DE102012203561A1

DE102012203561A1 - Die Personifikation/Bevollmächtigung eines Benutzers in einem Merkmal-basierenden Authentifizierungssystem

Info

Publication number: DE102012203561A1
Application number: DE102012203561A
Authority: DE
Inventors: Michael John Fork; Vincent Edmund Price
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2011-03-28
Filing date: 2012-03-07
Publication date: 2012-10-04
Also published as: US10122707B2; GB201204639D0; US9497184B2; US20170070498A1; US20120254957A1; GB2489563A

Abstract

Ein „vertrauenswürdiger Dienst” etabliert eine Vertrauensbeziehung mit einem Identitäts-Provider und wechselwirkt mit dem Identitäts-Provider über eine vertrauenswürdige Verbindung. Der vertrauenswürdige Dienst erwirbt ein Merkmal vor dem Identitäts-Provider für einen bestimmten Benutzer (oder eine Anzahl von Benutzern), ohne dass die Anmeldeinformation des Benutzers präsentiert werden muss. Der vertrauenswürdige Dienst nutzt dann dieses Merkmal (zum Beispiel direkt, durch Aufrufen von API, durch Erlangen eines anderen Merkmals, oder dergleichen), um zuzugreifen und einen Cloud-Dienst im Namen des Benutzers zu beschaffen, sogar in Abwesenheit des Benutzers. Dieser Ansatz ermöglicht Hintergrunddienste, um Arbeitsabläufe innerhalb einer bereitgestellten Sitzung (zum Beispiel über OAuth-basierte APIs) durchzuführen, ohne Anmeldungsinformationen des Benutzers zu präsentieren oder ohne dass der Benutzer anwesend ist.

Description

Hintergrund der Erfindung
Gebiet der Erfindung
Diese Offenbarung bezieht sich allgemein auf Techniken, um nicht-interaktiv-basierende Vernetzung zwischen Anwendungen, die sich ein gemeinsames, Merkmal („Token”)-basiertes Authentifizierungssystem teilen, zu ermöglichen, ohne dass ein Benutzer notwendigerweise anwesend sein muss.
Hintergrund der Erfindung
In einem traditionellen Client-Server-Authentifizierungsmodell verwendet ein Client seine Anmeldeinformationen, um auf Ressourcen, die von einem Server bereitgestellt werden, zuzugreifen. Mit der zunehmenden Nutzung von verteilten Web-Diensten und Cloud Computing erfordern Anwendungen von Drittanbietern häufig den Zugriff auf diese Server-bereitgestellten Ressourcen. OAuth ist ein offenes Protokoll (Intern Request for Comment (RFC) 5849), das den Benutzern ermöglicht, ihre privaten Daten mit den verschiedenen Webseiten nebst ihren Anmeldeinformationen zu teilen, während die Daten nur auf der Original-Webseite, die diese Daten zurückhält, enttarnt sind. Insbesondere erlaubt das OAuth-Protokoll den Benutzern, private Ressourcen, die auf einer Webseite gespeichert sind, mit anderen Seiten zu teilen, ohne die Anmeldeinformation des Benutzers – zum Beispiel Benutzername und Passwörter – den Webseiten zu enttarnen, anderen als denen die die Daten des Benutzers besitzen. Eine Webseite, die OAuth als eines ihrer Authentifizierungsprotokolle anwendet, erhöht die Privatsphäre und die Sicherheit für die Nutzer. Um diese Funktionalität zu erreichen, stellt OAuth zum traditionellen Client-Server-Authentifizierungsmodell eine dritte Funktion, einen Ressourcenbesitzer. Im OAuth-Modell fordert der Client (der nicht der Ressourceninhaber ist, aber in seinem Auftrag handelt) Zugriff auf Ressourcen an, die von dem Ressourceninhaber kontrolliert werden, aber von dem Server bereitgestellt werden. Darüber hinaus ermöglicht OAuth dem Server nicht nur die Authentifizierung des Ressourceninhabers zu verifizieren, sondern auch die Identität des Clients, der die Anfrage durchführt.
Ein aufkommendes Informationstechnologie(IT)-Delivery-Modell ist Cloud Computing, bei dem gemeinsam genutzte Ressourcen, Software und Informationen aus dem Internet auf Computern und anderen Geräten auf Abruf bereitgestellt werden. Cloud Computing kann die IT-Kosten deutlich reduzieren und auch die Komplexität bei gleichzeitiger Verbesserung von Workload-Optimierung und Service Delivery. Mit diesem Ansatz kann eine Anwendungsinstanz bereitgestellt werden und macht Internet-basierte Ressourcen verfügbar, die durch einen herkömmlichen Webbrowser über HTTP zugänglich sind. Eine Beispielanwendung könnte eine sein, die einen gemeinsamen Satz von Messaging-Funktionen, wie E-Mail, Kalendermanagement, Management von Kontaktdaten und Instant Messaging, bietet. Ein Benutzer würde dann den Service direkt über das Internet abrufen. Mit diesem Service würde ein Unternehmen seine E-Mails, Kalender und/oder Kollaboration, Infrastruktur in der Cloud platzieren, und ein Endbenutzer würde einen geeigneten Client verwenden, um seine oder ihre E-Mails abzurufen oder eine Kalenderoperation vorzunehmen.
Obwohl die oben beschriebenen Lösungen viele Vorteile bieten, war es nicht möglich, lokal nicht interaktive Dienste mit Cloud-basierten Authentifizierungssystemen, die die Anwesenheit des Endbenutzers voraussetzen, zu integrieren. So, zum Beispiel, vorausgesetzt, dass ein Kunde einer Cloud lokal eine Kundenverhältnismanagementanfrage (Customer Relationship Management (CRM)) abwickelt und ein Erstbenutzer darin eine Aktion benötigt (zum Beispiel eine neue Vertriebschance zu identifizieren); diese Aktion würde normalerweise erwartet, um das gewünschte Ergebnis in dem Cloud-Dienst zu generieren, was eine neue „to do”-Aktivität auslöst, die einen Dienst für einen zweiten Benutzer erstellt – aber nur, wenn die Anmeldeinformation des zweiten Benutzers bei Abruf gültig ist. Wenn der Cloud-Dienst ein Schema verwendet, welches einen Abruf benötigt, um die Anmeldeinformation des Benutzers zu präsentieren (oder, wie in OAuth, ein autorisiertes Merkmal auf Anfrage benötigt wird), kann diese Aufgabe nicht auf automatische Weise ausgeführt werden. Während es möglich ist, diese Anforderung durch die Speicherung aller Anmeldeinformationen der Benutzer für den Cloud-Dienst zu erreichen, ist dies unsicher und unerwünscht.
Somit bleibt ein Bedarf bestehen, eine Technik bereitzustellen, bei der ein vertrauenswürdiger Dienst im Namen eines Benutzers in der Abwesenheit dieses Benutzers einen bereitgestellten Dienst abruft. Diese Offenbarung befasst sich mit dieser Notwendigkeit.
Kurze Zusammenfassung
Ein „vertrauenswürdiger Dienst” etabliert eine Vertrauensbeziehung mit einem Identitäts-Provider und wechselwirkt mit dem Identitäts-Provider über eine vertrauenswürdige Verbindung. Weil der „vertrauenswürdige Dienst” „vertrauenswürdig” ist, kann er ein Merkmal von dem Identitäts-Provider für einen bestimmten Nutzer (oder eine Anzahl von Nutzern) ohne dass die Anmeldeinformation des Benutzers präsentiert werden muss, erwerben. Der vertrauenswürdige Dienst nutzt dann dieses Merkmal (zum Beispiel direkt, durch Aufrufen von API, durch Erlangen eines anderen Merkmals oder dergleichen) um zuzugreifen und beschafft einen bereitgestellten Dienst (zum Beispiel einen Cloud-basierten Dienst) im Namen des Benutzers – sogar in Abwesenheit des Benutzers. Dieser Ansatz ermöglicht nicht-interaktive (zum Beispiel Hintergrunddienste) Dienste, um Arbeitsabläufe innerhalb einer bereitgestellten Sitzung (zum Beispiel über OAuth-basierte APIs) durchzuführen ohne die Anmeldeinformation des Benutzers zu präsentieren oder ohne dass der Benutzer anwesend ist.
Ein Verfahren zur Benutzerpersonifikation („user impersonation”) durch einen vertrauenswürdigen Dienst beginnt mit der Herstellung einer Vertrauensbeziehung zwischen dem Dienst und dem Identitäts-Provider, bei der der Dienst ein „vertrauenswürdiger Dienst” wird. Der vertrauenswürdige Dienst fordert dann ein Merkmal von dem Identitäts-Provider an. Das Merkmal erhält man dann von dem Identitäts-Provider. In einer Ausführungsform fordert der vertrauenswürdige Dienst, der im Auftrag des Benutzers handelt, eine Sitzung von einer Anwendung (zum Beispiel ein Cloud-Dienst), indem er eine Anfrage ausführt, die das Merkmal enthält. In einer alternativen Ausführungsform ruft der vertrauenswürdige Dienst direkt einen API auf, um den Dienst zu erreichen, oder er könnte, um dies zu tun, ein Merkmal benutzen, um ein anderes Merkmal zu erhalten. Nach einer erfolgreichen Authentifizierung (zum Beispiel durch einen zugehörigen Dienstanbieter) erhält der vertrauenswürdige Dienst autorisierte Sitzungsinformationen (zum Beispiel ein zweites Merkmal), die anzeigen, dass der vertrauenswürdige Dienst, ein authentifizierter Benutzer ist. Der vertrauenswürdige Dienst führt dann eine oder mehrere Handlungen in der Sitzung als authentifizierter Benutzer durch.
In einem Aspekt betrifft die Erfindung ein Verfahren, betreibbar in einem vertrauenswürdigen Dienst, das den Zugriff auf eine Anwendung ermöglicht, die in einer Rechnereinheit ausgeführt wird, welches umfasst: Einrichten einer Vertrauensbeziehung mit einem Identitäts-Provider; Anfordern eines Merkmals von dem Identitäts-Provider; Empfang des Merkmals von dem Identitäts-Provider, nachdem das Merkmal durch den Identitäts-Provider generiert wurde, ohne dass eine Anmeldeinformation des Benutzers erforderlich ist; im Namen eines Benutzers, Benutzung des Merkmals und der Anmeldeinformation, um einen vertrauenswürdigen Dienst für einen authentifizierten Benutzer für eine Anwendung zu schaffen; und auf die Einrichtung eines vertrauenswürdigen Dienstes als einen authentifizierten Benutzer hin, Zugriff auf eine Anwendung.
Nach einer Ausführungsform der Erfindung wird das Merkmal verwendet, um die vertrauenswürdigen Dienste für einen authentifizierten Benutzer zu etablieren, indem das Merkmal an einen Dienstanbieter, der mit dem Identitäts-Provider assoziiert ist, weitergeleitet wird, und bei einer Validierung einer Authentifizierung Sitzungsmerkmale erhält, wobei das Authentifizierungs-Sitzungsmerkmal anzeigt, dass der vertrauenswürdige Dienst ein authentifizierter Benutzer für eine Sitzung ist.
Nach einer weiteren Ausführungsform stellt das Merkmal ein spezifisches Merkmal für einen autorisierten Benutzer dar.
Nach einer weiteren Ausführungsform identifiziert die Validierung den Benutzernamen, der mit dem spezifischen Merkmal assoziiert ist und verifiziert, dass der Benutzername zu der Anmeldeinformation des Benutzers passt.
Nach einer weiteren Ausführungsform wird die Validierung zumindest teilweise durch den Identitäts-Provider durchgeführt.
Nach einer Ausführungsform ist die Rechnereinheit ein gemeinsamer Pool von konfigurierbaren Computing Ressourcen.
Nach einer weiteren Ausführungsform greift der vertrauenswürdige Dienst auf die Anwendung oder Verwendung eines OAuth-basierten Application Programming Interface (API) zurück.
In einer alternativen Ausführungsform wird das oben beschriebene Verfahren in einem Gerät durchgeführt, welches einen Prozessor und einen Computerspeicher, der Computerprogrammanweisungen enthält, umfasst, die, wenn sie von dem Prozessor angewendet werden, das Verfahren ausführen.
In einem weiteren Aspekt betrifft die Erfindung ein Gerät, welches umfasst: einen Prozessor, einen Computerspeicher, der Computerprogrammanweisungen enthält, die, wenn sie von dem Prozessor ausgeführt werden, ein Verfahren ermöglichen, das den Zugriff auf eine Anwendung in einer Recheneinheit ausführt, wobei das Verfahren umfasst: Einrichten einer Vertrauensbeziehung mit dem Identitäts-Provider; Anforderung eines Merkmals von dem Identitäts-Provider; Empfang des Merkmals von dem Identitäts-Provider, nachdem das Merkmal durch den Identitäts-Provider generiert wurde, ohne dass eine Anmeldeinformation des Benutzers erforderlich ist; im Namen eines Benutzers, Benutzung des Merkmals und der Anmeldeinformation, um eine authentifizierte Benutzer-Identität zu erhalten, mit der sich der Benutzer bei der Anwendung ausgeben kann; und auf den Erhalt der authentifizierten Benutzer-Identität hin, Zugriff auf die Anwendung.
Nach einer Ausführungsform der Erfindung wird das Merkmal verwendet, indem das Merkmal an einen Dienstanbieter, der mit dem Identitäts-Provider assoziiert ist, weitergeleitet wird, und bei einer Validierung eine authentifizierte Benutzer-Identität erhält.
Nach einer Ausführungsform der Erfindung stellt das Merkmal ein spezifisches Merkmal für einen autorisierten Benutzer dar.
Nach einer weiteren Ausführungsform identifiziert die Validierung den Benutzernamen, der mit dem spezifischen Merkmal assoziiert ist und verifiziert, dass der Benutzername zu der Anmeldeinformation des Benutzers passt.
In einer anderen alternativen Ausführungsform wird das oben beschriebene Verfahren von einem Computerprogrammprodukt auf einem computerlesbaren Medium für die Verwendung in einem Datenverarbeitungssystem durchgeführt. Das Computerprogrammprodukt enthält die Computerprogrammanweisungen welche, wenn sie von dem Datenverarbeitungssystem ausgeführt werden, das Verfahren durchführen.
In einem weiteren Aspekt betrifft die Erfindung ein Computerprogrammprodukt auf einem computerlesbaren Medium für die Verwendung in einem Datenverarbeitungssystem, das Computerprogrammprodukt, welches die Programmanweisungen enthält, das, wenn es von dem Datenverarbeitungssystem ausgeführt wird, ein Verfahren ausführt, um den Zugriff auf eine Anwendung zu ermöglichen, die in einer Recheneinheit ausgeführt wird, wobei das Verfahren umfasst: Einrichten einer Vertrauensbeziehung mit dem Identitäts-Provider; Anforderung eines Merkmals von dem Identitäts-Provider; Empfang des Merkmals von dem Identitäts-Provider, nachdem das Merkmal durch den Identitäts-Provider generiert wurde, ohne dass eine Anmeldeinformation des Benutzers erforderlich ist; im Namen eines Benutzers, Benutzung des Merkmals und der Anmeldeinformation, um eine authentifizierte Benutzer-Identität zu erhalten, mit der sich der Benutzer bei der Anwendung ausgeben kann; und auf den Erhalt der authentifizierte Benutzer-Identität hin, Zugriff auf die Anwendung.
Nach einer Ausführungsform der Erfindung wird das Merkmal verwendet, indem das Merkmal an einen Dienstanbieter, der mit dem Identitäts-Provider assoziiert ist, weitergeleitet wird, und bei einer Validierung eine authentifizierte Benutzer-Identität erhält.
In einem weiteren Aspekt der Erfindung stellt das Merkmal ein spezifisches Merkmal für einen autorisierten Benutzer dar.
Nach einer weiteren Ausführungsform identifiziert die Validierung den Benutzernamen, der mit dem spezifischen Merkmal assoziiert ist und verifiziert, dass der Benutzername zu der Anmeldeinformation des Benutzers passt. In einem weiteren Aspekt betrifft die Erfindung ein Identitäts-Provider-Gerät, welches umfasst: einen Prozessor, Computerspeicher, die Computerprogrammanweisungen enthalten, die, wenn sie von dem Prozessor ausgeführt werden, ein Verfahren ermöglichen, welches umfasst: Einrichten einer Vertrauensbeziehung mit einem vertrauenswürdigen Dienst über eine vertrauenswürdige Verbindung; Empfang einer Anfrage des vertrauenswürdigen Dienstes für ein Merkmal; Generierung des Merkmals, ohne dass eine Anmeldeinformation des Benutzers benötigt wird; und Rücksendung des Merkmals an den vertrauenswürdigen Dienst, um dem vertrauenswürdigen Dienst die Identifizierung des Benutzers zu ermöglichen, indem er das Merkmal und die Anmeldeinformation des Benutzers benutzt, um eine authentifizierte Benutzer-Identität zu erreichen.
Nach einer Ausführungsform der Erfindung beinhaltet das Verfahren ferner, dass zu einem späteren Zeitpunkt ein Merkmal erhalten wird und eine Validierung durchgeführt wird.
Nach einer weiteren Ausführungsform stellt das Merkmal ein spezifisches Merkmal für einen autorisierten Benutzer dar und die Validierung identifiziert den Benutzernamen, der mit dem spezifischen Merkmal assoziiert ist und verifiziert, dass der Benutzername zu der Anmeldeinformation des Benutzers passt.
Das Vorangehende hat einige der sachdienlichen Charakteristika der Erfindung umrissen. Diese Merkmale sollten lediglich als Veranschaulichung ausgelegt werden. Viele andere vorteilhafte Ergebnisse können durch die Anwendung der offenbarten Erfindung in einer anderen Art und Weise oder durch Modifizieren der Erfindung erlangt werden, wie es im Folgenden beschrieben wird.
Kurze Beschreibung der Zeichnungen
Für ein vollständigeres Verständnis der vorliegenden Erfindung und der Vorteile davon wird nun Bezug genommen auf die folgenden Beschreibungen in Verbindung mit den beigefügten Zeichnungen, wobei:
1 stellt ein beispielhaftes Blockdiagramm eines verteilten Datenverarbeitungsumfelds, in dem beispielhafte Aspekte der erläuterten Ausführungsformen eingebaut werden können, dar;
2 ist ein beispielhaftes Blockdiagramm von einem Datenverarbeitungssystem, in dem beispielhafte Aspekte der erläuterten Ausführungsform eingebaut werden können;
3 zeigt Abstraktionsmodellschichten einer Cloud Computing-Umgebung (einen Dienstanbieter);
4 zeigt ein erstes Ausführungsbeispiel nach Anspruch dieser Offenbarung, bei dem ein gesicherter Dienst ein Merkmal von einem Dienstanbieter für eine spezifische Anzahl an Benutzern erwirbt, welches Merkmal dann nützlich ist, um dem vertrauenswürdigen Dienst den Zugang zum Dienstanbieter auf den zuverlässigen Benutzernamen zu ermöglichen, selbst in der Anwesenheit des Benutzers; und
5 veranschaulicht ein zweites Ausführungsbeispiel nach Anspruch dieser Offenbarung, bei dem ein vertrauenswürdiger Dienst ein Merkmal von einem Dienstanbieter für einen spezifischen Benutzer erwirbt, welches Merkmal dann nützlich ist, um dem vertrauenswürdigen Dienst den Zugang zum Dienstanbieter auf den Benutzernamen zu ermöglichen, selbst in der Abwesenheit des Benutzers.
Detaillierte Beschreibung eines Ausführungsbeispiels
Mit Bezug auf die Zeichnungen und im Speziellen mit Bezug auf 1–2 werden nun exemplarische Diagramme von Datenverarbeitungsumfeldern bereitgestellt, in denen die Ausführungsbeispiele der Offenbarung eingebaut werden können. Es sollte gewürdigt werden, dass die 1–2 nur beispielhaft sind und nicht dazu gedacht sind, dass irgendwelche Einschränkungen in Bezug auf die Umgebungen, in die Aspekte oder Ausführungsbeispiele des offenbarten Gegenstandes eingebaut werden, festgestellt oder impliziert werden. Viele Modifikationen zu den dargestellten Umgebungen können, ohne vom Geist und Umfang der vorliegenden Erfindung abzuweichen, hergestellt werden.
Client-Server-Netzwerk-Modell
Bezugsnehmend auf die Zeichnungen zeigt 1 eine bildliche Darstellung eines beispielhaft verteilten Datenverarbeitungssystems, in dem Aspekte der erläuterten Ausführungsform eingebaut werden können. Das verteilte Datenverarbeitungssystem 100 kann ein Netzwerk von Computern einschließen, bei dem Aspekte der erläuterten Ausführungsformen eingebaut werden können. Das verteilte Datenverarbeitungssystem 100 umfasst wenigstens ein Netzwerk 102, welches das Medium ist, das benutzt wird, um die Kommunikation zwischen verschiedenen Apparaten und Computern, die in dem verteilten Datenverarbeitungssystem 100 miteinander verknüpft sind, zu leisten. Das Netzwerk 102 kann Verbindungen enthalten, wie zum Beispiel Kabel, drahtlose Kommunikationsanschlüsse oder Glasfaserkabel.
In dem dargestellten Beispiel werden die Server 104 und Server 106 mit dem Netzwerk 102 nebst Speichereinheit 108 verbunden. Ferner werden die Clients 110, 112 und 114 auch mit dem Netzwerk 102 verbunden. Diese Clients können zum Beispiel Personalcomputer, Netzwerkcomputer oder Ähnliches sein. In dem dargestellten Beispiel liefert der Server 104 Daten, wie zum Beispiel Bootdateien, Betriebssystem-Images und Anwendungen an die Clients 110, 112 und 114. Die Clients 110, 112 und 114 sind Clients des Servers 104 in dem dargestellten Beispiel. Das verteilte Datenverarbeitungssystem 100 kann weitere Server, Clients und andere Geräte, die nicht gezeigt sind, enthalten.
In dem dargestellten Beispiel ist das verteilte Datenverarbeitungssystem 100 das Internet mit dem Netzwerk 102, welches eine weltweite Sammlung an Netzwerken und Schnittstellen repräsentiert, welches die Transmission Control Protocol/Internet Protocol (TCP/IP) Suite von Protokollen nutzt, um miteinander zu kommunizieren. Das Herz des Internets ist eine Datenübertragungsleitung der Hochgeschwindigkeitsdaten-Kommunikationslinien zwischen Hauptknoten oder Host-Computern, die aus Tausenden von kommerziellen, Regierungs-, Bildungs- und anderen Computersystemen bestehen, die Daten und Nachrichten senden. Selbstverständlich kann in das verteilte Datenverarbeitungssystem 100 auch eine Anzahl von verschiedenen Netzwerktypen, zum Beispiel ein Intranet, ein lokales Netzwerk (LAN), ein Fernnetz (WAN) oder Ähnliches eingebaut werden. Wie oben erwähnt, ist 1 als Beispiel gedacht und nicht als architektonische Begrenzung für verschiedene Ausführungsformen des offenbarten Gegenstands, und daher sollten die einzelnen Elemente, die in 1 gezeigt sind, nicht als Einschränkung in Bezug auf die Umgebungen, in denen die Ausführungsbeispiele der vorliegenden Erfindung eingebaut werden können, aufgefasst werden.
Bezug genommen sein auf 2, in der ein Blockdiagramm eines beispielhaften Datenverarbeitungssystems gezeigt ist, in dem Aspekte der Ausführungsbeispiele eingebaut werden können. Das Datenverarbeitungssystem 200 ist ein Beispiel eines Computers, wie zum Beispiel Client 110 in 1, in dem Computer verwendbare Codes oder Anweisungen eingebaut sind, die in Prozessen der dargestellten Ausführungsformen dieser Offenbarung gefunden werden können.
