[发明专利]一种云环境管理平台的访问控制装置

说明书

技术领域

本发明涉及云计算技术领域，具体地说，涉及一种云环境管理平台的访问控 制装置。

背景技术

云计算是网络计算的一种新兴形态。在互联网技术告诉发展的今天，IT设 施资源和信息资源高速增长。而如何有效地利用这些资源，成为互联网持续健康 发展所必须解决的问题。

云计算实现了IT设施资源和信息资源的聚合与分享，不仅能够有效提高资 源利用率，还能够有效推动信息产业绿色低碳运营，是互联网告诉发展的必然要 求。

云计算将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够 根据需要获取计算力、存储空间和各种软件服务。云计算的底层需要虚拟化技术 支持，通过虚拟化技术，云计算可以实现对资源的灵活以及高效的使用，从而为 用户提供优质的服务。

云计算平台的主要目标客户是大中型企业和政府机关，作为云计算平台的 真实用户，上述单位的工作人员通常是按照部门来管理的，并且各个单位及部门 之间具备上下级关系。单位内部的资源往往被一些部分共享，而另外一些资源则 可能被特定部门独占。

发明内容

为解决上述问题，本发明提供了一种云环境管理平台的访问控制装置，所述 装置包括至少两个用户层级，其中，第一用户层级包括超级用户组，所述超级用 户组为所述第二用户层级中用户组的父用户组，各个用户组均包含组角色，

其中，所述第二用户层级中用户组的组角色的权限继承自其父用户组的组角 色，且最大不超过其父用户组的组角色的权限。

根据本发明的一个实施例，所述第二用户层级包括普通用户组，所述普通用 户组不具有可分配权限。

根据本发明的一个实施例，所述第二用户层级还包括系统管理用户组、安全 管理用户组和审计管理用户组中的至少一个，其中，所述系统管理用户组、安全 管理用户组和审计管理用户组均为所述超级用户组的子用户组。

根据本发明的一个实施例，所述超级用户组的组角色具有云环境管理平台的 所有权限，所述系统管理用户组、安全管理用户组和审计管理用户组具有对应的 可分配权限。

根据本发明的一个实施例，所述装置还包括第三用户层级，所述第三用户层 级包括若干用户组，所述第三用户层级中用户组为所述第二用户层级中用户组的 子用户组，其中，所述第三用户层级中各个用户组有且仅有一个父用户组。

根据本发明的一个实施例，所述装置还包括第四用户层级，所述第四用户层 级包括若干用户组，所述第四用户层级中用户组为所述第三用户层级中用户组的 子用户组，其中，所述第四用户层级中各个用户组有且仅有一个父用户组。

根据本发明的一个实施例，当用户组被创建时，该用户组的组角色同步被创 建，当所述用户组被删除时，该用户组的组角色同步被删除。

根据本发明的一个实施例，部分或全部用户组还包括若干子角色，各个用户 组中的组角色为其所在用户组中各个子角色的父角色，各个子角色的权限继承自 其父角色，且最大不超过其父角色的权限。

根据本发明的一个实施例，所述各个用户组中的组角色具有对应的身份绑定 权限，子角色不具有身份绑定权限。

根据本发明的一个实施例，

所述组角色配置为能够在其所在用户组和其所在用户组的子用户组中添加、 编辑和删除子角色；且/或，

所述组角色配置为能够进行用户组管理，其中，用户组管理包括对所述组角 色所在用户组及其子用户组进行用户组的添加、删除和/或编辑。

根据本发明的一个实施例，如果非空用户组的子角色被删除，那么曾经拥有 该子角色的用户自动拥有所述非空用户组的组角色。

本发明所提供的云环境管理平台的访问控制装置所采用了层级访问控制的 方式，同一层级的各个用户组体现了机构中处于相同等级的部门之间的关系，各 个用户组与其子用户组体现了机构中部门与其下属部门之间的关系，同一用户组 的组角色与子角色体现了机构中同一部门中的上下层级关系，即领导角色与被 领导角色之间的关系，同一用户组中各子角色之间的关系体现了机构中同一部 门中各被领导角色之间的关系，这与大中型企业和政府机关的组织管理架构保 持一致，从而满足了大中型企业和政府机关内部资源共享和特定组织独占的需 求，大幅降低了客户单位在实施虚拟化基础设施时的用户管理和资源管理的难 度。