JP2011513842A - コードレスプロビジョニング - Google Patents

コードレスプロビジョニング Download PDF

Info

Publication number
JP2011513842A
JP2011513842A JP2010548776A JP2010548776A JP2011513842A JP 2011513842 A JP2011513842 A JP 2011513842A JP 2010548776 A JP2010548776 A JP 2010548776A JP 2010548776 A JP2010548776 A JP 2010548776A JP 2011513842 A JP2011513842 A JP 2011513842A
Authority
JP
Japan
Prior art keywords
resource
resource manager
entity
downstream
synchronization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010548776A
Other languages
English (en)
Other versions
JP5426578B2 (ja
JP2011513842A5 (ja
Inventor
ジル ジャジート
ガンジェ ニーマ
グスタフ アンドレアス ケルマン ビョルン
ユー ロ ヒウ
ピー.ベケット ブルース
ディー.ワード ロバート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2011513842A publication Critical patent/JP2011513842A/ja
Publication of JP2011513842A5 publication Critical patent/JP2011513842A5/ja
Application granted granted Critical
Publication of JP5426578B2 publication Critical patent/JP5426578B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

リソースを管理すること。リソースマネージャは、コンピューティング環境内のリソースを管理するためのプログラムコードを含む。コンピューティング環境内のリソースシステムから利用可能なリソースを管理する。方法は、新たなエンティティをリソースマネージャに追加すべきこと、リソースマネージャのエンティティオブジェクトによって表されるエンティティが、リソースマネージャで削除された許可を有すべきこと、あるいはリソースマネージャのエンティティオブジェクトによって表されるエンティティが、リソースマネージャで追加された許可を有すべきであることのうちの1つまたは複数を示すユーザ入力を受信することを含むことができる。ユーザ入力を受信したことに応答して、イベントを生成して、オブジェクトをダウンストリームリソースシステムまたはリソースマネージャから生成または削除する。イベントは、予想ルールリスト内のルールを追加または変更することによって、リソースマネージャのオブジェクトとダウンストリームリソースシステムのオブジェクトとの間の同期を行うのに実行すべきワークフローを指定することができる。

Description

本発明は、コードレスプロビジョニングに関する。
コンピュータおよびコンピューティングシステムは、現代の生活のほぼすべての側面に影響を与えている。コンピュータは、一般に、仕事、レクリエーション、医療、輸送、娯楽、家事などに関連する。
多くのコンピューティングシステムにおいて、コンピューティングシステム内で動作するエンティティに許可を与えて、エンティティがコンピューティングシステム内のある特定のリソースにアクセスできるようにすることは望ましいことが多い。例えば、ある人を会社に雇うとき、その人に、メールアカウントの生成によって電子メールへのアクセスを割り当てること、データベースアクセスアカウントの生成によって或る特定のデータベースへのアクセスを割り当てること、または他のリソースへのアクセスを割り当てることが適切であることがある。
コンピューティングシステム内のエンティティの許可を管理するために、様々なリソース管理システムが作成されている。リソース管理システムは、コンピューティングシステム内の他のリソースシステムと通信して、エンティティに対する許可の追加または削除の命令を、該他のリソースシステムに提供する。例えば、本出願人であるワシントン州レドモンドのマイクロソフト(登録商標)社によって提供されるアイデンティティライフサイクルマネージャ(ILM:Identity Lifecycle Manager(登録商標))は、コンピューティングシステム内のエンティティの許可を管理する能力を提供する。しかしながら、多くのそのようなシステムでは、リソース管理システムが他のリソースシステムと通信することにより該システムにエンティティに対する適切な許可を追加させることを可能にする命令的なプログラミングコードを、プログラマが生成する必要がある。これは当然に、さらなる複雑性および困難性をリソース管理の機能に与えることになる。
本明細書において特許請求される主題は、上述されるような全ての欠点を解決する実施形態、あるいは上述されるような環境内のみで動作する実施形態に限定されるものではない。むしろ、上記背景技術は、本明細書で説明される一部の実施形態を実施することができる一例示的な技術分野を説明するためにのみ提供されるものである。
一部の実施形態は、コンピューティング環境においてリソースを管理するための機能性を含む。例えば、諸実施形態を、リソースマネージャを含むコンピューティング環境内で実施することができる。リソースマネージャは、コンピューティング環境内のリソースを管理するためのプログラムコードを含む。方法は、エンティティがリソースにアクセスするための許可を管理することを含め、コンピューティング環境内のリソースシステムから利用可能なリソースを管理するための動作を含むことができる。方法は、新たなエンティティがリソースマネージャに追加されるべきであること、リソースマネージャのエンティティオブジェクトによって表されるエンティティが、リソースマネージャで削除された許可を有すべきであること、またはリソースマネージャのエンティティオブジェクトによって表されるエンティティが、リソースマネージャで追加された許可を有すべきであることのうちの1つまたは複数を示すユーザ入力を受信することを含むことができる。
ユーザ入力を受信したことに応答して、イベントを生成して、オブジェクトをダウンストリームリソースシステム(downstream resource system)のリソースマネージャから生成または削除する。イベントは、予想ルールリスト(expected rules list)内にルールに追加し、または予想ルールリスト内のルールを変更することよって、リソースマネージャのオブジェクトとダウンストリームリソースシステムのオブジェクトとの間の同期を行うために実行すべきワークフローを指定することができる。イベントに応答して、ワークフローが実行され、イベントにより、同期ルールが予想ルールリストに追加され、または同期ルールが予想リストで変更されることとなる。
この発明が解決しようとする課題の記載は、以下の発明の詳細な説明においてさらに記述される概念の選択を、簡単な形で紹介するために提供されるものである。この発明が解決しようとする課題の記載は、特許請求される主題の重要な特徴または本質的な特徴を特定するようには意図されておらず、特許請求される主題の範囲を決定する際の助けとして用いられることも意図されていない。
さらなる特徴および利点は、以下の説明において記載され、その一部は以下の説明から明白となるか、あるいは本明細書の教示を実践することによって認識されるであろう。本発明の特徴および利点を、添付の特許請求の範囲において特に指摘された手段および組み合わせによって実現し、取得することができる。本発明の特徴は、以下の説明および添付の特許請求の範囲からより十分に明らかになり、あるいは以下で説明される本発明の実践によって認識されるであろう。
上述および他の利点や特徴を得ることができる手法を説明するために、上で簡潔に説明した主題のより具体的な説明を、添付の図面に図示される特定の実施形態を参照することによって提供する。図面を用いて追加の仕様および詳細について記述し説明するが、これらの図面は典型的な実施形態のみを表し、したがって範囲を限定するものと見なされるべきではないことを理解されたい。
リソースマネージャおよびリソースシステムに接続されたダウンストリームを含むトポロジーを示す図である。 ダウンストリームリソースシステム内でオブジェクトを生成する方法を示す図である。 ダウンストリームリソースシステム内のオブジェクトから許可を削除する方法を示す図である。 ダウンストリームリソースシステム内のオブジェクトに許可を追加する方法を示す図である。 検出された許可を、予想される許可または所望の許可と調整する方法を示す図である。
本明細書で説明される実施形態は、必要に応じて宣言的ワークフロー(declared workflow)を実行することによって、リソースマネージャ内のオブジェクトを、他のダウンストリームリソースシステム内のオブジェクトと同期させるリソース管理システムの実装を可能にする。特に、ダウンストリームリソースシステムのオブジェクトに関係付けられたリソースマネージャオブジェクトを使用して、ダウンストリームリソースシステムのオブジェクトに適切な許可を与えることができ、それによりリソースマネージャのオブジェクトおよびダウンストリームリソースシステムのオブジェクトに対応するエンティティに適切な許可を与える。これにより、エンティティは、ダウンストリームリソースシステム内のリソースにアクセスすることができるようになる。以下の説明では、この機能性をどのように実装するかに関する多くの例を説明する。特にリソースマネージャを使用して、ダウンストリームリソースシステム内に存在するオブジェクトを制御することができる。ダウンストリームリソースシステム内のオブジェクトの存在は、これらのシステムを使用してリソースに対する適切な制御を実装する機能性を可能にする。例えば、ユーザオブジェクトがダウンストリームリソースシステム内に存在する場合、該ユーザオブジェクトは、コンピュータのユーザがリソースシステム上のリソースにアクセスすることを可能にする機能性を提供することができる。例えば、ユーザが、電子メールシステムへのアクセスを与えられるべきである場合は、典型的に、ユーザオブジェクトは電子メールシステム内で作成される必要があるであろう。同様に、ユーザがデータ記憶システム内のデータへのアクセスを与えられるべきである場合、該ユーザのユーザオブジェクトはデータ記憶システム内で生成される必要があるであろう。リソースマネージャは、電子メールシステム、データ記憶システム、または他のリソースシステムを含むダウンストリームシステムにおける、これらのユーザオブジェクトの生成を容易にすることができる。
これまでに、データが2つのシステム間でどのようにフロー(flow)するかを、完全に宣言的な方式で制御する機構は存在していない。本明細書で説明される一部の実施形態では、ポリシールール(policy rule)と、前のモデルを、例えば視覚的に作成されたプロセスおよび同期ルールの使用を通じて、データがリソースマネージャへどのようにフローすべきか、およびリソースマネージャシステムから出てダウンストリームリソースシステムへどのようにフローすべきかの両方に関する定義を可能にする概念の単一のセットを提供するモデルと置換するプロセスとを用いた「同期ルール(synchronization rule)」の概念に基づいた、統一されたモデルを含む。特に、本明細書で説明される実施形態は、リソースマネージャのオブジェクトをダウンストリームリソースシステムにエクスポートし、ダウンストリームリソースシステムのオブジェクトをリソースマネージャにインポートするための機能性と、リソースマネージャ内の既存のオブジェクトおよびダウンストリームリソースシステム内の対応するオブジェクトを更新または削除するための機能性とを含むことができる。
顧客は、グラフィカルユーザインタフェースを含むリソースマネージャポータルを使用して同期ルールを定義することができ、該リソースマネージャポータルは、データがどのようにリソースマネージャにフローすべきか、およびリソースマネージャからフローすべきかに関する詳細をカプセル化する。リソースマネージャポータルは、リソースマネージャによって管理されるオブジェクト名およびオブジェクトタイプを含む1つまたは複数のオブジェクトと、リソースマネージャによって管理されるオブジェクトを1つまたは複数のダウンストリームリソースシステム内のオブジェクトと同期させるためのフロータイプ(flow type)と、1つまたは複数のダウンストリームリソースシステムの識別(identification)と、リソースマネージャ内の1つまたは複数のオブジェクトタイプに対応するダウンストリームリソースシステム内のオブジェクトタイプの識別と、ダウンストリームリソースシステム内のオブジェクトをリソースマネージャ内のオブジェクトと関係付けるための関係基準(relationship criteria)の定義とを定義するユーザ入力を受信するためのユーザ対話要素を含む、グラフィカルユーザインタフェースを含むことができる。特に、同期ルールは、リソースマネージャのオブジェクトとダウンストリームリソースシステム内のオブジェクトとの間の関係(relationship)および変換を定義することができる。例えば、関係は、ユーザ名、電子メールアドレス、または他の識別子に基づくものとすることができる。同期ルールは、リソースマネージャがダウンストリームリソースシステム内のオブジェクトをどのように作成するか、リソースマネージャが自身のストア内のオブジェクトをどのように作成するか、およびデータがダウンストリームリソースシステムからリソースマネージャにどのようにフローするかを定義することができる。その後、顧客は、ポリシールールおよびプロセス設計ウィザードを使用して、リソースマネージャアプリケーションストア内のデータの修正に対するこれらの特定の同期ルールの適用を制御することができる。
例えば、諸実施形態は、IT専門家が同期ルールを設計することができるようにする、同期ルール設計アプリケーション用のグラフィカルユーザインタフェース要素を実装することができる。一実施形態において、同期ルール設計のグラフィカルユーザインタフェースは、「一般情報(General Information)」、「範囲(Scope)」、「関係(Relationship)」、「アウトバウンド属性フロー(Outbound Attribute Flow)」、および「インバウンド属性フロー(Inbound Attribute Flow)」のスクリーンを有するウィザードフォーマットとすることができる。
「一般情報」スクリーンにより、設計者は、ルールの名前、ルールの説明、ルールの依存性(dependency)、およびルールのフロータイプを定義することができる。名前は、同期ルールを識別するのに使用することができる名前である。説明は、設計者が適用可能であると考えた任意の説明を含むことができる、ルールのオプションの説明である。別の同期ルールの存在に対する依存を設定することもできる。一実施形態において、「一般情報」スクリーンは、既に定義されている同期ルールを選択するためのプルダウンメニューを提供する。本明細書で説明される他のグラフィカルユーザインタフェース要素のように、代替的に他のインタフェースを使用してもよい。「一般情報」スクリーンは、フロータイプの選択のためのインタフェースを含むこともできる。例えば、ユーザは、リソースマネージャへのデータのインポートを可能にするインバウンドルールおよび/またはダウンストリームシステムにデータをエクスポートすることを可能にするアウトバウンドルールとして、ルールを定義することができる。
同期ルール設計アプリケーションは、さらに「範囲」スクリーンを含むことができる。例示的実施形態では、「範囲」スクリーンは、リソースマネージャのオブジェクトタイプを選択すること、ダウンストリームリソースシステムを選択すること、ダウンストリームシステムのオブジェクトタイプを選択すること、および/または接続されるオブジェクトの範囲(connected object scope)を定義することを可能にすることができる。接続されるオブジェクトの範囲を定義することは、ダウンストリームリソースシステム内のどのオブジェクトに同期ルールが適用されるかを識別する1つまたは複数のフィルタを定義することによって行うことができる。一実施形態において、同期ルールは、接続されるオブジェクトの範囲で定義された条件にすべて合致するダウンストリームリソースシステム内のオブジェクトに適用される。
同期ルール設計アプリケーションは、さらに「関係」スクリーンを含むことができる。「関係」スクリーンは、リソースマネージャとダウンストリームリソースシステムとの間の関係をどのように識別して生成するかを定義するためのユーザインタフェース要素を含む。特に、「関係」スクリーンは、関係基準および関係生成を定義することを可能にする。関係基準の指定を可能にするユーザインタフェース要素は、リソースマネージャ内のオブジェクトとダウンストリームリソースシステム内のオブジェクトを共にリンクさせる条件を指定することを可能にする。電子メールアドレス、ユーザ名などの様々な属性を選択することができる。さらに、様々な条件を指定することができる。「関係」スクリーンは、定義された関係基準において指定された関係基準が満たされない場合にオブジェクトを生成することを指定できるようにすることもできる。ユーザは、あるオブジェクトがリソースマネージャ内に存在しないときに、該リソースマネージャ内にオブジェクトを生成すること、あるオブジェクトがダウンストリームリソースシステムに存在しないときに、該ダウンストリームリソースシステム内にオブジェクトを生成すること、ダウンストリームリソースシステム内でオブジェクト階層を作成すること、および/または、あるオブジェクトがリソースマネージャから削除されたときにダウンストリームリソースシステムからオブジェクトを削除することを指定することができる。
同期ルール設計アプリケーションは、さらに「アウトバウンド属性フロー」スクリーンを含むことができる。「アウトバウンド属性フロー」スクリーンは、リソースマネージャからダウンストリームリソースシステムにフローする属性および値を定義するためのユーザインタフェース要素を含む。「アウトバウンド属性フロー」のユーザインタフェース要素は、ダウンストリームリソースシステム内のリソースマネージャから属性にフローするデータを識別するためのソースフィールドの定義、ソースフィールドで識別されたデータを受け取るダウンストリームリソースシステム内の属性を識別するための宛先(destination)の定義、およびオプションの定義を可能にする。例えば、ユーザは、オプションを指定することができ、それのより、宛先オブジェクトが生成されると属性がフローすることとなる。さらに、ユーザは、属性を使用して宛先オブジェクトにおける同期ルールの存在を確認することを指定するオプションを選択することができる。同期ルール設計アプリケーションは、「インバウンド属性フロー」スクリーンをさらに含むことができる。「インバウンド属性フロー」スクリーンは、フローがダウンストリームリソースシステムからリソースマネージャへと定義されること以外は、「アウトバウンド属性フロー」スクリーンと同様のユーザインタフェース要素を含む。
ビジネスマネージャ設計アプリケーションは、ビジネス管理者が、リソース管理オブジェクトに同期ルールを追加し、またはリソース管理オブジェクトから同期ルールを削除できるようにするグラフィカルユーザインタフェースを提供する。追加または削除を手動の選択によって実行することができ、あるいは属性値に基づいて自動的に実行すべきことを選択することができる。
標準的なシナリオは、リソースマネージャを通じて、様々な電子メールシステム、データベースシステム、または他のシステムなどのダウンストリームシステムへの新たなユーザのプロビジョニングを行うことを含む。プロビジョニングは、例えば、適切なシステムリソースに対する新たな従業員用の許可を追加して、該従業員が必要な業務機能を行うことができるようにすることを含むことがある。ここで、図1を使用して一例を説明する。図1では、様々なコンポーネントを一般的に、または具体的に説明することがあることに留意されたい。例えば、リソースマネージャオブジェクト106という総称的な参照は、あらゆるリソースマネージャオブジェクトを一般的に指し、一方、リソースマネージャオブジェクトインスタンスへの具体的な参照は、リソースマネージャ106aなどの追加的な挿入表記への参照によって行うことがある。図1の同期ルール102、予想ルールリスト(expected rules list)104、ダウンストリームリソースシステムオブジェクト108、および検出ルールリスト(DRL:detected rules list)112についても、同様の参照および表記が示されている。さらに、具体的には説明されないが、あるアイテムの複数の特定のインスタンスがコンピューティング環境内に含まれうることを図示するために、102b、104b、106b、112b、108b〜108f、114b、および114cなどのいつかの特定の表現が含まれていることに留意されたい。しかしながら、残りの原理は、以下で参照される単一のインスタンスへの参照によって理解される。
ここではプロビジョニングの場合の一例を図示しており、図1をもう一度参照すると、リソースマネージャオブジェクトタイプとして作成されるものをどのように変換してダウンストリームリソースシステムオブジェクトにするかをカプセル化する同期ルール102を定義して、予想ルールリスト(ERL:expected rules list)104内に含めることができる。一部の実施形態では、上述のようなグラフィカルユーザインタフェースを使用することによって、同期ルールを定義することができる。特に、同期ルール102は、予想ルールリスト104内に明示的に含まれることがあり、あるいは予想ルールリスト104とは別個に定義されて必要に応じて予想ルールリスト104内の参照によって含まれることもある。一例を説明すると、同期ルール102aは、作成または修正されるときにリソースマネージャオブジェクト106aを、ダウンストリームリソースシステム114aの対応するダウンストリームリソースオブジェクト108aにどのように変換するかを示すことができる。同期ルール102は、データがリソースマネージャ110からダウンストリームシステムオブジェクト108へと、どのようにフローすべきか、ならびに、既存のデータストリームリソースシステムオブジェクト108をどのように見つけ、データをどのようにフローすべきかに関する特定の命令の両方を定義することができ、適切なオブジェクトが見つからない場合に必要であれば、新たなダウンストリームシステムのユーザオブジェクト108をどのように咲くセウすべきかに関する更なる命令も定義することができる。
同期ルール102が定義されると、顧客は、新たなリソースマネージャオブジェクト106がそのリソースマネージャを通じて到達するようにリソースマネージャ110内における新たなリソースマネージャオブジェクト106の作成に関するポリシールールを定義することができる。ここから、顧客は、新たに作成されたリソースマネージャオブジェクト106を事前に定義された同期ルール102に追加するイベントのアクション段階(action phase)に関連付けて、リソースマネージャプロセスを構成することができる。新たなリソースマネージャオブジェクト106がリソースマネージャ110内で作成されると、その最終的な結果、このアクションプロセスを実行し、およびこの新たに作成されたリソースマネージャオブジェクト106が適用された同期ルール102を有すべきことを示す信号を送信することとなるイベントが生成されることとなる。
これらの構成を使用して、ユーザは任意に、必要に応じて自身のビジネスプロセスによって決まるように、リソースマネージャ110内のオブジェクトを同期ルール102に追加および削除する形式や宣言的なワークフローなどの複雑なプロセスを作成することができる。
ユーザが会社を辞める場合の終了シナリオまたはデプロビジョニングシナリオは、作成シナリオと同様に、リソースマネージャオブジェクト106がリソース管理システムから削除されるイベントを実行するプロセスを定義して、削除されたリソースマネージャオブジェクト106を同期ルール102から消去するプロセスとして取り扱うことができる。宣言的ワークフローは、該宣言的ワークフロー内の宣言的オブジェクトが、最終的な目的を達成するために特定の動作を定義することなく該最終的な目的を定義するという点において、命令的プログラミング(imperative programming)と異なることに留意されたい。反対に、命令的なプログラミングは、プログラマが、必ずしも最終目標を定義することなく各ステップを明示的に定義することを必要とする。
本明細書で説明される実施形態は、同期ルール102の概念内の双方向データフローロジックの定義を含むことができる。さらに、実施形態は、ポリシールールの一致、および後続のリソースマネージャプロセスの実行による同期ルール102の適用を含むことができる。
実施形態は、同期エンジンによる同期ルールの処理と、リソースマネージャ要求の処理サイクル(一実施形態では、エンドユーザウェブサービス要求を3つの別個の段階、すなわち認証(authentication)、承認(authorization)、およびアクション(action)を通じて処理すること)を通じて行われる、関連するリソースマネージャオブジェクト106へのルールの適用との両方を対象とすることができる。
同期ルールの単一構造内では、顧客は、ダウンストリームリソースシステム内のオブジェクトとリソースマネージャメタバース(metaverse)内のオブジェクトとの間の両方の関係と、それらの2つの間のデータフローとの両方を定義する。以前のバーションのリソースマネージャには、この単一構造は存在しなかったが、ユーザは、リソースマネージャからのデータアウトバウンドのフロー(プログラムされたロジック(Programmed logic)+アウトバウンドフロー(Outbound flow))を制御していたものから独立した概念の単一のセット(結合(Join)/予測(Projection)/インバウンドフロー(Inbound Flow))を通じて、データのインバウンドフローを定義しなければならなかったであろう。一部の実施形態において、同期ルールは、この構成の一部としてプログラミングの必要性を省略すると同時に、フローの両方の方向を処理するための概念の新たなセットを定義する。
同期ルールは、変更をダウンストリームリソースシステムからリソースマネージャにインポートするとき(「インバウンド」)と、変更をリソースマネージャからダウンストリームリソースシステムにエクスポートするとき(「アウトバウンド」)の両方の場合に実行される。
任意の方向において、同期ルールは、オブジェクトの適切なセットをスコーピング(scoping)し、次いで他のシステム内のオブジェクトとの関係を探すか、または確立し、その後、関係の一部として見つかったソースオブジェクトとターゲットオブジェクトとの間のルールの一部として指定された変換を適用することによって動作することができる。
ダウンストリームリソースシステムからリソースマネージャへのフローの方向を考えると、スコーピングは、インポートにおいて、同期ルールが適用されるべきダウンストリームリソースシステム内のオブジェクトの必要なセットを収集するのに使用される、直線的な属性値フィルタ(straight attribute-value filter)を通じて達成され得る。
しかしながら、リソースマネージャの視点から同期を考えると、セットメンバーシップ、ポリシールールおよびプロセスは、インバウンドの場合に使用されるような直線的フィルタではなく、オブジェクトが同期ルールの範囲内外にもたらされるディクテイタ(dictator)とすることができる。具体的には、リソースマネージャを考えると、ルールの範囲内のユーザを収集する自動フィルタは存在せず、代わりに、各リソースマネージャオブジェクトは、該リソースマネージャオブジェクトを適用すべき関連する同期ルールのリストを有する。本明細書において、このリストを予想ルールリスト(expected rules list)104と呼ぶ。同期ルールが、リソースマネージャオブジェクトの予想ルールリスト104に出現するとき、そのリソースマネージャオブジェクトは次いで、同期エンジンで次に実行された際に、関連付けられた同期ルールの範囲に手動で追加される。同期ルールが、同期ルールアクティビティを使用して予想ルールリストを操作する宣言的なワークフローのアクションプロセスを通じて、リソースマネージャオブジェクトの予想ルールリスト104に追加され、該リストから削除されることが予想される。そのオブジェクトに対する正常なリソースマネージャ動作の結果、これらのアクションワークフローが開始することが予想されてもよい。
さらに、各リソースマネージャオブジェクト106は、現実の世界において同期ルールがリソースマネージャオブジェクトに存在することが確認されることを視覚化する、関連付けられたリストを有し、このリストを、検出ルールリスト(detected rules list)112と呼ぶ。検出ルールリスト112と予想ルールリスト104は、相互に完全に独立のものとすることができ、リソースマネージャの中心ビューからのみ適用可能である。すなわち、予想ルールリスト104は、アウトバウンド同期にのみ使用され、検出ルールリスト112は、リソースマネージャオブジェクトのダウンストリームシステム内の表現を見るのに使用される。図1において、108aは、106aのダウンストリーム表現である。
検出ルールリスト112は、接続されたダウンストリームシステム114内のオブジェクトを識別して、該オブジェクトをリソースマネージャ110内のオブジェクトと関係づけることによって生成され得る。必要に応じてダウンストリームリソースシステムで発見されたオブジェクト108を示すために、リソースマネージャ110内でリソースマネージャオブジェクト106を作成することができる。ダウンストリームリソースシステム114はしばしば、リソースマネージャ110が認識していないエンティティに許可を与えるオブジェクト108を含むことがある。検出ルールリスト112の生成は、ダウンストリームシステム114内のこれらのオブジェクト108を識別するための機能性を提供する。その後、ダウンストリームシステム114内のオブジェクト108を指すように、またはダウンストリームシステム114からダウンストリームリソースシステムオブジェクト108を削除することによって許可を削除するように、あるいは、ダウンストリームシステムオブジェクト108から許可を削除するように、予想ルールリスト104を更新することができる。
予想ルールリスト104および検出ルールリスト112は、ユーザが、ダウンストリームシステム114内のダウンストリームリソースシステムオブジェクト108に類似すると想定されたリソースマネージャオブジェクト106の表現を見ることと、その表現が実際のものであると確認することとの両方を行うことができるように構成する。検出ルールリスト112は、単一の属性が、他のシステム内のダウンストリームリソースシステムオブジェクト108に対応することが知られるように、その特定のリソースマネージャオブジェクト106の既知の表現を表示するという点で、コンプライアンス報告に特に有用であることを示す。
上述のように、同期ルールがインバウンドの方向で評価されている場合、オブジェクトのスコーピングを、フィルタを介して行うことができる。アウトバウンドの行程で評価されている場合、各オブジェクトの予想ルールリスト104を使用して、どのオブジェクトが同期ルール102の範囲内に収まるかを判断することができる。
以下の説明では、実行され得る複数の方法および方法の動作に言及する。方法の動作を、ある順序で説明されるが、特に明示しない限り必ずしも特定の順序付けは必要とされず、ある動作が該動作に先立って完了している別の動作に依存するので必要とはされないことに留意されたい。
ここで図2を参照すると、方法200が図示されている。方法200を、例えばリソースマネージャを含むコンピューティング環境内で実施することができる。リソースマネージャは、リソースを管理するためのプログラムコードを含む。方法200は、新たなエンティティをリソースマネージャに追加すべきことを示すユーザ入力を受信する動作を含む(動作202)。例えば、図1に図示される例において、ユーザは、リソースマネージャオブジェクト106aなどの新たなオブジェクトを、リソースマネージャ110に追加することを望むことがある。ユーザは、リソースマネージャ110に結合されたユーザインタフェースを使用して、リソースマネージャオブジェクト106aを追加するという要求を示すことができる。
新たなエンティティをリソースマネージャに追加すべきであることを示すユーザ入力を受信したことに応答して、方法200は、新たなエンティティに対応する新たなエンティティオブジェクトを作成すること(動作204)、およびイベントを生成すること(動作206)をさらに含む。例えば、リソースマネージャオブジェクト106aを、リソースマネージャリポジトリに追加して、イベントを生成することができる。イベントは、実行すべきワークフローを指定することができる。ワークフローは、同期ルール102を、新たなエンティティオブジェクトに特有の予想ルールリスト104aに追加するように構成される。例えば、ワークフローは、予想ルールリスト104aに同期ルール102aを追加するように構成されてもよい。予想ルールリストにおける同期ルール102は、どのようにリソースマネージャ110のオブジェクト106をダウンストリームリソースシステム114のオブジェクト108に変換するかを定義する。具体的には、同期ルール102は、ダウンストリームリソースシステム114において1つまたは複数のエンティティオブジェクト108がどのように生成されるか、リソースマネージャ110において1つまたは複数のエンティティオブジェクト106がどのように生成されるか、およびデータがダウンストリームリソースシステム114からリソースマネージャオブジェクト106にどのようにフローするかを定義することができる。さらに、複数の同期ルール102は、単一の同期ルール102内において、ダウンストリームリソースシステム114とリソースマネージャ110との間のインバウンド関係、アウトバウンド関係、または双方向関係(bi-directional relationship)のうちの1つまたは複数を定義することができる。
方法200は、イベントに応答して、該イベントで指定されたワークフローを実行することにより、同期ルールが予想ルールリストに追加されることとなること(動作208)をさらに図示する。図1に図示されるように、同期ルール102aは予想ルールリスト104aに追加される。特に、同期ルールを予想ルールリストに追加することは、多くの異なる方式で実行され得る。例えば、同期ルール102aを、リソースマネージャ11のルールリポジトリに格納することができる。該ルールリポジトリの同期ルールへの参照によって、同期ルール102aを予想ルールリスト104aに追加することができる。代替的には、予想ルールリスト104a内の直接定義(direct definition)によって、ルールを予想ルールリストに明示的に追加することができる。言い換えると、予想ルールリスト104は、該予想ルールリスト104における同期ルール102のリポジトリとして機能することができる。
方法200はさらに、リソースマネージャの同期エンジンにおいて、新たなエンティティオブジェクトを、リソースマネージャによって管理されるダウンストリームリソースシステム内の対応するオブジェクトと同期させるワークフローを実行し、それにより、予想ルールリスト内の同期ルールを実行することによってダウンストリームリソースシステム内の新たなエンティティに対する許可が作成されることとなるように実装することができる。例えば、同期エンジンは、予想ルールリスト104a内の同期ルール102aを参照することができる。同期エンジンは、リソースマネージャオブジェクト106aを、ダウンストリームリソースシステム114aのウンストリームリソースシステムオブジェクト108aと同期させるべきと判断することができる。以下で詳述するように、このことは、既存のダウンストリームリソースシステムのオブジェクト108とリソースマネージャのオブジェクト106とを関係付けることによって、またはリソースマネージャのオブジェクト106に対応する新たなダウンストリームリソースシステムのオブジェクト108を作成することによって達成することができる。
例えば、方法200は、ダウンストリームリソースシステム内の新たなエンティティに対する許可の作成を行うことが、新たなエンティティオブジェクトに対応するオブジェクトがダウンストリームリソースシステム内に存在しないと判断することと、リソースマネージャの新たなエンティティオブジェクトに対応するオブジェクトを、ダウンストリームリソースシステム内で作成することとを含むように実装されてもよい。図1に図示された例において、同期エンジンが、同期ルール102aを同期させるワークフローを実行して、ダウンストリームリソースシステムオブジェクト108aをリソースマネージャオブジェクト106aと同期させるとき、ダウンストリームリソースシステムのオブジェクト108aがダウンストリームリソースシステム114aに存在しないことがある。したがって、実施形態は、ダウンストリームリソースシステム114a内にダウンストリームリソースシステムのオブジェクト108aを生成することを含むことがある。これにより、適切な権利および許可を与える際にさらなる同期を可能にする。
一実施形態において、方法200は、新たなエンティティオブジェクトをリソースマネージャによって管理されるダウンストリームリソースシステム内の対応するオブジェクトと同期させるワークフローを実行することが、同期ルールに対して指定されたプレシデンス(precedence)に従って同期ルールを実行することを含むように実装されてもよい。プレシデンスは、他の同期ルールの前に実行されるべき同期ルールを指定する。例えば、予想ルールリスト104aは、ルール102aから102nまで含む、複数の同期ルールを含むことができる。しかしながら、一部の同期ルール102で指定された同期を、他のルールで指定された同期の前に実行することが望ましいことがある。これを行うことにより、例えば、あるルールで指定された許可または制約が、異なる同期ルールの後の適用によって上書きされないことを保証することができる。
次に図3を参照すると、方法300が図示されている。方法300は、リソースマネージャを含むコンピューティング環境において実行され得る複数の動作を図示している。リソースマネージャは、コンピューティング環境内のリソースを管理するためのプログラムコードを含む。方法300は、エンティティがリソースにアクセスするための許可を管理することを含め、リソースを管理するための動作を含む。方法は、リソースマネージャのエンティティオブジェクトによって表されるエンティティが、リソースマネージャで削除された許可を有すべきであることを示すユーザ入力を受信することを含む(動作302)。例えば、リソースマネージャ110に接続されたユーザインタフェースと対話するユーザは、リソースマネージャオブジェクト106aに対応するエンティティが、ダウンストリームリソースシステム114から削除された許可を有すべきであることを示すことがある。例えば、該エンティティが組織の従業員であり、該エンティティの役割が変更される場合、該エンティティが、或るダウンストリームリソースシステム114のリソースにアクセスすることができないように、該リソースにおいてアクセスするアクションを実行することができないように、そのダウンストリームリソースシステム114から或る許可を削除する必要があることがある。これは、リソースマネージャ110と対話する管理者によって指示されることがある。
エンティティが、リソースマネージャで削除された許可を有すべきことを示すユーザ入力を受信したことに応答して、イベントが生成される(動作304)。該イベントは、実行されるべきワークフローを指定する。ワークフローは、1つまたは複数のダウンストリームリソースシステム内のエンティティに対する許可が削除されるべきことを、エンティティオブジェクトに特有の予想ルールリスト内の同期ルールによって示すように構成される。例えば、ダウンストリームリソースシステムのオブジェクト108aから許可を削除すべきであることを示すように、同期ルール102aを修正することができる。
方法300は、イベントに応答して、イベントで指定されたワークフローを実行すること(動作306)をさらに含み、これにより、1つまたは複数のダウンストリームリソースシステム内のエンティティに対する許可が削除されるべきであることを同期ルールにより示すこととなる。
方法300は、リソースマネージャの同期エンジンで、エンティティオブジェクトを、リソースマネージャによって管理されるダウンストリームリソースシステム内の対応するオブジェクトとエンティティオブジェクトと同期させるワークフローを実行することをさらに含むことがあり、これにより、ダウンストリームリソースシステム内のエンティティに対する許可の削除が行われることとなる。例えば、同期ルール102aを参照し、およびダウンストリームリソースシステムのオブジェクト108aをリソースマネージャオブジェクト106aと同期させ、該同期の結果ダウンストリームリソースシステムのオブジェクト108aに対する許可が削除されるように、ワークフローを構成することができる。
一実施形態において、エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、ダウンストリームリソースシステム内のエンティティに対する許可を削除すべきことを示すことが、新たな同期ルールを予想ルールリストに追加することを含むように、方法200を実装することができる。例えば、許可が削除されるべきことを示す新たな同期ルール102を、予想ルールリスト104に追加することができる。
一実施形態において、方法300はさらに、検出ルールリストを生成することを含むことができ、該検出ルールリストは、コンピューティング環境内のリソースに対するエンティティオブジェクトの既存の許可を指定する。検出ルールリストを生成することは、ダウンストリームリソースシステム内のオブジェクトを検査することと、ダウンストリームリソースシステム内の検査されたオブジェクトを、リソースマネージャによって管理されるリソースマネージャオブジェクトと関係付けることとを含む。予想ルールリストから同期ルールを削除することとなる、イベントで指定されたワークフローを実行すること(動作306)は、検出ルールリストからの既存の許可を予想ルールリストから削除することとなるワークフローを実行することを含む。
例えば、上述され、以下でより詳細に説明されるように、検出ルールリスト112aは、ダウンストリームリソースシステムオブジェクト108aに対応するエンティティに与えられることが望ましくない或る許可を、ダウンストリームリソースシステムオブジェクト108aが含むと判断することができる。これらの許可を削除するために、特にダウンストリームリソースシステムオブジェクト108aから許可を削除する同期ルール102を、予想ルールリスト104aに追加することができる。
代替的な実施形態では、エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、ダウンストリームリソースシステム内のエンティティに対する許可を削除すべきことを示すことは、予想ルールリスト内の既存の同期ルールを修正することを含むことができる。例えば、同期ルール102aが予想ルールリスト104aに含まれており、ダウンストリームリソースシステムオブジェクト108aに或る許可を与えている場合、同期ルール102aを修正することによって、許可の削除を達成することができる。
図4は、リソースマネージャを含むコンピューティング環境において実施することができる、さらに別の実施形態を図示している。リソースマネージャは、コンピューティング環境内のリソースを管理するためのプログラムコードを含む。リソースを管理する方法は、エンティティがリソースにアクセスするための許可を管理することを含む。方法400は、リソースマネージャのエンティティオブジェクトによって表されるエンティティが、リソースマネージャで追加された許可を有すべきことを示す、ユーザ入力を受信することを含む(動作402)。例えば、エンティティに対応するリソースマネージャオブジェクト106aが、リソースマネージャ110内に存在することがある。リソースマネージャ110と対話する管理者は、リソースマネージャオブジェクト106aに対する追加の許可をダウンストリームリソースシステム114に追加すべきであることを示すユーザ入力を提供することができる。
方法400はさらに、エンティティが、リソースマネージャで追加された許可を有すべきであることを示すユーザ入力の受信に応答して、イベントが生成されること(動作404)を示している。イベントは、実行されるべきワークフローを指定する。ワークフローは、エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、1つまたは複数のダウンストリームリソースシステム内のエンティティに対する許可が追加されるべきであることを示すように構成される。先の例で説明したように、同期ルール102aを予想ルールリスト104aに追加することで、あるいは適切な同期ルール102aが予想ルールリスト104a内に既に存在する場合は同期ルール102aを修正することで、ダウンストリームリソースシステムオブジェクト108aに許可が追加されるべきことを指示するイベントを可能にすることができる。
方法400は、イベントに応答して、1つまたは複数のダウンストリームリソースシステム内のエンティティに対する許可が追加されるべきであること同期ルールにより示すこととなる、イベントで指定されたワークフローを実行すること(動作406)をさらに含む。
方法400は、リソースマネージャの同期エンジンで、エンティティオブジェクトをリソースマネージャによって管理されるダウンストリームリソースシステム内の対応するオブジェクトと同期させるワークフローを実行することをさらに含むことができ、これにより、予想ルールリスト内の同期ルールを実行することによってダウンストリームリソースシステム内の新たなエンティティに対する許可の生成を行うことができる。例えば、予想ルールリスト104a内の同期ルール102aを参照して、それにより、ダウンストリームリソースシステムのオブジェクト108aと同期させるように、および/またはダウンストリームリソースシステムのオブジェクト108a内で許可を生成するように、ワークフローを構成することができる。
上述のように、一部の実施形態は、検出ルールリストを使用するが、検出ルールリストは、ダウンストリームリソースシステム内のエンティティに対する許可の実際の状態を定義する。したがって、一部の実施形態は、検出ルールリストを生成すること、および該検出ルールリストの適切な使用を行うことを対象とすることがある。例えば、方法500を、コンピューティング環境内のリソースを管理するためのプログラムコードを備えたリソースマネージャを含むコンピューティング環境内で実施することができ、該方法500は、検出ルールリストを生成すること(動作502)を含む。検出ルールリストは、コンピューティングシステム内のリソースに対するエンティティの既存の許可を指定する。検出ルールリストを生成することは、ダウンストリームリソースシステムでオブジェクトを検査することと、ダウンストリームリソースシステム内の検査されたオブジェクトを、リソースマネージャによって管理されるリソースマネージャオブジェクトと関係付けることとを含む。
方法500は、予想ルールリストにアクセスすること(動作504)をさらに含む。予想ルールリストは、エンティティ用に存在しているべき、コンピューティングシステム内のリソースに対する許可を定義する。例えば、予想ルールリストは、リソースマネージャオブジェクト102と対応するダウンストリームリソースシステムオブジェクト108との間でどのように同期を実行すべきかを定義することができる。許可を予想ルールリスト104内のルールから推測または決定することができる。
方法500は、検出ルールリストと予想ルールリストとを比較すること、および検出ルールリストが予想ルールリスト内に含まれない許可を含むと判断すること(動作506)をさらに含む。例えば、予想ルールリスト104aを、検出ルールリスト112aと比較することができる。その比較結果に基づいて、検出ルールリスト112aが、予想ルールリスト104aに含まれていないエンティティに対する許可を含むとの判断を行うことができる。
検出ルールリストが予想ルールリストに含まれていない許可を含むことを示す指示(indication)を提供することができる(動作508)。
方法500は、検出ルールリストに含まれるが、予想ルールリストには含まれていない許可を削除すべきことを示すユーザ入力を受信することをさらに含むことができる。この実施形態では、該ユーザ入力に応答して、予想ルールリストを修正してワークフローを実行することによって、検出ルールリストに含まれるが予想ルールリストには含まれない許可を削除することをさらに含む。上記ワークフローは、ダウンストリームリソースシステム内の許可の削除が行われるように構成することができる。一実施形態において、予想ルールリストを修正することは、1つまたは複数の許可の削除を示すエントリを、予想ルールリストに含めることを含む。
方法500の一実施形態では、ダウンストリームリソースシステム内の検査されたオブジェクトを、リソースマネージャによって管理されるオブジェクトと関係付けることは、リソースマネージャ内に、ダウンストリームリソースシステム内のオブジェクトと関係付けることができるオブジェクトが存在しないと判断することを含む。リソースマネージャ内でオブジェクトが作成されて、ダウンストリームリソースシステム内のオブジェクトと関係付けられる。
予想ルールリストが1つまたは複数の同期ルールを含むように、方法500を実装することができる。1つまたは複数の同期ルールはそれぞれ、複数のパラメータを含むことができる。例えば、1つまたは複数の同期ルールはそれぞれ、同期ルールを識別するのに使用される指示を含むことができる。1つまたは複数の同期ルールはそれぞれ、データをダウンストリームリソースシステムからリソースマネージャにインポートすること、あるいはデータをリソースマネージャからダウンストリームリソースシステムにエクスポートすることの少なくとも一方を行うために使用することができる同期ルールを指定する、フロータイプの定義を含むことができる。1つまたは複数の同期ルールはそれぞれ、該同期ルールが適用される、リソースマネージャのオブジェクトタイプの仕様(specification)を含むことができる。1つまたは複数の同期ルールはそれぞれ、ダウンストリームリソースシステムの仕様を含むことができる。1つまたは複数の同期ルールはそれぞれ、該同期ルールが適用される、ダウンストリームリソースシステムのオブジェクトタイプの仕様を含むことができる。1つまたは複数の同期ルールはそれぞれ、リソースマネージャ内およびダウンストリームリソースシステム内のオブジェクトをリンクするための1つまたは複数の条件を含む関係基準の仕様を含むことができる。
1つまたは複数の同期ルールの各々がオプションで、属性フロー情報(attribute flow information)の仕様を含むように、実施形態を実装することができる。1つまたは複数の同期ルールはそれぞれオプションで、同期ルールの記述(description)を含むことができる。1つまたは複数の同期ルールはそれぞれオプションで、別の同期ルールの存在に対する依存性を定義する情報を含むことができる。1つまたは複数の同期ルールはそれぞれオプションで、該同期ルールが適用されることとなるダウンストリームリソースシステム内のオブジェクトを識別するのに使用されるフィルタを含むことができる。該フィルタは、同期ルールを適用するのに満たさなければならない条件を含むことができる。
1つまたは複数の同期ルールはそれぞれオプションで、関係基準で指定された関係基準が満たされないときに使用することができる、関係作成(relationship creation)動作の仕様を含むことができる。例えば、関係生成動作は、リソースマネージャにオブジェクトが存在しない場合に、該リソースマネージャにおけるオブジェクトの作成を含むことができる。代替または追加として、関係作成動作は、ダウンストリームリソースシステム内にオブジェクトが存在しない場合に、該ダウンストリームリソースシステムにおけるオブジェクトの作成を含むことができる。代替または追加として、関係作成動作は、ダウンストリームリソースシステムにおけるオブジェクト階層(object hierarchy)の作成を含むことができる。代替または追加として、関係生成動作は、対応するオブジェクトがリソースマネージャから削除されるとき、ダウンストリームリソースシステムからのオブジェクトの削除を含むことができる。
以下でより詳述されるように、本明細書における実施形態は、様々なコンピュータハードウェアを含む専用または汎用のコンピュータを備えることができる。
実施形態は、記憶されたコンピュータ実行可能命令またはデータ構造を担持または有するコンピュータ読取可能媒体を含むこともできる。そのようなコンピュータ読取可能媒体は、汎用または専用コンピュータによってアクセスすることができる任意の利用可能な媒体とすることができる。限定ではなく例として、そのようなコンピュータ読取可能媒体は、RAM、ROM、EEPROM、CD−ROMもしくは他の光ディスク記憶装置、磁気ディスク記憶装置もしくは他の磁気記憶装置、またはコンピュータ実行可能命令もしくはデータ構造の形式で所望のプログラムコード手段を担持もしくは格納するのに使用することができ、汎用もしくは専用コンピュータによってアクセスすることができる、任意の他の媒体を含むことができる。情報がネットワークまたは別の通信接続(有線、無線、または有線と無線の組み合わせのいずれか)を介してコンピュータに伝送もしくは提供されると、該コンピュータは適切に、その接続をコンピュータ読取可能媒体として見る。したがって、任意のそのような接続は適切にコンピュータ読取可能媒体と称される。上記のものの組み合わせもコンピュータ読取可能媒体の範囲内に含まれるべきである。
コンピュータ実行可能命令は、例えば、汎用コンピュータ、専用コンピュータ、もしくは専用の処理装置に特定の機能または機能のグループを実行させる、命令およびデータを含む。本発明の主題を、構造的特徴および/または方法の動作に特有の言語で説明してきたが、添付の特許請求の範囲で定義される本発明の主題は、上述の特定の機能または動作に必ずしも限定されないことを理解されたい。むしろ、上述の特定の機能および動作は、特許請求の範囲の記載を実装する例示的な形式として開示されている。
本発明は、その精神または本質的特質から逸脱することなく他の特定の形式で具現化することができる。説明された実施形態は、全ての点において、単なる例示として見なされるべきであり、限定的なものとして見なされるべきではない。本発明の範囲は、したがって、前述の説明ではなく添付の特許請求の範囲によって示される。特許請求の範囲と均等な意味および範囲内で行われる変更は全てすべて、特許請求の範囲の範囲内に包含されるべきである。

Claims (20)

  1. コンピューティング環境のリソースを管理するためのプログラムコードを備えたリソースマネージャを含むコンピューティング環境において、エンティティが前記リソースにアクセスするための許可を管理することを含め、前記コンピューティング環境内のリソースシステムから利用可能なリソースを管理する方法であって、
    新たなエンティティを前記リソースマネージャに追加すべきことを示すユーザ入力を受信するステップと、
    新たなエンティティを前記リソースマネージャに追加すべきことを示すユーザ入力を受信することに応答して、前記リソースマネージャにおいて前記新たなエンティティに対応する新たなエンティティを作成して、実行すべきワークフローを指定するイベントを生成するステップであって、前記ワークフローは、同期ルールを前記新たなエンティティオブジェクトに特有の予想ルールリストに追加するように構成され、前記予想ルールリスト内のルールは、前記オブジェクトマネージャのオブジェクトをどのように変換してダウンストリームリソースシステムのオブジェクトにすべきかを定義する、ステップと、
    前記イベントに応答して、同期ルールを前記予想ルールリストに追加することとなる、前記イベントで指定されたワークフローを実行するステップと
    を含むことを特徴とする方法。
  2. 前記予想ルールリスト内の前記同期ルールを実行することによって前記ダウンストリームリソースシステム内の前記新たなエンティティに対する許可の作成が行われるように、前記リソースマネージャの同期エンジンにおいて、前記新たなエンティティオブジェクトを前記リソースマネージャによって管理されるダウンストリームリソースシステム内の対応するオブジェクトと同期させるワークフローを実行するステップをさらに含むことを特徴とする請求項1に記載の方法。
  3. 前記ダウンストリームリソースシステム内の前記新たなエンティティに対する許可の生成を行うことは、
    前記新たなエンティティオブジェクトに対応するオブジェクトが前記ダウンストリームリソースシステムに存在しないと判断するステップと、
    前記リソースマネージャの前記新たなエンティティオブジェクトに対応するオブジェクトを前記ダウンストリームリソースシステム内で作成するステップと
    を含むことを特徴とする請求項2に記載の方法。
  4. 前記新たなエンティティオブジェクトを前記リソースマネージャによって管理されるダウンストリームリソースシステム内の対応するオブジェクトと同期させるワークフローを実行するステップは、前記同期ルールに対して指定されたプレシデンスに従って同期ルールを実行するステップを含み、前記プレシデンスは、他の同期ルールの前に実行されるべき同期ルールを指定することを特徴とする請求項2に記載の方法。
  5. 前記同期ルールの少なくとも1つは、
    1つまたは複数のエンティティオブジェクトをダウンストリームリソースシステム内でどのように作成するか、
    1つまたは複数のエンティティオブジェクトを前記リソースマネージャでどのように作成するか、および
    データがダウンストリームリソースシステムからリソースマネージャオブジェクトにどのようにフローするか
    を定義することを特徴とする請求項1に記載の方法。
  6. 前記同期ルールの少なくとも1つは、ダウンストリームリソースシステムと前記リソースマネージャとの間のインバウンド関係、アウトバウンド関係、または双方向関係のうちの1つまたは複数を単一の同期ルール内で定義することを特徴とする請求項5に記載の方法。
  7. 前記ワークフローは、リソースマネージャによって管理されるオブジェクト名とオブジェクトタイプとを含む1つまたは複数のオブジェクトと、リソースマネージャによって管理されるオブジェクトを、1つまたは複数のダウンストリームリソースシステム内のオブジェクトと同期させるためのフロータイプと、1つまたは複数のダウンストリームリソースシステムの識別と、前記リソースマネージャ内の前記1つまたは複数のオブジェクトタイプに対応するダウンストリームリソースシステム内のオブジェクトタイプの識別と、ダウンストリームリソースシステム内のオブジェクトを前記リソースマネージャ内のオブジェクトと関係付ける関係基準の定義とを定義するユーザ入力を受信するためのユーザ対話要素を備えたグラフィカルユーザインタフェースを表示するシステムを使用して、管理者によって事前に定義されることを特徴とする請求項1に記載の方法。
  8. コンピューティング環境内のリソースを管理するためのプログラムコードを備えたリソースマネージャを含む前記コンピューティング環境内において、エンティティが前記リソースにアクセスするための許可を管理することを含め、リソースを管理する方法であって、
    前記リソースマネージャのエンティティオブジェクトによって表されるエンティティが前記リソースマネージャで削除された許可を有すべきであることを示す、ユーザ入力を受信するステップと、
    エンティティが前記リソースマネージャで削除された許可を有すべきことを示すユーザ入力を受信したことに応答して、実行すべきワークフローを指定するイベントを生成するステップであって、前記ワークフローは、前記エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、1つまたは複数のダウンストリームリソースシステム内において前記エンティティに対する許可が削除されるべきことを示すように構成される、ステップと、
    前記イベントに応答して、前記エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、1つまたは複数のダウンストリームリソースシステム内において前記エンティティに対する許可が削除されるべきことを示すこととなる、前記イベントで指定されたワークフローを実行するステップと
    を含むことを特徴とする方法。
  9. 前記リソースマネージャの同期エンジンにおいて、前記エンティティオブジェクトを前記リソースマネージャによって管理される前記ダウンストリームリソースシステム内の対応するオブジェクトと同期させ、それによりダウンストリームリソースシステム内において前記エンティティに対する許可が削除されるワークフローを実行するステップをさらに含むことを含むことを特徴とする請求項8に記載の方法。
  10. 前記エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、ダウンストリームリソースシステム内において前記エンティティに対する許可が削除されるべきことを示すことは、追加すべき新たな同期ルールを前記予想ルールリストに追加することを含むことを特徴とする請求項8に記載の方法。
  11. 前記エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、ダウンストリームリソースシステム内において前記エンティティに対する許可が削除されるべきことを示すことは、前記予想ルールリスト内の既存の同期ルールを修正することを含むことを特徴とする請求項8に記載の方法。
  12. コンピューティングシステム内のリソースに対する前記エンティティオブジェクトの既存の許可を指定する、検出ルールリストを生成するステップをさらに含み、該検出ルールリストを生成するステップは、ダウンストリームリソースシステム内のオブジェクトを検査することと、ダウンストリームリソースシステム内の該検査されたオブジェクトを、前記リソースマネージャによって管理されるリソースマネージャオブジェクトと関係付けることとを含み、
    前記予想リストから同期ルールを削除することとなる、前記イベントで指定されたワークフローを実行するステップは、前記検出ルールリストからの既存の許可を前記予想ルールリストから削除することとなるワークフローの実行を引き起こすステップを含むことを特徴とする請求項8に記載の方法。
  13. コンピューティング環境のリソースを管理するためのプログラムコードを備えたリソースマネージャを含むコンピューティング環境において、エンティティが前記リソースにアクセスするための許可を管理することを含め、リソースを管理する方法であって、
    前記リソースマネージャのエンティティオブジェクトによって表されるエンティティが前記リソースマネージャで追加された許可を有すべきであることを示すユーザ入力を受信するステップと、
    エンティティが前記リソースマネージャで追加された許可を有すべきであることを示すユーザ入力を受信したことに応答して、実行されるべきワークフローを指定するイベントを生成するステップであって、前記ワークフローは、前記エンティティオブジェクトに特有の予想ルールリスト内の同期ルールにより、1つまたは複数のダウンストリームリソースシステム内においてエンティティに対する許可が追加されるべきことを示すように構成され、前記予想ルールリスト内の各同期ルールは、
    前記同期ルールを識別するのに使用される指示と、
    データをダウンストリームリソースシステムから前記リソースマネージャにインポートすること、またはデータを前記リソースマネージャからダウンストリームリソースシステムにデータエクスポートすることのうち少なくとも一方に使用することができる同期ルール指定する、フロータイプの定義と、
    前記同期ルールが適用される前記リソースマネージャ内のオブジェクトタイプの仕様と、
    ダウンストリームリソースシステムの仕様と、
    前記同期ルールが適用される前記ダウンストリームリソースシステム内のオブジェクトタイプの仕様と、
    前記リソースマネージャ内および前記ダウンストリームリソースシステム内のオブジェクトをリンクするための1つまたは複数の条件を含む、関係基準の仕様と、
    属性フロー情報の仕様と
    を含む、ステップと、
    前記イベントに応答して、1つまたは複数のダウンストリームリソースシステム内において前記エンティティに対する許可が追加されるべきであることを前記予想ルールリスト内の同期ルールにより示すこととなる、前記イベントで指定されたワークフローを実行するステップと
    を含むことを特徴とする方法。
  14. 前記予想ルールリスト内の前記同期ルールを実行することによって前記ダウンストリームリソースシステム内において前記新たなエンティティに対する許可の生成が行われるように、前記リソースマネージャの同期エンジンにおいて、前記エンティティオブジェクトを前記リソースマネージャによって管理されるダウンストリームリソースシステム内の対応するオブジェクトと同期させるワークフローを実行するステップをさらに含むことを特徴とする請求項13に記載の方法。
  15. 前記1つまたは複数のダウンストリームリソースシステム内に前記許可を与えているオブジェクトが既に存在すると判断するステップと、
    同期ルールで、前記エンティティオブジェクトを、前記1つまたは複数のダウンストリームリソースシステム内に既に存在する前記オブジェクトと関連付けるステップと
    をさらに含むことを特徴とする請求項13に記載の方法。
  16. 1つまたは複数の同期ルールのうちの少なくとも1つは、該同期ルールの記述をさらに含むことを特徴とする請求項13に記載の方法。
  17. 1つまたは複数の同期ルールのうちの少なくとも1つは、別の同期ルールの存在に対する依存性を定義する情報を含むことを特徴とする請求項13に記載の方法。
  18. 1つまたは複数の同期ルールのうちの少なくとも1つは、該同期ルールが適用されることとなる前記ダウンストリームリソースシステム内のオブジェクトを識別するために使用されるフィルタをさらに含むことを特徴とする請求項13に記載の方法。
  19. 前記フィルタは、前記同期ルールを適用するのに満たさなければならない条件を含むことを特徴とする請求項13に記載の方法。
  20. 1つまたは複数の同期ルールのうちの少なくとも1つは、前記関係基準で指定された関係基準が満たされないときに使用することができる関係作成動作の仕様をさらに含み、前記関係作成動作は、
    前記リソースマネージャにオブジェクトが存在しない場合の前記リソースマネージャ内におけるオブジェクトの生成と、
    ダウンストリームリソースシステムにオブジェクトが存在しない場合の前記ダウンストリームリソースシステム内におけるオブジェクトの生成と、
    ダウンストリームリソースシステム内におけるオブジェクト階層の生成と、
    対応するオブジェクトが前記リソースマネージャから削除されるときのダウンストリームリソースシステムからのオブジェクトの削除と
    のうちの1つまたは複数を含むことを特徴とする請求項13に記載の方法。
JP2010548776A 2008-02-28 2009-01-30 コードレスプロビジョニング Expired - Fee Related JP5426578B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US3238908P 2008-02-28 2008-02-28
US61/032,389 2008-02-28
US12/120,138 2008-05-13
US12/120,138 US8407331B2 (en) 2008-02-28 2008-05-13 Codeless provisioning
PCT/US2009/032602 WO2009108452A2 (en) 2008-02-28 2009-01-30 Codeless provisioning

Publications (3)

Publication Number Publication Date
JP2011513842A true JP2011513842A (ja) 2011-04-28
JP2011513842A5 JP2011513842A5 (ja) 2013-10-03
JP5426578B2 JP5426578B2 (ja) 2014-02-26

Family

ID=41014214

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010548776A Expired - Fee Related JP5426578B2 (ja) 2008-02-28 2009-01-30 コードレスプロビジョニング

Country Status (5)

Country Link
US (2) US8407331B2 (ja)
EP (1) EP2266025A4 (ja)
JP (1) JP5426578B2 (ja)
CN (1) CN101960420B (ja)
WO (1) WO2009108452A2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9483308B2 (en) 2012-06-29 2016-11-01 Intel Corporation Performance of predicted actions
US9542467B2 (en) * 2013-11-18 2017-01-10 International Business Machines Corporation Efficiently firing mapping and transform rules during bidirectional synchronization
US9367597B2 (en) * 2013-11-18 2016-06-14 International Business Machines Corporation Automatically managing mapping and transform rules when synchronizing systems
US10402744B2 (en) 2013-11-18 2019-09-03 International Busniess Machines Corporation Automatically self-learning bidirectional synchronization of a source system and a target system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11120103A (ja) * 1997-10-20 1999-04-30 Fujitsu Ltd 管理オブジェクトによるネットワーク管理システム
JP2000112891A (ja) * 1998-10-09 2000-04-21 Toshiba Corp アクセス制御設定システム及び記憶媒体
JP2003514283A (ja) * 1999-11-05 2003-04-15 イディオム テクノロジーズ,インコーポレーテッド ウェブ・サイトのコンテンツを自動的に更新するための方法および装置
JP2005038124A (ja) * 2003-07-18 2005-02-10 Hitachi Information Systems Ltd ファイルアクセス制御方法及び制御システム

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US7302446B1 (en) * 1996-11-13 2007-11-27 Intellisync Corporation Synchronizing databases
US7058947B1 (en) * 2000-05-02 2006-06-06 Microsoft Corporation Resource manager architecture utilizing a policy manager
US7124203B2 (en) * 2000-07-10 2006-10-17 Oracle International Corporation Selective cache flushing in identity and access management systems
JP2002041304A (ja) * 2000-07-28 2002-02-08 Hitachi Ltd 論理区画の予備リソース自動付与方法及び論理区画式計算機システム
US7349912B2 (en) * 2000-12-22 2008-03-25 Oracle International Corporation Runtime modification of entries in an identity system
US7330717B2 (en) * 2001-02-23 2008-02-12 Lucent Technologies Inc. Rule-based system and method for managing the provisioning of user applications on limited-resource and/or wireless devices
US7546359B2 (en) * 2001-10-24 2009-06-09 Groove Networks, Inc. Method and apparatus for managing a peer-to-peer collaboration system
US7606881B2 (en) * 2002-04-25 2009-10-20 Oracle International Corporation System and method for synchronization of version annotated objects
US7216163B2 (en) * 2002-05-15 2007-05-08 Oracle International Corporation Method and apparatus for provisioning tasks using a provisioning bridge server
US7240073B2 (en) * 2003-05-08 2007-07-03 Microsoft Corporation Rules customization and related methods
US7363629B2 (en) * 2003-06-19 2008-04-22 International Business Machines Corporation Method, system, and program for remote resource management
US7770204B2 (en) * 2003-09-30 2010-08-03 Novell, Inc. Techniques for securing electronic identities
US7181472B2 (en) * 2003-10-23 2007-02-20 Microsoft Corporation Method and system for synchronizing identity information
US7567988B2 (en) * 2004-07-16 2009-07-28 Sap Ag Synchronizing agent for multiple clients/applications on a computer system
US20070100834A1 (en) * 2004-09-15 2007-05-03 John Landry System and method for managing data in a distributed computer system
WO2006082732A1 (ja) * 2005-02-04 2006-08-10 Nec Corporation アクセス制御装置
US8554916B2 (en) 2005-04-11 2013-10-08 Accenture Global Services Gmbh Service delivery platform and development of new client business models
US9672480B2 (en) * 2005-05-12 2017-06-06 International Business Machines Corporation Adaptive and dynamic data synchronization system for managing data and inventory
US20070067403A1 (en) * 2005-07-20 2007-03-22 Grant Holmes Data Delivery System
KR100789376B1 (ko) * 2006-04-13 2007-12-28 한국전자통신연구원 개인화된 데이터 관리 정책에 따른 정보생명주기관리 서비스 제공 방법
CN101101653A (zh) 2006-06-06 2008-01-09 美国西门子医疗解决公司 动态工作流调度
US7822707B1 (en) * 2007-09-28 2010-10-26 Emc Corporation Object searching and management information viewing in a storage area network environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11120103A (ja) * 1997-10-20 1999-04-30 Fujitsu Ltd 管理オブジェクトによるネットワーク管理システム
JP2000112891A (ja) * 1998-10-09 2000-04-21 Toshiba Corp アクセス制御設定システム及び記憶媒体
JP2003514283A (ja) * 1999-11-05 2003-04-15 イディオム テクノロジーズ,インコーポレーテッド ウェブ・サイトのコンテンツを自動的に更新するための方法および装置
JP2005038124A (ja) * 2003-07-18 2005-02-10 Hitachi Information Systems Ltd ファイルアクセス制御方法及び制御システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN7013001776; KANG M ET AL: 'Access Control Mechanisms for Inter-organizational Workflow' PROCEEDINGS OF THE SIXTH ACM SYMPOSIUM ON ACCESS CONTROL MODELS AND TECHNOLOGIES , 20010503, pp.66-74 *

Also Published As

Publication number Publication date
WO2009108452A3 (en) 2009-10-22
US8407331B2 (en) 2013-03-26
CN101960420B (zh) 2014-02-05
JP5426578B2 (ja) 2014-02-26
WO2009108452A2 (en) 2009-09-03
CN101960420A (zh) 2011-01-26
US20090222833A1 (en) 2009-09-03
US20090222834A1 (en) 2009-09-03
EP2266025A2 (en) 2010-12-29
EP2266025A4 (en) 2011-08-17

Similar Documents

Publication Publication Date Title
US10176440B2 (en) Workflow sharing
US10348774B2 (en) Method and system for managing security policies
US9852382B2 (en) Dynamic human workflow task assignment using business rules
US8185916B2 (en) System and method for integrating a business process management system with an enterprise service bus
US9589240B2 (en) System and method for flexible chaining of distinct workflow task instances in a business process execution language workflow
US20240275790A1 (en) Descendent case role alias
US6820118B1 (en) Method and system for providing a linkage between systems management systems and applications
US9613330B2 (en) Identity and access management
EP2487582A1 (en) Systems and/or methods for identifying and resolving complex model merge conflicts based on atomic merge conflicts
US20090281777A1 (en) Workflow Modeling With Flexible Blocks
US20070006123A1 (en) Work flow system, work flow processing method and work flow processing program
JP5426578B2 (ja) コードレスプロビジョニング
CN112686580B (zh) 一种可自定义流程的工作流定义方法及系统
JP2009080648A (ja) ワークフロー作成管理システム及びワークフロー作成管理方法
JP2011513842A5 (ja)
US10417051B2 (en) Synchronizing shared resources in an order processing environment using a synchronization component
Scherp A framework for model-driven scientific workflow engineering
CN115222345A (zh) 一种审核作业方法及装置
Alissa et al. BP-XACML an authorisation policy language for business processes
JP2007242051A (ja) ビジネスロジックプログラムを実装・実行するための装置
Jung Mapping of Business Process Models to Workflow Schemata-‐‑An Example Using MEMO-‐‑OrgML and XPDL
JP5243908B2 (ja) モデルの品質を検証するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
Perrin et al. A contract model to deploy and control cooperative processes
Aouzal et al. Handling Tenant-Specific Non-Functional Requirements through a Generic SLA.
TUE et al. Initial specification and prototyping of the process re-engineering framework

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130426

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130517

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130701

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20130816

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131128

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5426578

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees