JP2015537269A - Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム - Google Patents

Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム Download PDF

Info

Publication number
JP2015537269A
JP2015537269A JP2015531254A JP2015531254A JP2015537269A JP 2015537269 A JP2015537269 A JP 2015537269A JP 2015531254 A JP2015531254 A JP 2015531254A JP 2015531254 A JP2015531254 A JP 2015531254A JP 2015537269 A JP2015537269 A JP 2015537269A
Authority
JP
Japan
Prior art keywords
domain
identity
directory
user
service instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015531254A
Other languages
English (en)
Other versions
JP6263537B2 (ja
JP2015537269A5 (ja
Inventor
スリニバサン,ウッピリ
アソックマル,バスキアマイヤー
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/838,813 external-priority patent/US9276942B2/en
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2015537269A publication Critical patent/JP2015537269A/ja
Publication of JP2015537269A5 publication Critical patent/JP2015537269A5/ja
Application granted granted Critical
Publication of JP6263537B2 publication Critical patent/JP6263537B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

マルチテナントアイデンティティ管理(IDM)システムは、共有のクラウドコンピューティング環境内において、各々の別個のドメインのために別個のIDMシステムを複製することなく、さまざまな異なる顧客のドメインに対してIDM機能を実行することを可能にする。IDMシステムは、それらのドメイン間の分離を実施しつつさまざまな異なる顧客のドメイン内に位置するサービスインスタンスにIDM機能性を提供することができる。シングルLDAPディレクトリとして実現されるクラウドワイドのアイデンティティストアは、複数の顧客のドメインについてのアイデンティティ情報を含み得る。このシングルLDAPディレクトリは、すべてのテナントのためのエンティティについてのアイデンティティをLDAPディレクトリの別個のパーティションまたはサブツリーに格納することができる。このような各々のパーティションまたはサブツリーはテナントのための別個のドメイン専用のものである。クラウドコンピューティング環境のコンポーネントにより、特定のサブツリー内におけるLDAPエントリが、その特定のそのサブツリーに対応するドメインにデプロイされたサービスインスタンスにのみアクセス可能となることが確実にされる。

