CN101256605A - 企业权利框架 - Google Patents
企业权利框架 Download PDFInfo
- Publication number
- CN101256605A CN101256605A CNA2007101857303A CN200710185730A CN101256605A CN 101256605 A CN101256605 A CN 101256605A CN A2007101857303 A CNA2007101857303 A CN A2007101857303A CN 200710185730 A CN200710185730 A CN 200710185730A CN 101256605 A CN101256605 A CN 101256605A
- Authority
- CN
- China
- Prior art keywords
- authority
- user
- level
- computer
- readable medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000009471 action Effects 0.000 claims abstract description 50
- 238000003860 storage Methods 0.000 claims description 34
- 238000013507 mapping Methods 0.000 claims description 18
- 238000013499 data model Methods 0.000 claims description 13
- 239000004615 ingredient Substances 0.000 claims description 12
- 230000008859 change Effects 0.000 claims description 11
- 230000000295 complement effect Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000012797 qualification Methods 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 22
- 238000007726 management method Methods 0.000 description 38
- 230000000875 corresponding effect Effects 0.000 description 33
- 230000004048 modification Effects 0.000 description 16
- 238000012986 modification Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 12
- 238000012550 audit Methods 0.000 description 9
- 230000000694 effects Effects 0.000 description 7
- 230000015654 memory Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000012512 characterization method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000005055 memory storage Effects 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 108010022579 ATP dependent 26S protease Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99932—Access augmentation or optimizing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/9994—Distributed or remote access
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
- Y10S707/99945—Object-oriented database structure processing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
- Y10S707/99946—Object-oriented database structure network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
- Y10S707/99947—Object-oriented database structure reference
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
提供了一种在多个应用和/或数据库之间管理权限信息的方法和系统。可以实施灵活且可扩展的企业权利框架来存储和管理各种类型的权限、访问权和资源。企业权利框架可包括用于存储权限的各个组成部分和/或方面的各种数据对象和结构。数据对象可以包括资源类型对象、用户对象、角色对象、动作对象、资源属性对象、列表项对象和/或层级对象。为一个具体权限定义的数据对象还可以根据一个或多个对象之间的关系被链接起来。通过定义与新应用的权限结构兼容的新对象,企业权利框架可扩展使用新的应用。
Description
技术领域
[01]本发明总地涉及计算机安全。具体地,本发明涉及一种用于在计算机系统或网络上管理在多个应用间的用户权限的灵活框架。
背景技术
[02]对信息、应用及其他类型的资源进行访问一般是基于分配给用户和/或设备的权限来控制的。例如,权限可以定义用户和/或设备要访问特定资源所必须具备或满足的安全许可级别。因此,如果一个应用需要最高安全许可,则用户想要访问和/或使用该应用和/或其功能就要拥有最高安全权限。类似地,可通过在公司中或在公司的组织机构图中定义的用户头衔和/或层级来控制对公司财务数据的一个或多个部分的访问。例如,对本季度的收益预算的访问可以限制为允许具有经理或更高头衔或地位的那些雇员或用户进行访问。因此,可以拒绝没有获得经理职位的那些人访问收益预算。
[03]通常,公司或组织中的多个应用和/或数据库可使用相同或相似的权限结构对访问进行管理。在这种情况下,为了简化权限信息的使用和管理,公司和组织已采用管理应用对各种数据库和/或应用共享的权限数据进行集中控制。例如,当前许多在多个应用之间管理权限信息的方法采用各种轻量级目录访问协议(LDAP)解决方案。然而,当权限管理系统添加新的应用和/或数据库时,LDAP解决方案通常需要额外的程序设计和/或开发来适应新的应用和/或数据库。此外,响应于当前由LDAP解决方案管理的应用的升级和/或重新配置,LDAP解决方案也可能需要进一步的修改和/或重新配置。
[04]由于上诉原因,需要一种灵活且可扩展的系统和方法,其可用于在多个应用和/或数据库之间管理权限信息。
发明内容
[05]许多上述问题通过提供一种灵活且可扩展的企业权利框架作为权限管理系统的基础来解决。企业权利框架可以包括可用于表示和/或存储权限的一个或多个组成部分的各种数据结构和对象。例如,资源类型对象可以标识权限控制访问的应用或应用的类型。类似地,动作对象可以存储由某个权限授权的一个或多个动作。其他数据对象可以包括角色对象、用户对象、层级对象和规则对象。这些其他数据对象可代表权限的附加或可替换的组成部分。因此,取决于管理偏好和其他因素,权限可以是基于用户或基于角色的。换句话说,可以为一个或多个指定用户定义权限,或者可选择地或附加地,可以对指定的角色定义权限。
[06]基础结构中的数据对象还可以包括彼此之间的关系和引用。在一个例子中,权限对象可以包括对相应于权限所应用的资源类型的资源类型对象的引用。权限还可以与一个或多个规则对象相关联,所述一个或多个规则对象指定可授予权限的条件。例如,规则对象可以存储日期时间条件,该条件可控制何时可执行关联的权限。将权限的多个方面解析及存储到各个组成部分对象和结构中可以使权限管理系统具有灵活性,以针对新的资源和权限类型来提供和调整权限管理能力。
[07]在另一方面,还可以定义维护对象以支持诸如审计和报告之类的功能。可以将维护对象分为三个常规组:历史追踪、错误日志记录和活动追踪、以及资源输入。动作历史追踪对象例如可用于追踪对特定动作对象的修改历史。另一方面,错误日志记录和活动追踪对象可用于记录对应于所关联的对象的所有动作和/或产生的错误。例如,如果用户对特定资源类型执行动作而产生错误,与该特定资源类型相关联的错误日志记录对象可在日志中生成一个条目,记录该错误以及产生该错误的动作。可使用一个或多个触发来定义日志或追踪数据的时间。资源输入对象还可以存储将要包含在权限之中的、与由基础结构和管理系统管理的层级、产品以及动作相关的信息的表格。用户可检索每个维护对象中保存的数据来确定各种信息,包括从指定时间开始产生的故障和/或权限变化。
[08]另一方面,权限规则和权限级联可用于自动重定义权限范围。例如权限规则可用于准予权限。例如,可以通过规则“如果定购方在采购部门中”来准予诸如“定购业务卡”之类的权限。因此,即使将权限分配给特定角色,如果与该特定角色相关联的一方不在采购部门之中,也不能授权该方来定购业务卡。如果用户把部门修改为采购部门,根据权限规则的评估,可自动修改用户权限的有效性。另一方面,权限级联允许用户添加权限,并根据与所选择的节点或项目的指定关系,将该权限应用于一组节点或项目。例如,名为“所有子节点”的权限级联选项可以对一个选定层级节点的所有子节点分配权限。在一种或多种实施方式中,如果添加新的层级节点作为该选定层级节点的子节点,可重新定义权限范围来包括该新的子节点。
[09]通过以下对本发明的详细描述、附加的权利要求和附图,本发明的这些以及其他优点和方面将是显而易见的。
附图说明
[10]本发明通过举例来说明,并且不限制于附图之中,附图中相近的附图标记表示相近的元件,其中:
[11]图1解释说明了实施本文所描述的一个或多个方面的计算环境的方块图。
[12]图2是根据本文所描述的一个或多个方面用于在多个应用之间管理权限信息的网络系统图。
[13]图3A解释说明根据本文所描述的一个或多个方面的用于存储和实施权限的企业权利框架的示意图。
[14]图3B是根据本文所描述的一个或多个方面的两种权限情况和相应的权限映射的图。
[15]图4A-4F是解释说明根据本文所描述的一个或多个方面的权限管理系统中的六种数据结构和对象的图。
[16]图5A-5E是解释说明根据本文描述的一个或多个方面的基于角色的权限和关联对象的创建和定义的图。
[17]图6A-6D是解释说明根据本文描述的一个或多个方面的基于用户的权限和关联对象的创建和定义的图。
[18]图7A-7C是解释说明根据本文描述的一个或多个方面的三种支持及维护数据结构和对象的图。
[19]图8是解释说明根据本文描述的一个或多个方面的用于添加和实施权限的方法的流程图。
具体实施方式
[20]在以下描述的各种实施例中,参考作为本文一部分的附图,附图中示出了可实施本发明的各种实施方式。可以理解的是,在不背离本发明的范围的情况下,可采用用其他实施方式以及对结构和功能进行修改。
[21]图1解释说明了可实施此处所描述的一个或多个方面的计算环境。诸如计算机100之类的计算设备可包含用于输入、输出、存储和处理数据的多个部件。例如,处理器105可执行多个任务,包括执行一个或多个应用、从诸如存储装置115之类的存储设备检索数据和/或向诸如显示器120之类的设备输出数据。处理器105可连接到临时存储应用数据和/或指令的随机访问存储器(RAM)模块110。RAM模块110可以任意顺序进行存储和访问,从而为RAM模块110中的存储位置提供了相同的存取能力。计算机100可进一步包括只读存储器(ROM)112,其可以在计算机100关机以后使数据持久或继续存储存储在其上。ROM 112可用于包括存储计算机100的基本输入输出系统(BIOS)在内的各种目的。ROM 112还可存储数据和时间信息,从而即便关机和重启也能保持信息。此外,存储装置115可提供对包括应用和数据文件在内的各种数据进行长期存储。存储装置115可包括任意一种计算机可读介质,例如,盘驱动器、光存储介质、磁带存储系统、闪存存储器等。在一个例子中,处理器105可以从存储装置115中检索应用,并在执行该应用的时候,将与应用相关联的指令临时存储在RAM模块110上。
[22]计算机100可通过各种部件和设备输出数据。如前所述,一种这样的输出设备可以是显示器120。另一种输出设备可以包括诸如扬声器125之类的音频输出设备。每一个输出设备120和125可与诸如显示适配器122和音频适配器127之类的输出适配器相连,输出适配器将处理器指令转化成相应的音频和视频信号。除了输出系统之外,计算机100可从各种输入设备接收和/或接纳输入,所述各种输入设备可以是键盘130、存储介质驱动器135和/或麦克风(未示出)。就象输出设备120和125一样,每个输入设备130和135都可与适配器140相连,从而将输入转换成计算机可读/可识别的数据。在一个例子中,可将通过麦克风(未示出)接收到的声音输入转换成数字格式并存储在数据文件中。在一种或多种情况下,诸如介质驱动器135之类的设备可同时用作输入和输出设备,来允许用户将数据写入和读出存储介质(例如,DVD-R、CD-RW等)。
[23]计算机100还可包括一个或多个在网络中接收和发送数据的通信部件。各种类型的网络包括蜂窝网络、数字广播网络、因特网协议(IP)网络等。计算机100可包括适合于在这些网络中的一个或多个网络中进行通信的适配器。特别是,计算机100可包括网络适配器150,用来在IP网络中与一个或多个其它计算机或计算设备进行通信。在一个例子中,适配器150可以对公司或组织的网络中诸如电子邮件消息和/或财政数据之类的数据的传送提供便利。在另一个例子中,适配器150可以对来自诸如互联网之类的万维网的信息的发送或接收提供便利。适配器150可包括与一个或多个网络协议有关的一个或多个指令集。例如,适配器150可包括一个用于处理IP网络数据包的第一指令集和与处理蜂窝网络数据包相关的第二指令集。在一个或更多的配置中,网络适配器150可为计算机100提供无线网络访问。
[24]本领域的技术人员将意识到诸如计算机100之类的计算设备可包括多种其他部件,并不限于图1所描述的设备和系统。
[25]图2是解释说明用于为运行在一个或多个诸如计算机100(图1)的计算机系统中的一个或多个应用存储和管理权限信息的中央系统200的图。系统200可用于为多个应用205、设备(未示出)和/或数据库(未示出)进行集中协调和管理由多个应用205、设备和/或数据库共享的权限信息。中央系统200可包括各种部件和层,所述层包含呈现/应用层210和数据层215。亦可在系统200中实施网络服务网关220,从而为在系统200和应用205、相关设备和/或数据库之间的通信及其他交互提供便利。例如,网络服务网关220可包括多个通信协议,以允许应用使用各种通信协议与系统200交互。网关220还可为系统200与接口设备和/或应用之间的通信提供一个诸如数据加密之类的安全层。
[26]在一种或多种配置中,网关220还可为系统200与诸如应用/服务207之类的其他安全和识别管理应用之间的通信提供便利,从而允许其他应用集成系统200的特征和功能。在一个例子中,诸如SUN IDENTITY MANAGER这样的服务可通过网络服务网关220集成系统200的服务和特征。网关220可作为系统200的一部分,或者可选地可以是从系统200分离出来的独立进程、应用和/或设备。可选地,根据一个或多个方面,可以直接建立应用205或用户与系统200之间的通信。换句话说,可以不采用网关来协助通信。例如,由系统200准备的批处理输出可以直接发送给应用205,而无需网络服务网关220的帮助或使用。
[27]呈现和应用层210可实现一个或多个网络及应用接口,包括网络菜单和控制面板,如管理控制台230。管理控制台230可实现为允许管理者用户访问和修改存储在数据层215中的各种权限信息的java程序或其它程序。具体地,管理控制台230可提供图形或非图形用户界面,用户通过该界面可增加/移除/管理权限。因此,当用户登录或者以其他方式访问系统200时,可通过管理控制台230向用户呈现各种选项和控制。例如,可向用户提供将权限分配给一个或多个用户、角色、层级节点或列表项的选项。还可向用户给出选项来增加或删除对象,如用户、角色、动作、资源属性等。管理控制台230可显示与权限状态、定义的权限数量、与用户相关的权限、用户权限改变历史、被管理的应用等相关的附加信息。
[28]除了管理控制台230之外,呈现/应用层210还可提供附加的应用编程接口(API)235a、235b、235c和235d。在一个或更多实施方式中,或使用ASP.NET框架来实现API235。每一个API235可专用于系统200中的不同进程,包括授权API 235a、管理API 235b、审计API 235c和报告API 235d。例如,授权API235a可以为确定是否授权用户执行对特定资源的一个或多个动作的任务提供便利。另一方面,管理进程可为应用提供向系统200增加权限或从系统200移除权限的函数调用。此外,管理API、审计API和报告API可提供信息以及一个或多个由管理控制台230提供的能力。因此,不要求用户通过管理控制台230从系统200手动修改/检索权限信息,应用可以使用管理API 235b自动实现这些功能。本领域的技术人员将意识到,根据用户或组织的功能需求,系统200中可包含其他各种相似的API。
[29]此外,呈现和应用层210可包括一个或多个服务部件240,来执行和/或完成通过API 235a、235b、235c和235d发布的服务。服务部件240涉及各种类型的过程或任务,包括授权、管理、审计、报告、缓存、数据访问和/或错误处理。例如,数据访问部件245可专用于与数据层215接口,并从数据层215检索信息或将信息保存在数据层215上。因此,为了确定是否授权用户来执行与特定项目相关联的特定动作,可调用数据访问部件245对数据层215进行访问并检索与特定用户、动作和/或资源相关的权限信息。部件240也可以是相互连接的,允许一个部件调用另一个服务部件的方法和服务。在一个例子中,报告部件可以向数据访问部件245请求数据,以制作一个被请求的报告。
[30]数据层215还可包括数据处理部分250。数据处理部分250可定义一个或多个过程来存储、处理和/或检索来自数据层215的数据,特别是来自权限信息数据库255的数据。例如,存储的过程260可定义资源类型、用户、角色和/或权限如何被存储在数据库255中。例如,可将过程定义成允许用户从系统检索某些类型的数据(例如GetListUserRoleMap)。在另一个例子中,可将过程定义成用于插入权限(例如InsertPrivilege)。数据处理部分250可进一步包括提取-转换-加载(ETL)系统265,该系统可根据包括存储在过程部件260中的各种过程进行提取、转换和加载操作。在一个或更多的例子中,ETL系统265可用于将以第一种格式接收的信息转换成和数据库255兼容的第二种格式。在一种特定的例子中,ETL系统265可用于加载层级信息。可选地或附加地,ETL系统265可根据部件260的规则和过程将数据载入数据库255。
[31]权限信息数据库255可存储两种类型的知识库270和275,每一种都具有独立的功能。例如,知识库270可负责存储权限规则和信息,而知识库275可用于审计和/或错误存储。每个知识库270和275可具有存储于部件260并由其执行的特定存储过程。规则知识库270提供与不同用户、角色、资源类型、动作和权限相关的权限及许可数据的中央存储。可从知识库270中提取数据来检查是否授权用户来执行一个或多个动作。在下面将更加详细地讨论在管理基础结构中权限和规则的存储与执行。另一方面,审计/错误知识库275可存储在知识库270或另一个数据库上执行的与审计和/或诊断相关的数据。所存储的审计和/或错误数据可用于调试或检验系统200和/或其中所使用的数据库的完整性。参照图2所描述的各种元件可以许多方式进行组合和/或进行其他修改。例如,在一种替换的实施方式中,可将知识库270和275组合成一个单一知识库。
[32]图3A解释说明用于存储和表示权限信息的数据模型。模型300可包括与权限305、动作310、资源类型315、角色320、资源属性集对象323、用户325、资源属性对象326、层级对象327、列表对象328和列表项对象329相关的对象,还可以包括其他对象和表格。在一种或更多种配置中,数据模型300可以以资源类型对象315为中心,该资源类型对象315可用于识别和表示可为之定义一个或多个权限的应用的类型。例如,资源类型对象315可表示财务应用、供水安全系统应用或地铁管理应用。此外,资源类型通常可定义可以赋予权限的范围。根据用户的偏好,可宽泛地或狭窄地定义资源类型。例如,通常可将资源类型定义成运输应用,或者可选地,可将资源类型单独定义成航空运输、地面运输和水路运输应用。
[33]额外地或替换地,对于每一种资源类型,可根据对应于例如层级对象327的相关层级来定义权限或权限对象305。通常,层级对象327可被用作定义可被授予权限的资源类型的结构的基础。也就是说,层级对象327可根据与用于为资源类型定义权限的应用数据相关的结构来定义权限。例如,可根据位置和区域来组织和构成与电话服务管理应用相关的电话信息和数据。因此,可根据电话服务管理应用指定的位置和区域定义以及分类来定义层级。可选地或附加地,层级可以表示用来为资源类型定义权限的组织结构。例如,层级对象327可以在组织或公司内定义安全级别或地位以及每个级别或地位之间的关系。在另一个例子中,层级对象327可以为运输应用资源类型定义包括城市、州、地区和国家级别或节点在内的地理层级。国家节点可表示层级中的最宽泛级别,接下来是地区、州和城市。接下来由权限对象305定义的权限可以应用于和/或关联到各种层级级别。因此,与国家级别活动相关的运输权限可与层级中的国家级别或节点相关联,而与州内公路运输相关的一个或多个权限可与层级中的州级别相关联。
[34]根据一个或多个方面,可通过列表对象328来表示可赋予权限的目标项的列表。例如,可将规定“James作为管理人允许修改时间条目”的权限分解成在目标项“时间条目”上进行“修改”的动作。在另一个例子中,可创建指定“James作为管理人允许修改开支条目”的权限。该权限可分解成在目标项“开支条目”上进行“修改”的动作。根据一个或多个实施方式,资源类型可与定义权限的目标项的预定义集合相关联。目标项集合可由列表对象328表示,而集合中的每一项可存储为诸如列表项对象329之类的项目对象。在一个例子中,财务应用可包含多个目标项,例如每季收入数据、财务预测信息、开支数据和/或投资记录,这些目标项可定义一个或多个权限。同样,用户在将权限添加到财务应用的时候,可在目标项集合中选择一个或多个与应用或应用类型(即,资源类型)相关联的项目。可以将目标/列表项目和列表作为整体进行添加、删除和/或修改。可替换地或附加地,列表/目标项目还可与层级中的一个或多个特定级别相关联。也就是说,某个列表/目标项目的权限可局限到一个或多个指定的层级级别。
[35]可以使用由资源属性对象326表示的资源属性来定义权限与一个或多个其他对象之间的关联和关系。例如,可以对层级资源属性进行定义,从而在层级中识别被赋予权限的一个特定的节点或级别。同样,列表资源属性可以指定权限对应于的特定列表项。换句话说,资源属性可以定义权限的范围(即,被赋予权限的层级节点和/或列表项)。权限可与包括层级和列表资源属性的多个资源属性相关联,这多个资源属性可被存储或定义为一个资源属性集合。根据资源属性集合对象323可定义和/或创建资源属性集合。资源属性集合通常涉及与单独的权限或资源类型相关联的一组资源属性。同样,使用多个列表资源属性或资源属性集合可将权限与多个列表项或层级节点关联起来。在一种或多种配置中,资源属性集合可增强资源属性的数据检索。
[36]权限可以包括诸如与权限相关的用户、用户角色和动作之类的组成部分。同样,可由动作对象310来存储和/或表示动作。另一方面,角色对象320可用于在组织结构中定义用户角色,而用户对象325可用于在相应的组织中表示特定的用户或雇员。在一种或多种例子中,每个由用户对象325所表示的用户可与由角色对象320所表示的角色相关联。在模型300中的每个对象,例如对象305、310、315、320、323、325、326、327、328、329和330,还可以包括一个或多个引用其他对象的数据字段或链接。例如,权限对象305可包括引用与用户对象325、资源类型对象315、角色对象320和规则对象330相关联的或存储在其中的信息的字段。数据字段可用于指定包括每个对象的识别信息在内的各种特性。
[37]图3A以及随后的附图中的箭头标记表示从一个数据对象到另一个数据对象的链接。链接可以表示和存储在可以共享和/或引用相似的权限信息的数据对象之间的关系信息。箭头标记的方向可定义哪个对象是被引用的对象以及哪个对象是发出引用的对象。例如,示出一个链接将资源类型对象315链接到权限对象305。该链接指向权限对象305。因此,链接可以指示权限对象305包括一个或多个对由资源类型对象305存储和/或保持的数据的引用。类似地,用户-角色映射对象335可以引用和/或包括由用户对象325和角色对象320存储的数据。这样的链接允许企业权利框架(即,权限管理系统)来定义对应于特定权限的多种数据和/或组成部分之间的关联。一般来说,数据对象之间的链接为与权限相关的个体对象提供了意义。
[38]图3B说明了从概念上将两个权限场景映射到本文所描述的数据模型的各个方面和特征的图。两个权限场景可与相同的资源类型(例如政府采购应用类型)或不同的资源类型相关联。图3B所解释的数据模型将权限拆分成六个组成部分。在场景1中,权限允许Bill作为司法部(DoJ)的定购负责人来定购帧中继器。将场景1的权限分解成逻辑数据模型的结构,“Bill”可被识别和存储为用户,“DoJ的定购负责人”被定义成用户“Bill”扮演的角色。随后,或将剩余的权限解析成包括动作对象和/或列表项对象在内的各种附加对象。例如,“定购”可解释为权限中的动作,“帧中继器”可被定义成权限的目标项。在一种或多种配置中,权限还可包括规则。规则可表示用户和/或角色可以在怎样的条件下对资源执行动作或利用资源执行动作。在一个例子中,条件可以约束用户Bill在早上6点至晚上6点之间执行他的权限。
[39]通过将权限解析和存储成独立的组成部分和特性,逻辑数据模型/基础结构可以提供一个灵活且可扩展的管理系统,在添加新应用和/或修改旧的应用时,实施新的和/或经修改的权限、资源类型以及角色。更进一步,使用资源属性来定义权限自动演变的不同组成部分与权限的自我调节/重新定义之间的关系。例如,可以通过将新的目标项添加到在与权限相关联的资源属性中标识的列表,将由权限对象定义的权限赋予附加的目标项。因此,权限或权限对象的手动重新定义或重新编程不再是必需的。
[40]图3B的场景2描述了Alice作为DoJ的副定购负责人(OA),其具有浏览定购数据的权限。对于根据权利框架和模型的一个或多个配置来解析权限,可将用户定义为“Alice”,将“DoJ的副定购负责人”定义为角色,将“浏览”定义成动作,将“定购数据”定义为列表项。根据权限还可确定诸如“如果用户是请求者的下级”之类的规则。图3B所解释的模型仅是权利框架的一个举例,并不意味是对本文所描述的特征和情况的限制。例如,可以在图3B所解释的框架中添加权限的各种其它部分和/或情况。
[41]回到图3A,对象305、310、315、320和325可以存储权限的一个或多个属性,例如图3B所描述的内容。诸如用户-角色映射对象335和权限-动作映射对象340之类的其他对象也可以被实施来提供用于追踪和管理对象之间的关联的信息。作为例子,用户-角色映射对象335提供用户和角色之间的关联表。因而,如果使用权限管理系统的应用请求了和某个角色相关联的所有用户的列表,则可以访问一个或多个用户-角色映射对象335来检索这样的信息。相似地,如果应用请求了对应于某个动作的所有权限,则可使用权限-动作映射对象340来提取信息。
[42]为了更详细地描述数据模型,图4A-4F将图3A中解释的对象和结构分组成诸如权利、层级、权限、资源类型、用户和角色以及规则之类的功能种类。例如,图4A图示说明了与权限管理系统中的权利功能相关的多个对象和结构。权利种类包括多个对象,所述多个对象通过向用户显示他们在高级别(即在应用层)具有的权限来驱动用户经历。换句话说,建立权利种类的对象和数据结构410、402、404、408和409通过资源类型提供了对数据模型中为用户存储的权限信息的高级显示。这种权限信息的高级显示还可被存储在诸如对象408之类的粗粒度权限对象中。权利功能可由对象来驱动,所述对象例如是应用对象402、资源类型-应用映射对象404、权限状态对象406、粗粒度权限对象408和入口对象409。入口对象409定义了网络前端,用户可通过该网络前端访问用户的一个或多个权限所关联和/或存储的应用。对不同的应用可以定义不同的入口。在一种或多种实施方式中,可以根据一个或多个应用参数对相同应用的不同实例定义不同的入口或网络前端。应用参数可以确定什么资源类型和/或权限是可用的并可被提供给用户。应用参数可包括例如可定义权限的目标项以及用户可以执行的可用动作。根据应用需要以及特性的不同,每个应用还可进一步与不同的入口相关联。
[43]此外,应用对象402可以识别资源类型或资源类型对象所对应的特定应用。另一方面,资源类型-应用映射对象可用于映射资源类型和相应的应用之间的关系。在一种或多种情况中,应用可关联多个资源类型。例如,特定的运输管理应用可以对应地铁运输资源类型、航空资源类型以及地面运输资源类型。可选地,应用可与同一资源类型的多个实例相关联。通过资源类型-应用映射对象404可为对应于应用的资源类型的识别提供便利。为了快速查找,映射对象404可以存储资源类型与一个或多个应用之间的关联。
[44]粗粒度权限对象408定义了与应用或资源类型相关联的权限的种类或总和。例如,财务交易应用可以和诸如“删除财务记录的ID字段”、“添加财务记录”和“调整预报”之类的细粒度权限相关联。在一些情况下,用代表所有细粒度权限的按钮或链接来呈现用户接口或GUI会使用户信息过载。因此,粗粒度权限对象408定义了在用户接口中可与链接或按钮相关联的一种或多种权限种类或类型的细粒度权限。在上述例子中,细粒度权限可与用于确定“修改财务记录”选项是否在用户接口显示或以其他方式可用的粗粒度权限相关联。因此,不是处理三种不同的权限,而是可以使用单个粗粒度权限来确定要呈现给用户的选项。权限状态对象410可以指定粗粒度权限是否对特定用户来说是可用的/活动的,或者是不可用的/不活动的。
[45]图4B解释说明了可包含多个与权限的存储和表示相关的对象及结构的权限种类。具体地,权限对象305存储了与权限的多个方面和组成部分相关的信息和链接。例如,权限对象305可以包括用于识别与权限对象305所代表的权限相对应的用户、角色和权限类型的字段。权限类型对象410可用于定义一个或多个权限类型,例如,用户和组类型权限。权限对象305还可与由一个或多个资源属性集对象412定义的一个或多个资源属性集相关联。资源属性集可以存储由资源属性对象414代表的一个或多个资源属性。资源属性集还可用作缓存机制,用来载入与权限相关联的属性以及加快属性数据的检索。
[46]在一种或多种配置中,资源属性对象414可用来定义与权限相关联的特定资源类型的一个或多个属性。资源属性还可定义权限与诸如层级节点之类的另一个对象之间的关系。在这种情况下,由资源属性定义的关系可以表示权限范围中的层级节点所包含的内容。资源属性还可以定义列表或目标项与权限之间的关系。特别是,资源属性可以确定权限所管辖的列表或目标项。因此,可以根据与权限有关系的对象(例如,资源属性、层级节点和/或列表项)的一个或多个修改来自动重新定义或调整权限的范围。也就是说,不需要对权限或权限对象进行人工重新配置或重新定义。也可以定义其他的资源属性并与权限相关联。
[47]此外,由权限级联对象416定义的权限级联可用于通过增加具有指定特性的层级节点和/或列表项来定义或修改权限的范围。在一种情况下,特性可以包括关系。换句话说,与选定节点或项目之间的关系和由权限级联确定的关系相匹配的附加的层级节点或列表项可被添加到权限范围中。例如,权限级联可用于将权限分配给层级节点和从属于该节点的所有节点。具体地,可以给用户一个诸如“所有子节点”的选项。在另一个例子中,权限级联可向用户提供一个选项(例如,“所有列表”)来将权限不仅赋予特定的列表项,并且还赋予同一列表中的其他项目。权限级联选项或快捷方式可以使管理员无需选择和/或赋予权限到层级中的每个子节点。因此,数据模型可以使用权限级联对象416来定义和/或创建在明确授予的权限和一个或多个由快捷方式确定的权限之间的关联。在包括层级类型和节点类型的权限级联中还可使用其它特性类型。
[48]根据一个或多个方面,权限级联还允许在添加新的层级节点或列表项的事件中自动进行权限的自我调节。例如,诸如“所有子节点”这样的权限级联可以自动将新添加的子节点与响应该添加的权限关联起来。类似地,根据“所有列表”权限级联选项,添加给与权限相关的新目标项可自动与权限相关联。因此,使用这样的权限级联系统,可以不需要对权限或权限的其他组成部分进行人工重新定义来适应新添加的参数。
[49]图4C解释说明了与资源类型相关的对象和结构。如上所述,资源类型可映射到可为之定义权限的应用类型。数据模型可使用动作对象310来为资源类型定义一个或多个可使用的动作。例如,雇员管理应用可以包括与轮班分配、增加/开除雇员、修改工资等相关的命令。这样,可将上述动作中的每一个添加到资源类型,而诸如出货或转移这样的动作则不可以。此外,可根据诸如模板对象422这样的资源属性模板对象来定义与特定资源类型相关的资源属性。资源属性模板为给定的资源类型定义属性。因此,为给定的资源类型定义权限可能需要定义所有由模板指定的属性。
[50]在一种或多种配置中,资源属性模板可以包括无效标记,该标记定义了属性是否必须进行定义。资源属性模板也可以包括可授予标记,该标记指定了是否可以将权限授权给资源属性。例如,在公共工程系统中,权限不能授予对应于州层级节点的属性,但可授予对应于城市层级节点的属性。这种配置可有效地阻止过宽的权限定义。模板还可以提供关于数据格式和存储格式的说明。具体地,模板对象422可指定一个或多个必需的字段、每个字段的最大数据大小、数据类型和/或它们的组合。通过资源属性模板还可定义诸如父节点和子节点之类的资源属性之间的关系。
[51]图4D中解释说明了实现层级和列表的数据对象和结构。列表通常与对象、目标项和/或其他信息的集合有关。另一方面,层级通常涉及对象、数据和/或其他信息的集合,其中根据一个或多个特征对信息进行归类或排列。层级和列表可相对独立使用,或者可选地,可组合使用。例如,层级的不同级别可与可用项目的不同列表相关联。因此,可以允许第一层级层次的权限在项目的一个不同列表中操作。更进一步,节点分类对象436可用于区分层级节点和列表节点。此外,还可由相应于节点类型对象438的节点类型来定义层级和/或列表中的节点。例如,地理层级(如国家、州、城市)中的节点可具有地理类型节点。类似地,也可以通过相应于层级类型对象432的类型变量(例如Hierarchy_Type_ID)来特征化层级。可通过用户来定义层级类型,层级类型可包括地理层级、安全层级、位置层级等。还可以通过层级确定变量(例如Hierarchy_ID)来确定层级。
[52]图4E对用户和角色图进行了说明,该图示出了用于在权限管理系统中实现和/或支持权限的用户和角色成分的几个对象和结构320、325、335、452、454、456。用户对象325可以存储包括用户识别符、地址信息、电话号码数据、电子邮件信息等在内的各种字段。根据由用户类型对象452和用户状态对象454分别定义的用户类型和用户状态,还可对用户对象325进行特征化。用户状态的举例包括活动用户、非活动用户、删除的用户,而用户类型的举例可包括内部和外部用户类型。权限管理系统还可包括诸如用户扮演对象456之类的用户扮演对象来允许第一用户扮演第二用户。根据一个或多个条件,第一用户可继承第二用户的一个或多个权限。因此,用户扮演对象456可存储包含第一用户识别符(例如User_ID)和第二用户识别符(例如User_Impersonation_ID)在内的数据,其中第二用户识别符用来识别继承第一用户的用户(即,在第一用户的授权下扮演)。用户扮演对象456还可包括有效日期和截止日期来定义有效继承的周期。
[53]如上所述,用户和角色还可通过用户角色-映射对象335定义的用户角色映射来链接。用户角色-映射对象335存储用户和特定角色之间的对应和关联。因此,如果用户Liz在组织中扮演人力资源经理,权限管理系统可使用用户-角色映射对象335将用户Liz与人力资源经理角色相关联。如角色对象320这样的角色对象包括存储信息的字段,所存储的信息诸如是角色名、角色描述和截止日期。如同用户扮演和角色,用户-角色关联也可以包括截止日期和/或有效日期来确保该关联不会过期。
[54]图4F解释了包括规则对象330、规则类型对象462和权限规则映射对象464在内的权限规则图。规则对象330可定义一个或多个规则或条件来限制权限。例如,财务数据修改权限可取决于日期时间和安全级别。因此可将日期时间条件定义为限制财务数据修改权限的规则。使用权限规则映射对象464可将权限和规则相关联。在一种或多种配置中,可以对一个权限定义多个规则。规则可存储在列表中作为列表项。还可通过规则类型对象462定义的一个或多个规则类型对多个规则进行归类和分类。规则类型可包括,例如,有效日期范围、有效时间范围、大于/小于日期、数字范围、列表项条件、值列表条件、大于/小于条件和文本匹配。
[55]此外,根据一种或多种情况,根据权限规则的评估,权限可对用户或角色有效。例如,权限规则可以规定用户权限的有效取决于是否将用户指定为第一部门的角色。这种权限可用于定购图书或一些其他项目。因此,如果用户角色改变,对图书进行定购的用户权限将是无效的。换句话说,用户权限改变了。根据权限规则,用户权限是动态且自调节的。
[56]图5A-E解释说明了根据本文所描述的构造和模型的各种情况的权限创建和定义。例如,在图5A中,可使用层级对象501、层级类型对象504、节点分类对象515、节点类型对象511、列表对象513、列表项对象514和层级节点对象507来创建层级。层级对象501可定义具有Hierarchy_ID为1000以及Hierarchy_Type_ID为1000的层级。Hierarchy_Type_ID可以识别和/或对应于登记类型对象504定义的地理层级类型。此外,层级可与相应于层级的各个级别或成分的多个层级节点507a、507b和507c相关联。每个节点507a、507b和507c同样可由节点类型对象511定义的一个或多个节点类型进行特征化。每个节点507a、507b和507c还可指定深度参数来识别层级中节点所属或分配的级别。例如,节点类型对象511可定义诸如星体、国家、州、城市和坐标方格之类的节点类型。因此可将每个节点507a、507b和507c识别为节点类型中的一种。例如,节点507a对应于星体节点类型(用Node_Type_lD字段和值表示),而节点507b对应于国家节点类型。
[57]层级节点还可以包含诸如节点名称、双亲层级节点id和根部层级节点id之类的字段。双亲层级节点id可用于定义层级中节点间的关系。因此,在一种或多种情况中,可将层级节点507a定义成层级节点507b的双亲层级节点。每个节点507a、507b和507c还可以在root_hierarchy_node_ID中指定层级根节点。通过指定由节点分类对象515定义的节点分类id或值可将节点识别为列表节点或层级节点。在一种或多种配置中,节点类型可与列表对象513以及列表项对象514定义的由权限应用的列表项的列表相关联。在一个例子中,列表可包含诸如电子网格、水路网格和道路网格之类列表项。
[58]图5B解释说明了资源类型以及与其关联的资源属性模板的定义。资源类型对象519可定义诸如公共工程系统之类的特定资源类型。资源类型对象519还可识别一个或多个用于组织相应于资源类型的权限的使用和/或应用的关联层级。资源类型还可使用资源属性模板对象523定义的一个或多个属性模板来定义需要的属性。这种模板可定义必须为与资源类型相关联的权限定义的属性列表。模板可使用本文所描述的无效字段来指定需要以及不需要哪些属性。每个模板也可以识别双亲资源属性模板来特征化资源属性之间的关系。根据一种或多种情况,根据资源属性模板对象523中的Resource_Type_ID字段,资源属性模板可与特定的资源类型相关联。
[59]图5C解释说明了分别由用户对象527、角色对象531和用户-角色映射对象535定义的用户、角色、用户-角色映射。每个角色对象531和用户对象527可分别定义一个或多个角色和用户。例如,在图5C中,用户对象527定义两个用户,分配一个用户id为1001,分配另一个用户id为1002。角色可以指定组织中的用户角色或者他或她所承担的特定角色。角色对象531定义公共工程系统角色与公共工程系统相对应的任务相关联(而不是,例如自来水工程或道路工程系统)。用户-角色映射对象535可用于将用户和角色相关联。例如,用户-角色映射对象535可定义相应于用户id 1001的用户与公共工程系统角色之间的关联性。
[60]在图5D中,可根据角色定义权限。也就是说,将权限分配给角色(例如,由角色对象552定义的公共工程系统角色),所述角色可以分配一个或多个用户。权限可存储于权限对象554并与动作、权限类型和/或资源属性集相对应。动作对象541可定义和存储诸如修改和浏览之类的动作,而权限类型对象545可定义和存储包括用户和角色在内的权限类型。权限动作映射对象560可定义和/或存储动作与权限之间的关联性。与权限类型对象554制定的角色(即,role_id1000确定的角色)相关联的用户允许执行定义的动作。权限动作映射的使用进一步允许对与权限相关联的动作的自动重新定义和/或重新配置,而无需对权限的参数进行人工或特定的修改。此外,资源属性对象549可用于对权限或资源类型进行特征化。例如,资源属性对象549可存储用于指定层级节点配置的属性。特别是,通过将权限与相应的资源属性相关联,可将权限与层级节点或级别相关联。此外,权限反向规格化对象558可用于定义细粒度权限和粗粒度权限之间的对应,其中细粒度权限是由权限对象554来定义的。可以对每一个与使用粗粒度权限对象562的特定角色相关联的独立用户定义粗粒度权限。这样,粗粒度权限对象554可以为每个与特定角色相关联的用户(用户1001和1002)存储两个粗粒度权限。如上所述,粗粒度权限可表示宽泛的描述或细粒度权限的分类。特别是,可以从动作和类别列表项中提取权限,或将权限归类到其中。例如,可以为具有诸如“浏览对音乐部门的订单”、“浏览对音频部门的订单”以及“浏览对计算机部门的订单”之类的多个权限的用户定义诸如“浏览订单”之类的粗粒度权限。因此,粗粒度权限“浏览订单”可以将用户链接到对应于不同部门的独立浏览订单权限。在另一个例子中,与添加、删除以及修订列表项相关的权限可以归入“修改”粗粒度权限中。在另一个例子中,诸如回顾、打印和保存之类的细粒度权限可归类到“浏览”粗粒度权限中。
[61]图5E解释说明了基于粗粒度权限对象562的粗粒度权限定义。尤其是粗粒度权限对象562定义两个粗粒度权限,即粗粒度权限id 1000和1001。权限状态对象566可用于描述粗粒度权限的状态。在一个例子中,权限状态该可包括活动的和非活动的。另一方面,资源类型应用映射对象570可定义资源类型和应用之间的关联性。这种关联性允许用户或权限管理者浏览和/或确定与特定应用相关联的资源类型以及权限,反之亦然。例如,资源类型应用映射对象570可存储公共工程系统资源类型(即,资源类型id 1000)与公共工程系统应用(即,资源类型id 1)之间的对应。在一种或多种配置中,同样定义用于创建用户接口从而促进权限访问的入口。例如,入口可用于向用户显示与多个不同应用相关的可利用的粗粒度权限。或使用入口对象574来定义入口。
[62]图6A-6D解释说明了权限定义的另一个例子。然而,与图5A-5E相比,图6A-6D的权限定义是基于用户,而不是基于角色。特别地,图6C解释说明了基于由用户对象605和用户状态对象610定义的用户来创建权限,而图6D则解释说明了粗粒度权限的定义。通过用户对象可以定义和/或存储用户,并且还可以通过诸如激活、待决和/或被删除这样的用户状态来描述用户。因此,权限对象615可以确定与用户对象605相对应的用户,而不是确定角色。类似地,权限反向规格化对象620可以根据用户,而不是角色,将粗粒度权限与细粒度权限相关联。因此,如图6A-6D所解释的,粗粒度权限对象625可以为权限对象615确定的一个用户(即与user_id 1000相关联的用户)仅创建一个粗粒度权限定义。与图5D和5E相比,由于图6A-6D中所描述的权限不是根据围绕一个以上用户的角色所定义的,因此可以为一个用户仅定义一个粗粒度权限。图6A解释说明了层级和列表的定义,而图6B解释说明了资源类型的定义。可以采用与基于角色的权限几乎相同的方式为基于用户的权限创建和/或定义层级、列表和资源类型。
[63]使用一个或多个包括历史表格对象、错误记录和追踪对象以及资源输入对象在内的维护对象可进一步支持和/或管理本文所描述的数据对象、结构及方法。图7A解释说明了可用于追踪和记录与一个或多个其他对象相关的特定事件。例如,角色历史705可用于追踪与特定角色或角色对象相关的动作和/或状态信息。类似地,资源类型历史对象710可存储历史数据,该数据与对特定资源类型或资源类型对象进行的修改相关。其他历史对象可包括权限历史对象715、用户历史对象720和动作历史对象725。可响应触发或预定义的规则来记录事件和信息。例如,资源类型历史对象710可响应检测对资源类型的改变来添加条目。用户可以检索表格和历史对象705、710、715、720中的每一个来审计或分析对权限系统进行过的改变。
[64]图7B解释说明了几种错误日志记录和活动追踪对象。每个错误日志记录和活动追踪记录对象与一种不同类型的日志相关。例如,应用异常日志对象730可用于存储响应应用命令和/或请求而产生的异常。另一方面,FTP输出日志对象735可用于建立识别从权限管理系统的ftp输出活动的日志。仍旧是在另一个例子中,资源输入错误日志对象740可用于存储在特定资源类型输出时遇到的错误。本领域的技术人员将意识到使用这些对象可以追踪各种活动和错误,并且可添加其他日志来追踪其他错误和活动。此外,日志记录和活动追踪对象730、735和740可响应在系统内定义的触发、预定义规则和/或事件。
[65]图7C图示说明了用于维护系统内使用和/或存储的各种类型数据的主列表的资源输入对象。例如,输入层级对象747可存储与一个或多个层级相关并在权限管理系统中表示的数据。类似地,输入动作对象可与系统定义的动作表格或列表相一致。在一种或多种配置中,主列表和/或表格可被用作用于在ETL处理过程中验证输入文件的控制列表。另一方面,为了确定权限将要进行的改变,可将诸如输入产品对象745之类的的输入产品表格或对象用于目标项和/或层级的输入列表。例如,如果新的目标项被添加到应用或资源类型,可通过输入产品主列表以及将主列表与权限管理系统中使用的当前列表进行比较,从而确定这些新的目标项。根据一个或多个确定的差别,对一个或多个与有效权限相关联的项目列表进行更新(例如,从列表中添加或删除项目)。输入动作对象750可以为更新和检测与应用或资源类型相关联的动作的改变提供相似的功能。此外,可以对权限的改变进行追踪,并将其记录到权限增量输出文件。可将该文件发送给应用,或者是管理员或用户可以利用该文件。
[66]上述维护对象中的每一个都可用于包括编辑和误差检查在内的各种目的。这些对象也可用于将数据载入诸如图4A-4E中所解释的那些对象之类的一个或多个其他对象。此外,还可在值的前后存储上述维护对象中的一个或多个,从而使用户可以执行调试功能。例如,诸如在图7B中所解释的那些追踪对象可用于记录基于新的输入数据而对一个或多个权限进行的改变。可将这些改变存储到增量输出文件(例如存储在先前的4小时内发生变化的权限的文件)。接着可将文件传送给一个或多个相关应用。
[67]图8解释说明了用于在权限管理系统中执行权限的方法。可根据相关的权限信息,通过用户和/或由管理系统自动对权限进行定义。可选地或附加地,可通过网络服务器和/或管理控制台用户接口来添加权限。例如,在步骤800,可通过权限管理系统接收添加权限的请求。例如,可以通过网络服务网关从用户那里接收请求,例如网关220(图2)。根据该请求,在步骤805中可提取或确定一种或多种信息类型。各种信息类型包括列表项信息、动作信息、用户数据、角色数据、层级信息等。
[68]在步骤810中,可创建新的权限对象来存储新的权限并建立各种属性与权限相对应的数据对象之间的关联。在步骤815中,例如,诸如动作对象和角色对象之类的对象可与权限对象相关联。对象之间的连接可以根据对象之间的依赖性以及关系和/或其中存储的数据来建立。在一个或多个实施方式中,可将关系和连接定义成资源属性对象中存储资源属性。
[69]在步骤816中,系统可确定在层级中权限被关联的位置。该确定可通过用户输入或根据默认的层级级别进行。在步骤817中,系统可确定用户是否希望定义一个权限级联。用户可指定用于识别权限所关联的一个或多个附加的或其他的层级节点或列表项的关系或描述。例如,如果用户选择“所有子节点”权限级联选项,系统可识别一个或多个作为子节点级别的节点或不走816中确定的节点。如果选择了权限级联,在步骤818中权限级联可与权限相关联。此外,在步骤819中,可以确定一个或多个与权限级联所指定的描述或关系相匹配的节点或项目。
[70]在步骤820中,可以为权限所应用的每个层级节点确定相应的资源属性。这些节点可包括明确的用户选择节点和/或通过权限级联不明显选择的节点。在步骤825,可以为权限所应用的列表项确定相应的资源属性。例如,权限可允许用户去浏览不同类型的数据。这样,那些不同类型数据中的每一种都可以由资源属性来表现并与权限相关联。此外,用户可明确选择或不明显地通过权限级联选择列表项。在步骤830,可在资源属性集中链接、存储或关联与权限相应的资源属性。在步骤835中,系统可确定是否对一种或多种权限规则进行了定义或创建。如果是这样,在步骤840中可将权限规则与权限相关联。在一种或多种配置中,可将权限规则分配给一个或多个与权限相关联的节点。通过定义权限应用需要符合或可由用户使用的特定条件,权限规则可以限制权限。在一种或多种情况下,权限对用户是否有效取决于应用到权限规则的用户特征(例如角色)。例如,权限规则可指定在早六点至晚六点之间可执行电子订单。在另一个例子中,用于定制财务报告的权限可取决于用户是否具有管理角色。这样,如果用户的角色改变,对该用户来说,其将不再具有可以定制财务报告的权限。在步骤845,属性或属性集还可以与权限相关联,从而描述权限的一个或多个参数(例如,层级级别和/或目标列表项)。
[71]根据一种或多种情况,可以为管理者或用户从历史表格对象、错误日志记录和追踪对象、和/或资源输入对象中检索数据进而重新浏览和/或分析。为了调试接口和/或功能,也可以从一个或多个错误日志记录和追踪对象中提取日志。使用历史表格对象、错误日志记录和追踪对象以及资源输入对象存储的信息和数据可以创建各种接口和功能。
[72]使用本文所描述的特征和情况,应用可以从中心权限管理系统中获得权限信息。根据一种或多种配置,中心权限管理系统可以做出批量输出,该批量输出将与一个或多个权限相关的信息存储到单独的文件或数据结构中。可使用各种工具来提供这种批量输出,包括基于解决方案的XML。然后应用就可以解析该输出文件来确定相关的权限和信息。
[73]此外,使用本文所描述的方面和特征增强了权限管理系统中的灵活性和可扩展性。特别是,基于对权限模型的其它部分或对象进行的修改或改变,可以自动重新定义权限模型的各部分或对象。例如,诸如“所有子节点”这样的权限级联可以用来响应对层级结构的修改(例如添加子节点)来自动重新定义相应权限的范围。在另一个例子中,与权限相关联的资源属性集合中的资源属性可以确定权限所应用的特定项目列表。因此,通过添加新的项目到列表中,可自动将权限应用到新的项目中。此外,除了列表之外,不需要对内容进行手动重新配置或修改。
[74]此外,在一种或多种配置中,可以将诸如层级、资源类型、应用等这样的新对象添加到权限管理系统,而无需增加或修改系统中的程序设计。也就是说,无需新的程序设计就可以添加新的资源类型和新的应用。因此,可以通过生成新的对象样例以及为新的对象样例定义一个或多个参数来创建对象。这些参数可包括名称、识别号码或代码、和/或对应于一个或多个新对象所关联的对象的识别信息。
[75]根据本发明的优选和示范实施方式已对本发明进行了描述。本领域的普通技术人员通过本文揭露内容的回顾将发现在附加权利要求的范围和精神中的许多其它实施方式、修改和变化。
Claims (20)
1、一种存储用于管理与资源类型相对应的权限的数据基础结构的计算机可读介质,该数据基础结构包括:
层级对象,用于定义与资源类型相关联的层级结构,其中所述资源类型对应于被赋予权限的一个或多个应用,并且其中所述层级结构包括层级节点;
层级节点对象,被配置为存储层级节点;以及
资源属性集对象,用于存储一个或多个资源属性的集合,其中所述一个或多个属性包括层级属性和列表项属性中的至少一个,
其中,根据所述一个或多个资源属性来定义权限范围;以及
其中,响应于所述基础结构的组成部分被修改,自动对权限范围进行重新定义。
2、根据权利要求1的计算机可读介质,其中通过修改与层级节点对象的一个或多个参数相关联的数据来配置层级节点对象。
3、根据权利要求2的计算机可读介质,其中所述层级节点对象指定层级节点在层级中所属的的级别。
4、根据权利要求1的计算机可读介质,其中所述数据基础结构还包括存储权限动作映射的权限动作映射对象,其中所述权限动作映射确定与权限相对应的一个或多个动作。
5、根据权利要求1的计算机可读介质,其中所述基础结构的组成部分包括所述层级结构、所述一个或多个资源属性的集合以及项目列表中的至少一个。
6、根据权利要求1的计算机可读介质,其中所述数据基础结构还包括存储权限级联的权限级联对象,其中该权限级联根据指定的特性确定被赋予权限的一个或多个附加层级节点。
7、根据权利要求6的计算机可读介质,其中该指定的特性包括层级节点关系。
8、根据权利要求7的计算机可读介质,其中所述节点关系包括子节点。
9、根据权利要求1的计算机可读介质,其中所述数据基础结构还包括为准予权限而定义权限规则的权限规则对象。
10、根据权利要求1的计算机可读介质,其中用户的权限有效性取决于根据权限规则对用户的一个或多个特性的评估。
11、一种存储用于管理权限的数据模型的计算机可读介质,该数据模型包括
权限对象,用于存储与资源类型相对应的权限;
层级对象,用于存储具有层级节点的层级结构,其中根据资源类型定义该层级结构;
列表对象,用于存储目标项列表,其中从目标项列表选择被赋予权限的目标项;
权限级联对象,用于存储指定特性的权限级联,其中根据该指定的特性来修改权限的范围。
12、根据权利要求11的计算机可读介质,其中所述指定的特性包括列表项关系和层级节点关系中的至少一个。
13、根据权利要求12的计算机可读介质,其中将与选择的目标项之间的关系与所述列表项关系相匹配的附加的目标项添加到所述权限范围中。
14、根据权利要求12的计算机可读介质,其中将与所述层级节点之间的关系与所述层级节点关系相匹配的附加的层级节点添加到所述权限范围中。
15、根据权利要求11的计算机可读介质,其中所述指定的特性是目标项列表中的成员资格。
16、根据权利要求15的计算机可读介质,其中当新的目标项添加到目标项列表时,用该新的目标项自动更新所述权限范围。
17、一种存储数据模型的计算机可读介质,该数据模型包括:
层级对象,用于定义与资源类型相关联的层级结构,其中该层级结构包括一个或多个层级节点;
存储权限的权限对象,其中权限至少是基于用户或基于角色中的一种;
资源属性集对象,用于存储一个或多个资源属性的集合,其中所述一个或多个属性包括层级属性和列表项属性中的至少一个,并且其中根据所述一个或多个属性来定义权限的范围;以及
权规则对象,用于定义准予权限范围的权限规则。
18、根据权利要求17的计算机可读介质,其中权限规则对应于一种或多种权限规则类型,该一种或多种权限规则包括日期范围、时间范围、小于日期、数字范围、列表项条件、值列表、大于准予条件和文本匹配中的至少一种。
19、根据权利要求17的计算机可读介质,其中响应层级结构的改变,自动重新定义权限范围。
20、根据权利要求17的计算机可读介质,其中响应一个或多个用户特性的改变,自动修改用户的权限有效性。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/469,414 | 2006-08-31 | ||
| US11/469,414 US8931055B2 (en) | 2006-08-31 | 2006-08-31 | Enterprise entitlement framework |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101256605A true CN101256605A (zh) | 2008-09-03 |
| CN101256605B CN101256605B (zh) | 2013-03-06 |
Family
ID=38826505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710185730.3A Expired - Fee Related CN101256605B (zh) | 2006-08-31 | 2007-08-30 | 企业权利框架 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8931055B2 (zh) |
| EP (1) | EP1895446A3 (zh) |
| CN (1) | CN101256605B (zh) |
| CA (1) | CA2599518C (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102024183A (zh) * | 2009-09-11 | 2011-04-20 | 上海宝信软件股份有限公司 | 企业信息管理系统 |
| CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
| CN102467642A (zh) * | 2010-11-17 | 2012-05-23 | 北大方正集团有限公司 | 用于应用软件的权限控制方法和装置 |
| CN103745282A (zh) * | 2012-10-17 | 2014-04-23 | 镇江雅迅软件有限责任公司 | 一种基于岗位抽象的权限管理方法 |
| CN104217309A (zh) * | 2014-09-25 | 2014-12-17 | 中国人民解放军信息工程大学 | 管理系统资源信息对象的方法和装置 |
| CN105450581A (zh) * | 2014-06-20 | 2016-03-30 | 北京新媒传信科技有限公司 | 权限控制的方法和装置 |
| CN105653930A (zh) * | 2014-10-21 | 2016-06-08 | 广西大学 | 数据库粗粒度安全审计方法 |
| CN106980547A (zh) * | 2015-10-12 | 2017-07-25 | 计算系统公司 | 在具有公用平台的监视系统中的可扩展资产类 |
| CN107102906A (zh) * | 2017-04-26 | 2017-08-29 | 福建中金在线信息科技有限公司 | 一种应用程序的数据处理方法及装置 |
| CN105320498B (zh) * | 2014-05-28 | 2018-05-25 | 中国科学院沈阳自动化研究所 | 基于图形的可配置多层次生产追踪可视化方法 |
| CN110675126A (zh) * | 2019-09-25 | 2020-01-10 | 广东绍林科技开发有限公司 | 一种轻量级的项目权级分配管理系统及方法 |
| CN110968851A (zh) * | 2019-12-19 | 2020-04-07 | 北京思特奇信息技术股份有限公司 | 一种业务权限的管控方法、管控系统及计算机可读介质 |
| CN111046354A (zh) * | 2019-11-05 | 2020-04-21 | 京东数字科技控股有限公司 | 一种访问和客户端访问管理方法、系统及介质 |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7496588B2 (en) * | 2005-06-27 | 2009-02-24 | Siperian, Inc. | Method and apparatus for data integration and management |
| US8150803B2 (en) | 2006-01-03 | 2012-04-03 | Informatica Corporation | Relationship data management |
| US20070214179A1 (en) * | 2006-03-10 | 2007-09-13 | Khanh Hoang | Searching, filtering, creating, displaying, and managing entity relationships across multiple data hierarchies through a user interface |
| US7523121B2 (en) | 2006-01-03 | 2009-04-21 | Siperian, Inc. | Relationship data management |
| US8645906B2 (en) * | 2006-09-12 | 2014-02-04 | Sandeep Jain | Method for enforcing change policy based on project state |
| WO2008141382A1 (en) * | 2007-05-21 | 2008-11-27 | Honeywell International Inc. | Systems and methods for modeling building resources |
| US8271477B2 (en) * | 2007-07-20 | 2012-09-18 | Informatica Corporation | Methods and systems for accessing data |
| US20090094682A1 (en) * | 2007-10-05 | 2009-04-09 | Peter Sage | Methods and systems for user authorization |
| US8166071B1 (en) * | 2008-05-22 | 2012-04-24 | Informatica Corporation | System and method for efficiently securing enterprise data resources |
| US8327419B1 (en) * | 2008-05-22 | 2012-12-04 | Informatica Corporation | System and method for efficiently securing enterprise data resources |
| US20100114618A1 (en) * | 2008-10-30 | 2010-05-06 | Hewlett-Packard Development Company, L.P. | Management of Variants of Model of Service |
| US9241002B2 (en) * | 2008-11-10 | 2016-01-19 | Red Hat, Inc. | Trusted relationships in multiple organization support in a networked system |
| US8955151B2 (en) | 2011-04-30 | 2015-02-10 | Vmware, Inc. | Dynamic management of groups for entitlement and provisioning of computer resources |
| US10049131B2 (en) * | 2012-07-02 | 2018-08-14 | Salesforce.Com, Inc. | Computer implemented methods and apparatus for determining user access to custom metadata |
| US20140136295A1 (en) | 2012-11-13 | 2014-05-15 | Apptio, Inc. | Dynamic recommendations taken over time for reservations of information technology resources |
| US9477838B2 (en) | 2012-12-20 | 2016-10-25 | Bank Of America Corporation | Reconciliation of access rights in a computing system |
| US9495380B2 (en) | 2012-12-20 | 2016-11-15 | Bank Of America Corporation | Access reviews at IAM system implementing IAM data model |
| US9189644B2 (en) | 2012-12-20 | 2015-11-17 | Bank Of America Corporation | Access requests at IAM system implementing IAM data model |
| US9483488B2 (en) | 2012-12-20 | 2016-11-01 | Bank Of America Corporation | Verifying separation-of-duties at IAM system implementing IAM data model |
| US9537892B2 (en) * | 2012-12-20 | 2017-01-03 | Bank Of America Corporation | Facilitating separation-of-duties when provisioning access rights in a computing system |
| US9529629B2 (en) | 2012-12-20 | 2016-12-27 | Bank Of America Corporation | Computing resource inventory system |
| US9542433B2 (en) | 2012-12-20 | 2017-01-10 | Bank Of America Corporation | Quality assurance checks of access rights in a computing system |
| US9639594B2 (en) | 2012-12-20 | 2017-05-02 | Bank Of America Corporation | Common data model for identity access management data |
| US9489390B2 (en) | 2012-12-20 | 2016-11-08 | Bank Of America Corporation | Reconciling access rights at IAM system implementing IAM data model |
| US10157228B2 (en) * | 2013-02-22 | 2018-12-18 | Mitel Networks Corporation | Communication system including a confidence level for a contact type and method of using same |
| US10417591B2 (en) | 2013-07-03 | 2019-09-17 | Apptio, Inc. | Recursive processing of object allocation rules |
| US10326734B2 (en) * | 2013-07-15 | 2019-06-18 | University Of Florida Research Foundation, Incorporated | Adaptive identity rights management system for regulatory compliance and privacy protection |
| US9576263B2 (en) * | 2013-09-19 | 2017-02-21 | Oracle International Corporation | Contextualized report building |
| US10325232B2 (en) | 2013-09-20 | 2019-06-18 | Apptio, Inc. | Allocating heritage information in data models |
| US20150106500A1 (en) * | 2013-10-14 | 2015-04-16 | Bank Of America Corporation | Application provisioning system |
| US11244364B2 (en) | 2014-02-13 | 2022-02-08 | Apptio, Inc. | Unified modeling of technology towers |
| US9985992B1 (en) * | 2014-09-19 | 2018-05-29 | Jpmorgan Chase Bank, N.A. | Entitlement system and method |
| US9935964B2 (en) | 2014-10-08 | 2018-04-03 | Oracle Financial Services Software Limited | Access control for objects having attributes defined against hierarchically organized domains containing fixed number of values |
| WO2016055878A1 (en) * | 2014-10-08 | 2016-04-14 | Oracle Financial Services Software Limited | Access control for objects having attributes defined against hierarchically organized domains containing fixed number of values |
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| WO2017003496A1 (en) | 2015-06-30 | 2017-01-05 | Apptio, Inc. | Infrastructure benchmarking based on dynamic cost modeling |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10268979B2 (en) | 2015-09-28 | 2019-04-23 | Apptio, Inc. | Intermediate resource allocation tracking in data models |
| US10387815B2 (en) | 2015-09-29 | 2019-08-20 | Apptio, Inc. | Continuously variable resolution of resource allocation |
| US10726367B2 (en) | 2015-12-28 | 2020-07-28 | Apptio, Inc. | Resource allocation forecasting |
| US10380513B2 (en) * | 2016-03-11 | 2019-08-13 | Sap Se | Framework for classifying forms and processing form data |
| US10474974B2 (en) | 2016-09-08 | 2019-11-12 | Apptio, Inc. | Reciprocal models for resource allocation |
| US10936978B2 (en) | 2016-09-20 | 2021-03-02 | Apptio, Inc. | Models for visualizing resource allocation |
| US10482407B2 (en) | 2016-11-14 | 2019-11-19 | Apptio, Inc. | Identifying resource allocation discrepancies |
| US10157356B2 (en) | 2016-12-14 | 2018-12-18 | Apptio, Inc. | Activity based resource allocation modeling |
| US10237294B1 (en) | 2017-01-30 | 2019-03-19 | Splunk Inc. | Fingerprinting entities based on activity in an information technology environment |
| CN107480557A (zh) * | 2017-08-07 | 2017-12-15 | 成都牵牛草信息技术有限公司 | 显示所有系统使用者当前权限状态的授权方法 |
| US10572669B2 (en) * | 2017-08-14 | 2020-02-25 | Onapsis, Inc. | Checking for unnecessary privileges with entry point finder |
| US11443046B2 (en) | 2017-08-14 | 2022-09-13 | Onapsis, Inc. | Entry point finder |
| US10719609B2 (en) | 2017-08-14 | 2020-07-21 | Onapsis, Inc. | Automatic impact detection after patch implementation with entry point finder |
| US10268980B1 (en) * | 2017-12-29 | 2019-04-23 | Apptio, Inc. | Report generation based on user responsibility |
| US10324951B1 (en) | 2017-12-29 | 2019-06-18 | Apptio, Inc. | Tracking and viewing model changes based on time |
| US11775552B2 (en) | 2017-12-29 | 2023-10-03 | Apptio, Inc. | Binding annotations to data objects |
| US10686795B2 (en) | 2018-02-20 | 2020-06-16 | Accenture Global Solutions Limited | System for controlling access to a plurality of target systems and applications |
| US10708274B2 (en) | 2018-02-20 | 2020-07-07 | Accenture Global Solutions Limited | System for controlling access to a plurality of target systems and applications |
| US11372992B2 (en) | 2018-07-19 | 2022-06-28 | Bank Of Montreal | System, methods, and devices for data storage and processing with identity management |
| US10848498B2 (en) * | 2018-08-13 | 2020-11-24 | Capital One Services, Llc | Systems and methods for dynamic granular access permissions |
| CN110968580B (zh) * | 2018-09-30 | 2023-05-23 | 北京国双科技有限公司 | 一种数据存储结构的创建方法及装置 |
| US11494740B1 (en) * | 2021-10-29 | 2022-11-08 | People Center, Inc. | Techniques for providing alerts in a time and attendance system |
| US20240037238A1 (en) * | 2022-07-28 | 2024-02-01 | Dell Products L.P. | Enabling flexible policies for bios settings access with role-based authentication |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1860471A (zh) * | 2004-03-22 | 2006-11-08 | 三星电子株式会社 | 数字权限管理结构、便携式存储装置以及使用该便携式存储装置的内容管理方法 |
| CN1926534A (zh) * | 2003-12-31 | 2007-03-07 | 绿驰通讯科技有限公司 | 管理数字权限的方法 |
| CN1934819A (zh) * | 2004-03-22 | 2007-03-21 | Lm爱立信电话有限公司 | 用于电子内容的数字权限管理的系统和方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5261102A (en) * | 1991-03-28 | 1993-11-09 | International Business Machines Corporation | System for determining direct and indirect user access privileges to data base objects |
| US5568639A (en) * | 1993-11-24 | 1996-10-22 | Menai Corporation | Method and apparatus for providing an object-oriented file structuring system on a computer |
| US5903720A (en) * | 1996-12-13 | 1999-05-11 | Novell, Inc. | Object system capable of using different object authorization systems |
| US5930801A (en) * | 1997-03-07 | 1999-07-27 | Xerox Corporation | Shared-data environment in which each file has independent security properties |
| US6418447B1 (en) * | 1999-06-14 | 2002-07-09 | International Business Machines Corporation | Registration of object factories under multiple interface names |
| US6601233B1 (en) * | 1999-07-30 | 2003-07-29 | Accenture Llp | Business components framework |
| US6449627B1 (en) * | 2000-01-21 | 2002-09-10 | International Business Machines Corp. | Volume management method and system for a compilation of content |
| WO2002005154A2 (en) * | 2000-07-10 | 2002-01-17 | It Masters Technologies S.A. | System and method of enterprise systems and business impact management |
| WO2002021413A2 (en) * | 2000-09-05 | 2002-03-14 | Zaplet, Inc. | Methods and apparatus providing electronic messages that are linked and aggregated |
| US6999956B2 (en) * | 2000-11-16 | 2006-02-14 | Ward Mullins | Dynamic object-driven database manipulation and mapping system |
| US7203945B2 (en) * | 2001-08-16 | 2007-04-10 | Sun Microsystems, Inc. | Import/export utility and a method of processing data using the same |
| US7350226B2 (en) * | 2001-12-13 | 2008-03-25 | Bea Systems, Inc. | System and method for analyzing security policies in a distributed computer network |
| US20070203771A1 (en) * | 2001-12-17 | 2007-08-30 | Caballero Richard J | System and method for processing complex orders |
| US7529680B2 (en) * | 2002-03-29 | 2009-05-05 | Siebel Systems, Inc. | Screening electronic service requests |
| US20070222589A1 (en) * | 2002-06-27 | 2007-09-27 | Richard Gorman | Identifying security threats |
| US8443036B2 (en) * | 2002-11-18 | 2013-05-14 | Siebel Systems, Inc. | Exchanging project-related data in a client-server architecture |
| WO2004109443A2 (en) * | 2003-06-02 | 2004-12-16 | Liquid Machines, Inc. | Managing data objects in dynamic, distributed and collaborative contexts |
| US7461302B2 (en) * | 2004-08-13 | 2008-12-02 | Panasas, Inc. | System and method for I/O error recovery |
| US20060074980A1 (en) * | 2004-09-29 | 2006-04-06 | Sarkar Pte. Ltd. | System for semantically disambiguating text information |
| US7467373B2 (en) * | 2004-10-18 | 2008-12-16 | Microsoft Corporation | Global object system |
| US8478616B2 (en) * | 2004-10-29 | 2013-07-02 | FrontRange Solutions USA Inc. | Business application development and execution environment |
| US20060206507A1 (en) * | 2005-02-16 | 2006-09-14 | Dahbour Ziyad M | Hierarchal data management |
| US7748027B2 (en) * | 2005-05-11 | 2010-06-29 | Bea Systems, Inc. | System and method for dynamic data redaction |
| US7774827B2 (en) * | 2005-06-06 | 2010-08-10 | Novell, Inc. | Techniques for providing role-based security with instance-level granularity |
| US7899820B2 (en) * | 2005-12-14 | 2011-03-01 | Business Objects Software Ltd. | Apparatus and method for transporting business intelligence objects between business intelligence systems |
| US20070162494A1 (en) * | 2005-12-30 | 2007-07-12 | Thomas Schneider | Embedded business process monitoring |
-
2006
- 2006-08-31 US US11/469,414 patent/US8931055B2/en active Active
-
2007
- 2007-08-30 CA CA2599518A patent/CA2599518C/en active Active
- 2007-08-30 CN CN200710185730.3A patent/CN101256605B/zh not_active Expired - Fee Related
- 2007-08-31 EP EP07253440A patent/EP1895446A3/en not_active Ceased
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926534A (zh) * | 2003-12-31 | 2007-03-07 | 绿驰通讯科技有限公司 | 管理数字权限的方法 |
| CN1860471A (zh) * | 2004-03-22 | 2006-11-08 | 三星电子株式会社 | 数字权限管理结构、便携式存储装置以及使用该便携式存储装置的内容管理方法 |
| CN1934819A (zh) * | 2004-03-22 | 2007-03-21 | Lm爱立信电话有限公司 | 用于电子内容的数字权限管理的系统和方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102024183A (zh) * | 2009-09-11 | 2011-04-20 | 上海宝信软件股份有限公司 | 企业信息管理系统 |
| CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
| CN102467642A (zh) * | 2010-11-17 | 2012-05-23 | 北大方正集团有限公司 | 用于应用软件的权限控制方法和装置 |
| CN102467642B (zh) * | 2010-11-17 | 2015-02-25 | 北大方正集团有限公司 | 用于应用软件的权限控制方法和装置 |
| CN103745282A (zh) * | 2012-10-17 | 2014-04-23 | 镇江雅迅软件有限责任公司 | 一种基于岗位抽象的权限管理方法 |
| CN105320498B (zh) * | 2014-05-28 | 2018-05-25 | 中国科学院沈阳自动化研究所 | 基于图形的可配置多层次生产追踪可视化方法 |
| CN105450581A (zh) * | 2014-06-20 | 2016-03-30 | 北京新媒传信科技有限公司 | 权限控制的方法和装置 |
| CN105450581B (zh) * | 2014-06-20 | 2019-12-03 | 北京新媒传信科技有限公司 | 权限控制的方法和装置 |
| CN104217309A (zh) * | 2014-09-25 | 2014-12-17 | 中国人民解放军信息工程大学 | 管理系统资源信息对象的方法和装置 |
| CN105653930A (zh) * | 2014-10-21 | 2016-06-08 | 广西大学 | 数据库粗粒度安全审计方法 |
| CN106980547A (zh) * | 2015-10-12 | 2017-07-25 | 计算系统公司 | 在具有公用平台的监视系统中的可扩展资产类 |
| CN106980547B (zh) * | 2015-10-12 | 2022-06-14 | 计算系统公司 | 在具有公用平台的监视系统中的可扩展资产类 |
| CN107102906A (zh) * | 2017-04-26 | 2017-08-29 | 福建中金在线信息科技有限公司 | 一种应用程序的数据处理方法及装置 |
| CN107102906B (zh) * | 2017-04-26 | 2019-12-17 | 福建中金在线信息科技有限公司 | 一种应用程序的数据处理方法及装置 |
| CN110675126A (zh) * | 2019-09-25 | 2020-01-10 | 广东绍林科技开发有限公司 | 一种轻量级的项目权级分配管理系统及方法 |
| CN111046354A (zh) * | 2019-11-05 | 2020-04-21 | 京东数字科技控股有限公司 | 一种访问和客户端访问管理方法、系统及介质 |
| CN110968851A (zh) * | 2019-12-19 | 2020-04-07 | 北京思特奇信息技术股份有限公司 | 一种业务权限的管控方法、管控系统及计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080060058A1 (en) | 2008-03-06 |
| EP1895446A3 (en) | 2009-12-16 |
| EP1895446A2 (en) | 2008-03-05 |
| CA2599518C (en) | 2016-06-21 |
| US8931055B2 (en) | 2015-01-06 |
| CN101256605B (zh) | 2013-03-06 |
| CA2599518A1 (en) | 2008-02-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101256605B (zh) | 企业权利框架 | |
| US7231378B2 (en) | System and method for managing user profiles | |
| CN102165447B (zh) | 用于管理对于实体的组织信息的访问的技术 | |
| US6850939B2 (en) | System and method for providing selective data access and workflow in a network environment | |
| CN101552842B (zh) | 用于电信服务中心的呼叫中心应用数据和互操作架构 | |
| US6067548A (en) | Dynamic organization model and management computing system and method therefor | |
| CA2545446A1 (en) | Systems and methods for retrieving data | |
| CN101796752A (zh) | 无限企业平台 | |
| JP2008533630A (ja) | モバイルデータシステムのためのデータ管理 | |
| CN102027492A (zh) | 用于分组数据管理和分类的方法和系统 | |
| US8645431B2 (en) | Multi-level supply chain management system and methods | |
| CN111179139B (zh) | 互联网+监管数据处理方法及装置 | |
| US20080133589A1 (en) | Management of an operations chain through customizable applications and components | |
| US20040210468A1 (en) | System and method for providing a territory management tool | |
| CN113919680A (zh) | 一种基于通用任务构建管理信息系统的方法 | |
| CN111611220A (zh) | 一种基于层级式节点的文件共享方法及系统 | |
| CN104615636A (zh) | 一种基于互联网的个人与商业资源匹配的方法 | |
| CN101383030A (zh) | 项目进行过程中的问题跟踪系统及问题跟踪方法 | |
| CN114021871A (zh) | 一种项目智慧管理系统 | |
| Heindel et al. | Next generation project management systems, part 2: prototyping | |
| CN109885625A (zh) | 基于配电网健康指数评估的数据管理系统及方法 | |
| CN113553322A (zh) | 基于四维表单的数据分类汇总自主搭建方法和工具 | |
| CN117474648A (zh) | 一种基于树形结构实现产业链额度管控的系统及方法 | |
| Aggarwal et al. | Policy implications of organizational decision support systems | |
| Frenkel et al. | Computer Science Department, University of Amsterdam {annef, hamideh, cesar, bob}@ wins. uva. nl THE NETHERLANDS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: ACCENTURE GLOBAL SERVICES GMBH Free format text: FORMER OWNER: ACCENTURE INTERNATIONAL GMBH Effective date: 20101213 Owner name: ACCENTURE INTERNATIONAL GMBH Free format text: FORMER OWNER: ACCENTURE GLOBAL SERVICES GMBH Effective date: 20101213 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: LUXEMBOURG, LUXEMBOURG TO: DUBLIN, IRELAND Free format text: CORRECT: ADDRESS; FROM: SCHAFFHAUSEN, SWITZERLAND TO: LUXEMBOURG, LUXEMBOURG |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20101213 Address after: Dublin, Ireland Applicant after: ACCENTURE GLOBAL SERVICES Ltd. Address before: Luxemburg Luxemburg Applicant before: Accenture international LLC Effective date of registration: 20101213 Address after: Luxemburg Luxemburg Applicant after: Accenture international LLC Address before: Schaffhausen Applicant before: ACCENTURE GLOBAL SERVICES Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130306 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |