確定第一租戶關(guān)于第二租戶的許可的制作方法
【專利摘要】提供系統(tǒng)的多個租戶之間的特權(quán)的第一表示。租戶具有根據(jù)層次結(jié)構(gòu)的關(guān)系,層次結(jié)構(gòu)包括租戶的多個層次級,其中,特權(quán)中的至少一個指定對第一租戶執(zhí)行關(guān)于第二租戶的任務(wù)的許可。第一表示獨立于多個租戶之間的關(guān)系的表示。響應(yīng)于來自第一租戶的執(zhí)行關(guān)于第二租戶的任務(wù)的請求,系統(tǒng)基于第一表示確定第一租戶是否被許可執(zhí)行關(guān)于第二租戶的任務(wù)。
【專利說明】
確定第一租戶關(guān)于第二租戶的許可
【背景技術(shù)】
[0001]云系統(tǒng)包括可由云系統(tǒng)的供應(yīng)商的客戶共享的資源或服務(wù)。資源可包括處理資源、存儲資源、通信資源等。服務(wù)可由應(yīng)用或其他機器可執(zhí)行指令提供。云系統(tǒng)允許其資源或服務(wù)被客戶按需訪問。
【附圖說明】
[0002]參照以下附圖描述一些實施方式。
[0003]圖1是根據(jù)一些實施方式的租戶特權(quán)層次結(jié)構(gòu)(hierarchy)的示意圖。
[0004]圖2是根據(jù)一些實施方式的租戶關(guān)系層次結(jié)構(gòu)的示意圖。
[0005]圖3是根據(jù)一些實施方式的包括身份管理系統(tǒng)和租戶系統(tǒng)的示例性布置的框圖。;
[0006]圖4是根據(jù)進一步的實施方式的包括云系統(tǒng)和租戶系統(tǒng)的示例性布置的框圖。
[0007]圖5是根據(jù)一些實施方式的租戶對租戶(tenant-to-tenant)特權(quán)管理過程的流程圖。
[0008]圖6是根據(jù)一些實施方式的示例性系統(tǒng)的框圖。
【具體實施方式】
[0009]云系統(tǒng)的基礎(chǔ)結(jié)構(gòu)可由供應(yīng)商擁有或管理,供應(yīng)商可為諸如商行、政府機關(guān)、教育機構(gòu)或個人的實體。云系統(tǒng)的基礎(chǔ)結(jié)構(gòu)可位于特定的地理位置中,或者可分布在多個地理位置?;A(chǔ)結(jié)構(gòu)包括可由云系統(tǒng)的供應(yīng)商的客戶可用的云資源和云服務(wù)。此類客戶也被稱為是租戶,其可位于任何位置,只要其能夠通過網(wǎng)絡(luò)訪問云系統(tǒng)。租戶可指單個用戶或者用戶的集合,諸如作為商行、政府機關(guān)或教育機構(gòu)的成員的用戶。
[0010]云資源可包括以下中的任何一個或者一些組合:處理資源(其可包括一個或多個計算機的處理器)、存儲資源(其可包括存儲裝置,諸如基于磁盤的存儲裝置或者固態(tài)存儲裝置)、通信資源(其可包括通信裝置以允許由用戶進行通信,其中通信裝置的示例可包括路由器、交換機、通信設(shè)施服務(wù)器等)以及其他資源。
[0011]除了云資源之外,云系統(tǒng)還可提供諸如網(wǎng)頁服務(wù)的云服務(wù),其可由云系統(tǒng)的租戶的用戶調(diào)用。租戶的用戶可指機器或人。云服務(wù)指的是可由租戶調(diào)用的功能。該功能可由機器可讀指令提供。網(wǎng)頁服務(wù)指的是可通過諸如因特網(wǎng)的網(wǎng)絡(luò)訪問的服務(wù)。
[0012]雖然在本討論中參照了云系統(tǒng),但應(yīng)該注意的是,根據(jù)一些實施方式的技術(shù)或機制也可應(yīng)用于可包括可由多個租戶共享的資源和/或服務(wù)的其他類型的系統(tǒng)。
[0013]云系統(tǒng)可包括身份管理系統(tǒng),其存儲信息以能夠?qū)τ脩魢L試訪問云系統(tǒng)進行認(rèn)證并且能夠?qū)υL問所請求的該云系統(tǒng)的資源或服務(wù)進行授權(quán)。其他實體可與身份管理系統(tǒng)交互以執(zhí)行授權(quán)和認(rèn)證。身份管理系統(tǒng)可定義與云系統(tǒng)的資源和服務(wù)的訪問相關(guān)的特權(quán)。特權(quán)可指:對給定用戶執(zhí)行動作的許可,該動作可涉及訪問云系統(tǒng)的資源或服務(wù)。
[0014]身份管理系統(tǒng)還提供與創(chuàng)建、讀取、更新或刪除用戶的配置文件(profile)信息的能力相關(guān)聯(lián)的特權(quán)。由身份管理系統(tǒng)維持的用戶的配置文件信息可包括各種類型的用戶數(shù)據(jù),包括用戶名、郵件地址、登錄名(用于登入到云系統(tǒng))、允許用戶訪問云系統(tǒng)的一個或多個認(rèn)證證書(認(rèn)證證書的示例可包括密碼、用戶的生物識別信息、密鑰等)等。
[0015]“多租戶”身份管理系統(tǒng)是一種能夠執(zhí)行對多個租戶(諸如云系統(tǒng)的多個租戶)的身份管理的身份管理系統(tǒng)。
[0016]在一些實施方式中,多租戶身份管理系統(tǒng)還可存儲租戶信息和租戶關(guān)系信息。租戶信息包括描述租戶的信息,其中,信息可包括租戶名、由租戶提供的產(chǎn)品或服務(wù)以及與租戶有關(guān)的其他信息。租戶關(guān)系信息描述了租戶之間的關(guān)系。例如,第一租戶可為各種產(chǎn)品的制造商。第二租戶可為第一租戶的轉(zhuǎn)銷商,其中,第二租戶出售第一租戶的某些產(chǎn)品。第三租戶可為第二租戶的客戶。在前述示例中,第二租戶可被視為是第一租戶的子租戶,而第三租戶可被視為是第二租戶的子租戶。租戶之間的子租戶關(guān)系也可被稱為租戶從屬(tenant-of-tenant)關(guān)系。租戶從屬關(guān)系可指租戶之間已建立的關(guān)系,其中,該關(guān)系可通過協(xié)議建立,可基于公司布置(例如,母公司的子公司)建立,或者通過其他類型的布置或理解而建立。
[0017]取決于在租戶之間提供的特定服務(wù)或租戶的特定交互,一個租戶可以訪問另一租戶的租戶資源。租戶資源可包括租戶的信息、租戶的處理資源、租戶的存儲資源、租戶的通信資源等。注意到,租戶的租戶資源不同于云系統(tǒng)的云資源。
[0018]在一個示例中,轉(zhuǎn)銷商可向該轉(zhuǎn)銷商的客戶提供高級服務(wù),諸如維持服務(wù)、支持服務(wù)等等。在此類關(guān)系中,轉(zhuǎn)銷商可部分訪問或完全訪問轉(zhuǎn)銷商的客戶的或信息。在另一示例中,如果轉(zhuǎn)銷商未向特定客戶提供任何高級服務(wù)(例如,轉(zhuǎn)銷商僅僅向特定客戶出售產(chǎn)品而沒有在出售產(chǎn)品之后提供進一步的服務(wù)),則轉(zhuǎn)銷商不會被允許訪問該特定客戶的信息。
[0019]在租戶特權(quán)信息中指示了一個租戶訪問另一租戶的資源的能力。租戶特權(quán)信息可指定一個租戶關(guān)于另一租戶具有什么特權(quán)。通常來說,租戶之間的特權(quán)可由租戶對租戶關(guān)系來暗示。例如,一個租戶訪問子租戶的信息,但不可訪問另一租戶的信息。然而,以這種靜態(tài)的方式指定租戶之間的特權(quán)減少了租戶之間特權(quán)的賦予的靈活性。
[0020]根據(jù)一些實施方式,提供技術(shù)或機制來管理多租戶環(huán)境中的租戶對租戶特權(quán),其中,租戶具有層次結(jié)構(gòu)中的關(guān)系,該層次結(jié)構(gòu)包括多個不同層次級。在租戶對租戶關(guān)系層次結(jié)構(gòu)中,處于層次結(jié)構(gòu)的頂層的租戶可具有處于第二、較低層次級的一個或多個子租戶。處于第二層次級的租戶又可具有處于租戶對租戶關(guān)系層次結(jié)構(gòu)的第三、較低層次級的子租戶。
[0021 ] 可提供多個租戶之間的特權(quán)的明確租戶特權(quán)表示(representat1n)。該租戶特權(quán)表示對于多個租戶之間的關(guān)系的表示而言是額外的并且是獨立的。由此,租戶之間的特權(quán)的表示不必依賴于租戶之間的關(guān)系。以此方式,可在持續(xù)的基礎(chǔ)上動態(tài)地修改租戶之間的特權(quán)的表示,無論租戶之間的關(guān)系是否已被修改。
[0022]可在租戶特權(quán)表示中指定的租戶之間的特權(quán)的示例可包括以下,作為示例:
[0023]將新的子租戶添加至租戶;
[0024]從租戶中移除子租戶;
[0025]訪問租戶的資源,其中,資源可包括包含在特定租戶的租戶記錄中的信息、或者與該特定租戶相關(guān)聯(lián)的任意其他資源,諸如處理資源、存儲資源、通信資源等等;
[0026]訪問包含在與租戶相關(guān)聯(lián)的身份管理系統(tǒng)中的信息(包含在身份管理系統(tǒng)中的信息包括:由身份管理系統(tǒng)用來認(rèn)證用戶或者授權(quán)對云系統(tǒng)的云資源或云服務(wù)的訪問的用戶身份數(shù)據(jù));或
[0027]訪問包含在與租戶相關(guān)聯(lián)的外部系統(tǒng)中的信息,其中,外部系統(tǒng)可為文檔存儲庫或其他外部系統(tǒng)。
[0028]更普遍而言,租戶特權(quán)表示指定對各個層次級處的租戶執(zhí)行關(guān)于各個層次級處的其他租戶的任務(wù)(例如,諸如前述的任何一項)的許可。
[0029]圖1是租戶之間的特權(quán)的租戶特權(quán)表示的示例,其中,從第一租戶到第二租戶的箭頭指示已從第一租戶向第二租戶賦予某些權(quán)限。圖1中描繪的租戶特權(quán)表示是租戶特權(quán)層次結(jié)構(gòu)100。基礎(chǔ)租戶位于租戶特權(quán)層次結(jié)構(gòu)100的第一(頂)層次級102。在一些示例中,基礎(chǔ)租戶可為產(chǎn)品的制造商或服務(wù)的供應(yīng)商?;A(chǔ)租戶的子租戶位于租戶特權(quán)層次結(jié)構(gòu)100的下一層次級104,其中,子租戶包括轉(zhuǎn)銷商1、轉(zhuǎn)銷商2和服務(wù)承包商。第二層次級104處的租戶的其他子租戶位于下一較低層次級106。層次級106處的租戶包括客戶1.1、客戶1.2、客戶2.1和客戶2.2。客戶1.1和1.2是轉(zhuǎn)銷商I的子租戶,而客戶2.1和2.2是轉(zhuǎn)銷商2的子租戶。
[0030]雖然在圖1中描繪了三個層次級102、104和106,但應(yīng)注意的是,不同的租戶特權(quán)層次結(jié)構(gòu)可包括不同數(shù)量的層次級(例如,小于三個或多于三個)。
[0031]在圖1的租戶特權(quán)層次結(jié)構(gòu)100中,基礎(chǔ)租戶關(guān)于其子租戶中的每個而被賦予特權(quán)(諸如上文中列出的那些),子租戶包括轉(zhuǎn)銷商1、服務(wù)承包商和轉(zhuǎn)銷商2。而且,轉(zhuǎn)銷商2被賦予關(guān)于客戶2.1和客戶2.2的特權(quán)。雖然在服務(wù)承包商與客戶1.2、2.1之間不存在租戶對租戶關(guān)系,但賦予服務(wù)承包商關(guān)于客戶1.2、2.1的特權(quán),因為客戶1.2和2.1可能已被選為使用服務(wù)承包商的服務(wù)。
[0032]注意到,在圖1中,沒有在轉(zhuǎn)銷商I及其客戶1.1、1.2之間指定特權(quán)關(guān)系。結(jié)果是,轉(zhuǎn)銷商I不被賦予任何關(guān)于客戶1.1和1.2的特權(quán)。
[0033]雖然示例性租戶特權(quán)層次結(jié)構(gòu)100示出了處于較高層次級的租戶被賦予關(guān)于較低層次級處的租戶的特權(quán),但應(yīng)注意的是,在進一步的示例中,較低級租戶可被賦予關(guān)于較高級租戶的特權(quán)。例如,客戶2.1可被賦予關(guān)于轉(zhuǎn)銷商2的特權(quán)。此外,在額外的示例中,給定層次級處的第一租戶可能被賦予關(guān)于同一給定層次級處的第二租戶的特權(quán)。
[0034]在進一步的示例中,還可在基礎(chǔ)租戶與遠(yuǎn)離基礎(chǔ)租戶的多于一個層次級的租戶之間建立特權(quán)關(guān)系。例如,可在基礎(chǔ)租戶與客戶1.1、1.2、2.1中的每個之間建立特權(quán)關(guān)系,以允許基礎(chǔ)客戶具有關(guān)于客戶的特權(quán)。
[0035]圖1還描繪了“完全訪問”特權(quán)(由實線箭頭表示)和“部分訪問”特權(quán)(由虛線箭頭表示)。在圖1的示例中,基礎(chǔ)租戶具有關(guān)于基礎(chǔ)租戶的子租戶中的每個的完全訪問特權(quán),子租戶包括轉(zhuǎn)銷商1、服務(wù)承包商和轉(zhuǎn)銷商2。完全訪問特權(quán)指定基礎(chǔ)租戶具有所有可能的特權(quán),例如,包括上文中進一步列出的所有示例性特權(quán)。圖1中的示例性租戶特權(quán)層次結(jié)構(gòu)指定服務(wù)承包商具有關(guān)于客戶1.2和2.1的部分訪問特權(quán),轉(zhuǎn)銷商2具有關(guān)于客戶2.1和2.2的部分訪問特權(quán)。部分訪問特權(quán)指示租戶具有的特權(quán)少于關(guān)于另一租戶的所有可用的特權(quán)。注意到,對于具有多個子租戶的第一租戶,租戶特權(quán)層次結(jié)構(gòu)100可指定第一租戶關(guān)于相應(yīng)的多個子租戶的不同特權(quán)。
[0036]圖2示出了圖1中描繪的租戶之間的關(guān)系的租戶關(guān)系表示。在一些示例中,租戶關(guān)系表示可以以租戶關(guān)系層次結(jié)構(gòu)200的形式。從第一租戶到第二租戶的箭頭指示第二租戶是第一租戶的子租戶。租戶關(guān)系層次結(jié)構(gòu)200具有多個層次級202、204和206。基礎(chǔ)租戶處于頂層次及202,轉(zhuǎn)銷商1、服務(wù)承包商和轉(zhuǎn)銷商2處于第二層次級204,而客戶1.1、1.2、2.1和2.2處于第三層次級206。
[0037]在其他示例中,租戶關(guān)系層次結(jié)構(gòu)200可包括不同數(shù)量的層次級。
[0038]在租戶關(guān)系層次結(jié)構(gòu)200中,客戶1.1和1.2是轉(zhuǎn)銷商I的子租戶,并且客戶2.1和
2.2是轉(zhuǎn)銷商2的子租戶。然而,應(yīng)注意,客戶1.1、1.2、2.1和2.2不是服務(wù)承包商的子租戶。即使在租戶關(guān)系層次結(jié)構(gòu)200中不存在服務(wù)承包商與客戶之間的租戶對租戶關(guān)系,圖1中的租戶特權(quán)層次結(jié)構(gòu)100也允許特權(quán)關(guān)系在服務(wù)承包商與客戶1.1、2.1之間被建立。
[0039]圖3示出了包括通過網(wǎng)絡(luò)302連接至租戶系統(tǒng)304的身份管理系統(tǒng)300的示例性布置。租戶系統(tǒng)指的是與租戶相關(guān)聯(lián)的系統(tǒng)。系統(tǒng)可包括一個或多個計算機,并且可能還包括其他裝置。
[0040]身份管理系統(tǒng)300可為(圖4中描繪的)云系統(tǒng)的一部分,云系統(tǒng)具有可由租戶系統(tǒng)304訪問的云資源和/或云服務(wù)。租戶系統(tǒng)對云資源和/或云服務(wù)的訪問是由身份管理系統(tǒng)300控制的。身份管理系統(tǒng)300包括身份管理引擎306,其可使用用戶的配置文件信息(未示出)來認(rèn)證租戶的用戶,并且確定用戶是否被許可訪問云系統(tǒng)的云資源和/或云服務(wù)。
[0041 ]身份管理系統(tǒng)300還包括租戶信息庫308,其存儲租戶之間的特權(quán)(例如,圖1中的租戶特權(quán)層次結(jié)構(gòu)100)的租戶特權(quán)表示310和租戶之間的關(guān)系(例如,圖2中的租戶關(guān)系層次結(jié)構(gòu)200)的租戶關(guān)系表示312。
[0042]雖然描繪了作為同一庫308的一部分的表示310和312,但應(yīng)注意的是,在其他示例中,表示310和312可存儲在獨立的庫中。
[0043]身份管理系統(tǒng)300包括租戶對租戶特權(quán)管理引擎314,其可訪問租戶信息庫308。租戶對租戶特權(quán)管理引擎314能夠訪問租戶特權(quán)表示310,以確定指定租戶之間是否存在特權(quán)關(guān)系。租戶對租戶特權(quán)管理引擎314能夠訪問租戶關(guān)系表示312,以確定指定租戶之間是否存在租戶對租戶關(guān)系。
[0044]租戶對租戶特權(quán)管理引擎314能夠更新租戶關(guān)系表示312。在一個示例中,如果特定的特權(quán)關(guān)系指示第一租戶能夠?qū)⒆幼鈶籼砑拥降诙鈶?,則租戶對租戶特權(quán)管理引擎314將會允許第一租戶將子租戶添加到第二租戶,這可能引起租戶關(guān)系表示312的修改(第二租戶的新的子租戶將會被添加至租戶關(guān)系表示312)。
[0045]可在動態(tài)的基礎(chǔ)上通過租戶對租戶特權(quán)管理引擎314修改該租戶特權(quán)表示310。例如,身份管理系統(tǒng)300的管理員可決定添加特權(quán)、修改特權(quán)或刪除指定租戶之間的特權(quán),這可能通過修改租戶特權(quán)表示310來實現(xiàn)。注意到,可改變租戶特權(quán)表示310而不必改變租戶關(guān)系表不312。
[0046]身份管理系統(tǒng)300的引擎中的每個(例如,包括引擎306和314)可為實施各個引擎的功能的硬件和程序的任意組合。硬件和程序的此類組合可以以多種不同方式實施。例如,用于引擎的程序可包括存儲在非暫時性機器可讀存儲介質(zhì)上的可執(zhí)行指令,而用于引擎的硬件可包括執(zhí)行那些指令的處理器。在此類示例中,機器可讀存儲介質(zhì)可存儲當(dāng)被處理器運行時實施引擎的功能的指令。存儲該指令的機器可讀存儲介質(zhì)可集成在計算裝置中,計算裝置包括運行該指令的處理資源,或者該機器可讀存儲介質(zhì)可以是獨立的但可由該計算裝置和處理資源訪問。處理資源可包括包含在單個計算裝置中或者分布在多個計算裝置中的一個處理器或多個處理器。在其他示例中,任一引擎的功能可以以電路的形式實施。
[0047]圖4是另一示例性布置的框圖,其包括通過網(wǎng)絡(luò)302連接至租戶系統(tǒng)304的云系統(tǒng)400。云系統(tǒng)400包括結(jié)合圖3討論過的身份管理系統(tǒng)300。此外,云系統(tǒng)400包括管理對云服務(wù)404和云資源406的訪問的一個或多個應(yīng)用402。通過訪問應(yīng)用402,租戶系統(tǒng)304可按需訪問云服務(wù)404和云資源406。
[0048]圖5是租戶對租戶特權(quán)管理過程的流程圖,該方法可通過根據(jù)一些示例的租戶對租戶特權(quán)管理引擎314執(zhí)行。租戶對租戶特權(quán)管理引擎314將租戶之間的特權(quán)的租戶特權(quán)表示310(圖3)存儲在租戶信息庫308中(在502處)。該表示310的特權(quán)中的至少一個指定第一層次級處的第一租戶對層次級(其可與第一層次級相同或不同)處的第二租戶的資源的訪問許可。此外,還可指定其他特權(quán),包括上文列舉的那些。
[0049]響應(yīng)于來自第一租戶的對第二租戶的資源的請求,租戶對租戶特權(quán)管理引擎314可基于租戶特權(quán)表示310確定第一租戶是否被許可訪問第二租戶的資源(504處)。在其他示例中,來自第一租戶的請求可為添加第二租戶的子租戶的請求,或者可為從第二租戶移除子租戶的請求,或者可為執(zhí)行關(guān)于第二租戶的其他任務(wù)的請求。響應(yīng)于此類其他請求,租戶對租戶特權(quán)管理引擎314可類似地詢問該租戶特權(quán)表示310以確定是否可賦予該請求。
[0050]可使用訪問控制機制來指定租戶特權(quán)表示310,訪問控制機制可包括一個或多個訪問控制列表(ACL)。例如,ACL可與租戶中的每個相關(guān)聯(lián),其中,給定租戶的ACL可指定其他租戶具有關(guān)于給定租戶的什么特權(quán)以及那些特權(quán)是什么。
[0051]在進一步的示例中,可使用加密機制來指定租戶之間的關(guān)系。例如,加密機制可防止另一租戶對租戶的資源的未授權(quán)訪問。加密機制可包括以下的一個或一些組合。在一些示例中,為了訪問給定租戶的資源,就必須使用訪問證書。此訪問證書可被加密,并且可僅向指定租戶提供密鑰以解密被加密的訪問證書。具有用于解密被加密的訪問證書的密鑰的租戶將能夠訪問給定租戶的資源。
[0052]在進一步的示例中,可采用數(shù)字簽名的訪問策略和基于這些簽名的強制執(zhí)行。作為示例,可使用策略管理和強制執(zhí)行機制,諸如可擴展訪問控制標(biāo)記語言(XACML)機制。此類機制可包括策略管理點,其以數(shù)字簽名訪問策略的形式創(chuàng)建授權(quán)策略。當(dāng)?shù)谝蛔鈶粝ML問第二租戶的資源時,策略決策點可基于由第一租戶呈現(xiàn)的數(shù)字簽名訪問策略來決定是否可賦予此類訪問請求。通過策略管理點事先應(yīng)用于訪問策略的數(shù)字簽名允許策略決策點獨立于策略管理點來驗證訪問策略。數(shù)字簽名可為非對稱數(shù)字簽名(例如,數(shù)字簽名算法或DSA簽名),在這種情況下,策略管理點和策略決策點不必共享公共加密機密。
[0053]在又進一步的示例中,可使用已采用哈希信息認(rèn)證碼(HMAC)保護的訪問策略,并且強制執(zhí)行可基于該HMAC。作為上述通過使用非對稱數(shù)字簽名來保護訪問策略的替代方案,策略管理點和策略決策點可共享公共加密機密,其允許使用對稱HMAC技術(shù)來驗證訪問策略,諸如在 1997年2月的題為“HMAC:Keyed_Hashing for Message Authenticat1n”的征求評議文件中描述的。
[0054]圖6是根據(jù)一些實施方式的包括一個或多個計算機602的示例性身份管理系統(tǒng)300的框圖。每個計算機602包括一個或多個處理器604,其可連接至網(wǎng)絡(luò)接口606以允許計算機602通過數(shù)據(jù)網(wǎng)絡(luò)進行通信。
[0055]處理器604可聯(lián)接至非暫時性機器可讀存儲介質(zhì)(或存儲媒介)608,其可存儲指令和其他信息。指令可包括機器可讀指令610,其可包括身份管理指令612(其為圖3的身份管理引擎306的一部分)和租戶對租戶管理指令614(其為圖4的租戶對租戶管理引擎314的一部分)。機器可讀指令610可在處理器604上執(zhí)行。處理器可為微處理器、微控制器、處理器模塊或子系統(tǒng)、可編程集成電路、可編程門陣列或其他控制或計算裝置。
[0056]存儲介質(zhì)(或存儲媒介)608還可存儲上述租戶信息庫308。在此使用的“機器可讀存儲介質(zhì)”可為包含或存儲諸如可執(zhí)行指令、數(shù)據(jù)等的電、磁、光或其他物理存儲設(shè)備。例如,在此描述的任意機器可讀存儲介質(zhì)可包括不同形式的存儲器,包括:半導(dǎo)體存儲裝置,諸如動態(tài)或靜態(tài)隨機存取存儲器(DRAM或SRAM)、可擦可編程只讀存儲器(EPROM)、電可擦可編程只讀存儲器(EEPROM)和閃存;磁盤,諸如固定硬盤、軟盤和可換式磁盤;其他磁介質(zhì),包括磁帶;光介質(zhì),諸如光盤(CD)或數(shù)字視頻磁盤(DVD);或其他類型的存儲裝置。注意到,上文討論的指令可設(shè)置在一個計算機可讀或機器可讀存儲介質(zhì)上,或者可替換地,可設(shè)置在分布在具有可能的復(fù)數(shù)個節(jié)點的大型系統(tǒng)中的多個計算機可讀或機器可讀存儲介質(zhì)上。此類計算機可讀或機器可讀存儲介質(zhì)或媒介被視為是物品(或者制品)的一部分。物品或制品可指任意制造的單個組件或多個組件。存儲介質(zhì)或媒介可位于運行機器可讀指令的機器中或者位于遠(yuǎn)程位置中,可通過網(wǎng)絡(luò)從該遠(yuǎn)程位置下載機器可讀指令以運行。
[0057]在前述描述中,列舉了多個細(xì)節(jié)以提供對在此描述的主題的理解。然而,各實施方式可在沒有這些細(xì)節(jié)中的一些細(xì)節(jié)的情況下實施。其他實施方式可包括源自上述細(xì)節(jié)的修改和變型。隨附權(quán)利要求書旨在覆蓋此類修改和變型。
【主權(quán)項】
1.一種方法,包括: 通過包括處理器的系統(tǒng)存儲所述系統(tǒng)的多個租戶之間的特權(quán)的第一表示,所述多個租戶具有根據(jù)層次結(jié)構(gòu)的關(guān)系,所述層次結(jié)構(gòu)包括租戶的多個層次級,其中,所述特權(quán)中的至少一個指定第一層次級處的第一租戶對層次級中的一個處的第二租戶的資源的訪問許可,并且其中,所述第一表示獨立于所述多個租戶之間的關(guān)系的表示;以及 響應(yīng)于來自所述第一租戶的對所述第二租戶的所述資源的請求,通過所述系統(tǒng)基于所述第一表示確定所述第一租戶是否被許可訪問所述第二租戶的所述資源。2.如權(quán)利要求1所述的方法,其中,所述至少一個特權(quán)指定所述第一租戶對作為所述層次級中的不同的一個層次級的第二層次級處的所述第二租戶的所述資源的訪問許可。3.如權(quán)利要求1所述的方法,其中,所述至少一個特權(quán)指定所述第一租戶對所述第二租戶的用戶身份數(shù)據(jù)的訪問許可,所述用戶身份數(shù)據(jù)用于授權(quán)對由所述系統(tǒng)提供的云服務(wù)或云資源的訪問。4.如權(quán)利要求1所述的方法,其中,所述特權(quán)中的第二特權(quán)指定對所述第一租戶修改所述第二租戶的許可,所述方法進一步包括: 響應(yīng)于所述第一租戶的修改所述第二租戶的請求,通過所述系統(tǒng)基于第一表示確定所述第一租戶是否被許可修改所述第二租戶。5.如權(quán)利要求4所述的方法,其中,所述第二特權(quán)指定對所述第一租戶通過添加或移除所述第二租戶的子租戶而修改所述第二租戶的許可。6.如權(quán)利要求1所述的方法,進一步包括: 動態(tài)地修改所述第一表示,以改變所述多個租戶之間的所述特權(quán),而不改變所述多個租戶之間的所述關(guān)系的所述表示。7.如權(quán)利要求1所述的方法,其中,存儲所述第一表示包括:將訪問控制信息存儲在至少一個訪問控制列表中。8.如權(quán)利要求1所述的方法,其中,存儲所述第一表示包括:使用加密機制來控制所述特權(quán)。9.如權(quán)利要求1所述的方法,其中,所述存儲和所述確定是通過身份管理系統(tǒng)執(zhí)行的,所述身份管理系統(tǒng)執(zhí)行對所述系統(tǒng)的云服務(wù)或云資源的訪問的授權(quán)。10.—種系統(tǒng),包括: 至少一個處理器,用于: 從系統(tǒng)的第一租戶接收請求以執(zhí)行關(guān)于所述系統(tǒng)的第二租戶的任務(wù); 響應(yīng)于所述請求,訪問多個租戶之間的特權(quán)的第一表示,所述多個租戶具有根據(jù)層次結(jié)構(gòu)的關(guān)系,所述層次結(jié)構(gòu)包括租戶的多個層次級,其中,所述特權(quán)指定對各個層次級處的租戶執(zhí)行關(guān)于各個層次級處的其他租戶的任務(wù)的許可,并且其中,所述第一表示獨立于所述多個租戶之間的所述關(guān)系的表示;以及 基于所述第一表示確定所述第一租戶是否被許可執(zhí)行關(guān)于所述第二租戶的所述任務(wù)。11.如權(quán)利要求10所述的系統(tǒng),其中,確定所述第一租戶是否被許可執(zhí)行關(guān)于所述第二租戶的所述任務(wù)包括:確定所述第一租戶是否被許可訪問所述第二租戶的資源。12.如權(quán)利要求10所述的系統(tǒng),其中,確定所述第一租戶是否被許可執(zhí)行關(guān)于所述第二租戶的所述任務(wù)包括:確定所述第一租戶是否被許可添加或移除所述第二租戶的子租戶。13.如權(quán)利要求10所述的系統(tǒng),其中,所述系統(tǒng)是云系統(tǒng),并且所述云系統(tǒng)進一步包括身份管理引擎,所述身份管理引擎包括所述至少一個處理器,所述身份管理系統(tǒng)授權(quán)由所述多個租戶中的一個租戶的用戶訪問所述云系統(tǒng)的云服務(wù)或云資源。14.如權(quán)利要求10所述的系統(tǒng),其中,所述第一表示包括租戶特權(quán)層次結(jié)構(gòu),所述租戶特權(quán)層次結(jié)構(gòu)指定所述多個租戶之間的特權(quán)關(guān)系,所述租戶特權(quán)層次結(jié)構(gòu)包括設(shè)置有各個租戶的多個層次級。15.—種制品,包括存儲指令的至少一個非暫時性機器可讀存儲介質(zhì),所述指令在被運行時使得云系統(tǒng)執(zhí)行如下操作: 從所述云系統(tǒng)的第一租戶接收請求以執(zhí)行關(guān)于所述云系統(tǒng)的第二租戶的任務(wù),所述云系統(tǒng)包括可由多個租戶共享的至少一個云資源或至少一個云服務(wù),并且所述云系統(tǒng)進一步包括身份管理系統(tǒng)以授權(quán)對所述至少一個云資源或至少一個云服務(wù)的訪問; 響應(yīng)于所述請求,訪問所述多個租戶之間的特權(quán)的第一表示,所述多個租戶具有根據(jù)層次結(jié)構(gòu)的關(guān)系,所述層次結(jié)構(gòu)包括租戶的多個層次級,其中,所述特權(quán)指定對各個層次級處的租戶執(zhí)行關(guān)于所述各個層次級處的其他租戶的任務(wù)的許可,并且其中,所述第一表示獨立于所述多個租戶之間的所述關(guān)系的表示;以及 基于所述第一表示確定所述第一租戶是否被許可執(zhí)行關(guān)于所述第二租戶的所述任務(wù)。
【文檔編號】G06F9/50GK105917309SQ201480073659
【公開日】2016年8月31日
【申請日】2014年1月20日
【發(fā)明人】邁克爾·伯爾德·貝特
【申請人】惠普發(fā)展公司,有限責(zé)任合伙企業(yè)