Description

本願は、米国特許法第119条(e)に基づき、「LDAPベースのマルチテナント・インクラウド・アイデンティティ管理システム」と題され、2013年3月15日に出願された米国仮特許出願第61/801,048号と、「LDAPベースのマルチテナント・インクラウド・アイデンティティ管理システム」と題され、2013年9月5日に出願された米国特許出願第14/019,051号との優先権を主張するものであって、その内容全体があらゆる目的で引用によりこの明細書中に援用されている。本願は、「共有アイデンティティ管理アーキテクチャ」と題され、2012年9月7日に出願され、その内容全体があらゆる目的で引用によりこの明細書中に援用されている米国仮特許出願第61/698,463号;「テナント自動化システム」と題され、2012年9月7日に出願され、その内容全体があらゆる目的で引用によりこの明細書中に援用されている米国仮特許出願第61/698,413号;「サービスデプロイメントインフラストラクチャ」と題され、2012年9月7日に出願された米国仮特許出願第61/698,459号;「クラウドインフラストラクチャ」と題され、2013年3月14日に出願され、その内容全体があらゆる目的で引用によりこの明細書中に援用されている米国仮特許出願第61/785,299号;および、「マルチテナンシアイデンティティ管理システム」と題され、2013年3月15日に出願され、その内容全体があらゆる目的で引用によりこの明細書中に援用されている米国特許出願第13/838,813号に関する。
背景
以下の開示は概してコンピュータセキュリティに関し、より特定的には、さまざまな別個のアイデンティティドメインに分割されるクラウドコンピューティング環境内におけるアイデンティティ管理に関する。
クラウドコンピューティングは、ネットワーク(典型的にインターネット)上のサービスとして送達されるコンピューティングリソース(例えばハードウェアおよびソフトウェア)の使用を必要とする。クラウドコンピューティングはユーザのデータ、ソフトウェアおよび演算をリモートサービスに委託する。クラウドコンピューティングは、例えば、ソフトウェア・アズ・ア・サービス(Software as a Service:SaaS)またはプラットフォーム・アズ・ア・サービス(Platform as a Service:PaaS)を提供するために用いることができる。SaaSを用いるビジネスモデルにおいては、ユーザは、アプリケーションソフトウェアおよびデータベースに対してアクセス可能にされている。クラウドプロバイダは、アプリケーションが実行されているインフラストラクチャおよびプラットフォームを管理することができる。SaaSプロバイダは一般にサブスクリプションフィーを用いてアプリケーションの価格設定を行なう。SaaSは、ビジネスにおいて、ハードウェアおよびソフトウェアのメンテナンスおよびサポートをクラウドプロバイダに外部委託することによって、情報技術運用コストを減らす可能性を提供し得る。この外部委託により、ビジネスにおいて、情報技術運用コストをハードウェア/ソフトウェア費および人件費から他の情報技術目標の達成に再配分することが可能となり得る。さらに、アプリケーションが中心にホストされていれば、ユーザが新しいソフトウェアをインストールしなくても更新を公開することができる。しかしながら、ユーザのデータがクラウドプロバイダのサーバ上に格納されているので、そのデータが認証なしにアクセスされてしまう可能性があることについて懸念する組織もあるだろう。
エンドユーザは、ウェブブラウザまたはライトウェイトデスクトップまたはモバイルアプリケーションによってクラウドベースのアプリケーションにアクセスすることができる。一方で、ビジネスソフトウェアおよびユーザのデータは、そのビジネスおよびそれらのユーザから遠隔の位置にあるサーバ上に格納することができる。クラウドコンピューティングは、少なくとも理論的には、管理しやすさを向上し、メンテナンスをより少なくすることで、エンタープライズがそれらのアプリケーションをより迅速にデプロイすることを可能にする。クラウドコンピューティングは、少なくとも理論的には、しばしば変動する予測不可能なビジネス要求を満たすために、情報技術マネージャがより迅速にリソースを調整することを可能にする。
アイデンティティ管理(IDM:Identity management)は、コンピュータシステムのユーザについての情報を制御するタスクである。このような情報は、このようなユーザのアイデンティティを認証する情報を含み得る。このような情報は、それらのユーザがアクセスする権限が与えられているのがどのデータであるのかを記述する情報を含み得る。このような情報は、それらのユーザがさまざまなシステムリソース(例えばファイル、ディレクトリ、アプリケーション、通信ポート、メモリセグメントなど)に対して実行する権限が与えられているのがどの動作であるのかを記述する情報を含み得る。IDMはまた、各々のユーザについての記述情報、ならびに、その記述情報に対するアクセスおよび変更を誰が如何にして行い得るかについての記述情報の管理を含み得る。
場合によっては、クラウドコンピューティング環境は、クラウドコンピューティング環境を用いた各々の別個の組織のための別個のIDMシステムまたはIDMシステムの別個のインスタンスを含み得るだろう。しかしながら、このような方式は、労力を無駄に重ねてコンピューティングリソースを浪費するものとみなされる可能性がある。
概要
本発明のいくつかの実施例は、クラウドコンピューティング環境において実現され、複数の別個のアイデンティティドメインに分割されるアイデンティティ管理(IDM)システムを含む。
本発明の実施例においては、一組の構築物がすべて整列することにより、シングルIDMシステムの抽象化または「テナントスライスされた」ビューを作成する。このシングルIDMシステムは複数の別個のコンポーネントまたはサブシステムを含み得る。IDMシステムは、より稠密に利用されるように、複数の独立した別個の「テナント」またはIDMシステム顧客間で共有することができる。このため、別個のIDMシステムを各々の別個の顧客のためにインスタンス化する必要はない。シングルIDMシステムは、IDMシステムの各々のテナントのために、そのテナントに特有のIDMシステムの仮想図をそのテナントのユーザに提示することができるように構成することができる。シングルLDAPディレクトリは、LDAPディレクトリの別個のパーティションまたはサブツリーにすべてのテナントのためのエンティティについてのアイデンティティを格納することができる。各々のこのようなパーティションまたはサブツリーは、テナントのための別個のアイデンティティドメイン専用とされる。クラウドコンピューティング環境のコンポーネントにより、特定のサブツリー内におけるLDAPエントリが、その特定のサブツリーに対応するアイデンティティドメインにデプロイされたサービスインスタンスのみにアクセス可能となることが確実にされる。
本発明の実施例は仮想化の概念を使用し得る。IDMシステムの別個のビューは、複数の別個の仮想マシンが単一のホスト演算装置上で仮想化され得る態様と概念的に同様の態様で、シングルIDMシステム内で仮想化することができる。この仮想化は、特定の態様でIDMシステムを構成することによって達成することができる。IDMシステムは、概念的に垂直に順に積重ねられた上層と下層とを含む複数の別個の層を含み得る。上層は少なくとも分割することができる。IDMシステムにおいては、さまざまな異なるサービス(例えば認証および/または認可サービス)を、IDMシステムのさまざまな異なるテナントに関連付けることができる。IDMシステムは、各々のテナントが、そのテナント専用であるIDMシステム「スライス」またはパーティションとしか対話できないようにするために、各々のテナントを分離することができる。こうして、IDMシステムは、テナント間における分離を実施することができる。
本発明の具体的な実施例はコンピュータによって実現される方法を提供する。当該方法は、ルートノードを有するLDAPディレクトリにおいて、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、ルートノードから派生する第1のディレクトリサブツリーに格納するステップと、LDAPディレクトリにおいて、第1のアイデンティティドメインではなく第2のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、ルートノードからも派生するが第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納するステップと、第1のアイデンティティドメインにデプロイされたサービスインスタンスが第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップと、第2のアイデンティティドメインにデプロイされたサービスインスタンスが第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップとを含む。
一例においては、コンピュータによって実現される方法はさらに、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるユーザエンティティのアイデンティティを第1のディレクトリサブツリーに格納するステップと、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるサービスインスタンスエンティティのアイデンティティを第1のディレクトリサブツリーに格納するステップと、ユーザエンティティがLDAPディレクトリを維持するLDAPサーバと直接対話するのを阻止するステップと、サービスインスタンスエンティティがユーザエンティティの代わりにLDAPサーバと直接対話することを可能にするステップとを含む。
一例においては、コンピュータによって実現される方法はさらに、第2のアイデンティティドメインにではなく第1のアイデンティティドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成するステップを含み、第1のクレデンシャルは、LDAPディレクトリを維持するLDAPサーバによる検査時に、第1のサービスインスタンスが、第2のディレクトリサブツリーに格納されたアイデンティティではなく第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることをLDAPサーバに許可させ;当該方法はさらに、第1のクレデンシャルを第1のサービスインスタンスに提供するステップと;第1のアイデンティティドメインにではなく第2のアイデンティティドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成するステップとを含み、第2のクレデンシャルは、LDAPサーバによる検査時に、第2のサービスインスタンスが、第1のディレクトリサブツリーに格納されたアイデンティティではなく第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることをLDAPサーバに許可させ;当該方法はさらに、第2のクレデンシャルを第2のサービスインスタンスに提供するステップを含む。
一例においては、コンピュータによって実現される方法はさらに、複数のアイデンティティドメインからさまざまなアイデンティティドメインを規定するアクセスコントロールポリシーをLDAPディレクトリに格納するステップと;少なくとも部分的にアクセスコントロールポリシーに基づいてLDAPディレクトリのアイデンティティドメイン関連のサブツリーへのアクセスを制御するステップとを含む。
一例においては、コンピュータによって実現される方法はさらに、第2のディレクトリサブツリーではなく第1のディレクトリサブツリーに適用されるアクセス制限を規定する第1のアクセスコントロールポリシーをLDAPディレクトリに格納するステップと;第1のディレクトリサブツリーではなく第2のディレクトリサブツリーに適用されるアクセス制限を規定する第2のアクセスコントロールポリシーをLDAPディレクトリに格納するステップとを含む。
一例においては、コンピュータによって実現される方法はさらに、第1のユーザのログイン名に第1のアイデンティティドメインの識別子を添付することによって、第1のユーザのためのグローバルユニーク識別子を生成するステップと;第1のユーザのためのグローバルユニーク識別子を第1のディレクトリサブツリーに格納するステップと;第2のユーザのログイン名に第2のアイデンティティドメインの識別子を添付することによって、第2のユーザのためのグローバルユニーク識別子を生成するステップと;第2のユーザのためのグローバルユニーク識別子を第2のディレクトリサブツリーに格納するステップとを含む。
一例においては、コンピュータによって実現される方法はさらに、第1のアイデンティティドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL:uniform resource locator)に関連付けて格納するステップと;第2のアイデンティティドメインの識別子を規定する第2のログインウェブページを、第1のURLとは異なる第2のURLに関連付けて格納するステップと;特定のユーザから、第1のログインウェブページまたは第2のログインウェブページである特定のログインウェブページを介して、特定のユーザのログイン名を受取るステップと;(a)特定のユーザのログイン名および(b)特定のログインウェブページによって規定される特定のアイデンティティドメイン識別子の両方に基づいて、特定のユーザのためのグローバルユニーク識別子を復元するステップと;特定のユーザのためのグローバルユニーク識別子に基づいて特定のユーザを認証するステップとを含む。
一例においては、コンピュータによって実現される方法はさらに、第1のアイデンティティドメインに対する特定のサービスインスタンスのデプロイメントに応じて、特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成するステップと;第1のアイデンティティドメインに対する特定のサービスインスタンスのデプロイメントに応じて、新しいアクセスコントロールポリシーをLDAPディレクトリに自動的に追加するステップとを含む。当該新しいアクセスコントロールポリシーは、特定のサービスインスタンスの名前を有するエンティティが、特定のサービスインスタンスがデプロイされているアイデンティティドメインに関する情報にしかアクセスできないことを規定する。
【図1】本発明の実施例に係る、クラウドコンピューティング環境において実現されるマルチテナント(またはマルチアイデンティティドメイン)IDMシステムにおいて用いられるLDAPアイデンティティストアの例を示すブロック図である。
【図2】本発明の実施例に係る、LDAPディレクトリが編成され得るサブツリー構造の例を示す図である。
【図3】本発明の実施例に係る、LDAPディレクトリツリーのアイデンティティドメインサブツリーの例を示す図である。
【図4】本発明の実施例に係る、LDAPディレクトリツリーの顧客サポート代表(CSR:customer support representative)サブツリーの例を示す図である。
【図5】本発明の実施例に係る、LDAPディレクトリツリーのCloud9Contextサブツリーの例を示す図である。
【図6】本発明の実施例に係る、シングルテナント(シングルアイデンティティドメイン)フュージョンアプリケーションインスタンスと(公序良俗違反につき、不掲載)アイデンティティマネージャ(OIM:(公序良俗違反につき、不掲載) Identity Manager)を含む共有IDMシステムのコンポーネントとの間の対話の例を示す図である。
【図7】本発明の実施例に従って用いられ得るシステム環境のコンポーネントを示す簡略ブロック図である。
【図8】本発明の実施例に従って用いられ得るコンピュータシステムの簡略ブロック図である。
【図9】マルチテナントLDAPシステムを含むクラウドコンピューティング環境の例を示すブロック図である。
【図10】本発明の実施例に係る、特定のアイデンティティドメインのために、アイデンティティドメイン規定のログインウェブページを生成および使用するための技術例を示すフロー図である。
【図11】本発明の実施例に係る、特定のアイデンティティドメインに新しいユーザアイデンティティを追加するための技術例を示すフロー図である。
【図12】本発明の実施例に係る、特定のアイデンティティドメインに新しいサービスインスタンスをデプロイするための技術例を示すフロー図である。
【図13】本発明の実施例に係る、あるサービスインスタンスのデプロイメント時にそのサービスインスタンスに供給されたバインドクレデンシャルを用いてそのサービスインスタンスを認証するための技術例を示すフロー図である。
【図14】本発明の実施例に係る演算装置を示す機能ブロック図である。
詳細な説明
以下の説明では、本発明の実施例が十分に理解されるようにするために、説明の目的で具体的詳細を記載する。しかし、これらの具体的詳細がなくても本発明を実施できることは明らかであろう。この明細書に添付され、この明細書中に引例により援用されている付録1は、本発明の実施例に関する追加の詳細を提供するものである。
図1は、本発明の実施例に係る、クラウドコンピューティング環境において実現されるマルチテナント(またはマルチアイデンティティドメイン)IDMシステムにおいて用いられるLDAPアイデンティティストアの例を示すブロック図である。アイデンティティストア102はLDAPディレクトリとして実現することができる。(公序良俗違反につき、不掲載)インターネットディレクトリ(OID:(公序良俗違反につき、不掲載) Internet Directory)はこのようなLDAPディレクトリの一例である。アイデンティティストア102内には、さまざまなアイデンティティドメイン内で認識されるさまざまなユーザアイデンティティが格納され得る。アイデンティティストア102内では、アイデンティティドメイン識別子の前には各々の完全修飾ユーザアイデンティティ(fully qualified user identity)を付けることができる。アイデンティティストア102ドメイン内にアイデンティティを有するユーザ例であるBill Smithは、完全に修飾されていない「(公序良俗違反につき、不掲載)」などの電子メールアドレス104を有し得る。一実施例においては、IDMシステムは、あるユーザがIDMシステムによって管理されるアイデンティティドメインにログインしようと試みたときに、そのユーザに対し、彼の電子メールアドレス104を与えるよう要求することができる。一実施例においては、ユーザは、ログインウェブページを介してアイデンティティドメインにログインするよう試みることができる。このログインウェブページのURLは、そのアイデンティティドメインのみに特有のものである。次いで、IDMシステムは、ユーザの完全修飾ユーザアイデンティティを形成するために、電子メールアドレスの前に(ログインウェブページから既知となる)そのアイデンティティドメインについてのアイデンティティドメイン識別子を付けることができる。
一実施例に従うと、別々の顧客が、IDMシステム内において異なるアイデンティティドメインを確立することができる。例えば、図1に示されるように、顧客(公序良俗違反につき、不掲載)は(公序良俗違反につき、不掲載)アイデンティティドメイン106を確立することができ、顧客(公序良俗違反につき、不掲載)は(公序良俗違反につき、不掲載)アイデンティティドメイン108を確立することができ、顧客(公序良俗違反につき、不掲載)は(公序良俗違反につき、不掲載)アイデンティティドメイン110を確立することができる。これらのアイデンティティドメイン106〜110の各々は、そのアイデンティティドメインに特有の別個のログインウェブページを有することができる。このようなログインウェブページは、ユーザが対応するアイデンティティドメインにログインしようと試みる際にユーザに提示することができる。ログインウェブページは、電子メールアドレス104およびパスワードのためのフィールドを含み得る。
ユーザが特定のアイデンティティドメインへのログインに成功した後、IDMシステムは、特定のアイデンティティドメインに関連付けられ(他のアイデンティティドメインには関連付けられない)、かつIDMシステム内でリソースを保護する認可ユニットに提示することができるクレデンシャルをそのユーザに与えることができる。一実施例に従うと、特定のアイデンティティドメインに属するリソースを保護する認可ユニットは、当該認可ユニットがクレデンシャルが特定のアイデンティティドメインに関連付けられると判断した場合、ユーザがそのリソースにアクセスすることを許可するだけとなるだろう。このような保護されたリソースは顧客データを含み得る。例えば、図1においては、(公序良俗違反につき、不掲載)アイデンティティドメイン106は(公序良俗違反につき、不掲載)データ112を含んでもよく、(公序良俗違反につき、不掲載)アイデンティティドメイン108は(公序良俗違反につき、不掲載)データ114を含んでもよく、(公序良俗違反につき、不掲載)アイデンティティドメイン110は(公序良俗違反につき、不掲載)データ116を含んでもよい。
上述のように、さまざまな顧客が、IDMシステム内で別個のアイデンティティドメインを確立することができる。典型的には、これらの顧客は、このようなアイデンティティドメインを確立するためにいくらかのサブスクリプションフィーを支払う。しかしながら、一実施例においては、IDMシステムは、これらの顧客のビジネスパートナーを認識することもできる。これらの顧客のビジネスパートナーとは、必ずしも顧客自身ではある必要はなく、必ずしもIDMシステム内でアイデンティティドメインを有する必要はない。一実施例においては、各々のアイデンティティドメインは1人以上のパートナーに関連付けることができるが、これら1人以上のパートナーは、IDMシステムにおけるアイデンティティドメインを有していても有していなくてもよい。例えば、図1に示されるように、(公序良俗違反につき、不掲載)アイデンティティドメイン106はACMEパートナー118および(公序良俗違反につき、不掲載)パートナー120に関連付けることができる。パートナーは、IDMシステムの顧客であろうとなかろうと、パートナー識別子を有することができる。このパートナー識別子は、IDMシステム内でそのパートナーをユニークに識別するものであって、その同じパートナーを複数の異なるアイデンティティドメインに関連付けることを可能にする。上述の例に続いて、(公序良俗違反につき、不掲載)アイデンティティドメイン108は、((公序良俗違反につき、不掲載)アイデンティティドメイン106にも関連付けられた)(公序良俗違反につき、不掲載)パートナー120および別のパートナー122に関連付けることができる。パートナー識別子は、そのパートナー識別子が関係するパートナーが顧客でもある(すなわち、アイデンティティドメインを確立した)場合、アイデンティティドメイン識別子に関連付けることができるかまたは当該アイデンティティドメイン識別子と同じとなり得る。上述の例に続いて、((公序良俗違反につき、不掲載)パートナー120のパートナー識別子にリンクされる識別子を有する可能性のある)(公序良俗違反につき、不掲載)アイデンティティドメイン110は、XYZパートナー識別子124および別のパートナー識別子126に関連付けることができる。
一実施例においては、クラウドコンピューティング環境においてホストされたPaaSまたはSaaSをサブスクライブする顧客のアイデンティティドメインは各々、ユニークなアイデンティティドメイン識別子に関連付けられる。このようなアイデンティティドメイン識別子はクラウドコンピューティング環境内においてユニークであり得る。アイデンティティドメイン識別子は、ユニーク識別子を生成するアルゴリズムを用いて生成することができる。一実施例においては、アイデンティティドメイン識別子は、そのアイデンティティドメイン識別子によって識別されるアイデンティティドメインに属するデータおよびメタデータの各アイテムに関連付けられる。一実施例においては、アイデンティティドメインに属するリソースを保護するのに用いられるアクセスコントロールポリシーも、そのアイデンティティドメインについてのアイデンティティドメイン識別子に関連付けられる。
アイデンティティドメイン識別子は、各々のアイデンティティドメインを、そのアイデンティティドメインを確立した顧客のための仮想プライベート環境にするために用いることができる。アイデンティティドメイン識別子は、クラウドコンピューティング環境内において維持されるリポジトリに含まれるオブジェクトをアイデンティティドメインによって分離させるために、このようなリポジトリが複数のアイデンティティドメイン間で共有される場合であっても、直接的または間接的に用いることができる。このような分離は、例えば、リポジトリを構成する共有の物理記憶装置内において確立されるストライピングまたはパーティションによって達成することができる。各々のストライプまたはパーティションは、そのストライプまたはパーティションに含まれるオブジェクトが属するアイデンティティドメインのアイデンティティドメイン識別子に関連付けることができる。さまざまなタイプのこのようなリポジトリに対してさまざまな分離構造を用いることができる。例えば、リポジトリがLDAPディレクトリである場合、オブジェクトのためのデータを含むLDAPエントリの前に、それらのオブジェクトが属するアイデンティティドメインのためのアイデンティティドメイン識別子を付けることができる。ポリシーリポジトリにおいては、それらのオブジェクトに関係するポリシーの前に、同様に、このようなアイデンティティドメイン識別子を付けることができる。別の例では、リポジトリがリレーショナルデータベース管理システム(RDBMS:relational database management system)スキーマを含む場合、アイデンティティドメイン識別子は、仮想プライベートデータベース(VPD:virtual private database)分割のためのアーティファクトとして用いることができる。
図1に関連付けて上述したように、アイデンティティストア102はLDAPディレクトリとして実現することができる。LDAPディレクトリ内のエントリはアイデンティティドメインに特有のものであり得る。アイデンティティドメイン内における別個のサービスインスタンス間でシングルサインオン(SSO:Single Sign-On)機能を利用可能にするのに有用な属性がLDAPエントリにおいて規定され得る。このような属性は、アイデンティティストア102内においてユニークになるように制約することができるユーザ名、ログオンIDおよび他の識別子を含み得る。
一実施例においては、完全に修飾されていないユーザ名は、クラウドコンピューティング環境内全体においてユニークである必要はないが、特定のアイデンティティドメイン内においてユニークであることが必要となり得る。このため、電子メールアドレス「(公序良俗違反につき、不掲載)」は、複数のアイデンティティドメインにおいて不完全修飾ユーザ名として存在することができるが、一実施例においては、同じアイデンティティドメイン内において複数回存在することはできない。図1においては、アイデンティティストア102は、同じ電子メールアドレス「(公序良俗違反につき、不掲載)」を含む複数の完全修飾ユーザアイデンティティを含むものとして示され、「(公序良俗違反につき、不掲載)」は、(公序良俗違反につき、不掲載)アイデンティティドメイン106内において認識された完全修飾ユーザアイデンティティであり、「(公序良俗違反につき、不掲載)」は、(公序良俗違反につき、不掲載)アイデンティティドメイン108内において認識された完全修飾ユーザ識別子であり、「(公序良俗違反につき、不掲載)」は、(公序良俗違反につき、不掲載)アイデンティティドメイン110内において認識された完全修飾ユーザ識別子である。このため、完全修飾ユーザ識別子は、<アイデンティティドメイン識別子>.<電子メールアドレス>の形を取ることができる。一実施例においては、ユーザの電子メールアドレスがアイデンティティストア102におけるLDAPエントリの「uid」属性内に格納される。
一実施例においては、LDAPスキーマは属性およびオブジェクトクラスを規定することができる。LDAPスキーマが規定することのできる属性は、例えば、(a)アイデンティティドメインのためのグローバルユニークID(GUID:globally unique ID)、(b)アイデンティティドメインの名前、(c)サービスインスタンス識別子、(d)サービスインスタンスの名前、および(e)サービスインスタンスタイプ(例えば、JAVA(登録商標)サービスインスタンス、データベースサービスインスタンス、フュージョンアプリケーションインスタンスなど)を含み得る。LDAPスキーマが規定することのできるオブジェクトクラスは、例えば、(a)システム識別子を特定するのに用いることができるオブジェクトクラス、(b)システム識別子グループを特定するのに用いることができるオブジェクトクラス、(c)CSRアドミニストレータを特定するのに用いることができるオブジェクトクラス、および(d)クラウドサービスタイプ(例えば、JAVAサービス、データベースサービスなど)を定義するのに用いることができるオブジェクトクラスを含み得る。
一実施例においては、LDAPスキーマは、さまざまな異なるタイプのエンティティのためにさまざまな異なるグループのプロパティを規定することができる。LDAPスキーマがプロパティを規定することができるエンティティは、例えば、(a)アイデンティティドメインエントリ、(b)ユーザエントリ、(c)グループエントリ、(d)システム識別子、(e)アイデンティティドメインアドミニストレータ、および(f)サービスインスタンスアドミニストレータを含み得る。
LDAPスキーマは、アイデンティティドメインエントリのために、(a)アイデンティティドメイン名、(b)グローバルユニークアイデンティティドメイン識別子、および(c)アイデンティティドメイン状態を含むプロパティを規定することができる。アイデンティティドメイン名は、アイデンティティドメインを確立した顧客によって選択されるようにアイデンティティドメインの名前を表わすテキスト値であってもよい。ユーザのための完全修飾ユーザ識別子を生成するために、そのユーザの電子メールアドレスの前にアイデンティティドメイン名を付けることができる。グローバルユニークアイデンティティドメイン識別子は自動的に生成されたGUIDであってもよい。このGUIDは、データベース内でアイデンティティドメインのためのデータストライプを表わすことができる。代替的には、このGUIDを用いて、他の形式の共有リポジトリを分割して、その共有リポジトリ内において、あるアイデンティティドメインのデータを他のすべてのアイデンティティドメインのデータから分離することにより、アイデンティティドメインデータを、例えば、別個のIDMポリシードメイン、別個のLDAPサブツリー、別個のファイルシステムフォルダなどに編成することができる。アイデンティティドメイン状態は、例えば、アイデンティティドメインがそのとき試用期間内にあるかどうかなどのアイデンティティドメインの状態を維持し得る。
LDAPスキーマは、ユーザエントリのために、(a)一般名、(b)未修飾ユーザ名、(c)ユーザのためのディレクトリユニーク識別子、(d)ユーザのためのGUID、および(e)ユーザが属するアイデンティティドメインのアイデンティティドメイン識別子を含むプロパティを規定することができる。一般名は、アイデンティティドメインを確立した顧客によって規定され得るものであって、標準的なLDAP属性である。未修飾ユーザ名は、あるアイデンティティドメインに、そのアイデンティティドメイン特有のウェブページからログインするときに、ユーザがユーザ名フィールドに入力するユーザ名であり得る。例えば、このユーザ名はユーザの電子メールアドレスであってもよい。ディレクトリユニーク識別子は、ディレクトリにおけるユーザエントリをユニークに特定する。例えば、上述のように、ディレクトリユニーク識別子は、<アイデンティティドメイン識別子>.<電子メールアドレス>の形式を取ることができる。GUIDは、ユーザエントリのディレクトリユニーク識別子を有するユーザを参照するすべてのLDAPエントリに配置される、自動的に生成される識別子であってもよい。以下の記載から分かるように、ユ
ーザエントリのためのディレクトリユニーク識別子は、(公序良俗違反につき、不掲載)アクセスマネージャ(OAM:(公序良俗違反につき、不掲載)AccessManager)および(公序良俗違反につき、不掲載)アイデンティティマネージャ(OIM:(公序良俗違反につき、不掲載)IdentityManager)を含む複数のアイデンティティドメインシステムの多くのさまざまなコンポーネント内においてユニーク識別子として用いることができる。
LDAPスキーマは、グループエントリのために、(a)一般名、(b)グループのためのディレクトリユニーク識別子、(c)グループのためのGUID、および(d)ユーザが属するアイデンティティドメインのアイデンティティドメイン識別子を含むプロパティを規定することができる。一般名は、アイデンティティドメインを確立した顧客によって規定され得るものであって、標準的なLDAP属性である。ディレクトリユニーク識別子は、ディレクトリにおけるグループエントリをユニークに特定する。ディレクトリユニーク識別子は<アイデンティティドメイン識別子>.<一般名>の形式を取ることができる。GUIDは、グループユーザエントリのディレクトリユニーク識別子を有するグループを参照するすべてのLDAPエントリに配置される、自動的に生成される識別子であってもよい。
一実施例においては、LDAPスキーマは、特別のタイプのユーザを表わすシステム識別子を規定することができる。特にシステムユーザのためのオブジェクトクラスはこれらの特別のタイプのユーザを特定することができる。これらの特別のタイプのユーザについての属性は、ユーザエントリに関連付けて上に述べたものと同じであってもよい。
一実施例においては、LDAPスキーマは、アイデンティティドメインアドミニストレータおよびサービスインスタンスアドミニストレータについてのシステムアカウントを規定することができる。これらは、アイデンティティドメインおよびサービスインスタンスを処理および管理するための特別なアカウントであり得る。アイデンティティドメインアドミニストレータエントリはアイデンティティドメインアドミニストレータグループのメンバであってもよい。アイデンティティドメインアドミニストレータのアイデンティティは、<アイデンティティドメイン識別子>.<アイデンティティドメインアドミニストレータ名>の形式を取ることができる。サービスは、アイデンティティドメイン内において1つ以上のインスタンスを有することができる。これらのサービスインスタンスの各々は別個のサービスインスタンスアドミニストレータを有することができる。
LDAPディレクトリは、特定の目的専用の複数のサブツリーを含むツリーとして構築することができる。図2は、本発明の実施例に係る、LDAPディレクトリが編成され得るサブツリー構造の例を示す図である。ツリーは、ユーザコンテナを含むことができ、コンテナをグループ分けする。これらのコンテナは(公序良俗違反につき、不掲載)インターネットディレクトリにおける独創的な(out-of-the-box)コンテナであり得る。ツリーにおけるこれらのコンテナの階層的に下方に、アプリケーションアイデンティティユーザコンテナおよびアプリケーションアイデンティティグループコンテナを作成することができる。これらの後者のコンテナは、フュージョンアプリケーションプロビジョニングプロセスの一部として作成することができる。
システム識別子サブツリーはシステム識別子をすべて含み得る。このようなシステム識別子は、クラウドコンピューティング環境においてシステムを管理するのに用いることができる。システム識別子は、このようなシステム識別子専用のオブジェクトクラスによって特定可能である。このオブジェクトクラスにより、他の種類のユーザアイデンティティに適用されるものに比べて、システムユーザアイデンティティを特定することがより容易になり、異なるポリシーをシステムユーザアイデンティティに適用することが可能となる。システムユーザアイデンティティのオブジェクトクラスはより多くの一般ユーザのオブジェクトクラスのサブクラスであってもよい。一実施例においては、システムユーザアイデンティティのオブジェクトクラスは、その親オブジェクトクラスに含まれるもの以上の属性は含まない。
図3は、本発明の実施例に係る、LDAPディレクトリツリーのアイデンティティドメインサブツリーの例を示す図である。このサブツリーは以下のアーティファクトを含み得る:(a)アイデンティティドメイン(例えば「(公序良俗違反につき、不掲載)」)のアイデンティティドメイン識別子を規定するルートノード、(b)アイデンティティドメインに属するユーザのアイデンティティを格納することできるユーザコンテナ、および(c)アイデンティティドメインに属するグループのアイデンティティを格納することのできるグループコンテナ。ユーザコンテナは、アイデンティティドメイン環境においてアイデンティティドメインアドミニストレータ識別子および通常のユーザの識別子を含み得る。グループコンテナはグループ識別子を含み得る。
アイデンティティドメインサブツリーは、認証プロバイダのためのプロキシユーザとして用いることができるユーザのアイデンティティを含み得るシステム識別子コンテナを含み得る。このようなプロキシユーザは、フュージョンアプリケーションの場合、多言語サポート属性に対する権利を有し得る。
アイデンティティドメインサブツリーは、ユーザオブジェクトクラスのインスタンスであるオブジェクトを含み得るユーザコンテナを含むことができる。このサブツリーに対するパスワードポリシーは決して満期にならないように設定することができる。(公序良俗違反につき、不掲載)アクセスマネージャポリシーは、このサブツリーにおけるユーザアイデンティティに適用することができる。アイデンティティドメインのためのアイデンティティドメインアドミニストレータグループにおけるアイデンティティドメインアドミニストレータは、このようなユーザアイデンティティを管理するための許可を得ている。顧客サポート代表グループにおける顧客サポート代表はまた、このようなユーザアイデンティティを管理するための許可を得ている。
