[发明专利]基于LDAP的多租户云中身份管理系统

权利要求书

1.一种计算机实现的方法，包括：

在具有根节点的LDAP目录中，在从根节点下行的第一目录子树中存储与第一身份域关联但不与第二身份域关联的实体的身份；

在该LDAP目录中，在也从根节点下行但是与第一目录子树分离的第二目录子树中存储与第二身份域关联但不与第一身份域关联的实体的身份；

响应于将第一服务实例部署到第一身份域但未部署到第二身份域，生成第一凭证，该第一凭证当被维护LDAP目录的LDAP服务器检查时，使LDAP服务器允许第一服务实例访问存储在第一目录子树中的身份但不能访问存储在第二目录子树中的身份；

向第一服务实例提供第一凭证；

响应于将第二服务实例部署到第二身份域但未部署到第一身份域，生成第二凭证，该第二凭证当被LDAP服务器检查时，使LDAP服务器允许第二服务实例访问存储在第二目录子树中的身份但不能访问存储在第一目录子树中的身份；及

向第二服务实例提供第二凭证。

2.如权利要求1所述的计算机实现的方法，还包括：

在第一目录子树中存储与第一身份域关联但不与第二身份域关联的用户实体的身份；

在第一目录子树中存储与第一身份域关联但不与第二身份域关联的服务实例实体的身份；

阻止用户实体直接与维护LDAP目录的LDAP服务器交互；及

允许服务实例实体代表用户实体直接与LDAP服务器交互。

3.如权利要求1所述的计算机实现的方法，还包括：

在LDAP目录中存储访问控制策略，该访问控制策略从多个身份域中指定各种身份域；及

至少部分地基于访问控制策略控制对LDAP目录中与身份域关联的子树的访问。

4.如权利要求3所述的计算机实现的方法，还包括：

在LDAP目录中存储第一访问控制策略，该第一访问控制策略指定应用于第一目录子树但不应用于第二目录子树的访问限制；及

在LDAP目录中存储第二访问控制策略，该第二访问控制策略指定应用于第二目录子树但不应用于第一目录子树的访问限制。

5.如权利要求1所述的计算机实现的方法，还包括：

通过把第一身份域的标识符附连到第一用户的登录名，为第一用户生成全局唯一标识符；

在第一目录子树中存储第一用户的全局唯一标识符；

通过把第二身份域的标识符附连到第二用户的登录名，为第二用户生成全局唯一标识符；及

在第二目录子树中存储第二用户的全局唯一标识符。

6.如权利要求5所述的计算机实现的方法，还包括：

与第一统一资源定位符(URL)相关联地存储指定第一身份域的标识符的第一登录网页；

与和第一URL不同的第二URL相关联地存储指定第二身份域的标识符的第二登录网页；

通过特定登录网页从特定用户接收该特定用户的登录名，其中特定登录网页是第一登录网页或第二登录网页；

基于(a)特定用户的登录名和(b)由特定登录网页指定的特定身份域标识符二者为该特定用户重构全局唯一标识符；及

基于该特定用户的全局唯一标识符认证该特定用户。

7.如权利要求1所述的计算机实现的方法，还包括：

响应于将特定服务实例部署到第一身份域，自动生成既指定特定服务实例的名字又指定随机生成的口令的绑定凭证；及

响应于将特定服务实例部署到第一身份域，向LDAP目录自动添加新访问控制策略，该新访问控制策略指定具有特定服务实例的名字的实体只能访问与该特定服务实例被部署到的身份域有关的信息。