当应用利用从不同的分布式系统聚集的用户接口(ui)部件提供集成用户体验时,应用必须知道安全上下文以及与远程系统相关联的认证模型。这对于用户能够认证远程系统以能够管理(一个或多个)远程系统和本地系统二者中的资源是必要的。
技术实现要素:
提供本发明内容以引入以在具体实施方式中下面进一步描述的简化形式的概念的选择。本发明内容不旨标识要求保护的主题的关键特征或基本特征,其也不旨在被用于限制要求保护的主题的范围。
实施例允许应用被配置有两个或更多个云上下文以及一个或多个身份系统。利用该信息,应用具有标识特定子系统需要交互的云环境的能力,并且将能够与适当的身份系统交流以动态地取回用于对准该云的令牌。实施例还提供能够基于多云环境中的云上下文来连接和取回安全令牌的用户体验。
附图说明
为了进一步澄清本发明的实施例的以上和其他优点和特征,本发明的实施例的更特定描述将通过参考附图而被提供。将理解到,这些附图仅描绘本发明的典型的实施例并且因此将不被认为是对其范围的限制。本发明将通过使用附图利用附加特殊性和细节而被描述和解释,其中:
图1是向企业用户提供对本地内部资源和远程或者公共资源的访问的系统的高级块图。
图2是根据一个实施例的提供云计算服务或分布式计算服务的数据中心的块图。
图3是图示两个云系统之间的交互的块图。
图4是图示用于跨多个分布式计算网络访问资源的示例方法的流程图。
具体实施方式
图1是向企业用户提供对本地内部资源和远程或者公共资源的访问的系统的高级块图。本地企业终端101允许用户经由内部网络103直接地访问内部数据中心102。被定位在企业100外部的用户可以使用远程终端104访问内部数据中心102。终端101和104可以是例如台式、膝上型、笔记本或者平板计算机。其他设备(诸如专用终端、智能电话、个人数字助理(pda)等)还可以被用作终端101和104。
防火墙105提供用于企业100的网络安全系统并且控制传入和传出网络流量。外部终端104可以经由因特网106或者任何公共或者私有网络连接到企业内部网络103。如果终端104提供适当的凭证和认证,则防火墙105允许终端104访问内部数据中心102。终端101和104处的企业用户还可以经由因特网106访问公共数据中心107。
内部数据中心102和公共数据中心107可以将“云计算”服务提供到企业100和其他用户。通过使企业用户免于管理信息技术(it)基础设施,云计算以低成本提供实际上无限的计算、存储和网络资源,同时允许服务按需缩放。
图2是根据一个实施例的提供云计算服务或分布式计算服务的分布式计算网络或者数据中心200的块图。多个服务器201由数据中心管理控制器202管理。负载平衡器203将请求和工作量分布在服务器201上以避免其中单个服务器201变得压倒的情况,并且使数据中心200中的资源的可用容量和性能最大化。路由器/交换机204经由外部网络205支持服务器201之间以及数据中心200与外部资源和用户之间的数据流量,外部网络205可以是在企业内部数据中心102的情况下的局域网(lan)或者在公共数据中心(107)的情况下的因特网。
服务器201可以是传统的独立计算设备和/或其可以被配置为许多服务器设备的机架中的个体刀片。服务器201具有输入/输出(i/o)连接器,其管理与其他数据库实体的通信。每个服务器201上的一个或多个主机处理器运行主机操作系统(o/s),其支持多个虚拟机(vm)。每个vm可以运行其自身的o/s,使得服务器上的每个vmo/s是不同的或者是相同的或者二者的混合。vmo/s可以是例如相同o/s的不同的版本(例如,不同的vm运行
云计算递送计算能力作为服务、对it资源(如计算能力、网络和存储装置)进行访问,如与来自水龙头的水一样可用。与任何实体一样,你通常仅支付你利用云计算所使用的。通过接进云服务中,在不必建立、管理或维持昂贵的复杂的it构建块的情况下,用户可以利用海量数据中心的能力。利用云,it的复杂性中的许多复杂性被抽象出来,让你仅聚焦于实际上对你的商业有关系的基础设施、数据和应用开发。
数据中心200提供在其上客户或者租户可以按需动态地提供和缩放应用而不必添加更多服务器或者附加网络的池化资源。这允许租户获得其需要计算资源而不必在每应用的自组网基础上取得、提供并且管理基础设施。云计算数据中心200允许租户动态地按比例放大或按比例缩小资源以满足其商业的当前需要。此外,数据中心操作者可以将基于使用的服务提供到租户,使得当其需要使用他们时,其支付仅其使用的资源。例如,租户可以最初在服务器201-1上使用一个vm来运行其应用。当需求增加时,数据中心可以根据需要激活相同服务器上和/或新服务器201-n上的附加vm。如果需求稍后下降,则这些附加的vm可以被去激活。
数据中心200可以提供保证可用性、灾难恢复和备份服务。例如,数据中心可以指派服务器201-1上的一个vm作为用于租户的应用的主位置,并且在第一vm或服务器201-1发生故障的情况下,可以激活相同或者不同的服务器上的第二vm作为备用或者备份。在不要求租户介入的情况下,数据库管理器202使传入用户请求从主vm自动地移动到备份vm。虽然数据中心200被图示为单个位置,但是将理解到,服务器201可以被分布到跨全球的多个位置以提供附加冗余度和灾难恢复能力。
数据中心操作者可以将不同水平的云计算服务提供到租户。利用基础设施即服务(iaas)报价,较低水平的it堆栈被递送作为服务,其从提供物理机和配置网络的许多复杂性释放开发者。利用iass,租户可以容易地提供高度可扩展和可用云环境中的虚拟机,开发和测试方案,然后将应用部署到生产。利用平台即服务(paas)供应,来自通过运行时的网络连接性的所有东西被提供。paas通过提供用于应用服务的附加支持和操作系统的管理(包括更新)使开发容易。利用paas,租户可以聚焦于应用的商业逻辑并且从概念到发起迅速地移动应用。利用软件即服务(saas)供应,单个完成应用或应用套件可以通过网络浏览器被递送到客户,从而消除其管理包括应用代码的it堆栈的底层部件的需要。
再次参考图1,企业可以使用公共数据中心或公共云计算服务以利用成本节省、减少的管理要求或提供的特定服务。另一方面,例如,企业还可以使用内部数据中心或私有云服务来确保数据安全或使用专有应用。将理解到,企业不必使用内部数据中心来利用私有云服务。相反,可以由限制对企业的访问权的数据中心提供私有云服务。由企业对公共云服务和私有云服务二者的使用通常被称为混合云。
图3是图示两个云系统之间的交互的块图。每个云系统301、305具有其自身的身份系统302、306和其自身的api层303、307。网站304运行在云系统301上并且使用身份系统302和用于云系统301的api层303。分离的网站308运行在云系统305上并且使用身份系统306和用于云系统305的api层307。网站304包括:扩展309,其从本地云系统301被加载,以及扩展310,其从远程云系统305被加载。
实施例实现无缝的用户体验,其中用户能够从网站304中的部件导航到在另一云上运行的另一网站308的部件。这可以在不要求网站304实际上打开另一网站308的情况下发生。这实现可以在一个云系统301的上下文内被管理的两个云系统301、305之间的通信模式。
系统能够理解扩展从哪个云被加载。例如,网站304和云系统301理解扩展309从云系统301被加载并且扩展310从云系统305被加载。系统能够从对应的云中的身份系统取得身份令牌。这设立对于扩展与该云的api层通信所需要的安全上下文。例如,当来自另一云系统的扩展310将被加载时,云系统301从云系统305中的身份系统306取得身份令牌以设立用于扩展310的安全上下文。扩展310将然后使用该安全上下文将请求发送到云系统305中的api层307。
来自网站304和308二者的内容可以被绘制在浏览器中的相同内联框架(iframe)中,其中html内联框架元素(<iframe>)表示嵌套浏览上下文,有效地将另一html页面嵌入当前页面中。内联框架被用于将另一文档嵌入在当前html文档内。在图3中,例如,框架310被嵌入在网站304内。因此,针对云系统301的云扩展309与针对云系统305的云扩展310分离。扩展提供用于其相应云服务的必要的安全上下文,但是安全凭证不需要在云系统301、305之间被共享。相反,它们在被嵌入在用于网站304的代码内的分离的框架中被隔离。因此,浏览器可以访问来自网站304上的云系统301、305二者的内容,但是网站304上的用户不具有对云系统301、305二者的访问。对于访问网站304的用户而言,对每个云服务的访问是无缝的,这是因为网站304取决于扩展根据需要处理用于每个云服务的安全上下文。
该方法允许多个云服务器301、305彼此交互操作并且从彼此加载个体部件309、310以提供无缝体验。其他实施例不限于网站304、308,而是允许任何资源或者应用从远程云加载部件并且从对应的远程身份系统获得适当的令牌。应用和资源(诸如网站304、308)可以由运行在云服务301、305上的资源提供者来配置。
随着不同的类型的基于云的系统(例如,不同的公共、私有和混合云系统)的出现,云系统交互操作的能力实现其中每个云的个体能力可以被组合以提供综合终端用户体验的更高级的场景。存储装置311可以被用于存储用于用户的安全令牌。安全令牌可以被存储例如作为用于每个用户的密钥链并且可以与用户订阅的不同的云服务和分布式计算网络中的每一个相关联。
该系统提供以下优点。
云上下文感知——在一个云服务上运行的网站或者应用理解本地云被连接到的不同云的特性。例如,用户可以从相同会话中的相同浏览器同时地被连接到公共云(诸如microsoftazure)和私有云(诸如microsoftazurestack)。
基于云上下文感知的令牌取回。基于ui部件和它们来自的对应的远程云的应用的理解,应用伸到远程云的认证系统以代表当前用户取得安全令牌。
用于令牌的密钥链——维持对准不同云的用户的令牌的链并且适当地将他们发出到该云的ui部件。
实施例还提供用户使用单个登录访问多个云的能力。用户可以通过登录到一个云系统上的应用中来管理多个云,其然后标识可以与第一云通信的其他云。第一云联系其他云上的身份服务并且获得适当的令牌。第一云可以然后自动地与其他云通信。第一云可以在不停机状态中标识资源和远程身份系统并且获得必要的令牌以与远程云通信。
图4是图示用于跨多个分布式计算网络访问资源的示例方法的流程图。在步骤401中,在第一计算网络上提供资源。资源包括与第一身份系统相关联的第一扩展以及与第二身份系统相关联的第二扩展。第一身份系统被托管在第一计算网络上并且第二身份系统被托管在远程计算网络上。在步骤402中,从第一身份系统加载一个或多个第一安全令牌以允许第一计算网络上的用户访问第一扩展。在步骤403中,从远程计算网络加载一个或多个第二安全令牌以允许第一计算网络上的用户访问第二扩展。
在其他实施例中,在第一计算网络上标识用户并且然后基于用户的身份,从远程计算网络取回安全令牌。第二身份系统可以是认证系统。用户可以访问资源上的第一扩展和第二扩展二者。资源可以是例如网站,并且扩展可以对应于被显示在网站上的窗口。第一计算网络和远程计算网络可以是私有云服务和公共云服务的组合。
示例系统包括第一云系统,其托管具有第一扩展的第一资源,第一云系统具有由第一资源和第一扩展使用的第一身份系统和第一api层;并且资源具有从具有第二身份系统和第二api层的第二云系统加载的第二扩展,其中第一云系统加载来自第二身份系统的安全令牌以允许第二扩展使用第二api层进行通信。
在系统的附加实施例中,资源是网站。
在系统的附加实施例中,第一云是公共云并且第二云是私有云。
在系统的附加实施例中,第一云是私有云并且第二云是公共云。
在系统的附加实施例中,用户可以从相同会话中的相同浏览器同时地连接到第一云和第二云二者。
在系统的附加实施例中,第一云上的应用代表当前用户从第二云的认证系统获取安全令牌。
在系统的附加实施例中,第一云系统维持用于用户的安全令牌的链,并且其中安全令牌对准不同的云。
在系统的附加实施例中,基于相关联的远程云,安全令牌被发出到第一云的ui部件。
在系统的附加实施例中,还包括浏览器,其中来自在第一云上托管的网站的内容和来自在第二云上托管的网站的内容被绘制在浏览器中的相同内联框架中。
一种用于访问跨多个分布式计算网络访问的资源的示例方法包括在第一计算网络上提供资源,资源包括与第一身份系统相关联的第一扩展以及与第二身份系统相关联的第二扩展,其中第一身份系统被托管在第一计算网络上并且第二身份系统被托管在远程计算网络上;从第一身份系统加载一个或多个第一安全令牌以允许第一计算网络上的用户访问第一扩展;并且从远程计算网络加载一个或多个第二安全令牌以允许第一计算网络上的用户访问第二扩展。
方法的附加实施例还包括标识第一计算网络上的用户;并且基于用户的身份,从远程计算网络取回安全令牌。
方法的附加实施例还包括第二身份系统是认证系统。
方法的附加实施例还包括用户访问资源上的第一扩展和第二扩展二者。
方法的附加实施例还包括资源是网站并且扩展对应于被显示在网站上的窗口。
方法的附加实施例还包括第一计算网络和远程计算网络中的一个计算物理是私有云服务并且另一计算网络是公共云服务。
一种示例系统包括第一分布式计算网络,其托管具有第一扩展的资源,第一分布式计算网络具有由资源和第一扩展使用的第一身份系统;资源具有从具有第二身份系统的第二分布式计算网络加载的第二扩展,其中第一分布式计算网络从第二身份系统加载安全令牌以允许用户访问第二扩展;以及用于维持与用户相关联的多个安全令牌的存储装置,令牌组允许用户从多个分布式计算网络访问扩展。
在系统的附加实施例中,资源具有从各自具有其自身的身份系统和api层的一个或多个附加的分布式计算网络加载的一个或多个附加的扩展,其中第一系统从一个或多个附加的分布式计算网络上的身份系统加载安全令牌以允许用户访问一个或多个附加的扩展。
在系统的附加实施例中,分布式计算网络包括一个或多个公共云服务和一个或多个私有云服务二者。
在系统的附加实施例中,用户可以从相同会话中的相同资源同时地连接到第一分布式计算网络和第二分布式计算网络二者。
在系统的附加实施例中,第一分布式计算网络上的应用代表当前用户从第二分布式计算网络的认证系统取得安全令牌。
虽然已经以特定于结构特征和/或方法动作的语言描述主题,但是将理解到,所附的权利要求中限定的主题不必限于上文所描述的特定特征或动作。相反,上文所描述的特定特征和动作被公开为实现权利要求的示例形式。