角色工程范围确定和管理的制作方法

文档序号:6496876阅读:206来源:国知局
角色工程范围确定和管理的制作方法
【专利摘要】本发明提供了用于执行角色工程项目以便对以资源为目标的访问操作应用安全角色的机制。接收表示组织计算系统的一个或多个用户身份、权限以及资源的多个数据对象。接收用于过滤所述多个数据对象以生成供在角色工程项目期间考虑的数据对象的子集的一个或多个过滤器准则。所述一个或多个过滤器准则指定角色工程项目的范围。应用所述一个或多个过滤准则以生成数据对象的子集。对数据对象的子集执行角色工程项目操作以生成一个或多个安全角色。所述一个或多个安全角色被部署到组织计算系统以控制以组织计算系统的资源为目标的访问操作。
【专利说明】角色工程范围确定和管理【技术领域】
[0001]本申请总体上涉及改善的数据处理设备和方法,更特别地,涉及用于角色工程(role engineering)范围确定和管理的机制。
【背景技术】
[0002]在安全角色管理领域,使用角色建模(role modeling)来创建符合保护资源且同时允许与商业组织相关联的正确的人访问的商业目标的有效率且可管理的安全角色集合。对于大型组织,运行组织所需的组织中的人数(例如,数千或数十万)、保护资源的权限的数量(例如,数千或者甚至数百万)、以及用户与权限之间的映射的数量(例如,数千或者甚至数千万)超出了设计安全角色的系统管理员的管理范围。
[0003]许多安全角色工程项目由于需要花费数月或数年来处理代表组织的若干人、资源以及权限的大数据集而失败。当必须跨多个组织协作时,这变得更加费时。到开发完安全角色时,关于人、资源以及权限的许多数据可能已经改变,以致于所开发的安全角色已陈旧,不再与组织的商业目标完全相关。

【发明内容】

[0004]在一说明性实施例中,提供一种在数据处理系统中用于执行角色工程项目以便应用安全角色来访问以资源为目标的操作的方法。该方法包括由数据处理系统接收代表一个或多个用户身份、权限以及组织计算系统的资源的多个数据对象。该方法还包括由数据处理系统接收用于过滤所述多个数据对象以生成供在角色工程项目过程中考虑的数据对象子集的一个或多个过滤准 则。一个或多个过滤准则指定角色工程项目的范围。此外,该方法还包括由数据处理系统应用所述一个或多个过滤准则以生成所述数据对象子集。另外,该方法还包括在数据处理系统中对数据对象子集执行角色工程项目操作以生成一个或多个安全角色。该方法还包括由数据处理系统向组织计算系统部署所述一个或多个安全角色以控制以组织计算系统的资源为目标的访问操作。
[0005]在另一些说明性实施例中,提供一种计算机程序产品,其包括具有计算机可读程序的计算机可用或可读介质。当在计算设备上运行时,计算机可读程序使计算设备执行上面关于说明性方法实施例概述操作中的各种操作以及操作的组合。
[0006]在又一说明性实施例中,提供一种系统/设备。该系统/设备可包括一个或多个处理器以及耦合到所述一个或多个处理器的存储器。所述存储器可包括指令,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行上面关于说明性方法实施例概述操作中的各种操作以及操作的组合。
[0007]将在下面的对本发明的示例性实施例的详细描述中描述本发明的这些以及其他特征和优点,或者,通过下面对本发明的示例性实施例的详细描述,本发明的这些以及其他特征和优点将对本领域技术人员变得显而易见。【专利附图】

【附图说明】
[0008]本发明和优选使用模式以及进一步的目标和优点将通过结合附图参考下面对说明性实施例的详细描述而得到最好的理解,附图中:
[0009]图1是其中可实现说明性实施例的一些方面的示例性分布式数据处理系统的示例性框图;
[0010]图2是其中可实现说明性实施例的一些方面的计算设备的示例性框图;
[0011]图3是示出根据一说明性实施例的角色工程机制的主要操作组件的示例图;
[0012]图4A-4F是根据一说明性实施例的可由角色工程机制的各种组件生成的用于定义角色工程/建模的范围的用户界面的示例图;以及
[0013]图5是概述根据一说明性实施例的用于执行角色工程范围确定的示例性操作的示例性流程图。
【具体实施方式】
[0014]说明性实施例提供一种用于角色工程范围确定和管理的机制。此处使用的术语“角色工程范围确定”是指定义在角色工程项目过程中考虑的数据对象的范围,包括将是用于角色工程/建模和开发的基础的特定数据的一个或多个子集。此处使用的术语“角色”是指具有一个或多个权限的集合的数据结构,所述权限确定可由角色所分配到的一个或多个实体访问(即,影响资源的动作)的资源、实体可以执行什么类型的访问、由于在这样的访问上执行的访问操作(例如,创建、检索、更新、过滤、变换等)而可返回给实体的结果,响应于这样的访问而要被执行的操作(例如,向管理员发送通知)等。实体可以是人类用户、计算设备资源等。角色是集合了用户和权限的概念,具有与组织相关的含义,诸如职位功能或职务,以简化对用户访问资源的管理。通过向一个或多个角色分派,用户获取对资源执行操作的权限,其中这些权限也被分派给所述角色。通过使用角色,用户对资源的访问的管理简化为向角色分配用户。
[0015]权限本质上是具有一个或多个准则的规则,规则的准则确定角色所分配到的实体可以被允许或拒绝访问的条件。权限定义能还是不能对特定资源执行的动作,例如,David对病人记录具有写访问权限,或者Kim在远程工作时对病人小时数具有读取访问权限。策略用附加约束将实体连接到权限,例如,策略可以是如下类型:人不能被授予向病人开帐单和接收支付的权限,或者人不能处于医生角色和医疗事故调查员角色两者。角色可以用于策略中,诸如护士角色中的人具有对病人记录的写访问权限。
[0016]说明性实施例提供了这样的机制:该机制使用资源、权限、策略、角色以及用户的身份的业务上下文来执行角色工程范围确定,从而角色工程项目,即用于定义角色和将它们应用到各种用户和资源以用于实施组织的安全策略的项目,可以聚焦于更有意义和可管理的资源、身份、权限和策略的集合。“业务上下文”是指与组织的资源、权限、策略、角色和用户身份相关联并且定义它们的属性或参数的集合。
[0017]说明性实施例的角色工程范围确定机制允许用户自定义用于选择对用户所涉及的特定角色工程项目而言有意义的特定资源、权限、策略、角色以及身份的一个或多个过滤器的创建。用户可以指定这些一个或多个过滤器作为对用户的角色工程项目而言重要的资源、权限、策略、角色以及身份的业务上下文的一个或多个属性和参数的集合。结果是相关资源、权限、策略、角色以及身份的有限集,其定义对模型而言重要的身份和访问权限的更窄范围,并且定义什么用户、资源、角色以及权限是最关键的,以开始角色工程项目。
