JP2018142333A - マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス - Google Patents
マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス Download PDFInfo
- Publication number
- JP2018142333A JP2018142333A JP2018064072A JP2018064072A JP2018142333A JP 2018142333 A JP2018142333 A JP 2018142333A JP 2018064072 A JP2018064072 A JP 2018064072A JP 2018064072 A JP2018064072 A JP 2018064072A JP 2018142333 A JP2018142333 A JP 2018142333A
- Authority
- JP
- Japan
- Prior art keywords
- tenancy
- microservice
- user
- service
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 65
- 238000012545 processing Methods 0.000 claims abstract description 16
- 238000007726 management method Methods 0.000 claims description 174
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 88
- 230000006870 function Effects 0.000 claims description 84
- 238000004891 communication Methods 0.000 claims description 29
- 238000012550 audit Methods 0.000 claims description 20
- 238000013475 authorization Methods 0.000 claims description 12
- 230000001360 synchronised effect Effects 0.000 claims description 6
- 238000012384 transportation and delivery Methods 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 23
- 238000010586 diagram Methods 0.000 description 32
- 235000014510 cooky Nutrition 0.000 description 27
- 230000010354 integration Effects 0.000 description 26
- 108010029660 Intrinsically Disordered Proteins Proteins 0.000 description 13
- 102100037845 Isocitrate dehydrogenase [NADP], mitochondrial Human genes 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 8
- 229920002401 polyacrylamide Polymers 0.000 description 8
- 230000008520 organization Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000003044 adaptive effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000001152 differential interference contrast microscopy Methods 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000002345 optical interference microscopy Methods 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000013341 scale-up Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 238000006424 Flood reaction Methods 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000001994 activation Methods 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000945 filler Substances 0.000 description 1
- -1 for example Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 229910002804 graphite Inorganic materials 0.000 description 1
- 239000010439 graphite Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
本願は、2016年5月11日出願の米国仮特許出願第62/334,645号、2016年8月5日出願の米国仮特許出願第62/371,336号、2016年8月17日出願の米国仮特許出願第62/376,069号、2016年9月16日出願の米国仮特許出願第62/395,463号、2016年9月16日出願の米国仮特許出願第62/395,479号、2016年9月16日出願の米国仮特許出願第62/395,501号、2016年12月15日出願の米国仮特許出願第62/434,501号、2017年3月6日出願の米国特許出願第15/450,512号、2017年3月6日出願の米国特許出願第15/450,550号、2017年3月27日出願の米国特許出願第15/469,718号、および2017年4月12日出願の米国特許出願第第15/485,532号に基づく優先権を主張する。上記出願各々の開示を本明細書に引用により援用する。
一実施形態は、概してアイデンティティ管理に関し、特にクラウドシステムにおけるアイデンティ管理に関する。
一般的に、多様なデバイス(たとえばデスクトップおよびモバイルデバイス)および多様なユーザ(たとえば被雇用者、パートナー、顧客など)からアクセスされる、クラウドベースのアプリケーション(たとえば企業パブリッククラウドアプリケーション、第三者クラウドアプリケーションなど)の使用が、急激に増加している。クラウドベースのアプリケーションは、その多様性およびアクセシビリティが高いので、アイデンティティの管理およびアクセスのセキュリティが中心的な関心事になっている。クラウド環境における典型的なセキュリティの問題は、不正アクセス、アカウントのハイジャック、悪意のあるインサイダーなどである。したがって、クラウドベースのアプリケーションであっても、どこに存在するアプリケーションであっても、アプリケーションにアクセスするデバイスの種類またはユーザの種類にかかわらず、安全なアクセスが必要とされている。
一実施形態は、クラウドベースのアイデンティティおよびアクセス管理を提供するシステムである。システムは、アイデンティティ管理サービスを求める要求をクライアントから受信し、要求を認証し、要求に基づいてマイクロサービスにアクセスする。システムは、要求に基づいて、クライアントのテナンシー、ユーザのテナンシー、およびリソースのテナンシーを判断する。システムは、要求を処理するのに必要なデータを、判断したテナンシーから取出す。このデータは、マイクロサービスにより、データベースへの接続を提供する接続プールを用いて取出される。システムは次に、受けた要求の処理を担当する適切なマイクロサービスにより、アイデンティティ管理サービスを実行する。
実施形態が提供するアイデンティティクラウドサービスは、マイクロサービスベースのアーキテクチャを実現するとともに、マルチテナントアイデンティティおよびデータセキュリティの管理ならびにクラウドベースのアプリケーションへの安全なアクセスを提供する。実施形態は、ハイブリッドクラウドのデプロイメント(すなわちパブリッククラウドとプライベートクラウドとを組合わせたものを含むクラウドのデプロイメント)について安全なアクセスをサポートする。実施形態は、クラウド内およびオンプレミス双方におけるアプリケーションおよびデータを保護する。実施形態は、ウェブ、モバイル機器、およびアプリケーションプログラミングインターフェイス(application programming interface:「API」)を介したマルチチャネルアクセスをサポートする。実施形態は、顧客
、パートナー、および被雇用者など、さまざまなユーザのアクセスを管理する。実施形態は、クラウドを通じたアクセスおよびオンプレミスのアクセス双方を管理、制御、および監査する。実施形態は、新たなおよび既存のアプリケーションおよびアイデンティと統合される。実施形態は横方向にスケーラブルである。
クセスするためのセキュリティモデルを強化する。したがって、実施形態は、マルチテナントのマイクロサービスアーキテクチャに基づいてクラウドスケールのアイデンティティおよびアクセス管理(Identity and Access Management(「IAM」)プラットフォームを提供する。
一実施形態は、クラウド環境およびオンプレミス環境双方におけるアプリケーションおよびデータを保護する。本実施形態は、どのデバイスからの誰によるどのアプリケーションへのアクセスも安全にする。本実施形態は、これらの環境双方にわたる保護を提供する。なぜなら、これら2つの環境の間でセキュリティに矛盾があればリスクが高くなる可能性があるからである。たとえば、このような矛盾があった場合、販売員は、離反して競合他社に移った後であっても、その顧客関係管理(Customer Relationship Management:「CRM」)アカウントへのアクセス権を有し続ける場合がある。したがって、実施形態は、オンプレミス環境においてプロビジョニングされたセキュリティ制御をクラウド環境に拡張する。たとえば、ある人物が会社を辞めた場合、実施形態は、そのアカウントがオンプレミスおよびクラウド双方においてディスエーブルされることを保証する。
実施形態は、マルチテナントでクラウドスケールのIAMプラットフォームであるアイデンティティクラウドサービス(Identity Cloud Service:「IDCS」)を提供する。
IDCSは、認証、認可、監査、および連携(federation)を提供する。IDCSは、パブリッククラウドおよびオンプレミスシステム上で実行されているカスタムアプリケーションおよびサービスへのアクセスを管理する。これに代わるまたはこれに加えられる実施
形態において、IDCSは、パブリッククラウドサービスへのアクセスも管理し得る。たとえば、IDCSを用いて、このような多様なサービス/アプリケーション/システムにわたってシングル・サイン・オン(「SSO」)機能を提供することができる。
けるタスクの分離)および実現の手法のことである。マイクロサービスアーキテクチャにおけるサービスは、目的を達成するためにネットワークを通して相互に通信するプロセスである。一実施形態において、これらのサービスは、技術に依存しないプロトコルを使用する。一実施形態において、サービスは、細分性が小さく軽量であるプロトコルを使用する。一実施形態において、サービスは独立してデプロイ可能である。システムの機能を異なる小さなサービスに分散させることにより、システムの結束性は向上し、システムのカップリングは減少する。それにより、システム変更が容易になり、任意の時点でシステムに機能および品質を追加することが容易になる。また、それによって、個々のサービスのアーキテクチャが、絶え間ないリファクタリングを通して出現することが可能になり、したがって、大規模な事前の設計の必要性は低下しソフトウェアを早期に連続してリリース
することが可能になる。
ドメインアイデンティティ管理用システム(System for Cross-domain Identity Management:「SCIM」)、レプレゼンテーショナル・ステート・トランスファー(Representational State Transfer:「REST」)など)に従う。一実施形態は、クラウドスケールAPIプラットフォームを提供し、エラスティックスケーラビリティのために横方向にスケーラブルなマイクロサービスを実現する。本実施形態は、クラウド原理を強化し、テナントごとにデータを分離したマルチテナントアーキテクチャを提供する。本実施形態はさらに、テナントセルフサービスを介してテナントごとのカスタマイズを提供する。本実施
形態は、他のアイデンティサービスとのオンデマンドの統合の際にはAPIを介して利用することができ、連続したフィーチャーリリースを提供する。
。本実施形態は、オンプレミスの軽量ディレクトリアクセスプロトコル(Lightweight Directory Access Protocol:「LDAP」)データからクラウドデータへの、およびその
逆の、自動化されたアイデンティティ同期化を提供する。本実施形態は、クラウドと企業との間にSCIMアイデンティティバスを提供し、ハイブリッドクラウドのデプロイの各種オプションを可能にする(たとえば、アイデンティティ連携および/または同期化、SSOエージェント、ユーザプロビジョニングコネクタなど)。
よびApple(登録商標) Safari(登録商標)が挙げられる。
4(たとえばSCIM)、プロビジョニングサービス136(たとえばSCIMまたはAny Transport over Multiprotocol(「AToM」))、イベントサービス138(たとえばREST)、およびロールベースアクセス制御(role-based access control:「RB
AC」)サービス140(たとえばSCIM)を含み得る。IDCS118はさらに、提供されるサービスに関するレポートおよびダッシュボード120を提供し得る。
通常、大企業では、そのオンプレミスのアプリケーションへの安全なアクセスのために、IAMシステムを適所に設けるのが一般的である。ビジネス手法は通常オラクル社の「Oracle IAM Suite」などのインハウスIAMシステムを中心として成熟し標準化される。小〜中規模組織でも、通常は、そのビジネスプロセスを、Microsoft Active Directory(「AD」)などの単純なディレクトリソリューションを通してユーザアクセスを管理することを中心として設計されている。オンプレミス統合を可能にするために、実施形態は、顧客がそのアプリケーションをIDCSと統合できるようにするツールを提供する。
どを含み得る。クラウドサービス210は、たとえば、サービスとしてのプラットフォーム(Platform as a Service:「PaaS」)、Java(登録商標)、データベース、
ビジネスインテリジェンス(business intelligence:「BI」)、文書などを含み得る
。
交換するための制御されたメカニズムである。アイデンティティバスは、ウェブサービス、ウェブサーバプロキシなどの標準的なHTTPベースのメカニズムに従って構築された論理バスである。アイデンティティバスにおける通信は、各プロトコル(たとえばSCIM、SAML、OpenID Connectなど)に従って実行されてもよい。たとえば、SAMLバスは、SAMLサービスに関するメッセージを伝えるための、2つのシステム間のHTTPベースの接続である。同様に、SCIMバスを用い、SCIMプロトコルに従って、SCIMメッセージを伝える。
