[发明专利]企业权利框架

说明书

技术领域

[01]本发明总地涉及计算机安全。具体地，本发明涉及一种用于在计算机系统 或网络上管理在多个应用间的用户权限的灵活框架。

背景技术

[02]对信息、应用及其他类型的资源进行访问一般是基于分配给用户和/或设 备的权限来控制的。例如，权限可以定义用户和/或设备访问特定资源所必须 具备或满足的安全许可级别。因此，如果一个应用需要最高安全许可，则用户 想要访问和/或使用该应用和/或其功能就要拥有最高安全权限。类似地，可通过 在公司中或在公司的组织机构图中定义的用户头衔和/或层级来控制对公司财务 数据的一个或多个部分的访问。例如，对本季度的收益预算的访问可以限制为 允许具有经理或更高头衔或地位的那些雇员或用户进行访问。因此，可以拒绝 没有获得经理职位的那些人访问收益预算。

[03]通常，公司或组织中的多个应用和/或数据库可使用相同或相似的权限结 构对访问进行管理。在这种情况下，为了简化权限信息的使用和管理，公司和 组织已采用管理应用对各种数据库和/或应用共享的权限数据进行集中控制。例 如，当前许多在多个应用之间管理权限信息的方法采用各种轻量级目录访问协 议(LDAP)解决方案。然而，当权限管理系统添加新的应用和/或数据库时， LDAP解决方案通常需要额外的程序设计和/或开发来适应新的应用和/或数据 库。此外，响应于当前由LDAP解决方案管理的应用的升级和/或重新配置， LDAP解决方案也可能需要进一步的修改和/或重新配置。

[04]由于上诉原因，需要一种灵活且可扩展的系统和方法，其可用于在多个应 用和/或数据库之间管理权限信息。

发明内容

[05]许多上述问题通过提供一种灵活且可扩展的企业权利框架作为权限管理 系统的基础来解决。企业权利框架可以包括可用于表示和/或存储权限的一个或 多个组成部分的各种数据结构和对象。例如，资源类型对象可以标识权限控制 访问的应用或应用的类型。类似地，动作对象可以存储由某个权限授权的一个 或多个动作。其他数据对象可以包括角色对象、用户对象、层级对象和规则对 象。这些其他数据对象可代表权限的附加或可替换的组成部分。因此，取决于 管理偏好和其他因素，权限可以是基于用户或基于角色的。换句话说，可以为 一个或多个指定用户定义权限，或者可选择地或附加地，可以对指定的角色定 义权限。

[06]基础结构中的数据对象还可以包括彼此之间的关系和引用。在一个例子 中，权限对象可以包括对相应于权限所应用的资源类型的资源类型对象的引用。 权限还可以与一个或多个规则对象相关联，所述一个或多个规则对象指定可授 予权限的条件。例如，规则对象可以存储日期时间条件，该条件可控制何时可 执行关联的权限。将权限的多个方面解析及存储到各个组成部分对象和结构中 可以使权限管理系统具有灵活性，以针对新的资源和权限类型来提供和调整权限 管理能力。

[07]在另一方面，还可以定义维护对象以支持诸如审计和报告之类的功能。可 以将维护对象分为三个常规组：历史追踪、错误日志记录和活动追踪、以及资 源输入。动作历史追踪对象例如可用于追踪对特定动作对象的修改历史。另一 方面，错误日志记录和活动追踪对象可用于记录对应于所关联的对象的所有动 作和/或产生的错误。例如，如果用户对特定资源类型执行动作而产生错误，与 该特定资源类型相关联的错误日志记录对象可在日志中生成一个条目，记录该 错误以及产生该错误的动作。可使用一个或多个触发来定义日志或追踪数据的 时间。资源输入对象还可以存储将要包含在权限之中的、与由基础结构和管理 系统管理的层级、产品以及动作相关的信息的表格。用户可检索每个维护对象 中保存的数据来确定各种信息，包括从指定时间开始产生的故障和/或权限变 化。