アイデンティティドメインサブツリーは、特定のエンタープライズの役割のためのグループコンテナを含み得る。グループコンテナは、グループオブジェクトクラスのインスタンスであるオブジェクトを含み得る。アイデンティティドメインのためのアイデンティティドメインアドミニストレータグループにおけるアイデンティティドメインアドミニストレータは、このようなグループアイデンティティを管理するための許可を得ている。顧客サポート代表グループにおける顧客サポート代表はまた、このようなグループアイデンティティを管理するための許可を得ている。
アイデンティティドメインサブツリーは、アプリケーションアイデンティティユーザエイリアスを含むアプリケーションアイデンティティユーザコンテナを含み得る。アイデンティティドメインサブツリーは、アプリケーションアイデンティティグループエイリアスを含むアプリケーションアイデンティティグループコンテナを含み得る。
図4は、本発明の実施例に係る、LDAPディレクトリツリーの顧客サポート代表(CSR:customer support representative)サブツリーの例を示す図である。このサブツリーは、ユーザサブツリーおよびグループサブツリーを含み得る。ユーザサブツリーはCSRユーザアイデンティティのためのコンテナであってもよい。グループサブツリーは、CSRグループアイデンティティのためのコンテナであってもよい。一実施例においては、アイデンティティストアアドミニストレータグループにおけるユーザだけが、これらのサブツリーにおけるユーザおよびグループを作成するよう許可される。
図5は、本発明の実施例に係る、LDAPディレクトリツリーのCloud9Contextサブツリーの例を示す図である。このサブツリーは、サービスタイプについてのサブツリー、サービス定義、およびサービスタイプについての役割テンプレートを含み得る。新しいサービスインスタンス作成要求がIDMシステムにおいて受取られると、役割テンプレートサブツリーにおける役割は、アイデンティティドメインに特有のコンテナにクローン化され得る。
一実施例においては、LDAPディレクトリツリーは、PaaS環境においてサポートされるさまざまなサービスタイプを定義するサービスノードを含み得る。このようなサービスタイプは、例えば、JAVAサービス、Apexサービスおよびウェブセンタサービスを含み得る。
一実施例においては、LDAPディレクトリのエントリには、(公序良俗違反につき、不掲載)アイデンティティ管理フレームワーク(IGF:(公序良俗違反につき、不掲載)IdentityGovernanceFramework)APIおよび/またはユーザ/役割(U/R:user/role)APIを用いてアクセスすることができる。これらのAPIはマルチテナント特有の方法を含み得る。いくつかの方法はユーザエントリにアクセスするのに用いることができる。アイデンティティドメインユニークにアクセスするために、idxuserrole.User.getTenantuniquename()法を実行することができる。アイデンティティドメインユニーク識別子にアクセスするために、idxuserrole.User.getTenantuid()法を実行することができる。いくつかの方法はグループエントリにアクセスするのに用いることができる。アイデンティティドメインユニークにアクセスするために、idxuserrole.Role.getTenantuniquename()法を実行することができる。アイデンティティドメインユニーク識別子にアクセスするために、idxuserrole.Role.getTenantuid()法を実行することができる。アイデンティティドメイングローバルユニーク識別子にアクセスするために、idxuserrole.Role.getTenantguid()法を実行することができる。一実施例においては、アプリケーションは、ユーザプロファイルアイデンティティドメイン名、ユーザプロファイルアイデンティティドメインGUID、ユーザプロファイルアイデンティティドメインユニーク識別子、役割プロファイルアイデンティティドメイン名、役割プロファイルアイデンティティドメインGUID、および役割プロファイルアイデンティティドメインユニーク識別子などのLDAP属性として定義されるいくつかの定数を用いることができる。
本発明の実施例に従うと、クラウドコンピューティング環境内における各サービスタイプ(例えば、JAVAサービス、フュージョンアプリケーションサービスなど)は、共有のIDMシステムによって保護される。アイデンティティストア102は、クラウドコンピューティング環境内において既知であるユーザアイデンティティを格納することができる。アイデンティティストア102は、これらのユーザのグループメンバーシップをカプセル化することができる。一実施例においては、(公序良俗違反につき、不掲載)プラットフォームセキュリティサービス(OPSS:(公序良俗違反につき、不掲載)PlatformSecurityServices)は、サービスインスタンスのために安全機能を提供することができる。このような安全機能は、例えば、認可、クレデンシャルおよびキー管理、監査などを含み得る。任意のタイプの各サービスインスタンスは、それ自体のコンポジットOPSSセキュリティをインスタンス毎に格納させることができる。セキュリティストアは、そのインスタンスのセキュリティアーティファクトすべてのためにサービスインスタンスに対して分離をもたらすことができる。このようなアーティファクトは、認可を実施するのに用いられるものを含み得る。このようなアーティファクトは、バックエンドシステムを接続するためにクレデンシャルを獲得して消費するのに用いられるものを含み得る。このようなアーティファクトは、セキュア・ソケット・レイヤ(SSL:securesocketlayers)接続を確立し、データを暗号化するためにキーおよび証明書を獲得して消費するのに用いられるものを含み得る。このようなアーティファクトは、サービスインスタンスによって公開される機能の監査を管理するのに用いられるものを含み得る。この監査は、特定のサービスインスタンスに関して誰が、何を、いつ行なったかについての質問に答えるために用いることができる。
クラウドコンピューティング環境および共有のIDM内においては、セキュリティストアは、アイデンティティストア102のインスタンスとは別個でありかつ異なっている(公序良俗違反につき、不掲載)インターネットディレクトリ(OID)に残すことができる。シングルOIDは、クラウドコンピューティング環境における複数のサービスインスタンスのためのセキュリティストアをホストすることができる。一実施例においては、セキュリティストアへのアクセスは、セキュリティストアに接続するためにサービスインスタンスの中間層コンポーネントが使用できるバインドアイデンティティによって制御することができる。バインドアイデンティティは、当該バインドアイデンティティが関係するサービスインスタンスのセキュリティストアに対してのみ可視性を有する程度にまで、ディレクトリアクセスコントロールリスト(ACL:accesscontrollist)によって詳細に調べることができる。バインドアイデンティティは、OPSSによって管理されるOPSSブートストラップ情報として、その対応するサービスインスタンス内に維持することができる。
アイデンティティプロビジョニングはクラウドコンピューティング環境内で行なうことができる。本発明の実施例は、サービスプロビジョニングマークアップ言語(SPML:Service Provisioning Markup Language)を使用することができる。一実施例においては、SPMLコールが行なわれると、フュージョンアプリケーションインスタンスは、「1」のアイデンティティドメインGUIDをIDMシステムに渡し得る。これらの環境下では、SPML要求を処理する共有のIDM OIDインスタンスは、正確なアイデンティティドメインGUIDを得ることができ、要求を適切に処理することができる。代替的な実施例においては、別個のアイデンティティドメインが別個のフュージョンアプリケーションインスタンスをホストすることができる。このような環境下では、各々のフュージョンアプリケーションインスタンスは、正確なアイデンティティドメインGUID(例えば、そのフュージョンアプリケーションインスタンスが属するアイデンティティドメインのアイデンティティドメインGUID)を共有のIDM OIDインスタンスに渡すことができる。各々のフュージョンアプリケーションインスタンスは、適切なアイデンティティドメインGUIDをコールバックペイロードで受取ることができる。
一実施例においては、別個のフュージョンアプリケーションインスタンスは各々、共有のIDMシステムと通信するために同じアプリケーションアイデンティティクレデンシャルを用いることができる。しかしながら、代替的な実施例においては、デプロイされたフュージョンアプリケーションインスタンスは各々、共有のIDMシステムと通信する際に用いることができるそれ自体の別個のアプリケーションアイデンティティクレデンシャルを有し得る。共有のIDMシステムは、このようなフュージョンアプリケーションインスタンスデプロイメント特有のアプリケーションアイデンティティクレデンシャルを用いて、共有のIDMシステムと通信しているフュージョンアプリケーションインスタンスのアイデンティティドメインGUIDを得ることができる。図6は、本発明の実施例に係る、シングルテナント(シングルアイデンティティドメイン)のフュージョンアプリケーションインスタンスと(公序良俗違反につき、不掲載)アイデンティティマネージャ(OIM)を含む共有のIDMシステムのコンポーネントとの間の対話の例を示す図である。
フュージョンアプリケーションインスタンスは、読取り動作のためにIGFを用い、書込み動作のためにSPMLを用いることができる。一実施例においては、フュージョンアプリケーションインスタンスが「1」のアイデンティティドメインGUIDを共有のIDMシステムに渡す場合、IGF層は正確なアイデンティティドメインGUIDを得ることができる。一実施例に従うと、シングルアイデンティティドメインクライアントおよびマルチアイデンティティドメインクライアントはともに、共有のIDMシステムによって、正確なアイデンティティドメインGUIDを渡すと予想される。代替的な実施例においては、共有のIDMシステムは、シングルアイデンティティドメインクライアントが「1」のアイデンティティドメインGUID値をパラメータとして渡すと予想する。このような環境下では、IGF層は、適切なアイデンティティドメインGUID(例えば、そのフュージョンアプリケーションインスタンスが属するアイデンティティドメインのアイデンティティドメインGUID)を獲得するために、(公序良俗違反につき、不掲載)仮想マシン(OVM:(公序良俗違反につき、不掲載)VirtualMachine)リハイドレーション中にセットアップすることができる構成設定を用いることができる。
一実施例においては、共有のIDMシステムプロセスにおけるOIMモジュールがユーザアイデンティティを作成するためにSPML要求を処理すると、そのOIMモジュールは、フュージョンアプリケーションインスタンスに対して2個のユーザ識別情報、すなわち(a)ユーザログイン名および(b)ユーザGUID、を提供することができる。ユーザログイン名についてのSPML属性は「ユーザ名(username)」と称することができる。一実施例においては、「ユーザ名(username)」属性の値は、LDAPディレクトリにおけるユーザエントリのディレクトリユニーク識別属性に格納することができる。この値は、フォーマット<アイデンティティドメイン名>.<uid>に格納することができる。この場合、<uid>は、ユーザによってログインスクリーンに入力された値であり得る。この<uid>値もLDAPディレクトリにおける「uid」属性に格納することができる。代替的な実施例においては、「ユーザ名(username)」SPML属性は、単純に、アイデンティティドメイン名プレフィックスのない<uid>として返すことができる。ユーザGUIDのためのSPML属性は「ユーザID」と称することができる。「ユーザID」属性の値は、LDAPディレクトリにおけるユーザエンティティのGUIDであり得る。この値は、変更されるべきユーザエンティティを特定するために、フュージョンアプリケーションインスタンスからのその後のSPMLコールの際に「psoID」属性としてOIMモジュールに渡すことができる。
共有のIDMシステムのコンポーネントおよび共有のIDMシステム内において実行されるアプリケーションは、認証されたユーザについての情報にアクセスすることができる。一実施例においては、ユーザアイデンティティは認証された対象主体(subjectprincipal)内において利用可能にすることができる。認証された対象主体名は、(公序良俗違反につき、不掲載)アクセスマネージャ(OAM)によって制御されるすべてのSSO認証のためにOAMアサーター(asserter)によって設定することができる。アサーターは、この認証された対象主体名を、LDAPディレクトリにおける認証されたユーザのためのユーザエントリのディレクトリユニーク識別子属性の値に設定することができる。上述したように、この値は<アイデンティティドメイン名>.<uid>のフォーマットで符号化することができる。一実施例においては、ウェブサービスコールを必要とするような非SSO認証は上述のアプローチに従うこともできる。
代替的な実施例においては、ユーザアイデンティティは、2つの属性、すなわち「uid」およびアイデンティティドメインGUID、のタプルとして利用可能にされ得る。認証された対象主体名は「uid」値に設定することができる。「uid」値はアイデンティティドメイン内においてユニークなユーザログイン名であり得る。アイデンティティドメインGUID値は、認証された対象に関連付けられる識別子コンテキストにおいて利用可能にされ得る。OPSSインフラストラクチャは、「uid」および(識別子コンテキストにおける)アイデンティティドメインGUIDがともに、アイデンティティ伝搬によってコンテナにとって確実に利用可能にすることができる。シングルアイデンティティドメインクライアントは、認証された対象主体を用いて、認証されたユーザアイデンティティにアクセスすることができる。これらのクライアントは、アイデンティティドメイン関連のプリフィクスを付けることなく「uid」値を得ることができる。このため、一実施例においては、シングルアイデンティティドメインのクライアントは「uid」をパーズまたは復元する必要はない。なぜなら、「uid」がアイデンティティドメイン内でユニークな値を表わしているからである。一実施例においては、マルチアイデンティティドメインクライアントは、認証された対象主体における「uid」および識別子コンテキストにおけるアイデンティティドメインGUIDをともに用いて、認証されたユーザを特定することができる。
本発明の一実施例においては、エンタープライズ識別子は各々のAppleCoreテーブルに追加することができる。種データは、インストールの一環として、「1」のエンタープライズ識別子と共に提供することができる。顧客のための新しいアイデンティティドメインがIDMシステムにおいてプロビジョニングされると、「1」のエンタープライズ識別子に関連付けられた行はすべて、その顧客に特有のエンタープライズアイデンティティに関連付けられた行にコピーすることができる。AppleCoreは、ユーザ識別子とエンタープライズ識別子/顧客との間のマッピングを含むマッピングテーブルを利用することができる。このようなマッピングは代替的にはLDAPディレクトリ内で表わすことができる。ユーザがログインすると、このようなマッピング情報を用いて、AppleCoreセッションのためのエンタープライズ識別子を確立することができる。アプリケーションによって用いられる各々のデータベース接続は、FND_GLOBALを用いてエンタープライズ識別子コンテキストを獲得することができる。仮想プライベートデータベース(VPD:virtual private database)ポリシーは各々のAppleCoreテーブルに適用することができる。各々のこのようなポリシーは、FND_GLOBAL.enterprise_IDに等しいエンタープライズ識別子を有するエンティティへのアクセスを有効に制限する「where」句を含み得る。各々のこのようなテーブルに挿入された行は、FND_GLOBAL.enterprise_IDに設定されるエンタープライズ識別子を含み得る。
本発明の一実施例においては、アプリケーション識別子コンテキストスイッチが実行されると、基礎をなすAppleCoreセッションのエンタープライズ識別子は既存のエンドユーザ識別子として残り得る。ユーザのアイデンティティドメインに関連付けられるVPDポリシーは結果的に範囲がそのまま残り得る。結果として、高いデータ特権および機能特権はアプリケーション識別子の特権を反映することができるが、データ特権の範囲は、ユーザのエンタープライズまたはアイデンティティドメインVPDストライプの範囲内で適用され得る。
本発明の一実施例に従うと、マルチテナンシ(すなわち、複数のアイデンティティドメイン)は(公序良俗違反につき、不掲載)アクセスマネージャ(OAM)において使用可能にされ得る。OAMにおける複数のアイデンティティドメインを使用可能にするために、OAMログインプロセスは、ログインするのに使用される属性のうちの1つとしてアイデンティティドメイン名を受領するよう拡張され得る。
本発明の一実施例に従うと、マルチテナンシ(すなわち複数のアイデンティティドメイン)は(公序良俗違反につき、不掲載)アイデンティティマネージャ(OIM)において使用可能にすることができる。OIMにおける複数のアイデンティティドメインを使用可能にするために、SPML要求およびコールバックなどのプロビジョニングインターフェイス内に含まれるアイデンティティドメイン関連の属性をサポートすることができる。ルールは、LDAPディレクトリにおけるユーザエントリのディレクトリユニーク識別属性を、この属性がそのLDAPディレクトリにおいてユニークな値を有するように、構築するために規定することができる。一実施例においては、電子メールアドレスはOIMにおいてユーザのためのユニークな属性となるように構成することができる。代替的な実施例においては、LDAPディレクトリにおけるユーザエントリのディレクトリユニーク識別属性は、OIMにおいてユーザのためのユニークな属性として用いることができる。OIMにおいては、OIM.EmailUniqueCheckおよびMTEntitySeparatorなどのシステムプロパティはユーザエントリのディレクトリユニーク識別属性のこのユーザを反映するように構成することができる。ユーザ/役割プロビジョニングサブシステムを構成する一部として、アイデンティティドメインGUIDおよびアイデンティティドメイン名などのアイデンティティドメイン属性はOIMのためのデータベースに格納することができる。これらの属性は共有のIDMシステムにおいてユーザ定義のフィールドとなるように構成することができる。OIMは、LDAPディレクトリに含まれるユーザアイデンティティをプロビジョニングすることができる。複数のアイデンティティドメイン環境においては、各々のユーザエントリの相対識別名(RDN:relativedistinguishedname)属性がそのユーザエントリについてのディレクトリユニーク識別属性になり得る。OIMによって用いられるRDN構造ルールを変更して、各ユーザエントリのRDN属性にディレクトリユニーク識別属性の値を採らすようにすることができる。一実施例においては、LDAPディレクトリにおける各エントリはOIMデータベースと一致させることができる。ログイン属性がユーザエントリについてのディレクトリユニーク識別属性になり得るので、対応するマッピングは、複数アイデンティティドメイン環境におけるLDAPSync構成において反映させることができる。OIMにおいてマルチテナンシを実施可能にするにはLDAPコンテナルールの構成が必要となるだろう。既存のアイデンティティドメインについてのこのようなLDAPコンテナルールは、少なくとも部分的にフュージョン・ミドルウェア・メタデータ・サービス・リポジトリ「/dc/LDAPContainerRules.xml」を構成することによって構成することができる。例えば、2つのアイデンティティドメインが49431843829924000および49431843829925000のGUID値を有すると想定して、LDAPコンテナルールは表1に示されるように構成することができる。
(公序良俗違反につき、不掲載)
本発明の一実施例においては、共有のIDMシステム内で新しいアイデンティティドメインをプロビジョニングするプロセスは、(a)LDAPディレクトリにおけるアイデンティティドメインのためのアイデンティティドメインサブツリーの作成、ならびに、(b)OAMコンポーネントおよびOIMコンポーネントにおける他の同等のアーティファクトの作成を含み得る。OPSSポリシーはこのようなプロビジョニングによって影響される可能性がある。OPSSポリシーは、アプリケーション役割とエンタープライズ役割との関連付けを反映させることができる。共有のIDMシステムの外部から発生する顧客のエンタープライズ役割は、共有のIDMシステムのLDAPディレクトリ(例えばOID)においてクローン化され得る。このクローン化の一部として、関連付けられたアプリケーション役割マッピングは、以下の動作を実行することによって確立することができる:(1)アプリケーションの各々のための元のsystem−jazn−data.xmlファイルを見つける;(2)新しいアイデンティティドメイン特有の役割を反映させるために、新しいアイデンティティドメインのアイデンティティドメイン名プレフィックスを有するように、抽出されたsystem−jazn−data.xmlファイル内のエンタープライズ役割を変更する;および、(3)変更されたファイルを新しいsystem−jazn−data.xmlファイルとして処理し、動作の宛先を(公序良俗違反につき、不掲載)アイデンティティディレクトリ(OID)となるように設定してmigrateSecurityStore動作を再度実行する。
ドメインベースのディレクトリ分割およびバインドクレデンシャル
本発明の一実施例においては、(場合によっては複数の別個のアイデンティティドメイン中の)特定のアイデンティティドメインに関連付けられたユーザは、その特定のアイデンティティドメインにデプロイされたサービスを使用することができるが、他のいずれかのアイデンティティドメインにデプロイされたサービスは使用することができない。このような実施例においては、LDAPディレクトリ(例えばOID)は、クラウドコンピューティング環境内において作成された複数のアイデンティティドメインのすべてにおけるアイデンティティのすべてについてのアイデンティティストアとして機能し得る。それらのアイデンティティドメインのための分離されたアイデンティティストアとして機能させるために別個のLDAPディレクトリを別個のアイデンティティドメインにおいて作成する必要はない。シングルLDAPディレクトリはすべてのアイデンティティドメインのために機能し得る。LDAPディレクトリにおいては、別個のディレクトリサブツリーは、例えば、第1のアイデンティティドメインについてのすべてのアイデンティティを第1のディレクトリサブツリー内に格納することができるように、かつ、第2のアイデンティティドメインについてのすべてのアイデンティティを第2のディレクトリサブツリー内に格納することができるように、別個のアイデンティティストア専用にすることができる。このようなサブツリーディレクトリはともに共通のルートを有し得る。
LDAP内の各々のサブツリーディレクトリへのアクセスはいくつかのクラウドコンピューティングシステムコンポーネントに制限することができる。クラウド管理コンポーネントなどのいくつかのこのようなコンポーネントはサブツリーディレクトリのすべてにアクセスすることができ、他のこのようなコンポーネントはいくつかの特定のサブツリーディレクトリにしかアクセスできない。例えば、特定のアイデンティティドメイン内においてデプロイされたサービスなどのいくつかのコンポーネントは、その特定のアイデンティティドメイン専用となるサブツリーディレクトリにしかアクセスできないように制限することができる。本発明の実施例においては、LDAPディレクトリシステム内において既に利用可能な機構によって、アイデンティティドメインとそれぞれの対応するサブツリーディレクトリとの間をこのように分離することができる。サービスが特定のアイデンティティドメインにデプロイされたとき、クラウドコンピューティング環境のサービスデプロイメントコンポーネントは、特にそのサービスのためのセキュリティクレデンシャルを生成することができる。セキュリティクレデンシャルの生成は、LDAPディレクトリシステムによる検査時に、当該クレデンシャルにより、サービスがデプロイされた特定のアイデンティティドメインに関連付けられるサブツリーディレクトリのみへのサービスアクセスをLDAPディレクトリシステムに許可させるように、行なわれてもよい。
本発明の実施例においては、アイデンティティがLDAPディレクトリに格納することができるエンティティの種類は異なるタイプに分類することができる。このような1つのタイプのエンティティとしてユーザタイプがある。特定のアイデンティティドメインに関連付けられるユーザのアイデンティティは、その特定のアイデンティティドメイン専用のLDAPディレクトリサブツリーに格納することができる。別のタイプのエンティティとしてサービスインスタンスタイプがある。特定のアイデンティティドメインにデプロイされたサービスインスタンスのアイデンティティ(データベースサービスなどの同じサービスのうちの別個のインスタンスを別個のアイデンティティドメインにデプロイすることができるのでこのように称される)は、その特定のアイデンティティドメイン専用のLDAPディレクトリサブツリーに格納することができる。本発明の実施例においては、ユーザエンティティではなくサービスインスタンスエンティティだけがクラウドコンピューティング環境のLDAPサーバにアクセスできる。このような実施例においては、ユーザエンティティはLDAPサーバに公開されず、LDAPサーバと直接対話することが阻止される。このような実施例においては、ユーザエンティティは、LDAPアクセス権を有しておらず、LDAPディレクトリに格納されたいかなる情報にも直接アクセスすることができない。このような実施例においては、サービスインスタンスエンティティだけがLDAPアクセス権を有する。
本発明の一実施例においては、クラウドコンピューティング環境のプロビジョニング機構によって特定のアイデンティティドメインにプロビジョニングされた場合にサービスインスタンスタイプとなるエンティティは、その特定のアイデンティティドメインのみに特に関連付けられる「バインドクレデンシャル」でプロビジョニングされ得る。各々のバインドクレデンシャルは、いくらか制限されたアクセス範囲を規定することができ、異なるバインドクレデンシャルは異なる範囲のアクセスを規定することができる。これらのバインドクレデンシャルは、クラウドコンピューティング環境におけるそれらのエンティティのデプロイメントに応じて、かつこのデプロイメント時に生成され、サービスインスタンスタイプエンティティに提供され得る。バインドクレデンシャルは、クラウドコンピューティング環境内のコンポーネントによって用いられ、外部のエンティティには公開されない。一実施例においては、人のユーザはバインドクレデンシャルを受取ることはない。
ネットワークに存在するエンティティは、LDAPサーバによって認識されるアイデンティティを有し得る。このようなエンティティはサービスインスタンスを含み得る。一実施例においては、ユーザはLDAPディレクトリにおける情報に直接アクセスすることが阻止されるが、このような実施例においては、サービスインスタンスはそれらのユーザの代わりにその情報にアクセスすることができる。サービスインスタンスがLDAPディレクトリからアクセスする情報はユーザ自身についてのものであり得る。一実施例においては、クラウドコンピューティング環境のネットワーク内にあるエンティティだけがクラウドコンピューティング環境のLDAPシステムにアクセスでき、ネットワーク外のコンポーネントはこのようにアクセスすることはできない。一実施例においては、LDAPサーバは、上述の種類のバインドクレデンシャルを持たないすべてのエンティティへのアクセスを拒否するように構成される。ネットワーク外のエンティティは、このようなバインドクレデンシャルを獲得することができず、このため、LDAPディレクトリにアクセスすることができない。一実施例においては、この構成は、LDAPサーバが準拠するアクセスコントロールポリシーによって達成される。このようなアクセスコントロールポリシーも、一実施例においては、LDAPディレクトリに格納される。
以下にさらに説明するように、ユーザ名およびパスワードは、しばしば、クラウドコンピューティング環境内のそのクライアントのために作成されたクライアントのアイデンティティドメインにおいて継続使用するために、クラウドコンピューティング環境のクライアント(または「テナント」)のプロプライエタリシングルドメインエンタープライズからインポートすることができる。これらのユーザ名およびパスワードがクライアント自身のプロプライエタリシステムに依然として存在することは、いくらかの潜在的なセキュリティ脆弱性とみなすことができる。しかしながら、ユーザ名およびパスワードがクライアントのプロプライエタリシングルドメインエンタープライズ内において何らかの形で損なわれたとしても、潜在的なシステム侵入者がバインドクレデンシャルを有していない(このようなクレデンシャルが、上述のとおり、ユーザに直接供給されず、これらユーザの代わりに作用するサービスにしか供給されないからである)ことにより、このような潜在的な侵入者からLDAPディレクトリのコンテンツが保護されることとなる。一実施例においては、サービス識別子は、LDAPディレクトリにおけるユーザ識別子とは別個のものであり、ユーザ識別子を発見しても、いずれのサービス識別子も公開されないだろう。
本発明の一実施例においては、エンティティはまた、これらのエンティティが(a)特定のアイデンティティドメイン専用のものであるか、または、(b)いずれの特定のアイデンティティドメイン専用のものではないインフラストラクチャコンポーネントであるかどうかに基づいて分類することができる。インフラストラクチャコンポーネントは、サービスインスタンスを特定のアイデンティティドメインにプロビジョニングする役割を果たすシステムプロビジョニングコンポーネントを含み得る。インフラストラクチャコンポーネントはまた、サービスインスタンスエンティティに対するユーザエンティティのためにシングルサインオン(SSO:single sign-on)機能を提供することができるアクセス管理コンポーネントを含み得る。インフラストラクチャコンポーネントは、LDAPディレクトリに格納されたアイデンティティを管理するアイデンティティ管理(IDM)コンポーネントを含み得る。これらのインフラストラクチャコンポーネントは、それらのインフラストラクチャコンポーネントと対話するエンティティを認証および認可する目的で、LDAPシステムと直接対話することができる。
上述のとおり、一実施例においては、特定のアイデンティティドメイン専用のエンティティは、その特定のアイデンティティドメインのみに関連付けられるアイデンティティへのアクセスに制限される。本発明の実施例においては、このアクセス制限は、LDAPディレクトリ内にも含まれ得るアクセスコントロールポリシーを実施することによって達成される。LDAPサーバは、典型的には、アクセスコントロールポリシーに基づいてLDAPディレクトリに格納された情報に対するアクセスを許可または拒否する。本発明の実施例はこの事実を利用することにより、アイデンティティドメイン特有のアクセスコントロールポリシーに基づいて、クラウドコンピューティング環境のLDAPサーバに、いくつかのアイデンティティドメイン関連のLDAPディレクトリサブツリーへのアクセスを許可または拒否させるようにする。このようなアイデンティティドメイン特有のアクセスコントロールポリシーは従来より公知ではなく、LDAPシステムにおいては用いられなかった。
マルチテナントユニーク識別子
本発明の実施例においては、アイデンティティがLDAPディレクトリ内に格納されている各エンティティは、(LDAPディレクトリ全体およびそのサブツリーすべてにわたって)グローバルなユニークアイデンティティ(unique identity)がLDAPディレクトリに格納されている。このグローバルユニークアイデンティティは、特定のアイデンティティドメイン内においてユニークであった場合でも、(例えば)他の点ではグローバルにユニークでない可能性のある規範的にフォーマットされたプレフィックスを用いることによって生成することができる。一実施例においては、ユーザがクラウドベースの環境内において提供されるいずれかのサービスと対話できるようになる前に、それらのユーザが環境にログインすることが必要となる。ログイン手順は認証プロセスを含む。ユーザがオーセンティケータに与えるログイン名またはアイデンティティは、それが特定のアイデンティティドメイン内においてユニークであったとしても、LDAPディレクトリ全体にわたってグローバルにユニークでない可能性がある。したがって、一実施例においては、ユーザが環境にログインする時、オーセンティケータは、ユーザのログイン名に加えて、ユーザがアクセスを所望するアイデンティティドメインの名前を要求する。代替的な実施例においては、オーセンティケータは、ユーザ自身に対してアイデンティティドメインの名前を要求しない。代わりに、別個のアイデンティティドメインの各々が、別個のURLに関連付けられる別個のログインウェブページに関連付けられ得る。アイデンティティドメインの名前は、ユーザがそのアイデンティティドメインにログインするのにアクセスする必要があるウェブページのコード内に含めることができる。このため、ユーザがそのドメイン特有のウェブページについての特定のURLにアクセスするよう自身のブラウザに指示すると、オーセンティケータは、ユーザがアクセスを要求しているアイデンティティドメインを、ウェブページ自体のコードから決定することができる。
本発明の一実施例においては、ユーザがアイデンティティドメインの名前を明確に与えるかどうかにかかわらず、そのアイデンティティドメインの識別子は、そのユーザのためのグローバルユニークアイデンティティを生成するために、ユーザが与えたログイン名に添付される。このグローバルユニーク識別子はマルチテナントユニーク識別子と称することができる。一実施例においては、特定のユーザは、自身のユーザアカウントが作成されると、常に、同じマルチテナントユニーク識別子に関連付けられ、その同じマルチテナントユニーク識別子がクラウド環境の認証システムによって用いられて、ユーザが環境内でサービスへのアクセスを要求するたびにユーザが認証される。マルチテナントユニーク識別子が、ユーザが属するアイデンティティドメインを規定するので、LDAPサーバは、LDAPディレクトリのサブツリーのうちいずれがユーザに適用可能であるかを判断することができる。マルチテナントユニーク識別子は、ユーザが別のユーザと同じ名前(但し、同じアイデンティティドメインではない)を有する別のユーザと混同され得ないように、クラウド環境におけるシステム間において伝搬される。マルチテナントユニーク識別子がクラウド環境によって用いられているという事実は、認証サブシステムにそれらのドメイン未修飾ログイン名を供給することができるエンドユーザに対して完全に透過的であり得る。本発明の一実施例においては、エンティティのマルチテナントユニーク識別子は、そのエンティティについての新しい記録が作成されてLDAPディレクトリに追加されるのに応じて、かつそのときに、そのエンティティのために生成される。マルチテナントユニーク識別子は、メッセージペイロード内でクラウドコンピューティング環境のサブシステム間において伝搬させることができる。したがって、エンティティについてのマルチテナントユニーク識別子を決定するために、そのエンティティのアイデンティティが位置しているLDAPディレクトリサブツリーの名前に依拠する必要がなくなる。
本発明の一実施例においては、マルチテナントユニーク識別子は、エンティティのためのLDAPディレクトリエントリにおけるいくつかの別個のフィールドのうちの1つである。LDAPディレクトリスキーマは属性としてマルチテナントユニーク識別子を含むように拡張させることができる。マルチテナントユニーク識別子は、LDAPディレクトリエントリにおいてはユーザのログイン名とは別個のものであるので、ユーザのアイデンティティをシングルドメインシステムからマルチドメインクラウドコンピューティング環境にまで移行させた後、シングルドメイン(単一の顧客)システムから直接インポートされた可能性のあるユーザのログイン名を、妨害なしに、または顕著な変更なしに使用し続けることができる。このため、一実施例においては、特定のクラウドコンピューティング環境クライアントの(または「テナントの」)別個のプロプライエタリ(通常は非クラウドベースの)エンタープライズ内において用いられたのと同じログイン名を、クラウドコンピューティング環境において作成されてその特定のクライアント専用のものとされるアイデンティティドメイン内において使用し続けることができる。実際には、移行プロセス中、これらのログイン名は、クライアントのプロプライエタリエンタープライズからクラウドコンピューティング環境内に直接アップロードすることができ、このとき、マルチテナントユニーク識別子をそれらのログイン名のために自動的に生成でき、クライアントのユーザのためのLDAPディレクトリエントリ内に格納できる。
典型的なLDAPディレクトリ内では、区別された名前は、一種のグローバルユニークアイデンティティとみなされる可能性がある。しかしながら、典型的なLDAPディレクトリ内においては、区別された名前は、典型的には、グローバルユニークアイデンティティにする目的で専用のものとされる単一の明確なLDAP属性の値ではなく、連続した複数の別個のLDAP属性値である。クラウドコンピューティングシステムのクライアント(テナント)がなんらかの理由で自身についてのグローバルユニーク識別子を構築する必要がある場合、クライアントには、そのグローバルユニーク識別子を構築する際にシステム自体が採用する規範的なルールが提供され得る。例えば、このようなルールは、クライアントのアイデンティティドメインの名前を、期間によって範囲が定められるユーザのログイン名に至るまで予めペンディングしておくことを必要とし得る。このようなルールに従うことにより、マルチテナントユニーク識別子は、プログラムによって相対的に容易に復元することができる。この特質は、必ずしも、LDAPによって区別された名前に所有される必要はない。
