700分离且可以通过有线或无线连接(诸如通过网络接口740)与计算机系统700的一个或多个节点交互。
存储器820可以包括:程序指令(例如,诸如代码824),其被配置为实现身份和访问管理服务的实施方案,该身份和访问管理服务实现如本文所述的承担替代身份的持久源值;以及数据存储装置726,其包括可由程序指令724访问的各种数据。在一个实施方案中,程序指令724可以包括上图中所示的方法的软件元素。数据存储装置726可以包括可以用于如本文所述的实施方案的数据。在其它实施方案中,可以包括其它或不同软件元件和/或数据。
本领域的技术人员将明白,计算机系统700仅是说明性的且并非意在限制如本文中所述的系统和方法的范围。具体地,计算机系统和装置可以包括可以执行所指示功能的硬件或软件的任何组合,包括计算机、网络装置、互联网家电产品、PDA、无线电话、寻呼机等。计算机系统700还可以连接到未示出的其他装置,或替代地可以作为独立系统操作。此外,在一些实施方案中,由所示部件提供的功能性可以组合在少数部件中或分布在额外部件中。相似地,在一些实施方案中,可以不提供所示部件中的一些的功能性和/或可以使用其它额外功能性。
本领域的技术人员还将明白,虽然各种项目被示出为在被使用时存储在存储器中或存储在存储装置上,但出于存储器管理和数据完整性的目的可以在存储器与其它存储装置之间传送这些项目或其部分。或者,在其它实施方案中,软件部件中的一些或所有可以在另一装置上的存储器中执行且经由计算机间通信与所示计算机系统进行通信。系统部件或数据结构中的一些或所有还可以(例如,作为指令或结构化数据)存储在计算机可访问介质或便携式物品上以供适当驱动器(上文描述了其各种示例)读取。在一些实施方案中,存储在与计算机系统700分离的计算机可访问介质上的指令可以经由传输介质或信号(诸如经由通信介质(诸如网络和/或无线链路)递送的电信号、电磁信号或数字信号)传输到计算机系统700。各种实施方案还可包括接收、发送或存储在计算机可访问介质上根据前文描述实现的指令和/或数据。因此,可以在具有其它计算机系统配置的情况下实践本发明。在一些实施方案中,本文描述的部分技术(例如,承担的替代身份的持久源值)可以托管在云计算基础设施中。
各种实施方案还可包括接收、发送或存储在计算机可访问介质上根据前文描述实现的指令和/或数据。一般来说,计算机可访问/可读存储介质可包括:诸如磁性介质或光学介质的非暂时性存储介质(例如磁盘或DVD/CD-ROM);诸如RAM(例如,SDRAM、DDR、RDRAM、SRAM等)、ROM等易失性或非易失性介质;以及传输介质或信号(诸如经由通信介质(诸如网络和/或无线链路)递送的电信号、电磁信号或数字信号)。
本公开的实施方案可以关于以下条款来描述:
条款1.一种系统,其包括:
多个计算机,所述多个计算机包括处理器和存储器,所述多个计算机被配置为实现服务提供商网络的提供对托管资源的访问权限的一项或多项服务;
一个或多个处理器和存储器,所述一个或多个处理器和存储器被配置为实现身份管理器,所述身份管理器被配置为:
从客户端接收承担临时身份的请求,所述请求包括:
所述客户端的当前身份的当前凭证,所述当前凭证包括持久源值;和
所述临时身份的标识符;
基于对所述当前凭证的验证,生成所述临时身份的第一凭证,其中所述第一凭证包括所述临时身份的所述标识符和所述持久源值;并且
使用包括所述临时身份的所述标识符和从所述请求中复制的所述持久源值的所述第一凭证来响应所述请求;
多个计算机中的计算机,所述计算机托管所述资源中的给定一个资源和日志记录代理,所述计算机被配置为:
接收针对所述给定资源并且包括所述第一凭证的访问请求;
基于对所述第一凭证的验证来处理所述访问请求;并且
记录与所述访问请求相关联的信息,其中所述日志信息包括所述临时身份的所述标识符和所述持久源值。
条款2.根据条款1所述的系统,
其中所述身份管理器被配置为:
从所述客户端接收承担第二临时身份的另一请求,所述另一请求包括:
所述客户端的所述第一临时身份的所述第一凭证,所述第一凭证包括所述持久源值;
基于对所述第一凭证的验证,生成所述第二临时身份的第二凭证,其中所述第二凭证包括所述第二临时身份的标识符和所述持久源值;并且
使用包括所述第二临时身份的所述标识符和从所述另一请求中复制的所述持久源值的所述第二凭证来响应所述请求。
条款3.根据条款1或2所述的系统,
其中所述服务提供商网络的提供对托管资源的访问权限的所述服务包括事件驱动的无服务器计算服务和计算服务;并且
其中从存储服务或所述计算服务的一个或多个资源托管的程序化进程接收所述请求,并将所述响应传输到所述程序化进程。
条款4.根据条款2至3中任一项所述的系统,其还包括:
数据存储存储策略,所述存储策略指定与相应持久源值相关联的权限或针对所述相应持久源值的要求;
其中所述生成所述临时身份的所述第二凭证至少部分地基于在所存储的策略中的对应的一个策略中指定的所述持久源值的所述指定权限或要求。
条款5.一种方法,其包括:
由一个或多个计算装置执行:
