JP6820054B2 - 外部アカウントを用いてリソースを管理するための方法およびデバイス - Google Patents

外部アカウントを用いてリソースを管理するための方法およびデバイス Download PDF

Info

Publication number
JP6820054B2
JP6820054B2 JP2018500771A JP2018500771A JP6820054B2 JP 6820054 B2 JP6820054 B2 JP 6820054B2 JP 2018500771 A JP2018500771 A JP 2018500771A JP 2018500771 A JP2018500771 A JP 2018500771A JP 6820054 B2 JP6820054 B2 JP 6820054B2
Authority
JP
Japan
Prior art keywords
account
virtual sub
external
internal main
accounts
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018500771A
Other languages
English (en)
Other versions
JP2018523866A (ja
Inventor
リウ、ボーヤン
リ、ジュン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority claimed from PCT/US2016/045434 external-priority patent/WO2017027301A1/en
Publication of JP2018523866A publication Critical patent/JP2018523866A/ja
Application granted granted Critical
Publication of JP6820054B2 publication Critical patent/JP6820054B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Description

[関連出願の相互参照] 本願は、2015年8月10日に出願された「Method and Apparatus for Operating Resources Based on External Accounts(外部アカウントに基づいたリソースを操作するための方法および装置)」と題する中国特許出願第201510487834.4号および、2016年8月2日に出願された「Method and Device for Managing Resources with an External Account(外部アカウントを用いてリソースを管理するための方法およびデバイス)」と題する米国特許出願第15/226,336号に基づく優先権の利益を主張し、両出願は参照により本明細書にその全体が組み込まれる。
[本開示の分野] 本開示は概して、クラウドコンピューティング環境における外部アカウントを用いてリソース管理の向上に関する。
クラウドコンピューティングのシナリオにおいて、クラウドコンピューティングプラットフォームの内部のメインアカウントを申請し、かつ、内部のメインアカウントに基づいてプラットフォームから一連のクラウドリソースを購入するユーザは、次にこれらのクラウドリソースを管理する必要があるであろう。実際に、内部のメインアカウントの様々なクラウドリソースの管理において、ユーザは時間がない、または、そうするための関連技術の知識を有さない可能性があるので、時間があるだけでなく、関連技術の知識を有してもいる誰かに、ユーザは、権限を与えるかもしれない。また、異なるクラウドリソースは、異なるリソース管理スタッフにより管理される必要があり得る。
多くのユーザは、内部のメインアカウントの安全性を保証するために、アカウント名およびパスワードをリソース管理スタッフに与えることなく内部のメインアカウントのクラウドリソースを管理する方を好む。従来技術において、マスタスレーブアカウントシステムが使用されてきた。これは、内部のメインアカウントのフレームワークのもと、ユーザ名およびパスワードを伴うサブアカウントが、リソース管理スタッフのために同じプラットフォームに生成されるのを許可する。
しかしながら、従来技術におけるマスタスレーブアカウントシステムは、操作権が1つのプラットフォームに限定され、さらに、1つの内部のメインアカウントのサブアカウントに限定されるので柔軟性に欠ける。とりわけ特定の種類のアウトソースされたアプリケーションは、例えば、リソース管理スタッフがいくつかのクラウドリソース管理業務を複数のユーザから引き継ぐ場合、複数のサブアカウントのアカウント名およびパスワードを覚える必要があるであろう。ログインの際、内部のメインアカウントに対応するサブアカウントのアカウント名およびパスワードを思い出すことは、スタッフにとって過度の負担となり得る。アカウント名およびパスワードは、統一された方式で管理され得ない。これは、さらなるスタッフの時間およびリソースを要する負担および、シンプルなまたは繰り返しのパスワード使用のリスクを生じさせ、したがってセキュリティが犠牲となる。
上記の課題を踏まえて、本開示は、現在の技術における上記の課題および他の課題を克服し得る、外部アカウントを用いてリソースを操作するための方法およびデバイスを提供する。
本開示のいくつかの実施形態によると、外部アカウントを用いてリソースを管理するための方法は、サーバを通じて外部アカウントのアイデンティティ検証を行う段階、および、外部アカウントのアイデンティティが検証された場合、外部アカウントに結び付けられたバーチャルサブアカウントを問い合わせる段階を含み、各バーチャルサブアカウントは現在のプラットフォームの内部のメインアカウントに従属している。方法は、外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを管理するべく、外部アカウントを許可する段階をさらに含む。
本開示のいくつかの実施形態による、外部アカウントを用いてリソースを管理するためのデバイスは、(1)サーバを通じて外部アカウントのアイデンティティ検証を行うためのアイデンティティ検証回路、(2)外部アカウントのアイデンティティが検証された場合、外部アカウントに結び付けられたバーチャルサブアカウントを問い合わせるためのバーチャルサブアカウント問い合わせ回路であり、各バーチャルサブアカウントは現在のプラットフォームの内部のメインアカウントに従属している、回路、および(3)外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを管理するべく、外部アカウントを許可するためのリソース管理回路を含む。
従来技術と比較して、本開示の実施形態は、とりわけ、以下の利点をもたらす、つまり、本開示の様々な実施形態において、外部アカウントに結び付けられ得るが、外部に表示されないバーチャルサブアカウントが、ユーザにより現在のプラットフォームの内部のメインアカウントのいずれか1つにセットアップされ得る。リソース管理スタッフメンバまたは外部アカウントのメンバが内部のメインアカウントのクラウドリソースを管理したい場合、彼らはサーバを通じて外部アカウントのアイデンティティ検証を行い得、かつ、外部アカウントのアイデンティティが検証された場合、外部アカウントと内部のメインアカウントのバーチャルサブアカウントとの間の結び付き関係を介して、バーチャルサブアカウント上で事前設定済みの権利に基づいて内部のメインアカウントのリソースを管理し得る。次に、リソース管理スタッフメンバは、複数の内部のメインアカウントに関連付けられる1つの統一された外部アカウントを用いて様々な内部のメインアカウントのリソースを操作し得る前に、外部アカウントに結び付いているバーチャルサブアカウントを生成するべく、1つのサーバのいつも使用される外部アカウントを内部のメインアカウントのユーザに提供さえすればよい。それにより、リソース管理スタッフの負担を軽くし、管理リソースの割り当てをより柔軟にする。
本開示の前述および他の目的、特徴および利点は、添付図面に示されるように、以下の実施形態の説明から明らかであろう。参照文字は、様々な図にわたって同じ部分を指す。図面は必ずしも縮尺通りではなく、本開示の原理を示す際に、かわりに強調がなされている。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するための方法を示しているフロー図を表す。
本開示のいくつかの実施形態に係る、サーバを通じて外部アカウントのアイデンティティ検証を行う方法を示しているフロー図を表す。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するための方法を示しているフロー図を表す。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するための方法を示しているフロー図を表す。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するための方法のフロー図を表す。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するためのデバイスのブロック図を表す。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するためのデバイスのブロック図を表す。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するためのデバイスのブロック図を表す。
本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するためのデバイスのブロック図を表す。
これより本開示は、本明細書の一部を構成し、ある例示的な実施形態を例として示す添付図面を参照し、以下でより詳しく説明される。しかしながら、主題は、様々な異なる形態で具現化されてよく、したがって、カバーされている、または特許請求の範囲に記載の主題は、本明細書に記載されているいかなる例示的な実施形態にも限定されないものとして解釈されることが意図され、例示的な実施形態は、単に例示として提供される。同様に、特許請求の範囲に記載の、またはカバーされている主題のための合理的に広い範囲が意図される。とりわけ、例えば、主題は、方法、デバイス、構成要素、またはシステムとして具現化されてよい。したがって、実施形態は、例えば、ハードウェア、ソフトウェア、ファームウェアまたは、(ソフトウェアそれ自体以外の)これらの任意の組み合わせの形態をとってよい。したがって、以下の詳細な説明は、限定的な意味合いに捉えられることを意図されない。
本明細書および特許請求の範囲を通して、用語は、明示的に述べられた意味を超えて、文脈で示唆または暗示された微妙な意味を有してよい。同様に、本明細書で使用される「一実施形態において(in one embodiment)」という語句は、必ずしも同じ実施形態を指すわけではなく、本明細書で使用される「別の実施形態において(in another embodiment)」という語句は、必ずしも異なる実施形態を指すわけではない。例えば、特許請求の範囲に記載の主題が、全体的にまたは部分的に例示的な実施形態の組み合わせを含むことが意図される。
これらのコンピュータプログラム命令は、コンピュータのプロセッサまたは他のプログラマブルデータ処理装置を通じて実行し、ブロック図もしくは1または複数の操作ブロック内に特定されている機能/動作を実装する、命令であるように、その機能を専用に変更するための汎用コンピュータ、専用コンピュータ、ASIC、または他のプログラマブルデジタルデータ処理装置のプラットフォームまたはプロセッサに提供され得、それにより、本明細書の実施形態による、それらの機能性を変える。
本開示の目的において、「サーバ(server)」という用語は、処理、データベース、および通信設備を提供するサービスポイントを指すと理解されるべきである。限定ではなく例として、「サーバ(server)」という用語は、関連付けられる通信、データ記憶装置およびデータベース機能を伴う単一の、物理プロセッサを指し得る、または、ネットワーク化された、もしくはクラスタ化された複合のプロセッサ、および関連付けられるネットワークおよび記憶デバイス、ならびに、サーバにより提供されるサービスをサポートするオペレーティングソフトウェア、1または複数のデータベースシステム、およびアプリケーションソフトウェアを指し得る。サーバは、構成または性能が大幅に異なってよいが、概して、サーバは、1または複数の中央処理装置およびメモリを含んでよい。サーバはまた、1または複数の大容量記憶デバイス、1または複数の電源、1または複数の有線もしくは無線ネットワークインタフェース、1または複数の入力/出力インタフェース、または、Windows(登録商標)Server、Mac OS X、Unix(登録商標)、Linux(登録商標)、FreeBSD、もしくは同様のものなどの1または複数のオペレーティングシステムを含んでよい。
本開示の目的において、「ネットワーク(network)」は、例えば、サーバとクライアントデバイスとの間、または、無線ネットワークを通じて連結される無線デバイス間を含む、他の種類のデバイス間などで通信が交換されてよいようデバイスを連結し得るネットワークを指すと理解されるべきである。ネットワークはまた、例えば、ネットワーク接続ストレージ装置(NAS)、ストレージエリアネットワーク(SAN)、または他の形態のコンピュータもしくは機械可読媒体などの大容量記憶装置を含んでよい。ネットワークは、インターネット、1または複数のローカルエリアネットワーク(LAN)、1または複数のワイドエリアネットワーク(WAN)、有線式接続、無線式接続、セルラ、またはこれらの任意の組み合わせを含んでよい。同様に、異なるアーキテクチャを使用し得る、または、異なるプロトコルに準拠し得る、もしくは異なるプロトコルと互換性のあり得るサブネットワークは、より大きなネットワーク内で相互運用してよい。様々な種類のデバイスは、例えば、異なるアーキテクチャまたは異なるプロトコルに関する相互運用能力を提供するために利用可能であるようにされてよい。1つの説明のための例として、ルータは、そうでなければ別個で独立しているLANの間のリンクを提供してよい。
本明細書で説明されている原理は、多くの異なる形態で具現化されてよい。本開示において、リソース管理スタッフが、複数の内部のメインアカウントのリソースを管理する必要がある場合、外部アカウントを彼ら自身のバーチャルサブアカウントに結び付けるために、サーバ上でいつも使用される外部アカウントを、これらの内部のメインアカウントのユーザに提供し得る。次に、リソース管理スタッフが現在のプラットフォームにログインしている場合、外部アカウントのサーバは、外部アカウントにアイデンティティ検証を提供する。外部アカウントが検証された場合、リソース管理スタッフは、これに事前に割り当て済みの権利に基づいて内部のメインアカウントを用いてバーチャルサブアカウントを介して内部のメインアカウントのリソースを操作し得る。したがって、リソース管理スタッフが、1つの一般的に使用される外部アカウントを用いて現在のプラットフォームの複数の内部アカウントのリソースを管理し得る場合、彼らの管理上の負担は軽くなるであろう。さらに、本明細書の教示を適用すると、リソースの構成および操作は、より柔軟に、より広く適用可能となり得る。
図1は、本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するための方法を示しているフロー図を表す。
段階S110において、方法は、サーバを通じて外部アカウントのアイデンティティ検証を行う。
いくつかの実施形態によれば、本開示は、クライアント側、現在のプラットフォームおよび外部アカウントのサーバの構造に関する。確かに、サーバは数多くのアプリケーションの特定の手法で構成され得るので、外部アカウントのサーバは、本明細書に開示されているように様々な種類であり得る。非限定的な例示として、Aliクラウドプラットフォームを挙げれば、alice@aliyun.comのような、Aliクラウドプラットフォーム内のアカウントは、内部のメインアカウントである。新浪(Sina)ウェブサイト、網易(Netease)、騰訊(Tencent)等のサーバのような外部アカウントのサーバは、現在のプラットフォームと異なっている。例えば、bob@sina.comは、新浪のサーバの外部アカウントである。外部アカウントサーバは、その既存のアカウントシステムに基づいた外部アカウントにアイデンティティ検証プロセスを提供し得る。外部アカウントサーバは、本明細書により詳しく説明されるように、1または複数のアイデンティティ検証プロセスを提供する検証サーバを含んでよい、またはそれに通信可能に連結してよい。
次に、前述のスタッフのような、外部アカウントの所有者が、Aliクラウドプラットフォームのような、現在のプラットフォームから内部アカウント内のリソースを管理したい場合、外部アカウントのアイデンティティ検証は、まずクライアント側および現在のプラットフォームに基づいて行われ、次に外部アカウントのサーバを介して行われる。外部アカウントのアイデンティティが検証された場合、プロセスは段階S120に続く。
外部アカウントのアイデンティティが検証に失敗した場合、それは外部アカウントのログインの失敗およびプロセスの終了を意味する。実施形態において、外部アカウントのアイデンティティが検証に失敗した場合、外部アカウントのサーバの不正確な署名等のような、ログイン失敗の理由はクライアント側に表示され得る。
例として、bob@sina.comの所有者が、alice@aliyun.comのリソースを管理したいと仮定する。所有者は、クライアント側からAliクラウドプラットフォームのログインページを訪問し得、かつ、ログインページから新浪のサーバにアイデンティティ検証の要求を送信し得る。
新浪のサーバは、アイデンティティ検証要求に応じてクライアント側にアカウント入力ページを提供するであろう。所有者は、次に、表示されたアカウント入力ページ上で、アカウント名bob@sina.comおよびパスワード123456を入力し、OKをクリックし得る。
新浪のサーバは、アカウント名bob@sina.comが存在するかどうか、およびパスワードが正確かどうかを認証するべく、アカウント名bob@sina.comおよびパスワード123456の内部検証を行うであろう。アカウント名およびパスワードの両方が検証にパスした場合、アイデンティティ検証結果をAliクラウドプラットフォームに返すであろう。
Aliクラウドプラットフォームによってパーシングすると、返された結果がbob@sina.comの検証が成功であると示す場合、次にプロセスは段階S120に進む。
本開示のいくつかの実施形態によれば、段階S110は、以下の副段階(図2)を備えてよい。
段階S111において、方法はサーバを通じて外部アカウントのアイデンティティ検証を要求する。
例えば、Aliクラウドプラットフォームの内部のメインアカウントの、alice@aliyun.comおよび新浪のサーバの外部アカウントのbob@sina.comを挙げる。
外部アカウントのbob@sina.comの所有者が、クライアント側からAliクラウドプラットフォームのログインページを開けて、alice@aliyun.comのリソースを管理したい場合、所有者はAliクラウドプラットフォームのログインページから新浪のサーバにアイデンティティ検証の要求を送信する。
新浪のサーバは、アイデンティティ検証要求を受信した後、所有者のクライアント側にアカウント入力ページを提供するであろう。所有者は、表示されたアカウント入力ページ上でアカウント名bob@sina.comおよびパスワード123456を入力できる。
新浪のサーバにより、アカウント名bob@sina.comおよびそのパスワード123456が有効であるとして認証された場合、bob@sina.comに特有のアイデンティティ検証結果が生成されるであろう。アイデンティティ検証結果は、外部アカウントのbob@sina.comおよび外部アカウントのサーバの署名を備える。本例において、署名は新浪のサーバのものである。次に、新浪のサーバはAliクラウドプラットフォームにアイデンティティ検証結果を返すであろう。
本明細書の開示から、アイデンティティ検証結果は他のコンテンツも備え得ることが認識されるであろう。本願はそれに制限を課さない。
クライアントは、ブラウザまたは他のクライアント側のアプリケーションまたはアプリに特有のデバイスであり得る。本明細書の教示が複数のクライアント側のプラットフォームの種類に適用され得るので、本開示はクライアント側の実装に関して制限を課さない。
段階S112において、方法は外部アカウントサーバにより返されたアイデンティティ検証結果のサーバ署名を検証する。サーバ署名が検証された場合、プロセスは段階S113に続く。
上記のアイデンティティ検証を受信した後、Aliクラウドプラットフォームはアイデンティティ検証結果のサーバ署名を認証するであろう。外部アカウントが検証された場合、bob@sina.comは新浪により受け入れられた認証外部アカウントであるということを意味し、段階S113が始まり得る。サーバ署名の検証が失敗した場合、bob@sina.comは、セキュリティリスクを伴う偽造の外部アカウントかもしれないということを意味し、次に、外部アカウントbob@sina.comのログインは拒否されるであろう。
本開示の実施形態において、異なるアイデンティティ検証プロトコルのもとでのサーバ署名のための検証プロセスは、異なるものであることが理解される。
例えば、SAMLプロトコルに関して、多様な外部アカウントの種類の公開鍵は、現在のプラットフォームに関して事前に取得され得る。上記のアイデンティティ検証結果を受信した後、対応する外部アカウントサーバの公開鍵は、アイデンティティ検証結果のサーバ署名を認証するために直接抽出され得る。
OpenIDプロトコルに関して、サーバ署名の検証プロセスは、SAMLプロトコルのものと同様である。
OAuthプロトコルに関して、サーバ署名は、上記のアイデンティティ検証結果から抽出され得て、サーバが署名検証を行い、現在のプラットフォームにセキュリティトークンを返すことを知らせるために、対応する外部アカウントサーバに送信され得る。現在のプラットフォームがセキュリティトークンを受信した後、サーバ署名の検証は有効であるとみなされる。
段階S113において、方法は、アイデンティティ検証結果の外部アカウントが有効であると決定する。
外部アカウントのサーバにより検証されたアイデンティティ検証結果に関し、本例の実施形態は、外部アカウントが有効であると決定し得る。例えば、bob@sina.comに関して、本例の実施形態のAliクラウドプラットフォームは、bob@sina.comが、続くプロセスに入り得ることを決定し得る。
本開示のいくつかの実施形態によれば、段階S110は、OAuthプロトコル、OpenIDプロトコル、またはSAMLプロトコルを含むアイデンティティ検証プロトコルを介し、サーバを通じて、外部アカウントのアイデンティティ検証を行う段階を備える。
本例の実施形態において、アイデンティティ検証プロトコルは、クライアント側が現在のプラットフォームを通じて、サーバを介して外部アカウントのためのアイデンティティ検証を行い得るように、クライアント側と現在のプラットフォームと外部アカウントのサーバとの間に構成される。
本例の実施形態において、アイデンティティ検証プロトコルは、OAuthプロトコル、SAMLプロトコル、もしくはOpenIDプロトコルの1または複数であり得る。例えば、OAuthプロトコルは、クライアント側、Aliクラウドプラットフォームと新浪のサーバとの間で使用される。OpenIDプロトコルは、クライアント側、Aliクラウドプラットフォームと網易のサーバとの間で使用される。SAMLプロトコルは、クライアント側、Aliクラウドプラットフォームと網易のサーバとの間で使用される。これらの様々なプロトコルは、本明細書で説明されている管理機能および構造が適用されている基礎的なプラットフォームに適用可能であるとして利用され得る。
実際の適用では、上述のプロトコルに加えて、他のアイデンティティ検証プロトコルが利用され得ることが理解可能である。本開示は、適用される特定の検証プロトコルに制限を課さない。
実施形態において、OAuth(Open Authorization オープン認可)プロトコルは、安全で、オープンかつシンプルな、ユーザのリソースの認可のための規格を提供する。OAuthプロトコルの認可は、安全であって、第三者に(アカウント名およびパスワードのような)アカウントの情報をさらさないであろう。第三者は、ユーザのアカウント名およびパスワードを使用せずに、ユーザのリソースの認可を取得し得る。
本開示のいくつかの実施形態において、所有者のクライアントは、OAuthプロトコルのクライアントとして、Aliクラウドプラットフォームは、OAuthプロトコルのアクセス側として、および、外部アカウントのサーバは、OAuthプロトコルのAS(Authorization Server 認可サーバ)とみなされる。クライアント側は、現在のプラットフォームに認可要求を送信する。現在のプラットフォームは、外部アカウントのサーバにリダイレクトする。クライアント側は、検証のためにサーバ上に外部アカウントのユーザ名およびパスワードを入力し、外部アカウントが検証された場合、続く操作のために現在のプラットフォームにリダイレクトする。
SAML(セキュリティアサーションマークアップ言語)プロトコルは、XMLに基づいた標準であり、異なるセキュリティドメイン間の検証および認可データの交換のために使用される。
本開示のいくつかの実施形態において、所有者のクライアント側は、SAMLプロトコルのサブジェクトである。現在のプラットフォームは、リライングパーティであり、外部アカウントのサーバは、アサーティングパーティである。クライアント側は、アクセス認可のために現在のプラットフォームに要求を送信し得る。次に、現在のプラットフォームは、外部アカウントのサーバに要求をリダイレクトする。サーバは、外部アカウントのためのアイデンティティ検証を行い、外部アカウントが検証された場合、続くプロセスのために現在のプラットフォームにそれをリダイレクトする。
OpenIDプロトコルは、開放性およびダイバージェンスにより特徴づけられる、ユーザ中心のデジタルアイデンティティ認識のフレームワークである。
本開示のいくつかの実施形態において、クライアント側は、OpenIDプロトコルのユーザスタッフのサブジェクトである。外部アカウントのサーバは、OP(アイデンティティプロバイダまたは、OpenIDのプロバイダであるOpenIDプロバイダ)であり、現在のプラットフォームはリライングパーティである。外部アカウントは、前もって、外部アカウントのサーバのOPシステムに固有IDを登録することを求められ、次に、所有者がOPのログインインタフェースをクリックした後に、サーバにリダイレクトする。所有者は、検証のために外部アカウントのユーザ名およびパスワードを入力でき、サーバは、現在のプラットフォームに検証結果を返すことができる。
本開示のいくつかの実施形態によれば、段階S110に先立って、さらなる複数の段階が、図3により詳細に示されているように実行されてよい。
段階S102において、方法は、ユーザ名およびパスワードを有している内部のメインアカウントに、バーチャルサブアカウントを生成する。バーチャルサブアカウントは、外部アカウントを用いてリソースを操作するためのパスワードを有さない。
本開示のいくつかの実施形態において、現在のプラットフォームの内部のメインアカウントのユーザは、「virtual_user」等の、バーチャルサブアカウントを事前に生成し得る。virtual_userは、ログインパスワードを有さず、外部に表示される必要がない。例えば、内部アカウントのalice@aliyun.comを挙げれば、111111のパスワードを持つalice@aliyun.comのユーザは、alice@aliyun.comのスペース内にバーチャルサブアカウントvirtual_userを生成し得る。
段階S103において、方法は、内部のメインアカウントのリソースを操作するために、バーチャルサブアカウントに操作権を割り当てる。
いくつかの実施形態において、1つの内部のメインアカウントが、異なるフォルダに分配された異なるリソースを有してよく、それらのいくつかは外部のリソース管理スタッフにさらされ得ない。次に、操作権は、これらのフォルダ内のリソースのために設定され得る。例えば、バーチャルサブアカウントおよび操作の種類等により操作され得るフォルダの範囲を設定し、操作の種類は、読み取り専用、書き込み専用、および、読み取り書き込み用であり得る。
段階S104において、方法は、バーチャルサブアカウントを外部アカウントに結び付ける。
生成されたバーチャルサブアカウントは、ユーザにより選択されたリソース管理スタッフの外部アカウントに結び付けられ得る。例えば、ユーザがbob@sina.comを選択する場合、そのユーザは、alice@aliyun.comのvirtual_userをbob@sina.comに結び付け得る。
本開示のいくつかの実施形態において、外部アカウントは、複数の内部のメインアカウントのバーチャルサブアカウントと結び付けられてよい。例えば、bob@sina.comはまた、tom@aliyun.comのバーチャルサブアカウントと結び付けられ得る。
本開示のいくつかの実施形態において、複数のバーチャルサブアカウントが、各内部のメインアカウントに生成されてよく、各バーチャルサブアカウントは、異なる外部アカウントと結び付けられてよい。
本開示のいくつかの実施形態によれば、段階S104の後に、方法は、以下の段階をさらに含んでよい。
段階S105において、方法は、内部のメインアカウントのバーチャルサブアカウントの現在の操作権を変更する。
本開示のいくつかの実施形態において、内部のリソース、および外部アカウントを用いて管理されるリソースを容易に制御するために、内部アカウントのユーザは、内部のメインアカウントを用いて現在のプラットフォームにログインしてよく、内部のメインアカウントのスペース内で制御される必要がある外部アカウントに結び付けられたバーチャルサブアカウントのためのリソース管理権をセットアップしてよい。
本願の実施形態において言及されている内部アカウントのリソースは、統計データ、ビデオ、ドキュメント、メディアファイル、または、他の種類もしくは形態のデジタルデータのような任意のデジタルデータであり得ることに留意されたい。
本開示のいくつかの実施形態によれば、段階S104の後に、プロセスは、以下の段階をさらに含んでよい。
段階S106において、方法は、バーチャルサブアカウントに結び付けられている現在の外部アカウントを別の外部アカウントに変更する。
本開示のいくつかの実施形態において、内部のメインアカウントについて、バーチャルサブアカウントに結び付けられている外部アカウントのリソース管理スタッフメンバが休暇を求めた場合、またはユーザが、リソース管理のための以前のメンバに代わるべく別のスタッフメンバを雇用したい場合、ユーザは、異なる外部アカウントをバーチャルサブアカウントに結び付けることを望んでよい。ユーザは、内部のメインアカウントのユーザ名およびパスワードを用いて現在のプラットフォームにログインし、上記のバーチャルサブアカウントに結び付けられている外部アカウントを別の外部アカウントに変更してよい。
図1に戻ると、我々は段階S120およびS130の検討を完了し、図1の対応する段階と同じであり、それに応じて番号が付けられている、図3のこれらの段階の検討もまた完了する。
段階S120において、方法は、外部アカウントのアイデンティティが検証された場合、バーチャルサブアカウントが、外部アカウントに結び付けられているかどうかを問い合わせる。各バーチャルサブアカウントは、現在のプラットフォームの内部のメインアカウントに従属している。
本開示のいくつかの実施形態において、現在のプラットフォームは、内部のメインアカウントとバーチャルサブアカウントおよび外部アカウントとの間の1対1の関係を記録する。認証された外部アカウントに関して、それは外部アカウントに対応する上記の関係が存在するかどうかを問い合わせるであろう。複数の関係がある場合、それはリソース管理スタッフにより決定され得る。例えば、bob@sina.comが、alice@aliyun.comとtom@aliyun.com両方のバーチャルサブアカウントにそれぞれ結び付けられている場合、次に、リソース管理スタッフは、所望の内部のメインアカウントを決定するようプロンプトされるであろう。
1つの関係のみある場合、それはリソース管理スタッフにより、直接決定され得る、または、外部アカウントに結び付けられているバーチャルサブアカウントが直接決定され得て、プロンプティングは求められない。
段階S130において、方法は、外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを操作するべく、外部アカウントを許可する。
外部アカウントに結び付けられている1つのバーチャルサブアカウントが、リソース管理スタッフにより検証された場合に、現在のプラットフォームは、外部アカウントに結び付けられている内部のメインアカウントが検証された場合に、上記のバーチャルサブアカウント上で事前設定済みの権利に基づいて上記の内部のメインアカウントのリソースを操作するべく、リソース管理スタッフを許可する。
本開示のいくつかの実施形態において、上記のバーチャルサブアカウントは、ただ単に内部で維持された権利のアイデンティティであり、外部に表示されない。したがって、クライアントは、バーチャルサブアカウントのための入力インタフェースを提供しないであろう。バーチャルサブアカウントは、外部アカウントのパスワードを必要としない。なぜなら自身もパスワードを有さないからである。さらに、本例の実施形態に示されるように、バーチャルサブアカウントの入力インタフェースは、クライアントに提供されず、したがって、ログインは、バーチャルサブアカウントのみでは行なわれ得ず、ログインおよび内部のメインアカウントのリソースの管理が求められる場合、バーチャルサブアカウントは外部アカウントに結び付けられ、したがって、内部のメインアカウントのリソースは、外部アカウントを用いてログインにより操作され得る。
本開示のいくつかの実施形態において、外部アカウントに結び付けられ得るが、外部に表示され得ない、バーチャルサブアカウントが、ユーザにより現在のプラットフォームの内部のメインアカウントのいずれか1つにセットアップされ得る。外部アカウントのリソース管理スタッフが上記内部のメインアカウントのクラウドリソースを管理したい場合、彼らはサーバを通じて外部アカウントのアイデンティティ検証を行い得、かつ、外部アカウントのアイデンティティが検証された場合、外部アカウントと内部のメインアカウントのバーチャルサブアカウントとの間の結び付き関係を介して、バーチャルサブアカウント上で事前設定済みの権利に基づいて内部のメインアカウントのリソースを管理し得る。次に、1または複数のリソース管理スタッフメンバは、複数の内部のメインアカウントに関連付けられる1つの統一された外部アカウントを用いて様々な内部のメインアカウントのリソースを管理し得る前に、外部アカウントに結び付いているバーチャルサブアカウントを生成するべく、1つのサーバのいつも使用される外部アカウントを内部のメインアカウントのユーザに提供さえすればよい。それにより、リソース管理スタッフの管理上の負担を軽くし、管理リソースの割り当てをより柔軟にする。それはまた、管理されるべきリソースのための複数の複雑なパスワードを覚える必要性を避け、したがって、不正流用のリスクが増す、覚えやすいパスワードの使用または選択、または、なんらかの方式でパスワードを記録する必要性を避けることによりセキュリティが向上する。したがって、本明細書の実施形態は、ネットワークセキュリティおよびクラウドベースのシステムのリソース管理の柔軟性を向上させる。
図4は、本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作する方法を示しているフロー図を表す。
段階S210において、方法は、サーバを通じて外部アカウントのアイデンティティ検証を行う。
段階S220において、方法は、外部アカウントのアイデンティティが検証された場合、全ての内部のメインアカウントのバーチャルサブアカウントが、外部アカウントに結び付けられているかどうかを問い合わせる。各バーチャルサブアカウントは、現在のプラットフォームの内部のメインアカウントに従属している。
例えば、外部アカウントbob@sina.comに関して、現在のプラットフォームの全ての内部のメインアカウントが、bob@sina.comに結び付けられているバーチャルサブアカウントを有しているかどうかが決定される必要がある。そうである場合、ユーザが選択するために、bob@sina.comに結び付けられているバーチャルサブアカウントに属している、内部のメインアカウントの全てのユーザ名を表示するべく、プロンプトボックスがポップアップされ得る。ユーザが内部の名前を選択した場合、これはユーザが、bob@sina.comに結び付けられているバーチャルサブアカウントを決定したことを意味し、段階S230が始まり得る。
段階S230において、方法は、外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを管理するべく、外部アカウントを許可する。
本開示のいくつかの実施形態において、どの内部のメインアカウントが、リソースを管理するために選択されるかという事前決定なく、リソース管理スタッフは、外部アカウントのサーバにアイデンティティ検証要求を直接送信し得る。サーバは、アイデンティティ検証結果を返すであろう。結果が有効であるとして検証された後、現在のプラットフォームは、内部のメインアカウントと外部アカウントに対応しているバーチャルサブアカウントおよび外部アカウントとの間の関係を探し、リソース管理スタッフが選択するための、クライアント側のボックスに各内部のメインアカウントを表示するであろう。複数の内部のメインアカウントのうちの1つを選択することは、外部アカウントに結び付けられているバーチャルサブアカウントが、ユーザにより検証されたことを意味する。上記の関係のどれも決定されない場合、ユーザは、外部アカウントに結び付けられている内部のメインアカウントはないと通知されるであろう。本例の実施形態において、ユーザが、内部のメインアカウントのユーザ名を事前入力することなく、アイデンティティ検証のための現在のプラットフォームを介して、外部アカウントのサーバに直接ジャンプし得る。次に、現在のプラットフォームは、外部アカウントに結び付けられているバーチャルサブアカウントをユーザに選択のために、直接提供し得、それは、外部アカウントを用いてユーザの操作を容易にしている。
図5は、本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するための方法のフロー図を表す。
段階S310において、方法は、ターゲットの内部のメインアカウントを決定する。
ユーザは、前もって、現在のプラットフォームのログインページに、ターゲットの内部のメインアカウントの名前を入力できる。例えば、ユーザは、ログインページにalice@aliyun.comを入力でき、段階S320にジャンプするべく、アイデンティティ検証インタフェースをクリックできる。
段階S320において、方法は、サーバを通じて外部アカウントのアイデンティティ検証を行う。
段階S330において、方法は、外部アカウントのアイデンティティが検証された場合、全ての内部のメインアカウントのバーチャルサブアカウントが、外部アカウントに結び付けられているかどうかを問い合わせる。各バーチャルサブアカウントは、現在のプラットフォームの内部のメインアカウントに従属している。
非限定的な例示として、外部アカウントbob@sina.comのアイデンティティ検証が、検証される場合、本例の実施形態は、alice@aliyun.comのバーチャルサブアカウントが、bob@sina.comに結び付けられているかどうかを直接問い合わせ得る。alice@aliyun.comが、bob@sina.comに結び付けられているバーチャルサブアカウントを有する場合、次に、それは、バーチャルサブアカウントが外部アカウントに結び付けられていると確認することになり、段階S340に進む。
段階S340において、方法は、外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを管理するべく、外部アカウントを許可する。
本開示のいくつかの実施形態において、リソース管理スタッフは、どの内部のメインアカウントが、リソースを操作するために選択されるかを前もって決定し得、例えば、alice@aliyun.comを直接決定し、次に、外部アカウントのサーバにアイデンティティ検証要求を送信する。サーバにより返されたアイデンティティ検証結果が、有効であるとして検証された後、現在のプラットフォームは、内部のメインアカウントとalice@aliyun.comに対応しているバーチャルサブアカウントおよび外部アカウントとの間の関係を探し、関係が特定され得た場合、バーチャルサブアカウントが、外部アカウントに結び付けられているかどうかを決定するであろう。上記の関係のどれも見つけられない場合、ユーザは、外部アカウントに結び付けられている内部のメインアカウントはないと通知されるであろう。本例の実施形態において、ターゲットの内部のメインアカウントは、前もって決定され得る。したがって、外部アカウントのアイデンティティが検証された場合、外部アカウントが、ターゲットの内部アカウントのバーチャルサブアカウントに結び付けられているかどうかに関して、目的のある問い合わせが実行され得、それは、リソース管理機能のより迅速な処理スピードをもたらし、したがって、システムリソースを節約し得る。
本開示の目的において、モジュール、ユニットまたは回路は、本明細書で説明されているプロセス、特徴および/または機能を(ヒューマンインタラクションまたはヒューマンオーグメンテーションの有無にかかわらず)実行するまたは容易にする、ソフトウェア、ハードウェアもしくはファームウェア(またはこれらの組み合わせ)のシステム、プロセスまたは機能性、またはこれらの構成要素である。モジュールは、サブモジュールを含み得、ユニットは、サブユニットを備え得る。モジュール/ユニットのソフトウェア構成要素は、プロセッサにより実行されるためにコンピュータ可読媒体上に記憶されてよい。モジュール/ユニットは、1または複数のサーバもしくはデバイスと一体であってよく、または、1または複数のサーバ/デバイスにより搭載され、かつ、実行されてよい。1または複数のモジュールが、エンジンまたはアプリケーションにグループ化されてよい。したがって、本開示の実施形態によるデバイスは、単一のデバイスとして統合される、または分配されてよく、かつ、ソフトウェア、ハードウェアもしくはファームウェア、およびこれらの組み合わせを含んでよい。
図6は、本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを管理するためのデバイスのブロック図を表す。外部アカウントを用いてリソースを管理するためのデバイス400は、以下のモジュールを含む。
アイデンティティ検証モジュール410は、サーバを通じて外部アカウントのアイデンティティ検証を行う。
バーチャルサブアカウント問い合わせモジュール420は、外部アカウントのアイデンティティが検証された場合、バーチャルサブアカウントが、外部アカウントに結び付けられているかどうかを問い合わせる。各バーチャルサブアカウントは、現在のプラットフォームの内部のメインアカウントに従属している。
リソース管理モジュール430は、外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを管理するべく、外部アカウントを許可する。
本開示のいくつかの実施形態(図7)によれば、リソース管理デバイス450は、上記のアイデンティティ検証モジュール410と同じ機能を実行する、アイデンティティ検証モジュール460を含んでよく、以下をさらに含む。
アイデンティティ検証要求モジュール461は、サーバを通じて外部アカウントのアイデンティティ検証を要求する。
署名検証モジュール462は、外部アカウントサーバにより返された、アイデンティティ検証結果のサーバ署名を検証する。
外部アカウント確認モジュール463は、サーバ署名が検証された場合、アイデンティティ検証結果の外部アカウントは検証されたと決定する。
本開示のいくつかの実施形態によれば、リソース管理デバイス450は、以下をまた含んでよい。
バーチャルサブアカウント生成モジュール451は、ユーザ名およびパスワードを有している内部のメインアカウントに、バーチャルサブアカウントを生成する。バーチャルサブアカウントは、外部アカウントを用いてリソースを操作するためのパスワードを有さない。
権利割り当てモジュール452は、内部のメインアカウントのリソースを管理するために、バーチャルサブアカウントに管理権を割り当てる。
結合モジュール453は、バーチャルサブアカウントを外部アカウントに結び付ける。
本開示のいくつかの実施形態によれば、リソース管理デバイス450は、内部のメインアカウントのバーチャルサブアカウントの現在の管理権を変更する、権利変更モジュール454をさらに含んでよい。
本開示のいくつかの実施形態によれば、リソース管理デバイス450は、バーチャルサブアカウントに結び付けられている現在の外部アカウントを別の外部アカウントに変更する、結合オブジェクト変更モジュール455をさらに含んでよい。
本開示のいくつかの実施形態によれば、アイデンティティ検証モジュール460は、例えば、OAuthプロトコル、SAMLプロトコル、またはOpenIDプロトコルのような、アイデンティティ検証プロトコルを介して、サーバを通じて、外部アカウントのアイデンティティ検証を行う、第1のアイデンティティ検証モジュール464をさらに含む。
図8は、本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するためのデバイスのブロック図を表す。
外部アカウントを用いてリソースを管理するためのリソース管理デバイス500は、以下の構成要素を含む。
アイデンティティ検証モジュール510は、サーバを通じて外部アカウントのアイデンティティ検証を行う。アイデンティティモジュール510は、例えば、前の実施形態のアイデンティティ検証モジュール410または460に示されるように、構成されてよい。
バーチャルサブアカウント問い合わせ回路520は、上述のように、バーチャルサブアカウント問い合わせモジュール420の機能を実行するべく構成されており、加えて、外部アカウントのアイデンティティが検証された場合、全ての内部のメインアカウントのバーチャルサブアカウントが外部アカウントに結び付けられているかどうかを問い合わせる、第1の問い合わせモジュール521を含む。各バーチャルサブアカウントは、現在のプラットフォームの内部のメインアカウントに従属している。
リソース管理モジュール530は、外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを操作するべく、外部アカウントを許可する。
図9は、本開示のいくつかの実施形態に係る、外部アカウントを用いてリソースを操作するためのデバイスの非限定的な実施形態を示している概略ブロック図を表す。
外部アカウントを用いてリソースを管理するためのリソース管理デバイス600は、以下の構成要素を含む。
ターゲットの内部のメインアカウント確認モジュール610は、ターゲットの内部のメインアカウントを決定する。
アイデンティティ検証モジュール620は、サーバを通じて外部アカウントのアイデンティティ検証を行う。
バーチャルサブアカウント問い合わせモジュール630は、上述のように、バーチャルサブアカウント問い合わせモジュール420の機能を実行し、加えて、全ての内部のターゲットアカウントのバーチャルサブアカウントが外部アカウントに結び付けられているかどうかを問い合わせるための、特定問い合わせモジュール631を含む。各バーチャルサブアカウントは、現在のプラットフォームの内部のメインアカウントに従属している。
リソース管理モジュール640は、外部アカウントに結び付けられているバーチャルサブアカウントが検証された場合に、バーチャルサブアカウントの事前設定済みの権利に基づいて内部のメインアカウントのリソースを操作するべく、外部アカウントを許可する。
進行的な方式で説明されている、発明を実施するための形態の各実施形態は、代替的な、または同様の、または交換可能な実施形態、したがって、実施形態間の同様の、および/または同一の部分のための説明をしており、これらは互いに相互参照により理解され得る。
当業者は、本願の実施形態が、方法、デバイスまたはコンピュータプログラムプロダクトとして提供されてよいことを理解するだろう。したがって、本願の実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはソフトウェアとハードウェア両方の組み合わせを結合したものとしての形態を採用し得る。さらに、本願の実施形態は、コンピュータ可読プログラムコードを含む、1または複数の利用可能なコンピュータ記憶媒体(ディスクメモリ、CD‐ROM、光メモリ等を含むが限定はされない)に適用される、コンピュータプログラムプロダクトの形態を採用し得る。
1つの典型的な構成において、本明細書で説明されている、コンピュータ、デバイスおよび/またはサーバを形成するコンピュータ機器は、1または複数の中央処理装置(CPU)、I/Oインタフェース、ネットワークインタフェースおよび内部または外部からアクセス可能なメモリを備える。メモリは、揮発性メモリ、ランダムアクセスメモリ(RAM)および/または、リードオンリメモリ(ROM)もしくはフラッシュRAMのような、コンピュータ可読媒体の不揮発性RAMを備えてよい。内部メモリは、コンピュータ可読媒体の一例である。コンピュータ可読媒体は、(信号ではなく)物理または有形の記憶装置を指し、永久的および非永久的、携帯型のまたは非携帯型の媒体を備え、任意の方法または技術によりデータを記憶し得る。データは、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータであり得る。記憶媒体は、相変化メモリ(PRAM)、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、他の種類のランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、電気的消去可能プログラマブルリードオンリメモリ(EEPROM)、フラッシュメモリまたは他のメモリ技術、コンパクトディスクリードオンリメモリ(CD‐ROM)、デジタル多用途ディスク(DVD)または、他の光学記憶装置、磁気カセットテープ、テープ/ディスクメモリまたは他の磁気記憶デバイスまたは、コンピュータ機器によりアクセスされ得る信号を記憶するための他の非伝送媒体、を含むが、これらに限定はされない。本明細書の定義によれば、具体的に記載されない限り、コンピュータ可読媒体は、データ信号および搬送波のような一時的な媒体を含まない。
本願の実施形態は、本願の実施形態の方法および端末機器(システム)、およびコンピュータプログラムプロダクトのプロセス図および/またはブロック図により説明されている。プロセス図、および/またはブロック図、および/またはフロー図、および/またはブロック図のプロセス、および/またはブロックの各プロセスは、コンピュータプログラム命令により組み合わされ得、かつ実装され得ることが、理解されるであろう。これらのコンピュータプログラム命令は、適切なプログラミングのために汎用コンピュータのCPU、専用コンピュータ、埋め込みプロセッサまたは、機械を生成するための他のプログラマブルデータ処理端末機器に提供され得、それによりコンピュータのCPU、または他のプログラマブルデータ処理端末機器により実行された命令が、プロセス図の1または複数のプロセス、および/または、ブロック図の1または複数のブロックにより特定された機能を実現するためのデバイスを形成し得る。いくつかの代替的な実装において、それらのブロックに記された機能/動作は、操作例に記された順序外で起こり得る。例えば、連続して示されている2つのブロックは、実際は、実質的に同時に実行され得、または、複数のブロックは、関連した機能性/動作に基づいて、逆の順序で実行され得ることがある。
コンピュータプログラム命令はまた、コンピュータ可読メモリに記憶され得、コンピュータまたは他のプログラマブルデータ処理端末機器を特定の手法で操作するように導き得、それにより命令は、プロセス図の1または複数のプロセス、および/または、ブロック図の1または複数のブロックにより特定された機能を実現し得る命令デバイスを備える、プロダクトを形成し得る。
これらのコンピュータプログラム命令は、実現されたプロセスを生成するための一連の操作段階を実行するためのコンピュータまたは他のプログラマブルデータ処理端末機器にまた搭載され得、それにより、コンピュータのCPUまたは他のプログラマブルデータ処理端末機器により実行された命令は、プロセス図の1または複数のプロセス、および/または、ブロック図の1または複数のブロックにより特定された機能を実現するための段階を提供し得る。
本願の好適な実施形態が、本明細書に説明されているが、発明の基礎概念がいったん明らかになれば、当業者は、実施形態を変更または修正し得る。したがって、本明細書の請求項は、本願の実施形態の範囲に分類される、好適な実施形態ならびに、すべての変更および修正を備えるように解釈されることが意図される。
最後に、本明細書の用語、「first(第1の)」、「second(第2の)」およびそれに類するものは、1つの物理的部分または、1つの操作を別のものと区別するためにのみ提供されており、これらの物理的部分または、操作が、そのような実際の関係を有する、またはそのような順序であることを必ずしも求めるまたは暗に示すわけではないことに留意されたい。さらに、用語「including(含む)」、「comprising(備える)」または任意の他のそのような変形は、非限定的なcomprising(備える)の意味を表すことが意図され、それにより、プロセス、方法、物品または端末機器は、一連の要素を含んでよく、これらの要素により限定されず、明示的に記載されていなかった要素、もしくはプロセス、方法、物品または端末機器に固有の要素をまた含んでよい。さらなる詳述がなければ、用語「including a......(1つの......を含む)」により特定された要素は、他の要素がまた、要素を含むプロセス、方法、物品または端末機器に存在することを除外しない。
本願により提供された外部アカウントを用いてリソースを操作するための方法およびデバイスが、上記のように詳細とともに示されている。特定の事例が、本明細書の本願の原理および実施形態を説明するために使用されていて、上記実施形態の説明は、本願の方法およびコアとなるアイデアを理解することを容易にするためのものにすぎず、その一方で、当業者にとっては、特定の実施形態および応用の範囲は、両方とも本願のアイデアに基づいて変更されてよい。結論として、発明を実施するための形態の内容は、本願を制限するものとして解釈されるものではない。本明細書によれば、以下の各項目に記載の事項もまた開示される。
[項目1]
クラウドコンピューティングリソースを管理するための方法であって、
アイデンティティ検証プロトコルを使用したネットワークを介した検証サーバとの通信を通じて、前記検証サーバ上の外部アカウントのアイデンティティを検証する段階と
前記外部アカウントの前記アイデンティティが検証される場合、バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定する段階であって、
前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属している段階と
前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可する段階とを備える、方法。
[項目2]
前記外部アカウントの前記アイデンティティを前記検証する段階は、
前記検証サーバを通じて前記外部アカウントのためのアイデンティティ検証を要求する段階と
前記検証サーバにより返されたアイデンティティ検証結果のサーバ署名を検証する段階と
前記サーバ署名が検証される場合、前記外部アカウントの前記アイデンティティが検証されると決定する段階とを有する、項目1に記載の方法。
[項目3]
前記1の内部のメインアカウントに従属している前記バーチャルサブアカウントを生成する段階であって、前記1の内部のメインアカウントはユーザ名およびパスワードを有し、前記バーチャルサブアカウントは前記外部アカウントを用いてリソースを管理するためのパスワードを有さない段階と
前記1の内部のメインアカウントの前記リソースを管理するための事前設定済みの権利として前記バーチャルサブアカウントに管理権を割り当てる段階と
前記バーチャルサブアカウントを前記外部アカウントに結び付ける段階とをさらに備える、項目1または2に記載の方法。
[項目4]
前記1の内部のメインアカウントの前記バーチャルサブアカウントの前記事前設定済みの権利を修正する段階をさらに備え、
前記事前設定済みの権利を前記修正する段階は前記割り当てる段階の後である、項目3に記載の方法。
[項目5]
前記結び付ける段階の後に前記バーチャルサブアカウントを別の外部アカウントに第2の結び付ける段階をさらに備える、項目3または4に記載の方法。
[項目6]
前記外部アカウントの前記アイデンティティを前記検証する段階において、前記アイデンティティが前記外部アカウントを通じて検証されない場合、ログイン失敗の原因が表示される、項目1から5のいずれか一項に記載の方法。
[項目7]
前記アイデンティティ検証プロトコルは、OAuthプロトコル、SAMLプロトコルおよびOpenIDプロトコルのうちの少なくとも1つを含む、項目1から6のいずれか一項に記載の方法。
[項目8]
前記バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを前記決定する段階は、
前記1または複数の内部のメインアカウントに従属しているバーチャルサブアカウントのいずれかが前記外部アカウントに結び付けられているかどうかを問い合わせる段階を有し、
前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、項目1から7のいずれか一項に記載の方法。
[項目9]
前記バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを前記決定する段階は、
前記1または複数の内部のメインアカウントのターゲットアカウントのバーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを問い合わせる段階を有し、
前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、項目1から8のいずれか一項に記載の方法。
[項目10]
クラウドコンピューティングリソースを管理するためのデバイスであって、
1または複数のプロセッサと
ネットワークインタフェースと
前記1または複数のプロセッサにより実行可能なコンピュータ実行可能命令を記憶したメモリとを備えるデバイスであり、前記コンピュータ実行可能命令は前記デバイスに、
アイデンティティ検証プロトコルを使用したネットワークを介した検証サーバとの通信を通じて、前記検証サーバ上の外部アカウントのアイデンティティを検証させ、
前記外部アカウントの前記アイデンティティが検証される場合、バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定させ、前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属し、
前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可させる、デバイス。
[項目11]
検証するための前記コンピュータ実行可能命令は、さらに前記デバイスに
前記検証サーバを通じて前記外部アカウントのためのアイデンティティ検証を要求させ、
前記検証サーバにより返されたアイデンティティ検証結果のサーバ署名を検証させ、
前記サーバ署名が検証される場合、前記外部アカウントの前記アイデンティティが検証されると決定させる、項目10に記載のデバイス。
[項目12]
前記コンピュータ実行可能命令は、さらに前記デバイスに
前記1の内部のメインアカウントに従属している前記バーチャルサブアカウントを生成させ、前記1の内部のメインアカウントはユーザ名およびパスワードを有し、前記バーチャルサブアカウントは前記外部アカウントを用いてリソースを管理するためのパスワードを有さず、
前記1の内部のメインアカウントの前記リソースを管理するための事前設定済みの権利として前記バーチャルサブアカウントに管理権を割り当てさせ、
前記バーチャルサブアカウントを前記外部アカウントに結び付けさせる、項目10または11に記載のデバイス。
[項目13]
前記コンピュータ実行可能命令は、さらに前記デバイスに
前記1の内部のメインアカウントの前記バーチャルサブアカウントの前記事前設定済みの権利を修正させ、
前記事前設定済みの権利を前記修正させることは前記割り当てさせることの後である、項目12に記載のデバイス。
[項目14]
前記コンピュータ実行可能命令は、さらに前記デバイスに
結び付けさせる前記コンピュータ実行可能命令の後に前記バーチャルサブアカウントを別の外部アカウントに第2の結び付けさせる、項目12または13に記載のデバイス。
[項目15]
前記外部アカウントの前記アイデンティティを検証させる前記コンピュータ実行可能命令において、前記アイデンティティが前記外部アカウントを通じて検証されない場合、ログイン失敗の原因が表示される、項目10から14のいずれか一項に記載のデバイス。
[項目16]
前記アイデンティティ検証プロトコルは、OAuthプロトコル、SAMLプロトコルおよびOpenIDプロトコルのうちの少なくとも1つを含む、項目10から15のいずれか一項に記載のデバイス。
[項目17]
決定させる前記コンピュータ実行可能命令はさらに前記デバイスに
前記1または複数の内部のメインアカウントに従属しているバーチャルサブアカウントのいずれかが前記外部アカウントに結び付けられているかどうかを問い合わせさせ、
前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、項目10から16のいずれか一項に記載のデバイス。
[項目18]
決定させる前記コンピュータ実行可能命令はさらに前記デバイスに
前記1または複数の内部のメインアカウントのターゲットアカウントのバーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを問い合わせさせ、
前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、項目10から17のいずれか一項に記載のデバイス。
[項目19]
プロセッサにより実行された場合に、前記プロセッサにクラウドコンピューティングリソースを管理するための方法を実行させるプログラムであって、前記方法は、
アイデンティティ検証プロトコルを使用したネットワークを介した検証サーバとの通信を通じて、前記検証サーバ上の外部アカウントのアイデンティティを検証する段階と、
前記外部アカウントの前記アイデンティティが検証される場合、バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定する段階であって、前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属している段階と
前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可する段階を備える、プログラム。
[項目20]
前記方法は、
前記1の内部のメインアカウントに従属している前記バーチャルサブアカウントを生成する段階であって、前記1の内部のメインアカウントはユーザ名およびパスワードを有し、前記バーチャルサブアカウントは前記外部アカウントを用いてリソースを管理するためのパスワードを有さない、生成する段階と
前記1の内部のメインアカウントの前記リソースを管理するための事前設定済みの権利として前記バーチャルサブアカウントに管理権を割り当てる段階と
前記バーチャルサブアカウントを前記外部アカウントに結び付ける段階とをさらに備える、項目19に記載のプログラム。
[項目21]
クラウドコンピューティングリソースを管理するための方法であって、
検証サーバにより返された外部アカウントのアイデンティティ検証結果を受信する段階と
バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定する段階であって、前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属している、決定する段階と
前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可する段階とを備える、方法。

Claims (21)

  1. クラウドコンピューティングリソースを管理するための方法であって、
    コンピュータが、アイデンティティ検証プロトコルを使用したネットワークを介した検証サーバとの通信を通じて、前記検証サーバ上の外部アカウントのアイデンティティを検証する段階と
    前記外部アカウントの前記アイデンティティが検証される場合、前記コンピュータが、バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定する段階であって、
    前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属している段階と
    前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記コンピュータが、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可する段階とを備える、方法。
  2. 前記外部アカウントの前記アイデンティティを前記検証する段階は、
    前記コンピュータが、前記検証サーバを通じて前記外部アカウントのためのアイデンティティ検証を要求する段階と
    前記コンピュータが、前記検証サーバにより返されたアイデンティティ検証結果のサーバ署名を検証する段階と
    前記サーバ署名が検証される場合、前記コンピュータが、前記外部アカウントの前記アイデンティティが検証されると決定する段階とを有する、請求項1に記載の方法。
  3. 前記コンピュータが、前記1の内部のメインアカウントに従属している前記バーチャルサブアカウントを生成する段階であって、前記1の内部のメインアカウントはユーザ名およびパスワードを有し、前記バーチャルサブアカウントは前記外部アカウントを用いてリソースを管理するためのパスワードを有さない段階と
    前記コンピュータが、前記1の内部のメインアカウントの前記リソースを管理するための事前設定済みの権利として前記バーチャルサブアカウントに管理権を割り当てる段階と
    前記コンピュータが、前記バーチャルサブアカウントを前記外部アカウントに結び付ける段階とをさらに備える、請求項1または2に記載の方法。
  4. 前記コンピュータが、前記1の内部のメインアカウントの前記バーチャルサブアカウントの前記事前設定済みの権利を修正する段階をさらに備え、
    前記事前設定済みの権利を前記修正する段階は前記割り当てる段階の後である、請求項3に記載の方法。
  5. 前記コンピュータが、前記結び付ける段階の後に前記バーチャルサブアカウントを別の外部アカウントに第2の結び付ける段階をさらに備える、請求項3または4に記載の方法。
  6. 前記外部アカウントの前記アイデンティティを前記検証する段階において、前記アイデンティティが前記外部アカウントを通じて検証されない場合、ログイン失敗の原因が表示される、請求項1から5のいずれか一項に記載の方法。
  7. 前記アイデンティティ検証プロトコルは、OAuthプロトコル、SAMLプロトコルおよびOpenIDプロトコルのうちの少なくとも1つを含む、請求項1から6のいずれか一項に記載の方法。
  8. 前記バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを前記決定する段階は、
    前記コンピュータが、前記1または複数の内部のメインアカウントに従属しているバーチャルサブアカウントのいずれかが前記外部アカウントに結び付けられているかどうかを問い合わせる段階を有し、
    前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、請求項1から7のいずれか一項に記載の方法。
  9. 前記バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを前記決定する段階は、
    前記コンピュータが、前記1または複数の内部のメインアカウントのターゲットアカウントのバーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを問い合わせる段階を有し、
    前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、請求項1から8のいずれか一項に記載の方法。
  10. クラウドコンピューティングリソースを管理するためのデバイスであって、
    1または複数のプロセッサと
    ネットワークインタフェースと
    前記1または複数のプロセッサにより実行可能なコンピュータ実行可能命令を記憶したメモリとを備えるデバイスであり、前記コンピュータ実行可能命令は前記デバイスに、
    アイデンティティ検証プロトコルを使用したネットワークを介した検証サーバとの通信を通じて、前記検証サーバ上の外部アカウントのアイデンティティを検証させ、
    前記外部アカウントの前記アイデンティティが検証される場合、バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定させ、前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属し、
    前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可させる、デバイス。
  11. 検証するための前記コンピュータ実行可能命令は、さらに前記デバイスに
    前記検証サーバを通じて前記外部アカウントのためのアイデンティティ検証を要求させ、
    前記検証サーバにより返されたアイデンティティ検証結果のサーバ署名を検証させ、
    前記サーバ署名が検証される場合、前記外部アカウントの前記アイデンティティが検証されると決定させる、請求項10に記載のデバイス。
  12. 前記コンピュータ実行可能命令は、さらに前記デバイスに
    前記1の内部のメインアカウントに従属している前記バーチャルサブアカウントを生成させ、前記1の内部のメインアカウントはユーザ名およびパスワードを有し、前記バーチャルサブアカウントは前記外部アカウントを用いてリソースを管理するためのパスワードを有さず、
    前記1の内部のメインアカウントの前記リソースを管理するための事前設定済みの権利として前記バーチャルサブアカウントに管理権を割り当てさせ、
    前記バーチャルサブアカウントを前記外部アカウントに結び付けさせる、請求項10または11に記載のデバイス。
  13. 前記コンピュータ実行可能命令は、さらに前記デバイスに
    前記1の内部のメインアカウントの前記バーチャルサブアカウントの前記事前設定済みの権利を修正させ、
    前記事前設定済みの権利を前記修正させることは前記割り当てさせることの後である、請求項12に記載のデバイス。
  14. 前記コンピュータ実行可能命令は、さらに前記デバイスに
    結び付けさせる前記コンピュータ実行可能命令の後に前記バーチャルサブアカウントを別の外部アカウントに第2の結び付けさせる、請求項12または13に記載のデバイス。
  15. 前記外部アカウントの前記アイデンティティを検証させる前記コンピュータ実行可能命令において、前記アイデンティティが前記外部アカウントを通じて検証されない場合、ログイン失敗の原因が表示される、請求項10から14のいずれか一項に記載のデバイス。
  16. 前記アイデンティティ検証プロトコルは、OAuthプロトコル、SAMLプロトコルおよびOpenIDプロトコルのうちの少なくとも1つを含む、請求項10から15のいずれか一項に記載のデバイス。
  17. 決定させる前記コンピュータ実行可能命令はさらに前記デバイスに
    前記1または複数の内部のメインアカウントに従属しているバーチャルサブアカウントのいずれかが前記外部アカウントに結び付けられているかどうかを問い合わせさせ、
    前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、請求項10から16のいずれか一項に記載のデバイス。
  18. 決定させる前記コンピュータ実行可能命令はさらに前記デバイスに
    前記1または複数の内部のメインアカウントのターゲットアカウントのバーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを問い合わせさせ、
    前記1または複数の内部のメインアカウントの各々が少なくとも1つの従属しているバーチャルサブアカウントを有する、請求項10から17のいずれか一項に記載のデバイス。
  19. プロセッサにより実行された場合に、前記プロセッサにクラウドコンピューティングリソースを管理するための方法を実行させるプログラムであって、前記方法は、
    アイデンティティ検証プロトコルを使用したネットワークを介した検証サーバとの通信を通じて、前記検証サーバ上の外部アカウントのアイデンティティを検証する段階と、
    前記外部アカウントの前記アイデンティティが検証される場合、バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定する段階であって、前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属している段階と
    前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可する段階を備える、プログラム。
  20. 前記方法は、
    前記1の内部のメインアカウントに従属している前記バーチャルサブアカウントを生成する段階であって、前記1の内部のメインアカウントはユーザ名およびパスワードを有し、前記バーチャルサブアカウントは前記外部アカウントを用いてリソースを管理するためのパスワードを有さない、生成する段階と
    前記1の内部のメインアカウントの前記リソースを管理するための事前設定済みの権利として前記バーチャルサブアカウントに管理権を割り当てる段階と
    前記バーチャルサブアカウントを前記外部アカウントに結び付ける段階とをさらに備える、請求項19に記載のプログラム。
  21. クラウドコンピューティングリソースを管理するための方法であって、
    コンピュータが、検証サーバにより返された外部アカウントのアイデンティティ検証結果を受信する段階と
    前記コンピュータが、バーチャルサブアカウントが前記外部アカウントに結び付けられているかどうかを決定する段階であって、前記バーチャルサブアカウントは前記クラウドコンピューティングリソースを管理するための事前設定済みの権利を有し、前記クラウドコンピューティングリソースは1または複数の内部のメインアカウントに関連付けられており、前記バーチャルサブアカウントは前記1または複数の内部のメインアカウントのうちの1の内部のメインアカウントに従属している、決定する段階と
    前記バーチャルサブアカウントが前記外部アカウントに結び付けられていると決定された場合、前記コンピュータが、前記バーチャルサブアカウントの前記事前設定済みの権利に基づいて前記1の内部のメインアカウントに関連付けられる前記クラウドコンピューティングリソースを管理するべく、前記外部アカウントを許可する段階とを備える、方法。
JP2018500771A 2015-08-10 2016-08-03 外部アカウントを用いてリソースを管理するための方法およびデバイス Active JP6820054B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201510487834.4 2015-08-10
CN201510487834.4A CN106452814B (zh) 2015-08-10 2015-08-10 一种采用外部账户操作资源的方法和装置
US15/226,336 2016-08-02
US15/226,336 US10257051B2 (en) 2015-08-10 2016-08-02 Method and device for managing resources with an external account
PCT/US2016/045434 WO2017027301A1 (en) 2015-08-10 2016-08-03 Method and device for managing resources with an external account

Publications (2)

Publication Number Publication Date
JP2018523866A JP2018523866A (ja) 2018-08-23
JP6820054B2 true JP6820054B2 (ja) 2021-01-27

Family

ID=57996284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018500771A Active JP6820054B2 (ja) 2015-08-10 2016-08-03 外部アカウントを用いてリソースを管理するための方法およびデバイス

Country Status (4)

Country Link
US (1) US10257051B2 (ja)
EP (1) EP3334505B1 (ja)
JP (1) JP6820054B2 (ja)
CN (1) CN106452814B (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107071021A (zh) * 2017-04-10 2017-08-18 深圳第线通信有限公司 一种云计算中立管理方法
CN106973060A (zh) * 2017-04-21 2017-07-21 宁波公众信息产业有限公司 一种视频监控系统
US10715458B1 (en) * 2017-12-08 2020-07-14 Amazon Technologies, Inc. Organization level identity management
CN109377358A (zh) * 2018-08-09 2019-02-22 杭州复杂美科技有限公司 一种资产找回方法、设备和存储介质
US11316862B1 (en) * 2018-09-14 2022-04-26 Plaid Inc. Secure authorization of access to user accounts by one or more authorization mechanisms
CN109347855B (zh) * 2018-11-09 2020-06-05 南京医渡云医学技术有限公司 数据访问方法、装置、系统、电子设计及计算机可读介质
CN109450717B (zh) * 2018-12-27 2021-08-13 深信服科技股份有限公司 一种云平台的管理策略设置方法、系统及相关组件
CN110247927B (zh) * 2019-06-28 2021-12-03 北京金山云网络技术有限公司 一种云计算资源的权限管理方法及装置
CN110602074B (zh) * 2019-08-15 2021-10-22 中国人民银行数字货币研究所 一种基于主从关联的业务身份使用方法、装置及系统
CN111478894B (zh) * 2020-04-03 2022-11-22 深信服科技股份有限公司 一种外部用户授权方法、装置、设备及可读存储介质
CN111784349B (zh) * 2020-06-12 2021-10-22 支付宝(杭州)信息技术有限公司 一种虚拟资源分配方法及系统
WO2022271138A2 (en) * 2021-06-25 2022-12-29 Softtech Yazilim Teknoloji̇leri̇ Araştirma Geli̇şti̇rme Ve Pazarlama Ti̇caret Anoni̇m Şi̇rketi̇ A platform providing multiple applications
CN113934757A (zh) * 2021-10-20 2022-01-14 中国银行股份有限公司 账户信息查询方法及装置

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7248855B2 (en) * 1998-09-15 2007-07-24 Upaid Systems, Ltd. Convergent communications system and method with a rule set for authorizing, debiting, settling and recharging a mobile commerce account
US20040025050A1 (en) * 2002-07-31 2004-02-05 International Business Machines Corporation Mixed address database tool
US7452278B2 (en) * 2003-05-09 2008-11-18 Microsoft Corporation Web access to secure data
US7836298B2 (en) * 2005-12-23 2010-11-16 International Business Machines Corporation Secure identity management
US20130227286A1 (en) 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
US20080091613A1 (en) 2006-09-28 2008-04-17 Microsoft Corporation Rights management in a cloud
JP5093660B2 (ja) * 2007-11-14 2012-12-12 日本電信電話株式会社 コミュニティ通信ネットワーク、通信制御方法、コミュニティ管理サーバ、コミュニティ管理方法、およびプログラム
US7886038B2 (en) 2008-05-27 2011-02-08 Red Hat, Inc. Methods and systems for user identity management in cloud-based networks
US9210173B2 (en) 2008-11-26 2015-12-08 Red Hat, Inc. Securing appliances for use in a cloud computing environment
US8613108B1 (en) 2009-03-26 2013-12-17 Adobe Systems Incorporated Method and apparatus for location-based digital rights management
US8621553B2 (en) 2009-03-31 2013-12-31 Microsoft Corporation Model based security for cloud services
US9312728B2 (en) * 2009-08-24 2016-04-12 Access Business Group International Llc Physical and virtual identification in a wireless power network
US8862720B2 (en) 2009-08-31 2014-10-14 Red Hat, Inc. Flexible cloud management including external clouds
US8549594B2 (en) * 2009-09-18 2013-10-01 Chung-Yu Lin Method of identity authentication and fraudulent phone call verification that utilizes an identification code of a communication device and a dynamic password
US8544068B2 (en) * 2010-11-10 2013-09-24 International Business Machines Corporation Business pre-permissioning in delegated third party authorization
SG182031A1 (en) 2010-12-27 2012-07-30 Mosaic Collaborations Pte Ltd Method, apparatus and computer program productfor managing access to a social network service
US20120246740A1 (en) 2011-03-22 2012-09-27 Brooker Marc J Strong rights management for computing application functionality
EP3217696A1 (en) * 2011-03-23 2017-09-13 InterDigital Patent Holdings, Inc. Device and method for securing network communications
US8668591B2 (en) 2011-06-29 2014-03-11 Amazon Technologies, Inc. Data locker management
JP5797060B2 (ja) * 2011-08-24 2015-10-21 株式会社野村総合研究所 アクセス管理方法およびアクセス管理装置
US9374356B2 (en) * 2011-09-29 2016-06-21 Oracle International Corporation Mobile oauth service
CN103248661A (zh) * 2012-02-13 2013-08-14 宇龙计算机通信科技(深圳)有限公司 账号绑定的方法及其系统
US8819789B2 (en) * 2012-03-07 2014-08-26 Bill.Com, Inc. Method and system for using social networks to verify entity affiliations and identities
US9083692B2 (en) 2012-05-07 2015-07-14 Samsung Electronics Co., Ltd. Apparatus and method of providing security to cloud data to prevent unauthorized access
JP6056384B2 (ja) * 2012-10-31 2017-01-11 株式会社リコー システム及びサービス提供装置
US8875166B2 (en) 2012-11-08 2014-10-28 Sharp Laboratories Of America, Inc. Method and cloud security framework for implementing tenant license verification
US9251545B2 (en) 2013-03-15 2016-02-02 International Business Machines Corporation Rights management for content aggregators
US9300633B2 (en) 2013-03-25 2016-03-29 International Business Machines Corporation Network-level access control management for the cloud
US20140379596A1 (en) 2013-06-23 2014-12-25 Cisco Technology, Inc. Cloud-based auditing and management of licenses to use computer products
US9436807B2 (en) 2013-07-03 2016-09-06 Adobe Systems Incorporated Method and apparatus for providing digital rights management service in the cloud
US9529978B2 (en) 2013-08-28 2016-12-27 Chung Jong Lee Cloud E-DRM system and service method thereof
CN104378342B (zh) * 2014-01-10 2016-04-13 腾讯科技(深圳)有限公司 多账号验证方法、装置及系统

Also Published As

Publication number Publication date
US20170048114A1 (en) 2017-02-16
EP3334505A4 (en) 2019-03-13
US10257051B2 (en) 2019-04-09
EP3334505A1 (en) 2018-06-20
JP2018523866A (ja) 2018-08-23
CN106452814A (zh) 2017-02-22
CN106452814B (zh) 2019-11-26
EP3334505B1 (en) 2021-07-14

Similar Documents

Publication Publication Date Title
JP6820054B2 (ja) 外部アカウントを用いてリソースを管理するための方法およびデバイス
US11290337B2 (en) Hybrid cloud identity mapping infrastructure
CN108234448B (zh) 一种用于浏览器内应用的授权码流
US10320776B2 (en) Protection of application passwords using a secure proxy
US9923906B2 (en) System, method and computer program product for access authentication
US9432353B2 (en) Serialized authentication and authorization services
CN106170964B (zh) 基于不同身份服务的用户虚拟身份
US11323427B2 (en) Mixed-mode cloud on-premise secure communication
US20110145786A1 (en) Remote commands in a shell environment
US20200153814A1 (en) Method for authentication with identity providers
US10021107B1 (en) Methods and systems for managing directory information
CN112953892B (zh) 第三方系统的访问认证方法和装置
WO2017027301A1 (en) Method and device for managing resources with an external account
CN118830229A (zh) 物联网(iot)网络中的授权管理

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190703

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201223

R150 Certificate of patent or registration of utility model

Ref document number: 6820054

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250