提供了用于在企业搜索系统中使安全片标与文档相关联的方法和计算机可读介质。根据一种方法,维护搜索索引,其包括对应于存储在后端计算系统处的文档的一个或多个文档标识符。搜索索引中的每一个文档标识符都与一个或多个安全片标实现相关联。当从用户处接收到查询请求时,查询搜索索引以标识该搜索索引所引用的、匹配与该查询请求一起提供的搜索项的文档。对于匹配搜索项的每一个文档,标识并执行相关联的安全片标实现以便从其中存储该文档的后端计算系统中取得当前用户的查看文档的访问权限。
【技术实现步骤摘要】
【国外来华专利技术】在企业搜索系统中将安全片标与文档相关联些旦 冃尔企业搜索系统允许索引、搜索并向组织中的授权用户显示存储在该组织中 的内容。为提供该功能,企业搜索系统通常必须索引和查询由多个独立的第三 方企业软件应用程序和系统所存储的结构化和非结构化数据和文档。例如,在 许多情况下,企业搜索系统必须索引并查询存储在内联网、文档和内容管理系 统、文件服务器、企业台式机、诸如顾客关系管理和商业智能应用程序等商业 应用程序、以及其它类型的内容存储中的数据。与搜索公开可用数据并允许实际上任何用户执行对数据的査询的公共搜索引擎(诸如万维网("web")搜索引擎)相反,企业搜索系统通常索引对其 的访问可能受到限制的数据。例如,企业搜索系统所索引的文档可具有相关联 的访问控制列表("ACL"),其包括标识用户所具有的对该文档的访问权限的 一个或多个访问控制条目("ACE")。结果,在企业搜索系统执行査询时,其 必须确保执行査询的用户具有足够的访问权限来査看响应于该査询所返回的 每一个搜索结果。为了确定用户是否具有足够的访问权限来査看搜索结果,企业搜索系统可 以在将每一个文档添加到搜索索引时取得并存储该文档的访问权限。在査询 时,企业搜索系统可以利用先前存储的访问权限来确定执行该查询的用户是否 具有足够的权限来査看搜索结果。然而,执行并维护对搜索索引所引用的所有 文档的访问权限的存储可能会是麻烦且昂贵的。另选地,在执行查询时,企业搜索系统可以向其中存储一组搜索结果中的 每一个文档的后端系统査询用户对该文档的访问权限。在该类实现中,后端系 统在爬行时提供文档并在査询时提供该文档的访问权限。然而,每一个后端计 算机系统的安全子系统常常利用不同的、秘密的、且可能是专有的应用程序编 程接口 ("API")。结果,利用被称为安全片标(securitytrimmer)的自定义程 序代码来调用由各种后端系统提供的用于获取访问权限的不同API通常是有 必要的。然而,企业搜索系统可能难以确定对于一组搜索结果中所存在的每一个文档所应利用的安全片标。此处所做出的本专利技术正是对于这些和其它考虑事项而提供的。概述此处提供了用于在企业搜索系统中使安全片标与文档相关联的方法和计 算机可读介质。通过此处所描述的实现,可容易地使安全片标与搜索索引中所 标识的文档相关联。在査询时,可标识并利用适当的安全片标来获取对一组搜 索结果中的每一个文档的访问权限。根据此处所给出的一个方面,提供了一种用于在企业搜索系统中使安全片 标与文档相关联的方法。根据一种方法,维护搜索索引,其包括对应于存储在 后端计算系统处的文档的一个或多个文档标识符。文档标识符可以是例如,存储在后端计算系统处的文档的统一资源定位符("URL")。搜索索引中的每一个文档标识符都与一个或多个安全片标相关联。安全片标是能够调用后端系统上的用于确定用户是否具有查看文档的访问权限的API的程序代码。当从用户处接收到査询请求时,査询搜索索引以标识该搜索索引 所引用的、匹配与该査询请求一起提供的搜索项的文档。对于匹配搜索项的每 一个文档,标识并执行相关联的安全片标以取得当前用户的查看文档的访问权 限。可同时执行所标识的安全片标。当接收到査看每一个文档的访问权限时,确定该当前用户是否具有足够的 访问权限来查看每一个文档。如果该用户具有査看文档的适当的访问权限,则 在搜索结果中向该用户显示该文档。在一个实现中,安全片标解析器程序执行 为每一个文档选择适当的片标实现、执行安全片标实现以及组合从各片标实现 接收到的结果以确定是否应将该文档显示在搜索结果中的任务。在一个实现中,每一个文档标识符都与一个或多个爬行规则相关联。爬行规则是关于文档URL的正则表达式。因此定义爬行规则导致定义后端计算系 统子集中的文档子集。每一个爬行规则都与一个或多个安全片标实现相关联。 以此方式,使文档标识符与爬行规则相关联,其进而与一个或多个片标实现相 关联。每一个爬行规则还可以与特定的安全片标解析器相关联。根据其他实现,每一个爬行规则都可具有相关联的优先值。当不止一个爬行规则对应于文档时利用优先值来选择适当的爬行规则。另外,在其他实施例 中,可在爬行时从存储文档的后端计算系统中取得不透明的安全数据并将其持 久存储在搜索索引中。在查询时,可将安全数据提供给安全片标实现并将其与 对文档的访问权限的请求一起发送到后端系统。该安全数据然后可由后端系统 用来确定对文档的访问权限。上述主题也可被实现为计算机控制的装置、计算机进程、计算系统或诸如 计算机可读介质等制品。通过阅读以下详细描述和査阅相关联的附图,这些和 各个其它特征将是显而易见的。提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征, 也不旨在用于限定所要求保护的主题的范围。此外,所要求保护的主题不限于 解决在本专利技术的任一部分中提及的任何或所有缺点的实现。附图简述附图说明图1是示出用于此处所描述的各过程和计算机系统以及此处所描述的计 算机系统所利用的若干软件组件的说明性操作环境的网络和软件图2是示出此处在一个实现中所描述的安全片标解析器和安全片标的各 方面的软件体系结构图3、 5和6A-6B是示出根据此处所描述的一个实现的、此处所提供的用 于使安全片标与文档相关联的各过程的流程图4是示出一个实现中的、此处所提供的用于存储文档与安全片标之间的 关联的若干数据结构的内容的数据结构图;以及图7是示出适用于实现此处所描述的各个计算机系统的计算机体系结构 的计算机体系结构图。详细描述以下详细描述涉及用于使安全片标与企业搜索系统的搜索索引中所标识 的文档相关联的系统、方法和计算机可读介质。尽管此处所述的主题是在结合 操作系统和应用程序在计算系统上的执行而执行的程序模块的一般上下文中提供的,但本领域技术人员可以认识到,可结合其它类型的程序模块来执行其 它实现。一般而言,程序模块包括执行特定任务或实现特定的抽象数据类型的例 程、程序、组件、数据结构和其它类型的结构。此外,本领域的技术人员可以 理解,此处所述的本主题可以使用其它计算机系统配置来实践,这些其它计算 机系统配置包括手持式设备、多处理器系统、基于微处理器或可编程的消费电 子产品、小型计算机、大型计算机等。此处所述的本主题也可被描述为在其中任务由通过通信网络链接的远程 处理设备执行的分布式计算环境中实践,在这种环境中程序模块可位于本地和 远程存储器存储设备两者中。然而,应当理解,此处所述的实现也可结合单机 计算机系统和其它类型的计算设备来利用。也应理解,此处所给出的各实施例可与任一类型的局域网("LAN")或广域网("WAN") —起利用。在以下详细描述中,参考了构成其一部分并作为说明示出了各具体实施例 或示例的附图。现在参考附图(全部若干附图中相同的标号表示相同的元素), 将描述用于使安全片标与文档相关联的计算系统和方法的各方面。具体地,图 1是示出用于此处所描述的主题的一个操作环境100的计算机软件体系结构和 网络图,该操作环境包括客户机计算机102、网络122和一个或多个web服务 器计算机104A-104B。应当理解,虽然图1中只示出了两个web服务器计算机 1本文档来自技高网...
【技术保护点】
一种用于使安全片标实现(204)与文档相关联的方法,所述方法包括: 维护其中存储有一个或多个文档标识符的搜索索引(108),每一个文档标识符都对应于存储在后端计算系统(112)上的文档; 使存储在所述搜索索引(108)中的每一个 文档标识符都与一个或多个安全片标实现(204)相关联; 从用户处接收包括一个或多个搜索项的查询请求; 响应于所述查询请求,查询所述搜索索引(108)以标识匹配所述搜索项的一个或多个文档;以及 对于匹配所述搜索项的每一个文档 ,执行与对应的文档标识符相关联的安全片标实现(204)以取得所述用户的查看所述文档的访问权限。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:MJ泽勒,AC卡帕迪亚,S达桑,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。