CN108293047B - 由用户访问跨多个分布式计算网络的资源的***和方法 - Google Patents
由用户访问跨多个分布式计算网络的资源的***和方法 Download PDFInfo
- Publication number
- CN108293047B CN108293047B CN201680068303.4A CN201680068303A CN108293047B CN 108293047 B CN108293047 B CN 108293047B CN 201680068303 A CN201680068303 A CN 201680068303A CN 108293047 B CN108293047 B CN 108293047B
- Authority
- CN
- China
- Prior art keywords
- cloud
- user
- computing network
- extension
- distributed computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 16
- 230000008685 targeting Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 8
- 238000003860 storage Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
- 238000013341 scale-up Methods 0.000 description 1
- 239000012085 test solution Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
应用可以被配置有两个或更多个云上下文以及一个或多个身份***。使用该信息,应用具有标识特定子***需要交互的远程云环境的能力。应用与适当的身份***通信以动态地取回用于对准该远程云的令牌。
Description
背景技术
当应用利用从不同的分布式***聚集的用户接口(UI)部件提供集成用户体验时,应用必须知道安全上下文以及与远程***相关联的认证模型。这对于用户能够认证远程***以能够管理(一个或多个)远程***和本地***二者中的资源是必要的。
发明内容
提供本发明内容以引入以在具体实施方式中下面进一步描述的简化形式的概念的选择。本发明内容不旨标识要求保护的主题的关键特征或基本特征,其也不旨在被用于限制要求保护的主题的范围。
实施例允许应用被配置有两个或更多个云上下文以及一个或多个身份***。利用该信息,应用具有标识特定子***需要交互的云环境的能力,并且将能够与适当的身份***交流以动态地取回用于对准该云的令牌。实施例还提供能够基于多云环境中的云上下文来连接和取回安全令牌的用户体验。
附图说明
为了进一步澄清本发明的实施例的以上和其他优点和特征,本发明的实施例的更特定描述将通过参考附图而被提供。将理解到,这些附图仅描绘本发明的典型的实施例并且因此将不被认为是对其范围的限制。本发明将通过使用附图利用附加特殊性和细节而被描述和解释,其中:
图1是向企业用户提供对本地内部资源和远程或者公共资源的访问的***的高级块图。
图2是根据一个实施例的提供云计算服务或分布式计算服务的数据中心的块图。
图3是图示两个云***之间的交互的块图。
图4是图示用于跨多个分布式计算网络访问资源的示例方法的流程图。
具体实施方式
图1是向企业用户提供对本地内部资源和远程或者公共资源的访问的***的高级块图。本地企业终端101允许用户经由内部网络103直接地访问内部数据中心102。被定位在企业100外部的用户可以使用远程终端104访问内部数据中心102。终端101和104可以是例如台式、膝上型、笔记本或者平板计算机。其他设备(诸如专用终端、智能电话、个人数字助理(PDA)等)还可以被用作终端101和104。
防火墙105提供用于企业100的网络安全***并且控制传入和传出网络流量。外部终端104可以经由因特网106或者任何公共或者私有网络连接到企业内部网络103。如果终端104提供适当的凭证和认证,则防火墙105允许终端104访问内部数据中心102。终端101和104处的企业用户还可以经由因特网106访问公共数据中心107。
内部数据中心102和公共数据中心107可以将“云计算”服务提供到企业100和其他用户。通过使企业用户免于管理信息技术(IT)基础设施,云计算以低成本提供实际上无限的计算、存储和网络资源,同时允许服务按需缩放。
图2是根据一个实施例的提供云计算服务或分布式计算服务的分布式计算网络或者数据中心200的块图。多个服务器201由数据中心管理控制器202管理。负载平衡器203将请求和工作量分布在服务器201上以避免其中单个服务器201变得压倒的情况,并且使数据中心200中的资源的可用容量和性能最大化。路由器/交换机204经由外部网络205支持服务器201之间以及数据中心200与外部资源和用户之间的数据流量,外部网络205可以是在企业内部数据中心102的情况下的局域网(LAN)或者在公共数据中心(107)的情况下的因特网。
服务器201可以是传统的独立计算设备和/或其可以被配置为许多服务器设备的机架中的个体刀片。服务器201具有输入/输出(I/O)连接器,其管理与其他数据库实体的通信。每个服务器201上的一个或多个主机处理器运行主机操作***(O/S),其支持多个虚拟机(VM)。每个VM可以运行其自身的O/S,使得服务器上的每个VM O/S是不同的或者是相同的或者二者的混合。VM O/S可以是例如相同O/S的不同的版本(例如,不同的VM运行
操作***的不同的当前版本和旧版本)。附加地或者备选地,VM O/S可以由不同的制造商提供(例如,一些VM运行
操作***,同时其他VM运行
操作***)。每个VM可以然后运行一个或多个应用(App)。每个服务器还包括存储装置(例如,硬盘驱动器(HDD))和存储器(例如,RAM),其可以由主机处理器和VM访问和使用。
云计算递送计算能力作为服务、对IT资源(如计算能力、网络和存储装置)进行访问,如与来自水龙头的水一样可用。与任何实体一样,你通常仅支付你利用云计算所使用的。通过接进云服务中,在不必建立、管理或维持昂贵的复杂的IT构建块的情况下,用户可以利用海量数据中心的能力。利用云,IT的复杂性中的许多复杂性被抽象出来,让你仅聚焦于实际上对你的商业有关系的基础设施、数据和应用开发。
数据中心200提供在其上客户或者租户可以按需动态地提供和缩放应用而不必添加更多服务器或者附加网络的池化资源。这允许租户获得其需要计算资源而不必在每应用的自组网基础上取得、提供并且管理基础设施。云计算数据中心200允许租户动态地按比例放大或按比例缩小资源以满足其商业的当前需要。此外,数据中心操作者可以将基于使用的服务提供到租户,使得当其需要使用他们时,其支付仅其使用的资源。例如,租户可以最初在服务器201-1上使用一个VM来运行其应用。当需求增加时,数据中心可以根据需要激活相同服务器上和/或新服务器201-N上的附加VM。如果需求稍后下降,则这些附加的VM可以被去激活。
数据中心200可以提供保证可用性、灾难恢复和备份服务。例如,数据中心可以指派服务器201-1上的一个VM作为用于租户的应用的主位置,并且在第一VM或服务器201-1发生故障的情况下,可以激活相同或者不同的服务器上的第二VM作为备用或者备份。在不要求租户介入的情况下,数据库管理器202使传入用户请求从主VM自动地移动到备份VM。虽然数据中心200被图示为单个位置,但是将理解到,服务器201可以被分布到跨全球的多个位置以提供附加冗余度和灾难恢复能力。
数据中心操作者可以将不同水平的云计算服务提供到租户。利用基础设施即服务(IaaS)报价,较低水平的IT堆栈被递送作为服务,其从提供物理机和配置网络的许多复杂性释放开发者。利用IasS,租户可以容易地提供高度可扩展和可用云环境中的虚拟机,开发和测试方案,然后将应用部署到生产。利用平台即服务(PaaS)供应,来自通过运行时的网络连接性的所有东西被提供。PaaS通过提供用于应用服务的附加支持和操作***的管理(包括更新)使开发容易。利用PaaS,租户可以聚焦于应用的商业逻辑并且从概念到发起迅速地移动应用。利用软件即服务(SaaS)供应,单个完成应用或应用套件可以通过网络浏览器被递送到客户,从而消除其管理包括应用代码的IT堆栈的底层部件的需要。
再次参考图1,企业可以使用公共数据中心或公共云计算服务以利用成本节省、减少的管理要求或提供的特定服务。另一方面,例如,企业还可以使用内部数据中心或私有云服务来确保数据安全或使用专有应用。将理解到,企业不必使用内部数据中心来利用私有云服务。相反,可以由限制对企业的访问权的数据中心提供私有云服务。由企业对公共云服务和私有云服务二者的使用通常被称为混合云。
图3是图示两个云***之间的交互的块图。每个云***301、305具有其自身的身份***302、306和其自身的API层303、307。网站304运行在云***301上并且使用身份***302和用于云***301的API层303。分离的网站308运行在云***305上并且使用身份***306和用于云***305的API层307。网站304包括:扩展309,其从本地云***301被加载,以及扩展310,其从远程云***305被加载。
实施例实现无缝的用户体验,其中用户能够从网站304中的部件导航到在另一云上运行的另一网站308的部件。这可以在不要求网站304实际上打开另一网站308的情况下发生。这实现可以在一个云***301的上下文内被管理的两个云***301、305之间的通信模式。
***能够理解扩展从哪个云被加载。例如,网站304和云***301理解扩展309从云***301被加载并且扩展310从云***305被加载。***能够从对应的云中的身份***取得身份令牌。这设立对于扩展与该云的API层通信所需要的安全上下文。例如,当来自另一云***的扩展310将被加载时,云***301从云***305中的身份***306取得身份令牌以设立用于扩展310的安全上下文。扩展310将然后使用该安全上下文将请求发送到云***305中的API层307。
来自网站304和308二者的内容可以被绘制在浏览器中的相同内联框架(IFrame)中,其中HTML内联框架元素(<iframe>)表示嵌套浏览上下文,有效地将另一HTML页面嵌入当前页面中。内联框架被用于将另一文档嵌入在当前HTML文档内。在图3中,例如,框架310被嵌入在网站304内。因此,针对云***301的云扩展309与针对云***305的云扩展310分离。扩展提供用于其相应云服务的必要的安全上下文,但是安全凭证不需要在云***301、305之间被共享。相反,它们在被嵌入在用于网站304的代码内的分离的框架中被隔离。因此,浏览器可以访问来自网站304上的云***301、305二者的内容,但是网站304上的用户不具有对云***301、305二者的访问。对于访问网站304的用户而言,对每个云服务的访问是无缝的,这是因为网站304取决于扩展根据需要处理用于每个云服务的安全上下文。
该方法允许多个云服务器301、305彼此交互操作并且从彼此加载个体部件309、310以提供无缝体验。其他实施例不限于网站304、308,而是允许任何资源或者应用从远程云加载部件并且从对应的远程身份***获得适当的令牌。应用和资源(诸如网站304、308)可以由运行在云服务301、305上的资源提供者来配置。
随着不同的类型的基于云的***(例如,不同的公共、私有和混合云***)的出现,云***交互操作的能力实现其中每个云的个体能力可以被组合以提供综合终端用户体验的更高级的场景。存储装置311可以被用于存储用于用户的安全令牌。安全令牌可以被存储例如作为用于每个用户的密钥链并且可以与用户订阅的不同的云服务和分布式计算网络中的每一个相关联。
该***提供以下优点。
云上下文感知——在一个云服务上运行的网站或者应用理解本地云被连接到的不同云的特性。例如,用户可以从相同会话中的相同浏览器同时地被连接到公共云(诸如Microsoft Azure)和私有云(诸如Microsoft Azure Stack)。
基于云上下文感知的令牌取回。基于UI部件和它们来自的对应的远程云的应用的理解,应用伸到远程云的认证***以代表当前用户取得安全令牌。
用于令牌的密钥链——维持对准不同云的用户的令牌的链并且适当地将他们发出到该云的UI部件。
实施例还提供用户使用单个登录访问多个云的能力。用户可以通过登录到一个云***上的应用中来管理多个云,其然后标识可以与第一云通信的其他云。第一云联系其他云上的身份服务并且获得适当的令牌。第一云可以然后自动地与其他云通信。第一云可以在不停机状态中标识资源和远程身份***并且获得必要的令牌以与远程云通信。
图4是图示用于跨多个分布式计算网络访问资源的示例方法的流程图。在步骤401中,在第一计算网络上提供资源。资源包括与第一身份***相关联的第一扩展以及与第二身份***相关联的第二扩展。第一身份***被托管在第一计算网络上并且第二身份***被托管在远程计算网络上。在步骤402中,从第一身份***加载一个或多个第一安全令牌以允许第一计算网络上的用户访问第一扩展。在步骤403中,从远程计算网络加载一个或多个第二安全令牌以允许第一计算网络上的用户访问第二扩展。
在其他实施例中,在第一计算网络上标识用户并且然后基于用户的身份,从远程计算网络取回安全令牌。第二身份***可以是认证***。用户可以访问资源上的第一扩展和第二扩展二者。资源可以是例如网站,并且扩展可以对应于被显示在网站上的窗口。第一计算网络和远程计算网络可以是私有云服务和公共云服务的组合。
示例***包括第一云***,其托管具有第一扩展的第一资源,第一云***具有由第一资源和第一扩展使用的第一身份***和第一API层;并且资源具有从具有第二身份***和第二API层的第二云***加载的第二扩展,其中第一云***加载来自第二身份***的安全令牌以允许第二扩展使用第二API层进行通信。
在***的附加实施例中,资源是网站。
在***的附加实施例中,第一云是公共云并且第二云是私有云。
在***的附加实施例中,第一云是私有云并且第二云是公共云。
在***的附加实施例中,用户可以从相同会话中的相同浏览器同时地连接到第一云和第二云二者。
在***的附加实施例中,第一云上的应用代表当前用户从第二云的认证***获取安全令牌。
在***的附加实施例中,第一云***维持用于用户的安全令牌的链,并且其中安全令牌对准不同的云。
在***的附加实施例中,基于相关联的远程云,安全令牌被发出到第一云的UI部件。
在***的附加实施例中,还包括浏览器,其中来自在第一云上托管的网站的内容和来自在第二云上托管的网站的内容被绘制在浏览器中的相同内联框架中。
一种用于访问跨多个分布式计算网络访问的资源的示例方法包括在第一计算网络上提供资源,资源包括与第一身份***相关联的第一扩展以及与第二身份***相关联的第二扩展,其中第一身份***被托管在第一计算网络上并且第二身份***被托管在远程计算网络上;从第一身份***加载一个或多个第一安全令牌以允许第一计算网络上的用户访问第一扩展;并且从远程计算网络加载一个或多个第二安全令牌以允许第一计算网络上的用户访问第二扩展。
方法的附加实施例还包括标识第一计算网络上的用户;并且基于用户的身份,从远程计算网络取回安全令牌。
方法的附加实施例还包括第二身份***是认证***。
方法的附加实施例还包括用户访问资源上的第一扩展和第二扩展二者。
方法的附加实施例还包括资源是网站并且扩展对应于被显示在网站上的窗口。
方法的附加实施例还包括第一计算网络和远程计算网络中的一个计算物理是私有云服务并且另一计算网络是公共云服务。
一种示例***包括第一分布式计算网络,其托管具有第一扩展的资源,第一分布式计算网络具有由资源和第一扩展使用的第一身份***;资源具有从具有第二身份***的第二分布式计算网络加载的第二扩展,其中第一分布式计算网络从第二身份***加载安全令牌以允许用户访问第二扩展;以及用于维持与用户相关联的多个安全令牌的存储装置,令牌组允许用户从多个分布式计算网络访问扩展。
在***的附加实施例中,资源具有从各自具有其自身的身份***和API层的一个或多个附加的分布式计算网络加载的一个或多个附加的扩展,其中第一***从一个或多个附加的分布式计算网络上的身份***加载安全令牌以允许用户访问一个或多个附加的扩展。
在***的附加实施例中,分布式计算网络包括一个或多个公共云服务和一个或多个私有云服务二者。
在***的附加实施例中,用户可以从相同会话中的相同资源同时地连接到第一分布式计算网络和第二分布式计算网络二者。
在***的附加实施例中,第一分布式计算网络上的应用代表当前用户从第二分布式计算网络的认证***取得安全令牌。
虽然已经以特定于结构特征和/或方法动作的语言描述主题,但是将理解到,所附的权利要求中限定的主题不必限于上文所描述的特定特征或动作。相反,上文所描述的特定特征和动作被公开为实现权利要求的示例形式。
Claims (20)
1.一种用于由用户访问跨多个分布式计算网络的资源的***,所述***包括:
第一云***,其使用硬件处理器而被实现;以及
存储器,其由所述硬件处理器使用,其中所述硬件处理器被配置为:
托管具有第一扩展和第二扩展的第一资源,
其中所述第一云***包括由所述第一资源和所述第一扩展使用的第一身份***和第一API层;以及
其中所述第二扩展从与所述第一云***不同且分离的第二云***被加载,所述第二云***具有第二身份***和第二API层,并且所述用户被同时连接到所述第一云***和所述第二云***二者,以及
存储与所述用户相关联的多个安全令牌,所述多个安全令牌允许所述用户通过所述安全令牌以及关联的API层来访问来自多个云***的资源的扩展,其中与所述用户相对应的所述多个安全令牌中的每个安全令牌是用于所述用户的密钥链并且指示所述用户已经订阅的一个或多个云***之间的关联,使得所述第一云***从所述第二身份***加载安全令牌以允许所述第二扩展使用所述第二API层进行通信。
2.根据权利要求1所述的***,其中所述资源是网站。
3.根据权利要求1所述的***,其中所述第一云是公共云并且所述第二云是私有云。
4.根据权利要求1所述的***,其中所述第一云是私有云并且所述第二云是公共云。
5.根据权利要求1所述的***,其中用户可以从相同会话中的相同浏览器同时被连接到所述第一云和所述第二云二者。
6.根据权利要求1所述的***,其中所述第一云上的应用代表当前用户从所述第二云的认证***取得安全令牌。
7.根据权利要求1所述的***,其中所述第一云***维持用于用户的安全令牌的链,并且其中每个安全令牌是用于所述用户的所述链并且指示所述用户已经订阅的一个或多个分布式计算网络之间的关联。
8.根据权利要求7所述的***,其中所述安全令牌基于相关联的远程云而被发出到第一云的UI部件。
9.根据权利要求1所述的***,还包括:
浏览器,其中来自在所述第一云上被托管的网站的内容和来自在所述第二云上被托管的网站的内容被绘制在所述浏览器中的相同内联框架中。
10.一种用于由用户访问跨多个分布式计算网络的资源的方法,包括:
在第一计算网络上提供资源,所述资源包括:与所述第一计算网络中的第一身份***和第一API层相关联的第一扩展、以及与不同的远程计算网络中的第二身份***和第二API层相关联的第二扩展,并且所述用户同时连接到所述第一计算网络和所述远程计算网络,其中所述第一身份***被托管在所述第一计算网络上并且所述第二身份***被托管在远程计算网络上;
从所述第一身份***加载一个或多个第一安全令牌以允许所述第一计算网络上的用户访问所述第一扩展;以及
从所述远程计算网络加载一个或多个第二安全令牌以允许所述第一计算网络上的所述用户使用所述第二API层访问所述第二扩展,其中存储与所述用户相关联的多个安全令牌,所述多个安全令牌允许所述用户通过所述安全令牌经由关联的API层来访问来自多个计算网络的所述资源的扩展,其中与所述用户相对应的所述多个安全令牌中的每个安全令牌是用于所述用户的密钥链并且指示所述用户已经订阅的一个或多个计算网络之间的关联。
11.根据权利要求10所述的方法,还包括:
标识所述第一计算网络上的所述用户;以及
基于所述用户的身份,从所述远程计算网络取回安全令牌。
12.根据权利要求10所述的方法,其中所述第二身份***是认证***。
13.根据权利要求10所述的方法,其中所述用户访问所述资源上的所述第一扩展和所述第二扩展二者。
14.根据权利要求10所述的方法,其中所述资源是网站并且所述扩展对应于被显示在所述网站上的窗口。
15.根据权利要求10所述的方法,其中所述第一计算网络和所述远程计算网络中的一个计算网络是私有云服务并且另一计算网络是公共云服务。
16.一种用于由用户访问跨多个分布式计算网络的资源的***,所述***包括:
第一分布式计算网络,其使用硬件处理器而被实现;以及
存储器,其由所述硬件处理器使用,其中所述硬件处理器被配置为:
托管具有第一扩展的资源,其中所述资源和所述第一扩展使用所述第一分布式计算网络中的第一身份***和第一API层;
并且其中所述资源包括从第二分布式计算网络加载的第二扩展,所述第二分布式计算网络具有与所述第一分布式计算网络不同且分离的所述第二分布式计算网络中的第二身份***和第二API层,并且所述用户被同时连接到所述第一分布式计算网络和所述第二分布式计算网络二者;
并且其中所述第一分布式计算网络的所述硬件处理器从所述第二身份***加载安全令牌以允许用户使用所述第二API层访问所述资源的所述第二扩展;以及
存储与所述用户相关联的多个安全令牌,所述多个安全令牌允许所述用户通过所述安全令牌以及关联的API层来访问来自多个分布式计算网络的所述资源的扩展,其中与所述用户相对应的所述多个安全令牌中的每个安全令牌是用于所述用户的密钥链并且指示所述用户已经订阅的一个或多个分布式计算网络之间的关联。
17.根据权利要求16所述的***,还包括
所述资源具有从一个或多个附加分布式计算网络加载的一个或多个附加扩展,所述一个或多个附加分布式计算网络各自具有其自己的身份***和API层,其中所述第一云***从所述一个或多个附加分布式计算网络上的所述身份***加载安全令牌以允许用户访问所述一个或多个附加扩展。
18.根据权利要求17所述的***,其中分布式计算网络包括一个或多个公共云服务和一个或多个私有云服务二者。
19.根据权利要求16所述的***,其中用户可以从相同会话中的相同资源同时被连接到所述第一分布式计算网络和所述第二分布式计算网络二者。
20.根据权利要求16所述的***,其中所述第一分布式计算网络上的应用代表当前用户从所述第二分布式计算网络的认证***取得安全令牌。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562266660P | 2015-12-13 | 2015-12-13 | |
| US62/266,660 | 2015-12-13 | ||
| US15/135,673 | 2016-04-22 | ||
| US15/135,673 US10084785B2 (en) | 2015-12-13 | 2016-04-22 | Connecting and retrieving security tokens based on context |
| PCT/US2016/065030 WO2017105896A1 (en) | 2015-12-13 | 2016-12-06 | Connecting and retrieving security tokens based on context |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108293047A CN108293047A (zh) | 2018-07-17 |
| CN108293047B true CN108293047B (zh) | 2020-10-30 |
Family
ID=59019185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680068303.4A Active CN108293047B (zh) | 2015-12-13 | 2016-12-06 | 由用户访问跨多个分布式计算网络的资源的***和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10084785B2 (zh) |
| EP (1) | EP3387816B1 (zh) |
| CN (1) | CN108293047B (zh) |
| WO (1) | WO2017105896A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| MX2019008936A (es) * | 2017-01-26 | 2019-09-11 | Walmart Apollo Llc | Sistemas y metodos para brindar comunicaciones seguras a proveedores de servicios en la nube. |
| US11848998B2 (en) * | 2020-07-29 | 2023-12-19 | Control Plane Corporation | Cross-cloud workload identity virtualization |
| CN114513344B (zh) * | 2022-01-26 | 2024-05-24 | 鼎捷软件股份有限公司 | 云应用间的集成***及其方法 |
| US11972310B1 (en) * | 2023-01-16 | 2024-04-30 | Sap Se | Multi-resource operations in an analytics computing system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102598577A (zh) * | 2009-10-23 | 2012-07-18 | 微软公司 | 使用云认证进行认证 |
| CN102685202A (zh) * | 2011-03-03 | 2012-09-19 | 微软公司 | 在操作***和应用之间共享用户id |
| CN103563294A (zh) * | 2011-06-30 | 2014-02-05 | 国际商业机器公司 | 用于云计算平台安全性的认证和授权方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7526798B2 (en) | 2002-10-31 | 2009-04-28 | International Business Machines Corporation | System and method for credential delegation using identity assertion |
| US8924569B2 (en) | 2009-12-17 | 2014-12-30 | Intel Corporation | Cloud federation as a service |
| US8474017B2 (en) * | 2010-07-23 | 2013-06-25 | Verizon Patent And Licensing Inc. | Identity management and single sign-on in a heterogeneous composite service scenario |
| US9497184B2 (en) | 2011-03-28 | 2016-11-15 | International Business Machines Corporation | User impersonation/delegation in a token-based authentication system |
| US9087189B1 (en) * | 2011-05-03 | 2015-07-21 | Symantec Corporation | Network access control for cloud services |
| US8869244B1 (en) | 2011-05-03 | 2014-10-21 | Symantec Corporation | Techniques for providing role-based access control using dynamic shared accounts |
| US9418216B2 (en) | 2011-07-21 | 2016-08-16 | Microsoft Technology Licensing, Llc | Cloud service authentication |
| US9313100B1 (en) * | 2011-11-14 | 2016-04-12 | Amazon Technologies, Inc. | Remote browsing session management |
| US9384339B2 (en) | 2012-01-13 | 2016-07-05 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
| US8813205B2 (en) | 2012-02-06 | 2014-08-19 | International Business Machines Corporation | Consolidating disparate cloud service data and behavior based on trust relationships between cloud services |
| US8832857B2 (en) | 2012-07-12 | 2014-09-09 | International Business Machines Corporation | Unsecured asset detection via correlated authentication anomalies |
| US9467355B2 (en) | 2012-09-07 | 2016-10-11 | Oracle International Corporation | Service association model |
| US20140282938A1 (en) | 2013-03-15 | 2014-09-18 | Adam Moisa | Method and system for integrated cloud storage management |
| US8769644B1 (en) | 2013-03-15 | 2014-07-01 | Rightscale, Inc. | Systems and methods for establishing cloud-based instances with independent permissions |
| US20140366080A1 (en) | 2013-06-05 | 2014-12-11 | Citrix Systems, Inc. | Systems and methods for enabling an application management service to remotely access enterprise application store |
| US20150019735A1 (en) | 2013-07-09 | 2015-01-15 | Microsoft Corporation | Hoster interface for managing and adding services |
| US20150121462A1 (en) | 2013-10-24 | 2015-04-30 | Google Inc. | Identity application programming interface |
| US9386007B2 (en) | 2013-12-27 | 2016-07-05 | Sap Se | Multi-domain applications with authorization and authentication in cloud environment |
-
2016
- 2016-04-22 US US15/135,673 patent/US10084785B2/en active Active
- 2016-12-06 WO PCT/US2016/065030 patent/WO2017105896A1/en active Search and Examination
- 2016-12-06 CN CN201680068303.4A patent/CN108293047B/zh active Active
- 2016-12-06 EP EP16834219.4A patent/EP3387816B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102598577A (zh) * | 2009-10-23 | 2012-07-18 | 微软公司 | 使用云认证进行认证 |
| CN102685202A (zh) * | 2011-03-03 | 2012-09-19 | 微软公司 | 在操作***和应用之间共享用户id |
| CN103563294A (zh) * | 2011-06-30 | 2014-02-05 | 国际商业机器公司 | 用于云计算平台安全性的认证和授权方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3387816B1 (en) | 2019-08-28 |
| WO2017105896A1 (en) | 2017-06-22 |
| EP3387816A1 (en) | 2018-10-17 |
| CN108293047A (zh) | 2018-07-17 |
| US10084785B2 (en) | 2018-09-25 |
| US20170171211A1 (en) | 2017-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106462467B (zh) | 在不同分布式网络上针对消费服务的集成api和ui | |
| US10827008B2 (en) | Integrated user interface for consuming services across different distributed networks | |
| US10838775B2 (en) | Load balancing by endpoints | |
| CN106537338B (zh) | 自扩展云 | |
| US9213568B2 (en) | Assigning states to cloud resources | |
| US10360410B2 (en) | Providing containers access to container daemon in multi-tenant environment | |
| US9086897B2 (en) | Method and architecture for virtual desktop service | |
| US8812687B2 (en) | Managing user state of cloud desktops | |
| US20130291062A1 (en) | Secure Administration of Virtual Machines | |
| US10594781B2 (en) | Dynamic healthchecking load balancing gateway | |
| KR101840222B1 (ko) | 컴퓨팅 세션의 관리 | |
| JP2018502383A (ja) | 多数のコンピュータサブシステム用の再構成可能リソースを備えるシステムオンチップ | |
| EP2756410A2 (en) | Geo-migration of user state | |
| CN108293047B (zh) | 由用户访问跨多个分布式计算网络的资源的***和方法 | |
| JP7200078B2 (ja) | I/oステアリングエンジンを備えるシステムオンチップ | |
| US10637924B2 (en) | Cloud metadata discovery API | |
| US9338229B2 (en) | Relocating an application from a device to a server | |
| US20220086151A1 (en) | Peer reviewed access to computing system | |
| CN114868362A (zh) | 扩展第3代合作伙伴计划(3gpp)实时上行链路流式传输框架(flus)信宿能力描述 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |