[发明专利]身份管理系统

说明书

描述了用于验证具有多个IDM组件的网络中的客户装置的系统。IDM组件中的一个或更多预订(使用公布‑预订消息模式)由客户装置公布的验证请求。客户装置公布验证请求至网络中。选择处理公布的验证请求的最适当的IDM组件，并且验证请求被转发至选择的IDM组件。选择的IDM组件然后被操作来与客户装置协商以及验证客户装置。

技术领域

本公开涉及一种身份管理系统。具体来说，本发明涉及可在分布式系统中使用的可缩放身份管理系统。

背景技术

身份和访问管理(IDM)是基于计算的系统和网络的重要组件。IDM的目的是允许合法用户访问资源。IDM系统已经在这些年中演进，从集中式到分布式访问控制、从多个登录到单个注册机制、从后端联合到前端联合等。IDM适当的性质取决于整个系统的性质。

分布式系统(比如云)的引入带来IDM系统的新的特征和挑战。云提供无限资源的提取给消费者。使用称为多租赁的概念，云的资源在消费者(租户)之间共享。这允许多个租户以按使用支付为基础来共享(使用)相同的物理资源。云系统的主要特性之一是可缩放性和弹性。可缩放性确保云提取的资源基于系统的负载增加或降低(横向缩放)它们的容量。为了确保此，基于云的服务以模块型式来设计，使得每个服务能够通过增加或者删除那个服务的实例来被缩放。这也应用至身份和访问管理系统。

在云中，云服务提供者(CSP)将要求容易的方式来控制对系统中资源的访问。致力于这个要求的一个方式是通过集中式IDM解决方案。集中式访问控制的一个可能的方法在图1中示出，图1是包括客户101、身份服务器102和两个服务提供者103、104的网络100的元件的示意图。如果客户101希望访问由服务提供者中的一个103提供的服务，它通过身份服务器102验证自身。作为验证过程的结果，断言令牌被返回至客户101。这个令牌随后由客户101使用以提供身份(和/或使用请求的服务的授权)的证明给服务提供者103，其能够被认为作身份消费者。可以是客户能够访问不同的服务，例如从另一个服务提供者104，而不首先必须获得特定的断言令牌。

这个方法由许多计算机系统广泛使用。典型的网络验证协议在用户-服务器型式中提供相互验证(即，用户和服务器彼此验证)。一个可能的方法涉及通过验证服务器的用户验证，从而接收对于具体服务的“票”。所述“票”被进一步用于访问所期望的服务。这个方法的缺点是集中式的验证服务器，其表现单点故障。

相比之下，分布式验证机制通常允许用户以及依赖于身份的证明的当事者(身份消费者)来从身份提供者的集合挑选用于验证的身份提供者。这消除对具有用于用户验证的单个身份提供者的需要。关于这个方法的问题是信任锚的建立——即，由身份消费者建立身份提供者的信任。

集中式身份系统提供对于系统的容易的维护和控制。但是，归因于单点故障的问题，集中化对于云和分布式系统不是好的选择。在云准备系统(应用)中，所有组件应该是弹性的和横向可缩放的。当前可用的集中式身份管理系统没有实现这个性质。实现集中式身份系统的控制灵活性和分布式系统的可缩放性两者因此将是所期望的。

发明内容

依照本发明的一个方面，提供了一种具有多个IDM组件的网络中的客户装置。所述客户装置包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器生成对于验证的请求以及经由可操作地连接至所述处理器的输入/输出单元来公布所述验证请求至所述网络。所述验证请求使用公布-预订消息模式公布。所述指令进一步促使所述处理器从所述网络中的IDM组件中的一个接收验证启动消息，以及协商来自所述IDM组件的验证信息的接收。每个IDM组件可以具有关于所述验证过程的它自己的性能的集合。

所述指令可以被配置成促使所述处理器请求来自所述网络中服务提供者的服务以及发送所述验证信息至所述服务提供者。所述验证信息可以包括断言令牌，其是可选地服务特定的。