クラウドコンピューティング環境内で実行されるいくつかのアプリケーションまたはサービスは、アイデンティティドメイン名が前に付されるユーザアイデンティティを処理するように構成されない可能性がある。このような環境下では、このようなアプリケーションまたはサービスにマルチテナントユニーク識別子を渡す前に、アイデンティティドメイン名プレフィックスをマルチテナントユニーク識別子から容易に取り除くことができ、これにより、アプリケーションまたはサービスがユーザの未修飾ログイン名のみを受取るようにする。マルチテナントユニーク識別子が十分に定義された規範的なフォーマットに従って構築されることにより、必要とされる可能性のあるこのような調整が、比較的単純に、自動的に実行される。
クラウドコンピューティング環境内において実行される他のいくつかのアプリケーションまたはサービスは、アイデンティティドメイン名を認識し、それらのアイデンティティドメイン名に応じてさまざまに機能することができるかもしれない。このような環境下では、アイデンティティドメイン名は、アプリケーションまたはサービスによって使用されるマルチテナントユニーク識別子からパーズおよび抽出され得る。次いで、アプリケーションまたはサービスは、いくつかのアイデンティティドメインのうちいずれと機能するべきかを決定することができる。また、マルチテナントユニーク識別子が十分に定義された規範的なフォーマットに従って構築されることにより、この潜在的に有用な抽出が比較的単純に自動的に実行される。
クラウドインフラストラクチャコンポーネントは、アイデンティティドメイン名を利用することができるサービス間にある。これらのコンポーネントは、対応可能なマルチテナント(またはマルチアイデンティティドメイン)であり得る。これらのコンポーネントは、異なるユーザに関係する要求を受取ることができる。これらの要求が関係するアイデンティティドメインを決定するために、これらのコンポーネントは、それらの識別子が普遍的に準拠する規範的なフォーマットに基づいてユーザのマルチテナントユニーク識別子を単純かつ自動的にパーズすることができる。マルチテナント対応のクラウドインフラストラクチャコンポーネントは、アイデンティティドメイン毎にストライプにされるデータレポジトリを用いることができる。このような環境下では、これらのコンポーネントは、適切なアイデンティティドメイン専用のストライプに対する処理(handle)としてマルチテナントユニーク識別子からパーズされたアイデンティティドメイン名を用いることができる。処理はストライプにアクセスするために用いることができる。
サービスインスタンスのプロビジョニング時におけるLDAPディレクトリの更新
本発明の一実施例においては、クラウドコンピューティング環境内において実行されるプロビジョニングサービスは、環境のさまざまなアイデンティティドメイン内においてすべてのサービスインスタンスのデプロイメントをすべて実行する。プロビジョニングサービスは、クラウドコンピューティング環境の規定されたクライアント(または「テナント」)のためにサービスインスタンスを作成するためのアプリケーションプログラミングインターフェイス(API:application programming interface)を有する。プロビジョニングサービスは、デプロイされるべきサービスインスタンスを構成するのに用いられるバインドクレデンシャルを作成するかまたは他の何らかのコンポーネントに対して要求することができる。一実施例においては、プロビジョニングサービスは、APIを用いて、規定されたサービスインスタンスおよび規定されたアイデンティティドメインのためのバインドクレデンシャルを別のコンポーネントに対して要求する。各々のバインドクレデンシャルは名前およびパスワードを含み得る。この名前は、標準的な規則に基づいて自動的に生成することができ、規定されたサービスインスタンスの名前および規定されたアイデンティティドメインの名前の両方を含むことができる。パスワードはランダムに生成することができる。
バインドクレデンシャルの生成と同時に、新しい対応するアクセスポリシーが自動的に生成され、LDAPディレクトリに追加され得る。アクセスポリシーは、バインドクレデンシャルにおいて名前が規定されているサービスインスタンスが、当該サービスインスタンスがデプロイされているアイデンティティドメインに対応するLDAPディレクトリサブツリーにアクセスすることだけが許可されることを規定する。一実施例においては、アクセスポリシーはさらに、その名前を有するサービスインスタンスがLDAPディレクトリにおけるアイデンティティを変更することが許可されないことを規定する。一実施例においては、クラウドコンピューティング環境のアイデンティティ管理(IDM)サブシステムだけが、このようなアイデンティティを変更することを許可される。IDMサブシステム自体は、クラウドコンピューティング環境のユーザが対話することを可能にするサービスである。一実施例においては、アクセスポリシーはさらに、バインドクレデンシャルにおいて名前が規定されているサービスインスタンスが、LDAPディレクトリエントリのうちの規定されたいくつかの属性を読出すことしか許可されないことを規定する。上述の動作は上述のAPIによって実行することができる。本発明の実施例においては、既存のバインドクレデンシャルを変更する能力が与えられるエンティティまたはコンポーネントはない。
マルチテナントLDAPシステムの例
図9は、マルチテナントLDAPシステムを含むクラウドコンピューティング環境の例を示すブロック図である。本発明のさまざまな実施例は、図9に明確に示されるものと比べてより多くのコンポーネント、より少数のコンポーネント、または異なるコンポーネントを含み得る。図9はクラウドコンピューティング環境902およびクライアント(テナント)904A〜Nを示す。クライアント(テナント)904A〜Nの各々は例えば別個の組織を表わすことができる。クライアント(テナント)904A〜Nの各々は、クラウドコンピューティング環境902内において定義された別個のアイデンティティドメインを、そのアイデンティティドメイン内に含まれるアイデンティティおよびサービスがクラウドコンピューティング環境902内の他のすべてのアイデンティティドメインにおけるアイデンティティおよびサービスから分離されるように、有することができる。クライアント(テナント)904A〜Nは、典型的には、場合によってはインターネットを含む1つ以上のネットワークを介してクラウドコンピューティング環境902のコンポーネントと対話する。
図9に示されるように、クラウドコンピューティング環境902はLDAPサーバ906およびLDAPディレクトリ908を含む。有意には、LDAPディレクトリ908は単一の一体化されたLDAPディレクトリであって、複数の別個のアイデンティティドメインのためのLDAPエントリを含み、クライアント(テナント)904A〜Nの各々についての別個のアイデンティティドメインである。各々のこのようなアイデンティティドメインのために、(ツリー構造を有する)LDAPディレクトリ908は、特にそのアイデンティティドメイン専用の対応するサブツリーを含む。例えば、サブツリー910Aはクライアント(テナント)904Aのためのアイデンティティドメイン専用であってもよく、サブツリー910Bは、クライアント(テナント)904Bのためのアイデンティティドメイン専用であってもよく、サブツリー910Nは、クライアント(テナント)904Nのためのアイデンティティドメイン専用であってもよい、などである。
サブツリー910A〜Nの各々は、そのサブツリーが対応するアイデンティティドメインにのみ関係するユーザアイデンティティ、サービスインスタンスアイデンティティおよびアクセスポリシーのためのLDAPエントリを含み得る。例えば、サブツリー910Aはユーザアイデンティティ912A、サービスインスタンスアイデンティティ914Aおよびアクセスポリシー916Aを含み、サブツリー910Bは、ユーザアイデンティティ912B、サービスインスタンスアイデンティティ914Bおよびアクセスポリシー916Bなどを含み、サブツリー910Nは、ユーザアイデンティティ912N、サービスインスタンスアイデンティティ914Nおよびアクセスポリシー916Nを含む。
技術例
図10は、本発明の実施例に係る、特定のアイデンティティドメインについてのアイデンティティドメイン規定ログインウェブページを生成および使用するための技術の例を示すフロー図である。ブロック1002において、新しいアイデンティティドメインを作成するための要求が受取られる。ブロック1004において、この要求に応じて、新しいアイデンティティドメインのためのLDAPサブツリーがLDAPディレクトリにおいて作成される。ブロック1006において、要求に応じて、ユニークなURLを有し、新しいアイデンティティドメインの名前を規定するログインウェブページが生成および格納される。
ブロック1008において、ユニークなURLに対応するウェブページについての要求が受取られる。ブロック1010において、ユニークなURLに対応するウェブページが要求に応じて送信される。ブロック1012において、ドメイン未修飾のユーザ名およびパスワードが、ウェブページのユーザ名フィールドおよびパスワードフィールドを介して受取られる。ブロック1014において、マルチテナントユニーク識別子は、ウェブページにおいて規定されたアイデンティティドメインの名前をドメイン未修飾ユーザ名に予めペンディングすることによって構築される。ブロック1016において、マルチテナントユニーク識別子は、与えられたパスワードに基づいてLDAPディレクトリに格納されたセキュリティ情報に対して認証される。
図11は、本発明の実施例に係る、特定のアイデンティティドメインに新しいユーザアイデンティティを追加するための技術の例を示すフロー図である。ブロック1102において、規定されたドメイン未修飾ユーザ名を有する新しいユーザを、規定されたアイデンティティドメインに追加するための要求が受取られる。ブロック1104において、この要求に応じて、マルチテナントユニーク識別子が、ウェブページにおいて規定されたアイデンティティドメインの名前をドメイン未修飾ユーザ名に予めペンディングすることによって構築される。ブロック1106において、新しいユーザのためにパスワードが選択される。ブロック1108において、別個の属性として、ユーザ名、アイデンティティドメイン、マルチテナントユニーク識別子およびパスワードを規定する新しいLDAPエントリが生成される。ブロック1110において、新しいLDAPエントリが、アイデンティティドメインに対応するLDAPディレクトリのサブツリーに追加される。
図12は、本発明の実施例に係る、特定のアイデンティティドメインに新しいサービスインスタンスをデプロイするための技術の例を示すフロー図である。ブロック1202において、規定されたアイデンティティドメインに対して特定タイプの新しいサービスインスタンスをデプロイするための要求が受取られる。ブロック1204において、この要求に応じて、ドメイン修飾名が、特定のタイプおよび規定されたアイデンティティドメインの両方に基づいて新しいサービスインスタンスのために自動的に生成される。ブロック1206において、ランダムパスワードが自動的に生成される。ブロック1208において、ドメイン修飾名およびランダムパスワードの両方を規定するバインドクレデンシャルが生成される。ブロック1210において、バインドクレデンシャルが、規定されたアイデンティティドメインに対応するLDAPディレクトリのサブツリーに格納される。
ブロック1212において、新しいアクセスポリシーが作成される。この新しいアクセスポリシーは、(バインドクレデンシャルにおいて示される)ドメイン修飾名を有するサービスインスタンスが、規定されたアイデンティティドメイン(すなわち、サービスインスタンスがデプロイされているアイデンティティドメインに対応するLDAPディレクトリのサブツリーに含まれるLDAPエントリ)に関係する情報にしかアクセスできないことを規定する。ブロック1214において、アクセスポリシーは、規定されたアイデンティティドメインに対応するLDAPディレクトリのサブツリーに格納される。ブロック1216において、サービスインスタンスが規定されたアイデンティティドメインにおいてデプロイされる。ブロック1218において、バインドクレデンシャルがサービスインスタンスに供給される。
図13は、本発明の実施例に係る、あるサービスインスタンスのデプロイメント時にそのサービスインスタンスに供給されたバインドクレデンシャルを用いてそのサービスインスタンスを認証するための技術の例を示すフロー図である。ブロック1302において、LDAPサーバは、規定されたサブツリーにおけるLDAP情報にアクセスするための要求をサービスインスタンスから受取る。ブロック1304において、LDAPサーバはサービスインスタンスからバインドクレデンシャルを受取る。ブロック1306において、LDAPサーバは、サービスインスタンスが属するアイデンティティドメインを、バインドクレデンシャル内において規定されたドメイン修飾名に基づいて決定する。ブロック1308において、LDAPサーバは、サービスインスタンスに関係するLDAPエントリを、決定されたアイデンティティドメインに対応するLDAPディレクトリサブツリーに位置付ける。ブロック1310において、LDAPサーバは、バインドクレデンシャルにおいて規定されたパスワードをLDAPエントリにおいて規定されたパスワードと比較することによって、サービスインスタンスを認証する。ブロック1312において、LDAPサーバは、サービスインスタンスに関係するアクセスポリシーを規定するLDAPエントリを、決定されたアイデンティティドメインに対応するLDAPディレクトリサブツリーに位置付ける。ブロック1314において、アクセスポリシーによって規定された程度にまで、LDAPサーバは、サービスインスタンスが、決定されたアイデンティティドメインに対応するLDAPディレクトリサブツリーにおけるLDAPエントリのポリシー規定属性にアクセスすることを許可および/または拒否する。
ハードウェア概略
図7は、本発明の実施例に従って用いられ得るシステム環境700のコンポーネントを示す簡略ブロック図である。図示されるように、システム環境700は、固有のクライアントアプリケーションや、場合によってはウェブブラウザなどの他のアプリケーションなどを含むクライアントアプリケーションを動作させるように構成された1つ以上のクライアント演算装置702、704、706および708を含む。さまざまな実施例においては、クライアント演算装置702、704、706および708はサーバ712と対話し得る。
クライアント演算装置702、704、706および708は、汎用パーソナルコンピュータ(一例として、マイクロソフトウィンドウズ(登録商標)および/またはアップルマッキントッシュオペレーティングシステムのさまざまなバージョンを実行するパーソナルコンピュータおよび/またはラップトップコンピュータを含む)、(マイクロソフトウィンドウズモバイルなどのソフトウェアを実行し、インターネット、電子メール、SMS、ブラックベリーまたは使用可能な他の通信プロトコルである)携帯電話もしくはPDA、ならびに/または、さまざまな市販のUNIX(登録商標)もしくはUNIXのようなオペレーティングシステム(さまざまなGNU/Linux(登録商標)オペレーティングシステムを含むがこれに限定されるものではない)のいずれかを実行するワークステーションコンピュータであってもよい。代替的には、クライアント演算装置702、704、706および708は、ネットワーク(例えば、以下に記載のネットワーク710)を介して通信することができるシン・クライアントコンピュータ、インターネットへの接続が可能なゲーム機および/またはパーソナルメッセージング装置などのその他の電子装置であってもよい。例示的なシステム環境700が4つのクライアント演算装置とともに示されているが、いかなる数のクライアント演算装置がサポートされてもよい。センサを有する装置などの他の装置がサーバ712と対話してもよい。
システム環境700はネットワーク710を含み得る。ネットワーク710は、TCP/IP、SNA、IPX、AppleTalkなどを含むがこれらに限定されるものではないさまざまな市販のプロトコルのいずれかを使用してデータ通信をサポートし得る、当業者になじみのある任意のタイプのネットワークであってもよい。単に一例として、ネットワーク710は、イーサネット(登録商標)ネットワーク、トークン・リング・ネットワークなどのローカルエリアネットワーク(local area network:LAN)、広域ネットワーク、仮想プライベートネットワーク(virtual private network:VPN)を含むがこれに限定されるものではない仮想ネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話網(public switched telephone network:PSTN)、赤外線ネットワーク、無線ネットワーク(例えばIEEE802.11の一連のプロトコル、当該技術分野において公知のブルートゥース(登録商標)プロトコルおよび/またはその他の無線プロトコルのいずれかの下で動作するネットワーク)、ならびに/または、これらのおよび/もしくは他のネットワークの任意の組み合わせであってもよい。
システム環境700はまた1つ以上のサーバコンピュータ712を含む。サーバコンピュータ712は、汎用コンピュータ、特化サーバコンピュータ(一例として、PCサーバ、UNIXサーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウント式のサーバなどを含む)、サーバファーム、サーバクラスタ、またはその他の適切な配置および/もしくは組み合わせであり得る。さまざまな実施例においては、サーバ712は、1つ以上のサービスまたはソフトウェアアプリケーションを実行するように適合されてもよい。
サーバ712は、市販のサーバオペレーティングシステムに加えて、上述のうちいずれかを含むオペレーティングシステムを実行し得る。サーバ712は、HTTPサーバ、FTPサーバ、CGIサーバ、Javaサーバ、データベースサーバなどを含む、さまざまな追加のサーバアプリケーションおよび/もしくは中間層アプリケーションのいずれかを実行し得る。例示的なデータベースサーバとしては、(公序良俗違反につき、不掲載)、(公序良俗違反につき、不掲載)などから市販されているものが挙げられるが、これらに限定されるものではない。
システム環境700はまた1つ以上のデータベース714および716を含み得る。データベース714および716はさまざまな位置に存在してもよい。一例として、データベース714および716のうち1つ以上は、サーバ712に対してローカルな(および/またはサーバ712に常駐する)非一時的な記憶媒体上に存在してもよい。代替的には、データベース714および716は、サーバ712から離れており、ネットワークベースの接続または専用の接続を介してサーバ712と通信してもよい。一組の実施例においては、データベース714および716は、当業者になじみのあるストレージエリアネットワーク(SAN:storage-areanetwork)に存在していてもよい。同様に、サーバ712に起因する機能を実行するのに必要な如何なるファイルも、適宜、サーバ712上にローカルに格納および/または遠隔に格納され得る。一組の実施例においては、データベース714および716は、SQLでフォーマットされたコマンドに応じてデータを格納、更新および検索するように適合されたリレーショナルデータベース、例えば(公序良俗違反につき、不掲載)によって提供されるデータベースなど、を含み得る。
図8は、本発明の実施例に従って用いられ得るコンピュータシステム800の簡略ブロック図である。例えば、サーバ712またはクライアント702、704、706もしくは708はシステム800などのシステムを用いて実現されてもよい。バス824を介して電気的に接続され得るハードウェア要素を含むコンピュータシステム800が示される。ハードウェア要素は、1つ以上の中央処理装置(CPU:central processing unit)802、1つ以上の入力装置804(例えばマウス、キーボードなど)、および1つ以上の出力装置806(例えば表示装置、プリンタなど)を含み得る。コンピュータシステム800はまた1つ以上の記憶装置808を含み得る。一例として、記憶装置808は、ディスクドライブ、光学記憶装置、およびソリッドステート記憶装置、例えば、プログラム可能、フラッシュ更新可能などであり得るランダムアクセスメモリ(RAM:random access memory)および/またはリードオンリメモリ(ROM:read-only memory)などの記憶装置を含んでいてもよい。
コンピュータシステム800は、コンピュータ読取可能記憶媒体リーダ812、通信サブシステム814(例えば、モデム、ネットワークカード(無線または有線)、赤外線通信装置など)、ならびに、上述のRAM装置およびROM装置を含み得るワーキングメモリ818を付加的に含み得る。いくつかの実施例においては、コンピュータシステム800はまた、デジタル信号プロセッサ(DSP:digital signal processor)、専用プロセッサなどを含み得る処理加速ユニット816を含んでもよい。
さらに、コンピュータ読取可能記憶媒体リーダ812は、ともに(および任意に、記憶装置808と組み合わせて)一時的および/またはより永久的にコンピュータ読取可能な情報を含むためのリモートの、ローカルの、固定されたおよび/または取外し可能な記憶装置プラス記憶媒体を包括的に表わすコンピュータ読取可能記憶媒体810に接続可能である。通信システム814は、ネットワーク710および/またはシステム環境700に関して上述された他のいずれかのコンピュータとのデータの交換を許可し得る。
コンピュータシステム800はまた、オペレーティングシステム820および/または他のコード822、例えば(クライアントアプリケーション、ウェブブラウザ、中間層アプリケーション、RDBMSなどであり得る)アプリケーションプログラムなどを含むワーキングメモリ818内にその時点で位置するように示されたソフトウェア要素を含み得る。具体的な実施例においては、ワーキングメモリ818は、上述のようなマルチテナントクラウドベースIDMシステムのために用いられる実行可能コードおよび関連データ構造を含み得る。コンピュータシステム800の代替的な実施例は、上記のものからの多数の変更例を有し得ることが理解されるべきである。例えば、カスタマイズされたハードウェアも使用されてもよく、および/または、特定の要素がハードウェア、(アプレットなどの高移植性ソフトウェアを含む)ソフトウェアまたはそれら両方で実現されてもよい。さらに、ネットワーク入力/出力装置などの他の演算装置への接続が利用されてもよい。
コードまたはコードの一部を含むための記憶媒体およびコンピュータ読取可能媒体は、記憶媒体および通信媒体を含む当該技術分野において公知のまたは使用される任意の適切な媒体を含み得て、当該媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュールまたは他のデータなどの情報の格納および/または情報の伝達のための任意の方法または技術において実現される揮発性および不揮発性の(非一時的な)、取外し可能および取外し不可能な媒体などであって、所望の情報を格納または伝送するために使用可能であり、コンピュータによってアクセス可能であるRAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD−ROM、デジタル多用途ディスク(digital versatile disk:DVD)もしくは他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶装置、データ信号、データ送信、またはその他の媒体を含むが、これらに限定されない。
本発明の特定の実施例について説明してきたが、さまざまな変形例、変更例、代替的な構成および等価物も本発明の範囲内に包含される。本発明の実施例は、特定の具体的なデータ処理環境内での動作に限定されるものではなく、複数のデータ処理環境内で自由に動作できる。さらに、特定の一連のトランザクションおよびステップを使用して本発明の実施例について説明してきたが、本発明の範囲が、記載されている一連のトランザクションおよびステップに限定されるものではないということが当業者に明らかであるべきである。
さらに、ハードウェアおよびソフトウェアの特定の組み合わせを使用して本発明の実施例について説明してきたが、ハードウェアおよびソフトウェアの他の組み合わせも本発明の範囲内であることが認識されるべきである。本発明の実施例は、ハードウェアのみで実現されてもよく、またはソフトウェアのみで実現されてもよく、またはそれらの組み合わせを使用して実現されてもよい。
図14は、上述のとおり本発明の原理に従って構成される演算装置1400の機能ブロック図を示す。演算装置の機能ブロックは、本発明の原理を実行するために、ハードウェア、ソフトウェアまたはハードウェアとソフトウェアとの組み合わせによって実現されてもよい。当業者であれば、図14において記載される機能ブロックを組合わせるかまたはサブブロックに分割して上述のような本発明の原理を実現し得ることを理解する。したがって、この明細書中の記載は、この明細書中に記載された機能ブロックのいかなる実現可能な組み合わせまたは分割またはさらなる定義をもサポートし得る。
図14に示されるように、演算装置1400は、第1の格納ユニット1402、第2の格納ユニット1404、第1の阻止ユニット1406、および第2の阻止ユニット1408を含む。
第1の格納ユニット1402は、ルートノードを有するLDAPディレクトリにおいて、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、ルートノードから派生する第1のディレクトリサブツリーに格納し得る。第2の格納ユニット1404は、LDAPディレクトリにおいて、第1のアイデンティティドメインではなく第2のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、ルートノードからも派生するが第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納し得る。第1の阻止ユニット1406は、第1のアイデンティティドメインにデプロイされたサービスインスタンスが第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止し得る。第2の阻止ユニット1408は、第2のアイデンティティドメインにデプロイされたサービスインスタンスが第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止し得る。
演算装置1400はさらに、第3の格納ユニット1410、第4の格納ユニット1412、第3の阻止ユニット1414、および第1の許可ユニット1416を含み得る。第3の格納ユニット1410は、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるユーザエンティティのアイデンティティを第1のディレクトリサブツリーに格納し得る。第4の格納ユニット1412は、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるサービスインスタンスエンティティのアイデンティティを第1のディレクトリサブツリーに格納し得る。第3の阻止ユニット1414は、ユーザエンティティが、LDAPディレクトリを維持するLDAPサーバと直接対話するのを阻止し得る。第1の許可ユニット1416は、サービスインスタンスエンティティがユーザエンティティの代わりにLDAPサーバと直接対話することを許可し得る。
演算装置1400はさらに、第1の生成ユニット1418、第1の提供ユニット1420、第2の生成ユニット1422、および第2の提供ユニット1424を含み得る。第1の生成ユニット1418は、第2のアイデンティティドメインにではなく第1のアイデンティティドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成し得る。第1のクレデンシャルは、LDAPディレクトリを維持するLDAPサーバによる検査時に、第1のサービスインスタンスが、第2のディレクトリサブツリーに格納されるアイデンティティではなく第1のディレクトリサブツリーに格納されるアイデンティティにアクセスすることをLDAPサーバに許可させる。第1の提供ユニット1420は第1のサービスインスタンスに第1のクレデンシャルを提供し得る。第2の生成ユニット1422は、第1のアイデンティティドメインにではなく第2のアイデンティティドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成し得る。第2のクレデンシャルは、LDAPサーバによる検査時に、第2のサービスインスタンスが、第1のディレクトリサブツリーに格納されるアイデンティティではなく第2のディレクトリサブツリーに格納されるアイデンティティにアクセスすることをLDAPサーバに許可させる。第2の提供ユニット1424は第2のサービスインスタンスに第2のクレデンシャルを提供し得る。
演算装置1400はさらに、第5の格納ユニット1426および第1の制御ユニット1428を含み得る。第5の格納ユニット1426は、複数のアイデンティティドメインからさまざまなアイデンティティドメインを規定するアクセスコントロールポリシーをLDAPディレクトリに格納し得る。第1の制御ユニット1428は、少なくとも部分的にアクセスコントロールポリシーに基づいて、LDAPディレクトリのアイデンティティドメイン関連サブツリーへのアクセスを制御し得る。
演算装置1400はさらに、第6の格納ユニット1430および第7の格納ユニット1432を含み得る。第6の格納ユニット1430は、第2のディレクトリサブツリーではなく第1のディレクトリサブツリーに適用されるアクセス制限を規定する第1のアクセスコントロールポリシーをLDAPディレクトリに格納し得る。第7の格納ユニット1432は、第1のディレクトリサブツリーではなく第2のディレクトリサブツリーに適用されるアクセス制限を規定する第2のアクセスコントロールポリシーをLDAPディレクトリに格納し得る。
演算装置1400はさらに、第3の生成ユニット1434、第8の格納ユニット1436、第4の生成ユニット1438、および第9の格納ユニット1440を含み得る。第3の生成ユニット1434は、第1のユーザのログイン名に第1のアイデンティティドメインの識別子を添付することによって、第1のユーザのためのグローバルユニーク識別子を生成し得る。第8の格納ユニット1436は、第1のユーザのためのグローバルユニーク識別子を第1のディレクトリサブツリーに格納し得る。第4の生成ユニット1438は、第2のユーザのログイン名に第2のアイデンティティドメインの識別子を添付することによって、第2のユーザのためのグローバルユニーク識別子を生成し得る。第9の格納ユニット1440は、第2のユーザのためのグローバルユニーク識別子を第2のディレクトリサブツリーに格納し得る。
演算装置1400はさらに、第10の格納ユニット1442、第11の格納ユニット1444、第1の受取ユニット1446、第1の復元ユニット1448、および第1の認証ユニット1450を含み得る。第10の格納ユニット1442は、第1のアイデンティティドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納し得る。第11の格納ユニット1444は、第2のアイデンティティドメインの識別子を規定する第2のログインウェブページを、第1のURLとは異なる第2のURLに関連付けて格納し得る。第1の受取ユニット1446は、特定のユーザから、第1のログインウェブページまたは第2のログインウェブページである特定のログインウェブページを介して、特定のユーザのログイン名を受取り得る。第1の復元ユニット1448は、(a)特定のユーザのログイン名および(b)特定のログインウェブページによって規定される特定のアイデンティティドメイン識別子の両方に基づいて、特定のユーザのためのグローバルユニーク識別子を復元し得る。第1の認証ユニット1450は、特定のユーザのためのグローバルユニーク識別子に基づいて特定のユーザを認証し得る。
演算装置1400はさらに、第5の生成ユニット1452および第1の追加ユニット1454を含み得る。第5の生成ユニットは、第1のアイデンティティドメインに対する特定のサービスインスタンスのデプロイメントに応じて、特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成し得る。第1の追加ユニットは、第1のアイデンティティドメインに対する特定のサービスインスタンスのデプロイメントに応じて、LDAPディレクトリに新しいアクセスコントロールポリシーを自動的に追加し得る。新しいアクセスコントロールポリシーは、特定のサービスインスタンスの名前を有するエンティティが、特定のサービスインスタンスがデプロイされているアイデンティティドメインに関係する情報にしかアクセスできないことを規定する。
さらに、本発明のいくつかの実施例は以下のとおり機能的に定義され得る。具体的には、クラウドコンピューティング環境内にライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP:lightweight directory access protocol)ディレクトリを含む装置またはシステムが提供される。装置またはシステムは、ルートノードを有するLDAPディレクトリにおいて、第2のドメインではなく第1のドメインに関連付けられるエンティティのアイデンティティを、ルートノードから派生する第1のディレクトリサブツリーに格納するための手段と、LDAPディレクトリにおいて、第1のドメインではなく第2のドメインに関連付けられるエンティティのアイデンティティを、ルートノードからも派生するが第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納するための手段と、第1のドメインにデプロイされたサービスインスタンスが第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するための手段と、第2のドメインにデプロイされたサービスインスタンスが第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するための手段とを含む。
好ましくは、装置またはシステムはさらに、第2のドメインにではなく第1のドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成するための手段を含む。第1のクレデンシャルは、LDAPディレクトリを維持するLDAPサーバによる検査時に、第1のサービスインスタンスが、第2のディレクトリサブツリーに格納されるアイデンティティではなく第1のディレクトリサブツリーに格納されるアイデンティティにアクセスすることをLDAPサーバに許可させる。当該装置またはシステムはさらに、第1のサービスインスタンスに第1のクレデンシャルを提供するための手段と、第1のドメインにではなく第2のドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成するための手段を含む。第2のクレデンシャルは、LDAPサーバによる検査時に、第2のサービスインスタンスが、第1のディレクトリサブツリーに格納されるアイデンティティではなく第2のディレクトリサブツリーに格納されるアイデンティティにアクセスすることをLDAPサーバに許可させる。当該装置またはシステムはさらに、第2のサービスインスタンスに第2のクレデンシャルを提供するための手段を含む。
好ましくは、装置またはシステムはさらに、第1のユーザのログイン名に第1のドメインの識別子を添付することによって、第1のユーザのためのグローバルユニーク識別子を生成するための手段と、第1のディレクトリサブツリーに第1のユーザのためのグローバルユニーク識別子を格納するための手段と、第2のユーザのログイン名に第2のドメインの識別子を添付することによって、第2のユーザのためのグローバルユニーク識別子を生成するための手段と、第2のディレクトリサブツリーに第2のユーザのためのグローバルユニーク識別子を格納するための手段と、第1のドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納するための手段と、第2のドメインの識別子を規定する第2のログインウェブページを、第1のURLとは異なる第2のURLに関連付けて格納するための手段と、特定のユーザから、第1のログインウェブページまたは第2のログインウェブページである特定のログインウェブページを介して、特定のユーザのログイン名を受取るための手段と、(a)特定のユーザのログイン名および(b)特定のログインウェブページによって規定される特定のドメイン識別子の両方に基づいて、特定のユーザのためのグローバルユニーク識別子を復元するための手段と、特定のユーザのためのグローバルユニーク識別子に基づいて特定のユーザを認証するための手段とを含む。
好ましくは、装置またはシステムはさらに、第1のドメインに対する特定のサービスインスタンスのデプロイメントに応じて、特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成するための手段と、第1のドメインに対する特定のサービスインスタンスのデプロイメントに応じて、LDAPディレクトリに新しいアクセスコントロールポリシーを自動的に追加するための手段とを含む。新しいアクセスコントロールポリシーは、特定のサービスインスタンスの名前を有するエンティティが、特定のサービスインスタンスがデプロイされているドメインに関係する情報にしかアクセスできないことを規定する。
したがって、明細書および図面は、限定的な意味ではなく例示的な意味で考えられるべきである。しかしながら、より広範な精神および範囲から逸脱することなく、追加、削減、削除ならびに他の変形および変更がそれに対してなされてもよいということは明白であろう。

Claims (52)

  1. コンピュータによって実現される方法であって、
    ルートノードを有するLDAPディレクトリにおいて、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納するステップと、
    前記LDAPディレクトリにおいて、前記第1のアイデンティティドメインではなく前記第2のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納するステップと、
    前記第1のアイデンティティドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップと、
    前記第2のアイデンティティドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップとを含む、コンピュータによって実現される方法。
  2. 前記第2のアイデンティティドメインではなく前記第1のアイデンティティドメインに関連付けられるユーザエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納するステップと、
    前記第2のアイデンティティドメインではなく前記第1のアイデンティティドメインに関連付けられるサービスインスタンスエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納するステップと、
    前記ユーザエンティティが前記LDAPディレクトリを維持するLDAPサーバと直接対話するのを阻止するステップと、
    前記サービスインスタンスエンティティが前記ユーザエンティティの代わりに前記LDAPサーバと直接対話することを可能にするステップとを含む、請求項1に記載の、コンピュータによって実現される方法。
  3. 前記第2のアイデンティティドメインにではなく前記第1のアイデンティティドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成するステップを含み、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに提供するステップと、
    前記第1のアイデンティティドメインにではなく前記第2のアイデンティティドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成するステップとを含み、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに提供するステップを含む、請求項1に記載の、コンピュータによって実現される方法。
  4. 複数のアイデンティティドメインからさまざまなアイデンティティドメインを規定するアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップと、
    少なくとも部分的に前記アクセスコントロールポリシーに基づいて前記LDAPディレクトリのアイデンティティドメイン関連のサブツリーへのアクセスを制御するステップとをさらに含む、請求項1に記載の、コンピュータによって実現される方法。
  5. 前記第2のディレクトリサブツリーではなく前記第1のディレクトリサブツリーに適用されるアクセス制限を規定する第1のアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップと、
    前記第1のディレクトリサブツリーではなく前記第2のディレクトリサブツリーに適用されるアクセス制限を規定する第2のアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップとをさらに含む、請求項4に記載の、コンピュータによって実現される方法。
  6. 第1のユーザのログイン名に第1のアイデンティティドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成するステップと、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納するステップと、
    第2のユーザのログイン名に第2のアイデンティティドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成するステップと、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納するステップとをさらに含む、請求項1に記載の、コンピュータによって実現される方法。
  7. 前記第1のアイデンティティドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL:uniform resource locator)に関連付けて格納するステップと、
    前記第2のアイデンティティドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納するステップと、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取るステップと、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のアイデンティティドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元するステップと、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証するステップとをさらに含む、請求項6に記載の、コンピュータによって実現される方法。
  8. 前記第1のアイデンティティドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成するステップと、
    前記第1のアイデンティティドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加するステップとを含み、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記アイデンティティドメインに関する情報にしかアクセスできないことを規定する、請求項1に記載の、コンピュータによって実現される方法。
  9. 規定された動作を1つ以上のプロセッサに実行させることができる特定の命令を格納するコンピュータ読取可能記憶メモリであって、前記特定の命令は、
    ルートノードを有するLDAPディレクトリにおいて、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納する命令と、
    前記LDAPディレクトリにおいて、前記第1のアイデンティティドメインではなく前記第2のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納する命令と、
    前記第1のアイデンティティドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止する命令と、
    前記第2のアイデンティティドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止する命令とを含む、コンピュータ読取可能記憶メモリ。
  10. 前記特定の命令はさらに、
    前記第2のアイデンティティドメインではなく前記第1のアイデンティティドメインに関連付けられるユーザエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納する命令と、
    前記第2のアイデンティティドメインではなく前記第1のアイデンティティドメインに関連付けられるサービスインスタンスエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納する命令と、
    前記ユーザエンティティが前記LDAPディレクトリを維持するLDAPサーバと直接対話するのを阻止する命令と、
    前記サービスインスタンスエンティティが前記ユーザエンティティの代わりに前記LDAPサーバと直接対話することを可能にする命令とを含む、請求項9に記載のコンピュータ読取可能記憶メモリ。
  11. 前記特定の命令はさらに、
    前記第2のアイデンティティドメインにではなく前記第1のアイデンティティドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成する命令を含み、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、前記特定の命令はさらに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに提供する命令と、
    前記第1のアイデンティティドメインにではなく前記第2のアイデンティティドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成する命令とを含み、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、前記特定の命令はさらに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに提供する命令を含む、請求項9に記載のコンピュータ読取可能記憶メモリ。
  12. 前記特定の命令はさらに、
    複数のアイデンティティドメインからさまざまなアイデンティティドメインを規定するアクセスコントロールポリシーを前記LDAPディレクトリに格納する命令と、
    少なくとも部分的に前記アクセスコントロールポリシーに基づいて前記LDAPディレクトリのアイデンティティドメイン関連のサブツリーへのアクセスを制御する命令とを含む、請求項9に記載のコンピュータ読取可能記憶メモリ。
  13. 前記特定の命令はさらに、
    前記第2のディレクトリサブツリーではなく前記第1のディレクトリサブツリーに適用されるアクセス制限を規定する第1のアクセスコントロールポリシーを前記LDAPディレクトリに格納する命令と、
    前記第1のディレクトリサブツリーではなく前記第2のディレクトリサブツリーに適用されるアクセス制限を規定する第2のアクセスコントロールポリシーを前記LDAPディレクトリに格納する命令とを含む、請求項12に記載のコンピュータ読取可能記憶メモリ。
  14. 前記特定の命令はさらに、
    第1のユーザのログイン名に第1のアイデンティティドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成する命令と、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納する命令と、
    第2のユーザのログイン名に第2のアイデンティティドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成する命令と、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納する命令とを含む、請求項9に記載のコンピュータ読取可能記憶メモリ。
  15. 前記特定の命令はさらに、
    前記第1のアイデンティティドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納する命令と、
    前記第2のアイデンティティドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納する命令と、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取る命令と、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のアイデンティティドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元する命令と、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証する命令とを含む、請求項14に記載のコンピュータ読取可能記憶メモリ。
  16. 前記特定の命令はさらに、
    前記第1のアイデンティティドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成する命令と、
    前記第1のアイデンティティドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加する命令とを含み、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記アイデンティティドメインに関する情報にしかアクセスできないことを規定する、請求項9に記載のコンピュータ読取可能記憶メモリ。
  17. システムであって、
    1つ以上のプロセッサと、
    特定の命令を格納するコンピュータ読取可能記憶メモリとを含み、前記特定の命令は、
    ルートノードを有するLDAPディレクトリにおいて、第2のアイデンティティドメインではなく第1のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納する命令と、
    前記LDAPディレクトリにおいて、前記第1のアイデンティティドメインではなく前記第2のアイデンティティドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納する命令と、
    前記第1のアイデンティティドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止する命令と、
    前記第2のアイデンティティドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止する命令とを含む、システム。
  18. 前記特定の命令はさらに、
    前記第2のアイデンティティドメインにではなく前記第1のアイデンティティドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成する命令を含み、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、前記特定の命令はさらに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに提供する命令と、
    前記第1のアイデンティティドメインにではなく前記第2のアイデンティティドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成する命令とを含み、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、前記特定の命令はさらに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに提供する命令を含む、請求項17に記載のシステム。
  19. 前記特定の命令はさらに、
    第1のユーザのログイン名に第1のアイデンティティドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成する命令と、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納する命令と、
    第2のユーザのログイン名に第2のアイデンティティドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成する命令と、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納する命令と、
    前記第1のアイデンティティドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納する命令と、
    前記第2のアイデンティティドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納する命令と、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取る命令と、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のアイデンティティドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元する命令と、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証する命令とを含む、請求項17に記載のシステム。
  20. 前記特定の命令はさらに、
    前記第1のアイデンティティドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成する命令と、
    前記第1のアイデンティティドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加する命令とを含み、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記アイデンティティドメインに関する情報にしかアクセスできないことを規定する、請求項17に記載のシステム。
  21. コンピュータによって実現される方法であって、
    ルートノードを有するLDAPディレクトリにおいて、第2のドメインではなく第1のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納するステップと、
    前記LDAPディレクトリにおいて、前記第1のドメインではなく前記第2のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納するステップと、
    前記第1のドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップと、
    前記第2のドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップとを含む、コンピュータによって実現される方法。
  22. 前記第2のドメインではなく前記第1のドメインに関連付けられるユーザエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納するステップと、
    前記第2のドメインではなく前記第1のドメインに関連付けられるサービスインスタンスエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納するステップと、
    前記ユーザエンティティが前記LDAPディレクトリを維持するLDAPサーバと直接対話するのを阻止するステップと、
    前記サービスインスタンスエンティティが前記ユーザエンティティの代わりに前記LDAPサーバと直接対話することを可能にするステップとを含む、請求項21に記載の、コンピュータによって実現される方法。
  23. 前記第2のドメインにではなく前記第1のドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成するステップを含み、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに提供するステップと、
    前記第1のドメインにではなく前記第2のドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成するステップとを含み、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに提供するステップを含む、請求項21または22に記載の、コンピュータによって実現される方法。
  24. 複数のドメインからさまざまなドメインを規定するアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップと、
    少なくとも部分的に前記アクセスコントロールポリシーに基づいて前記LDAPディレクトリのドメイン関連のサブツリーへのアクセスを制御するステップとをさらに含む、請求項21から23のいずれかに記載の、コンピュータによって実現される方法。
  25. 前記第2のディレクトリサブツリーではなく前記第1のディレクトリサブツリーに適用されるアクセス制限を規定する第1のアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップと、
    前記第1のディレクトリサブツリーではなく前記第2のディレクトリサブツリーに適用されるアクセス制限を規定する第2のアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップとをさらに含む、請求項21から24のいずれかに記載の、コンピュータによって実現される方法。
  26. 第1のユーザのログイン名に第1のドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成するステップと、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納するステップと、
    第2のユーザのログイン名に第2のドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成するステップと、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納するステップとを含む、請求項21から25のいずれかに記載の、コンピュータによって実現される方法。
  27. 前記第1のドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納するステップと、
    前記第2のドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納するステップと、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取るステップと、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のアイデンティティドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元するステップと、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証するステップとを含む、請求項21から26のいずれかに記載の、コンピュータによって実現される方法。
  28. 前記第1のドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成するステップと、
    前記第1のドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加するステップとを含み、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記ドメインに関する情報にしかアクセスできないことを規定する、請求項21から27のいずれかに記載の、コンピュータによって実現される方法。
  29. 命令を担持するコンピュータ読取可能媒体であって、前記命令は、1つ以上のプロセッサによって実行されると、コンピュータに、
    ルートノードを有するLDAPディレクトリにおいて、第2のドメインではなく第1のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納させ、
    前記LDAPディレクトリにおいて、前記第1のドメインではなく前記第2のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納させ、
    前記第1のドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止させ、
    前記第2のドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止させる、コンピュータ読取可能媒体。
  30. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    前記第2のドメインではなく前記第1のドメインに関連付けられるユーザエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納させ、
    前記第2のドメインではなく前記第1のドメインに関連付けられるサービスインスタンスエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納させ、
    前記ユーザエンティティが前記LDAPディレクトリを維持するLDAPサーバと直接対話するのを阻止させ、
    前記サービスインスタンスエンティティが前記ユーザエンティティの代わりに前記LDAPサーバと直接対話することを可能にさせる、請求項29に記載のコンピュータ読取可能媒体。
  31. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    前記第2のドメインにではなく前記第1のドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成させ、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに前記コンピュータに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに対して提供させ、
    前記第1のドメインにではなく前記第2のドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成させ、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに前記コンピュータに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに対して提供させる、請求項29または30に記載のコンピュータ読取可能媒体。
  32. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    複数のドメインからさまざまなドメインを規定するアクセスコントロールポリシーを前記LDAPディレクトリに格納させ、
    少なくとも部分的に前記アクセスコントロールポリシーに基づいて前記LDAPディレクトリのドメイン関連のサブツリーへのアクセスを制御させる、請求項29から31のいずれかに記載のコンピュータ読取可能媒体。
  33. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    前記第2のディレクトリサブツリーではなく前記第1のディレクトリサブツリーに適用されるアクセス制限を規定する第1のアクセスコントロールポリシーを前記LDAPディレクトリに格納させ、
    前記第1のディレクトリサブツリーではなく前記第2のディレクトリサブツリーに適用されるアクセス制限を規定する第2のアクセスコントロールポリシーを前記LDAPディレクトリに格納させる、請求項29から32のいずれかに記載のコンピュータ読取可能媒体。
  34. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    第1のユーザのログイン名に第1のドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成させ、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納させ、
    第2のユーザのログイン名に第2のドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成させ、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納させる、請求項29から33のいずれかに記載のコンピュータ読取可能媒体。
  35. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    前記第1のドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納させ、
    前記第2のドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納させ、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取らせ、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元させ、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証させる、請求項29から34のいずれかに記載のコンピュータ読取可能媒体。
  36. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    前記第1のドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成させ、
    前記第1のドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加させ、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記ドメインに関する情報にしかアクセスできないことを規定する、請求項29から35のいずれかに記載のコンピュータ読取可能媒体。
  37. 装置であって、
    1つ以上のプロセッサと、
    命令を担持するコンピュータ読取可能媒体とを含み、前記命令は、前記1つ以上のプロセッサによって実行されると、コンピュータに、
    ルートノードを有するLDAPディレクトリにおいて、第2のドメインではなく第1のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納させ、
    前記LDAPディレクトリにおいて、前記第1のドメインではなく前記第2のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納させ、
    前記第1のドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止させ、
    前記第2のドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止させる、装置。
  38. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    前記第2のドメインにではなく前記第1のドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成させ、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに前記コンピュータに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに対して提供させ、
    前記第1のドメインにではなく前記第2のドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成させ、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに前記コンピュータに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに対して提供させる、請求項37に記載の装置。
  39. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    第1のユーザのログイン名に第1のドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成させ、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納させ、
    第2のユーザのログイン名に第2のドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成させ、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納させ、
    前記第1のドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納させ、
    前記第2のドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納させ、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取らせ、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元させ、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証させる、請求項37または38に記載の装置。
  40. 前記命令は、前記1つ以上のプロセッサによって実行されると、前記コンピュータに、
    前記第1のドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成させ、
    前記第1のドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加させ、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記ドメインに関する情報にしかアクセスできないことを規定する、請求項37から39のいずれかに記載の装置。
  41. 規定された動作を1つ以上のプロセッサに実行させるコンピュータ読取可能プログラムであって、前記動作は、
    ルートノードを有するLDAPディレクトリにおいて、第2のドメインではなく第1のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納するステップと、
    前記LDAPディレクトリにおいて、前記第1のドメインではなく前記第2のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納するステップと、
    前記第1のドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップと、
    前記第2のドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するステップとを含む、コンピュータ読取可能プログラム。
  42. 前記動作はさらに、
    前記第2のドメインではなく前記第1のドメインに関連付けられるユーザエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納するステップと、
    前記第2のドメインではなく前記第1のドメインに関連付けられるサービスインスタンスエンティティのアイデンティティを前記第1のディレクトリサブツリーに格納するステップと、
    前記ユーザエンティティが前記LDAPディレクトリを維持するLDAPサーバと直接対話するのを阻止するステップと、
    前記サービスインスタンスエンティティが前記ユーザエンティティの代わりに前記LDAPサーバと直接対話することを可能にするステップとを含む、請求項41に記載のコンピュータ読取可能プログラム。
  43. 前記動作はさらに、
    前記第2のドメインにではなく前記第1のドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成するステップを含み、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、前記動作はさらに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに提供するステップと、
    前記第1のドメインにではなく前記第2のドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成するステップとを含み、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、前記動作はさらに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに提供するステップを含む、請求項41または42に記載のコンピュータ読取可能プログラム。
  44. 前記動作はさらに、
    複数のドメインからさまざまなドメインを規定するアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップと、
    少なくとも部分的に前記アクセスコントロールポリシーに基づいて前記LDAPディレクトリのドメイン関連のサブツリーへのアクセスを制御するステップとをさらに含む、請求項41から43のいずれかに記載のコンピュータ読取可能プログラム。
  45. 前記動作はさらに、
    前記第2のディレクトリサブツリーではなく前記第1のディレクトリサブツリーに適用されるアクセス制限を規定する第1のアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップと、
    前記第1のディレクトリサブツリーではなく前記第2のディレクトリサブツリーに適用されるアクセス制限を規定する第2のアクセスコントロールポリシーを前記LDAPディレクトリに格納するステップとをさらに含む、請求項41から44のいずれかに記載のコンピュータ読取可能プログラム。
  46. 前記動作はさらに、
    第1のユーザのログイン名に第1のドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成するステップと、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納するステップと、
    第2のユーザのログイン名に第2のドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成するステップと、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納するステップとを含む、請求項41から45のいずれかに記載のコンピュータ読取可能プログラム。
  47. 前記動作はさらに、
    前記第1のドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納するステップと、
    前記第2のドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納するステップと、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取るステップと、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のアイデンティティドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元するステップと、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証するステップとを含む、請求項41から46のいずれかに記載のコンピュータ読取可能プログラム。
  48. 前記動作はさらに、
    前記第1のドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成するステップと、
    前記第1のドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加するステップとを含み、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記ドメインに関する情報にしかアクセスできないことを規定する、請求項41から47のいずれかに記載のコンピュータ読取可能プログラム。
  49. 装置であって、
    ルートノードを有するLDAPディレクトリにおいて、第2のドメインではなく第1のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生する第1のディレクトリサブツリーに格納するための手段と、
    前記LDAPディレクトリにおいて、前記第1のドメインではなく前記第2のドメインに関連付けられるエンティティのアイデンティティを、前記ルートノードから派生するが前記第1のディレクトリサブツリーとは別個である第2のディレクトリサブツリーに格納するための手段と、
    前記第1のドメインにデプロイされたサービスインスタンスが前記第2のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するための手段と、
    前記第2のドメインにデプロイされたサービスインスタンスが前記第1のディレクトリサブツリーに格納されるアイデンティティにアクセスするのを阻止するための手段とを含む、装置。
  50. 前記第2のドメインにではなく前記第1のドメインに対する第1のサービスインスタンスのデプロイメントに応じて、第1のクレデンシャルを生成するための手段を含み、前記第1のクレデンシャルは、前記LDAPディレクトリを維持するLDAPサーバによる検査時に、前記第1のサービスインスタンスが、前記第2のディレクトリサブツリーに格納されたアイデンティティではなく前記第1のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに、
    前記第1のクレデンシャルを前記第1のサービスインスタンスに提供するための手段と、
    前記第1のドメインにではなく前記第2のドメインに対する第2のサービスインスタンスのデプロイメントに応じて、第2のクレデンシャルを生成するための手段とを含み、前記第2のクレデンシャルは、前記LDAPサーバによる検査時に、前記第2のサービスインスタンスが、前記第1のディレクトリサブツリーに格納されたアイデンティティではなく前記第2のディレクトリサブツリーに格納されたアイデンティティにアクセスすることを前記LDAPサーバに許可させ、さらに、
    前記第2のクレデンシャルを前記第2のサービスインスタンスに提供するための手段を含む、請求項49に記載の装置。
  51. 第1のユーザのログイン名に第1のドメインの識別子を添付することによって、前記第1のユーザのためのグローバルユニーク識別子を生成するための手段と、
    前記第1のユーザのための前記グローバルユニーク識別子を前記第1のディレクトリサブツリーに格納するための手段と、
    第2のユーザのログイン名に第2のドメインの識別子を添付することによって、前記第2のユーザのためのグローバルユニーク識別子を生成するための手段と、
    前記第2のユーザのための前記グローバルユニーク識別子を前記第2のディレクトリサブツリーに格納するための手段と、
    前記第1のドメインの識別子を規定する第1のログインウェブページを、第1のユニフォーム・リソース・ロケータ(URL)に関連付けて格納するための手段と、
    前記第2のドメインの識別子を規定する第2のログインウェブページを、前記第1のURLとは異なる第2のURLに関連付けて格納するための手段と、
    特定のユーザから、前記第1のログインウェブページまたは前記第2のログインウェブページである特定のログインウェブページを介して、前記特定のユーザのログイン名を受取るための手段と、
    (a)前記特定のユーザの前記ログイン名および(b)前記特定のログインウェブページによって規定される特定のドメイン識別子の両方に基づいて、前記特定のユーザのためのグローバルユニーク識別子を復元するための手段と、
    前記特定のユーザのための前記グローバルユニーク識別子に基づいて前記特定のユーザを認証するための手段とを含む、請求項49または50に記載の装置。
  52. 前記第1のドメインに対する特定のサービスインスタンスのデプロイメントに応じて、前記特定のサービスインスタンスの名前および任意に生成されたパスワードの両方を規定するバインドクレデンシャルを自動的に生成するための手段と、
    前記第1のドメインに対する前記特定のサービスインスタンスの前記デプロイメントに応じて、新しいアクセスコントロールポリシーを前記LDAPディレクトリに自動的に追加するための手段とを含み、前記新しいアクセスコントロールポリシーは、前記特定のサービスインスタンスの前記名前を有するエンティティが、前記特定のサービスインスタンスがデプロイされている前記ドメインに関する情報にしかアクセスできないことを規定する、請求項49から51のいずれかに記載の装置。
JP2015531254A 2012-09-07 2013-09-06 Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム Active JP6263537B2 (ja)

Applications Claiming Priority (15)

Application Number Priority Date Filing Date Title
US201261698463P 2012-09-07 2012-09-07
US201261698459P 2012-09-07 2012-09-07
US201261698413P 2012-09-07 2012-09-07
US61/698,413 2012-09-07
US61/698,463 2012-09-07
US61/698,459 2012-09-07
US201361785299P 2013-03-14 2013-03-14
US61/785,299 2013-03-14
US201361801048P 2013-03-15 2013-03-15
US13/838,813 2013-03-15
US13/838,813 US9276942B2 (en) 2012-09-07 2013-03-15 Multi-tenancy identity management system
US61/801,048 2013-03-15
US14/019,051 2013-09-05
US14/019,051 US9069979B2 (en) 2012-09-07 2013-09-05 LDAP-based multi-tenant in-cloud identity management system
PCT/US2013/058596 WO2014039882A1 (en) 2012-09-07 2013-09-06 Ldap-based multi-tenant in-cloud identity management system

Publications (3)

Publication Number Publication Date
JP2015537269A true JP2015537269A (ja) 2015-12-24
JP2015537269A5 JP2015537269A5 (ja) 2016-10-20
JP6263537B2 JP6263537B2 (ja) 2018-01-17

Family

ID=50234787

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015531254A Active JP6263537B2 (ja) 2012-09-07 2013-09-06 Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム

Country Status (5)

Country Link
US (1) US9069979B2 (ja)
EP (1) EP2893686B1 (ja)
JP (1) JP6263537B2 (ja)
CN (1) CN104769908B (ja)
WO (1) WO2014039882A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10581867B2 (en) 2012-09-07 2020-03-03 Oracle International Corporation Multi-tenancy identity management system

Families Citing this family (190)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9736065B2 (en) 2011-06-24 2017-08-15 Cisco Technology, Inc. Level of hierarchy in MST for traffic localization and load balancing
US8908698B2 (en) 2012-01-13 2014-12-09 Cisco Technology, Inc. System and method for managing site-to-site VPNs of a cloud managed network
US9058471B2 (en) 2012-06-08 2015-06-16 Oracle International Corporation Authorization system for heterogeneous enterprise environments
US10521746B2 (en) 2012-09-07 2019-12-31 Oracle International Corporation Recovery workflow for processing subscription orders in a computing infrastructure system
US9621435B2 (en) 2012-09-07 2017-04-11 Oracle International Corporation Declarative and extensible model for provisioning of cloud based services
US9069979B2 (en) 2012-09-07 2015-06-30 Oracle International Corporation LDAP-based multi-tenant in-cloud identity management system
US9253113B2 (en) 2012-09-07 2016-02-02 Oracle International Corporation Customizable model for throttling and prioritizing orders in a cloud environment
US9542400B2 (en) 2012-09-07 2017-01-10 Oracle International Corporation Service archive support
US10148530B2 (en) 2012-09-07 2018-12-04 Oracle International Corporation Rule based subscription cloning
US9467355B2 (en) 2012-09-07 2016-10-11 Oracle International Corporation Service association model
US9667470B2 (en) 2012-09-07 2017-05-30 Oracle International Corporation Failure handling in the execution flow of provisioning operations in a cloud environment
US9619540B2 (en) 2012-09-07 2017-04-11 Oracle International Corporation Subscription order generation for cloud services
US9015212B2 (en) * 2012-10-16 2015-04-21 Rackspace Us, Inc. System and method for exposing cloud stored data to a content delivery network
US9608958B2 (en) 2013-03-12 2017-03-28 Oracle International Corporation Lightweight directory access protocol (LDAP) join search mechanism
US9071606B2 (en) * 2013-03-13 2015-06-30 Meetrix Communications, Inc. Managing cloud service with community invitations
US9043439B2 (en) 2013-03-14 2015-05-26 Cisco Technology, Inc. Method for streaming packet captures from network access devices to a cloud server over HTTP
US20140280796A1 (en) * 2013-03-14 2014-09-18 Joyent, Inc. Systems and methods for providing a distributed service configuration framework
US8677359B1 (en) 2013-03-14 2014-03-18 Joyent, Inc. Compute-centric object stores and methods of use
US9348572B2 (en) * 2013-03-15 2016-05-24 Tapjoy, Inc. Rewarding mobile app installations without a software development kit in the mobile app
US8775485B1 (en) 2013-03-15 2014-07-08 Joyent, Inc. Object store management operations within compute-centric object stores
US10164962B2 (en) 2013-03-15 2018-12-25 Blackhawk Network, Inc. Using client certificates to communicate trusted information
US8978122B1 (en) 2013-03-29 2015-03-10 Emc Corporation Secure cross-tenancy federation in software-as-a-service system
US10908937B2 (en) 2013-11-11 2021-02-02 Amazon Technologies, Inc. Automatic directory join for virtual machine instances
US9736159B2 (en) * 2013-11-11 2017-08-15 Amazon Technologies, Inc. Identity pool bridging for managed directory services
US10375013B2 (en) 2013-11-11 2019-08-06 Amazon Technologies, Inc. Managed directory service connection
US9407615B2 (en) 2013-11-11 2016-08-02 Amazon Technologies, Inc. Single set of credentials for accessing multiple computing resource services
US9569634B1 (en) 2013-12-16 2017-02-14 Amazon Technologies, Inc. Fine-grained structured data store access using federated identity management
US10037514B2 (en) * 2013-12-19 2018-07-31 Centurylink Intellectual Property Llc Ubiquitous in-cloud microsite generator for high speed data customer intake and activation
WO2015108536A1 (en) * 2014-01-20 2015-07-23 Hewlett-Packard Development Company, L.P. Mapping tenant groups to identity management classes
WO2015112614A1 (en) 2014-01-21 2015-07-30 Oracle International Corporation System and method for supporting multi-tenancy in an application server, cloud, or other environment
US9733921B1 (en) * 2014-01-23 2017-08-15 NetSuite Inc. System and methods for management of cloud application extensions
KR101597035B1 (ko) * 2014-05-30 2016-02-23 주식회사 디케이아이테크놀로지 하이브리드 클라우드기반 아이씨티 서비스시스템을 이용한 소프트웨어 등록처리방법
WO2015200379A1 (en) * 2014-06-23 2015-12-30 Oracle International Corporation System and method for supporting security in a multitenant application server environment
US9712542B1 (en) * 2014-06-27 2017-07-18 Amazon Technologies, Inc. Permissions decisions in a service provider environment
US9948682B2 (en) * 2015-08-11 2018-04-17 Vescel, Llc Data resource control through a control policy defining an authorized context for utilization of a protected data resource
US10318753B2 (en) * 2014-06-30 2019-06-11 Vescel, Llc Semantic data structure and method
US10122605B2 (en) 2014-07-09 2018-11-06 Cisco Technology, Inc Annotation of network activity through different phases of execution
US20170242881A1 (en) * 2014-09-22 2017-08-24 Hewlett Packard Enterprise Development Lp Tenant data mapping for multiple tenant cloud applications
US10382537B2 (en) * 2014-09-25 2019-08-13 Oracle International Corporation System and method for use of a global runtime in a multitenant application server environment
US9825878B2 (en) 2014-09-26 2017-11-21 Cisco Technology, Inc. Distributed application framework for prioritizing network traffic using application priority awareness
US10257184B1 (en) 2014-09-29 2019-04-09 Amazon Technologies, Inc. Assigning policies for accessing multiple computing resource services
US9967319B2 (en) * 2014-10-07 2018-05-08 Microsoft Technology Licensing, Llc Security context management in multi-tenant environments
US10509663B1 (en) 2015-02-04 2019-12-17 Amazon Technologies, Inc. Automatic domain join for virtual machine instances
US10050862B2 (en) 2015-02-09 2018-08-14 Cisco Technology, Inc. Distributed application framework that uses network and application awareness for placing data
US10037617B2 (en) 2015-02-27 2018-07-31 Cisco Technology, Inc. Enhanced user interface systems including dynamic context selection for cloud-based networks
US10708342B2 (en) 2015-02-27 2020-07-07 Cisco Technology, Inc. Dynamic troubleshooting workspaces for cloud and network management systems
US9729541B2 (en) * 2015-03-31 2017-08-08 Here Global B.V. Method and apparatus for migrating encrypted data
US10382534B1 (en) 2015-04-04 2019-08-13 Cisco Technology, Inc. Selective load balancing of network traffic
US9729406B2 (en) * 2015-04-30 2017-08-08 Cisco Technology, Inc. Cloud provider, service, and tenant classification in cloud computing
US10728092B2 (en) 2015-05-01 2020-07-28 Microsoft Technology Licensing, Llc Cloud-mastered settings
US10476982B2 (en) 2015-05-15 2019-11-12 Cisco Technology, Inc. Multi-datacenter message queue
US10034201B2 (en) 2015-07-09 2018-07-24 Cisco Technology, Inc. Stateless load-balancing across multiple tunnels
US10169351B2 (en) 2015-08-19 2019-01-01 International Business Machines Corporation Merging directory information from a user directory to a common directory
US10581670B2 (en) 2015-10-02 2020-03-03 Microsoft Technology Licensing, Llc Cross-data center interoperation and communication
US11005682B2 (en) 2015-10-06 2021-05-11 Cisco Technology, Inc. Policy-driven switch overlay bypass in a hybrid cloud network environment
US10067780B2 (en) 2015-10-06 2018-09-04 Cisco Technology, Inc. Performance-based public cloud selection for a hybrid cloud environment
US10462136B2 (en) 2015-10-13 2019-10-29 Cisco Technology, Inc. Hybrid cloud security groups
KR101739415B1 (ko) 2015-10-28 2017-05-24 주식회사 엘지유플러스 인터넷을 통한 정보의 접속 제어 장치 및 그 방법
US10523657B2 (en) 2015-11-16 2019-12-31 Cisco Technology, Inc. Endpoint privacy preservation with cloud conferencing
US10205677B2 (en) 2015-11-24 2019-02-12 Cisco Technology, Inc. Cloud resource placement optimization and migration execution in federated clouds
US10084703B2 (en) 2015-12-04 2018-09-25 Cisco Technology, Inc. Infrastructure-exclusive service forwarding
US10367914B2 (en) 2016-01-12 2019-07-30 Cisco Technology, Inc. Attaching service level agreements to application containers and enabling service assurance
US10218663B2 (en) * 2016-01-20 2019-02-26 Facebook, Inc. Splitting message channels
US10917400B1 (en) * 2016-02-19 2021-02-09 United Services Automobile Association (Usaa) Online security center
US10498772B2 (en) * 2016-03-21 2019-12-03 Vireshwar K. Adhar Method and system for digital privacy management
US10404710B2 (en) * 2016-03-30 2019-09-03 Change Healthcare Holdings, Llc Methods and apparatuses for providing improved directory services
US10311250B2 (en) 2016-04-05 2019-06-04 Vchain Technology Limited Method and system for managing personal information within independent computer systems and digital networks
US10339153B2 (en) 2016-04-12 2019-07-02 International Business Machines Corporation Uniformly accessing federated user registry topologies
WO2017182085A1 (en) * 2016-04-21 2017-10-26 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for provisioning of customer product
US10878079B2 (en) 2016-05-11 2020-12-29 Oracle International Corporation Identity cloud service authorization model with dynamic roles and scopes
US10454940B2 (en) 2016-05-11 2019-10-22 Oracle International Corporation Identity cloud service authorization model
US10341410B2 (en) 2016-05-11 2019-07-02 Oracle International Corporation Security tokens for a multi-tenant identity and data security management cloud service
US9781122B1 (en) 2016-05-11 2017-10-03 Oracle International Corporation Multi-tenant identity and data security management cloud service
US9838376B1 (en) 2016-05-11 2017-12-05 Oracle International Corporation Microservices based multi-tenant identity and data security management cloud service
US10581820B2 (en) 2016-05-11 2020-03-03 Oracle International Corporation Key generation and rollover
US9838377B1 (en) 2016-05-11 2017-12-05 Oracle International Corporation Task segregation in a multi-tenant identity and data security management cloud service
US10425386B2 (en) 2016-05-11 2019-09-24 Oracle International Corporation Policy enforcement point for a multi-tenant identity and data security management cloud service
US10230708B2 (en) * 2016-05-20 2019-03-12 Sap Se Application managed service instances
US10129177B2 (en) 2016-05-23 2018-11-13 Cisco Technology, Inc. Inter-cloud broker for hybrid cloud networks
US10659283B2 (en) 2016-07-08 2020-05-19 Cisco Technology, Inc. Reducing ARP/ND flooding in cloud environment
US10432532B2 (en) 2016-07-12 2019-10-01 Cisco Technology, Inc. Dynamically pinning micro-service to uplink port
US10263898B2 (en) 2016-07-20 2019-04-16 Cisco Technology, Inc. System and method for implementing universal cloud classification (UCC) as a service (UCCaaS)
US10382597B2 (en) 2016-07-20 2019-08-13 Cisco Technology, Inc. System and method for transport-layer level identification and isolation of container traffic
US10142346B2 (en) 2016-07-28 2018-11-27 Cisco Technology, Inc. Extension of a private cloud end-point group to a public cloud
US10585682B2 (en) 2016-08-05 2020-03-10 Oracle International Corporation Tenant self-service troubleshooting for a multi-tenant identity and data security management cloud service
US10735394B2 (en) 2016-08-05 2020-08-04 Oracle International Corporation Caching framework for a multi-tenant identity and data security management cloud service
US10516672B2 (en) 2016-08-05 2019-12-24 Oracle International Corporation Service discovery for a multi-tenant identity and data security management cloud service
US10263947B2 (en) 2016-08-05 2019-04-16 Oracle International Corporation LDAP to SCIM proxy service
US10721237B2 (en) 2016-08-05 2020-07-21 Oracle International Corporation Hierarchical processing for a virtual directory system for LDAP to SCIM proxy service
US10530578B2 (en) 2016-08-05 2020-01-07 Oracle International Corporation Key store service
US10255061B2 (en) 2016-08-05 2019-04-09 Oracle International Corporation Zero down time upgrade for a multi-tenant identity and data security management cloud service
US10567344B2 (en) 2016-08-23 2020-02-18 Cisco Technology, Inc. Automatic firewall configuration based on aggregated cloud managed information
US10484382B2 (en) 2016-08-31 2019-11-19 Oracle International Corporation Data management for a multi-tenant identity cloud service
US10594684B2 (en) 2016-09-14 2020-03-17 Oracle International Corporation Generating derived credentials for a multi-tenant identity cloud service
US10846390B2 (en) 2016-09-14 2020-11-24 Oracle International Corporation Single sign-on functionality for a multi-tenant identity and data security management cloud service
US10511589B2 (en) 2016-09-14 2019-12-17 Oracle International Corporation Single logout functionality for a multi-tenant identity and data security management cloud service
US10791087B2 (en) 2016-09-16 2020-09-29 Oracle International Corporation SCIM to LDAP mapping using subtype attributes
US10567364B2 (en) 2016-09-16 2020-02-18 Oracle International Corporation Preserving LDAP hierarchy in a SCIM directory using special marker groups
US11138017B2 (en) 2016-09-16 2021-10-05 Oracle International Corporation System and method for partition administrative targeting in an application server environment
WO2018053258A1 (en) * 2016-09-16 2018-03-22 Oracle International Corporation Tenant and service management for a multi-tenant identity and data security management cloud service
US10445395B2 (en) 2016-09-16 2019-10-15 Oracle International Corporation Cookie based state propagation for a multi-tenant identity cloud service
US10341354B2 (en) 2016-09-16 2019-07-02 Oracle International Corporation Distributed high availability agent architecture
US10484243B2 (en) 2016-09-16 2019-11-19 Oracle International Corporation Application management for a multi-tenant identity cloud service
US10904074B2 (en) 2016-09-17 2021-01-26 Oracle International Corporation Composite event handler for a multi-tenant identity cloud service
US10523592B2 (en) 2016-10-10 2019-12-31 Cisco Technology, Inc. Orchestration system for migrating user data and services based on user information
US11044162B2 (en) 2016-12-06 2021-06-22 Cisco Technology, Inc. Orchestration of cloud and fog interactions
US11044145B2 (en) * 2016-12-13 2021-06-22 International Business Machines Corporation Configuring and naming of cloud provisioning entities
US11153273B2 (en) 2016-12-13 2021-10-19 International Business Machines Corporation Generating and managing names of instances
US10419410B2 (en) 2016-12-15 2019-09-17 Seagate Technology Llc Automatic generation of unique identifiers for distributed directory management users
US10326817B2 (en) 2016-12-20 2019-06-18 Cisco Technology, Inc. System and method for quality-aware recording in large scale collaborate clouds
US10334029B2 (en) 2017-01-10 2019-06-25 Cisco Technology, Inc. Forming neighborhood groups from disperse cloud providers
US10552191B2 (en) 2017-01-26 2020-02-04 Cisco Technology, Inc. Distributed hybrid cloud orchestration model
CA3051851A1 (en) 2017-01-26 2018-08-02 Semper Fortis Solutions, LLC Multiple single levels of security (msls) in a multi-tenant cloud
US10320683B2 (en) 2017-01-30 2019-06-11 Cisco Technology, Inc. Reliable load-balancer using segment routing and real-time application monitoring
US10671571B2 (en) 2017-01-31 2020-06-02 Cisco Technology, Inc. Fast network performance in containerized environments for network function virtualization
US10880295B2 (en) * 2017-03-06 2020-12-29 Ssh Communications Security Oyj Access control in a computer system
US10261836B2 (en) 2017-03-21 2019-04-16 Oracle International Corporation Dynamic dispatching of workloads spanning heterogeneous services
US11005731B2 (en) 2017-04-05 2021-05-11 Cisco Technology, Inc. Estimating model parameters for automatic deployment of scalable micro services
US10536450B2 (en) * 2017-04-18 2020-01-14 Microsoft Technology Licensing, Llc. Personal identifier sign-in for organizational users
US10771591B2 (en) * 2017-05-03 2020-09-08 Open Text GXS ULC Just-in-time auto-provisioning systems and methods for information exchange platform
US10454915B2 (en) 2017-05-18 2019-10-22 Oracle International Corporation User authentication using kerberos with identity cloud service
US10511593B2 (en) * 2017-06-13 2019-12-17 Microsoft Technology Licensing, Llc Cross cloud application access
US10469479B2 (en) * 2017-06-13 2019-11-05 Microsoft Technology Licensing, Llc Cross cloud tenant discovery
US10382274B2 (en) 2017-06-26 2019-08-13 Cisco Technology, Inc. System and method for wide area zero-configuration network auto configuration
US10439877B2 (en) 2017-06-26 2019-10-08 Cisco Technology, Inc. Systems and methods for enabling wide area multicast domain name system
EP3652887A1 (en) 2017-07-10 2020-05-20 Zamna Technologies Limited Method and system for data security within independent computer systems and digital networks
US10892940B2 (en) 2017-07-21 2021-01-12 Cisco Technology, Inc. Scalable statistics and analytics mechanisms in cloud networking
US10425288B2 (en) 2017-07-21 2019-09-24 Cisco Technology, Inc. Container telemetry in data center environments with blade servers and switches
US10601693B2 (en) 2017-07-24 2020-03-24 Cisco Technology, Inc. System and method for providing scalable flow monitoring in a data center fabric
US10541866B2 (en) 2017-07-25 2020-01-21 Cisco Technology, Inc. Detecting and resolving multicast traffic performance issues
US10367735B2 (en) * 2017-08-22 2019-07-30 Cisco Technology, Inc. Cloud provider classification for different service deployment schemes
US10348735B2 (en) * 2017-09-01 2019-07-09 Atlassian Pty Ltd Systems and methods for accessing cloud resources from a local development environment
US10348858B2 (en) 2017-09-15 2019-07-09 Oracle International Corporation Dynamic message queues for a microservice based cloud service
US10831789B2 (en) 2017-09-27 2020-11-10 Oracle International Corporation Reference attribute query processing for a multi-tenant cloud service
US11271969B2 (en) 2017-09-28 2022-03-08 Oracle International Corporation Rest-based declarative policy management
US10834137B2 (en) 2017-09-28 2020-11-10 Oracle International Corporation Rest-based declarative policy management
US10705823B2 (en) 2017-09-29 2020-07-07 Oracle International Corporation Application templates and upgrade framework for a multi-tenant identity cloud service
US10877960B2 (en) * 2017-10-16 2020-12-29 Citrix Systems, Inc. Normalizing user identification across disparate systems
US10353800B2 (en) 2017-10-18 2019-07-16 Cisco Technology, Inc. System and method for graph based monitoring and management of distributed systems
US11481362B2 (en) 2017-11-13 2022-10-25 Cisco Technology, Inc. Using persistent memory to enable restartability of bulk load transactions in cloud databases
EP3735648A1 (en) 2017-12-06 2020-11-11 Zamna Technologies Limited Method and system for data security, validation, verification and provenance within independent computer systems and digital networks
US10601804B2 (en) 2017-12-11 2020-03-24 International Business Machines Corporation Provide access to data storage services in a network environment
US10705882B2 (en) 2017-12-21 2020-07-07 Cisco Technology, Inc. System and method for resource placement across clouds for data intensive workloads
US10866963B2 (en) 2017-12-28 2020-12-15 Dropbox, Inc. File system authentication
US11595474B2 (en) 2017-12-28 2023-02-28 Cisco Technology, Inc. Accelerating data replication using multicast and non-volatile memory enabled nodes
US10715564B2 (en) 2018-01-29 2020-07-14 Oracle International Corporation Dynamic client registration for an identity cloud service
EP3528110A1 (en) * 2018-02-19 2019-08-21 Siemens Aktiengesellschaft Method and system for managing sub-tenants in a cloud computing environment
US10931656B2 (en) 2018-03-27 2021-02-23 Oracle International Corporation Cross-region trust for a multi-tenant identity cloud service
US10798165B2 (en) 2018-04-02 2020-10-06 Oracle International Corporation Tenant data comparison for a multi-tenant identity cloud service
US11165634B2 (en) 2018-04-02 2021-11-02 Oracle International Corporation Data replication conflict detection and resolution for a multi-tenant identity cloud service
US11258775B2 (en) 2018-04-04 2022-02-22 Oracle International Corporation Local write for a multi-tenant identity cloud service
US10511534B2 (en) 2018-04-06 2019-12-17 Cisco Technology, Inc. Stateless distributed load-balancing
US10728361B2 (en) 2018-05-29 2020-07-28 Cisco Technology, Inc. System for association of customer information across subscribers
US10904322B2 (en) 2018-06-15 2021-01-26 Cisco Technology, Inc. Systems and methods for scaling down cloud-based servers handling secure connections
US10764266B2 (en) 2018-06-19 2020-09-01 Cisco Technology, Inc. Distributed authentication and authorization for rapid scaling of containerized services
US11019083B2 (en) 2018-06-20 2021-05-25 Cisco Technology, Inc. System for coordinating distributed website analysis
US11012444B2 (en) 2018-06-25 2021-05-18 Oracle International Corporation Declarative third party identity provider integration for a multi-tenant identity cloud service
US11025425B2 (en) 2018-06-25 2021-06-01 Elasticsearch B.V. User security token invalidation
US11223626B2 (en) * 2018-06-28 2022-01-11 Elasticsearch B.V. Service-to-service role mapping systems and methods
US10764273B2 (en) 2018-06-28 2020-09-01 Oracle International Corporation Session synchronization across multiple devices in an identity cloud service
US10819571B2 (en) 2018-06-29 2020-10-27 Cisco Technology, Inc. Network traffic optimization using in-situ notification system
US11196554B2 (en) 2018-07-27 2021-12-07 Elasticsearch B.V. Default password removal
US10904342B2 (en) 2018-07-30 2021-01-26 Cisco Technology, Inc. Container networking using communication tunnels
US11102214B2 (en) 2018-08-27 2021-08-24 Amazon Technologies, Inc. Directory access sharing across web services accounts
US11693835B2 (en) 2018-10-17 2023-07-04 Oracle International Corporation Dynamic database schema allocation on tenant onboarding for a multi-tenant identity cloud service
US11321187B2 (en) 2018-10-19 2022-05-03 Oracle International Corporation Assured lazy rollback for a multi-tenant identity cloud service
US11023598B2 (en) 2018-12-06 2021-06-01 Elasticsearch B.V. Document-level attribute-based access control
US11050837B2 (en) * 2019-01-31 2021-06-29 Hewlett Packard Enterprise Development Lp Providing cloud services associated with unused hardware resources of private cloud providers
US11651357B2 (en) 2019-02-01 2023-05-16 Oracle International Corporation Multifactor authentication without a user footprint
US11061929B2 (en) 2019-02-08 2021-07-13 Oracle International Corporation Replication of resource type and schema metadata for a multi-tenant identity cloud service
US11321343B2 (en) 2019-02-19 2022-05-03 Oracle International Corporation Tenant replication bootstrap for a multi-tenant identity cloud service
US11669321B2 (en) 2019-02-20 2023-06-06 Oracle International Corporation Automated database upgrade for a multi-tenant identity cloud service
US11792226B2 (en) 2019-02-25 2023-10-17 Oracle International Corporation Automatic api document generation from scim metadata
US11423111B2 (en) 2019-02-25 2022-08-23 Oracle International Corporation Client API for rest based endpoints for a multi-tenant identify cloud service
US11695777B2 (en) * 2019-02-26 2023-07-04 Vmware, Inc. Hybrid access control model in computer systems
US20200280550A1 (en) * 2019-02-28 2020-09-03 Nok Nok Labs, Inc. System and method for endorsing a new authenticator
US11687378B2 (en) 2019-09-13 2023-06-27 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability
US11870770B2 (en) 2019-09-13 2024-01-09 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration
LU101390B1 (en) 2019-09-18 2021-03-25 Microsoft Technology Licensing Llc Multimaster database for identity and electronic mail in ddil environments
US11200095B2 (en) * 2019-09-23 2021-12-14 Open Text Holdings, Inc. System and method for an efficient and scalable multitenant implementation for content management services platforms, including cloud deployed content management services platforms
CN110806916B (zh) * 2019-11-05 2024-01-26 北京金和网络股份有限公司 实现saas平台各租户个性化登录页的方法及系统
US11611548B2 (en) 2019-11-22 2023-03-21 Oracle International Corporation Bulk multifactor authentication enrollment
CN110855714B (zh) * 2019-11-29 2021-09-14 广州鲁邦通物联网科技有限公司 一种多租户设备的安全连接方法和系统
US11843593B2 (en) 2020-06-01 2023-12-12 Citrix Systems, Inc. Application integration using multiple user identities
CN111950866B (zh) * 2020-07-24 2023-11-07 合肥森亿智能科技有限公司 基于角色的多租户组织结构管理系统、方法、设备和介质
US11895119B2 (en) * 2021-01-31 2024-02-06 Salesforce, Inc. Systems, methods, and apparatuses for pre-configured per-tenant isolation in a multi-tenant cloud based computing environment
CN114281464A (zh) * 2021-12-31 2022-04-05 瀚云科技有限公司 一种多租户的动态登录页面生成方法及系统
CN114693283B (zh) * 2022-06-01 2022-09-27 四川高灯企服科技有限公司 跨系统的业务流程审批处理方法、装置和计算机设备
CN115604199B (zh) * 2022-10-09 2023-05-26 上海道客网络科技有限公司 一种云原生平台微服务网关的服务路由方法和系统
CN116800550A (zh) * 2023-08-29 2023-09-22 北京仁科互动网络技术有限公司 软件即服务SaaS模式下区域管理方法、装置和设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005522787A (ja) * 2002-04-08 2005-07-28 オラクル・インターナショナル・コーポレイション 物理的ストレージを抽象するプラグ可能なアーキテクチャを有するパーシステントなキーと値とのリポジトリ
JP2009536377A (ja) * 2006-04-12 2009-10-08 サイトリックス システムズ, インコーポレイテッド リモートユーザに対するコンピューティング環境の提供を加速するためのシステムおよび方法
US7664866B2 (en) * 2007-04-10 2010-02-16 Apertio Limited Sub-tree access control in network architectures
JP2011232840A (ja) * 2010-04-26 2011-11-17 Hitachi Ltd アクセス制御情報管理方法、計算機システム及びプログラム
US20120017271A1 (en) * 2010-07-14 2012-01-19 Smith Ned M Domain-authenticated control of platform resources
US20120117229A1 (en) * 2010-06-15 2012-05-10 Van Biljon Willem Robert Virtualization Layer in a Virtual Computing Infrastructure

Family Cites Families (94)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6516416B2 (en) 1997-06-11 2003-02-04 Prism Resources Subscription access system for use with an untrusted network
GB2329044B (en) 1997-09-05 2002-10-09 Ibm Data retrieval system
US5991756A (en) 1997-11-03 1999-11-23 Yahoo, Inc. Information retrieval from hierarchical compound documents
US6052684A (en) 1998-03-24 2000-04-18 Hewlett-Packard Company System and method for performing consistent workflow process execution in a workflow management system
US6085188A (en) 1998-03-30 2000-07-04 International Business Machines Corporation Method of hierarchical LDAP searching with relational tables
US6526513B1 (en) 1999-08-03 2003-02-25 International Business Machines Corporation Architecture for dynamic permissions in java
CA2404014A1 (en) 2000-03-30 2001-10-11 Cygent, Inc. System and method for establishing electronic business systems for supporting communications services commerce
US6757673B2 (en) 2000-10-09 2004-06-29 Town Compass Llc Displaying hierarchial relationship of data accessed via subject index
EP1356363A2 (en) 2000-12-06 2003-10-29 Waveset Technologies, Inc System and method for managing information objects
US7051039B1 (en) 2001-09-28 2006-05-23 Oracle International Corporation Mechanism for uniform access control in a database system
US7136867B1 (en) * 2002-04-08 2006-11-14 Oracle International Corporation Metadata format for hierarchical data storage on a raw storage device
US9565275B2 (en) 2012-02-09 2017-02-07 Rockwell Automation Technologies, Inc. Transformation of industrial data into useful cloud information
US20040215610A1 (en) 2003-04-22 2004-10-28 Lawson Software, Inc. System and method for extracting and applying business organization information
US8463819B2 (en) 2004-09-01 2013-06-11 Oracle International Corporation Centralized enterprise security policy framework
ATE527616T1 (de) 2004-12-23 2011-10-15 Sap Ag Umgekehrtes herleiten von zugriffsteuerungen
US7945041B2 (en) 2005-05-27 2011-05-17 International Business Machines Corporation Method, system and program product for managing a customer request
US7774827B2 (en) 2005-06-06 2010-08-10 Novell, Inc. Techniques for providing role-based security with instance-level granularity
US20070028098A1 (en) 2005-07-28 2007-02-01 International Business Machines Corporation Encrypting units of work based on a trust level
US20070055602A1 (en) 2005-09-02 2007-03-08 Mohn Anne M Methods and systems for financial account management
US8972449B2 (en) 2005-12-29 2015-03-03 Nextlabs, Inc. Preventing conflicts of interests between two or more groups
US8244745B2 (en) 2005-12-29 2012-08-14 Nextlabs, Inc. Analyzing usage information of an information management system
US7992194B2 (en) * 2006-03-14 2011-08-02 International Business Machines Corporation Methods and apparatus for identity and role management in communication networks
US20070283147A1 (en) 2006-05-30 2007-12-06 Fried Eric P System and method to manage device access in a software partition
US9110934B2 (en) 2006-06-02 2015-08-18 International Business Machines Corporation System and method for delivering an integrated server administration platform
US8201216B2 (en) 2006-09-11 2012-06-12 Interdigital Technology Corporation Techniques for database structure and management
US8601598B2 (en) 2006-09-29 2013-12-03 Microsoft Corporation Off-premise encryption of data storage
US8705746B2 (en) 2006-09-29 2014-04-22 Microsoft Corporation Data security in an off-premise environment
EP1914951B8 (en) 2006-10-17 2009-06-03 Software Ag Methods and system for storing and retrieving identity mapping information
US8402514B1 (en) 2006-11-17 2013-03-19 Network Appliance, Inc. Hierarchy-aware role-based access control
US9769177B2 (en) 2007-06-12 2017-09-19 Syracuse University Role-based access control to computing resources in an inter-organizational community
WO2009018584A1 (en) * 2007-08-02 2009-02-05 Fugen Solutions, Inc. Method and apparatus for multi-domain identity interoperability and certification
US20090126007A1 (en) 2007-11-08 2009-05-14 Avantia, Inc. Identity management suite
WO2009067101A1 (en) 2007-11-21 2009-05-28 Lucent Technologies Inc. Rule based hierarchical account resource management system and method
US9323938B2 (en) 2007-12-31 2016-04-26 Enterra Solutions, Llc Holistic XACML and obligation code automatically generated from ontologically defined rule set
US20090178102A1 (en) 2008-01-04 2009-07-09 Khaled Alghathbar Implementing Security Policies in Software Development Tools
US20090205018A1 (en) 2008-02-07 2009-08-13 Ferraiolo David F Method and system for the specification and enforcement of arbitrary attribute-based access control policies
CN101232515A (zh) * 2008-02-25 2008-07-30 浪潮电子信息产业股份有限公司 一种基于ldap的分布式的集群管理监控系统
US8484174B2 (en) 2008-03-20 2013-07-09 Microsoft Corporation Computing environment representation
CN101447981B (zh) * 2008-04-03 2012-11-28 中兴通讯股份有限公司 基于ldap协议的客户端与服务器的交互方法及系统
US8291474B2 (en) 2008-04-16 2012-10-16 Oracle America, Inc. Using opaque groups in a federated identity management environment
US8572602B1 (en) 2008-06-05 2013-10-29 Appcelerator, Inc. System and method for synchronization of a web application to a cloud provider
US8533797B2 (en) 2008-06-12 2013-09-10 Microsoft Corporation Using windows authentication in a workgroup to manage application users
US8843997B1 (en) * 2009-01-02 2014-09-23 Resilient Network Systems, Inc. Resilient trust network services
US7953896B2 (en) 2009-05-27 2011-05-31 Microsoft Corporation Managing user accounts and groups in multiple forests
EP2256660B1 (en) 2009-05-28 2015-08-12 Sap Se Computer-implemented method, computer system, and computer program product for optimization of evaluation of a policy specification
WO2010149222A1 (en) 2009-06-26 2010-12-29 Nokia Siemens Networks Oy Attribute management
US8631477B2 (en) 2009-07-23 2014-01-14 International Business Machines Corporation Lifecycle management of privilege sharing using an identity management system
US20110040793A1 (en) 2009-08-12 2011-02-17 Mark Davidson Administration Groups
US8671036B2 (en) 2009-11-06 2014-03-11 Microsoft Corporation User interface for defining account dimension combinations
CN102064953A (zh) * 2009-11-12 2011-05-18 中兴通讯股份有限公司 ldap服务器的用户权限信息配置系统、装置和方法
US20110126197A1 (en) 2009-11-25 2011-05-26 Novell, Inc. System and method for controlling cloud and virtualized data centers in an intelligent workload management system
US20110131146A1 (en) 2009-12-02 2011-06-02 Anthony John Skutnik Employment management system
US8615584B2 (en) 2009-12-03 2013-12-24 International Business Machines Corporation Reserving services within a cloud computing environment
US8387137B2 (en) 2010-01-05 2013-02-26 Red Hat, Inc. Role-based access control utilizing token profiles having predefined roles
US8387136B2 (en) 2010-01-05 2013-02-26 Red Hat, Inc. Role-based access control utilizing token profiles
US8676848B2 (en) 2010-06-09 2014-03-18 International Business Machines Corporation Configuring cloud resources
US8904382B2 (en) 2010-06-17 2014-12-02 International Business Machines Corporation Creating instances of cloud computing environments
US20110313902A1 (en) 2010-06-18 2011-12-22 International Business Machines Corporation Budget Management in a Compute Cloud
US8935397B2 (en) 2010-07-01 2015-01-13 Red Hat, Inc. Dividing cloud resources
US8769704B2 (en) 2010-09-10 2014-07-01 Salesforce.Com, Inc. Method and system for managing and monitoring of a multi-tenant system
US8825791B2 (en) 2010-11-24 2014-09-02 Red Hat, Inc. Managing subscribed resource in cloud network using variable or instantaneous consumption tracking periods
EP2458548A1 (en) 2010-11-30 2012-05-30 France Telecom System and method for implementing dynamic access control rules to personal cloud information
US20120221454A1 (en) 2011-02-28 2012-08-30 Morgan Christopher Edwin Systems and methods for generating marketplace brokerage exchange of excess subscribed resources using dynamic subscription periods
US8959221B2 (en) 2011-03-01 2015-02-17 Red Hat, Inc. Metering cloud resource consumption using multiple hierarchical subscription periods
US8832219B2 (en) 2011-03-01 2014-09-09 Red Hat, Inc. Generating optimized resource consumption periods for multiple users on combined basis
US8661500B2 (en) 2011-05-20 2014-02-25 Nokia Corporation Method and apparatus for providing end-to-end privacy for distributed computations
US8631099B2 (en) 2011-05-27 2014-01-14 Red Hat, Inc. Systems and methods for cloud deployment engine for selective workload migration or federation based on workload conditions
US9037723B2 (en) 2011-05-31 2015-05-19 Red Hat, Inc. Triggering workload movement based on policy stack having multiple selectable inputs
US8769622B2 (en) 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
US8782762B2 (en) 2011-08-17 2014-07-15 International Business Machines Corporation Building data security in a networked computing environment
US8789157B2 (en) 2011-09-06 2014-07-22 Ebay Inc. Hybrid cloud identity mapping infrastructure
US20130086669A1 (en) 2011-09-29 2013-04-04 Oracle International Corporation Mobile application, single sign-on management
US9390255B2 (en) 2011-09-29 2016-07-12 Oracle International Corporation Privileged account manager, dynamic policy engine
US8813205B2 (en) 2012-02-06 2014-08-19 International Business Machines Corporation Consolidating disparate cloud service data and behavior based on trust relationships between cloud services
US20130268480A1 (en) 2012-04-05 2013-10-10 Box, Inc. Method and apparatus for selective subfolder synchronization in a cloud-based environment
US10089323B2 (en) 2012-04-05 2018-10-02 Microsoft Technology Licensing, Llc Telemetry system for a cloud synchronization system
US9307006B2 (en) 2012-04-11 2016-04-05 Salesforce.Com, Inc. System and method for synchronizing data objects in a cloud based social networking environment
US8788819B2 (en) 2012-04-27 2014-07-22 Yahoo! Inc. System and method for a cloud-based electronic communication vault
US9058471B2 (en) 2012-06-08 2015-06-16 Oracle International Corporation Authorization system for heterogeneous enterprise environments
US9558202B2 (en) 2012-08-27 2017-01-31 Box, Inc. Server side techniques for reducing database workload in implementing selective subfolder synchronization in a cloud-based environment
US9542400B2 (en) 2012-09-07 2017-01-10 Oracle International Corporation Service archive support
US9467355B2 (en) 2012-09-07 2016-10-11 Oracle International Corporation Service association model
US9667470B2 (en) 2012-09-07 2017-05-30 Oracle International Corporation Failure handling in the execution flow of provisioning operations in a cloud environment
US10521746B2 (en) 2012-09-07 2019-12-31 Oracle International Corporation Recovery workflow for processing subscription orders in a computing infrastructure system
US9621435B2 (en) 2012-09-07 2017-04-11 Oracle International Corporation Declarative and extensible model for provisioning of cloud based services
WO2014039921A1 (en) 2012-09-07 2014-03-13 Oracle International Corporation Infrastructure for providing cloud services
US9619540B2 (en) 2012-09-07 2017-04-11 Oracle International Corporation Subscription order generation for cloud services
US9253113B2 (en) 2012-09-07 2016-02-02 Oracle International Corporation Customizable model for throttling and prioritizing orders in a cloud environment
US9069979B2 (en) 2012-09-07 2015-06-30 Oracle International Corporation LDAP-based multi-tenant in-cloud identity management system
US9276942B2 (en) 2012-09-07 2016-03-01 Oracle International Corporation Multi-tenancy identity management system
JP6181185B2 (ja) 2012-09-07 2017-08-16 オラクル・インターナショナル・コーポレイション Ldapベースのマルチカスタマ・インクラウド・アイデンティティ管理システム
US9154641B2 (en) 2012-11-21 2015-10-06 At&T Intellectual Property I, L.P. Long term evolution intelligent subscriber profile
US9608958B2 (en) 2013-03-12 2017-03-28 Oracle International Corporation Lightweight directory access protocol (LDAP) join search mechanism

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005522787A (ja) * 2002-04-08 2005-07-28 オラクル・インターナショナル・コーポレイション 物理的ストレージを抽象するプラグ可能なアーキテクチャを有するパーシステントなキーと値とのリポジトリ
JP2009536377A (ja) * 2006-04-12 2009-10-08 サイトリックス システムズ, インコーポレイテッド リモートユーザに対するコンピューティング環境の提供を加速するためのシステムおよび方法
US7664866B2 (en) * 2007-04-10 2010-02-16 Apertio Limited Sub-tree access control in network architectures
JP2011232840A (ja) * 2010-04-26 2011-11-17 Hitachi Ltd アクセス制御情報管理方法、計算機システム及びプログラム
US20120117229A1 (en) * 2010-06-15 2012-05-10 Van Biljon Willem Robert Virtualization Layer in a Virtual Computing Infrastructure
US20120017271A1 (en) * 2010-07-14 2012-01-19 Smith Ned M Domain-authenticated control of platform resources

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10581867B2 (en) 2012-09-07 2020-03-03 Oracle International Corporation Multi-tenancy identity management system

Also Published As

Publication number Publication date
WO2014039882A1 (en) 2014-03-13
US9069979B2 (en) 2015-06-30
CN104769908B (zh) 2017-11-17
CN104769908A (zh) 2015-07-08
JP6263537B2 (ja) 2018-01-17
US20140075501A1 (en) 2014-03-13
EP2893686A1 (en) 2015-07-15
EP2893686B1 (en) 2016-08-24

Similar Documents

Publication Publication Date Title
JP6263537B2 (ja) Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム
US11265307B2 (en) Credential-free user login to remotely executed applications
JP6731023B2 (ja) クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス
CN109565511B (zh) 用于多租户身份和数据安全管理云服务的租户和服务管理
CN107852417B (zh) 多租户身份和数据安全性管理云服务
CN109639687B (zh) 用于提供基于云的身份和访问管理的系统、方法和介质
US10038695B2 (en) Remotely deauthenticating a user from a web-based application using a centralized login server
US10084794B2 (en) Centralized access management of web-based or native applications
WO2018095416A1 (zh) 信息处理方法、装置及系统
US8904477B2 (en) Configuring and providing profiles that manage execution of mobile applications
US9094208B2 (en) User identity management and authentication in network environments
US20180041467A1 (en) LDAP To SCIM Proxy Service
US20180041598A1 (en) Hierarchical Processing for a Virtual Directory System for LDAP to SCIM Proxy Service
US11477188B2 (en) Injection of tokens or client certificates for managed application communication
JP2020502616A (ja) フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施
CN112088373A (zh) 用于多租户身份云服务的声明性第三方身份提供者集成
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
US11658957B2 (en) Methods and apparatuses for temporary session authentication and governor limits management
RU2415466C1 (ru) Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети
Prasanalakshmi et al. Secure credential federation for hybrid cloud environment with SAML enabled multifactor authentication using biometrics
US20220417240A1 (en) Virtual Machine Provisioning and Directory Service Management
Ferle Account Access and Security

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160901

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160901

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171218

R150 Certificate of patent or registration of utility model

Ref document number: 6263537

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250