Bezug genommen sein auf 2, in der ein Blockdiagramm eines Datenverarbeitungssystems gezeigt ist, in das Ausführungsbeispiele eingebaut werden können. Das Datenverarbeitungssystem 200 ist ein Beispiel für einen Computer, wie der Server 104 oder der Client 110 in 1, in den Computer verwendbare Programmcodes oder Anweisungen eingebaut werden können, die in Prozessen der Ausführungsbeispiele gefunden werden können. In diesen veranschaulichten Beispielen umfasst das Datenverarbeitungssystem 200 Kommunikationsfasern 202, die eine Kommunikation zwischen der Prozessoreinheit 204, dem Speicher 206, dem dauerhaften Speicher 208, der Kommunikationseinheit 210, der Eingabe/Ausgabe (I/O)-Einheit 212 und dem Bildschirm 214 herstellt.
Die Prozessoreinheit 204 dient dazu, Anweisungen für die Software, die in dem Speicher 206 geladen werden kann, auszuführen. Die Prozessoreinheit 204 kann ein Satz von einem oder mehreren Prozessoren sein oder ein Multiprozessorkern in Abhängigkeit von der jeweiligen implementierung. Ferner kann die Prozessoreinheit 204 unter Verwendung eines oder heterogener Prozessorsysteme, in denen ein Hauptprozessor vorhanden ist, mit sekundären Prozessoren auf einem einzelnen Chip eingebaut werden, in einem weiteren erläuternden Beispiel kann die Prozessoreinheit 204 ein symmetrisches Multiprozessorsystem mit mehreren Prozessoren des gleichen Typs sein.
Der Speicher 206 und der dauerhafte Speicher 208 sind Beispiele für Speichervorrichtungen. Eine Speichervorrichtung ist ein Stück Hardware, das für die Speicherung von Informationen entweder für einen befristeten Zeitraum und/oder dauerhaft geeignet ist. Bei Speicher 206, in diesen Beispielen, kann es sich zum Beispiel um einen Random Access Speicher oder eine andere geeignete unbeständige oder beständige Speichervorrichtung handeln. Der dauerhafte Speicher 208 kann verschiedene Formen annehmen, abhängig von der jeweiligen Implementierung. Zum Beispiel kann der dauerhafte Speicher 208 eine oder mehrere Komponenten oder Vorrichtungen enthalten. Zum Beispiel kann der dauerhafte Speicher 208 eine Festplatte, einen Flashspeicher, eine wiederbeschreibbare optische Platte, ein wiederbeschreibbares Magnetband oder eine Kombination der vorherigen Elemente sein. Die Medien, die der dauerhafte Speicher 208 verwendet, können auch demontierbar sein. Beispielsweise kann eine demontierbare Festplatte als dauerhafter Speicher 208 verwendet werden.
Die Kommunikationseinheit 210, in diesen Beispielen, stellt die Kommunikation mit anderen Datenverarbeitungssystemen oder Vorrichtungen bereit. In diesen Beispielen ist die Kommunikationseinheit 210 eine Netzwerkkarte. Die Kommunikationseinheit 210 kann die Kommunikation durch die Verwendung entweder von einer oder beiden physikalischen und drahtlosen Kommunikationsverbindungen bereitstellen.
Die Eingabe/Ausgabe-Einheit 212 ermöglicht die Eingabe und Ausgabe von Daten von anderen Geräten, die mit dem Datenverarbeitungssystem 200 verbunden werden können. Beispielsweise kann die Eingabe/Ausgabe-Einheit 212 eine Verbindung für Benutzereingaben über eine Tastatur und Maus bereitstellen. Ferner kann die Eingabe/Ausgabe-Einheit 212 Ergebnisse an einen Drucker senden. Der Bildschirm 214 stellt einen Mechanismus bereit, um Informationen und Benutzer anzuzeigen.
Anleitungen für das Betriebssystem und die Anwendungen oder Programme befinden sich auf dem dauerhaften Speicher 208. Diese Anleitungen können in den Speicher 206 geladen werden, um von der Prozessoreinheit 204 ausgeführt zu werden. Die Prozesse der verschiedenen Ausführungsformen können von einer Prozessoreinheit 204, die computerimplementierte Anwendungen nutzt, die sich in einem Speicher, wie beispielsweise 206, befinden, durchgeführt werden. Diese Befehle beziehen sich auf Programmcodes, computerbenutzbare Programmcodes oder computerlesbare Programmcodes, die gelesen werden können und durch einen Prozessor in der Prozessoreinheit 2004 ausgeführt werden. Der Programmcode in den verschiedenen Ausführungsformen kann in verschiedenen physikalischen oder konkreten computerlesbaren Medien, wie beispielsweise Speicher 206 oder dauerhafter Speicher 208, enthalten sein.
Der Programmcode 216 befindet sich in einer funktionellen Form auf einem computerlesbaren Medium 218, welches selektiv entfernbar ist, und kann auf ein Datenverarbeitungssystem 200, zur Ausführung durch den Prozessor 204, geladen oder transferiert werden. In diesen Beispielen bilden der Programmcode 216 und die computerlesbaren Medien 218 das Computerprogrammprodukt 220. In einem Beispiel kann das computerlesbare Medium 218 eine materielle Form aufweisen, wie beispielsweise eine optische oder eine magnetische Scheibe, die in ein Laufwerk oder in eine andere Vorrichtung eingefügt oder platziert wird, welches ein Teil des dauerhaften Speichers 208 zur Übertragung auf einem Speichermedium ist, wie beispielsweise eine Festplatte, die Teil des dauerhaften Speichers 208 ist. In einer konkreten Form können die computerlesbaren Medien 218 auch in Form eines dauerhaften Speichers, wie beispielsweise einer Festplatte, einem Stick oder einem Flashspeicher, die mit dem Datenverarbeitungssystem 200 verbunden sind, vorliegen. Die konkrete Form der computerlesbaren Medien 218 wird auch als computerbeschreibbares Speichermedium bezeichnet. In einigen Fällen kann das computerlesbare Medium 218 nicht entfernbar sein.
Alternativ kann der Programmcode 216 zum Datenverarbeitungssystem 200 von einem computerlesbaren Medium 218 über eine Kommunikationsverbindung zur Kommunikationseinheit 210 und/oder durch eine Verbindung zur Eingabe/Ausgabe-Einheit 212 übertragen werden. In den erläuterten Beispielen kann die Kommunikationsverbindung und/oder die Verbindung materiell oder drahtlos sein. Die computerlesbaren Medien können auch in Form von nicht-greifbaren Medien, wie Kommunikationsverbindungen oder Funkübertragung, die den Programmcode enthalten, vorliegen. Die verschiedenen Komponenten, die für das Datenverarbeitungssystem 200 veranschaulicht sind, sind nicht dazu gedacht, Architektureinschränkungen der Methode darzustellen, bei denen verschiedene Ausführungsformen eingebaut werden können. Die verschiedenen Ausführungsbeispiele können in einem Datenverarbeitungssystem, das Komponenten zusätzlich zu oder anstelle des hier abgebildeten Datenverarbeitungssystems 200 enthält, implementiert werden. Andere Komponenten, die in 2 gezeigt sind, können von den veranschaulichten Beispielen abweichen. Ein Beispiel ist, dass ein Speichergerät im Datenverarbeitungssystem 200 eine Hardwarevorrichtung ist, die Daten speichern kann. Der Speicher 206, der dauerhafte Speicher 208 und die computerlesbaren Medien 218 sind Beispiele von Speichervorrichtungen in konkreter Form.
In einem anderen Beispiel kann ein Bussystem verwendet werden, um die Kommunikationsfasern 202 einzubauen und kann aus einem oder mehreren Bussen, wie zum Beispiel einem System-Bus oder einem Eingabe/Ausgabe-Bus bestehen. Natürlich kann das Bussystem implementiert werden, indem eine geeignete Gestaltungsart verwendet wird, die eine Übertragung von Daten zwischen verschiedenen Komponenten oder Geräten liefert, die an das Bussystem angelagert sind. Zusätzlich kann die Kommunikationseinheit eine oder mehrere Vorrichtungen beinhalten, die zum Senden oder Empfangen von Daten benutzt werden, wie zum Beispiel ein Modem oder ein Netzwerkadapter. Ferner kann ein Speicher, zum Beispiel der Speicher 206 oder ein Cache sein, wie es bei einer Schnittstelle und bei Speicher-Controller-Netzknoten gefunden wird, dies kann möglicherweise in den Kommunikationsfasern 202 enthalten sein.
Computerprogramm-Codes zum Ausführen von Operationen der vorliegenden Erfindung können als irgendeine Kombination von einer oder mehreren Programmiersprachen einschließlich einer objektorientierten Programmiersprache wie Java, Small Talk, C++ oder dergleichen, und konventionellen prozeduralen Programmiersprachen, wie zum Beispiel die „C”-Programmiersprache oder ähnliche Programmiersprachen, geschrieben werden. Der Programmcode kann vollständig auf dem Computer des Benutzers, teils auf dem Computer des Benutzers, als Stand-alone-Software-Paket, teilweise auf dem Computer des Benutzers und zum Teil auf einem entfernten Rechner, oder ganz auf dem entfernten Computer oder Server ausgeführt werden. Im letzten Szenario kann der entfernte Computer mit dem Computer des Benutzers durch jede Art von Netzwerk verbunden sein, einschließlich einem lokalen Netzwerk (LAN) oder einem Fernnetzwerk (WAN), oder die Verbindung kann zu einem externen Computer hergestellt werden (zum Beispiel durch das Internet, indem ein Internet-Service-Provider benutzt wird).
Der Fachmann auf dem Gebiet wird erkennen, dass die Hardware in den 1–2, abhängig von der Implementierung, variiert. Andere interne Hardware oder entfernte Geräte, wie zum Beispiel Flash-Speicher, entsprechende beständige Speicher oder optische Plattenlaufwerke und dergleichen, können zusätzlich zu oder anstelle der in 1–2 dargestellten Hardware verwendet werden. Außerdem können die Prozesse der Ausführungsbeispiele auf ein Multiprozessor-Datenverarbeitungssystem angewendet werden, mit Ausnahme des bereits erwähnten SMP-Systems, ohne vom Geist und Umfang des offenbarten Gegenstandes abzuweichen.
Wie zu sehen sein wird, können die hierin beschriebenen Techniken in Verbindung mit dem Standard-Client-Server-Paradigma, wie in 1 dargestellt, arbeiten, bei denen Client-Rechner mit einem Internet-Webportal, die auf einem Satz von einer oder mehreren Maschinen ausgeführt werden, kommunizieren. Endanwender betreiben Internet-verwendbare Geräte (zum Beispiel Desktop-Computer, Notebooks, internetfähige Mobilgeräte oder dergleichen), die dafür geeignet sind, auf das Portal zuzugreifen und mit ihm zu interagieren. Typischerweise ist jeder Client oder Server ein Datenverarbeitungssystem, wie in 2 dargestellt, welches eine Hardware oder eine Software umfasst, und diese Einheiten kommunizieren miteinander über ein Netzwerk, wie das Internet, ein Intranet, ein Extranet, ein privates Netzwerk oder ein anderes Kommunikationsmedium oder Link. Ein Datenverarbeitungssystem umfasst typischerweise ein oder mehrere Prozessoren, ein Betriebssystem, eine oder mehrere Anwendungen, und eine oder mehrere Dienstprogramme. Die Anwendungen auf dem Datenverarbeitungssystem bieten native Unterstützung für Webdienste einschließlich, ohne Einschränkung, die Unterstützung von HTTP, SOAP, XML, WSBL, UDDI und WSSL, unter anderem. Informationen, SOAP, WSBL, UDDI und WSSL betreffend, sind aus dem World Wide Web Konsortium (WCCC) erhältlich, das zuständig für die Entwicklung und Aufrechterhaltung dieser Standards ist, weitere Informationen HTTP und XML betreffend sind bei der Internet Engineering Task Force (IETF) erhältlich. Kenntnisse über diese Standards werden vorausgesetzt.