えばユーザのグループ)をリッスンし、これらのユーザをクラウド208に対して同期させる。一実施形態において、ユーザのパスワード232はクラウド208に対して同期されていない。顧客は、IDCSユーザのグループを、IDCS208において管理されているクラウドアプリケーションにマッピングすることにより、ユーザのアプリケーションアクセスを管理することができる。ユーザのグループメンバーシップがオンプレミス206で変更されるたびに、対応するクラウドアプリケーションアクセスは自動的に変更される。
Identity Manager:「OIM」)コネクタ302およびオラクル社のオラクルアクセス
マネージャ(Oracle Access Manager:「OAM」)連携モジュール306は、オラクル
IDM304の拡張モジュールとして実現される。コネクタは、システムに話しかける方法について物理的な認識があるモジュールである。OIMは、ユーザアイデンティティを管理するように構成されたアプリケーションである(たとえば、ユーザがアクセス権を持つべき対象とアクセス権を持つべきでない対象に基づいて異なるシステムのユーザアカウントを管理する)。OAMは、ウェブSSO、アイデンティコンテキスト、認証および認可、ポリシー管理、テスト、ロギング、監査などのアクセス管理機能を提供するセキュリティアプリケーションである。OAMはSAMLに対するビルトイン(built-in)サポートを有する。ユーザがIDCS202のアカウントを有する場合、OIMコネクタ302およびOAM連携306をオラクルIDM304とともに使用することにより、このアカウントを作成/削除し、このアカントからのアクセスを管理することができる。
を保証することによって、マルチテナントIDCSマイクロサービスへのアクセスを安全なものするコンポーネントである。クラウドゲート502は以下でさらに開示される。クラウドゲート502(webgate/webagentと同様の実施ポイント)は、サポートされてい
るウェブサーバの背後で実行されているアプリケーションがSSOに参加することを可能にする。
・アイデンティティストアを維持することにより、既に認可されているユーザアカウント、所有権、アクセス、および許可を追跡する。
・ワークフローとの統合により、アプリケーションのアクセスに必要なさまざまな承認(たとえば管理、IT、人的資源、法律、およびコンプライアンス)を簡単にする。
・選択的装置(たとえばモバイルおよびパーソナルコンピュータ(「PC」))に対するSaaSユーザアカウントをプロビジョニングする。ユーザポータルへのアクセスは、多数のプライベートおよびパブリッククラウドリソースを含む。
・規則および現在の職責へのコンプライアンスのための定期的な管理立証を容易にする。
・クラウドアプリケーションにおけるアカウントライフサイクルの管理のためのクラウドアカウントのプロビジョニング、
・よりロバストなマルチファクタ認証(multifactor authentication:「MFA」)の統合、
・拡張モバイルセキュリティ機能、および
・動的認証オプション
を提供し得る。
YOD」)、社会的アイデンティティ、遠隔ユーザ、顧客、および契約者を安全に組込む方法を探している。MFAのデプロイにおいて、OAuthおよびOpenID Connectなどの産業標準は、既存のマルチファクタソリューションの統合と、より新しい適応認証技術の導入とを保証するのに不可欠である。したがって、実施形態は、動的(または適応)認証を、利用できる情報(すなわちIPアドレス、場所、時刻、およびバイオメトリクス)の評価として定義することにより、ユーザセッション開始後のアイデンティを証明する。適切な標準(たとえばオープン認証(open authentication:「OATH」
)および高速オンライン認証(fast identity online:「FIDO」)の統合と、拡張可能なアイデンティティ管理フレームワークとを用いて、実施形態は、エンド・ツー・エン
ドの安全なIAMデプロイの一部としてIT組織内で簡単に採用、アップグレード、および統合できるMFAソリューションを提供する。MFAおよび適応ポリシーを検討する場合、組織は、ハイブリッドのIDCSおよびオンプレミスIAM環境においてシステム間の統合を必要とするオンプレミスリソースおよびクラウドリソースにわたって一貫したポリシーを実現しなければならない。
特定の産業条件および政府規則に適合する。
を提供する。一般的に、すべての組織は、SaaS、PaaS、IaaSまたはオンプレミスアプリケーションいずれを使用しても、システムアドミニストレータ、幹部職員、人事担当役員、契約者、システムインテグレータなどのスーパーユーザのアクセスクレデンシャルを用いたインサイダーによる特権アカウントの不正使用に弱い。加えて、外部の脅威は一般的に、先ず低レベルユーザアカウントを侵害し、最終的には企業システム内の特権ユーザアクセス制御に到達してこれを利用する。したがって、一実施形態は、PAMを提供することにより、このような不正なインサイダーによるアカウントの使用を防止する。PAMソリューションの主要コンポーネントはパスワードボールト(password vault)であり、これはさまざまなやり方で供給し得る。たとえば、企業サーバ上にインストールされるソフトウェアとして、これも企業サーバ上の仮想アプライアンスとして、パッケージングされたハードウェア/ソフトウェアアプライアンスとして、または、クラウドサービスの一部として、さまざまなやり方で供給し得る。PAM機能は、エンベロープ内で保持されサイン・インおよびサイン・アウトのためのマニフェストで定期的に変更されるパスワードを格納するために使用される物理的な安全場所と同様である。一実施形態は、パスワードのチェックアウトだけでなく、タイムリミットの設定、強制的な期間変更、自動的なチェックアウトの追跡、およびすべてのアクティビティに関する報告を、可能にする。一実施形態は、要求されたリソースに、ユーザがパスワードを知らない状態で、直接接続する方法を提供する。この機能はまた、セッション管理およびその他の機能の方法に道を開く。
実施形態が提供するAPIプラットフォームは、機能のコレクションをサービスとしてエクスポーズする。APIはマイクロサービスに集約され、各マイクロサービスは、1つ以上のAPIをエクスポーズすることによって1つ以上の機能を提供する。すなわち、各マイクロサービスは異なる種類のAPIをエクスポーズし得る。一実施形態において、各マイクロサービスはそのAPIを通してしか通信しない。一実施形態において、各APIはマイクロサービスであってもよい。一実施形態において、複数のAPIが1つのサービスに、このサービスが提供するターゲット機能に基づいて集約される(たとえばOAuth、SAML、Adminなど)。結果として、同様のAPIは別々のランタイムプロセスとしてエクスポーズされない。APIは、IDCSが提供するサービスを使用するためにサービス顧客が利用できるようにされるものである。
である。「oauth/v1」の下で複数のAPIが存在し、たとえば、トークン(token)を要
求するためのAPI:「host/oauth/v1/token」、ユーザを認証する(authorize)ためのAPI:「host/oauth/v1/authorize」などである。すなわち、URLはマイクロサービ
スを実現し、URLのリソース部分はAPIを実現する。したがって、同じマイクロサービスの下で複数のAPIが集約され、各要求は、アイデンティティ管理サービスを特定するAPIへのコール(たとえばトークンを要求する、ユーザを認証するなど)と、当該アイデンティティ管理サービスを実行するように構成されたマイクロサービス(たとえばOAuth)とを含む。
構成を含む)と、(たとえば<IDCS-URL>/.well-known/openid-configurationの)産業標
準OpenID Connect構成とである。アプリケーションは、単一のIDCS URLで構成されることにより、ディスカバリ文献を取出すことができる。
ョン、iOS(登録商標)アプリケーション、アンドロイド(登録商標)アプリケーションなど、特定のオペレーティングシステム上で走るように構築されたアプリケーション)、ウェブサービス、顧客アプリケーション、パートナーアプリケーション、または、サービスとしてのソフトウェア(Software as a Service:「SaaS」)、PaaS、およ
びサービスとしてのインフラストラクチャ(Infrastructure as a Service:「IaaS
」)など、パブリッククラウドによって提供されるサービスである。
一実施形態において、IDCSは標準認証プロトコルをサポートし、したがって、IDCSマイクロサービスは、OpenID Connect、OAuth、SAML2、クロスドメインアイデンティティ管理のためのシステム(System for Cross-domain Identity Management++:「SCIM++」)などのプラットフォームサービスを含む。
受信する。内部において、ランタイム認証モデルはステートレスであり、ユーザの認証/セッション状態をホストHTTPクッキー(JWTアイデンティティトークンを含む)の形態で維持する。OpenID Connectプロトコルを介して開始された認証対話は、ローカルおよび連携ログインのためにユーザのログイン/ログアウトセレモニーを実現する信頼できるSSOサービスに委任される。この機能のさらなる詳細は以下において図10および図11を参照しながら開示される。一実施形態において、OpenID Connect機能は、たとえばOpenID Foundation標準に従って実現さ
れる。
、コメント要求(Request for Comments:「RFC」)6749に従って実現される。
」)およびSAMLサービスプロバイダ(service provider:「SP」)関係モデルに基づいて、そのパートナーとの連携合意を設定することを可能にする。一実施形態において、SAML2プラットフォームサービスは、標準SAML2ブラウザポストログインおよびログアウトプロファイルを実現する。一実施形態において、SAML機能は、たとえばIETF、RFC7522に従って実現される。
る。管理サービスは、アイデンティティライフサイクル、パスワード管理、グループ管理などをカバーするステートレスなRESTインターフェイス(すなわちAPI)のセットをエクスポーズし、ウェブアクセス可能なリソースのようなアーティファクトをエクスポーズする。
」)動作のためにスキーマベースのREST APIを実現する。加えて、IDCS自体の管理および構成に使用されるIDCSのすべての内部リソースは、SCIMベースのREST APIとしてエクスポーズされる。アイデンティティストア618へのアクセスはSCIM++APIに分離される。
)RESTインターフェイスのセットをサポートする。
IDCSインフラストラクチャサービスは、IDCSプラットフォームサービスの機能をサポートする。これらのランタイムサービスは、(ユーザ通知、アプリケーション申込、およびデータベースに対する監査を非同期的に処理するための)イベント処理サービスと、(ジョブをスケジューリングして実行するため、たとえば、ユーザの介入が不要な長時間実行タスクを直ちに実行するまたは設定時間に実行するための)ジョブスケジューラサービスと、キャッシュ管理サービスと、(パブリッククラウドストレージサービスと統合するための)ストレージ管理サービスと、(レポートおよびダッシュボードを生成するための)レポートサービスと、(内部ユーザ認証およびSSOを管理するための)SSOサービスと、(異なる種類のユーザインターフェイス(user interface:「UI」)クライアントをホストするための)ユーザインターフェイス(「UI」)サービスと、サービスマネージャサービスとを含む。サービスマネージャは、オラクルパブリッククラウドとIDCSとの間の内部インターフェイスである。サービスマネージャは、オラクルパブリッククラウドによって発行されたコマンドを管理し、このコマンドはIDCSによって実現される必要がある。たとえば、顧客が、何かを購入できる状態になる前にクラウドストア内のアカウントに対してサインアップした場合、クラウドは、テナントを作成することを依頼するための要求をIDCSに送信する。この場合、サービスマネージャは、IDCSがサポートするとクラウドが予測するクラウド固有の動作を実現する。
キーマサービスは、データベーススキーマを管理する責任をIDCSに委任することを可能にする。したがって、IDCSのユーザはデータベースを管理する必要がない。なぜなら、この機能を提供するIDCSサービスが存在するからである。たとえば、ユーザは、
データベースを用いてテナントごとにスキーマをパーシストしてもよく、データベース内にスペースがなくなったときにはスキーマサービスが、ユーザがデータベースを自身で管理しなくてもよいように、別のデータベースを取得し上記空間を拡大するという機能を管理する。
IDCSは、要求されたサービスのタスクを、同期リアルタイムタスクと非同期ニア・リアルタイムタスクとに分離する。リアルタイムタスクは、ユーザが進むのに必要なオペレーションのみを含む。一実施形態において、リアルタイムタスクは、最少の遅延で実行されるタスクであり、ニア・リアルタイムタスクは、バックグラウンドにおいて、ユーザが待つことなく実行されるタスクである。一実施形態において、リアルタイムタスクは、実質的に遅延なしでまたはごくわずかな遅延で実行されるタスクであり、ユーザには、ほぼ瞬時に実行されているように見えるタスクである。
システムは、IDCS SCIM APIをコールしてユーザを作成する。最終結果として、ユーザがアイデンティティストア618において作成されたときにこのユーザがそのパスワードをリセットするためのリンクを含む通知電子メールを得る。IDCSが、新たなユーザを登録または作成することを求める要求を受けると、対応するマイクロサービスは、オペレーショナルデータベース(図6のグローバルデータベース620内に位置する)にある構成データに注目し、「ユーザ作成」という動作が「ユーザ作成」イベントでマーキングされていると判断する。この動作は、構成データにおいて非同期動作であることが識別される。マイクロサービスは、クライアントに戻り、ユーザの作成が正常に行なわれたことを示すが、通知電子メールの実際の送信は延期されバックエンドにプッシュされる。そうするために、マイクロサービスは、メッセージングAPI616を用いてこのメッセージを、ストアであるキュー628に入れる。
ーザマネージャは、オペレーションを検査することにより検査スキーマ624内のテーブルを検査し、メッセージキュー628に対して「identity.user.create.success」をパブリッシュする。アイデンティティサブスクライバ632は、このイベントをピックアップし、新たに作成されたログイン詳細を含む「ウェルカム」電子メールを、新たに作成されたユーザに送信する。
IDCSマイクロサービスはステートレスである。これは、マイクロサービスそのものはステートを保持しないことを意味する。「ステート」とは、アプリケーションがその機能を果たすために使用するデータのことを言う。IDCSは、マルチテナント機能を、すべてのステートを、IDCSデータ層内の特定テナント向けリポジトリにパーシストすることによって提供する。中間層(すなわち要求を処理するコード)は、アプリケーションコードと同じ場所に格納されているデータを有しない。したがって、IDCSは横方向および縦方向双方においてスケーラビリティが高い。
り多くのノードをシステムに追加する(またはシステムからノードを削除する)ことを意味する。横方向のスケーラビリティにより、アプリケーションはほぼ無限にスケーリング可能であり、ネットワークによって提供される帯域幅の量のみの制約を受ける。
図6Aは、一実施形態におけるIDCSの機能ビューのブロック図の一例600bである。ブロック図600bにおいて、IDCS機能スタックは、サービスと、共有ライブラリと、データストアとを含む。サービスは、IDCSプラットフォームサービス640bと、IDCSプレミアムサービス650bと、IDCSインフラストラクチャサービス662bとを含む。一実施形態において、IDCSプラットフォームサービス640bおよびIDCSプレミアムサービス650bは、別々にデプロイされたJavaベースのランタイムサービスであり、IDCSのビジネスを実現する。IDCSインフラストラクチャサービス662bは、別々にデプロイされたランタイムサービスであり、IDCSに対するインフラストラクチャサポートを提供する。共有ライブラリは、IDCSサービスによって使用される共有ライブラリとしてパッケージングされた共通コードであるIDCSインフラストラクチャライブラリ680bと、共有ライブラリとを含む。データストアは、IDCSが必要とする/生成するデータリポジトリであり、アイデンティティストア698b、グローバル構成700b、メッセージストア702b、グローバルテナント704b、パーソナライゼーション設定706b、リソース708b、ユーザ一時データ710b、システム一時データ712b、テナントごとのスキーマ(管理されたExaData)714b、オペレーショナルストア(図示せず)、キャッシングストア(図示せず)などを含む。
トラクチャサービス662bは、ジョブスケジューラ664b、UI666b、SSO668b、レポート670b、キャッシュ672b、ストレージ674b、サービスマネージャ676b(パブリッククラウド制御)、およびイベントプロセッサ678b(ユーザ通知、アプリケーション申込、監査、データ解析)を含む。一実施形態において、IDCSインフラストラクチャライブラリ680bは、データマネージャAPI682b、イベントAPI684b、ストレージAPI686b、認証API688b、認可API690b、クッキーAPI692b、キーAPI694b、およびクレデンシャルAPI696bを含む。一実施形態において、クラウド計算サービス602b(内部Nimbula)は、
IDCSインフラストラクチャサービス662bおよびIDCSインフラストラクチャライブラリ680bの機能をサポートする。
一実施形態において、IDCSはウェブ層において「クラウドゲート」を実現する。クラウドゲートは、ウェブアプリケーションがユーザSSOをアイデンティティ管理システム(たとえばIDCS)に外部化することを可能にするウェブサーバプラグインであり、これは、企業IDMスタックと協力するWebGateまたはWebAgent技術と同様である。クラウドゲートは、IDCS APIに対するアクセスを安全にするセキュリティゲートキーパの役割を果たす。一実施形態において、クラウドゲートは、OAuthに基づいてHTTPリソースを保護するためにウェブポリシー施行点(Policy Enforcement Point:「PEP」)を提供するウェブ/プロキシサーバプラグインによって実現される。
Connectなど)を用いるIDCSポリシー決定点(Policy Decision Point:「P
DP」)と統合され、一方でウェブブラウザおよびアプリケーションのREST APIリソース714へのアクセスを安全にするように構成されている。いくつかの実施形態において、PDPは、OAuthおよび/またはOpenID Connectマイクロサービス704で実現される。たとえば、ユーザブラウザ706がユーザ710のログインを求める要求をIDCSに送信すると、対応するIDCS PDPは、クレデンシャルを検証した後に、このクレデンシャルが十分であるか否か(たとえば第2のパスワードなどのその他のクレデンシャルを要求するか否か)を判断する。図7の実施形態において、クラウドゲート702は、ローカルポリシーを有するので、PEPとしてもPDPとしてもその役割を果たし得る。
るOAuthの実現は、たとえばIETF、RFC7519によって提供されるようなウェブトークンのフォーマットを定めるJWTに基づく。
IDCSは3種類のテナンシーとして、顧客テナンシー、クライアントテナンシー、およびユーザテナンシーを特定する。顧客またはリソーステナンシーは、IDCSの顧客が誰であるか(すなわち作業が誰に対して実行されているか)を特定する。クライアントテナンシーは、どのクライアントアプリケーションがデータにアクセスしようとしているか(すなわちどのアプリケーションが作業を実行しているか)を特定する。ユーザテナンシーは、どのユーザがアプリケーションを用いてデータにアクセスしているか(すなわち誰によって作業が実行されているか)を特定する。たとえば、専門サービス企業が大型ディスカウントショップを対象とするシステム統合機能を提供しこの大型ディスカウントショップのシステムのアイデンティティ管理を提供するためにIDCSを使用するとき、ユーザテナンシーは、この専門サービス企業に相当し、クライアントテナンシーはシステム統合機能を提供するために使用されるアプリケーションに相当し、顧客テナンシーは大型ディスカウントショップである。
などのユーザの組合わせによるアクセスを処理するときには不十分である。本実施形態において複数のテナンシーを規定し施行することにより、これらの多様なユーザに対して管理機能を特定することが容易になる。
提供するサービスを要求する。データベース806は複数のテナント808を含み、各テナントは対応するテナンシーのアーティファクトを含む。一実施形態において、マイクロサービス804は、「テナント3」のアプリケーションにアクセスするために「テナント2」のユーザのためのトークンを得ようとして「テナント1」のクライアントがhttps://tenant3/oauth/tokenを通して要求するOAuthマイクロサービスである。データベー
ス806は、クライアントのテナンシー(「テナント1」)、ユーザのテナンシー(「テナント2」)、およびリソース/アプリケーションのテナンシー(「テナント3」)のデータを格納する。OAuthマイクロサービスの機能が、マイクロサービス804において、データベース806からのデータを用いて実行されることにより、クライアント802の要求が正当であるか否かが検証され、正当である場合は、異なるテナンシー808からのデータが使用されてトークンが構成される。したがって、システム800は、各テナンシーに与えられるサービスをサポートするだけでなく各種テナントに代わって機能し得るサービスをサポートすることによりクロステナント環境において作業できるという点において、マルチテナントである。
査および特権を正しく扱うために、データベース動作は、特定のテナントに割当てられたスキーマ所有者に関連する「プロキシユーザ」812というコンテキストで実行される。このスキーマ所有者は、このスキーマ作成の目的であったテナンシーにのみアクセスでき、このテナンシーの値はこのスキーマ所有者の値である。データベース806内のデータを求める要求がなされると、マイクロサービス804は、接続プール810内の接続を用いてこのデータを提供する。したがって、マルチテナンシーは、リソーステナンシーに対応付けられたデータストアプロキシユーザというコンテキストにおいて(たとえばそれに関連して)作成されたデータ接続のトップにある要求ごとに構築された特定テナント向けデータストアバインディングというコンテキストにおいて(たとえばそれに関連して)入ってくる要求を処理するステートレスでエラスティックな中間層サービスを持つことによって得られ、データベースは、サービスとは無関係にスケーリングできる。
されてもよく、この場合、各テナントには別々のパーティションが割当てられる。データ層では、リソースマネージャが要求を処理し、その後、その要求のデータソースを求める(メタデータとは別)。本実施形態は、要求ごとに各データソース/ストアへのランタイムスイッチを実行する。各テナントのデータをその他のテナントから分離することにより、本実施形態は改善されたデータセキュリティを提供する。
野の当業者が使用する]を含む。認可トークンに関連する「クレーム」は、ある主体が自身についてまたは別の主体について述べるステートメントである。ステートメントは、たとえば、名称、アイデンティ、キー、グループ、特権、または機能に関するものであってもよい。クレームは、プロバイダによって発行され、1つ以上の値が与えられた後に、セキュリティトークンサービス(security token service:「STS」)として一般に知られている発行者によって発行されたセキュリティトークンにパッケージングされる。
を提供するだけでなく、IDCSへのアクセスおよびIDCS自身の内部におけるアクセスを安全なものにする。一実施形態において、IDCSマイクロサービスは、RESTfulインターフェイスを通してエクスポーズされ、本明細書に記載のトークンによって安全なものにされる。
)に基づいて通信するデータ層918およびLDAPに基づいて通信するIDストア層920以外については、OAuthプロトコルを使用することにより、IDCS内のIDCSコンポーネント(たとえばマイクロサービス)間の通信を保護し、IDCS外部からのアクセスを安全なものにするために使用される同じトークンをIDCS内のセキュリティのためにも使用する。すなわち、ウェブルーティング層912は、要求がIDCSの外部から受けたものであろうとIDCSの内部から受けたものであろうと、受信した要求を処理するための同じトークンおよびプロトコルを使用する。したがって、IDCSは、システム全体を保護するために1つの一貫したセキュリティモデルを提供することにより、傑出したセキュリティコンプライアンスを可能にする。なぜなら、システム内に実現されるセキュリティモデルが少ないほど、システムの安全性は高くなるからである。
Protocol:「UDP」)などの適用可能なネットワークプロトコルに基づいていればよ
い。たとえば、アプリケーション「X」は、アプリケーション「Y」と、HTTPに基づいて、アプリケーション「Y」をHTTPユニフォーム・リソース・ロケータ(Uniform Resource Locator:「URL」)としてエクスポーズすることにより、通信し得る。一実施形態において、「Y」は、各々がある機能に対応する多数のリソースをエクスポーズするIDCSマイクロサービスである。「X」(たとえば別のIDCSマイクロサービス)は、「Y」をコールする必要があるとき、「Y」と、呼出す必要があるリソース/機能と
を含むURLを構成し(たとえばhttps:/host/Y/resource)、ウェブルーティング層912を通って「Y」に導かれる対応するRESTコールを行なう。
ーバ924は、さまざまなIDCS層のための構成管理機能を提供する。一実施形態において、サービスデプロイメントインフラストラクチャおよび/または永続格納モジュール928は、テナントライフサイクル管理動作、パブリッククラウドライフサイクル管理動作、またはその他の動作のために、OAuth2 HTTPメッセージをIDCSウェブルーティング層912に送信してもよい。一実施形態において、IDCSインフラストラクチャサービス層916は、ID/パスワードHTTPメッセージを、パブリッククラウド通知サービス930またはパブリッククラウドストレージサービス932に送信してもよい。
一実施形態は、クラウドスケールSSOサービスを実現するために軽量クラウド標準をサポートする。軽量クラウド標準の例としては、HTTP、REST、および、ブラウザを通してアクセスを提供する標準(ウェブブラウザは軽量であるため)が挙げられる。逆に、SOAPは、クライアントを構築するためにより多くの管理、構成、およびツールを必要とする重いクラウド標準の一例である。本実施形態は、アプリケーションのためにOpenID Connectセマンティクスを使用することにより、IDCSに対してユーザ認証を要求する。本実施形態は、軽量HTTPクッキーベースのユーザセッション追跡を用いて、ステートフルなサーバ側セッションサポートなしで、IDCSにおけるユーザのアクティブなセッションを追跡する。本実施形態は、使用するアプリケーションに対して、認証されたアイデンティティを自身のローカルセッションに戻すマッピングを行なうときに、JWTベースのアイデンティティトークンを使用する。本実施形態は、連携されているアイデンティティ管理システムとの統合をサポートし、IDCSに対してユーザ認証を要求するために企業デプロイメントのSAML IDPサポートをエクスポーズする。
キーを管理するためのエンドユーザログインセレモニーを調整するための内部IDCS SSOサービスなどの、SSOのビジネスを実現する。一般的に、HTTPは、フォームありでまたはフォームなしで機能する。フォームありで機能するとき、このフォームはブラウザ内で見えるフォームである。フォームなしで機能するとき、これはクライアントからサーバへの通信として機能する。OpenID ConnectもSAMLも、フォームをレンダリングする能力を必要とするが、これは、ブラウザの存在によって実現される、または、ブラウザが存在しているかのように機能するアプリケーションによって仮想的に実行される。一実施形態において、ユーザ認証/SSOをIDCSを通して実現するアプリケーションクライアントは、IDCSにおいて、OAuth2クライアントとして登録される必要があり、クライアント識別子およびクレデンシャル(たとえばID/パスワード、ID/証明書など)を取得する必要がある。
キー1014が提供される)、このアーキテクチャにおいてセッションを発行する権限を有する唯一のシステムである。IDCSセッションは、ブラウザ1002がSSOクッキー1014を使用することによって実現される。ブラウザ1002はまた、ローカルセッションクッキー1016を用いてそのローカルセッションを管理する。
を認証する。この場合、OAuthマイクロサービス1004の認証マネージャ1034は対応する認証を(たとえばクライアント1011から受けたID/パスワードに基づいて)実行し、トークンマネージャ1036は、認証に成功すると、対応するアクセストークンを発行する。
進んでもよい。一実施形態は、標準SAML/ADフローを実現する。一実施形態において、SAMLマイクロサービス1006とSSOマイクロサービス1008との間の対話は、ブラウザのリダイレクトに基づいており、SSOマイクロサービス1008は、HTMLフォームを用いてユーザにチャレンジし、クレデンシャルを検証し、セッションクッキーを発行する。
図11は、一実施形態における、IDCSによって提供されるSSO機能のメッセージシーケンスフロー1100である。ユーザがブラウザ1102を用いてクライアント1106(たとえばブラウザベースのアプリケーションまたはモバイル/ネイティブアプリケーション)にアクセスするとき、クラウドゲート1104は、アプリケーション施行点として機能し、ローカルポリシーテキストファイルに規定されているポリシーを施行する。クラウドゲート1104は、ユーザがローカルアプリケーションセッションを有していないことを検出した場合、ユーザの認証を要求する。そうするために、クラウドゲート1104は、ブラウザ1102をOAuth2マイクロサービス1110にリダイレクトすることにより、OAuth2マイクロサービス1110に対するOpenID Connectログインフローを開始する(3者間AZ Grantフローであり、範囲=「openid
profile」)。
ログインセレモニーを開始することなく既存のセッションを検証する。ユーザが有効なSSOセッションを有していない場合(すなわちセッションクッキーが存在しない)、SSOマイクロサービス1112は、顧客のログインプリファレンスに従ってユーザログインセレモニーを開始する(たとえば商標付ログインページを表示する)。そうするために、SSOマイクロサービス1112は、ブラウザ1102を、JavaScriptで実現されるログインアプリケーションサービス1114にリダイレクトする。ログインアプリケーションサービス1114はブラウザ1102にログインページを提供する。ブラウザ1102はログインクレデンシャルを含むREST POSTをSSOマイクロサービス1112に送信する。SSOマイクロサービス1112は、アクセストークンを生成し、REST POSTのクラウドゲート1104に送信する。クラウドゲート1104は、認証情報を管理SCIMマイクロサービス1116に送信することによりユーザのパスワードを検証する。管理SCIMマイクロサービス1116は、認証が成功したと判断し、対応するメッセージをSSOマイクロサービス1112に送信する。
のアクセスは、クラウドゲート1104によって発行されたAZグラントログイン要求において提示された追加の(任意の)スコープに基づいて認可される。
