本发明专利技术给出整合安全角色的系统和方法。上游应用程序包括与上游安全角色和下游安全角色对应的一个或多个角色映射要求。通过将上游安全角色标识符加入下游应用程序的角色映射表中或通过将上游用户到角色映射加入下游应用程序的角色映射表中扩展上游安全角色。当上游安全角色得到扩展时,指定给上游安全角色的用户自动访问经角色映射的下游应用程序。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及跨越应用程序边界。更具体地说,本专利技术涉及通过将上游安全角色映射到下游安全角色,来扩展安全角色的系统和方法。
技术介绍
计算机系统将各种技术用于用户验证。当计算机系统接收到来自用户的请求时,计算机系统通常验证和核准用户。例如,用户可以访问他的银行帐户信息和银行管理应用程序履行一系列步骤(譬如,向用户请求用户标识符和密码)以验证和核准用户。计算机系统还可以请求核准访问下游应用程序。利用如上所述的例子,银行管理应用程序(即,上游应用程序)可以调用下游应用程序来检索与用户请求相对应的帐户信息,从而,下游应用程序需要用户标识信息以同意访问。Java 2 Enterprise Edition(J2EE)包括用于用户请求核准的基于安全角色访问控制机制。安全角色可以被看作是一组Enterprise Java Bean(EJB)方法许可,以及对URL(统一资源定位符)网页的读/写访问许可。EJB豆(bean)和URL网页被包装在一起变成J2EE应用程序,以便构建解决商业问题的功能集。系统管理者可以将个别的用户标识符以及组标识符映射到每个安全角色,以便将访问商业功能的所需许可提供给每个用户和组。但是,将用户映射到应用程序遇到的难题是,不同的开发商或销售商创建整合到较大商业应用程序中的分立J2EE应用程序。安全角色通常定义在应用程序的边界内,应用程序的边界又使商业应用程序以模块方式开发。例如,商业操作可以被划分成一组组件和不同组可以独立开发这些组件。开发特定模块的组可能意识不到需要从其它模块申请访问的用户。此外,在用于下游应用程序的模块化系统中,人工管理用户到角色映射遇到的难题是变得既非微不足道又复杂。例如,工作流用户请求可能由大量J2EE应用程序来管理。当发现这种情况时,用户的身份被映射到与每个应用程序相对应的安全角色,以便向用户提供访问。因此,所需的是使上游应用程序的安全角色自动映射到下游应用程序的所需安全角色,和相反,使下游应用程序安全角色自动映射到上游应用程序安全角色的系统和方法。此外,所需的是更有效地向用户提供跨越应用程序边界的访问的系统和方法。
技术实现思路
因此,根据第一方面,本专利技术提供了在第一下游应用程序上核准客户请求的方法,所述方法包括在第一下游应用程序上接收来自上游应用程序的第一应用程序请求,其中,第一应用程序请求是从客户请求中导出的,并且包括由上游应用程序确定的上游安全角色标识符;读取存储在可从下游应用程序访问的下游核准表中的核准表项;将包括在请求中的上游安全角色标识符与包括在下游核准表中的核准表项的至少一个匹配;并响应匹配以核准客户请求。根据第二方面,本专利技术提供了包括如下组件的信息管理系统一个或多个处理器;可由处理器访问的存储器;可由处理器访问的一个或多个非易失性存储设备;和在第一下游应用程序上核准客户请求的客户核准工具,该客户核准工具包括在第一下游应用程序上接收来自上游应用程序的第一应用程序请求的装置,其中,第一应用程序请求是从客户请求中导出的,并且包括由上游应用程序确定的上游安全角色标识符;读取存储在可从下游应用程序访问的下游核准表中的核准表项的装置,下游核准表位于非易失性存储设备之一中;将包括在请求中的上游安全角色标识符与包括在下游核准表中的核准表项的至少一个匹配的装置;并响应匹配以核准客户请求的装置。根据第三方面,本专利技术提供了用于在第一下游应用程序上核准客户请求的存储在计算机可操作媒体上的计算机程序产品,所述计算机程序产品包括实现根据第一方面的方法的装置。最好,标识一个或多个所需下游安全角色,其中,每个核准表项对应所需下游安全角色的至少一个。可选地,选择与匹配核准表项对应的所需下游安全角色和使它包括在发送到第二下游应用程序的第二应用程序请求中。可替代地,在接收第一应用程序请求之前,生成匹配核准表项。为了生成匹配核准表,接收包括上游安全角色和下游安全角色的角色映射要求,上游安全角色对应于上游安全角色标识符,然后,使上游安全角色标识符包括在匹配核准表项中,匹配核准表项对应于下游安全角色。可选地,确定上游安全角色和下游安全角色是否等效,并且,配置上游安全角色和下游安全角色,以便使它们等效。最好,在计算机网络上接收第一应用程序请求。根据第四方面,本专利技术提供了扩展上游安全角色以包括下游应用程序的方法,所述方法包括接收与上游应用程序和上游安全角色对应的安全角色映射请求;选择与安全角色映射请求和下游应用程序对应的下游安全角色;和将一个或多个下游核准表项加入下游安全角色中,其中,核准表项对应于上游安全角色。最好,从由用户标识符、组标识符和上游安全角色标识符组成的组中选择至少一个核准表项。最好,确定上游安全角色和下游安全角色是否等效,并且,配置下游核准表项和一个或多个上游核准表项,以便使它们等效,上游核准表项对应于上游安全角色。可选地,从上游应用程序接收包括用户标识符的应用程序请求。在这种情况下,将用户标识符与下游核准表项的一个或多个匹配,和响应匹配以核准应用程序请求。附图说明现在参照像例示在附图中那样的本专利技术优选实施例,仅以举例的方式对本专利技术加以描述,在附图中图1是示出上游应用程序将包括上游安全角色的应用程序请求发送到下游应用程序的图形;图2是示出上游应用程序将请求发送到下游应用程序的图形,其中,下游应用程序的相应核准表包括一个或多个上游主题;图3A是示出在角色到角色映射过程中使上游安全角色标识符包括在下游核准表项中的图形;图3B是示出在角色到角色映射过程中通过将上游安全角色用户到角色映射加入下游安全角色中使上游安全角色映射到下游安全角色的图形;图4是示出在应用程序生命周期内的各个阶段准备代码和更新安全角色所采取的步骤的高级流程图;图5是示出分析上游应用程序和将上游安全角色角色映射到下游安全角色所采取的步骤的流程图;图6是示出将上游安全角色角色映射到下游安全角色所采取的步骤的流程图;图7是示出下游应用程序具有上游安全角色指定的用户时所采取的步骤的流程图;和图8是能够实现本专利技术的信息管理系统的方块图。用在不同附图中的相同标号表示相似或相同的项。具体实施例方式下文旨在提供本专利技术的例子的详细描述,不应该被认为是对本专利技术本身的限制。而且,各种改变都将落在所附权利要求书限定的本专利技术的范围之内。图1是示出上游应用程序120将包括上游安全角色137的应用程序请求130发送到下游应用程序140的图形。与上游安全角色相对应的上游安全角色标识符已经角色映射(role-map)了下游应用程序的相应下游核准表170。图1中的例子示出了下游核准表170包括下游核准表项190中的上游安全角色标识符(对于有关角色映射加入的进一步细节,请参见图3A、4、5、6和相应文本)。客户100通过诸如因特网之类的计算机网络110将请求115发送到服务器115。例如,客户100可能想检查利用服务器115访问的银行帐户结余。请求105包括服务器115用于验证和核准客户100的用户数据107。例如,用户数据107可以包括用户标识符、密码、数字证书、或用于验证和核准客户100的其它信息。服务器115包括与客户请求对接的上游应用程序120。利用如上所述的例子,上游应用程序120可以是允许用户检查银行帐户结余、存款金额和取款金额的联本文档来自技高网...
【技术保护点】
一种在第一下游应用程序上核准客户请求的方法,所述方法包括:在第一下游应用程序上接收来自上游应用程序的第一应用程序请求,其中,第一应用程序请求是从客户请求中导出的,并且包括由上游应用程序确定的上游安全角色标识符;读取存储在可从 下游应用程序访问的下游核准表中的核准表项;将包括在请求中的上游安全角色标识符与包括在下游核准表中的核准表项的至少一个匹配;和响应匹配以核准客户请求。
【技术特征摘要】
【国外来华专利技术】US 2003-3-27 10/401,3341.一种在第一下游应用程序上核准客户请求的方法,所述方法包括在第一下游应用程序上接收来自上游应用程序的第一应用程序请求,其中,第一应用程序请求是从客户请求中导出的,并且包括由上游应用程序确定的上游安全角色标识符;读取存储在可从下游应用程序访问的下游核准表中的核准表项;将包括在请求中的上游安全角色标识符与包括在下游核准表中的核准表项的至少一个匹配;和响应匹配以核准客户请求。2.根据权利要求1所述的方法,进一步包括标识一个或多个所需下游安全角色,其中,每个核准表项对应所需下游安全角色的至少一个。3.根据权利要求2所述的方法,进一步包括选择与匹配核准表项对应的所需下游安全角色;使所选所需下游安全角色包括在第二应用程序请求中;和将第二应用程序请求发送到第二下游应用程序。4.根据权利要求1所述的方法,其中,在接收第一应用程序请求之前,生成匹配核准表项,生成步骤进一步包括接收角色映射要求,其中,角色映射要求包括上游安全角色和下游安全角色,上游安全角色对应于上游安全角色标识符;使上游安全角色标识符包括在匹配核准表项中,匹配核准表项对应于下游安全角色。5.根据权利要求4所述的方法,进一步包括确定上游安全角色和下游安全角色是否等效;和配置上游安全角色和下游安全角色,以便使它们等效。6.一种扩展上游安全角色以包括下游应用程序的方法,所述方法包括接收与上游应用程序和上游安全角色对应的安全角色映射请求;选择与安全角色映射请求和下游应用程序对应的下游安全角色;和将一个或多个下游核准表项加入下游安全角色中,其中,核准表项对应上游安全角色。7.根据权利要求6所述的方法,其中,从由用户标识符、组标识符和上游安全角色标识符组成的组中选择至少一个核准表项。8.根据权利要求6所述的方法,进一步包括确定上游安全角色和下游安全角色是否等效;和配置下游核准表项和一个或多个上游核准表项,以便使它们等效,上游核准表项对应上游安全角色。9....
【专利技术属性】
技术研发人员:张祐彰,赵青云,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。