资源访问管理

暂无

资源访问管理\n技术领域\n[0001] 本发明主要涉及联合环境中的管理用户会话。\n背景技术\n[0002] 用户鉴权(authentication)是服务提供者提供以保证访问资源(例如，应用、web内容等等)的用户被授权这样做的一个功能。为了保证用户不是冒充者，服务提供者(例如，web服务器)一般要求用户的用户名和密码以在授权访问资源之前证明身份。单登录(SSO)是一种访问控制机制，其使用户能进行一次鉴权(例如，提供用户名和密码)以及跨多个系统获得对软件资源的访问。典型地，SSO系统使用户能访问企业或组织内的资源。联合的单登录(F-SSO)扩展了跨多个企业的单登录的概念，从而建立了不同组织和企业之间的伙伴关系。F-SSO系统典型地包括应用级协议，其使一个企业(例如，身份提供者)向另一企业(例如，服务提供者)供给用户的身份和其他属性。换言之，F-SSO系统使用任何合适的协议帮助从身份提供者向服务提供者传输用户的凭证。典型地，当前的F-SSO技术使用HTTP作为传输协议。\n[0003] 一种新兴的信息技术(IT)传递(delivery)模型是云计算，共享的资源、软件和信息通过其在互联网上按需向计算机和其他设备提供。在改进工作负载优化和服务传递的同时，云计算可以显著减少IT成本和复杂度。用这个方法，应用实例可以被驻留以及从通过常规web浏览器在HTTP上可访问的基于互联网的资源获得。虽然这是非常期望的，所述应用自身可以具有使用其他非基于HPPT协议的数据传输和存储需求。因此，虽然大多数与应用的交互可以通过HTTP发生并且可以简单地绑定到用户，通常关键交互(涉及数据)必须通过遗留(legacy)协议发生，仍需要相同的“用户绑定”。支持基于HTTP和非基于HTTP协议的需要使在云环境中提供和使用应用复杂化。单登录要求(用于应用的)可能要求支持其他较低级协议(比如CIFS、NFS、SSH、Telnet等等，以及SSO跨多个协议的共存)这个事实使这个问题更加严重。\n[0004] 但是，当前在云中鉴权的方法是不够的。因此，例如，其中使用SSH网络协议登录进远程机器并执行命令，现有技术状态涉及向消费者的LDAP(或其等效)目录提供直接链接(后代理)用于鉴定用户名和密码(U/P)，或者向SSH密钥对的用户提供明确的分布。但是，每个方法具有显著的缺点，可能不允许从云提供者到消费者的LDAP的直接连接，即使是简单的LDAP绑定请求。SSH密钥对的分布不是用于应用到大量用户的云的可扩展方法。\n用于其他协议比如CIFS、NFS等等现有技术的方法中有类似的缺点。\n发明内容\n[0005] 本公开说明了一种方法，使通过(应用层)HTTP协议已注册到云的用户能使用非HTTP协议(包括网络层协议比如SSH)来访问资源，同时仍然有应用层F-SSO协议的优点，包括生命周期管理。\n[0006] 对于使用密钥对鉴权的协议(例如SSH)，F-SSO功能用于使能密钥对的交换，因此使能消费者和云提供者之间的全面信任关系。因此，消费者的终端用户可被消费者授权(或不授权)，并且使它们的整个生命周期管理由消费者维护，同时仍然具有到云环境的简单应用过程。对于在云提供者侧收集U/P的协议以及然后对消费者LDAP的验证，F-SSO功能用于建立用户作为“善意”用户，可选地帮助收集用于所述用户的密码，以及然后在消费者侧完成U/P验证(例如使用带有安全消息交互协议比如WS-Trust的F-SSO)。这使消费者保持对用户的生命周期的控制以及管理在云提供者地点使用的属性。\n[0007] 在一个实施方式中，一种用于对驻留在可配置计算资源(例如，计算云)的共享池中的资源的访问进行管理的方法，开始于接收注册请求以启动用户的注册以使用驻留在计算云中的资源。在由接收注册请求启动的注册过程期间，接收联合单登录(F-SSO)请求。\nF-SSO请求包括具有(附加)鉴权数据(例如SSH公钥、CIFS用户名等)的断言(例如基于HTTP的SAML断言)用于支持对计算云中驻留的资源的直接用户访问。在确认断言时，鉴权数据被部署或提供在云内以使得能使用鉴权数据对计算云资源进行直接用户访问。这样，云租户(例如，云提供者的消费者)为用户提供生命周期管理，并且云提供者使用单个协议(例如基于HTTP的)跨多个传输协议实现单登录方法，而无关于用于F-SSO的应用层HTTP协议和用于用户直接访问云资源的非HTTP协议之间的“空隙”。\n[0008] 在一个可替换实施方式中，上述方法在一种装置中执行，该装置包括：处理器；以及计算机存储器，用于保存当被所述处理器运行时执行所述方法的计算机程序指令。\n[0009] 在另一个可替换实施方式中，上述方法被用于由数据处理系统的计算机可读介质中的计算机程序产品执行。该计算机程序产品保存计算机程序指令，当计算机程序指令被数据处理系统运行时，执行所述方法。\n[0010] 以上已概述了本发明的更恰当的特征中的一些。这些特征应被理解为仅是示意。\n通过以不同方式应用所述公开的发明或通过修改本发明可以获得很多其他有益的结果，这将被说明。\n附图说明\n[0011] 现在将结合附图仅通过示例说明本发明的实施方式，其中：\n[0012] 图1示出分布式数据处理环境的示意框图，其中可实现说明性实施方式的示意方面；\n[0013] 图2是数据处理系统的示意框图，其中可实现说明性实施方式的示意方面；\n[0014] 图3图示了已知的联合单登录(F-SSO)操作；\n[0015] 图4示出根据本发明的一个实施方式的云计算环境的抽象模型层；\n[0016] 图5图示了根据教程如何使用F-SSO以提供交叉协议F-SSO；\n[0017] 图6图示了使用F-SSO在云提供者已建立SSH密钥对的终端用户如何执行SSH登录到云提供者环境中的虚拟机映像；\n[0018] 图7图示了图5的可替换实施方式，其中F-SSO身份提供者操作在云提供者的环境中执行；以及\n[0019] 图8图示了与存储协议比如CIFS一起使用的所述发明的一个实施方式。\n具体实施方式\n[0020] 现在参考图特别是参考图1-2，提供了其中可以实现本公开的说明性实施方式的数据处理环境的示意图。应理解图1-2仅是示意性的且不是要断言或暗示对于可实现本公开的主题的实施方式或方面的环境的任何限制。可以不背离本发明的精神和范围对所述环境做出很多修改。\n[0021] 现在参考图，图1示出其中可实现说明性实施方式的方面的示意的分布式数据处理系统的图形表示。分布式数据处理系统100可包括其中可实现说明性实施方式的方面的计算机的网络。分布式数据处理系统100包括至少一个网络102，其是用于提供多种设备和在分布式数据处理系统100中连接在一起的计算机之间的通信链接的介质。网络102可包括连接，比如有线、无线通信链接或光纤光缆。\n[0022] 在所示示例中，服务器104和服务器106连接到网络102和存储单元108。此外，客户端110、112和114也连接到网络102。这些客户端110、112和114可以是例如个人计算机、网络计算机等。在所示示例中，服务器104提供数据，比如引导文件、操作系统映像以及客户端110、112和114的应用。客户端110、112和114是所示示例中服务器104的客户端。分布式数据处理系统100可以包括附加服务器、客户以及未示出的其他设备。\n[0023] 在所示示例中，分布式数据处理系统100是互联网，其中网络102代表使用协议的传输控制协议/互联网协议(TCP/IP)组以相互通信的世界范围的网络和网关的集合。在互联网的核心是在主节点间或主计算机间的高速数据通信线的骨干，由成千上万的路由数据和消息的商业、政府、教育和其他计算机系统组成。当然，分布式数据处理系统100可以被实现为包括很多不同类型的网络，比如例如，内联网、局域网(LAN)、广域网(WAN)等。如上所述，图1要作为一个示例，而不是所公开主题的不同实施方式的架构限制，以及因此，图1所示的特定元件不应被视为对可实现本发明的说明性实施方式的环境的限制。\n[0024] 现在参考图2，示出了其中可实现说明性实施方式的方面的示意数据处理系统的框图。数据处理系统200是计算机的一个示例，比如图1中的客户端110，其中可以放置实现本公开的说明性实施方式的过程的计算机可用代码或指令。\n[0025] 参考图2，示出了其中可实现说明性实施方式的数据处理系统的框图。数据处理系统200是计算机的一个示例，比如图1中的服务器104或客户端110，其中可以放置实现说明性实施方式的过程的计算机可用代码或指令。在这个说明性示例中，数据处理系统200包括通信构造202，其提供处理器单元204、存储器206、永久存储208、通信单元210、输入/输出(I/O)单元212和显示器214之间的通信。\n[0026] 处理器单元204用于运行用于可加载到存储器206中的软件的指令。处理器单元\n204可以是一组一个或多个处理器或可以是多处理器核心，取决于特定实现。而且，处理器单元204可以使用一个或多个异类的处理器系统实现，其中主处理器与次级处理器出现在单个芯片上。作为另一说明性示例，处理器单元204可以是包括相同类型的多个处理器的对称的多处理器系统。\n[0027] 存储器206和永久存储208是存储设备的示例。存储设备是能在临时基础和/或永久基础上存储信息的硬件的任意部分。在这些示例中，存储器206可以是例如随机存取存储器或任何其他合适的易失或非易失存储设备。取决于特定实现，永久存储208可采用多种形式。例如，永久存储208可以包含一个或多个组件或设备。例如，永久存储208可以是硬驱、闪存、可重写光盘、可重写磁带或以上的一些组合。永久存储208使用的介质也可以是可移除的。例如，可移除的硬驱可用于永久存储208。\n[0028] 在这些示例中，通信单元210提供与其他数据处理系统或设备的通信。在这些示例中，通信单元210是网络接口卡。通信单元210可以通过使用物理和无线通信链接中之一或二者提供通信。\n[0029] 输入/输出单元212用于与可连接到数据处理系统200的其他设备输入和输出数据。例如，输入/输出单元212可通过键盘和鼠标为用户输入提供连接。而且，输入/输出单元212可向打印机发送输出。显示器214提供向用户显示信息的机制。\n[0030] 用于操作系统和应用或程序的指令位于永久存储208上。这些指令可加载到存储器206中用于被处理器单元204运行。不同实施方式的过程可使用可位于存储器中比如存储器206中的计算机实现的指令被处理器单元204执行。这些指令被称为程序代码，可被处理器单元204中的处理器读和运行的计算机可用程序代码或计算机可读程序代码。不同实施方式中的程序代码可实现在不同的物理的或有形的计算机可读介质中，比如存储器\n206或永久存储208。\n[0031] 程序代码216以功能形式位于选择性可移除的计算机可读介质218上，并且可以加载到或传递到数据处理系统200上，用于被处理器单元204运行。在这些示例中，程序代码216和计算机可读介质218形成计算机程序产品220。在一个示例中，计算机可读介质\n218可以是有形的形式，比如例如，插入或放在是永久存储208的一部分的驱动或其他设备中的光盘或磁盘中用于传递到存储设备上，比如是永久存储208的一部分的硬驱。在有形的形式中，计算机可读介质218也可以采用永久存储的形式，比如连接到数据处理系统200的硬驱、拇指驱动或闪存。计算机可读介质218的有形形式也称为计算机可记录存储介质。\n在一些实例中，计算机可读介质218可以不是可移除的。\n[0032] 可替换地，程序代码216可以通过到通信单元210的通信链接和/或通过到输入/输出单元212的连接，来从计算机可读介质218向数据处理系统200传递。在说明性示例中，所述通信链接和/或所述连接可以是物理的或无线的。计算机可读介质也可以采用非有形介质的形式，比如通信链接或包含所述程序代码的无线传输。为数据处理系统200所示的不同组件并不意味着提供对可实现不同实施方式的方式的架构限制。不同的说明性实施方式可以实现在包括除了或包括为数据处理系统200示出的那些组件的数据处理系统中。图2中所示的其他组件可以不同于所示的说明性示例。作为一个示例，数据处理系统\n200中的存储设备是可存储数据的任何硬件装置。存储器206，永久存储208和计算机可读介质218是有形形式的存储设备的示例。\n[0033] 在另一示例中，总线系统可用于实现通信构造202以及可包括一个或多个总线，比如系统总线或输入/输出总线。当然，可以使用任何合适类型的架构实现总线系统，其提供附接至所述总线系统的不同组件和设备之间的数据传递。此外，通信单元可包括用于发送和接收数据的一个或多个设备，比如调制解调器或网络适配器。而且，存储器可以是，例如，存储器206或高速缓存，比如在可出现在通信构造202中的接口和存储控制器集线器中发现的。\n[0034] 用于执行本发明的操作的计算机程序代码可以以一个或多个编程语言的任何组TM\n合来编写，包括面向对象的编程原因比如Java ，Smalltalk，C++等和常规的过程编程语言，比如“C”编程语言或类似的编程语言。程序代码可以全部运行在用户的计算机上，部分运行在用户的计算机上，作为独立的软件包，部分运行在用户的计算机上以及部分运行在远程计算机上，或者全部运行在远程计算机或服务器上。在后者的场景中，远程计算机可以通过任何类型的网络，包括局域网(LAN)或广域网(WAN)，连接到用户的计算机，或者可实现连接到外部计算机(例如，使用互联网服务提供者通过互联网)。\n[0035] 本领域技术人员将理解图1-2中的硬件可以根据实现而不同。其他内部硬件或外围设备，比如闪存、等效非易失存储器或光盘驱动等可以附加使用在或替代图1-2所示的硬件。而且，在不背离公开的主题的精神和范围的情况下，说明性实施方式的过程可应用于多处理器数据处理系统，不同于上述的SMP系统。\n[0036] 将会看到，此处所述的技术可以结合标准的客户端-服务器规范工作，比如图1中所示，其中客户机与运行在一组一个或多个机器上可接入互联网基于Web的门户通信。终端用户操作能访问和与门户交互的可连接互联网的设备(例如，台式计算机、笔记本计算机、使能互联网的移动设备等)。典型地，每个客户或服务器机器是数据处理系统，比如图2中所示，包括硬件和软件，并且这些实体通过网络比如互联网、内联网、外联网、专网或任何其他通信介质或链接相互通信。数据处理系统典型地包括一个或多个处理器、操作系统、一个或多个应用以及一个或多个实用程序。数据处理系统上的应用提供对于Web服务的自带支持，包括但不限于，对于HTTP、SOAP、XML、WSDL、UDDI和WSFL等的支持。关于SOAP、WSDL、UDDI和WSFL的信息可以从万维网联盟(W3C)得到，其负责开发和维护这些标准；关于HTTP和XML的更多信息可以从互联网工程任务组(IETF)得到。假设熟悉这些标准。\n[0037] 通过附加的背景，如这里使用的“断言”提供一些动作的间接证据。“断言”可提供身份、鉴权、属性、授权、判断或其他信息和/或操作的间接证据。鉴权断言提供由不是鉴权服务而是监听鉴权服务的实体鉴权的间接证据。如本领域已知的，安全断言标记语言(SAML)断言是本发明可用的可能的断言格式的示例。SAML已被结构化信息标准促进组织(OASIS)公开，其是非盈利的、全球联合体。SAML在“Assertions and Protocol for the OASIS Security Assertion Markup Language(SAML)”委员会规范01，05/31/2002中说明如下。\n[0038] 安全断言标记语言(SAML)是用于交换安全信息的基于XML的框架。这个安全信息表达为有关主题的断言的形式，其中主题是在某些安全域具有身份的实体(人或者计算机)。主题的典型示例是人，在特定互联网DNS域中通过他/她的电子邮件地址标识。断言可以传递有关主题执行的鉴权动作的信息、主题的属性以及有关是否允许主题访问某些资源的授权判断。断言表示为XML构造且具有嵌套结构，其中单个断言可以包含有关鉴权、授权和属性的几个不同的内部声明。注意，包含鉴权声明的断言仅说明以前发生的鉴权动作。\n断言由SAML权威，即鉴权权威、属性权威，以及策略判断点发出。SAML定义一个协议，客户端可通过其请求来自SAML权威的断言并且从他们得到响应。这个协议，由基于XML的请求和响应消息格式组成，可被绑定到很多不同的基础通信和传输协议；SAML当前定义一个通过HTTP到SOAP的绑定。SAML权威可使用多种信息源，比如外部策略存储和在请求中作为输入被接收的断言，在创建其响应中。因此，虽然客户端总是消耗断言，SAML权威可以是断言的生产者和消费者。\n[0039] SAML规范声明断言是供应发布者做出的一个或多个声明的信息包。SAML允许发布者做出3种不同类型的断言声明：鉴权，其中指定的主题在特定时间通过特定方法被鉴权；授权，其中允许指定主题访问指定资源的请求已被同意或拒绝；以及属性，其中指定的主题与供应的属性相关联。\n[0040] 鉴权是确认由用户或代表用户而提供的一组凭证。通过验证用户知道的一些事、用户具有的一些东西、或用户是什么、即关于用户的一些物理特征，来完成鉴权。用户知道的一些事可以包括共享的秘密，比如用户的密码，或者通过验证仅特定用户知道的一些事，比如用户的密钥。用户具有的一些东西可以包括智能卡或硬件令牌。有关用户的一些物理特征可以包括生物标识输入，比如指纹或视网膜图。应注意，用户典型地、但不是必需地是自然人；用户可以是机器、计算设备或使用计算资源的其他类型的数据处理系统。还应注意，用户典型地、但不是必需地，拥有单个唯一的标识符；在一些场景中，多个唯一标识符可以与单个用户相关联。\n[0041] 鉴权凭证是在多种鉴权协议中使用的一组质疑/响应信息。例如，用户名和密码组合是鉴权凭证的最熟悉的形式。鉴权凭证的其他的形式可以包括多种形式的质疑/响应信息，公钥基础设施(PKI)证书、智能卡、生物标识等。鉴权凭证区别于鉴权断言：鉴权凭证由用户表示为带有鉴权服务器或服务的鉴权协议序列的一部分，以及鉴权断言是有关用户的鉴权凭证的确认和成功的表示，接下来当必需时在实体间传递。\n[0042] 单登录(SSO)是一种访问控制机制，使用户能鉴权一次(例如，通过提供用户名和密码)以及获得跨多个系统对软件资源的访问。典型地，SSO系统使用户能访问企业或组织中的资源。联合单登录(F-SSO)扩展了跨多个企业的单登录的概念，因此建立了不同组织和企业之间的伙伴关系。F-SSO系统典型地包括协议，比如SAML，允许一个企业(例如，身份提供者)向另一企业(例如，服务提供者)供应用户的身份和其他属性。换言之，F-SSO系统通过使用合适的协议(典型地HTTP)帮助以受信的方式从身份提供者向服务提供者传递用户的凭证。图3图示了已知的联合单登录(F-SSO)过程中典型的操作流的框图。如图\n3所示，F-SSO过程300包括身份提供者302、用户应用304和服务提供者306之间的通信。\n身份提供者302和服务提供者304包括F-SSO系统308，其包括鉴权用户、建立用户的凭证、以及产生包括用户信息的加密的安全令牌(例如，cookie)的逻辑。此外，服务提供者306也可包括一个或多个目标应用310和312。目标应用可以驻留在相同的web环境中，或者是同一服务提供者306内不同的web环境314和316(例如Apache、WeSphere 等)的一部分。用户应用304可包括向用户呈现内容(例如web页面)的逻辑(例如web浏览器)。\n[0043] 在一个实施方式中，用户应用304首先向身份提供者302鉴权(例如提供用户名和密码)，如步骤1所指示。在步骤2中，身份提供者的F-SSO系统308向用户返回安全令牌。这个安全令牌可以是时间敏感的(例如，可包括时间戳)并且被加密地签名。安全令牌可包括用户的身份(例如用户名)、和身份提供者302希望向服务提供者306提供的其他属性(例如用户标识号)。用户应用304可使用任何合适的技术(例如HTTP请求)和F-SSO协议(见步骤3)定义的消息结构(例如使用HTTP查询串、HTTP POST数据等)向服务提供者的F-SSO系统呈现安全令牌。在步骤4中，服务提供者的F-SSO系统308验证安全令牌的加密签名，以确认来源的令牌的鉴权以及安全令牌的内容是值得信任的。服务提供者的F-SSO系统还可以从安全令牌提取用户的身份和相关的属性，并产生包括用户的身份和属性的F-SSO属性cookie。\n[0044] 在获得单登录(即，从身份提供者的F-SSO系统向服务提供者的F-SSO系统传递用户属性)之后，如果用户想访问服务提供者306托管的目标应用(例如310)，用户应用\n304可以向目标应用(见步骤5)传递从服务提供者的F-SSO系统308获得的F-SSO属性cookie。在替换中，属性可以被存储在代理中以及作为通过代理传递的用户的请求被传递，所以不需要cookie。在这个示范实施方式中，传输用户属性(例如，在F-SSO cookie中)以值得信任和安全的方式被完成，并且可基于F-SSO规定的协议(典型地HTTP)被执行。如果包含在F-SSO属性cookie中的数据被接受并且被目标应用理解(例如，如果目标应用可解密并取回cookie的内容)，则目标应用(例如e10)验证它并为用户创建会话。在一些实施方式中，目标应用(例如310)理解F-SSO属性cookie，或者它们可以是F-SSO过程的一部分(即目标应用可以不包括F-SSO系统)。\n[0045] 如所示，每个目标应用可以位于不同的web环境中，带有不同的鉴权机制和不同的要求。根据下面将要说明的技术，目标应用位于基于云的操作环境内。云计算是用最少的管理工作或与服务提供者交互，使得能方便、按需地网络接入到可以被迅速提供和释放的可配置计算资源(例如，网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池的服务传递的模型。这个云模型可以包括至少5个特征、至少3个服务模型以及至少4个部署模型，在Peter Mell和Tim Grance在2009年10月7日的“Draft NIST Working Definition of Cloud Computing”中更具体地说明和定义所有内容。\n[0046] 具体地，下列是典型的特征：\n[0047] 按需自助服务：云消费者可以单方提供计算能力，比如服务器时间和网络存储，如需要自动地而不需要人与服务的提供者交互。\n[0048] 广泛的网络接入：能力在网络中可用并且通过促进被异类的瘦客户端平台或厚客户端平台(例如，移动电话、笔记本电脑和PDA)使用的标准机制接入。\n[0049] 资源池：提供者的计算资源被放在池中以使用多租户模型服务多个消费者，不同的物理和虚拟资源根据需求被动态地分配和再分配。有一种与位置无关的感觉，其中消费者通常不控制或不知道被提供的资源的确切位置，但是可以以较高的抽象水平指定位置(例如，国家、州或数据中心)。\n[0050] 快速弹性：能力可被快速地和弹性地提供，在一些情况下是自动地，快速扩展和快速释放以快速收缩。对于消费者，供应可用的能力通常像是无限的，并且可以在任何时间以任何数量购买。\n[0051] 测量的服务：通过以对服务类型(例如，存储、处理、带宽和激活的用户账户)适当的某个抽象水平运用计量能力，云系统自动地控制和优化资源使用。资源使用可以被监测、控制和报告，为提供者和使用服务的消费者提供透明度。\n[0052] 服务模型典型地如下：\n[0053] 软件即服务(SaaS)：向消费者提供的能力是使用运行在云基础设施上的提供者的应用。从多种客户端设备通过瘦客户端接口比如web浏览器(例如，基于web的电子邮件)可访问应用。消费者不管理或控制基础的云基础设施，包括网络、服务器、操作系统、存储或甚至各个应用能力，可能的例外是有限的用户专用应用配置设置。\n[0054] 平台即服务(PaaS)：向消费者提供的能力是将使用编程语言和提供者支持的工具创建的消费者创建的或获得的应用部署到云基础设施上。消费者不管理或控制基础的云基础设施，包括网络、服务器、操作系统或存储，但是控制部署的应用以及可能托管环境配置的应用。\n[0055] 基础设施即服务(IaaS)：向消费者提供的能力是提供处理、存储、网络和其他基本的计算资源，其中消费者能部署和运行任意的软件，其可包括操作系统和应用。消费者不管理或控制基础的云基础设施，但是控制操作系统、存储、部署的应用以及可能有限的控制选择联网组件(例如，主防火墙)。\n[0056] 部署模型典型地如下：\n[0057] 私有云：云基础设施仅用于组织。它可能仅被组织或第三方管理并且可以以户内(on-premises)或户外(off-premises)方式存在。\n[0058] 社区云：云基础设施被几个组织共享并支持具有共享的关注的特定社区(例如，任务、安全要求、策略和依从考虑)。它可以被组织或第三方管理并且可以以户内或者户外方式存在。\n[0059] 公有云：云基础设施对一般公众或大的行业组可用并且被出售云服务的组织拥有。\n[0060] 混合云：云基础设施可以是两个或更多(私有、社区或公有)云的混合保持唯一实体，但是通过支持数据和应用便携的标准化或专利技术而被绑定在一起(例如，用于云间的负载平衡的云突发)。\n[0061] 云计算环境是面向服务的重点在无界、低耦合、模块性和语义互用性。云计算的核心是包括互连节点的网络的基础设施。代表性的云计算节点如以上图2所示。特别地，在云计算节点中，存在计算机系统/服务器，其可与许多其他通用或专用计算系统环境或配置一起工作。可能适于计算机系统/服务器一起使用的众所周知的计算系统、环境和或配置的示例包括，但不限于，个人计算机系统、服务器计算机系统、瘦客户端、厚客户端、手持或便携设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子、网络PC、迷你计算机系统、大型计算机系统、以及包括以上系统或设备中任一的分布式云计算环境等等。\n计算机系统/服务器在一般背景中可以被说明为计算机系统可执行指令，比如被计算机系统执行的程序模块。通常，程序模块可包括执行具体任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等等。计算机系统/服务器可以实现在分布式云计算环境中，其中任务被通过通信网络链接的远程处理设备执行。在分布式云计算环境中，程序模块可位于包括存储器存储设备的本地和远程计算机系统存储介质中。\n[0062] 现在参见图4，通过附加的背景，示出了云计算环境提供的一组功能抽象层。应先理解，图4中所示组件、层和功能仅是要示意并且本发明的实施方式不限于此。如所述，提供下列层和对应的功能：\n[0063] 硬件和软件层400包括硬件和软件组件。硬件组件的示例包括主机、在一个示例中IBM zSeries 系统；基于RISC(简化指令集计算机)架构的服务器，在一个示例中IBM pSeries 系统；IBMxSeries 系统；IBM BladeCenter 系统；存储设备；网络和联网组件。软件组件的示例包括网络应用服务器软件，在一个示例中IBMWebSphere 应用服务器软件；以及数据库软件，在一个示例中IBMDB2 数据库软件(IBM，zSeries，pSeries，xSeries，BladeCenter，WebSphere和DB2是IBM公司在世界很多辖区注册的商标)。\n[0064] 虚拟化层402提供抽象层，可从其提供虚拟实体的下列示例：虚拟服务器；虚拟存储；虚拟网络，包括虚拟专网；虚拟应用和操作系统；以及虚拟客户端。\n[0065] 在一个示例中，管理层404可以提供下述功能。资源供应提供用于在云计算环境中执行任务的计算资源和其他资源的动态采购。计量和定价当在云计算环境中使用资源时提供成本跟踪，以及记账或计价用于这些资源的消耗。在一个示例中，这些资源可包括应用软件许可。安全提供对于云消费者和任务的身份验证，以及保护数据和其他资源。用户门户为消费者和系统管理员提供访问云计算环境。服务级别管理提供云计算资源分配和管理，使得满足所需的服务级别。服务水平协议(SLA)规划和完成提供云计算资源的预布置和采购，为其根据SLA预测未来需求。\n[0066] 工作负载层406提供可利用云计算环境的功能性的示例。可从这一层提供的工作负载和功能的示例包括：绘制地图和导航；软件开发和生命周期管理；虚拟教室教育传递；\n数据分析处理；交易处理；以及根据本公开的教程，跨协议的联合单登录。\n[0067] 应当预先理解，虽然这个公开包括对云计算的详细说明，此处所述的教程的实现不限于云计算环境。而且，本发明的实施方式能结合现在已知或后来开发的任何其他类型的计算环境而实现。\n[0068] 因此，代表性的云计算环境具有一组高级功能组件，包括前端身份管理器、业务支持服务(BSS)功能组件、操作支持服务(OSS)功能组件以及计算云组件。身份管理器负责与请求的客户端接口以提供身份管理，并且这个组件可以用一个或多个已知系统(比如可从New York Armonk的IBM公司得到的Tivoli联合身份管理器(TFIM))实现。在适当条件下，TFIM可用于向其他云组件提供F-SSO。业务支持服务组件提供某些管理功能，比如记账支持。操作支持服务组件用于提供其他云组件的供应和管理，比如虚拟机(VM)实例。云组件表示主计算资源，其典型地是用于执行通过云可访问的目标应用410的多个虚拟机实例。一个或多个数据库用于存储目录、日志和其他工作数据。所有这些组件(包括前端身份管理器)位于云中，但这不是要求。在一个可替换实施方式中，身份管理器可以在云外部工作。\n[0069] 在这个公开的上下文中，假设对驻留在云中的“目标应用”的鉴权不是基于密码的而是需要一些其他鉴权方法(例如基于密钥的)。目标应用也可以使用除HTTP之外的传输协议。有很多需要在云环境中支持的文件传输和存储协议，但是不是很适合(或不使用)HTTP。这些包括，并不是限制，文件传输协议比如SSH、FTP等，以及存储协议比如CIFS、NFS等。因此，在这个公开的上下文中，假设使用这些文件或存储协议中的一个或多个访问目标应用，并且希望能在F-SSO云操作的背景中对目标应用鉴权用户。云的支配和管理典型地基于HTTP，虽然实际使用云服务也可以基于除了HTTP之外的一些协议。公开的技术因此可利用HTTP工具和用户体验以简化访问和使用非HTTP云服务，这将会被看到。\n[0070] 通过几个示例场景以现在所述的方式实现这个优点。\n[0071] 第一实施方式示出在图5中。在这个实施方式中，F-SSO(例如，使用SAML)用于将用户注册到云中，并且建立用于稍后的直接SSH接入(由用户)到作为虚拟机实例运行(在云实施方式中)的应用的SSH密钥，比如用于开发或测试应用的虚拟机映像。当然，SSH仅通过示例用在此示例中，以及参考虚拟机也是非限制的，因为也可以覆盖物理机。如图5所示，企业500(由线上方的组件表示)是云提供者502的“消费者”。在这个实施方式中，企业500提供联合的身份提供者(IdP)功能，以及为此，所述企业包括一个或多个系统比如联合身份管理者(例如，IBM TFIM)。身份管理者504在比如上述的硬件和软件上作为服务器运行，或者它可以实现在虚拟机中。身份管理者504包括使用F-SSO提供云注册功能的注册应用506。将看到，根据这里的教程增加该注册功能以提供(a)SSH密钥对(用在云中)的产生，以及(b)将来自该对的私钥包括在F-SSOSAML断言中。优选地，SSH密钥对的产生作为运行时操作而发生，即，同时注册应用将用户注册在云提供者的环境中。\n[0072] 为此，终端用户操作在用户机器510上运行的web浏览器508。在步骤1，终端用户做出注册请求，其被运行在身份管理器504上或与身份管理器504关联的注册应用506接收。在步骤2，注册应用向SSH密钥对产生设备512发出请求以产生SSH密钥对。如众所周知，SSH密钥对包括私钥以及根据与预定的数学关系与所述私钥有关的公钥。密钥对产生设备512产生密钥对，并且在步骤3，在本地存储所述密钥对。所述密钥对还被返回到注册应用506，其在步骤4，产生F-SSO断言。根据此处的教程，F-SSO断言是包括SSH公钥作为属性的SAML断言。SAML断言还包括将被云提供者502使用以管理用户在云环境中的动作的一个或多个其他属性、以及限制该用户访问所述提供者或所述提供者的资源的一个或多个SAML参数，比如“不在或以前”或者“不在或以后”。这样，可为用户提供在给定时间或为给定的工程等接入到云提供者资源。用户的私钥(来自产生的密钥对)优选地被返回用户的机器510以及可选地拷贝还被注册应用存储。\n[0073] 继续F-SSO操作，在步骤5然后用户的浏览器508重定向(例如，通过HTTP302等)到云提供者502。在云提供者502，云提供者502使用其F-SSO组件514确认SAML断言(如以上参考图3所述)。在步骤6，云提供者502在LDAP(或等效)目录516中创建关于用户的数据记录，以及在步骤6，在该目录中存储用户的公钥用于用户未来使用。在步骤\n7，F-SSO组件514然后向一个或多个部署的虚拟或物理机公布公钥用于鉴权，以完成这个公开的F-SSO过程。\n[0074] 因此，根据此处的教程，在这个实施方式中，作为总的基于SAML的F-SSO操作(或其他操作，比如密钥“再次产生”以及然后包括在未来的F-SSO中，其中新值以它初始添加到用户登记处相同的方式被更新)的一部分，终端用户的SSH密钥对在运行时产生。然后向云提供该密钥对的公钥作为SAML属性，都在F-SSO流自身中。这样，这里的技术利用常规的基于SAML的F-SSO，保证在用户实际使用目标应用之前提供所需的鉴权信息。通过在云提供者地点建立SSH密钥对(预先，以及通过F-SSO SAML处理流)，终端用户可以稍后执行简单的SSH鉴权和登录到请求的虚拟机(运行在云提供者的环境中)。这在图6中示出，其中在机器600的终端用户对SSH运行客户端侧SSH应用602(比如PuTTY)成为运行在云提供者的虚拟机环境606中的目标应用604。特别地，在步骤1，终端用户打开SSH应用并选择他或她的私钥(其是在密钥产生步骤期间创建的)。步骤2是SSH鉴权和登录到请求的虚拟机。在步骤3，用户被确认。如果确认成功，通过SSH协议为用户提供直接访问到目标应用。\n[0075] 因此，图5中的技术(其中鉴权数据被预产生并作为F-SSO SAML断言中的属性被传递)使得当终端用户经由SSH访问目标应用的时间到来时，稍后基于SSH的鉴权无缝地发生。以这种方式，所述技术实现“跨协议”F-SSO以实现访问基于云的资源。\n[0076] 图7示出了对图5的替换实施方式，其中注册和密钥对产生发生在云提供者702中而不是在消费者的环境700中。在这个示例中，用户F-SSO是到云提供者702并且具有所述云提供者产生的SSH密钥对，这样，私钥被用户而不是云提供者存储，但是云提供者仍然能存储和公布公钥(如图6所示)。在这个示例中，在步骤1，用户浏览器708发出注册到云提供者的请求，该请求是通过F-SSO组件707进行。在步骤2，消费者的环境中的F-SSO组件707将用户的浏览器重定向到运行在云提供者中的F-SSO组件714。在步骤3，F-SSO组件714执行注册以确认用户并建立会话。这个功能由注册应用(未示出)实现。在步骤\n4，F-SSO组件714然后向浏览器发出重定向，其使浏览器从密钥对产生设备712(其也运行在云中)请求密钥对。密钥对产生设备产生SSH密钥对，存储公钥，以及在步骤6，向用户的浏览器返回私钥以完成所述过程。因此，与图6实施方式相比，密钥产生发生在云提供者中，虽然仍然在F-SSO操作流自身中。\n[0077] 一些协议，比如CIFS，不支持密钥对，但是，却需要用户名和密码(U/P)用于鉴权。\n在这种情况下，根据此处所述的技术，SAML断言可包括U/P，或者它可仅包括用户名，以及在任一情况下，云提供者则向用户提供简单交互以建立云侧密码用于后续接入到服务。特别地，假设云提供者具有目录服务，比如LDAP、激活目录等。在注册时，用户具有在云提供者目录创建的账户，并且该账户被标为“本地鉴权”用户。所述用户的云侧密码将被这个目录管理。对于在云提供者侧收集U/P并且然后针对消费者LDAP验证的协议，F-SSO功能用于建立用户作为“善意”用户，可选地帮助收集用于用户的密码，以及然后在消费者侧完成U/P确认(例如，带有安全消息交换协议比如WS-Trust使用F-SSO)。\n[0078] 图8示出代表性的CIFS实施方式。在这个实施方式中，云提供者800包括一组共用管理平台组件。这些组件包括身份管理器802的一个或多个实例、云BSS功能804以及云OSS功能806，所有在以上结合图4被说明。计算云808包括提供计算基础设施的虚拟机实例，以及在这个示例中(使用CIFS)，目标应用使用存储810。在这个示例中，所述一组共用管理平台组件还包括pam_ldap模块807，其为Linux或Solaris服务器和工作站提供对LDAP目录鉴权的方法，目录集成模块(TDI)809转换和同步驻留在各种目录、数据库、文件、协作系统和应用、LDAP目录服务812，以及安全令牌服务(未示出)中的身份数据。安全令牌服务使用Web服务信任(WS-Trust)的安全消息机制以定义用于发布、交换和确认安全令牌的附加扩展。WS-Trust是通过定义请求/响应协议使安全令牌能互操作的OASIS标准。\nWS-Trust协议允许web服务客户端请求特定安全令牌为另一个而交换的一些受信的权威。\n为此，WS-Trust客户端811形成共用管理的一部分和对消费者的LDAP 814的接口(通过消费者侧WS-Trust客户端)，如图所示。消费者的外部数据在数据库820中被支持。共用管理平台还包括数据仓库805、日志数据库817以及共享LDAP 815。经由web浏览器801或经由“富”客户端，即，支持直接访问客户端比如CIFS(等)的机器，提供客户端访问。如所示，通常，身份管理器组件802经由安全HTTP接口到云计算基础设施，而通常富客户端经由CIFS接口到存储810。不管协议间的这个“空隙”，主题公开使用F-SSO使这些协议能一起工作以实现对云提供者的用户鉴权，如现在所述。\n[0079] 对于将由云提供者800管理U/P的那些用户，它们的F-SSOSAML断言可以包括所述U/P，或者它可以仅包括用户名；在任一情况下，云提供者为用户提供简单交互以建立用于接入云服务的云侧密码。用户则具有在云LDAP 812创建的账户，并且该账户标记为“本地鉴权”用户，并且用户的密码也由LDAP管理。当用户试图访问存储810，pam ldap模块\n807拦截U/P并试图确认它们。在这个方法中，代理(比如TDI 809)是这个U/P确认请求的接收方。如果这是本地用户，所述代理将首先建立(以及因此本地地鉴权)；如果是这样，所述代理试图对本地LDAP 812确认U/P。但是，如果用户不是“本地”用户，所述代理产生WS-Trust请求并且使用WS-Trust客户端811，请求确认来自用户的身份提供者(消费者LDAP 814)的用户的密码。在这个方法中，不需要云提供者管理用户的密码，但是仍然可能为不希望建立全面代理解决方案的那些消费者做这个。在以上示例中，使用WS-Trust仅是说明性的。\n[0080] 在以上说明和图示的两个示例中(SSH和CIFS)，用户使用基于HTTP的F-SSO协议(比如SAML)原来“注册”到云提供者，同时仍然保持用户以无缝方式使用非基于HTTP的文件和存储协议的能力。这个方法具有F-SSO协议的所有优点，包括生命周期管理。作为用户的初始注册的一部分，可以为云提供者提供关于用户的属性，比如他或她涉及哪些工程，他或她被授权访问多长时间(例如，6个月，到工程B被取消为止，等)等。这个方法使云提供者能基于云消费者建立的策略信息设置和管理访问控制实施点。在这个场景中，云提供者提供管理门户(例如，安全外联网应用)，消费者通过其可注册和管理组和策略判断和实施所需的属性。例如，消费者可以创建组“测试产品B”，并为这个组分配有效时段(例如从“2010年1月1日到3月31日”)。因此，在这个组中的所有用户将能访问用于在这些日期之间测试产品B的一组图像，但是不是之前或之后。\n[0081] 为了适应在F-SSO提供者、合作者、分销者和终端用户之间任意复杂的业务关系集，包括每个组织中的管理边界，优选地，F-SSOLDAP系统812被结构化以反映这个复杂关系的本质。这使目录中每个单独的上下文作为关于特定组织单元的信息仓库。这个特定内容的信息包括，适当地，完整授权状态和每个用户的凭证，或指向保存该信息的外部身份提供者的信息，或其组合。\n[0082] 优选地，其中密钥用于鉴权，所有密钥的管理被用户的身份提供者操控。云提供者负责为有效性检查密钥。如果密钥已过期，或者如果云提供者具有任何原因以相信密钥可能不再有效，则提供者具有强制用户进入重建密钥的F-SSO请求的责任。这可以通过简单拒绝鉴权用户并给他/她告诉用户做F-SSO的错误消息而操控。一个更复杂的替换是通过包含触发F-SSO和密钥再验证的链接的电子邮件来自动通知用户。\n[0083] 这里所述的技术具有很多优点。首先，F-SSO协议流(比如SAML)提供完整的用户生命周期管理解决方案，因为用户总是从生命周期的观点被身份提供者完全管理，并且因为所有用户访问通过单个协议(HTTP)发生。这里所述的场景使得能够无缝地使用完全不同的协议(HTTP和SSH，HTTP和CIFS等等)以实现云鉴权(以及因此访问云资源)。在一些情况下，云提供者维护关于用户的充足的信息(例如，SSH密钥，或至少公钥)，使得云提供者不需要为了F-SSO总是将用户返回他的或她的身份提供者。\n[0084] 可以实现任何联合的生命周期管理技术。现在仅为了说明的目的，简要说明几个。\n[0085] 身份提供者可以使用WS-Provisioning流向云提供者实时发送信息，于是可以在云提供者处适当地禁止用户。这个生命周期管理功能可以用用户名的粒度完成，或者可以以用户的SSH密钥的粒度完成(并且，这样，变得类似于在云提供者处定期更新的证书撤消列表(CRL))。\n[0086] 作为另一生命周期管理变量，还可以实现类似CRL的方法通过使云提供者对身份提供者为新的CRL列表做出周期请求，或者通过具有身份提供者将对其(实时或接近实时)更新类似CRL“有效SSH密钥”列表的附加云服务。则云提供者(实时、接近实时或定期地)使用这个列表用于鉴权身份提供者的用户。\n[0087] 对于又一生命周期变量，如果有足够带宽，云提供者可向身份提供者执行WS-Trust呼叫以确认用户的SSH密钥，给身份提供者保证“实时”切断用户的能力。在这种情况下，身份提供者是拒绝用户的访问的负责方，因为它对SSH密钥的有效性具有绝对控制，如云提供者所理解的。\n[0088] 上述功能性可以实现为独立的方法，例如，由处理器运行的基于软件的功能，或者它可用作被管理的服务(包括作为经由SOAP/XML接口的web服务)。这里所述的具体的硬件和软件实现细节仅是说明性的，而不是要限制所述主题的范围。\n[0089] 更一般地，所公开的发明的上下文中的计算设备，每一个是包括硬件和软件的数据处理系统(比如图2中所示)，并且这些实体通过网络(比如互联网、内联网、外联网、专网或任何其他通信介质或链接)互相通信。所述数据处理系统上的应用提供对Web和其他已知的服务和协议的本地支持，包括但不限于，对HTTP、FTP、SMTP、SOAP、XML、WSDL、SAML、WS-Trust、UDDI和WSFL等的支持。有关SOAP、WSDL、UDDI和WSFL的信息从万维网联盟(W3C)可得，其负责开发和维护这些标准；有关HTTP、FTP、SMTP和XML的更多信息从互联网工程任务组(IETF)可得。假定熟悉这些已知的标准和协议。\n[0090] 这里所述的方案可以被实现为或结合多种服务器侧架构而不是基于云的基础设施。这些包括但不限于，简单的n层架构、web门户、联合系统等。\n[0091] 如以上示例所示，一个或多个F-SSO功能可以驻留在云内或在云之外。\n[0092] 仍是更一般地，这里所述的主题可采用完全硬件的实施方式、完全软件的实施方式或包含硬件的软件元件的实施方式。在一个优选实施方式中，分层注销功能实现在软件中，其包括但不限于固件、常驻软件、微代码等。数据(例如，SSH密钥、CIFS U/P等)可以配置在数据结构(例如，数组、链接列表等)中并且存储在数据存储(比如计算机存储器)中。而且，如上所述，这里所述的增强的F-SSO功能性可采用从提供由计算机或任何指令执行系统、或结合计算机或任何指令执行系统使用的程序代码的计算机可用或计算机可读介质可得的计算机程序产品的形式。为了说明的目的，计算机可用或计算机可读介质可以是任何装置可包含或存储由指令执行系统、装置或设备或者结合指令执行系统、装置或设备使用的程序。所述介质可以是电的、磁的、光的、电磁的、红外的或半导体系统(或装置或设备)。计算机可读介质的示例包括半导体或固态存储器、磁带、可移除的计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前示例包括压缩盘-只读存储器(CD-ROM)、压缩盘-读写(CD-R/W)和DVD。计算机可读介质是有形的物体。\n[0093] 计算机程序产品可以是具有程序指令(或程序代码)以实现一个或多个上述功能的产品。在通过网络从远程数据处理系统被下载之后，这些指令和代码可以存储在数据处理系统中的计算机可读存储介质中。或者，那些指令或代码可以被存储在服务器数据处理系统中的计算机可读存储介质中，并且被适配通过网络下载到远程数据处理系统，用于在远程系统中的计算机可读存储介质中使用。\n[0094] 在一个代表性实施方式中，增强的F-SSO组件实现在专用计算机中，优选地在由一个或多个处理器执行的软件中。相关的配置(安全级别、状态、定时器)被存储在相关的数据存储中。所述软件也保存在一个或多个数据存储、或与一个或多个处理器相关的存储器中，以及所述软件可以实现为一个或多个计算机程序。\n[0095] 增强的F-SSO功能可以实现为附件或对现有访问管理器或策略管理解决方案的扩展。\n[0096] 如上所述，虽然SAML已被说明为优选的断言格式，这不是限制，因为可以使用提供鉴权数据的其他技术(例如，属性证书)。\n[0097] 虽然以上说明了本发明的某些实施方式执行的特定顺序的操作，应理解这种顺序是示范性的，因为可替换实施方式可以以不同的顺序执行操作、组合某些操作、重叠某些操作等。规范中引用给定的实施方式表明所述实施方式可包括特定属性、结构或特征，但是每个实施方式可以不必包括特定属性、结构或特征。\n[0098] 最后，虽然已分别说明了所述系统的给定组件，本领域技术人员将理解所述功能中的一些可以组合或共享在给定指令、程序序列、代码部分等。\n[0099] 如这里所用的，“客户端侧”应用可以被广义理解为是指应用，与该应用相关联的页面，或者由客户端侧对应用的请求调用的一些其他资源或功能。这里所用的“浏览器”不是要指任何具体的浏览器(例如，Internet Explorer，Safari，FireFox等)，但是应广义地理解为是指可访问和显示可接入互联网的资源的任何客户端侧解释引擎。“富”客户端典型地指非基于HTTP的客户端侧应用，比如SSH或CFIS客户端。而且，虽然典型地客户端-服务器交互使用HTTP发生，但是这也不是限制。客户端服务器交互可以被格式化以符合简单对象访问协议(SOAP)以及在HTTP(通过公用互联网)、FTP上进行，或可以使用任何其他可靠的传输机制(比如IBM MQSeries 技术和CORBA，用于在企业内联网上传输)。这里所述的任何应用或功能性可以实现为本地代码，通过提供对另一应用的钩子，通过实现使用机制作为插件，通过链接到机制等等。