[发明专利]用于协议级身份映射的方法和系统

说明书

描述了实现协议级映射的系统、计算机程序产品和方法。身份映射系统拦截从客户端设备到分布式计算系统的请求。身份映射系统确定请求的第一协议。身份映射系统确定与请求相关联的用户凭证。身份映射系统基于用户凭证来认证请求。身份映射系统确定请求所访问的由分布式计算系统提供的服务。身份映射系统确定该服务的服务凭证。身份映射系统将第一协议转换为与分布式计算系统相关联的第二协议，包括将服务凭证与请求相关联。然后，身份映射系统将请求提交至分布式计算系统。

技术领域

本公开的实施例涉及计算机领域。

背景技术

分布式计算系统可以提供各种服务，诸如分布式数据处理服务、分布式文件存储服务、分布式数据库服务或分布式消息传递服务。例如，基于技术的分布式计算系统可以包括提供文件存储服务的Hadoop分布式文件系统(HDFS)组件、提供数据仓库服务的Hive^TM组件和提供数据处理服务的Spark^TM组件。在该系统中，有时称为服务账户的诸如hdfs、hive和spark等服务特定的系统帐户用于访问相应服务的数据。多个应用可以使用服务帐户来访问数据。多个终端用户可以使用应用程序。终端用户可以被分布式计算系统所信任，或者可以来自不可信数据源，诸如企业、家庭、其他云等。

在传统的技术中，可以以静态方式将终端用户帐户映射到服务帐户。例如，传统系统可以在系统级别实现映射，其中映射被内置到分布式计算系统中。传统系统可以在应用级别实现映射，其中映射被内置到每个应用程序中。

发明内容

总体上，本说明书涉及计算机系统管理技术。

描述了实现协议级映射的系统、计算机程序产品和方法。身份映射系统拦截从客户端设备到分布式计算系统的请求。身份映射系统确定请求的第一协议。身份映射系统确定与请求相关联的用户凭证。身份映射系统根据用户凭证来认证请求。身份映射系统确定请求所访问的由分布式计算系统提供的服务。身份映射系统确定服务帐户和该服务的服务凭证。身份映射系统将第一协议转换为与分布式计算系统相关联的第二协议。转换包括将服务凭证与请求相关联。然后，身份映射系统将请求提交至分布式计算系统。

可以实现本说明书中描述的主题的特定实施例以实现以下示例优点中的一个或多个。所公开的技术提供了将分布式计算系统的服务账户映射到应用终端用户而无需改变分布式计算系统的配置或者改变应用的配置的简单且有效的方式。所公开的技术在协议级别实现映射，这在应用程序之外。因此，所公开的技术通过在应用程序的终端用户与分布式计算系统之间提供动态且透明的层来改进传统技术。透明性使得该层能够为应用提供比传统技术所能提供的更具可扩展性的框架，这至少是因为，映射逻辑独立于应用并且适用于多个应用。

通过在不改变分布式计算系统的配置的情况下向分布式计算系统添加用户可配置的认证和授权，所公开的技术可以增强分布式计算系统的安全性。所公开的技术可以提供多个级别的不同认证方法，从而增加了系统的灵活性。这些认证方法可以对应于各个终端用户的特定需求，并且不受由分布式计算平台提供的认证的限制。因此，所公开的技术使得认证更加灵活和可定制。

本说明书的主题的一个或多个实施例的细节在附图和以下描述中阐述。根据说明书、附图和权利要求书，本主题的其他特征、方面和优点将变得很清楚。

附图说明

图1是示出协议级身份映射的示例技术的框图。

图2是示出协议级身份映射的示例过程的流程图。

图3是示出用于各种应用的协议级身份映射的架构的框图。

图4是协议级身份映射的示例过程的流程图。

在不同附图中，相同的附图标记和指示表示相同的元素。

具体实施方式