[0018]说明性实施例的角色工程范围确定机制进一步提供用于提供用户界面和其背后的逻辑从而以增量改变角色工程项目的范围(例如,增多/减少用户数量和/或增多/减少权限数量)的机制。较窄范围的角色工程项目可以使用说明性实施例的范围确定机制独立地执行,然后聚合,从而这些单独且独立地执行的角色工程项目的结果可以形成组织的RBAC系统。进一步提供了允许角色工程项目从其他角色工程项目继承范围的机制,作为将大型组织或大量权限的角色工程工作细分为可管理的单元的一种方式。
[0019]所属【技术领域】的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
[0020]可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是(但不限于)电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPR0M或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0021]计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括(但不限于)电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0022]计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括(但不限于)无线、有线、光缆、射频(RF)等等,或者上述的任意合适的组合。
[0023]可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言一诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言一诸如"C"语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络(包括局域网(LAN)或广域网(WAN))连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0024]下面将参照根据本发明的说明性实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
[0025]也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。
[0026]计算机程序指令还可以加载到计算机、其他可编程数据处理设备、或其他设备中,以使一系列操作步骤在计算机、其他可编程设备或其他设备上执行,以产生计算机实现的过程,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图和/或框图的框中指定的功能/动作的过程。
[0027]附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0028]如此,说明性实施例可以用于许多不同类型的数据处理环境中。为了提供对说明性实施例的特定元素和功能的描述的上下文,下面提供了图1和2作为其中可以实现说明性实施例的各方面的示例环境。应理解,图1和2只是示例性的,而不打算断言或暗示对其中可以实现本发明的某些方面或实施例的环境的任何限制。在不偏离本发明的精神和范围的情况下,可以对所描述的环境进行许多修改。
[0029]图1描述了其中可以实现说明性实施例的一些方面的示例性分布式数据处理系统的图形表示。分布式数据处理系统100可以包括其中可以实现说明性实施例的一些方面的计算机网络。分布式数据处理系统100包含至少一个网络102,网络102是用来在分布式数据处理系统100内连接在一起的各种设备和计算机之间提供通信链路的媒介。网络102可以包括诸如有线、无线通信链路或光纤电缆之类的连接。
[0030]在所描述的示例中,服务器104和服务器106与存储单元108 —起连接到网络102。另外,客户端110、112以及114也连接到网络102。这些客户端110、112和114可以是例如个人计算机,网络计算机等。在所描述的示例中,服务器104向客户端110、112以及114提供诸如引导文件、操作系统映像和应用程序之类的数据。客户端110、112以及114是所描绘的示例中的服务器104的客户端。分布式数据处理系统100可以包括额外的服务器、客户端以及未示出的其他设备。
[0031]在所描述的示例中,分布式数据处理系统100是因特网,网络102表示使用传输控制协议/因特网协议(TCP/IP)协议套件彼此进行通信的网络和网关的大范围集合。因特网的核心是主节点或主机计算机之间的高速数据通信线路的主干网,包括成千上万的路由数据和消息的商业、政府、教育和其他计算机系统。当然,分布式数据处理系统100也可以实现为包括多种不同类型的网络,例如内联网、局域网(LAN)或广域网(WAN)等。如上所述,图1只作为示例,而不是对本发明的不同实施例的体系架构的限制,因此,图1所示的特定元素不应视为对其中可以实现本发明的说明性实施例的环境进行限制。
[0032]利用说明性实施例的机制,服务器104或106中的一个或多个可提供角色管理机制,该机制可被例如客户端110、112和/或114、管理员工作站等之类的一个或多个客户端计算设备访问,以便创建/定义角色或执行角色管理。角色指定用于访问组织的数据处理系统的资源的权限与数据处理系统的各种资源以及数据处理系统的用户的映射。例如,可以为任何组织定义符合组织目标的角色。例如,角色可以与组织部门、部门内的单个雇员类型,资源类型等相关联。如果组织是医院,那么角色可以与医院的急诊室部门、医院的管理人员、内科医师、护士、药房人员、医院技术人员等相关联。
[0033]根据说明性实施例,角色管理机制进一步实现角色工程范围确定机制。角色管理机制和角色工程范围确定机制可以对数据的储存库进行操作,诸如可以与服务器104、106相关联地设置在连接到网络的存储设备/系统(诸如存储单元108等)中,或以其他方式使得可由服务器104、106访问。储存库存储一个或多个数据库数据结构、表数据结构、对象等,用于定义组织的资源、权限、策略、角色以及用户身份。这些数据库数据结构、表数据结构、对象等包括用于定义这些实体的业务上下文的一个或多个属性/参数。角色工程范围确定机制可以对用于定义过滤器等、用于指定范围的这些属性/参数进行操作,所述范围包括与代表组织的所有资源、权限、策略、角色和用户身份的整个数据集合相比对应于更窄范围的数据子集。提供了用户界面以用于向用户呈现数据,并且允许用户关于对用户所涉及的特定角色工程项目而言重要的属性/参数指定这样的更窄范围。此外,还提供了用于对该更窄范围进行操作以实现角色工程(例如,定义、应用以及管理用于组织的数据处理系统的特定用户和资源的角色)的机制。
[0034]图2是其中可实现说明性实施例的一些方面的示例性数据处理系统的框图。数据处理系统200是诸如图1的客户端110之类的计算机的示例,其中可以放置实现本发明的说明性实施例的过程的计算机可用代码或指令。
[0035]在所描述的示例中,数据处理系统200采用中枢(hub)体系架构,包括北桥和存储器控制器中枢(NB/MCH)202以及南桥和输入/输出(I/O)控制器中枢(SB/ICH)204。处理单元206、主存储器208以及图形处理器210连接到NB/MCH202。图形处理器210可以通过加速图形端口(AGP)连接到NB/MCH202。
[0036]在所描述的示例中,局域网(LAN)适配器212连接到SB/ICH204。音频适配器216、键盘和鼠标适配器220、调制解调器222、只读存储器(ROM) 224、硬盘驱动器(HDD) 226、⑶-ROM驱动器230、通用串行总线(USB)端口和其他通信端口 232、以及PCI/PCIe设备234通过总线238和总线240连接到SB/ICH204。PCI/PCIe设备可包括例如以太网适配器、插入式卡以及用于笔记本计算机的PC卡。PCI使用卡总线控制器,而PCIe不这样。R0M224可以是例如快闪基本输入/输出系统(BIOS)。
[0037]HDD226 和 CD-ROM 驱动器 230 通过总线 240 连接到 SB/ICH204。HDD226 和 CD-ROM驱动器230可使用例如集成驱动电子设备(IDE)或串行先进技术连接(SATA)接口。超级I/O (SIO)设备236可以连接到SB/ICH204。
[0038]操作系统运行于处理单元206上。操作系统协调图2中的数据处理系统200内的各种组件,并且提供对它们的控制。作为客户端,操作系统可以是诸如Microsoft?Windows 7?.之类的商业可得的操作系统。诸如Java?编程系统之类的面向对象编程系统可以与操作系统一起运行,并且从在数据处理系统200上运行的Java?程序或应用程序提供对操作系统的调用。
[0039]作为服务器,数据处理系统200可以是例如运行高级交互执行(AIX? )操作系
统或LINUX?操作系统的IBM? eServer? System p?计算机系统。数据处理系统200
可以是包括处理单元206中的多个处理器的对称多处理器(SMP)系统。可另选地,可以使用单处理器系统。
[0040]用于操作系统、面向对象编程系统和应用或程序的指令位于诸如HDD326之类的储存设备上,并且可以被加载到主存储器208中以供处理单元206执行。本发明的说明性实施例的过程可利用计算机可用程序代码由处理单元206执行,程序代码可位于诸如例如主存储器208、R0M224之类的存储器中,或位于例如一个或多个外围设备226和230中。
[0041]诸如图2所示的总线238或总线240之类的总线系统可包括一个或多个总线。当然,总线系统还可使用任何类型的通信交织或体系架构来实现,其提供在连接到结构或体系架构的不同组件或设备之间的数据传输。诸如图2的调制解调器222或网络适配器212之类的通信单元可包括用于传输和接收数据的一个或多个设备。存储器可以是例如主存储器208、R0M224或诸如见于图2的NB/MCH202中的高速缓存。
[0042]本领域普通技术人员将认识到,图1和2中的硬件可以根据实施而变化。诸如闪存、等效非易失性存储器或光盘驱动器等之类的其他内部硬件或外围设备可以附加地或代替图1和2所描述的硬件使用。此外,除了前面所提及的SMP系统之外,在不偏离本发明的精神和范围的情况下,说明性实施例的过程也可以应用于多处理器数据处理系统。
[0043]此外,数据处理系统200还可以采取许多不同的数据处理系统中的任意系统的形式,包括客户端计算设备、服务器计算设备、平板计算机、笔记本电脑、电话机或其他通信设备、个人数字助理(PDA)等。在某些说明性示例中,数据处理系统200可以是便携式计算设备,其配置有闪存以提供用于例如存储操作系统文件和/或用户生成的数据的非易失性存储器。本质上,数据处理系统200可以是任何已知的或以后开发的数据处理系统,没有体系架构的限制。
[0044]数据处理系统200可以运行根据说明性实施例的用于提供角色工程和角色工程范围确定的一个或多个软件程序。例如,一个或多个软件程序可以在一个或多个计算机可读介质上分发,通过一个或多个数据网络从数据处理系统下载等,并且存储在一个或多个本地存储器设备上,诸如硬驱动器、闪存驱动器、固态驱动器等。此外,一个或多个软件程序还可以被加载到数据处理系统200的主存储器208中,以便一个或多个处理单元206可以运行软件程序以执行各种操作,并且实现下面更详细地描述的说明性实施例的各种组件。
[0045]确定角色工程项目的范围的能力基于描述资源、权限、策略以及身份的属性的使用,属性向组织的计算系统的这些元素提供额外的上下文。这些元素可以由组织的一个或多个数据储存系统中的数据结构来定义,例如人力资源计算和储存系统、安全计算和储存系统、资源管理计算和储存系统等。这些数据结构可以是数据库记录、数据对象或其他数据集合。对于本描述,这些数据结构将在这里被称为数据对象。
[0046]这些数据对象可代表用户身份、权限、策略、计算系统资源等,并且在一个或多个上下文属性方面定义这些实体。例如,用户身份数据对象可包括各种上下文属性,包括名称、组织内用户所关联的部门、用户的特定工作代码或其他头衔、用户的安全访问级别、用户的联系信息、用户所关联的组织的位置、用户所关联的社区、以及用户使用的网络等。资源数据对象可指定例如上下文属性,诸如资源类型、资源位置、资源所关联的组织部门、资源的安全访问级别、以及资源的关键度标识符等。权限数据对象可指定例如上下文属性,诸如权限类型、与权限相关联的策略、可执行的操作、相关联的应用、以及相关联的对象的风险灵敏度等。可以使用这些对象以及通过上下文属性指定使用约束(诸如职责分离、时间、用于访问的设备等),来生成用户身份与权限、策略和资源之间的映射或关系。上下文属性可以是业务职能(例如位置、工作代码、部门、所有者、组织、批准/访问限制等)、业务策略相关(例如规章制度、风险分数、分类、职责分离等)、信息技术相关(例如服务器、数据库表、物理位置、系统所有者等)、或对组织来说重要的其他上下文类型。这些上下文属性可以在组织的计算系统中以本领域已知的方式自动地填充或人工地填充。
[0047]说明性实施例的机制允许用户基于这些上下文属性的子集来定义角色工程项目的范围,这些上下文属性的子集又定义组织的计算系统的数据对象的子集,该数据对象的子集小于由组织的计算系统维护的用于对在用户和资源之间、资源和其他资源之间等的访问请求强制实施角色的数据对象的总数。通过限制在角色工程项目过程中考虑的数据对象的范围,角色工程项目变得更可管理,从而角色工程项目可以更快地完成,由此避免了与当前的角色工程项目需花费大量时间才能完成以致于由角色工程项目生成的所得角色变得陈旧而不再与组织的计算系统的当前状态完全相关相关联的问题。
[0048]此外,多个角色工程项目可以基本同时执行,或者可以彼此独立地执行。然后,这些独立的角色工程项目的结果可以在组织的资源管理和/或安全角色管理系统中彼此集成,从而可应用于组织的计算系统内来自以资源为目标的用户或以其他资源为目标的资源的访问请求。因此,多个角色工程项目分析师可以处理组织的不同部分及其相关角色。
[0049]此独立的角色工程项目和角色工程项目的范围确定允许组织根据它们组织的考量而排定角色工程项目的优先级。即,在说明性实施例的机制之前,对由组织处理的整个数据对象集合执行了角色工程项目,没有提供用于缩窄这些角色工程项目的范围的工具。于是,不能简单地将角色工程工作集中于组织的对当时的组织考量最重要的领域。利用说明性实施例的机制,可以缩窄角色工程项目的范围以仅聚焦于与当时的组织特定考量相关联的那些数据对象。例如,如果组织判断目前他们需要关于病人记录访问将角色工程项目集中于组织的急诊室部门,则说明性实施例的机制允许角色工程项目分析师定义角色工程项目的范围和正在被考虑的数据对象,使得仅那些代表用户身份、权限、策略以及资源对象的数据对象与急诊室部门以及病人记录相关联。这样,由说明性实施例的机制执行的角色工程范围确定可以基于组织的优先级。
[0050]利用说明性实施例的机制,在开始用于定义用于控制对资源的访问的角色的角色工程项目时,角色工程项目分析师可定义角色工程项目,并且指定对角色工程项目而言重要的上下文属性。上下文属性的指定可以通过一个或多个用户界面来执行,用户界面显示或以其他方式输出与潜在地可能包括在角色工程项目中的各种数据对象相关联的上下文属性。例如,可以显示用户身份数据对象的上下文属性,分析师可以选择哪些上下文属性用作过滤器准则以用于识别哪些用户身份数据对象将被包括以用于在定义和应用角色作为角色工程项目的一部分时考虑。可以为其他类型的数据对象提供类似的显示和选择界面,包括权限数据对象、资源数据对象、策略数据对象等。此外,说明性实施例的界面还可用于为数据对象更新和创建新的上下文属性,以进一步增强正在被执行的角色工程范围确定的准确性。
[0051]于是,基于上下文属性,分析师能够选择用户标识符数据对象、权限数据对象、策略数据对象、资源数据对象等的子集,从而组织的计算系统的数据对象的子集被选择以供考虑,这比将角色工程项目应用到由组织的计算系统维护的全部数据对象更可管理。此数据对象的子集充当分析师可通过角色工程工具来执行角色创建操作的基础。例如,分析师可选择用户身份数据对象、资源数据对象以及策略和权限数据对象以关联到所定义的角色中。此外,分析师还可编辑或修改这些数据对象的实例,以使它们是针对分析师所需的角色功能自定义或特定的。角色创建的实际过程可使用应用到使用说明性实施例的机制确定的数据对象子集的角色工程的已有方法和机制,诸如数据挖掘,以产生使用说明性实施例的机制确定的数据对象子集所针对的角色。
[0052]例如,角色工程项目分析师可以判断,对于特定角色工程项目,用户身份属性“经理”、“组织”、“工作代码”、“位置”以及“培训证书级别”是最可能关联到对角色工程项目而言重要的组织角色的上下文属性。分析师可以为对作为角色工程项目的一部分的角色的定义而言重要的这些上下文属性中的每一个指定某些值。分析师还可以进一步判断,最重要的是表现出对政府管制的应用的控制,诸如用于医疗应用的健康保险携带和责任法案(HIPPA)以及用于财务应用的Sarbanes-Oxley(SOX),因此可指定表示这样的政府管制的应用的一个或多个上下文属性值的集合,例如HIPPA、S0X等的应用类型。此外,组织还可将应用的风险评分为高、中和低,分析师可以指定他/她仅对具有中或高风险分数的应用感兴趣。
[0053]这些上下文属性的指定被用作过滤器,针对组织的计算系统的数据对象应用过滤器以仅检索那些具有与分析师的选择匹配的相关上下文属性的用户身份数据对象。结果,通过分析师计算设备检索和显示定义角色工程项目的范围的数据对象子集以供与角色工程工具一起使用。然后,分析师可对数据对象子集执行角色创建、管理以及应用操作。
[0054]图3是示出根据一说明性实施例的角色工程机制的主要操作组件的示例图。角色工程机制的组件可以实现为在底层硬件上运行的软件、硬件本身、或软件和硬件的任意组合。即,在一说明性实施例中,角色工程机制300的组件可作为软件应用、模块等的套件来分发,其然后安装在一个或多个数据处理系统上,数据处理系统运行软件应用以执行此处描述的各种操作和功能。在其他说明性实施例中,可提供诸如固件设备、专用集成电路(ASIC)等之类的一个或多个硬件设备以执行图3所示的组件中的一个或多个的操作和功能。此外,还可使用这样的方案的组合。
[0055]如图3所示,说明性实施例的角色工程机制300从一个或多个组织数据处理系统310获取输入数据。这些一个或多个组织数据处理系统310可以是例如由组织维护或以其他方式使用的用于存储表示人员、资源、策略、权限等的数据对象的数据库,组织在管理组织内的计算资源的使用时使用该数据库。例如,在所描绘的示例中,组织数据处理系统310包括用户身份数据库312、权限数据库314、资源数据库316以及策略318数据库。这些数据库312-318可以作为单个组织计算系统的一部分来存储,或者可以跨组织的计算系统中的两个或更多来分发。在不偏离说明性实施例的精神和范围的情况下,可以使用任何配置,只要角色工程机制300能够访问存储在这些数据库中的数据对象以便执行角色工程操作。
[0056]角色工程机制300包括组织系统接口 320、控制器330、网络接口 340、角色工程范围确定引擎350、用户界面生成器360、角色管理引擎370、权利(entitlement)数据库375、角色数据库380、授权(authorization)引擎385以及角色工程项目数据库390。控制器330控制角色工程机制300的总体操作,并且协调其他元件320和340-390的操作。组织系统接口 320提供数据通信接口,通过该数据通信接口,可以从组织数据处理系统访问数据对象等。网络接口 340提供数据通信接口,通过该数据通信接口,角色工程机制300可以通过一个或多个数据网络(未示出)来往于一个或多个客户端计算设备395、其他服务器计算设备等提供数据和接收输入。尽管图3将接口 320和340示为单独的接口,但是应理解,这些接口可被组合以使得组织数据处理系统和客户端计算设备、服务器等395可以例如经由一个或多个数据网络通过同一数据接口被访问。
[0057]当启动角色工程项目时,角色工程范围确定引擎340和用户界面生成器360 —起向客户端设备395的用户呈现图形用户界面以用于选择用户感兴趣的上下文属性。基于用户输入的用于各种类型的数据对象(例如用户身份数据对象、权限数据对象、资源数据对象以及策略数据对象)的上下文属性,角色工程范围确定引擎350操作为通过由用户界面生成器360生成的一个或多个图形用户界面,从组织数据处理系统310检索并显示具有指定的上下文属性和由用户指定的这些上下文属性的特定值(如果有的话)的数据对象。
[0058]来自组织数据处理系统数据库312-318的所得数据对象子集在由用户创建的角色工程项目的上下文内通过客户端设备395显示给用户。有关角色工程项目的信息可以存储在角色工程项目数据库390中的一个或多个记录中,以便稍后可以检索它以继续该角色工程项目下的角色工程操作。通过客户端设备395呈现给用户的用户界面可以与角色管理引擎370 —起使用,以定义与组织数据处理系统310—起使用的角色。根据特定实现,这些角色的创建可以采用许多不同的形式。在一说明性实施例中,从由角色工程范围确定引擎350确定的、在用户通过对上下文属性以及上下文属性的对应值的选择所定义的角色工程项目的范围内的用户身份数据对象、权限数据对象、资源数据对象以及策略数据对象的子集,用户可以指定将应用于组织数据处理系统310的特定用户身份和资源的特定权限和策略。用户可以进一步自定义当应用于特定用户身份和资源时这些权限和策略所使用的准则或值。如上文所指出的那样,诸如数据挖掘之类的角色工程的已有方法和机制可应用于使用说明性实施例的机制确定的数据对象,以有助于生成这些数据对象所针对的角色。
[0059]以此方式,用户可以定义组织数据处理系统内的角色,并且在角色数据库380中存储该角色,该角色指定用户身份、权限、资源以及策略的关联。以后,可以将这些角色部署到组织数据处理系统310并且供资源管理系统、安全系统、授权引擎385等使用,以完全在组织数据处理系统310内或者在组织数据处理系统310与组织数据处理系统310外部的其他计算设备和用户之间控制在用户和资源之间、资源和其他资源之间等执行的访问操作。角色的实际部署可包括将角色编译成可与其中将实施角色的特定环境一起使用的表示。例如,可以生成角色、过滤器以及所得数据对象的XML表示,并将其导入到使用角色来进行授权的系统中。可以在部署过程中使用过滤器来确定例如应在目标系统中的何处应用角色。
[0060]在一说明性实施例中,权限、用户身份、资源以及策略的实际映射可使用权利数据库375来执行,权利数据库375聚合了来自多个源的数据,并且可以存储权限、用户身份、资源以及策略的映射或关联,以用于根据与这些对象关联的权限和策略来控制特定用户身份对资源的访问。可以使用授权引擎385来强制执行这些映射或关联。
[0061]应理解,在初始指定用户感兴趣的上下文属性之后,角色工程机制300允许对角色工程项目进行范围重新确定。即,在角色工程项目的执行过程中可向用户提供图形用户界面以用于通过修改用户感兴趣的上下文属性的集合来修改角色工程项目的范围。因此,用户可以关于各种数据对象指定上下文属性的初始集合,并且在执行角色工程项目的过程中,判断此范围太窄还是太宽,并且可以修改将要考虑的感兴趣的上下文属性或与这些上下文属性相关联的值的集合。这允许角色工程的迭代方案。
[0062]在一说明性实施例中,为了执行这样的对角色工程项目的范围重新确定,可以添力口、修改或从角色工程项目定义中删除基于所选上下文属性定义的过滤器,由此改变范围和项目。作为过滤器上下文属性改变的结果,调整已有分析和统计信息以反映由过滤器上下文属性改变所确定的新的、删除的、以及修改的数据对象集合。改变过滤器上下文属性的能力和所产生的对包括在角色工程项目中的数据对象的改变允许角色分析师扩展角色工程项目和/或对诸如重组或新公司收购之类的组织变化作出反应。
[0063]因此,说明性实施例提供用于角色工程范围确定的机制,其中可以通过用户界面来选择角色工程项目分析师感兴趣的上下文属性,并使用其作为选择将被包括以供在执行角色工程项目的过程中考虑的数据对象的基础。这大大地降低了角色工程项目的复杂性,并且允许角色工程项目更有效率地且独立于与同一组织相关联的其他角色工程项目地执行。这进一步允许组织根据组织希望对其执行角色工程的组织的领域的优先级,将角色工程工作聚焦于组织的某些领域。
[0064]为了进一步示出说明性实施例的机制可进行操作的方式,提供了图4A-4F作为根据一说明性实施例可由角色工程机制的各种组件生成的用于定义角色工程/建模的范围的用户界面的示例图。图4A-4F所示的用户界面可由用户界面生成器360和例如图3的角色工程范围确定引擎350的功能一起生成。将在示例性角色工程项目的上下文中描述图4A-4F,该示例性角色工程项目只是示例,不打算限制说明性实施例的机制的适用性。此夕卜,图4A-4F中的描绘只是示例性的,无意关于说明性实施例的各种可行的实现,对用户界面的特定类型、它们的组织或者甚至它们的内容加以限制。
[0065]图4A是用于启动新角色工程项目的创建的用户界面的示例性用户界面显示。如图4A所示,提供了用于指定角色工程项目的名称和角色工程项目的描述的字段。这是当用户登录到说明性实施例的角色工程机制并且选择创建新角色工程项目的选项时可向用户呈现的初始图形用户界面的示例。
[0066]一旦创建了角色工程项目,就可以生成和向用户输出用于选择第一组上下文属性以指定用户感兴趣的特定数据对象以用于根据角色工程项目来定义角色的用户界面。开始确定上下文属性的该过程的一种方式是根据选择准则来显示雇员的列表。如图4B所示,提供了用于输入或选择诸如经理、主管、文书等之类的特定雇员头衔的字段410。在此情况下,用户选择了雇员头衔“经理”,结果,具有雇员头衔“经理”的用户身份对象显示在图形用户界面的搜索结果部分415中。即,响应于用户选择雇员头衔“经理”作为数据对象的初始过滤器的上下文属性,执行对用户身份对象的搜索,以发现具有雇员头衔“经理”的那些对象,然后显示与作为搜索结果发现的用户身份对象对应的上下文属性。搜索本质上是过滤器准则的应用,即,所选择的感兴趣的上下文属性被用于针对数据对象的上下文属性进行比较以确定具有匹配的上下文属性的数据对象,具有匹配的上下文属性的那些数据对象作为数据对象的子集在搜索结果中返回。应理解,所指定的搜索准则可以是除了雇员头衔以外的其他类型的搜索准则或搜索准则的组合。例如,可以在搜索字段420中指定其他搜索准则,以进一步缩窄对用户感兴趣的数据对象的搜索。
[0067]如图4C所示,用户可以指定用户对与经理Nancy Locke相关联的雇员感兴趣,结果,针对Nancy Locke管理的雇员的过滤器被添加到项目范围过滤器集合430中。另外,还假设用户希望包含某些组织,包括Ann O’Neill的医生组织以及Chris Little的护士和内科医师助理组织。结果如图4D所示,代替“经理”,用户可选择字段410中的搜索准则(或过滤器准则)“组织”。应注意,如图4D所示,可以在字段410中指定许多不同的搜索准则,包括“工作职责”、“轮班”、“分支”、“部门”、“用户名”等。这些上下文属性可以基于例如在定义用户身份数据对象时组织所使用的上下文属性。对“组织”搜索准则的选择导致在部分415中生成组织的组织图。用户可以选择组织图中代表用户有兴趣包括在角色工程项目的搜索过滤器中的组织的对象。在此例子中,用户选择对应于Chris Little和Ann O’Neill的对象。
[0068]作为此选择的结果,角色工程项目的项目范围现在包括与经理Nancy Locke、Chris Little以及Ann O’Neill相关联的医院部门主任、医生、护士以及内科医师助理。在此示例中,这对应于94个用户,如由总用户标识符435所指定的那样。用户可以通过包括对位置、雇员证书或感兴趣的任何其他上下文属性的考虑来继续扩展或精炼项目范围。
[0069]选择了用于选择用户身份对象的所感兴趣的上下文属性之后,用户然后可以转到可考虑为角色工程项目的一部分的各种应用。例如,可以按雇员可对资源执行的动作来细分应用。这可通过权限来表示。图4E示出了响应于用于选择权限的搜索准则的选择所生成的用户界面以及按权限名列出的权限。
[0070]可以根据权限的其他上下文属性,诸如风险水平等,来进一步过滤这些权限。在图4A-4F所示的示例中,组织可以用高(例如,对于包含病人敏感信息的应用)、中(例如,手术室调度)以及低(例如,包含即将来临的事件和新闻公告的公司门户)的风险水平来对每个应用进行分级。如图4F所示,可以提供用于根据应用的风险水平来指定角色工程项目对哪些权限感兴趣的用户界面。在所描绘的示例中,用户对于用户界面的部分440中的应用,选择“高”风险水平,这导致该过滤器被添加到权限过滤器集合450中,这又导致所考虑的权限的总数为8个权限455。
[0071]此时,角色工程项目现在具有用户身份数据对象的目标集合和要被考虑的高风险权限数据对象的特定集合。因此,说明性实施例提供了用于通过指定角色工程项目感兴趣的上下文属性来定义角色工程项目的范围的机制,所指定的上下文属性然后被用作针对数据对象的超集的过滤器准则,以由此确定落在角色工程项目的范围内的数据对象的一个或多个子集。这样的过滤器以及过滤器准则的示例可以包括例如在西雅图健康护理诊所(Seattle Health Care Clinic)工作的、注册或许可执业护士的、并且完成了 3级培训证书的所有雇员。这样的过滤器以及过滤器准则的另一个示例可以包括PharmacyWeb应用的被分类为中等风险或较高风险并且由业务过程“药房订购任务”使用的所有权限。
[0072]通过指定和应用这些过滤准则而确定的用户身份数据对象的所得集合比可考虑的数据对象的总集更可管理。基于数据对象的此目标子集,用户能够使用图3的角色管理引擎370的数据挖掘和分析工具开发用于项目的角色。随着用户处理角色工程项目,由角色工程范围确定引擎建立的过滤器将用户与组织和应用变化隔离,允许所得角色建模与组织相关。
[0073]过滤器、相关联的上下文属性过滤器准则、所得数据对象子集等可以与定义角色工程项目的一个或多个数据结构相关联地存储,以便由角色管理引擎370检索和使用/修改它们,用于开始新的类似的角色工程项目,或复制到其他角色工程项目中,等等。角色工程项目将过滤器准则存储为这些一个或多个数据结构,并且改变角色工程项目中的数据对象或改变角色工程项目中引用数据对象的指针。制作角色工程项目的副本将导致生成过滤器数据结构、角色工程项目中的数据对象和/或对角色工程项目中的数据对象的任何引用的副本。
[0074]用户可以通过改变项目范围来扩展角色工程项目的范围以包括更多雇员、更多应用等。这允许角色工程的迭代方案。此外,角色工程项目还可以与其他角色工程项目组合或合并。例如,为了合并两个或更多角色工程项目,可以根据特定实现、过滤器准则(即,所选上下文属性),通过逻辑“与”或“或”来合并角色工程项目的过滤器数据结构,以创建新的过滤器数据结构,该新的过滤器数据结构包含过滤器准则的超集,该超集是所合并的角色工程项目的过滤器准则的组合。合并的角色工程项目中的数据对象和/或对数据对象的引用以及定义为角色工程项目的一部分的角色可以使用逻辑“与”或“或”以类似方式组合,以创建这样的数据对象和/或引用和角色的超集。
[0075]除了合并角色工程项目之外,说明性实施例的机制进一步支持角色工程项目的拆分。这样的拆分可以被执行以例如便于管理角色工程项目,应对组织变化等。通过沿所指定的线来拆分过滤器准则,角色工程项目和角色可以分离成新的角色工程项目和角色集合。例如,带有应用于所有西海岸(West Coast)和所有东海岸(East Coast)药剂师的过滤器的角色工程项目可以拆分成两个角色工程项目,一个用于西海岸,一个用于东海岸药剂师(通过指定要包括在这些“子项目”中的每一个中的上下文属性)。拆分过程可导致具有数据对象、角色和过滤器准则的子集的两个单独的角色工程项目。
[0076]项目范围确定还减少了来自具有不满足用户指定的特定角色工程项目上下文属性准则的类似属性值的雇员和应用的建模噪声。即,当过多数据对象被包括在角色工程项目中时产生噪声,其中一些数据对象与所选择的大多数数据对象具有相当小的亲和性。例如,在为新的安全产品软件团队创建角色工程项目时,过滤器准则可包括指定组织的开发、测试以及体系架构部门的上下文属性。然而,体系架构部门可能是具有分配给许多软件产品的雇员的交叉矩阵组织。体系架构部门的许多雇员与新的安全软件项目没有亲和性。可以使用说明性实施例的机制来生成更具体的过滤器,其将包括开发部门、测试部门以及来自体系架构部门的仅具有“安全架构师”职责的雇员。这减少了为新安全产品团队创建角色时不应被考虑的其他架构师的“噪声”。
[0077]此外,说明性实施例的机制允许多个用户并行地处理角色工程项目。例如,另一个用户可以处理同一或不同医院中另一部门的受HIPPA影响的模型,或涉及财务条例诸如SOX的用户模拟对财务应用的访问。角色工程项目的集合可以随时间而聚合,从而产生用于跨许多资源的整个组织的角色模型。然而,个体角色工程项目的范围可以保持足够小,以便可由部门主任、业务应用所有者或其他类型的业务所有者来维护。
[0078]图5是概括了根据一说明性实施例的用于执行角色工程范围确定的示例性操作的示例性流程图。如图5所示,操作始于用户创建新的角色工程项目(步骤510)。然后,从组织数据处理系统检索数据对象的超集(步骤520)。接收用户对要包括在角色工程项目中的数据对象的类型的选择(步骤530)。从用户接收对应的初始搜索上下文属性和相关联的值以用于所选数据对象类型的过滤(步骤540)。判断是否有附加数据对象类型将被包括以供在角色工程项目中考虑(步骤550)。如果有,则操作返回到步骤530。如果没有,则对数据对象类型的对应数据对象应用与搜索上下文属性和它们相关联的值对应的过滤器(步骤560)。所得数据对象显示在一个或多个用户界面中,以便可以选择它们并且组合在一起,从而形成权限以及这些权限的目标的组合以定义一个或多个角色(步骤570)。
[0079]根据一个或多个用户界面的显示,数据挖掘和角色管理工具操作来定义一个或多个角色(步骤580)。所得角色被部署到组织的数据处理系统,用于控制由组织内部或外面的其他资源和用户对组织的数据处理系统的资源的访问(步骤590)。然后,操作结束。
[0080]如上文所指出的那样,应理解,说明性实施例可以采取全硬件实施例、全软件实施例、或包含软件和硬件元素二者的实施例的形式。在一示例实施例中,说明性实施例的机制以软件或程序代码实现,包括但不限于固件、常驻软件、微码等。
[0081]适用于存储和/或执行程序代码的数据处理系统将至少包括一个通过系统总线直接或间接耦接到存储器元件的处理器。存储器元件可包括在程序代码的实际执行过程中使用的本地存储器、大容量储存器,以及高速缓冲存储器,高速缓冲存储器提供至少某些程序代码的临时储存以减少执行期间必须从大容量储存器取回代码的次数。
[0082]输入/输出或I/O设备(包括但不限于键盘、显示器、指向设备等)可直接或者通过I/o控制器耦接到系统。网络适配器也可以耦接到系统,使得数据处理系统能够通过居间的私有或公共网络耦接到其他数据处理系统或者远程打印机或储存设备。调制解调器、电缆调制解调器和以太网卡仅是一些当前可用的网络适配器类型。
[0083]已经给出了对本发明的描述以用于示范和说明,其无意是详尽无遗的或将发明限制于所公开的形式。本领域普通技术人员将认识到,可以进行许多修改。选择和描述了实施例以最好地说明本发明的原理和实际应用,并使本领域其他普通技术人员能够理解本发明的具有适于所构思的特定使用的各种修改的各种实施例。
【权利要求】
1.一种在数据处理系统中用于执行角色工程项目以对以资源为目标的访问操作应用安全角色的方法,包括: 由所述数据处理系统接收代表组织计算系统的一个或多个用户身份、权限以及资源的多个数据对象; 由所述数据处理系统接收用于过滤所述多个数据对象以生成供在所述角色工程项目期间考虑的数据对象的子集的一个或多个过滤器准则,其中所述一个或多个过滤器准则指定所述角色工程项目的范围; 由所述数据处理系统应用所述一个或多个过滤器准则以生成所述数据对象的子集; 在所述数据处理系统中对所述数据对象的子集执行角色工程项目操作以生成一个或多个安全角色;以及 由所述数据处理系统向所述组织计算系统部署所述一个或多个安全角色以控制以所述组织计算系统的资源为目标的访问操作。
2.如权利要求1所述的方法,其中,接收一个或多个过滤器准则包括: 向用户输出用于选择所述一个或多个过滤器准则的用户界面;以及 通过所述用户界面接收确定将用于选择用于包括在所述角色工程项目中的数据对象的所述一个或多个过滤器准则的用户输入。
3.如权利要求2所述的方法,其中,所述一个或多个过滤器准则包括所述数据对象的一个或多个属性。
4.如权利要求3所述的方法,其中,所述数据对象的一个或多个属性包括用于不同数据对象类型的不同属性,其中所述不同数据对象类型包括用于用户身份的数据对象、用于权限的数据对象以及用于资源的数据对象。
5.如权利要求3所述的方法,其中,所述数据对象的一个或多个属性包括指定数据对象的业务功能的属性、与所述数据对象的业务策略特征相关联的属性、或与所述数据对象的信息技术特征相关联的属性中的至少一个。
6.如权利要求2所述的方法,其中: 所述用户界面输出所述多个数据对象的表示, 提供用于选择所述多个数据对象的至少一个属性的用户输入机制,所述至少一个属性用于对所述多个数据对象的所述表示进行过滤,并且 提供所述用户界面的一部分,在该部分中输出基于所述多个数据对象的所选的至少一个属性而选择的所述数据对象的子集的表示。
7.如权利要求1所述的方法,其中,执行角色工程项目操作以生成一个或多个安全角色包括接收用户对至少一个用户身份数据对象、至少一个资源数据对象以及至少一个权限数据对象的选择,以在所定义的安全角色中将其彼此关联。
8.如权利要求1所述的方法,还包括: 在所述数据处理系统中接收用户输入以修改所述角色工程项目的范围,其中修改所述范围的用户输入包括选择新的过滤器准则以包括在所述一个或多个过滤器准则中或从指定所述角色工程项目的范围的所述一个或多个过滤器准则中去除过滤器准则这两者中的至少一个。
9.如权利要求1所述的方法,还包括以下中的至少一项:合并所述角色工程项目的所述一个或多个过滤器准则、所述数据对象的子集、或所述一个或多个安全角色中的至少一个与另一角色工程项目的过滤器准则、数据对象、或安全角色中的至少一个;或 将所述角色工程项目的所述一个或多个过滤器准则、所述数据对象的子集、或所述一个或多个安全角色中的所述至少一个分拆为所述角色工程项目的两个或更多子项目。
10.一种计算机程序产品,包括其中储存有计算机可读程序的计算机可读储存介质,其中所述计算机可读程序在数据处理系统上运行时导致所述数据处理系统: 接收代表组织计算系统的一个或多个用户身份、权限以及资源的多个数据对象;接收用于过滤所述多个数据对象以生成供在所述角色工程项目期间考虑的数据对象的子集的一个或多个过滤器准则,其中所述一个或多个过滤器准则指定所述角色工程项目的范围; 应用所述一个或多个过滤器准则以生成所述数据对象的子集; 对所述数据对象的子集执行角色工程项目操作以生成一个或多个安全角色;以及向组织计算系统部署所述一个或多个安全角色以控制以所述组织计算系统的资源为目标的访问操作。
11.如权利要求10所述的计算机程序产品,其中,所述计算机可读程序导致所述数据处理系统通过如下步骤来接收一个或多个过滤器准则: 向用户输出用于选择所述一个或多个过滤器准则的用户界面;以及通过所述用户界面接收确定将用于选择用于包括在所述角色工程项目中的数据对象的所述一个或多个过滤器准则的用户输入。
12.如权利 要求11所述的计算机程序产品,其中,所述一个或多个过滤器准则包括所述数据对象的一个或多个属性。
13.如权利要求12所述的计算机程序产品,其中,所述数据对象的一个或多个属性包括用于不同数据对象类型的不同属性,其中所述不同数据对象类型包括用于用户身份的数据对象、用于权限的数据对象以及用于资源的数据对象。
14.如权利要求12所述的计算机程序产品,其中,所述数据对象的一个或多个属性包括指定数据对象的业务功能的属性、与数据对象的业务策略特征相关联的属性、或与数据对象的信息技术特征相关联的属性中的至少一个。
15.如权利要求11所述的计算机程序产品,其中: 所述用户界面输出所述多个数据对象的表示, 提供用于选择所述多个数据对象的至少一个属性的用户输入机制,所述至少一个属性用于对所述多个数据对象的所述表示进行过滤,并且 提供所述用户界面的一部分,在该部分中输出基于所述多个数据对象的所选的至少一个属性而选择的所述数据对象的子集的表示。
16.如权利要求10所述的计算机程序产品,其中,所述计算机可读程序导致所述数据处理系统通过接收用户对至少一个用户身份数据对象、至少一个资源数据对象以及至少一个权限数据对象的选择以在所定义的安全角色中将其彼此关联,来执行角色工程项目操作以生成一个或多个安全角色。
17.如权利要求10所述的计算机程序产品,其中,所述计算机可读程序还导致所述数据处理系统: 接收用户输入以修改所述角色工程项目的范围,其中修改所述范围的用户输入包括选择新的过滤器准则以包括在所述一个或多个过滤器准则中或从指定所述角色工程项目的范围的所述一个或多个过滤器准则中去除过滤器准则这两者中的至少一个。
18.—种设备,包括: 处理器;以及 耦接到所述处理器的存储器,其中所述存储器包括指令,所述指令在由所述处理器执行时导致所述处理器: 接收代表组织计算系统的一个或多个用户身份、权限以及资源的多个数据对象;接收用于过滤所述多个数据对象以生成供在所述角色工程项目期间考虑的数据对象的子集的一个或多个过滤器准则,其中所述一个或多个过滤器准则指定所述角色工程项目的范围; 应用所述一个或多个过滤器准则以生成所述数据对象的子集; 对所述数据对象的子集执行角色工程项目操作以生成一个或多个安全角色;以及向组织计算系统部署所述一个或多个安全角色以控制以所述组织计算系统的资源为目标的访问操作。
19.如权利要求18所述的设备,其中,所述指令导致所述处理器通过如下步骤来接收一个或多个过滤器准则: 向用户输出用于选择所述一个或多个过滤器准则的用户界面;以及通过所述用户界 面接收确定将用于选择用于包括在所述角色工程项目中的数据对象的所述一个或多个过滤器准则的用户输入。
20.如权利要求19所述的设备,其中,所述一个或多个过滤器准则包括所述数据对象的一个或多个属性。
21.如权利要求20所述的设备,其中,所述数据对象的一个或多个属性包括用于不同数据对象类型的不同属性,其中所述不同数据对象类型包括用于用户身份的数据对象、用于权限的数据对象以及用于资源的数据对象。
22.如权利要求20所述的设备,其中,所述数据对象的一个或多个属性包括指定数据对象的业务功能的属性、与数据对象的业务策略特征相关联的属性、或与数据对象的信息技术特征相关联的属性中的至少一个。
23.如权利要求19所述的设备,其中: 所述用户界面输出所述多个数据对象的表示, 提供用于选择所述多个数据对象的至少一个属性的用户输入机制,所述至少一个属性用于对所述多个数据对象的所述表示进行过滤,并且 提供所述用户界面的一部分,在该部分中输出基于所述多个数据对象的所选的至少一个属性而选择的所述数据对象的子集的表示。
24.如权利要求18所述的设备,其中,所述指令导致所述处理器通过接收用户对至少一个用户身份数据对象、至少一个资源数据对象以及至少一个权限数据对象的选择以在所定义的安全角色中将其彼此关联,来执行角色工程项目操作以生成一个或多个安全角色。
25.如权利要求18所述的设备,其中,所述指令还导致所述处理器:接收用户输入以修改所述角色工程项目的范围,其中修改所述范围的用户输入包括选择新的过滤器准则以包括在所述一个或多个过滤器准则中或从指定所述角色工程项目的范围的所述一个或多个过滤器准则中去除 过滤器准则这两者中的至少一个。
【文档编号】G06F21/60GK103890773SQ201280051994
【公开日】2014年6月25日 申请日期:2012年10月17日 优先权日:2011年10月21日
【发明者】L·B·卡索-阿瑞斯桑切斯, T·D·乔丹, 戴维·G·库赫-麦克拉伦, O·J·蓝芙, D·W·帕勒米尔, C·L·普拉科考, M·拉亚玛尼, J·T·罗博科 申请人:国际商业机器公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1