一実施形態は、クラウドキャッシュと呼ばれるサービス/機能を提供する。クラウドキャッシュは、IDCSに与えられて、LDAPベースのアプリケーション(たとえば電子メールサーバ、カレンダーサーバー、何らかのビジネスアプリケーションなど)との通信をサポートする。なぜなら、IDCSはLDAPに従って通信するのではないが、このようなアプリケーションはLDAPに基づいてのみ通信するように構成されているからである。典型的には、クラウドディレクトリは、REST APIを介してエクスポーズされ、LDAPプロトコルに従って通信するのではない。一般的に、企業ファイアウォオールを通してLDAP接続を管理するには、セットアップおよび管理が難しい特殊な構成が必要である。
ポーズされることを許可しない。しかしながら、クラウドキャッシュは、LDAPとHTTPとの間の変換を行なって、LDAPベースのアプリケーションが、IDCSが提供するサービスに到達できるようにし、ファイアウォールはHTTPに対してオープンである。
一実施形態において、IDCSにおけるキャッシュクラスタは、たとえばその開示を本明細書に引用により援用する米国特許公開第2016/0092540号に開示されている分散型データグリッドに基づいて実現される。分散型データグリッドは、分散環境またはクラスタ環境内で1つ以上のクラスタにおいてコンピュータサーバの集合体が、一緒に作業することにより情報を管理し計算などの関連動作を管理するシステムである。分散型データグリッドを用いることで、サーバ間で共有されるアプリケーションオブジェクトおよびデータを管理することができる。分散型データグリッドは、短いレスポンスタイム、高いスループット、予測可能なスケーラビリティ、継続的なアベイラビリティ、および情報の信頼性を提供する。具体的な例として、たとえばオラクル社のOracle Coherenceのデータグリッドのような分散型データグリッドは、情報をインメモリに格納することによりさらに高いパフォーマンスを達成し、複数のサーバにわたって同期が取られた情報のコピーを保持するにあたって冗長性を用いることにより、サーバ故障イベント時におけるシステムの回復力とデータの継続的なアベイラビリティとを保証する。
、すべてのマイクロサービスがブロックされることなく共有キャッシュオブジェクトへのアクセスを要求できるようにする。Coherenceは、従来のリレーショナルデータベース管
理システムと比較して、より高い信頼性、スケーラビリティ、およびパフォーマンスが得られるように設計された、所有権を主張できるJavaベースのインメモリデータグリッドである。Coherenceは、ピアトゥピア(すなわち中央マネージャがない)インメモリ分
散型キャッシュを提供する。
ば1220a、1220b、1220c、および1220d)を含むシステムである。分散型データグリッド1200は、クラスタ1200aにおいて5つのデータノード1230a、1230b、1230c、1230d、および1230eとともに4つのサーバ1220a、1220b、1220c、1220dを含むものとして示されているが、分散型データグリッド1200は、任意の数のクラスタおよび各クラスタにおける任意の数のサーバおよび/またはノードを含み得る。ある実施形態において、分散型データグリッド1200は本発明を実現する。
アプラットフォームのような、従来のコンピュータシステムであってもよい。各サーバ(たとえば1220a、1220b、1220c、および1220d)は、1つ以上のCPUと、ネットワークインターフェイスカード(Network Interface Card:「NIC」)と、たとえば最小で4GBのRAM最大で64GB以上のRAMを含むメモリとで構成されている。サーバ1220aは、CPU1222aと、メモリ1224aと、NIC1226aとを有するものとして示されている(これらの要素は他のサーバ1220b、1220c、1220d上にもあるが図示されていない)。任意で、各サーバにフラッシュメモリ(たとえばSSD 1228a)を設けることで過剰な記憶容量を提供してもよい。提供時、SSD容量は、好ましくはRAMのサイズの10倍である。データグリッドクラスタ1200aのサーバ(たとえば1220a、1220b、1220c、1220d)は、高帯域幅のNIC(たとえばPCI−XまたはPCIe)を用いて高性能ネットワークスイッチ1220(たとえばギガビット以上のイーサネット(登録商標))に接続されている。
「WAN」)構成において、WAN内の各データセンターは、独立しているが相互に接続されているデータグリッドクラスタ(たとえば1200a、1200b、および1200c)を有する。WANは、たとえば図12に示されるクラスタよりも多くのクラスタを含み得る。加えて、相互接続されているが独立しているクラスタ(たとえば1200a、1200b、1200c)を用いることにより、および/または相互接続されているが独立しているクラスタを、互いに離れているデータセンター内に配置することにより、分散型データグリッドは、自然災害、火災、洪水、長期停電などによって生じる、1つのクラスタのすべてのサーバの同時損失を防止すべく、クライアント1250に対するデータおよびサービスを保証することができる。
えばソフトウェアアプリケーション、仮想マシンなどであってもよく、サーバは、ノードがその上で動作するオペレーティングシステム、ハイパーバイザなど(図示せず)を含み得る。Oracle Coherenceのデータグリッドでは、各ノードはJava仮想マシン(Java virtual machine:「JVM」)である。CPUの処理能力およびサーバ上で利用できるメモリに応じて、各サーバ上に多数のJVM/ノードを設けてもよい。JVM/ノードは、分散型データグリッドの要求に応じて、追加、起動、停止、および削除されてもよい。Oracle Coherenceを実行するJVMは、起動時に自動的に参加しクラスタ化する。クラスタに加わるJVM/ノードは、クラスタメンバまたはクラスタノードと呼ばれる。
ログラマブルゲートアレイ(programmable gate array:「PGA」)、フィールドプロ
グラマブルゲートアレイ(field programmable gate array:「FPGA」)などを使用
することにより)実行されてもよく、ハードウェアとソフトウェアとの何らかの組合わせによって実行されてもよい。
たはリソースのテナンシーのうちの少なくとも1つから取出される。一実施形態において、本明細書で図8のデータベース806から取出されるデータに関連して説明したように、マイクロサービス804は、データベース806への接続を提供する接続プール810を用いてデータを取出す。一実施形態において、クライアントのテナンシー、ユーザのテナンシー、およびリソースのテナンシーは、同一のテナンシーであっても異なるテナンシーであってもよい。たとえば、クライアントは第1のテナントに存在してもよく、ユーザは第1のテナントと異なる第2のテナントに存在してもよい。別の例として、クライアントは第1のテナントに存在してもよく、リソースは第1のテナントと異なる第2のテナントに存在してもよい。別の例として、ユーザは第1のテナントに存在してもよく、リソースは第1のテナントと異なる第2のテナントに存在してもよい。別の例として、クライアントは第1のテナントに存在してもよく、ユーザは第1のテナントと異なる第2のテナントに存在してもよく、リソースは第1および第2のテナントと異なる第3のテナントに存在してもよい。
10および/または図7のクラウドゲート702に関連して説明したように、要求は、クラウドゲートなどのセキュリティゲートによって認証される。
、以下のJSON機能に従って実現されてもよい。
分はAPIを特定する。一実施形態において、URLのホスト部分は要求に関連するリソースのテナンシーを特定する。たとえば、IDCSのウェブ環境における「host/microservice/resource」などのURLにおいて、マイクロサービス(microservice)は特定のURLプレフィックスたとえば「host/oauth/v1」を有することを特徴とするが、実際のマ
イクロサービスは「oauth/v1」である。「oauth/v1」の下で複数のAPIが存在し、複数のAPIは、たとえば、トークン(token)を要求するためのAPI「host/oauth/v1/token」、ユーザを認証する(authorize)ためのAPI「host/oauth/v1/authorize」などである。すなわち、URLはマイクロサービスを実現し、URLのリソース部分はAPIを実現する。したがって、同じマイクロサービスの下で複数のAPIが集約される。一実施形態において、URLのホスト部分はテナントを特定する(たとえば、https://tenant3.identity.oraclecloud.com:/oauth/v1/token)。
HTTP動詞(たとえばPOST、PUT、PATCHまたはDELETE)と組合わせることにより、適切なモジュールの適切な方法をディスパッチする(または呼出す)。このパターンはRESTに共通でありさまざまなパッケージ(たとえばJersey)によってサポートされる。
あるか非同期であるかを判断するのではない。一実施形態において、たとえば、新たなユーザを登録または作成することを求める要求をIDCSが受けると、対応するマイクロサービスは、オペレーショナルデータベース(図6のグローバルデータベース620に位置する)の構成データに注目し、「ユーザ作成」動作が、構成データにおいて非同期動作として特定されている「ユーザ作成」でマーキングされていると判断する。マイクロサービスは、クライアントに戻り、ユーザの作成が正常に行なわれたことを示すが、実際の通知電子メールの発送は延期されバックエンドにプッシュされる。そうするために、マイクロサービスは、メッセージングAPI616を用いて、ストアであるキュー628にメッセージを入れる。
Claims (80)
- プロセッサによって実行されると前記プロセッサにクラウドベースのアイデンティおよびアクセス管理を提供させる命令が格納された非一時的なコンピュータ読取可能媒体であって、前記プロセッサは、
アイデンティティ管理サービスを求める要求をクライアントから受信し、
前記要求を認証し、
前記要求に基づいてマイクロサービスにアクセスし、
前記要求に基づいて、前記クライアントのテナンシー、前記要求に関連するユーザのテナンシー、および前記要求に関連するリソースのテナンシーを判断し、
データベースにおける前記クライアントのテナンシー、前記ユーザのテナンシー、または前記リソースのテナンシーのうちの少なくとも1つからデータを取出し、前記データは、前記マイクロサービスにより、前記データベースへの接続を提供する接続プールを用いて取出され、前記プロセッサはさらに、
前記マイクロサービスにより、前記データを用いて、前記アイデンティティ管理サービスを実行する、非一時的なコンピュータ読取可能媒体。 - 前記アイデンティティ管理サービスは、前記ユーザが前記リソースにアクセスするためのアクセストークンを取得することを含み、前記トークンは、前記リソースのテナンシーと前記ユーザのテナンシーとを特定する、請求項1に記載のコンピュータ読取可能媒体。
- 前記マイクロサービスはステートレスである、請求項1に記載のコンピュータ読取可能媒体。
- 前記マイクロサービスは、プロキシユーザを用いて前記接続プールの各接続に接続する、請求項1に記載のコンピュータ読取可能媒体。
- 前記プロキシユーザは前記データベース内のテナントを代理する、請求項4に記載のコンピュータ読取可能媒体。
- 前記データベースおよび前記マイクロサービスは、互いに独立してスケーリングするように構成される、請求項1に記載のコンピュータ読取可能媒体。
- 前記データベースは分散型データグリッドを含む、請求項1に記載のコンピュータ読取可能媒体。
- 前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーのうちの少なくとも2つは、同一のテナンシーである、請求項1に記載のコンピュータ読取可能媒体。
- クラウドベースのアイデンティティおよびアクセス管理を提供する方法であって、
アイデンティティ管理サービスを求める要求をクライアントから受信するステップと、
前記要求を認証するステップと、
前記要求に基づいてマイクロサービスにアクセスするステップと、
前記要求に基づいて、前記クライアントのテナンシー、前記要求に関連するユーザのテナンシー、および前記要求に関連するリソースのテナンシーを判断するステップと、
データベースにおける前記クライアントのテナンシー、前記ユーザのテナンシー、または前記リソースのテナンシーのうちの少なくとも1つからデータを取出すステップとを含み、前記データは、前記マイクロサービスにより、前記データベースへの接続を提供する接続プールを用いて取出され、前記方法はさらに、
前記マイクロサービスにより、前記データを用いて、前記アイデンティティ管理サービスを実行するステップを含む、方法。 - 前記アイデンティティ管理サービスは、前記ユーザが前記リソースにアクセスするためのアクセストークンを取得することを含み、前記トークンは、前記リソースのテナンシーと前記ユーザのテナンシーとを特定する、請求項9に記載の方法。
- 前記マイクロサービスはステートレスである、請求項9に記載の方法。
- 前記マイクロサービスは、プロキシユーザを用いて前記接続プールの各接続に接続する、請求項9に記載の方法。
- 前記プロキシユーザは前記データベース内のテナントを代理する、請求項12に記載の方法。
- 前記データベースおよび前記マイクロサービスは、互いに独立してスケーリングするように構成される、請求項9に記載の方法。
- 前記データベースは分散型データグリッドを含む、請求項9に記載の方法。
- 前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーのうちの少なくとも2つは、同一のテナンシーである、請求項9に記載の方法。
- クラウドベースのアイデンティティおよびアクセス管理を提供するためのシステムであって、
アイデンティティ管理サービスを求める要求をクライアントから受信するセキュリティゲートを備え、
前記セキュリティゲートは前記要求を認証し、
前記セキュリティゲートは前記要求に基づいてマイクロサービスにアクセスし、
前記マイクロサービスは、前記要求に基づいて、前記クライアントのテナンシー、前記要求に関連するユーザのテナンシー、および前記要求に関連するリソースのテナンシーを判断し、
前記マイクロサービスは、前記クライアントのテナンシー、前記ユーザのテナンシー、または前記リソースのテナンシーのうちの少なくとも1つからデータを取出し、前記マイクロサービスは、前記データを、データベースへの接続を提供する接続プールを用いて取出し、
前記マイクロサービスは、前記データを用いて、前記アイデンティティ管理サービスを実行する、システム。 - 前記アイデンティティ管理サービスは、前記ユーザが前記リソースにアクセスするためのアクセストークンを取得することを含み、前記トークンは、前記リソースのテナンシーと前記ユーザのテナンシーとを特定する、請求項17に記載のシステム。
- 前記マイクロサービスはステートレスである、請求項17に記載のシステム。
- 前記マイクロサービスは、プロキシユーザを用いて前記接続プールの各接続に接続し、前記プロキシユーザは前記データベース内のテナントを代理する、請求項17に記載のシステム。
- プロセッサによって実行されると前記プロセッサにクラウドベースのアイデンティおよ
びアクセス管理を提供させる命令が格納された非一時的なコンピュータ読取可能媒体であって、前記プロセッサは、
ユーザがリソースにアクセスするためのアクセストークンを取得することを求める要求をクライアントから受信し、
前記要求に基づいて、前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーを判断し、
前記要求に基づいてマイクロサービスにアクセスし、
前記マイクロサービスにより、前記要求に基づいて、アイデンティティ管理サービスを実行し、前記アイデンティティ管理サービスは、前記リソースのテナンシーおよび前記ユーザのテナンシーを特定する前記アクセストークンを生成することを含む、非一時的なコンピュータ読取可能媒体。 - 前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーのうちの少なくとも2つは、同一のテナンシーである、請求項21に記載のコンピュータ読取可能媒体。
- 前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーのうちの少なくとも2つは、異なるテナンシーである、請求項21に記載のコンピュータ読取可能媒体。
- 前記要求は、前記クライアントのテナンシーを特定するクライアントアサーショントークンを含む、請求項21に記載のコンピュータ読取可能媒体。
- 前記要求は、前記ユーザのテナンシーを特定するユーザアサーショントークンを含む、請求項21に記載のコンピュータ読取可能媒体。
- 前記要求のヘッダは前記リソースのテナンシーを示す、請求項21に記載のコンピュータ読取可能媒体。
- 前記要求は、ハイパーテキスト・トランスファー・プロトコル(HTTP)要求である、請求項21に記載のコンピュータ読取可能媒体。
- 前記要求は、前記ユーザを認証し前記アクセストークンを取得するための認可標準を示す、請求項21に記載のコンピュータ読取可能媒体。
- 前記認可標準はOAuthである、請求項28に記載のコンピュータ読取可能媒体。
- 前記クライアントはOAuthクライアントである、請求項29に記載のコンピュータ読取可能媒体。
- 前記トークンはJavaScriptオブジェクト表記(JSON)ウェブトークン(JWT)である、請求項21に記載のコンピュータ読取可能媒体。
- 前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーのデータはデータベースに格納され、前記データベースおよび前記マイクロサービスは、互いに独立してスケーリングするように構成される、請求項21に記載のコンピュータ読取可能媒体。
- 前記データベースは分散型データグリッドを含む、請求項32に記載のコンピュータ読取可能媒体。
- クラウドベースのアイデンティおよびアクセス管理を提供する方法であって、
ユーザがリソースにアクセスするためのアクセストークンを取得することを求める要求をクライアントから受信するステップと、
前記要求に基づいて、前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーを判断するステップと、
前記要求に基づいてマイクロサービスにアクセスするステップと、
前記マイクロサービスにより、前記要求に基づいて、アイデンティティ管理サービスを実行するステップとを含み、前記アイデンティティ管理サービスは、前記リソースのテナンシーおよび前記ユーザのテナンシーを特定する前記アクセストークンを生成することを含む、方法。 - 前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーのうちの少なくとも2つは、同一のテナンシーである、請求項34に記載の方法。
- 前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーのうちの少なくとも2つは、異なるテナンシーである、請求項34に記載の方法。
- 前記要求は、前記クライアントのテナンシーを特定するクライアントアサーショントークンを含む、請求項34に記載の方法。
- 前記要求は、前記ユーザのテナンシーを特定するユーザアサーショントークンを含む、請求項34に記載の方法。
- 前記要求のヘッダは前記リソースのテナンシーを示す、請求項34に記載の方法。
- クラウドベースのアイデンティおよびアクセス管理を提供するためのシステムであって、
ユーザがリソースにアクセスするためのアクセストークンを取得することを求める要求をクライアントから受信する受信モジュールと、
前記要求に基づいて、前記クライアントのテナンシー、前記ユーザのテナンシー、および前記リソースのテナンシーを判断する判断モジュールと、
前記要求に基づいてマイクロサービスにアクセスするアクセスモジュールと、
前記マイクロサービスにより、前記要求に基づいて、アイデンティティ管理サービスを実行する実行モジュールとを備え、前記アイデンティティ管理サービスは、前記リソースのテナンシーおよび前記ユーザのテナンシーを特定する前記アクセストークンを生成することを含む、システム。 - プロセッサによって実行されると前記プロセッサにクラウドベースのアイデンティおよびアクセス管理を提供させる命令が格納された非一時的なコンピュータ読取可能媒体であって、前記プロセッサは、
アイデンティティ管理サービスの実行を求める要求を受信し、前記要求は、前記アイデンティティ管理サービスを特定するアプリケーションプログラミングインターフェイス(API)へのコールと、前記アイデンティティ管理サービスを実行するように構成されたマイクロサービスとを含み、前記プロセッサはさらに、
前記要求を認証し、
前記マイクロサービスにアクセスし、
前記マイクロサービスによって前記アイデンティティ管理サービスを実行する、非一時的なコンピュータ読取可能媒体。 - 前記マイクロサービスとの通信は、前記マイクロサービスの無名ユニバーサルポートを通して構成される、請求項41に記載のコンピュータ読取可能媒体。
- 前記マイクロサービスは、1つ以上のAPIをエクスポーズすることによって1つ以上の機能を提供し、前記マイクロサービスとの通信は、前記1つ以上のAPIを通してのみ実現される、請求項41に記載のコンピュータ読取可能媒体。
- 前記要求はユニフォーム・リソース・ロケータ(URL)を含み、前記マイクロサービスは前記URLのプレフィックスで特定され、前記URLのリソース部分は前記APIを特定し、前記URLのホスト部分は前記要求に関連するリソースのテナンシーを特定する、請求項43に記載のコンピュータ読取可能媒体。
- 前記マイクロサービスは、ステートレスで、横方向にスケーリング可能で、独立してデプロイ可能である、請求項41に記載のコンピュータ読取可能媒体。
- 前記マイクロサービスの各物理的実装は、複数のテナントを安全にサポートするように構成される、請求項41に記載のコンピュータ読取可能媒体。
- 前記アイデンティティ管理サービスは、ログインサービス、シングル・サイン・オン(SSO)サービス、連携サービス、トークンサービス、ディレクトリサービス、プロビジョニングサービス、またはロールベースアクセス制御(RBAC)サービスを含む、請求項41に記載のコンピュータ読取可能媒体。
- 前記マイクロサービスとの通信は、軽量プロトコルに従って構成される、請求項41に記載のコンピュータ読取可能媒体。
- 前記軽量プロトコルは、ハイパーテキスト・トランスファー・プロトコル(HTTP)およびレプレゼンテーショナル・ステート・トランスファー(REST)プロトコルを含
み、前記要求は、RESTful HTTP APIへのコールを含む、請求項48に記載のコンピュータ読取可能媒体。 - 前記マイクロサービスは、前記アイデンティティ管理サービスを、データベースに格納されているテナントデータに基づいて実行し、前記データベースおよび前記マイクロサービスは、互いに独立してスケーリングするように構成される、請求項41に記載のコンピュータ読取可能媒体。
- 前記データベースは分散型データグリッドを含む、請求項50に記載のコンピュータ読取可能媒体。
- クラウドベースのアイデンティティおよびアクセス管理を提供する方法であって、
アイデンティティ管理サービスの実行を求める要求を受信するステップを含み、前記要求は、前記アイデンティティ管理サービスを特定するアプリケーションプログラミングインターフェイス(API)へのコールと、前記アイデンティティ管理サービスを実行するように構成されたマイクロサービスとを含み、前記方法はさらに、
前記要求を認証するステップと、
前記マイクロサービスにアクセスするステップと、
前記マイクロサービスによって前記アイデンティティ管理サービスを実行するステップとを含む、方法。 - 前記マイクロサービスとの通信は、前記マイクロサービスの無名ユニバーサルポートを
通して構成される、請求項52に記載の方法。 - 前記マイクロサービスは、1つ以上のAPIをエクスポーズすることによって1つ以上の機能を提供し、前記マイクロサービスとの通信は、前記1つ以上のAPIを通してのみ実現される、請求項52に記載の方法。
- 前記要求はユニフォーム・リソース・ロケータ(URL)を含み、前記マイクロサービスは前記URLのプレフィックスで特定され、前記URLのリソース部分は前記APIを特定し、前記URLのホスト部分は前記要求に関連するリソースのテナンシーを特定する、請求項54に記載の方法。
- 前記マイクロサービスは、ステートレスで、横方向にスケーリング可能で、独立してデプロイ可能である、請求項52に記載の方法。
- 前記マイクロサービスの各物理的実装は、複数のテナントを安全にサポートするように構成される、請求項52に記載の方法。
- 前記アイデンティティ管理サービスは、ログインサービス、シングル・サイン・オン(SSO)サービス、連携サービス、トークンサービス、ディレクトリサービス、プロビジョニングサービス、またはロールベースアクセス制御(RBAC)サービスを含む、請求項52に記載の方法。
- 前記マイクロサービスとの通信は、軽量プロトコルに従って構成される、請求項52に記載の方法。
- クラウドベースのアイデンティティおよびアクセス管理を提供するためのシステムであって、
アイデンティティ管理サービスの実行を求める要求を受信する受信モジュールを備え、前記要求は、前記アイデンティティ管理サービスを特定するアプリケーションプログラミングインターフェイス(API)へのコールと、前記アイデンティティ管理サービスを実行するように構成されたマイクロサービスとを含み、前記システムはさらに、
前記要求を認証する認証モジュールと、
前記マイクロサービスにアクセスするアクセスモジュールと、
前記マイクロサービスによって前記アイデンティティ管理サービスを実行する実行モジュールとを備える、システム。 - プロセッサによって実行されると前記プロセッサにクラウドベースのアイデンティおよびアクセス管理を提供させる命令が格納された非一時的なコンピュータ読取可能媒体であって、前記プロセッサは、
アイデンティティ管理サービスの実行を求める要求を受信し、
前記アイデンティティ管理サービスに基づいてマイクロサービスにアクセスし、
前記アイデンティティ管理サービスを完了するために実行する必要がある1つ以上のリアルタイムタスクと1つ以上のニア・リアルタイムタスクとを判断し、
前記マイクロサービスにより、前記1つ以上のリアルタイムタスクを同期的に実行し、
非同期的に実行する前記1つ以上のニア・リアルタイムタスクをキューに送信する、非一時的なコンピュータ読取可能媒体。 - 前記アイデンティティ管理サービスは、ユーザによるリソースへのアクセスを許可することを要求される、請求項61に記載のコンピュータ読取可能媒体。
- 前記ユーザは、前記1つ以上のリアルタイムタスクが完了したときであって前記1つ以上のニア・リアルタイムタスクが完了する前に、前記リソースへのアクセスを許可される、請求項62に記載のコンピュータ読取可能媒体。
- 前記アイデンティティ管理サービスは前記ユーザを認証することを含み、前記1つ以上のリアルタイムタスクは、前記ユーザのクレデンシャルを検証することと、対応するセッションを開始することとを含む、請求項63に記載のコンピュータ読取可能媒体。
- 前記1つ以上のニア・リアルタイムタスクは、監査または通知のうちの少なくとも1つを含む、請求項64に記載のコンピュータ読取可能媒体。
- 前記キューは、配信および処理が保証されたスケーラビリティが高い非同期イベント管理システムを実現するメッセージキューである、請求項61に記載のコンピュータ読取可能媒体。
- 前記アイデンティティ管理サービスは、ログインサービス、シングル・サイン・オン(SSO)サービス、連携サービス、トークンサービス、ディレクトリサービス、プロビジョニングサービス、またはロールベースアクセス制御(RBAC)サービスを含む、請求項61に記載のコンピュータ読取可能媒体。
- 前記マイクロサービスはステートレスであり、前記マイクロサービスはデータベースに格納されているテナントデータに基づいて前記アイデンティティ管理サービスを実行し、前記データベースおよび前記マイクロサービスは互いに独立してスケーリングするように構成される、請求項61に記載のコンピュータ読取可能媒体。
- 前記データベースは分散型データグリッドを含む、請求項68に記載のコンピュータ読取可能媒体。
- クラウドベースのアイデンティティおよびアクセス管理の方法であって、
アイデンティティ管理サービスの実行を求める要求を受信するステップと、
前記アイデンティティ管理サービスに基づいてマイクロサービスにアクセスするステップと、
前記アイデンティティ管理サービスを完了するために実行する必要がある1つ以上のリアルタイムタスクと1つ以上のニア・リアルタイムタスクとを判断するステップと、
前記マイクロサービスにより、前記1つ以上のリアルタイムタスクを同期的に実行するステップと、
非同期的に実行する前記1つ以上のニア・リアルタイムタスクをキューに送信するステップとを含む、方法。 - 前記アイデンティティ管理サービスは、ユーザによるリソースへのアクセスを許可することを要求される、請求項70に記載の方法。
- 前記ユーザは、前記1つ以上のリアルタイムタスクが完了したときであって前記1つ以上のニア・リアルタイムタスクが完了する前に、前記リソースへのアクセスを許可される、請求項71に記載の方法。
- 前記アイデンティティ管理サービスは前記ユーザを認証することを含み、前記1つ以上のリアルタイムタスクは、前記ユーザのクレデンシャルを検証することと、対応するセッションを開始することとを含む、請求項72に記載の方法。
- 前記1つ以上のニア・リアルタイムタスクは、監査または通知のうちの少なくとも1つを含む、請求項73に記載の方法。
- 前記キューは、配信および処理が保証されたスケーラビリティが高い非同期イベント管理システムを実現するメッセージキューである、請求項70に記載の方法。
- 前記アイデンティティ管理サービスは、ログインサービス、シングル・サイン・オン(SSO)サービス、連携サービス、トークンサービス、ディレクトリサービス、プロビジョニングサービス、またはロールベースアクセス制御(RBAC)サービスを含む、請求項70に記載の方法。
- 前記マイクロサービスはステートレスであり、前記マイクロサービスはデータベースに格納されているテナントデータに基づいて前記アイデンティティ管理サービスを実行し、前記データベースおよび前記マイクロサービスは互いに独立してスケーリングするように構成される、請求項70に記載の方法。
- 前記データベースは分散型データグリッドを含む、請求項77に記載の方法。
- クラウドベースのアイデンティおよびアクセス管理を提供するためのシステムであって、前記システムは、
アイデンティティ管理サービスの実行を求める要求を受信する受信モジュールと、
前記アイデンティティ管理サービスに基づいてマイクロサービスにアクセスするアクセスモジュールと、
前記アイデンティティ管理サービスを完了するために実行する必要がある1つ以上のリアルタイムタスクと1つ以上のニア・リアルタイムタスクとを判断する判断モジュールと、
前記マイクロサービスにより、前記1つ以上のリアルタイムタスクを同期的に実行する同期実行モジュールと、
非同期的に実行する前記1つ以上のニア・リアルタイムタスクをキューに送信する送信モジュールとを備える、システム。 - 前記アイデンティティ管理サービスは、ユーザによるリソースへのアクセスを許可することを要求される、請求項79に記載のシステム。
Applications Claiming Priority (22)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662334645P | 2016-05-11 | 2016-05-11 | |
US62/334,645 | 2016-05-11 | ||
US201662371336P | 2016-08-05 | 2016-08-05 | |
US62/371,336 | 2016-08-05 | ||
US201662376069P | 2016-08-17 | 2016-08-17 | |
US62/376,069 | 2016-08-17 | ||
US201662395479P | 2016-09-16 | 2016-09-16 | |
US201662395501P | 2016-09-16 | 2016-09-16 | |
US201662395463P | 2016-09-16 | 2016-09-16 | |
US62/395,479 | 2016-09-16 | ||
US62/395,463 | 2016-09-16 | ||
US62/395,501 | 2016-09-16 | ||
US201662434501P | 2016-12-15 | 2016-12-15 | |
US62/434,501 | 2016-12-15 | ||
US15/450,550 US9838377B1 (en) | 2016-05-11 | 2017-03-06 | Task segregation in a multi-tenant identity and data security management cloud service |
US15/450,512 US9838376B1 (en) | 2016-05-11 | 2017-03-06 | Microservices based multi-tenant identity and data security management cloud service |
US15/450,512 | 2017-03-06 | ||
US15/450,550 | 2017-03-06 | ||
US15/469,718 US10341410B2 (en) | 2016-05-11 | 2017-03-27 | Security tokens for a multi-tenant identity and data security management cloud service |
US15/469,718 | 2017-03-27 | ||
US15/485,532 | 2017-04-12 | ||
US15/485,532 US9781122B1 (en) | 2016-05-11 | 2017-04-12 | Multi-tenant identity and data security management cloud service |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018512197A Division JP6491796B2 (ja) | 2016-05-11 | 2017-05-09 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018142333A true JP2018142333A (ja) | 2018-09-13 |
JP6491381B2 JP6491381B2 (ja) | 2019-03-27 |
Family
ID=61387621
Family Applications (4)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018512197A Active JP6491796B2 (ja) | 2016-05-11 | 2017-05-09 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
JP2018064072A Active JP6491381B2 (ja) | 2016-05-11 | 2018-03-29 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
JP2018064070A Active JP6917331B2 (ja) | 2016-05-11 | 2018-03-29 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
JP2018064071A Active JP6491774B2 (ja) | 2016-05-11 | 2018-03-29 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018512197A Active JP6491796B2 (ja) | 2016-05-11 | 2017-05-09 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018064070A Active JP6917331B2 (ja) | 2016-05-11 | 2018-03-29 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
JP2018064071A Active JP6491774B2 (ja) | 2016-05-11 | 2018-03-29 | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス |
Country Status (4)
Country | Link |
---|---|
EP (4) | EP3311548B1 (ja) |
JP (4) | JP6491796B2 (ja) |
KR (4) | KR101873941B1 (ja) |
CN (4) | CN108322471B (ja) |
Families Citing this family (97)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
WO2018053122A1 (en) * | 2016-09-14 | 2018-03-22 | Oracle International Corporation | Single sign-on and single logout functionality for a multi-tenant identity and data security management cloud service |
US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
CN109565511B (zh) | 2016-09-16 | 2021-06-29 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
CN108416679B (zh) * | 2017-06-07 | 2022-02-08 | 平安科技(深圳)有限公司 | 多保险产品出单的装置、方法及计算机可读存储介质 |
US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
WO2019113553A1 (en) | 2017-12-08 | 2019-06-13 | Net-Thunder, Llc | Automatically deployed information technology (it) system and method |
US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
US10931656B2 (en) * | 2018-03-27 | 2021-02-23 | Oracle International Corporation | Cross-region trust for a multi-tenant identity cloud service |
US10798165B2 (en) | 2018-04-02 | 2020-10-06 | Oracle International Corporation | Tenant data comparison for a multi-tenant identity cloud service |
US11165634B2 (en) * | 2018-04-02 | 2021-11-02 | Oracle International Corporation | Data replication conflict detection and resolution for a multi-tenant identity cloud service |
US11258775B2 (en) * | 2018-04-04 | 2022-02-22 | Oracle International Corporation | Local write for a multi-tenant identity cloud service |
KR102164040B1 (ko) * | 2018-04-16 | 2020-10-12 | (주) 영림원소프트랩 | 클라우드 기반 전사적 자원 관리 시스템과 외부 시스템 간의 양방향 연동을 위한 마이크로 서비스 아키텍처 기반 open api 허브 시스템 |
KR102093145B1 (ko) * | 2018-06-07 | 2020-03-25 | 한밭대학교 산학협력단 | 생체정보 인식 기반의 데이터 최적화를 위한 오브젝트 스토리지 클라우드 시스템 |
CN110647575B (zh) * | 2018-06-08 | 2022-03-11 | 成都信息工程大学 | 基于分布式的异构处理框架构建方法及系统 |
US11030329B2 (en) * | 2018-06-15 | 2021-06-08 | Paypal, Inc. | Unified identity services for multi-tenant architectures |
US20210342907A1 (en) * | 2018-06-15 | 2021-11-04 | Paypal, Inc. | Multi-Tenant Dispute Services |
US11012444B2 (en) * | 2018-06-25 | 2021-05-18 | Oracle International Corporation | Declarative third party identity provider integration for a multi-tenant identity cloud service |
US10764273B2 (en) | 2018-06-28 | 2020-09-01 | Oracle International Corporation | Session synchronization across multiple devices in an identity cloud service |
US10635825B2 (en) * | 2018-07-11 | 2020-04-28 | International Business Machines Corporation | Data privacy awareness in workload provisioning |
CN109033805B (zh) * | 2018-09-30 | 2023-05-19 | 山东电工电气集团新能科技有限公司 | 带微服务授权认证功能的智能配电终端及授权认证方法 |
CN113039745B (zh) * | 2018-10-10 | 2023-04-14 | 阿里巴巴集团控股有限公司 | 文件系统服务器、应用于其中的方法、计算机可读介质 |
US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
CN109495559B (zh) * | 2018-11-06 | 2022-02-22 | 用友网络科技股份有限公司 | 微服务客户端的服务注册及调用方法、注册及调用系统 |
WO2020104839A1 (en) * | 2018-11-23 | 2020-05-28 | Pratik Sharma | Data triggers in microservices architecture |
CN109344206B (zh) * | 2018-12-03 | 2021-07-16 | 天津电气科学研究院有限公司 | 一种基于查询推理的olap元数据冲突的自动修复方法 |
US11057434B2 (en) * | 2018-12-05 | 2021-07-06 | International Business Machines Corporation | High performance access control |
CN109714319A (zh) * | 2018-12-06 | 2019-05-03 | 深圳市中农网有限公司 | 微服务的管理系统、方法、装置、计算机设备及存储介质 |
US10963324B2 (en) * | 2018-12-12 | 2021-03-30 | Citrix Systems, Inc. | Predictive microservice systems and methods |
EP3903252A4 (en) * | 2018-12-28 | 2022-02-23 | PayPal, Inc. | MULTI-TENANCY DISPUT SERVICES |
US11061929B2 (en) | 2019-02-08 | 2021-07-13 | Oracle International Corporation | Replication of resource type and schema metadata for a multi-tenant identity cloud service |
KR102027749B1 (ko) * | 2019-02-08 | 2019-10-02 | 아콘소프트 주식회사 | 마이크로서비스 시스템 및 방법 |
KR102050188B1 (ko) * | 2019-02-08 | 2019-11-28 | 아콘소프트 주식회사 | 마이크로서비스 시스템 및 방법 |
US11321343B2 (en) | 2019-02-19 | 2022-05-03 | Oracle International Corporation | Tenant replication bootstrap for a multi-tenant identity cloud service |
US11669321B2 (en) | 2019-02-20 | 2023-06-06 | Oracle International Corporation | Automated database upgrade for a multi-tenant identity cloud service |
US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
US10796276B1 (en) * | 2019-04-11 | 2020-10-06 | Caastle, Inc. | Systems and methods for electronic platform for transactions of wearable items |
EP3967008A4 (en) * | 2019-05-09 | 2022-12-21 | Services Pétroliers Schlumberger | CUSTOMER ISOLATION WITH CLOUD-NATIVE FEATURES |
CN112015524A (zh) * | 2019-05-28 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 工作流部署方法、设备、系统及存储介质 |
CA3143247A1 (en) * | 2019-06-11 | 2020-12-17 | Net-Thunder, Llc | Automatically deployed information technology (it) system and method with enhanced security |
US10764244B1 (en) * | 2019-06-12 | 2020-09-01 | Cisco Technology, Inc. | Systems and methods providing a multi-cloud microservices gateway using a sidecar proxy |
