CN1487414A - 具有可扩展功能的元目录代理 - Google Patents
具有可扩展功能的元目录代理 Download PDFInfo
- Publication number
- CN1487414A CN1487414A CNA031538649A CN03153864A CN1487414A CN 1487414 A CN1487414 A CN 1487414A CN A031538649 A CNA031538649 A CN A031538649A CN 03153864 A CN03153864 A CN 03153864A CN 1487414 A CN1487414 A CN 1487414A
- Authority
- CN
- China
- Prior art keywords
- meta
- directory
- proposes
- software
- agency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4552—Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99942—Manipulating data structure, e.g. compression, compaction, compilation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
- Y10S707/99945—Object-oriented database structure processing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99948—Application of database or data structure, e.g. distributed, multimedia, or image
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99951—File or database maintenance
- Y10S707/99952—Coherency, e.g. same view to multiple users
- Y10S707/99953—Recoverability
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
一个双向元目录代理,包含一个数据源转换器层;一个过滤器和规则层用于封锁不允许的改变;一个映射层用于把改变命令中的属性从局部属性名集合变换成元目录属性名集合,反之亦然,以及用于在所述代理内部共用格式和目录改变协议之间转换改变命令;一个可扩展的用户定制层用于实现定制的元目录代理功能;以及一个元目录接口用于以所述目录改变协议发送和接收所述改变命令。
Description
技术领域
本发明涉及但不限于实现元目录和经由门户服务器与元目录接口的技术。
背景技术
不论大的或小的利用计算机工作的企业都包含大量目录、网络操作系统和数据库,在其中存储公司数据、客户信息以及雇员数据。
在一些场合,要管理的数据被包含在一个同构的环境中,即数据的形式和格式是相似或兼容的。在这种情况中,周期性地执行一个“同步”过程,它比较分布式数据对象的内容并有选择地复制或更新全部数据源以包含适当的数据。
例如,电子邮件服务器的消息存储格式通常与电子邮件客户机上的存储格式相同。所以当一客户机登录到电子邮件服务器中时,该服务器能迅速确定是否存在任何“新”消息(即在服务器存储器中的那些尚未复制到该客户机存储器的消息)并把那些消息传送给客户机。许多分布式数据库产品,如IBM的Lotus Notes[注册商标]产品,能够进行更大规模的同构数据库的同步。
然而,含有相关的或部分相关的数据对象的许多数据源彼此并不同构,相反,它们在性质上是异构的。例如,关于公司雇员“John Smith”的信息可能被包含在公司的内联网内的许多不同的数据存储中。他的雇员记录(雇用日期、薪金级别、家庭住址、从属名等)可能被包含在人力资源服务器上的Oracle数据库中,而他的当前的委派任务信息可能被存储在Lotus Notes系统中的部门或分部服务器中(部门、经理名、电子信箱地址等)。
在异构数据源中管理数据对象的一种可用技术是轻量目录访问协议(“LDAP”)以及用于远程查询和修改LDAP允许的目录内数据对象的开放式工业标准。这一协议把查询和修改操作转化成统一的LDAP操作,它能由LDAP允许的服务器解释,以改变目录中的数据对象。
LDAP允许用户去确定组织、个人或其他资源的位置,如在网络中的文件和设备,不论是在公共因特网上还是在公司内联网上。LDAP是目录访问协议(DAP)的极小化版本,DAP是用于网络目录服务的X.500标准的一部分。
一些目录,如LDAP目录,有对变化日志的支持,该日志记录已对该目录做的改变。对于不支持变化日志的目录,用户或管理员有时开发他们自己的检测目录内变化的机制。这些技术通常包括轮询目录,识别自上次轮询操作以来已做的任何改变,一旦检测到改变,则报告一个条目已被修改,通常列出被改变条目的全部属性。
在下面的例子中,在XYZ公司的人力资源数据库中“John Smith”个人条目中的电话号码要更新为“838-1180”,而他的部门要改为部门“6”带有5个字段的原始条目可以表现为表1中所示的样子。
表1:原始条目示例
全名=“John Smith”
电话号码=“838-1178”
用户ID=“jsmith”
分部=92
部门=5
电子信箱=“ismith@xyzcorp.com”
其中该条目的格式是:
全名,电话号码,用户ID,分部,部门,电子信箱
由用户写的脚本可以轮询含有被改变条目的目录,它在变化日志中产生一个记录。在变化日志中的记录反映在进行表2所示一系列LDAP修改操作时对该条目的改变。
表2:LDAP变化日志示例
DN:cn=John Smith,ou=Austin,o=xyz
改变类型:修改
替换:电话号码
电话号码:838-1180
改变类型:修改
替换:用户ID
用户ID:jsmith
改变类型:修改
替换:分部
分部:92
改变类型:修改
替换:部门
部门:6
改变类型:修改
替换:电子信箱
电子信箱:jsmith@xyzcorp.com
对元目录中的其他目录所产生的更新,只是对每个数据对象整体更新,包括没有实际被修改的字段,因为通常的由用户开发的脚本不试图识别被更新或修改的实际数据字段。
如果与一系列单个字段修改操作相比,该轮询操作比较快的话,则由用户开发的解决方案将检测每个单个改变并多次更新整个元目录的每个条目(一次更新全部字段)。
这往往造成整个元目录中许多冗余的条目更新,而这只是为了实现实际数据中小的、递增的改变。当考虑的数据源合理组织时,它们可能包含数以百计的数据源,每个数据源有数千个条目,那么这些冗余更新对系统性能的影响是显而易见的。
除了低效率使用计算资源外,这还能在整体系统操作中造成相当大的问题,因为这些更新在计算机网络上传播,因而不必要地消耗带宽和中间存储器。
LDAP解决方案的另一个缺点在于旧版本目录可能会无限期存在,而且不是所有旧版本目录都可能被升级成与LDAP兼容。再有,LDAP实际上只提供一种公共访问协议(即访问目录的远程方法),但在它本身中不提供实际的异构数据源管理功能。
尽管一些LDAP复制标准正在开发之中,但尚未完成,许多现有的专有解决方案是不同的和不兼容的。在任何情况中,不论是专有的还是基于标准的复制和同步都不足以满足对企业范围的异构数据源目录进行管理的需求。
术语“元目录”是指一类企业目录管理工具,它们提供管理和同步两个或多个含有异构数据源的目录的手段。为了管理种类全异的异构数据源,典型的元目录产品可能要求单个数据源(例如目录、文件、数据库等)把它们的数据输出到一个共同的格式,然后使用文件传送、电子邮件或其他数据传送协议与元目录交换数据。在元目录接收来自数据源的文件后,管理员能添加或修改来自元目录的数据。一个这样的产品是VIA产品,最初是由Zoomit公司提供的,后由Microsoft(微软)公司获得。
元目录对于系统管理和安全性管理特别有用,因为它们能用做集成点以简化现有的解决方案和创建新的基于万维网的应用。例如,每个应用有它自己专有的方法或模式去存储与该应用关联的信息,不管它是用户信息、安全性信息、配置设置等。
通过使用元目录,这些各种数据存储可以被一次存储并集成,从而使它们可以被作为单个实体来管理和支配(根据元目录规则和限制),从而降低维持这些信息的总成本同时提高处置这些信息时的安全性和可靠性。
然而,因为当前的元目录产品可能要求各种数据源能把它们的数据输出到这些“共同的”格式中,那些不支持这种输出操作的数据源可能被排除在元目录包括的范围之外。
在根据当前这些过程管理来自多个异构数据源的条目时的另一个问题是信息可能未曾一致性地送入这些数据源,例如在一些条目内可能有逻辑上的同义语,但它们不是严格的字符串匹配。例如,在单个元目录内管理的三个数据源中,每个数据源含有关于“Robert Smith”的信息,名字“Robert Smith”可能已输入为:
在数据源1中是Robert Smith
在数据源2中是Bob Smith
在数据源3中是Rob Smith。
在自动解析或检测这些别名或相关条目方面,通常的元目录产品没有提供什么,往往要求管理员人工介入去管理这些数据对象。向这些含有同义语的记录传播改变的传统作法将是为每个记录变体传播改变。在这个例子中,为了更新整个元目录中“Robert Smith”的信箱地址,管理员首先得要知道这三个可用的同义语,然后人工地执行将会传播到整个元目录的三个单独的改变。
在相关申请中公开的系统和方法使在元目录中向条目传播更新对系统性能的影响减至最小。此外,这一系统与现有元目录工具和技术合作并扩展其能力,同时向用户或管理员提供可配置能力和控制。
因为元目录展现了统一管理和访问多种类型数据的机会,如果它能通过一个门户访问元目录中的数据以向用户提供额外的用途,那将是很有用的。
此外,由于通过向联合数据源适当地提交改变可以改变传统的元目录,所以需要提供安全性、认证、授权和数据完整性保证,以防止发生不正确的或未被授权的改变。这样,能向门户服务器提供互通信、安全性、过滤以及个性化特性的元目录会是有用的。
发明内容
提供了一个用于布署元目录和门户服务器的能与门户服务器集成的一致性体系结构,它允许通过该门户访问无结构的或有结构的数据。诸如目录、数据库、用户注册表等一些数据源包含“有结构的数据”(例如数据库记录),而其他数据源包含“无结构的数据”(例如电子邮件和文档)
这里公开说明的元目录支持这两类数据。有结构的和无结构的数据被映射成基于标准的格式条目格式,如LDAP格式。例如,这允许该元目录用于来自Oracle数据库、文件系统和Domino讨论数据库的数据,所有这些数据源内包含的数据有相当不同的格式和结构。还提供了门户服务器功能,包括安全性过滤和个性化。通过门户服务器功能,可以由该门户服务器服务的任意多系统访问和/或修改该元目录的内容。
附图说明
图1显示元目录部件的结构安排。
图2公开一个用于演示目的的元目录示例。
图3提供由元目录合并的可能的属性名和值集合的详细举例。
图4给出一个元目录结构的详情。
图5提供一个元目录代理的部件详情。
图6显示该元目录代理的一个实施例的逻辑过程。
图7提供用于演示目的的多条目匹配的举例。
图8提出产生元数据改变的高级逻辑过程。
图9显示对多条目匹配实现加权评分的逻辑过程。
图10提供当传播一个改变时由元目录代理完成的逻辑过程示例。
图11提供当接收一个改变时由元目录代理完成的逻辑过程示例。
图12显示由一个元目录代理(如元目录代理插件)完成的用于源认证的逻辑过程。
图13显示由一个元目录代理(如元目录代理插件)完成的用于源识别的逻辑过程。
图14显示向元目录提供门户服务器能力的系统和部件的结构安排。
具体实施方式
在一个实施例中,该系统可以作为众所周知的Tivoli Secure Way[注册商标]企业计算产品的延伸来实现。然而,本领域技术人员将不难理解其他适当的实现,如通常用于向其他元目录管理软件和系统增加功能的直接代码改变或其他技术。这些可替代的元目录管理软件产品包括,但不限于,来自Microsoft(微软)公司的VIA产品。
这里公开说明的系统和方法允许管理员给定用于从一个目录到另一个目录匹配对象的判据的规则,用于属性和对象所有权的规则,以及用于过滤属性的规则。例如,可以为一个元目录中的一个含有员工薪金信息的成份建立规则,以禁止该信息被复制或拷贝到其他目录、文件或数据库中。
一个元目录可以有下列功能的全部或其中的一部分:
(a)它同步一个或多个连入的异构数据源与元目录之间的信息;
(b)关于哪些数据源要被同步它是可配置的;
(c)它能使一个指针(如LDAP统一资源定位器(URL))指向一条信息,该信息是元目录必须为元目录用户解析的信息;以及
(d)它提供一种方法,能根据管理员定义的配置和规则从多个异构数据源复制数据。
这样,在一个可能的实施例中,本系统和方法提供的元目录是一个企业管理工具,它把多个不同的名字空间集成为逻辑上单一的名字空间,以提供公共信息模型(例如模式),对来自所有连接目录的信息的统一客户机访问,以及以统一方式管理多个不同目录的手段。然而,该元目录并不意味着把信息物理地整合到一个单一的主“巨型目录”中,也不是一个目录同步和复制工具。
再有,我们的元目录通过向异构数据源输入数据、改变其中的数据和从中输出数据而互连,该异构数据源包括但不限于数据库(例如DB2、Oracle等)、Lotus Novell目录服务、Netscape、OS/2目录、WindowsNT数据源等。
转到图1,图中显示我们的元目录体系结构(1)的一个实施例。结合器(10)是一中央集线器,在那里信息被集成和同步,它可通过使用Java bean(100)加以扩展。
结合器(10)直接地或通过元目录代理(12,15,17)与所连接的数据源(“DS”),如数据库(11,16)通信。结合器(10)把来自不同数据源的相同对象类型的条目合并到一起,如文本文件(18)、数据库(16,11)中的记录、连网的数据存储项目(13)、或其他可远程访问的数据存储,如LDAP目录(14,19)。结合器(10)在一个关系数据库(优选DB/2数据库)中保持来自每个数据源的被结合的数据的拷贝。在一个局部表(“LT”)(100)中包含每个数据存储器的每个对象类型。
将数据存储的每个被结合对象的条目反映为相应LT中的一个行条目。添加了一列,其中包含唯一的关键字或“匹配关键字”,用于标识所有数据存储的该对象的相同实例。
元目录代理(17)向结合器(10)传送对该元目录内的目录或数据源中的被结合对象所做的任何改变。这些改变被存储在变化日志中,该日志被传送给结合器。然后该结合器评估这些改变是否有效,然后把它们传播给该元目录中的其他目录。
这样,该结合器提供如下功能:
(a)通过把多种数据中的信息链接到一个聚合体中,把关于单个实体或共同主题的不同种类信息源组合到元目录中单一条目中;
(b)由一个结合(Join)代表一个组织中的所有资源;以及
(c)可由管理员定义规则以允许不同数据源之间的模糊匹配。
图2用一个例子进一步说明“结合”操作。一个人力资源数据库可以包含第一条目(22)用于雇员“Clark Kent”,包括他的雇员号、姓、名、头衔、工作电话号码、部门、雇用日期、薪金、家庭地址、家庭电话号码、以及医疗记录。在一个姓名地址记录簿(NAB)中,可能有一个Kent先生的条目(23),包含他的用户名、用户短名、他的邮件服务器和邮件文件的位置,以及用于进出因特网的外部电子邮件的电子信箱地址。在一个NT域目录中,可能有一个Kent先生的条目(24),包括用户ID、口令、服务器ID以及他所在的组列表。再有,在一个Novellware连接库中,可能有一个用户对象和一个或多个路由表(25)定义对Kent先生送、取的消息路径。
由元目录(20)完成的基本“结合”操作合并从这些数据源的每个中选出的数据项,以在局部表中为Kent先生创建一个条目(21)。来自未被合并或结合的数据源的对象被过滤掉。从统一的元目录的观点来看,这可以防止元目录被那些通常不需要的数据项目搞乱。例如,姓、名、头衔、工作电话号码和部门可以从HR(人力资源)数据库输出到该元目录,而滤掉其他属性(雇员号、雇用日期等)。此外,对于Kent先生,来自Novellware连接库的用户对象可以输出到该元目录,同时滤掉路由表。
这一灵活的管理控制根据特定的组织信息所有权和安全性要求,平衡集中化控制和局部自动化之间的矛盾。它允许“自顶向下”或“自底向上”地适应一个“地缘政治”场景的范围。再有,元目录(“MD”)相对于被管理的数据源可以是主控的、从属的或对等的,这决定了哪些实体可以创建、修改和删除数据对象。通过灵活的属性内容控制(例如过滤配置),能与对象创立、修改和删除的定义分离地定义双向流程。
继续以这个例子进行说明,人力资源(“HR”)部门可以控制HR数据库内某些属性(字段)的创立和删除,同时允许该元目录创建和删除HR数据库内的某些其他属性。这样,例如在图3中,HR的成员可以为每个雇员修改其姓名、头衔和部门属性(31),而元目录可以改变电话和家庭住址属性(32),它们可能是从其他的部门数据源(或许是姓名地址记录簿)传播来的(33)。
转到图4,图中提供结合器(10)的体系结构的一个可能实施例的详细图示。结合器(10)可以接收与数据源(“DS”)(43)关联的元目录代理(42)提供的数据对象改变,优选地以LDAP“改变”操作格式。结合器(10)还可以向数据源(43)发送改变。对每个MD代理(42)提供了适当的接口,如LDAP接口(41)。
在结合器(10)内,以一种通用格式,优选DB2格式,但也可以以任何其他适当的格式维持一个与每个数据源(43)关联的局部表(100)。然后这多个局部表被组合,以由表结合功能(45)创建结合的表(“JT”),它提供了被结合的异构数据的统一视图(46)。优选地,JT数据存储在LDAP服务器上,从而用户可以查看和访问JT数据。
为了响应从数据源或管理员接收的改变,去正确地识别必须改变的数据项,有两个问题要解决。每个数据项包括属性名和属性值。例如,在HR数据库中,在每个记录中可能有属性(即列)“surname”。对我们的例子Clark Kent,在HR数据库中的记录(即行),属性“surname”的值可能是“Kent”。
与准确匹配有关的第一个问题涉及在单个数据源内和在不同数据源之间解析属性值值的别名或同义语。例如,当在HR数据库的属性“First_Name”中发现“Bob”、“Robert”和“Rob”时,它们可能彼此全是同义的。标准匹配规则,如“Rob*”(这里“*”是通配符字符或通配字串)不会产生对“Bob”的匹配。修改过的匹配规则,如“*ob*”会找到别名“Bob”,但也会找到错误的“Job”。
与准确匹配有关的第二个问题涉及在不同数据源之间解析属性名(不是值)。例如,雇员的第一个名可能存储在HR数据库中的属性“First_Name”中,而在一个姓名地址记录簿中存储在属性“Name_1”中。当然,这两个问题组合在一起的情况也能发生,如
First_Name=“Robert”
和
name_1=“Bob”。
如前文讨论的那样,许多现有的元目录产品并不试图自动地解决这些同义语和匹配问题,而是为管理员提供工具进行人工匹配。然而,我们的元目录允许通过使用匹配插件(44)(优选地以Java bean和可扩展置标语言(XML)的形式)添加匹配和结合逻辑、规则和关系。使用这些匹配定义和逻辑,可以保持针对单个数据源的局部的属性命名约定并能定制主控、从属和对等角色。
转到图5,图中显示目录不可知的(directory-agnostic)元目录代理的更详细情况,它可由任何适当的面向对象编程技术来配置,如PERL、Java、Visual Basic或Python。它是一个双向服务堆栈,具有到公共服务(58)功能的数据源专用接口(59)。由数据源向元目录(500)报告的改变首先由DS接口(59)从数据源专用协议转换成内部通用格式,由公共服务(58)处置并由改变管理器(51)接收。
改变管理器跟踪这些改变并把它们记录到变化日志中。过滤器和规则(52)允许定义什么要输出到元目录和什么要被封锁输出。然后,这些改变被从局部属性名集映射为元目录属性名并被转换为LDAP协议格式,优选使用基于XML的模式映射。
提供了另一个处理阶段,用于通过扩展或插件功能进行用户定制(54),它是在把改变提交给LDAP代理进程(“SLAPD”)(41)之前的一个阶段,而SLAPD又把改变传送给元目录,优选使用安全套接层协议(“SSL”)。
元目录代理(42)从SLAPD(41)处接收(501)从元目录(例如从结合器)到数据源传播的改变。应用过滤器和规则(55)以保证只实现可由元目录改变的项目。然后,改变操作被从LDAP协议映射到公共服务格式,在此之后可执行任何定制插件。然后,由公共服务(58)处置改变操作并传送给数据源专用接口(59)。然后,数据源专用接口(59)把它从公共服务格式转换成直接与特定数据源兼容的命令(或命令集)。
在一个实施例中,改变管理器“在应用协助下”接近实时地响应数据源中的改变,并对相关的触发器应用插件式结构。对改变的记录可以是周期性的或轮询式的,或者可以由事件或改变来驱动。作为其最简单的形式,变化日志是一个基于文本的文件。
在图6中,显示出DB2表(100)、匹配插件和专门的结合器(44)、表结合功能(45)以及统一的结合表(46)之间的功能性安排。来自MD代理(来自数据源)的改变由匹配插件(44)处理,并存储在与发生该改变的数据源相关联的表(100)中。然后,如前所述,多个表(100)由结合逻辑(45)结合成JT统一视图(46)。由管理员通过统一视图(例如通过基于Java的用户接口工具)产生的改变被实现在数据源表100中,然后被传播出去到达MD代理,如先前描述的那样。
现在转到先前讨论的匹配逻辑,有两个问题要解决,以便有效地匹配和改变异构数据源中的条目,这两个问题是属性名同义语和属性值同义语。在一个可能的实施例中,下述组成部件和逻辑过程是作为对元目录结合器功能(如前述结合器或其他结合器功能)的Java bean扩展来实现的。本领域技术人员容易看出,替代的实现是可以得到的,如内部代码改变或独立的应用程序实现,都不脱离本发明的精神和范围。
回顾我们对成功的匹配系统所要解决的问题的举例和说明,可以对匹配表中的每个数据源对于姓(即给予名)、家庭电话号码、工作电话号码和头衔定义同义语。
匹配器插件的一个实施例对所有被结合的对象类使用单一的匹配表。对每个被结合的对象类指定一个匹配表名,用于可能实现多个匹配表。于是,在这个实施例中,所有对象类的所有匹配表名被指定为同一个名字。表3中显示一个匹配表示例,其中定义了名字和地址簿(NAB)及人力资源数据库的同义语,它们在属性名和属性值二者之中。
表3:匹配表示例
规则 属性名同义语 属性值同义语
1 HR: First name Rob*,Bob;
NAB:namel Daniel,Danny,Dan;
Liz,Elizabeth;
2 HR:Home tel 512-111-4321,111-4321;
NAB:telel 512-xxx-yyyy,xxx-yyyy;
3 HR:Work_tel 512-999-8888,X8888,ext.8888;
NAB:tele2 512-xxx-yyyy,Xyyyy,ext.yyyy;
4 HR:Title Supervisor,“group supervisor”
NAB:position
图8显示在元目录中产生和向数据源传播改变的高级逻辑过程(80)的一个实施例。如前文讨论的那样,结合器通常存储来自由元目录管理的目录的条目的局部拷贝。当结合器收到对一个目录中的一个条目的更新操作(81)时,它对该元目录局部表中的选定条目进行一个“应用”操作(82),建立含有更新结果的临时的被修改条目。
然而,该临时的被修改的条目没有被写入二级存储器(例如被传播到其他结合目录)。被修改的条目与原始的(未被修改的)条目加以比较(83),以识别原始条目和更新后条目之间的差别。
如果在原始条目和更新后条目之间没有差别(84),则没有任何更新向元目录中的其他目录传播,于是临时局部条目被删除。
如果有差别(84),则建立一个差别更新操作(86),只含有条目中被改变的字段并略去对字段不造成净变化的操作。然后,该差别更新被传播(87)到元目录中的其他目录,而该条目的原始的(未被修改的)局部拷贝被该条目的这个临时(更新后的)拷贝代替。由于元目录的被结合对象和目录的每个内容格式可能是不同的格式(例如NAB、DB2等),为了对受影响的项目实现差别改变,必须对不同格式的对象和目录执行不同的更新操作。该差别更新以共同的格式传播,优选的是LDAP,并由元目录代理转换成每个被结合对象和目录的必须格式。
在这个实施例中,实现一个条目类用于存储与众不同的名字和构成该条目的全部属性。这些属性以属性名按字母顺序排序。结果,把从一目录发送来的更新应用于结合器的“应用”操作特别有效。
结果,“差别”操作包含为把原始条目变换成新条目所需应用的更新或改变操作的最小集合,这提高了元目录中的时间响应与带宽消耗的有效性。
再有,在这个实施例中,应用编程接口(“API”)被映射到LDAPAPI。于是,负责把一个目录中产生的改变传播给结合器的元目录代理把这些改变记录成LDAP操作,如LDAP“添加”、“删除”或“修改”。
下面的举例说明元目录的操作,其中在XYZ公司的人力资源数据库中的个人“John Smith”的条目中的电话号码要被更新为838-1180,他的部门要被更新为部门6。具有五个字段的原始条目可以是先前表1中所示的样子。由元目录代理创建的变化日志中的记录示于表2,这些记录把对该条目的改变表现为LDAP修改操作。
当由元目录代理把改变发送给结合器时,该结合器把这些改变应用于它已局部存储的原始条目,以创建一个新的(临时)条目。在确定了旧条目和新条目的差别之后,结合器建立一个差别更新LDAP操作,如表4中所示。
表4:差别更新LDAP操作
DN:cn=John Smith,ou=Austin,o=xyz,
改变类型:修改
替换:电话号码
电话号码:838-1180
改变类型:修改
替换:部门
部门:6
然后,由结合器把这个差别更新操作传播给元目录中的其他目录。从这个简单的例子中容易看出,利用这一差别更新技术,传播带宽被减小了,更新处理要求被降低了。在实践中,大多数条目的字段数比5个字段多许多,而且在一个给定的时间段内可能发生对许多条目的更新,这使本发明的好处倍增。
在这个实施例中,为进行比较而选择要应用更新操作的局部表条目的步骤首先利用可由用户配置的同义语字典,包括匹配表,以减少对关键字或字段中含有同义语的记录进行多重操作,并协助从多个匹配条目中选择一个最匹配的条目。
这个匹配逻辑查阅同义语字典或“匹配表”,它在检验一个数据源的变化日志中的变化之前被执行,以把它减小到最小改变集合。
作为举例,图7提供两个数据源D1和D2中的一些条目示例。对于这一举例,还假定数据源D1是要被匹配的条目的元目录拷贝,而第二个数据源D2是要搜索匹配条目的数据源。还假定在数据源D1中有若干属性a1至an被映射到数据源D2中的a1′至am′。或许a1是数据源D1中的“First_Name”,它被映射到数据源D2中的“name1”或a1′。再有,对于这一示例,假设条目e0是在D1中的要被匹配的条目或记录(例如属性值集合),而D2的记录e1和e2二者都与e0中的a1匹配,例如:
e0(a1)=“Kris”;
e1(a1′)=“Chris”;以及
e2(a1′)=“Krishna”;它们全被定义为属性值同义语。
在大多数场合,数据源D2多半不会实际包含同一人“Kris”的两个记录,所以基于通常的匹配基本规则这一匹配没有被完全解决。大多数元目录产品会简单地记录这一匹配矛盾并把它报告给管理员供管理员人工解决。
然而,本发明的匹配过程通过提供加权匹配方案消除了为解决匹配问题的大部分这种无能为力的情况,在该方案中能使多个属性被匹配以确定一个更可能的匹配。例如,进一步假定数据源D1的属性a5是“头衔”,而数据源D2的a′5是“位置”。于是这两个属性能相互映射,而且能对那些属性之间的匹配赋予权重。假定给“First_name”(名)的权重为0.9,给“Title”(头衔)的权重为0.6,而且下面的例子记录
e0(a1,…,a5)=(“Kris”,…,“Manager(经理)”);
e1(a1′,…,a5′)=(“Chris”,…,“Contractor(承包商)”);以及
e2(a1′…,a5′)=(“Krishna”,…,“Supervisor(管理人)”);并假定“Manager”和“Supervisor”被定义为同义语,则e0和e1之间的总“分值”或权重是0.9(只在“First Name”上匹配),而在e0和e2之间为1.5(在First name和Title二者中均匹配)。如果希望的话,这一过程能通过把评分除以被映射和比较的属性数(在本例中是除以2)来规一化,并可以设置一个阈值,如果超过则表明是一个匹配。这一过程能扩展成在比较中包括任意个属性,每个属性有一个指定的加权赋值。
现在转到图9,图中更详细地显示根据一个可能实施例的逻辑过程(82),它把加权评分应用于多重匹配的条目。当该过程被启动(91)时,检验是否允许按同义语进行约简和匹配(92),如果是,则进行如前所述的加权评分(93),使用可由管理员配置的同义语字典(94)查找与被映射的属性中的值匹配的所有条目,从而只选出最佳匹配的一个条目。
既然选出了单一的最佳匹配条目,便把改变或更新应用(95)于选定条目的一个临时拷贝。
如图8中所示,处理过程继续到将更新后的条目与原始的(未修改的)选定条目进行比较(83)。于是,如果由于更新存在对该条目的净改变(例如临时拷贝不等同于原始拷贝),则处理过程继续到产生(86)一个差别更新操作并把该操作传播(87)到元目录内的其他目录。
可选地,可以对一个目录中的那些因条目中的字段或关键字是同义语而称作相同实体的多个条目加以标志或标记。这可以允许管理员查看这些有标记的条目,选择最佳代表该同义实体的单一条目,并删除该目录中的其他与其同义的条目。这减少了一个目录中需要管理的条目个数和所产生的变化日志条目的个数。
在我们的元目录代理的第一方面中,定义了一个分层堆栈,它能用于提供元目录操作功能,并允许安全性特性和个性化,如先前讨论和在图5中显示的那样。这允许相同的可配置构造块能用于多个用于实现门户的元目录。这允许元目录和门户聚集来自多种源的信息并向用户提供这一信息的统一的、个性化的视图。
我们的元目录代理的体系结构还允许这些代理在客户机设备上以及在服务器设备上都有用。同一个元目录代理的各通用层能在客户机上执行,在目录服务器上执行,或者它可与应用程序集成。通过把一个应用作为另一个后端过程对待,元目录功能能与该应用集成。由于一些门户服务器需要与企业现有的工作流及业务过程应用进行互操作,所以与应用的集成会是有用的。
我们的元目录把关于改变的通知推给多种设备(如PDA设备,WAP设备)的能力也是有用的。在实践中,某些服务器把通知“推”到设备中。我们的元目录提供从门户服务器到设备的工作能力,以及从一个门户服务器到另一个门户服务器的工作能力,这提供了个性化,如把一个规则引擎插到堆栈中。用我们的元目录,通过允许对发送给一设备的改变或更新进行后处理,从而能增强一个门户服务器的功能。此外,除了推给设备外,我们的元目录还有能力把关于改变的通知推给多种目录。
利用我们的元目录,通过“插件”可以提供安全性特性,这些插件允许用户认证和访问检验。这些对元目录和对门户服务器都是有用的。这里本发明通过把安全性插件插入代理堆栈,解决两个问题。第一个问题是在允许用户访问该信息之前进行认证和访问检验。第二个问题是保证在进行对等门户服务器交换时其内容被数字签署,以防止破坏其真实性和数据完整性。
为理解我们的元目录结构和代理如何能实现这些功能,我们把讨论转向元数据代理的详细情况。为把更特别的注意放在我们按图5所示组织的元目录代理的过程,在图10中显示了一个逻辑过程实施例,其中检测到(151)一个局部数据源(163)中的一个改变。该改变从该局部数据源专用的协议转换(152)成在元目录代理中使用的内部格式。然后这一改变被记录(153)在变化日志(154)中,并把任何过滤器和/或规则(155)应用于(156)整个该元目录以传播这一改变。
如果(157)按照规则和过滤器这一改变是要传播的,则这些改变被从局部属性名映射(158)到元目录属性名,而且被重新格式化。然后用户的插件功能可被处理(159),在此过程中可以调用其他联网的服务器或过程(例如,可以通过插件进行与其他服务器及过程的通信)。最后,该改变被传送给(160)结合器。
图11显示一个逻辑过程的实施例,该过程接收一个从一个元目录向一个局部数据源传播的改变,如由我们的元目录代理提供的那样。当从结合器或元目录的其他部分接收(171)一个改变时,可以应用(172)过滤器和规则(155)确定是否应实现(或拒绝)这一改变。如果要实现这些改变(173),则这个或这些改变被映射(174)到局部数据源的属性名,而且该改变被重新格式化成该局部数据源的协议。
然后可以执行(175)插件功能,期间可以通过与其他联网的服务器(162)或过程的通信,把那些服务器或过程调用到该处理过程中。最后,在局部数据源(163)中实现(176)这些改变,并把这些改变记录(177)在变化日志(154)中。
通过刚才描述的元目录代理体系结构的杠杆作用,现在提供两个功能。第一,提供了一个通过门户服务器进入元目录的门户。第二,提供了对等安全性,它允许一个元目录代理确认所收到的改变实际来自一个可信赖的源,而且未被变换。
首先说明门户的功能,因为对它的描述还有助于理解对等安全性功能。图14显示一个系统的可能实施例,该系统提供到一个元目录的门户。门户这个术语当前在信息技术和电子商务说法中的传统含义是一个系统或服务器,一个用户可以通过它在线访问多种数据或服务。例如,一个旅行计划网站可以看作是到各单独系统(如航线预订系统、汽车租赁系统以及旅行者信息数据库)的门户。
在图14的例子中,一个无线客户机(206),如无线联网的个人数字助理(“PDA”)要用于访问各种数据。对于这个例子,假定这个多样数据是与投资和商务有关的数据,如交易事务记录、新闻故事、公司简介、以及实时股票行情收录机信息。
于是,这类异构信息适于放入先前描述的元目录。此外,向元目录的结合器(10)提供了一个元目录代理(201),它与第一门户服务器(202)通信。该元目录代理“适应于”使用一个插件与该门户服务器通信,该插件与该门户服务器的通信能力兼容。例如,一个门户服务器可能可以使用TCP/IP协议通信。另一个门户服务器可能是面向事务的(例如一个股票买卖系统)和可能使用电子数据交换(“EDI”)进行通信。通过使用前述插件,基本上任何通信协议或模式(即HTTP、SSL、EDI、电子邮件、TCP/IP等)都能被集成到该元目录代理的体系结构中。于是,这允许一个元目录不仅集成不同类型和格式的数据源,而且还集成不同类型的通信能力。
再有,可以向门户服务器提供一个元目录代理(204)以与客户机系统(206)上的元目录代理(205)通信。这完成了元目录和客户机之间的通信路径。这样,客户机可以从该元目录内任何数据源接收信息,并可以向元目录提交改变或事务供传遍它的各数据源。
例如,该客户机可以提交一个投资者的地址改变,造成对元目录中包括的他的银行帐号、在线投资帐号、旅行档案等当中的地址的相应记录和实例的全部自动更新。类似地,当在元目录数据源中的信息改变时,客户机可以接收信息,如来自股票行情自动收录器报告服务器的股票价格,来自银行和投资所的帐户结算和值,以及由新闻服务发布的新闻。
在与我们的元目录的门户功能有关的第二个新特性中,通过在元目录代理中使用插件实现对等安全性。在刚才的使用关于金融信息和事务的门户的无线客户机实例中,显示出需要认证元目录改变的来源。例如,尽管客户机可以授权把资金从元目录中包括的一个帐户移动到该元目录中包括的另一个帐户,但还是希望能封锁和拒绝来自非授权来源的进行这种改变的企图。
这样,提供了一个对等(P2P)安全插件,它有逻辑过程如图12和图13所示实例。转到图12,当由一个元目录代理接收一个改变时,在局部数据源中实现这一改变之前,该插件认证该改变的来源,如通过与一个认证服务或服务器(如IBM的Web Sphere认证产品)的通信。如果该来源是真实的,则检验该来源看是否被适当授权进行所请求的改变。这也可通过与授权服务产品(如IBM的Web Sphere授权产品)的通信来实现。可以利用其他形式的认证和/或授权,如简单的名字和口令模式,公用密钥基础设施(“PKI”),数字签名,证书交换等。如果该来源未通过认证或未被授权进行这一改变,则改变的实现被封锁(178)。
图13显示产生和传播这一安全改变的逻辑过程,这是在元目录代理中实现的,如通过对该代理的一个插件。在请求(例如传播)该改变的数据源处,一个标识(191),如数字签名(或名字,或证书等)由元目录代理应用于改变命令或消息。也可以应用(192)其他形式的数据保密和完整性保证,例如加密、产生循环冗余码(“CRC”)等。然后,这一增强的改变命令传遍元目录,一旦收到它,接收方元目录代理的相应安全性插件将验证改变命令的真实性和授权。
由上文的描述将会理解,可以对所描述的实施例进行各种修改和改变而不脱离由下述权利要求定义的本发明的范围。
Claims (51)
1.一种双向元目录代理,包含:
一个数据源转换器层,用于把改变命令从数据源专用协议转换成代理内部共用格式,反之亦然;
一个过滤器和规则层,用于封锁那些不允许从数据源输出到元目录的改变以及那些不允许在数据源中实现的来自外部实体的改变;
一个映射层,用于把改变命令中的属性从局部属性名集合转换成元目录属性名集合,反之亦然,并用于在所述代理内部共用格式和目录改变协议之间转换改变命令;
一个用户定制层,用于实现定制的元目录代理功能;以及
一个元目录接口,用于以所述目录改变协议发送和接收所述改变命令。
2.如权利要求1中提出的代理,其中所述映射层被配置成在所述代理内部共用格式和轻量目录访问协议之间转换改变命令。
3.如权利要求1中提出的代理,其中所述元目录接口包含安全套接层通信接口。
4.如权利要求1中提出的代理,其中所述用户定制层包含一个或多个插件功能。
5.如权利要求1中提出的代理,其中所述用户定制层包含一个门户服务器通信功能。
6.如权利要求5中提出的代理,其中所述门户服务器通信功能包含一个插件功能。
7.如权利要求1中提出的代理,其中所述数据源转换器层包含一个客户机接口,用于提供客户机设备和从元目录结合器、元目录数据源以及门户服务器三者中选出的一个系统之间的通信。
8.如权利要求7中提出的代理,其中所述客户机接口包含一个应用程序后端。
9.如权利要求1中提出的代理,其中所述用户定制层包含一个改变通知推出功能,它把改变命令从门户服务器推到从下列一组中选出的一个系统:客户机设备、另一个门户服务器、元目录结合器以及元目录数据源。
10.如权利要求1中提出的代理,其中所述用户定制层包含一个个性化规则引擎,用于根据用户的偏好增加对改变命令封锁的限制。
11.如权利要求1中提出的代理,其中所述用户定制层包含一个后处理功能,用于其后处理先前已被传送到客户机设备中的改变和更新。
12.如权利要求1中提出的代理,其中所述用户定制层包含一个安全功能。
13.如权利要求12中提出的代理,其中所述安全功能包含一个用户访问授权验证过程。
14.如权利要求12中提出的代理,其中所述安全功能包含对请求改变者的授权服务。
15.如权利要求14中提出的代理,其中所述对请求改变者的授权过程包含一个数字签名验证功能。
16.如权利要求12中提出的代理,其中所述安全功能包含一个数据完整性保障功能。
17.如权利要求12中提出的代理,其中所述安全功能包含一个对等通信接口。
18.一种由一个双向元目录代理实现的方法,该方法包含:
把改变命令从数据源专用协议转换成代理内部共用格式,反之亦然;
根据第一组规则过滤和封锁改变命令,该组规则定义条件以允许和封锁要由元目录代理从局部数据源传输的改变命令以及要在局部数据源中实现的改变命令;
把所述改变命令中的属性从局部属性名集合映射到元目录属性名集合,反之亦然;
把改变命令从所述代理内部共用格式变换成目录改变协议,反之亦然;
实现一个或多个定制的元目录代理功能;以及
以所述目录改变协议对所述元目录代理收发所述改变命令。
19.如权利要求18中提出的方法,其中所述映射包含把改变命令从所述代理内部共用格式转换成轻量目录访问协议,反之亦然。
20.如权利要求18中提出的方法,其中所述收发所述改变命令进一步包含使用安全套接层协议进行通信。
21.如权利要求18中提出的方法,其中所述实现定制的元目录代理功能包含执行一个或多个插件功能。
22.如权利要求18中提出的方法,其中所述实现定制的元目录代理功能包含实现与门户服务器的通信。
23.如权利要求22中提出的方法,其中所述门户服务器通信包含执行一个插件功能。
24.如权利要求18中提出的方法,其中所述改变命令在数据源专用协议和代理内部共用格式之间的相互转换包括提供一个客户机接口,用于提供客户机设备和从元目录结合器、元目录数据源以及门户服务器三者中选出的一个系统之间的通信。
25.如权利要求24中提出的方法,其中所述客户机接口包含提供一个应用程序后端。
26.如权利要求18中提出的方法,其中所述实现定制的元目录代理功能包含把改变命令从门户服务器推到从下列一组中选出的一个系统:客户机设备、另一个门户服务器、元目录结合器以及元目录数据源。
27.如权利要求18中提出的方法,其中所述实现定制的元目录代理功能包含提供一个个性化规则引擎,用于根据用户的偏好增加对改变命令封锁的限制。
28.如权利要求18中提出的方法,其中所述实现定制的元目录代理功能包含对先前已被传送到客户机设备中的更新和改变进行后处理。
29.如权利要求18中提出的方法,其中所述实现定制的元目录代理功能包含实现一个安全功能。
30.如权利要求29中提出的方法,其中所述安全功能包含执行用户访问授权验证过程。
31.如权利要求29中提出的方法,其中所述安全功能包含执行对请求改变者的授权。
32.如权利要求31中提出的方法,其中所述对请求改变者的授权过程包含验证一个数字签名。
33.如权利要求29中提出的方法,其中所述安全功能包含实现数据完整性保障。
34.如权利要求29中提出的方法,其中所述安全功能包含实现对等通信。
35.一种用于双向元目录代理的以软件编码的计算机可读介质,所述软件实现的过程包含:
把改变命令从数据源专用协议转换成代理内部共用格式,反之亦然;
根据第一组规则过滤和封锁改变命令,该组规则定义允许和封锁要由元目录代理从局部数据源传输的改变命令以及要在局部数据源中实现的改变命令的条件;
把所述改变命令中的属性从局部属性名集合映射到元目录属性名集合,反之亦然;
把改变命令从所述代理内部共用格式变换成目录改变协议,反之亦然;
实现一个或多个定制的元目录代理功能;以及
以所述目录改变协议对所述元目录代理收发所述改变命令。
36.如权利要求35中提出的介质,其中所述用于映射的软件包含软件用于把改变命令从所述代理内部共用格式转换成轻量目录访问协议,反之亦然。
37.如权利要求35中提出的介质,其中所述用于收发所述改变命令的软件进一步包含软件用于使用安全套接层协议进行通信。
38.如权利要求35中提出的介质,其中所述用于实现定制的元目录代理功能的软件包含软件用于执行一个或多个插件功能。
39.如权利要求35中提出的介质,其中所述用于实现定制的元目录代理功能的软件包含软件用于实现与门户服务器的通信。
40.如权利要求39中提出的介质,其中所述用于门户服务器通信的软件包含软件用于执行一个插件功能。
41.如权利要求35中提出的介质,其中所述用于在数据源专用协议和代理内部共用格式之间转换改变命令的软件包含用于与客户机接口的软件,以在客户机设备和从元目录结合器、元目录数据源以及门户服务器三者中选出的一个系统之间的通信。
42.如权利要求41中提出的介质,其中所述用于与客户机接口的软件包含软件用于提供一个应用程序后端的软件。
43.如权利要求35中提出的介质,其中所述用于实现定制的元目录代理功能的软件包含用于把改变命令从门户服务器推到从下列一组中选出的一个系统的软件:客户机设备、另一个门户服务器、元目录结合器以及元目录数据源。
44.如权利要求35中提出的介质,其中所述用于实现定制的元目录代理功能的软件包含用于实现一个个性化规则引擎的软件,用于根据用户的偏好增加对改变命令封锁的限制。
45.如权利要求35中提出的介质,其中所述用于实现定制的元目录代理功能的软件包含用于对先前已被传送到客户机设备中的更新和改变进行后处理的软件。
46.如权利要求35中提出的介质,其中所述用于实现定制的元目录代理功能的软件包含用于实现一个安全功能的软件。
47.如权利要求46中提出的介质,其中所述用于安全功能的软件包含用于实现用户访问授权验证功能的软件。
48.如权利要求46中提出的介质,其中所述用于安全功能的软件包含用于实现对请求改变者的授权的软件。
49.如权利要求48中提出的介质,其中所述用于对请求改变者授权的软件包含用于验证一个数字签名的软件。
50.如权利要求46中提出的介质,其中所述用于安全功能的软件包含用于实现数据完整性保障的软件。
51.如权利要求46中提出的介质,其中所述用于安全功能的软件包含用于实现安全对等通信的软件。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/262,033 US7191192B2 (en) | 2002-09-30 | 2002-09-30 | Metadirectory agents having extensible functions |
US10/262,033 | 2002-09-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1487414A true CN1487414A (zh) | 2004-04-07 |
CN1253789C CN1253789C (zh) | 2006-04-26 |
Family
ID=32030123
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031538649A Expired - Fee Related CN1253789C (zh) | 2002-09-30 | 2003-08-25 | 双向元目录代理方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US7191192B2 (zh) |
JP (1) | JP4527951B2 (zh) |
CN (1) | CN1253789C (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101803293A (zh) * | 2007-09-20 | 2010-08-11 | 英特尔公司 | 卫生保健语义互操作性平台 |
CN107766397A (zh) * | 2017-03-03 | 2018-03-06 | 平安医疗健康管理股份有限公司 | 数据库更新方法和装置 |
CN107979631A (zh) * | 2016-10-25 | 2018-05-01 | 航天信息软件技术有限公司 | 数据同步的方法和装置 |
Families Citing this family (70)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7296066B2 (en) * | 2001-03-04 | 2007-11-13 | Adomo, Inc. | Mobile communication system for a network |
US7400879B2 (en) * | 2001-03-04 | 2008-07-15 | Adomo, Inc. | Method for conducting mobile communications for a network |
US8166033B2 (en) * | 2003-02-27 | 2012-04-24 | Parity Computing, Inc. | System and method for matching and assembling records |
US8099425B2 (en) * | 2003-03-14 | 2012-01-17 | Computer Associates Think, Inc. | Relational model for management information in network devices |
US20040225632A1 (en) * | 2003-05-08 | 2004-11-11 | Microsoft Corporation | Automated information management and related methods |
US7634480B2 (en) | 2003-05-08 | 2009-12-15 | Microsoft Corporation | Declarative rules for metadirectory |
US7636720B2 (en) * | 2003-05-08 | 2009-12-22 | Microsoft Corporation | Associating and using information in a metadirectory |
US7257603B2 (en) | 2003-05-08 | 2007-08-14 | Microsoft Corporation | Preview mode |
US7330853B2 (en) | 2003-05-08 | 2008-02-12 | Microsoft Corporation | Attribute value selection for entity objects |
US7240073B2 (en) | 2003-05-08 | 2007-07-03 | Microsoft Corporation | Rules customization and related methods |
US7516157B2 (en) * | 2003-05-08 | 2009-04-07 | Microsoft Corporation | Relational directory |
WO2005029261A2 (en) * | 2003-09-17 | 2005-03-31 | Siemens Medical Solutions Health Services Corporation | A processing device security management and configuration system and user interface |
US20050066059A1 (en) * | 2003-09-24 | 2005-03-24 | Zybura John H. | Propagating attributes between entities in correlated namespaces |
US7620658B2 (en) * | 2003-09-24 | 2009-11-17 | Microsoft Corporation | Configuration of a directory system |
US7840588B2 (en) * | 2004-03-25 | 2010-11-23 | International Business Machines Corporation | Real-time attribute processor and syntax schema for directory access protocol services |
US7827205B2 (en) * | 2004-05-27 | 2010-11-02 | International Business Machines Corporation | Bi-directional data mapping tool |
GB2415065B (en) * | 2004-06-09 | 2009-01-21 | Symbian Software Ltd | A computing device having a multiple process architecture for running plug-in code modules |
JP2006049451A (ja) * | 2004-08-03 | 2006-02-16 | Sony Corp | 固体撮像素子及び固体撮像素子の駆動方法 |
US20060095437A1 (en) * | 2004-10-27 | 2006-05-04 | International Business Machines Corporation | System and method for centralising traveller contact information |
US7330537B2 (en) * | 2005-02-07 | 2008-02-12 | Adomo, Inc. | Integrating messaging server directory service with a communication system voice mail message interface |
US7808980B2 (en) * | 2005-02-07 | 2010-10-05 | Avaya Inc. | Integrated multi-media communication system |
US8559605B2 (en) * | 2005-02-07 | 2013-10-15 | Avaya Inc. | Extensible diagnostic tool |
US7321655B2 (en) * | 2005-02-07 | 2008-01-22 | Adomo, Inc. | Caching user information in an integrated communication system |
US20060177011A1 (en) * | 2005-02-07 | 2006-08-10 | Jens Skakkebaek | System and method for providing code on voicemail appliance |
US8059793B2 (en) * | 2005-02-07 | 2011-11-15 | Avaya Inc. | System and method for voicemail privacy |
US7346150B2 (en) * | 2005-02-07 | 2008-03-18 | Adomo, Inc. | Controlling messaging actions using form-based user interface |
US8175233B2 (en) * | 2005-02-07 | 2012-05-08 | Avaya Inc. | Distributed cache system |
US8233594B2 (en) * | 2005-02-07 | 2012-07-31 | Avaya Inc. | Caching message information in an integrated communication system |
US7724880B2 (en) * | 2005-02-07 | 2010-05-25 | Avaya Inc. | Networked voicemail |
US20060177024A1 (en) * | 2005-02-07 | 2006-08-10 | Heine Frifeldt | Integrated voice mail user/email system user setup in integrated multi-media communication system |
US7564954B2 (en) * | 2005-02-07 | 2009-07-21 | Adomo, Inc. | Form-based user interface for controlling messaging |
US7600186B2 (en) * | 2005-10-07 | 2009-10-06 | Oracle International Corporation | Generating a synonym dictionary representing a mapping of elements in different data models |
US8326899B2 (en) * | 2005-11-09 | 2012-12-04 | Ca, Inc. | Method and system for improving write performance in a supplemental directory |
US20070112812A1 (en) * | 2005-11-09 | 2007-05-17 | Harvey Richard H | System and method for writing data to a directory |
US8458176B2 (en) * | 2005-11-09 | 2013-06-04 | Ca, Inc. | Method and system for providing a directory overlay |
US20070112791A1 (en) * | 2005-11-09 | 2007-05-17 | Harvey Richard H | Method and system for providing enhanced read performance for a supplemental directory |
US20070106699A1 (en) * | 2005-11-09 | 2007-05-10 | Harvey Richard H | Method and system for automatic registration of attribute types |
US8321486B2 (en) | 2005-11-09 | 2012-11-27 | Ca, Inc. | Method and system for configuring a supplemental directory |
US7747647B2 (en) * | 2005-12-30 | 2010-06-29 | Microsoft Corporation | Distributing permission information via a metadirectory |
US7478116B2 (en) * | 2006-02-17 | 2009-01-13 | Microsoft Corporation | Mechanism to exchange primary data stream of a file |
US20070233745A1 (en) * | 2006-03-29 | 2007-10-04 | Ori Pomerantz | Data Flow Optimization in Meta-Directories |
US7558791B2 (en) | 2006-07-31 | 2009-07-07 | Informed Control Inc | System and method for ontology-based translation between directory schemas |
US7917636B2 (en) * | 2006-08-16 | 2011-03-29 | Informed Control Inc. | System and method for detecting unused accounts in a distributed directory service |
US20080104104A1 (en) * | 2006-11-01 | 2008-05-01 | Microsoft Corporation | Health integration platform schema |
US20080103818A1 (en) * | 2006-11-01 | 2008-05-01 | Microsoft Corporation | Health-related data audit |
US8417537B2 (en) * | 2006-11-01 | 2013-04-09 | Microsoft Corporation | Extensible and localizable health-related dictionary |
US8316227B2 (en) * | 2006-11-01 | 2012-11-20 | Microsoft Corporation | Health integration platform protocol |
US20080104012A1 (en) * | 2006-11-01 | 2008-05-01 | Microsoft Corporation | Associating branding information with data |
US8533746B2 (en) | 2006-11-01 | 2013-09-10 | Microsoft Corporation | Health integration platform API |
US20080104617A1 (en) * | 2006-11-01 | 2008-05-01 | Microsoft Corporation | Extensible user interface |
US20080103794A1 (en) * | 2006-11-01 | 2008-05-01 | Microsoft Corporation | Virtual scenario generator |
US20080208797A1 (en) * | 2007-01-30 | 2008-08-28 | Apple Inc. | Automated record attribute value merging from multiple directory servers |
US8107598B2 (en) * | 2007-02-21 | 2012-01-31 | Avaya Inc. | Voicemail filtering and transcription |
US8160212B2 (en) | 2007-02-21 | 2012-04-17 | Avaya Inc. | Voicemail filtering and transcription |
US8064576B2 (en) | 2007-02-21 | 2011-11-22 | Avaya Inc. | Voicemail filtering and transcription |
US20080270596A1 (en) * | 2007-04-25 | 2008-10-30 | Mark Frederick Wahl | System and method for validating directory replication |
US8488751B2 (en) | 2007-05-11 | 2013-07-16 | Avaya Inc. | Unified messenging system and method |
US7895441B2 (en) * | 2007-05-31 | 2011-02-22 | Red Hat, Inc. | LDAP grouping for digital signature creation |
US7984490B2 (en) * | 2007-05-31 | 2011-07-19 | Red Hat, Inc. | Method for issuing attribute certificate from an LDAP entry |
US8046585B2 (en) * | 2007-05-31 | 2011-10-25 | Red Hat, Inc. | Verifying authenticity of an attribute value signature |
US9009292B2 (en) * | 2007-07-30 | 2015-04-14 | Sybase, Inc. | Context-based data pre-fetching and notification for mobile applications |
US8204870B2 (en) * | 2007-08-03 | 2012-06-19 | Sybase, Inc. | Unwired enterprise platform |
US8185501B1 (en) * | 2010-03-08 | 2012-05-22 | Sprint Communications Company L.P. | Conditional fractional data store replication |
US9542428B2 (en) * | 2011-10-10 | 2017-01-10 | Salesforce.Com, Inc. | Systems and methods for real-time de-duplication |
US9923950B1 (en) | 2012-07-24 | 2018-03-20 | Ports America Group, Inc. | Systems and methods involving features of terminal operation including TOS-agnostic and/or other features |
US9978034B1 (en) | 2012-07-24 | 2018-05-22 | Ports America Group, Inc. | Systems and methods involving features of terminal operation |
US9178942B1 (en) * | 2014-10-17 | 2015-11-03 | ConnectID Limited | Systems and methods for updating native contact information |
JP6939018B2 (ja) * | 2017-03-30 | 2021-09-22 | 日本電気株式会社 | 情報管理方法および情報処理システム |
US10333787B2 (en) * | 2017-06-19 | 2019-06-25 | Cisco Technology, Inc. | Validation of L3OUT configuration for communications outside a network |
US10673702B2 (en) * | 2017-06-19 | 2020-06-02 | Cisco Technology, Inc. | Validation of layer 3 using virtual routing forwarding containers in a network |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0204993A3 (en) | 1985-06-11 | 1990-08-22 | International Business Machines Corporation | Hybrid directory data distribution system |
US5276874A (en) | 1989-08-11 | 1994-01-04 | Digital Equipment Corporation | Method for creating a directory tree in main memory using an index file in secondary memory |
CA2100533C (en) | 1993-06-22 | 2004-05-25 | Duncan Wayne Lee | Method and system for synchronizing computer mail user directories |
US5630116A (en) | 1993-08-11 | 1997-05-13 | Nec Corporation | Automatic delivery system for master files in a distributed processing system |
DE69615279T2 (de) | 1995-06-06 | 2002-06-27 | Hewlett Packard Co | Cache-Speicheranordnung mit gleichzeitigem Etikettenvergleich |
US6078952A (en) | 1997-08-01 | 2000-06-20 | International Business Machines Corporation | Method and apparatus for maintaining directory services for a video transmission network |
US6052799A (en) | 1998-05-15 | 2000-04-18 | International Business Machines Corporation | System and method for recovering a directory for a log structured array |
US7107297B2 (en) * | 2002-01-10 | 2006-09-12 | International Business Machines Corporation | System and method for metadirectory differential updates among constituent heterogeneous data sources |
US7634480B2 (en) * | 2003-05-08 | 2009-12-15 | Microsoft Corporation | Declarative rules for metadirectory |
-
2002
- 2002-09-30 US US10/262,033 patent/US7191192B2/en not_active Expired - Fee Related
-
2003
- 2003-08-08 JP JP2003289964A patent/JP4527951B2/ja not_active Expired - Fee Related
- 2003-08-25 CN CNB031538649A patent/CN1253789C/zh not_active Expired - Fee Related
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101803293A (zh) * | 2007-09-20 | 2010-08-11 | 英特尔公司 | 卫生保健语义互操作性平台 |
US8850057B2 (en) | 2007-09-20 | 2014-09-30 | Intel Corporation | Healthcare semantic interoperability platform |
US9961156B2 (en) | 2007-09-20 | 2018-05-01 | Intel Corporation | Healthcare semantic interoperability platform |
CN107979631A (zh) * | 2016-10-25 | 2018-05-01 | 航天信息软件技术有限公司 | 数据同步的方法和装置 |
CN107766397A (zh) * | 2017-03-03 | 2018-03-06 | 平安医疗健康管理股份有限公司 | 数据库更新方法和装置 |
CN107766397B (zh) * | 2017-03-03 | 2020-01-31 | 平安医疗健康管理股份有限公司 | 数据库更新方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN1253789C (zh) | 2006-04-26 |
JP2004127273A (ja) | 2004-04-22 |
JP4527951B2 (ja) | 2010-08-18 |
US20040064502A1 (en) | 2004-04-01 |
US7191192B2 (en) | 2007-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1253789C (zh) | 双向元目录代理方法 | |
RU2364928C2 (ru) | Способ и система для синхронизации идентифицирующей информации | |
CN1095568C (zh) | 命名书签组 | |
US6327594B1 (en) | Methods for shared data management in a pervasive computing environment | |
CN1182479C (zh) | 有效地收集、整理和访问证书吊销表的系统和方法 | |
Tansley et al. | The DSpace institutional digital repository system: current functionality | |
US7127670B2 (en) | Document management systems and methods | |
CA2416237C (en) | A system and method for providing integrated management of electronic information | |
US7509319B2 (en) | Providing authorized access and request-initiated translation of data files | |
CN1703048A (zh) | 网络服务应用协议和soap处理模型 | |
CN1856790A (zh) | 使用本体的信息访问 | |
CN1701326A (zh) | 合作电子邮件 | |
US11729114B2 (en) | Configurable views of context-relevant content | |
CN1777893A (zh) | 基于网络的数据库通信系统 | |
US20050080792A1 (en) | Support for RDBMS in LDAP system | |
JP2008293512A (ja) | アプリケーションサービスプロバイダ(asp)処理の管理システム、方法及びプログラム | |
CN1554046A (zh) | 用于具有事务特性特征的事务处理的系统和方法 | |
CN101080714A (zh) | 用于由数据库服务器执行文件操作的基础结构 | |
CN1509442A (zh) | 因特网和/或网站内容的自动管理 | |
CN1508739A (zh) | 用于管理资源的系统和方法 | |
CN1820245A (zh) | 用于基于项目的存储平台中的数据建模的系统和方法 | |
US20150134702A1 (en) | Linking business objects and documents | |
CN1585948A (zh) | 用于系统整合的应用程序视窗部件 | |
JP2008040545A (ja) | 知的財産関連の電子情報管理システム | |
JP5572990B2 (ja) | 電子データを管理するシステム、装置及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060426 Termination date: 20090925 |