專利名稱:企業(yè)權(quán)利框架的制作方法
絲領(lǐng)域
^^發(fā)明總地涉A^十^^^���。 ^^��,本發(fā)明涉及-^t用于在計脅系統(tǒng) 或網(wǎng)絡(luò)上管理在多個應(yīng)用間的用戶積跟的靈活才嫁�����。背景絲
來說明��,并且不P艮制于附圖之中�����,附圖中相近的附圖沖射己 表示相近的元件,其中[11
圖1解#^兌明了實;^M^斤描迷的一個或多個方面的計^^T《免的方塊圖�。12圖2是才MM^^斤描述的一個或多個方面用于在多個應(yīng)用之間管S^P艮信 息的網(wǎng)絡(luò)系統(tǒng)圖�。[13圖3A解^i兌明才N^本i^斤描述的一個或多個方面的用于^^實^F艮 的企ik^U^匡架的示意圖。[14圖3B是條^;斤描述的一個或多個方面的兩種樹艮情;X^目應(yīng)的樹艮 ,的困。[15圖4A4F ;UW^兌明^^本i^斤描述的一個或多個方面的樹艮管理系統(tǒng) 中的^t數(shù)據(jù)結(jié)構(gòu)和對象的圖。16圖5A-5E ;U^^i兌明才娥本文描述的一個或多個方面的基于角色的樹艮 和關(guān)稱寸象的創(chuàng)建和定義的圖。[17]圖6A-6D ^^#^兌明#^>^^描述的一個或多個方面的基于用戶的樹艮 和關(guān)m象的創(chuàng)建和定義的圖。[181圖7A-7C ;U^^i兌明^^;ML描述的一個或多個方面的^t支持4護(hù) lt據(jù)結(jié)構(gòu)和對象的圖。[19圖8是僻釋說明才^I^M:描述的一個或多個方面的用于添加和實^F艮的 方法的5危程圖。M實施方式[201在以下描述的樹實施例中��,參考作為;M^^分的附圖,附圖中示出了可實;jfe^發(fā)明的M實施方式���?��?梢岳斫獾氖?��,在不背離本發(fā)明的范圍的情況下�,可釆用用,實施方式以^t結(jié)構(gòu)和功^^ftf務(wù)改����。21圖1解#^兌明了可實^jth^所描述的一個或多個方面的計算環(huán)免。諸^i十脅ioo之類的計算設(shè)備可包含用于輸入����、輸出、^Hh理數(shù)據(jù)的多^WK例如,處理器105可^f亍多^f壬務(wù)�����,包括^Wt—個或多個應(yīng)用����、從"^M!^ 置115之類的存^i殳^H:數(shù)^V或向諸如顯示器120 ^L類的i殳備輸出翁:據(jù)。 處理器105可連接到臨時^^應(yīng)用數(shù)^^/或指4^l隨機(jī)訪問絲器(RAM)模 塊110����。 RAM模塊110可以任意順序進(jìn)行"4^^訪問,從而為RAM模夾llO 中的^^位置提供了相同的存取能力�。計#4幾100可進(jìn)一步包括只讀賴器 (ROM) 112,其可以在計#^幾100關(guān)機(jī)以后^^據(jù)持^^繼續(xù)^^##絲 上��。ROM 112可用于包括^i十^l/L100的J4^^入輸出系統(tǒng)(BIOS)在內(nèi) 的樹目的��。ROM112還可^ft數(shù)l^時間信息�����,從而即便關(guān)#重啟也能保 持信息�����。j^卜����,^#裝置115可提供對包括應(yīng)用和數(shù)據(jù)文件在內(nèi)的^t數(shù)據(jù)進(jìn) 行長^ft。 ^^置115可包^f壬意一種計^^L可讀介質(zhì)���,例如���,盤驅(qū)動器、 ;5t4^介質(zhì)��、磁帶員系統(tǒng)����、閃存,器等�。在一個例子中,處理器105可以 ^#^^置115中;l^應(yīng)用�,并在^Lfti亥應(yīng)用的時候,將與應(yīng)用相關(guān)聯(lián)的指令 臨時^ft在RAM才狹110上�。221計難100可通過^t部^H殳械出數(shù)據(jù)。如前所述���,""^t這樣的輸出 設(shè)備可以是顯示器120����。另一種輸出設(shè)備可以包:^H^揚聲器125之類的,輸 出設(shè)備���。^錯出設(shè)備120和125可與#顯示劍&器122和賴適配器127之類的輸出適配器相連�,輸出適配絲處理點旨^HH匕^y目應(yīng)的賴^ii信號�����。除了輸出系M^卜�����,計脅100可從樹輸入設(shè)4^b^/^^納輸入����,所 述^t輸入設(shè)備可以是勉130、 >^#介質(zhì)驅(qū)動器135和/或;^X (未示出)�。 就象輸出設(shè)備120和125 —樣,每個輸入設(shè)備130和135都可與適配器140相 連��,從而將輸入轉(zhuǎn)^^計^^可讀/T^^的數(shù)據(jù)�。在一種'J子中���,可艦過麥 (未示出)接^1]的聲音輸入轉(zhuǎn)^J:字格式并^^在數(shù)據(jù)文件中��。在一 種或多種情況下��,諸如介質(zhì)驅(qū)動器135之類的設(shè)備可同時用作輸A^p輸出設(shè)備�, 來允許用戶將數(shù)據(jù)寫A^讀出^f^介質(zhì)(例如,DVD-R��、 CD-RW等)�。[23計#^幾100還可包^-個或多個在網(wǎng)絡(luò)中^fp發(fā)送數(shù)據(jù)的通信^K各 種類型的網(wǎng)絡(luò)包^窩網(wǎng)絡(luò)、數(shù)字廣播網(wǎng)絡(luò)����、因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)等。計算 機(jī)100可包^dt^f4il些網(wǎng)絡(luò)中的一個或多個網(wǎng)絡(luò)中進(jìn)^it信的適配器��。特 別是��,計脅100可包括網(wǎng)絡(luò)it^器150�,用絲IP網(wǎng)絡(luò)中與一個或多個其它 計^^^計算設(shè)備進(jìn)^it信。在一個例子中����,適配器150可以對公司或組織的 網(wǎng)絡(luò)中參電子*1^消息和/或財政數(shù)據(jù)之類的數(shù)據(jù)的傳送提^1更利。在另一個 例子中���,itS&器150可以對來自iH口互聯(lián)網(wǎng)之類的萬維網(wǎng)的信息的發(fā)iHi^t 提^H更利����。適配器150可包括與一個或多個網(wǎng)絡(luò)協(xié)議有關(guān)的一個或多個指令集����。 例如����,iti己器150可包^-個用于處理IP網(wǎng)^t據(jù)包的第一指令集和與處理蜂 窩網(wǎng)絡(luò)數(shù)據(jù)^目關(guān)的第^旨令集�。在一個或更多的配置中,網(wǎng)絡(luò)適配器150可 為計#^ 100揭r^無線網(wǎng)絡(luò)訪問�。他部降,并不限于圖1所描述的設(shè)備和系統(tǒng)���。 P [25圖2是解#^兌明用于為運行在一個或多個^i十^^L 100 (圖1)的計算 機(jī)系統(tǒng)中的一個或多個應(yīng)用^f^管i^i艮信息的中央系統(tǒng)200的圖����。系統(tǒng)200 可用于為多個應(yīng)用205����、設(shè)備(未示出)和/或數(shù)據(jù)庫(未示出)進(jìn)行集中協(xié)調(diào) 和管理由多個應(yīng)用205、設(shè)備和/或數(shù)據(jù)庫共享的;kP艮信息��。中央系統(tǒng)200可包 括^t部^N^層�,所^包^^JJ ;應(yīng)用層210和lfcl^層215。亦可在系統(tǒng)200 中實施網(wǎng)絡(luò)服務(wù)網(wǎng)關(guān)220���,從而為在系統(tǒng)200和應(yīng)用205�����、相關(guān)設(shè)備和/或數(shù)據(jù)庫 之間的通信及無交互提#<更利����。例如����,網(wǎng)絡(luò)服務(wù)網(wǎng)關(guān)220可包括多^Ht信協(xié) 議,以允許應(yīng)用^^J糾通信協(xié)議與系統(tǒng)200交互��。網(wǎng)關(guān)220還可為系統(tǒng)200 與接口設(shè)備和/或應(yīng)用之間的通信提^H^"如數(shù)據(jù)加密之類的安全層���。26]在一種或多種配置中����,網(wǎng)關(guān)220還可為系統(tǒng)200與諸如應(yīng)用/服務(wù)207之類 的^^H^只別管理應(yīng)用之間的通信提^^更利��,從而允許Wfc應(yīng)用絲系統(tǒng) 200的特妙功能。在"H^'J子中��,i抽SUN IDENUTY MANAGER這樣的 月良務(wù)可通過網(wǎng)絡(luò)服務(wù)網(wǎng)關(guān)220絲系統(tǒng)200的服樸特征����。網(wǎng)關(guān)220可作為系 統(tǒng)200的一部分,或者可^J4可以是從系統(tǒng)200分離出來的獨立進(jìn)程���、應(yīng)用和/ 或設(shè)備�?���?蒳4^,才W—個或多個方面�����,可以直^ti應(yīng)用205或用戶與系統(tǒng) 200之間的通信�����。換句話沈���,可以不釆用網(wǎng)關(guān)來協(xié)助通信���。例如��,由系統(tǒng)200 準(zhǔn)備的^^t理輸出可以直接發(fā)iti^應(yīng)用205,而無需網(wǎng)絡(luò)服務(wù)網(wǎng)關(guān)220的幫助或朋���。27呈^p應(yīng)用層2io可實現(xiàn)一個或多個網(wǎng)絡(luò);sji用接口�����,包括網(wǎng)絡(luò)菜單械制面板����,如管理控制臺230�����。管理控制臺230可實現(xiàn)為允iff財用戶訪問^^務(wù) ^ft在數(shù)據(jù)層215中的各種樹艮信息的java程序或其它程序����。^&,管理 控制臺230可提供圖形或非圖形用戶界面���,用戶通過該界面可增加/移除/管S^ 限�����。因此���,當(dāng)用戶登^il者以���,方式訪問系統(tǒng)200時,可通過管理控制臺230 向用戶呈^^選項械制����,例如,可向用戶提##樹艮分@2^"個或多個用 戶��、角色�����、層級節(jié)點或列表項的選項�。還可向用戶給出選項絲加或刪除對象, 如用戶����、角色、動作、資源屬性等�。管理控制臺230可顯示與;Kf狄態(tài)、定義 的樹Mgt量�����、與用戶相關(guān)的樹艮��、用戶樹Mt變歷史���、被管理的應(yīng)用對目關(guān)的 附加信息。[281除了管理控制臺230^卜�,呈i^L/應(yīng)用層210還可提供附加的應(yīng)用編程接 口 ( API )235a、 235b�����、 235c和235d,在一個或更多實施方式中�,可4^) ASP.NET 才瑰來實現(xiàn)API235。 ^-個API235可專用于系統(tǒng)200中的不同進(jìn)程�,包M 權(quán)API235a、管理API235b�����、審計API235c和報告API235d。例如��,授權(quán)API 235a可以為確定是否授權(quán)用戶^t特定資源的一個或多^作的任務(wù)提^^更 利�。另一方面,管3git^可為應(yīng)用提供向系統(tǒng)200增加樹ML從系統(tǒng)200移除 樹艮的函數(shù)調(diào)用��。jHW卜����,管理API、審計API^^告API可提供ff息以及一個 或多個由管理控制臺230提供的能力����。因此,��;M^求用戶通過管理控制臺230 從系統(tǒng)200手動修^/檢索樹艮信息�,應(yīng)用可以使用管理API 235b自動實現(xiàn)這些 功能。本領(lǐng)域的才i^A員將意iJ測�����,推據(jù)用戶或組織的功能需求��,系統(tǒng)200中 可包^^^^t相似的API����。[29WW卜�����,呈^L^應(yīng)用層210可包括一個或多個服^件240,來i^ft^/或完 艦過API 235a���、 235b、 235c和235d發(fā)布的服務(wù)����。服:^w240涉;S^4t類 型的過^iSl任務(wù),包^5L��、管理�����、審計����、報告����、緩存�、數(shù)據(jù)訪問和/或4tm 理���。例如����,數(shù)驗問部件245可專用于與數(shù)據(jù)層215接口����,并從數(shù)據(jù)層215檢 索信息或辦息^^在數(shù)據(jù)層215上。因此�����,為了確;t^L否授糊戶來l^亍與 特定項目相關(guān)聯(lián)的特^^動作�,可調(diào)用#_縣問部件245對數(shù)據(jù)層215進(jìn)4憤問 并檢索與特定用戶、動作和/或資源相關(guān)的樹艮信息��。部件240也可以是相互連 接的��,允^-H^件調(diào)用另一個服務(wù)部件的方法和服務(wù)�。在一^^,子中�����,報告*可以向數(shù)旨問部件245請4^1據(jù),以制作一個被請求的報告��。 [30數(shù)據(jù)層215還可包括數(shù)據(jù)處理部分250�����。數(shù)據(jù)處理部分250可定義一個或 多個ii^liM^�、處3^p/il^索來自^:據(jù)層215的lt據(jù),特別^自^F艮信息 數(shù)據(jù)庫255的數(shù)據(jù)����。例如,^Wj過程260可定義資源類型�����、用戶�����、角色和/或 樹艮:W^被^^在數(shù)據(jù)庫255中�����。例如���,可將iif呈定:5U^許用戶從系維索 某些類型的數(shù)據(jù)(例如GetListUserRoleMap)�����。在另一^H^子中���,可將it^定 :5(JU 1于插A^f艮(例如InsertPrivilege )。數(shù)據(jù)處理部分250可進(jìn)一步包M 取轉(zhuǎn)格械(ETL)系統(tǒng)265����,該系統(tǒng)可才,包括^^M^M^呈"W260中的各 種ii^Ii^tH取、轉(zhuǎn)換和加 作��。在一個或更多的例子中���,ETL系統(tǒng)265可 用于將以笫一種格^^收的信4#械和數(shù)據(jù)庫255絲的第^^t格式�。在一 種特定的例子中��,ETL系統(tǒng)265可用于加絲級信息��?����?蒳^kJl附加地,ETL 系統(tǒng)265可才NIW 260的MJ!'j和iif呈將數(shù)據(jù)^A數(shù)據(jù)庫255����。 [31樹艮信息^:據(jù)庫255可,兩種類型的^^>4270和275�����, ^"^t^"有 獨立的功能���。例如����,知"i尸v^270可負(fù)責(zé)^f^,'j^Ht"息���,而^i尸v^275可 用于審計和/或4t^:務(wù)賭���。每^H^尸v^270和275可具有^f^部件260并由其 ^ft^l特定^^呈。MJ'^Pi只庫270提供與不同用戶�����、角色�����、資源類型�、動 作和樹財目關(guān)的樹ML許可數(shù)據(jù)的中央務(wù)賭?����?蒦^尺庫270中提Wfc據(jù)^ 查是否授權(quán)用戶來"^t一個或多個動作����。在下面將^^細(xì)地討論在管^5dl 結(jié)構(gòu)中擬^^0!'j的^^與^a亍。另一方面�����,審計/#^^尸4 275可^(t在知 識庫270或另一個數(shù)據(jù)庫上^M亍的與審計和/或診樹目關(guān)的數(shù)悟�����。所M的審計參照圖2所描述的^t元件可以許多方式進(jìn)ms^^/或進(jìn)行^W務(wù)改��。例如�, 在""^^換的實^式中,可^i尸v隼270和275組合成一個單-^PiR庫。 [32]圖3八解#^兌明用于^^表示樹艮信息的數(shù)據(jù)模型��。模型300可包括與 樹艮305���、動作310�����、資源類型315���、角色320、資源屬性樹象323���、用戶325��、 資源屬性對象326�、層級對象327��、列表對象328和列表項對象329相關(guān)的對象��, 還可以包括^5ft^^表格�。在一種或更多種配置中,數(shù)據(jù)模型300可以以資 源類型對象315為中心���,該資源類型對象315可用于識別和表示可為^義一 個或多個樹艮的應(yīng)用的類型���。例如,資源類型對象315可表示財務(wù)應(yīng)用��、供水 安全系統(tǒng)應(yīng)用或地鐵管理應(yīng)用����。j^卜,資源類型通??啥x可以賦予權(quán)限的范圍。4娥用戶的條����,可寬^k^狹窄地定義資源類型。例如����,通tr將資源類型定:5W^輸應(yīng)用,或者可逸地�����,可將資源類型單獨定義成航空逸輸�、地面33額夕卜賦替m,對于^"種資源類型,可才M^對應(yīng)于例如層斷象327 的相M^Ult定50KFMl^F樹象305�����。通常���,層toj"象327可,iC^作定義可被 授予樹艮的資源類型的結(jié)構(gòu)的基礎(chǔ)����。也^l:說�����,層鋭沖象327可才^與用于為 資源類型定:W艮的應(yīng)用數(shù)據(jù)相關(guān)的結(jié)構(gòu)來定:5U5(i艮��。例如����,可#^位置和區(qū) J^MU且織和構(gòu)成與電話服^f理應(yīng)用相關(guān)的電話信息和數(shù)據(jù)。因此��,可根提電 話服K理應(yīng)用指定的位置和區(qū)^t義以及分類來^0&良可i^fe^附加地�����, 層級可以表示用來為資源類型定:^艮的^^只結(jié)構(gòu)。例如���,層級對象327可以 ^M^只或公司內(nèi)定義^^^^或g以及每個歸�����、J或^Mi之間的關(guān)系。在另一 個例子中����,層級對象327可以為運輸應(yīng)用資源類型定義包Mi市、州�����、地區(qū)和 國家級別或節(jié)點在內(nèi)的iik^亂國家節(jié)點可表示層級中的最寬鈔1^���,接下 來是地區(qū)����、州和城市��。接下來由積f樹象305定義的樹艮可以應(yīng)用于和/或關(guān)聯(lián) 到^t層M^"���。因此���,與國家級別活動相關(guān)的ii^F艮可與層級中的國家級 別或節(jié)點相關(guān)聯(lián)���,而與州內(nèi)公路it^目關(guān)的一個或多個權(quán)限可與層級中的州級 別相關(guān)耽[34才W-個或多個方面,可通it 'J^t象328來表示可賦予樹艮的目標(biāo)項的 列表�����。例如���,可^L^"James作為管理/JWff務(wù)改時間條目"的相J^分解^ 目標(biāo)項"時間條目����,�����,Ji^^'修改"的動作����。在另一^^子中,可創(chuàng)建指定"James 作為管3S/Jbit^改開支條目"的W艮�����。該樹艮可分解錄目標(biāo)項"開支條目"上 進(jìn)幹'修改"的動作。才娥一個或多個實施方式���,資源類型可與定義^F艮的目標(biāo) 項的預(yù)定義ll^相關(guān)聯(lián)��。目標(biāo)項^^可由列^t象328表示�����,而條^中的^ 項可^^為刺口列表項對象329之類的項目對象。在一^^J子中��,財務(wù)應(yīng)用可 包含多個目標(biāo)項�����,例如每季》1^\_數(shù)據(jù)��、財務(wù)預(yù)測信息��、開支數(shù)^V或投f^己錄�����, 這些目標(biāo)項可定義一個或多個樹艮。同樣���,用戶在將樹^^加到財務(wù)應(yīng)用的時 候�,可在目標(biāo)項條^中選#^"個或多個與應(yīng)用或應(yīng)用類型(即�,資源類型)相 關(guān)聯(lián)的項目?����?梢詫⒛繕?biāo)V列表項目和列表作為整^ii行添加�、刪除和/或修改。 可替m^附加地����,列^/目標(biāo)項目還可與層級中的一個或多^Nt定^U'J相關(guān)聯(lián)。 也 _說�����,某個列^/目標(biāo)項目的權(quán)限可局P^ij—個或多個指定的層^U5i[35可以^JD由資源屬't樹象326表示的資源屬性來定:W艮與一個或多個其 M象之間的關(guān)聯(lián)和關(guān)系�����。例如�,可以對層級資源屬'J^it行定義���,從而在層級 中識別3械予權(quán)P艮的一^Nt定的節(jié)點或^^。同樣���,列表資源屬性可以指定權(quán) 卩Mt應(yīng)于的特定列表項�����。換句"^i兌��,資源屬性可以定�����,艮的范圍(即,,艦屬'酙目關(guān)聯(lián)��,這多個;源屬性可被^^:定:oi—個資源屬:齡�����。才娥資^:屬性^^對象323可定:M^/或創(chuàng)建資源屬性齡����。資源屬性H^i常涉及與單 獨的權(quán)PK資源類型相關(guān)聯(lián)的一組資源屬性�。同樣���,4M多個列表資源屬'戰(zhàn) 資源屬性集合可將樹艮與多個列表項或?qū)蛹壒?jié)點關(guān)自lt�����。在一種或多種配置 中����,資源屬性^^可增強資源屬性的數(shù)據(jù)絲����。136積J艮可以包^^如與;KF財目關(guān)的用戶、用戶角色^作4^類的細(xì)L^部分' 同樣�����,可由動作對象310來^^/或表示動作�����。另一方面����,角^t象320可用 于^織結(jié)構(gòu)中定義用戶角色�,而用戶對象325可用于^N應(yīng)的組織中^^特 定的用戶或雇員�。在一種或多種例子中,每個由用戶對象325所表示的用戶可 與由角^t象320所表示的角M目關(guān)聯(lián)�。^M^型300中的每個對象,例如對象 305��、 310��、 315����、 320、 323�����、 325���、 326、 327��、 328����、 329和330��, i^可以包^-" 個或多個引用^W象的數(shù)據(jù)字^l鏈接�。例如�����,樹樹象305可包括引用與 用戶對象325��、資源類型對象315�����、角色對象320和規(guī)則對象330相關(guān)聯(lián)的M 儲在其中的信息的字段�����。數(shù)據(jù)字段可用于指定包括每個對象的識別信息在內(nèi)的[37
圖3A以;Sit^的附圖中的箭頭;^ie^示從一個數(shù)據(jù)對^^另一個數(shù)據(jù) 對象的鏈接��。鏈接可以表^NI^在可以共享和/或引用相似的樹艮信息的數(shù)據(jù) 對"間的關(guān)系信息���。箭頭才射己的方向可定義哪個對象是被引用的對象以及哪 個對象狄出引用的對象��。例如����,示出一^^鄉(xiāng)資源類型對象315鏈接到權(quán) 卩樹象305。該鏈翻旨向樹艮對象305��。因此�,^^接可以指示樹艮對象305包括 一個或多個對由資源類型對象305^#^/或^#的數(shù)據(jù)的引用。類^^��,用戶-角色映射對象335可以引用和/或包括由用戶對象325和角&葉象320��,的數(shù) 據(jù)�����。這樣的鏈接允"i^HHbM�����,J框架(即�,權(quán)限管理系統(tǒng))來定:^"應(yīng)于特定權(quán) 限的多種數(shù)^V4sUB^部分之間的關(guān)聯(lián)。-"feM兌���,數(shù)據(jù)對象之間的^^接為與 樹M目關(guān)的^t^41供了意義��。38]圖犯說明了^Mft含上將兩個^F峰景^t到^2M^斤描述的數(shù)據(jù)鄉(xiāng)的各 個方面和特征的圖。兩個樹l^景可與相同的資源類型(例如J^"采購應(yīng)用類 型)或不同的資源類型相關(guān)聯(lián)。圖3B戶/f^W數(shù)據(jù)模型將樹艮拆分成六個《誠 部分�����。在場景l(fā)中�����,^P艮允許Bill作為司^P (DoJ)的^l負(fù)責(zé)A^^Ml幀中 繼器���。將場景1的樹艮分解^£^:據(jù)模型的結(jié)構(gòu)����,"Bffl"可被識別和絲為用 戶�,"DoJ的^/負(fù)責(zé)人",i^^l戶"Bm"扮演的角色。It^��,可將剩絲權(quán) 卩!U^斤成包絲作對^r/或列表項對絲內(nèi)的樹附加對象��。例如���,"狄"可 解釋為^jf艮中的動作���,"幀中繼器"可敗:JU^艮的目標(biāo)項�����。在一或多種配 置中��,樹!Ui可包括^J'J��。細(xì)'j可表示用戶和/或角色可以在怎游的糾下對資源^Mt^作或利用資源^i^作����。在一個例子中�,##可以約束用戶Bm在早上6點至晚上6點之間扭行他的樹k[391通過將^FIU^^Nfft^f蟲立的^^部絲特性,邏^t據(jù)模型/絲結(jié) 構(gòu)可以提^""個靈活且可擴(kuò)展的管理系統(tǒng)�����,在添M應(yīng)用和/或修改舊的應(yīng)用 時����,實施新的和/或經(jīng)修改的樹艮、資源類型以及角色���。更進(jìn)一步��,4^1資源 屬性來定50^F艮自動演變的不同^a^部分與^f艮的自我調(diào)節(jié)/重新定義之間的關(guān) 系�����。例如����,可以通過將新的目標(biāo)項添加到在與權(quán)PM目關(guān)聯(lián)的資源屬性中標(biāo)識的列表�,將由樹樹象定義的樹賦予附加的目標(biāo)項。因此�,樹Ml樹M"象的手動重新定M重新編程不再是必需的'[40圖3B的場景2描述了 Alice作為DoJ的副狄負(fù)責(zé)人(OA), ^ 有瀏 覽^)數(shù)據(jù)的樹艮�����。對于才M^U�,灘^N^型的一個或多個配置來)^斤樹艮, 可將用戶定W'Alice"�����,掙'DoJ的副狄負(fù)責(zé)人"定:U 角色��,#"瀏覽"定義 成動作��,橋'狄數(shù)據(jù)"定義為列表項��。^H^FIUE可確定^"如果用戶是請求者的下級"之類的MJ'J。圖38戶;^^#^模型 ^#^緣的一個#^����,并不意 味是對4^^斤描述的特#情況的限制。例如����,可以在圖3B^^賴才練中添 加樹艮的^t其它部^V或情況。[41回到圖3A,對象305��、 310���、 315����、 320和325可以^fW艮的一個或多個 屬性����,例如圖3B所描述的內(nèi)容。諸如用戶-角色5jy^對象335和樹IU動作錄 對象340之類的^W象也可以被實施iM^供用于鵬和管^f象之間的關(guān)聯(lián) 的信息��。作為例子�,用戶-角色^t對象335提供用戶和角色之間的關(guān)棘因 而,如果4^1樹艮管理系統(tǒng)的應(yīng)用請求了和某個角M目關(guān)聯(lián)的所有用戶的列表,則可以訪問一個或多個用戶-角色ft^f對象335iMHr這樣的信息���。相合她����,如 果應(yīng)用請求了對應(yīng)于某^作的所有樹艮����,則可^^樹^動作^yt對象340來 提取信息�����。42為了更詳細(xì),迷數(shù)據(jù)模型���,圖4A4F將圖3A中解釋的對絲結(jié)構(gòu)分組 成iH^U'J���、層級、樹艮�、資源類型、用戶和角色以;SJO!'J之類的功食辦類����。 例如,圖4A圖75W兌明了與樹艮管理系統(tǒng)中的;M'J功育M目關(guān)的多個對絲結(jié)構(gòu)�。 擬����,J種類包括多個對象�,所述多個對絲過向用戶顯示W(wǎng)門在高toiJ (即在應(yīng) 用層)具有的^PIMU區(qū)動用戶經(jīng)歷。換句^i兌�,^ti^5U'附類的對^^數(shù)據(jù)結(jié) 構(gòu)410、 402�����、 404�、 408和409通過資源類型提供了對數(shù)據(jù)模型中為用戶^W ^P艮信息的高級顯示。這種樹艮信息的高織示還可被^4^在i^^對象408之 類的^^立度樹Mt象中�。權(quán)利功能可由對象賴區(qū)動,所財象例如B用對象 402����、資源類型-應(yīng)用映射對象404、樹 態(tài)對象406����、粗fe^W艮對象408和 入口對象409。入口對象409定義了網(wǎng)絡(luò)前端�����,用戶可通過該網(wǎng)絡(luò)前端訪問用戶 的一個或多個樹|^斤關(guān)^^/或4#的應(yīng)用。對不同的應(yīng)用可以定義不同的入口 ����。 在一種或多種實施方式中,可以才娥一個或多個應(yīng)用參lfo^相同應(yīng)用的不同實 例定義不同的入口或網(wǎng)絡(luò)前端���。應(yīng)用參數(shù)可以確定什么資源類型和/或樹艮^:可 用的并可^皮^^^^用戶�。應(yīng)用參數(shù)可包^N如可定:W艮的目標(biāo)項以及用戶可 以扭^亍的可用動作��。才娥應(yīng)用需要以及特性的不同�����,每個應(yīng)用還可進(jìn)一步與不 同的入口相關(guān)耽43jHW卜����,應(yīng)用對象402可以識別資源類型或資源類型對象所對應(yīng)的特定應(yīng)用�。 另一方面,資源類型-應(yīng)用^f對象可用于絲資源類型輛目應(yīng)的應(yīng)用之間的關(guān) 系����。在一種或多種情況中,應(yīng)用可關(guān)聯(lián)多個資源類型。例如�,特定的珊管理 應(yīng)用可以對應(yīng)地鐵it^r資源類型、航空資源類型以M面運輸資源類型���?��?蛇x 地,應(yīng)用可與同一資源類型的多個實例相關(guān)聯(lián)�����。通過資源類型-應(yīng)用映射對象404 可為對應(yīng)于應(yīng)用的資源類型的識別4^^f更利��。為了'fel查找��,映射對象404可 以�,資源類型與一個或多個應(yīng)用之間的關(guān)耽[44粗粒度樹艮對象408定義了與應(yīng)用或資源類型相關(guān)聯(lián)的樹艮的種類或總 和。例如����,財務(wù)交易應(yīng)用可以和i^tp"刪除財^i己錄的ID字段"、"添加財^i己 錄"和,整預(yù)報"之類的細(xì)粒度樹M目關(guān)聯(lián)���。在一些情況下��,用^K^^斤有細(xì)粒度 樹艮的"fetol鏈接來呈現(xiàn)用戶接口或GUI會使用戶信息過載�。因此,粗 >權(quán)或類型的細(xì)津立yl^F艮�。在上ii例子中,細(xì)粒度^F艮可與用于確定"修Wj^i己錄" 選項是否在用戶接口顯示或以雞方式可用的^^立度樹財目關(guān)聯(lián)���。因此����,不是 處t種不同的權(quán)限���,而是可以使用單個tt:度樹艮來確定要呈SL^用戶的選 項���。樹歐態(tài)對象410可以指定^^立度樹艮是否對特^)戶來^A可用的/活動 的,或者;i不可用的/不活動的����。[451圖4B解#^兌明了可包含多個與;^艮的^i^^表示相關(guān)的對^l^構(gòu)的權(quán) P樹類��。*地����,樹樹象305務(wù)賭了與積跟的多個方面和纟1^部^目關(guān)的信 息^M接��。例如����,權(quán)限對象305可以包括用于識別與權(quán)限對象305戶/H餓的權(quán) F^目對應(yīng)的用戶����、角色和樹艮類型的字段。樹艮類型對象410可用于定義一個 或多個樹艮類型��,例如��,用戶和組類型樹艮�。樹M象305還可與由一個或多 個資源屬性糾象412定義的一個或多個資源屬性集相關(guān)聯(lián)。資源屬性集可以 絲由資源屬'財象414 4化的一個或多個資源屬性�。資源屬性集還可用作緩 存機(jī)制,用來^A與樹財目關(guān)聯(lián)的屬性以脅't^'l^:據(jù)的絲�����。 [46在一種或多種配置中���,資源屬'樹象414可用來定義與樹財目關(guān)聯(lián)的特定 資源類型的一個或多個屬性��。資源屬�,)^^可定:W艮與諸如層級節(jié)點之類的另 一個對象之間的關(guān)系。^il種情況下����,由資源屬性定義的關(guān)系可以表示權(quán)限范 圍中的層級節(jié)點所包含的內(nèi)容。資源屬'腿可以定義列絲目標(biāo)項與^FH^間 的關(guān)系�。特別是,資源屬性可以確定樹P斤管轄的列絲目標(biāo)項����。因此,可以 才娘與^F賄關(guān)系的對象(例如���,資源屬性����、層級節(jié)點和/或列表項)的一個或 多^H務(wù)錄自動重新定:^調(diào)整樹艮的范圍��。也tOi兌�����,不需要對樹MU5LF艮 對^Ji行AX重新配置或重新定義����。也可以定義雞的資源屬性并與^FM目關(guān)47] jH^卜,由樹w^t象416定義的樹mr^可用于通ii^加具有指定特性 的層級節(jié)點和/或列表項來定:Ul修細(xì)艮的范圍���。在一種情況下��,棒性可以包 括關(guān)系��。換句話說����,與i^節(jié)點或項目之間的關(guān)系和由權(quán)PMW確定的關(guān)系相 匹配的附加的層級節(jié)點或列表項可被添加到擬艮范圍中��。例如�����,樹M8^:可用 于將權(quán)限分gei^層級節(jié)點和從屬于該節(jié)點的所有節(jié)點�。具體地,可以給用戶一 ^H者如'所有子節(jié)點"的選項���。在另一種仔中�����,權(quán)f^W^可向用戶提^-Mst 項(例如��,"所有列表")來將權(quán)PM^僅賦予特定的列表項���,并JUm予同一列表中的絲項目��。樹MTO^項或快妙式可以使管理員無需選#^/4^予權(quán) 卩^ij層級中的每付節(jié)點�����。因此����,數(shù)據(jù)模型可以4^I樹W^象416來定義 和/或創(chuàng)建在明確授予的樹詠一個或多個由快^r式確定的^F艮之間的關(guān)氣 在包括層級類型和節(jié)點類型的樹MW中還可^^)其它特性類型����。48才W""個或多個方面,���;KPW^b許在添加新的層級節(jié)點或列表項的事 件中自動進(jìn)^KF艮的自我調(diào)節(jié)���。例如,參'所有子節(jié)點��,,這樣的樹W^可以 自動^f添加的子節(jié)點與響應(yīng)該添加的積跟關(guān)^^���。 #^^, ^'所有列表" 權(quán)PW^4項�����,添加給與樹M目關(guān)的新目標(biāo)項可自動與權(quán)^M目關(guān)聯(lián)���。因此�,使 用這樣的權(quán)PWi系統(tǒng)�����,可以不需要對樹Ml權(quán)限的^iB^部^^行人工重 新定:5UMi應(yīng)新添加的^lt[49圖4<:解#^明了與資源類型相關(guān)的對絲結(jié)構(gòu)��。如Ji^斤述��,資源類型可 fct到可為^^OKP艮的應(yīng)用類型�。數(shù)據(jù)模型可^^I動作對象310來為資源類 型定義一個或多個可^J I的動作。例如��,雇員管理應(yīng)用可以包括與輪班^S&�����、 增加/開除雇員、修改工資對目關(guān)的命令���。這樣�,可將上述動作中的^-個添加 到資源類型���,而浙口出貨或##這樣的動作則不可以����。j^卜�,可才Wi^H^ 對象422這樣的資源屬'l^^t象來定義與特定資源類型相關(guān)的資源屬性。資 源屬'h4^L^給定的資源類型定5Ur性���。因此�����,為給定的資源類型定:W艮可 能需要定:5^斤有由^1指定的屬性�����。50在4或多種配置中���,資源屬'I^^L可以包括i^bf射己���,該才斜6狄了屬 性是否必須進(jìn)行定義。資源屬#*1也可以包括可授予才射己����,該才射M旨定了是 否可以將權(quán)PH^綠資源屬性����。例如,在公共X^呈系統(tǒng)中�����,權(quán)PW食誠予對應(yīng) 于州層級節(jié)點的屬性�����,但可授予對應(yīng)于城市層級節(jié)點的屬性���。這種配置可有效 地阻jhit寬的權(quán)限定義����。; 1^£可以提供關(guān)于^:據(jù)格式和#^式的《兌明��。具 絲����,^^t象422可指定一個或多個必需的字段、每個字段的最大數(shù)據(jù)大小�����、 數(shù)據(jù)類型和/或它們的組合��。通過資源屬'I^UE可定義鈔父節(jié)點和子節(jié)點之 類的資源屬性之間的關(guān)系�。[51圖4D中解^i兌明了實,鄉(xiāng)列表的數(shù)據(jù)對絲結(jié)構(gòu)。列絲常與對象�、 目標(biāo)項和/或^M言息的^"有關(guān)。另一方面����,層Mit常涉財象、數(shù)^V或其 M息的^�,其中才娥一個或多^^;W"信息進(jìn)行歸類或排列。層#列表 可相對獨立使用����,或者可i4^��,可組^f吏用���。例如,層級的不同^J'J可與可用項目的不同列勤目關(guān)聯(lián)���。因此��,可以允許第一層M次的樹^項目的一個不同列表中辦。更進(jìn)一步����,節(jié)點分類對象436可用于區(qū)分層級節(jié)點和列表節(jié)點。 jth^卜�,還可由相應(yīng)于節(jié)點類型對象438的節(jié)點類型來定U^V或列表中的節(jié) 點。例如��,��;Hk^3S層級(如國家���、州��、城市)中的節(jié)點可具有M類型節(jié)點�����。類 似地�,也可以通過相應(yīng)于層級類型對象432的類型變量(例如 Hierarchy_iype_ID) iMt征^^亂可通it^戶來定U級類型,層級類型可 包括地理層級��、安全層級�、位置層級等。還可以通it^級確定變量(例如 Hierarchy—ID)[52圖4E對用戶和角色圖進(jìn)行了說明�,該圖示出了用于^F艮管理系統(tǒng)中實 WtV或支^^F艮的用戶和角色成賴;L^對絲結(jié)構(gòu)320、 325�����、 335����、 452、 454���、 456��。用戶對象325可以員包括用戶識別符����、;HkAt信息��、電^"^lt據(jù)�、電子 郵斧ft息等在內(nèi)的^ft字艮4W由用戶類型對象452和用戶狀態(tài)對象454分 別定義的用戶類型和用戶狀態(tài),還可對用戶對象325進(jìn)##征化�。用戶狀態(tài)的 #^包括活動用戶、非活動用戶����、刪除的用戶,而用戶類型的舉例可包括內(nèi)部 和夕MP用戶類型�����。^F艮管理系^i可包^NP用戶扮演對象456之類的用戶扮 演對象來允許第一用戶扮演第二用戶��。^^一個或多*降���,第一用戶可繼承 第二用戶的一個或多個^艮。因此��,用戶扮演對象456可M包含第一用戶識 別符(例如UserJD)和第二用戶伊J5'J符(例如User_Impersonation_ID)在內(nèi) 的數(shù)據(jù)�����,其中第二用戶識別符用來識別繼承第一用戶的用戶(即,在第一用戶 的4t^l下扮演)�。用戶扮演對象456還可包括有效日期和^Uh日期來定義有^M 承的周期。[53如上所述����,用戶和角色還可通過用戶角色-映射對象335定義的用戶角色 ftW來鏈接。用戶角色-ftM^對象335存^t用戶和特定角色之間的對應(yīng)和關(guān)聯(lián)�。 因此,如果用戶Liz^ialK中扮演人力資源經(jīng)理�����,樹艮管理系統(tǒng)可^^I用戶-角 色映射對象335將用戶Liz與人力資源經(jīng)理角^目關(guān)聯(lián)���。如角色對象320這樣 的角色對象包括^#信息的字段��,所絲的信息iJN^是角^����、角色描錄截 止曰期�����。如同用戶扮演和角色��,用戶-角色關(guān)^i也可以包括氣Ji曰期和/或有效曰 期輛保該關(guān)聯(lián)不紐期。[54圖4F解釋了包括規(guī)則對象330��、規(guī)則類型對象462和樹,'j^t對象 464在內(nèi)的^F,'J圖��。細(xì)'j對象330可定義一個或多^WJ或餅來限制權(quán)限�。例如,財^y^務(wù) W艮可取決于日期時間和^^免l^���。因此可將日期時間M定義為限制財^ii^^W艮的^J!'J�。 ^^^F,'JftMt對象464可將 權(quán)p^^y'j相關(guān)聯(lián)�。在一種或多種配置中,可以對一個^F艮定義多^HiyH�。規(guī) 則可^ft在列表中作為列表項。還可通im則類型對象462定義的一個或多個 �����,'j類型對多^0!'j進(jìn)行歸類和分類�����。MJ'J類型可^����,例如,有效日期范圍���、 有效時間范圍�、大于/小于日期�����、數(shù)字范圍�����、列表項條陣�、值列表務(wù)降、大于/ 小于##^^^匹配��。55jH^卜�����,才w"^t或多種情況���,^4t樹,����,J的^h古,樹艮可對用戶或角色 有效�����。例如��,權(quán)P,'J可以M^i戶樹艮的有效絲于是否將用戶指^7第一 部門的角色�����。這種樹艮可用于定購圖書或一些�,項目。因此�����,如果用戶角色 妙���,對圖書進(jìn)行狄的用戶^f艮將U效的��。換句"^兌,用戶權(quán)PML^了��。 才^t^P,'J,用戶積J艮是動態(tài)且自調(diào)節(jié)的'[56]圖5A-E解^i兌明了才娥;M^斤描述的構(gòu)ii^^型的樹情況的樹艮創(chuàng)建 和定義�����。例如�,在圖5A中,可4M層級對象501�、層級類型對象504、節(jié)點分 類對象515��、節(jié)點類型對象5U��、列表對象513�����、列表項對象514和層級節(jié)點對 象507來創(chuàng)建層級�。層級對象501可定義具有fflerarchyJD為1000以及 ffierarchy—iype一ID為1000的層l fflerarchy_iype_ID可以識別和/或?qū)?yīng)于 ^i己類型對象504定義的iife^級類型。彭卜�����,層級可與相應(yīng)于層級的M級 別或成分的多個層級節(jié)點507a����、 507b和507c相關(guān)耽*節(jié)點507a、 507b和 507c同樣可由節(jié)點類型對象5U定義的一個或多個節(jié)點類型進(jìn)##征化。每個 節(jié)點507a��、 507b和507c還可指定^1I^M只別層級中節(jié)點所屬或分配的級 別��。例如��,節(jié)點類型對象511可定義#星體�����、國家�、州、城市和坐標(biāo)方R 類的節(jié)點類型����。因此可##個節(jié)點507a、 507b和507c識別為節(jié)點類型中的一 種���。例如��,節(jié)點507a對應(yīng)于星體節(jié)點類型(用NodeJiypeJD字段和^1^示)�����, 而節(jié)點507b對應(yīng)于國家節(jié)點類型��。[57層級節(jié)點還可以包^H口節(jié)^^稱�����、雙親層級節(jié)點id輛艮部層級節(jié)點id 之類的字段��。雙親層級節(jié)點id可用于定:^&級中節(jié)點間的關(guān)系��。因此��,在一種 或多種情況中����,可將層級節(jié)點507a定:5U^:級節(jié)點507b的雙親層級節(jié)點��。每 個節(jié)點507a�����、 507b和507c還可以在root—hierarchy—node—ID中指^Jr糾艮節(jié) 點����。通過指定由節(jié)點分類對象515定義的節(jié)點分類id或值可將節(jié)點識別為列表節(jié)點M級節(jié)點。在一種或多種配置中�,節(jié)點類型可與列M象513以WiJ表 項對象514定義的由樹艮應(yīng)用的列表項的列勤目關(guān)禮在一個例子中��,列表可 包^Ha電子網(wǎng)格���、7j^網(wǎng)格和it^網(wǎng)^L類列表項。[58圖56解#^兌明了資源類型以及與其關(guān)聯(lián)的資源屬'^ 的定義����。資源類型對象519可定義iH^共x^呈系^:類的特定資源類型。資源類型對象519還可識別一個或多個用于^^只相應(yīng)于資源類型的^P艮的^^I和/或應(yīng)用的關(guān)M 良資源類型還可^f線資源屬'I^L^象523定義的一個或多個屬'N^J^定 義需要的屬性�����。這種#^可定義必須為與資源類型相關(guān)聯(lián)的權(quán)限定義的屬性列 表��。����;^L可^^I^^斤描述的無效字"^M旨定需要以及不需辨峰屬性。每個^^也可以識別雙親資源備1^M^特征化資源屬性之間的關(guān)系���。才娥一種或多種情況��,才緣資源屬'l^^象523中的ResourceJiypeJD字段���,資源羼性 ^!可與特定的資源類型相關(guān)聯(lián)��。59圖5C解釋說明了分別由用戶對象527�、角&寸象531和用戶-角色映射對 象535定義的用戶�、角色、用戶-角色,����。每個角&寸象531和用戶對象527 可分別定義一個或多個角色和用戶��。例如����,在圖5C中,用戶對象527定義兩個用戶���,射己一個用戶id為iooi���,舶己另一個用戶id為i002。角色可以指;Ua織中的用戶角色或者M(jìn)d^斤^a的特定角色�����。角M"象531定義公共x^呈系 統(tǒng)角色與公共x^呈系^目對應(yīng)的任務(wù)相關(guān)聯(lián)(而不是����,例如自來水x^iiut^xa系統(tǒng))�����。用戶-角色RjMt對象535可用于將用戶和角M目關(guān)聯(lián)���。例如,用戶-角色^)Mt對象535可定^U目應(yīng)于用戶id 1001的用戶與公共X^呈系統(tǒng)角色之間的 關(guān)聯(lián)性�����。601在圖5D中��,可才娥角色定細(xì)艮����。也^!Ui兌,將樹艮射條角色(例如��, 由角^J"象552定義的/厶共X^系統(tǒng)角色)����,所述角色可以射己一個或多個用戶。 樹艮可^f^樹艮對象554并與動作����、樹艮類型和/或資源屬性集相對應(yīng)���。動作 對象541可定義和^^^務(wù)#瀏覽之類的動作,而樹艮類型對象545可定 :M^����,包括用戶和角^內(nèi)的樹艮類型。樹艮動作ftyt對象560可定:M^/或 ^ 作與樹艮之間的關(guān)聯(lián)性�����。與樹艮類型對象554制定的角色(即�,role—id 1000確定的角色)相關(guān)聯(lián)的用戶允許Wt定義的動作�����。��;W艮動作,的^^1進(jìn) 一步允許對與樹M目關(guān)聯(lián)的動作的自動重新定:M^或重新配置�����,而無需對樹艮 的參數(shù)進(jìn)行人工或特定的修改��。ort^卜,資源屬'f^象549可用于對^F艮或資源類型進(jìn)##征化����。例如,資源屬'樹象549可^ft用于指;t^級節(jié)點配置的屬 性����。特別是,通過將樹艮與相應(yīng)的資源屬'1^目關(guān)聯(lián)����,可將樹艮與層級節(jié)點或級別相關(guān)耽jrt^卜,樹R^向M^tt^J"象558可用于定義細(xì)Wy5U^^a^度權(quán)Pll之間的對應(yīng)�����,其中細(xì)粒度;W艮是由相/Mt象554來定義的���?���?梢詫個與^a^立度樹Mt象554可以為每個與特定角^目關(guān)聯(lián)的用戶(用戶1001和1002) M兩^W立度樹艮���。如上所述�,i^立度權(quán)限可表示寬泛的描iiil細(xì)粒度樹艮 的分類。特別是����,可以從動作和類別列表項中提^F艮,或?qū)漪逇w類到其中�。 例如,可以為具有iH^瀏財音樂部門的訂單"���、"瀏財絲部門的訂單"以 及"瀏財計^lis門的訂單"之類的多個樹艮的用戶定義妙'瀏覽訂單"之類的^a^立度權(quán)限����。因此�����,^a^立度樹艮"瀏覽訂單"可以將用戶鏈接到對應(yīng)于不同部 門的獨立瀏覽訂單樹艮���。在另一^h^子中,與添加����、刪除以及修訂列表項相關(guān) 的樹艮可以歸入"修改"^i^立度權(quán)限中。在另一個例子中,刺口回顧���、打印g 存之類的細(xì)粒度樹艮可歸類到"瀏覽�����,v^立度樹艮中�。[61圖5E解^^兌明了基于^^立度樹樹象562的^L^1樹艮定義���。尤其是粗 粒度樹樹象562定義兩^Na^立度;kP艮����,即^lS^樹艮id 1000和1001��。樹狄 態(tài)對象566可用于描^W^W艮的狀態(tài)��。在一^^'J子中�����,^P狄態(tài)該可包括 活動的和非活動的���。另一方面����,資源類型應(yīng)用映射對象570可定義資源類型和 應(yīng)用之間的關(guān)^1性。這種關(guān)聯(lián)性允許用戶或樹艮管3^瀏覽和/或確定與特^ 用相關(guān)聯(lián)的資源類型以;5W艮��,反之亦然����。例如,資源類型應(yīng)用映射對象570 可^"公共X^呈系統(tǒng)資源類型(即����,資源類型id 1000 )與公共X^呈系統(tǒng)應(yīng)用(即, 資源類型id l)之間的對應(yīng)��。在一^t或多種S&置中���,同樣定5UI于創(chuàng)賴戶接 口從而^i4^F艮訪問的入口���。例如��,入口可用于向用戶顯示與多個不同應(yīng)用相 關(guān)的可利用的相粒度樹l可使用入口對象574來定:5C^口 �。 [62圖6A-6D解釋說明了樹艮定義的另一個例子。然而�����,與圖5A-5E相比, 圖6A-6D的樹艮定:JU^于用戶��,而不A^于角色�。特別地,圖6<:解#^兌明 了基于由用戶對象605和用戶狀態(tài)對象610定義的用戶來創(chuàng)建樹艮�����,而圖6D則 解釋說明了相粒度樹艮的定義��。通過用戶對象可以定義和/或^ft用戶���,并JIii 可以通過諸如激活�����、待決和/或凈妙'Jfi^t樣的用戶狀態(tài);jM^述用戶�。因此���,樹艮 對象615可以確定與用戶對象605相對應(yīng)的用戶�����,而不是確定角色����。勒以地,樹議向^f匕對象620可以##用戶�,而不是角色,將^a^JL^f艮與細(xì)粒度樹M目關(guān)聯(lián)����。因此,如圖6A-6D,WI^的�����,粗泮i^樹艮對象625可以為樹M" 象615確定的一個用戶(即與userjd 1000相關(guān)聯(lián)的用戶)僅創(chuàng)建一4*^度 樹艮定義�����。與圖5D和5E相比��,由于圖6A-6D中所描述的樹H^是根提圍繞一 個以上用戶的角色所定義的�,因此可以為一個用戶M義一^H^立度樹艮。圖 6A解^i兌明了層鄉(xiāng)列表的定義�����,而圖66解#^兌明了資源類型的定義���?��?梢?釆用與基于角色的樹IUL^相同的方式為基于用戶的積跟創(chuàng)建和/或定:5C&級、 列絲資源類型��。[63^^J一個或多個包括歷^A格對象��、^^記^ii^對象以及資源輸A^t 綠內(nèi)的維護(hù)對象可進(jìn)一步支#^/或管^^>斤描述的數(shù)據(jù)對象���、結(jié)構(gòu)財法��。 圖7A解釋說明了可用于iiJt^i己錄與一個或多個^t^目關(guān)的特定^K例 如,角色歷史705可用于鵬與特定角色或角M^目關(guān)的動作和/或狀,統(tǒng)息����。 勤W^�,資源類型歷史對象710可^#歷史數(shù)據(jù),該數(shù)據(jù)與對特定資源類型或 資源類型對fii糊修W目關(guān)�����。她歷史對象可包細(xì)艮歷史對象715���、用戶歷 史對象720 g作歷史對象725�。可響應(yīng)觸發(fā)或預(yù)定義的MJO'J來記錄^HMt 息�。例如,資源類型歷史對象710可響應(yīng)^r測對資源類型的^^M^加條目���。 用戶可以檢索表格和歷史對象705���、 710、 715����、 720中的^r-個來審計或分才樹 她系鉞樹的 。[64圖7B解#^兌明了 �����;i^t淑日志記紗活動iii^對象����。每^N^日志記錄 和活動追蹤記^t象與^t不同類型的日志相關(guān)。例如����,應(yīng)用異常日志對象730 可用于^f^J應(yīng)應(yīng)用命4^V或請求而產(chǎn)生的異常'另一方面�,F(xiàn)TP輸出日志對 象735可用于^iL識別^KF艮管理系統(tǒng)的ftp輸出活動的日志���。仍舊是在另一個 例子中,資源輸入^日志對象740可用于^^在特定資源類型輸出時iiJ'J的 錯誤���。�����;^域的技術(shù)人員將意識到^^I這些對象可以ii^各種活動和錯誤����,并 且可添加M日志ijUl^宗^^^活動��。j^卜����,日志記^^活動iUt對象730、 735和740可響應(yīng)在系統(tǒng)內(nèi)定義的M�、預(yù)定5UJU!,J和/或^K [65圖7C圖^i兌明了用于維護(hù)系統(tǒng)內(nèi)^^和/或絲的樹類型數(shù)據(jù)的主列表 的資源輸A^f象�。例如,輸A^級對象747可^^與一個或多個層^目關(guān)并在 權(quán)P艮管理系統(tǒng)中表示的數(shù)據(jù)。類々她���,輸入動作對象可與系統(tǒng)定義的動作表格 或列勤目一致����。在一種或多種配置中���,主列;M^/或表格可被用作用于在ETL處理過程中驗"ii^TA^:件的控制列表��。另一方面�����,為了確定樹艮將要進(jìn)行的改變����,可4W��。輸入產(chǎn)品對象745之類的輸入產(chǎn)品表格或?qū)ο笥糜谀繕?biāo)項和/i^ 級的i^/Nj'J表��。例如�,如果新的目標(biāo)項被添加到應(yīng)用或資源類型,可通it3iT入產(chǎn)品主列表以及將主列表與樹艮管理系統(tǒng)中^^1的當(dāng)前列^Ji行》b^,從而確定這些新的目標(biāo)項��。才娥一個或多個確定的差別,對一個或多個與有^5LFM目 關(guān)聯(lián)的項目列^Ji行更新(例如,從列表中添加或刪除項目)�。輸入動作對象750 可以為更新g測與應(yīng)用或資源類型相關(guān)聯(lián)的動作的 提供相似的功能。此 夕卜����,可以^"擬艮的 進(jìn)^^艦,并將其記^J'J樹峰量輸出文件���。可將該文 件;^iH^應(yīng)用��,或者;i管理員或用戶可以利用該文件��,[66上^護(hù)對象中的^個^T用于包^輯^I檢查在內(nèi)的^t目的�����。 這些對象也可用于將數(shù)據(jù)^Ail^圖4A4E中所)1 #的那些對^^類的一個或 多個^Wt象��。W卜�,還可在值的前后^ftJiii^護(hù)對象中的一個或多個,從 而^^l戶可以^f預(yù)試功能��。例如��,ilh^在圖7B中戶;f^糊那些ii^對象可用 于記^,的輸入數(shù)據(jù)而對一個或多個權(quán)PIUi行的^���?��?蓪⑦@些改變, 到增量輸出文件(例如^#在先前的4小時內(nèi)jgjt變化的樹艮的文件)���。接著可 將文^f^l^-"個或多個相關(guān)應(yīng)用��。[67圖8解#^兌明了用于^P艮管理系統(tǒng)中^mF艮的方法�����?�?蒦^相關(guān)的權(quán) 限信息���,通過用戶和/或由管理系統(tǒng)自動對樹IUi行定義?�?蒳^k^附加地��,可 通過網(wǎng)絡(luò)服務(wù)器和/或管理控制臺用戶接口iM^加樹艮�����。例如,在步驟800�,可 通ii^P艮管理系^^收添加權(quán)限的請求。例如���,可以通過網(wǎng)絡(luò)服務(wù)網(wǎng)關(guān)從用戶 那里^L請求��,例如網(wǎng)關(guān)220 (圖2)�����。才M^亥請求,在步驟805中可提Wl確 定一種或多種信息類型�����。各種信息類型包括列表項信息��、動作信息��、用戶數(shù)據(jù)�����、 角色數(shù)據(jù)、層級信息等�����。[68在步驟810中����,可創(chuàng)建新的;^樹象^Wf的樹艮并建立糾屬性與權(quán) 卩M目對應(yīng)的數(shù)據(jù)對象之間的關(guān)聯(lián)。在步驟815中�,例如,iH^作對^角色 對象之類的對象可與樹樹斜目關(guān)聯(lián)�����。對象之間的連接可以根據(jù)對象之間的依 賴性以及關(guān)系和/或其中^fW數(shù)據(jù)來建立���。在一個或多個實施方式中�,可將關(guān) 系和連接定線資源屬'樹象中^W源屬性����。[69在步驟816中,系統(tǒng)可確定在層級中樹M皮關(guān)聯(lián)的位置���。該確定可通朋 戶輸Ail才Mt默認(rèn)的層^^進(jìn)行���。在步驟817中�,系統(tǒng)可確定用戶是否希望定義一個樹mw���。用戶可指定用于識別樹w斤關(guān)聯(lián)的一個或多個附加的或其 他的層級節(jié)點或列表項的關(guān)系或描述�����。例如����,如果用戶選幹'所有子節(jié)點"樹艮^i^項�,系統(tǒng)可iP^—個或多個作為子節(jié)點級別的節(jié)點或不走816中確定的 節(jié)點。如^^擇了樹Ma^�����,在步驟818中樹HM^可與樹M目關(guān)耽射卜�����, 在步驟819中�����,可以確定一個或多個與^FW^斤指定的描逸氛關(guān)系相匹配的 節(jié)點或項目����。[70在步驟820中,可以為^f^斤應(yīng)用的每個層級節(jié)點確定相應(yīng)的資源屬性�����。 這些節(jié)點可包括明確的用戶選擇節(jié)點和/或通ittiW^不明顯選擇的節(jié)點���。在 步驟825,可以為樹P斤應(yīng)用的列表項確定相應(yīng)的資源屬性�。例如�,^F艮可允許 用戶去瀏覽不同類型的數(shù)據(jù)。這樣���,那些不同類型數(shù)據(jù)中的萄^"種都可以由資 源屬性;j^JUf與樹M目關(guān)聯(lián)�。j^卜�,用戶可明確選擇或不明^kitit^fil^ ^i^擇列表項,在步驟830����,可在資源屬性集中鏈接、^^或關(guān)聯(lián)與樹M目應(yīng)的 資源屬性�。在步驟835中��,系統(tǒng)可確^j^否對一種或多種樹,'J進(jìn)行了定義 或創(chuàng)建�����。如果是這樣�,在步驟840中可將樹,'J與樹M目關(guān)聯(lián)���。在一種或多 種配置中�,可將樹,'j射ei^"個或多個與權(quán)PM目關(guān)聯(lián)的節(jié)點��。通it^:5U5L 限應(yīng)用需要符合或可由用戶使用的特定條降�����,權(quán)FMC則可以限制權(quán)限����。在一種 或多種情況下,樹樹用戶是否有效M于應(yīng)用到權(quán)P,'j的用戶特征(例如 角色)�。例如���,樹,��,j可指定在早六點至晚六點之間可,電"^丁單��。在另一 個例子中�����,用于定制財務(wù)報爭的樹艮可取決于用戶是否具有管理角色��。這樣����, 如果用戶的角色改變,對"i亥用戶來i兌��,��,;W具有可以定制財^艮告的樹艮����。 在步驟845,屬'賦屬性集還可以與樹M目關(guān)聯(lián)��,從而描柳艮的一個或多個參 數(shù)(例如���,層M^U��,J和/或目標(biāo)列表項)���。71才W^種或多種情況����,可以為管S^或用戶M^4格對象���、錯誤日志記 絲iii^對象��、和/或資源輸4象中絲數(shù)據(jù)進(jìn)而重新瀏覽和/或分析����。為了調(diào) ��。和/或功能���,也可以從一個或多日志記^il^對象中提取日志�。歷^4格對象����、躲日志記絲it^對象以及資源輸A^^ft的信息和 It據(jù)可以創(chuàng)lfc^t接口和功能����。[72^^本^^斤描述的特#情況�,應(yīng)用可以從中心擬艮管理系統(tǒng)中獲得樹艮信息�����。才娥一種或多種配置���,中心樹艮管理系統(tǒng)可以做出批量輸出��,該批量輸 出將與一個或多個^j^目關(guān)的信息^^到單獨的文件或數(shù)據(jù)結(jié)構(gòu)中�����?����??捐各種工具^M^供這種批量輸出����,包括基于解決方案的XML�����。然后應(yīng)用就可以)§!# 該輸出文件來確定相關(guān)的樹IL^信息。[73此外����,^^本i^斤描述的方面和特征增強了樹艮管理系統(tǒng)中的靈活'脈可擴(kuò)展性。特別是��,基于對樹IM^型的其它部分或?qū)ii糊修^il改變�����,可 以自動重新定:UlFIM^型的各部分或?qū)ο?���。例如,?所有子節(jié)點"這樣的權(quán) PMa^可以用來響應(yīng)對層M構(gòu)的修改(例如添加子節(jié)點)來自動重新定:M目 應(yīng)樹艮的范圍���。在另一個例子中�����,與積J^目關(guān)聯(lián)的資源屬性集合中的資源屬性 可以確定權(quán)FP斤應(yīng)用的特定項目列表���。因此����,通it^加新的項目到列表中��,可 自動將樹艮應(yīng)用到新的項目中�。jW^卜�,除了列表"卜,不需要對內(nèi)^i^行手動 重新配置或修改���。[74jH^卜����,在一種或多種配置中�,可以4w^層級、資源類型�����、應(yīng)用等這樣的 新對^J^加到樹艮管理系統(tǒng)����,而無需增加或修改系統(tǒng)中的程序設(shè)計。也^1說����, 無需新的^H殳it^t可以添加新的資源類型和新的應(yīng)用�。因此����,可以通過生成 新的對^fN以^新的對^f^定義一個或多個WUM,J建對象�����。這些械 可包括名稱���、識別號碼或代碼���、和/或?qū)?yīng)于一個或多*對#^斤關(guān)聯(lián)的對象的[75#^本發(fā)明的>^^示范實施方式£^本發(fā)明進(jìn)行了描述。4^域的"fit 技權(quán)員通it^Ml揭露內(nèi)容的回顧將發(fā)餘附加^����,J要求的范圍^ft中的許 多其它實財式、修妙變化�����。
權(quán)利要求
1. 一種存儲用于管理與資源類型相對應(yīng)的權(quán)限的數(shù)據(jù)基礎(chǔ)結(jié)構(gòu)的計算機(jī)可讀介質(zhì)���,該數(shù)據(jù)基礎(chǔ)結(jié)構(gòu)包括層級對象�����,用于定義與資源類型相關(guān)聯(lián)的層級結(jié)構(gòu)����,其中所述資源類型對應(yīng)于被賦予權(quán)限的一個或多個應(yīng)用,并且其中所述層級結(jié)構(gòu)包括層級節(jié)點��;層級節(jié)點對象���,被配置為存儲層級節(jié)點;以及資源屬性集對象���,用于存儲一個或多個資源屬性的集合�����,其中所述一個或多個屬性包括層級屬性和列表項屬性中的至少一個�,其中��,根據(jù)所述一個或多個資源屬性來定義權(quán)限范圍�;以及其中���,響應(yīng)于所述基礎(chǔ)結(jié)構(gòu)的組成部分被修改,自動對權(quán)限范圍進(jìn)行重新定義�����。
2����、 根據(jù)權(quán)利要求1的計^4幾可讀介質(zhì),其中通過修改與層級節(jié).多對象的一個或多個械相關(guān)聯(lián)的數(shù)據(jù)來配i^級節(jié)點對象�����。
3����、 根據(jù)權(quán)利要求2的計算機(jī)可讀介質(zhì),其中所^級節(jié)點對^旨U級節(jié) 點在層級中所屬的的^U5'J���。
4��、 根據(jù)權(quán)利要求1的計算機(jī)可讀介質(zhì)�,其中所述數(shù)據(jù)基礎(chǔ)結(jié)構(gòu)還包括員 樹艮動作映射的樹艮動作^fct對象�����,其中所i^限動作^4t確定與樹糾目對應(yīng) 的一個或多個動作。
5�、 根據(jù)權(quán)利要求l的計算機(jī)可讀介質(zhì),其中所i^li^l結(jié)構(gòu)的組成部分包括 所it^贈構(gòu)�����、所述一個或多個資源屬性的齡以及項目列表中的至少一個���。
6���、 根據(jù)權(quán)利要求l的計算機(jī)可讀介質(zhì)��,其中所述數(shù)據(jù)基礎(chǔ)結(jié)構(gòu)還包括����, 樹MW的樹MWt象,其中該樹M^^娥指定的特性確定^J^予擬艮的 一個或多個附加層級節(jié)點��。
7���、 根據(jù)權(quán)利要求6的計^^可讀介質(zhì)���,其中該指定的特性包括層級節(jié)點關(guān)系��。
8�、 根據(jù)權(quán)利要求7的計算機(jī)可讀介質(zhì)��,其中所述節(jié)點關(guān)系包括子節(jié)點����。
9、 根據(jù)權(quán)利要求l的計算機(jī)可讀介質(zhì)���,其中所述數(shù)據(jù)^54結(jié)構(gòu)還包括為準(zhǔn) 予樹艮而定:5U^M)y!�����,J的樹,��,J對象�����。
10��、 根據(jù)權(quán)利要求l的計^bL可讀介質(zhì)���,其中用戶的樹沐效'Ii^于根據(jù)^F,'J對用戶的一個或多W爭性的譯f古��。
11��、 一種^ft用于管,艮的數(shù)據(jù)模型的計算機(jī)可讀介質(zhì)���,該數(shù)據(jù)模型包拾^FMt象,用于^ft與資源類型相對應(yīng)的^J^; 層斷象����,用于^^具有層級節(jié)點的層贈構(gòu),其中#^資源類型定義該 層贈構(gòu)��;列M象����,用于務(wù)賭目標(biāo)項列表���,其中從目標(biāo)項列表選#1 予樹艮的目標(biāo)項���;;^W^f象,用于^#指定特性的樹^ ,其中4娥該指定的特性來H^i^f艮的范圍�。
12、 ;fM^5U��,澳求11的計#^幾可讀介質(zhì)�,其中所述指定的特性包括列表項 關(guān)系和層級節(jié)點關(guān)系中的至少一個。
13�、 根據(jù)W,J^求12的計算機(jī)可讀介質(zhì)�,其中將與選擇的目標(biāo)項之間的關(guān) 系與所述列表項關(guān)系相匹配的附加的目標(biāo)項添加到所ii^F艮范圍中。
14����、 ^^5U,j要求12的計算機(jī)可讀介質(zhì)��,其中將與所^級節(jié)點之間的關(guān) 系與所^級節(jié)點關(guān)系相匹配的附加的層級節(jié)點添加到所i^艮范圍中�。
15、 才N^5U'J^求U的計#^幾可讀介質(zhì)��,其中所述指定的特性是目標(biāo)項列 表中的成員 ����。
16、 才l^^5Ui^"求15的計算機(jī)可讀介質(zhì)��,其中當(dāng)新的目標(biāo)項添加到目標(biāo)項 列表時,用該新的目標(biāo)項自動更新所i^F艮范圍�。
17、 一種賴數(shù)據(jù)模型的計脅可讀介質(zhì)��,該數(shù)據(jù)微包括 層m象�����,用于定義與資源類型相關(guān)聯(lián)的層贈構(gòu)��,其中該層贈構(gòu)包括一個或多個層級節(jié)點�;^^P艮的樹樹象,其中樹艮至少絲于用戶絲于角色中的一種�����; 資源屬性糾象�����,用于^ft一個或多個資源屬性的齡��,其中所述一個或多個屬性包括層域'^^列表項屬性中的至少一個����,并且其中才娘所述一個或多個屬'N^定:W艮的范圍;以及;KF,'j對象����,用于定義準(zhǔn)予樹艮范圍的樹,'h
18、 才M^5U����,J^求l7的計算機(jī)可讀介質(zhì),其中樹,'j對應(yīng)于一種或多種 權(quán)P,'J類型���,該一種或多種樹,�,j包括日期范圍��、時間范圍��、小于日期��、數(shù)字范圍��、列表項M���、值列表�、大于準(zhǔn)予^H^^匹配中的至少一種�。
19����、 才N^5U'澳求17的計算機(jī)可讀介質(zhì)���,其中響應(yīng)層級結(jié)構(gòu)的改變����,自動重新定細(xì)艮范圍。
20����、 才M^M����,J^求17的計^f幾可讀介質(zhì)��,其中響應(yīng)一個或多個用戶特性的 自動^^UH戶的^F^"效性����。
全文摘要
提供了一種在多個應(yīng)用和/或數(shù)據(jù)庫之間管理權(quán)限信息的方法和系統(tǒng)����?���?梢詫嵤╈`活且可擴(kuò)展的企業(yè)權(quán)利框架來存儲和管理各種類型的權(quán)限、訪問權(quán)和資源。企業(yè)權(quán)利框架可包括用于存儲權(quán)限的各個組成部分和/或方面的各種數(shù)據(jù)對象和結(jié)構(gòu)。數(shù)據(jù)對象可以包括資源類型對象��、用戶對象�����、角色對象�、動作對象、資源屬性對象、列表項對象和/或?qū)蛹墝ο?�。為一個具體權(quán)限定義的數(shù)據(jù)對象還可以根據(jù)一個或多個對象之間的關(guān)系被鏈接起來����。通過定義與新應(yīng)用的權(quán)限結(jié)構(gòu)兼容的新對象,企業(yè)權(quán)利框架可擴(kuò)展使用新的應(yīng)用。
文檔編號G06F17/30GK101256605SQ200710185730
公開日2008年9月3日 申請日期2007年8月30日 優(yōu)先權(quán)日2006年8月31日
發(fā)明者A·A·摩塔, M·R·謝伊, S·A·阿爾菲里 申請人:埃森哲環(huán)球服務(wù)有限公司