[发明专利]资源访问管理

说明书

技术领域

本发明主要涉及联合环境中的管理用户会话。

背景技术

用户鉴权(authentication)是服务提供者提供以保证访问资源(例如，应用、web内容等等)的用户被授权这样做的一个功能。为了保证用户不是冒充者，服务提供者(例如，web服务器)一般要求用户的用户名和密码以在授权访问资源之前证明身份。单登录(SSO)是一种访问控制机制，其使用户能进行一次鉴权(例如，提供用户名和密码)以及跨多个系统获得对软件资源的访问。典型地，SSO系统使用户能访问企业或组织内的资源。联合的单登录(F-SSO)扩展了跨多个企业的单登录的概念，从而建立了不同组织和企业之间的伙伴关系。F-SSO系统典型地包括应用级协议，其使一个企业(例如，身份提供者)向另一企业(例如，服务提供者)供给用户的身份和其他属性。换言之，F-SSO系统使用任何合适的协议帮助从身份提供者向服务提供者传输用户的凭证。典型地，当前的F-SSO技术使用HTTP作为传输协议。

一种新兴的信息技术(IT)传递(delivery)模型是云计算，共享的资源、软件和信息通过其在互联网上按需向计算机和其他设备提供。在改进工作负载优化和服务传递的同时，云计算可以显著减少IT成本和复杂度。用这个方法，应用实例可以被驻留以及从通过常规web浏览器在HTTP上可访问的基于互联网的资源获得。虽然这是非常期望的，所述应用自身可以具有使用其他非基于HPPT协议的数据传输和存储需求。因此，虽然大多数与应用的交互可以通过HTTP发生并且可以简单地绑定到用户，通常关键交互(涉及数据)必须通过遗留(legacy)协议发生，仍需要相同的“用户绑定”。支持基于HTTP和非基于HTTP协议的需要使在云环境中提供和使用应用复杂化。单登录要求(用于应用的)可能要求支持其他较低级协议(比如CIFS、NFS、SSH、Telnet等等，以及SSO跨多个协议的共存)这个事实使这个问题更加严重。

但是，当前在云中鉴权的方法是不够的。因此，例如，其中使用SSH网络协议登录进远程机器并执行命令，现有技术状态涉及向消费者的LDAP(或其等效)目录提供直接链接(后代理)用于鉴定用户名和密码(U/P)，或者向SSH密钥对的用户提供明确的分布。但是，每个方法具有显著的缺点，可能不允许从云提供者到消费者的LDAP的直接连接，即使是简单的LDAP绑定请求。SSH密钥对的分布不是用于应用到大量用户的云的可扩展方法。用于其他协议比如CIFS、NFS等等现有技术的方法中有类似的缺点。

发明内容

本公开说明了一种方法，使通过(应用层)HTTP协议已注册到云的用户能使用非HTTP协议(包括网络层协议比如SSH)来访问资源，同时仍然有应用层F-SSO协议的优点，包括生命周期管理。

对于使用密钥对鉴权的协议(例如SSH)，F-SSO功能用于使能密钥对的交换，因此使能消费者和云提供者之间的全面信任关系。因此，消费者的终端用户可被消费者授权(或不授权)，并且使它们的整个生命周期管理由消费者维护，同时仍然具有到云环境的简单应用过程。对于在云提供者侧收集U/P的协议以及然后对消费者LDAP的验证，F-SSO功能用于建立用户作为“善意”用户，可选地帮助收集用于所述用户的密码，以及然后在消费者侧完成U/P验证(例如使用带有安全消息交互协议比如WS-Trust的F-SSO)。这使消费者保持对用户的生命周期的控制以及管理在云提供者地点使用的属性。

在一个实施方式中，一种用于对驻留在可配置计算资源(例如，计算云)的共享池中的资源的访问进行管理的方法，开始于接收注册请求以启动用户的注册以使用驻留在计算云中的资源。在由接收注册请求启动的注册过程期间，接收联合单登录(F-SSO)请求。F-SSO请求包括具有(附加)鉴权数据(例如SSH公钥、CIFS用户名等)的断言(例如基于HTTP的SAML断言)用于支持对计算云中驻留的资源的直接用户访问。在确认断言时，鉴权数据被部署或提供在云内以使得能使用鉴权数据对计算云资源进行直接用户访问。这样，云租户(例如，云提供者的消费者)为用户提供生命周期管理，并且云提供者使用单个协议(例如基于HTTP的)跨多个传输协议实现单登录方法，而无关于用于F-SSO的应用层HTTP协议和用于用户直接访问云资源的非HTTP协议之间的“空隙”。

在一个可替换实施方式中，上述方法在一种装置中执行，该装置包括：处理器；以及计算机存储器，用于保存当被所述处理器运行时执行所述方法的计算机程序指令。