[发明专利]多域身份管理系统

说明书

相关申请的引用

本申请要求以下申请的优先权：2013年3月13日提交的美国专利申请No.13/838,813，“MULTI-TENANCY IDENTITY MANAGEMENT SYSTEM”，其所有内容通过引用包含于此；2012年9月7日提交的美国临时专利申请No.61/698,463，“SHARED IDENTITY MANAGEMENT ARCHITECTURE”，其所有内容通过引用包含于此；2012年9月7日提交的美国临时专利申请No.61/698,413，“TENANT AUTOMATION SYSTEM”，其所有内容通过引用包含于此；2012年9月7日提交的美国临时专利申请No.61/698,459，“SERVICE DEPLOYMENT INFRASTRUCTURE”；和2014年3月14日提交的美国临时专利申请No.61/785,299，“CLOUD INFRASTRUCTURE”，其所有内容通过引用包含于此。

技术领域

本公开涉及计算机安全，更具体地，涉及被分成各个单独的身份域的云计算环境内的身份管理。

背景技术

云计算涉及通过网络(一般是因特网)，以服务的形式交付的计算资源(例如，硬件和软件)的使用。云计算把用户的数据、软件和计算委托给远程服务。例如，云计算可用于提供软件即服务(SaaS)或平台即服务(PaaS)。在利用SaaS的业务模型中，可向用户提供对应用软件和数据库的访问。云提供者可管理应用运行于的基础设施和平台。SaaS提供者通常利用预订费，给应用定价。SaaS可使企业获得通过把硬件和软件维护和支持外包给云提供者，来降低信息技术运营成本的潜能。这种外包可使企业能够远离硬件/软件开销和人员费用地重新分配信息技术运营费用，以满足其它信息技术目标。此外，由于应用被集中托管，因此能够不需要用户安装新软件地发布更新。然而，由于用户的数据被保存在云提供者的服务器上，因此，一些机构担心可能的对所述数据的潜在访问。

通过web浏览器或者轻型桌面或移动应用，最终用户能够访问基于云的应用。同时，企业软件和用户的数据可被保存在位于远离所述企业和用户的位置的服务器上。至少在理论上，云计算使企业可以更迅速地部署其应用，同时可管理性得到改善，并且维护更少。至少在理论上，云计算使信息技术管理者可以更快地调整资源，以满足不时波动和不可预测的企业需求。

身份管理(IDM)是控制计算机系统的用户的有关信息的任务。所述信息可包括验证所述用户的身份的信息。所述信息可包括描述所述用户被准许访问哪些数据的信息。所述信息可包括描述所述用户被准许对各种系统资源(例如，文件、目录、应用、通信端口、存储段等)，进行哪些操作的信息。IDM还可包括关于各个用户的描述信息以及所述描述信息可被谁如何访问和变更的管理。

潜在地，云计算环境可包括用于使用云计算环境的各个独立机构的独立IDM系统，或者IDM系统的独立实例。不过，这种方案被视为工作的重复，和计算资源的浪费。

发明内容

本发明的一些实施例涉及在云计算环境中实现的、被分成多个单独的身份域的身份管理(IDM)系统。

在本发明的实施例中，一组构成都排列在一起，从而创建单一IDM系统的抽象或者“租户切片化”视图。所述单一IDM系统可包括多个独立的组件或子系统。IDM系统可在多个独立的单独“租户”或者说IDM系统客户之间被共享，以致IDM系统被更密集地使用。从而，不需要为每个单独的客户例示单独的IDM系统。所述单一IDM系统可被配置成以致对于IDM系统的各个租户，可向该租户的用户呈现特定于该租户的IDM系统的虚拟视图。

本发明的实施例可以利用虚拟化的概念。可按照概念上和在单一的主计算设备上可虚拟化多个单独虚拟机的方式类似的方式，在所述单一IDM系统内虚拟化IDM系统的单独视图。通过按照特定的方式配置IDM系统，可以实现这种虚拟化。IDM系统可涉及多个单独的层，包括概念上一个垂直地堆叠在另一个之上的上层和下层。上层至少可被分区。在IDM系统中，各个不同的服务(例如，验证和/或授权服务)可以与IDM系统的各个不同租户关联。IDM系统可以隔离各个租户，以致各个租户只能够与专用于该租户的IDM系统“切片”或分区交互作用。从而，IDM系统可强制实施租户之间的隔离。