[发明专利]多租户身份云服务的跨区域信任

权利要求书

1.一种多租户云系统，包括：

第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；

第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域；

其中第一数据中心被配置为从第一多个注册客户端中的第一客户端接收对访问第二数据中心的资源的请求，其中第一客户端不被包括在第二多个注册客户端中；

其中第一数据中心被配置为验证来自第一客户端的所述请求并向第一客户端发布全局访问令牌；

其中第二数据中心被配置为从第一客户端接收对访问第二数据中心的资源的所述请求连同全局访问令牌；以及

其中第二数据中心处的云门被配置为基于全局访问令牌验证所述请求并向第一客户端提供资源。

2.如权利要求1所述的多租户云系统，其中发布全局访问令牌包括用存储在第一数据中心和第二数据中心的全局签名密钥对全局访问令牌进行签名。

3.如权利要求1所述的多租户云系统，其中发布全局访问令牌包括用签名密钥对全局访问令牌进行签名，该签名密钥是使用仅存储在第一数据中心的第一认证密钥从中央机构被检索到的。

4.如权利要求1所述的多租户云系统，其中全局访问令牌包括具有附加令牌声称的OAuth访问令牌，所述附加令牌声称包括客户端租户名字、位置标识符和指示OAuth访问令牌是全局访问令牌的标志。

5.如权利要求1所述的多租户云系统，其中发布全局访问令牌包括确定客户端是否具有全局角色。

6.如权利要求1所述的多租户云系统，其中在验证所述请求之后，令牌由授权过滤器消耗。

7.如权利要求1所述的多租户云系统，其中第二数据中心的资源包括多租户云系统的代表性状态转移REST应用编程接口API。

8.如权利要求1所述的多租户云系统，其中第一数据中心和第二数据中心位于同一控制平面上。

9.一种操作多租户云系统的方法，所述多租户云系统包括适于认证第一多个注册客户端并位于第一地理区域的第一数据中心以及适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域的第二数据中心，所述方法包括：

在第一数据中心处从第一多个注册客户端中的第一客户端接收对访问第二数据中心的资源的请求，其中第一客户端不被包括在第二多个注册客户端中；

在第一数据中心处验证来自第一客户端的所述请求并向第一客户端发布全局访问令牌；

在第二数据中心处从第一客户端接收对访问第二数据中心的资源的所述请求连同全局访问令牌；以及

基于全局访问令牌，在第二数据中心处的云门处验证所述请求并向第一客户端提供资源。

10.如权利要求9所述的方法，其中发布全局访问令牌包括用存储在第一数据中心和第二数据中心的全局签名密钥对全局访问令牌进行签名。

11.如权利要求9所述的方法，其中发布全局访问令牌包括用签名密钥对全局访问令牌进行签名，该签名密钥是使用仅存储在第一数据中心的第一认证密钥从中央机构被检索到的。

12.如权利要求9所述的方法，其中所述全局访问令牌包括具有附加令牌声称的OAuth访问令牌，所述附加令牌声称包括客户端租户名字、位置标识符和指示OAuth访问令牌是全局访问令牌的标志。

13.如权利要求9所述的方法，其中发布全局访问令牌包括确定客户端是否具有全局角色。

14.如权利要求9所述的方法，其中在验证所述请求之后，令牌由授权过滤器消耗。