TWI825525B - Identity and access management system and method for multi-cloud integrated application service and computer readable medium therefor - Google Patents
Identity and access management system and method for multi-cloud integrated application service and computer readable medium therefor Download PDFInfo
- Publication number
- TWI825525B TWI825525B TW110146731A TW110146731A TWI825525B TW I825525 B TWI825525 B TW I825525B TW 110146731 A TW110146731 A TW 110146731A TW 110146731 A TW110146731 A TW 110146731A TW I825525 B TWI825525 B TW I825525B
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- cloud
- management
- access
- application unit
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012544 monitoring process Methods 0.000 claims abstract description 105
- 238000013475 authorization Methods 0.000 claims abstract description 24
- 230000007246 mechanism Effects 0.000 claims abstract description 21
- 230000008569 process Effects 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 description 40
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 9
- 230000010354 integration Effects 0.000 description 8
- 230000008859 change Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000026683 transduction Effects 0.000 description 2
- 238000010361 transduction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本發明係關於一種身分識別與存取管控技術,特別是指一種多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介。 The present invention relates to an identity recognition and access control technology, and in particular, to an identity recognition and access control system and method for multi-cloud integrated application services and a computer-readable medium thereof.
多雲客戶安全管理技術為雲端系統之核心功能,尤其是多雲整合多種應用服務之身分識別與存取管控系統更為重要,但習知技術大多集中在單一公有雲或私有雲之雲端服務領域。 Multi-cloud customer security management technology is the core function of cloud systems. In particular, multi-cloud identity identification and access control systems that integrate multiple application services are more important. However, most of the existing technologies are concentrated in the cloud service field of a single public cloud or private cloud.
又,雲端服務、公有雲整合與代理之合作模式為全球資通訊科技產業相當重視之市場,而隨著全球公有雲市場由三大公有雲占有,例如Amazon Web Service(AWS)、Microsoft Azure、Google Cloud Platform(GCP)等公有雲,公有雲之客戶同時使用兩種以上公有雲之服務亦有快速成長之趨勢,使得多雲管理技術之發展更具急迫性與必要性。 In addition, the cooperation model of cloud services, public cloud integration and agency is a market that the global information and communication technology industry attaches great importance to. As the global public cloud market is occupied by the three major public clouds, such as Amazon Web Service (AWS), Microsoft Azure, and Google Public clouds such as Cloud Platform (GCP) and public cloud customers using two or more public cloud services at the same time are also growing rapidly, making the development of multi-cloud management technology more urgent and necessary.
現有技術提出一種面向多租戶的身分託管鑒權雲資源存取 控制系統及控制方法,係將雲服務提供者之雲服務業務分為身分鑒權許可部分與雲資源存取控制部分,身分鑒權許可部分之業務託管給雲服務可信之協力廠商,並由協力廠商負責管轄租戶託管之使用者信息和群組信息。 The existing technology proposes a multi-tenant oriented identity hosting authentication cloud resource access The control system and control method divide the cloud service business of the cloud service provider into the identity authentication and permission part and the cloud resource access control part. The business of the identity authentication and permission part is entrusted to a trusted third party of the cloud service, and is managed by the third party. The manufacturer is responsible for managing the user information and group information hosted by the tenant.
惟,此現有技術之身分識別功能僅能支援單一種雲服務提供商之多租戶,故無法滿足多種公有雲之管理功效,亦缺乏有效之階層式使用者(如根使用者與子使用者)之管理機制。又,經身分許可後,此現有技術之使用者操作服務模組將多租戶進行分組,相同用戶組之使用者具有相同之資源操作權限,卻無法有效確保使用者之角色存取權限管控之使用情境,也無法滿足一個使用者具有複數角色存取權限之使用功效。 However, the identity recognition function of this existing technology can only support multi-tenants of a single cloud service provider, so it cannot meet the management functions of multiple public clouds, and it also lacks effective hierarchical users (such as root users and sub-users). management mechanism. In addition, after identity permission, the user operation service module of this prior art groups multiple tenants. Users in the same user group have the same resource operation permissions, but cannot effectively ensure the use of the user's role access permission control. situation, it cannot satisfy the usage function of a user with multiple role access rights.
因此,如何提供一種創新之身分識別與存取管控技術,以解決上述之任一問題或提供相關之功能(技術/服務),已成為本領域技術人員之一大研究課題。 Therefore, how to provide an innovative identity recognition and access control technology to solve any of the above problems or provide related functions (technology/services) has become a major research topic for those skilled in the field.
本發明提供一種創新之多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介,係於多雲管理服務範疇中提供一套整合身分識別技術、存取權限管控技術與複數種異質型應用單元(如多雲服務管理應用單元、公有雲資源管理應用單元、多雲監控應用單元)之機制,或者以身分識別技術基於開放授權框架設計複數種異質型應用單元之帳號同步與認證程序之整合機制,又或者由根使用者端(根使用者)透過使用者管理技術建立與管理複數組子使用者端之資訊,抑或者透過存取權限管控技術賦予子使用者端(子使用者)適當之操作權限。 The present invention provides an innovative multi-cloud integrated application service identity recognition and access management and control system, method and computer-readable medium. It provides a set of integrated identity recognition technology, access authority management and control technology and multiple types of multi-cloud management services in the field of multi-cloud management services. The mechanism of heterogeneous application units (such as multi-cloud service management application units, public cloud resource management application units, multi-cloud monitoring application units), or the use of identity recognition technology based on an open authorization framework to design account synchronization and authentication procedures for multiple heterogeneous application units Integration mechanism, or the root user (root user) creates and manages the information of multiple groups of sub-users through user management technology, or assigns information to sub-users (sub-users) through access control technology Appropriate operating permissions.
本發明之多雲整合應用服務之身分識別與存取管控系統包括:一多雲服務管理應用單元、一公有雲資源管理應用單元及一多雲監控應用單元,多雲服務管理應用單元係提供複數種公有雲之管理服務,公有雲資源管理應用單元係提供整合性服務入口以進行複數種公有雲之複數種公有雲服務或資源之生命週期管理,且多雲監控應用單元係提供使用者圖形化管理介面以供分析複數種公有雲上之資源使用率、資源效能或異常狀態;以及一多雲身分識別與存取管控子系統,係具有一使用者身分識別與存取管理微服務、一多雲應用認證管理微服務及一多雲監控應用介面代理微服務,其中,使用者身分識別與存取管理微服務係執行第一使用者端與第二使用者端之帳戶之生命週期管理,多雲應用認證管理微服務係基於開放授權框架整合第一使用者端、第二使用者端、多雲服務管理應用單元、公有雲資源管理應用單元與多雲監控應用單元之核心認證機制,且多雲監控應用介面代理微服務係提供一致性之代理介面以供使用者身分識別與存取管理微服務與多雲監控應用單元之代理介接。 The identity identification and access management and control system of multi-cloud integrated application services of the present invention includes: a multi-cloud service management application unit, a public cloud resource management application unit and a multi-cloud monitoring application unit. The multi-cloud service management application unit provides a plurality of public As a cloud management service, the public cloud resource management application unit provides an integrated service portal for life cycle management of multiple public cloud services or resources in multiple public clouds, and the multi-cloud monitoring application unit provides a user graphical management interface to For analyzing resource usage, resource performance or abnormal status on multiple public clouds; and a multi-cloud identity identification and access management subsystem, which has a user identity and access management microservice and a multi-cloud application authentication management Microservices and a multi-cloud monitoring application interface agent microservice. Among them, the user identity identification and access management microservice performs life cycle management of accounts on the first user side and the second user side, and the multi-cloud application authentication management microservice The service is based on the open authorization framework and integrates the core authentication mechanism of the first user end, the second user end, the multi-cloud service management application unit, the public cloud resource management application unit and the multi-cloud monitoring application unit, and the multi-cloud monitoring application interface agent microservice system Provide a consistent proxy interface for user identification and access management microservices and proxy interfaces with multi-cloud monitoring application units.
本發明之多雲整合應用服務之身分識別與存取管控方法包括:提供一多雲服務管理應用單元、一公有雲資源管理應用單元、一多雲監控應用單元及一多雲身分識別與存取管控子系統,且多雲身分識別與存取管控子系統具有一使用者身分識別與存取管理微服務、一多雲應用認證管理微服務及一多雲監控應用介面代理微服務;由多雲服務管理應用單元提供複數種公有雲之管理服務,由公有雲資源管理應用單元提供整合性服務入口以進行複數種公有雲之複數種公有雲服務或資源之生命週期管理,且由多雲監控應用單元提供使用者圖形化管理介面以供分析複數種公有雲上之資源使用率、資源效能或異常狀態;以及由使用者身分識別與存取管理微服務執行第一使用者端與第二使用者端之帳戶之生命週期管理,由多 雲應用認證管理微服務基於開放授權框架整合第一使用者端、第二使用者端、多雲服務管理應用單元、公有雲資源管理應用單元與多雲監控應用單元之核心認證機制,且由多雲監控應用介面代理微服務提供一致性之代理介面以供使用者身分識別與存取管理微服務與多雲監控應用單元之代理介接。 The identity identification and access control method of multi-cloud integrated application services of the present invention includes: providing a multi-cloud service management application unit, a public cloud resource management application unit, a multi-cloud monitoring application unit and a multi-cloud identity identification and access control subsystem, and the multi-cloud identity identification and access management subsystem has a user identity identification and access management microservice, a multi-cloud application authentication management microservice and a multi-cloud monitoring application interface agent microservice; the multi-cloud service management application The unit provides management services for multiple public clouds. The public cloud resource management application unit provides an integrated service portal for life cycle management of multiple public cloud services or resources of multiple public clouds. The multi-cloud monitoring application unit provides users with Graphical management interface for analyzing resource usage, resource performance or abnormal status on multiple public clouds; and user identification and access management microservices to execute the account life of the first user and the second user. Cycle management, consisting of multiple The cloud application authentication management microservice integrates the core authentication mechanisms of the first user end, the second user end, the multi-cloud service management application unit, the public cloud resource management application unit and the multi-cloud monitoring application unit based on the open authorization framework, and is controlled by the multi-cloud monitoring application The interface proxy microservice provides a consistent proxy interface for user identification and access management microservices and proxy interfaces with multi-cloud monitoring application units.
本發明之電腦可讀媒介應用於計算裝置或電腦中,係儲存有指令,以執行上述多雲整合應用服務之身分識別與存取管控方法。 The computer-readable medium of the present invention is used in a computing device or computer and stores instructions to execute the identity identification and access control method of the multi-cloud integrated application service.
為讓本發明之上述特徵與優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容可得而知,或可藉由對本發明之實踐習得。應理解,前文一般描述與以下詳細描述兩者均為例示性及解釋性的,且不欲約束本發明所欲主張之範圍。 In order to make the above-mentioned features and advantages of the present invention more obvious and easy to understand, embodiments are given below and explained in detail with reference to the accompanying drawings. Additional features and advantages of the invention will be set forth in the description which follows, and in part will be apparent from the description, or may be learned by practice of the invention. It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are not intended to limit the scope of the invention.
1:多雲整合應用服務之身分識別與存取管控系統 1: Identity identification and access control system for multi-cloud integrated application services
10:多雲身分識別與存取管控子系統 10: Multi-cloud identity recognition and access control subsystem
11:使用者身分識別與存取管理微服務 11:User identity identification and access management microservices
12:多雲應用認證管理微服務 12: Multi-cloud application authentication management microservices
13:多雲監控應用介面代理微服務 13: Multi-cloud monitoring application interface proxy microservice
20:多雲服務管理應用單元 20:Multi-cloud service management application unit
30:公有雲資源管理應用單元 30: Public cloud resource management application unit
40:多雲監控應用單元 40: Multi-cloud monitoring application unit
50:公有雲介面代理微服務 50: Public cloud interface proxy microservices
60:外部公有雲之管理介面 60: Management interface of external public cloud
A:根使用者端 A:Root client
B:子使用者端 B: Sub-user
B1:第一子使用者端 B1: First sub-user
B2:第二子使用者端 B2: Second sub-user
D:角色操作權限資料表結構之關係圖 D: Relationship diagram of role operation permission data table structure
D1:公有雲合約資料表 D1: Public cloud contract data sheet
D2:根使用者資料表 D2: Root user data table
D3:子使用者資料表 D3: Sub-user data table
D4:子使用者角色對應資料表 D4: Sub-user role corresponding data table
D5:子使用者角色資料表 D5: Sub-user role data table
D6:子使用者存取範圍資料表 D6: Sub-user access scope data table
D7:子使用者角色與存取範圍對應資料表 D7: Data table corresponding to sub-user roles and access scopes
D8:子使用者操作權限資料表 D8: Sub-user operation permission data table
D9:子使用者角色與操作權限對應資料表 D9: Data table corresponding to sub-user roles and operation permissions
S11至S18:步驟 S11 to S18: Steps
S21至S28:步驟 S21 to S28: Steps
S31至S35:步驟 S31 to S35: Steps
S41至S55:步驟 S41 to S55: Steps
圖1為本發明之多雲整合應用服務之身分識別與存取管控系統之架構示意圖。 Figure 1 is a schematic structural diagram of the identity recognition and access management and control system of multi-cloud integrated application services of the present invention.
圖2為本發明之多雲整合應用服務之身分識別與存取管控方法中,有關子使用者管理之流程示意圖。 FIG. 2 is a schematic flowchart of sub-user management in the identity identification and access control method of multi-cloud integrated application services of the present invention.
圖3為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關多雲認證與授權微服務之運作流程示意圖。 Figure 3 is a schematic diagram of the operation flow of multi-cloud authentication and authorization microservices in the identity identification and access management and control system and method of multi-cloud integrated application services of the present invention.
圖4為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關角色操作權限資料表結構之關係圖。 FIG. 4 is a diagram illustrating the structure of the role operation authority data table in the identity recognition and access management and control system and method of the multi-cloud integrated application service of the present invention.
圖5為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關多雲認證與授權微服務之多雲服務管理應用單元(或公有雲資源管理應用單元)之實施例流程圖。 Figure 5 is an embodiment flow chart of a multi-cloud service management application unit (or public cloud resource management application unit) related to multi-cloud authentication and authorization microservices in the identity identification and access management and control system and method of multi-cloud integrated application services of the present invention. .
圖6A至圖6B為本發明之多雲整合應用服務之身分識別與存取管控系統及其方法中,有關多雲認證與授權微服務之多雲監控應用單元之實施例流程圖。 6A to 6B are flow charts of an embodiment of a multi-cloud monitoring application unit related to multi-cloud authentication and authorization microservices in the identity identification and access management and control system and method of multi-cloud integrated application services of the present invention.
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容了解本發明之其它優點與功效,亦可因而藉由其它不同具體等同實施形態加以施行或運用。 The following describes the embodiments of the present invention through specific specific embodiments. Those skilled in the art can understand other advantages and effects of the present invention from the content disclosed in this specification, and can also implement it through other different specific equivalent embodiments or Use.
圖1為本發明之多雲整合應用服務之身分識別與存取管控系統1之架構示意圖。如圖所示,在一實施例中,多雲整合應用服務之身分識別與存取管控系統1可為多雲管理系統,且主要包括互相連結或通訊之一多雲身分識別與存取管控子系統10、至少一(如複數)多雲服務管理應用單元20、至少一(如複數)公有雲資源管理應用單元30、至少一(如複數)多雲監控應用單元40、以及至少一(如複數)公有雲介面代理微服務50,亦可進一步連結或通訊根使用者端A(根使用者或第一使用者)、子使用者端B(子使用者或第二使用者)或外部公有雲之管理介面60,且多雲身分識別與存取管控子系統10可具有至少一(如複數)使用者身分識別與存取管理微服務11、至少一(如複數)多雲應用認證管理微服務12、以及至少一(如複數)多雲監控應用介面代理微服務13。要說明的是,本發明所述「複數」代
表二個以上(如二、三、四、十或百個以上),「轉導」代表重新導向,例如轉導網址代表重新導向網址(redirect URL)。
Figure 1 is a schematic structural diagram of the identity recognition and access management and
在一實施例中,使用者身分識別與存取管理微服務11可為使用者身分識別與存取管理微服務軟體、使用者身分識別與存取管理微服務程式等,多雲應用認證管理微服務12可為多雲應用認證管理微服務軟體、多雲應用認證管理微服務程式等,多雲監控應用介面代理微服務13可為多雲監控應用介面代理微服務軟體、多雲監控應用介面代理微服務程式等。多雲服務管理應用單元20可為多雲服務管理應用軟體、多雲服務管理應用程式等,公有雲資源管理應用單元30可為公有雲資源管理應用軟體、公有雲資源管理應用程式等,多雲監控應用單元40可為多雲監控應用軟體、多雲監控應用程式等,公有雲介面代理微服務50可為公有雲介面代理微服務軟體、公有雲介面代理微服務程式等。根使用者端(第一使用者端)A、子使用者端(第二使用者端)B可為使用者或其使用者裝置,使用者裝置可為電腦(如個人電腦/筆記型電腦/平板電腦)、智慧型手機、智慧型手錶、智慧型手環等,且子使用者端(第二使用者端)B可為圖5中之第一子使用者端B1或圖6A至圖6B中之第二子使用者端B2。電子裝置可為伺服器(如雲端伺服器)、電腦(如雲端電腦)、主機(如雲端主機)等。但是,本發明並不以此為限。
In one embodiment, the user identity identification and
在一實施例中,多雲整合應用服務之身分識別與存取管控系統1建構於至少一具有處理器或記憶體之電子裝置(圖未示)中,以由電子裝置執行使用者身分識別與存取管理微服務11、多雲應用認證管理微服務12、多雲監控應用介面代理微服務13、多雲服務管理應用單元20、公有雲
資源管理應用單元30、多雲監控應用單元40、公有雲介面代理微服務50等。
In one embodiment, the identity recognition and
例如,多雲整合應用服務之身分識別與存取管控系統1可透過叢集化容器技術部署於至少一電子裝置中,亦能於多雲管理服務範疇中整合身分識別技術(如多雲身分識別技術)、存取權限管控技術與複數種異質型應用單元(如多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40),也能提供根使用者端A(根使用者/第一使用者)、子使用者端B(子使用者/第二使用者)、多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40等之帳號同步與認證程序之整合機制。多雲身分識別與存取管控子系統10之三個微服務(即使用者身分識別與存取管理微服務11、多雲應用認證管理微服務12、多雲監控應用介面代理微服務13)可互相通訊或協同作業,以完成帳號同步與認證程序之整合機制,亦能負責存取權限管控技術。
For example, the identity recognition and
使用者身分識別與存取管理微服務11可負責執行根使用者端A(根使用者/第一使用者)與子使用者端B(子使用者/第二使用者)兩者之帳戶之生命週期管理,使用者亦可編輯或異動根使用者端A(根使用者/第一使用者)或子使用者端B(子使用者/第二使用者)之帳戶屬性,且使用者身分識別與存取管理微服務11可供根使用者端A(根使用者/第一使用者)編輯或異動子使用者端B(子使用者/第二使用者)之存取權限。又,使用者身分識別與存取管理微服務11可於身分識別程序與認證程序中,提供多雲管理服務入口之安全性登入與登出功能,亦能扮演使用者互動之窗口角色,且使用者身分識別與存取管理微服務11可與多雲應用認證管理微服務12
及多雲監控應用介面代理微服務13互相搭配以執行或完成認證程序。使用者身分識別與存取管理微服務11可於存取權限管控程序中,負責提供用於查詢子使用者端B(子使用者/第二使用者)之存取權限角色與範圍之介面,以供多雲服務管理應用單元20、公有雲資源管理應用單元30及/或多雲監控應用單元40查詢子使用者端B(子使用者/第二使用者)之存取權限角色與範圍,進而依據所查詢之結果過濾子使用者端B(子使用者/第二使用者)之存取權限。
The user identification and
多雲應用認證管理微服務12可基於開放授權框架(如OAuth開放授權框架)整合或延伸整合根使用者端A(根使用者/第一使用者)、子使用者端B(子使用者/第二使用者)、多雲服務管理應用單元20、公有雲資源管理應用單元30與多雲監控應用單元40之核心認證機制。多雲監控應用介面代理微服務13可負責提供一致性之代理介面,以利使用者身分識別與存取管理微服務11能與多雲監控應用單元40之代理介接。
The multi-cloud application
多雲服務管理應用單元20可提供複數種公有雲之管理服務,例如複數種公有雲之最佳化、知識管理、安全性、資產管理等領域、應用或功能。公有雲資源管理應用單元30可提供整合性服務入口,以供使用者管理複數種公有雲之複數種公有雲服務或資源之生命週期管理(如公有雲資源之申請、查詢、刪除等功能)。多雲監控應用單元40可提供使用者圖形化管理介面,以透過使用者圖形化管理介面分析複數種公有雲上之資源使用率、資源效能及/或異常狀態等。公有雲介面代理微服務50可提供一致性之代理介面,以供多雲服務管理應用單元20、公有雲資源管理應用單元30及/或多雲監控應用單元40透過公有雲介面代理微服務50來與外部
公有雲之管理介面60進行整合介接。
The multi-cloud service
上述多雲管理服務為一支援複數種公有雲之整合管理服務,且公有雲可包括但不限於Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)。因此,本發明可於多雲管理服務範疇中設計或提供一套整合身分識別技術(如多雲身分識別技術)、存取權限管控技術(角色存取管控技術)與複數種異質型應用單元(如多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40)之機制,以利提供多雲管理服務具備管控使用者端(如複數組使用者端)之身分識別與存取權限。又,多雲管理服務之根使用者端A(根使用者/第一使用者)可自行透過使用者管理技術預先建立與管理複數組子使用者端B(子使用者/第二使用者)之資訊,並賦予複數組子使用者端B(子使用者/第二使用者)適當之操作權限,以滿足具複數使用者之服務使用情境。
The above-mentioned multi-cloud management service is an integrated management service that supports multiple public clouds, and public clouds can include but are not limited to Amazon Web Services (AWS), Microsoft Azure, and Google Cloud Platform (GCP). Therefore, the present invention can design or provide a set of integrated identity recognition technology (such as multi-cloud identity recognition technology), access permission management and control technology (role access control technology) and multiple heterogeneous application units (such as multi-cloud management service) in the field of multi-cloud management services. The mechanisms of the service
本發明之身分識別技術(如多雲身分識別技術)可基於開放授權框架(如OAuth開放授權框架)延伸整合複數種異質型應用單元(如多雲服務管理應用單元20、公有雲資源管理應用單元30、多雲監控應用單元40)之帳號同步與認證程序,提供子使用者端B(子使用者/第二使用者)於複數種異質型應用單元之間無縫切換使用,進而提升使用者體驗與可用性。
The identity recognition technology of the present invention (such as multi-cloud identity recognition technology) can be extended to integrate multiple heterogeneous application units (such as multi-cloud service
又,本發明之存取權限管控技術可依據根使用者端A(根使用者/第一使用者)賦予子使用者端B(子使用者/第二使用者)之複數種角色之存取權限(如多雲管理服務之操作權限、公有雲帳號之存取權限與公有雲資源管理之角色存取權限)進行權限過濾與管控,以滿足根使用者端A(根使用者/第一使用者)與複數組子使用者端B(子使用者/第二使用者)之操作 安全性,亦能提高使用者之業務運用彈性。 In addition, the access rights management and control technology of the present invention can grant access to multiple roles based on the root user A (root user/first user) to the sub-user B (sub-user/second user). Permissions (such as operating permissions for multi-cloud management services, access permissions for public cloud accounts, and role access permissions for public cloud resource management) are filtered and controlled to satisfy the root user A (root user/first user) ) and the operation of the complex group sub-user B (sub-user/second user) Security can also improve users’ business application flexibility.
圖2為本發明之多雲整合應用服務之身分識別與存取管控方法中有關子使用者管理之流程示意圖,並參閱圖1予以說明。要說明的是,多雲身分識別與存取管控子系統10之使用者身分識別與存取管理微服務11可負責圖2之步驟S11至步驟S18中有關根使用者端A(根使用者/第一使用者)對使用者端B(子使用者/第二使用者)之生命週期管理與存取權限設定。
FIG. 2 is a schematic flow diagram of sub-user management in the identity identification and access control method of multi-cloud integrated application services of the present invention, and refer to FIG. 1 for explanation. It should be noted that the user identity identification and
如圖2所示,在步驟S11中,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11進行子使用者端B(子使用者/第二使用者)之管理,即執行子使用者端B(子使用者/第二使用者)之管理行為。
As shown in FIG. 2 , in step S11 , the root user A (root user/first user) performs operations on the sub-user B (sub-user/first user) through the user identity identification and
在步驟S12中,當子使用者端B(子使用者/第二使用者)之管理行為是「刪除」時,則進至步驟S13,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11刪除子使用者端B(子使用者/第二使用者)之資訊(見步驟S13),例如子使用者端B(子使用者/第二使用者)之帳號、密碼或所有資料等資訊,且直接進入步驟S18以完成之。而當子使用者端B(子使用者/第二使用者)之管理行為是「新增或異動」時,則進至步驟S14,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11新增、異動或設定子使用者端B(子使用者/第二使用者)之存取權限(見步驟S14至步驟S17)。 In step S12, when the management behavior of the sub-user B (sub-user/second user) is "delete", then proceed to step S13, and the root user A (root user/first user) ) deletes the information of sub-user B (sub-user/second user) through the user identity identification and access management microservice 11 (see step S13), for example, sub-user B (sub-user/second user) user) account, password or all information, and directly enter step S18 to complete it. When the management behavior of sub-user B (sub-user/second user) is "add or change", then proceed to step S14, root user A (root user/first user) Add, change or set the access rights of sub-user B (sub-user/second user) through the user identity identification and access management microservice 11 (see steps S14 to S17).
在步驟S14中,當根使用者端A(根使用者/第一使用者)設定子使用者端B(子使用者/第二使用者)之操作權限角色時,根使用者端
A(根使用者/第一使用者)可透過使用者身分識別與存取管理微服務11設定此子使用者端B(子使用者/第二使用者)可允許之複數組操作權限角色,複數組操作權限角色之任一者包括多雲管理服務之多雲服務管理應用單元20、公有雲資源管理應用單元30及/或多雲監控應用單元40中複數種功能項目之操作權限,且操作權限角色之名稱可例如為帳單管理者(如AWS帳單管理者)、監控檢視者(如Azure監控檢視者)、或支援中心檢視者(如GCP支援中心檢視者)等。若步驟14中無設定子使用者端B(子使用者/第二使用者)之操作權限角色,則根使用者端A(根使用者/第一使用者)可透過使用者身分識別與存取管理微服務11將子使用者端B(子使用者/第二使用者)之操作權限角色設定為一般檢視者。
In step S14, when the root user A (root user/first user) sets the operation authority role of the sub-user B (sub-user/second user), the root user
A (root user/first user) can set multiple sets of operation permission roles allowed by this sub-user B (sub-user/second user) through the user identity identification and
在步驟S15中,根使用者端A(根使用者/第一使用者)透過使用者身分識別與存取管理微服務11設定此子使用者端B(子使用者/第二使用者)可允許存取之複數公有雲帳號,且自根使用者端A(根使用者/第一使用者)所屬之公有雲服務合約之有效公有雲帳號集合中選取複數公有雲帳號。
In step S15, the root user A (root user/first user) sets the sub-user B (sub-user/second user) through the user identity identification and
在步驟S16中,根使用者端A(根使用者/第一使用者)可透過使用者身分識別與存取管理微服務11設定此子使用者端B(子使用者/第二使用者)可允許操作管理之公有雲資源管理類型,亦即於公有雲管理應用中,根使用者端A(根使用者/第一使用者)自所支援之公有雲資源集合中選定可允許操作管理之公有雲資源類型。
In step S16, the root user A (root user/first user) can configure the sub-user B (sub-user/second user) through the user identity identification and
在步驟S17中,根使用者端A(根使用者/第一使用者)設定完成子使用者端B(子使用者/第二使用者)之存取權限後,使用者身分識別
與存取管理微服務11將依據子使用者端B(子使用者/第二使用者)之管理行為(如新增或異動)建立、新增或異動子使用者端B(子使用者/第二使用者)之資訊。
In step S17, after the root user A (root user/first user) completes setting the access rights of the sub-user B (sub-user/second user), the user identity is identified.
The
圖3為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關多雲認證與授權微服務之運作流程示意圖。要說明的是,因多雲服務管理應用單元20與公有雲資源管理應用單元30兩者之運作流程相同或相似,故圖3中僅繪示多雲服務管理應用單元20,但同理可將圖3中之多雲服務管理應用單元20替換成公有雲資源管理應用單元30。
Figure 3 is a schematic diagram of the operation flow of multi-cloud authentication and authorization microservices in the identity identification and access management and
如圖3所示,當子使用者端B(子使用者/第二使用者)發起認證程序之請求時,使用者身分識別與存取管理微服務11、多雲應用認證管理微服務12及多雲監控應用介面代理微服務13整合多雲服務管理應用單元20、公有雲資源管理應用單元30及多雲監控應用單元40等三者之帳號同步與認證程序之整合機制,以及三者之存取權限管控之角色取得時機。
As shown in Figure 3, when sub-user B (sub-user/second user) initiates a request for the authentication process, the user identity identification and
在步驟S21中,由子使用者端B(子使用者/第二使用者)發起登入用戶入口之請求,並將子使用者端B(子使用者/第二使用者)之登入資訊傳送至使用者身分識別與存取管理微服務11,以供使用者身分識別與存取管理微服務11備妥認證符記(如JWT認證符記或稱為JSON Web Tokens)之產製之必要參數,且將認證符記(如JWT認證符記)之必要參數傳送至多雲應用認證管理微服務12以進行認證符記(如JWT認證符記)之產製,再由多雲應用認證管理微服務12將認證符記(如JWT認證符記)核發回子使用者端B(子使用者/第二使用者),俾供子使用者端B(子使用者/
第二使用者)利用認證符記(如JWT認證符記)登入用戶入口。
In step S21, the sub-user B (sub-user/second user) initiates a request to log in to the user portal, and the login information of the sub-user B (sub-user/second user) is sent to the user The user identification and
在步驟S22至步驟S23中,當子使用者端B(子使用者/第二使用者)完成登入用戶入口時,多雲服務管理應用單元20或公有雲資源管理應用單元30可向使用者身分識別與存取管理微服務11取得此子使用者端B(子使用者/第二使用者)之角色存取權限,且子使用者端B(子使用者/第二使用者)可具有正確之存取權限以成功使用多雲服務管理應用單元20或公有雲資源管理應用單元30。
In steps S22 to S23, when the sub-user B (sub-user/second user) completes logging in to the user portal, the multi-cloud service
在步驟S24中,當子使用者端B(子使用者/第二使用者)欲使用多雲監控應用單元40時,使用者身分識別與存取管理微服務11可備妥子使用者端B(子使用者/第二使用者)之帳號以建立所需或相關之參數,再向多雲監控應用單元40發起多雲應用之帳號同步機制,在執行帳號同步機制以完成帳號同步後,將由子使用者端B(子使用者/第二使用者)暫存上述步驟S21中所取得之認證符記(如JWT認證符記)。
In step S24, when the sub-user B (sub-user/second user) wants to use the multi-cloud
在步驟S25中,由多雲監控應用單元40向多雲應用認證管理微服務12發起認證(如OAuth認證),以由多雲應用認證管理微服務12確認多雲監控應用單元40之合法性,且於確認完成多雲監控應用單元40之合法性後,由多雲監控應用單元40將一轉導網址(即重新導向網址)傳送至子使用者端B(子使用者/第二使用者)。
In step S25, the multi-cloud
在步驟S26中,子使用者端B(子使用者/第二使用者)可使用所暫存之認證符記(如JWT認證符記)作為身分識別,且依據所取得之轉導網址(即重新導向網址)與所暫存之認證符記(如JWT認證符記)向使用者身分識別與存取管理微服務11及多雲應用認證管理微服務12取得多雲監
控應用單元40所屬之授權碼。
In step S26, the sub-user B (sub-user/second user) can use the temporarily stored authentication token (such as JWT authentication token) as identity recognition, and based on the obtained redirection URL (i.e. Redirect URL) and the temporarily stored authentication token (such as JWT authentication token) obtain the multi-cloud monitoring from the user identification and
在步驟S27中,使用者身分識別與存取管理微服務11可依據授權碼向多雲監控應用單元40同步子使用者端B(子使用者/第二使用者)之帳號資訊與角色存取權限。
In step S27, the user identity identification and
在步驟S28中,子使用者端B(子使用者/第二使用者)取得正確之帳號資訊與角色存取權限後,便能成功使用多雲監控應用單元40。
In step S28, after sub-user B (sub-user/second user) obtains correct account information and role access rights, the multi-cloud
圖4為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關角色操作權限資料表結構之關係圖D,並參閱圖1予以說明。要說明的是,此角色操作權限資料表結構之關係圖D可以完整儲存本發明之存取管控機制所需之資訊,亦能說明根使用者端A(根使用者/第一使用者)、子使用者端B(子使用者/第二使用者)與子使用者角色及存取權限之資料結構之關聯。
Figure 4 is a relationship diagram D showing the structure of the role operation authority data table in the identity recognition and access management and
根使用者資料表D2記載(存放)所有根使用者端A(根使用者/第一使用者)之資訊(如必要資訊),公有雲合約資料表D1記載(存放)有效合約中此根使用者端A(根使用者/第一使用者)關聯之公有雲帳號,且根使用者資料表D2之一筆根使用者紀錄可關聯至公有雲合約資料表D1之複數筆公有雲合約紀錄(即1對n;n代表複數)。根使用者端A(根使用者/第一使用者)可建立複數組子使用者端B(子使用者/第二使用者)之資訊,以藉由子使用者資料表D3記載(存放)多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)中所有或複數組子使用者端B(子使用者/第二使用者)之資訊(如必要資訊),且將根使用者資料表D2之一筆根使用者紀錄可關聯至子使用者資料表D3之複數筆子使用者紀錄(即1對n)。
The root user data table D2 records (stores) the information (if necessary information) of all root user A (root user/first user), and the public cloud contract data table D1 records (stores) the use of this root in the valid contract. The public cloud account associated with client A (root user/first user), and a root user record in the root user data table D2 can be related to multiple public cloud contract records in the public cloud contract data table D1 (i.e. 1 versus n; n represents a plural number). The root user A (root user/first user) can create multiple groups of information of the sub-user B (sub-user/second user) to record (store) the multi-cloud through the sub-user data table D3 Integrate the information (if necessary) of all or multiple groups of sub-users B (sub-users/second users) in the identity recognition and
如同圖2之說明,當根使用者端A(根使用者/第一使用者)建立子使用者端B(子使用者/第二使用者)之資訊時,根使用者端A(根使用者/第一使用者)可設定子使用者端B(子使用者/第二使用者)之角色存取權限,以將子使用者資料表D3之一筆子使用者紀錄透過子使用者角色對應資料表D4關聯至子使用者角色資料表D5之複數筆子使用者角色紀錄(即1對n)。子使用者角色資料表D5記載(存放)多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)中所有子使用者角色之類型,且子使用者角色資料表D5亦可依據設定之存取權限類型再進行關聯。
As illustrated in Figure 2, when root user A (root user/first user) creates information about sub-user B (sub-user/second user), root user A (root user) user/first user) can set the role access rights of sub-user B (sub-user/second user) to correspond to the sub-user record in sub-user data table D3 through the sub-user role Data table D4 is related to multiple sub-user role records of sub-user role data table D5 (i.e. 1 versus n). The sub-user role data table D5 records (stores) the types of all sub-user roles in the identity identification and access management and
若根使用者端A(根使用者/第一使用者)設定子使用者端B(子使用者/第二使用者)之存取權限為關聯公有雲帳號或設定可用之公有雲資源管理類型,則將子使用者存取範圍記載(存放)至子使用者存取範圍資料表D6,且藉由子使用者角色與存取範圍對應資料表D7記載(存放)子使用者角色與子使用者存取範圍之關聯。若根使用者端A(根使用者/第一使用者)設定子使用者端B(子使用者/第二使用者)之操作權限角色,則將子使用者端B(子使用者/第二使用者)之操作權限角色記載(存放)至子使用者操作權限資料表D8,且藉由子使用者角色與操作權限對應資料表D9記載(存放)子使用者角色與子使用者操作權限之關聯。 If root user A (root user/first user) sets the access rights of sub-user B (sub-user/second user) to associate a public cloud account or set the available public cloud resource management type , then the sub-user access scope is recorded (stored) in the sub-user access scope data table D6, and the sub-user role and sub-user are recorded (stored) in the sub-user role and access scope corresponding data table D7 Access scope association. If root user A (root user/first user) sets the operation permission role of sub-user B (sub-user/second user), then sub-user B (sub-user/second user) will The operation authority role of the second user) is recorded (stored) in the sub-user operation authority data table D8, and the sub-user role and sub-user operation authority are recorded (stored) in the sub-user role and operation authority corresponding data table D9. association.
圖5為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關多雲認證與授權微服務之多雲服務管理應用單元20或公有雲資源管理應用單元30之實施例流程圖。要說明的是,因多雲服務管理應用單元20與公有雲資源管理應用單元30兩者之運作流程相同或相似,故圖5中僅繪示多雲服務管理應用單元20,但同理可將圖5中之多雲
服務管理應用單元20替換成公有雲資源管理應用單元30。
Figure 5 is a flow chart of an embodiment of the multi-cloud service
如圖5所示,在步驟S31中,第一子使用者端B1(第一子使用者)使用其帳號(如登入帳號b1)與密碼(如登入密碼pd1)進行登入多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)之用戶入口。 As shown in Figure 5, in step S31, the first sub-user B1 (first sub-user) uses its account (such as login account b1) and password (such as login password pd1) to log in to the multi-cloud integrated application service. Identification and access management system 1 (such as multi-cloud management system) user portal.
在步驟S32中,當第一子使用者端B1(第一子使用者)成功登入用戶入口時,使用者身分識別與存取管理微服務11可取得多雲應用認證管理微服務12所產製之第一子使用者端B1(第一子使用者)之認證符記(如JWT認證Token或稱為第一認證符記),以將此認證符記(如JWT認證Token)核發或回覆予第一子使用者端B1(第一子使用者)。
In step S32, when the first sub-user B1 (first sub-user) successfully logs into the user portal, the user identity identification and
在步驟S33中,第一子使用者端B1(第一子使用者)欲使用多雲服務管理應用單元20或公有雲資源管理應用單元30。例如,第一子使用者端B1(第一子使用者)欲使用或檢視多雲服務管理應用單元20之資產管理查詢功能。
In step S33, the first sub-user B1 (first sub-user) wants to use the multi-cloud service
在步驟S34中,多雲服務管理應用單元20或公有雲資源管理應用單元30詢問使用者身分識別與存取管理微服務11以取得第一子使用者端B1(第一子使用者)之角色存取權限,並確認第一子使用者端B1(第一子使用者)所具備之角色存取權限。以資產管理查詢功能為例,若第一子使用者端B1(第一子使用者)不具備此角色存取權限(如資產管理查詢功能之資產管理檢視者之角色),則多雲服務管理應用單元20或公有雲資源管理應用單元30需阻擋第一子使用者端B1(第一子使用者)對此角色存取權限(如資產管理查詢功能)之查詢;又,若第一子使用者端B1(第一子使用者)不具備公有雲帳號之存取範圍權限,則多雲服務管理應用單元20或公有雲
資源管理應用單元30需依據第一子使用者端B1(第一子使用者)之存取範圍過濾所查詢或回傳之結果。
In step S34, the multi-cloud service
在步驟S35中,若第一子使用者端B1(第一子使用者)具備此角色存取權限(如資產管理查詢功能之資產管理檢視者之角色),則多雲服務管理應用單元20或公有雲資源管理應用單元30成功回傳經過濾之查詢結果,亦即回傳具查詢權限之公有雲帳號之結果予第一子使用者端B1(第一子使用者)。
In step S35, if the first sub-user B1 (first sub-user) has access rights to this role (such as the role of asset management viewer of the asset management query function), then the multi-cloud service
圖6A至圖6B為本發明之多雲整合應用服務之身分識別與存取管控系統1及其方法中有關多雲認證與授權微服務之多雲監控應用單元之實施例流程圖,用以闡述第二子使用者端B2(第二子使用者)欲使用多雲監控應用單元40之身分識別與角色存取權限管控之流程,並參閱圖1予以說明。
6A to 6B are flow charts of embodiments of the multi-cloud monitoring application unit related to multi-cloud authentication and authorization microservices in the identity identification and access management and
如圖6A所示,在步驟41中,第二子使用者端B2(第二子使用者)使用其帳號(如登入帳號b2)與密碼(如登入密碼pd2)登入多雲整合應用服務之身分識別與存取管控系統1(如多雲管理系統)之用戶入口。 As shown in Figure 6A, in step 41, the second sub-user B2 (second sub-user) uses its account (such as login account b2) and password (such as login password pd2) to log in to the identity recognition of the multi-cloud integrated application service User portal with access control system 1 (such as multi-cloud management system).
在步驟S42中,當第一子使用者端B1(第一子使用者)成功登入用戶入口時,使用者身分識別與存取管理微服務11可取得多雲應用認證管理微服務12所產製之第二子使用者端B2(第二子使用者)之認證符記(如JWT認證Token或稱為第二認證符記),以將此認證符記(如JWT認證Token)核發或回覆予第二子使用者端B2(第二子使用者)。
In step S42, when the first sub-user B1 (first sub-user) successfully logs into the user portal, the user identity identification and
在步驟S43中,第二子使用者端B2(第二子使用者)發出多雲監控應用單元40之檢視需求至使用者身分識別與存取管理微服務11。
In step S43 , the second sub-user B2 (second sub-user) sends the inspection request of the multi-cloud
在步驟S44中,多雲應用認證管理微服務12透過多雲監控應用介面代理微服務13向多雲監控應用單元40查詢第二子使用者端B2(第二子使用者)之帳號。若多雲監控應用單元40未曾建立第二子使用者端B2(第二子使用者)之帳號,則建立該帳號。
In step S44, the multi-cloud application
在步驟S45中,使用者身分識別與存取管理微服務11依據此帳號將上述步驟S42中所取得之認證符記(如JWT認證Token)暫存至第二子使用者端B2(第二子使用者)之本地儲存。
In step S45, the user identity recognition and
在步驟S46中,使用第二子使用者端B2(第二子使用者)之帳號連接多雲監控應用單元40之登入網址,例如登入網址為https://aaa.bbb.ccc.com.tw/login/generic_oauth。
In step S46, use the account of the second sub-user B2 (second sub-user) to connect to the login URL of the multi-cloud
在步驟S47中,多雲監控應用單元40向多雲應用認證管理微服務12發起認證(如OAuth認證),以由多雲應用認證管理微服務12確認多雲監控應用單元40之合法性而完成認證(如OAuth認證)。
In step S47, the multi-cloud
如圖6B所示,在步驟S48中,多雲監控應用單元40利用轉導網址技術(如HTTP 301之轉導網址技術)夾帶一轉導網址(如專用轉導網址),以回覆轉導網址予第二子使用者端B2(第二子使用者)。
As shown in FIG. 6B , in step S48 , the multi-cloud
在步驟S49中,自第二子使用者端B2(第二子使用者)之本地儲存取回所暫存之認證符記(如JWT認證Token),再清除本地儲存所暫存之認證符記(如JWT認證Token)。 In step S49, the temporarily stored authentication token (such as JWT authentication token) is retrieved from the local storage of the second sub-user B2 (second sub-user), and then the temporarily stored authentication token is cleared from the local storage. (Such as JWT authentication token).
在步驟S50中,第二子使用者端B2(第二子使用者)依據步驟S48中多雲監控應用單元40所夾帶之轉導網址(如專用轉導網址),向多雲應用認證管理微服務12取得多雲監控應用單元40之授權碼。
In step S50, the second sub-user B2 (second sub-user) authenticates the multi-cloud
在步驟S51中,使用第二子使用者端B2(第二子使用者)之帳號再次連接多雲監控應用單元40之登入網址,且夾帶第二子使用者端B2(第二子使用者)之帳號與授權碼以傳送至多雲監控應用單元40。
In step S51, use the account of the second sub-user B2 (second sub-user) to connect to the login URL of the multi-cloud
在步驟S52中,多雲監控應用單元40驗證第二子使用者端B2(第二子使用者)之授權碼。
In step S52, the multi-cloud
在步驟S53中,於成功驗證第二子使用者端B2(第二子使用者)之授權碼後,多雲監控應用單元40向使用者身分識別與存取管理微服務11取得及確認第二子使用者端B2(第二子使用者)具備角色存取權限。
In step S53, after successfully verifying the authorization code of the second sub-user B2 (second sub-user), the multi-cloud
在步驟S54中,多雲監控應用單元40確認第二子使用者端B2(第二子使用者)具備多雲監控檢視者之角色。
In step S54, the multi-cloud
在步驟S55中,於成功驗證或確認第二子使用者端B2(第二子使用者)具備多雲監控檢視者之角色後,將成功回傳多雲監控應用單元40之資訊予第二子使用者端B2(第二子使用者)。
In step S55, after successfully verifying or confirming that the second sub-user B2 (second sub-user) has the role of multi-cloud monitoring viewer, the information of the multi-cloud
另外,本發明還提供一種用於多雲整合應用服務之身分識別與存取管控方法之電腦可讀媒介,係應用於具有處理器及/或記憶體之計算裝置或電腦中,且電腦可讀媒介儲存有指令,並可利用計算裝置或電腦透過處理器及/或記憶體執行電腦可讀媒介,以於執行電腦可讀媒介時執行上述內容。 In addition, the present invention also provides a computer-readable medium for identity recognition and access control methods of multi-cloud integrated application services, which is applied to a computing device or computer with a processor and/or memory, and the computer-readable medium Instructions are stored and can be executed by a computing device or computer through a processor and/or memory to execute the above content when the computer-readable medium is executed.
在一實施例中,處理器可為微處理器、中央處理器(CPU)、圖形處理器(GPU)等,記憶體可為隨機存取記憶體(RAM)、記憶卡、硬碟(如雲端/網路硬碟)、資料庫等,但不以此為限。 In one embodiment, the processor may be a microprocessor, a central processing unit (CPU), a graphics processing unit (GPU), etc., and the memory may be a random access memory (RAM), a memory card, a hard disk (such as a cloud /network hard drive), database, etc., but not limited to this.
綜上,本發明之多雲整合應用服務之身分識別與存取管控系 統、方法及其電腦可讀媒介至少具有下列特色、優點或技術功效。 In summary, the identity recognition and access management and control system of the multi-cloud integrated application service of the present invention The system, method and computer-readable medium thereof shall have at least the following features, advantages or technical effects.
一、本發明能於多雲管理服務範疇中設計或提供一套整合身分識別技術(如多雲身分識別技術)、存取權限管控技術(角色存取管控技術)與複數種異質型應用單元(如多雲服務管理應用單元、公有雲資源管理應用單元、多雲監控應用單元)之機制,以利提供多雲管理服務具備管控使用者端(如複數組使用者端)之身分識別與存取權限。 1. The present invention can design or provide a set of integrated identity recognition technology (such as multi-cloud identity recognition technology), access rights management and control technology (role access management and control technology) and multiple heterogeneous application units (such as multi-cloud) in the field of multi-cloud management services. Service management application unit, public cloud resource management application unit, multi-cloud monitoring application unit) mechanism to facilitate the provision of multi-cloud management services with the ability to manage and control the identity and access rights of users (such as multiple groups of users).
二、本發明之多雲管理服務之根使用者端(根使用者/第一使用者)可自行透過使用者管理技術預先建立與管理複數組子使用者端(子使用者/第二使用者)之資訊,並賦予子使用者端(子使用者/第二使用者)適當之操作權限,以滿足具複數使用者之服務使用情境。 2. The root user (root user/first user) of the multi-cloud management service of the present invention can pre-create and manage multiple groups of sub-users (sub-users/second users) through user management technology. information, and grant appropriate operation permissions to sub-users (sub-users/second users) to meet service usage scenarios with multiple users.
三、本發明可於多雲管理服務中,提供根使用者端(根使用者/第一使用者)具備子使用者管理技術,以利根使用者端(根使用者/第一使用者)於用戶入口之使用者管理功能中建立、異動或刪除子使用者端(子使用者/第二使用者)之資訊。 3. The present invention can provide the root user (root user/first user) with sub-user management technology in the multi-cloud management service, so as to facilitate the root user (root user/first user) to the user. Create, change or delete the information of the sub-user (sub-user/second user) in the user management function of the portal.
四、本發明之根使用者端(根使用者/第一使用者)能設定子使用者端(子使用者/第二使用者)具備複數組之公有雲帳號存取角色,亦能自根使用者端(根使用者/第一使用者)所屬之公有雲服務合約記載之有效公有雲帳號集合中選定可允許存取之複數組公有雲帳號,以利將可允許存取之複數組公有雲帳號設定至公有雲帳號存取角色中。 4. The root user (root user/first user) of the present invention can set the sub-user (sub-user/second user) to have multiple sets of public cloud account access roles, and can also set up the root user. A plurality of sets of public cloud accounts that are allowed to be accessed are selected from the set of valid public cloud accounts recorded in the public cloud service contract to which the user (root user/first user) belongs, in order to make the plurality of sets of public cloud accounts that are allowed to be accessed public The cloud account is set to the public cloud account access role.
五、本發明之根使用者端(根使用者/第一使用者)可設定子使用者端(子使用者/第二使用者)具備公有雲資源管理角色,亦能自所支援之公有雲資源集合中選定可允許操作管理之公有雲資源類型以設定至公有雲 資源管理角色中。 5. The root client (root user/first user) of the present invention can set the sub-user (sub-user/second user) to have the public cloud resource management role, and can also set up the public cloud resource management role from the supported public cloud. Select the public cloud resource type that allows operation and management in the resource collection to configure it to the public cloud in resource management roles.
六、本發明建立子使用者端(子使用者/第二使用者)之資訊時,可以選擇需賦予子使用者端(子使用者/第二使用者)之角色權限,且角色之屬性包括多雲管理服務之操作權限、公有雲帳號之存取權限及/或公有雲資源管理,而異動子使用者端(子使用者/第二使用者)之資訊時,亦能變更子使用者端(子使用者/第二使用者)目前所具有之角色權限。 6. When creating the information of the sub-user (sub-user/second user) in this invention, you can select the role permissions that need to be given to the sub-user (sub-user/second user), and the attributes of the role include The operation permissions of the multi-cloud management service, the access permissions of the public cloud account and/or the management of public cloud resources. When changing the information of the sub-user (sub-user/second user), the sub-user (sub-user/second user) can also be changed. The role permissions currently possessed by the sub-user/secondary user).
七、本發明可以採用階層式使用者(如根使用者與子使用者)之管理機制,且根使用者端(根使用者/第一使用者)能設定子使用者端(子使用者/第二使用者)具備複數組之操作權限角色,複數組操作權限角色之任一者包括多雲管理服務之多雲服務管理應用單元、多雲監控應用單元與公有雲資源管理應用單元其中複數種功能項目之操作權限。 7. The present invention can adopt a hierarchical user (such as root user and sub-user) management mechanism, and the root user (root user/first user) can set sub-users (sub-user/ The second user) has a plurality of groups of operation authority roles. Any one of the plurality of groups of operation authority roles includes a plurality of functional items among the multi-cloud service management application unit, the multi-cloud monitoring application unit and the public cloud resource management application unit of the multi-cloud management service. Operation permission.
八、當子使用者端(子使用者/第二使用者)登入用戶入口後,本發明能利用存取權限管控技術獲得此子使用者端(子使用者/第二使用者)所具備之操作權限角色,於用戶入口中僅顯示此操作權限角色具備之功能項目,而針對不具備此操作權限角色之功能項目的操作與存取,則能進行過濾與阻擋。 8. When the sub-user (sub-user/second user) logs into the user portal, the present invention can use the access authority control technology to obtain the information possessed by the sub-user (sub-user/second user). For an operation authority role, only the functional items that this operation authority role has are displayed in the user portal. Operations and access to function items that do not have this operation authority role can be filtered and blocked.
九、當子使用者端(子使用者/第二使用者)登入用戶入口後,本發明能利用存取權限管控技術獲得此子使用者端(子使用者/第二使用者)可允許存取之公有雲帳號之範圍或公有雲資源類型,以利過濾與阻擋不具公有雲帳號之存取權限範圍或資源類型之資源存取與操作。 9. When the sub-user (sub-user/second user) logs in to the user portal, the present invention can use the access authority control technology to obtain the permissions of the sub-user (sub-user/second user). Get the scope of the public cloud account or the type of public cloud resource to filter and block resource access and operations that do not have the access permission scope or resource type of the public cloud account.
十、本發明能以身分識別技術(如多雲身分識別技術)基於開放授權框架(如OAuth開放授權框架)設計複數種異質型應用單元之帳號同 步與認證程序之整合機制,以利根使用者端(根使用者/第一使用者)或子使用者端(子使用者/第二使用者)於用戶入口登入後,能快速或便捷地在多雲服務管理應用單元、多雲監控應用單元與公有雲資源管理應用單元等複數種異質型應用單元之間無縫切換使用。 10. The present invention can use identity recognition technology (such as multi-cloud identity recognition technology) based on an open authorization framework (such as OAuth open authorization framework) to design the same account number for multiple heterogeneous application units. An integration mechanism with the authentication process so that the root user (root user/first user) or sub-user (sub-user/second user) can quickly or conveniently log in at the user portal. Seamless switching between multiple heterogeneous application units such as multi-cloud service management application unit, multi-cloud monitoring application unit and public cloud resource management application unit.
上述實施形態僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均能在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何使用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍應如申請專利範圍所列。 The above embodiments are only illustrative of the principles, characteristics and effects of the present invention, and are not intended to limit the scope of the present invention. Anyone skilled in the art can make the above-mentioned modifications without violating the spirit and scope of the present invention. Modify and change the implementation form. Any equivalent changes and modifications made using the contents disclosed in the present invention shall still be covered by the patent application. Therefore, the protection scope of the present invention should be as listed in the patent application scope.
1:多雲整合應用服務之身分識別與存取管控系統 1: Identity identification and access control system for multi-cloud integrated application services
10:多雲身分識別與存取管控子系統 10: Multi-cloud identity recognition and access control subsystem
11:使用者身分識別與存取管理微服務 11:User identity identification and access management microservices
12:多雲應用認證管理微服務 12: Multi-cloud application authentication management microservices
13:多雲監控應用介面代理微服務 13: Multi-cloud monitoring application interface proxy microservice
20:多雲服務管理應用單元 20:Multi-cloud service management application unit
30:公有雲資源管理應用單元 30: Public cloud resource management application unit
40:多雲監控應用單元 40: Multi-cloud monitoring application unit
50:公有雲介面代理微服務 50: Public cloud interface proxy microservices
60:外部公有雲之管理介面 60: Management interface of external public cloud
A:根使用者端 A:Root client
B:子使用者端 B: Sub-user
Claims (15)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW110146731A TWI825525B (en) | 2021-12-14 | 2021-12-14 | Identity and access management system and method for multi-cloud integrated application service and computer readable medium therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW110146731A TWI825525B (en) | 2021-12-14 | 2021-12-14 | Identity and access management system and method for multi-cloud integrated application service and computer readable medium therefor |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202324154A TW202324154A (en) | 2023-06-16 |
| TWI825525B true TWI825525B (en) | 2023-12-11 |
Family
ID=87803594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110146731A TWI825525B (en) | 2021-12-14 | 2021-12-14 | Identity and access management system and method for multi-cloud integrated application service and computer readable medium therefor |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI825525B (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201729121A (en) * | 2016-02-05 | 2017-08-16 | 群暉科技股份有限公司 | Cloud service server and method for managing cloud service server |
| CN109711795A (en) * | 2018-11-01 | 2019-05-03 | 佛山小易简科技有限公司 | A kind of construction method and system of cloudy collaborative platform |
| CN112580006A (en) * | 2020-12-24 | 2021-03-30 | 中国建设银行股份有限公司 | Access right control method and device of multi-cloud system and authentication server |
| US20210194847A1 (en) * | 2018-09-11 | 2021-06-24 | Huawei Technologies Co., Ltd. | Method for Processing Cloud Service in Cloud System, Apparatus, and Device |
-
2021
- 2021-12-14 TW TW110146731A patent/TWI825525B/en active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201729121A (en) * | 2016-02-05 | 2017-08-16 | 群暉科技股份有限公司 | Cloud service server and method for managing cloud service server |
| US20210194847A1 (en) * | 2018-09-11 | 2021-06-24 | Huawei Technologies Co., Ltd. | Method for Processing Cloud Service in Cloud System, Apparatus, and Device |
| CN109711795A (en) * | 2018-11-01 | 2019-05-03 | 佛山小易简科技有限公司 | A kind of construction method and system of cloudy collaborative platform |
| CN112580006A (en) * | 2020-12-24 | 2021-03-30 | 中国建设银行股份有限公司 | Access right control method and device of multi-cloud system and authentication server |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202324154A (en) | 2023-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6491381B2 (en) | Multi-tenant identity and data security management cloud service | |
| CN110557975B (en) | Tenant data comparison for multi-tenant identity cloud services | |
| CN109565505B (en) | Tenant self-service troubleshooting for multi-tenant identity and data security management cloud services | |
| JP5197843B1 (en) | Authentication linkage system and ID provider device | |
| US20190098056A1 (en) | Rest-based declarative policy management | |
| CN102947797B (en) | The online service using directory feature extending transversely accesses and controls | |
| JP2019164794A (en) | Single sign-on and single log-out function for multi-tenant identity and data security management cloud service | |
| CN106411857B (en) | A kind of private clound GIS service access control method based on virtual isolation mech isolation test | |
| JP2019532418A (en) | Multi-tenant identity and data security management Tenant and service management for cloud services | |
| CN102984159B (en) | Based on secure accessing logic control method and the Platform Server of terminal access behavior | |
| US11863562B1 (en) | Authentication and authorization with remotely managed user directories | |
| US20080040773A1 (en) | Policy isolation for network authentication and authorization | |
| JP5422753B1 (en) | Policy management system, ID provider system, and policy evaluation apparatus | |
| CN103370714B (en) | Certification cooperative system, ID provider's device and its control method | |
| CN110247758A (en) | The method, apparatus and code management device of Password Management | |
| TWI825525B (en) | Identity and access management system and method for multi-cloud integrated application service and computer readable medium therefor | |
| Wang et al. | Design and implementation of unified identity authentication service based on AD | |
| CN114422182B (en) | Unified identity management platform | |
| CN103067365A (en) | Set top box, client-side, system and method for virtual desktop access | |
| CN115834198A (en) | Design method of user authentication center station based on micro-service architecture | |
| CN118710383A (en) | Bank application unified portal management system and method supporting second-level legal person | |
| Robiette | Managing access to electronic information: progress and prospects | |
| Shan et al. | Design and Implementation for Medical Information Service Open Platform |