在整個云架構(gòu)中擴(kuò)展組織邊界的制作方法
【專利摘要】本發(fā)明涉及在整個云架構(gòu)中擴(kuò)展組織邊界。一種云計算方案的信息共享范例能夠針對云資源實(shí)現(xiàn)靈活的組織邊界。云服務(wù)顧客管理其自己的組織邊界,但能夠通過使其擁有的云資源與域名集合關(guān)聯(lián)(所述域名集合可與對組織可能愿意與使用云環(huán)境的其它組織共享的云資源的請求關(guān)聯(lián)),以及通過確保對以這種方式共享的資源的任何這種請求與已由資源擁有組織定義(或以其它方式與資源擁有組織關(guān)聯(lián))的一個或多個消息處理策略關(guān)聯(lián),來選擇性地擴(kuò)展該邊界。根據(jù)與請求關(guān)聯(lián)的域名,組織擁有的云資源(甚至標(biāo)記為“僅內(nèi)部”的云資源)可被選擇性地與使用云環(huán)境的一個或多個其它組織共享。針對共享的資源實(shí)施消息處理策略。
【專利說明】在整個云架構(gòu)中擴(kuò)展組織邊界
【技術(shù)領(lǐng)域】
[0001]本公開一般地涉及在云計算操作環(huán)境中擴(kuò)展組織邊界,在所述云計算操作環(huán)境中,在可配置計算資源的共享池中托管資源。
【背景技術(shù)】
[0002]正在出現(xiàn)的信息技術(shù)(IT)傳送模型是云計算,通過云計算,共享的資源、軟件和信息被按需地經(jīng)由互聯(lián)網(wǎng)提供給計算機(jī)和其它裝置。云計算能夠顯著降低IT成本和復(fù)雜性,同時改進(jìn)工作負(fù)載優(yōu)化和服務(wù)傳送。利用這種方案,能夠托管應(yīng)用實(shí)例并且可從經(jīng)由HTTP通過傳統(tǒng)的Web瀏覽器可訪問的基于互聯(lián)網(wǎng)的資源獲得應(yīng)用實(shí)例。
[0003]當(dāng)前,利用云為其顧客群提供解決方案服務(wù)的組織也希望實(shí)現(xiàn)組織邊界的概念,所述組織邊界將允許它們控制對信息的訪問以及其支持者之間的交互?!肮餐w云(community cloud)”的概念將使許多不同類型的行業(yè)的公司能夠利用云技術(shù)擴(kuò)展并且轉(zhuǎn)換其業(yè)務(wù)。因此,例如,嚴(yán)重依賴獨(dú)立代理機(jī)構(gòu)作為到達(dá)顧客的渠道的基于代理的保險公司可能對在限制哪些代理能夠與鏈中的其他代理談話的同時共享資源和服務(wù)(使用云)感興趣。盡管一些基于云的解決方案在定義組織邊界的范圍時為其用戶提供應(yīng)用特有的靈活性,但仍然需要提供更健壯的解決方案,其中可在整個云中充分?jǐn)U展組織邊界的概念以使得用戶能夠控制對信息的訪問并且圍繞跨越這些邊界的交互實(shí)施策略。
【發(fā)明內(nèi)容】
[0004]本公開描述一種用于在整個基于云的架構(gòu)中擴(kuò)展組織邊界的方法和系統(tǒng)。該技術(shù)提供一種能夠針對云資源實(shí)現(xiàn)靈活的組織邊界的云計算解決方案的新的信息共享范例。云服務(wù)顧客管理他們自己的組織邊界,但能夠通過把他們擁有的云資源與域名集合關(guān)聯(lián)(所述域名集合可與針對該組織可能愿意與正使用云環(huán)境的其它組織共享的云資源的請求關(guān)聯(lián)),以及通過確保針對以這種方式共享的資源的任何這種請求與已由資源擁有組織定義(或以其它方式與資源擁有組織關(guān)聯(lián))的一個或多個消息處理策略關(guān)聯(lián),來選擇性地擴(kuò)展該邊界。一組織所擁有的云資源(甚至標(biāo)記為“僅內(nèi)部”的云資源)可被選擇性地與使用云環(huán)境的一個或多個其它組織共享。針對共享的資源實(shí)施消息處理策略。
[0005]在一個實(shí)施例中,在云環(huán)境中實(shí)現(xiàn)一種擴(kuò)展組織邊界的方法,其中云資源由多個組織共享并且需要針對一個或多個云資源擴(kuò)展組織的邊界。在這種環(huán)境中,云資源被標(biāo)記為由在云環(huán)境中操作的多個組織之一擁有。典型地,基于一個或多個因素分派所有權(quán),諸如資源的業(yè)務(wù)所有權(quán)、資源的管理責(zé)任或者由分派給特定組織的擁有用戶對云資源的創(chuàng)建。一個或多個相應(yīng)的域名集合被登記到所述多個組織中的每個組織,并且來自分派給相應(yīng)組織的用戶的消息包括分派給該相應(yīng)組織的域名集合中的一個域名。每個組織也可建立針對云資源應(yīng)用于組織(并且可選地應(yīng)用于組織擁有的各對象)的單獨(dú)的消息處理策略。根據(jù)該方法,當(dāng)用戶請求允許訪問一云資源時,是否允許這種訪問以及如何允許這種訪問取決于該云資源的所有權(quán)(通過標(biāo)記來確定)以及由請求用戶在提出訪問請求時使用的域名。如果基于所有權(quán)和域名檢查,向用戶提供對云資源的訪問,則也應(yīng)用合適的消息處理策略。
[0006]上述方案能夠把組織邊界概念嵌入在基于云的應(yīng)用中,同時能夠圍繞跨越這些邊界的交互實(shí)施各種策略。
[0007]前面已概述本發(fā)明的一些更相關(guān)的特征。這些特征應(yīng)該被解釋為僅是說明性的。如下文所述,通過以不同方式應(yīng)用公開的發(fā)明或者通過修改本發(fā)明,能夠獲得許多其它有益的結(jié)果。
【專利附圖】
【附圖說明】
[0008]為了更完全地理解本發(fā)明及其優(yōu)點(diǎn),現(xiàn)在參照下面結(jié)合附圖進(jìn)行的說明,在附圖中:
[0009]圖1描述可實(shí)現(xiàn)說明性實(shí)施例的示例性方面的分布式數(shù)據(jù)處理環(huán)境的示例性方框圖;
[0010]圖2是可實(shí)現(xiàn)說明性實(shí)施例的示例性方面的數(shù)據(jù)處理系統(tǒng)的示例性方框圖;
[0011]圖3描述根據(jù)本發(fā)明的實(shí)施例的可擴(kuò)展組織邊界的云計算環(huán)境的抽象模型層;
[0012]圖4是示出已知的云計算環(huán)境和分配給部署的顧客應(yīng)用的云資源的示例性方框圖;
[0013]圖5示出使用云服務(wù)的組織如何根據(jù)本公開的技術(shù)來擴(kuò)展其組織邊界;
[0014]圖6示出用于配置云服務(wù)以提供功能性的代表性步驟;
[0015]圖7是示出如何針對配置處理用戶請求的處理流程;以及
[0016]圖8是根據(jù)本公開的用于配置并且管理消息處理策略的策略管理系統(tǒng)。
【具體實(shí)施方式】
[0017]現(xiàn)在參照附圖并且特別地參照圖1-2,提供可實(shí)現(xiàn)本公開的說明性實(shí)施例的數(shù)據(jù)處理環(huán)境的示例性示圖。應(yīng)該理解,圖1-2僅是示例性的,而非意圖斷言或暗示關(guān)于可實(shí)現(xiàn)公開的主題的各方面或?qū)嵤├沫h(huán)境的任何限制。在不脫離本發(fā)明的精神和范圍的情況下,可對描述的環(huán)境做出許多修改。
[0018]客戶端-服務(wù)器模型
[0019]現(xiàn)在參照附圖,圖1描述可實(shí)現(xiàn)說明性實(shí)施例的各方面的示例性分布式數(shù)據(jù)處理系統(tǒng)的圖形表示。分布式數(shù)據(jù)處理系統(tǒng)100可包括可實(shí)現(xiàn)說明性實(shí)施例的各方面的計算機(jī)的網(wǎng)絡(luò)。分布式數(shù)據(jù)處理系統(tǒng)100包含至少一個網(wǎng)絡(luò)102,網(wǎng)絡(luò)102是用于提供分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)連接在一起的各種裝置和計算機(jī)之間的通信鏈路的介質(zhì)。網(wǎng)絡(luò)102可包括諸如有線、無線通信鏈路或光纖纜的連接。
[0020]在描述的例子中,服務(wù)器104和服務(wù)器106與存儲單元108 —起連接到網(wǎng)絡(luò)102。另外,客戶端110、112和114也連接到網(wǎng)絡(luò)102。這些客戶端110、112和114可以是例如個人計算機(jī)、網(wǎng)絡(luò)計算機(jī)等。在描述的例子中,服務(wù)器104把數(shù)據(jù)(諸如,引導(dǎo)文件、操作系統(tǒng)映像和應(yīng)用)提供給客戶端110、112和114。在描述的例子中,客戶端110、112和114是服務(wù)器104的客戶端。分布式數(shù)據(jù)處理系統(tǒng)100可包括未示出的另外的服務(wù)器、客戶端和其它裝置。
[0021]在描述的例子中,分布式數(shù)據(jù)處理系統(tǒng)100是具有網(wǎng)絡(luò)102的互聯(lián)網(wǎng),代表使用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)協(xié)議組彼此通信的全球網(wǎng)絡(luò)和網(wǎng)關(guān)的集合。在互聯(lián)網(wǎng)的中心處是主節(jié)點(diǎn)或主機(jī)計算機(jī)之間的高速數(shù)據(jù)通信線路的主干,由對數(shù)據(jù)和消息進(jìn)行路由的數(shù)以千計的商業(yè)、政府、教育和其它計算機(jī)系統(tǒng)構(gòu)成。當(dāng)然,分布式數(shù)據(jù)處理系統(tǒng)100也可以實(shí)現(xiàn)為包括許多不同類型的網(wǎng)絡(luò),諸如例如內(nèi)聯(lián)網(wǎng)、局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)等。如上所述,圖1意圖用作例子,而非用作對公開的主題的不同實(shí)施例的架構(gòu)限制,因此,圖1中顯示的特定元件不應(yīng)視為限制可實(shí)現(xiàn)本發(fā)明的說明性實(shí)施例的環(huán)境。
[0022]現(xiàn)在參照圖2,顯示可實(shí)現(xiàn)說明性實(shí)施例的數(shù)據(jù)處理系統(tǒng)的方框圖。數(shù)據(jù)處理系統(tǒng)200是計算機(jī)(諸如,圖1中的服務(wù)器104或客戶端110)的例子,用于說明性實(shí)施例的實(shí)現(xiàn)各處理的計算機(jī)可用程序代碼或指令可位于該計算機(jī)中。在這個說明性例子中,數(shù)據(jù)處理系統(tǒng)200包括通信結(jié)構(gòu)202,通信結(jié)構(gòu)202提供處理器單元204、內(nèi)存206、持久存儲器208、通信單元210、輸入/輸出(I/O)單元212和顯示器214之間的通信。
[0023]處理器單元204用于執(zhí)行可載入到內(nèi)存206中的軟件的指令。根據(jù)特定實(shí)現(xiàn)方式,處理器單元204可以是一組的一個或多個處理器或者可以是多處理器核。另外,可使用主要處理器與次要處理器存在于單一芯片上的一個或多個異類處理器系統(tǒng)實(shí)現(xiàn)處理器單元204。作為另一說明性例子,處理器單元204可以是包含相同類型的多個處理器的對稱多處理器(SMP)系統(tǒng)。
[0024]內(nèi)存206和持久存儲器208是存儲裝置的例子。存儲裝置是能夠臨時地和/或持久地存儲信息的任何硬件。內(nèi)存206在這些例子中可以是例如隨機(jī)存取存儲器或任何其它合適的易失性或非易失性存儲裝置。持久存儲器208可根據(jù)特定實(shí)現(xiàn)方式采用多種形式。例如,持久存儲器208可包含一個或多個部件或裝置。例如,持久存儲器208可以是硬盤驅(qū)動器、閃存、可重寫光盤、可重寫磁帶或者以上各項(xiàng)的某組合。持久存儲器208使用的介質(zhì)也可以是可移動的。例如,可移動硬盤驅(qū)動器可用于持久存儲器208。
[0025]通信單元210在這些例子中提供與其它數(shù)據(jù)處理系統(tǒng)或裝置的通信。在這些例子中,通信單元210是網(wǎng)絡(luò)接口卡。通信單元210可通過使用物理和無線通信鏈路中的任一項(xiàng)或二者來提供通信。
[0026]輸入/輸出單元212允許與可連接到數(shù)據(jù)處理系統(tǒng)200的其它裝置的數(shù)據(jù)輸入和輸出。例如,輸入/輸出單元212可通過鍵盤和鼠標(biāo)提供用于用戶輸入的連接。另外,輸入/輸出單元212可把輸出發(fā)送給打印機(jī)。顯示器214提供把信息顯示給用戶的機(jī)構(gòu)。
[0027]用于操作系統(tǒng)和應(yīng)用或程序的指令位于持久存儲器208上。這些指令可載入到內(nèi)存206中以由處理器單元204執(zhí)行。不同實(shí)施例的處理可由處理器單元204使用可位于內(nèi)存(諸如,內(nèi)存206)中的計算機(jī)執(zhí)行指令來執(zhí)行。這些指令稱為可由處理器單元204中的處理器讀取并執(zhí)行的程序代碼、計算機(jī)可用程序代碼或者計算機(jī)可讀程序代碼。不同實(shí)施例中的程序代碼可被包含于不同的物理或有形計算機(jī)可讀介質(zhì),諸如內(nèi)存206或持久存儲器208上。
[0028]程序代碼216以功能形式位于選擇性地可移動的計算機(jī)可讀介質(zhì)218上并且可載入到或傳送到數(shù)據(jù)處理系統(tǒng)200上以由處理器單元204執(zhí)行。程序代碼216和計算機(jī)可讀介質(zhì)218在這些例子中形成計算機(jī)程序產(chǎn)品220。在一個例子中,計算機(jī)可讀介質(zhì)218可為有形形式,諸如例如光盤或磁盤,所述光盤或磁盤被插入或放入到作為持久存儲器208的一部分的驅(qū)動器或其它裝置中以傳送至存儲裝置(諸如,作為持久存儲器208的一部分的硬盤驅(qū)動器)上。以有形形式,計算機(jī)可讀介質(zhì)218也可采用連接到數(shù)據(jù)處理系統(tǒng)200的持久存儲器的形式,諸如硬盤驅(qū)動器、拇指驅(qū)動器或閃存。計算機(jī)可讀介質(zhì)218的有形形式也被稱為計算機(jī)可記錄存儲介質(zhì)。在一些情況下,計算機(jī)可記錄介質(zhì)218無法移除。
[0029]替代地,程序代碼216可通過通向通信單元210的通信鏈路和/或通過與輸入/輸出單元212的連接而被從計算機(jī)可讀介質(zhì)218傳送到數(shù)據(jù)處理系統(tǒng)200。在說明性例子中,通信鏈路和/或連接可以是物理的或者無線的。計算機(jī)可讀介質(zhì)也可采用非有形介質(zhì)的形式,諸如包含程序代碼的通信鏈路或無線傳輸。針對數(shù)據(jù)處理系統(tǒng)200示出的不同部件不意味著提供對可實(shí)現(xiàn)不同實(shí)施例的方式的架構(gòu)限制??稍诎ǔ槍?shù)據(jù)處理系統(tǒng)200示出的部件之外的部件或者替代所述部件的部件的數(shù)據(jù)處理系統(tǒng)中實(shí)現(xiàn)不同的說明性實(shí)施例。圖2中顯示的其它部件能夠不同于顯示的說明性例子。作為一個例子,數(shù)據(jù)處理系統(tǒng)200中的存儲裝置是可存儲數(shù)據(jù)的任何硬件設(shè)備。內(nèi)存206、持久存儲器208和計算機(jī)可讀介質(zhì)218是有形形式的存儲裝置的例子。
[0030]在另一例子中,總線系統(tǒng)可用于實(shí)現(xiàn)通信結(jié)構(gòu)202并且可包括一個或多個總線(諸如,系統(tǒng)總線或輸入/輸出總線)。當(dāng)然,可使用提供附接到總線系統(tǒng)的不同部件或裝置之間的數(shù)據(jù)的傳送的任何合適類型的架構(gòu)實(shí)現(xiàn)總線系統(tǒng)。另外,通信單元可包括用于發(fā)送和接收數(shù)據(jù)的一個或多個裝置,諸如調(diào)制解調(diào)器或網(wǎng)絡(luò)適配器。另外,存儲器可以是例如內(nèi)存206或者高速緩存,諸如在可存在于通信結(jié)構(gòu)202中的接口和存儲控制器集線器中找到的高速緩存。
[0031]可以按照一種或多種編程語言的任何組合編寫用于執(zhí)行本發(fā)明的操作的計算機(jī)程序代碼,所述編程語言包括:面向?qū)ο蟮木幊陶Z言,諸如Java、Smalltalk、C++等;和常規(guī)的過程編程語言,諸如“C”編程語言或類似編程語言。程序代碼可以完全在用戶的計算機(jī)上執(zhí)行、部分在用戶的計算機(jī)上執(zhí)行、作為獨(dú)立軟件包執(zhí)行、部分在用戶的計算機(jī)上并且部分在遠(yuǎn)程計算機(jī)上執(zhí)行或者完全在遠(yuǎn)程計算機(jī)或服務(wù)器上執(zhí)行。在后一情形中,遠(yuǎn)程計算機(jī)可以通過任何類型的網(wǎng)絡(luò)(包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN))連接到用戶的計算機(jī),或者可以(例如,使用互聯(lián)網(wǎng)服務(wù)提供商通過互聯(lián)網(wǎng))連接到外部計算機(jī)。
[0032]本領(lǐng)域普通技術(shù)人員將會理解,圖1-2中的硬件可根據(jù)實(shí)現(xiàn)方式而不同。除圖1-2中描述的硬件之外或者替代于所述硬件,可使用其它內(nèi)部硬件或外圍裝置,諸如閃存、等同的非易失性存儲器或光盤驅(qū)動器等。此外,在不脫離公開的主題的精神和范圍的情況下,說明性實(shí)施例的處理可應(yīng)用于除前述SMP系統(tǒng)之外的多處理器數(shù)據(jù)處理系統(tǒng)。
[0033]諸如圖1中示出的標(biāo)準(zhǔn)的客戶端-服務(wù)器范例是這樣的范例:客戶端機(jī)器與在一組的一個或多個機(jī)器上執(zhí)行的可訪問互聯(lián)網(wǎng)的基于Web的門戶通信。特別地,端用戶操作能夠訪問并且與門戶交互的可連接互聯(lián)網(wǎng)的裝置(例如,桌上型計算機(jī)、筆記本計算機(jī)、互聯(lián)網(wǎng)使能的移動裝置等)。典型地,每個客戶端或服務(wù)器機(jī)器是包括硬件和軟件的諸如圖2中示出的數(shù)據(jù)處理系統(tǒng),并且這些實(shí)體經(jīng)由網(wǎng)絡(luò)(諸如,互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)、專用網(wǎng)絡(luò))或任何其它通信介質(zhì)或鏈路彼此通信。數(shù)據(jù)處理系統(tǒng)通常包括一個或多個處理器、操作系統(tǒng)、一個或多個應(yīng)用以及一個或多個實(shí)用程序。數(shù)據(jù)處理系統(tǒng)上的應(yīng)用為Web服務(wù)提供固有的支持,非限制性地包括對HTTP、SOAP、XML、WSDL、UDDI和WSFL等的支持??蓮娜f維網(wǎng)聯(lián)盟(W3C)獲得關(guān)于SOAP、WSDL、UDDI和WSFL的信息,W3C負(fù)責(zé)開發(fā)并且維護(hù)這些標(biāo)準(zhǔn);可從互聯(lián)網(wǎng)工程工作小組(IETF)獲得關(guān)于HTTP和XML的進(jìn)一步信息。假設(shè)熟悉這些標(biāo)準(zhǔn)。
[0034]作為另外的背景,這里使用的“斷言(assertion)”提供某一動作的間接證據(jù)。斷言可提供身份、認(rèn)證、屬性、授權(quán)決定或其它信息和/或操作的間接證據(jù)。認(rèn)證斷言提供不是認(rèn)證服務(wù)而是聽到過認(rèn)證服務(wù)的實(shí)體執(zhí)行的認(rèn)證的間接證據(jù)。如本領(lǐng)域所知,安全斷言標(biāo)記語言(SAML)斷言是可與本發(fā)明一起使用的可能斷言格式的例子。SAML已由結(jié)構(gòu)化信息標(biāo)準(zhǔn)推進(jìn)組織(OASIS)發(fā)布,OASIS是非盈利全球聯(lián)盟。如下,在“Assertions andProtocol for the OASIS Security Assertion Markup Language (SAML),,(CommitteeSpecification 01, 05/31/2002)中描述了 SAML0
[0035]安全斷言標(biāo)記語言(SAML)是用于交換安全信息的基于XML的框架。這種安全信息被以關(guān)于對象的斷言的形式表示,其中對象是具有某一安全域中的身份的實(shí)體(人類或計算機(jī))。對象的典型例子是由其在特定互聯(lián)網(wǎng)DNS域中的電子郵件地址識別的人。斷言能夠傳達(dá)關(guān)于由對象執(zhí)行的認(rèn)證動作的信息、對象的屬性和關(guān)于對象是否被允許訪問某些資源的授權(quán)決定。斷言被表示為XML構(gòu)造并且具有嵌套結(jié)構(gòu),由此單個斷言可包含關(guān)于認(rèn)證、授權(quán)和屬性的幾種不同的內(nèi)部聲明。要注意,包含認(rèn)證聲明的斷言僅描述以前發(fā)生的認(rèn)證的動作。斷言由SAML管理機(jī)構(gòu)(也就是說,認(rèn)證管理機(jī)構(gòu)、屬性管理機(jī)構(gòu)和策略決定點(diǎn))發(fā)出。SAML定義這樣的協(xié)議,通過該協(xié)議,客戶端能夠向SAML管理機(jī)構(gòu)請求斷言并且從SAML管理機(jī)構(gòu)獲得響應(yīng)。由基于XML的請求和響應(yīng)消息格式構(gòu)成的這個協(xié)議能夠被綁定到許多不同的基礎(chǔ)通信和傳輸協(xié)議;SAML當(dāng)前定義經(jīng)由HTTP至SOAP的一種綁定。SAML管理機(jī)構(gòu)在創(chuàng)建其響應(yīng)時能夠使用各種信息源,諸如作為請求中的輸入而接收的外部策略存儲和斷言。因此,雖然客戶端總是消費(fèi)斷言的同時,但是SAML管理機(jī)構(gòu)既能夠是斷言的生產(chǎn)者又能夠是斷言的消費(fèi)者。
[0036]SAML規(guī)范指出:斷言是提供由發(fā)布者做出的一個或多個聲明的信息的包。SAML允許發(fā)布者做出三種不同的斷言聲明:認(rèn)證,其中在特定時間通過特定手段認(rèn)證指定的對象;授權(quán),其中允許指定的對象訪問指定的資源的請求被準(zhǔn)許或拒絕;和屬性,其中指定的對象與提供的屬性關(guān)聯(lián)。
[0037]認(rèn)證是驗(yàn)證由用戶或代表用戶提供的一組憑證(credential)的過程。通過檢驗(yàn)用戶知道的某事物、用戶具有的某事物或用戶作為的某事物(即,關(guān)于用戶的某物理特性)來完成認(rèn)證。用戶知道的某事物可包括共享的秘密,諸如用戶的口令,或者通過檢驗(yàn)僅特定用戶知道的某事物,諸如用戶的密碼密鑰。用戶具有的某事物可包括智能卡或硬件令牌。關(guān)于用戶的某物理特性可包括生物測定輸入,諸如指紋或視網(wǎng)膜圖。應(yīng)該注意的是,用戶通常是(但不一定是)自然人;用戶能夠是機(jī)器、計算裝置或使用計算資源的其它類型的數(shù)據(jù)處理系統(tǒng)。還應(yīng)該注意的是,用戶通常擁有單個唯一標(biāo)識符,但并不一定擁有單個唯一標(biāo)識符;在一些情形下,多個唯一標(biāo)識符可與單個用戶關(guān)聯(lián)。
[0038]認(rèn)證憑證是在各種認(rèn)證協(xié)議中使用的一組挑戰(zhàn)/響應(yīng)信息。例如,用戶名和口令組合是最熟悉的認(rèn)證憑證的形式。其它形式的認(rèn)證憑證可包括各種形式的挑戰(zhàn)/響應(yīng)信息、公鑰基礎(chǔ)設(shè)施(PKI)證書、智能卡、生物測定等。認(rèn)證憑證不同于認(rèn)證斷言:認(rèn)證憑證由用戶提供作為與認(rèn)證服務(wù)器或服務(wù)的認(rèn)證協(xié)議序列的一部分,而認(rèn)證斷言是隨后在必要時在實(shí)體之間傳送的關(guān)于用戶的認(rèn)證憑證的成功提供和驗(yàn)證的聲明。
[0039]云計算模型[0040]作為另外的背景,云計算是用于,針對能夠以最少的管理工作或與服務(wù)提供商的交互迅速提供和釋放的可配置計算資源(例如,網(wǎng)絡(luò)、網(wǎng)絡(luò)帶寬、服務(wù)器、處理、內(nèi)存、存儲器、應(yīng)用、虛擬機(jī)和服務(wù))的共享池,實(shí)現(xiàn)方便、按需的網(wǎng)絡(luò)訪問的服務(wù)傳送模型。這個云模型可包括至少五個特性、至少三個服務(wù)模型和至少四個部署模型,在Peter Mell和TimGrance 的“Draft NIST Working Definition of Cloud Computing” (2009 年 10 月 7 日)中對所有這些進(jìn)行了更具體的描述和定義。
[0041]特別地,下面是典型特性:
[0042]按需自助式服務(wù):云的消費(fèi)者在無需與服務(wù)提供者進(jìn)行人為交互的情況下能夠單方面自動地按需部署諸如服務(wù)器時間和網(wǎng)絡(luò)存儲等的計算能力。
[0043]廣泛的網(wǎng)絡(luò)接入:計算能力可以通過標(biāo)準(zhǔn)機(jī)制在網(wǎng)絡(luò)上獲取,這種標(biāo)準(zhǔn)機(jī)制促進(jìn)了通過不同種類的瘦客戶端平臺或厚客戶端平臺(例如移動電話、膝上型電腦、個人數(shù)字助理PDA)對云的使用。
[0044]資源池:提供者的計算資源被歸入資源池并通過多租戶(mult1-tenant)模式服務(wù)于多重消費(fèi)者,其中按需將不同的實(shí)體資源和虛擬資源動態(tài)地分配和再分配。一般情況下,消費(fèi)者不能控制或甚至并不知曉所提供的資源的確切位置,但可以在較高抽象程度上指定位置(例如國家、州或數(shù)據(jù)中心),因此具有位置無關(guān)性。
[0045]迅速彈性:能夠迅速、有彈性地(有時是自動地)部署計算能力,以實(shí)現(xiàn)快速擴(kuò)展,并且能迅速釋放來快速縮小。在消費(fèi)者看來,用于部署的可用計算能力往往顯得是無限的,并能在任意時候都能獲取任意數(shù)量的計算能力。
[0046]可測量的服務(wù):云系統(tǒng)通過利用適于服務(wù)類型(例如存儲、處理、帶寬和活躍用戶帳號)的某種抽象程度的計量能力,自動地控制和優(yōu)化資源效用??梢员O(jiān)測、控制和報告資源使用情況,為服務(wù)提供者和消費(fèi)者雙方提供透明度。
[0047]服務(wù)模型如下:
[0048]軟件即服務(wù)(SaaS):向消費(fèi)者提供的能力是使用提供者在云基礎(chǔ)架構(gòu)上運(yùn)行的應(yīng)用。可以通過諸如網(wǎng)絡(luò)瀏覽器的瘦客戶端接口(例如基于網(wǎng)絡(luò)的電子郵件)從各種客戶端設(shè)備訪問應(yīng)用。除了有限的特定于用戶的應(yīng)用配置設(shè)置外,消費(fèi)者既不管理也不控制包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲、乃至單個應(yīng)用能力等的底層云基礎(chǔ)架構(gòu)。
[0049]平臺即服務(wù)(PaaS):向消費(fèi)者提供的能力是在云基礎(chǔ)架構(gòu)上部署消費(fèi)者創(chuàng)建或獲得的應(yīng)用,這些應(yīng)用利用提供者支持的程序設(shè)計語言和工具創(chuàng)建。消費(fèi)者既不管理也不控制包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲的底層云基礎(chǔ)架構(gòu),但對其部署的應(yīng)用具有控制權(quán),對應(yīng)用托管環(huán)境配置可能也具有控制權(quán)。
[0050]基礎(chǔ)架構(gòu)即服務(wù)(IaaS):向消費(fèi)者提供的能力是消費(fèi)者能夠在其中部署并運(yùn)行包括操作系統(tǒng)和應(yīng)用的任意軟件的處理、存儲、網(wǎng)絡(luò)和其他基礎(chǔ)計算資源。消費(fèi)者既不管理也不控制底層的云基礎(chǔ)架構(gòu),但是對操作系統(tǒng)、存儲和其部署的應(yīng)用具有控制權(quán),對選擇的網(wǎng)絡(luò)組件(例如主機(jī)防火墻)可能具有有限的控制權(quán)。
[0051]部署模型如下:
[0052]私有云:云基礎(chǔ)架構(gòu)單獨(dú)為某個組織運(yùn)行。云基礎(chǔ)架構(gòu)可以由該組織或第三方管理并且可以存在于該組織內(nèi)部或外部。
[0053]共同體云:云基礎(chǔ)架構(gòu)被若干組織共享并支持有共同利害關(guān)系(例如任務(wù)使命、安全要求、政策和合規(guī)考慮)的特定共同體。共同體云可以由共同體內(nèi)的多個組織或第三方管理并且可以存在于該共同體內(nèi)部或外部。
[0054]公共云:云基礎(chǔ)架構(gòu)向公眾或大型產(chǎn)業(yè)群提供并由出售云服務(wù)的組織擁有。
[0055]混合云:云基礎(chǔ)架構(gòu)由兩個或更多部署模型的云(私有云、共同體云或公共云)組成,這些云依然是獨(dú)特的實(shí)體,但是通過使數(shù)據(jù)和應(yīng)用能夠移植的標(biāo)準(zhǔn)化技術(shù)或私有技術(shù)(例如用于云之間的負(fù)載平衡的云突發(fā)流量分擔(dān)技術(shù))綁定在一起。
[0056]云計算環(huán)境是面向服務(wù)的,特點(diǎn)集中在無狀態(tài)性、低耦合性、模塊性和語意的互操作性。云計算的核心是包含互連節(jié)點(diǎn)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)。
[0057]云計算節(jié)點(diǎn)10具有計算機(jī)系統(tǒng)/服務(wù)器12,其可與眾多其它通用或?qū)S糜嬎阆到y(tǒng)環(huán)境或配置一起操作。眾所周知,適于與計算機(jī)系統(tǒng)/服務(wù)器12 —起操作的計算系統(tǒng)、環(huán)境和/或配置的例子包括但不限于:個人計算機(jī)系統(tǒng)、服務(wù)器計算機(jī)系統(tǒng)、瘦客戶端、厚客戶端、手持或膝上設(shè)備、基于微處理器的系統(tǒng)、機(jī)頂盒、可編程消費(fèi)電子產(chǎn)品、網(wǎng)絡(luò)個人電腦、小型計算機(jī)系統(tǒng)、大型計算機(jī)系統(tǒng)和包括上述任意系統(tǒng)的分布式云計算技術(shù)環(huán)境,等
坐寸ο
[0058]計算機(jī)系統(tǒng)/服務(wù)器12可以在由計算機(jī)系統(tǒng)執(zhí)行的計算機(jī)系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語境下描述。通常,程序模塊可以包括執(zhí)行特定的任務(wù)或者實(shí)現(xiàn)特定的抽象數(shù)據(jù)類型的例程、程序、目標(biāo)程序、組件、邏輯、數(shù)據(jù)結(jié)構(gòu)等。計算機(jī)系統(tǒng)/服務(wù)器12可以在通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行任務(wù)的分布式云計算環(huán)境中實(shí)施。在分布式云計算環(huán)境中,程序模塊可以位于包括存儲設(shè)備的本地或遠(yuǎn)程計算系統(tǒng)存儲介質(zhì)上。
[0059]現(xiàn)在參考圖3,其中顯示了云計算環(huán)境50 (圖2)提供的一組功能抽象層。首先應(yīng)當(dāng)理解,圖3所示的組件、層以及功能都僅僅是示意性的,本發(fā)明的實(shí)施例不限于此。如圖3所示,提供下列層和對應(yīng)功能:
[0060]硬件和軟件層60包括硬件和軟件組件。硬件組件的例子包括:主機(jī),例如IBM ?zSeriA ?系統(tǒng);基于RISC (精簡指令集計算機(jī))體系結(jié)構(gòu)的服務(wù)器,例如IBM pSeries?系統(tǒng);IBM xSeries?系統(tǒng);IBM BladeCenter ?系統(tǒng);存儲設(shè)備;網(wǎng)絡(luò)和網(wǎng)絡(luò)組件。軟件組件的例子包括:網(wǎng)絡(luò)應(yīng)用服務(wù)器軟件,例如IBM WebSphere?應(yīng)用服務(wù)器軟件;數(shù)據(jù)庫軟件,例如 IBM DB2,?數(shù)據(jù)庫軟件。(IBM, zSeries, pSeries, xSeries, BladeCenter, WebSphere以及DB2是國際商業(yè)機(jī)器公司在全世界各地的注冊商標(biāo))。
[0061]虛擬層62提供一個抽象層,該層可以提供下列虛擬實(shí)體的例子:虛擬服務(wù)器、虛擬存儲、虛擬網(wǎng)絡(luò)(包括虛擬私有網(wǎng)絡(luò))、虛擬應(yīng)用和操作系統(tǒng),以及虛擬客戶端。
[0062]在一個示例中,管理層64可以提供下述功能:資源供應(yīng)功能:提供用于在云計算環(huán)境中執(zhí)行任務(wù)的計算資源和其它資源的動態(tài)獲??;計量和定價功能:在云計算環(huán)境內(nèi)對資源的使用進(jìn)行成本跟蹤,并為此提供帳單和發(fā)票。在一個例子中,該資源可以包括應(yīng)用軟件許可。安全功能:為云的消費(fèi)者和任務(wù)提供身份認(rèn)證,為數(shù)據(jù)和其它資源提供保護(hù)。用戶門戶功能:為消費(fèi)者和系統(tǒng)管理員提供對云計算環(huán)境的訪問。服務(wù)水平管理功能:提供云計算資源的分配和管理,以滿足必需的服務(wù)水平。服務(wù)水平協(xié)議(SLA)計劃和履行功能--為根據(jù)SLA預(yù)測的對云計算資源未來需求提供預(yù)先安排和供應(yīng)。
[0063] 工作負(fù)載層66提供云計算環(huán)境可能實(shí)現(xiàn)的功能的示例。在該層中,可提供的工作負(fù)載或功能的示例包括:地圖繪制與導(dǎo)航;軟件開發(fā)及生命周期管理;虛擬教室的教學(xué)提供;數(shù)據(jù)分析處理;交易處理;以及其它。
[0064]應(yīng)該預(yù)先理解,雖然本公開包括關(guān)于云計算的詳細(xì)描述,但這里記載的教導(dǎo)的實(shí)現(xiàn)方式不限于云計算環(huán)境。相反,能夠結(jié)合現(xiàn)在已知或以后開發(fā)的任何其它類型的計算環(huán)境實(shí)現(xiàn)本發(fā)明的實(shí)施例。
[0065]因此,代表性云計算環(huán)境具有一組高級功能部件,該組高級功能部件包括前端身份管理器、業(yè)務(wù)支持服務(wù)(BSS)功能部件、操作支持服務(wù)(OSS)功能部件和計算云部件。身份管理器負(fù)責(zé)與請求客戶端對接以提供身份管理,并且可利用一個或多個已知系統(tǒng)(諸如,可從IBM公司(Armonk, New York)購得的Tivoli聯(lián)合身份管理器(TFIM))實(shí)現(xiàn)這個部件。在合適的情況下,TFM可被用于向其它云部件提供F-SS0。業(yè)務(wù)支持服務(wù)部件提供某些管理功能,諸如計帳支持。操作支持服務(wù)部件被用于提供其它云部件(諸如,虛擬機(jī)(VM)實(shí)例)的供應(yīng)和管理。云部件代表主要計算資源,主要計算資源通常是被用于執(zhí)行可經(jīng)由云訪問的目標(biāo)應(yīng)用410的多個虛擬機(jī)實(shí)例。一個或多個數(shù)據(jù)庫被用于存儲目錄、日志和其它工作數(shù)據(jù)。所有這些部件(包括前端身份管理器)位于云“內(nèi)”,但這不是必要的。在替代的實(shí)施例中,身份管理器可在云的外部操作。
[0066]僅作為例子,部署在云中的代表性企業(yè)應(yīng)用是諸如IBM? SmartCloucK以前稱為LotusLive)的客戶端-服務(wù)器應(yīng)用,其提供在容易使用的基于web的環(huán)境中組合web會議、消息發(fā)送和合作服務(wù)與社交聯(lián)網(wǎng)能力的云傳送的一套技術(shù)。作為IBM? SmartCloud的組件,Notes?提供全功能的電子郵件、日歷、聯(lián)系人管理和即時消息發(fā)送。用戶能夠以許多方式(諸如,使用web瀏覽器或“富”客戶端應(yīng)用(諸如,Notes富客戶端))直接經(jīng)互聯(lián)網(wǎng)訪問服務(wù)。使用這個服務(wù),企業(yè)在云服務(wù)中布置其電子郵件、日歷和/或合作基礎(chǔ)設(shè)施,并且用戶使用Notes客戶端訪問其電子郵件,執(zhí)行日歷操作,或者方便在線合作。在代表性實(shí)施例中,Notes富客戶端是版本8.5.2或更高。
[0067]以上例子(使用IBM SmartCloud)僅是代表性的。以下描述的技術(shù)不限于與部署在云環(huán)境內(nèi)的特定應(yīng)用一起使用。
[0068]圖4示出在應(yīng)用部署時的應(yīng)用的代表性實(shí)施例。在這個實(shí)施例中,云提供商400包括一組公共管理平臺部件。這些部件包括身份管理器402、云BSS功能404和云OSS功能406的一個或多個實(shí)例,以上參照圖3描述了所有這些部件。計算云408包括提供計算基礎(chǔ)設(shè)施(包括應(yīng)用使用的存儲器410)的虛擬機(jī)實(shí)例。在這個例子中,一組公共管理平臺部件還包括:pam_ldap模塊407,其提供用于使Linux或UNIX服務(wù)器和工作站針對LDAP目錄進(jìn)行認(rèn)證的裝置;目錄集成器模塊(TDI)509,其變換并且同步位于異類的目錄、數(shù)據(jù)庫、文件、合作系統(tǒng)和應(yīng)用中的身份數(shù)據(jù);LDAP目錄服務(wù)412 ;和安全令牌服務(wù)(未示出)。安全令牌服務(wù)使用Web Services Trust (Web服務(wù)信任,WS-Trust)的安全消息發(fā)送機(jī)制,為安全令牌的發(fā)放、交換和驗(yàn)證定義另外的擴(kuò)展。WS-Trust是通過定義請求/響應(yīng)協(xié)議來實(shí)現(xiàn)安全令牌互操作性的OASIS標(biāo)準(zhǔn)。WS-Trust協(xié)議允許Web服務(wù)客戶端向某一受信任管理機(jī)構(gòu)請求交換特定安全令牌與另一安全令牌。為此,WS-Trust客戶端411形成公共管理的一部分并且對接到顧客的LDAP 414(通過顧客側(cè)WS-Trust客戶端),如圖中所示。在數(shù)據(jù)庫420中支持顧客的外部數(shù)據(jù)。該公共管理平臺還包括數(shù)據(jù)倉庫405、日志數(shù)據(jù)庫417和共享LDAP 415。經(jīng)由web瀏覽器401或者經(jīng)由“富”客戶端(S卩,支持直接訪問客戶端的機(jī)器,諸如CIFS(等)),提供客戶端訪問。如圖中所示,通常,身份管理器部件402經(jīng)由安全HTTP對接到云計算基礎(chǔ)設(shè)施,而通常富客戶端經(jīng)由CIFS對接到存儲器410。
[0069]對于將具有由云提供商400管理的U/P的那些用戶,其F-SSO SAML斷言可包括U/P,或者它可僅包括用戶名;在任一情況下,云提供商向用戶提供簡單的交互以建立用于訪問云服務(wù)的云側(cè)口令。用戶隨后在云LDAP 412創(chuàng)建帳戶,并且該帳戶被標(biāo)記為“本地認(rèn)證”用戶,并且用戶的口令也由LDAP管理。當(dāng)用戶嘗試訪問存儲器410時,pam_ldap模塊407攔截U/P并且嘗試驗(yàn)證它們。在這種方案中,代理服務(wù)器(諸如,TDI 409)是這個U/P驗(yàn)證請求的接收者。代理服務(wù)器將首先確定這是否是本地用戶(并且因此在本地認(rèn)證);如果這是本地用戶,則代理服務(wù)器嘗試針對本地LDAP 412驗(yàn)證U/P。然而,如果該用戶不是“本地”用戶,則代理服務(wù)器產(chǎn)生WS-Trust請求,并且使用WS-Trust客戶端411向用戶的身份提供商(顧客LDAP414)請求用戶口令的驗(yàn)證。在這種方案中,不需要云提供商管理用戶的口令,但對于不希望建立完全代理服務(wù)器解決方案的顧客,仍然可這樣做。在以上例子中,WS-Trust的使用僅是代表性的。
[0070]在整個云中擴(kuò)展組織邊界
[0071]利用以上背景,現(xiàn)在描述本文的主題。
[0072]這里所使用的“組織”通常是開展某類型的商業(yè)、非商業(yè)或政府活動的實(shí)體。典型的組織是商業(yè)實(shí)體,但這不是限制。
[0073]如上所述,本公開使使用云服務(wù)的組織能夠針對其擁有或控制的云資源擴(kuò)展其組織邊界。在這種方案中,并且如圖5中所示,假設(shè)云服務(wù)500正被用于由標(biāo)號502a-n指定的多個云服務(wù)顧客。每個云服務(wù)器顧客502具有通常由一個或多個組織構(gòu)造定義的關(guān)聯(lián)的組織邊界504,所述組織構(gòu)造包括但不限于用戶或組身份、計算資源(諸如,在公司內(nèi)以及在云的外面的服務(wù)器或服務(wù))和對象(諸如,應(yīng)用、文件、數(shù)據(jù)等)。當(dāng)然,組織邊界504的性質(zhì)和范圍根據(jù)組織的類型、組織所在的行業(yè)和其它因素而不同。在本公開的上下文中,使用云服務(wù)500的組織502希望針對其“擁有”(如以下所定義)的至少一個云資源以及針對也使用該云服務(wù)的至少一個其它組織,“擴(kuò)展”其組織邊界。在示例性情形中,云服務(wù)顧客502b已擴(kuò)展其組織邊界504b,以使得該邊界與一個或多個其它云服務(wù)顧客(即,一個或多個其它組織)交疊。通過以這種方式擴(kuò)展其組織邊界,組織502b和所述一個或多個其它云服務(wù)顧客構(gòu)成針對基于云的應(yīng)用的云“共同體”。將會看出,把組織概念嵌入到應(yīng)用中并且圍繞跨越新的(即,擴(kuò)展的)邊界的交互實(shí)施各種策略的這種方案提供顯著優(yōu)點(diǎn)。
[0074]這里所使用的術(shù)語“擴(kuò)展”當(dāng)與組織邊界相關(guān)時,可被視為包括已有邊界的任何修改或改變,該修改或改變便于原本被視為由使用該服務(wù)的特定組織“擁有”的云資源的共享。這里所使用的術(shù)語“擁有”當(dāng)與云資源相關(guān)時,表示下面的一項(xiàng)或多項(xiàng):資源的商業(yè)所有權(quán)、資源的管理責(zé)任、和/或云資源的創(chuàng)建??捎煞峙山o特定組織的特定擁有用戶執(zhí)行創(chuàng)建。詞語“所有者”也可以指控制或管理資源的組織。“云資源”通常是諸如數(shù)據(jù)庫、文件系統(tǒng)、文件夾、文件、給定時間等的對象,但它也可以是某其它計算資源,諸如應(yīng)用、實(shí)用程序、工具、程序、執(zhí)行線程等。與云服務(wù)顧客關(guān)聯(lián)的“組織邊界”由云服務(wù)顧客擁有的云資源定義。
[0075]根據(jù)本公開,并且如圖6中所示,首先“配置”或提供組織邊界。因此,在步驟600中,并且對于一組云資源中的每個云資源,云資源被標(biāo)記為由在該環(huán)境中操作的多個組織之一擁有??舍槍λ械脑瀑Y源或其某一子集執(zhí)行該步驟。在步驟602中,并且對于在該環(huán)境中操作的所述多個組織中的一個或多個組織,登記一組的一個或多個域名??舍槍γ總€組織(或可實(shí)現(xiàn)描述的功能的組織的某一定義的子集)執(zhí)行步驟602。來自與使用云服務(wù)的相應(yīng)組織關(guān)聯(lián)的用戶的消息包括與該相應(yīng)組織關(guān)聯(lián)的所述一組的一個或多個域名中的域名。在步驟604,并且對于在該環(huán)境中操作的所述多個組織中的一個或多個組織,提供或配置消息處理策略。這里所使用的“消息處理策略”是要針對由組織擁有的云資源應(yīng)用的一組的一個或多個規(guī)則(例如,定義動作、條件、限制等)??砂凑諜C(jī)器可讀語言(諸如,XML)表示消息處理策略。典型地,消息處理策略識別特定云資源如何被允許在組織外部在云環(huán)境內(nèi)被共享。幾個非限制性例子是以下闡述的各種消息處理策略。
[0076]存在配置或提供圖6中的步驟600、602和604中所需的信息的許多方式。當(dāng)然,這些步驟可按照任何次序執(zhí)行,或者并發(fā)地執(zhí)行。例如,被允許的用戶可使用基于web的配置、經(jīng)由編程接口等提供這種信息。信息可被從一個或多個外部源提供給云服務(wù)。
[0077]圖7示出用戶請求訪問云資源的典型用例。根據(jù)本公開,用戶是否被允許訪問云資源取決于在圖6中提供的信息。因此,根據(jù)哪個組織擁有云資源、與用戶關(guān)聯(lián)(并且與請求關(guān)聯(lián))的域名和與云資源關(guān)聯(lián)的消息處理策略,確定用戶是否被允許訪問以及在什么條件下用戶被允許訪問。例程假設(shè)已如前所述配置了組織邊界信息。例程在步驟700開始于用戶請求訪問與組織邊界可被擴(kuò)展的應(yīng)用有關(guān)的云資源。在步驟702,確定是否允許訪問該云資源。如果確定的結(jié)果是否定的,則返回錯誤響應(yīng)或其它這種通知(并且拒絕訪問);這是步驟704。然而,如果允許訪問該云資源,則例程在步驟706繼續(xù)執(zhí)行以獲得適用的消息處理策略。在步驟708,應(yīng)用消息處理策略。例程隨后在步驟710繼續(xù)執(zhí)行以使請求用戶能夠訪問云資源。步驟710還可包括:把信息提供給請求用戶,在消息處理策略中定義了該信息。每次云資源在所有者外部被共享時,第一次云資源被共享時,第一次云資源被與“新”公司中的用戶共享時等等,可調(diào)用圖7中示出的處理。也可在策略中定義關(guān)于調(diào)用檢查的頻率的確定。
[0078]適用于云資源的特定消息處理策略可由策略管理系統(tǒng)(諸如,IBM Tivoli策略管理器)定義并且管理。使用這種類型的工具,擁有公司能夠定義:能夠隨后被應(yīng)用于用戶/訂戶(或關(guān)聯(lián)的單次登錄或身份提供商)的策略;啟用和禁用對某些用戶的訪問或以其它方式提供觀看、復(fù)制或其它使用限制的策略;提供特定使用公告或條款的策略;提供可配置的響應(yīng)的策略;等等。對于控制(或以其它方式使得處于每個公司策略下)可能有用的其它項(xiàng)是反垃圾郵件(ant1-spam)設(shè)置。消息處理策略的性質(zhì)和類型將取決于擁有公司、云資源、組織邊界將要被擴(kuò)展的程度等。
[0079]下面的例子示出:根據(jù)本公開,組織可如何擴(kuò)展其邊界以方便跨越關(guān)聯(lián)的組織的云資源共享。這些例子不是限制性的。
[0080]在第一示例情形中,由擁有公司對對象進(jìn)行標(biāo)記(其中這種標(biāo)記可被從最初創(chuàng)建者的公司傳播,不管實(shí)際所有者或管理者或其他人/角色如何)。擁有公司已聲明一組域名(諸如,在電子郵件中使用的域名),并且這些域名也可與非訂購用戶關(guān)聯(lián)(能夠使這種用戶被視為“在公司中”)。根據(jù)本公開,向服務(wù)登記這些域中的一個或多個,也許自動檢查:在登記的域?qū)嶋H上由公司管理者控制。然后,當(dāng)提出對對象的請求時,確定該請求與域名之一關(guān)聯(lián)。如果該請求與域名之一關(guān)聯(lián),則可允許訪問請求,執(zhí)行適用的消息處理策略。在這個例子中,假設(shè)消息處理策略包括由訂戶和非訂戶允許訪問的條件。在非訂購用戶的情況下,例如,關(guān)聯(lián)的消息處理策略可能規(guī)定:如果與響應(yīng)關(guān)聯(lián)的消息(諸如,對象的URL)包括確保用戶僅能夠受限地訪問對象的現(xiàn)時(nonce)或其它一次性使用代碼,則對象僅能夠響應(yīng)于請求而被傳送。這使對象能夠被與組織的成員(如域名所指示)和其他非訂購用戶共享??紤]這些非訂購用戶的另一方式是:公開的技術(shù)使這種用戶能夠被視為“在公司中”,但僅針對在適用的消息處理策略中闡述的條件。
[0081]作為第二例子,如果請求用戶在擁有公司外部但請求源自允許的域(如登記的域名之一中所反映),則消息處理策略執(zhí)行允許訪問云資源的請求處理策略。然而,在這個例子中,希望保護(hù)請求用戶的隱私,但仍然提供請求事件的準(zhǔn)確日志。在這種情況下,消息處理策略還被構(gòu)造為使系統(tǒng)記錄活動,但以唯一方式記錄活動。特別地,并且根據(jù)該策略,當(dāng)寫入日志條目時,請求用戶的名字被剝除(或以其它方式掩蔽)。然而,對象擁有公司的日志條目包括與請求用戶關(guān)聯(lián)的域,并且在對象擁有公司的日志文件中輸入用戶的組織名。
[0082]在另一示例情形中,云資源被標(biāo)記為“僅內(nèi)部”。典型地,和與對象關(guān)聯(lián)的公司外部的用戶共享資源的嘗試將被拒絕。然而,使用本公開的方案,與來自允許的域(或子域)的行動者關(guān)聯(lián)的一個或多個域(或子域)名被登記,這具有擴(kuò)展可獲得允許的對資源的訪問的、對象擁有公司中的身份的效果。當(dāng)以這種方式“在外部”共享對象時,消息處理策略可指定要被顯示給請求用戶的文本(或某其它消息或通知)。該文本也可被定制,或者它可以是默認(rèn)文本,例如由對象擁有公司指定并且在對象被共享給用戶時伴隨對象的文本。因此,例如,該文本可解釋或闡述關(guān)于信息的公司策略,并且該策略可包括重新共享限制。定制的文本可根據(jù)用戶共享是在公司中還是在公司外部而不同。如果請求用戶在公司外部,則策略也可識別對象擁有公司中的人以向其通知共享事件。
[0083]作為另一變型,消息處理策略可能要求:在允許對云資源的最終訪問之前,采取特定用戶行動(例如,檢查使用條件和給出這種檢查的確認(rèn))。
[0084]作為另一變型,消息處理策略還可配置系統(tǒng)以把外部共享的通知提供給實(shí)體(諸如,對象擁有公司的系統(tǒng)管理員、云服務(wù)管理員),提供給由用戶指定的內(nèi)部用戶或某一其他人或?qū)嶓w。這種通知可能還要求在能夠訪問資源之前任何這種批準(zhǔn)者提供預(yù)先批準(zhǔn),或者它能夠使被通知的人在某一條件下撤銷或拒絕訪問等。
[0085]作為另一變型,并且如果系統(tǒng)支持云資源的重新共享,則當(dāng)對于在公司外部或與不在登記的域的列表上的域關(guān)聯(lián)的用戶共享特定資源時,能夠禁用重新共享。
[0086]作為僅為一個公司的成員(或非附屬客人)的用戶的擴(kuò)展是使“角色”與用戶關(guān)聯(lián),然后在與另一公司交互時使該角色代表該用戶。這可以是這種角色的明確承擔(dān)(“我現(xiàn)在正在訪問公司Y”)或隱含承擔(dān)(“當(dāng)我與公司Y擁有的對象或視圖交互時”)。在用戶能夠成為組織的公司的訪問者之前,組織可具有管理(或其它)批準(zhǔn)的過程。特定策略當(dāng)然可不同。例如,該過程可涉及費(fèi)用或其它設(shè)置(例如,能夠針對訪問者的編號或等級對公司收費(fèi),允許來自另一公司Y的訪問者的公司X能夠?qū)綴收費(fèi),等等)。
[0087]當(dāng)處于訪問者角色時,用戶創(chuàng)建的對象可被視為由正被訪問的公司擁有。這允許配額或其它度量被一致地應(yīng)用于托管對象的公司。在根據(jù)本公開的技術(shù)擴(kuò)展了一個或兩個組織邊界的情況下,兩個(或者如果超過兩個,則所有)公司都可具有關(guān)于當(dāng)從系統(tǒng)刪除用戶時(或者如果其對象被去除或分派給另一用戶)發(fā)生什么事情的策略。多策略引擎可被用于這種策略的配置,并且必須仔細(xì)地完成這種策略的實(shí)施以確保對象所有權(quán)保持合適。
[0088]可(再一次通過策略)提供需要來自多個公司的對象的操作以要求用戶執(zhí)行某些操作或遵循某些過程(例如,利用合適的剝除、通知和限制,從另一公司克隆對象)。例如,僅當(dāng)所有者在X公司和Y公司都具有批準(zhǔn)的角色時,才能完成從公司X至公司Y克隆的文件,并且新文件首先被刪除任何評論或其它元數(shù)據(jù)?;蛘?,文件自身可在每個公司的評論和元數(shù)據(jù)(包括訪問控制)保持完整的情況下被共享。
[0089]優(yōu)選地,“內(nèi)部”活動的概念保持傳統(tǒng)含義,意味著“內(nèi)部”是指其本公司是對象擁有公司的訂戶。
[0090]如上所述,特定消息處理策略可實(shí)施任何類型的條件或限制,或者提供任何類型的通知。一般地,如圖8中所示產(chǎn)生并且實(shí)施消息處理策略。特別地,圖8示出根據(jù)本公開的可被用于配置并且實(shí)施特定消息處理策略的代表性企業(yè)策略管理系統(tǒng)800。可跨越在諸如圖1中示出的計算環(huán)境中操作的一個或多個機(jī)器來實(shí)現(xiàn)系統(tǒng)800。典型地,該系統(tǒng)包括策略管理點(diǎn)(PAP)802、策略決定點(diǎn)(PDP)804和策略實(shí)施點(diǎn)(PEP)806。通常,策略管理點(diǎn)802被用于定義策略,策略可被指定為一組XACML策略表達(dá)式,諸如云資源消息處理策略。這個策略可使用從用戶儲存器808提供的主題屬性以及從策略信息點(diǎn)(PIP)SlO接收的運(yùn)行時和環(huán)境數(shù)據(jù)。策略決定點(diǎn)(PDP) 804接收相似信息并且對從策略實(shí)施點(diǎn)(PEP) 806接收的XACML策略查詢做出響應(yīng),以針對對象并且針對由該對象發(fā)起的特定動作實(shí)施策略。PDP804執(zhí)行策略決定。
[0091]能夠在公共云、私有云或混合(公共-私有)云的環(huán)境下使用該技術(shù)。
[0092]描述的主題具有許多優(yōu)點(diǎn)。該方案的主要優(yōu)點(diǎn)能夠使組織邊界概念嵌入在基于云的應(yīng)用中,同時能夠圍繞跨越這些邊界的交互實(shí)施各種策略。如前所述,云服務(wù)顧客管理其自己的組織邊界,但能夠通過使其擁有的云資源與域名集合關(guān)聯(lián)(所述域名集合可與針對該組織可能愿意與正使用云環(huán)境的其它組織共享的云資源的請求關(guān)聯(lián)),以及通過確保對以這種方式共享的資源的任何這種請求與已由資源擁有組織定義(或以其它方式與資源擁有組織關(guān)聯(lián))的一個或多個消息處理策略關(guān)聯(lián),來選擇性地擴(kuò)展該邊界。使用這個方案,組織擁有的云資源可被選擇性地與也使用云環(huán)境的一個或多個其它組織共享。隨后能夠使用傳統(tǒng)的策略管理系統(tǒng)針對共享的資源實(shí)施許多不同類型的消息處理策略。該技術(shù)提供一種能夠針對云資源實(shí)現(xiàn)靈活的組織邊界的云計算解決方案的新信息共享范例。
[0093]上述云服務(wù)功能可被實(shí)現(xiàn)為獨(dú)立方案,例如由處理器執(zhí)行的基于軟件的功能,或者它可用作被管理的服務(wù)(包括用作經(jīng)S0AP/XML接口的web服務(wù))。這里描述的特定硬件和軟件實(shí)現(xiàn)細(xì)節(jié)僅用于說明性目的,而非意圖限制描述的主題的范圍。
[0094]更一般地,公開的發(fā)明的上下文內(nèi)的計算裝置均是包括硬件和軟件的(諸如圖2中示出的)數(shù)據(jù)處理系統(tǒng),并且這些實(shí)體經(jīng)網(wǎng)絡(luò)(諸如,互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)、專用網(wǎng)絡(luò))或任何其它通信介質(zhì)或鏈路彼此通信。數(shù)據(jù)處理系統(tǒng)上的應(yīng)用為Web和其它已知服務(wù)和協(xié)議提供本地支持,非限制性地包括對HTTP、FTP、SMTP、SOAP、XML、WSDL、SAML, Liberty、Shibboleth、OpenID、WS-Federation、Cardspace、WS-Trust、UDDI 和 WSFL 等的支持??蓮娜f維網(wǎng)聯(lián)盟(W3C)獲得關(guān)于SOAP、WSDL、UDDI和WSFL的信息,W3C負(fù)責(zé)開發(fā)并且維護(hù)這些標(biāo)準(zhǔn);可從互聯(lián)網(wǎng)工程工作小組(IETF)獲得關(guān)于HTTP、FTP、SMTP和XML的進(jìn)一步信息。假設(shè)熟悉這些已知標(biāo)準(zhǔn)和協(xié)議。
[0095]可在除基于云的基礎(chǔ)設(shè)施之外的各種服務(wù)器側(cè)架構(gòu)中或結(jié)合各種服務(wù)器側(cè)架構(gòu)實(shí)現(xiàn)這里描述的方案。這些非限制性地包括簡單的η層架構(gòu)、web門戶、聯(lián)合系統(tǒng)等。
[0096]如以上例子所示,描述的功能中的一個或多個功能可被托管在云內(nèi)或云的外部。
[0097]更一般地,這里描述的主題能夠采用完全硬件實(shí)施例、完全軟件實(shí)施例或既包含硬件要素又包含軟件要素的實(shí)施例的形式。在優(yōu)選實(shí)施例中,分層登出功能被實(shí)現(xiàn)于軟件,軟件包括但不限于固件、常駐軟件、微碼等。數(shù)據(jù)能夠被構(gòu)造為數(shù)據(jù)結(jié)構(gòu)(例如,數(shù)組、鏈表等)并且存儲在數(shù)據(jù)存儲器(諸如,計算機(jī)存儲器)中。另外,如上所述,這里描述的身份提供商實(shí)例發(fā)現(xiàn)功能能夠采用可從計算機(jī)可用或計算機(jī)可讀介質(zhì)訪問的計算機(jī)程序產(chǎn)品的形式,所述介質(zhì)提供由計算機(jī)或任何指令執(zhí)行系統(tǒng)使用或結(jié)合計算機(jī)或任何指令執(zhí)行系統(tǒng)使用的程序代碼。為了本描述的目的,計算機(jī)可用或計算機(jī)可讀介質(zhì)能夠是能包含或存儲由指令執(zhí)行系統(tǒng)、設(shè)備或裝置使用或結(jié)合指令執(zhí)行系統(tǒng)、設(shè)備或裝置使用的程序的任何設(shè)備。該介質(zhì)可以是電子、磁、光學(xué)、電磁、紅外或半導(dǎo)體系統(tǒng)(或設(shè)備或裝置)。計算機(jī)可讀介質(zhì)的例子包括半導(dǎo)體或固態(tài)存儲器、磁帶、可移動計算機(jī)盤、隨機(jī)存取存儲器(RAM)、只讀存儲器(ROM)、剛性磁盤和光盤。光盤的當(dāng)前例子包括壓縮盤-只讀存儲器(CD-ROM)、壓縮盤-讀/寫(⑶-R/W)和DVD。計算機(jī)可讀介質(zhì)是有形物品。
[0098]計算機(jī)程序產(chǎn)品可以是具有用于實(shí)現(xiàn)一個或多個描述的功能的程序指令(或程序代碼)的產(chǎn)品。這些指令或代碼可在從遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)經(jīng)網(wǎng)絡(luò)下載之后存儲在數(shù)據(jù)處理系統(tǒng)中的計算機(jī)可讀存儲介質(zhì)中?;蛘?,這些指令或代碼可存儲在服務(wù)器數(shù)據(jù)處理系統(tǒng)中的計算機(jī)可讀存儲介質(zhì)中,并且適于經(jīng)網(wǎng)絡(luò)下載到遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)以在遠(yuǎn)程系統(tǒng)內(nèi)的計算機(jī)可讀存儲介質(zhì)中使用。
[0099]在代表性實(shí)施例中,云服務(wù)部件被實(shí)現(xiàn)于專用計算機(jī)中,優(yōu)選地,被實(shí)現(xiàn)于由一個或多個處理器執(zhí)行的軟件中。用于在其中使用的關(guān)聯(lián)數(shù)據(jù)被存儲在關(guān)聯(lián)的數(shù)據(jù)存儲器中。軟件也被保持在與所述一個或多個處理器關(guān)聯(lián)的一個或多個數(shù)據(jù)存儲器或內(nèi)存中,并且軟件可被實(shí)現(xiàn)為一個或多個計算機(jī)程序。
[0100]也如前所述,一個或多個上述功能可被實(shí)現(xiàn)為已有的訪問管理器或策略管理方案的附屬物或擴(kuò)展。
[0101]盡管以上描述了由本發(fā)明的某些實(shí)施例執(zhí)行的操作的特定次序,但應(yīng)該理解,這種次序是示例性的,因?yàn)樘娲鷮?shí)施例可按照不同次序執(zhí)行操作,組合某些操作,使某些操作交疊,等等。在說明書中對給定實(shí)施例的提及指示描述的實(shí)施例可包括特定特征、結(jié)構(gòu)或特性,但每個實(shí)施例不是必須包括該特定特征、結(jié)構(gòu)或特性。
[0102]最后,盡管已分別描述系統(tǒng)的給定部件,但本領(lǐng)域普通技術(shù)人員將會理解,一些功能可在給定指令、程序序列、代碼部分等之中被組合或共享。
[0103]已描述了本發(fā)明,權(quán)利要求如下。
【權(quán)利要求】
1.一種用于在可配置計算資源的共享池中托管計算資源的環(huán)境中擴(kuò)展組織邊界的方法,包括: 對于一組云資源中的每個云資源,把該云資源標(biāo)記為由在該環(huán)境中操作的多個組織之一擁有; 對于在該環(huán)境中操作的所述多個組織中的一個或多個組織,登記一組的一個或多個域名,其中來自與相應(yīng)組織關(guān)聯(lián)的用戶的消息包括與該相應(yīng)組織關(guān)聯(lián)的所述一組的一個或多個域名中的域名; 對于在該環(huán)境中操作的所述多個組織中的一個或多個組織,針對相應(yīng)組織擁有的特定云資源提供與該組織關(guān)聯(lián)的消息處理策略,所述消息處理策略識別特定云資源如何被允許在該 組織外部在云環(huán)境內(nèi)被共享; 從用戶接收訪問云資源的請求; 響應(yīng)于該請求,根據(jù)所述云資源的所有權(quán)和與所述請求關(guān)聯(lián)的域名,確定是否允許用戶訪問所述云資源;以及 如果用戶被允許訪問所述云資源,則實(shí)施與所述云資源關(guān)聯(lián)的消息處理策略。
2.如權(quán)利要求1所述的方法,其中基于以下之一標(biāo)記云資源的所有權(quán):資源的商業(yè)所有權(quán)、資源的管理責(zé)任、和由分派給特定組織的擁有用戶進(jìn)行的云資源的創(chuàng)建。
3.如權(quán)利要求1所述的方法,其中云資源的消息處理策略掩蔽提出請求的用戶的用戶名,同時在擁有所述云資源的組織的日志文件中保留與該請求關(guān)聯(lián)的組織和域名。
4.如權(quán)利要求1所述的方法,其中如果用戶不和與擁有云資源的組織關(guān)聯(lián)的一個或多個域名關(guān)聯(lián),則所述云資源的消息處理策略向用戶提供一現(xiàn)時來控制對所述云資源的訪問。
5.如權(quán)利要求1所述的方法,其中如果請求用戶和與擁有云資源的組織關(guān)聯(lián)的所述一組域名之外的域名關(guān)聯(lián),則所述云資源的消息處理策略提供定制文本,該定制文本定義與所述云資源關(guān)聯(lián)的一個或多個使用條款。
6.如權(quán)利要求5所述的方法,其中所述消息處理策略還包括:把所述云資源的外部共享的通知提供給指定的實(shí)體。
7.如權(quán)利要求1所述的方法,還包括: 確定提出所述請求的用戶是否具有關(guān)聯(lián)的訪問者角色;并且 其中允許用戶訪問云資源還取決于用戶是否已被確定為具有關(guān)聯(lián)的訪問者角色。
8.一種用于在可配置計算資源的共享池中托管計算資源的環(huán)境中擴(kuò)展組織邊界的設(shè)備,包括: 處理器; 保持計算機(jī)程序指令的計算機(jī)內(nèi)存,所述計算機(jī)程序指令當(dāng)由處理器執(zhí)行時執(zhí)行一種方法,所述方法包括: 對于一組云資源中的每個云資源,把該云資源標(biāo)記為由在該環(huán)境中操作的多個組織之一擁有; 對于在該環(huán)境中操作的所述多個組織中的一個或多個組織,登記一組的一個或多個域名,其中來自與相應(yīng)組織關(guān)聯(lián)的用戶的消息包括與該相應(yīng)組織關(guān)聯(lián)的所述一組的一個或多個域名中的域名;對于在該環(huán)境中操作的所述多個組織中的一個或多個組織,針對相應(yīng)組織擁有的特定云資源提供與該組織關(guān)聯(lián)的消息處理策略,所述消息處理策略識別特定云資源如何被允許在該組織外部在云環(huán)境內(nèi)被共享; 從用戶接收訪問云資源的請求; 響應(yīng)于該請求,根據(jù)所述云資源的所有權(quán)和與所述請求關(guān)聯(lián)的域名,確定是否允許用戶訪問所述云資源;以及 如果用戶被允許訪問所述云資源,則實(shí)施與所述云資源關(guān)聯(lián)的消息處理策略。
9.如權(quán)利要求8所述的設(shè)備,其中基于以下之一標(biāo)記云資源的所有權(quán):資源的商業(yè)所有權(quán)、資源的管理責(zé)任、和由分派給特定組織的擁有用戶進(jìn)行的云資源的創(chuàng)建。
10.如權(quán)利要求8所述的設(shè)備,其中云資源的消息處理策略掩蔽提出請求的用戶的用戶名,同時在擁有所述云資源的組織的日志文件中保留與該請求關(guān)聯(lián)的組織和域名。
11.如權(quán)利要求8所述的設(shè)備,其中如果用戶不和與擁有云資源的組織關(guān)聯(lián)的一個或多個域名關(guān)聯(lián),則所述云資源的消息處理策略向用戶提供一現(xiàn)時來控制對所述云資源的訪問。
12.如權(quán)利要求8所述的設(shè)備,其中如果請求用戶和與擁有云資源的組織關(guān)聯(lián)的所述一組域名之外的域名關(guān)聯(lián),則所述云資源的消息處理策略提供定制文本,該定制文本定義與所述云資源關(guān)聯(lián)的一個或多個使用條款。
13.如權(quán)利要求12所述的設(shè)備,其中所述消息處理策略還包括:把所述云資源的外部共享的通知提供給指定的實(shí)體。
14.如權(quán)利要求8所述的設(shè)備,其中所述方法還包括: 確定提出所述請求的用戶是否具有關(guān)聯(lián)的訪問者角色;并且 其中允許用戶訪問云資源還取決于用戶是否已被確定為具有關(guān)聯(lián)的訪問者角色。
【文檔編號】H04L29/08GK103916454SQ201410001025
【公開日】2014年7月9日 申請日期:2014年1月2日 優(yōu)先權(quán)日:2013年1月2日
【發(fā)明者】M·巴那塔拉, H·墨斯三世, R·L·耶塔斯, M·E·佐科 申請人:國際商業(yè)機(jī)器公司