[发明专利]用于可管理资源的基于可扩展角色的授权

说明书

技术领域

本发明涉及软件，具体地说，涉及软件系统的安全和访问限制。

背景技术

图1示出了用于限制访问应用的资源(即应用中使用的数据)的复杂管理软件应用中的安全布置100。复杂管理软件应用通常具有用户可以借以查看与应用关联的资源或与其交互的多个组件。通常将随时间的增加而添加组件以便为应用提供更多的能力。应保护用于每个组件的管理软件以便授权用户可以管理每个组件。但是，各种不同的软件组件可能具有数个不同安全限制中的任何一个限制。访问控制列表(ACL)是一种用于保护管理软件组件的常规方法。ACL用作一种访问控制机制，通过维护和参考用于计算机上每个对象的访问控制列表来确定是否将为特定用户授予访问。为每个对象分配标识其访问控制列表的安全属性，并且此列表对于每个具有访问权限(例如读取文件、写入文件或执行文件的能力)的用户都具有表项。诸如ACL之类的常规安全布置具有缺乏灵活性的缺点。

图1的安全布置是用户授权方案，其中根据为每个用户分配的预定角色向相应用户101-115授予访问可管理资源125和127的权限。管理安全系统通常具有多个针对用户的已定义角色。图1示出了在某些系统中使用的四个角色：管理员117、配置员119、操作员121和监视员123。(IBM是国际商业机器公司在美国和/或其他国家/地区的注册商标。)这些角色可以被定义为静态角色，为每个用户分配具有授权的特定角色以便在此角色的预定能力下访问系统的资源。在此图所示的实例中，每个角色117-123可以在此角色的预定能力下访问所有资源，即资源125-127。例如，用户101已被分配管理员117角色，因此具有对所有资源(例如资源125和资源127)的管理员级别访问的授权。

依靠静态定义的角色以便许可访问的此类方法通常由于缺乏灵活性而产生问题。例如，可能希望对于某个资源具有管理员角色的用户对于其他资源没有管理员角色。如图1所示，用户101和用户103都被授予管理员角色117，并且因此两个用户都可以作为管理员访问系统中的所有资源(在此实例中为资源125和资源127)。在某些情况下，可能希望用户有权访问某个资源但无法访问其他资源。例如，可能希望用户103有权作为管理员访问资源125但不能访问资源127。

发明内容

根据第一方面，提供了一种用于动态提供对基于计算机的应用中的多个资源的访问的方法，所述方法包括：检测与所述应用关联的潜在影响所述应用的访问方案的更改，其中所述应用包括多个组件；确定所述更改将影响所述应用的所述多个资源中的哪些资源；确定所述更改将影响所述应用的所述多个组件中的哪些组件；确定多个用户帐户中将受所述更改影响的至少一个用户帐户；以及修改或创建所述一个用户帐户的动态角色以适应所述更改。

优选地，提供了一种用于在每个组件被配置或被添加到基础软件时针对这些组件动态应用安全限制的机制。

在此披露的实施例提供了用于动态提供对基于计算机的应用中的多个资源的访问的系统和方法。

在至少一个实施例中，所述应用被配置为检测可能影响访问方案的更改，确定所述更改将影响所述应用的哪些资源或组件，以及还确定所述更改将影响哪些用户帐户。当许可访问中的更改时，所述应用将修改用户帐户的动态角色以适应所述更改。所述动态角色指定了所述用户帐户被授权访问哪些资源，并且与所述动态角色关联的一组权限指定了授予所述用户帐户的用于访问所述资源的访问能力。

在某些实施例中，对所述应用的访问方案的潜在更改可以包括向所述应用添加资源、向所述应用添加组件、向所述应用注册新的用户帐户和/或接收将其他访问授予现有用户帐户的请求。一组权限或某个新权限与现有动态角色的关联可以被视为对动态角色的修改，或对被分配此动态角色的用户的能力的修改。

根据第二方面，提供了一种用于动态提供对基于计算机的应用中的多个资源的访问的计算机程序产品，所述计算机程序产品包括包含计算机可读程序的计算机可用介质，其中当所述计算机可读程序在计算机上执行时，将导致所述计算机执行以下操作：检测与所述应用关联的潜在影响所述应用的访问方案的更改，其中所述应用包括多个组件；确定所述更改将影响所述应用的所述多个资源中的哪些资源；确定所述更改将影响所述应用的所述多个组件中的哪些组件；确定多个用户帐户中将受所述更改影响的至少一个用户帐户；以及修改或创建所述一个用户帐户的动态角色以适应所述更改。