[发明专利]多租户身份云服务的跨区域信任

说明书

多租户云系统的实施例包括：第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；以及第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域。第一数据中心从第一多个注册客户端中的第一客户端接收对访问第二数据中心的资源的请求，并且验证来自第一客户端的请求并发布全局访问令牌。第二数据中心接收该请求连同全局访问令牌。第二数据中心的云门基于全局访问令牌验证该请求并向第一客户端提供资源。

相关申请的交叉引用

本申请要求于2018年3月27日提交的美国临时专利申请序列No.62/648,455的优先权，该申请的公开内容通过引用并入本文。

技术领域

一个实施例一般涉及身份管理，尤其涉及云系统中的身份管理。

背景技术

一般而言，基于云的应用(例如，企业公共云应用、第三方云应用等等)的使用正在飞速发展，其中访问来自各种设备(例如，桌面和移动设备)以及各种用户(例如，员工、合作伙伴、客户等等)。基于云的应用的丰富多样性和可访问性已经导致身份管理和访问安全性成为中心问题。云环境中的典型安全问题是未经授权的访问、账户劫持、恶意的内部人员等等。因而，需要安全地访问基于云的应用或位于任何地方的应用，而不管应用被何种设备类型或何种用户类型访问。

发明内容

多租户云系统的实施例包括：第一数据中心，适于认证第一多个注册客户端并位于第一地理区域；以及第二数据中心，适于认证第二多个注册客户端并位于与第一地理区域不同的第二地理区域。第一数据中心从第一多个注册客户端中的第一客户端接收对访问第二数据中心的资源的请求，并且验证来自第一客户端的请求并发布全局访问令牌。第二数据中心接收该请求连同全局访问令牌。第二数据中心处的云门基于全局访问令牌验证该请求并向第一客户端提供资源。

附图说明

图1-图5是提供基于云的身份管理的示例实施例的框图。

图6是提供实施例的系统视图的框图。

图6A是提供实施例的功能视图的框图。

图7是实现云门的实施例的框图。

图8图示了在一个实施例中实现多个租户的示例系统。

图9是实施例的网络视图的框图。

图10是一个实施例中的单点登录(“SSO”)功能的系统架构视图的框图。

图11是一个实施例中的SSO功能的消息序列流。

图12图示了一个实施例中的分布式数据网格的实例。

图13图示了根据一个实施例的具有多个部署的数据中心(指定为“DC”)的公共云，每个数据中心形成“区域”。

图14是根据实施例的使用远程数据中心区域中的基于多租户云的身份访问管理系统来访问远程数据中心中的资源的功能的流程图。

具体实施方式

实施例允许客户端通过从归属区域请求和接收新颖的全局访问令牌，然后使用全局访问令牌来访问远程区域处的资源来访问远程区域或数据中心中的资源。全局访问令牌的发布者在一个实施例中是被供应有全局签名密钥的多租户身份管理部署，并且令牌具有特定于全局访问或资源的专用令牌声明。

实施例提供实现基于微服务的架构的身份云服务，并提供多租户身份和数据安全性管理以及对基于云的应用的安全访问。实施例支持对于混合云部署的安全访问(即，包括公共云和私有云的组合的云部署)。实施例保护云中和内部部署(on-premise)的应用和数据。实施例支持经由web、移动和应用编程接口(“API”)的多信道访问。实施例管理对于不同用户(诸如客户、合作伙伴和员工)的访问。实施例管理、控制和审计跨整个云以及内部部署的访问。实施例与新的和现有的应用和身份集成。实施例是水平可伸缩的。