Cloud Computing Modell
Cloud Computing ist ein Modell der Dienstleistungserbringung, welches den bequemen, Auf-Abruf-Netzwerkzugriff ermöglicht, um auf einen gemeinsam genutzten Pool von konfigurierbaren Computing Ressourcen (zum Beispiel Netzwerke, Bandbreitnetzwerke, Server-, Verarbeitungs-, Speicher-, Anwendungs-, virtuelle Maschinen und Dienstleistungen) zuzugreifen, die mit minimalem Managementaufwand oder Interaktion mit einem Dienstanbieter schnell bereitgestellten und freigegeben werden können. Dieses Cloud-Modell kann wenigstens fünf Charakteristika beinhalten, wenigstens drei Dienstmodelle, und wenigstens vier Verwendungsmodelle, die besonders beschrieben und definiert sind in „Draft NIST Working Definition of Cloud Computing" von Peter Mell und Tim Grance, datiert vom 7. Oktober 2009.
Insbesondere sind die typischen Eigenschaften die folgenden: On Demand Self Service: Ein Cloud-Verbraucher kann einseitig Computing-Funktionen bereitstellen, wie zum Beispiel Serverzeit und Netzwerkspeicher, bei Bedarf automatisch ohne eine menschliche Interaktion mit dem Dienst-Provider.
Breiter Netzwerkzugriff (broad network access): Funktionen sind über ein Netzwerk verfügbar und zugegriffen wird über Standardmechanismen, die den Einsatz von heterogenen dünnen oder dicken Client-Plattformen (zum Beispiel Handys, Laptops und PDAs) unterstützen.
Ressourcen Pooling: Die Computing-Ressourcen des Providers werden gebündelt, um mehreren Verbrauchern mithilfe eines Multi-Talent-Modells, mit unterschiedlichen physischen und virtuellen Ressourcen, die je nach Bedarf dynamisch zugewiesen und neu zugewiesen werden, zu bedienen. Es gibt eine Bedeutung von Lageunabhängigkeit dadurch, dass der Verbraucher im Allgemeinen nicht die Kontrolle oder Kenntnis über den genauen Standort der zur Verfügung gestellten Ressourcen hat, aber es ist möglich, die Lage auf einer höheren Ebene der Abstraktion (zum Beispiel Land, Bundesland oder Datencenter) anzugeben.
Schnelle Elastizität (rapid elasticity): Funktionen können schnell und elastisch bereitgestellt werden, in einigen Fällen automatisch, um schnelles scale-out und schnelles scale-in zu gewährleisten. Für den Verbraucher scheinen die verfügbaren Möglichkeiten zur Beschaffung häufig unbegrenzt zu sein und können in beliebiger Menge zu jeder Zeit gekauft werden.
Messbarer Dienst (measured service): Cloud-Systeme kontrollieren automatisch und optimieren die Ressourcennutzung durch Nutzung einer wirksam eingesetzten Dosierbarkeit auf einer bestimmten Ebene der Abstraktion, die der Art des Dienstes (zum Beispiel Speicherung, Verarbeitung, Bandbreite und aktivierter Benutzerkonten) entsprechen. Die Ressourcennutzung kann überwacht, gesteuert und berichtet werden, um die Transparenz sowohl für die Anbieter als auch für die Verbraucher des verwendeten Dienstes zu gewährleisten.
Dienstmodelle sind typischerweise die folgenden:
Software as a Service (SaaS): Die Fähigkeit, die dem Verbraucher bereitgestellt wird, ist die Nutzung der Provideranwendung, die auf einer Cloud-Infrastruktur betrieben wird. Die Anwendungen sind von verschiedenen Client-Geräten über eine Thin-Client-Schnittstelle, wie zum Beispiel einen Webbrowser (zum Beispiel Webbasierte E-Mail) erreichbar. Der Verbraucher verwaltet oder kontrolliert nicht die zugrunde liegende Cloud-Infrastruktur einschließlich Netzwerk, Servern, Betriebssystemen, Speichern oder sogar individuellen Anwendungsfähigkeiten, mit der möglichen Ausnahme von eingeschränkten benutzerspezifischen Anwendungskonfigurationseinstellungen.
Platform as a Service (PaaS): Die Fähigkeit, die dem Verbraucher bereitgestellt wird, ist die Nutzung der vom Verbraucher geschaffenen Cloud-Infrastruktur oder erworbene Anwendungen, die mit Programmiersprachen und Tools vom Anwender unterstützt werden. Der Verbraucher verwaltet oder kontrolliert die zugrunde liegende Cloud-Struktur einschließlich Netzwerke, Server, Betriebssystem und Speichern, nicht, hat aber die Kontrolle über die eingesetzten Anwendungen und mögliche Anwendungs-Hosting-Umgebungskonfigurationen.
Infrastructure as a Service (IaaS): Die Fähigkeit, die dem Verbraucher bereitgestellt wird, ist die Beschaffung von Verarbeitungs-, Speicherungs-, Netzwerks- und anderer grundlegenden EDV-Ressourcen, bei denen der Verbraucher in der Lage ist, beliebige Software, die Betriebssysteme und Anwendungen umfassen kann, einzusetzen und zu bedienen. Der Verbraucher verwaltet oder kontrolliert die zugrunde liegende Cloud-Infrastruktur nicht, hat aber die Kontrolle über Betriebssysteme, Speicher, eingesetzte Anwendung und möglicherweise eingeschränkte Kontrolle über ausgewählte Netzwerk-Komponenten (zum Beispiel Host-Firewalls).
Verwendungsmodelle sind typischerweise die folgenden:
Private Cloud (private cloud): Die Cloud-Infrastruktur wird ausschließlich für eine Organisation betrieben. Sie kann von der Organisation oder einer dritten Partei verwaltet werden und kann sich im Haus oder außer Haus befinden.
Gemeinschaftliche Cloud (community cloud): Die Cloud-Infrastruktur wird von mehreren Organisationen gemeinsam benutzt und unterstützt eine bestimmte Gemeinschaft, die gemeinsame Anliegen (zum Beispiel Mission, Sicherheitsanforderung, Richtlinien und Compliance-Aspekte) teilt. Sie kann von der Organisation oder einer dritten Person verwaltet werden und kann sich im Haus oder außer Haus befinden.
Öffentliche Cloud (public cloud): Die Cloud-Infrastruktur wird der breiten Öffentlichkeit zur Verfügung gestellt oder einer großen Industriegruppe und gehört einer Organisation, die Cloud-Dienste verkauft.
Mischform-Cloud (hybrid cloud): Die Cloud-Infrastruktur besteht aus zwei oder mehreren Clouds (private, gemeinschaftliche oder öffentliche), die zwar einzigartig bleiben, aber durch standardisierte oder proprietäre Technologien miteinander verbunden sind, was die Daten- und Anwendungsportierbarkeit (zum Beispiel Cloud Bursting für Load Balancing zwischen den Clouds) ermöglicht.
Eine Cloud Computing-Umgebung ist dienstorientiert mit einem Fokus auf Staaten losigkeit, geringe Kopplung, Modularität und semantische Interoperabilität. Das Herz von Cloud Computing ist eine Infrastruktur mit einem Netzwerk von miteinander verbundenen Knoten. Ein repräsentativer Cloud Computing-Knoten ist in obiger 2 dargestellt. Im Einzelnen gibt es in einem Cloud Computing-Knoten ein Computersystem/einen Server, das/der mit zahlreichen anderen Allzweck- oder Special Purpose Computing System-Umgebungen oder Konfigurationen betriebsfähig ist. Beispiele von gut bekannten Computersystemen, Umgebungen und/oder Konfigurationen, die für den Einsatz mit dem Computersystem/Server denkbar sind, umfassen, sind aber nicht darauf beschränkt, Personal Computersysteme, Servercomputersysteme, Thin Clients, Thick Clients, handgehaltene oder Laptopgeräte, Multiprozessorsysteme, Mikroprozessor-basierte Systeme, Set-Top-Boxen, programmierbare Unterhaltungselektronik, Netzwerk-PCs, Minicomputersysteme, Mainframe-Computersysteme, und verteilte Cloud Computer-Umgebungen, die irgendeines der oben genannten Systeme oder Geräte oder dergleichen umfassen. Das Computersystem/der Server kann im allgemeinen Kontext von Computersystemen ausführbare Befehle, wie zum Beispiel Programmmodule, die durch ein Computersystem ausgeführt werden, beschrieben werden. im Allgemeinen können Programmmodule Hilfsprogramme, Programme, Objekte, Komponenten, Logiken, Datenstrukturen usw. enthalten, die bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren. Das Computersystem/der Server kann in verteilten Cloud Computing-Umgebungen, in denen Aufgaben durch zentrale Verarbeitungsvorrichtungen, die über ein Kommunikationsnetz verbunden sind, ausgeführt werden. In einer verteilten Cloud Computing-Umgebung können Programmmodule sowohl im lokalen als auch im dezentralen Computersystem-Speichermedium einschließlich Speichervorrichtung angeordnet werden.
Bezug nehmend auf 3, bei der gezeigt wird, dass durch zusätzlichen Hintergrund ein Satz von funktionalen Abstraktionsschichten durch eine Cloud Computing-Umgebung zur Verfügung gestellt wird. Vorab soll klargestellt werden, dass die Komponenten, Schichten und Funktionen, die in 3 gezeigt sind, nur der Erläuterungen dienen und Ausführungsformen der Erfindung nicht darauf beschränkt sind. Wie dargestellt, werden die folgenden Schichten und entsprechenden Funktionen zur Verfügung gestellt:
Die Hardware- und Softwareschichten 300 beinhalten Hardware- und Softwarekomponenten. Beispiele für Hardwarekomponenten umfassen Mainframes, in einem Beispiel IBM^® Set Series^®-Systeme, RISC (Reduced Instruction Set Computer) Architektur-basierende Server, in einem Beispiel IBM pSeries^®-Systeme; IBM xSeries^®-Systeme; IBM BladeCenter^®-Systeme; Speichergeräte, Netzwerke und Netzwerkkomponenten. Beispiele für Softwarekomponenten umfassen Netzwerk Application Server Software, in einem Beispiel IBM WebSphere^® Application Server Software und Datenbanksoftware, in einem Beispiel IBM DB2^®-Datenbank-Software.
(IBM, zSeries, pSeries, xSeries, BladeCenter, WebSphere und DB2 sind Marken der International Business Machines Cooperation, die in vielen Gerichtsständen weltweit registriert ist.)
Die Virtualisierungsschicht 302 bietet eine Abstraktionsschicht, aus der die folgenden Beispiele von virtuellen Einheiten zur Verfügung gestellt werden können: virtuelle Server, virtuelle Speicher, virtuelle Netzwerke, einschließlich Virtual Private Network, virtuelle Anwendungen und Betriebssysteme und virtuelle Clients.
In einem Beispiel kann die Managementschicht 304 die unten beschriebenen Funktionen bieten. Die Ressourcenbeschaffung sorgt für eine dynamische Vermittlung von IT-Ressourcen und anderen Ressourcen, die genutzt werden, um Aufgaben innerhalb der Cloud Computing-Umgebung durchzuführen. Eine Dosier- und Preisgestaltung bietet Kostenträgern Ressourcen innerhalb der Cloud Computing-Umgebung an, um Gebührenerfassung und Rechnungsstellung für den Gebrauch dieser Ressourcen zu nutzen. In einem Beispiel können diese Ressourcen Anwendungs-Softwarelizenzen umfassen. Sicherheit bietet die Identitätsprüfung für Cloud-Verbraucher und -Aufgaben, sowie Schutz für Daten und andere Ressourcen. Ein Benutzerportal bietet Zugriff auf die Cloud Computing-Umgebung für Verbraucher und Systemadministratoren. Ein Dienst-Level-Management bietet Cloud Computing-Ressourcen-Zuteilung und -Verwaltung, sodass erforderliche Dienstlevel erfüllt werden. Ein Servicelevel-Agreement (SLA) leistet die Planung und Erfüllung für Pre-Anordnung und von Beschaffung der Cloud Computing-Ressourcen, für die eine zukünftige Anforderung nach einem SLA zu erwarten ist.
Die Workloadschicht 306 bietet Beispiele für Funktionen, für die Cloud Computing-Umgebung verwendet werden kann. Beispiele für Workloads und Funktionen, die von dieser Schicht bereitgestellt werden können, umfassen: Kartierung und Navigation; Softwareentwicklung und Nutzungsdauermanagement, virtuelle Klassenzimmerausbildung, Datenanalyseverarbeitung; Transaktionsverarbeitung; und OAuth-basierte API-Integration (für die Zwecke, die nachstehend beschrieben werden).
Vorab soll klargestellt werden, dass, obwohl diese Offenbarung eine ausführliche Beschreibung des Cloud Computing enthält, die Umsetzung der Lehren die hierbei vorgetragen sind, nicht an eine Cloud Computing-Umgebung begrenzt sind. Vielmehr sind die Ausführungsformen der vorliegenden Erfindung in der Lage, in Verbindung mit jeder anderen Art von Computing-Umgebung, die zurzeit bekannt sind oder später entwickelt werden, eingesetzt zu werden.
So hat eine repräsentative Cloud Computing-Umgebung eine Reihe von hohen funktionalen Komponenten, die einen Front-End-Identitäts-Manager, Business Support Dienste(BSS)-Funktionskomponente, die Operational Support-Dienst(OSS)-Funktionskomponente und die Cloud Computing-Komponente beinhalten. Der Identitäts-Manager ist verantwortlich, die Kopplung des anfordernden Clients mit dem Identitäts-Manager zu bieten und diese Komponente kann mit einem oder mehreren bekannten Systemen wie dem Tivoli Federated Identity Manager (TFIM), der bei der IBM Corporation von Armonk, New York, verfügbar ist, umgesetzt werden. Unter entsprechenden Umständen kann TFIM verwendet werden, um Federated Single Sign On (F-SSO) auf anderen Cloud-Komponenten bereitzustellen. Die Business Support Services-Komponente stellt bestimmte administrative Funktionen, wie Rechnungserstellung. Die operative Betreuungs-Dienstkomponente wird verwendet, um die Bereitstellung und Verwaltung der anderen Cloud-Komponenten wie Instanzen virtueller Maschinen (VM) zu bewerkstelligen. Die Cloud-Komponente stellt die wichtigsten Rechenressourcen, die typischerweise eine Vielzahl von Instanzen virtueller Maschinen sind, die verwendet werden, um eine Zielanwendung, die für den Zugriff über die Cloud zur Verfügung gestellt wird, auszuführen. Eine oder mehrere Datenbanken werden verwendet, um Verzeichnis-, Protokoll- und sonstige Arbeits-Daten zu speichern. All diese Komponenten (einschließlich des Front-End-Identitäts-Managers) befinden sich „innerhalb” der Cloud, aber dies ist keine Voraussetzung. In einer alternativen Ausführungsform kann der Identitäts-Manager außerhalb der Cloud betrieben werden. Der Dienstanbieter kann auch extern von der Cloud betrieben werden.
Eine typische Cloud-basierte Client-Server-Anwendung ist IBM^® Lotus Life, die eine Cloud-gelieferte Suite von Technologien bereitstellt, wie Web-Conferencing, Messaging- und Kollaborationsdienste mit Social Networking-Fähigkeiten kombinieren, in einer einfach zu bedienenden webbasierten Umgebung.
Natürlich sind die Bezugnahmen auf Lotus Life lediglich aus Gründen der Veranschaulichung gedacht, und sie sollen nicht den Umfang dieser Offenbarung beschränken.
Authentifizierungsmechanismus
Security Assertion Markup Language (SAML) ist ein XML-basierter Standard zum Austausch von Authentifizierung und Autorisierung von Daten zwischen Sicherheitsdomänen, das heißt zwischen einem Identitäts-Provider (ein Hersteller von Behauptungen) und einem Dienst-Provider (einem Verbraucher von Behauptungen). SAML ist eine Entwicklung des OASIS Security Services Technical Committee. SAML implementiert die Konzepte des Identitäts-Providers (Quelle der Behauptung) und des Dienst-Providers (Verbraucher von Behauptungen). Die Dienst-Provider (SP) vertrauen auf den Identitäts-Provider (IdP), um den Auftraggeber zu authentifizieren. SAML nimmt an, dass sich der Auftraggeber (oft ein Benutzer) bei mindestens einem Identitäts-Anbieter eingeschrieben hat. Dieser Identitäts-Provider nimmt an, dass die lokalen Authentifizierungsdienste an den Auftraggeber liefern. SAML legt jedoch nicht die Umsetzung dieser lokalen Dienste fest; in der Tat ist es SAML egal, wie lokale Authentifizierungsdienste implementiert sind (wenn auch einzelne Dienstleister dies tun). So beruft sich der Dienstleister auf den Identitäts-Provider, um den Auftraggeber zu identifizieren. Auf Wunsch des Auftraggebers gibt der Identitäts-Provider eine SAML-Behauptung an den Dienstleister. Auf der Basis dieser Behauptung macht der Dienstleister eine Zugriffskontrollentscheidung. Um SAML zu ermöglichen, muss eine vertrauensvolle Partnerschaft eingerichtet werden, die IdPs und SPs Austausch von Metadaten über die jeweils andere SAML-Implementierung, einschließlich Schlüssel zum Verschlüsseln/Entschlüsseln der SAML-Behauptung, umfasst.
OAuth (Open Authorization/offene Authentifizierung) ist ein offener Standard, mit dem Benutzer ihre privaten Ressourcen (zum Beispiel Fotos, Videos, Kontaktlisten), die auf einer Webseite gespeichert sind, mit einer anderen Seite teilen, ohne ihren Benutzernamen und Passwörter anzugeben. OAuth erlaubt es Benutzern Merkmale, anstatt von Benutzernamen und Passwörtern von ihren Daten, die von einem bestimmten Dienstleister bereitgestellt werden, zu verteilen. Ein Merkmal vergibt einer Einheit den Zugang zu einem bestimmten Ort (zum Beispiel eine Video Editing-Seite) für bestimmte Ressourcen (zum Beispiel nur Videos von einem bestimmten Album), und für einen festgelegten Zeitraum (zum Beispiel für die nächsten zwei Stunden). Somit erlaubt OAuth einem Benutzer den Seitenzugriff auf seine Informationen, die von einem anderen Dienstleister gespeichert sind, einer dritten Partei zu gewähren, ohne Weitergabe seiner Zugriffsberechtigung oder dem vollen Umfang seiner Daten.
OAuth setzt voraus, dass der Abrufer ein Merkmal (das von einem Benutzer für einen gezielten Dienstanbieter zugelassen sein muss) hat, um in eine Anforderung einbezogen zu werden. Die Erteilung dieser Genehmigung benötigt oft die Anwesenheit des Benutzers, um den Zieldienstleister zu authentifizieren.
OAuth ist außerdem in Cloud-Umgebungen hilfreich. Zum Beispiel sichert Lotus Life seine Application Programming Interface(API)-Funktionen mit OAuth.
Die Personifikation/Bevollmächtigung („Delegation”) eines Benutzers in einem Cloud-unterstützenden Merkmal-basierenden Authentifizierungssystem
Mit dem Obigen als Hintergrund bietet diese Offenbarung eine Technik, mit der ein vertrauenswürdiger Dienst einen Benutzer gegenüber einem Cloud-Dienst „personifiziert” und kann somit den Betrieb auch bei Abwesenheit des Benutzers ausführen.
Es wird davon ausgegangen, dass unter den Leistungen, die der Cloud-Dienst zur Verfügung stellt, einer von ihnen ein „Dienstleister” ist, der ein Authentifizierungssystem, wie eine Merkmal-basierte Authentifizierung, verbraucht, nämlich durch das Zurückverfolgen zu einem Identitäts-Provider, um dieses zu bestätigen. Ein repräsentatives Schema, wie oben beschrieben, ist SAML, wobei die Techniken nicht für Dienstanbieter, die SAML-basierte Authentifizierungen nutzen, begrenzt sind. Andere Merkmal-basierte Authentifizierungsschemata schließen, ohne Einschränkung, Open-ID ein. Ein SAML-basierter Dienst-Provider wie zum Beispiel Operative innerhalb von Lotus Life in dem oben beschriebenen Beispiel, kann OAuth-basierte API-Abfragen implementieren.
Ein Identitäts-Provider (IdP) interagiert mit dem Dienst-Provider auf bekannte Weise. Verallgemeinernd ist, nach der OASIS Standard Definition, ein Identitäts-Provider eine Art Dienstleister, der Identitäts-Informationen für Auftraggeber unterhält, erstellt und verwaltet und den Auftraggeber gegenüber anderen Anbietern innerhalb einer Förderation authentifiziert. Seine hauptsächliche Aufgabe ist die Auftraggeber-Authentifizierung. Wie oben erwähnt, kann der Identitäts-Provider auf Anfrage eines Auftraggebers eine SAML-Behauptung an den Dienstleister übergeben.
Auf der Basis dieser Behauptung macht der Dienstanbieter eine Zugriffskontrollentscheidung.
Bezug nehmend auf 4 ist eine erste Ausführungsform der erfindungsgemäßen Technik dargestellt. In dieser Ausführungsform stellt der Cloud-Dienst 400 eine oder mehrere Cloud-basierte Anwendungen dar, die für einen Cloud-Verbraucher, typischerweise ein Unternehmen, und im Einzelnen für einen Benutzer oder eine Gruppe von Benutzern, die mit dem Unternehmen assoziiert sind, zugänglich sind. In dieser Ausführungsform braucht der Dienstanbieter 402 ein Merkmal-basierendes Authentifizierungssystem. Der Identitäts-Provider 404, der eine Komponente des Cloud-Dienstes oder verschieden davon ist, bestätigt die Benutzer und verwendet Merkmale, um dies an den Dienstanbieter 402 zu senden. Ein Identitäts-Provider 404 kann unter Verwendung einer Rechenmaschine einen Serverprozess, wie zum Beispiel einen SAML-Server ausführen. Der Dienstanbieter 402 nimmt das Merkmal, das ihm gesendet wurde, und sendet diese für eine Validierung an den Identitäts-Provider. Der Identitäts-Provider 404 dient auch dazu, die Gültigkeit jedes Merkmals von jedem Dienstanbieter, mit dem er verbunden ist, zu überprüfen. Wie oben erwähnt, kann eine SAML-basierte Authentifizierung den Aufbau einer vertrauensvollen Partnerschaft zwischen dem Identitäts-Provider 404 und dem Dienstanbieter 402 und den Austausch von Metadaten über die jeweils andere SAML-Implementierung, einschließlich Schlüssel zum Verschlüsseln/Entschlüsseln der SAML-Behauptung, ermöglichen. Im Zusammenhang mit 4 wird angenommen, dass eine vertrauenswürdige Beziehung zwischen dem Dienstanbieter 402 und dem Identitäts-Provider 404 festgestellt wurde.
Gemäß dieser Offenbarung personifiziert der „vertrauenswürdige Dienst” 406 einen Benutzer (oder eine Gruppe von Benutzern) gegenüber den anderen Einheiten (nämlich dem Identitäts-Provider, dem Dienstanbieter und dem Cloud-Dienst von Interesse). Ein „vertrauenswürdiger Dienst” ist allgemein eine Recheneinheit (ein Computer basiertes System, ein Programm, ein Vorgang, ein Ausführungs-Thread oder dergleichen), die die Fähigkeit hat, eine Vertrauensbeziehung mit dem Identitäts-Provider 404 zu errichten und interagiert mit dem Identitäts-Provider über eine vertrauenswürdige Verbindung. Wenn ein „vertrauenswürdiger Dienst” zugeordnet ist und mit dem Identitäts-Provider auf diese Weise verbunden ist, wird der Identitäts-Provider nicht unbedingt die Anmeldeinformation des Benutzers überprüfen, sondern erstellt nur das angeforderte Merkmal, welches den Benutzer (oder die Benutzergruppen) repräsentiert und sendet es zurück. Insbesondere überprüft der Identitäts-Provider, dass die angeforderten Anmeldeinformationen von dem vertrauenswürdigen Dienst in die zulässige Domain (welche einem Teil einer größeren Gruppe von Benutzern des Identitäts-Providers bekannt sein kann) des Identitäts-Providers fallen. Die „Personifikation” (bereitgestellt von dem vertrauenswürdigen Dienst) wird hier manchmal als „Bevollmächtigung” bezeichnet, weil nach der Technik, ein Benutzer oder eine Gruppe von Benutzern (oder, allgemeiner, ein IdP-Administrator oder anderen zugelassene Einheiten, mit oder ohne Bewusstsein des Benutzers) mit gültiger Vollmacht dem vertrauenswürdigen Dienst die Möglichkeit gibt, mit den anderen Institutionen im Auftrag des Benutzers oder der Gruppe von Benutzern zu interagieren. Vorteilhaft ist, wenn der vertrauenswürdige Dienst 406 ein Merkmal (oder, allgemeiner, einen Datenstrang, der einzigartig ist) von dem Identitäts-Provider 404 für einen bestimmten Benutzer (oder eine Gruppe von Benutzern) erwirkt, ohne dass die Anmeldeinformationen des Benutzers präsentiert werden. Wie man sehen wird, ermöglicht dies dem vertrauenswürdigen Dienst 406 auf den Cloud-Service 400 im Auftrag des Benutzers zuzugreifen, auch in der Abwesenheit des Benutzers.
4 zeigt die erste Ausführungsform gemäß dieser Offenbarung, durch die der vertrauenswürdige Dienst 406 ein Merkmal vom Identitäts-Provider 404 für eine bestimmte Anzahl an Benutzern erwirbt, dieses Merkmal ist dann sinnvoll, um dem vertrauenswürdigen Dienst 406 zu ermöglichen, im Namen des Benutzers zuverlässig auf den Dienstanbieter 402 zuzugreifen, selbst in der Abwesenheit des Benutzers. Die Technik beginnt bei Schritt 408, in dem der vertrauenswürdige Dienst 406 Vertrauen mit dem Identitäts-Provider 404 aufbaut, indem er konventionelle Techniken (zum Beispiel über ein Pre-Shared-Merkmal oder Schlüssel, in dem es eine Anfrage von einer bestimmten IP-Adresse, oder dergleichen, macht) benutzt. Schritt 408 kann auch den gegenseitigen Austausch und die Authentifizierung von SSL-Zertifikaten, SSH-Schlüssel-basierter Authentifizierung und dergleichen beinhalten. In diesem Beispiel ist der vertrauenswürdige Dienst 406 (oder eine Komponente davon) mit einer lokalen Anwendung, zum Beispiel einer Customer Relationship Management(CRM)-Anwendung, verknüpft. Ein vertrauenswürdiger Dienst, in dieser Alternative kann ein Stand-alone-Service, ein Cloud-basierter Dienst oder dergleichen sein. Verallgemeinernd ist der Dienst (das ist der „vertrauenswürdige Dienst”) ein Prozess/Dienst/Anwendung, welcher Zugriff auf die Daten hat, um integriert zu werden. In Schritt 410 verbindet sich der vertrauenswürdige Dienst 406 mit dem Identitäts-Provider 404 über eine Verbindung, die durch die IdP und das angeforderte generische Merkmal vertrauenswürdig ist. Diese Verbindung kann eine sichere Verbindung sein (zum Beispiel eine gesicherte Verbindung durch SSL, TLS oder dergleichen), oder sogar eine nicht-sichere Verbindung (vorgesehen ist in jedem Fall noch eine Sicherung durch IdP). Eine Verbindung gesichert durch den Identitäts-Provider wird hierin manchmal als eine „vertrauenswürdige Verbindung” bezeichnet. Weil der vertrauenswürdige Dienst, wie oben erwähnt, vertrauenswürdig ist und über eine vertrauenswürdige Verbindung verbunden wird, muss der Identitäts-Provider die Anmeldeinformationen des Benutzers vor dem Antworten auf die Anfrage für das generische Merkmal nicht überprüfen. Zwar müssen die Identitäts-Provider solche Anmeldeinformationen nicht prüfen, optional kann überprüft werden, ob der anfragende Benutzer durch den vertrauenswürdigen Dienst innerhalb der Gruppe der Benutzer berechtigt ist, den vertrauenswürdigen Dienst zu nutzen. Bei dieser speziellen Ausführungsform wird das Merkmal als „generisch” bezeichnet, weil es auf eine bestimmte Gruppe von Nutzern (zum Beispiel jede Person in der Gruppe „Sales”) oder, alternativ, „alle” Benutzer beschränkt ist. Jedes Merkmal, das abgegrenzt ist zu anderen als einen bestimmten Nutzer, kann als „generisch” bezeichnet werden. Das generische Merkmal kann auf einer oder mehreren Eigenschaften basieren, wie zum Beispiel Zeit, Ort, Verantwortlichkeit (Aufgabe) oder dergleichen. So kann ein generische Merkmal für „die Mitarbeiter des Vertriebs von Rochester” oder dergleichen angefordert werden.
Im Folgenden sind weitere Einzelheiten darüber zu finden, wie ein generisches Merkmal beschränkt sein kann. Bei einem Ansatz wird ein Satz von Ziel-Benutzern identifiziert. Es können mehrere Kriterien verwendet oder zu diesem Zweck ausgewertet werden. So kann zum Beispiel eine Anzahl von Zielbenutzern eine bestehende Gruppe von Benutzern in einem User-Datenspeicher (zum Beispiel eine LDAP-Gruppe), ein Satz von Benutzern mit einem bestimmten Attributwert (zum Beispiel Benutzerland = „OH”-Status = „Angestellten”-Status = „Verkauf”) sein, diesen Benutzern wird eine bestimmte Rolle in einer Source-Anwendung zugewiesen, diesen Benutzern wird eine bestimmte Rolle in der Zielanwendung zugewiesen, usw. Die Zielbenutzer können dann ausgewählt werden, indem eine oder mehrere konfigurierbare Regel oder Richtlinie definiert werden. Zum Beispiel kann die Regel/Richtlinie auf der vertrauenswürdigen Verbindungsebene, zum Beispiel für eine gegebene gesicherte Verbindung, definiert werden, das generische Merkmal wird immer für eine gegebene Anzahl von Zielnutzern erzeugt. Die Regel/Richtlinie auf der vertrauenswürdigen Verbindungsebene kann mit weiteren Konfigurationsmöglichkeiten zur Verfügung stehen, um den vertrauenswürdigen Dienst zu definieren, zum Beispiel für eine bestimmte vertrauenswürdige Verbindung, welche immer Merkmale für eine Teilmenge einer Menge von Zielbenutzern für einen vertrauenswürdigen Dienst konfiguriert. Eine Regel/Richtlinie könnte auch durch vertrauenswürdige Verbindungsattribute definiert werden, zum Beispiel eine Verbindung über einen sicheren Link, der ein generisches Merkmal für einen ersten Satz von definierten Zielbenutzern setzt, über eine nicht-sichere Verbindung wird ein generisches Merkmal für einen zweiten Satz der definierten Zielbenutzer gesetzt, usw. Eine Regel/Richtlinie kann definiert werden, um globale Wirkung zu haben, indem zum Beispiel eine oder alle vertrauenswürdigen Verbindungen eine identifizierte Anzahl von Zielbenutzern verwenden, usw. Darüber hinaus kann die Anwender-Teilnahme an der Konfiguration einer gegebenen Regel/Richtlinie erzwungen/gestattet werden, indem dies von einem Administrator, der dem vertrauenswürdigen Dienst zugeordnet ist, gesteuert wird. Der vertrauenswürdige Dienst kann auch ein explizites Opt-in der Benutzerrichtlinie, ein explizites Opt-out der Benutzerrichtlinie oder Ähnliches erzwingen. Das Obengenannte ist lediglich beispielhaft.
Zurückkommend auf 4, in Schritt 412 baut der Identitäts-Provider 404 das angeforderte generische Merkmal auf und in Schritt 414, kehrt das numerische Merkmal an den vertrauenswürdigen Dienst 406 zurück. Dieses Merkmal-Erzeugungsverfahren kann in einer Offline-Weise erfolgen, oder zum Zeitpunkt, wenn es erwünscht ist, um eine „Sitzung” (oder Transaktion) mit dem Cloud-Dienst (in diesem Beispielszenario) einzuleiten. Mit anderen Worten, die Merkmalerzeugung kann asynchron oder synchron erfolgen. In jedem Fall, und da die Anwendung von dem vertrauenswürdigen Dienst oder über eine vertrauenswürdige Verbindung ist, wird der SAML-Server keine Benutzeranmeldeinformation überprüfen, (obwohl, wie oben erwähnt, der Server gegebenenfalls überprüfen kann, ob die Gruppe in die erlaubte Domain fällt, um den vertrauenswürdigen Dienst zu nutzen), sondern eher erstellt der SAML-Server das Merkmal, welches eine Gruppe von Benutzern beschreibt, und schickt es zurück.
Bei Schritt 416 fordert der vertrauenswürdige Dienst eine neue Sitzung an, zum Beispiel durch Hinzufügen des generischen Merkmals zu einer OAuth-API-Anfrage als Authentifizierungsmethode, und macht einen Anruf an den Cloud-Dienst. In einer Ausführungsform, bei der Lotus Life der Cloud-Dienst ist, wird die angefragte Sitzung in Schritt 416 mit dem generischen Merkmal über SAML authentifiziert und erhält ein OAuth-Merkmal (für bestimmte Benutzer authentifiziert durch Lotus Life), das dann auf API-Aufrufe angewendet wird. In Schritt 416 beinhaltet die Anforderung auch den Benutzernamen (oder andere Benutzer-Kennungen) für den Benutzer um von dem vertrauenswürdigen Dienst personifiziert zu werden. Diese Anforderung wird von dem vertrauenswürdigen Dienst 406 an den Dienstanbieter 402 gesendet, der die Anforderung validiert bevor es erlaubt wird, die Sitzung einzuleiten. In Schritt 418 extrahiert der Dienstanbieter 402 das Merkmal und den Benutzernamen von der Anfrage. In Schritt 420 sendet der Dienstanbieter 402 das Merkmal und den Benutzernamen für die Validierung an den Identitäts-Provider 404. In Schritt 422 prüft der Identitäts-Provider 404 dies, um zu bestimmen, dass der präsentierte Benutzer in dem Satz von Nutzern, auf den das Merkmal beschränkt ist, ist (das heißt, dass der Benutzer im Rahmen des generischen Merkmals ist). Wenn das Ergebnis der Prüfung positiv (das heißt, wenn der Benutzername in der generischen Merkmal-Authentifizierungs-Domäne ist) ist, gibt der Identitäts-Provider 404 eine Antwort an den Dienstanbieter 402, dass {Merkmal + Benutzername} gültig sind. Dies ist Schritt 424. Danach interagiert der Dienstleister mit dem „Anforderer” (dem vertrauenswürdigen Dienst) auf herkömmliche Weise. Insbesondere in Schritt 426 schickt der Dienstanbieter 402 Sitzungs-ID-Informationen (zum Beispiel ein weiteres Merkmal, das generische Merkmal selbst oder ähnliche Daten) zurück, welche anzeigen, dass eine Sitzung (mit dem Cloud-Dienst in diesem Beispiel) zulässig ist. Weiter mit dem obigen Beispiel (eine OAuth-API-Anfrage), der vertrauenswürdige Dienst 406 fordert dann einen Dienst (zum Beispiel macht eine API-Anfrage) als authentifizierter Benutzer an, nämlich wenn der Benutzer in Schritt 424 authentifiziert wurde. Dies ist Schritt 428. Die API-Anfrage wird dann durch den Cloud-Dienst 400 durchgeführt, wie in Schritt 430 gezeigt, um den Prozess zu vervoliständigen.
5 zeigt eine alternative Ausführung nach dieser Offenbarung, durch die der vertrauenswürdige Dienst ein Merkmal von einem Identitäts-Provider für einen bestimmten Benutzer erwirkt, dieses Merkmal ist dann nützlich, um den vertrauenswürdigen Dienst zu aktivieren, um auf einen Dienstanbieter im Namen dieses Benutzers zuzugreifen, auch in der Abwesenheit des Benutzers. Die Operationen sind ähnlich wie oben mit Bezug auf die beschriebene 4.
Die Technik beginnt bei Schritt 508 in dem der Dienst 508 Vertrauen mit dem Identitäts-Provider 504 aufbaut und ein vertrauenswürdiger Dienst wird, wie schon beschrieben wurde. Im Schritt 510 verbindet sich der vertrauenswürdige Dienst 506 mit dem Identitäts-Provider 504 über eine vertrauenswürdige Verbindung, und fordert, in diesem Ausführungsbeispiel, ein Merkmal für einen spezifischen Benutzer an. Wie oben beschrieben, weil der vertrauenswürdige Dienst vertrauenswürdig ist und über eine vertrauenswürdige Verbindung verbunden ist, muss der Identitäts-Provider die Anmeldeinformation des Benutzers nicht überprüfen, bevor er auf die Anfrage nach einem spezifischen Merkmal antwortet (obwohl, optional kann er überprüfen, ob der Benutzer innerhalb der Gruppe von erlaubten Benutzern, die den vertrauenswürdigen Dienst nutzen, ist). In Schritt 512 baut der Identitäts-Provider 504 das angeforderte spezifische Merkmal aus (ohne die Notwendigkeit, die Anmeldeinformation des Benutzers zu überprüfen) und in Schritt 514 kommt das Merkmal an den vertrauenswürdigen Dienst 506 zurück. Wie bei der ersten Ausführungsform kann die Merkmalerzeugung asynchron oder synchron erfolgen.
In Schritt 516 fordert der vertrauenswürdige Dienst eine neue Sitzung an, zum Beispiel indem er das benutzerspezifische Merkmal zu einer OAuth-API-Anfrage als Authentifizierungsmethode hinzufügt, durch Authentifizierung über SAML, um ein OAuth-Merkmal oder dergleichen zu erwerben und dann den Cloud-Dienst aufzurufen. Ein Benutzername wird mit dieser Anfrage auch, wie in der vorherigen Ausführung, geschickt. Diese Anfrage wird von dem vertrauenswürdigen Dienst 506 an den Dienstanbieter 502 geschickt, der wie oben erwähnt, die Anfrage validieren muss, bevor es erlaubt wird, die Sitzung einzuleiten. In Schritt 518 extrahiert der Dienstanbieter 502 das Merkmal von der Anfrage. In Schritt 520 sendet der Dienstanbieter 502 das Merkmal plus Benutzernamen an den Identitäts-Provider 504 zur „Validierung”. In Schritt 522 überprüft der Identitäts-Provider 504 dies, um sicherzustellen, dass der Benutzername dem entspricht, was von den Merkmal ausgestellt wurde. Der Identitäts-Provider 504 gibt dann eine Bejahung an den Dienstanbieter 502 zurück, die den Benutzername assoziiert mit dem Benutzer beinhaltet. Dies ist Schritt 524. In Schritt 526 kontrolliert der Dienstanbieter 502 die positive Antwort (wenn die Antwort negativ ist, kann das Verfahren beendet werden, der Benutzer erhält die Möglichkeit, das Problem zu lösen, oder dergleichen). Der Dienstanbieter 502 schickt dann die Sitzungs-ID-Informationen (zum Beispiel ein weiteres Merkmal, das benutzerspezifische Merkmal oder ähnliche Daten) zurück, die anzeigen, dass eine Sitzung mit dem Cloud-Dienst in diesem Beispiel zulässig ist. Dies ist Schritt 528. Weiter mit dem obigen Beispiel (eine OAuth-API-Anfrage), der vertrauenswürdige Dienst 506 fordert dann einen Dienst (zum Beispiel macht eine API-Anfrage) als authentifizierte Benutzer. Dies ist Schritt 530. Die API-Anfrage wird dann durch den Cloud-Dienst 500 verarbeitet, wie in Schritt 532 gezeigt, um den Vorgang abzuschließen.
Der „Anfrage”, die durch den vertrauenswürdigen Dienst (506, in 4 oder 506 in 5) gemacht wird, kann von jedem Typ sein. Wie in den obigen Beispielen erwähnt, ist eine bevorzugte Art von Anfragen eine OAuth-basierte Anfrage, und insbesondere eine OAuth-basierte API-Anfrage. Somit kann auf diese Weise jeder Dienst, der OAuth-basierte APIs nutzt, Zugriff erhalten und Dienste im Namen der abwesenden Nutzer beschaffen. Ganz allgemein wird der Fachmann erkennen, dass die Technik vorteilhaft ist, um die Integration aller nicht -interaktiven Dienste (zum Beispiel jeder Hintergrunddienst) mit einem Authentifizierungssystem (einschließlich, ohne Einschränkung, jeder Merkmal-basierte Authentifizierungsmechanismus), die die Anwesenheit des Benutzers erwarten (oder fordern) zu ermöglichen.
Die Dienstanbieter-Identitäts-Provider-Wechselwirkungen, wie oben beschrieben, sind lediglich beispielhaft, und sie sollen nicht den Umfang der offenbarten Technik begrenzen, da jede geeignete Merkmalinteraktion in Betracht gezogen wird.
Vorzugsweise ist die beschriebene Technik durch Bereitstellen eines Identitäts-Providers, der so modifiziert wurde, dass er mit einem vertrauenswürdigen Dienst in der beschriebenen Weise interagieren kann, umgesetzt. Das Schema erfordert keine Änderung des Dienstanbieters.
Die hier beschriebenen Techniken bieten signifikante Vorteile. Diese Offenlegung beschreibt eine vorteilhafte Methode für einen vertrauenswürdigen Dienst, um ein Merkmal von einem Identitäts-Provider für einen bestimmten Benutzer oder eine Gruppe von Benutzern zu erwerben, ohne dass die Anmeldeinformationen des Benutzers präsentiert werden müssen. Dies ermöglicht dem vertrauenswürdigen Dienst dann auf einen Cloud-Dienst im Namen des Benutzers zuzugreifen, auch in Abwesenheit des Benutzers. Vorzugsweise wird das Verfahren in Verbindung mit einem Identitäts-Provider, der unter der Kontrolle eines Benutzers, eines Administrators oder einer Einheit, die mit dem Benutzer verknüpft ist, ist, implementiert und der Ansatz erfordert keine Änderung des Dienstanbieters. Die Lösung ermöglicht nicht-interaktiven Diensten mit der Authentifizierung und Autorisierungssystemen, die die Anwesenheit des Benutzers erwarten, verbunden zu werden. Wie beschrieben ermöglicht der Ansatz, einen solchen Service zur Durchführung von Geschäften (zum Beispiel Synchronisation von Daten außerhalb der Geschäftszeiten) und im Hintergrund, wenn der Benutzer nicht zur Verfügung steht.
Weitere Vorteile sind, dass der Benutzer, um personifiziert zu werden, beim Dienstanbieter seine Anmeldeinformationen (an den Dienstanbieter) nicht einreichen muss, dass er für die Transaktion nicht anwesend sein muss, dass er die Transaktion nicht genehmigen muss, und/oder sich noch nicht einmal der Transaktion bewusst sein muss.
Wie hierin verwendet, und in einer bevorzugten Ausführungsform, kann das „generische” Merkmal (4) oder das „Benutzer-spezifische” Merkmal (5) eine Komponente einer SAML-Assertion beinhalten.
In einer repräsentativen, aber nicht einschränkenden, Implementierung, ist ein repräsentativer Cloud-Dienst Lotus Life, und der Identitäts-Provider (IdP) ist in den Tivoli Federated Identy Manager (TFIM) implementiert. Diese Produkte und Dienstleistungen sind bei der IBM Corporation von Armonk, New York, erhältlich.
Die oben beschriebene Funktianalität kann als eigenständige Anwendung eingebaut werden, zum Beispiel, eine Software-basierte Funktion, die von einem Prozessor ausgeführt wird, oder sie kann als Managed Service (einschließlich als Web-service über eine SOAP/XML-Schnittstelle) verfügbar sein. Die speziellen Hardware- und Software-Implementierungen der hier beschriebenen Einzelheiten sind lediglich für illustrative Zwecke gedacht, und nicht dazu gedacht, den Umfang des beschriebenen Gegenstandes zu begrenzen.
Die hier beschriebenen Techniken sind nicht auf die Verwendung mit einem Cloud-Dienst limitiert. Die oben beschriebene Technik kann auch implementiert werden, um eine Benutzeridentifikation von einem vertrauenswürdigen Dienst zu anderen Diensten, zum Beispiel eine Web-Anwendung, einem Betriebssystem Application Programming Interface(API)-Aufruf oder dergleichen, zu ermöglichen.
Im Allgemeinen sind Recheneinrichtungen im Rahmen der beschriebenen Erfindung jeweils ein Datenverarbeitungssystem (wie in 2 gezeigt), bestehend aus Hardware und Software, und diese Einheiten kommunizieren miteinander über ein Netzwerk, wie das Internet, ein Intranet, ein Extranet, ein privates Netzwerk oder ein anderes Kommunikationsmedium oder einen Link. Die Anwendungen aus dem Datenverarbeitungssystem bieten native Unterstützung für Web- und andere bekannte Dienste und Protokolle einschließlich, ohne Einschränkung, die Unterstützung von HTTP, FTP, SMTP, SOAP, XML, WSBL, SAML, WS-Trust, UDDI und WSFL und anderen. Informationen SOAP, WSBL, UDDI und WSFL betreffend sind aus dem World Wide Consortium (W3C) erhältlich, das zuständig für die Entwicklung und Aufrechterhaltung dieser Standards ist, weitere Informationen HTTP, FTP, SMTP und XML betreffend sind bei Internet Engineering Task Force (IETF) erhältlich. Kenntnisse über diese Standards und Techniken werden vorausgesetzt.
Das hier beschriebene Schema kann in Verbindung mit verschiedenen serverseitigen Architekturen, andere als Cbud-basierte Infrastrukturen, implementiert werden.
Dies beinhaltet ohne Einschränkung einfache N-Tier-Architekturen, Webportal, föderative Systeme, oder dergleichen.
Noch allgemeiner kann der hierin beschriebene Gegenstand in Form einer völligen Hardware-Ausführungsform, einer völligen Software-Ausführungsform oder einer Ausführungsform, die sowohl Hardware- als auch Softwareelemente enthält, vorliegen. In einer bevorzugten Ausführungsform, und wie oben angemerkt, ist der Identitäts-Provider und die beschriebene „Personifikation”-Funktion in einer Software eingebaut, die Firmware, residente Software, Mikrocode und dergleichen einschließt, aber nicht darauf beschränkt ist. Das „Merkmal” kann jeder generische Datenspring oder Struktur sein, der über einen Link transportiert werden kann und/oder in einem Datenspeicher, wie in einem Computerspeicher, gespeichert werden kann.
Ferner kann die hier beschriebene Personifikation/Bevollmächtigungs-Funktionalität die Form eines Computerprogrammprodukts, das von einem computer-nutzbaren oder computer-lesbare Medium erreichbar ist, annehmen und einen Programmcode für die Nutzung bereitstellen in Verbindung mit einem Computer oder einem anderen Anweisungs-Ausführungssystem. Für die Zwecke dieser Beschreibung kann ein computernutzbares oder computerlesbares Medium eine Vorrichtung sein, die ein Programm zur Verwendung durch oder in Verbindung mit dem Anweisungs-Ausführungs-System, Vorrichtung oder Gerät, beinhaltet oder speichert. Das Medium kann elektronisch, magnetisch, optisch, elektromagnetisch, infrarot oder ein Halbleitersystem (oder Vorrichtung oder Gerät) sein. Beispiele für ein computerlesbares Medium beinhalten Halbleiter oder Halbleiterspeicher, Magnetband, eine entfernbare Computerdiskette, einen Direktzugriffsspeicher (RAM), einen Nur-Lese-Speicher (ROM), eine starre Magnetplatte und eine optische Platte. Aktuelle Beispiele für optische Platten beinhalten Compact-Disc-Read Only Memory (CD-ROM), Compact Disc-Read/Write (CD-R/W) und DVD. Ein computerlesbares Medium ist ein greifbares Element.
Das Computerprogrammprodukt kann ein Produkt mit Programmbefehlen (oder Programmcode) sein, um eine oder mehrere der beschriebenen Funktionen anzuwenden. Diese Anweisungen oder der Code können in einem computerlesbaren Speichermedium, in einem Datenverarbeitungssystem, nachdem sie über ein Netzwerk von einem entfernten Datenverarbeitunssystem heruntergeladen wurden, gespeichert werden. Ohne diese Anweisungen oder der Code können auf einem computerlesbaren Speichermedium in einem Server Datenverarbeitungssysteme gespeichert werden und sind dafür geeignet, über ein Netzwerk aus einem entfernten Datenverarbeitungssystem zur Verwendung in einem computerlesbaren Speichermedium in dem entfernten System geladen zu werden. In einer repräsentativen Ausführungsform werden die Komponenten des Identitäts-Providers in einem speziellen Computer implementiert, vorzugsweise in der Software, die mit einem oder mehreren Prozessoren ausgeführt wird. Die Software wird außerdem von einem oder mehreren Datenspeichern oder Speichern, die mit einem oder mehreren Prozessoren verbunden sind, unterstützt, und die Software kann als Computerprogramm oder als mehrere Computerprogramme implementiert werden.
Die Benutzer Personifikation/Bevollmächtigungs-Funktion kann als Ergänzung oder Erweiterung eines bestehenden Sicherheits-(Authentifizierungs)-Dienstes oder einer Access Manager-Lösung implementiert werden. Die Technik kann auch in einer automatisierten Weise durchgeführt werden, wie es beschrieben wurde.
Obwohl das obig Beschriebene eine bestimmte Reihenfolge der Operationen von bestimmten Ausführungsformen der Erfindung ausführt, versteht es sich, dass diese Reihenfolge beispielhaft ist, als alternative Ausführungsformen können die Operationen in einer anderen Reihenfolge durchgeführt werden, bestimmte Operationen können kombiniert werden, bestimmte Operationen können überlappen oder dergleichen. Bezugnahmen in der Beschreibung auf eine bestimmte Ausführungsform zeigen, dass die beschriebene Ausführungsform ein bestimmtes Merkmal, eine Struktur oder Eigenschaft enthält, aber nicht jede Ausführungsform muss unbedingt das bestimmte Merkmal, die bestimmte Struktur oder Eigenschaft beinhalten.
Schließlich, obwohl bestimmte Bestandteile des Systems separat beschrieben wurden, würde ein Fachmann erkennen, dass einige der Funktionen in Anweisungen, Programmabläufen, Codeabschnitten oder dergleichen, kombiniert oder geteilt werden können.
Wie hierin verwendet, sollte die Anwendung der „Client-Seite” weit ausgelegt werden, um sich auf eine Anwendung, eine Seite dieses Antrags oder eine andere Ressource oder Funktion, die von einem Client-seitigen Antrag an die Anwendung beauftragt wird, zu beziehen. Ein „Browser”, wie hierin verwendet, soll sich nicht auf einen bestimmten Browser (zum Beispiel Internet Explorer, Safari, Firefox oder Ähnliches) beziehen, sondern sollte breit ausgelegt werden, um zu einem beliebigen Client-Side-Rendering Engine, das den Zugriff und die Anzeige internetzugänglichen Ressourcen leistet. Ein „rich” Client bezieht sich üblicherweise auf eine nicht-HTTP-basierte Client-seitige Anwendung. Während ferner in der Regel die Client-Server über HTTP-Wechselwirkungen auftreten, ist es keine Einschränkung. Die Client-Server-Interaktion kann so formatiert sein, um Simple Object Access Protocol (SOAP) und Reisen über HTTP (über das öffentliche Internet), FTP-, REST- oder andere zuverlässige Transportmechanismen (wie IBM^® MQ Series^® Technologien und CORBA, für die Übertragung über ein Unternehmens-Intranet) zu verwenden. Jede Anwendung oder hierin beschriebene Funktionalität kann als nativer Code implementiert werden, indem Daten in einer anderen Anwendung erstellt werden, indem die Benutzung dieses Mechanismus als Plug-in, durch die Verknüpfung zu dem Mechanismus, ermöglicht wird und dergleichen.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Nicht-Patentliteratur

„Draft NIST Working Definition of Cloud Computing” von Peter Mell und Tim Grance, datiert vom 7. Oktober 2009 [0051]

Claims

Verfahren, betreibbar in einem vertrauenswürdigen Dienst, das den Zugriff auf eine Anwendung ermöglicht, die in einer Rechnereinheit ausgeführt wird, welches umfasst: – Einrichten einer Vertrauensbeziehung mit einem Identitäts-Provider; – Anfordern eines Merkmals von dem Identitäts-Provider; – Empfang des Merkmals von dem Identitäts-Provider, nachdem das Merkmal durch den Identitäts-Provider generiert wurde, ohne dass eine Anmeldeinformation des Benutzers erforderlich ist; – im Namen eines Benutzers, Benutzung des Merkmals und der Anmeldeinformation, um einen vertrauenswürdigen Dienst für einen authentifizierten Benutzer für eine Anwendung zu schaffen; und – auf die Einrichtung eines vertrauenswürdigen Dienstes als einen authentifizierten Benutzer hin, Zugriff auf eine Anwendung.
Verfahren nach Anspruch 1, wobei das Merkmal verwendet wird, um die vertrauenswürdigen Dienste für einen authentifizierten Benutzer zu etablieren, indem das Merkmal an einen Dienstanbieter, der mit dem Identitäts-Provider assoziiert ist, weitergeleitet wird, und bei einer Validierung einer Authentifizierung Sitzungsmerkmale erhält, wobei das Authentifizierungs-Sitzungsmerkmal anzeigt, dass der vertrauenswürdige Dienst ein authentifizierter Benutzer für eine Sitzung ist.
Verfahren nach Anspruch 2, wobei das Merkmal ein generisches Merkmal für eine Anzahl an autorisierten Benutzern darstellt.
Verfahren nach Anspruch 3, wobei die Validierung überprüft, um zu bestimmen, ob die Anmeldeinformation des Benutzers dem generischen Merkmal zugeordnet ist.
Gerät, welches umfasst: – einen Prozessor, – Computerspeicher, der Computerprogrammanweisungen enthält, die, wenn sie von dem Prozessor ausgeführt werden, ein Verfahren ermöglichen, das den Zugriff auf eine Anwendung in einer Recheneinheit ausführt, wobei das Verfahren umfasst: • Einrichten einer Vertrauensbeziehung in den Identitäts-Provider; • Anforderung eines Merkmals von dem Identitäts-Provider; • Empfang des Merkmals von dem Identitäts-Provider, nachdem das Merkmal durch den Identitäts-Provider generiert wurde, ohne dass eine Anmeldeinformation des Benutzers erforderlich ist; • im Namen eines Benutzers, Benutzung des Merkmals und der Anmeldeinformation, um eine authentifizierte Benutzer-Identität zu erhalten, mit der sich der Benutzer bei der Anwendung ausgeben kann; und • auf den Erhalt der authentifizierten Benutzer-Identität hin, Zugriff auf die Anwendung.
Das Gerät nach Anspruch 5, wobei das Merkmal verwendet wird, indem das Merkmal an einen Dienstanbieter, der mit dem Identitäts-Provider assoziiert ist, weitergeleitet wird, und bei einer Validierung eine authentifizierte Benutzer-Identität erhält.
Das Gerät nach Anspruch 6, wobei das Merkmal ein generisches Merkmal für eine Anzahl an autorisierten Benutzern darstellt.
Das Gerät nach Anspruch 7, wobei die Validierung überprüft, um zu bestimmen, ob die Anmeldeinformation des Benutzers dem generischen Merkmal zugeordnet ist.
Ein Computerprogrammprodukt auf einem computerlesbaren Medium für die Verwendung in einem Datenverarbeitungssystem, das Computerprogrammprodukt, welches die Programmanweisungen enthält, das, wenn es von dem Datenverarbeitungssystem ausgeführt wird, ein Verfahren ausführt, um den Zugriff auf eine Anwendung zu ermöglichen, die in einer Recheneinheit ausgeführt wird, wobei das Verfahren umfasst: – Einrichten einer Vertrauensbeziehung mit dem Identitäts-Provider; – Anforderung eines Merkmals von dem Identitäts-Provider; – Empfang des Merkmals von dem Identitäts-Provider, nachdem das Merkmal durch den Identitäts-Provider generiert wurde, ohne dass eine Anmeldeinformation des Benutzers erforderlich ist; – im Namen eines Benutzers, Benutzung des Merkmals und der Anmeldeinformation, um eine authentifizierte Benutzer-Identität zu erhalten, mit der sich der Benutzer bei der Anwendung ausgeben kann; und – auf den Erhalt der authentifizierte Benutzer-Identität hin, Zugriff auf die Anwendung.
Das Computerprogramm nach Anspruch 9, wobei das Merkmal verwendet wird, indem das Merkmal an einen Dienstanbieter, der mit dem Identitäts-Provider assoziiert ist, weitergeleitet wird, und bei einer Validierung eine authentifizierte Benutzer-Identität erhält.
Das Computerprogramm nach Anspruch 10, wobei das Merkmal ein generisches Merkmal für eine Anzahl an autorisierten Benutzern darstellt.
Das Computerprogramm nach Anspruch 11, wobei die Validierung überprüft, um zu bestimmen, ob die Anmeldeinformation des Benutzers dem generischen Merkmal zugeordnet ist.
Ein Identitäts-Provider-Gerät, welches umfasst: – einen Prozessor, – Computerspeicher, die Computerprogrammanweisungen enthalten, die, wenn sie von dem Prozessor ausgeführt werden, ein Verfahren ermöglichen, welches umfasst: • Einrichten einer Vertrauensbeziehung mit einem vertrauenswürdigen Dienst über eine vertrauenswürdige Verbindung; • Empfang einer Anfrage des vertrauenswürdigen Dienstes für ein Merkmal; • Generierung des Merkmals, ohne dass eine Anmeldeinformation des Benutzers benötigt wird; und • Rücksendung des Merkmals an den vertrauenswürdigen Dienst, um dem vertrauenswürdigen Dienst die Identifizierung des Benutzers zu ermöglichen, indem er das Merkmal und die Anmeldeinformation des Benutzers benutzt, um eine authentifizierte Benutzer-Identität zu erreichen.
Das Identitäts-Provider-Gerät nach Anspruch 13, wobei das Verfahren ferner beinhaltet, dass zu einem späteren Zeitpunkt ein Merkmal erhalten wird und eine Validierung durchgeführt wird.
Das Identitäts-Provider-Gerät nach Anspruch 14, wobei das Merkmal ein generisches Merkmal für eine Anzahl an autorisierten Benutzern darstellt und die Validierung überprüft, um zu bestimmen, ob die Anmeldeinformation des Benutzers dem generischen Merkmal zugeordnet ist.