本发明专利技术提供了一种用于为基于计算机的应用的用户动态改变对数据资源的访问能力的方法和系统。所述访问能力由动态角色定义,所述动态角色指定了用户可以访问哪些资源以及要定义的与所述动态角色关联的一组权限。向应用添加其他资源和组件时,可以创建新的动态角色。提供了用于创建新的动态角色以暂时访问资源,以及用于在不再需要动态角色之后删除动态角色的方法和系统。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及^t件,具体地说,涉及软件系统的安全和访问限制。
技术介绍
图1示出了用于限制访问应用的资源(即应用中4吏用的数据)的复杂管理软件应用中的安全布置100。复杂管理软件应用通常具有用户可以借以查看与应用关联的资源或与其交互的多个组件。通常将随时间的增加而 添加组件以便为应用提供更多的能力。应保护用于每个组件的管理软件以 便授权用户可以管理每个组件。但是,各种不同的软件组件可能具有数个不同安全限制中的任何一个限制。访问控制列表(ACL)是一种用于保护 管理软件组件的常规方法。ACL用作一种访问控制机制,通过维护和参考 用于计算机上每个对象的访问控制列表来确定是否将为特定用户授予访 问。为每个对象分配标识其访问控制列表的安全属性,并且此列表对于每 个具有访问权限(例如读取文件、写入文件或执行文件的能力)的用户都 具有表项。诸如ACL之类的常规安全布置具有缺乏灵活性的缺点。图1的安全布置是用户授权方案,其中根据为每个用户分配的预定角 色向相应用户101-115授予访问可管理资源125和127的权限。管理安全 系统通常具有多个针对用户的已定义角色。图1示出了在某些IBM 系统 中^f吏用的四个角色管理员117、配置员119、 IMt员121和监视员123。 (IBM是国际商业机器公司在美国和/或其他国家/地区的注册商标。)这 些角色可以被定义为静态角色,为每个用户分配具有授权的特定角色以便 在此角色的预定能力下访问系统的资源。在此图所示的实例中,每个角色 117-123可以在此角色的预定能力下访问所有资源,即资源125-127。例如, 用户101已^皮分配管理员117角色,因此具有对所有资源(例如资源125和资源127)的管理员级别访问的授权。依靠静态定义的角色以便许可访问的此类方法通常由于缺乏灵活性而 产生问题。例如,可能希望对于某个资源具有管理员角色的用户对于其他 资源没有管理员角色。如图l所示,用户101和用户103都祐j受予管理员 角色117,并且因此两个用户都可以作为管理员访问系统中的所有资源(在 此实例中为资源125和资源127)。在某些情况下,可能希望用户有权访 问某个资源但无法访问其他资源。例如,可能希望用户103有权作为管理 员访问资源125但不能访问资源127。
技术实现思路
根据第一方面,提供了一种用于动态提供对基于计算机的应用中的多 个资源的访问的方法,所述方法包括检测与所述应用关联的潜在影响所 述应用的访问方案的更改,其中所述应用包括多个组件;确定所述更改将 影响所述应用的所述多个资源中的哪些资源;确定所述更改将影响所述应 用的所述多个组件中的哪些组件;确定多个用户帐户中将受所述更改影响 的至少一个用户帐户;以及修改或创建所述一个用户帐户的动态角色以适 应所述更改。优选地,提供了一种用于在每个组件被配置或被添加到M软件时针 对这些組件动态应用安全限制的机制。在此披露的实施例提供了用于动态提供对基于计算机的应用中的多个 资源的访问的系统和方法。在至少一个实施例中,所述应用^J己置为检测可能影响访问方案的更 改,确定所述更改将影响所述应用的哪些资源或组件,以及还确定所述更 改将影响哪些用户帐户。当许可访问中的更改时,所述应用将修改用户帐 户的动态角色以适应所述更改。所述动态角色指定了所述用户帐户被授权 访问哪些资源,并且与所述动态角色关联的一组权限指定了授予所述用户 帐户的用于访问所述资源的访问能力。在某些实施例中,对所述应用的访问方案的潜在更改可以包括向所述应用添加资源、向所述应用添加组件、向所述应用注册新的用户帐户和/ 或接收将其他访问授予现有用户帐户的请求。 一组权限或某个新权限与现有动态角色的关联可以^皮视为对动态角色的〗务改,或对净皮分配此动态角色 的用户的能力的^"改。根据第二方面,提供了一种用于动态提供对基于计算机的应用中的多 个资源的访问的计算机程序产品,所述计算机程序产品包括包含计算机可 读程序的计算机可用介质,其中当所述计算机可读程序在计算机上执行时,将导致所述计算机执行以下操作检测与所述应用关联的潜在影响所述应 用的访问方案的更改,其中所述应用包括多个组件;确定所述更改将影响 所述应用的所述多个资源中的哪些资源;确定所述更改将影响所述应用的 所述多个组件中的哪些组件;确定多个用户帐户中将受所述更改影响的至 少 一个用户帐户;以及修改或创建所述一个用户帐户的动态角色以适应所 述更改。根据第三方面,提供了一种用于动态提供对基于计算机的应用中的多 个资源的访问的系统,所述系统包括配置为存储所述多个资源和所述基 于计算机的应用的存储器;用于检测与所述应用关联的潜在影响所述应用 的访问方案的更改的逻辑,其中所述应用包括多个组件;用于确定所述更 改将影响所述应用的所述多个资源中的哪些资源的逻辑;用于确定所述更 改将影响所述应用的所述多个组件中的哪些组件的逻辑;用于确定多个用 户帐户中将受所述更改影响的至少一个用户帐户的逻辑;以及用于^务改或 创建所述一个用户帐户的动态角色以适应所述更改的逻辑。附图说明现在将仅通过实例的方式并参考以下附图描述本专利技术的优选实施例 图1示出了具有静态定义的角色以许可对可管理资源的授权的管理安 全布置;图2示出了根据本专利技术的各个实施例的可用于实现管理安全布置以许 可对可管理资源的授权的示例性系统200;图3示出了根据本专利技术的各个实施例的用于许可对可管理资源的基于 可扩展角色的授权的示例性系统300;图4A和4B是示出了根据本专利技术的各个实施例的用于管理应用的管理 安全和许可对可管理资源的授权的示例性过程的流程图400;图5示出了适于实现本专利技术的各个实施例的示例性硬件系统500;以及图6示出了用于定义可扩展角色的示例性模式(schema)。 具体实施例方式在此披露的各个实施例使能动态创建新的角色或改变现有角色,所述 角色与允许用户访问软件应用的可管理资源的权限关联。用户的动态角色 和关联的权限允许用户针对不同的资源具有不同的权P艮和授权。通过此方 式,当创建新的可管理资源时,管理员可以创建动态角色,所述动态角色 与对此资源具有不同访问需要的用户针对此资源的所需权限关联。在某些 实施例中,软件应用可以具有一组初始角色定义和关联权限,并且在部署 应用之后可以动态添加新的角色和4又限,以便例如适应添加到应用的新组 件。图2示出了可用于实现管理安全布置以许可对可管理资源的基于可扩 展角色的授权的系统200。图2还示出了平台233、应用231、组件229和 资源225-227之间的示例性关系,它们都是在此使用以说明各个实施例的 术语。平台233,如此术语在此所使用的,是软件框架,可能包括允许软件 应用231运行的石更件的某些方面。平台233可以包括操作系统、编程语言 和/或其运行时库,以及计算机的体系结构或其选定方面。平台233可以简 单地被视为启动或运行软件应用231或组件229的位置。软件平台的一个 实例是IBM的WebSphere Application Server。存在大量其他平台实例, 包括例如Eclipse,其是用于创建Web应用的开放式集成开发环境(IDE )。 如本领域的技术人员所乂i^P的,还存在许多其他软件平台。(Web本文档来自技高网...
【技术保护点】
一种用于动态提供对基于计算机的应用中的多个资源的访问的方法,所述方法包括: 检测与所述应用关联的潜在影响所述应用的访问方案的更改,其中所述应用包括多个组件; 确定所述更改将影响所述应用的所述多个资源中的哪些资源; 确定所述更改将影响所述应用的所述多个组件中的哪些组件; 确定多个用户帐户中将受所述更改影响的至少一个用户帐户;以及 修改或创建所述一个用户帐户的动态角色以适应所述更改。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:DY张,JYC张,V文卡塔拉玛帕,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。