由身份管理器响应于承担替代身份的请求生成所述替代身份的第一凭证,所述请求包括请求客户端的当前身份的标识符和第一凭证以及持久源值,其中所述第一凭证包括所述替代身份的标识符和所述持久源值;
使用包括所述替代身份的所述标识符和从所述请求中复制的所述持久源值的所述第一凭证响应所述请求;以及
为所述请求客户端的后续身份承担持久化所述持久源值。
条款6.根据条款5所述的方法,其还包括:
响应于承担第二替代身份的另一请求并且至少部分地基于在所述另一请求中指定对持久源值的要求的对应策略,确定持久源值是否已被包括在所述另一请求中;以及
基于包括所述持久源值的所述另一请求,生成所述第二替代身份的第二凭证,其中生成所述第二凭证包括将所述持久源值从所述另一请求复制到所述第二凭证。
条款7.根据条款5或6所述的方法,其还包括:
响应于对另一替代身份的另一请求,所述另一请求包括第二凭证和所述另一替代身份的标识符:
验证所述第二凭证;以及
基于所述另一替代身份的标识符,识别所述另一替代身份的策略;
基于所述策略,确定已满足对所述持久源值的一个或多个要求;以及
基于已满足所述一个或多个要求的所述确定,生成
所述另一替代身份的第三凭证,所述第三凭证包括从对所述另一替代身份的所述请求中复制的所述持久源值。
条款8.根据条款7所述的方法,其中所述验证所述第二凭证包括:
将所述第二凭证传输到验证服务,所传输的第二凭证包括来自所述另一请求的加密持久源值;以及
接收对所述验证请求的响应,所述响应包括来自所述另一请求的解密持久源值。
条款9.根据条款5至8中任一项所述的方法,其还包括:
响应于承担另一替代身份的另一请求,从数据存储中检索对应于所述另一替代身份的策略,其中所存储的策略包括:
策略名称,
一个或多个目标资源或服务,
所述另一替代身份是否需要持久源值的规范,
所述持久源值的格式规范,以及
使用所述另一替代身份访问所述一个或多个目标资源或服务的一个或多个权限;
基于所述策略确定同意所述另一请求;以及
使用所述另一请求的替代身份的凭证响应所述另一请求,其中所述凭证包括根据所述策略中指定的所述格式的所述持久源值。
条款10.根据条款5至9中任一项所述的方法,
其中所述服务提供商网络的提供对托管资源的访问权限的所述服务包括存储服务和计算服务;并且
其中从所述存储服务或所述计算服务的一个或多个资源托管的程序化进程接收所述请求,并将所述响应传输到所述程序化进程。
条款11.根据条款5至10中任一项所述的方法,其还包括:
将指定与临时身份的凭证的持久源值属性相关联的权限或针对所述持久源值属性的要求的策略存储到数据存储;
经由用于配置所述策略的管理界面接收持久源值要求的规范,所述规范要求所述身份管理器执行:
从对相应替代身份的请求中提供的凭证中提取所述持久源值;并且
将所提取的持久源值复制到所请求的替代身份的凭证。
条款12.根据条款5至11中任一项所述的方法,其还包括:
由托管资源和日志记录代理的计算机接收对所述资源的访问请求,所述访问请求包括所述第一凭证和所述持久源值;
由所述计算机基于对所述第一凭证的验证来处理所述访问请求;以及
由所述计算机的所述日志记录代理记录与所述访问请求相关联的信息,其中所述日志信息包括所述替代身份的所述标识符和所述持久源值。
条款13.根据条款5至12中任一项所述的方法,其还包括:
从所述请求客户端接收承担第二替代身份的另一请求,所述另一请求包括:
用于所述客户端的所述第一身份的所述第一凭证,所述第一凭证包括所述持久源值;
基于对所述第一凭证的验证,生成所述第二替代身份的第二凭证,其中所述第二凭证包括所述第二替代身份的标识符和所述持久源值;以及
使用包括所述第二替代身份的所述标识符和从所述另一请求中复制的所述持久源值的所述第二凭证响应所述请求。
条款14.一种或多种非暂时性计算机可读存储介质,其存储程序指令,所述程序指令在一个或多个处理器上或跨一个或多个处理器执行时使所述一个或多个处理器实现身份管理器,所述身份管理器被配置为执行:
由身份管理器响应于承担替代身份的请求生成所述替代身份的第一凭证,所述请求包括请求客户端的当前身份的标识符和第一凭证以及持久源值,其中所述第一凭证包括所述替代身份的标识符和所述持久源值;
使用包括所述替代身份的所述标识符和从所述请求中复制的所述持久源值的所述第一凭证响应所述请求;以及
为所述请求客户端的后续身份承担持久化所述持久源值。
条款15.根据条款14所述的一种或多种非暂时性计算机可读存储介质,其中所述程序指令配置所述身份管理器以执行:
响应于承担第二替代身份的另一请求并且至少部分地基于在所述另一请求中指定对持久源值的要求的对应策略,确定持久源值是否已被包括在所述另一请求中;以及
基于包括所述持久源值的所述另一请求,生成所述第二替代身份的第二凭证,其中生成所述第二凭证包括将所述持久源值从所述另一请求复制到所述第二凭证。
条款16.根据条款14或15所述的一种或多种非暂时性计算机可读存储介质,其中所述程序指令配置所述身份管理器以执行:
响应于对另一替代身份的另一请求,所述另一请求包括第二凭证和所述另一替代身份的标识符:
验证所述第二凭证;以及
基于所述另一替代身份的标识符,识别所述另一替代身份的策略;
基于所述策略,确定已满足对所述持久源值的一个或多个要求;以及
基于已满足所述一个或多个要求的所述确定,生成
所述另一替代身份的第三凭证,所述第三凭证包括从对所述另一替代身份的所述请求中复制的所述持久源值。
条款17.根据条款16所述的一种或多种非暂时性计算机可读存储介质,其中为了执行所述验证所述第二凭证,所述程序指令配置所述身份管理器执行:
将所述第二凭证传输到验证服务,所传输的第二凭证包括来自所述另一请求的加密持久源值;以及
接收对所述验证请求的响应,所述响应包括来自所述另一请求的解密持久源值。
条款18.根据条款14至17中任一项所述的一种或多种非暂时性计算机可读存储介质,其中所述程序指令配置所述身份管理器以执行:
响应于承担另一替代身份的另一请求,从数据存储中检索对应于所述另一替代身份的策略,其中所存储的策略包括:
策略名称,
一个或多个目标资源或服务,
所述另一替代身份是否需要持久源值的规范,
所述持久源值的格式规范,以及
使用所述另一替代身份访问所述一个或多个目标资源或服务的一个或多个权限;
基于所述策略确定同意所述另一请求;以及
使用所述另一请求的替代身份的凭证响应所述另一请求,其中所述凭证包括根据所述策略中指定的所述格式的所述持久源值。
条款19.根据条款14至18中任一项所述的一种或多种非暂时性计算机可读存储介质,其中所述程序指令配置所述身份管理器以执行:
将指定与替代身份的凭证的持久源值属性相关联的权限或针对所述持久源值属性的要求的策略存储到数据存储;
经由用于配置所述策略的管理界面接收持久源值要求的规范,所述规范要求所述身份管理器执行:
从对相应替代身份的请求中提供的凭证中提取所述持久源值;并且
将所提取的持久源值复制到所请求的替代身份的凭证。
条款20.根据条款14至19中任一项所述的一种或多种非暂时性计算机可读存储介质,其中所述程序指令配置所述身份管理器以执行:
从所述请求客户端接收承担第二替代身份的另一请求,所述另一请求包括:
用于所述客户端的所述第一身份的所述第一凭证,所述第一凭证包括所述持久源值;
基于对所述第一凭证的验证,生成所述第二替代身份的第二凭证,其中所述第二凭证包括所述第二替代身份的标识符和所述持久源值;以及
使用包括所述第二替代身份的所述标识符和从所述另一请求中复制的所述持久源值的所述第二凭证响应所述请求。
如图中所示且如本文中所述的各种方法表示方法的示例实施方案。可以在软件、硬件或其组合中实现所述方法。方法的次序可以变化,并且可以添加、重排、组合、省略、修改等各种元件。
受益于本公开的本领域技术人员将清楚地知晓可做出各种修改和改变。它旨在涵盖所有这些修改和改变,且因此以上描述被视为说明性而非限制意义。
本公开包括对“实施方案”或“实施方案”组(例如,“一些实施方案”或“各种实施方案”)的引用。实施方案是所公开概念的不同实现方式或实例。对“实施方案”、“一个实施方案”、“特定实施方案”等的引用不一定指代相同的实施方案。设想了大量可能的实施方案,包括具体公开的那些,以及落入本公开的精神或范围内的修改或替代。
在本公开中,各种“标签”可以位于名词或名词短语之前。除非上下文另有规定,否则用于特征的不同标签(例如,“第一电路”、“第二电路”、“特定电路”、“给定电路”等)指的是该特征的不同实例。此外,标签“第一”、“第二”和“第三”在应用于特征时并不暗示任何类型的排序(例如,空间、时间、逻辑等),除非另有说明。
Claims (15)
1.一种系统,其包括:
一个或多个处理器和存储器,所述一个或多个处理器和存储器被配置为实现身份管理器,所述身份管理器被配置为:
从客户端接收承担临时身份的请求,所述请求包括:
所述客户端的当前身份的当前凭证,所述当前凭证包括持久源值;和
所述临时身份的标识符;
生成所述临时身份的第一凭证,其中所述第一凭证包括所述临时身份的所述标识符和所述持久源值;并且
使用包括所述临时身份的所述标识符和从所述请求中复制的所述持久源值的所述第一凭证来响应所述请求。
2.根据权利要求1所述的系统,
其中所述身份管理器被配置为:
从所述客户端接收承担第二临时身份的另一请求,所述另一请求包括:
所述客户端的所述第一临时身份的所述第一凭证,所述第一凭证包括所述持久源值;
基于对所述第一凭证的验证,生成所述第二临时身份的第二凭证,其中所述第二凭证包括所述第二临时身份的标识符和所述持久源值;并且
使用包括所述第二临时身份的所述标识符和从所述另一请求中复制的所述持久源值的所述第二凭证来响应所述请求。
3.根据权利要求1或2中任一项所述的系统,其还包括:
多个计算机,所述多个计算机包括处理器和存储器,所述多个计算机被配置为实现服务提供商网络的提供对托管资源的访问权限的一项或多项服务;
其中所述服务提供商网络的提供对托管资源的访问权限的所述服务包括事件驱动的无服务器计算服务和计算服务;并且
其中从存储服务或所述计算服务的一个或多个资源托管的程序化进程接收所述请求,并将所述响应传输到所述程序化进程。
4.根据权利要求2至3中任一项所述的系统,其还包括:
数据存储存储策略,所述存储策略指定与相应持久源值相关联的权限或针对所述相应持久源值的要求;
其中所述生成所述临时身份的所述第二凭证至少部分地基于在所存储的策略中的对应的一个策略中指定的所述持久源值的所述指定权限或要求。
5.一种方法,其包括:
由一个或多个计算装置执行:
由身份管理器响应于承担替代身份的请求生成所述替代身份的第一凭证,所述请求包括请求客户端的当前身份的标识符和第一凭证以及持久源值,其中所述第一凭证包括所述替代身份的标识符和所述持久源值;
使用包括所述替代身份的所述标识符和从所述请求中复制的所述持久源值的所述第一凭证响应所述请求;以及
为所述请求客户端的后续身份承担持久化所述持久源值。
6.根据权利要求5所述的方法,其还包括:
响应于承担第二替代身份的另一请求并且至少部分地基于在所述另一请求中指定对持久源值的要求的对应策略,确定持久源值是否已被包括在所述另一请求中;以及
基于包括所述持久源值的所述另一请求,生成所述第二替代身份的第二凭证,其中生成所述第二凭证包括将所述持久源值从所述另一请求复制到所述第二凭证。
7.根据权利要求5或6中任一项所述的方法,其还包括:
响应于对另一替代身份的另一请求,所述另一请求包括第二凭证和所述另一替代身份的标识符:
验证所述第二凭证;以及
基于所述另一替代身份的标识符,识别所述另一替代身份的策略;
基于所述策略,确定已满足对所述持久源值的一个或多个要求;以及
基于已满足所述一个或多个要求的所述确定,生成
所述另一替代身份的第三凭证,所述第三凭证包括从对所述另一替代身份的所述请求中复制的所述持久源值。
8.根据权利要求7所述的方法,其中所述验证所述第二凭证包括:
将所述第二凭证传输到验证服务,所传输的第二凭证包括来自所述另一请求的加密持久源值;以及
接收对所述验证请求的响应,所述响应包括来自所述另一请求的解密持久源值。
9.根据权利要求5至8中任一项所述的方法,其还包括:
响应于承担另一替代身份的另一请求,从数据存储中检索对应于所述另一替代身份的策略,其中所存储的策略包括:
策略名称,
一个或多个目标资源或服务,
所述另一替代身份是否需要持久源值的规范,
所述持久源值的格式规范,以及
使用所述另一替代身份访问所述一个或多个目标资源或服务的一个或多个权限;
基于所述策略确定同意所述另一请求;以及
使用所述另一请求的替代身份的凭证响应所述另一请求,其中所述凭证包括根据所述策略中指定的所述格式的所述持久源值。
10.根据权利要求5至9中任一项所述的方法,
其中所述服务提供商网络的提供对托管资源的访问权限的所述服务包括存储服务和计算服务;并且
其中从所述存储服务或所述计算服务的一个或多个资源托管的程序化进程接收所述请求,并将所述响应传输到所述程序化进程。
11.根据权利要求5至10中任一项所述的方法,其还包括:
将指定与临时身份的凭证的持久源值属性相关联的权限或针对所述持久源值属性的要求的策略存储到数据存储;
经由用于配置所述策略的管理界面接收持久源值要求的规范,所述规范要求所述身份管理器执行:
从对相应替代身份的请求中提供的凭证中提取所述持久源值;并且
将所提取的持久源值复制到所请求的替代身份的凭证。
12.根据权利要求5至11中任一项所述的方法,其还包括:
由托管资源和日志记录代理的计算机接收对所述资源的访问请求,所述访问请求包括所述第一凭证和所述持久源值;
由所述计算机基于对所述第一凭证的验证来处理所述访问请求;以及
由所述计算机的所述日志记录代理记录与所述访问请求相关联的信息,其中所述日志信息包括所述替代身份的所述标识符和所述持久源值。
13.根据权利要求5至12中任一项所述的方法,其还包括:
从所述请求客户端接收承担第二替代身份的另一请求,所述另一请求包括:
所述客户端的所述第一身份的所述第一凭证,所述第一凭证包括所述持久源值;
基于对所述第一凭证的验证,生成所述第二替代身份的第二凭证,其中所述第二凭证包括所述第二替代身份的标识符和所述持久源值;以及
使用包括所述第二替代身份的所述标识符和从所述另一请求中复制的所述持久源值的所述第二凭证响应所述请求。
14.一种或多种非暂时性计算机可读介质,其包括能够在一个或多个处理器上或跨所述一个或多个处理器执行的程序指令,以执行:
由身份管理器响应于承担替代身份的请求生成所述替代身份的第一凭证,所述请求包括请求客户端的当前身份的标识符和第一凭证以及持久源值,其中所述第一凭证包括所述替代身份的标识符和所述持久源值;
使用包括所述替代身份的所述标识符和从所述请求中复制的所述持久源值的所述第一凭证响应所述请求;以及
为所述请求客户端的后续身份承担持久化所述持久源值。
15.根据权利要求14所述的一种或多种一种或多种非暂时性计算机可读介质,其中能够执行所述程序指令以执行:
响应于承担第二替代身份的另一请求并且至少部分地基于在所述另一请求中指定对持久源值的要求的对应策略,确定持久源值是否已被包括在所述另一请求中;以及
基于包括所述持久源值的所述另一请求,生成所述第二替代身份的第二凭证,其中生成所述第二凭证包括将所述持久源值从所述另一请求复制到所述第二凭证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/108,854 US11947657B2 (en) | 2020-12-01 | 2020-12-01 | Persistent source values for assumed alternative identities |
| US17/108,854 | 2020-12-01 | ||
| PCT/US2021/061314 WO2022119872A1 (en) | 2020-12-01 | 2021-12-01 | Persistent source values for assumed alternative identities |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116438778A true CN116438778A (zh) | 2023-07-14 |
Family
ID=79170717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180073966.6A Pending CN116438778A (zh) | 2020-12-01 | 2021-12-01 | 承担的替代身份的持久源值 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11947657B2 (zh) |
| CN (1) | CN116438778A (zh) |
| DE (1) | DE112021005026T5 (zh) |
| WO (1) | WO2022119872A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117611363A (zh) * | 2023-10-25 | 2024-02-27 | 浙江爱信诺航天信息技术有限公司 | 凭证在线校验方法及介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7770204B2 (en) * | 2003-09-30 | 2010-08-03 | Novell, Inc. | Techniques for securing electronic identities |
| JP2007148903A (ja) | 2005-11-29 | 2007-06-14 | Toshiba Corp | 属性証明書処理システム、属性証明要求装置、属性証明書発行装置、属性検証装置、属性証明要求方法、属性証明書発行方法、属性検証方法及びプログラム |
| WO2013151752A1 (en) | 2012-04-05 | 2013-10-10 | Interdigital Patent Holdings, Inc. | On-demand identity and credential sign-up |
| WO2017181333A1 (zh) * | 2016-04-19 | 2017-10-26 | 华为技术有限公司 | 一种交通业务获取的方法及相关设备 |
-
2020
- 2020-12-01 US US17/108,854 patent/US11947657B2/en active Active
-
2021
- 2021-12-01 CN CN202180073966.6A patent/CN116438778A/zh active Pending
- 2021-12-01 DE DE112021005026.5T patent/DE112021005026T5/de active Pending
- 2021-12-01 WO PCT/US2021/061314 patent/WO2022119872A1/en active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117611363A (zh) * | 2023-10-25 | 2024-02-27 | 浙江爱信诺航天信息技术有限公司 | 凭证在线校验方法及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022119872A1 (en) | 2022-06-09 |
| DE112021005026T5 (de) | 2023-08-10 |
| US20220171842A1 (en) | 2022-06-02 |
| US11947657B2 (en) | 2024-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11611560B2 (en) | Systems, methods, and apparatuses for implementing consensus on read via a consensus on write smart contract trigger for a distributed ledger technology (DLT) platform | |
| US11750609B2 (en) | Dynamic computing resource access authorization | |
| US11606352B2 (en) | Time-based one time password (TOTP) for network authentication | |
| US20200342449A1 (en) | Systems, methods, and apparatuses for implementing an api gateway to authorize and charge a fee for a transaction between cloud computing customers using distributed ledger technologies (dlt) | |
| US10055561B2 (en) | Identity risk score generation and implementation | |
| US11762970B2 (en) | Fine-grained structured data store access using federated identity management | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| US20200119904A1 (en) | Tamper-proof privileged user access system logs | |
| JP6625636B2 (ja) | サービスとしてのアイデンティティインフラストラクチャ | |
| US7320141B2 (en) | Method and system for server support for pluggable authorization systems | |
| US20200242595A1 (en) | Systems, methods, and apparatuses utilizing a blended blockchain ledger in a cloud service to address local storage | |
| US8271536B2 (en) | Multi-tenancy using suite of authorization manager components | |
| US10587697B2 (en) | Application-specific session authentication | |
| US20100299738A1 (en) | Claims-based authorization at an identity provider | |
| US8990896B2 (en) | Extensible mechanism for securing objects using claims | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| KR20100045442A (ko) | 전송 가능한 제한된 보안 토큰 | |
| US11244040B2 (en) | Enforcement of password uniqueness | |
| US8321925B1 (en) | Distributed encryption key management | |
| US11063922B2 (en) | Virtual content repository | |
| CN116438778A (zh) | 承担的替代身份的持久源值 | |
| US10931650B1 (en) | Apparatus and method for building, extending and managing interactions between digital identities and digital identity applications | |
| WO2023272419A1 (en) | Virtual machine provisioning and directory service management | |
| US20240064148A1 (en) | System and method for managing privileged account access | |
| US12015606B2 (en) | Virtual machine provisioning and directory service management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |