技術領域

本公開涉及聯邦環境(federated environment)中計算資源的管理，并且具體涉及用于使用發布訂閱模型的身份提供者發現服務(identity provider discovery service)的方法。

背景技術

聯邦環境是本領域公知的。聯邦是一組獨立實體(諸如企業、組織、機構等)，其協作以為用戶提供單點登陸(single-sign-on)、易用體驗。聯邦環境不同于典型的單點登陸環境在于兩個實體不需要具有直接的、預先建立的、定義對于用戶如何傳送和傳送什么信息的關系。在聯邦環境內，實體提供處理認證用戶，接受由其他實體呈現的認證斷言(例如，認證令牌)，以及提供將用戶的擔保身份轉換為本地實體內理解的身份的一些形式的轉換的服務。聯邦減輕了服務提供者的管理負擔。服務提供者(SP)可以依賴于其相對于聯邦整體的信任關系；服務提供者不需要管理認證信息，諸如用戶密碼信息，因為它可以依賴于由用戶的認證家域(authentication home domain)完成的認證，該認證家域是用戶在其認證的域。

特別地，聯邦實體可以擔當提供關于聯邦用戶的身份信息和屬性信息的用戶的家域。提供身份信息、身份或認證斷言、或身份服務的聯邦計算環境中的實體稱為身份提供者(IdP)。同一聯邦內的其他實體或聯邦伙伴可以依賴于用于用戶的認證證書的主要管理(例如，接受由用戶的身份提供者提供的單點登陸令牌)的身份提供者。身份提供者是特定類型的服務，其提供作為服務的身份信息給聯邦計算環境中的其他實體。

聯邦單點登陸(F-SSO)允許用戶裕服務提供者(SP)直接交互，并且為了在認證的環境下接收身份信息的目的，利用SP和IdP之間的安全信任關系。

用于身份提供者發現的典型模型是與終端用戶直接交互的服務。該方法在多種場景中是有用的，例如，允許終端用戶從可用身份提供者的列表選擇，或者便于屬性同意。已知的發現服務實施方式典型地以獨立方式操作，或者通過直接嵌入服務提供者。在高等級，一個典型的發現模型工作如下。終端用戶訪問應用(SP)，然后手動地選擇身份提供者。服務提供者然后將終端用戶重新定向到選擇的身份提供者。終端用戶對身份提供者認證，身份提供者(在認證之后)然后將終端用戶重新定向(典型地通過基于HTTP重定向)回應用。IdP還為SP提供身份斷言，諸如安全斷言標記語言(SAML)斷言或令牌，其提供聯邦用戶已經認證的證明。然后在聯邦用戶和SP之間建立終端用戶會話以完成該處理。

另一典型的發現方法是SP將用戶重新定向到另一服務，其然后與用戶交互以選擇IdP。該服務然后將用戶重新定向到IdP用于認證，然后用戶重新定向回SP。

在一些場景中，單個身份提供者可以在地理上分布的實例上實施。在此情況下，試圖訪問SP的用戶需要定向到最近或者最恰當的IdP實例。該操作可以由身份提供者實例發現服務提供，如在共同擁有的美國專利號12/959,413中描述的。IdP實例發現服務提供一組身份提供者實例的特定身份提供者實例的自動發現以及綁定。在該方法中，特定身份提供者的選擇可以基于一個或多個標準，諸如用戶相近性(網絡或地理)、IdP實例負載或可用性、IdP實例能力、與特定實例相關聯的性能度量、現有IdP綁定或一些組合。

盡管IdP實例發現服務允許服務提供者動態地檢索適當的IdP實例的位置，用于F-SSO協議的完成，設計這樣的技術以在F-SSO環境外部操作，并且它們依賴于“基于拉動的(pull-based)”方法以根據需要獲得IdP實例信息。

發明內容

本發明描述了一種增強的身份提供者實例發現服務(IdPIDS)。在該方法中，發現服務代理優選地集成在F-SSO環境(其可以是基于云的)內，并且用于與外部IdP實例發現服務交互。發現服務代理將IdP實例請求代理到發現服務，并且接收對于這種請求的響應。響應典型地包括已經由發現服務分配來處理該請求的實例的身份。代理保持其中存儲實例分配的高速緩存。隨著在代理接收新的實例請求，代理可以使用高速緩存的分配數據以提供適當的響應，替代將這些請求代理到發現服務，從而減少識別請求的IdP實例所需的時間。代理通過訂閱來自發現服務的更新動態地保持和管理其本地高速緩存，發現服務更新在包括IdP服務的一組地理上分布的實例內出現的身份IdP實例改變(諸如服務器為了維護而離線，添加新的服務等)。優選地，使用使得代理主動接收關于后端IdP服務中改變的通知的發布-訂閱(pub-sub)模型，將更新提供給代理。