JP2022547360A - オンプレミス認証が統合されたブリッジ可用性が高いマルチテナントアイデンティティクラウドサービス - Google Patents
オンプレミス認証が統合されたブリッジ可用性が高いマルチテナントアイデンティティクラウドサービス Download PDFInfo
- Publication number
- JP2022547360A JP2022547360A JP2021500254A JP2021500254A JP2022547360A JP 2022547360 A JP2022547360 A JP 2022547360A JP 2021500254 A JP2021500254 A JP 2021500254A JP 2021500254 A JP2021500254 A JP 2021500254A JP 2022547360 A JP2022547360 A JP 2022547360A
- Authority
- JP
- Japan
- Prior art keywords
- idcs
- authentication
- user
- cache
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5072—Grid computing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1019—Random or heuristic server selection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
- G06F12/0806—Multiuser, multiprocessor or multiprocessing cache systems
- G06F12/0815—Cache consistency protocols
- G06F12/0831—Cache consistency protocols using a bus scheme, e.g. with bus monitoring or watching means
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
- H04L67/5682—Policies or rules for updating, deleting or replacing the stored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
実施形態は、ユーザに対する認証アクションを求める要求を受けるマルチテナントクラウドシステムを含む。実施形態は、認証ターゲットアクションを作成し、認証ターゲットアクションに応答したターゲットアクションレスポンスをリッスンするためにフィルタを含むキャッシュのキャッシュリスナを登録し、フィルタは、オンプレミスアクティブディレクトリに割り当てられた複数のブリッジのリストを示す。実施形態は、複数のブリッジのうちの1つのブリッジをランダムに選択し、選択したブリッジを介して認証ターゲットアクションをアクティブディレクトリに送る。実施形態は、キャッシュコールバックを待ち、キャッシュコールバックにおいて、認証アクションの結果を含むターゲットアクションレスポンスを受ける。
Description
関連出願の相互参照
本願は、2019年9月13日出願の米国仮特許出願第62/899,888号に基づく優先権を主張し、その開示を本明細書に引用により援用する。
本願は、2019年9月13日出願の米国仮特許出願第62/899,888号に基づく優先権を主張し、その開示を本明細書に引用により援用する。
分野
一実施形態は、概してアイデンティティ管理に関し、特にクラウドシステムにおけるアイデンティティ管理に関する。
一実施形態は、概してアイデンティティ管理に関し、特にクラウドシステムにおけるアイデンティティ管理に関する。
背景情報
一般的に、多様なデバイス(たとえばデスクトップおよびモバイルデバイス)および多様なユーザ(たとえば被雇用者、パートナー、顧客など)からアクセスされる、クラウドベースのアプリケーション(たとえば企業パブリッククラウドアプリケーション、第三者クラウドアプリケーションなど)の使用が、急激に増加している。クラウドベースのアプリケーションは、その多様性およびアクセシビリティが高いので、アイデンティティの管理およびアクセスのセキュリティが中心的な関心事になっている。クラウド環境における典型的なセキュリティの問題は、不正アクセス、アカウントのハイジャック、悪意のあるインサイダーなどである。したがって、クラウドベースのアプリケーションであっても、どこに存在するアプリケーションであっても、アプリケーションにアクセスするデバイスの種類またはユーザの種類にかかわらず、安全なアクセスが必要とされている。
一般的に、多様なデバイス(たとえばデスクトップおよびモバイルデバイス)および多様なユーザ(たとえば被雇用者、パートナー、顧客など)からアクセスされる、クラウドベースのアプリケーション(たとえば企業パブリッククラウドアプリケーション、第三者クラウドアプリケーションなど)の使用が、急激に増加している。クラウドベースのアプリケーションは、その多様性およびアクセシビリティが高いので、アイデンティティの管理およびアクセスのセキュリティが中心的な関心事になっている。クラウド環境における典型的なセキュリティの問題は、不正アクセス、アカウントのハイジャック、悪意のあるインサイダーなどである。したがって、クラウドベースのアプリケーションであっても、どこに存在するアプリケーションであっても、アプリケーションにアクセスするデバイスの種類またはユーザの種類にかかわらず、安全なアクセスが必要とされている。
概要
実施形態は、ユーザに対する認証アクションを求める要求を受けるマルチテナントクラウドシステムを含む。実施形態は、認証ターゲットアクションを作成し、認証ターゲットアクションに応答したターゲットアクションレスポンスをリッスンするためにフィルタを含むキャッシュのキャッシュリスナを登録し、フィルタは、オンプレミスアクティブディレクトリに割り当てられた複数のブリッジのリストを示す。実施形態は、複数のブリッジのうちの1つのブリッジをランダムに選択し、選択したブリッジを介して認証ターゲットアクションをアクティブディレクトリに送る。実施形態は、キャッシュコールバックを待ち、キャッシュコールバックにおいて、認証アクションの結果を含むターゲットアクションレスポンスを受ける。
実施形態は、ユーザに対する認証アクションを求める要求を受けるマルチテナントクラウドシステムを含む。実施形態は、認証ターゲットアクションを作成し、認証ターゲットアクションに応答したターゲットアクションレスポンスをリッスンするためにフィルタを含むキャッシュのキャッシュリスナを登録し、フィルタは、オンプレミスアクティブディレクトリに割り当てられた複数のブリッジのリストを示す。実施形態は、複数のブリッジのうちの1つのブリッジをランダムに選択し、選択したブリッジを介して認証ターゲットアクションをアクティブディレクトリに送る。実施形態は、キャッシュコールバックを待ち、キャッシュコールバックにおいて、認証アクションの結果を含むターゲットアクションレスポンスを受ける。
詳細な説明
実施形態が提供するアイデンティティクラウドサービスは、マイクロサービスベースのアーキテクチャを実現するとともに、マルチテナントアイデンティティおよびデータセキュリティの管理ならびにクラウドベースのアプリケーションへの安全なアクセスを提供する。実施形態は、インメモリデータグリッドキャッシュコールバックを推進することにより、クラウドベースの認証サービスとオンプレミス認証システムとの間の要求/レスポンスのフローを最適化する。実施形態は、クラウドベースの認証システム(たとえばIDCS)がキャッシュコールバックを用いてオンプレミス認証システムに対してインターフェイスする場合のレイテンシを短縮する。実施形態はさらに、クラウドベースの認証システムとアクティブディレクトリ(active directory)(「AD」)との間に複数のブリッジを用いることで高可用性を実現し、利用可能なブリッジは、キャッシュリスナフィルタの使用を通してランダムに選択される。
実施形態が提供するアイデンティティクラウドサービスは、マイクロサービスベースのアーキテクチャを実現するとともに、マルチテナントアイデンティティおよびデータセキュリティの管理ならびにクラウドベースのアプリケーションへの安全なアクセスを提供する。実施形態は、インメモリデータグリッドキャッシュコールバックを推進することにより、クラウドベースの認証サービスとオンプレミス認証システムとの間の要求/レスポンスのフローを最適化する。実施形態は、クラウドベースの認証システム(たとえばIDCS)がキャッシュコールバックを用いてオンプレミス認証システムに対してインターフェイスする場合のレイテンシを短縮する。実施形態はさらに、クラウドベースの認証システムとアクティブディレクトリ(active directory)(「AD」)との間に複数のブリッジを用いることで高可用性を実現し、利用可能なブリッジは、キャッシュリスナフィルタの使用を通してランダムに選択される。
実施形態は、ハイブリッドクラウドのデプロイメント(すなわちパブリッククラウドとプライベートクラウドとを組み合わせたものを含むクラウドのデプロイメント)について安全なアクセスをサポートする。実施形態は、クラウド内およびオンプレミス双方におけるアプリケーションおよびデータを保護する。実施形態は、ウェブ、モバイル機器、およびアプリケーションプログラミングインターフェイス(application programming interface)(「API」)を介したマルチチャネルアクセスをサポートする。実施形態は、顧客、パートナー、および被雇用者など、さまざまなユーザのアクセスを管理する。実施形態は、クラウドを通じたアクセスおよびオンプレミスのアクセス双方を管理、制御、および監査する。実施形態は、新たなおよび既存のアプリケーションおよびアイデンティティと統合される。実施形態は横方向にスケーラブルである。
一実施形態は、ステートレスな中間層環境において多数のマイクロサービスを実現することによりクラウドベースのマルチテナントアイデンティティおよびアクセス管理サービスを提供するシステムである。一実施形態において、要求された各アイデンティティ管理サービスは、リアルタイムタスクとニア・リアルタイムタスクとに分割される。リアルタイムタスクは中間層のマイクロサービスによって処理されるのに対し、ニア・リアルタイムタスクはメッセージキューにオフロードされる。実施形態は、ルーティング層および中間層によって消費されるアクセストークンを実現することにより、マイクロサービスにアクセスするためのセキュリティモデルを強化する。したがって、実施形態は、マルチテナントのマイクロサービスアーキテクチャに基づいてクラウドスケールのアイデンティティおよびアクセス管理(Identity and Access Management)(「IAM」)プラットフォームを提供する。
一実施形態は、組織が、その新たなビジネス構想のために高速で信頼性が高くかつ安全なサービスを迅速に開発できるようにするアイデンティティクラウドサービスを提供する。一実施形態において、アイデンティティクラウドサービスは多数のコアサービスを提供する。各コアサービスは、多くの企業が直面する固有の課題を解決する。一実施形態において、アイデンティティクラウドサービスは、たとえば、最初にユーザのオンボード/インポートを行うとき、ユーザメンバとともにグループをインポートするとき、ユーザを作成/更新/ディスエーブル/イネーブル/削除するとき、ユーザをグループに割り当てる/グループへのユーザ割当を解除するとき、グループを作成/更新/削除するとき、パスワードをリセットするとき、ポリシーを管理するとき、アクティベーションを送信するときなどの、アドミニストレータをサポートする。
統一されたアクセスセキュリティ
一実施形態は、クラウド環境およびオンプレミス環境双方におけるアプリケーションおよびデータを保護する。本実施形態は、どのデバイスからの誰によるどのアプリケーションへのアクセスも安全にする。本実施形態は、これらの環境双方にわたる保護を提供する。なぜなら、これら2つの環境の間でセキュリティに矛盾があればリスクが高くなる可能性があるからである。たとえば、このような矛盾があった場合、販売員は、離反して競合他社に移った後であっても、その顧客関係管理(Customer Relationship Management)(「CRM」)アカウントへのアクセス権を有し続ける場合がある。したがって、実施形態は、オンプレミス環境においてプロビジョニングされたセキュリティ制御をクラウド環境に拡張する。たとえば、ある人物が会社を辞めた場合、実施形態は、そのアカウントがオンプレミスおよびクラウド双方においてディスエーブルされることを保証する。
一実施形態は、クラウド環境およびオンプレミス環境双方におけるアプリケーションおよびデータを保護する。本実施形態は、どのデバイスからの誰によるどのアプリケーションへのアクセスも安全にする。本実施形態は、これらの環境双方にわたる保護を提供する。なぜなら、これら2つの環境の間でセキュリティに矛盾があればリスクが高くなる可能性があるからである。たとえば、このような矛盾があった場合、販売員は、離反して競合他社に移った後であっても、その顧客関係管理(Customer Relationship Management)(「CRM」)アカウントへのアクセス権を有し続ける場合がある。したがって、実施形態は、オンプレミス環境においてプロビジョニングされたセキュリティ制御をクラウド環境に拡張する。たとえば、ある人物が会社を辞めた場合、実施形態は、そのアカウントがオンプレミスおよびクラウド双方においてディスエーブルされることを保証する。
一般的に、ユーザは、ウェブブラウザ、デスクトップ、携帯電話、タブレット、スマートウォッチ、その他のウェアラブル機器などの多種多様なチャネルを通してアプリケーションおよび/またはデータにアクセスし得る。したがって、一実施形態は、これらすべてのチャネルについて、これらを通るアクセスを安全なものにする。たとえば、ユーザは、その携帯電話を用いて、自身のデスクトップ上で開始したトランザクションを完了させることができる。
一実施形態はさらに、顧客、パートナー、被雇用者など、さまざまなユーザのアクセスを管理する。一般的に、アプリケーションおよび/またはデータは、被雇用者だけでなく、顧客または第三者によってもアクセスされる場合がある。既知の多くのシステムは、被雇用者のオンボード時に安全対策を講じるが、この安全対策は通常、顧客、第三者、パートナーなどにアクセス権を付与するときの安全対策と同じレベルではないので、結果として、適切に管理されていない者によってセキュリティが破られる可能性がある。しかしながら、実施形態は、被雇用者だけでなく各タイプのユーザのアクセスについて十分な安全対策が提供されることを保証する。
アイデンティティクラウドサービス
実施形態は、マルチテナントでクラウドスケールのIAMプラットフォームであるアイデンティティクラウドサービス(Identity Cloud Service)(「IDCS」)を提供する。IDCSは、認証、認可、監査、および連携(federation)を提供する。IDCSは、パブリッククラウドおよびオンプレミスシステム上で実行されているカスタムアプリケーションおよびサービスへのアクセスを管理する。これに代わるまたはこれに加えられる実施形態において、IDCSは、パブリッククラウドサービスへのアクセスも管理し得る。たとえば、IDCSを用いて、このような多様なサービス/アプリケーション/システムにまたがるシングルサインオン(Single Sign On)(「SSO」)機能を提供することができる。
実施形態は、マルチテナントでクラウドスケールのIAMプラットフォームであるアイデンティティクラウドサービス(Identity Cloud Service)(「IDCS」)を提供する。IDCSは、認証、認可、監査、および連携(federation)を提供する。IDCSは、パブリッククラウドおよびオンプレミスシステム上で実行されているカスタムアプリケーションおよびサービスへのアクセスを管理する。これに代わるまたはこれに加えられる実施形態において、IDCSは、パブリッククラウドサービスへのアクセスも管理し得る。たとえば、IDCSを用いて、このような多様なサービス/アプリケーション/システムにまたがるシングルサインオン(Single Sign On)(「SSO」)機能を提供することができる。
実施形態は、クラウドスケールのソフトウェアサービスを設計、構築、および配信するためのマルチテナントマイクロサービスアーキテクチャに基づく。マルチテナンシーとは、あるサービスを物理的に実現したものがありこのサービスが当該サービスを購入した複数の顧客を安全にサポートするサービスであることを言う。サービスは、異なるクライアントが異なる目的のために再使用できるソフトウェア機能またはソフトウェア機能のセット(指定された情報を取り出すことまたは一組の動作を実行することなど)に、(たとえばサービスを要求しているクライアントのアイデンティティに基づく)その使用を管理するポリシーを合わせたものである。一実施形態において、サービスは、1つ以上の機能へのアクセスを可能にするメカニズムであり、このアクセスは、所定のインターフェイスを用いて提供され、サービスの記述によって明記された制約およびポリシーに従って実行される。
一実施形態において、マイクロサービスは独立してデプロイ可能なサービスである。一実施形態において、マイクロサービスという用語は、言語に依存しないAPIを用いて相互に通信する小さな独立したプロセスから複雑なアプリケーションが構成されている、ソフトウェアアーキテクチャ設計パターンを意図している。一実施形態において、マイクロサービスは、細かく分離された小さなサービスであり、各サービスは、小さなタスクの実行に集中し得る。一実施形態において、マイクロサービスアーキテクチャスタイルは、単一のアプリケーションを小さなサービス一式として開発する手法であり、各サービスは、自身のプロセスにおいて実行され、軽量のメカニズム(たとえばハイパーテキスト・トランスファー・プロトコル(Hypertext Transfer Protocol)(「HTTP」)リソースAPI)と通信する。一実施形態において、マイクロサービスは、同一機能すべてをまたは同一機能のうちの多くを実行するモノリシックサービスと比較すると、交換がより簡単である。加えて、マイクロサービスは各々、その他のマイクロサービスに悪影響を与えることなく更新し得る。これに対し、モノリシックサービスの一部を更新すると、当該モノリシックサービスの他の部分に望ましくないまたは意図せぬ悪影響が及ぶ可能性がある。一実施形態において、マイクロサービスはその機能を中心として有益に編成し得る。一実施形態において、マイクロサービスのコレクションのうち各マイクロサービスのスタートアップ時間は、これらのマイクロサービスのうちのすべてのサービスをまとめて実行する単一のアプリケーションのスタートアップ時間よりも遥かに短い。いくつかの実施形態において、このようなマイクロサービス各々のスタートアップ時間は約1秒以下であるのに対し、このような単一のアプリケーションのスタートアップ時間は約1分、数分、またはそれよりも長い場合がある。
一実施形態において、マイクロサービスアーキテクチャとは、フレキシブルで、独立してデプロイ可能なソフトウェアシステムを構築するための、サービス指向アーキテクチャ(service oriented architecture(「SOA」))の専門化(すなわちシステム内におけるタスクの分離)および実現の手法のことである。マイクロサービスアーキテクチャにおけるサービスは、目的を達成するためにネットワークを通して相互に通信するプロセスである。一実施形態において、これらのサービスは、技術に依存しないプロトコルを使用する。一実施形態において、サービスは、細分性が小さく軽量であるプロトコルを使用する。一実施形態において、サービスは独立してデプロイ可能である。システムの機能を異なる小さなサービスに分散させることにより、システムの結束性は向上し、システムのカップリングは減少する。それにより、システム変更が容易になり、任意の時点でシステムに機能および品質を追加することが容易になる。また、それによって、個々のサービスのアーキテクチャが、絶え間ないリファクタリングを通して出現することが可能になり、したがって、大規模な事前の設計の必要性は低下しソフトウェアを早期に連続してリリースすることが可能になる。
一実施形態において、マイクロサービスアーキテクチャでは、アプリケーションがサービスのコレクションとして開発され、各サービスはそれぞれのプロセスを実行し軽量のプロトコルを用いて通信する(たとえばマイクロサービスごとの固有API)。マイクロサービスアーキテクチャにおいて、1つのソフトウェアを個々のサービス/機能に分解することは、提供するサービスに応じて異なるレベルの粒度で行うことができる。サービスはランタイムコンポーネント/プロセスである。各マイクロサービスは、他のモジュール/マイクロサービスに対してトークすることができる内蔵モジュールである。各マイクロサービスは、他からコンタクトできる無名ユニバーサルポートを有する。一実施形態において、マイクロサービスの無名ユニバーサルポートは、従来マイクロサービスがエクスポーズする(たとえば従来のHTTPポートとしての)標準通信チャネルであり、同一サービス内の他のモジュール/マイクロサービスがそれに対してトークできるようにする標準通信チャネルである。マイクロサービスまたはその他の内蔵機能モジュールを包括的に「サービス」と呼ぶことができる。
実施形態は、マルチテナントアイデンティティ管理サービスを提供する。実施形態は、さまざまなアプリケーションとの容易な統合を保証するオープン標準に基づいており、標準ベースのサービスを通してIAM機能を提供する。
実施形態は、アイデンティティがアクセスできる対象、このようなアクセスを付与できる者、このようなアクセスを管理できる者などを判断し施行することを伴うユーザアイデンティティのライフサイクルを管理する。実施形態は、クラウド内でアイデンティティ管理ワークロードを実行し、このクラウド内に存在するとは限らないアプリケーションのセキュリティ機能をサポートする。これらの実施形態が提供するアイデンティティ管理サービスはクラウドから購入されてもよい。たとえば、企業は、このようなサービスをクラウドから購入してその被雇用者の当該企業のアプリケーションに対するアクセスを管理してもよい。
実施形態は、システムセキュリティ、大規模なスケーラビリティ、エンドユーザのユーザビリティ、およびアプリケーションのインターオペラビリティを提供する。実施形態は、クラウドの成長と、顧客によるアイデンティティサービスの使用とを扱っている。マイクロサービスに基づく基礎は、横方向のスケーラビリティ条件を扱うのに対し、サービスの綿密な調整は機能条件を扱う。これらの目標双方を達成するには、ビジネスロジックを(可能な限り)分解することにより、最終的には一貫性のあるステートレスを達成する一方で、リアルタイム処理を受けない動作論理のほとんどが、配信と処理が保証されたスケーラビリティが高い非同期イベント管理システムに、オフロードされることにより、ニア・リアルタイムにシフトする。実施形態は、コスト効率を実現しシステム管理を容易にするために、ウェブ層からデータまで完全にマルチテナントである。
実施形態は、さまざまなアプリケーションと統合し易くするために、業界の標準(たとえば、OpenID Connect、OAuth2、セキュリティ・アサーション・マークアップ言語(Security Assertion Markup Language)2(「SAML2」)、クロスドメインアイデンティティ管理用システム(System for Cross-domain Identity Management)(「SCIM」)、レプレゼンテーショナル・ステート・トランスファー(Representational State Transfer)(「REST」)など)に従う。一実施形態は、クラウドスケールAPIプラットフォームを提供し、エラスティックスケーラビリティのために横方向にスケーラブルなマイクロサービスを実現する。本実施形態は、クラウド原理を強化し、テナントごとにデータを分離したマルチテナントアーキテクチャを提供する。本実施形態はさらに、テナントセルフサービスを介してテナントごとのカスタマイズを提供する。本実施形態は、他のアイデンティティサービスとのオンデマンドの統合の際にはAPIを介して利用することができ、連続したフィーチャーリリースを提供する。
一実施形態は、インターオペラビリティを提供し、クラウドおよびオンプレミスにおけるアイデンティティ管理(identity management)(「IDM」)機能への投資を強化する。本実施形態は、オンプレミスの軽量ディレクトリアクセスプロトコル(Lightweight Directory Access Protocol)(「LDAP」)データからクラウドデータへの、およびその逆の、自動化されたアイデンティティ同期化を提供する。本実施形態は、クラウドと企業との間にSCIMアイデンティティバスを提供し、ハイブリッドクラウドのデプロイの各種オプションを可能にする(たとえば、アイデンティティ連携および/または同期化、SSOエージェント、ユーザプロビジョニングコネクタなど)。
したがって、一実施形態は、ステートレスな中間層において多数のマイクロサービスを実現することによりクラウドベースのマルチテナントアイデンティティおよびアクセス管理サービスを提供するシステムである。一実施形態において、要求された各アイデンティティ管理サービスは、リアルタイムタスクとニア・リアルタイムタスクとに分割される。リアルタイムタスクは中間層のマイクロサービスによって処理されるのに対し、ニア・リアルタイムタスクはメッセージキューにオフロードされる。実施形態は、ルーティング層によって消費されて、マイクロサービスにアクセスするためのセキュリティモデルを実施するトークンを実現する。したがって、実施形態は、マルチテナントのマイクロサービスアーキテクチャに基づくクラウドスケールのIAMプラットフォームを提供する。
一般的に、周知のシステムは、たとえば、企業クラウドアプリケーション、パートナークラウドアプリケーション、第三者クラウドアプリケーション、および顧客アプリケーションなど、各種環境によって提供されるアプリケーションに対するサイロ化されたアクセスを提供する。このようなサイロ化されたアクセスは、複数のパスワード、異なるパスワードポリシー、異なるアカウントプロビジョニングおよびデプロビジョニング手法、異種の監査などを必要とする場合がある。しかしながら、一実施形態は、IDCSを実現することにより、このようなアプリケーションに対し統一されたIAM機能を提供する。図1は、ユーザおよびアプリケーションをオンボードするための統一されたアイデンティティプラットフォーム126を提供する、IDCS118を用いる実施形態の一例のブロック図100である。本実施形態は、企業クラウドアプリケーション102、パートナークラウドアプリケーション104、第三者クラウドアプリケーション110、および顧客アプリケーション112などのさまざまなアプリケーションにまたがるシームレスなユーザ体験を提供する。アプリケーション102、104、110、112は、異なるチャネルを通してアクセスされてもよく、たとえば、携帯電話ユーザ108が携帯電話106を介して、デスクトップコンピュータのユーザ116がブラウザ114を介して、アクセスしてもよい。ウェブブラウザ(一般的にブラウザと呼ばれる)は、ワールドワイドウェブ上で情報リソースを取得、提示、およびトラバースするためのソフトウェアアプリケーションである。ウェブブラウザの例としては、Mozilla(登録商標) Firefox(登録商標)、Google Chrome(登録商標)、Microsoft(登録商標) Internet Explorer(登録商標)、およびApple(登録商標) Safari(登録商標)が挙げられる。
IDCS118は、ユーザのアプリケーションの統一されたビュー124、(アイデンティティプラットフォーム126を介する)デバイスおよびアプリケーションにまたがる統一された安全なクレデンシャル、および(管理コンソール122を介する)統一された管理方法を、提供する。IDCSサービスは、IDCS API142にコールすることによって取得されてもよい。このようなサービスは、たとえば、ログイン/SSOサービス128(たとえばOpenID Connect)、連携サービス130(たとえばSAML)、トークンサービス132(たとえばOAuth)、ディレクトリサービス134(たとえばSCIM)、プロビジョニングサービス136(たとえばSCIMまたはAny Transport over Multiprotocol(「AToM」))、イベントサービス138(たとえばREST)、およびロールベースアクセス制御(role-based access control)(「RBAC」)サービス140(たとえばSCIM)を含み得る。IDCS118はさらに、提供されるサービスに関するレポートおよびダッシュボード120を提供し得る。
統合ツール
通常、大企業では、そのオンプレミスのアプリケーションへの安全なアクセスのために、IAMシステムを適所に設けるのが一般的である。ビジネス手法は通常オラクル社の「Oracle IAM Suite」などのインハウスIAMシステムを中心として成熟し標準化される。小~中規模組織でも、通常は、そのビジネスプロセスを、Microsoft Active Directory(「AD」)などの単純なディレクトリソリューションを通してユーザアクセスを管理することを中心として設計されている。オンプレミス統合を可能にするために、実施形態は、顧客がそのアプリケーションをIDCSと統合できるようにするツールを提供する。
通常、大企業では、そのオンプレミスのアプリケーションへの安全なアクセスのために、IAMシステムを適所に設けるのが一般的である。ビジネス手法は通常オラクル社の「Oracle IAM Suite」などのインハウスIAMシステムを中心として成熟し標準化される。小~中規模組織でも、通常は、そのビジネスプロセスを、Microsoft Active Directory(「AD」)などの単純なディレクトリソリューションを通してユーザアクセスを管理することを中心として設計されている。オンプレミス統合を可能にするために、実施形態は、顧客がそのアプリケーションをIDCSと統合できるようにするツールを提供する。
図2は、オンプレミス206のAD204との統合を提供する、クラウド環境208内のIDCS202を用いる実施形態の一例のブロック図200である。本実施形態は、たとえば、クラウドサービス210、クラウドアプリケーション212、パートナーアプリケーション214、および顧客アプリケーション216などのクラウド208内のさまざまなアプリケーション/サービスならびにオンプレミスアプリケーション218などのオンプレミスアプリケーションおよび第三者アプリケーションを含むすべてのアプリケーションにまたがる、シームレスなユーザ体験を提供する。クラウドアプリケーション212は、たとえば、ヒューマン・キャピタル・マネージメント(Human Capital Management)(「HCM」)、CRM、タレント取得(たとえばオラクル社のOracle Taleoクラウドサービス)、構成、価格設定、および見積もり(Configure Price and Quote「CPQ」)などを含み得る。クラウドサービス210は、たとえば、サービスとしてのプラットフォーム(Platform as a Service)(「PaaS」)、Java(登録商標)、データベース、ビジネスインテリジェンス(business intelligence)(「BI」)、文書などを含み得る。
アプリケーション210、212、214、216、218は、異なるチャネルを通してアクセスされてもよく、たとえば、携帯電話ユーザ220が携帯電話222を介して、デスクトップコンピュータのユーザ224がブラウザ226を介して、アクセスしてもよい。本実施形態は、クラウド208と企業206との間のSCIMアイデンティティバス234を介して、オンプレミスのADデータからクラウドデータに、アイデンティティの同期化を自動的に行う。本実施形態はさらに、クラウド208からオンプレミスAD204への、(たとえばパスワード232を用いて)認証を連携させるためのSAMLバス228を提供する。
一般的に、アイデンティティバスは、アイデンティティ関連サービスのためのサービスバスである。サービスバスは、メッセージをあるシステムから別のシステムに伝えるためのプラットフォームを提供する。これは、たとえばサービス指向アーキテクチャ(service oriented architecture)(「SOA」)において、信頼されているシステム間で情報を交換するための制御されたメカニズムである。アイデンティティバスは、ウェブサービス、ウェブサーバプロキシなどの標準的なHTTPベースのメカニズムに従って構築された論理バスである。アイデンティティバスにおける通信は、各プロトコル(たとえばSCIM、SAML、OpenID Connectなど)に従って実行されてもよい。たとえば、SAMLバスは、SAMLサービスに関するメッセージを伝えるための、2つのシステム間のHTTPベースの接続である。同様に、SCIMバスを用い、SCIMプロトコルに従って、SCIMメッセージを伝える。
図2の実施形態は、顧客のAD204とともにオンプレミス206でダウンロードおよびインストールすることができる小バイナリ(たとえば大きさが1MB)のアイデンティティ(「ID」)ブリッジ230を実現する。IDブリッジ230は、顧客によって選択された組織ユニット(organizational unit)(「OU」)のユーザおよびグループ(たとえばユーザのグループ)をリッスンし、これらのユーザをクラウド208に対して同期させる。一実施形態において、ユーザのパスワード232はクラウド208に対して同期されていない。顧客は、IDCSユーザのグループを、IDCS208において管理されているクラウドアプリケーションにマッピングすることにより、ユーザのアプリケーションアクセスを管理することができる。ユーザのグループメンバーシップがオンプレミス206で変更されるたびに、対応するクラウドアプリケーションアクセスは自動的に変更される。
たとえば、技術部門から販売部門に異動した被雇用者は、販売クラウドへのアクセスをほぼ瞬間的に取得することができ、開発者クラウドへのアクセスは失う。この変化がオンプレミスAD204に反映されると、クラウドアプリケーションのアクセスの変更がニア・リアルタイムで実現される。同様に、IDCS208で管理されているクラウドアプリケーションへの、この企業から去るユーザのアクセスは、取消される。完全自動化のために、顧客は、たとえばAD連携サービス(「AD/FS」またはSAML連携を実現するその他の何らかのメカニズム)を通して、オンプレミスAD204とIDCS208との間のSSOをセットアップして、エンドユーザが、単一の企業パスワード332を用いて、クラウドアプリケーション210、212、214、216およびオンプレミスアプリケーション218にアクセスできるようにしてもよい。
図3は、図2と同一のコンポーネント202、206、208、210、212、214、216、218、220、222、224、226、228、234を含む実施形態の一例のブロック図300である。しかしながら、図3の実施形態において、IDCS202は、オラクルIDMのようなオンプレミスIDM304との統合を提供する。オラクルIDM304は、IAM機能を提供するための、オラクル社のソフトウェアスイートである。本実施形態は、オンプレミスアプリケーションおよび第三者アプリケーションを含むすべてのアプリケーションにまたがるシームレスなユーザ体験を提供する。本実施形態は、クラウド202と企業206との間のSCIMアイデンティティバス234を介したオンプレミスIDM304からIDCS208へのユーザアイデンティティをプロビジョニングする。本実施形態はさらに、クラウド208からオンプレミス206への認証の連携のためのSAMLバス228(またはOpenID Connectバス)を提供する。
図3の実施形態において、オラクル社のオラクルアイデンティティマネージャ(Oracle Identity Manager)(「OIM」)コネクタ302およびオラクル社のオラクルアクセスマネージャ(Oracle Access Manager)(「OAM」)連携モジュール306は、オラクルIDM304の拡張モジュールとして実現される。コネクタは、システムに話しかける方法について物理的な認識があるモジュールである。OIMは、ユーザアイデンティティを管理するように構成されたアプリケーションである(たとえば、ユーザがアクセス権を持つべき対象とアクセス権を持つべきでない対象に基づいて異なるシステムのユーザアカウントを管理する)。OAMは、ウェブSSO、アイデンティティコンテキスト、認証および認可、ポリシー管理、テスト、ロギング、監査などのアクセス管理機能を提供するセキュリティアプリケーションである。OAMはSAMLに対するビルトイン(built-in)サポートを有する。ユーザがIDCS202のアカウントを有する場合、OIMコネクタ302およびOAM連携306をオラクルIDM304とともに使用することにより、このアカウントを作成/削除し、このアカントからのアクセスを管理することができる。
図4は、図2および図3と同一のコンポーネント202、206、208、210、212、214、216、218、220、222、224、226、234を含む実施形態の一例のブロック図400である。しかしながら、図4の実施形態において、IDCS202は、クラウドアイデンティティをオンプレミスアプリケーション218に拡張するための機能を提供する。本実施形態は、オンプレミスアプリケーションおよび第三者アプリケーションを含むすべてのアプリケーションにまたがるアイデンティティのシームレスなビューを提供する。図4の実施形態において、SCIMアイデンティティバス234を用いることにより、IDCS202のデータを「クラウドキャッシュ」402と呼ばれるオンプレミスLDAPデータと同期させる。クラウドキャッシュ402は以下でより詳細に開示される。
一般的に、LDAPに基づいて通信するように構成されたアプリケーションは、LDAP接続を必要とする。このようなアプリケーションはLDAP接続をURLを用いて構築しないかもしれない(たとえばGoogle(登録商標)に接続する「www.google.com」とは違って)。なぜなら、LDAPはローカルネットワーク上になければならないからである。図4の実施形態において、LDAPベースのアプリケーション218は、クラウドキャッシュ402に接続し、クラウドキャッシュ402は、IDCS202に接続してから、要求されているデータをIDCS202から引出す。IDCS202とクラウドキャッシュ402との間の通信は、SCIMプロトコルに従って実現されてもよい。たとえば、クラウドキャッシュ402はSCIMバス234を用いてSCIM要求をIDCS202に送信し、それに対応するデータを受信してもよい。
一般的に、あるアプリケーションの完全な実現は、コンシューマポータルを構築することと、外部ユーザ集団に対してマーケティングキャンペーンを実行することと、ウェブおよびモバイルチャネルをサポートすることと、ユーザ認証、セッション、ユーザプロファイル、ユーザグループ、アプリケーションロール、パスワードポリシー、セルフサービス/登録、社会的統合、アイデンティティ連携などを処理することとを含む。一般的に、アプリケーションの開発者はアイデンティティ/セキュリティの専門家ではない。このため、オンデマンドのアイデンティティ管理サービスが望ましいのである。
図5は、図2~図4と同一のコンポーネント202、220、222、224、226、234、402を含む実施形態の一例のブロック図500である。しかしながら、図5の実施形態において、IDCS202は、オンデマンドで安全なアイデンティティ管理を提供する。本実施形態は、オンデマンドの、IDCS202のアイデンティティサービスとの統合を提供する(たとえばOpenID Connect、OAuth2、SAML2、またはSCIMなどの標準に基づいて)。(オンプレミスであってもパブリッククラウド内またはプライベートクラウド内にあってもよい)アプリケーション505は、IDCS202のアイデンティティサービスAPI504をコールしてもよい。IDCS202が提供するサービスは、たとえば、セルフサービス登録506、パスワード管理508、ユーザプロファイル管理510、ユーザ認証512、トークン管理514、社会的統合516などを含み得る。
本実施形態において、SCIMアイデンティティバス234を用いることにより、IDCS202内のデータを、オンプレミスのLDAPクラウドキャッシュ402内のデータと同期させる。さらに、ウェブサーバ/プロキシ(たとえばNGINX、Apacheなど)上で実行している「クラウドゲート」502を、アプリケーション505が用いて、IDCS202からユーザウェブSSOおよびREST APIセキュリティを取得してもよい。クラウドゲート502は、クライアントアプリケーションが有効なアクセストークンを提供すること、および/またはユーザがSSOセッション構築のために正常に認証することを保証することによって、マルチテナントIDCSマイクロサービスへのアクセスを安全なものするコンポーネントである。クラウドゲート502は以下でさらに開示される。クラウドゲート502(webgate/webagentと同様の実施ポイント)は、サポートされているウェブサーバの背後で実行されているアプリケーションがSSOに参加することを可能にする。
一実施形態は、SSOおよびクラウドSSO機能を提供する。多くの組織において、オンプレミスIAMおよびIDCSいずれにおいても一般的なエントリポイントはSSOである。クラウドSSOは、ユーザが、1回のユーザサイン・インで複数のクラウドリソースにアクセスできるようにする。組織はそのオンプレミスアイデンティティの連携を希望することが多い。したがって、実施形態は、オープン標準を利用することで、既存のSSOとの統合を実現することにより、投資の節約と拡大を可能にする(たとえば、アイデンティティクラウドサービス手法への最終的な完全移行まで)。
一実施形態は以下の機能を提供し得る。
・アイデンティティストアを維持することにより、既に認可されているユーザアカウント、所有権、アクセス、および許可を追跡する。
・ワークフローとの統合により、アプリケーションのアクセスに必要なさまざまな承認(たとえば管理、IT、人的資源、法律、およびコンプライアンス)を簡単にする。
・選択的装置(たとえばモバイルおよびパーソナルコンピュータ(「PC」))に対するSaaSユーザアカウントをプロビジョニングする。ユーザポータルへのアクセスは、多数のプライベートおよびパブリッククラウドリソースを含む。
・規則および現在の職責へのコンプライアンスのための定期的な管理立証を容易にする。
・アイデンティティストアを維持することにより、既に認可されているユーザアカウント、所有権、アクセス、および許可を追跡する。
・ワークフローとの統合により、アプリケーションのアクセスに必要なさまざまな承認(たとえば管理、IT、人的資源、法律、およびコンプライアンス)を簡単にする。
・選択的装置(たとえばモバイルおよびパーソナルコンピュータ(「PC」))に対するSaaSユーザアカウントをプロビジョニングする。ユーザポータルへのアクセスは、多数のプライベートおよびパブリッククラウドリソースを含む。
・規則および現在の職責へのコンプライアンスのための定期的な管理立証を容易にする。
これらの機能に加えて、実施形態はさらに、
・クラウドアプリケーションにおけるアカウントライフサイクルの管理のためのクラウドアカウントのプロビジョニング、
・よりロバストなマルチファクタ認証(multifactor authentication)(「MFA」)の統合、
・拡張モバイルセキュリティ機能、および
・動的認証オプション
を提供し得る。
・クラウドアプリケーションにおけるアカウントライフサイクルの管理のためのクラウドアカウントのプロビジョニング、
・よりロバストなマルチファクタ認証(multifactor authentication)(「MFA」)の統合、
・拡張モバイルセキュリティ機能、および
・動的認証オプション
を提供し得る。
一実施形態は、適応認証およびMFAを提供する。一般的に、パスワードおよび確認のための質問は、不十分でありフィッシングなどのよくある攻撃に晒され易いとみなされてきた。現代の大半の企業体は、リスクを下げるために何らかの形態のMFAに注目している。しかしながら、ソリューションが首尾よくデプロイされるためには、ソリューションをエンドユーザが簡単にプロビジョニング、維持、および理解する必要がある。なぜなら、エンドユーザは通常、そのデジタル体験を妨害するものに対し、それが何であろうと抵抗するからである。企業は、MFAを、シームレスなユーザアクセス体験のほぼトランスペアレントなコンポーネントにしつつ、私物の業務利用(bring your own device)(「BYOD」)、社会的アイデンティティ、遠隔ユーザ、顧客、および契約者を安全に組込む方法を探している。MFAのデプロイにおいて、OAuthおよびOpenID Connectなどの産業標準は、既存のマルチファクタソリューションの統合と、より新しい適応認証技術の導入とを保証するのに不可欠である。したがって、実施形態は、動的(または適応)認証を、利用できる情報(すなわちIPアドレス、場所、時刻、およびバイオメトリクス)の評価として定義することにより、ユーザセッション開始後のアイデンティティを証明する。適切な標準(たとえばオープン認証(open authentication)(「OATH」)および高速オンライン認証(fast identity online)(「FIDO」)の統合と、拡張可能なアイデンティティ管理フレームワークとを用いて、実施形態は、エンド・ツー・エンドの安全なIAMデプロイの一部としてIT組織内で簡単に採用、アップグレード、および統合できるMFAソリューションを提供する。MFAおよび適応ポリシーを検討する場合、組織は、ハイブリッドのIDCSおよびオンプレミスIAM環境においてシステム間の統合を必要とするオンプレミスリソースおよびクラウドリソースにわたって一貫したポリシーを実現しなければならない。
一実施形態は、ユーザプロビジョニングおよび証明を提供する。一般的に、IAMソリューションの基本機能は、ユーザプロビジョニングライフサイクル全体を可能にしかつサポートすることである。これは、ユーザに対し、組織内におけるそのアイデンティティおよびロール(role)に適したアプリケーションアクセスを与えること(たとえば、ユーザのロールまたはそのロールの中で使用されるタスクもしくはアプリケーションは時間の経過に伴って変化するので)と、ユーザが組織から脱退するときに必要な、素早いユーザデプロビジョニングとを含む。これは、さまざまなコンプライアンス条件を満たすために重要であるだけでなく、不適切なインサイダーアクセスがセキュリティ侵害および攻撃の主要な原因であるので、重要である。アイデンティティクラウドソリューションにおける、自動化されたユーザプロビジョニング機能は、それ自身の権利において重要になり得るだけでなく、ハイブリッドIAMソリューションの一部としても重要であり、したがって、IDCSプロビジョニングは、企業が縮小、拡大、合併する、または既存のシステムをIaaS/PaaS/SaaS環境と統合しようとする場合、移行時において、オンプレミスソリューションよりも高い柔軟性を提供し得る。IDCS手法は、一度限りのアップグレードにおいて時間と労力を節約することができ、必要な部門、事業部、およびシステムの適切な統合を保証する。企業ではこの技術をスケーリングする必要性が密かに発生することが多く、企業体系全体にスケーラブルなIDCS機能を迅速に提供することは、柔軟性、コスト、および制御の点で利益をもたらし得る。
一般的に、被雇用者は、長年にわたり、職種の変化に応じて追加の権限が付与される(すなわち「権限のクリープ」)。規制が緩やかな企業は一般的に「立証」プロセスが欠落している。このプロセスは、企業の被雇用者の権限(たとえばネットワーク、サーバ、アプリケーション、およびデータへのアクセス権)を定期的に監査して、過剰な権限が付与されたアカウントの原因となる権限のクリープを止めるまたは減速させる管理者を必要とする。したがって、一実施形態は、定期的に実施される(少なくとも1年に一度)立証プロセスを提供し得る。さらに、合併および買収に伴い、これらのツールおよびサービスの必要性は急激に増す。ユーザが、SaaSシステムに存在する、オンプレミス上に存在する、異なる部門にまたがっている、および/またはデプロビジョニングされているもしくは再度割り当てられているからである。クラウドへの動きはこの状況をさらに混乱させる可能性があり、事態は、既存の手動管理されることが多い証明方法を超えて急速にエスカレートする可能性がある。したがって、一実施形態は、これらの機能を自動化し、高度な分析を、ユーザプロファイル、アクセス履歴、プロビジョニング/デプロビジョニング、および細分化された権利に適用する。
一実施形態はアイデンティティ分析を提供する。一般的に、アイデンティティ分析を、包括的な証明および立証のためにIAMエンジンと統合する機能は、組織のリスクプロファイルを安全にするためには不可欠となる可能性がある。適切にデプロイされたアイデンティティ分析は、内部ポリシー全体の施行を要求する可能性がある。クラウドおよびオンプレミス全体で統一された単一管理ビューを提供するアイデンティティ分析は、予防的ガバナンス、リスク、およびコンプライアンス(governance, risk, and compliance)(「GRC」)企業環境における必要性が高く、リスクを低減しコンプライアンス規則を満たすための閉ループプロセスを提供するのに役立ち得る。したがって、一実施形態はアイデンティティ分析を提供する。アイデンティティ分析は、管理者、幹部職員、および監査役が必要とするレポートおよび分析のために、クライアントが簡単にカスタマイズすることで特定の産業条件および政府規則に適合する。
一実施形態は、セルフサービスおよびアクセス要求機能を提供することにより、エンドユーザの体験および効率を改善するとともに、ヘルプデスクコールに要するコストを低減する。一般的に、多数の企業はその従業員のためにオンプレミスのセルフサービスアクセス要求をデプロイするが、多くは、これらのシステムを正式な企業の壁の外側まで適切に拡張していない。従業員の用途の範囲外の、ポジティブなデジタル顧客体験が、ビジネスの信頼性を高め最終的には収入の増加に貢献し、企業は、顧客ヘルプデスクコールを減じるだけでなく顧客の満足度を高める。したがって、一実施形態は、オープン標準に基づいておりかつ必要に応じて既存のアクセス制御ソフトウェアおよびMFAメカニズムとシームレスに統合される、アイデンティティクラウドサービス環境を提供する。SaaS配信モデルは、以前はシステムのアップグレードおよびメンテナンスに費やされていた時間と労力を省き、IT専門スタッフを解放してより中心的なビジネスアプリケーションに集中できるようにする。
一実施形態は、特権アカウント管理(privileged account management)(「PAM」)を提供する。一般的に、すべての組織は、SaaS、PaaS、IaaSまたはオンプレミスアプリケーションいずれを使用しても、システムアドミニストレータ、幹部職員、人事担当役員、契約者、システムインテグレータなどのスーパーユーザのアクセスクレデンシャルを用いたインサイダーによる特権アカウントの不正使用に弱い。加えて、外部の脅威は一般的に、先ず低レベルユーザアカウントを侵害し、最終的には企業システム内の特権ユーザアクセス制御に到達してこれを利用する。したがって、一実施形態は、PAMを提供することにより、このような不正なインサイダーによるアカウントの使用を防止する。PAMソリューションの主要コンポーネントはパスワードボールト(password vault)であり、これはさまざまなやり方で供給し得る。たとえば、企業サーバ上にインストールされるソフトウェアとして、これも企業サーバ上の仮想アプライアンスとして、パッケージングされたハードウェア/ソフトウェアアプライアンスとして、または、クラウドサービスの一部として、さまざまなやり方で供給し得る。PAM機能は、エンベロープ内で保持されサインインおよびサイン・アウトのためのマニフェストで定期的に変更されるパスワードを格納するために使用される物理的な安全場所と同様である。一実施形態は、パスワードのチェックアウトだけでなく、タイムリミットの設定、強制的な期間変更、自動的なチェックアウトの追跡、およびすべてのアクティビティに関する報告を、可能にする。一実施形態は、要求されたリソースに、ユーザがパスワードを知らない状態で、直接接続する方法を提供する。この機能はまた、セッション管理およびその他の機能の方法に道を開く。
一般的に、ほとんどのクラウドサービスは、APIおよび管理インターフェイスを利用している。これらは、侵入者がセキュリティを迂回する機会を与える。したがって、一実施形態は、PAMの実施におけるこれらの欠陥を埋める。クラウドへの移行によってPAMに新たな課題が発生するからである。小規模から中規模の多くのビジネスは現在自身のSaaSシステム(たとえばOffice 365)を管理しているが、大企業は自身のSaaSおよびIaaSサービスの回転数を上げる個々のビジネス単位を持つことが増えている。これらの顧客は、PAM機能がアイデンティティクラウドサービスソリューションに含まれるかまたはそのIaaS/PaaSプロバイダから得られるが、この責務を扱った経験がほとんどない。加えて、場合によっては、多くの異なる地理的に分散したビジネス単位が、同じSaaSアプリケーションの管理責任を分離しようとする。したがって、一実施形態は、こういった状況にある顧客が、既存のPAMをアイデンティティクラウドサービスの全体的なアイデンティティフレームワークの中にリンクさせ、より高い安全性とコンプライアンスに向けて、ビジネスニーズが要求するクラウドロード条件に合わせて確実に調整することを、可能にする。
APIプラットフォーム
実施形態が提供するAPIプラットフォームは、機能のコレクションをサービスとしてエクスポーズする。APIはマイクロサービスに集約され、各マイクロサービスは、APIのうちの1つ以上をエクスポーズする。すなわち、各マイクロサービスは異なる種類のAPIをエクスポーズし得る。一実施形態において、各マイクロサービスはそのAPIを通してしか通信しない。一実施形態において、各APIはマイクロサービスであってもよい。一実施形態において、複数のAPIが1つのサービスに、このサービスが提供するターゲット機能に基づいて集約される(たとえばOAuth、SAML、Adminなど)。結果として、同様のAPIは別々のランタイムプロセスとしてエクスポーズされない。APIは、IDCSが提供するサービスを使用するためにサービス消費者が利用できるようにされたものである。
実施形態が提供するAPIプラットフォームは、機能のコレクションをサービスとしてエクスポーズする。APIはマイクロサービスに集約され、各マイクロサービスは、APIのうちの1つ以上をエクスポーズする。すなわち、各マイクロサービスは異なる種類のAPIをエクスポーズし得る。一実施形態において、各マイクロサービスはそのAPIを通してしか通信しない。一実施形態において、各APIはマイクロサービスであってもよい。一実施形態において、複数のAPIが1つのサービスに、このサービスが提供するターゲット機能に基づいて集約される(たとえばOAuth、SAML、Adminなど)。結果として、同様のAPIは別々のランタイムプロセスとしてエクスポーズされない。APIは、IDCSが提供するサービスを使用するためにサービス消費者が利用できるようにされたものである。
一般的に、IDCSのウェブ環境において、URLは、3つの部分として、ホストと、マイクロサービスと、リソースとを含む(たとえばホスト/マイクロサービス/リソース)。一実施形態において、マイクロサービスは、特定のURLプレフィックスを有することを特徴とし(たとえば「host/oauth/v1」)、実際のマイクロサービスは「oauth/v1」である。「oauth/v1」の下で複数のAPIが存在し、たとえば、トークン(token)を要求するためのAPI:「host/oauth/v1/token」、ユーザを認可する(authorize)ためのAPI:「host/oauth/v1/authorize」などである。すなわち、URLはマイクロサービスを実現し、URLのリソース部分はAPIを実現する。したがって、同じマイクロサービスの下で複数のAPIが集約される。一実施形態において、URLのホスト部分はテナントを特定する(たとえば、https://tenant3.identity.oraclecloud.com:/oauth/v1/token)。
必要なエンドポイントを有する外部サービスと統合するアプリケーションを構成し当該構成を最新状態に保つことは、一般的に難題である。この難題を克服するために、実施形態は、パブリックディスカバリAPIを周知の場所にエクスポーズし、そこから、アプリケーションは、ADCS APIを消費するために必要なIDCSに関する情報を発見する(discover)ことができる。一実施形態において、2つのディスカバリ文献がサポートされ、それらは、IDCS構成(たとえば、<IDCS-URL>/.well-known/idcs-configurationのIDCS、SAML、SCIM、OAuth、およびOpenID Connect構成を含む)と、(たとえば<IDCS-URL>/.well-known/openid-configurationの)産業標準OpenID Connect構成とである。アプリケーションは、単一のIDCS URLで構成されることにより、ディスカバリ文献を取り出すことができる。
図6は、一実施形態におけるIDCSのシステムビュー600を提供するブロック部である。図6において、さまざまなアプリケーション/サービス602のうちのいずれも、IDCS APIに対してHTTPコールを行うことにより、IDCSサービスを使用することができる。このようなアプリケーション/サービス602の例は、ウェブアプリケーション、ネイティブアプリケーション(たとえばWindows(登録商標)アプリケーション、iOS(登録商標)アプリケーション、アンドロイド(登録商標)アプリケーションなど、特定のオペレーティングシステム上で走るように構築されたアプリケーション)、ウェブサービス、顧客アプリケーション、パートナーアプリケーション、または、サービスとしてのソフトウェア(Software as a Service)(「SaaS」)、PaaS、およびサービスとしてのインフラストラクチャ(Infrastructure as a Service)(「IaaS」)など、パブリッククラウドによって提供されるサービスである。
一実施形態において、IDCSサービスを要求するアプリケーション/サービス602のHTTP要求は、オラクルパブリッククラウドBIG-IPアプライアンス604およびIDCS BIG-IPアプライアンス606(またはロードバランサなどの同様の技術、または、適切なセキュリティルールを実現してトラフィックを保護するサービスとしてのクラウドロードバランサ(Cloud Load Balancer as a Service)(「LBaaS」)と呼ばれているコンポーネント)を通る。しかしながら、この要求はどのようなやり方で受信されてもよい。IDCS BIG-IPアプライアンス606(または、適用できる場合は、ロードバランサまたはクラウドLBaaSなどの同様の技術)において、クラウドプロビジョニングエンジン608は、テナントおよびサービスの調整を実行する。一実施形態において、クラウドプロビジョニングエンジン608は、クラウドにオンボードされている新たなテナントに対応付けられた内部セキュリティアーティファクト、または、顧客が購入した新たなサービスインスタンスを管理する。
このHTTP要求は次にIDCSウェブルーティング層610によって受信される。このルーティング層は、セキュリティゲート(すなわちクラウドゲート)を実現し、サービスルーティングならびにマイクロサービス登録および発見612を提供する。要求されるサービスに応じて、HTTP要求は、IDCS中間層614のIDCSマイクロサービスに転送される。IDCSマイクロサービスは、外部および内部HTTP要求を処理する。IDCSマイクロサービスは、プラットフォームサービスおよびインフラストラクチャサービスを実現する。IDCSプラットフォームサービスは、IDCSのビジネスを実現する、別々にデプロイされたJavaベースのランタイムサービスである。IDCSインフラストラクチャサービスは、IDCSに対してインフラストラクチャサポートを提供する、別々にデプロイされたランタイムサービスである。IDCSはさらに、IDCSサービスによって使用される共有ライブラリとしてパッケージングされた共通コードであるインフラストラクチャライブラリと、共有ライブラリとを含む。インフラストラクチャサービスおよびライブラリは、プラットフォームサービスがその機能を実現するために要求するサポート機能を提供する。
プラットフォームサービス
一実施形態において、IDCSは標準認証プロトコルをサポートし、したがって、IDCSマイクロサービスは、OpenID Connect、OAuth、SAML2、クロスドメインアイデンティティ管理のためのシステム(System for Cross-domain Identity Management++:「SCIM++」)などのプラットフォームサービスを含む。
一実施形態において、IDCSは標準認証プロトコルをサポートし、したがって、IDCSマイクロサービスは、OpenID Connect、OAuth、SAML2、クロスドメインアイデンティティ管理のためのシステム(System for Cross-domain Identity Management++:「SCIM++」)などのプラットフォームサービスを含む。
OpenID Connectプラットフォームサービスは、標準OpenID Connectログイン/ログアウトフローを実現する。対話型のウェブベースおよびネイティブアプリケーションは、標準のブラウザベースのOpenID Connectフローを推進することによりユーザ認証を要求し、ユーザの認証されたアイデンティティを伝達するJavaScript(登録商標)オブジェクト表記法(JavaScript Object Notation(「JSON」)ウェブトークン(Web Token「JWT」)である標準アイデンティティトークンを受信する。内部において、ランタイム認証モデルはステートレスであり、ユーザの認証/セッション状態をホストHTTPクッキー(JWTアイデンティティトークンを含む)の形態で維持する。OpenID Connectプロトコルを介して開始された認証対話は、ローカルおよび連携ログインのためにユーザのログイン/ログアウトセレモニーを実現する信頼できるSSOサービスに委任される。この機能のさらなる詳細は以下において図10および図11を参照しながら開示される。一実施形態において、OpenID Connect機能は、たとえばOpenID Foundation標準に従って実現される。
OAuth2プラットフォームサービスは、トークン認可サービスを提供する。これは、ユーザの権利を伝達するアクセストークンを作成し検証してAPIコールを行うためのリッチなAPIインフラストラクチャを提供する。これは、ある範囲の有用なトークン付与タイプをサポートし、顧客がクライアントをそのサービスに安全に接続することを可能にする。これは、標準の2者間および3者間OAuth2トークン付与タイプを実現する。OpenID Connect(「OIDC」)をサポートすることにより、コンプライアントなアプリケーション(OIDCリレーパーティ(「RP」))が、アイデンティティプロバイダとしてのIDCSと統合されることを可能にする(OIDC OpenIDプロバイダ(「OP」)。同様に、OIDC RPとしてのIDCSをソーシャルOIDC OP(たとえばFacebook(登録商標)、Google(登録商標)など)と統合することにより、顧客は、アプリケーションに対する社会的アイデンティティのポリシーベースアクセスを可能にする。一実施形態において、OAuth機能は、たとえば、インターネットエンジニアリングタスクフォース(Internet Engineering Task Force)(「IETF」)、コメント要求(Request for Comments)(「RFC」)6749に従って実現される。
SAML2プラットフォームサービスは、アイデンティティ連携サービスを提供する。これは、顧客が、SAMLアイデンティティプロバイダ(identity provider)(「IDP」)およびSAMLサービスプロバイダ(service provider)(「SP」)関係モデルに基づいて、そのパートナーとの連携合意を設定することを可能にする。一実施形態において、SAML2プラットフォームサービスは、標準SAML2ブラウザポストログインおよびログアウトプロファイルを実現する。一実施形態において、SAML機能は、たとえばIETF、RFC7522に従って実現される。
SCIMは、ユーザアイデンティティ情報を、たとえばIETF、RFC 7642、7643、7644によって提供される、アイデンティティドメインまたは情報技術(「IT」)システム間でのユーザアイデンティティ情報の交換を自動化するためのオープン標準である。SCIM++プラットフォームサービスは、アイデンティティ管理サービスを提供し、顧客がIDCSのIDPフィーチャー(feature)にアクセスすることを可能にする。管理サービスは、アイデンティティライフサイクル、パスワード管理、グループ管理などをカバーするステートレスなRESTインターフェイス(すなわちAPI)のセットをエクスポーズし、ウェブアクセス可能なリソースのようなアーティファクトをエクスポーズする。
すべてのIDCS構成アーティファクトはリソースであり、管理サービスのAPIは、IDCSリソース(たとえばユーザ、ロール、パスワードポリシー、アプリケーション、SAML/OIDCアイデンティティプロバイダ、SAMLサービスプロバイダ、キー、証明、通知テンプレートなど)の管理を可能にする。管理サービスは、SCIM標準を強化および拡張することにより、すべてのIDCSリソースに対する作成(Create)、読み取り(Read)、更新(Update)、削除(Delete)、およびクエリ(Query)(「CRUDQ」)動作のためにスキーマベースのREST APIを実現する。加えて、IDCS自体の管理および構成に使用されるIDCSのすべての内部リソースは、SCIMベースのREST APIとしてエクスポーズされる。アイデンティティストア618へのアクセスはSCIM++APIに分離される。
一実施形態において、たとえば、SCIM標準は、SCIM規格によって規定されるユーザおよびグループリソースを管理するように実現されるのに対し、SCIM++は、SCIM規格によって規定される言語を用いてさらに他のIDCS内部リソース(たとえばパスワードポリシー、ロール、設定など)をサポートするように構成される。
管理サービスは、SCIM2.0標準エンドポイントを、標準SCIM2.0コアスキーマと、必要に応じてスキーマ拡張とを用いてサポートする。加えて、管理サービスは、いくつかのSCIM2.0準拠エンドポイント拡張をサポートすることにより、その他のIDCリソースを、たとえばユーザ、グループ、アプリケーション、設定などを、管理する。管理サービスはまた、CRUDQ動作は実行しないがその代わりに機能サービスを、たとえば「UserPasswordGenerator」、「UserPasswordValidator」などを提供する、リモートプロシージャコールスタイル(remote procedure call-style)(「RPCスタイル」)RESTインターフェイスのセットをサポートする。
IDCS管理APIは、OAuth2プロトコルを認証および認可に使用する。IDCSは、ウェブサーバ、モバイル、およびJavaScriptアプリケーションのためのシナリオといった共通のOAuth2シナリオをサポートする。IDCS APIへのアクセスはアクセストークンによって保護される。IDCS管理APIにアクセスするために、アプリケーションは、IDCS管理コンソールを通してOAuth2クライアントとしてまたはIDCSアプリケーションとして(この場合OAuth2クライアントは自動的に作成される)登録される必要があり、また、所望のIDCS管理ロールを与えられる必要がある。IDCS管理APIコールを行うとき、アプリケーションは先ず、IDCS OAuth2サービスにアクセストークンを要求する。このトークンを取得した後に、このアプリケーションはアクセストークンを、そこにHTTP認可ヘッダを含めて送信する。アプリケーションは、IDCS管理REST APIを直接使用することができる、または、IDCSJavaクライアントAPIライブラリを使用することができる。
インフラストラクチャサービス
IDCSインフラストラクチャサービスは、IDCSプラットフォームサービスの機能をサポートする。これらのランタイムサービスは、(ユーザ通知、アプリケーション申込、およびデータベースに対する監査を非同期的に処理するための)イベント処理サービスと、(ジョブをスケジューリングして実行するため、たとえば、ユーザの介入が不要な長時間実行タスクを直ちに実行するまたは設定時間に実行するための)ジョブスケジューラサービスと、キャッシュ管理サービスと、(パブリッククラウドストレージサービスと統合するための)ストレージ管理サービスと、(レポートおよびダッシュボードを生成するための)レポートサービスと、(内部ユーザ認証およびSSOを管理するための)SSOサービスと、(異なる種類のユーザインターフェイス(user interface)(「UI」)クライアントをホストするための)ユーザインターフェイス(「UI」)サービスと、サービスマネージャサービスとを含む。サービスマネージャは、オラクルパブリッククラウドとIDCSとの間の内部インターフェイスである。サービスマネージャは、オラクルパブリッククラウドによって発行されたコマンドを管理し、このコマンドはIDCSによって実現される必要がある。たとえば、顧客が、何かを購入できる状態になる前にクラウドストア内のアカウントに対してサインアップした場合、クラウドは、テナントを作成することを依頼するための要求をIDCSに送信する。この場合、サービスマネージャは、IDCSがサポートするとクラウドが予測するクラウド固有の動作を実現する。
IDCSインフラストラクチャサービスは、IDCSプラットフォームサービスの機能をサポートする。これらのランタイムサービスは、(ユーザ通知、アプリケーション申込、およびデータベースに対する監査を非同期的に処理するための)イベント処理サービスと、(ジョブをスケジューリングして実行するため、たとえば、ユーザの介入が不要な長時間実行タスクを直ちに実行するまたは設定時間に実行するための)ジョブスケジューラサービスと、キャッシュ管理サービスと、(パブリッククラウドストレージサービスと統合するための)ストレージ管理サービスと、(レポートおよびダッシュボードを生成するための)レポートサービスと、(内部ユーザ認証およびSSOを管理するための)SSOサービスと、(異なる種類のユーザインターフェイス(user interface)(「UI」)クライアントをホストするための)ユーザインターフェイス(「UI」)サービスと、サービスマネージャサービスとを含む。サービスマネージャは、オラクルパブリッククラウドとIDCSとの間の内部インターフェイスである。サービスマネージャは、オラクルパブリッククラウドによって発行されたコマンドを管理し、このコマンドはIDCSによって実現される必要がある。たとえば、顧客が、何かを購入できる状態になる前にクラウドストア内のアカウントに対してサインアップした場合、クラウドは、テナントを作成することを依頼するための要求をIDCSに送信する。この場合、サービスマネージャは、IDCSがサポートするとクラウドが予測するクラウド固有の動作を実現する。
IDCSマイクロサービスは、ネットワークインターフェイスを通して別のIDCSマイクロサービスをコールしてもよい(すなわちHTTP要求)。
一実施形態において、IDCSはまた、データベーススキーマを使用できるようにするスキーマサービス(またはパーシステンス(persistence)サービス)を提供し得る。スキーマサービスは、データベーススキーマを管理する責任をIDCSに委任することを可能にする。したがって、IDCSのユーザはデータベースを管理する必要がない。なぜなら、この機能を提供するIDCSサービスが存在するからである。たとえば、ユーザは、データベースを用いてテナントごとにスキーマをパーシストしてもよく、データベース内にスペースがなくなったときにはスキーマサービスが、ユーザがデータベースを自身で管理しなくてもよいように、別のデータベースを取得し上記空間を拡大するという機能を管理する。
IDCSはさらに、IDCSが必要とする/生成するデータリポジトリであるデータストアを含む。これは、(ユーザ、グループなどを格納する)アイデンティティストア618、(IDCSが自身を構成するために使用する構成データを格納する)グローバルデータベース620、(テナントごとにスキーマを分離し顧客ごとに顧客データを格納する)オペレーショナルスキーマ622、(監査データを格納する)監査スキーマ624、(キャッシュされたオブジェクトを格納することにより実施速度を高める)キャッシングクラスタ626などを含む。内部および外部のすべてのIDCSコンシューマは、標準ベースのプロトコルに従ってアイデンティティサービスと統合される。これにより、ドメインネームシステム(domain name system)(「DNS」)を用いて、どこに要求をルーティングすべきかを決定することができ、アプリケーションを消費することをアイデンティティサービスの内部実現を理解することから切離す。
リアルタイムおよびニア・リアルタイムタスク
IDCSは、要求されたサービスのタスクを、同期リアルタイムタスクと非同期ニア・リアルタイムタスクとに分離する。リアルタイムタスクは、ユーザが進むのに必要なオペレーションのみを含む。一実施形態において、リアルタイムタスクは、最少の遅延で実行されるタスクであり、ニア・リアルタイムタスクは、バックグラウンドにおいて、ユーザが待つことなく実行されるタスクである。一実施形態において、リアルタイムタスクは、実質的に遅延なしでまたはごくわずかな遅延で実行されるタスクであり、ユーザには、ほぼ瞬時に実行されているように見えるタスクである。
IDCSは、要求されたサービスのタスクを、同期リアルタイムタスクと非同期ニア・リアルタイムタスクとに分離する。リアルタイムタスクは、ユーザが進むのに必要なオペレーションのみを含む。一実施形態において、リアルタイムタスクは、最少の遅延で実行されるタスクであり、ニア・リアルタイムタスクは、バックグラウンドにおいて、ユーザが待つことなく実行されるタスクである。一実施形態において、リアルタイムタスクは、実質的に遅延なしでまたはごくわずかな遅延で実行されるタスクであり、ユーザには、ほぼ瞬時に実行されているように見えるタスクである。
リアルタイムタスクは、特定のアイデンティティサービスの主要なビジネス機能を実行する。たとえば、ログインサービスを要求するとき、アプリケーションは、メッセージを送信してユーザのクレデンシャルを認証しそれに対するセッションクッキーを取得する。ユーザが体験するのは、システムへのログインである。しかしながら、ユーザのログインに関しては、ユーザが誰であるかの検証、監査、通知の送信など、その他いくつかのタスクが実行されるであろう。したがって、クレデンシャルの検証は、ユーザがHTTPクッキーを与えられてセッションを開始するように、リアルタイムで実行されるタスクであるが、通知(たとえば電子メールを送信してアカウント作成を通知すること)、監査(たとえば追跡/記録)などに関連するタスクは、ユーザが最少の遅延で進むことができるよう非同期的で実行することができるニア・リアルタイムタスクである。
マイクロサービスを求めるHTTP要求が受信されると、対応するリアルタイムタスクが中間層のマイクロサービスによって実行され、必ずしもリアルタイム処理を受けない演算ロジック/イベントなどの残りのニア・リアルタイムタスクは、メッセージキュー628にオフロードされる。メッセージキュー628は、配信および処理が保証された状態でスケーラビリティが高い非同期イベント管理システム630をサポートする。したがって、特定の挙動は、フロントエンドからバックエンドにプッシュされることにより、IDCSが、応答時間のレイテンシを少なくすることにより、ハイレベルサービスを顧客に提供することを、可能にする。たとえば、ログインプロセスは、クレデンシャルの検証、ログレポートの提出、最後のログイン時間の更新などを含み得るが、これらのタスクは、メッセージキューにオフロードして、リアルタイムではなくニア・リアルタイムで実行することができる。
一例において、システムが新たなユーザを登録または作成する必要がある場合がある。システムは、IDCS SCIM APIをコールしてユーザを作成する。最終結果として、ユーザがアイデンティティストア618において作成されたときにこのユーザがそのパスワードをリセットするためのリンクを含む通知電子メールを得る。IDCSが、新たなユーザを登録または作成することを求める要求を受けると、対応するマイクロサービスは、オペレーショナルデータベース(図6のグローバルデータベース620内に位置する)にある構成データに注目し、「ユーザ作成」という動作が「ユーザ作成」イベントでマーキングされていると判断する。この動作は、構成データにおいて非同期動作であることが識別される。マイクロサービスは、クライアントに戻り、ユーザの作成が正常に行われたことを示すが、通知電子メールの実際の送信は延期されバックエンドにプッシュされる。そうするために、マイクロサービスは、メッセージングAPI616を用いてこのメッセージを、ストアであるキュー628に入れる。
キュー628から出すために、インフラストラクチャマイクロサービスであるメッセージングマイクロサービスは、バックグラウンドにおいて継続的に実行され、キュー628の中にあるイベントを探してキュー628をスキャンする。キュー628の中にあるイベントは、監査、ユーザ通知、アプリケーション申込、データ解析などのイベントサブスクライバ630によって処理される。イベントによって示されるタスクに応じて、イベントサブスクライバ630は、たとえば、監査スキーマ624、ユーザ通知サービス634、アイデンティティイベントサブスクライバ632などと通信し得る。たとえば、メッセージングマイクロサービスは、キュー628の中に「ユーザ作成」イベントを発見した場合、対応する通知ロジックを実行し対応する電子メールをユーザに送信する。
一実施形態において、キュー628は、マイクロサービス614によってパブリッシュされたオペレーショナルイベントと、IDCSリソースを管理するAPI616によってパブリッシュされたリソースイベントとをキューの中に入れる。
IDCSは、リアルタイムキャッシング構造を用いてシステムパフォーマンスおよびユーザ体験を向上させる。キャッシュそのものは、マイクロサービスとしても提供される。IDCSは、IDCSによってサポートされている顧客の数の増加に伴って増大するエラスティック・キャッシュクラスタ626を実現する。キャッシュクラスタ626は、以下でより詳細に開示される分散型データグリッドで実現されてもよい。一実施形態において、書込専用リソースがキャッシュをバイパスする。
一実施形態において、IDCSランタイムコンポーネントは、ヘルスおよびオペレーショナルメトリクスを、オラクル社のオラクルパブリッククラウドなどのパブリッククラウドのこのようなメトリクスを収集するパブリッククラウドモニタリングモジュール636に対してパブリッシュする。
一実施形態において、IDCSを用いてユーザを作成してもよい。たとえば、クライアントアプリケーション602は、REST APIコールを発行してユーザを作成してもよい。管理サービス(614のプラットフォームサービス)は、このコールをユーザマネージャ(614のインフラストラクチャライブラリ/サービス)に委任する。そうすると、ユーザマネージャは、このユーザを、IDストア618内の特定テナント用IDストアストライプにおいて作成する。「ユーザ作成成功(User Create Success)」の場合、ユーザマネージャは、オペレーションを監査することにより監査スキーマ624内のテーブルを監査し、メッセージキュー628に対して「identity.user.create.success」をパブリッシュする。アイデンティティサブスクライバ632は、このイベントをピックアップし、新たに作成されたログイン詳細を含む「ウェルカム」電子メールを、新たに作成されたユーザに送信する。
一実施形態において、IDCSを用いてロールをユーザに与えて、その結果ユーザがアクションをプロビジョニングしてもよい。たとえば、クライアントアプリケーション602は、REST APIコールを発行してユーザにロールを付与してもよい。管理サービス(614のプラットフォームサービス)は、このコールをロールマネージャ(614のインフラストラクチャライブラリ/サービス)に委任してもよい。このロールマネージャは、IDストア618内の特定テナント用IDストアストライプにおけるロールを付与する。「ロール付与成功(Role Grant Success)」の場合、ロールマネージャは、監査スキーマ624における監査テーブルに対するオペレーションを監査し、メッセージキュー628に対して「identity.user.role.grant.success」をパブリッシュする。アイデンティティサブスクライバ632は、このイベントをピックアップしプロビジョニング付与ポリシーを評価する。付与されているロールに対するアクティブなアプリケーション付与があった場合、プロビジョニングサブスクライバは、何らかの検証を実行し、アカウント作成を開始し、ターゲットシステムをコールアウトし、ターゲットシステムにアカウントを作成し、アカウント作成が成功したとマーキングする。これらの機能各々の結果として、「prov.account.create.initiate」、「prov.target.create.initiate」、「prov.target.create.success」または「prov.account.create.success」などの対応するイベントがパブリッシュされることになり得る。これらのイベントは、直近N日間でターゲットシステムにおいて作成されたアカウントの数を合計する自身のビジネスメトリクスを有し得る。
一実施形態において、IDCSはユーザのログインのために使用することができる。たとえば、クライアントアプリケーション602は、サポートされている認証フローのうちの1つを用いてユーザのログインを要求してもよい。IDCSは、ユーザを認証し、成功すると、監査スキーマ624における監査テーブルに対するオペレーションを監査する。失敗すると、IDCSは、監査スキーマ624における失敗を監査し、メッセージキュー628の「login.user.login.failure」イベントをパブリッシュする。ログインサブスクライバは、このイベントをピックアップし、ユーザに対するそのメトリクスを更新し、ユーザのアクセス履歴についての追加分析を実行する必要があるか否かを判断する。
したがって、「制御の反転」機能を実現する(たとえば実行の流れを変更することにより、後の時点におけるオペレーションの実行を、当該オペレーションが別のシステムの支配下になるように、スケジュールする)ことにより、実施形態は、その他のイベントキューおよびサブスクライバを動的に追加して、小さなユーザサンプルに対する新たな特徴を、より広いユーザベースにデプロイする前にテストする、または、特定の内部または外部の顧客のための特定のイベントを処理することができる。
ステートレス機能
IDCSマイクロサービスはステートレスである。これは、マイクロサービスそのものはステートを保持しないことを意味する。「ステート」とは、アプリケーションがその機能を果たすために使用するデータのことを言う。IDCSは、マルチテナント機能を、すべてのステートを、IDCSデータ層内の特定テナント向けリポジトリにパーシストすることによって提供する。中間層(すなわち要求を処理するコード)は、アプリケーションコードと同じ場所に格納されているデータを有しない。したがって、IDCSは横方向および縦方向双方においてスケーラビリティが高い。
IDCSマイクロサービスはステートレスである。これは、マイクロサービスそのものはステートを保持しないことを意味する。「ステート」とは、アプリケーションがその機能を果たすために使用するデータのことを言う。IDCSは、マルチテナント機能を、すべてのステートを、IDCSデータ層内の特定テナント向けリポジトリにパーシストすることによって提供する。中間層(すなわち要求を処理するコード)は、アプリケーションコードと同じ場所に格納されているデータを有しない。したがって、IDCSは横方向および縦方向双方においてスケーラビリティが高い。
縦方向のスケーリング(またはスケールアップ/ダウン)は、システム内の1つのノードにリソースを追加する(またはこのノードからリソースを削除する)ことを意味し、1つのコンピュータにCPUまたはメモリを追加することを伴うのが一般的である。縦方向のスケーラビリティによって、アプリケーションはそのハードウェアの限界までスケールアップすることができる。横方向のスケーリング(またはスケールアウト/イン)は、新たなコンピュータを分散型ソフトウェアアプリケーションに追加するといったように、より多くのノードをシステムに追加する(またはシステムからノードを削除する)ことを意味する。横方向のスケーラビリティにより、アプリケーションはほぼ無限にスケーリング可能であり、ネットワークによって提供される帯域幅の量のみの制約を受ける。
IDCSの中間層がステートレスであることにより、CPUをさらに追加するだけで横方向にスケーラブルになり、アプリケーションの仕事を実行するIDCSコンポーネントは、特定なアプリケーションが走っている指定された物理的インフラストラクチャを持つ必要がない。IDCSの中間層がステートレスであることにより、非常に多くの顧客/テナントにアイデンティティサービスを提供しているときであっても、IDCSの可用性が高くなる。IDCSアプリケーション/サービスを通る各パスは、専らアプリケーショントランザクションを実行するためにCPU用途に集中するが、データの格納にハードウェアを使用しない。スケーリングは、必要に応じてより多くのコピーを追加できるパーシステンス層にトランザクション用のデータが格納される一方で、アプリケーションが走っているときにより多くのスライスを追加することによって実現される。
IDCSウェブ層、中間層、およびデータ層は各々独立してかつ別々にスケーリング可能である。ウェブ層をスケーリングすることにより、より多くのHTTP要求を扱うことができる。中間層をスケーリングすることにより、より多くのサービス機能をサポートすることができる。データ層をスケーリングすることにより、より多くのテナントをサポートすることができる。
IDCS機能ビュー
図6Aは、一実施形態におけるIDCSの機能ビューのブロック図の一例600bである。ブロック図600bにおいて、IDCS機能スタックは、サービスと、共有ライブラリと、データストアとを含む。サービスは、IDCSプラットフォームサービス640bと、IDCSプレミアムサービス650bと、IDCSインフラストラクチャサービス662bとを含む。一実施形態において、IDCSプラットフォームサービス640bおよびIDCSプレミアムサービス650bは、別々にデプロイされたJavaベースのランタイムサービスであり、IDCSのビジネスを実現する。IDCSインフラストラクチャサービス662bは、別々にデプロイされたランタイムサービスであり、IDCSに対するインフラストラクチャサポートを提供する。共有ライブラリは、IDCSサービスによって使用される共有ライブラリとしてパッケージングされた共通コードであるIDCSインフラストラクチャライブラリ680bと、共有ライブラリとを含む。データストアは、IDCSが必要とする/生成するデータリポジトリであり、アイデンティティストア698b、グローバル構成700b、メッセージストア702b、グローバルテナント704b、パーソナライゼーション設定706b、リソース708b、ユーザ一時データ710b、システム一時データ712b、テナントごとのスキーマ(管理されたExaData)714b、オペレーショナルストア(図示せず)、キャッシングストア(図示せず)などを含む。
図6Aは、一実施形態におけるIDCSの機能ビューのブロック図の一例600bである。ブロック図600bにおいて、IDCS機能スタックは、サービスと、共有ライブラリと、データストアとを含む。サービスは、IDCSプラットフォームサービス640bと、IDCSプレミアムサービス650bと、IDCSインフラストラクチャサービス662bとを含む。一実施形態において、IDCSプラットフォームサービス640bおよびIDCSプレミアムサービス650bは、別々にデプロイされたJavaベースのランタイムサービスであり、IDCSのビジネスを実現する。IDCSインフラストラクチャサービス662bは、別々にデプロイされたランタイムサービスであり、IDCSに対するインフラストラクチャサポートを提供する。共有ライブラリは、IDCSサービスによって使用される共有ライブラリとしてパッケージングされた共通コードであるIDCSインフラストラクチャライブラリ680bと、共有ライブラリとを含む。データストアは、IDCSが必要とする/生成するデータリポジトリであり、アイデンティティストア698b、グローバル構成700b、メッセージストア702b、グローバルテナント704b、パーソナライゼーション設定706b、リソース708b、ユーザ一時データ710b、システム一時データ712b、テナントごとのスキーマ(管理されたExaData)714b、オペレーショナルストア(図示せず)、キャッシングストア(図示せず)などを含む。
一実施形態において、IDCSプラットフォームサービス640bは、たとえばOpenID Connectサービス642b、OAuth2サービス644b、SAML2サービス646b、およびSCIM++サービス648bを含む。一実施形態において、IDCSプレミアムサービスは、たとえば、クラウドSSOおよびガバナンス652b、企業ガバナンス654b、AuthNブローカー656b、連携ブローカー658b、およびプライベートアカウント管理660bを含む。
IDCSインフラストラクチャサービス662bおよびIDCSインフラストラクチャライブラリ680bは、IDCSプラットフォームサービス640bがその仕事を実行するのに必要とする機能のサポートを提供する。一実施形態において、IDCSインフラストラクチャサービス662bは、ジョブスケジューラ664b、UI666b、SSO668b、レポート670b、キャッシュ672b、ストレージ674b、サービスマネージャ676b(パブリッククラウド制御)、およびイベントプロセッサ678b(ユーザ通知、アプリケーション申込、監査、データ解析)を含む。一実施形態において、IDCSインフラストラクチャライブラリ680bは、データマネージャAPI682b、イベントAPI684b、ストレージAPI686b、認証API688b、認可API690b、クッキーAPI692b、キーAPI694b、およびクレデンシャルAPI696bを含む。一実施形態において、クラウド計算サービス602b(内部Nimbula)は、IDCSインフラストラクチャサービス662bおよびIDCSインフラストラクチャライブラリ680bの機能をサポートする。
一実施形態において、IDCSは、顧客エンドユーザUI604b、顧客管理UI606b、DevOps管理UI608b、およびログインUI610bなど、IDCSサービスのコンシューマのためのさまざまなUI602bを提供する。一実施形態において、IDCSは、アプリケーション(たとえば顧客アプリケーション614b、パートナーアプリケーション616b、およびクラウドアプリケーション618b)の統合612bならびにファームウェア統合620bを可能にする。一実施形態において、さまざまな環境がIDCSと統合されてそのアクセス制御のニーズをサポートしてもよい。このような統合は、たとえば、アイデンティティブリッジ622b(AD統合、WNA、およびSCIMコネクタを提供)、アパッチエージェント624b、またはMSFTエージェント626bによって提供される。
一実施形態において、内部および外部のIDCSコンシューマは、OpenID Connect630b、OAuth2 632b、SAML2 634b、SCIM636b、およびREST/HTTP638bなどの標準ベースのプロトコル628bに対するIDCSのアイデンティティサービスと統合される。これにより、ドメインネームシステム(domain name system)(「DNS」)を用いて、要求をどこにルーティングするかを判断することができ、アプリケーションの消費を、アイデンティティサービスの内部実現を理解することから切離す。
図6AのIDCS機能ビューはさらに、IDCSが、ユーザ通知(クラウド通知サービス718b)、ファイルストレージ(クラウドストレージサービス716b)、およびDevOPsのためのメトリクス/警告(クラウドモニタサービス(EM)722bおよびクラウドメトリクスサービス(グラファイト)720b)のために依存する共通機能を提供する、パブリッククラウドインフラストラクチャサービスを含む。
クラウドゲート
一実施形態において、IDCSはウェブ層において「クラウドゲート」を実現する。クラウドゲートは、ウェブアプリケーションがユーザSSOをアイデンティティ管理システム(たとえばIDCS)に外部化することを可能にするウェブサーバプラグインであり、これは、企業IDMスタックと協力するWebGateまたはWebAgent技術と同様である。クラウドゲートは、IDCS APIに対するアクセスを安全にするセキュリティゲートキーパの役割を果たす。一実施形態において、クラウドゲートは、OAuthに基づいてHTTPリソースを保護するためにウェブポリシー施行点(Policy Enforcement Point)(「PEP」)を提供するウェブ/プロキシサーバプラグインによって実現される。
一実施形態において、IDCSはウェブ層において「クラウドゲート」を実現する。クラウドゲートは、ウェブアプリケーションがユーザSSOをアイデンティティ管理システム(たとえばIDCS)に外部化することを可能にするウェブサーバプラグインであり、これは、企業IDMスタックと協力するWebGateまたはWebAgent技術と同様である。クラウドゲートは、IDCS APIに対するアクセスを安全にするセキュリティゲートキーパの役割を果たす。一実施形態において、クラウドゲートは、OAuthに基づいてHTTPリソースを保護するためにウェブポリシー施行点(Policy Enforcement Point)(「PEP」)を提供するウェブ/プロキシサーバプラグインによって実現される。
図7は、クラウドゲート702を実現する実施形態のブロック図700である。クラウドゲート702は、ウェブサーバ712内で実行され、ポリシー施行点(「PEP」)の役割を果たす。ポリシー施行点は、オープン標準(たとえばOAuth2、OpenID Connectなど)を用いるIDCSポリシー決定点(Policy Decision Point)(「PDP」)と統合され、一方でウェブブラウザおよびアプリケーションのREST APIリソース714へのアクセスを安全にするように構成されている。いくつかの実施形態において、PDPは、OAuthおよび/またはOpenID Connectマイクロサービス704で実現される。たとえば、ユーザブラウザ706がユーザ710のログインを求める要求をIDCSに送信すると、対応するIDCS PDPは、クレデンシャルを検証した後に、このクレデンシャルが十分であるか否か(たとえば第2のパスワードなどのその他のクレデンシャルを要求するか否か)を判断する。図7の実施形態において、クラウドゲート702は、ローカルポリシーを有するので、PEPとしてもPDPとしてもその役割を果たし得る。
ワンタイム・デプロイメントの一部として、クラウドゲート702には、OAuth2クライアントとしてのIDCSが登録され、これが、IDCSに対してOIDCおよびOAuth2オペレーションを要求することを可能にする。その後、これは、要求マッチングルール(URLをたとえばワイルドカード、通常表現などに対して如何にしてマッチングするか)の適用を受ける、アプリケーションの保護されたリソースおよび保護されていないリソースに関する構成情報を保持する。クラウドゲート702をデプロイすることにより、異なるセキュリティポリシーを有する異なるアプリケーションを保護することができ、保護されるアプリケーションはマルチテナントであってもよい。
ブラウザベースのユーザアクセス中、クラウドゲート702は、ユーザ認証フローを開始するOIDC RP718として機能する。ユーザ710が有効なローカルユーザセッションを有していない場合、クラウドゲート702は、ユーザをSSOマイクロサービスにリダイレクトし、SSOマイクロサービスとともにOIDC「認証コード」フローに参加する。このフローは、アイデンティティトークンとしてのJWTの配信で終了する。クラウドゲート708は、JWTを検証し(たとえば署名、満了、宛先/オーディエンスなどに注目し)、ユーザ710に関するローカルセッションクッキーを発行する。これは、保護されているリソースへのウェブブラウザのアクセスを安全にしかつローカルセッションクッキーを発行、更新、および検証するセッションマネージャ716として機能する。これはまた、そのローカルセッションクッキーの削除のためのログアウトURLを提供する。
クラウドゲート702はまた、HTTPベーシックAuth認証者の役割を果たし、IDCSに対するHTTPベーシックAuthクレデンシャルを検証する。この行動は、セッションレスおよびセッションベースの(ローカルセッションクッキー)モードでサポートされる。この場合、サーバ側IDCSセッションは生成されない。
REST APIクライアント708によるプログラムアクセス中、クラウドゲート702は、アプリケーションの保護されているREST API714のためのOAuth2リソースサーバ/フィラー720の役割を果たし得る。これは、認証ヘッダおよびアクセストークンに対して要求が存在するか否かを検査する。クライアント708(たとえばモバイル、ウェブアプリケーション、JavaScriptなど)が(IDCSによって発行された)アクセストークンを、保護されているREST API714とともに使用するために示すと、クラウドゲート702は、APIへのアクセスを許可する前にアクセストークンを検証する(たとえば署名、満了、オーディエンスなど)。元のアクセストークンは修正なしで送られる。
一般的に、OAuthを用いてクライアントアイデンティティ伝播トークン(たとえばクライアントが誰であるかを示す)またはユーザアイデンティティ伝播トークン(たとえばユーザが誰であるかを示す)を生成する。本実施形態において、クラウドゲートにおけるOAuthの実現は、たとえばIETF、RFC7519によって提供されるようなウェブトークンのフォーマットを定めるJWTに基づく。
ユーザがログインすると、JWTが発行される。JWTは、IDCSによって署名され、IDCSにおけるマルチテナント機能をサポートする。クラウドゲートは、IDCSが発行したJWTを検証することにより、IDCSにおけるマルチテナント機能を可能にする。したがって、IDCSは、物理構造においても、セキュリティモデルを支持する論理ビジネスプロセスにおいてもマルチテナンシーを提供する。
テナンシーの種類
IDCSは3種類のテナンシーとして、顧客テナンシー、クライアントテナンシー、およびユーザテナンシーを特定する。顧客またはリソーステナンシーは、IDCSの顧客が誰であるか(すなわち作業が誰に対して実行されているか)を特定する。クライアントテナンシーは、どのクライアントアプリケーションがデータにアクセスしようとしているか(すなわちどのアプリケーションが作業を実行しているか)を特定する。ユーザテナンシーは、どのユーザがアプリケーションを用いてデータにアクセスしているか(すなわち誰によって作業が実行されているか)を特定する。たとえば、専門サービス企業が大型ディスカウントショップを対象とするシステム統合機能を提供しこの大型ディスカウントショップのシステムのアイデンティティ管理を提供するためにIDCSを使用するとき、ユーザテナンシーは、この専門サービス企業に相当し、クライアントテナンシーはシステム統合機能を提供するために使用されるアプリケーションに相当し、顧客テナンシーは大型ディスカウントショップである。
IDCSは3種類のテナンシーとして、顧客テナンシー、クライアントテナンシー、およびユーザテナンシーを特定する。顧客またはリソーステナンシーは、IDCSの顧客が誰であるか(すなわち作業が誰に対して実行されているか)を特定する。クライアントテナンシーは、どのクライアントアプリケーションがデータにアクセスしようとしているか(すなわちどのアプリケーションが作業を実行しているか)を特定する。ユーザテナンシーは、どのユーザがアプリケーションを用いてデータにアクセスしているか(すなわち誰によって作業が実行されているか)を特定する。たとえば、専門サービス企業が大型ディスカウントショップを対象とするシステム統合機能を提供しこの大型ディスカウントショップのシステムのアイデンティティ管理を提供するためにIDCSを使用するとき、ユーザテナンシーは、この専門サービス企業に相当し、クライアントテナンシーはシステム統合機能を提供するために使用されるアプリケーションに相当し、顧客テナンシーは大型ディスカウントショップである。
これら3つのテナンシーを分離および統合することによってクラウドベースのサービスにおけるマルチテナント機能が可能になる。一般的に、オンプレミスの物理的なマシンにインストールされているオンプレミスソフトウェアの場合、これら3つのテナンシーを特定する必要はない。なぜなら、ユーザはログインするのに物理的にマシン上にいなければならないからである。しかしながら、クラウドベースのサービス構造の場合、実施形態は、トークンを用いて、誰がどのアプリケーションを使用してどのリソースにアクセスするかを判断する。3つのテナンシーは、トークンによってコーディファイ(codify)され、クラウドゲートによって施行され、中間層のビジネスサービスによって使用される。一実施形態において、OAuthサーバがトークンを生成する。さまざまな実施形態において、このトークンは、OAuth以外のセキュリティプロトコルとともに使用されてもよい。
ユーザ、クライアント、およびリソーステナンシーを分離することにより、IDCSが提供するサービスのユーザには実質的なビジネス上の利点が与えられる。たとえば、そうすることにより、ビジネス(たとえば健康ビジネス)のニーズおよびそのアイデンティティ管理の問題を理解するサービスプロバイダは、IDCSが提供するサービスを購入し、IDCSのサービスを消費する自身のバックエンドアプリケーションを開発し、このバックエンドアプリケーションをターゲットビジネスに提供することができる。したがって、サービスプロバイダは、IDCSのサービスを拡張してその所望の機能を提供するとともにそれらを特定のターゲットビジネスに対して差出すことができる。サービスプロバイダは、ソフトウェアを構築し実行してアイデンティティサービスを提供する必要はないが、その代わりに、IDCSのサービスを拡張しカスタマイズしてターゲットビジネスのニーズに合うようにすることができる。
周知のシステムの中には、顧客テナンシーである単一のテナンシーしか説明しないものがある。しかしながら、そのようなシステムは、顧客ユーザ、顧客のパートナー、顧客のクライアント、クライアント自身、または、アクセスが顧客から委任されたクライアントなどのユーザの組み合わせによるアクセスを処理するときには不十分である。本実施形態において複数のテナンシーを規定し施行することにより、これらの多様なユーザに対して管理機能を特定することが容易になる。
一実施形態において、IDCSの1エンティティは、複数のテナントに同時に属しているのではなく、1つのテナントのみに属し、「テナンシー」はアーティファクトが存在する場所である。一般的に、特定の機能を実現するコンポーネントは複数存在し、これらのコンポーネントは複数のテナントに属することが可能であるまたはインフラストラクチャに属することが可能である。インフラストラクチャは、テナントの代わりに機能する必要があるとき、テナントの代わりにエンティティサービスと対話する。この場合、インフラストラクチャそのものは自身のテナンシーを有し、顧客は自身のテナンシーを有する。要求がサブミットされたとき、この要求に関わる複数のテナンシーが存在する。
たとえば、「テナント1」に属するクライアントが、「テナント3」におけるユーザを指定する「テナント2」のためのトークンを取得することを求める要求を実行する場合がある。別の例として、「テナント1」に存在するユーザが、「テナント2」が所有するアプリケーションにおけるアクションを実行する必要がある場合がある。よって、ユーザは、「テナント2」のリソースネームスペースに行きそのためのトークンを要求する必要がある。したがって、権限の委任は、「誰が」「何を」「誰」に対して行うことができるかを特定することによって実現される。もう1つの例として、第1の組織(「テナント1」)のために働く第1のユーザが、第2の組織(「テナント2」)のために働く第2のユーザが第3の組織(「テナント3」)がホストする文書にアクセスすることを、許可してもよい。
一例において、「テナント1」のクライアントは、「テナント3」のアプリケーションにアクセスするために「テナント2」のユーザのためのアクセストークンを要求してもよい。クライアントは、「http://tenant3/oauth/token」に行きこのトークンを求めるOAuth要求を呼び出すことによって当該トークンを要求してもよい。クライアントは、「クライアントアサーション」を要求に含めることにより、自身が「テナント1」に在住するクライアントであることを明らかにする。このクライアントアサーションは、クライアントID(たとえば「クライアント1」)とクライアントテナンシー(「テナント1」)とを含む。「テナント1」の「クライアント1」として、クライアントは、「テナント3」に対するトークンを求める要求を呼び出す権利を有し、「テナント2」のユーザのためのトークンを所望する。したがって、「ユーザアサーション」も同じHTTP要求の一部として送られる。生成されるアクセストークンは、アプリケーションテナンシー(「テナント3」)であるターゲットテナンシーのコンテキストにおいて発行され、ユーザテナンシー(「テナント2」)を含む。
一実施形態において、データ層における各テナントは、独立したストライプとして実現される。データ管理の観点からすると、アーティファクトはテナントに存在する。サービスの観点からすると、サービスは、異種のテナントとどのようにして協力するかを知っており、複数のテナンシーは、サービスのビジネス機能における異なるディメンションである。図8は、ある実施形態において複数のテナンシーを実現するシステムの一例800を示す。システム800はクライアント802を含み、クライアント802は、如何にしてデータベース806のデータ用いて作業するかを理解しているマイクロサービス804が提供するサービスを要求する。このデータベースは複数のテナント808を含み、各テナントは対応するテナンシーのアーティファクトを含む。一実施形態において、マイクロサービス804は、トークンを得ようとしてhttps://tenant3/oauth/tokenを通して要求されるOAuthマイクロサービスである。OAuthマイクロサービスの機能が、マイクロサービス804において、データベース806からのデータを用いて実行されることにより、クライアント802の要求が正当であるか否かが検証され、正当である場合は、異なるテナンシー808からのデータが使用されてトークンが構成される。したがって、システム800は、各テナンシーに与えられるサービスをサポートするだけでなく各種テナントに代わって機能し得るサービスをサポートすることによりクロステナント環境において作業できるという点において、マルチテナントである。
システム800は好都合である。理由は次の通りである。マイクロサービス804はデータベース806のデータから物理的に切離されており、クライアントにより近い場所を通ってデータを複製することにより、マイクロサービス804をクライアントに対するローカルサービスとして提供することができ、システム800はサービスのアベイラビリティを管理しそれをグローバルに提供することができる。
一実施形態において、マイクロサービス804はステートレスである。これは、マイクロサービス804を走らせるマシンが、特定のテナントに対するサービスを示すマーカを保持していないことを意味する。その代わりに、テナンシーは、たとえば、入ってくる要求のURLのホスト部分にマーキングされてもよい。このテナンシーはデータベース806のテナント808のうちの1つを示す。多数のテナント(たとえば何百万ものテナント)をサポートする場合、マイクロサービス804は、データベース806への同数の接続を有することはできない。マイクロサービス804はその代わりに、データベースユーザというコンテキストにおいてデータベース806への実際の物理接続を提供する接続プール810を使用する。
一般的に、接続は、基礎をなすドライバまたはプロバイダに接続ストリングを提供することによって構築される。接続ストリングは、特定のデータベースまたはサーバをアドレス指定するために、かつ、インスタンスおよびユーザ認証クレデンシャルを与えるために使用される(たとえば「Server=sql_box;Database=Common;User ID=uid;Pwd=password;」)。接続は、一旦構築されると、開閉が可能であり、プロパティ(たとえばコマンドタイムアウト長さ、または存在するのであればトランザクション)を設定することができる。接続ストリングは、データプロバイダのデータアクセスインターフェイスによって指示されるキーと値とのペアのセットを含む。接続プールは、データベースに対する未来の要求が必要なときに接続を再使用できるように保持されるデータベース接続のキャッシュである。接続プーリングにおいて、接続は、作成後にプールに置かれ、新たな接続を確立しなくてもよいように、再使用される。たとえば、マイクロサービス804とデータベース808との間に10の接続が必要な場合、接続プール810には、すべてデータベースユーザというコンテキストにおいて(たとえば特定のデータベースユーザに関連して、たとえば、誰がこの接続の所有者か、誰のクレデンシャルが検証中なのか、それはデータベースユーザか、それはシステムクレデンシャルかなどに関連して)開いている10の接続があるであろう。
接続プール810内の接続は、何にでもアクセスできるシステムユーザのために作成される。したがって、テナントに代わって要求を処理するマイクロサービス804による監査および特権を正しく扱うために、データベース動作は、特定のテナントに割り当てられたスキーマ所有者に関連する「プロキシユーザ」812というコンテキストで実行される。このスキーマ所有者は、このスキーマ作成の目的であったテナンシーにのみアクセスでき、このテナンシーの値はこのスキーマ所有者の値である。データベース806内のデータを求める要求がなされると、マイクロサービス804は、接続プール810内の接続を用いてこのデータを提供する。したがって、マルチテナンシーは、リソーステナンシーに対応付けられたデータストアプロキシユーザというコンテキストにおいて(たとえばそれに関連して)作成されたデータ接続のトップにある要求ごとに構築された特定テナント向けデータストアバインディングというコンテキストにおいて(たとえばそれに関連して)入ってくる要求を処理するステートレスでエラスティックな中間層サービスを持つことによって得られ、データベースは、サービスとは無関係にスケーリングできる。
以下は、プロキシユーザ812を実現するための機能の例を提供する。
この機能において、マイクロサービス804は、接続プール810内のデータベース接続を使用する一方で、接続プール810から引出された接続に対する「プロキシユーザ(Proxy User)」設定を、「テナント(Tenant)」にセットし、テナントというコンテキストにおいてデータオペレーションを実行する。
すべてのテーブルをストライピングすることにより同じデータベースにおいて異なるテナント用に異なるコラムを構成するとき、1つのテーブルは、混合されたすべてのテナントのデータを含み得る。これに対し、一実施形態は、テナント駆動のデータ層を提供する。本実施形態は、異なるテナント用に同一データベースをストライピングするのではなく、テナントごとに異なる物理データベースを提供する。たとえば、マルチテナンシーは、プラガブルデータベース(たとえばオラクル社のOracle Database 12c)を用いて実現されてもよく、この場合、各テナントには別々のパーティションが割り当てられる。データ層では、リソースマネージャが要求を処理し、その後、その要求のデータソースを求める(メタデータとは別)。本実施形態は、要求ごとに各データソース/ストアへのランタイムスイッチを実行する。各テナントのデータをその他のテナントから分離することにより、本実施形態は改善されたデータセキュリティを提供する。
一実施形態において、互いに異なるトークンは、異なるテナンシーをコーディファイする。URLトークンは、サービスを要求するアプリケーションのテナンシーを特定し得る。アイデンティティトークンは、認証すべきユーザのアイデンティティをコーディファイし得る。アクセストークンは複数のテナンシーを特定し得る。たとえば、アクセストークンは、このようなアクセスのターゲットであるテナンシー(たとえばアプリケーションテナンシー)と、アクセス権が付与されたユーザのユーザテナンシーとをコーディファイし得る。クライアントアサーショントークンは、クライアントIDおよびクライアントテナンシーを特定し得る。ユーザアサーショントークンは、ユーザおよびユーザテナンシーを特定し得る。
一実施形態において、アイデンティティトークンは、少なくとも、ユーザテナント名(すなわちユーザが在住している場所)を示す「クレーム/ステートメント」を含む。認証トークンに関連する「クレーム」(セキュリティ分野の当業者が使用)は、ある主体が自身または別の主体に関して作成するステートメントである。ステートメントは、たとえば名称、アイデンティティ、キー、グループ、権限、または能力に関するものであってもよい。クレームは、プロバイダによって発行され、1つ以上の値が与えられた後に、セキュリティトークンサービス(security token service)(「STS」)として一般的に知られている発行者が発行したセキュリティトークンにパッケージングされる。
一実施形態において、アクセストークンは、少なくとも、アクセストークンを求める要求がなされた時点のリソーステナント名(たとえば顧客)を示すクレーム/ステートメントと、ユーザテナント名を示すクレームと、要求しているOAuthクライアントの名称を示すクレームと、クライアントテナント名を示すクレームとを含む。一実施形態において、アクセストークンは、以下のJSON機能に従って実現されてもよい。
一実施形態において、クライアントアサーショントークンは、少なくとも、クライアントテナント名を示すクレームと、要求しているOAuthクライアントの名称を示すクレームとを含む。
本明細書に記載のトークンおよび/または複数のテナンシーは、IDCS以外の任意のマルチテナントクラウドベースサービスによって実現されてもよい。たとえば、本明細書に記載のトークンおよび/または複数のテナンシーは、SaaSまたは企業リソースプランニング(Enterprise Resource Planning)(「ERP」)サービスにおいて実現されてもよい。
図9は、一実施形態におけるIDCSのネットワークビュー900のブロック図である。図9は、一実施形態においてアプリケーション「ゾーン」904間で行われるネットワーク対話を示す。アプリケーションは、要求される保護レベルと、その他さまざまなシステムへの接続の実現に基づいてゾーンに分割される(たとえばSSLゾーン、no SSLゾーンなど)。アプリケーションゾーンのうち、いくつかはIDCS内部からのアクセスを要するサービスを提供するアプリケーションゾーンであり、いくつかはIDCS外部からのアクセスを要するサービスを提供するアプリケーションゾーンであり、いくつかはオープンアクセスである。したがって、各保護レベルは各ゾーンに対して強化される。
図9の実施形態において、サービス間の通信は、HTTP要求を用いて行われる。一実施形態において、IDCSは、本明細書に記載のアクセストークンを用いて、サービスを提供するだけでなく、IDCSへのアクセスおよびIDCS自身の内部におけるアクセスを安全なものにする。一実施形態において、IDCSマイクロサービスは、RESTfulインターフェイスを通してエクスポーズされ、本明細書に記載のトークンによって安全なものにされる。
図9の実施形態において、さまざまなアプリケーション/サービス902のうちのいずれか1つが、IDCS APIに対してHTTPコールすることにより、IDCSサービスを使用してもよい。一実施形態において、アプリケーション/サービス902のHTTP要求は、オラクルパブリッククラウドロードバランシング外部仮想IPアドレス(「VIP」)906(またはその他同様の技術)、パブリッククラウドウェブルーティング層908、およびIDCSロードバランシング内部VIPアプライアンス910(またはその他同様の技術)を通って、IDCSウェブルーティング層912により受信されてもよい。IDCSウェブルーティング層912は、IDCSの外部または内部からの要求を受信し、IDCSプラットフォームサービス層914またはIDCSインフラストラクチャサービス層916を通してルーティングする。IDCSプラットフォームサービス層914は、OpenID Connect、OAuth、SAML,SCIMなどのIDCSの外部から呼び出されたIDCSマイクロサービスを含む。IDCSインフラストラクチャサービス層916は、その他のIDCSマイクロサービスの機能をサポートするためにIDCSの内部から呼び出されたサポートマイクロサービスを含む。IDCSインフラストラクチャマイクロサービスの例は、UI、SSO、レポート、キャッシュ、ジョブスケジューラ、サービスマネージャ、キーを作るための機能などである。IDCSキャッシュ層926は、IDCSプラットフォームサービス層914およびIDCSインフラストラクチャサービス層916のためのキャッシング機能をサポートする。
IDCSへの外部アクセスおよびIDCS内部アクセス双方のセキュリティを強化することにより、IDCSの顧客に、それが実行するアプリケーションのための傑出したセキュリティコンプライアンスを与えることができる。
図9の実施形態において、構造化照会言語(Structured Query Language)(「SQL」)に基づいて通信するデータ層918およびLDAPに基づいて通信するIDストア層920以外については、OAuthプロトコルを使用することにより、IDCS内のIDCSコンポーネント(たとえばマイクロサービス)間の通信を保護し、IDCS外部からのアクセスを安全なものにするために使用される同じトークンをIDCS内のセキュリティのためにも使用する。すなわち、ウェブルーティング層912は、要求がIDCSの外部から受けたものであろうとIDCSの内部から受けたものであろうと、受信した要求を処理するための同じトークンおよびプロトコルを使用する。したがって、IDCSは、システム全体を保護するために1つの一貫したセキュリティモデルを提供することにより、傑出したセキュリティコンプライアンスを可能にする。なぜなら、システム内に実現されるセキュリティモデルが少ないほど、システムの安全性は高くなるからである。
IDCSクラウド環境において、アプリケーションは、ネットワークコールを行うことによって通信する。ネットワークコールは、HTTP、伝送制御プロトコル(Transmission Control Protocol)(「TCP」)、ユーザデータグラムプロトコル(User Datagram Protocol)(「UDP」)などの適用可能なネットワークプロトコルに基づいていればよい。たとえば、アプリケーション「X」は、アプリケーション「Y」と、HTTPに基づいて、アプリケーション「Y」をHTTPユニフォーム・リソース・ロケータ(Uniform Resource Locator)(「URL」)としてエクスポーズすることにより、通信し得る。一実施形態において、「Y」は、各々がある機能に対応する多数のリソースをエクスポーズするIDCSマイクロサービスである。「X」(たとえば別のIDCSマイクロサービス)は、「Y」をコールする必要があるとき、「Y」と、呼び出す必要があるリソース/機能とを含むURLを構成し(たとえばhttps:/host/Y/resource)、ウェブルーティング層912を通って「Y」に導かれる対応するRESTコールを行う。
一実施形態において、IDCS外部の呼出元は、「Y」がどこにあるかを知る必要がない場合があるが、ウェブルーティング層912はアプリケーション「Y」がどこで走っているかを知る必要がある。一実施形態において、IDCSは、発見機能を実現する(OAuthサービスによって実現される)ことにより、各アプリケーションがどこで走っているかを判断し、スタティックなルーティング情報の可用性が必要ではなくなるようにする。
一実施形態において、企業マネージャ(enterprise manager)(「EM」)922は、オンプレミスおよびクラウドベース管理をIDCSに拡張する「一枚のガラス」を提供する。一実施形態において、Chef Software社の構成管理ツールである「シェフ(Chef)」サーバ924は、さまざまなIDCS層のための構成管理機能を提供する。一実施形態において、サービスデプロイメントインフラストラクチャおよび/または永続格納モジュール928は、テナントライフサイクル管理動作、パブリッククラウドライフサイクル管理動作、またはその他の動作のために、OAuth2 HTTPメッセージをIDCSウェブルーティング層912に送信してもよい。一実施形態において、IDCSインフラストラクチャサービス層916は、ID/パスワードHTTPメッセージを、パブリッククラウド通知サービス930またはパブリッククラウドストレージサービス932に送信してもよい。
クラウドアクセス制御‐SSO
一実施形態は、クラウドスケールSSOサービスを実現するために軽量クラウド標準をサポートする。軽量クラウド標準の例としては、HTTP、REST、および、ブラウザを通してアクセスを提供する標準(ウェブブラウザは軽量であるため)が挙げられる。逆に、SOAPは、クライアントを構築するためにより多くの管理、構成、およびツールを必要とする重いクラウド標準の一例である。本実施形態は、アプリケーションのためにOpenID Connectセマンティックスを使用することにより、IDCSに対してユーザ認証を要求する。本実施形態は、軽量HTTPクッキーベースのユーザセッション追跡を用いて、ステートフルなサーバ側セッションサポートなしで、IDCSにおけるユーザのアクティブなセッションを追跡する。本実施形態は、使用するアプリケーションに対して、認証されたアイデンティティを自身のローカルセッションに戻すマッピングを行うときに、JWTベースのアイデンティティトークンを使用する。本実施形態は、連携されているアイデンティティ管理システムとの統合をサポートし、IDCSに対してユーザ認証を要求するために企業デプロイメントのSAML IDPサポートをエクスポーズする。
一実施形態は、クラウドスケールSSOサービスを実現するために軽量クラウド標準をサポートする。軽量クラウド標準の例としては、HTTP、REST、および、ブラウザを通してアクセスを提供する標準(ウェブブラウザは軽量であるため)が挙げられる。逆に、SOAPは、クライアントを構築するためにより多くの管理、構成、およびツールを必要とする重いクラウド標準の一例である。本実施形態は、アプリケーションのためにOpenID Connectセマンティックスを使用することにより、IDCSに対してユーザ認証を要求する。本実施形態は、軽量HTTPクッキーベースのユーザセッション追跡を用いて、ステートフルなサーバ側セッションサポートなしで、IDCSにおけるユーザのアクティブなセッションを追跡する。本実施形態は、使用するアプリケーションに対して、認証されたアイデンティティを自身のローカルセッションに戻すマッピングを行うときに、JWTベースのアイデンティティトークンを使用する。本実施形態は、連携されているアイデンティティ管理システムとの統合をサポートし、IDCSに対してユーザ認証を要求するために企業デプロイメントのSAML IDPサポートをエクスポーズする。
図10は、一実施形態におけるIDCS内のSSO機能のシステムアーキテクチャビューのブロック図1000である。本実施形態は、クライアントアプリケーションが標準ベースのウェブプロトコルを推進してユーザ認証フローを開始することを可能にする。クラウドシステムとSSOの統合を要求するアプリケーションは、企業データセンターにあってもよく、遠隔パートナーデータセンターにあってもよく、またはオンプレミスの顧客によって操作されてもよい。一実施形態において、異なるIDCSプラットフォームサービスが、接続されているネイティブなアプリケーション(すなわちIDCSと統合するためにOpenID Connectを利用するアプリケーション)からのログイン/ログアウト要求を処理するためのOpenID Connect、接続されているアプリケーションからのブラウザベースのログイン/ログアウト要求を処理するためのSAML IDPサービス、外部SAML IDPに対してユーザ認証を調整するためのSAML SPサービス、および、ローカルなまたは連携されたログインフローを含みIDCSホストセッションクッキーを管理するためのエンドユーザログインセレモニーを調整するための内部IDCS SSOサービスなどの、SSOのビジネスを実現する。一般的に、HTTPは、フォームありでまたはフォームなしで機能する。フォームありで機能するとき、このフォームはブラウザ内で見えるフォームである。フォームなしで機能するとき、これはクライアントからサーバへの通信として機能する。OpenID ConnectもSAMLも、フォームをレンダリングする能力を必要とするが、これは、ブラウザの存在によって実現される、または、ブラウザが存在しているかのように機能するアプリケーションによって仮想的に実行される。一実施形態において、ユーザ認証/SSOをIDCSを通して実現するアプリケーションクライアントは、IDCSにおいて、OAuth2クライアントとして登録される必要があり、クライアント識別子およびクレデンシャル(たとえばID/パスワード、ID/証明書など)を取得する必要がある。
図10の実施形態の例は、2つのプラットフォームマイクロサービスとしてのOAuth2 1004およびSAML2 1006と、1つのインフラストラクチャマイクロサービスとしてのSSO1008とを含む、ログイン機能をまとめて提供する3つのコンポーネント/マイクロサービスを含む。図10の実施形態において、IDCSは「アイデンティティメタシステム」を提供する。このメタシステムにおいて、SSOサービス1008は、異なる種類のアプリケーションに対して提供される。これらのアプリケーションは、3者間OAuthフローを必要としOpenID Connectリレーパーティ(relaying party)(「RP」、そのユーザ認証機能をIDPにアウトソーシングするアプリケーション)として機能するブラウザベースのウェブまたはネイティブアプリケーション1010、2者間OAuthフローを必要としOpenID Connect RPとして機能するネイティブアプリケーション1011、およびSAML SPとして機能するウェブアプリケーション1012などである。
一般的に、アイデンティティメタシステムは、デジタルアイデンティティのための相互運用可能なアーキテクチャであり、複数の基礎となる技術、実装、およびプロバイダの集合体を用いることを可能にする。LDAP、SAML、およびOAuthは、アイデンティティ機能を提供する異なるセキュリティ標準の例であり、アプリケーションを構築するための基礎となることが可能であり、アイデンティティメタシステムは、このようなアプリケーションに対して統一されたセキュリティシステムを提供するように構成されてもよい。LDAPセキュリティモデルは、アイデンティティを扱うための特定のメカニズムを指定し、システムを通るすべてのパスは厳密に保護されねばならない。SAMLは、一組のアプリケーションが、異なるセキュリティドメインの異なる組織に属する別の一組のアプリケーションとの間で安全に情報を交換できるようにするために開発されたものである。これら2つのアプリケーションの間に信頼はないので、SAMLは、一方のアプリケーションが、同じ組織に属していない別のアプリケーションを認証できるように開発された。OAuthは、ウェブベースの認証を実行するための軽量プロトコルであるOpenID Connectを提供する。
図10の実施形態において、OpenIDアプリケーション1010がIDCS内のOpenIDサーバに接続すると、その「チャネル」はSSOサービスを要求する。同様に、SAMLアプリケーション1012がIDCS内のSAMLサーバに接続すると、その「チャネル」もSSOサービスを要求する。IDCSにおいて、各マイクロサービス(たとえばOpenIDマイクロサービス1004およびSAMLマイクロサービス1006)はアプリケーション各々を処理し、これらのマイクロサービスはSSOマイクロサービス1008からのSSO機能を要求する。プロトコルごとにマイクロサービスを追加してからSSO機能のためにSSOマイクロサービス1008を用いることにより、このアーキテクチャを拡張して任意の数のその他のセキュリティプロトコルをサポートすることができる。SSOマイクロサービス1008は、セッションを発行し(すなわちSSOクッキー1014が提供される)、このアーキテクチャにおいてセッションを発行する権限を有する唯一のシステムである。IDCSセッションは、ブラウザ1002がSSOクッキー1014を使用することによって実現される。ブラウザ1002はまた、ローカルセッションクッキー1016を用いてそのローカルセッションを管理する。
一実施形態において、たとえば、ブラウザ内で、ユーザは、SAMLに基づいて第1のアプリケーションを使用してログインし、その後、OAuthなどの異なるプロトコルを用いて構築された第2のアプリケーションを使用してもよい。ユーザには、同じブラウザ内の第2のアプリケーション上のSSOが与えられる。したがって、ブラウザは、ステートまたはユーザエージェントであり、クッキーを管理する。
一実施形態において、SSOマイクロサービス1008は、ログインセレモニー1018、ID/パスワードリカバリ1020、第1回ログインフロー1022、認証マネージャ1024、HTTPクッキーマネージャ1026、およびイベントマネージャ1028を提供する。ログインセレモニー1018は、顧客設定および/またはアプリケーションコンテキストに基づいてSSO機能を実現し、ローカルフォーム(たとえばベーシックAuth)、外部SAML IDP、外部OIDC IDPなどに従って構成されてもよい。ID/パスワードリカバリ1020は、ユーザのIDおよび/またはパスワードの回復のために使用される。第1回ログインフロー1022は、ユーザが1回目にログインしたときに実現される(すなわちSSOセッションはまだ存在しない)。認証マネージャ1024は、認証に成功すると認証トークンを発行する。HTTPクッキーマネージャ1026は認証トークンをSSOクッキーに保存する。イベントマネージャ1028はSSO機能に関連するイベントをパブリッシュする。
一実施形態において、OAuthマイクロサービス1004とSSOマイクロサービス1008との間の対話は、ブラウザリダイレクトに基づいており、SSOマイクロサービス1008は、HTMLフォームを用いてユーザに問いかけ、クレデンシャルを検証し、セッションクッキーを発行する。
一実施形態において、たとえば、OAuthマイクロサービス1004は、ブラウザ1002から認可要求を受け、3者間OAuthフローに従ってアプリケーションのユーザを認証する。よって、OAuthマイクロサービス1004は、OIDCプロバイダ1030として機能し、ブラウザ1002をSSOマイクロサービス1008にリダイレクトし、アプリケーションコンテキストに沿って進む。ユーザが有効なSSOセッションを有するか否かに応じて、SSOマイクロサービス1008は、既存のセッションを検証するかまたはログインセレモニーを実行する。認証または検証に成功すると、SSOマイクロサービス1008は、認証コンテキストをOAuthマイクロサービス1004に返す。そうすると、OAuthマイクロサービス1004はブラウザ1002を認可(「AZ」)コードを有するコールバックURLにリダイレクトする。ブラウザ1002は、AZコードをOAuthマイクロサービス1004に送信し、必要なトークン1032を要求する。また、ブラウザ1002は、HTTP認可ヘッダにおいてそのクライアントクレデンシャル(IDCSをOAuth2クライアントとして登録したときに取得)を含む。これに対し、OAuthマイクロサービス1004は、要求されたトークン1032をブラウザ1002に与える。一実施形態において、ブラウザ1002に与えられるトークン1032は、JWアイデンティティと、IDCS OAuth2サーバによって署名されたアクセストークンとを含む。この機能のさらなる詳細は、以下で図11を参照しながら開示される。
一実施形態において、たとえば、OAuthマイクロサービス1004は、ネイティブアプリケーション1011から認可要求を受け、2者間OAuthフローに従ってユーザを認証する。この場合、OAuthマイクロサービス1004の認証マネージャ1034は対応する認証を(たとえばクライアント1011から受けたID/パスワードに基づいて)実行し、トークンマネージャ1036は、認証に成功すると、対応するアクセストークンを発行する。
一実施形態において、たとえば、SAMLマイクロサービス1006は、ブラウザからSSO POST要求を受け、SAML SPとして機能するウェブアプリケーション1012のユーザを認証する。SAMLマイクロサービス1006は次に、SAML IDP1038として機能し、ブラウザ1002をSSOマイクロサービス1008にリダイレクトし、アプリケーションコンテキストに沿って進む。ユーザが有効なSSOセッションを有しているか否かに応じて、SSOマイクロサービス1008は、既存のセッションを検証するか、またはログインセレモニーを実行する。認証または検証に成功すると、SSOマイクロサービス1008は、認証コンテキストをSAMLマイクロサービス1006に返す。そうすると、SAMLマイクロサービスは、必要なトークンでSPにリダイレクトする。
一実施形態において、たとえば、SAMLマイクロサービス1006は、SAML SP1040として機能してもよく、遠隔SAML IDP1042(たとえばアクティブディレクトリ連携サービス(active directory federation service)(「ADFS」)に進んでもよい。一実施形態は、標準SAML/ADフローを実現する。一実施形態において、SAMLマイクロサービス1006とSSOマイクロサービス1008との間の対話は、ブラウザのリダイレクトに基づいており、SSOマイクロサービス1008は、HTMLフォームを用いてユーザに問いかけ、クレデンシャルを検証し、セッションクッキーを発行する。
一実施形態において、IDCS内部のコンポーネント(たとえば1004、1006、1008)と、IDCS外部のコンポーネント(たとえば1002、1011、1042)との間の対話は、ファイアウォール1044を通して行われる。
ログイン/ログアウトフロー
図11は、一実施形態における、IDCSによって提供されるSSO機能のメッセージシーケンスフロー1100である。ユーザがブラウザ1102を用いてクライアント1106(たとえばブラウザベースのアプリケーションまたはモバイル/ネイティブアプリケーション)にアクセスするとき、クラウドゲート1104は、アプリケーション施行点として機能し、ローカルポリシーテキストファイルに規定されているポリシーを施行する。クラウドゲート1104は、ユーザがローカルアプリケーションセッションを有していないことを検出した場合、ユーザの認証を要求する。そうするために、クラウドゲート1104は、ブラウザ1102をOAuth2マイクロサービス1110にリダイレクトすることにより、OAuth2マイクロサービス1110に対するOpenID Connectログインフローを開始する(3者間AZ Grantフローであり、範囲=「openid profile」)。
図11は、一実施形態における、IDCSによって提供されるSSO機能のメッセージシーケンスフロー1100である。ユーザがブラウザ1102を用いてクライアント1106(たとえばブラウザベースのアプリケーションまたはモバイル/ネイティブアプリケーション)にアクセスするとき、クラウドゲート1104は、アプリケーション施行点として機能し、ローカルポリシーテキストファイルに規定されているポリシーを施行する。クラウドゲート1104は、ユーザがローカルアプリケーションセッションを有していないことを検出した場合、ユーザの認証を要求する。そうするために、クラウドゲート1104は、ブラウザ1102をOAuth2マイクロサービス1110にリダイレクトすることにより、OAuth2マイクロサービス1110に対するOpenID Connectログインフローを開始する(3者間AZ Grantフローであり、範囲=「openid profile」)。
ブラウザ1102の要求は、IDCSルーティング層ウェブサービス1108およびクラウドゲート1104を横断してOAuth2マイクロサービス1110に到達する。OAuth2マイクロサービス1110は、アプリケーションコンテキスト(すなわちアプリケーションを記述するメタデータ、たとえば接続するアプリケーションのアイデンティティ、クライアントID、構成、アプリケーションは何ができるかなど)を構成し、ブラウザ1102をログインのためにSSOマイクロサービス1112にリダイレクトする。
ユーザが有効なSSOセッションを有する場合、SSOマイクロサービス1112は、ログインセレモニーを開始することなく既存のセッションを検証する。ユーザが有効なSSOセッションを有していない場合(すなわちセッションクッキーが存在しない)、SSOマイクロサービス1112は、顧客のログインプリファレンスに従ってユーザログインセレモニーを開始する(たとえば商標付ログインページを表示する)。そうするために、SSOマイクロサービス1112は、ブラウザ1102を、JavaScriptで実現されるログインアプリケーションサービス1114にリダイレクトする。ログインアプリケーションサービス1114はブラウザ1102にログインページを提供する。ブラウザ1102はログインクレデンシャルを含むREST POSTをSSOマイクロサービス1112に送信する。SSOマイクロサービス1112は、アクセストークンを生成し、REST POSTのクラウドゲート1104に送信する。クラウドゲート1104は、認証情報を管理SCIMマイクロサービス1116に送信することによりユーザのパスワードを検証する。管理SCIMマイクロサービス1116は、認証が成功したと判断し、対応するメッセージをSSOマイクロサービス1112に送信する。
一実施形態において、ログインセレモニー中、ログインページは同意ページを表示しない。「ログイン」オペレーションはさらなる同意を要しないからである。代わりに、アプリケーションに対してエクスポーズされている特定のプロファイル属性についてユーザに知らせるプライバシーポリシーが、ログインページ上に記載される。ログインセレモニー中、SSOマイクロサービス1112は顧客のIDPプリファレンスを尊重し、構成され次第、構成されたIDPに対する認証のためにIDPにリダイレクトする。
認証または検証が成功すると、SSOマイクロサービス1112は、ブラウザ1102を、ユーザの認証トークンを含む、新たに作成/更新されたSSOホストHTTPクッキー(たとえば「HOSTURL」が示すホストのコンテキストで作成されたクッキー)を用いて、OAuth2マイクロサービス1110に戻るようにブラウザ1102をリダイレクトする。OAuth2マイクロサービス1110は、AZコード(たとえばOAuthコンセプト)をブラウザ1102に戻しクラウドゲート1104にリダイレクトする。ブラウザ1102はAZコードをクラウドゲート1104に送信し、クラウドゲート1104はREST POSTをOAuth2マイクロサービス1110に送信してアクセストークンおよびアイデンティティトークンを要求する。これらのトークンはどちらも、OAuthマイクロサービス1110にスコーピングされる(オーディエンストークンクレームによって示される)。クラウドゲート1104はこれらのトークンをOAuth2マイクロサービス1110から受ける。
クラウドゲート1104は、アイデンティティトークンを用いて、認証されたユーザのアイデンティティをその内部アカウント表現にマッピングし、これは、このマッピングを自身のHTTPクッキーに保存してもよい。クラウドゲート1104は次に、ブラウザ1102をクライアント1106にリダイレクトする。すると、ブラウザ1102は、クライアント1106に到達し、対応するレスポンスをクライアント1106から受ける。この時点以降、ブラウザ1102は、アプリケーションのローカルクッキーが有効である限り、アプリケーション(すなわちクライアント1106)にシームレスにアクセスすることができる。ローカルクッキーが無効になると、認証プロセスは繰返される。
クラウドゲート1104はさらに、要求に含められたアクセストークンを用いて、「userinfo」をOAuth2マイクロサービス1110からまたはSCIMマイクロサービスから取得する。このアクセストークンは、「プロファイル」スコープによって与えられる属性の「userinfo」リソースにアクセスするには十分である。これは、SCIMマイクロサービスを介して「/me」リソースにアクセスするのにも十分である。一実施形態において、デフォルトで、含まれているアクセストークンは、「プロファイル」スコープの下で与えられるユーザプロファイル属性に対してのみ十分である。他のプロファイル属性へのアクセスは、クラウドゲート1104によって発行されたAZグラントログイン要求において提示された追加の(任意の)スコープに基づいて認可される。
ユーザがOAuth2が統合された別のアプリケーションにアクセスする場合、同じプロセスが繰返される。
一実施形態において、SSO統合アーキテクチャは、ブラウザベースのユーザログアウトに対し、同様のOpenID Connectユーザ認証フローを使用する。一実施形態において、既存のアプリケーションセッションを有するユーザは、クラウドゲート1104にアクセスしてログアウトを開始する。その代わりに、ユーザは、IDCS側でログアウトを開始している場合がある。クラウドゲート1104は、特定用途向けのユーザセッションを終了し、OAuth2マイクロサービス1110に対しOAuth2 OpenID プロバイダ(「OP」)ログアウト要求を開始する。OAuth2マイクロサービス1110は、ユーザのホストSSOクッキーを削除するSSOマイクロサービス1112にリダイレクトする。SSOマイクロサービス1112は、ユーザのSSOクッキーにおいて追跡された既知のログアウトエンドポイントに対し一組のリダイレクト(OAuth2 OPおよびSAML IDP)を開始する。
一実施形態において、クラウドゲート1104がSAMLプロトコルを用いてユーザ認証(たとえばログイン)を要求する場合、同様のプロセスが、SAMLマイクロサービスとSSOマイクロサービス1112との間で開始される。
クラウドキャッシュ
一実施形態は、LDAPフロントエンドである、クラウドキャッシュと呼ばれるサービス/機能を提供する。クラウドキャッシュは、IDCSに与えられて、LDAPベースのアプリケーション(たとえば電子メールサーバ、カレンダーサーバー、何らかのビジネスアプリケーションなど)との通信をサポートする。なぜなら、IDCSはLDAPに従って通信するのではないが、このようなアプリケーションはLDAPに基づいてのみ通信するように構成されているからである。典型的には、クラウドディレクトリは、REST APIを介してエクスポーズされ、LDAPプロトコルに従って通信するのではない。一般的に、企業ファイアウォオールを通してLDAP接続を管理するには、セットアップおよび管理が難しい特殊な構成が必要である。
一実施形態は、LDAPフロントエンドである、クラウドキャッシュと呼ばれるサービス/機能を提供する。クラウドキャッシュは、IDCSに与えられて、LDAPベースのアプリケーション(たとえば電子メールサーバ、カレンダーサーバー、何らかのビジネスアプリケーションなど)との通信をサポートする。なぜなら、IDCSはLDAPに従って通信するのではないが、このようなアプリケーションはLDAPに基づいてのみ通信するように構成されているからである。典型的には、クラウドディレクトリは、REST APIを介してエクスポーズされ、LDAPプロトコルに従って通信するのではない。一般的に、企業ファイアウォオールを通してLDAP接続を管理するには、セットアップおよび管理が難しい特殊な構成が必要である。
LDAPベースのアプリケーションをサポートするために、クラウドキャッシュは、LDAP通信を、クラウドシステムとの通信に適したプロトコルに変換する。一般的に、LDAPベースのアプリケーションは、LDAPを介してデータベースを使用する。代わりに、アプリケーションは、SQLのような異なるプロトコルを介してデータベースを使用するように構成されてもよい。しかしながら、LDAPはツリー構造のリソースの階層表現を提供するのに対し、SQLはデータをテーブルとフィールドとして表現する。したがって、LDAPは検索機能用であることがより望ましいであろう。一方、SQLはトランザクション機能用であることがより望ましいであろう。
一実施形態において、IDCSが提供するサービスを、LDAPベースのアプリケーションで使用して、たとえば、アプリケーションのユーザを認証する(すなわちアイデンティティサービス)、またはアプリケーションのセキュリティポリシーを施行する(すなわちセキュリティサービス)ことができる。一実施形態において、IDCSとのインターフェイスは、ファイアウォールを通り、HTTP(たとえばREST)に基づく。典型的に、企業ファイアウォールは、内部LDAP通信へのアクセスを、当該通信がセキュア・ソケット・レイヤ(Secure Sockets Layer)(「SSL」)を実現する場合であっても許可しない。また、企業ファイアウォールは、TCPポートがファイアウォールを通してエクスポーズされることを許可しない。しかしながら、クラウドキャッシュは、LDAPとHTTPとの間の変換を行って、LDAPベースのアプリケーションが、IDCSが提供するサービスに到達できるようにし、ファイアウォールはHTTPに対してオープンである。
一般的に、LDAPディレクトリは、マーケティングおよび開発などのビジネスライン(line of business)で使用されてもよく、ユーザ、グループ、業務などを規定する。一例において、マーケティングおよび開発ビジネスは、多様な顧客を対象としている場合があり、顧客ごとに、独自のアプリケーション、ユーザ、グループ、業務などを有し得る。LDAPキャッシュディレクトリを実行し得るビジネスラインの別の例は、無線サービスプロバイダである。この場合、無線サービスプロバイダのユーザが行う各コールは、LDAPディレクトリに対してユーザのデバイスを認証し、LDAPディレクトリ内の対応する情報の一部は課金システムと同期させてもよい。これらの例において、LDAPは、実行時に探索されるコンテンツを物理的に分離するための機能を提供する。
一例において、無線サービスプロバイダは、短期マーケティングキャンペーンを支援するIDCSが提供するサービスを使用する一方で、自身のアイデンティティ管理サービスをそのコアビジネス(たとえば通常のコール)のために扱ってもよい。この場合、クラウドキャッシュは、LDAPを、クラウドに対して実行する一組のユーザおよび一組のグループを有する場合は「平坦にする」。一実施形態において、IDCSにおいて実現されるクラウドキャッシュの数はいくつであってもよい。
分散型データグリッド
一実施形態において、IDCSにおけるキャッシュクラスタは、たとえばその開示を本明細書に引用により援用する米国特許公開第2016/0092540号に開示されている分散型データグリッドに基づいて実現される。分散型データグリッドは、分散環境またはクラスタ環境内で1つ以上のクラスタにおいてコンピュータサーバの集合体が、一緒に作業することにより情報を管理し計算などの関連動作を管理するシステムである。分散型データグリッドを用いることで、サーバ間で共有されるアプリケーションオブジェクトおよびデータを管理することができる。分散型データグリッドは、短いレスポンスタイム、高いスループット、予測可能なスケーラビリティ、継続的なアベイラビリティ、および情報の信頼性を提供する。具体的な例として、たとえばオラクル社のOracle Coherenceのデータグリッドのような分散型データグリッドは、情報をインメモリに格納することによりさらに高いパフォーマンスを達成し、複数のサーバにわたって同期が取られた情報のコピーを保持するにあたって冗長性を用いることにより、サーバ故障イベント時におけるシステムの回復力とデータの継続的なアベイラビリティとを保証する。
一実施形態において、IDCSにおけるキャッシュクラスタは、たとえばその開示を本明細書に引用により援用する米国特許公開第2016/0092540号に開示されている分散型データグリッドに基づいて実現される。分散型データグリッドは、分散環境またはクラスタ環境内で1つ以上のクラスタにおいてコンピュータサーバの集合体が、一緒に作業することにより情報を管理し計算などの関連動作を管理するシステムである。分散型データグリッドを用いることで、サーバ間で共有されるアプリケーションオブジェクトおよびデータを管理することができる。分散型データグリッドは、短いレスポンスタイム、高いスループット、予測可能なスケーラビリティ、継続的なアベイラビリティ、および情報の信頼性を提供する。具体的な例として、たとえばオラクル社のOracle Coherenceのデータグリッドのような分散型データグリッドは、情報をインメモリに格納することによりさらに高いパフォーマンスを達成し、複数のサーバにわたって同期が取られた情報のコピーを保持するにあたって冗長性を用いることにより、サーバ故障イベント時におけるシステムの回復力とデータの継続的なアベイラビリティとを保証する。
一実施形態において、IDCSは、Coherenceなどの分散型データグリッドを実現して、すべてのマイクロサービスがブロックされることなく共有キャッシュオブジェクトへのアクセスを要求できるようにする。Coherenceは、従来のリレーショナルデータベース管理システムと比較して、より高い信頼性、スケーラビリティ、およびパフォーマンスが得られるように設計された、所有権を主張できるJavaベースのインメモリデータグリッドである。Coherenceは、ピアトゥピア(すなわち中央マネージャがない)インメモリ分散型キャッシュを提供する。
図12は、データを格納しデータアクセス権をクライアント1250に与え本発明の実施形態を実現する分散型データグリッド1200の一例を示す。「データグリッドクラスタ」または「分散型データグリッド」は、分散環境またはクラスタ環境内で1つ以上のクラスタ(たとえば1200a、1200b、1200c)において一緒に作業することにより情報を格納し関連する計算などの動作を管理する複数のコンピュータサーバ(たとえば1220a、1220b、1220c、および1220d)を含むシステムである。分散型データグリッド1200は、クラスタ1200aにおいて5つのデータノード1230a、1230b、1230c、1230d、および1230eとともに4つのサーバ1220a、1220b、1220c、1220dを含むものとして示されているが、分散型データグリッド1200は、任意の数のクラスタおよび各クラスタにおける任意の数のサーバおよび/またはノードを含み得る。ある実施形態において、分散型データグリッド1200は本発明を実現する。
図12に示されるように、分散型データグリッドは、一緒に作業する多数のサーバ(たとえば1220a、1220b、1220c、および1220d)にデータを分散させることによってデータ格納および管理機能を提供する。データグリッドクラスタの各サーバは、たとえば、1つから2つのプロセッサソケットと1プロセッサソケット当たり2つから4つのCPUコアとを有する「コモディティ(commodity)x86」サーバハードウェアプラットフォームのような、従来のコンピュータシステムであってもよい。各サーバ(たとえば1220a、1220b、1220c、および1220d)は、1つ以上のCPUと、ネットワークインターフェイスカード(Network Interface Card)(「NIC」)と、たとえば最小で4GBのRAM最大で64GB以上のRAMを含むメモリとで構成されている。サーバ1220aは、CPU1222aと、メモリ1224aと、NIC1226aとを有するものとして示されている(これらの要素は他のサーバ1220b、1220c、1220d上にもあるが図示されていない)。任意で、各サーバにフラッシュメモリ(たとえばSSD 1228a)を設けることで過剰な記憶容量を提供してもよい。提供時、SSD容量は、好ましくはRAMのサイズの10倍である。データグリッドクラスタ1200aのサーバ(たとえば1220a、1220b、1220c、1220d)は、高帯域幅のNIC(たとえばPCI-XまたはPCIe)を用いて高性能ネットワークスイッチ1220(たとえばギガビット以上のイーサネット(登録商標))に接続されている。
クラスタ1200aは、故障中にデータが失われる可能性を避けるために最小で4つの物理サーバを含むことが好ましいが、典型的な設備はより多くのサーバを有する。各クラスタに存在するサーバが多いほど、フェイルオーバーおよびフェイルバックの効率は高く、サーバの故障がクラスタに与える影響は小さくなる。サーバ間の通信時間を最短にするために、各データグリッドクラスタは、サーバ間の単一ホップ通信を提供する単一のスイッチ1202に限定されることが理想的である。このように、クラスタは、スイッチ1202上のポートの数によって制限される。したがって、典型的なクラスタは4~96の物理サーバを含む。
分散型データグリッド1200のほとんどの広域ネットワーク(Wide Area Network)(「WAN」)構成において、WAN内の各データセンターは、独立しているが相互に接続されているデータグリッドクラスタ(たとえば1200a、1200b、および1200c)を有する。WANは、たとえば図12に示されるクラスタよりも多くのクラスタを含み得る。加えて、リンク1206を介して結合されている、相互接続されているが独立しているクラスタ(たとえば1200a、1200b、1200c)を用いることにより、および/または相互接続されているが独立しているクラスタを、互いに離れているデータセンター内に配置することにより、分散型データグリッドは、自然災害、火災、洪水、長期停電などによって生じる、1つのクラスタのすべてのサーバの同時損失を防止すべく、クライアント1250に対するデータおよびサービスを保証することができる。
1つ以上のノード(たとえば1230a、1230b、1230c、1230dおよび1230e)は、クラスタ1200aの各サーバ(たとえば1220a、1220b、1220c、1220d)上で動作する。分散型データグリッドにおいて、ノードは、たとえばソフトウェアアプリケーション、仮想マシンなどであってもよく、サーバは、ノードがその上で動作するオペレーティングシステム、ハイパーバイザなど(図示せず)を含み得る。Oracle Coherenceのデータグリッドでは、各ノードはJava仮想マシン(Java virtual machine)(「JVM」)である。CPUの処理能力およびサーバ上で利用できるメモリに応じて、各サーバ上に多数のJVM/ノードを設けてもよい。JVM/ノードは、分散型データグリッドの要求に応じて、追加、起動、停止、および削除されてもよい。Oracle Coherenceを実行するJVMは、起動時に自動的に参加しクラスタ化する。クラスタに加わるJVM/ノードは、クラスタメンバまたはクラスタノードと呼ばれる。各クラスタはさらに、アクセス可能なデータ1212を格納している標準データベース1210に接続することができる。
アーキテクチャ
各クライアントまたはサーバは、情報伝達のためにバスまたはその他の通信機構を含み、情報処理のためにバスに結合されたプロセッサを含む。プロセッサは、どのタイプの汎用または専用プロセッサであってもよい。各クライアントまたはサーバはさらに、プロセッサによって実行される命令および情報を格納するためのメモリを含み得る。メモリは、ランダムアクセスメモリ(「RAM」)、読出専用メモリ(「ROM」)、磁気もしくは光ディスクなどのスタティックストレージ、またはその他任意の種類のコンピュータ読取可能媒体を組み合わせたもので構成することができる。各クライアントまたはサーバはさらに、ネットワークへのアクセス提供のためにネットワークインターフェイスカードなどの通信デバイスを含み得る。したがって、ユーザは、各クライアントまたはサーバに対して、直接、またはネットワークを通して遠隔から、またはその他任意の手段で、インターフェイスすることができる。
各クライアントまたはサーバは、情報伝達のためにバスまたはその他の通信機構を含み、情報処理のためにバスに結合されたプロセッサを含む。プロセッサは、どのタイプの汎用または専用プロセッサであってもよい。各クライアントまたはサーバはさらに、プロセッサによって実行される命令および情報を格納するためのメモリを含み得る。メモリは、ランダムアクセスメモリ(「RAM」)、読出専用メモリ(「ROM」)、磁気もしくは光ディスクなどのスタティックストレージ、またはその他任意の種類のコンピュータ読取可能媒体を組み合わせたもので構成することができる。各クライアントまたはサーバはさらに、ネットワークへのアクセス提供のためにネットワークインターフェイスカードなどの通信デバイスを含み得る。したがって、ユーザは、各クライアントまたはサーバに対して、直接、またはネットワークを通して遠隔から、またはその他任意の手段で、インターフェイスすることができる。
コンピュータ読取可能な媒体は、プロセッサからアクセスすることが可能な利用可能な媒体であればどのようなものでもよく、揮発性媒体および不揮発性媒体、リムーバブルおよび非リムーバブル媒体、ならびに通信媒体を含む。通信媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュール、または、たとえば搬送波もしくはその他の搬送機構などの変調されたデータ信号内のその他のデータを含んでいてもよく、任意の情報伝達媒体を含む。
プロセッサはさらに、液晶ディスプレイ(「LCD」)などのディスプレイにバスを介して結合されてもよい。キーボード、およびコンピュータマウスなどのカーソル制御デバイスが、さらにバスに結合されることにより、ユーザが各クライアントまたはサーバに対してインターフェイスできるようにしてもよい。
一実施形態において、メモリは、プロセッサが実行すると機能を提供するソフトウェアモジュールを格納する。モジュールは、各クライアントまたはサーバにオペレーティングシステム機能を提供するオペレーティングシステムを含む。モジュールはさらに、クラウドアイデンティティ管理機能を提供するためのクラウドアイデンティティ管理モジュールと、本明細書に開示されているその他すべての機能とを含み得る。
クライアントは、クラウドサービスなどのウェブサービスにアクセスし得る。一実施形態において、ウェブサービスは、オラクル社のWebLogicサーバ上で実現されてもよい。他の実施形態ではウェブサービスの他の実装形態を使用してもよい。ウェブサービスは、クラウドデータを格納しているデータベースにアクセスする。
IAM機能の例
一実施形態において、IAM機能は、メモリにまたはその他のコンピュータ読取可能なもしくは有形の媒体に格納されたソフトウェアによって実現され、プロセッサによって実行される。
一実施形態において、IAM機能は、メモリにまたはその他のコンピュータ読取可能なもしくは有形の媒体に格納されたソフトウェアによって実現され、プロセッサによって実行される。
アイデンティティ管理サービスの実行の要求を受ける。一実施形態において、この要求は、アイデンティティ管理サービスと当該アイデンティティ管理サービスを実行するように構成されたマイクロサービスとを特定するAPIに対するコールを含む。一実施形態において、マイクロサービスは、他のモジュール/マイクロサービスと通信することが可能な内蔵モジュールであり、各マイクロサービスは、他からコンタクトが可能な無名のユニバーサルポートを有する。たとえば、一実施形態において、図6に示されるように、各種アプリケーション/サービス602は、IDCSマイクロサービス614を使用するためにIDCS APIに対してHTTPコールを行うことができる。一実施形態において、マイクロサービスはランタイムコンポーネント/プロセスである。
一実施形態において、この要求はURLを含む。一実施形態において、マイクロサービスはURLのプレフィックスにおいて特定される。一実施形態において、URLのリソース部分はAPIを特定する。一実施形態において、URLのホスト部分は要求に関連するリソースのテナンシーを特定する。たとえば、IDCSのウェブ環境における「ホスト/マイクロサービス/リソース」のようなURLにおいて、マイクロサービスは特定のURLプレフィックスを有することを特徴とし(たとえば「host/oauth/v1」)、実際のマイクロサービスは「oauth/v1」であり、「oauth/v1」の下で複数のAPIが存在し、たとえば、トークン(token)を要求するためのAPI:「host/oauth/v1/token」、ユーザを認可する(authorize)ためのAPI:「host/oauth/v1/authorize」などである。すなわち、URLはマイクロサービスを実現し、URLのリソース部分はAPIを実現する。したがって、同じマイクロサービスの下で複数のAPIが集約される。一実施形態において、URLのホスト部分はテナントを特定する(たとえば、https://tenant3.identity.oraclecloud.com:/oauth/v1/token")。
次に要求が認証される。一実施形態において、要求は、本明細書においてたとえば図6のウェブルーティング層610および/または図7のクラウドゲート702を参照しながら説明したクラウドゲートのようなセキュリティゲートによって認証される。
次に、たとえば本明細書において図6のIDCS「APIプラットフォーム」およびIDCS中間層614のマイクロサービスへのアクセスを参照しながら説明したように、マイクロサービスがAPIに基づいてアクセスされる。一実施形態において、マイクロサービスとの通信は、マイクロサービスの無名ユニバーサルポートを通じて構成される。一実施形態において、マイクロサービスの無名ユニバーサルポートは、従来マイクロサービスがエクスポーズする(たとえば従来のHTTPポートとしての)標準通信チャネルであり、同一サービス内のその他いずれかのモジュール/マイクロサービスがそれに対してトークできるようにする標準通信チャネルである。一実施形態において、マイクロサービスは、1つ以上のAPIをエクスポーズすることによって1つ以上の機能を提供する。一実施形態において、マイクロサービスとの通信は、1つ以上のAPIを通じてのみ実現される。すなわち、マイクロサービスへの接触/コンタクトは、このようなAPIにコールすることによってのみ実現される。一実施形態において、マイクロサービスとの通信は、軽量プロトコルに従って構成される。一実施形態において、軽量プロトコルは、HTTPおよびRESTを含む。一実施形態において、要求は、RESTful HTTP APIに対するコールを含む。したがって、一実施形態はディスパッチ機能を提供する。各HTTP要求は、URIおよび動詞を含む。本実施形態は、URIのエンドポイント(ホスト/サービス/リソース)をパースし、これを、HTTP動詞(たとえば、POST、PUT、PATCH、またはDelete)と組み合わせることにより、適切なモジュールの適切な方法をディスパッチする(または呼び出す)。このパターンは、RESTによくあるものであり、さまざまなパッケージ(たとえばJersey)によってサポートされる。
次に、たとえば本明細書において図6のIDCS「APIプラットフォーム」およびIDCS中間層614のマイクロサービスへのアクセスを参照しながら説明したように、アイデンティティ管理サービスがマイクロサービスによって実行される。一実施形態において、マイクロサービスは、ステートレスであり、横方向にスケーラブルであり、独立してデプロイ可能である。一実施形態において、マイクロサービスの各物理的実装は、複数のテナントを安全にサポートするように構成される。一実施形態において、アイデンティティ管理サービスは、ログインサービス、SSOサービス、フェデレーションサービス、トークンサービス、ディレクトリサービス、プロビジョニングサービス、またはRBACサービスを含む。
オンプレミス統合
図2に関連して上で開示されているように、クライアントの場所に存在し得るオンプレミスアプリケーション218は、IDCS202のようなクラウドベースの第三者アイデンティティ管理システムによって管理することが可能である。しかしながら、一般的に、クライアントは、第三者クラウドサービスがクライアントのファイアウォールを通してコマンドをクライアントに送信するのを許可するのを躊躇することがある。これに対し、実施形態では、先ずクライアントが代わりにIDCS202にコンタクトしてアクションを要求する(「ターゲットアクション」と呼ばれる)。これは、要求していないアクションをIDCS202からクライアントのファイアウォールを通して受けるのと逆である。この機能は通常「委任認証」と呼ばれている。
図2に関連して上で開示されているように、クライアントの場所に存在し得るオンプレミスアプリケーション218は、IDCS202のようなクラウドベースの第三者アイデンティティ管理システムによって管理することが可能である。しかしながら、一般的に、クライアントは、第三者クラウドサービスがクライアントのファイアウォールを通してコマンドをクライアントに送信するのを許可するのを躊躇することがある。これに対し、実施形態では、先ずクライアントが代わりにIDCS202にコンタクトしてアクションを要求する(「ターゲットアクション」と呼ばれる)。これは、要求していないアクションをIDCS202からクライアントのファイアウォールを通して受けるのと逆である。この機能は通常「委任認証」と呼ばれている。
実施形態は、クライアントはクラウドサービスを「信頼」していない場合がありしたがってそのファイアウォールをクラウドサービスに対して開かない場合があるという現実に鑑みて、クライアントのプレミス上のリソースをクラウドから如何にして管理するかという問題を解決する。実施形態は、RESTfulウェブサービスのためのJava API(Java API for RESTful Web Services)(「JAX-RS」)に基づく非同期レスポンスを使用する。非同期コールバックは委任認証に用いられるので、非同期コールバックが実行される。たとえば、ユーザがIDCS202にログインする場合、このユーザは、IDCS202に格納されているローカルアイデンティティによって認証されるのではなく、図2のアクティブディレクトリ(「AD」)204のようなオンプレミスアクティブディレクトリにパススルーされる。このパススルーというシナリオでは、AD204がIDCS202の代わりに認証を実行することになる。
しかしながら、認証のためにパススルーを使用すると、異なる2つのシステム(すなわちIDCS202とAD204)の間の通信からのレイテンシおよび認証プロセスからのレイテンシを持ち込むことになる。たとえば、ユーザは、IDCS202に行ってからファイアウォールを通してAD204に戻らねばならない。このレイテンシがあるので、ユーザ認証におよそ5~10秒を要する場合がある。
レイテンシ短縮のための、ある可能な解決策は、HTTP要求/レスポンスを使用することである。具体的には、ログイン要求を直接ブリッジ/AD204にポストし、レスポンスを待つ。しかしながら、この解決策は、データベースのパーシステンスを使用するので、レイテンシを防止するように最適化される訳ではない。
これに対し、実施形態は、レイテンシを回避するために、データベースにおけるパーシステンスではなく、Coherence1200の場合のようにキャッシュリスナを使用することにより、双方(すなわちIDCS202およびAD204)に通知を与える。実施形態において、キャッシュリスナは、IDCS202のマイクロサービスのうちの1つであるCoherenceキャッシュサービスの特徴である。キャッシュリスナは、Coherenceに加えて、その他のタイプのインメモリ分散型データグリッドによって実現できる。通知(すなわち要求/レスポンス)は、認証が行われる必要がある時間と、認証の完了(すなわち認証が成功したかまたは失敗したか)とを含む。したがって、AD204に格納されている、そのユーザのユーザ名/パスワードのすべてを既に有している顧客は、IDCS202を認証のためのパススルー機構として用いればよく、ユーザ名/パスワードの複製をIDCS202に格納する必要はない。
実施形態において、ADブリッジ230(図2で「ID」ブリッジ230として示されている)は、既にレイテンシを短縮するように最適化されている。開示されているターゲットアクションのフレームワークを用いることにより、オンプレミスターゲットに対してアクションを行うことができるが、本明細書に開示されている委任認証のためには、スピードとレイテンシ短縮が必要である。
一般的に、ADブリッジ230は、AD企業ディレクトリ構造と、IDCS202またはその他任意のクラウドベースのアイデンティティサービスとの間のリンクを提供する。IDCS202がこのディレクトリ構造と同期することで、いずれの新たな、更新された、または削除されたユーザまたはグループ記録も、必要に応じてIDCS202に転送することができる。たとえば、ADブリッジ230は、これらの記録の何らかの変更についてAD204に対してポーリングしこれらの変更をIDCS202に持ち込むことができる。AD204でユーザが削除された場合は、この変更が、またはその他任意の種類の変更が、IDCS202に伝えられることになる。この同期のおかげで、各記録の状態は、AD204とIDCS202との間で同期が取られる。しかしながら、上で開示されているように、ユーザ情報はAD204にのみ格納されている場合があるので、場合によっては同期は不要である。
図13は、実施形態に係る、委任認証を実行する際の、ブリッジ230を介したIDCS202とオンプレミスアクティブディレクトリ204との間の機能を、IDCS202の視点から示す。図14は、実施形態に係る、委任認証を実行する際の、ブリッジ230を介したIDCS202とオンプレミスアクティブディレクトリ204との間の機能を、アクティブディレクトリ204の視点から示す。概ね図13および図14に示される機能は次の通りである。
・発呼側がアクション(POST /TargetActions または GET /AsyncTargetActionsなど)を実行する
・発呼側がリスナを特定のキャッシュに登録する
・所望のイベントが発生したときは、リスナが発呼側をインタラプト(interrupt)する
・所望のイベントが発生しなかった場合、発呼側は、ペンディング中のTargetActionsについて、たとえば、認証、ADブリッジポーリングにより管理されているADドメインをターゲットとするパスワード変更などについて、なすべき作業のために、GET /AsyncTargetAction要求を介してDBサーチを実行する。
・発呼側がアクション(POST /TargetActions または GET /AsyncTargetActionsなど)を実行する
・発呼側がリスナを特定のキャッシュに登録する
・所望のイベントが発生したときは、リスナが発呼側をインタラプト(interrupt)する
・所望のイベントが発生しなかった場合、発呼側は、ペンディング中のTargetActionsについて、たとえば、認証、ADブリッジポーリングにより管理されているADドメインをターゲットとするパスワード変更などについて、なすべき作業のために、GET /AsyncTargetAction要求を介してDBサーチを実行する。
どのエンティティを「発呼側」とみなすかに関して、POST /TargetActionsの場合、コールは、ユーザがログインしたときに開始/コールされ、ログインは、ADドメインに対するパススルー/委任認証用に設定される。GET /AsyncTargetActionsの場合、コールは、ADブリッジ230によって開始/コールされることにより、認証、パスワード変更、ユーザ更新など(まとめて「認証アクション」)のようなTargetActionsについてのポーリングを開始する。
図13および図14に示される要素は、SSOサービス1350および管理サービス(Admin service)1351を含む。実施形態におけるSSOサービス1350および管理サービス1351は、別々のIDCSマイクロサービスで実現される。管理サービス1351は、示されているエンドポイントをすべて含み、これらのエンドポイントは、パスワードオーセンティケータ1352、ユーザ1353、ターゲットアクション(target actions)(「TA」)1301、ターゲットアクション結果(target action results)(「TAR」)1302および非同期ターゲットアクション(async target actions)(「ATA」)1354を含む。これらの要素はさらに、テナントデータベース(「DB」)1355およびキャッシュ1356を含み、実施形態において、このキャッシュは、Coherenceキャッシュであり、IDCSにおけるマイクロサービスとして実現される。キャッシュ1356は、管理サービス1351と通信する3つの異なるキャッシュ、すなわち、TAキャッシュ、TARキャッシュ、およびATAキャッシュ、を含む。IDCSとオンプレミス要素との間の「パイプ」の反対側のADブリッジ230およびAD204はオンプレミスである。
TAは、IDCSクライアントがターゲットに対する要求を開始するために使用するエンドポイントであり、このターゲットに対して要求される何らかのアクションを含む。TARは要求の結果である。委任認証の場合、TARはブリッジ230によってIDCSサーバに戻るようにポストされる。一般的に、TAは要求でありTARはレスポンスである。すべてのTAは、ターゲットとされるアプリケーションのappID(すなわちADドメインID)を含む。実施形態において、すべての同期TA1301スレッドは、レスポンスのTAR1302を獲得するまでブロックする。これに対し、非同期TA1354スレッドは、レスポンスのTAR1302を獲得するまでポーリングする(すなわちブロックしない)。
図13の機能を参照すると、1310で、ユーザはSSOサービス1350にログインする(たとえば、ユーザは、IDCS202にログインすることができ、そうすることで、エンドユーザとしてそのプロファイルを修正すること、アドミニストレータとしてIDCSアドミニストレータ作業を実行すること、アクセスを付与した他のアプリケーションにアクセスすることなどを行うことができる)。1311で、結果として得られたSSOサービススレッドが、管理サービスhttpクライアントPOST/UPA(すなわちユーザパスワードオーセンティケータ(User Password Authenticator))を呼び出し、管理サービス1351が1312の管理サービス獲得スレッド1を返すまで、ブロックする。1313で、UPAは、DB接続を獲得するGET /Usersを呼び出し、DBサーチを呼び出す(たとえば、認証、ADブリッジポーリングにより管理されているADドメインをターゲットとするパスワード変更などの、ペンディング中のTargetActionsについて、なすべき作業のために、GET /AsyncTargetAction要求を介してサーチする)。1314で、ユーザはPA1352に返される。
1315で、PA1352は、「認証」TAを作成するPOST /TargetActionを呼び出す。TAはDB接続を獲得し、1316でDB作成を呼び出してTAを格納する。1317で、ポストトランザクションハンドラが、対応付けられたTargetActionResultが作成/キャッシュされたときにコールバックするためにキャッシュリスナを登録し、1318で、キャッシュコールバックまたはタイムアウトまで、設定された認証アクションタイムアウト(一実施形態では30秒)の間、スリープする。1317で登録されたキャッシュリスナは、TAが送られた対象であるappid(アプリケーション識別子)のTARをリッスンする。
図14を参照して、1316に応答して、ブリッジ230は、1410で、所定のappIDについてGET /AsyncTargetActionを先に呼び出し、よって、ブリッジスレッドは、asynResponseタイムアウトまたはTargetActionsが返されるまで、ブロックする。ブリッジスレッドは、TargetActionsが処理のために返されるまで、または、ポーリングタイムアウトに達するまで(たとえば60秒)、ポーリングする。IDCSサーバ上のhttpスレッドはリリースされるが、ADブリッジスレッドはポーリング中ブロックされる。これに応じて、1411で、サーバ(すなわちAsyncTargetAction REST要求をサービスするIDCS管理サービス)はGET /AsyncTargetActionssを行い、管理サービススレッドが作成されて、1412においてasyncResponseタイムアウトに達する(60秒)まで、または、ブリッジが管理するappIdのために認証TargetActionが作成されたときにcoherenceキャッシュリスナによりコールバックされるまで、ブロックする。1413で、ブリッジが管理するappIdのためにTargetActionが作成されたときにコールすべきキャッシュリスナを登録する。ブリッジが管理するappIdのために認証TargetActionが作成されたときにcoherenceキャッシュリスナによってAsyncTargetActionがコールバックされる。
1415で、管理サービス1351は、ブリッジするappIDの「進行中」の認証TargetActionをサーチして返す。もしあれば、1416で、管理サービススレッドブリッジをリリースし、1417で、認証要求をAD204に送る。1418で、AD204は、要求を処理しブリッジ230に対して応答する。1419で、ブリッジ230は、管理サービスTAR1302に対するPOST /TargetActionResultを呼び出す。1420で、TargetActionResultがDB接続を獲得し、DB作成を呼び出してTARを格納し、1422で、TARでキャッシュを更新することにより、処理すべきTargetActionResultsが存在することを示す。
再び13を参照して、1319で、ブリッジが管理するappIdに対して認証TargetActionResultが作成されると、CoherenceキャッシュリスナによりTargetActionがコールバックされる。1320で、キャッシュから認証TargetAction idと一致するTargetActionResultを獲得し、TargetActionResultをTargetActionレスポンスに追加し、1321で、TargetActionレスポンスをUPAに返す。
UPAは、レスポンスをSSOサービスに返し、管理サービススレッド1をリリースし、SSOサービスは、1325でレスポンスをユーザに返す。次にSSOサービススレッドがリリースされる。
以下の疑似コードの例は、実施形態に従い委任認証機能を実現する。
実施形態において、2つのモード(同期(sync)および非同期(async))が、クライアント開始のターゲットアクション(「TA」)要求にある(「STA」および「ATA」)。
・同期(POST /TargetActions { "mode": "sync", ... } )
・非同期(POST /TargetActions { "mode": "async", ... } )
「同期」は、委任認証のような、レイテンシが非常に短く成功または失敗に関係なくできる限り早くクライアント(たとえばログインしているユーザ)に返されると予想されるターゲットアクションに使用される。「非同期」は、ADユーザのパスワードの変更、ADユーザのプロファイル属性の更新などのような、同期要求ほど早く応答する必要がないターゲットアクションに使用される。
・同期(POST /TargetActions { "mode": "sync", ... } )
・非同期(POST /TargetActions { "mode": "async", ... } )
「同期」は、委任認証のような、レイテンシが非常に短く成功または失敗に関係なくできる限り早くクライアント(たとえばログインしているユーザ)に返されると予想されるターゲットアクションに使用される。「非同期」は、ADユーザのパスワードの変更、ADユーザのプロファイル属性の更新などのような、同期要求ほど早く応答する必要がないターゲットアクションに使用される。
実施形態は、ブリッジへの送信に関しては同期TAが非同期TAよりも優先度が高いが、同時に、非同期TAは同期TAによってそれほど長くブロックされないことを、保証する。最初に同期TAをブリッジに送信することを優先するので非同期TAがブリッジへの送信により長い時間を要することは、非同期TAが妥当な時間でブリッジに送信される限り、許容される。
したがって、実施形態は、高いレベルで、同期ターゲットアクションを、非同期ターゲットアクションとは別に処理する。
・同期ターゲットアクションは、要求側がブロックしているので、「高速経路」を必要とする。
・非同期ターゲットアクションは、より低速の経路を取るので、
〇同期ターゲットアクションを非同期よりも優先することが可能であり、
〇ターゲットアクションを必要に応じて順序付けることが可能である。
・同期ターゲットアクションは、要求側がブロックしているので、「高速経路」を必要とする。
・非同期ターゲットアクションは、より低速の経路を取るので、
〇同期ターゲットアクションを非同期よりも優先することが可能であり、
〇ターゲットアクションを必要に応じて順序付けることが可能である。
以下の表は、実施形態に係る同期ターゲットアクションフローをまとめたものである。以下の表において、各ブリッジは、同期TargetActionsを待って長時間ポーリングする。IDCSクライアントは、同期TargetActionをポストし、次に、TargetActionResultを待ってブロックする。
以下の表は、実施形態に係る非同期ターゲットアクションフローをまとめたものである。以下の表において、各ブリッジは、非同期TargetActionsを待って長時間ポーリングする。IDCSクライアントは、非同期TargetActionをポストし、次に、TargetActionsを待ってポーリングする。
開示されているように、実施形態は、Coherenceキャッシュコールバックを推進することにより、要求/レスポンスのフローを最適化する。実施形態は、クラウドベースの認証システム(たとえばIDCS)がキャッシュコールバックを用いてオンプレミス認証システム(たとえばAD)に対してインターフェイスする場合のレイテンシを短縮する。
ブリッジ高可用性
一般的に、上に開示されているように、ブリッジ230およびAD204を用いてIDCS202による委任認証を滞りなく実行することは、極めて重要である。なぜなら、そうでなければユーザはアプリケーションにログインできない、または必要なリソースにアクセスできない可能性があるからである。しかしながら、委任認証/オーソリティ(authority)要求が集中的に生じる場合があるので、このような要求を処理するためには容量をスケーリングすることが可能でなければならない。
一般的に、上に開示されているように、ブリッジ230およびAD204を用いてIDCS202による委任認証を滞りなく実行することは、極めて重要である。なぜなら、そうでなければユーザはアプリケーションにログインできない、または必要なリソースにアクセスできない可能性があるからである。しかしながら、委任認証/オーソリティ(authority)要求が集中的に生じる場合があるので、このような要求を処理するためには容量をスケーリングすることが可能でなければならない。
したがって、実施形態は、IDCS202とAD204との間において、同じAD204を管理することができる複数のブリッジ230を使用する。複数のブリッジを使用することにより、同じAD204に対して入力された要求について、複数のブリッジで負荷を分担することができ、また、1つ以上のブリッジが停止した場合の冗長性を提供する(すなわち高可用性)。
ブリッジ230は、IDCS202にコンタクトしてブリッジ230が機能している/利用可能であることを示す場合(すなわち、ポーリング要求)、IDCS202に、少なくとも1つのブリッジが利用可能であり各ブリッジ230は認証要求をリッスンしていることを知らせる。上で開示されているように、1つのブリッジの場合、この1つのブリッジは、ブリッジIDとアプリケーションIDとをIDCS202に送る。これに対し、複数のブリッジの場合、各ブリッジは、appID(すなわちADドメイン)とその対応するブリッジIDとを送り、かつ、処理できる要求の数を送ることで、要求の一部として処理できる記録の数を送る。したがって、複数のブリッジは、同一のADドメインおよび同一のターゲットアクションを要求し認証TAに対して同時にポーリングすることができる。
サーバ側(すなわちIDCS202)において、フィルタ機構がキャッシュリスナとして登録される。実施形態において、フィルタ機構は、等しい、~より大きい、未満、その他のような演算の集まりが、論理演算のセットと組み合わされて、特定のデータセットをキャッシュに返すという点において、クエリステートメントと似ている。実施形態において、フィルタは、キャッシュリスナがリッスンしているキー値のリスト、たとえば利用可能なブリッジのリストを含む。リスナは、フィルタから取り出されたキーに適用される。一実施形態において、Oracle Coherenceのキャッシュリスナが使用されるが、その他の実施形態ではその他任意の「リスナ」またはその他のキャッシュ関連機能を用いることができる。
フィルタ機構は、ブリッジIDがappIDを探していることを示す。TAがappIDに対してポストされると、実施形態は、待機しているブリッジのうちのいずれかに通知しTAをそのブリッジに送る。フィルタはモードも含むので、フィルタの例は、appID:modeであってもよい。モードは非同期または同期の可能性がある。bridgeId:modeも、フィルタの一部であってもよく、なぜなら、ブリッジ固有のいくつかのTAが持ち出されるからである。したがって、同期タイプのTAのみが持ち出された場合、同期TAリスナはキャッシュから取り除かれ、同期TAのみがブリッジに送られ、ATAキャッシュリスナはそのままとなるであろう。
実施形態において、この通知はラウンドロビン方式ではない。代わりに、待機ブリッジの選択は、その時点でTA(同期または非同期のいずれか)を偶然リッスンしているどのブリッジも選択できるという意味において、ランダムである。この選択は、ポーリングしているブリッジのみに限定される。ブリッジは、前の認証要求を完了するまではポーリングしない。その後ブリッジは別の認証要求に対してポーリングする。具体的には、ブリッジは、同期TA(STA)および非同期TA(ATA)に対してポーリングし、ブリッジは、サーバでSTAまたはATAを獲得すると、このSTAまたはATAを収集しブリッジ側で処理するためのSTAおよびATAは残し、10ms(またはその他の予め定められた数値)で、別のSTAまたはATAに対してポーリングする(すなわち要求をサーバに送る)。TAは、appIDをリッスンしている(すなわちポーリングしている)どのブリッジにも行くことができる。2つ以上のブリッジが利用できる/ポーリングしている場合、実施形態は、最初の利用できるブリッジを(すなわちリスニングを開始した最初のブリッジを、またはランダムに)選ぶことができる。したがって、2つ以上のブリッジが利用できる場合、実施形態はランダムロードバランシングを実現できる。複数のブリッジの場合、TA通知はブリッジから独立したものであり専らappID固有のものである。
以下の疑似コードの例は、実施形態に従い、高可用性のために複数のブリッジを用いて委任認証機能を実現する。
以下の、追加の疑似コードの例は、実施形態に従い、高可用性のために複数のブリッジを用いて委任認証機能を実現する。
開示されているように、アクティブディレクトリドメインに接続する1つのウィンドウサービス内に1つのADブリッジコンポーネントのみがある場合、これは、アーキテクチャにおける単一の故障点を表す可能性がある。これを回避するために、実施形態は、同一のアクティブディレクトリドメインにマッピングされる複数のADブリッジインスタンスのインストールをサポートする。
実施形態において、アドミニストレータが1ドメイン当たりインストールできるADブリッジの最大数は5を超えない。加えて、アドミニストレータが1テナント当たり構成できるドメインの最大数は10を超えてはならない。しかしながら、これらの数値はその他の実施形態では異なる可能性がある。
1ドメイン当たり少なくとも2つのADブリッジの高可用性デプロイメントにより、委任認証およびデータ同期の負荷をすべてのADブリッジで負担することができる。ブリッジに対する要求の割当は、この特定のブリッジの可用性に応じて、完全にランダムである。1つの委任認証要求が1つのADブリッジによって選ばれる。ADブリッジは、委任認証を選ぶことができ、完全もしくは増分同期も選ぶことができる。どちらのブリッジも、データ同期および委任認証を同時に実行する能力を有する。しかしながら、実施形態においてドメインのデータ同期を実行できるのは1度につき1つのブリッジのみである。
本明細書ではいくつかの実施形態が具体的に例示および/または記載されている。しかしながら、開示されている実施形態の修正および変形は、本発明の精神および意図する範囲から逸脱することなく、上記教示によってカバーされ以下の請求項の範囲に含まれることが、理解されるであろう。
Claims (20)
- マルチテナントクラウドシステムを動作させる方法であって、前記方法は、
ユーザに対する認証アクションを求める要求を受けるステップと、
認証ターゲットアクションを作成するステップと、
前記認証ターゲットアクションに応答したターゲットアクションレスポンスをリッスンするためにフィルタを含むキャッシュのキャッシュリスナを登録するステップとを含み、前記フィルタは、オンプレミスアクティブディレクトリに割り当てられた複数のブリッジのリストを示し、
前記複数のブリッジのうちの1つのブリッジをランダムに選択し、前記選択したブリッジを介して前記認証ターゲットアクションを前記アクティブディレクトリに送るステップと、
キャッシュコールバックを待つステップと、
前記キャッシュコールバックにおいて、前記認証アクションの結果を含むターゲットアクションレスポンスを受けるステップとを含む、方法。 - 前記複数のブリッジのうちの各々は、アプリケーション識別子とその対応するブリッジ識別子とを含むポーリング要求を与える、請求項1に記載の方法。
- 前記フィルタは、対応するデータのセットを前記キャッシュから返すクエリ動作を含む、請求項1に記載の方法。
- 前記認証アクションを求める要求は、前記マルチテナントクラウドシステムで受ける、請求項1に記載の方法。
- 前記認証アクションの結果は、前記オンプレミスアクティブディレクトリから受ける、請求項4に記載の方法。
- 前記キャッシュコールバックを待つ間に、前記認証アクションに対して作成されたスレッドについてポーリングするステップをさらに含み、
前記ポーリングは、前記キャッシュコールバックまたはタイムアウトまで続く、請求項1に記載の方法。 - 前記キャッシュリスナはインメモリ分散型データグリッドにより実現される、請求項1に記載の方法。
- 前記認証アクションは、パスワードを変更することを含む非同期アクションである、請求項1に記載の方法。
- 前記マルチテナントクラウドシステムは、ファイアウォールを介して前記オンプレミスアクティブディレクトリにアクセスする、請求項1に記載の方法。
- 複数のプロセッサのうちの少なくとも1つのプロセッサによって実行されると前記プロセッサにマルチテナントクラウドシステムを動作させる命令を格納するコンピュータ読取可能媒体であって、前記動作は、
ユーザに対する認証アクションを求める要求を受けることと、
認証ターゲットアクションを作成することと、
前記認証ターゲットアクションに応答したターゲットアクションレスポンスをリッスンするためにフィルタを含むキャッシュのキャッシュリスナを登録することとを含み、前記フィルタは、オンプレミスアクティブディレクトリに割り当てられた複数のブリッジのリストを示し、
前記複数のブリッジのうちの1つのブリッジをランダムに選択し、前記選択したブリッジを介して前記認証ターゲットアクションを前記アクティブディレクトリに送ることと、
キャッシュコールバックを待つことと、
前記キャッシュコールバックにおいて、前記認証アクションの結果を含むターゲットアクションレスポンスを受けることとを含む、コンピュータ読取可能媒体。 - 前記複数のブリッジのうちの各々は、アプリケーション識別子とその対応するブリッジ識別子とを含むポーリング要求を与える、請求項10に記載のコンピュータ読取可能媒体。
- 前記フィルタは、対応するデータのセットを前記キャッシュから返すクエリ動作を含む、請求項10に記載のコンピュータ読取可能媒体。
- 前記認証アクションを求める要求は、前記マルチテナントクラウドシステムで受ける、請求項10に記載のコンピュータ読取可能媒体。
- 前記認証アクションの結果は、前記オンプレミスアクティブディレクトリから受ける、請求項13に記載のコンピュータ読取可能媒体。
- 前記キャッシュコールバックを待つ間に、前記認証アクションに対して作成されたスレッドについてポーリングすることをさらに含み、
前記ポーリングは、前記キャッシュコールバックまたはタイムアウトまで続く、請求項10に記載のコンピュータ読取可能媒体。 - 前記キャッシュリスナはインメモリ分散型データグリッドにより実現される、請求項10に記載のコンピュータ読取可能媒体。
- 前記認証アクションは、パスワードを変更することを含む非同期アクションである、請求項10に記載のコンピュータ読取可能媒体。
- 前記マルチテナントクラウドシステムは、ファイアウォールを介して前記オンプレミスアクティブディレクトリにアクセスする、請求項10に記載のコンピュータ読取可能媒体。
- 複数のユーザアカウントのためのマルチテナントクラウドシステムであって、前記システムは、
ユーザから認証アクションを受けるクライアントシステムと通信する1つ以上のプロセッサを備え、前記プロセッサは、
認証ターゲットアクションを作成し、
前記認証ターゲットアクションに応答したターゲットアクションレスポンスをリッスンするためにフィルタを含むキャッシュのキャッシュリスナを登録し、前記フィルタは、オンプレミスアクティブディレクトリに割り当てられた複数のブリッジのリストを示し、
前記複数のブリッジのうちの1つのブリッジをランダムに選択し、前記選択したブリッジを介して前記認証ターゲットアクションを前記アクティブディレクトリに送り、
キャッシュコールバックを待ち、
前記キャッシュコールバックにおいて、前記認証アクションの結果を含むターゲットアクションレスポンスを受ける、マルチテナントクラウドシステム。 - 前記複数のブリッジのうちの各々は、アプリケーション識別子とその対応するブリッジ識別子とを含むポーリング要求を与える、請求項19に記載のシステム。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201962899888P | 2019-09-13 | 2019-09-13 | |
US62/899,888 | 2019-09-13 | ||
IN201941037066 | 2019-09-14 | ||
IN201941037066 | 2019-09-14 | ||
US16/876,572 US11687378B2 (en) | 2019-09-13 | 2020-05-18 | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
US16/876,572 | 2020-05-18 | ||
PCT/US2020/048682 WO2021050306A1 (en) | 2019-09-13 | 2020-08-31 | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022547360A true JP2022547360A (ja) | 2022-11-14 |
JPWO2021050306A5 JPWO2021050306A5 (ja) | 2023-08-25 |
Family
ID=72473997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021500254A Pending JP2022547360A (ja) | 2019-09-13 | 2020-08-31 | オンプレミス認証が統合されたブリッジ可用性が高いマルチテナントアイデンティティクラウドサービス |
Country Status (5)
Country | Link |
---|---|
US (1) | US11687378B2 (ja) |
EP (1) | EP4029222A1 (ja) |
JP (1) | JP2022547360A (ja) |
CN (1) | CN112913208B (ja) |
WO (1) | WO2021050306A1 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11593375B2 (en) | 2020-01-15 | 2023-02-28 | Sigma Computing, Inc. | Dashboard loading from a cloud-based data warehouse cache |
US11860873B2 (en) | 2020-01-15 | 2024-01-02 | Sigma Computing, Inc. | Dashboard loading using a filtering query from a cloud-based data warehouse cache |
US20220046004A1 (en) * | 2020-08-05 | 2022-02-10 | Jpmorgan Chase Bank, N.A. | Method for provision of access grant |
US20220294788A1 (en) * | 2021-03-09 | 2022-09-15 | Oracle International Corporation | Customizing authentication and handling pre and post authentication in identity cloud service |
US11803485B2 (en) * | 2021-03-11 | 2023-10-31 | International Business Machines Corporation | Microservice system with global context cache |
US11853100B2 (en) * | 2021-04-12 | 2023-12-26 | EMC IP Holding Company LLC | Automated delivery of cloud native application updates using one or more user-connection gateways |
US20220366479A1 (en) * | 2021-05-17 | 2022-11-17 | Salesforce.Com, Inc. | Generic framework for using assignment and context data constructs to provide a customized experience |
US12010125B2 (en) * | 2021-06-29 | 2024-06-11 | Microsoft Technology Licensing, Llc | Anomaly detection in an application with delegate authorization |
US20230083547A1 (en) * | 2021-09-01 | 2023-03-16 | OneLogin, Inc. | Data conversion and synchronization |
US12014211B2 (en) * | 2021-09-17 | 2024-06-18 | Salesforce, Inc. | Techniques for cross platform communication process flow management |
US11876613B2 (en) | 2021-10-29 | 2024-01-16 | Oracle International Corporation | Home region switch |
US20230224304A1 (en) * | 2022-01-12 | 2023-07-13 | Vmware Inc. | Resource access control in cloud environments |
US11943316B1 (en) * | 2022-12-02 | 2024-03-26 | Amazon Technologies, Inc. | Database connection multiplexing for prepared statements |
CN117234656B (zh) * | 2023-11-15 | 2024-02-20 | 苏州元脑智能科技有限公司 | 一种应用可视化显示的方法、系统、设备及存储介质 |
Family Cites Families (455)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5550971A (en) | 1993-06-30 | 1996-08-27 | U S West Technologies, Inc. | Method and system for generating a user interface adaptable to various database management systems |
US6353834B1 (en) | 1996-11-14 | 2002-03-05 | Mitsubishi Electric Research Laboratories, Inc. | Log based data architecture for a transactional message queuing system |
US7366900B2 (en) | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
US6097382A (en) | 1998-05-12 | 2000-08-01 | Silverstream Software, Inc. | Method and apparatus for building an application interface |
US6266058B1 (en) | 1998-09-08 | 2001-07-24 | Hewlett Packard Company | Apparatus and method for linking browser bars with active documents for a browser |
US6606663B1 (en) | 1998-09-29 | 2003-08-12 | Openwave Systems Inc. | Method and apparatus for caching credentials in proxy servers for wireless user agents |
US7116310B1 (en) | 1999-04-06 | 2006-10-03 | Microsoft Corporation | Application programming interface that maps input device controls to software actions |
US6631497B1 (en) | 1999-07-19 | 2003-10-07 | International Business Machines Corporation | Binding data from data source to cells in a spreadsheet |
US8032634B1 (en) | 1999-08-23 | 2011-10-04 | Oracle America, Inc. | Approach for allocating resources to an apparatus based on resource requirements |
US6578068B1 (en) | 1999-08-31 | 2003-06-10 | Accenture Llp | Load balancer in environment services patterns |
US7424543B2 (en) | 1999-09-08 | 2008-09-09 | Rice Iii James L | System and method of permissive data flow and application transfer |
US7111307B1 (en) | 1999-11-23 | 2006-09-19 | Microsoft Corporation | Method and system for monitoring and verifying software drivers using system resources including memory allocation and access |
AU2374401A (en) | 1999-12-03 | 2001-06-12 | First Hop Oy | A method and a system for obtaining services using a cellular telecommunication system |
GB2364139B (en) | 1999-12-22 | 2004-05-26 | Ibm | A security mechanism providing access control for locally-held data |
US20060173873A1 (en) | 2000-03-03 | 2006-08-03 | Michel Prompt | System and method for providing access to databases via directories and other hierarchical structures and interfaces |
US6631519B1 (en) | 2000-03-30 | 2003-10-07 | Microsoft Corporation | Automated schema and interface generation |
US6990653B1 (en) | 2000-05-18 | 2006-01-24 | Microsoft Corporation | Server-side code generation from a dynamic web page content file |
US6880086B2 (en) | 2000-05-20 | 2005-04-12 | Ciena Corporation | Signatures for facilitating hot upgrades of modular software components |
US7028301B2 (en) | 2000-12-08 | 2006-04-11 | Bmc Software, Inc. | System and method for automatic workload characterization |
EP1381928B1 (en) | 2001-01-10 | 2008-12-31 | Cisco Technology, Inc. | Computer security and management system |
US7917888B2 (en) | 2001-01-22 | 2011-03-29 | Symbol Technologies, Inc. | System and method for building multi-modal and multi-channel applications |
US7203678B1 (en) | 2001-03-27 | 2007-04-10 | Bea Systems, Inc. | Reconfigurable query generation system for web browsers |
US7546576B2 (en) | 2001-06-15 | 2009-06-09 | Lightsurf Technology, Inc. | Software framework for web-based applications |
US7546602B2 (en) | 2001-07-10 | 2009-06-09 | Microsoft Corporation | Application program interface for network software platform |
US20030028583A1 (en) | 2001-07-31 | 2003-02-06 | International Business Machines Corporation | Method and apparatus for providing dynamic workload transition during workload simulation on e-business application server |
US7428725B2 (en) | 2001-11-20 | 2008-09-23 | Microsoft Corporation | Inserting devices specific content |
US7313816B2 (en) | 2001-12-17 | 2007-12-25 | One Touch Systems, Inc. | Method and system for authenticating a user in a web-based environment |
US6978305B1 (en) | 2001-12-19 | 2005-12-20 | Oracle International Corp. | Method and apparatus to facilitate access and propagation of messages in communication queues using a public network |
US7062502B1 (en) | 2001-12-28 | 2006-06-13 | Kesler John N | Automated generation of dynamic data entry user interface for relational database management systems |
US20030149717A1 (en) | 2002-02-05 | 2003-08-07 | William Heinzman | Batch processing job streams using and/or precedence logic |
US7222148B2 (en) | 2002-05-02 | 2007-05-22 | Bea Systems, Inc. | System and method for providing highly available processing of asynchronous service requests |
US9521207B2 (en) | 2002-05-09 | 2016-12-13 | Protel Communications Limited | Unified integration management—contact center portal |
US7395355B2 (en) | 2002-07-11 | 2008-07-01 | Akamai Technologies, Inc. | Method for caching and delivery of compressed content in a content delivery network |
WO2004019160A2 (en) | 2002-08-23 | 2004-03-04 | Jway Group, Inc. | Extensible user interface (xui) framework and development environment |
US7487248B2 (en) | 2002-10-08 | 2009-02-03 | Brian Moran | Method and system for transferring a computer session between devices |
US20040070605A1 (en) | 2002-10-11 | 2004-04-15 | Chien-Chung Huang | Method and system for customizing personal page |
US7707406B2 (en) | 2002-11-08 | 2010-04-27 | General Instrument Corporation | Certificate renewal in a certificate authority infrastructure |
US20040128546A1 (en) | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for attribute exchange in a heterogeneous federated environment |
US7610575B2 (en) | 2003-01-08 | 2009-10-27 | Consona Crm Inc. | System and method for the composition, generation, integration and execution of business processes over a network |
US7703128B2 (en) | 2003-02-13 | 2010-04-20 | Microsoft Corporation | Digital identity management |
US7577934B2 (en) | 2003-03-12 | 2009-08-18 | Microsoft Corporation | Framework for modeling and providing runtime behavior for business software applications |
US7337434B2 (en) | 2003-04-29 | 2008-02-26 | Sony Ericsson Mobile Communications Ab | Off-device class/resource loading methods, systems and computer program products for debugging a Java application in a Java micro device |
US20040250257A1 (en) | 2003-06-04 | 2004-12-09 | Oleg Koutyrine | System and method for generator state object validation |
JP2006527543A (ja) | 2003-06-06 | 2006-11-30 | インテラムダ・システムズ・インコーポレーテッド | 光ネットワーク・トポロジ・データベースおよび光ネットワーク・オペレーション |
US20070112574A1 (en) | 2003-08-05 | 2007-05-17 | Greene William S | System and method for use of mobile policy agents and local services, within a geographically distributed service grid, to provide greater security via local intelligence and life-cycle management for RFlD tagged items |
US7587667B2 (en) | 2003-09-04 | 2009-09-08 | Oracle International Corporation | Techniques for streaming validation-based XML processing directions |
US7430732B2 (en) | 2003-10-23 | 2008-09-30 | Microsoft Corporation | Design of application programming interfaces (APIs) |
WO2005045671A1 (en) | 2003-10-27 | 2005-05-19 | American Power Conversion Corporation | System and method for updating a software program |
CN100437551C (zh) | 2003-10-28 | 2008-11-26 | 联想(新加坡)私人有限公司 | 使多个用户设备自动登录的方法和设备 |
JP4603256B2 (ja) | 2003-12-01 | 2010-12-22 | 日本電気株式会社 | ユーザ認証システム |
US7529825B1 (en) | 2003-12-02 | 2009-05-05 | Cisco Technology, Inc. | Server-side XML-based development environment for network device management applications |
US7647256B2 (en) | 2004-01-29 | 2010-01-12 | Novell, Inc. | Techniques for establishing and managing a distributed credential store |
US20050172261A1 (en) | 2004-01-30 | 2005-08-04 | Yuknewicz Paul J. | Architecture for creating a user interface using a data schema |
US7676785B2 (en) | 2004-02-13 | 2010-03-09 | Microsoft Corporation | Hosted application as a designer in an integrated development environment |
US7720864B1 (en) | 2004-03-25 | 2010-05-18 | Symantec Operating Corporation | Expiration of access tokens for quiescing a distributed system |
US7650594B2 (en) | 2004-05-27 | 2010-01-19 | National Instruments Corporation | Graphical program analyzer with framework for adding user-defined tests |
US8607322B2 (en) | 2004-07-21 | 2013-12-10 | International Business Machines Corporation | Method and system for federated provisioning |
US7925729B2 (en) | 2004-12-07 | 2011-04-12 | Cisco Technology, Inc. | Network management |
US7757207B2 (en) | 2004-08-20 | 2010-07-13 | Microsoft Corporation | Form skin and design time WYSIWYG for .net compact framework |
WO2006031723A2 (en) | 2004-09-13 | 2006-03-23 | Coretrace Corporation | Method and system for license management |
US7562358B2 (en) | 2004-10-04 | 2009-07-14 | United Parcel Service Of America, Inc. | Controlled deployment of software in a web-based architecture |
US7926027B2 (en) | 2004-10-19 | 2011-04-12 | Microsoft Corporation | Binding to business objects and web services |
US8458467B2 (en) | 2005-06-21 | 2013-06-04 | Cisco Technology, Inc. | Method and apparatus for adaptive application message payload content transformation in a network infrastructure element |
US8732182B2 (en) | 2004-12-02 | 2014-05-20 | Desktopsites Inc. | System and method for launching a resource in a network |
US7886294B2 (en) | 2004-12-28 | 2011-02-08 | Sap Ag | Virtual machine monitoring |
JP4540495B2 (ja) | 2005-02-07 | 2010-09-08 | 富士通株式会社 | データ処理装置、データ処理方法、データ処理プログラム、および記録媒体 |
US20060185004A1 (en) | 2005-02-11 | 2006-08-17 | Samsung Electronics Co., Ltd. | Method and system for single sign-on in a network |
US8972929B2 (en) | 2005-03-31 | 2015-03-03 | International Business Machines Corporation | Generic user input for GUI framework |
US8543943B2 (en) | 2005-04-07 | 2013-09-24 | Sap Ag | Methods and systems for entering object assignments |
US7685430B1 (en) | 2005-06-17 | 2010-03-23 | Sun Microsystems, Inc. | Initial password security accentuated by triple encryption and hashed cache table management on the hosted site's server |
US7464297B2 (en) | 2005-06-23 | 2008-12-09 | Microsoft Corporation | System and method for testing software using data-driven test variations |
GB0514377D0 (en) | 2005-07-13 | 2005-08-17 | Kemshall Andrew | Password automation |
US8554846B2 (en) | 2005-09-27 | 2013-10-08 | Oracle International Corporation | System and method for providing a messaging kernel |
US7562087B2 (en) | 2005-09-30 | 2009-07-14 | Computer Associates Think, Inc. | Method and system for processing directory operations |
US9521584B2 (en) | 2005-10-17 | 2016-12-13 | Qualcomm Incorporated | Method and apparatus for managing data flow through a mesh network |
US7849447B1 (en) | 2005-11-21 | 2010-12-07 | Verizon Laboratories Inc. | Application testing and evaluation |
US7779383B2 (en) | 2005-12-01 | 2010-08-17 | Sap Ag | Composition model and composition validation algorithm for ubiquitous computing applications |
US7735068B2 (en) | 2005-12-01 | 2010-06-08 | Infosys Technologies Ltd. | Automated relationship traceability between software design artifacts |
US7707553B2 (en) | 2005-12-08 | 2010-04-27 | International Business Machines Corporation | Computer method and system for automatically creating tests for checking software |
US7730427B2 (en) | 2005-12-29 | 2010-06-01 | Sap Ag | Desktop management scheme |
US20070174290A1 (en) | 2006-01-19 | 2007-07-26 | International Business Machines Corporation | System and architecture for enterprise-scale, parallel data mining |
US8578282B2 (en) | 2006-03-15 | 2013-11-05 | Navisense | Visual toolkit for a virtual user interface |
US20070219956A1 (en) | 2006-03-16 | 2007-09-20 | Milton Michael L | Excel spreadsheet parsing to share cells, formulas, tables, etc. |
US7757177B1 (en) | 2006-03-21 | 2010-07-13 | Oracle America, Inc. | Virtual forms |
US7802245B2 (en) | 2006-04-27 | 2010-09-21 | Agere Systems Inc. | Methods and apparatus for performing in-service upgrade of software in network processor |
US7577909B2 (en) | 2006-05-16 | 2009-08-18 | Microsoft Corporation | Flexible management user interface from management models |
US8364968B2 (en) | 2006-05-19 | 2013-01-29 | Symantec Corporation | Dynamic web services systems and method for use of personal trusted devices and identity tokens |
JP2008027043A (ja) | 2006-07-19 | 2008-02-07 | Gaiax Co Ltd | ウェブサイト管理システム、ウェブサイト管理方法、ウェブサイト管理プログラムおよび該プログラムを記録した記録媒体 |
US20080250388A1 (en) | 2006-09-22 | 2008-10-09 | Bea Systems, Inc. | Pagelets in adaptive tags |
US8645973B2 (en) | 2006-09-22 | 2014-02-04 | Oracle International Corporation | Mobile applications |
US9183321B2 (en) | 2006-10-16 | 2015-11-10 | Oracle International Corporation | Managing compound XML documents in a repository |
US20080256026A1 (en) | 2006-10-17 | 2008-10-16 | Michael Glen Hays | Method For Optimizing And Executing A Query Using Ontological Metadata |
CN101166173B (zh) | 2006-10-20 | 2012-03-28 | 北京直真节点技术开发有限公司 | 一种单点登录系统、装置及方法 |
US8000530B2 (en) | 2006-10-26 | 2011-08-16 | Hubin Jiang | Computer-implemented expert system-based method and system for document recognition and content understanding |
US8943309B1 (en) | 2006-12-12 | 2015-01-27 | Google Inc. | Cookie security system with interloper detection and remedial actions to protest personal data |
JP4892011B2 (ja) | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
US8930555B2 (en) | 2007-03-08 | 2015-01-06 | Microsoft Corporation | Extending functionality of web-based applications |
US8099766B1 (en) | 2007-03-26 | 2012-01-17 | Netapp, Inc. | Credential caching for clustered storage systems |
US7934191B2 (en) | 2007-04-10 | 2011-04-26 | Sap Portals IL | Method and modules for generating client-server applications |
US7752370B2 (en) | 2007-04-12 | 2010-07-06 | International Business Machines Corporation | Splitting one hardware interrupt to multiple handlers |
US8739131B2 (en) | 2007-05-04 | 2014-05-27 | International Business Machines Corporation | Completing functional testing |
CA2685892A1 (en) | 2007-05-08 | 2008-11-13 | Research In Motion Limited | Xml push and remote execution of a wireless applications |
US7870267B2 (en) | 2007-05-16 | 2011-01-11 | International Business Machines Corporation | Creating global sessions across converged protocol applications |
US20080301685A1 (en) | 2007-05-31 | 2008-12-04 | Novell, Inc. | Identity-aware scheduler service |
US8037135B2 (en) | 2007-06-29 | 2011-10-11 | Microsoft Corporation | Automatic distributed downloading |
US8230455B2 (en) | 2007-07-11 | 2012-07-24 | International Business Machines Corporation | Method and system for enforcing password policy for an external bind operation in a distributed directory |
US8417728B1 (en) | 2007-08-03 | 2013-04-09 | Adobe Systems Incorporated | User interfaces, methods, and systems for developing computer applications using artwork |
US20090064001A1 (en) | 2007-08-30 | 2009-03-05 | Nicole Summers Robbins | Personalizing Default Settings on a GUI |
US9268849B2 (en) | 2007-09-07 | 2016-02-23 | Alexander Siedlecki | Apparatus and methods for web marketing tools for digital archives—web portal advertising arts |
CN101399813B (zh) | 2007-09-24 | 2011-08-17 | 中国移动通信集团公司 | 身份联合方法 |
US7756038B2 (en) | 2007-09-27 | 2010-07-13 | Cisco Technology, Inc. | Service advertisement framework (SAF) in a communications network |
KR100953092B1 (ko) | 2007-11-06 | 2010-04-19 | 한국전자통신연구원 | Sso서비스 방법 및 시스템 |
US8539097B2 (en) | 2007-11-14 | 2013-09-17 | Oracle International Corporation | Intelligent message processing |
US9886524B1 (en) | 2007-11-28 | 2018-02-06 | Sterling Infosystems, Inc. | System and method for providing a report of generally available information |
US8825758B2 (en) | 2007-12-14 | 2014-09-02 | Microsoft Corporation | Collaborative authoring modes |
US8621561B2 (en) | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
US11366676B2 (en) | 2008-01-14 | 2022-06-21 | Oracle International Corporation | Embedded user assistance for software applications |
CN104123239B (zh) * | 2008-01-31 | 2017-07-21 | 甲骨文国际公司 | 用于事务缓存的系统和方法 |
JP5192055B2 (ja) | 2008-03-04 | 2013-05-08 | コードエスイー カンパニー リミテッド | 3次元応用プログラムフレームワーク構造及びこれを基盤とするアプリケーション具現方法、並びに3次元応用ソフトウェアフレームワーク基盤の自動テストシステム及びその方法 |
CA2725956A1 (en) | 2008-06-06 | 2009-12-10 | Sapient Corporation | Systems and methods for visual test authoring and automation |
US8452567B1 (en) | 2008-06-06 | 2013-05-28 | Keithley Instruments, Inc. | Test recipe distribution method and system |
US9069599B2 (en) | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
US8166387B2 (en) | 2008-06-20 | 2012-04-24 | Microsoft Corporation | DataGrid user interface control with row details |
US8769553B2 (en) | 2008-07-18 | 2014-07-01 | Sybase, Inc. | Deploy anywhere framework for heterogeneous mobile application development |
US8209403B2 (en) | 2008-08-18 | 2012-06-26 | F5 Networks, Inc. | Upgrading network traffic management devices while maintaining availability |
US8417723B1 (en) | 2008-09-12 | 2013-04-09 | Salesforce.Com, Inc. | System, method and computer program product for enabling access to a resource of a multi-tenant on-demand database service utilizing a token |
US8959000B2 (en) | 2008-09-16 | 2015-02-17 | Verizon Patent And Licensing Inc. | Integrated testing systems and methods |
US8200958B2 (en) | 2008-10-03 | 2012-06-12 | Limelight Networks, Inc. | Content delivery network encryption |
US8266684B2 (en) | 2008-09-30 | 2012-09-11 | General Instrument Corporation | Tokenized resource access |
US8353026B2 (en) | 2008-10-23 | 2013-01-08 | Dell Products L.P. | Credential security system |
US8856512B2 (en) | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
US8245037B1 (en) | 2009-02-17 | 2012-08-14 | Amazon Technologies, Inc. | Encryption key management |
US20100251352A1 (en) | 2009-03-24 | 2010-09-30 | Snap-On Incorporated | System and method for rendering a set of program instructions as executable or non-executable |
US8418150B2 (en) | 2009-04-03 | 2013-04-09 | Oracle International Corporation | Estimating impact of configuration changes |
US8578076B2 (en) | 2009-05-01 | 2013-11-05 | Citrix Systems, Inc. | Systems and methods for establishing a cloud bridge between virtual storage resources |
US20100281475A1 (en) | 2009-05-04 | 2010-11-04 | Mobile On Services, Inc. | System and method for mobile smartphone application development and delivery |
US20100286992A1 (en) | 2009-05-08 | 2010-11-11 | Microsoft Corporation | Integration of Third-Party Business Applications with Hosted Multi-Tenant Business Software System |
US8307347B2 (en) | 2009-05-18 | 2012-11-06 | National Instruments Corporation | Collecting and analyzing graphical data flow web application results from multiple users |
US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
US8863111B2 (en) | 2009-06-26 | 2014-10-14 | Oracle International Corporation | System and method for providing a production upgrade of components within a multiprotocol gateway |
US8612439B2 (en) | 2009-06-30 | 2013-12-17 | Commvault Systems, Inc. | Performing data storage operations in a cloud storage environment, including searching, encryption and indexing |
US20110010394A1 (en) | 2009-07-08 | 2011-01-13 | International Business Machines Corporation | Client-specific data customization for shared databases |
WO2011023456A2 (en) | 2009-08-27 | 2011-03-03 | International Business Machines Corporation | A method and system for establishing and maintaining an improved single sign-on (sso) facility |
KR101012872B1 (ko) | 2009-09-16 | 2011-02-08 | 주식회사 팬택 | 플랫폼 보안 장치 및 방법 |
US9003387B2 (en) | 2009-09-25 | 2015-04-07 | Fisher-Rosemount Systems, Inc. | Automated deployment of computer-specific software updates |
US8312367B2 (en) | 2009-10-30 | 2012-11-13 | Synopsys, Inc. | Technique for dynamically sizing columns in a table |
KR20120115233A (ko) | 2009-11-13 | 2012-10-17 | 아브 이니티오 테크놀로지 엘엘시 | 레코드 포맷 정보의 관리 |
US8683196B2 (en) | 2009-11-24 | 2014-03-25 | Red Hat, Inc. | Token renewal |
US9129052B2 (en) | 2009-12-03 | 2015-09-08 | International Business Machines Corporation | Metering resource usage in a cloud computing environment |
US8473951B2 (en) | 2009-12-30 | 2013-06-25 | Bmc Software, Inc. | Method and system for traversing in reverse chronological order along a critical path of a plurality of jobs, and reducing time gaps between jobs until an estimated end time of the last job is less than or equal to a target end time |
US9805322B2 (en) | 2010-06-24 | 2017-10-31 | Bmc Software, Inc. | Application blueprint and deployment model for dynamic business service management (BSM) |
CN102473097B (zh) | 2010-01-13 | 2015-06-17 | 塔塔咨询服务有限公司 | 利用模型驱动技术开发可配置可扩展的业务应用产品线的高效计算系统 |
US8627309B2 (en) | 2010-02-25 | 2014-01-07 | Microsoft Corporation | Automated deployment and servicing of distributed applications |
CN102170457A (zh) | 2010-02-26 | 2011-08-31 | 国际商业机器公司 | 向应用的多租户提供服务的方法和装置 |
US8655859B2 (en) | 2010-03-01 | 2014-02-18 | International Business Machines Corporation | Concurrency control for extraction, transform, load processes |
US8464063B2 (en) | 2010-03-10 | 2013-06-11 | Avaya Inc. | Trusted group of a plurality of devices with single sign on, secure authentication |
US8873401B2 (en) | 2010-03-16 | 2014-10-28 | Futurewei Technologies, Inc. | Service prioritization in link state controlled layer two networks |
JP2011198109A (ja) | 2010-03-19 | 2011-10-06 | Hitachi Ltd | Id管理方法、id管理システム、およびid管理プログラム |
US8631390B2 (en) | 2010-04-02 | 2014-01-14 | Apple Inc. | Archiving a build product |
US9448790B2 (en) | 2010-04-26 | 2016-09-20 | Pivotal Software, Inc. | Rapid updating of cloud applications |
US8977693B2 (en) | 2010-04-27 | 2015-03-10 | Mindware, Inc. | Browser based application development framework |
US8209491B2 (en) | 2010-04-27 | 2012-06-26 | Symantec Corporation | Techniques for directory server integration |
US8386471B2 (en) | 2010-05-27 | 2013-02-26 | Salesforce.Com, Inc. | Optimizing queries in a multi-tenant database system environment |
US20110302516A1 (en) | 2010-06-02 | 2011-12-08 | Oracle International Corporation | Mobile design patterns |
US8462955B2 (en) | 2010-06-03 | 2013-06-11 | Microsoft Corporation | Key protectors based on online keys |
WO2011159842A2 (en) | 2010-06-15 | 2011-12-22 | Nimbula, Inc. | Virtual computing infrastructure |
CA2743949A1 (en) | 2010-06-22 | 2011-12-22 | Iwatchlife | System and method of local resource delivery |
US9160710B2 (en) | 2010-06-25 | 2015-10-13 | Salesforce.Com, Inc. | Methods and systems for context-based application firewalls |
EP2589004A1 (en) | 2010-06-30 | 2013-05-08 | Telefonaktiebolaget LM Ericsson (publ) | Method for selectively distributing information in a computer or communication network, and physical entities therefor |
US9560036B2 (en) | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
US9183374B2 (en) | 2010-07-15 | 2015-11-10 | Novell, Inc. | Techniques for identity-enabled interface deployment |
US11386510B2 (en) | 2010-08-05 | 2022-07-12 | Thomson Reuters Enterprise Centre Gmbh | Method and system for integrating web-based systems with local document processing applications |
US20140310243A1 (en) | 2010-08-16 | 2014-10-16 | Mr. Steven James McGee | Heart beacon cycle |
US8812627B2 (en) | 2010-08-20 | 2014-08-19 | Adobe Systems Incorporated | System and method for installation and management of cloud-independent multi-tenant applications |
US20120090021A1 (en) | 2010-10-12 | 2012-04-12 | Ansca, Inc. | Platform Specific Application Building |
US8949939B2 (en) | 2010-10-13 | 2015-02-03 | Salesforce.Com, Inc. | Methods and systems for provisioning access to customer organization data in a multi-tenant system |
JP4892093B1 (ja) | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
WO2012071574A2 (en) | 2010-11-24 | 2012-05-31 | Visa International Service Association | Unified online content manager apparatuses, methods, and systems |
US20120144501A1 (en) | 2010-12-03 | 2012-06-07 | Salesforce.Com, Inc. | Regulating access to protected data resources using upgraded access tokens |
US20120151479A1 (en) | 2010-12-10 | 2012-06-14 | Salesforce.Com, Inc. | Horizontal splitting of tasks within a homogenous pool of virtual machines |
US9699168B2 (en) | 2010-12-13 | 2017-07-04 | International Business Machines Corporation | Method and system for authenticating a rich client to a web or cloud application |
CN102567436B (zh) | 2010-12-22 | 2017-04-12 | 塔塔咨询服务有限公司 | 多租户系统 |
WO2012092399A2 (en) | 2010-12-29 | 2012-07-05 | Secureall Corporation | Cryptographic communication with mobile devices |
US9413750B2 (en) | 2011-02-11 | 2016-08-09 | Oracle International Corporation | Facilitating single sign-on (SSO) across multiple browser instance |
US20120215582A1 (en) | 2011-02-23 | 2012-08-23 | International Business Machines Corporation | Executing workflows based on service level agreements |
US9118657B1 (en) | 2011-03-15 | 2015-08-25 | Avior, Inc. | Extending secure single sign on to legacy applications |
US9047414B1 (en) | 2011-03-15 | 2015-06-02 | Symantec Corporation | Method and apparatus for generating automated test case scripts from natural language test cases |
US9268545B2 (en) | 2011-03-31 | 2016-02-23 | Intel Corporation | Connecting mobile devices, internet-connected hosts, and cloud services |
US9223632B2 (en) | 2011-05-20 | 2015-12-29 | Microsoft Technology Licensing, Llc | Cross-cloud management and troubleshooting |
US9037723B2 (en) | 2011-05-31 | 2015-05-19 | Red Hat, Inc. | Triggering workload movement based on policy stack having multiple selectable inputs |
US20120317172A1 (en) | 2011-06-13 | 2012-12-13 | International Business Machines Corporation | Mobile web app infrastructure |
US20120323553A1 (en) | 2011-06-16 | 2012-12-20 | Microsoft Corporation | Mobile Emulator Integration |
US8732665B2 (en) | 2011-06-28 | 2014-05-20 | Microsoft Corporation | Deploying environments for testing by providing instantaneous availability of prebuilt environments |
US8769622B2 (en) | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
US20130019015A1 (en) | 2011-07-12 | 2013-01-17 | International Business Machines Corporation | Application Resource Manager over a Cloud |
TWI476586B (zh) | 2011-07-13 | 2015-03-11 | Inst Information Industry | 以雲端技術為基礎之測試系統、方法以及其電腦可讀取記錄媒體 |
US8745641B1 (en) | 2011-07-14 | 2014-06-03 | Google Inc. | Automatic verification and anomaly detection in a representational state transfer (REST) application programming interface |
JP5744656B2 (ja) | 2011-07-15 | 2015-07-08 | キヤノン株式会社 | シングルサインオンを提供するシステムおよびその制御方法、サービス提供装置、中継装置、並びにプログラム |
US8898472B2 (en) | 2011-07-18 | 2014-11-25 | Echoworx Corporation | Mechanism and method for managing credentials on IOS based operating system |
US8984581B2 (en) | 2011-07-27 | 2015-03-17 | Seven Networks, Inc. | Monitoring mobile application activities for malicious traffic on a mobile device |
US8615528B2 (en) | 2011-07-28 | 2013-12-24 | International Business Machines Corporation | Cloud database sharing |
US9105046B1 (en) | 2011-08-05 | 2015-08-11 | Google Inc. | Constraining ad service based on app content |
US8612599B2 (en) | 2011-09-07 | 2013-12-17 | Accenture Global Services Limited | Cloud service monitoring system |
US9525900B2 (en) | 2011-09-15 | 2016-12-20 | Google Inc. | Video management system |
US9270459B2 (en) | 2011-09-20 | 2016-02-23 | Cloudbyte, Inc. | Techniques for achieving tenant data confidentiality from cloud service provider administrators |
US9043886B2 (en) | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
US9965614B2 (en) | 2011-09-29 | 2018-05-08 | Oracle International Corporation | Mobile application, resource management advice |
US9699170B2 (en) | 2011-09-29 | 2017-07-04 | Oracle International Corporation | Bundled authorization requests |
CN102315945A (zh) | 2011-10-20 | 2012-01-11 | 江苏三源教育实业有限公司 | 基于私有协议的统一身份认证方法 |
WO2013065165A1 (ja) | 2011-11-04 | 2013-05-10 | 株式会社メディアシーク | アプリケーションソフトウェアを生成するシステム |
WO2013071087A1 (en) | 2011-11-09 | 2013-05-16 | Unisys Corporation | Single sign on for cloud |
US9805054B2 (en) | 2011-11-14 | 2017-10-31 | Panzura, Inc. | Managing a global namespace for a distributed filesystem |
WO2013078269A1 (en) | 2011-11-22 | 2013-05-30 | Solano Labs, Inc. | System of distributed software quality improvement |
US9483491B2 (en) | 2011-11-29 | 2016-11-01 | Egnyte, Inc. | Flexible permission management framework for cloud attached file systems |
JP5875351B2 (ja) | 2011-12-01 | 2016-03-02 | キヤノン株式会社 | 情報処理システム、情報処理装置、認証方法、及びコンピュータプログラム |
US9413538B2 (en) | 2011-12-12 | 2016-08-09 | Microsoft Technology Licensing, Llc | Cryptographic certification of secure hosted execution environments |
US8799641B1 (en) | 2011-12-16 | 2014-08-05 | Amazon Technologies, Inc. | Secure proxying using network intermediaries |
US8824274B1 (en) | 2011-12-29 | 2014-09-02 | Juniper Networks, Inc. | Scheduled network layer programming within a multi-topology computer network |
US9286040B2 (en) | 2012-01-18 | 2016-03-15 | Mobilesmith, Inc. | Software builder |
US9164997B2 (en) | 2012-01-19 | 2015-10-20 | Microsoft Technology Licensing, Llc | Recognizing cloud content |
US8955065B2 (en) | 2012-02-01 | 2015-02-10 | Amazon Technologies, Inc. | Recovery of managed security credentials |
US20140053126A1 (en) | 2012-02-13 | 2014-02-20 | Mark A. Watson | Integrated mobile application development platform |
JP5773910B2 (ja) | 2012-02-29 | 2015-09-02 | 三菱電機株式会社 | アクセス制御装置及びアクセス制御方法及びプログラム |
US10067940B2 (en) | 2012-03-02 | 2018-09-04 | International Business Machines Corporation | Enhanced storage quota management for cloud computing systems |
WO2013134616A1 (en) | 2012-03-09 | 2013-09-12 | RAPsphere, Inc. | Method and apparatus for securing mobile applications |
CA2786095A1 (en) | 2012-03-26 | 2013-09-26 | Quickmobile Inc. | System and method for a user to dynamically update a mobile application from a generic or first application within a class of applications to create a specific or second application with said class of applications |
US8997038B2 (en) | 2012-03-30 | 2015-03-31 | Anypresence, Inc. | Systems and methods for building and deploying mobile applications |
WO2013172958A1 (en) | 2012-05-16 | 2013-11-21 | Spydrsafe Mobile Security, Inc. | Systems and methods for providing and managing distributed enclaves |
JP5978759B2 (ja) | 2012-05-21 | 2016-08-24 | 富士通株式会社 | サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム |
WO2013186070A1 (en) | 2012-06-12 | 2013-12-19 | Telefonica, S.A. | A method and a system for providing access to protected resources via an oauth protocol |
US8782632B1 (en) | 2012-06-18 | 2014-07-15 | Tellabs Operations, Inc. | Methods and apparatus for performing in-service software upgrade for a network device using system virtualization |
US8954732B1 (en) | 2012-06-27 | 2015-02-10 | Juniper Networks, Inc. | Authenticating third-party programs for platforms |
US20140007205A1 (en) | 2012-06-28 | 2014-01-02 | Bytemobile, Inc. | No-Click Log-In Access to User's Web Account Using a Mobile Device |
US9628493B2 (en) | 2012-07-03 | 2017-04-18 | Salesforce.Com, Inc. | Computer implemented methods and apparatus for managing permission sets and validating user assignments |
US9009463B2 (en) | 2012-07-09 | 2015-04-14 | Verizon Patent And Licensing Inc. | Secure delivery of trust credentials |
US8978114B1 (en) | 2012-07-15 | 2015-03-10 | Identropy, Inc. | Recommendation engine for unified identity management across internal and shared computing applications |
US8813028B2 (en) | 2012-07-19 | 2014-08-19 | Arshad Farooqi | Mobile application creation system |
US8983987B2 (en) | 2012-07-25 | 2015-03-17 | Cisco Technology, Inc. | System and method for a service metering framework in a network environment |
CN104246761A (zh) | 2012-07-31 | 2014-12-24 | 惠普发展公司,有限责任合伙企业 | 在联合数据管理系统中支持多租用 |
US8831957B2 (en) | 2012-08-01 | 2014-09-09 | Google Inc. | Speech recognition models based on location indicia |
US9223640B2 (en) | 2012-08-06 | 2015-12-29 | Alcatel Lucent | Strategy based event notification chain |
US9350536B2 (en) | 2012-08-16 | 2016-05-24 | Digicert, Inc. | Cloud key management system |
US20140053056A1 (en) | 2012-08-16 | 2014-02-20 | Qualcomm Incorporated | Pre-processing of scripts in web browsers |
US8949776B2 (en) | 2012-08-23 | 2015-02-03 | Sap Se | Gateway consumption framework |
US9311413B1 (en) | 2012-08-24 | 2016-04-12 | Symantec Corporation | Faceted application search |
EP2893683A1 (en) | 2012-09-07 | 2015-07-15 | Oracle International Corporation | Ldap-based multi-customer in-cloud identity management system |
US9621435B2 (en) | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
US9069979B2 (en) | 2012-09-07 | 2015-06-30 | Oracle International Corporation | LDAP-based multi-tenant in-cloud identity management system |
US9535862B2 (en) | 2012-09-07 | 2017-01-03 | Oracle International Corporation | System and method for supporting a scalable message bus in a distributed data grid cluster |
US10419524B2 (en) | 2012-09-07 | 2019-09-17 | Oracle International Corporation | System and method for workflow orchestration for use with a cloud computing environment |
US9038138B2 (en) | 2012-09-10 | 2015-05-19 | Adobe Systems Incorporated | Device token protocol for authorization and persistent authentication shared across applications |
US8959063B2 (en) | 2012-09-19 | 2015-02-17 | Sap Se | Managing incident reports |
US8769651B2 (en) | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
US9369456B2 (en) | 2012-09-21 | 2016-06-14 | Intuit Inc. | Single sign-on in multi-tenant environments |
US8938622B2 (en) | 2012-09-21 | 2015-01-20 | Sap Ag | Encryption in the cloud with customer controlled keys |
US9741000B2 (en) | 2012-09-28 | 2017-08-22 | Oracle International Corporation | Role-based framework and mechanisms for configuration of collaborative applications |
US8566414B2 (en) | 2012-10-12 | 2013-10-22 | Freedomone Mobile, Inc. | Systems and methods for subscription management in a multi-channel context aware communication environment |
EP2909715B1 (en) | 2012-10-16 | 2022-12-14 | Citrix Systems, Inc. | Application wrapping for application management framework |
CN103780635B (zh) | 2012-10-17 | 2017-08-18 | 百度在线网络技术(北京)有限公司 | 云环境中的分布式异步任务队列执行系统和方法 |
US10395215B2 (en) | 2012-10-19 | 2019-08-27 | International Business Machines Corporation | Interpretation of statistical results |
EP2731040B1 (en) | 2012-11-08 | 2017-04-19 | CompuGroup Medical SE | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method |
US9612070B2 (en) | 2013-11-22 | 2017-04-04 | Larry P. Hatch | Cartridge loading device |
WO2014088541A1 (en) | 2012-12-03 | 2014-06-12 | Hewlett-Packard Development Company, L.P. | Asynchronous framework for management of iaas |
TWI490716B (zh) | 2012-12-07 | 2015-07-01 | Ind Tech Res Inst | 多租戶應用程序的開發方法、資料存取方法與系統 |
US20140173454A1 (en) | 2012-12-18 | 2014-06-19 | Logic Studio, S.A. | Method and system for designing, deploying and executing transactional multi-platform mobile applications |
US8955081B2 (en) | 2012-12-27 | 2015-02-10 | Motorola Solutions, Inc. | Method and apparatus for single sign-on collaboraton among mobile devices |
US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
US9292502B2 (en) | 2013-02-28 | 2016-03-22 | Web Computing AS | Modular platform for web applications and systems |
US9158518B2 (en) | 2013-03-11 | 2015-10-13 | Blackberry Limited | Collaborative application development environment using a connected device |
US9608958B2 (en) | 2013-03-12 | 2017-03-28 | Oracle International Corporation | Lightweight directory access protocol (LDAP) join search mechanism |
US9235846B2 (en) | 2013-03-13 | 2016-01-12 | Salesforce.Com, Inc. | Systems, methods, and apparatuses for populating a table having null values using a predictive query interface |
US9467395B2 (en) | 2013-03-13 | 2016-10-11 | Vmware, Inc. | Cloud computing nodes for aggregating cloud computing resources from multiple sources |
US9047404B1 (en) | 2013-03-13 | 2015-06-02 | Amazon Technologies, Inc. | Bridge to connect an extended development capability device to a target device |
US20140280931A1 (en) | 2013-03-13 | 2014-09-18 | Meetrix Communications, Inc. | Controlling access to enterprise software |
US9027087B2 (en) | 2013-03-14 | 2015-05-05 | Rackspace Us, Inc. | Method and system for identity-based authentication of virtual machines |
US9158534B2 (en) | 2013-03-15 | 2015-10-13 | Wolters Kluwer United States Inc. | Smart endpoint architecture |
US9154485B1 (en) | 2013-03-15 | 2015-10-06 | Kaazing Corporation | Authentication revalidation |
US9489372B2 (en) | 2013-03-15 | 2016-11-08 | Apple Inc. | Web-based spell checker |
US20140282398A1 (en) | 2013-03-15 | 2014-09-18 | Wolters Kluwer U.S. Corporation | Platform for developing and distributing mobile applications |
JP6482526B2 (ja) | 2013-03-15 | 2019-03-13 | オラクル・インターナショナル・コーポレイション | コンピュータアプリケーションのオブジェクトコードを変更することによるコンピュータアプリケーションのためのセキュリティサービス管理 |
KR20140122072A (ko) | 2013-04-09 | 2014-10-17 | 삼성전자주식회사 | 전자 장치에서 어플리케이션을 업데이트하기 위한 장치 및 방법 |
US9268798B2 (en) | 2013-04-26 | 2016-02-23 | Oracle International Corporation | Support for cloud-based multi-tenant environments using connection labeling |
US9411973B2 (en) | 2013-05-02 | 2016-08-09 | International Business Machines Corporation | Secure isolation of tenant resources in a multi-tenant storage system using a security gateway |
US9264436B2 (en) | 2013-05-08 | 2016-02-16 | International Business Machines Corporation | Policy-based automated consent |
US9161156B2 (en) | 2013-07-31 | 2015-10-13 | Sap Se | Tiles in a mobile application framework |
CN103442049B (zh) | 2013-08-22 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种面向构件的混合型云操作系统体系结构及其通信方法 |
KR101471589B1 (ko) | 2013-08-22 | 2014-12-10 | (주)잉카엔트웍스 | 공통중간언어 기반 프로그램을 위한 보안 제공 방법 |
US9432457B2 (en) | 2013-08-30 | 2016-08-30 | Citrix Systems, Inc. | Redirecting local storage to cloud storage |
US9672071B2 (en) | 2013-09-10 | 2017-06-06 | Vmware, Inc. | Method and system for distributed processing of HTTP requests |
US9847975B2 (en) | 2013-09-13 | 2017-12-19 | Arris Enterprises Llc | Method of provisioning persistent household keys for in-home media content distribution |
US9722990B2 (en) | 2013-09-20 | 2017-08-01 | Oracle International Corporation | Virtualized data storage and management of policy and credential data sources |
US9524287B2 (en) | 2013-09-20 | 2016-12-20 | Oracle International Corporation | Model-driven tooltips in excel |
JP6033990B2 (ja) | 2013-09-20 | 2016-11-30 | オラクル・インターナショナル・コーポレイション | 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス |
US9544293B2 (en) | 2013-09-20 | 2017-01-10 | Oracle International Corporation | Global unified session identifier across multiple data centers |
US9223684B2 (en) | 2013-09-25 | 2015-12-29 | Microsoft Technology Licensing, Llc | Online application testing across browser environments |
US9442700B2 (en) | 2013-09-30 | 2016-09-13 | MuleSoft, Inc. | API notebook tool |
US20150121462A1 (en) | 2013-10-24 | 2015-04-30 | Google Inc. | Identity application programming interface |
CN103532981B (zh) | 2013-10-31 | 2016-08-17 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
US10104082B2 (en) | 2013-11-06 | 2018-10-16 | William P. Jones | Aggregated information access and control using a personal unifying taxonomy |
CA2926605A1 (en) | 2013-11-06 | 2015-05-14 | Intel Corporation | Unifying interface for cloud content sharing services |
US20150135296A1 (en) | 2013-11-14 | 2015-05-14 | International Business Machines Corporation | Catalog driven order management for rule definition |
US9152812B2 (en) | 2013-12-03 | 2015-10-06 | Paypal, Inc. | Sensitive data protection during user interface automation testing systems and methods |
US10063654B2 (en) | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
US9246840B2 (en) | 2013-12-13 | 2016-01-26 | International Business Machines Corporation | Dynamically move heterogeneous cloud resources based on workload analysis |
US9569634B1 (en) | 2013-12-16 | 2017-02-14 | Amazon Technologies, Inc. | Fine-grained structured data store access using federated identity management |
US9531784B2 (en) | 2013-12-17 | 2016-12-27 | International Business Machines Corporation | Identity service management in limited connectivity environments |
US10157428B2 (en) | 2014-01-07 | 2018-12-18 | Google Llc | Offline content sharing |
US9614745B2 (en) | 2014-01-09 | 2017-04-04 | Citrix Systems, Inc. | Systems and methods for cloud-based probing and diagnostics |
CA2936358C (en) | 2014-02-07 | 2021-09-07 | Oracle International Corporation | Mobile cloud service architecture |
US10129251B1 (en) | 2014-02-11 | 2018-11-13 | Morphotrust Usa, Llc | System and method for verifying liveliness |
JP6256116B2 (ja) | 2014-03-10 | 2018-01-10 | 富士通株式会社 | 通信端末、セキュアログイン方法、及びプログラム |
US9838424B2 (en) | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
US9729539B1 (en) | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
EP3127270A4 (en) | 2014-04-04 | 2017-09-20 | David Goldschlag | Method for authentication and assuring compliance of devices accessing external services |
JP2015204087A (ja) | 2014-04-16 | 2015-11-16 | キヤノン株式会社 | 管理システム及び管理方法 |
US20150317156A1 (en) | 2014-05-01 | 2015-11-05 | Ca, Inc. | Systems and Methods for Automated Generation of Interactive Documentation Based on Web Application Description Language Files |
US10924554B2 (en) | 2014-05-05 | 2021-02-16 | Citrix Systems, Inc. | Application customization |
US10536523B2 (en) | 2014-05-11 | 2020-01-14 | Microsoft Technology Licensing, Llc | File service using a shared file access-rest interface |
US10021077B1 (en) | 2014-05-12 | 2018-07-10 | Google Llc | System and method for distributing and using signed send tokens |
CA2948649A1 (en) | 2014-05-15 | 2015-11-19 | Jones International, Ltd. | Integrated learning system |
US9306939B2 (en) | 2014-05-30 | 2016-04-05 | Oracle International Corporation | Authorization token cache system and method |
US10057354B2 (en) | 2014-05-30 | 2018-08-21 | Genesys Telecommunications Laboratories, Inc. | System and method for single logout of applications |
JP2016009299A (ja) | 2014-06-24 | 2016-01-18 | キヤノン株式会社 | シングルサインオンシステム、端末装置、制御方法およびコンピュータプログラム |
US9948700B2 (en) | 2014-07-01 | 2018-04-17 | Oracle International Corporation | ADFDI support for custom attribute properties |
US10127206B2 (en) | 2014-07-16 | 2018-11-13 | Oracle International Corporation | Dynamic column groups in excel |
US10909552B2 (en) | 2014-08-15 | 2021-02-02 | International Business Machines Corporation | Mobile application analytics framework |
WO2016043994A1 (en) | 2014-09-15 | 2016-03-24 | Okta, Inc. | Detection and repair of broken single sign-on integration |
US9514031B2 (en) | 2014-09-22 | 2016-12-06 | International Business Machines Corporation | Auto-deployment and testing of system application test cases in remote server environments |
US10664495B2 (en) | 2014-09-25 | 2020-05-26 | Oracle International Corporation | System and method for supporting data grid snapshot and federation |
US11036933B2 (en) | 2014-09-25 | 2021-06-15 | Oracle International Corporation | User interface component autowiring |
US9851968B2 (en) | 2014-09-26 | 2017-12-26 | Oracle International Corporation | High performant iOS template based application build system |
US9858174B2 (en) | 2014-09-26 | 2018-01-02 | Oracle International Corporation | Updatable native mobile application for testing new features |
US9826045B2 (en) | 2014-09-26 | 2017-11-21 | Oracle International Corporation | Efficient means to test server generated applications on mobile device |
US10290133B2 (en) | 2014-09-26 | 2019-05-14 | Oracle International Corporation | High fidelity interactive screenshots for mobile applications |
WO2016049626A1 (en) | 2014-09-26 | 2016-03-31 | Oracle International Corporation | Efficient and intuitive databinding for mobile applications |
US10073679B2 (en) | 2014-09-26 | 2018-09-11 | Oracle International Corporation | Efficient and intuitive databinding for mobile applications |
US10757170B2 (en) | 2014-10-13 | 2020-08-25 | Vmware, Inc. | Cross-cloud namespace management for multi-tenant environments |
US10152211B2 (en) | 2014-11-11 | 2018-12-11 | Amazon Technologies, Inc. | Application delivery agents on virtual desktop instances |
WO2016065080A1 (en) | 2014-10-21 | 2016-04-28 | Twilio, Inc. | System and method for providing a miro-services communication platform |
US11533297B2 (en) | 2014-10-24 | 2022-12-20 | Netflix, Inc. | Secure communication channel with token renewal mechanism |
US9886267B2 (en) | 2014-10-30 | 2018-02-06 | Equinix, Inc. | Interconnection platform for real-time configuration and management of a cloud-based services exchange |
US10783565B2 (en) | 2014-10-30 | 2020-09-22 | Ebay Inc. | Method, manufacture, and system of transferring authenticated sessions and states between electronic devices |
JP6476760B2 (ja) | 2014-10-31 | 2019-03-06 | 株式会社リコー | 情報処理システム、情報処理装置、ログイン方法、及びプログラム |
US9917746B2 (en) | 2014-11-04 | 2018-03-13 | Futurewei Technologies, Inc. | Adaptive allocation of server resources |
US10225245B2 (en) | 2014-11-18 | 2019-03-05 | Auth0, Inc. | Identity infrastructure as a service |
US9419958B2 (en) | 2014-11-25 | 2016-08-16 | Oracle International Corporation | Multi-tenancy support in a cloud based data grid |
US9760343B2 (en) | 2014-11-28 | 2017-09-12 | Sap Se | Application builder based on metadata |
US9736126B2 (en) | 2014-12-04 | 2017-08-15 | International Business Machines Corporation | Authenticating mobile applications using policy files |
US20160182314A1 (en) | 2014-12-17 | 2016-06-23 | Nbcuniversal Media, Llc | Streamlined provisioning system and method |
US10230600B2 (en) | 2014-12-19 | 2019-03-12 | Oracle International Corporation | Performance analysis and bottleneck detection in service-oriented applications |
US9456014B2 (en) | 2014-12-23 | 2016-09-27 | Teradata Us, Inc. | Dynamic workload balancing for real-time stream data analytics |
US20160189153A1 (en) | 2014-12-30 | 2016-06-30 | Ebay Inc. | Systems and methods for online activity-based authentication |
US10198348B2 (en) | 2015-08-13 | 2019-02-05 | Spirent Communications, Inc. | Method to configure monitoring thresholds using output of load or resource loadings |
US10313463B2 (en) | 2015-02-19 | 2019-06-04 | Akamai Technologies, Inc. | Systems and methods for avoiding server push of objects already cached at a client |
US10587698B2 (en) | 2015-02-25 | 2020-03-10 | Futurewei Technologies, Inc. | Service function registration mechanism and capability indexing |
US9961037B2 (en) | 2015-03-10 | 2018-05-01 | Oracle International Corporation | Bi-directional multi-channel social media brokering |
US10089384B2 (en) | 2015-03-12 | 2018-10-02 | Ca, Inc. | Machine learning-derived universal connector |
US9772822B2 (en) | 2015-03-16 | 2017-09-26 | Microsoft Technology Licensing, Llc | Visualization framework for customizable types in a development environment |
JP6547357B2 (ja) | 2015-03-20 | 2019-07-24 | 株式会社リコー | 機器、認証システム、認証処理方法及び認証処理プログラム |
US10997189B2 (en) | 2015-03-23 | 2021-05-04 | Dropbox, Inc. | Processing conversation attachments in shared folder backed integrated workspaces |
US9667656B2 (en) | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
US9578007B2 (en) | 2015-03-31 | 2017-02-21 | Cisco Technology, Inc. | Secure transmission of a session identifier during service authentication |
US10410210B1 (en) | 2015-04-01 | 2019-09-10 | National Technology & Engineering Solutions Of Sandia, Llc | Secure generation and inversion of tokens |
US11954671B2 (en) | 2015-04-27 | 2024-04-09 | Paypal, Inc. | Unified login across applications |
US9578008B2 (en) | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
US9742570B2 (en) | 2015-05-22 | 2017-08-22 | Garret Grajek | Securing multimedia content via certificate-issuing cloud service |
US10454938B2 (en) | 2015-05-28 | 2019-10-22 | International Business Machines Corporation | Dynamic permission roles for cloud based applications |
US10038695B2 (en) | 2015-06-02 | 2018-07-31 | ALTR Solutions, Inc. | Remotely deauthenticating a user from a web-based application using a centralized login server |
US9866545B2 (en) | 2015-06-02 | 2018-01-09 | ALTR Solutions, Inc. | Credential-free user login to remotely executed applications |
US10484385B2 (en) | 2015-06-04 | 2019-11-19 | Sap Se | Accessing an application through application clients and web browsers |
US9948698B2 (en) | 2015-06-04 | 2018-04-17 | International Business Machines Corporation | Web services documentation |
US10148493B1 (en) | 2015-06-08 | 2018-12-04 | Infoblox Inc. | API gateway for network policy and configuration management with public cloud |
US20160364231A1 (en) | 2015-06-10 | 2016-12-15 | Telefonaktiebolaget L M Ericsson (Publ) | Method for minimal service impact during software upgrade in network elements (nes) |
US9648007B1 (en) | 2015-06-17 | 2017-05-09 | Amazon Technologies, Inc. | Token-based storage service |
US9996321B2 (en) | 2015-06-23 | 2018-06-12 | Microsoft Technology Licensing, Llc | Multi-tenant, tenant-specific applications |
US10013364B1 (en) | 2015-06-26 | 2018-07-03 | EMC IP Holding Company LLC | Securing data using per tenant encryption keys |
US9851953B2 (en) | 2015-06-29 | 2017-12-26 | Oracle International Corporation | Cloud based editor for generation of interpreted artifacts for mobile runtime |
US10048948B2 (en) | 2015-07-06 | 2018-08-14 | Oracle International Corporation | Optimized retrieval of custom string resources |
US11102313B2 (en) | 2015-08-10 | 2021-08-24 | Oracle International Corporation | Transactional autosave with local and remote lifecycles |
US10582001B2 (en) | 2015-08-11 | 2020-03-03 | Oracle International Corporation | Asynchronous pre-caching of synchronously loaded resources |
US9959100B2 (en) | 2015-08-12 | 2018-05-01 | Oracle International Corporation | Efficient storage and transfer of iOS binary files |
US10452497B2 (en) | 2015-08-14 | 2019-10-22 | Oracle International Corporation | Restoration of UI state in transactional systems |
US10419514B2 (en) | 2015-08-14 | 2019-09-17 | Oracle International Corporation | Discovery of federated logins |
US10013668B2 (en) | 2015-08-14 | 2018-07-03 | Oracle International Corporation | Secure storage of enterprise certificates for cloud services |
US10277582B2 (en) | 2015-08-27 | 2019-04-30 | Microsoft Technology Licensing, Llc | Application service architecture |
US10360086B2 (en) | 2015-08-28 | 2019-07-23 | Vmware, Inc. | Fair decentralized throttling in distributed cloud-based systems |
TWI624783B (zh) | 2015-09-17 | 2018-05-21 | 長茂科技股份有限公司 | 整合動態連結功能函式的行動裝置應用程式之建置系統及方法 |
US10110447B2 (en) | 2015-10-23 | 2018-10-23 | Oracle International Corporation | Enhanced rest services with custom data |
US10749854B2 (en) | 2015-11-12 | 2020-08-18 | Microsoft Technology Licensing, Llc | Single sign-on identity management between local and remote systems |
US9735961B2 (en) | 2015-11-16 | 2017-08-15 | Verizon Patent And Licensing Inc. | Managing key rotations with multiple key managers |
CN105515759B (zh) | 2015-11-27 | 2018-11-09 | 国网信息通信产业集团有限公司 | 一种微服务注册方法及系统 |
US20170168797A1 (en) | 2015-12-09 | 2017-06-15 | Microsoft Technology Licensing, Llc | Model-driven updates distributed to changing topologies |
US10521780B1 (en) | 2015-12-16 | 2019-12-31 | United Services Automobile Association (Usaa) | Blockchain based transaction management |
US10567381B1 (en) | 2015-12-17 | 2020-02-18 | Amazon Technologies, Inc. | Refresh token for credential renewal |
US20170187785A1 (en) | 2015-12-23 | 2017-06-29 | Hewlett Packard Enterprise Development Lp | Microservice with decoupled user interface |
US10063649B2 (en) | 2015-12-29 | 2018-08-28 | Ca, Inc. | Data translation using a proxy service |
CN105631602A (zh) | 2016-01-11 | 2016-06-01 | 中国移动通信集团广东有限公司 | 一种基于DevOps的业务级运维平台 |
US10298589B2 (en) | 2016-01-27 | 2019-05-21 | International Business Machines Corporation | User abstracted RBAC in a multi tenant environment |
US20170223057A1 (en) | 2016-02-01 | 2017-08-03 | General Electric Company | System and method for access control services |
US10306016B2 (en) | 2016-02-01 | 2019-05-28 | General Electric Company | System and method for scoped attributes |
SG11201806709PA (en) | 2016-02-23 | 2018-09-27 | Nchain Holdings Ltd | Universal tokenisation system for blockchain-based cryptocurrencies |
WO2017171804A1 (en) | 2016-03-31 | 2017-10-05 | Hitachi, Ltd. | Method and apparatus for defining storage infrastructure |
US20170289197A1 (en) | 2016-03-31 | 2017-10-05 | Qualcomm Incorporated | Transport layer security token binding and trusted signing |
US10339153B2 (en) | 2016-04-12 | 2019-07-02 | International Business Machines Corporation | Uniformly accessing federated user registry topologies |
US10423393B2 (en) | 2016-04-28 | 2019-09-24 | Microsoft Technology Licensing, Llc | Intelligent flow designer |
CN107358419B (zh) | 2016-05-09 | 2020-12-11 | 阿里巴巴集团控股有限公司 | 机载终端支付鉴权方法、装置以及系统 |
US10454940B2 (en) | 2016-05-11 | 2019-10-22 | Oracle International Corporation | Identity cloud service authorization model |
US10581820B2 (en) | 2016-05-11 | 2020-03-03 | Oracle International Corporation | Key generation and rollover |
KR101871902B1 (ko) | 2016-05-11 | 2018-06-27 | 오라클 인터내셔날 코포레이션 | 멀티-테넌트 아이덴티티 및 데이터 보안 관리 클라우드 서비스 |
US10467624B2 (en) | 2016-06-29 | 2019-11-05 | Paypal, Inc. | Mobile devices enabling customer identity validation via central depository |
US10242073B2 (en) | 2016-07-27 | 2019-03-26 | Sap Se | Analytics mediation for microservice architectures |
US10721237B2 (en) | 2016-08-05 | 2020-07-21 | Oracle International Corporation | Hierarchical processing for a virtual directory system for LDAP to SCIM proxy service |
US10255061B2 (en) | 2016-08-05 | 2019-04-09 | Oracle International Corporation | Zero down time upgrade for a multi-tenant identity and data security management cloud service |
US10585682B2 (en) | 2016-08-05 | 2020-03-10 | Oracle International Corporation | Tenant self-service troubleshooting for a multi-tenant identity and data security management cloud service |
US10263947B2 (en) | 2016-08-05 | 2019-04-16 | Oracle International Corporation | LDAP to SCIM proxy service |
US10735394B2 (en) | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
WO2018039377A1 (en) | 2016-08-24 | 2018-03-01 | Experian Information Solutions, Inc. | Disambiguation and authentication of device users |
US10686887B2 (en) | 2016-08-31 | 2020-06-16 | Sap Se | Accessing resources hosted on different domains |
US10341354B2 (en) | 2016-09-16 | 2019-07-02 | Oracle International Corporation | Distributed high availability agent architecture |
JP7018437B2 (ja) | 2016-09-16 | 2022-02-10 | オラクル・インターナショナル・コーポレイション | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理 |
US10567364B2 (en) | 2016-09-16 | 2020-02-18 | Oracle International Corporation | Preserving LDAP hierarchy in a SCIM directory using special marker groups |
US10791087B2 (en) | 2016-09-16 | 2020-09-29 | Oracle International Corporation | SCIM to LDAP mapping using subtype attributes |
US10547612B2 (en) | 2016-09-21 | 2020-01-28 | International Business Machines Corporation | System to resolve multiple identity crisis in indentity-as-a-service application environment |
US20180165346A1 (en) | 2016-12-09 | 2018-06-14 | International Business Machines Corporation | Multi-dimensional analysis using named filters |
US10541992B2 (en) | 2016-12-30 | 2020-01-21 | Google Llc | Two-token based authenticated session management |
US10942708B2 (en) | 2017-01-10 | 2021-03-09 | International Business Machines Corporation | Generating web API specification from online documentation |
US10382547B2 (en) | 2017-01-31 | 2019-08-13 | Box, Inc. | Collaborative cloud-based document editing from a browser-enabled platform native application |
US10447652B2 (en) * | 2017-03-22 | 2019-10-15 | Nicira, Inc. | High availability bridging between layer 2 networks |
US10630668B2 (en) | 2017-04-28 | 2020-04-21 | Amazon Technologies, Inc. | Single sign-on registration |
US10296328B2 (en) | 2017-05-05 | 2019-05-21 | Dell Products L.P. | Infrastructure configuration and inventory manager |
US10346443B2 (en) | 2017-05-09 | 2019-07-09 | Entit Software Llc | Managing services instances |
US11074067B2 (en) | 2017-07-27 | 2021-07-27 | Tibco Software Inc. | Auto-generation of application programming interface (API) documentation via implementation-neutral analysis of API traffic |
US10878512B1 (en) | 2017-08-07 | 2020-12-29 | United Services Automobile Association (Usaa) | Blockchain technology for storing electronic medical records to enable instant life insurance underwriting |
JP6904857B2 (ja) | 2017-08-31 | 2021-07-21 | キヤノン株式会社 | 権限委譲システム、制御方法、およびプログラム |
US10348858B2 (en) | 2017-09-15 | 2019-07-09 | Oracle International Corporation | Dynamic message queues for a microservice based cloud service |
US20190102156A1 (en) | 2017-09-29 | 2019-04-04 | Compuware Corporation | Streamlined Technique For Deploying Application In Cloud Computing Environment |
US10348578B2 (en) | 2017-10-18 | 2019-07-09 | Proov Systems Ltd. | Software proof-of-concept platform, including simulation of production behavior and/or data |
US10536461B2 (en) | 2017-12-19 | 2020-01-14 | Sap Se | Service identity propagation between applications and reusable services |
US10402301B2 (en) | 2018-01-08 | 2019-09-03 | Microsoft Technology Licensing, Llc | Cloud validation as a service |
US10635435B2 (en) | 2018-02-02 | 2020-04-28 | Fujitsu Limited | Collection of API documentations |
US10387145B1 (en) | 2018-02-02 | 2019-08-20 | Fujitsu Limited | Mapping API parameters |
US11128627B2 (en) | 2018-03-13 | 2021-09-21 | Microsoft Technology Licensing, Llc | Triggering and controlling workflows across applications and services used in cloud computing systems |
US10866788B2 (en) | 2018-04-30 | 2020-12-15 | Boomi, Inc. | System and method for automated generation of integration elements modeling process flow for an integration process with a swagger API |
US11188529B2 (en) | 2018-06-04 | 2021-11-30 | International Business Machines Corporation | Autonomous generation of a graph query language interface on top of an application programming interface |
US11385940B2 (en) | 2018-10-26 | 2022-07-12 | EMC IP Holding Company LLC | Multi-cloud framework for microservice-based applications |
US10802891B2 (en) | 2018-10-30 | 2020-10-13 | Stoplight, Inc. | Application interface governance platform to harmonize, validate, and replicate data-driven definitions to execute application interface functionality |
US10298611B1 (en) | 2018-12-10 | 2019-05-21 | Securitymetrics, Inc. | Network vulnerability assessment |
US11586697B2 (en) | 2019-01-11 | 2023-02-21 | Vmware, Inc. | Publishing rest API changes based on subscriber's customized request |
US10331422B1 (en) | 2019-02-10 | 2019-06-25 | Julie Russell | System and method for generating API devlopment code for integrating platforms |
US20200285528A1 (en) | 2019-03-05 | 2020-09-10 | Hewlett Packard Enterprise Development Lp | Application program interface lists |
US11113029B2 (en) | 2019-04-10 | 2021-09-07 | International Business Machines Corporation | Probabilistic matching of web application program interface code usage to specifications |
US11036727B2 (en) | 2019-07-17 | 2021-06-15 | International Business Machines Corporation | Natural language-aided conversational exploration of self-documenting application programming interfaces |
US11870770B2 (en) * | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
US11405183B2 (en) | 2020-01-29 | 2022-08-02 | Salesforce.Com, Inc. | Using cache objects to store events for adding corresponding objects in a blockchain |
-
2020
- 2020-05-18 US US16/876,572 patent/US11687378B2/en active Active
- 2020-08-31 CN CN202080002956.9A patent/CN112913208B/zh active Active
- 2020-08-31 EP EP20771707.5A patent/EP4029222A1/en active Pending
- 2020-08-31 WO PCT/US2020/048682 patent/WO2021050306A1/en unknown
- 2020-08-31 JP JP2021500254A patent/JP2022547360A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
CN112913208A (zh) | 2021-06-04 |
CN112913208B (zh) | 2023-07-25 |
EP4029222A1 (en) | 2022-07-20 |
US20210081252A1 (en) | 2021-03-18 |
US11687378B2 (en) | 2023-06-27 |
WO2021050306A1 (en) | 2021-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7281483B2 (ja) | マルチテナントアイデンティティクラウドサービスのための宣言型第三者アイデンティティプロバイダの統合 | |
JP7304449B2 (ja) | マルチテナントアイデンティティクラウドサービスのためのデータ管理 | |
JP7202317B2 (ja) | マルチテナントアイデンティティクラウドサービスのためのローカル書込 | |
JP7402690B2 (ja) | マルチテナントアイデンティティクラウドサービスのためのテナントデータ比較 | |
JP7341065B2 (ja) | マルチテナントアイデンティクラウドサービスのデータレプリケーション競合の検出および解決 | |
JP6491774B2 (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス | |
US20200296143A1 (en) | Dynamic Client Registration for an Identity Cloud Service | |
US11870770B2 (en) | Multi-tenant identity cloud service with on-premise authentication integration | |
JP2024001266A (ja) | マルチテナントアイデンティティクラウドサービスのための地域間信頼 | |
JP2022547360A (ja) | オンプレミス認証が統合されたブリッジ可用性が高いマルチテナントアイデンティティクラウドサービス | |
US20180013763A1 (en) | Multi-tenant identity and data security management cloud service | |
WO2017196774A1 (en) | Multi-tenant identity and data security management cloud service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230817 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230817 |