本发明专利技术提供一种云平台访问控制架构及其实现方法。涉及在云平台环境下,通过对云平台采用分层架构进行设计,实现访问控制。本发明专利技术的方法具体可以包括:通过分层的方法,将应用软件组件的访问控制从基础平台层分担到租户层,由上层租户管理下层子租户的访问控制权限,基础平台层只管理顶层租户,减小了平台层对租户访问控制的管理复杂度,提高云平台访问控制的自我管理能力,提高了系统的易用性和可维护性;实现租户的组件转租能力;通过域名与租户映射,实现多品牌多租户访问功能;扩展性强、通用性强。
【技术实现步骤摘要】
一种云平台访问控制架构及其实现方法
本专利技术属于信息
,尤其涉及在云平台环境下,通过对云平台采用分层架构进行设计,实现访问控制。
技术介绍
在云平台环境下,存在SaaS(Softwareasaservice,软件即服务)这种应用软件组件模式,该模式通过将应用软件组件统一部署在服务器上,租户根据自己的需求,向服务商订购所需的应用软件组件,并按照租赁时间或具体订购的应用软件组件支付相应费用。这种应用模式是一种多租户的系统架构,平台的每一款应用软件组件都支持多个租户同时使用,租户之间在使用过程中互不影响,感觉像是自己独享该应用软件组件一样。这种模式下需要严格的访问控制,从而保证租户之间以及租户下的用户之间的数据隔离和应用、配置隔离,提高数据的安全性、一致性和完整性。传统的访问控制RBAC(Role-BasedAccessControl,基于角色的访问控制)普遍用于解决大型企业内部的统一组件访问,基本原理是定义角色,并制定该角色具有访问一组或多组应用软件组件的权限,再将用户指派为该角色,通过权限-角色-用户的方式实现访问控制。然而,RBAC上没有租户的概念,不能适应云平台应用场景,缺乏角色自我管理能力,在大型云平台系统中,采用RBAC需要建立大量角色,降低了系统易用性和可维护性。现有技术针对云平台的特点,对传统RBAC上进行了改进,增加了租户的概念,以适应云平台要求,但在这种架构下,当租户过多或应用软件组件过多时,对访问控制的管理仍然是一个庞大的工作,并且,这种架构下,由于租户只能定义自身的用户,租户之间完全隔离,导致无法实现租户组件或应用的转租,另一方面,不同的用户使用云平台时,需要首先访问云平台的公用登录界面,再通过登录时将租户与用户关联,进而转入租户的私有界面,不能从本质上支持多租户下多用户品牌的特点。因此,有必要提出一种新的应用平台访问控制架构,解决现有技术中不能在同一个平台上同时兼容多级租户多品牌服务,以及应用软件组件的访问控制权限不能转租的问题。
技术实现思路
有鉴于此,本专利技术提供了一种云平台访问控制架构及其实现方法,以解决现有技术中存解决现有技术中不能在同一个平台上同时兼容多级租户,以及应用软件组件的访问控制权限不能转租的问题。为解决上述技术问题,本专利技术的技术方案是这样实现的:第一专利技术,本专利技术提供一种云平台访问控制架构,包括:基础平台层,位于访问控制架构的顶层,用于为顶层租户层中的顶层租户提供可使用的应用软件组件,并直接管理每一个顶层租户的访问控制权限;顶层租户层,位于基础平台层之下,用于为每一个顶层租户创建子租户,实现对顶层租户所使用的应用软件组件的转租;并直接管理每个顶层租户的下一层子租户的访问控制权限。进一步的,所述云平台访问控制架构还包括:下层租户层,所述下层租户层由所述顶层租户的子租户构成或由每一层子租户的更下一层子租户构成。进一步的,所述基础平台层包括平台层管理员,用于对所述顶层租户所请求使用的应用软件组件进行审核和管理;并为每个审核通过的顶层租户创建顶层租户管理员。具体的,所述顶层租户管理员,用于创建本租户的用户角色,并在创建用户时分配用户角色,根据用户角色对用户请求使用的应用软件组件进行访问控制。以及所述顶层租户管理员,还用于对下层子租户所请求转租的应用软件组件进行审核和管理,并为每个审核通过的子租户创建下层租户管理员。具体的,顶层租户和各子租户在云平台内通过唯一的租户ID进行识别,且每个租户对用户提供唯一的域名访问地址,所述域名访问地址的IP地址都映射到云平台的实际IP地址上。第二专利技术,提供一种云平台访问控制架构的实现方法,包括:步骤1,创建提供应用软件组件的基础平台层;步骤2,顶层租户向基础平台层发起使用应用软件组件的注册申请;基础平台层接收所述注册申请并审核通过后,直接管理顶层租户的访问控制权限;步骤3,顶层租户接收下层子租户的注册申请并审核通过后,实现对本顶层租户所使用的应用软件组件的转租;并直接管理下层子租户的访问控制权限。进一步的,在步骤2中,平台层管理员审核顶层租户发起的注册申请,在审核通过后对顶层租户所申请的应用软件组件进行授权,并为顶层租户创建顶层租户管理员,直接管理顶层租户的访问控制权限;在步骤3中,顶层租户接收下层子租户的注册申请并审核通过后,对发出注册申请的下层子租户所申请的应用软件组件进行授权,并为所述下层租户创建下层租户管理员,直接管理顶层租户的访问控制权限。进一步的,所述方法还包括步骤4,子租户接收更下一层子租户的注册申请并审核通过后,对发出注册申请的更下一层子租户所申请使用的应用软件组件进行授权,创建更下一层租户管理员;并直接管理更下一层子租户的访问控制权限。具体的,所述步骤1和/或步骤2和/或步骤3和/或步骤4,具体还包括:创建角色访问控制步骤:注册申请审核通过后,租户管理员直接拥有所申请使用的应用软件组件的管理权限,租户管理员根据实际需求定义多个角色,每个角色拥有相应的功能和数据的访问权限;创建用户访问控制步骤:由租户管理员直接为所属租户创建用户,并对创建的用户进行角色分配;实现访问控制步骤:用户访问租户唯一的域名到云平台登录界面,输入帐号和密码后,云平台根据该用户所访问的租户域名和ID,从数据库中获取该租户的信息,进行身份验证通过后允许登录;系统将获取该用户角色信息,根据角色权限为用户指定应用软件组件的访问权限。综上所述,本专利技术本专利技术的有益效果包括:通过分层的方法,将应用软件组件的访问控制从平台层分担到租户层,由上层租户管理下层子租户的访问控制权限,平台层只管理顶层租户,减小了平台层对租户访问控制的管理复杂度,提高云平台访问控制的自我管理能力,提高了系统的易用性和可维护性;实现租户的组件转租能力;通过域名与租户映射,实现多品牌多租户访问功能;扩展性强、通用性强。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例的云平台访问控制架构的结构框图;图2为本专利技术实施例的云平台访问控制架构的访问控制模型图;图3为本专利技术实施例的云平台访问控制架构的实现方法流程图;图4为本专利技术实施例的云平台中用户的访问控制流程图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参见图1,为本专利技术本专利技术实施例的云平台访问控制架构的结构框图,包括:基础平台层101,位于访问控制架构的顶层,用于为顶层租户层中的顶层租户提供可使用的应用软件组件,并直接管理每一个顶层租户的访问控制权限。该基础平台层不能对租户的应用软件组件的使用情况进行管理,只拥有系统所有应用软件组件的管理权,不拥有应用软件组件的使用权。顶层租户层102,位于基础平台层之下,用于为每一个顶层租户创建子租户,实现对顶层租户所使用的应用软件组件的转租;并直接管理每个顶本文档来自技高网...
【技术保护点】
一种云平台访问控制架构,其特征在于,包括:基础平台层,位于访问控制架构的顶层,用于为顶层租户层中的顶层租户提供可使用的应用软件组件,并直接管理每一个顶层租户的访问控制权限;顶层租户层,位于基础平台层之下,用于为每一个顶层租户创建子租户,实现对顶层租户所使用的应用软件组件的转租;并直接管理每个顶层租户的下一层子租户的访问控制权限。
【技术特征摘要】
1.一种云平台访问控制架构的实现装置,其特征在于,包括:基础平台层模块,是位于访问控制架构的顶层模块,用于为顶层租户层模块中的顶层租户提供可使用的应用软件组件,并直接管理每一个顶层租户的访问控制权限;顶层租户层模块,是位于基础平台层模块之下的模块,用于为每一个顶层租户创建子租户,实现对顶层租户所使用的应用软件组件的转租;并直接管理每个顶层租户的下一层子租户的访问控制权限;所述顶层租户和各子租户在云平台内通过唯一的租户ID进行识别,且每个租户对用户提供唯一的域名访问地址,所述域名访问地址的IP地址都映射到云平台的实际IP地址上。2.根据权利要求1所述的装置,其特征在于,还包括:下层租户层模块,所述下层租户层模块由所述顶层租户的子租户构成或由每一层子租户的更下一层子租户构成。3.根据权利要求1或2所述的装置,其特征在于,所述基础平台层模块包括平台层管理员模块,用于对所述顶层租户所请求使用的应用软件组件进行审核和管理;并为每个审核通过的顶层租户创建顶层租户管理员。4.根据权利要求3所述的装置,其特征在于,所述顶层租户管理员,用于创建本租户的用户角色,并在创建用户时分配用户角色,根据用户角色对用户请求使用的应用软件组件进行访问控制。5.根据权利要求4所述的装置,其特征在于,所述顶层租户管理员,还用于对下层子租户所请求转租的应用软件组件进行审核和管理,并为每个审核通过的子租户创建下层租户管理员。6.一种云平台访问控制架构的实现方法,其特征在于,包括:步骤1,创建提供应用软件组件的基础平台层;步骤2,顶层租户向基础平台层发起使用应用软件组件的注册申请;基础平台层接收所述注册申请并审核通过后,直接管理顶层租户的访问控制权限;步骤3,顶层租户接收下层子租户的注册申请并审核通过后,实现对本顶层租户所使用的...
【专利技术属性】
技术研发人员:肖志辉,
申请(专利权)人:北京迈普华兴信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。