US11516254B2 (en) * | 2019-06-20 | 2022-11-29 | Juniper Networks, Inc. | Controlling access to microservices within a multi-tenancy framework |
CN110535851A (zh) * | 2019-08-27 | 2019-12-03 | 浪潮云信息技术有限公司 | 一种基于oauth2协议的用户认证系统 |
US11748206B2 (en) * | 2019-08-28 | 2023-09-05 | International Business Machines Corporation | Data recovery modification based on performance data exhibited by a network of data centers and data recovery requirement |
US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
US11870770B2 (en) * | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
CN110581897A (zh) * | 2019-09-30 | 2019-12-17 | 山东浪潮通软信息科技有限公司 | 一种单向网络环境下实现两个系统之间数据交互的方法 |
EP4049413A4 (en) * | 2019-10-26 | 2023-07-05 | Mimik Technology Inc. | METHOD AND SYSTEM FOR DISTRIBUTED EDGE CLOUD COMPUTING |
US10628244B1 (en) * | 2019-10-29 | 2020-04-21 | Snowflake Inc. | Calling external functions from a data warehouse |
KR102432807B1 (ko) * | 2019-11-18 | 2022-08-16 | 한국전자통신연구원 | 마이크로서비스 구조 재구성 방법 및 장치 |
CN111008015B (zh) * | 2019-11-22 | 2023-07-04 | 广联达科技股份有限公司 | 一种基于前端技术实现的微前端应用框架 |
US11507627B2 (en) * | 2019-12-19 | 2022-11-22 | Sap Se | Analytics content network for content delivery embedding |
CN113127821B (zh) * | 2019-12-31 | 2024-08-02 | 远景智能国际私人投资有限公司 | 身份验证方法、装置、电子设备及存储介质 |
CN111241504B (zh) * | 2020-01-16 | 2024-01-05 | 远景智能国际私人投资有限公司 | 身份验证方法、装置、电子设备及存储介质 |
US11501010B2 (en) * | 2020-05-20 | 2022-11-15 | Snowflake Inc. | Application-provisioning framework for database platforms |
CN111610987B (zh) * | 2020-05-25 | 2021-11-05 | 北京邮电大学 | 一种基于微服务的数据处理系统和方法 |
CN111741079A (zh) * | 2020-06-01 | 2020-10-02 | 广西电网有限责任公司电力科学研究院 | 一种基于微服务架构的接口处理方法及系统 |
CN111694857B (zh) * | 2020-06-12 | 2023-11-07 | 北京百度网讯科技有限公司 | 存储资源数据的方法、装置、电子设备及计算机可读介质 |
CN111831874B (zh) * | 2020-07-16 | 2022-08-19 | 深圳赛安特技术服务有限公司 | 网页数据信息获取方法、装置、计算机设备及存储介质 |
CN111953562B (zh) * | 2020-07-29 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种设备状态监控方法及装置 |
US11470159B2 (en) * | 2020-08-28 | 2022-10-11 | Cisco Technology, Inc. | API key security posture scoring for microservices to determine microservice security risks |
CN112087520B (zh) * | 2020-09-14 | 2023-08-22 | 深圳市欣视景科技股份有限公司 | 数据处理方法、装置、设备及计算机可读存储介质 |
CN112149079A (zh) * | 2020-10-22 | 2020-12-29 | 国网冀北电力有限公司经济技术研究院 | 基于微服务架构的规划评审管理平台及用户访问授权方法 |
CN112699411B (zh) * | 2021-01-04 | 2024-04-09 | 北京金山云网络技术有限公司 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
CN112769947A (zh) * | 2021-01-20 | 2021-05-07 | 浪潮云信息技术股份公司 | 一种基于租户侧容器集群管理微服务引擎实例的方法 |
US11757645B2 (en) | 2021-01-26 | 2023-09-12 | Sap Se | Single-use authorization codes in self-contained format |
US11546159B2 (en) | 2021-01-26 | 2023-01-03 | Sap Se | Long-lasting refresh tokens in self-contained format |
CN113014847B (zh) * | 2021-01-27 | 2023-06-06 | 广州佰锐网络科技有限公司 | 一种基于混合云架构实现音视频通信的方法及系统 |
CN113254146B (zh) * | 2021-04-25 | 2024-09-27 | 西安电子科技大学 | 云平台服务信任值计算、任务调度与负载均衡系统、方法 |
CN113296798B (zh) * | 2021-05-31 | 2022-04-15 | 腾讯科技(深圳)有限公司 | 一种服务部署方法、装置及可读存储介质 |
CN113542238B (zh) * | 2021-06-29 | 2023-06-16 | 上海派拉软件股份有限公司 | 一种基于零信任的风险判定方法及系统 |
CN113467891B (zh) * | 2021-07-12 | 2022-03-15 | 腾讯科技(深圳)有限公司 | 服务处理方法、装置及存储介质 |
KR102606911B1 (ko) * | 2021-09-13 | 2023-11-29 | 주식회사 위버스컴퍼니 | Api 서버로 인입되는 트래픽을 조절하는 방법 및 시스템 |
US11785082B2 (en) | 2021-09-30 | 2023-10-10 | Oracle International Corporation | Domain replication across regions |
CN116028938A (zh) * | 2021-10-27 | 2023-04-28 | 中移(苏州)软件技术有限公司 | 提供安全服务的方法及装置、电子设备及计算机存储介质 |
CN114024751B (zh) * | 2021-11-05 | 2023-05-23 | 抖音视界有限公司 | 一种应用访问控制方法、装置、计算机设备及存储介质 |
US11528279B1 (en) | 2021-11-12 | 2022-12-13 | Netskope, Inc. | Automatic user directory synchronization and troubleshooting |
CN114124571B (zh) * | 2021-12-09 | 2024-07-16 | 上海甄云信息科技有限公司 | 一种多路对接的单点登录方法及系统 |
CN114338682B (zh) * | 2021-12-24 | 2024-07-26 | 北京字节跳动网络技术有限公司 | 流量身份标识传递方法、装置、电子设备及存储介质 |
CN114499977B (zh) * | 2021-12-28 | 2023-08-08 | 天翼云科技有限公司 | 一种认证方法及装置 |
WO2023141506A1 (en) * | 2022-01-19 | 2023-07-27 | Commscope Technologies Llc | System and method of cloud based congestion control for virtualized base station |
CN114721845A (zh) * | 2022-04-14 | 2022-07-08 | 广州有信科技有限公司 | 一种多租户RestfulAPI接口管理方法及装置 |
WO2023219773A1 (en) * | 2022-05-09 | 2023-11-16 | Oracle International Corporation | Remote cloud function invocation service |
US11985058B2 (en) | 2022-08-04 | 2024-05-14 | Getac Technology Corporation | Interservice communication optimization for microservices |
US20240045980A1 (en) * | 2022-08-04 | 2024-02-08 | Getac Technology Corporation | Maintaining data security in a multi-tenant microservice environment |
KR102716766B1 (ko) * | 2022-11-15 | 2024-10-15 | 주식회사 딥파인 | SaaS 플랫폼에서의 멀티 테넌트 서비스 제공 방법 및 시스템 |
KR102681049B1 (ko) | 2022-12-21 | 2024-07-04 | 세종대학교산학협력단 | Xacml과 dds를 이용한 스마트그리드 통신 응용프로그램 수준의 보안 방법 및 시스템 |
KR102522910B1 (ko) * | 2022-12-29 | 2023-04-18 | 주식회사 에스티씨랩 | 프록시 방식의 서비스 지속성 보장 시스템 및 방법 |
KR102640624B1 (ko) * | 2023-05-26 | 2024-02-23 | 박만성 | 자금세탁방지(AML) 서비스를 제공하기 위한 클라우드 기반 SaaS형 자금세탁방지 시스템 |
CN117176379B (zh) * | 2023-06-25 | 2024-02-09 | 广东电网有限责任公司佛山供电局 | 一种基于微服务架构的非结构化数据共享方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004302534A (ja) * | 2003-03-28 | 2004-10-28 | Nri & Ncc Co Ltd | WebサービスシステムとWebサービスシステムのデータ送信処理方法 |
JP2008027043A (ja) * | 2006-07-19 | 2008-02-07 | Gaiax Co Ltd | ウェブサイト管理システム、ウェブサイト管理方法、ウェブサイト管理プログラムおよび該プログラムを記録した記録媒体 |
JP2008077541A (ja) * | 2006-09-25 | 2008-04-03 | Dainippon Printing Co Ltd | Webアプリケーション接続管理システム、Webサーバ、Webアプリケーション接続管理方法、プログラム、及び記録媒体 |
WO2009025054A1 (ja) * | 2007-08-23 | 2009-02-26 | Fujitsu Limited | 生体認証システムおよび生体認証プログラム |
JP2010262532A (ja) * | 2009-05-08 | 2010-11-18 | Yahoo Japan Corp | ログインを管理するサーバ、方法、およびプログラム |
JP2011141785A (ja) * | 2010-01-08 | 2011-07-21 | Girunetto Kk | 携帯端末を用いた会員登録システム及び認証システム |
JP2012234354A (ja) * | 2011-04-28 | 2012-11-29 | Nippon Telegr & Teleph Corp <Ntt> | データベース増設方法、及びデータベース減設方法 |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070112574A1 (en) * | 2003-08-05 | 2007-05-17 | Greene William S | System and method for use of mobile policy agents and local services, within a geographically distributed service grid, to provide greater security via local intelligence and life-cycle management for RFlD tagged items |
CN101399813B (zh) * | 2007-09-24 | 2011-08-17 | 中国移动通信集团公司 | 身份联合方法 |
US8417723B1 (en) | 2008-09-12 | 2013-04-09 | Salesforce.Com, Inc. | System, method and computer program product for enabling access to a resource of a multi-tenant on-demand database service utilizing a token |
US8271536B2 (en) | 2008-11-14 | 2012-09-18 | Microsoft Corporation | Multi-tenancy using suite of authorization manager components |
US8392969B1 (en) | 2009-06-17 | 2013-03-05 | Intuit Inc. | Method and apparatus for hosting multiple tenants in the same database securely and with a variety of access modes |
EP2583211B1 (en) * | 2010-06-15 | 2020-04-15 | Oracle International Corporation | Virtual computing infrastructure |
JP5930847B2 (ja) | 2011-06-29 | 2016-06-08 | キヤノン株式会社 | サーバーシステムおよび制御方法およびプログラム |
JP5744656B2 (ja) * | 2011-07-15 | 2015-07-08 | キヤノン株式会社 | シングルサインオンを提供するシステムおよびその制御方法、サービス提供装置、中継装置、並びにプログラム |
US9237145B2 (en) | 2011-09-29 | 2016-01-12 | Oracle International Corporation | Single sign-on (SSO) for mobile applications |
WO2013071087A1 (en) * | 2011-11-09 | 2013-05-16 | Unisys Corporation | Single sign on for cloud |
US9087322B1 (en) | 2011-12-22 | 2015-07-21 | Emc Corporation | Adapting service provider products for multi-tenancy using tenant-specific service composition functions |
JP5773910B2 (ja) * | 2012-02-29 | 2015-09-02 | 三菱電機株式会社 | アクセス制御装置及びアクセス制御方法及びプログラム |
US9148429B2 (en) | 2012-04-23 | 2015-09-29 | Google Inc. | Controlling access by web applications to resources on servers |
JP6276273B2 (ja) * | 2012-09-07 | 2018-02-07 | オラクル・インターナショナル・コーポレイション | 分散型データグリッドクラスタにおけるメッセージ前処理をサポートするシステムおよび方法 |
US9621435B2 (en) * | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
US9369456B2 (en) * | 2012-09-21 | 2016-06-14 | Intuit Inc. | Single sign-on in multi-tenant environments |
US9542546B2 (en) | 2012-09-28 | 2017-01-10 | Volusion, Inc. | System and method for implicitly resolving query scope in a multi-client and multi-tenant datastore |
CN103780635B (zh) * | 2012-10-17 | 2017-08-18 | 百度在线网络技术(北京)有限公司 | 云环境中的分布式异步任务队列执行系统和方法 |
EP2765529B1 (en) | 2013-02-12 | 2021-11-17 | Canon Europa N.V. | A method of authenticating a user of a peripheral apparatus, a peripheral apparatus, and a system for authenticating a user of a peripheral apparatus |
US9268798B2 (en) * | 2013-04-26 | 2016-02-23 | Oracle International Corporation | Support for cloud-based multi-tenant environments using connection labeling |
US9411973B2 (en) | 2013-05-02 | 2016-08-09 | International Business Machines Corporation | Secure isolation of tenant resources in a multi-tenant storage system using a security gateway |
JP6245949B2 (ja) | 2013-11-11 | 2017-12-13 | キヤノン株式会社 | 認可サーバーシステム、その制御方法、およびそのプログラム。 |
CN105917309B (zh) | 2014-01-20 | 2020-02-07 | 惠普发展公司,有限责任合伙企业 | 确定第一租户关于第二租户的许可 |
JP2016009299A (ja) * | 2014-06-24 | 2016-01-18 | キヤノン株式会社 | シングルサインオンシステム、端末装置、制御方法およびコンピュータプログラム |
US10664495B2 (en) | 2014-09-25 | 2020-05-26 | Oracle International Corporation | System and method for supporting data grid snapshot and federation |
WO2016065080A1 (en) * | 2014-10-21 | 2016-04-28 | Twilio, Inc. | System and method for providing a miro-services communication platform |
JP2016085641A (ja) | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
US10129078B2 (en) * | 2014-10-30 | 2018-11-13 | Equinix, Inc. | Orchestration engine for real-time configuration and management of interconnections within a cloud-based services exchange |
CN105515759B (zh) * | 2015-11-27 | 2018-11-09 | 国网信息通信产业集团有限公司 | 一种微服务注册方法及系统 |
CN105577665B (zh) * | 2015-12-24 | 2019-06-18 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
-
2017
- 2017-05-09 EP EP17724697.2A patent/EP3311548B1/en active Active
- 2017-05-09 CN CN201810130928.XA patent/CN108322471B/zh active Active
- 2017-05-09 CN CN201810130899.7A patent/CN108337260B/zh active Active
- 2017-05-09 KR KR1020187004764A patent/KR101873941B1/ko active IP Right Grant
- 2017-05-09 EP EP18163186.2A patent/EP3361700B1/en active Active
- 2017-05-09 EP EP18163192.0A patent/EP3361701B1/en active Active
- 2017-05-09 KR KR1020187004762A patent/KR102041941B1/ko active IP Right Grant
- 2017-05-09 CN CN201810132446.8A patent/CN108322472B/zh active Active
- 2017-05-09 JP JP2018512197A patent/JP6491796B2/ja active Active
- 2017-05-09 KR KR1020187004763A patent/KR101874384B1/ko active IP Right Grant
- 2017-05-09 CN CN201780002451.0A patent/CN107852417B/zh active Active
- 2017-05-09 EP EP18163194.6A patent/EP3361702B1/en active Active
- 2017-05-09 KR KR1020187000420A patent/KR101871902B1/ko active IP Right Grant
-
2018
- 2018-03-29 JP JP2018064072A patent/JP6491381B2/ja active Active
- 2018-03-29 JP JP2018064070A patent/JP6917331B2/ja active Active
- 2018-03-29 JP JP2018064071A patent/JP6491774B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004302534A (ja) * | 2003-03-28 | 2004-10-28 | Nri & Ncc Co Ltd | WebサービスシステムとWebサービスシステムのデータ送信処理方法 |
JP2008027043A (ja) * | 2006-07-19 | 2008-02-07 | Gaiax Co Ltd | ウェブサイト管理システム、ウェブサイト管理方法、ウェブサイト管理プログラムおよび該プログラムを記録した記録媒体 |
JP2008077541A (ja) * | 2006-09-25 | 2008-04-03 | Dainippon Printing Co Ltd | Webアプリケーション接続管理システム、Webサーバ、Webアプリケーション接続管理方法、プログラム、及び記録媒体 |
WO2009025054A1 (ja) * | 2007-08-23 | 2009-02-26 | Fujitsu Limited | 生体認証システムおよび生体認証プログラム |
JP2010262532A (ja) * | 2009-05-08 | 2010-11-18 | Yahoo Japan Corp | ログインを管理するサーバ、方法、およびプログラム |
JP2011141785A (ja) * | 2010-01-08 | 2011-07-21 | Girunetto Kk | 携帯端末を用いた会員登録システム及び認証システム |
JP2012234354A (ja) * | 2011-04-28 | 2012-11-29 | Nippon Telegr & Teleph Corp <Ntt> | データベース増設方法、及びデータベース減設方法 |
Also Published As
Publication number | Publication date |
---|---|
KR101871902B1 (ko) | 2018-06-27 |
KR102041941B1 (ko) | 2019-11-07 |
KR20180027597A (ko) | 2018-03-14 |
KR101874384B1 (ko) | 2018-07-04 |
JP2018142332A (ja) | 2018-09-13 |
CN107852417A (zh) | 2018-03-27 |
CN108322471A (zh) | 2018-07-24 |
JP6491381B2 (ja) | 2019-03-27 |
KR20180016731A (ko) | 2018-02-19 |
KR20180028520A (ko) | 2018-03-16 |
CN108322471B (zh) | 2019-04-23 |
CN108322472A (zh) | 2018-07-24 |
CN108337260B (zh) | 2019-04-23 |
KR20180029073A (ko) | 2018-03-19 |
JP6917331B2 (ja) | 2021-08-11 |
JP6491774B2 (ja) | 2019-03-27 |
EP3311548B1 (en) | 2019-04-10 |
EP3361700B1 (en) | 2021-08-04 |
CN108337260A (zh) | 2018-07-27 |
EP3361701A1 (en) | 2018-08-15 |
JP6491796B2 (ja) | 2019-03-27 |
EP3361700A1 (en) | 2018-08-15 |
JP2018534653A (ja) | 2018-11-22 |
KR101873941B1 (ko) | 2018-07-03 |
CN107852417B (zh) | 2021-04-20 |
JP2018156658A (ja) | 2018-10-04 |
CN108322472B (zh) | 2019-06-25 |
EP3361702B1 (en) | 2019-10-23 |
EP3361702A1 (en) | 2018-08-15 |
EP3311548A1 (en) | 2018-04-25 |
EP3361701B1 (en) | 2021-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6491381B2 (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス | |
JP7304449B2 (ja) | マルチテナントアイデンティティクラウドサービスのためのデータ管理 | |
JP7281483B2 (ja) | マルチテナントアイデンティティクラウドサービスのための宣言型第三者アイデンティティプロバイダの統合 | |
US20200296143A1 (en) | Dynamic Client Registration for an Identity Cloud Service | |
JP7018437B2 (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理 | |
US10693861B2 (en) | Task segregation in a multi-tenant identity and data security management cloud service | |
US9781122B1 (en) | Multi-tenant identity and data security management cloud service | |
US9838376B1 (en) | Microservices based multi-tenant identity and data security management cloud service | |
JP2019164794A (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのシングルサインオンおよびシングルログアウト機能 | |
JP2021516800A (ja) | マルチテナントアイデンティティクラウドサービスのための地域間信頼 | |
JP2021517672A (ja) | マルチテナントアイデンティティクラウドサービスのためのテナントデータ比較 | |
JP2021517674A (ja) | マルチテナントアイデンティクラウドサービスのデータレプリケーション競合の検出および解決 | |
JP2022547359A (ja) | オンプレミス認証が統合されたマルチテナントアイデンティティクラウドサービス | |
JP2021518933A (ja) | マルチテナントアイデンティティクラウドサービスのためのローカル書込 | |
JP2022547360A (ja) | オンプレミス認証が統合されたブリッジ可用性が高いマルチテナントアイデンティティクラウドサービス | |
WO2017196774A1 (en) | Multi-tenant identity and data security management cloud service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20180918 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181002 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6491381 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |