TW202324154A - 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 - Google Patents
多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 Download PDFInfo
- Publication number
- TW202324154A TW202324154A TW110146731A TW110146731A TW202324154A TW 202324154 A TW202324154 A TW 202324154A TW 110146731 A TW110146731 A TW 110146731A TW 110146731 A TW110146731 A TW 110146731A TW 202324154 A TW202324154 A TW 202324154A
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- cloud
- management
- application unit
- access
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本發明揭露一種多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介,係提供複數種公有雲之管理服務,並提供整合性服務入口以進行複數種公有雲服務或資源之生命週期管理,且提供使用者圖形化管理介面以供分析複數種公有雲之資訊。此外,使用者身分識別與存取管理微服務執行第一使用者端與第二使用者端之帳戶之生命週期管理,多雲應用認證管理微服務基於開放授權框架整合第一使用者端、第二使用者端、多雲服務管理應用單元、公有雲資源管理應用單元與多雲監控應用單元之核心認證機制,且多雲監控應用介面代理微服務提供一致性之代理介面,以供使用者身分識別與存取管理微服務與多雲監控應用單元之代理介接。
Description
本發明係關於一種身分識別與存取管控技術,特別是指一種多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介。
多雲客戶安全管理技術為雲端系統之核心功能,尤其是多雲整合多種應用服務之身分識別與存取管控系統更為重要,但習知技術大多集中在單一公有雲或私有雲之雲端服務領域。
又,雲端服務、公有雲整合與代理之合作模式為全球資通訊科技產業相當重視之市場,而隨著全球公有雲市場由三大公有雲占有,例如Amazon Web Service(AWS)、Microsoft Azure、Google Cloud Platform(GCP)等公有雲,公有雲之客戶同時使用兩種以上公有雲之服務亦有快速成長之趨勢,使得多雲管理技術之發展更具急迫性與必要性。
現有技術提出一種面向多租戶的身分託管鑒權雲資源存取
控制系統及控制方法,係將雲服務提供者之雲服務業務分為身分鑒權許可部分與雲資源存取控制部分,身分鑒權許可部分之業務託管給雲服務可信之協力廠商,並由協力廠商負責管轄租戶託管之使用者信息和群組信息。
惟,此現有技術之身分識別功能僅能支援單一種雲服務提供商之多租戶,故無法滿足多種公有雲之管理功效,亦缺乏有效之階層式使用者(如根使用者與子使用者)之管理機制。又,經身分許可後,此現有技術之使用者操作服務模組將多租戶進行分組,相同用戶組之使用者具有相同之資源操作權限,卻無法有效確保使用者之角色存取權限管控之使用情境,也無法滿足一個使用者具有複數角色存取權限之使用功效。
因此,如何提供一種創新之身分識別與存取管控技術,以解決上述之任一問題或提供相關之功能(技術/服務),已成為本領域技術人員之一大研究課題。
本發明提供一種創新之多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介,係於多雲管理服務範疇中提供一套整合身分識別技術、存取權限管控技術與複數種異質型應用單元(如多雲服務管理應用單元、公有雲資源管理應用單元、多雲監控應用單元)之機制,或者以身分識別技術基於開放授權框架設計複數種異質型應用單元之帳號同步與認證程序之整合機制,又或者由根使用者端(根使用者)透過使用者管理技術建立與管理複數組子使用者端之資訊,抑或者透過存取權限管控技術賦予子使用者端(子使用者)適當之操作權限。
本發明之多雲整合應用服務之身分識別與存取管控系統包括:一多雲服務管理應用單元、一公有雲資源管理應用單元及一多雲監控應用單元,多雲服務管理應用單元係提供複數種公有雲之管理服務,公有雲資源管理應用單元係提供整合性服務入口以進行複數種公有雲之複數種公有雲服務或資源之生命週期管理,且多雲監控應用單元係提供使用者圖形化管理介面以供分析複數種公有雲上之資源使用率、資源效能或異常狀態;以及一多雲身分識別與存取管控子系統,係具有一使用者身分識別與存取管理微服務、一多雲應用認證管理微服務及一多雲監控應用介面代理微服務,其中,使用者身分識別與存取管理微服務係執行第一使用者端與第二使用者端之帳戶之生命週期管理,多雲應用認證管理微服務係基於開放授權框架整合第一使用者端、第二使用者端、多雲服務管理應用單元、公有雲資源管理應用單元與多雲監控應用單元之核心認證機制,且多雲監控應用介面代理微服務係提供一致性之代理介面以供使用者身分識別與存取管理微服務與多雲監控應用單元之代理介接。
本發明之多雲整合應用服務之身分識別與存取管控方法包括:提供一多雲服務管理應用單元、一公有雲資源管理應用單元、一多雲監控應用單元及一多雲身分識別與存取管控子系統,且多雲身分識別與存取管控子系統具有一使用者身分識別與存取管理微服務、一多雲應用認證管理微服務及一多雲監控應用介面代理微服務;由多雲服務管理應用單元提供複數種公有雲之管理服務,由公有雲資源管理應用單元提供整合性服務入口以進行複數種公有雲之複數種公有雲服務或資源之生命週期管理,且由多雲監控應用單元提供使用者圖形化管理介面以供分析複數種公有雲上之資源使用率、資源效能或異常狀態;以及由使用者身分識別與存取管理微服務執行第一使用者端與第二使用者端之帳戶之生命週期管理,由多
雲應用認證管理微服務基於開放授權框架整合第一使用者端、第二使用者端、多雲服務管理應用單元、公有雲資源管理應用單元與多雲監控應用單元之核心認證機制,且由多雲監控應用介面代理微服務提供一致性之代理介面以供使用者身分識別與存取管理微服務與多雲監控應用單元之代理介接。
本發明之電腦可讀媒介應用於計算裝置或電腦中,係儲存有指令,以執行上述多雲整合應用服務之身分識別與存取管控方法。
為讓本發明之上述特徵與優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容可得而知,或可藉由對本發明之實踐習得。應理解,前文一般描述與以下詳細描述兩者均為例示性及解釋性的,且不欲約束本發明所欲主張之範圍。
1:多雲整合應用服務之身分識別與存取管控系統
10:多雲身分識別與存取管控子系統
11:使用者身分識別與存取管理微服務
12:多雲應用認證管理微服務
13:多雲監控應用介面代理微服務
20:多雲服務管理應用單元
30:公有雲資源管理應用單元
40:多雲監控應用單元
50:公有雲介面代理微服務
60:外部公有雲之管理介面
A:根使用者端
B:子使用者端
B1:第一子使用者端
B2:第二子使用者端
D:角色操作權限資料表結構之關係圖
D1:公有雲合約資料表
D2:根使用者資料表
D3:子使用者資料表
D4:子使用者角色對應資料表
D5:子使用者角色資料表
D6:子使用者存取範圍資料表
D7:子使用者角色與存取範圍對應資料表
D8:子使用者操作權限資料表
D9:子使用者角色與操作權限對應資料表
S11至S18:步驟
S21至S28:步驟
S31至S35:步驟
S41至S55:步驟
圖1為本發明之多雲整合應用服務之身分識別與存取管控系統之架構示意圖。
圖2為本發明之多雲整合應用服務之身分識別與存取管控方法中,有關子使用者管理之流程示意圖。
圖3為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關多雲認證與授權微服務之運作流程示意圖。
圖4為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關角色操作權限資料表結構之關係圖。
圖5為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關多雲認證與授權微服務之多雲服務管理應用單元(或公有雲資源管理應用單元)之實施例流程圖。
圖6A至圖6B為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關多雲認證與授權微服務之多雲監控應用單元之實施例流程圖。
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容了解本發明之其它優點與功效,亦可因而藉由其它不同具體等同實施形態加以施行或運用。
圖1為本發明之多雲整合應用服務之身分識別與存取管控系統1之架構示意圖。如圖所示,在一實施例中,多雲整合應用服務之身分識別與存取管控系統1可為多雲管理系統,且主要包括互相連結或通訊之一多雲身分識別與存取管控子系統10、至少一(如複數)多雲服務管理應用單元20、至少一(如複數)公有雲資源管理應用單元30、至少一(如複數)多雲監控應用單元40、以及至少一(如複數)公有雲介面代理微服務50,亦可進一步連結或通訊根使用者端A(根使用者或第一使用者)、子使用者端B(子使用者或第二使用者)或外部公有雲之管理介面60,且多雲身分識別與存取管控子系統10可具有至少一(如複數)使用者身分識別與存取管理微服務11、至少一(如複數)多雲應用認證管理微服務12、以及至少一(如複數)多雲監控應用介面代理微服務13。要說明的是,本發明所述「複數」代
表二個以上(如二、三、四、十或百個以上),「轉導」代表重新導向,例如轉導網址代表重新導向網址(redirect URL)。
在一實施例中,使用者身分識別與存取管理微服務11可為使用者身分識別與存取管理微服務軟體、使用者身分識別與存取管理微服務程式等,多雲應用認證管理微服務12可為多雲應用認證管理微服務軟體、多雲應用認證管理微服務程式等,多雲監控應用介面代理微服務13可為多雲監控應用介面代理微服務軟體、多雲監控應用介面代理微服務程式等。多雲服務管理應用單元20可為多雲服務管理應用軟體、多雲服務管理應用程式等,公有雲資源管理應用單元30可為公有雲資源管理應用軟體、公有雲資源管理應用程式等,多雲監控應用單元40可為多雲監控應用軟體、多雲監控應用程式等,公有雲介面代理微服務50可為公有雲介面代理微服務軟體、公有雲介面代理微服務程式等。根使用者端(第一使用者端)A、子使用者端(第二使用者端)B可為使用者或其使用者裝置,使用者裝置可為電腦(如個人電腦/筆記型電腦/平板電腦)、智慧型手機、智慧型手錶、智慧型手環等,且子使用者端(第二使用者端)B可為圖5中之第一子使用者端B1或圖6A至圖6B中之第二子使用者端B2。電子裝置可為伺服器(如雲端伺服器)、電腦(如雲端電腦)、主機(如雲端主機)等。但是,本發明並不以此為限。
在一實施例中,多雲整合應用服務之身分識別與存取管控系統1建構於至少一具有處理器或記憶體之電子裝置(圖未示)中,以由電子裝置執行使用者身分識別與存取管理微服務11、多雲應用認證管理微服務12、多雲監控應用介面代理微服務13、多雲服務管理應用單元20、公有雲
資源管理應用單元30、多雲監控應用單元40、公有雲介面代理微服務50等。
例如,多雲整合應用服務之身分識別與存取管控系統1可透過叢集化容器技術部署於至少一電子裝置中,亦能於多雲管理服務範疇中整合身分識別技術(如多雲身分識別技術)、存取權限管控技術與複數種異質型應用單元(如多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40),也能提供根使用者端A(根使用者/第一使用者)、子使用者端B(子使用者/第二使用者)、多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40等之帳號同步與認證程序之整合機制。多雲身分識別與存取管控子系統10之三個微服務(即使用者身分識別與存取管理微服務11、多雲應用認證管理微服務12、多雲監控應用介面代理微服務13)可互相通訊或協同作業,以完成帳號同步與認證程序之整合機制,亦能負責存取權限管控技術。
使用者身分識別與存取管理微服務11可負責執行根使用者端A(根使用者/第一使用者)與子使用者端B(子使用者/第二使用者)兩者之帳戶之生命週期管理,使用者亦可編輯或異動根使用者端A(根使用者/第一使用者)或子使用者端B(子使用者/第二使用者)之帳戶屬性,且使用者身分識別與存取管理微服務11可供根使用者端A(根使用者/第一使用者)編輯或異動子使用者端B(子使用者/第二使用者)之存取權限。又,使用者身分識別與存取管理微服務11可於身分識別程序與認證程序中,提供多雲管理服務入口之安全性登入與登出功能,亦能扮演使用者互動之窗口角色,且使用者身分識別與存取管理微服務11可與多雲應用認證管理微服務12
及多雲監控應用介面代理微服務13互相搭配以執行或完成認證程序。使用者身分識別與存取管理微服務11可於存取權限管控程序中,負責提供用於查詢子使用者端B(子使用者/第二使用者)之存取權限角色與範圍之介面,以供多雲服務管理應用單元20、公有雲資源管理應用單元30及/或多雲監控應用單元40查詢子使用者端B(子使用者/第二使用者)之存取權限角色與範圍,進而依據所查詢之結果過濾子使用者端B(子使用者/第二使用者)之存取權限。
多雲應用認證管理微服務12可基於開放授權框架(如OAuth開放授權框架)整合或延伸整合根使用者端A(根使用者/第一使用者)、子使用者端B(子使用者/第二使用者)、多雲服務管理應用單元20、公有雲資源管理應用單元30與多雲監控應用單元40之核心認證機制。多雲監控應用介面代理微服務13可負責提供一致性之代理介面,以利使用者身分識別與存取管理微服務11能與多雲監控應用單元40之代理介接。
多雲服務管理應用單元20可提供複數種公有雲之管理服務,例如複數種公有雲之最佳化、知識管理、安全性、資產管理等領域、應用或功能。公有雲資源管理應用單元30可提供整合性服務入口,以供使用者管理複數種公有雲之複數種公有雲服務或資源之生命週期管理(如公有雲資源之申請、查詢、刪除等功能)。多雲監控應用單元40可提供使用者圖形化管理介面,以透過使用者圖形化管理介面分析複數種公有雲上之資源使用率、資源效能及/或異常狀態等。公有雲介面代理微服務50可提供一致性之代理介面,以供多雲服務管理應用單元20、公有雲資源管理應用單元30及/或多雲監控應用單元40透過公有雲介面代理微服務50來與外部
公有雲之管理介面60進行整合介接。
上述多雲管理服務為一支援複數種公有雲之整合管理服務,且公有雲可包括但不限於Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)。因此,本發明可於多雲管理服務範疇中設計或提供一套整合身分識別技術(如多雲身分識別技術)、存取權限管控技術(角色存取管控技術)與複數種異質型應用單元(如多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40)之機制,以利提供多雲管理服務具備管控使用者端(如複數組使用者端)之身分識別與存取權限。又,多雲管理服務之根使用者端A(根使用者/第一使用者)可自行透過使用者管理技術預先建立與管理複數組子使用者端B(子使用者/第二使用者)之資訊,並賦予複數組子使用者端B(子使用者/第二使用者)適當之操作權限,以滿足具複數使用者之服務使用情境。
本發明之身分識別技術(如多雲身分識別技術)可基於開放授權框架(如OAuth開放授權框架)延伸整合複數種異質型應用單元(如多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40)之帳號同步與認證程序,提供子使用者端B(子使用者/第二使用者)於複數種異質型應用單元之間無縫切換使用,進而提升使用者體驗與可用性。
又,本發明之存取權限管控技術可依據根使用者端A(根使用者/第一使用者)賦予子使用者端B(子使用者/第二使用者)之複數種角色之存取權限(如多雲管理服務之操作權限、公有雲帳號之存取權限與公有雲資源管理之角色存取權限)進行權限過濾與管控,以滿足根使用者端A(根使用者/第一使用者)與複數組子使用者端B(子使用者/第二使用者)之操作
安全性,亦能提高使用者之業務運用彈性。
圖2為本發明之多雲整合應用服務之身分識別與存取管控方法中有關子使用者管理之流程示意圖,並參閱圖1予以說明。要說明的是,多雲身分識別與存取管控子系統10之使用者身分識別與存取管理微服務11可負責圖2之步驟S11至步驟S18中有關根使用者端A(根使用者/第一使用者)對使用者端B(子使用者/第二使用者)之生命週期管理與存取權限設定。
如圖2所示,在步驟S11中,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11進行子使用者端B(子使用者/第二使用者)之管理,即執行子使用者端B(子使用者/第二使用者)之管理行為。
在步驟S12中,當子使用者端B(子使用者/第二使用者)之管理行為是「刪除」時,則進至步驟S13,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11刪除子使用者端B(子使用者/第二使用者)之資訊(見步驟S13),例如子使用者端B(子使用者/第二使用者)之帳號、密碼或所有資料等資訊,且直接進入步驟S18以完成之。而當子使用者端B(子使用者/第二使用者)之管理行為是「新增或異動」時,則進至步驟S14,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11新增、異動或設定子使用者端B(子使用者/第二使用者)之存取權限(見步驟S14至步驟S17)。
在步驟S14中,當根使用者端A(根使用者/第一使用者)設定子使用者端B(子使用者/第二使用者)之操作權限角色時,根使用者端
A(根使用者/第一使用者)可透過使用者身分識別與存取管理微服務11設定此子使用者端B(子使用者/第二使用者)可允許之複數組操作權限角色,複數組操作權限角色之任一者包括多雲管理服務之多雲服務管理應用單元20、公有雲資源管理應用單元30及/或多雲監控應用單元40中複數種功能項目之操作權限,且操作權限角色之名稱可例如為帳單管理者(如AWS帳單管理者)、監控檢視者(如Azure監控檢視者)、或支援中心檢視者(如GCP支援中心檢視者)等。若步驟14中無設定子使用者端B(子使用者/第二使用者)之操作權限角色,則根使用者端A(根使用者/第一使用者)可透過使用者身分識別與存取管理微服務11將子使用者端B(子使用者/第二使用者)之操作權限角色設定為一般檢視者。
在步驟S15中,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11設定此子使用者端B(子使用者/第二使用者)可允許存取之複數公有雲帳號,且自根使用者端A(根使用者/第一使用者)所屬之公有雲服務合約之有效公有雲帳號集合中選取複數公有雲帳號。
在步驟S16中,根使用者端A(根使用者/第一使用者)可透過使用者身分識別與存取管理微服務11設定此子使用者端B(子使用者/第二使用者)可允許操作管理之公有雲資源管理類型,亦即於公有雲管理應用中,根使用者端A(根使用者/第一使用者)自所支援之公有雲資源集合中選定可允許操作管理之公有雲資源類型。
在步驟S17中,根使用者端A(根使用者/第一使用者)設定完成子使用者端B(子使用者/第二使用者)之存取權限後,使用者身分識別
與存取管理微服務11將依據子使用者端B(子使用者/第二使用者)之管理行為(如新增或異動)建立、新增或異動子使用者端B(子使用者/第二使用者)之資訊。
圖3為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關多雲認證與授權微服務之運作流程示意圖。要說明的是,因多雲服務管理應用單元20與公有雲資源管理應用單元30兩者之運作流程相同或相似,故圖3中僅繪示多雲服務管理應用單元20,但同理可將圖3中之多雲服務管理應用單元20替換成公有雲資源管理應用單元30。
如圖3所示,當子使用者端B(子使用者/第二使用者)發起認證程序之請求時,使用者身分識別與存取管理微服務11、多雲應用認證管理微服務12及多雲監控應用介面代理微服務13整合多雲服務管理應用單元20、公有雲資源管理應用單元30及多雲監控應用單元40等三者之帳號同步與認證程序之整合機制,以及三者之存取權限管控之角色取得時機。
在步驟S21中,由子使用者端B(子使用者/第二使用者)發起登入用戶入口之請求,並將子使用者端B(子使用者/第二使用者)之登入資訊傳送至使用者身分識別與存取管理微服務11,以供使用者身分識別與存取管理微服務11備妥認證符記(如JWT認證符記或稱為JSON Web Tokens)之產製之必要參數,且將認證符記(如JWT認證符記)之必要參數傳送至多雲應用認證管理微服務12以進行認證符記(如JWT認證符記)之產製,再由多雲應用認證管理微服務12將認證符記(如JWT認證符記)核發回子使用者端B(子使用者/第二使用者),俾供子使用者端B(子使用者/
第二使用者)利用認證符記(如JWT認證符記)登入用戶入口。
在步驟S22至步驟S23中,當子使用者端B(子使用者/第二使用者)完成登入用戶入口時,多雲服務管理應用單元20或公有雲資源管理應用單元30可向使用者身分識別與存取管理微服務11取得此子使用者端B(子使用者/第二使用者)之角色存取權限,且子使用者端B(子使用者/第二使用者)可具有正確之存取權限以成功使用多雲服務管理應用單元20或公有雲資源管理應用單元30。
在步驟S24中,當子使用者端B(子使用者/第二使用者)欲使用多雲監控應用單元40時,使用者身分識別與存取管理微服務11可備妥子使用者端B(子使用者/第二使用者)之帳號以建立所需或相關之參數,再向多雲監控應用單元40發起多雲應用之帳號同步機制,在執行帳號同步機制以完成帳號同步後,將由子使用者端B(子使用者/第二使用者)暫存上述步驟S21中所取得之認證符記(如JWT認證符記)。
在步驟S25中,由多雲監控應用單元40向多雲應用認證管理微服務12發起認證(如OAuth認證),以由多雲應用認證管理微服務12確認多雲監控應用單元40之合法性,且於確認完成多雲監控應用單元40之合法性後,由多雲監控應用單元40將一轉導網址(即重新導向網址)傳送至子使用者端B(子使用者/第二使用者)。
在步驟S26中,子使用者端B(子使用者/第二使用者)可使用所暫存之認證符記(如JWT認證符記)作為身分識別,且依據所取得之轉導網址(即重新導向網址)與所暫存之認證符記(如JWT認證符記)向使用者身分識別與存取管理微服務11及多雲應用認證管理微服務12取得多雲監
控應用單元40所屬之授權碼。
在步驟S27中,使用者身分識別與存取管理微服務11可依據授權碼向多雲監控應用單元40同步子使用者端B(子使用者/第二使用者)之帳號資訊與角色存取權限。
在步驟S28中,子使用者端B(子使用者/第二使用者)取得正確之帳號資訊與角色存取權限後,便能成功使用多雲監控應用單元40。
圖4為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關角色操作權限資料表結構之關係圖D,並參閱圖1予以說明。要說明的是,此角色操作權限資料表結構之關係圖D可以完整儲存本發明之存取管控機制所需之資訊,亦能說明根使用者端A(根使用者/第一使用者)、子使用者端B(子使用者/第二使用者)與子使用者角色及存取權限之資料結構之關聯。
根使用者資料表D2記載(存放)所有根使用者端A(根使用者/第一使用者)之資訊(如必要資訊),公有雲合約資料表D1記載(存放)有效合約中此根使用者端A(根使用者/第一使用者)關聯之公有雲帳號,且根使用者資料表D2之一筆根使用者紀錄可關聯至公有雲合約資料表D1之複數筆公有雲合約紀錄(即1對n;n代表複數)。根使用者端A(根使用者/第一使用者)可建立複數組子使用者端B(子使用者/第二使用者)之資訊,以藉由子使用者資料表D3記載(存放)多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)中所有或複數組子使用者端B(子使用者/第二使用者)之資訊(如必要資訊),且將根使用者資料表D2之一筆根使用者紀錄可關聯至子使用者資料表D3之複數筆子使用者紀錄(即1對n)。
如同圖2之說明,當根使用者端A(根使用者/第一使用者)建立子使用者端B(子使用者/第二使用者)之資訊時,根使用者端A(根使用者/第一使用者)可設定子使用者端B(子使用者/第二使用者)之角色存取權限,以將子使用者資料表D3之一筆子使用者紀錄透過子使用者角色對應資料表D4關聯至子使用者角色資料表D5之複數筆子使用者角色紀錄(即1對n)。子使用者角色資料表D5記載(存放)多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)中所有子使用者角色之類型,且子使用者角色資料表D5亦可依據設定之存取權限類型再進行關聯。
若根使用者端A(根使用者/第一使用者)設定子使用者端B(子使用者/第二使用者)之存取權限為關聯公有雲帳號或設定可用之公有雲資源管理類型,則將子使用者存取範圍記載(存放)至子使用者存取範圍資料表D6,且藉由子使用者角色與存取範圍對應資料表D7記載(存放)子使用者角色與子使用者存取範圍之關聯。若根使用者端A(根使用者/第一使用者)設定子使用者端B(子使用者/第二使用者)之操作權限角色,則將子使用者端B(子使用者/第二使用者)之操作權限角色記載(存放)至子使用者操作權限資料表D8,且藉由子使用者角色與操作權限對應資料表D9記載(存放)子使用者角色與子使用者操作權限之關聯。
圖5為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關多雲認證與授權微服務之多雲服務管理應用單元20或公有雲資源管理應用單元30之實施例流程圖。要說明的是,因多雲服務管理應用單元20與公有雲資源管理應用單元30兩者之運作流程相同或相似,故圖5中僅繪示多雲服務管理應用單元20,但同理可將圖5中之多雲
服務管理應用單元20替換成公有雲資源管理應用單元30。
如圖5所示,在步驟S31中,第一子使用者端B1(第一子使用者)使用其帳號(如登入帳號b1)與密碼(如登入密碼pd1)進行登入多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)之用戶入口。
在步驟S32中,當第一子使用者端B1(第一子使用者)成功登入用戶入口時,使用者身分識別與存取管理微服務11可取得多雲應用認證管理微服務12所產製之第一子使用者端B1(第一子使用者)之認證符記(如JWT認證Token或稱為第一認證符記),以將此認證符記(如JWT認證Token)核發或回覆予第一子使用者端B1(第一子使用者)。
在步驟S33中,第一子使用者端B1(第一子使用者)欲使用多雲服務管理應用單元20或公有雲資源管理應用單元30。例如,第一子使用者端B1(第一子使用者)欲使用或檢視多雲服務管理應用單元20之資產管理查詢功能。
在步驟S34中,多雲服務管理應用單元20或公有雲資源管理應用單元30詢問使用者身分識別與存取管理微服務11以取得第一子使用者端B1(第一子使用者)之角色存取權限,並確認第一子使用者端B1(第一子使用者)所具備之角色存取權限。以資產管理查詢功能為例,若第一子使用者端B1(第一子使用者)不具備此角色存取權限(如資產管理查詢功能之資產管理檢視者之角色),則多雲服務管理應用單元20或公有雲資源管理應用單元30需阻擋第一子使用者端B1(第一子使用者)對此角色存取權限(如資產管理查詢功能)之查詢;又,若第一子使用者端B1(第一子使用者)不具備公有雲帳號之存取範圍權限,則多雲服務管理應用單元20或公有雲
資源管理應用單元30需依據第一子使用者端B1(第一子使用者)之存取範圍過濾所查詢或回傳之結果。
在步驟S35中,若第一子使用者端B1(第一子使用者)具備此角色存取權限(如資產管理查詢功能之資產管理檢視者之角色),則多雲服務管理應用單元20或公有雲資源管理應用單元30成功回傳經過濾之查詢結果,亦即回傳具查詢權限之公有雲帳號之結果予第一子使用者端B1(第一子使用者)。
圖6A至圖6B為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關多雲認證與授權微服務之多雲監控應用單元之實施例流程圖,用以闡述第二子使用者端B2(第二子使用者)欲使用多雲監控應用單元40之身分識別與角色存取權限管控之流程,並參閱圖1予以說明。
如圖6A所示,在步驟41中,第二子使用者端B2(第二子使用者)使用其帳號(如登入帳號b2)與密碼(如登入密碼pd2)登入多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)之用戶入口。
在步驟S42中,當第一子使用者端B1(第一子使用者)成功登入用戶入口時,使用者身分識別與存取管理微服務11可取得多雲應用認證管理微服務12所產製之第二子使用者端B2(第二子使用者)之認證符記(如JWT認證Token或稱為第二認證符記),以將此認證符記(如JWT認證Token)核發或回覆予第二子使用者端B2(第二子使用者)。
在步驟S43中,第二子使用者端B2(第二子使用者)發出多雲監控應用單元40之檢視需求至使用者身分識別與存取管理微服務11。
在步驟S44中,多雲應用認證管理微服務12透過多雲監控應用介面代理微服務13向多雲監控應用單元40查詢第二子使用者端B2(第二子使用者)之帳號。若多雲監控應用單元40未曾建立第二子使用者端B2(第二子使用者)之帳號,則建立該帳號。
在步驟S45中,使用者身分識別與存取管理微服務11依據此帳號將上述步驟S42中所取得之認證符記(如JWT認證Token)暫存至第二子使用者端B2(第二子使用者)之本地儲存。
在步驟S46中,使用第二子使用者端B2(第二子使用者)之帳號連接多雲監控應用單元40之登入網址,例如登入網址為https://aaa.bbb.ccc.com.tw/login/generic_oauth。
在步驟S47中,多雲監控應用單元40向多雲應用認證管理微服務12發起認證(如OAuth認證),以由多雲應用認證管理微服務12確認多雲監控應用單元40之合法性而完成認證(如OAuth認證)。
如圖6B所示,在步驟S48中,多雲監控應用單元40利用轉導網址技術(如HTTP 301之轉導網址技術)夾帶一轉導網址(如專用轉導網址),以回覆轉導網址予第二子使用者端B2(第二子使用者)。
在步驟S49中,自第二子使用者端B2(第二子使用者)之本地儲存取回所暫存之認證符記(如JWT認證Token),再清除本地儲存所暫存之認證符記(如JWT認證Token)。
在步驟S50中,第二子使用者端B2(第二子使用者)依據步驟S48中多雲監控應用單元40所夾帶之轉導網址(如專用轉導網址),向多雲應用認證管理微服務12取得多雲監控應用單元40之授權碼。
在步驟S51中,使用第二子使用者端B2(第二子使用者)之帳號再次連接多雲監控應用單元40之登入網址,且夾帶第二子使用者端B2(第二子使用者)之帳號與授權碼以傳送至多雲監控應用單元40。
在步驟S52中,多雲監控應用單元40驗證第二子使用者端B2(第二子使用者)之授權碼。
在步驟S53中,於成功驗證第二子使用者端B2(第二子使用者)之授權碼後,多雲監控應用單元40向使用者身分識別與存取管理微服務11取得及確認第二子使用者端B2(第二子使用者)具備角色存取權限。
在步驟S54中,多雲監控應用單元40確認第二子使用者端B2(第二子使用者)具備多雲監控檢視者之角色。
在步驟S55中,於成功驗證或確認第二子使用者端B2(第二子使用者)具備多雲監控檢視者之角色後,將成功回傳多雲監控應用單元40之資訊予第二子使用者端B2(第二子使用者)。
另外,本發明還提供一種用於多雲整合應用服務之身分識別與存取管控方法之電腦可讀媒介,係應用於具有處理器及/或記憶體之計算裝置或電腦中,且電腦可讀媒介儲存有指令,並可利用計算裝置或電腦透過處理器及/或記憶體執行電腦可讀媒介,以於執行電腦可讀媒介時執行上述內容。
在一實施例中,處理器可為微處理器、中央處理器(CPU)、圖形處理器(GPU)等,記憶體可為隨機存取記憶體(RAM)、記憶卡、硬碟(如雲端/網路硬碟)、資料庫等,但不以此為限。
綜上,本發明之多雲整合應用服務之身分識別與存取管控系
統、方法及其電腦可讀媒介至少具有下列特色、優點或技術功效。
一、本發明能於多雲管理服務範疇中設計或提供一套整合身分識別技術(如多雲身分識別技術)、存取權限管控技術(角色存取管控技術)與複數種異質型應用單元(如多雲服務管理應用單元、公有雲資源管理應用單元、多雲監控應用單元)之機制,以利提供多雲管理服務具備管控使用者端(如複數組使用者端)之身分識別與存取權限。
二、本發明之多雲管理服務之根使用者端(根使用者/第一使用者)可自行透過使用者管理技術預先建立與管理複數組子使用者端(子使用者/第二使用者)之資訊,並賦予子使用者端(子使用者/第二使用者)適當之操作權限,以滿足具複數使用者之服務使用情境。
三、本發明可於多雲管理服務中,提供根使用者端(根使用者/第一使用者)具備子使用者管理技術,以利根使用者端(根使用者/第一使用者)於用戶入口之使用者管理功能中建立、異動或刪除子使用者端(子使用者/第二使用者)之資訊。
四、本發明之根使用者端(根使用者/第一使用者)能設定子使用者端(子使用者/第二使用者)具備複數組之公有雲帳號存取角色,亦能自根使用者端(根使用者/第一使用者)所屬之公有雲服務合約記載之有效公有雲帳號集合中選定可允許存取之複數組公有雲帳號,以利將可允許存取之複數組公有雲帳號設定至公有雲帳號存取角色中。
五、本發明之根使用者端(根使用者/第一使用者)可設定子使用者端(子使用者/第二使用者)具備公有雲資源管理角色,亦能自所支援之公有雲資源集合中選定可允許操作管理之公有雲資源類型以設定至公有雲
資源管理角色中。
六、本發明建立子使用者端(子使用者/第二使用者)之資訊時,可以選擇需賦予子使用者端(子使用者/第二使用者)之角色權限,且角色之屬性包括多雲管理服務之操作權限、公有雲帳號之存取權限及/或公有雲資源管理,而異動子使用者端(子使用者/第二使用者)之資訊時,亦能變更子使用者端(子使用者/第二使用者)目前所具有之角色權限。
七、本發明可以採用階層式使用者(如根使用者與子使用者)之管理機制,且根使用者端(根使用者/第一使用者)能設定子使用者端(子使用者/第二使用者)具備複數組之操作權限角色,複數組操作權限角色之任一者包括多雲管理服務之多雲服務管理應用單元、多雲監控應用單元與公有雲資源管理應用單元其中複數種功能項目之操作權限。
八、當子使用者端(子使用者/第二使用者)登入用戶入口後,本發明能利用存取權限管控技術獲得此子使用者端(子使用者/第二使用者)所具備之操作權限角色,於用戶入口中僅顯示此操作權限角色具備之功能項目,而針對不具備此操作權限角色之功能項目的操作與存取,則能進行過濾與阻擋。
九、當子使用者端(子使用者/第二使用者)登入用戶入口後,本發明能利用存取權限管控技術獲得此子使用者端(子使用者/第二使用者)可允許存取之公有雲帳號之範圍或公有雲資源類型,以利過濾與阻擋不具公有雲帳號之存取權限範圍或資源類型之資源存取與操作。
十、本發明能以身分識別技術(如多雲身分識別技術)基於開放授權框架(如OAuth開放授權框架)設計複數種異質型應用單元之帳號同
步與認證程序之整合機制,以利根使用者端(根使用者/第一使用者)或子使用者端(子使用者/第二使用者)於用戶入口登入後,能快速或便捷地在多雲服務管理應用單元、多雲監控應用單元與公有雲資源管理應用單元等複數種異質型應用單元之間無縫切換使用。
上述實施形態僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均能在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何使用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍應如申請專利範圍所列。
1:多雲整合應用服務之身分識別與存取管控系統
10:多雲身分識別與存取管控子系統
11:使用者身分識別與存取管理微服務
12:多雲應用認證管理微服務
13:多雲監控應用介面代理微服務
20:多雲服務管理應用單元
30:公有雲資源管理應用單元
40:多雲監控應用單元
50:公有雲介面代理微服務
60:外部公有雲之管理介面
A:根使用者端
B:子使用者端
Claims (16)
- 一種多雲整合應用服務之身分識別與存取管控系統,包括:一多雲服務管理應用單元,係提供複數種公有雲之管理服務;一公有雲資源管理應用單元,係提供整合性服務入口以進行該複數種公有雲之複數種公有雲服務或資源之生命週期管理;一多雲監控應用單元,係提供使用者圖形化管理介面以供分析該複數種公有雲上之資源使用率、資源效能或異常狀態;以及一多雲身分識別與存取管控子系統,係具有一使用者身分識別與存取管理微服務、一多雲應用認證管理微服務及一多雲監控應用介面代理微服務,其中,該使用者身分識別與存取管理微服務係執行第一使用者端與第二使用者端之帳戶之生命週期管理,該多雲應用認證管理微服務係基於開放授權框架整合該第一使用者端、該第二使用者端、該多雲服務管理應用單元、該公有雲資源管理應用單元與該多雲監控應用單元之核心認證機制,且該多雲監控應用介面代理微服務係提供一致性之第一代理介面以供該使用者身分識別與存取管理微服務與該多雲監控應用單元之代理介接。
- 如請求項1所述之身分識別與存取管控系統,更包括一公有雲介面代理微服務,係提供一致性之第二代理介面,以供該多雲服務管理應用單元、該公有雲資源管理應用單元或該多雲監控應用單元透過該公有雲介面代理微服務以與外部公有雲之管理介面進行整合介接。
- 如請求項1所述之身分識別與存取管控系統,其中,該使用者身分識別與存取管理微服務係於身分識別程序與認證程序中,提供多雲管理服務入口之安全性登入與登出功能,且該使用者身分識別與存取管 理微服務係與該多雲應用認證管理微服務及該多雲監控應用介面代理微服務互相搭配以執行該認證程序。
- 如請求項1所述之身分識別與存取管控系統,其中,該使用者身分識別與存取管理微服務係於存取權限管控程序中,提供一介面,以供該多雲服務管理應用單元、該公有雲資源管理應用單元或該多雲監控應用單元查詢該第二使用者端之存取權限角色與範圍,進而過濾該第二使用者端之存取權限。
- 如請求項1所述之身分識別與存取管控系統,其中,該第一使用者端係透過該使用者身分識別與存取管理微服務執行該第二使用者端之管理行為,以使該第一使用者端透過該使用者身分識別與存取管理微服務刪除、新增、異動或設定該第二使用者端之資訊或存取權限。
- 如請求項1所述之身分識別與存取管控系統,其中,當該第一使用者端設定該第二使用者端之操作權限角色時,該第一使用者端透過該使用者身分識別與存取管理微服務設定該第二使用者端可允許之複數組操作權限角色。
- 如請求項1所述之身分識別與存取管控系統,其中,該第一使用者端係透過該使用者身分識別與存取管理微服務設定該第二使用者端可允許存取之複數公有雲帳號,且自該第一使用者端所屬之公有雲服務合約之有效公有雲帳號集合中選取該複數公有雲帳號。
- 如請求項1所述之身分識別與存取管控系統,其中,當該第二使用者端發起認證程序之請求時,該使用者身分識別與存取管理微服務、該多雲應用認證管理微服務及該多雲監控應用介面代理微服務整合該多雲服務管理應用單元、該公有雲資源管理應用單元及該多雲監控應用單 元三者之帳號同步與認證程序之機制,以及三者之存取權限管控之角色取得時機。
- 一種多雲整合應用服務之身分識別與存取管控方法,包括:提供一多雲服務管理應用單元、一公有雲資源管理應用單元、一多雲監控應用單元及一多雲身分識別與存取管控子系統,且該多雲身分識別與存取管控子系統具有一使用者身分識別與存取管理微服務、一多雲應用認證管理微服務及一多雲監控應用介面代理微服務;由該多雲服務管理應用單元提供複數種公有雲之管理服務,由該公有雲資源管理應用單元提供整合性服務入口以進行該複數種公有雲之複數種公有雲服務或資源之生命週期管理,且由該多雲監控應用單元提供使用者圖形化管理介面以供分析該複數種公有雲上之資源使用率、資源效能或異常狀態;以及由該使用者身分識別與存取管理微服務執行第一使用者端與第二使用者端之帳戶之生命週期管理,由該多雲應用認證管理微服務基於開放授權框架整合該第一使用者端、該第二使用者端、該多雲服務管理應用單元、該公有雲資源管理應用單元與該多雲監控應用單元之核心認證機制,且由該多雲監控應用介面代理微服務提供一致性之第一代理介面以供該使用者身分識別與存取管理微服務與該多雲監控應用單元之代理介接。
- 如請求項9所述之身分識別與存取管控方法,更包括當該第二子使用者端之一者成功登入用戶入口時,該使用者身分識別與存取管理微服務取得該多雲應用認證管理微服務所產製之該第二使用者端之該者的認證符記,以將該認證符記核發或回覆予該第二使用者端之該者,而當該第二使用者端之該者欲使用該多雲服務管理應用單元或該公有雲資源管理應用單元時,該多雲服務管理應用單元或該公有雲資源管理應用單元 詢問該使用者身分識別與存取管理微服務以確認該第二使用者端之該者所具備之角色存取權限。
- 如請求項10所述之身分識別與存取管控方法,更包若該第二使用者端之該者不具備該角色存取權限,則該多雲服務管理應用單元或該公有雲資源管理應用單元阻擋該第二使用者端之該者對該角色存取權限之查詢,而若該第二使用者端之該者不具備公有雲帳號之存取範圍權限,則該多雲服務管理應用單元或該公有雲資源管理應用單元依據該第二使用者端之該者之存取範圍過濾所查詢之結果。
- 如請求項9所述之身分識別與存取管控方法,更包括當第二使用者端之一者成功登入用戶入口時,該使用者身分識別與存取管理微服務取得該多雲應用認證管理微服務所產製之第二使用者端之另一者的認證符記,以將該認證符記核發或回覆予該第二使用者端之該另一者,再由該多雲應用認證管理微服務透過該多雲監控應用介面代理微服務向該多雲監控應用單元建立該第二使用者端之該另一者之帳號,俾由該使用者身分識別與存取管理微服務依據該帳號將該認證符記暫存至該第二使用者端之該另一者之本地儲存。
- 如請求項9所述之身分識別與存取管控方法,更包括藉由第一使用者資料表記載該第一使用者端之資訊,以藉由公有雲合約資料表記載有效合約中該第一使用者端關聯之公有雲帳號,再將該第一使用者資料表之一筆第一使用者紀錄關聯至該公有雲合約資料表之複數筆公有雲合約紀錄。
- 如請求項9所述之身分識別與存取管控方法,更包括由該第一使用者端建立複數組第二使用者端之資訊,以藉由第二使用者資料 表記載該複數組第二使用者端之資訊,且將第一使用者資料表之一筆第一使用者紀錄關聯至該第二使用者資料表之複數筆第二使用者紀錄。
- 如請求項9所述之身分識別與存取管控方法,更包括當該第一使用者端建立該第二使用者端之資訊時,該第一使用者端設定該第二使用者端之角色存取權限,以將第二使用者資料表之一筆第二使用者紀錄透過第二使用者角色對應資料表關聯至第二使用者角色資料表之複數筆第二使用者角色紀錄。
- 一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行如請求項9至15之任一者所述之多雲整合應用服務之身分識別與存取管控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110146731A TWI825525B (zh) | 2021-12-14 | 2021-12-14 | 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110146731A TWI825525B (zh) | 2021-12-14 | 2021-12-14 | 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202324154A true TW202324154A (zh) | 2023-06-16 |
TWI825525B TWI825525B (zh) | 2023-12-11 |
Family
ID=87803594
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110146731A TWI825525B (zh) | 2021-12-14 | 2021-12-14 | 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI825525B (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI560555B (en) * | 2016-02-05 | 2016-12-01 | Synology Inc | Cloud service server and method for managing cloud service server |
CN109819061B (zh) * | 2018-09-11 | 2021-09-21 | 华为技术有限公司 | 一种在云系统中处理云服务的方法、装置和设备 |
CN109711795A (zh) * | 2018-11-01 | 2019-05-03 | 佛山小易简科技有限公司 | 一种多云协同平台的构建方法及系统 |
CN112580006A (zh) * | 2020-12-24 | 2021-03-30 | 中国建设银行股份有限公司 | 一种多云系统的访问权限控制方法、装置及认证服务器 |
-
2021
- 2021-12-14 TW TW110146731A patent/TWI825525B/zh active
Also Published As
Publication number | Publication date |
---|---|
TWI825525B (zh) | 2023-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6491381B2 (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス | |
CN110557975B (zh) | 用于多租户身份云服务的租户数据比较 | |
CA3038444C (en) | Method for sso service using pki based on blockchain networks, and device and server using the same | |
JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
WO2020052271A1 (zh) | 一种在云系统中处理云服务的方法、装置和设备 | |
JP2019164794A (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのシングルサインオンおよびシングルログアウト機能 | |
WO2013099065A1 (ja) | 認証連携システムおよびidプロバイダ装置 | |
JP2019532418A (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理 | |
JP2019531534A (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントセルフサービストラブルシューティング | |
CN110069908A (zh) | 一种区块链的权限控制方法及装置 | |
US11863562B1 (en) | Authentication and authorization with remotely managed user directories | |
CN109617933A (zh) | 利用表单填充代理应用的基于网络的单点登录 | |
JP5422753B1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
CN102947797A (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
CN106357629B (zh) | 基于数字证书的智能终端身份认证与单点登录系统及方法 | |
CN103370714B (zh) | 认证协作系统、id提供方装置以及其控制方法 | |
CN110247758A (zh) | 密码管理的方法、装置及密码管理器 | |
WO2023221719A1 (zh) | 一种数据处理方法、装置、计算机设备以及可读存储介质 | |
TWI825525B (zh) | 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 | |
CN114422182B (zh) | 一种统一身份管理平台 | |
CN101969426A (zh) | 分布式用户认证系统及其方法 | |
CN115396229A (zh) | 一种基于区块链的跨域资源隔离共享系统 | |
KR100794526B1 (ko) | 개인정보 일괄확인 방법 | |
CN109905365A (zh) | 一种可分布式部署的单点登录及服务授权系统和方法 | |
JP3608508B2 (ja) | 会員管理システム |