提供了一种在多个应用和/或数据库之间管理权限信息的方法和系统。可以实施灵活且可扩展的企业权利框架来存储和管理各种类型的权限、访问权和资源。企业权利框架可包括用于存储权限的各个组成部分和/或方面的各种数据对象和结构。数据对象可以包括资源类型对象、用户对象、角色对象、动作对象、资源属性对象、列表项对象和/或层级对象。为一个具体权限定义的数据对象还可以根据一个或多个对象之间的关系被链接起来。通过定义与新应用的权限结构兼容的新对象,企业权利框架可扩展使用新的应用。
【技术实现步骤摘要】
[01]本专利技术总地涉及计算机安全。具体地,本专利技术涉及一种用于在计算机系统或网络上管理在多个应用间的用户权限的灵活框架。
技术介绍
[02]对信息、应用及其他类型的资源进行访问一般是基于分配给用户和/或设备的权限来控制的。例如,权限可以定义用户和/或设备要访问特定资源所必须具备或满足的安全许可级别。因此,如果一个应用需要最高安全许可,则用户想要访问和/或使用该应用和/或其功能就要拥有最高安全权限。类似地,可通过在公司中或在公司的组织机构图中定义的用户头衔和/或层级来控制对公司财务数据的一个或多个部分的访问。例如,对本季度的收益预算的访问可以限制为允许具有经理或更高头衔或地位的那些雇员或用户进行访问。因此,可以拒绝没有获得经理职位的那些人访问收益预算。[03]通常,公司或组织中的多个应用和/或数据库可使用相同或相似的权限结构对访问进行管理。在这种情况下,为了简化权限信息的使用和管理,公司和组织已采用管理应用对各种数据库和/或应用共享的权限数据进行集中控制。例如,当前许多在多个应用之间管理权限信息的方法采用各种轻量级目录访问协议(LDAP)解决方案。然而,当权限管理系统添加新的应用和/或数据库时,LDAP解决方案通常需要额外的程序设计和/或开发来适应新的应用和/或数据库。此外,响应于当前由LDAP解决方案管理的应用的升级和/或重新配置,LDAP解决方案也可能需要进一步的修改和/或重新配置。[04]由于上诉原因,需要一种灵活且可扩展的系统和方法,其可用于在多个应用和/或数据库之间管理权限信息。
技术实现思路
[05]许多上述问题通过提供一种灵活且可扩展的企业权利框架作为权限管理-->系统的基础来解决。企业权利框架可以包括可用于表示和/或存储权限的一个或多个组成部分的各种数据结构和对象。例如,资源类型对象可以标识权限控制访问的应用或应用的类型。类似地,动作对象可以存储由某个权限授权的一个或多个动作。其他数据对象可以包括角色对象、用户对象、层级对象和规则对象。这些其他数据对象可代表权限的附加或可替换的组成部分。因此,取决于管理偏好和其他因素,权限可以是基于用户或基于角色的。换句话说,可以为一个或多个指定用户定义权限,或者可选择地或附加地,可以对指定的角色定义权限。[06]基础结构中的数据对象还可以包括彼此之间的关系和引用。在一个例子中,权限对象可以包括对相应于权限所应用的资源类型的资源类型对象的引用。权限还可以与一个或多个规则对象相关联,所述一个或多个规则对象指定可授予权限的条件。例如,规则对象可以存储日期时间条件,该条件可控制何时可执行关联的权限。将权限的多个方面解析及存储到各个组成部分对象和结构中可以使权限管理系统具有灵活性,以针对新的资源和权限类型来提供和调整权限管理能力。[07]在另一方面,还可以定义维护对象以支持诸如审计和报告之类的功能。可以将维护对象分为三个常规组:历史追踪、错误日志记录和活动追踪、以及资源输入。动作历史追踪对象例如可用于追踪对特定动作对象的修改历史。另一方面,错误日志记录和活动追踪对象可用于记录对应于所关联的对象的所有动作和/或产生的错误。例如,如果用户对特定资源类型执行动作而产生错误,与该特定资源类型相关联的错误日志记录对象可在日志中生成一个条目,记录该错误以及产生该错误的动作。可使用一个或多个触发来定义日志或追踪数据的时间。资源输入对象还可以存储将要包含在权限之中的、与由基础结构和管理系统管理的层级、产品以及动作相关的信息的表格。用户可检索每个维护对象中保存的数据来确定各种信息,包括从指定时间开始产生的故障和/或权限变化。[08]另一方面,权限规则和权限级联可用于自动重定义权限范围。例如权限规则可用于准予权限。例如,可以通过规则“如果定购方在采购部门中”来准予诸如“定购业务卡”之类的权限。因此,即使将权限分配给特定角色,如果与该特定角色相关联的一方不在采购部门之中,也不能授权该方来定购业务卡。如果-->用户把部门修改为采购部门,根据权限规则的评估,可自动修改用户权限的有效性。另一方面,权限级联允许用户添加权限,并根据与所选择的节点或项目的指定关系,将该权限应用于一组节点或项目。例如,名为“所有子节点”的权限级联选项可以对一个选定层级节点的所有子节点分配权限。在一种或多种实施方式中,如果添加新的层级节点作为该选定层级节点的子节点,可重新定义权限范围来包括该新的子节点。[09]通过以下对本专利技术的详细描述、附加的权利要求和附图,本专利技术的这些以及其他优点和方面将是显而易见的。附图说明[10]本专利技术通过举例来说明,并且不限制于附图之中,附图中相近的附图标记表示相近的元件,其中:[11]图1解释说明了实施本文所描述的一个或多个方面的计算环境的方块图。[12]图2是根据本文所描述的一个或多个方面用于在多个应用之间管理权限信息的网络系统图。[13]图3A解释说明根据本文所描述的一个或多个方面的用于存储和实施权限的企业权利框架的示意图。[14]图3B是根据本文所描述的一个或多个方面的两种权限情况和相应的权限映射的图。[15]图4A-4F是解释说明根据本文所描述的一个或多个方面的权限管理系统中的六种数据结构和对象的图。[16]图5A-5E是解释说明根据本文描述的一个或多个方面的基于角色的权限和关联对象的创建和定义的图。[17]图6A-6D是解释说明根据本文描述的一个或多个方面的基于用户的权限和关联对象的创建和定义的图。[18]图7A-7C是解释说明根据本文描述的一个或多个方面的三种支持及维护数据结构和对象的图。[19]图8是解释说明根据本文描述的一个或多个方面的用于添加和实施权限的方法的流程图。-->具体实施方式[20]在以下描述的各种实施例中,参考作为本文一部分的附图,附图中示出了可实施本专利技术的各种实施方式。可以理解的是,在不背离本专利技术的范围的情况下,可采用用其他实施方式以及对结构和功能进行修改。[21]图1解释说明了可实施此处所描述的一个或多个方面的计算环境。诸如计算机100之类的计算设备可包含用于输入、输出、存储和处理数据的多个部件。例如,处理器105可执行多个任务,包括执行一个或多个应用、从诸如存储装置115之类的存储设备检索数据和/或向诸如显示器120之类的设备输出数据。处理器105可连接到临时存储应用数据和/或指令的随机访问存储器(RAM)模块110。RAM模块110可以任意顺序进行存储和访问,从而为RAM模块110中的存储位置提供了相同的存取能力。计算机100可进一步包括只读存储器(ROM)112,其可以在计算机100关机以后使数据持久或继续存储存储在其上。ROM 112可用于包括存储计算机100的基本输入输出系统(BIOS)在内的各种目的。ROM 112还可存储数据和时间信息,从而即便关机和重启也能保持信息。此外,存储装置115可提供对包括应用和数据文件在内的各种数据进行长期存储。存储装置115可包括任意一种计算机可读介质,例如,盘驱动器、光存储介质、磁带存储系统、闪存存储器等。在一个例子中,处理器105可以从存储装置115中检索应用,并在执行该应用的时候,将与应用相关联的指令临时存储在RAM模块110上。[22]计算机100可通过各种本文档来自技高网...
【技术保护点】
一种存储用于管理与资源类型相对应的权限的数据基础结构的计算机可读介质,该数据基础结构包括: 层级对象,用于定义与资源类型相关联的层级结构,其中所述资源类型对应于被赋予权限的一个或多个应用,并且其中所述层级结构包括层级节点; 层级节点对象,被配置为存储层级节点;以及 资源属性集对象,用于存储一个或多个资源属性的集合,其中所述一个或多个属性包括层级属性和列表项属性中的至少一个, 其中,根据所述一个或多个资源属性来定义权限范围;以及 其中,响应于所述基础结构的组成部分被修改,自动对权限范围进行重新定义。
【技术特征摘要】
US 2006-8-31 11/469,4141、一种存储用于管理与资源类型相对应的权限的数据基础结构的计算机可读介质,该数据基础结构包括:层级对象,用于定义与资源类型相关联的层级结构,其中所述资源类型对应于被赋予权限的一个或多个应用,并且其中所述层级结构包括层级节点;层级节点对象,被配置为存储层级节点;以及资源属性集对象,用于存储一个或多个资源属性的集合,其中所述一个或多个属性包括层级属性和列表项属性中的至少一个,其中,根据所述一个或多个资源属性来定义权限范围;以及其中,响应于所述基础结构的组成部分被修改,自动对权限范围进行重新定义。2、根据权利要求1的计算机可读介质,其中通过修改与层级节点对象的一个或多个参数相关联的数据来配置层级节点对象。3、根据权利要求2的计算机可读介质,其中所述层级节点对象指定层级节点在层级中所属的的级别。4、根据权利要求1的计算机可读介质,其中所述数据基础结构还包括存储权限动作映射的权限动作映射对象,其中所述权限动作映射确定与权限相对应的一个或多个动作。5、根据权利要求1的计算机可读介质,其中所述基础结构的组成部分包括所述层级结构、所述一个或多个资源属性的集合以及项目列表中的至少一个。6、根据权利要求1的计算机可读介质,其中所述数据基础结构还包括存储权限级联的权限级联对象,其中该权限级联根据指定的特性确定被赋予权限的一个或多个附加层级节点。7、根据权利要求6的计算机可读介质,其中该指定的特性包括层级节点关系。8、根据权利要求7的计算机可读介质,其中所述节点关系包括子节点。9、根据权利要求1的计算机可读介质,其中所述数据基础结构还包括为准予权限而定义权限规则的权限规则对象。10、根据权利要求1的计算机可读介质,其中用户的权限有效性取决于根据权限规则对用户的一个或多个特性的评估。11、一种存储用于管理权限的数据模型的计算机可读介质,该...
【专利技术属性】
技术研发人员:MR谢伊,SA阿尔菲里,AA摩塔,
申请(专利权)人:埃森哲环球服务有限公司,
类型:发明
国别省市:CH[瑞士]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。