在云计算环境中提供对云服务的安全访问的方法和系统

摘要

本发明提供一种用于提供对云服务的安全访问的系统和方法。在一个实施例中，方法包括从租户（102）的租户设备（126A）接收访问托管在云计算系统（102）上的云服务的请求。该请求包括与租户（106）相关联的租户标识符和与云服务相关联的唯一标识符。所请求的云服务是经由通信地耦合到云计算系统（102）的第三方服务器（122）上托管的应用（124A）可访问的。方法包括基于租户标识符和与云服务相关联的唯一标识符来认证租户（106）以经由应用（124A）访问所请求的云服务。此外，方法包括生成票证，该票证指示租户（106）被授权访问应用（124A）。该票证包括与同所请求的云服务相关联的应用（124A）相关联的唯一标识符。而且，方法包括将票证传输到通信地耦合到云计算系统（102）的第三方服务器（122）。此外，方法包括响应于第三方服务器（122）对票证的成功验证，经由托管在第三方服务器（122）上的应用（124A）向租户（106）提供对云服务的访问。

说明书

本发明涉及云计算系统的领域并且更特别地涉及提供对托管在云计算系统上的云服务的安全访问。

随着云计算技术的出现，大量设备（也通常称为“资产”）经由因特网连接到云计算系统。设备可以位于连接到云计算系统的远程设施中。例如，设备可以是（一个或多个）工业机构（set-up）中的装备、传感器、致动器、机器人、机械。设备可以是医疗保健单元中的医学设备和装备。设备可以是住宅/商业机构中的家用设备或办公设备。

云计算系统可以使能远程配置、监视、控制和维护连接的设备。而且，云计算系统可以促进存储从设备定期收集的大量数据，分析大量数据，以及经由图形用户接口（例如，web浏览器）向操作者、现场工程师或设备的所有者提供洞察（例如，关键性能指标、异常值）和警报。洞察和警报可以使能控制和维护设备，导致设备的高效和故障自趋安全（fail-safe）操作。云计算系统还可以基于洞察和警报经由图形用户接口来使能修改与设备相关联的参数并发出控制命令。

云计算系统可以包括多个服务器或处理器（也称为“云基础设施”），这些服务器或处理器是地理分布的，它们经由网络彼此连接。专用平台（以下称为“云平台”）安装在服务器/处理器上，用于提供上述功能性作为服务（以下称为“云服务”）。云平台可以包括在云计算系统的一个或多个服务器或处理器上执行的多个软件程序，以使能将所请求的服务递送到设备及其用户（例如，租户（tenant））。

在现有技术中，存在用于认证访问云计算平台上的云服务的用户的已知解决方案。例如，在与本发明的技术背景有关的以下文件D1、D2和D3中描述了这种技术：

应当注意，在D1-D3中，仅在云环境处对用户进行认证，因为例如通过网关（在Dl中也称为“经纪人（broker）”）从云环境直接向用户提供云服务。关于用户（设备）认证，使用单独的服务器（D3）或单独的平台（D1）。在D1-D3中，不存在需要单独认证的第三方服务器，这是有问题的，如下面更详细地描述的。

然而，在云环境中，可能需要一个或多个应用向其租户递送云服务。在某些情况下，这些应用可以是专有的，并且可以托管在第三方服务器上。第三方服务器是不属于云计算系统的一部分并由第三方管理和维护的服务器。这些第三方服务器连接到云计算系统，用于使用部署在其中的应用将云服务递送给租户。当授权的租户用户请求云服务（例如，数据分析和可视化服务）时，将租户用户重定向到第三方服务器的登录页面，使得在提供对托管在第三方服务器上的应用的访问之前对租户进行认证。租户用户需要在登录页面中输入登录凭证。由此，第三方服务器基于登录凭证对租户用户进行认证。尽管通过云计算系统对租户用户进行了单独认证的事实，但仍需要执行此认证过程，从而引起租户用户在访问云服务中的不方便。

按照以上内容，存在如下需要：提供一种云计算系统，其可以经由托管在第三方服务器上的应用提供对云服务的容易且安全的访问。

因此，本发明的目的是提供一种方法和包括云计算系统的系统，用于经由托管在第三方服务器上的应用提供对云服务的安全且容易的访问。通过根据权利要求1的方法和通过根据权利要求10的系统解决该目的。在从属权利要求中列出了本发明的另外的有利实施例和改进。在下文中，在参考附图对本发明的实施例进行详细描述之前，列出了本发明的一些方面，这些方面对所要求保护的本发明的总体理解有贡献。

本发明的一个方面是一种经由托管在第三方服务器上的应用向云计算系统的租户提供对云服务的安全访问的方法。方法包括通过云计算系统从租户的租户设备接收访问云服务的请求。该请求包括与租户相关联的租户标识符和与所请求的云服务相关联的唯一标识符。所请求的云服务是经由通信地耦合到云计算系统的第三方服务器上托管的应用可访问的。例如，该应用可以是视觉分析应用并且云服务可以是数据分析和可视化服务。此外，方法包括基于租户标识符和与云服务相关联的标识符来认证租户以经由应用访问所请求的云服务。此外，方法包括生成票证（ticket），该票证指示租户被授权访问应用。该票证包括与同所请求的云服务相关联的应用相关联的唯一标识符。该票证是与第三方服务器兼容的格式。方法包括将票证传输到通信地耦合到云计算系统的第三方服务器。此外，方法包括响应于第三方服务器对票证的成功验证，经由托管在第三方服务器上的应用向租户提供对云服务的访问。提供对云服务的访问，而无需租户登录来通过第三方服务器访问应用。

在另外的方面中，方法可以包括基于租户标识符和与云服务相关联的标识符，确定租户是否被授权访问所请求的云服务。如果租户被授权访问所请求的云服务，则方法可以包括确定租户是否具有访问所请求的云服务的有效角色和有效许可。如果租户具有访问云服务的有效角色和有效许可，则方法可以包括生成访问令牌，以授权租户访问云服务。

在另一方面中，方法可以包括核实授权租户访问云服务的访问令牌，其中该访问令牌包括为租户授予的角色和许可，以及与该租户相关联的租户标识符。方法可以包括确定授权租户访问云服务的访问令牌是否被成功核实。方法可以包括如果成功地核实了访问令牌，则生成指示租户被授权访问与云服务相关联的应用的票证。

在又一方面中，方法可以包括使用与云服务相关联的唯一标识符，从多个应用确定可以传递所请求的云服务的应用。方法可以包括从连接到云计算系统的多个第三方服务器确定托管所确定的应用的第三方服务器。方法可以包括将票证传输到通信地耦合到云计算系统的所确定的第三方服务器。

在又一方面中，方法可以包括响应于票证的成功验证，从托管在第三方服务器上的应用接收数据的至少一个视觉表示。方法可以包括在租户设备的图形用户接口上呈现所接收的数据的视觉表示。

其中，根据又一个方面，方法可以包括从与所请求的云服务相关联的应用接收检索与在时序（time-series）数据库中存储的至少一个资产相关联的时序数据的请求。方法可以包括基于所接收的请求从时序数据库检索与至少一个资产相关联的时序数据。此外，方法可以包括将与至少一个资产相关联的检索到的时间服务数据提供给第三方服务器。此外，方法可以包括从与所请求的云服务相关联的应用接收所处理的时序数据的视觉表示。方法可以包括在租户设备的图形用户接口上呈现处理的时序数据的视觉表示。

在基于接收的请求检索与至少一个资产相关联的时序数据中，方法还可以包括，根据又一方面，访问适当的应用编程接口（API），该适当的应用编程接口被配置用于基于接收的请求检索与至少一个资产相关联的时序数据。方法可以包括：响应于访问相应的应用编程接口，从时序数据库检索与至少一个资产相关联的时序数据。

在向第三方服务器提供与至少一个资产相关联的检索到的时序数据中，方法还可以包括根据另一方面，使用至少一个分析算法分析与至少一个资产相关联的检索到的时序数据。然后，方法可以包括将分析的结果连同分析的时序数据发送到第三方服务器。

本发明的又一方面涉及一种云计算系统，该云计算系统包括一个或多个处理单元以及耦合至一个或多个处理单元的至少一个可访问存储器。至少一个可访问存储器包括以计算机可读指令的形式存储并且可由一个或多个处理单元执行的云计算平台。云计算平台能够执行上述方法步骤。

此外，本发明的方面涉及一种包括云计算系统的系统，用于提供对至少一个云服务的安全访问，如上所述的那样，至少一个第三方服务器，包括一个或多个应用并且通信地耦合至云计算系统，以及一个或多个租户设备，通信地去往云计算系统。一个或多个租户设备被配置为经由托管在第三方服务器上的一个或多个应用访问云服务。至少一个第三方服务器被配置为通过验证指示租户被授权访问应用之一的票证来重新认证租户。

本发明的另一方面涉及一种具有存储在其中的机器可读指令的计算机程序产品，机器可读指令在由至少一个处理单元执行时使处理单元执行上述方法。

现在将参考本发明的附图阐述本发明的上述和其他特征。所示的实施例旨在说明而非限制本发明。

参考附图中所示的说明实施例在下文中进一步描述本发明，在附图中：

图1是根据本发明的实施例的云计算环境的示意性表示；

图2是示出了根据本发明的实施例的经由托管在第三方服务器上的应用向云计算系统的租户提供对云服务的安全访问的方法的流程图；

图3是根据本发明的实施例的被配置为向第三方服务器提供资产的时序数据的云计算系统的部件的示意性表示；

图4示出了根据本发明的实施例的用于管理授权租户用户对云服务的访问的访问控制模块的框图；

图5是示出了根据本发明的实施例的向授权的租户用户提供对云服务的访问的示例性方法的流程图；

图6是显示资产的时序数据的视觉表示的图形用户接口的示意表示；以及

图7示出了根据本发明的实施例的云计算系统的框图。

参考附图描述了各种实施例，其中，相同的附图标记用于指代附图，其中，相同的附图标记始终用于指代相同的元件。在以下描述中，出于解释的目的，阐述了许多具体细节以便提供对一个或多个实施例的透彻理解。可以明白的是，可以在没有这些具体细节的情况下实践这样的实施例。

图1是根据本发明的实施例的云计算环境100的示意性表示。特别地，图1描绘了能够提供用于管理包括资产108A-N的工业工厂106的云服务的云计算系统102。云计算系统102经由网络104（例如，因特网）连接到工业工厂106中的资产108A-N。资产108A-N可以包括服务器、机器人、开关、自动化设备、电动机、阀门、泵、致动器、传感器和其他工业装备。尽管图1示出了连接到单个工业工厂106的云计算系统102，但是本领域的技术人员可以设想云计算系统102可以经由网络104连接到位于不同位置的若干工业工厂106。

云计算系统102还经由网络104连接到租户设备126A-N。租户设备126A-N可以访问云计算系统102以访问云服务（例如，可视化服务）。租户设备126A-N可以是膝上型计算机、台式计算机、平板计算机、智能电话以及诸如此类。租户设备126A-N可以访问云服务（诸如提供资产108A-N的数据分析和视觉分析）。

云计算系统102通信地连接到第三方服务器122，以经由托管在第三方服务器122上的专有应用将云服务传递给租户。应用124A-N可以是视觉分析应用，其向租户106提供存储在云计算系统102中的资产108A-N的时序数据的视觉表示。

云计算系统102可以是被配置为向其租户提供专用云服务的公共云、私有云或混合云。云计算系统102包括云接口110、硬件资源和OS 112以及云计算平台114。云接口110使能云计算系统102与工业工厂106之间的通信。此外，云接口110使能在云计算系统102和租户设备126A-N之间的通信。云接口110使能在云计算系统102和第三方服务器122或驻留在其中的应用124A-N之间的通信。

硬件资源和OS 112可以包括其上安装了操作系统（OS）的一个或多个服务器。服务器可以包括一个或多个处理单元、用于存储数据（例如，具有资产108A-N的时序数据的时序数据库118）和机器可读指令（例如，应用编程接口116）的一个或多个存储设备（例如，存储器单元）和提供云计算功能性所需的其他外围设备。

云计算平台114是如下平台：其使用硬件资源和OS 112使能诸如数据存储、数据分析、数据可视化、数据通信等之类的功能性，并且使用部署在其中的应用编程接口116和托管在第三方服务器122上的应用124A-N来传递前述云服务。云计算平台114可以包括构建在硬件和OS 112的顶部上的专用硬件和软件的组合。

根据本发明，云计算平台114包括数据管理器119，该数据管理器119经由应用编程接口116提供对存储在时序数据库118中的资产108A-N的时序数据的容易访问。数据访问管理器119以存储在云计算系统102上，可由处理器执行的机器可读指令的形式存储。云计算系统102包括访问控制模块120，该访问控制模块120被配置为当从租户用户接收到访问云服务的请求时，基于分配给该租户用户的角色和许可来认证租户用户以访问所请求的云服务。访问控制模块120被配置为生成用于提供对所请求的云服务的访问的访问令牌。访问令牌可以包括授予租户用户的角色和关联的许可、租户用户的租户标识符以及云服务的标识符。云计算系统102包括票证管理系统121，该票证管理系统121被配置为生成指示租户用户被授权访问所请求的云服务的票证。可以经由托管在第三方服务器122上的应用124A-N之一访问云服务。票证是与第三方服务器122兼容的格式。基于票证，第三方服务器122验证针对租户用户发出的票证并经由其中托管的应用执行请求的操作。因此，消除了登录到第三方服务器122以经由托管在第三方服务器122上的应用访问云服务的需要。例如，第三方服务器122访问时序数据和分析服务，以用于分析来自云计算系统102的时序数据，并将时序数据的视觉分析提供给租户用户。在下面的描述中更详细地解释了经由托管在第三方服务器122上的应用提供对云服务的安全且容易的访问而执行的步骤。

图2是示出了根据本发明的实施例的，经由托管在第三方服务器122上的应用124A-N向云计算系统102的租户106提供对云服务的安全访问的方法的流程图200。在步骤202处，租户设备126A发送访问托管在云计算系统102上的云服务的请求。该请求包括与租户106相关联的租户标识符以及与所请求的云服务相关联的唯一标识符。例如，云服务可以是数据分析和可视化服务。所请求的云服务是经由通信地耦合到云计算系统102的第三方服务器122上托管的视觉分析应用可访问的。

在步骤204处，云计算系统102基于租户标识符和与云服务相关联的标识符认证租户106以经由视觉分析应用访问所请求的云服务。在一些实施例中，访问控制模块120基于租户标识符和与云服务相关联的标识符确定租户106是否被授权访问所请求的云服务。如果租户106被授权访问所请求的云服务，则访问控制模块120确定租户106是否具有访问所请求的云服务的有效角色和有效许可。如果租户106具有访问云服务的有效角色和有效许可，则访问控制模块120生成授权租户106访问云服务的访问令牌。

在步骤206处，云计算系统102生成指示租户106被授权访问视觉分析应用的票证。在一些实施例中，票证管理模块121核实访问令牌，该访问令牌授权租户106访问云服务。访问令牌包括为租户106授予的角色和许可，以及与租户106相关联的租户标识符。然后，票证管理模块121确定授权租户106访问云服务的访问令牌是否被成功核实。如果访问令牌被成功核实，则票证管理模块121生成指示租户106被授权访问与云服务相关联的视觉分析应用的票证。票证以与第三方服务器122兼容的格式生成，使得票证使能在第三方服务器122处的租户106的自动认证。票证包括与视觉分析应用关联的唯一标识符。

在步骤208处，云计算系统102将票证传输到通信地耦合到云计算系统102的第三方服务器122。在一些实施例中，票证管理模块121使用与云服务相关联的唯一标识符从多个应用124A-N确定可以传递所请求的云服务的视觉分析应用124A。然后，票证管理模块121从连接到云计算系统102的多个第三方服务器确定托管所确定的视觉分析应用124A的第三方服务器122。因此，票证管理模块121将票证传输到所确定的第三方服务器122。

在步骤210处，第三方服务器122核实票证，该票证指示租户106被授权访问视觉分析应用。如果票证被成功核实，则在步骤212处，第三方服务器122向云计算系统102发送对与租户106相关联的资产108A（例如，电动机）的时序数据的请求。在步骤214处，云计算系统102基于接收到的请求从时序数据库118检索资产108A的时序数据。在一些实施例中，数据管理器119访问适当的应用编程接口（API）116，该应用编程接口（API）116被配置用于基于接收到的请求来检索资产108A的时序数据。数据管理器119经由相应的应用编程接口116从时序数据库118检索资产108A的时序数据。

在步骤216处，云计算系统102使用一个或多个分析算法来分析资产108A的所检索的时序数据。例如，一个或多个分析算法可以是大数据分析算法。在步骤218处，云计算系统102将分析的结果连同分析的时序数据发送给第三方服务器122。

在步骤220处，第三方服务器122基于分析的结果和所分析的时序数据来生成资产108A的时序数据的视觉表示。例如，第三方服务器122基于视觉分析算法来生成资产108A的分析的时序数据的视觉表示。在步骤222处，第三方服务器122将资产108A的分析的时序数据的视觉表示发送到云计算系统102。在步骤224处，云计算系统102在租户设备126A的图形用户接口上呈现资产108的分析的时序数据的视觉表示。时序数据的可视化提供对资产108A的性能/条件的更深的洞察。对资产108A的性能/条件的更深的洞察可以使操作员或现场工程师能够采取进一步的动作，以使资产108A和工业工厂106高效操作。以该方式，云计算系统102提供对第三方应用的安全访问而无需在第三方服务器122处手动重新认证租户（经由登录页面）来访问由第三方服务器122提供的第三方应用。

例如，租户用户210A可能想要检查工业工厂106中的电动机（例如，资产108A）的性能。在这种情况下，租户用户向云计算系统102请求具体时间段收集的电动机的性能数据。云计算系统102将执行所请求的操作的请求连同授权租户用户访问视觉分析应用124A的票证发送给第三方服务器122上托管的视觉分析应用124A。视觉分析应用124A验证票证，并且如果票证被成功验证，则从云计算系统102请求电动机的原始/聚合的性能数据及其分析。有利地，云计算系统102不将租户用户重定向到第三方服务器的登录页面，其中基于由租户用户输入到显示在租户设备126A上的登录页面中的登录凭证来重新认证租户用户。替代地，第三方服务器122基于由云计算系统102发布的票证来处理来自租户用户的请求，从而消除了由租户用户输入登录凭证以在第三方服务器122处进行认证的需要。因而，视觉分析应用124A基于从云计算系统102接收的分析生成电动机的性能数据的视觉表示。然后，视觉分析应用124A将包括电动机的性能数据的响应发送到云计算系统102。云计算系统102在租户设备126A上显示的web页面上呈现电动机的性能数据的视觉表示。本领域的技术人员可以理解，基于分配给租户用户的角色和相关联的许可，在活动会话期间，若干这样的操作可以经由托管在第三方服务器122上的应用124A-N通过云计算系统102请求并执行。

图3是根据本发明的实施例的被配置为向第三方服务器122提供资产108A-N的时序数据的云计算系统102的部件的示意性表示300。如图3中所示，云计算系统102使用户能够监视资产108A-N的性能/条件。云计算系统102采用数据访问管理器119、API 116和时序数据库118。API 116采用功能302A-N，其使数据管理器119能够访问来自时序数据库118的资产108A-N的时序数据。时序数据库118包括存储资产108A-N的原始和/或聚合的数据的数据模型304A-N。可以注意到，每个数据模型304A-N存储特定资产或工业工厂的时序数据。而且，每个功能302A-N被配置为访问时序数据库118中的一个或多个数据模型304A-N。

在示例性操作中，数据管理器119接收从时序数据库118检索资产108A的时序数据的请求。因此，数据管理器119基于接收的请求来生成API调用。API调用可以指示资产标识符、一个或多个方面信息、要检索时序数据的时间段等。数据管理器119将API调用转发到负责从时序数据库118检索时序数据的适当的API 116。

API 118基于接收的API调用来调用功能302A-N之一以检索资产108A的时序数据。例如，API 118确定与从API调用请求其时序数据的资产108A相关联的资产标识符。然后，API 118从存储在时序数据库118中的多个数据模型304A-N确定存储资产108A的所请求的时序数据的数据模型。最后，API 116确定被配置为访问确定的数据模型的功能302A-N之一。为了说明的目的，考虑数据模型304A存储资产108A的所请求的时序数据。从图3可以看出，功能302A和功能302B可以访问数据模型304A。在这样的情况下，API 116可以调用可用功能302A和302B中的任何功能。让我们考虑，API 116调用功能302A以访问数据模型304A。因此，基于API调用执行功能302A。结果，功能302A访问数据模型304A并检索资产108A的所请求的时序数据。所检索的时序数据可以是特定的数据类型，并且可以针对API调用中指定的时间段。API 116将资产108A的所检索的时序数据返回给数据管理器119。数据管理器119可以分析所检索的时序数据并以兼容格式向三方服务器122提供分析的结果和/或资产108A的所分析的时序数据。

图4示出了根据本发明的实施例的用于管理授权租户用户对云服务的访问的访问控制模块120的框图。访问控制模块120包括网关模块402、身份模块404、授权模块406和认证模块408。

网关模块402被配置为确定是否与租户用户的租户设备（例如，设备126A）建立了有效会话以访问云服务。有效会话指示租户用户已被认证。网关模块402被配置为确定与租户用户相关联的租户是否具有访问云服务的有效订阅。网关模块402被配置为如果会话是有效的并且订阅是有效的，则检索与会话相关联的访问令牌。

身份模块404被配置为确定分配给租户用户的角色和许可。身份模块404被配置为生成包括被分配给租户用户的角色和许可的响应。

授权模块406被配置为确定被分配给租户用户的角色和许可是否与为云服务定义的至少一个角色和相关联的许可匹配。换句话说，授权模块406基于分配给租户用户的角色和许可来确定租户用户是否被授权访问所请求的云服务。授权模块406被配置为如果租户用户被授权访问云服务，则生成访问令牌，该访问令牌包括租户用户的角色和许可以及与云服务相关联的标识符。

认证模块408被配置为基于用于访问云服务的租户用户的有效凭证来执行对租户用户的初始认证。例如，有效凭证可以是用户名和密码组合或两因素认证。

图5是示出了根据本发明的实施例的向授权的租户用户提供对云服务的访问的示例性方法的流程图500。考虑租户用户正试图从租户设备126A（例如，使用web浏览器）经由托管在第三方服务器122上的应用124A（例如，视觉分析应用）访问云服务（例如，数据分析和可视化服务）。例如，数据分析和可视化服务可以使能监视工业工厂106中的资产108A-N的性能（例如，电动机的条件监视）。在步骤502处，租户设备126A向云计算系统102发送提供对云服务的访问的请求。该请求包括租户用户210A的租户标识符和云服务的标识符。在步骤504处，网关模块404确定不存在与租户设备126A的有效会话，并将请求重定向回到租户设备126A。在步骤506处，租户设备126A将请求重定向到授权模块406。在步骤508处，授权模块406确定不存在与租户设备126A的有效会话，并将请求重定向回到租户设备126A。

在步骤510处，租户设备126A将请求重定向到身份模块404。在步骤512处，身份模块404确定不存在与租户设备126A的有效会话，并将请求重定向到租户设备126A。在步骤514处，租户设备126A将请求重定向到认证模块408。在步骤516处，认证模块408基于有效的登录凭证来认证租户用户，并将认证响应发送给租户设备126A。

在步骤518处，租户设备126A将认证响应从认证模块408转发到身份模块404。在步骤520处，身份模块404确定分配给租户用户来访问云服务的角色和许可，并向租户设备126A发送具有分配的角色和相关联的许可的响应。

在步骤522处，租户设备126A将具有分配给租户用户的角色和许可的响应发送到授权模块406。在步骤524处，授权模块406将租户设备126A重定向到应用回调（callback）端点。在步骤526处，租户设备126A向网关模块402发送对应用回调端点的请求。在步骤528处，网关模块402发送请求以向租户设备126A发布用于提供对云服务的访问的访问令牌。在步骤530处，授权模块406生成与租户设备126A的会话的访问令牌。访问令牌定义授予租户用户经由托管在第三方服务器122上的应用124A访问云服务的角色和许可。该角色和许可基于租户106分配给租户用户的角色和许可以及为云服务定义的角色和许可而被授予租户用户。

在步骤532处，授权模块406将访问令牌发送到网关模块402。此外，授权模块406存储该访问令牌，使得可以在当前会话期间将该访问令牌重新用于授权租户用户访问云服务。有利地，这将节省重新认证和重新授权租户用户以在正在进行的会话期间提供对云服务的访问的时间和努力。

在步骤534处，网关模块402将与租户用户相关联的访问令牌连同经由驻留在第三方服务器122上的应用126A访问云服务的请求一起发送到票证管理模块121。在步骤536处，票证管理模块121基于从网关模块402接收的访问令牌来生成票证，该票证指示租户用户被授权访问驻留在云服务上的应用124A。

图6是显示资产的时序数据的视觉表示的图形用户接口600的示意性表示。图形用户接口视图600显示与资产（例如，电动机）相关联的方面1和方面2的时序数据的视觉表示。视觉表示促进租户用户针对工业工厂106的高效和故障自趋安全操作来监视资产的性能并采取必要的行动。

图7示出了根据本发明的实施例的诸如图1中所示的那些之类的云计算系统102的框图。云计算系统102包括处理器702、至少一个可访问的存储器单元704、存储单元706、云接口110和接口708。存储器单元704包括数据管理器119、访问控制模块120和以机器可读指令的形式存储并且可由（一个或多个）处理器702执行的票证管理模块121。替代地，数据管理器119、访问控制模块120以及票证管理模块121可以采用硬件形式，诸如具有嵌入式软件的处理器。

（一个或多个）处理器702可以是能够处理来自租户106的请求的一个或多个处理单元（例如服务器）。（一个或多个）处理器702还能够执行存储在诸如存储器单元704之类的计算机可读存储介质上的机器可读指令，用于执行各种功能，诸如处理时序数据、分析时序数据、提供分析的时序数据的可视化、管理租户106和资产108A-N（认证、通信、升级等）以及诸如此类。存储器单元704包括以机器可读指令的形式存储并且可由处理器704执行的云计算平台114。云计算平台114包括数据管理器119、访问控制模块120和票证管理模块121。根据本发明，当由（一个或多个）处理器702执行时，云计算平台114使（一个或多个）处理器702能够基于来自租户设备126A的请求经由托管在第三方服务器122上的应用124A提供对云服务（例如，数据分析和可视化服务）的安全访问。有利地，（一个或多个）处理器702在没有在第三方服务器122的登录页面中提供登录凭证（例如，用户名和密码）的情况下提供对租户106的安全访问。（一个或多个）处理器702生成指示租户106被授权访问与驻留在第三方服务器122中的应用124A相关联的云服务的票证。因此，第三方服务器122验证票证，导致租户的自动认证，从而消除了对在第三方服务器122的登录页面中签到（sign-in）的需要。

存储单元706可以是易失性或非易失性存储装置。在优选实施例中，存储单元706被配置为存储时序数据库118。存储单元706还可以存储云应用、软件和固件、资产模型、以及IoT数据模型、工业工厂106和资产108A-N的数字孪生（twins）、可视化模板、大数据分析算法、应用编程接口以及诸如此类。

云接口110被配置为建立和维持与包括IoT边缘设备的资产108A-N的通信链接。而且，云接口110被配置为维持云计算平台114与租户设备126A-N之间的通信信道。云接口110还被配置为管理与第三方服务器122的通信。接口708充当云计算系统102的不同部件之间的互连装置。

本发明可以采取计算机程序产品的形式，计算机程序产品包括可从计算机可用或计算机可读介质访问的程序模块，该计算机可用或计算机可读介质存储由一个或多个计算机、处理器或指令执行系统使用或与其结合使用的程序代码。为了本描述的目的，计算机可用或计算机可读介质可以是如下任何装置，该装置可以包含、存储、传送、传播或传输程序以供指令执行系统、装置或设备使用或与其结合使用。介质可以本身是以及本身的电子的、磁的、光的、电磁的、红外的或半导体系统（或装置或设备）或者传播介质，因为未包括在物理计算机可读介质的定义中的信号载体包括半导体或固态存储器、磁带、可移动计算机盘、随机存取存储器（RAM）、只读存储器（ROM）、刚性磁盘和光盘，诸如光盘只读存储器（CD-ROM）、光盘读/写和DVD。如本领域技术人员已知的，用于实现技术的每个方面的处理器和程序代码两者可以是集中式的或分布式的（或其组合）。

虽然已经参考某些实施例详细描述了本发明，但是应当理解，本发明不限于那些实施例。鉴于本公开，在不脱离如本文所述的本发明的各种实施例的范围的情况下，许多修改和变型将向本领域技术人员呈现自身。因此，本发明的范围由以下权利要求书而不是由前述描述来指示。落入权利要求的等同物的含义和范围之内的所有改变、修改和变型均应视为在其范围之内。方法权利要求中要求保护的所有有利实施例也可以应用于系统/装置权利要求。

此外，本申请包括作为另外的实施例的以下方面（“AS”）。

AS1.一种经由托管在第三方服务器（122）上的应用（124A-N）向云计算系统（102）的租户（106）提供对云服务的安全访问的方法，包括：

由云计算系统（102）从租户（106）的租户设备（126A-N）接收访问在云计算系统（102）上托管的云服务的请求，其中，请求包括与租户（106）相关联的租户标识符和与所请求的云服务相关联的唯一标识符，其中所请求的云服务可经由通信地耦合到云计算系统（102）的第三方服务器（122）上托管的应用（124A）访问;

基于租户标识符和与云服务相关联的唯一标识符认证租户（106）以经由应用（124A）访问所请求的云服务；

生成指示租户（106）被授权访问应用（124A）的票证，其中票证包括与同所请求的云服务相关联的应用（124A）相关联的唯一标识符；

将票证传输到通信地耦合到云计算系统（102）的第三方服务器（122）；和

响应于第三方服务器（122）对票证的成功验证，经由托管在第三方服务器（122）上的应用（124A）向租户（106）提供对云服务的访问。

AS2.根据方面AS1所述的方法，其中，认证租户（106）以访问所请求的云服务包括：

基于租户标识符和与云服务相关联的唯一标识符确定租户（106）是否被授权访问所请求的云服务；

如果租户（106）被授权访问所请求的云服务，则确定租户（106）是否具有访问所请求的云服务的有效许可和有效角色；和

如果租户具有访问云服务的有效许可和有效角色，则生成授权租户访问云服务的访问令牌。

AS3.根据方面AS1或AS2所述的方法，其中生成指示租户（106）被授权访问应用（124A）的票证包括：

核实授权租户（106）访问云服务的访问令牌，其中，访问令牌包括为租户（106）授予的角色和许可，以及与租户（106）相关联的租户标识符；

确定授权租户（106）访问云服务的访问令牌是否被成功核实；和

如果访问令牌被成功核实，则生成指示授权租户（106）访问与云服务相关联的应用（124A）的票证。

AS4.根据方面AS1至AS3中的任一方面所述的方法，其中，票证是与第三方服务器（122）兼容的格式。

AS5.根据方面AS1到AS4中的任一方面所述的方法，其中将票证传输到通信地耦合到云计算系统（102）的第三方服务器（122）包括：

使用与云服务相关联的唯一标识符从多个应用（124A-N）确定可以传递所请求的云服务的应用（124A）；

从连接到云计算系统（102）的多个第三方服务器（122）确定托管所确定的应用（124A）的第三方服务器（122）；和

将票证传输到通信地耦合到云计算系统（102）的确定的第三方服务器（122）。

AS6.根据方面AS1到AS5中的任一方面所述的方法，其中经由托管在第三方服务器（122）上的应用（124A）向租户（106）提供对云服务的访问，包括：

响应于票证的成功验证，从托管在第三方服务器（122）上的应用（124A）接收数据的至少一个视觉表示；和

在租户设备（126A-N）的图形用户接口上呈现数据的接收的视觉表示。

AS7.根据方面AS6所述的方法，其中，从托管在第三方服务器（122）上的应用（124A）接收数据的至少一个视觉表示包括：

从与所请求的云服务相关联的应用（124A）接收检索与存储在时序数据库（118）中的至少一个资产（108A-N）相关联的时序数据的请求；

基于所接收的请求，从时序数据库（118）检索与至少一个资产（108A-N）相关联的时序数据；

将与至少一个资产（108A-N）相关联的所检索的时间服务数据提供给第三方服务器（122）；

从与所请求的云服务相关联的应用（124A）接收处理的时序数据的视觉表示；和

在租户设备（126A）的图形用户接口上呈现处理的时序数据的视觉表示。

AS8.根据方面AS7所述的方法，其中，基于所接收的请求，检索与至少一个资产（108A-N）相关联的时序数据包括：

访问适当的应用编程接口（API）（106），应用编程接口（API）（106）被配置用于基于所接收的请求来检索与至少一个资产（108A-N）相关联的时序数据；和

响应于访问相应的API（106），从时序数据库检索与至少一个资产（108A-N）相关联的时序数据。

AS9.根据方面AS7所述的方法，其中将与至少一个资产（108A-N）相关联的所检索的时序数据提供给第三方服务器（122A）包括：

使用至少一个分析算法分析与至少一个资产（108A-N）相关联的所检索的时序数据；和

将分析的结果连同分析的时序数据发送给第三方服务器（122）。

AS10.根据方面AS1至AS9中任一方面所述的方法，其中，经由托管在第三方服务器（122）上的应用（124A）提供对云服务的访问包括：

提供对应用（124A）的访问，而没有租户（106）登录以通过第三方服务器（122）访问应用（124A）。

AS11.根据方面AS1到AS10中的任一方面所述的方法，其中，应用（124A）是视觉分析应用并且云服务是数据分析和可视化服务。

AS12.一种云计算系统（102），包括：

一个或多个处理器（702）；和

耦合到一个或多个处理器（702）的至少一个可访问存储器（704），其中至少一个可访问存储器（704）包括以机器可读指令的形式存储以及可由一个或多个处理器（702）执行的云计算平台（114），其中云计算平台（114）能够执行根据方面AS1至AS11所述的方法步骤。

AS13.一种系统（100），包括：

根据方面AS12的用于提供对至少一个云服务的安全访问的云计算系统（102）；

至少一个第三方服务器（122），包括一个或多个应用（124A-N），其中至少一个第三方服务器（122）通信地耦合到云计算系统（102）；和

通信去往云计算系统（102）的一个或多个租户设备（126A-N）；其中，一个或多个租户设备（126A-N）配置为经由托管在第三方服务器（122）上的一个或多个应用（124A-N）访问云服务。

AS14.根据方面AS13所述的系统（100），其中，至少一个第三方服务器（122）被配置为通过验证指示租户（106）被授权访问应用（124A-N）之一的票证来重新认证租户（106）。

AS15.一种具有存储在其中的机器可读指令的计算机程序产品，机器可读指令在由至少一个处理单元（702）执行时使处理单元（702）执行根据方面AS1至AS11中任一项所述的方法步骤。