,其具体集成原理如图5(a)所示。
[0082]NI S域集成实现
[0083]本发明的统一身份认证系统(S卩,云身份安全控制台)通过Shell脚本与NIS服务器实现集成,其访问协议采用SSH协议,其具体集成原理如图5(b)所示。
[0084]本发明集成了 AD、NIS等域用户管理软件,实现对Windows、Unix、Linux等全方位操作系统的支持,而且授权粒度精确到应用、设备、主机内的资源。
[0085]作为本发明技术方案的一个具体应用,通过对昂贵的云资源进行统一登录认证、访问授权管理,实现一套资源多个科研人员同时登录访问和使用,从而大大节省这种特种资源的采购费用。例如,勘探领域某些地质图层渲染软件,每用户License费用高达几十甚至上百万,上千个科研人员需要使用的。如果为每个科研人员采购一套License,明显不现实;如果让分布在各地的科研人员集中在某台主机上让排队轮流使用,无法满足科研需要。如果用了本发明的基于云平台统一身份认证技术,就可以通过采购少量的License部署在云端,每个科研人员通过云统一身份认证登录访问和使用这些昂贵的软件。另外,假设10个License运行在云端,每个科研人员60分钟内只需要使用软件核心功能I分钟,60分钟内就可以支持600个科研人员使用该昂贵的云资源,对于单个科研人员来说好像自己独立拥有和使用一套资源License。
[0086]因此,本发明的实际技术效果或所带来的经济效益是显而易见的。
[0087]所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于云平台的域管理对象映射装置,其特征在于,所述域管理对象映射装置对虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,并将资源的访问权限授予实体组,所述域管理对象包括AD域管理对象和NIS域管理对象,所述域管理对象映射装置包括: 账号映射模块,将虚拟AD帐号映射至实体AD帐号,或将虚拟NIS帐号映射至实体NIS帐号; 虚拟组映射模块,将虚拟AD组映射至实体AD组,或将虚拟NI S组映射至实体NI S组;对应关系映射模块,将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中,或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实NIS组的关系; 虚拟对象赋予模块,基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号将虚拟NIS组赋予虚拟NIS帐号; 实体对象赋予模块,通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;以及 权限授予模块,基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组将计算资源、数据资源和专业软件资源的访问权授予实体NIS组,其中AD是指活动目录,NIS指代网络信息服务。2.根据权利要求1所述的域管理对象映射装置,其特征在于,所述NIS由服务器端和客户端组成,所述服务器端包含一个主服务器和一个从服务器,所述客户端包含多个客户端主机操作系统;所述AD使用结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。3.根据权利要求1或2所述的域管理对象映射装置,其特征在于, 对虚拟的Windows平台账号授权时,通过AD Server Interface,以LDAPs协议访问AD域,将授权结果映射至AD域中,实现对实体AD域账号的授权;对虚拟的Linux平台账号授权时,通过NIS Server Interface,以SSH协议访问NIS域,将授权结果映射至NIS域中,实现对实体NIS域账号的授权。4.一种基于云平台的统一身份认证系统,其特征在于包括: 信息管理装置,用于集中管理用户、虚拟计算资源、虚拟软件资源、虚拟身份对象,并负责用户与虚拟对象的关联关系管理; 如权利要求1-3之一所述的域管理对象映射装置,其中该域管理对象映射装置对所述信息管理装置管理的虚拟对象与实体对象施加映射;以及 认证鉴权装置,对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权,对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明, 所述信息管理装置使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中。5.根据权利要求4所述的统一身份认证系统,其特征在于,所述认证鉴权装置具体分为AD域认证鉴权模块和NI S域认证鉴权模块两个子模块,其中AD域认证鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NI S域认证鉴权模块对NI S账号通过SSH协议进行实体账号认证和实体账号鉴权。6.根据权利要求4所述的统一身份认证系统,其特征在于,所述信息管理装置包含: 用户管理模块,对自然人身份信息的管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理; 虚拟对象管理模块,对虚拟的AD域账号、虚拟的NI S域账号、虚拟AD账号组、虚拟NI S账号组、虚拟计算资源、虚拟专业软件资源进行管理;和 关联关系管理模块,对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。7.根据权利要求4-6之一所述的统一身份认证系统,其特征在于,所述用户通过http/https协议访问云平台门户,用户拥有AD域账号和NIS域账号,所述AD域账号聚合成为AD账号组,所述NIS账号聚合成为NIS账号组,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而账号组中的账号具备角色所拥有的权限。8.根据权利要求4-6之一所述的统一身份认证系统,其特征在于,所述统一身份认证系统通过AD目录服务API采用LDAP V3协议与AD域服务器实现集成,通过Shel I脚本采用SSH协议与NIS服务器实现集成。
【专利摘要】本发明涉及一种基于云平台的域管理对象映射装置及统一身份认证系统,所述域管理对象映射装置对虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,并将资源的访问权限授予实体组,所述域管理对象包括AD域管理对象和NIS域管理对象,所述域管理对象映射装置包括:账号映射模块;虚拟组映射模块;对应关系映射模块;虚拟对象赋予模块;实体对象赋予模块;以及权限授予模块。通过采用上述基于云平台的域管理对象映射装置及统一身份认证系统,有效地解决了统一认证之后资源访问权限的管理和控制问题。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105516160
【申请号】CN201510955378
【发明人】王东辉, 罗力承, 李均强
【申请人】北京荣之联科技股份有限公司
【公开日】2016年4月20日
【申请日】2015年12月17日