企業權利框架的製作方法

2023-10-24 07:16:27 1

專利名稱：企業權利框架的製作方法
絲領域
^^發明總地涉A^十^^^。 ^^，本發明涉及-^t用於在計脅系統 或網絡上管理在多個應用間的用戶積跟的靈活才嫁。背景絲
來說明，並且不P艮制於附圖之中，附圖中相近的附圖衝射己 表示相近的元件，其中[11

圖1解#^兌明了實;^M^斤描迷的一個或多個方面的計^^T《免的方塊圖。12圖2是才MM^^斤描述的一個或多個方面用於在多個應用之間管S^P艮信 息的網絡系統圖。[13圖3A解^i兌明才N^本i^斤描述的一個或多個方面的用於^^實^F艮 的企ik^U^匡架的示意圖。[14圖3B是條^;斤描述的一個或多個方面的兩種樹艮情;X^目應的樹艮 ,的困。[15圖4A4F ;UW^兌明^^本i^斤描述的一個或多個方面的樹艮管理系統 中的^t數據結構和對象的圖。16圖5A-5E ;U^^i兌明才娥本文描述的一個或多個方面的基於角色的樹艮 和關稱寸象的創建和定義的圖。[17]圖6A-6D ^^#^兌明#^>^^描述的一個或多個方面的基於用戶的樹艮 和關m象的創建和定義的圖。[181圖7A-7C ;U^^i兌明^^;ML描述的一個或多個方面的^t支持4護 lt據結構和對象的圖。[19圖8是僻釋說明才^I^M:描述的一個或多個方面的用於添加和實^F艮的 方法的5危程圖。M實施方式[201在以下描述的樹實施例中，參考作為;M^^分的附圖，附圖中示出了可實;jfe^發明的M實施方式。可以理解的是，在不背離本發明的範圍的情況下，可釆用用，實施方式以^t結構和功^^ftf務改。21圖1解#^兌明了可實^jth^所描述的一個或多個方面的計算環免。諸^i十脅ioo之類的計算設備可包含用於輸入、輸出、^Hh理數據的多^WK例如，處理器105可^f亍多^f壬務，包括^Wt—個或多個應用、從"^M!^ 置115之類的存^i殳^H:數^V或向諸如顯示器120 ^L類的i殳備輸出翁:據。 處理器105可連接到臨時^^應用數^^/或指4^l隨機訪問絲器(RAM)模 塊110。 RAM模塊110可以任意順序進行"4^^訪問，從而為RAM模夾llO 中的^^位置提供了相同的存取能力。計#4幾100可進一步包括只讀賴器 (ROM) 112，其可以在計#^幾100關機以後^^據持^^繼續^^##絲 上。ROM 112可用於包括^i十^l/L100的J4^^入輸出系統(BIOS)在內 的樹目的。ROM112還可^ft數l^時間信息，從而即便關#重啟也能保 持信息。j^卜，^#裝置115可提供對包括應用和數據文件在內的^t數據進 行長^ft。 ^^置115可包^f壬意一種計^^L可讀介質，例如，盤驅動器、 ;5t4^介質、磁帶員系統、快閃記憶體，器等。在一個例子中，處理器105可以 ^#^^置115中;l^應用，並在^Lfti亥應用的時候，將與應用相關聯的指令 臨時^ft在RAM才狹110上。221計難100可通過^t部^H殳械出數據。如前所述，""^t這樣的輸出 設備可以是顯示器120。另一種輸出設備可以包:^H^揚聲器125之類的，輸 出設備。^錯出設備120和125可與#顯示劍&器122和賴適配器127之類的輸出適配器相連，輸出適配絲處理點旨^HH匕^y目應的賴^ii信號。除了輸出系M^卜，計脅100可從樹輸入設4^b^/^^納輸入，所 述^t輸入設備可以是勉130、 >^#介質驅動器135和/或;^X (未示出)。 就象輸出設備120和125 —樣，每個輸入設備130和135都可與適配器140相 連，從而將輸入轉^^計^^可讀/T^^的數據。在一種'J子中，可艦過麥 (未示出)接^1]的聲音輸入轉^J:字格式並^^在數據文件中。在一 種或多種情況下，諸如介質驅動器135之類的設備可同時用作輸A^p輸出設備， 來允許用戶將數據寫A^讀出^f^介質(例如，DVD-R、 CD-RW等)。[23計#^幾100還可包^-個或多個在網絡中^fp發送數據的通信^K各 種類型的網絡包^窩網絡、數字廣播網絡、網際網路協議(IP)網絡等。計算 機100可包^dt^f4il些網絡中的一個或多個網絡中進^it信的適配器。特 別是，計脅100可包括網絡it^器150，用絲IP網絡中與一個或多個其它 計^^^計算設備進^it信。在一個例子中，適配器150可以對公司或組織的 網絡中參電子*1^消息和/或財政數據之類的數據的傳送提^1更利。在另一個 例子中，itS&器150可以對來自iH口網際網路之類的全球資訊網的信息的發iHi^t 提^H更利。適配器150可包括與一個或多個網絡協議有關的一個或多個指令集。 例如，iti己器150可包^-個用於處理IP網^t據包的第一指令集和與處理蜂 窩網絡數據^目關的第^旨令集。在一個或更多的配置中，網絡適配器150可 為計#^ 100揭r^無線網絡訪問。他部降，並不限於圖1所描述的設備和系統。 P [25圖2是解#^兌明用於為運行在一個或多個^i十^^L 100 (圖1)的計算 機系統中的一個或多個應用^f^管i^i艮信息的中央系統200的圖。系統200 可用於為多個應用205、設備(未示出)和/或資料庫(未示出)進行集中協調 和管理由多個應用205、設備和/或資料庫共享的;kP艮信息。中央系統200可包 括^t部^N^層，所^包^^JJ ;應用層210和lfcl^層215。亦可在系統200 中實施網絡服務網關220，從而為在系統200和應用205、相關設備和/或資料庫 之間的通信及無交互提#<更利。例如，網絡服務網關220可包括多^Ht信協 議，以允許應用^^J糾通信協議與系統200交互。網關220還可為系統200 與接口設備和/或應用之間的通信提^H^"如數據加密之類的安全層。26]在一種或多種配置中，網關220還可為系統200與諸如應用/服務207之類 的^^H^只別管理應用之間的通信提^^更利，從而允許Wfc應用絲系統 200的特妙功能。在"H^'J子中，i抽SUN IDENUTY MANAGER這樣的 月良務可通過網絡服務網關220絲系統200的服樸特徵。網關220可作為系 統200的一部分，或者可^J4可以是從系統200分離出來的獨立進程、應用和/ 或設備。可i4^，才W—個或多個方面，可以直^ti應用205或用戶與系統 200之間的通信。換句話沈，可以不釆用網關來協助通信。例如，由系統200 準備的^^t理輸出可以直接發iti^應用205，而無需網絡服務網關220的幫助或朋。27呈^p應用層2io可實現一個或多個網絡;sji用接口，包括網絡菜單械制面板，如管理控制臺230。管理控制臺230可實現為允iff財用戶訪問^^務 ^ft在數據層215中的各種樹艮信息的java程序或其它程序。^&，管理 控制臺230可提供圖形或非圖形用戶界面，用戶通過該界面可增加/移除/管S^ 限。因此，當用戶登^il者以，方式訪問系統200時，可通過管理控制臺230 向用戶呈^^選項械制，例如，可向用戶提##樹艮分@2^"個或多個用 戶、角色、層級節點或列表項的選項。還可向用戶給出選項絲加或刪除對象， 如用戶、角色、動作、資源屬性等。管理控制臺230可顯示與;Kf狄態、定義 的樹Mgt量、與用戶相關的樹艮、用戶樹Mt變歷史、被管理的應用對目關的 附加信息。[281除了管理控制臺230^卜，呈i^L/應用層210還可提供附加的應用編程接 口 ( API )235a、 235b、 235c和235d,在一個或更多實施方式中，可4^) ASP.NET 才瑰來實現API235。 ^-個API235可專用於系統200中的不同進程，包M 權API235a、管理API235b、審計API235c和報告API235d。例如，授權API 235a可以為確定是否授權用戶^t特定資源的一個或多^作的任務提^^更 利。另一方面，管3git^可為應用提供向系統200增加樹ML從系統200移除 樹艮的函數調用。jHW卜，管理API、審計API^^告API可提供ff息以及一個 或多個由管理控制臺230提供的能力。因此，；M^求用戶通過管理控制臺230 從系統200手動修^/檢索樹艮信息，應用可以使用管理API 235b自動實現這些 功能。本領域的才i^A員將意iJ測，推據用戶或組織的功能需求，系統200中 可包^^^^t相似的API。[29WW卜，呈^L^應用層210可包括一個或多個服^件240,來i^ft^/或完 艦過API 235a、 235b、 235c和235d發布的服務。服:^w240涉;S^4t類 型的過^iSl任務，包^5L、管理、審計、報告、緩存、數據訪問和/或4tm 理。例如，數驗問部件245可專用於與數據層215接口，並從數據層215檢 索信息或辦息^^在數據層215上。因此，為了確;t^L否授糊戶來l^亍與 特定項目相關聯的特^^動作，可調用#_縣問部件245對數據層215進4憤問 並檢索與特定用戶、動作和/或資源相關的樹艮信息。部件240也可以是相互連 接的，允^-H^件調用另一個服務部件的方法和服務。在一^^，子中，報告*可以向數旨問部件245請4^1據，以製作一個被請求的報告。 [30數據層215還可包括數據處理部分250。數據處理部分250可定義一個或 多個ii^liM^、處3^p/il^索來自^:據層215的lt據，特別^自^F艮信息 資料庫255的數據。例如，^Wj過程260可定義資源類型、用戶、角色和/或 樹艮:W^被^^在資料庫255中。例如，可將iif呈定:5U^許用戶從系維索 某些類型的數據(例如GetListUserRoleMap)。在另一^H^子中，可將it^定 :5(JU 1於插A^f艮(例如InsertPrivilege )。數據處理部分250可進一步包M 取轉格械(ETL)系統265，該系統可才,包括^^M^M^呈"W260中的各 種ii^Ii^tH取、轉換和加 作。在一個或更多的例子中，ETL系統265可 用於將以笫一種格^^收的信4#械和資料庫255絲的第^^t格式。在一 種特定的例子中，ETL系統265可用於加絲級信息。可i^kJl附加地，ETL 系統265可才NIW 260的MJ!'j和iif呈將數據^A資料庫255。 [31樹艮信息^:據庫255可，兩種類型的^^>4270和275， ^"^t^"有 獨立的功能。例如，知"i屍v^270可負責^f^,'j^Ht"息，而^i屍v^275可 用於審計和/或4t^:務賭。每^H^屍v^270和275可具有^f^部件260並由其 ^ft^l特定^^呈。MJ'^Pi只庫270提供與不同用戶、角色、資源類型、動 作和樹財目關的樹ML許可數據的中央務賭。可^^尺庫270中提Wfc據^ 查是否授權用戶來"^t一個或多個動作。在下面將^^細地討論在管^5dl 結構中擬^^0!'j的^^與^a亍。另一方面，審計/#^^屍4 275可^(t在知 識庫270或另一個資料庫上^M亍的與審計和/或診樹目關的數悟。所M的審計參照圖2所描述的^t元件可以許多方式進ms^^/或進行^W務改。例如， 在""^^換的實^式中，可^i屍v隼270和275組合成一個單-^PiR庫。 [32]圖3八解#^兌明用於^^表示樹艮信息的數據模型。模型300可包括與 樹艮305、動作310、資源類型315、角色320、資源屬性樹象323、用戶325、 資源屬性對象326、層級對象327、列表對象328和列表項對象329相關的對象， 還可以包括^5ft^^表格。在一種或更多種配置中，數據模型300可以以資 源類型對象315為中心，該資源類型對象315可用於識別和表示可為^義一 個或多個樹艮的應用的類型。例如，資源類型對象315可表示財務應用、供水 安全系統應用或地鐵管理應用。j^卜，資源類型通常可定義可以賦予權限的範圍。4娥用戶的條，可寬^k^狹窄地定義資源類型。例如，通tr將資源類型定:5W^輸應用，或者可逸地，可將資源類型單獨定義成航空逸輸、地面33額夕卜賦替m，對於^"種資源類型，可才M^對應於例如層斷象327 的相M^Ult定50KFMl^F樹象305。通常，層toj"象327可,iC^作定義可被 授予樹艮的資源類型的結構的基礎。也^l:說，層鋭衝象327可才^與用於為 資源類型定:W艮的應用數據相關的結構來定:5U5(i艮。例如，可#^位置和區 J^MU且織和構成與電話服^f理應用相關的電話信息和數據。因此，可根提電 話服K理應用指定的位置和區^t義以及分類來^0&良可i^fe^附加地， 層級可以表示用來為資源類型定:^艮的^^只結構。例如，層級對象327可以 ^M^只或公司內定義^^^^或g以及每個歸、J或^Mi之間的關係。在另一 個例子中，層級對象327可以為運輸應用資源類型定義包Mi市、州、地區和 國家級別或節點在內的iik^亂國家節點可表示層級中的最寬鈔1^，接下 來是地區、州和城市。接下來由積f樹象305定義的樹艮可以應用於和/或關聯 到^t層M^"。因此，與國家級別活動相關的ii^F艮可與層級中的國家級 別或節點相關聯，而與州內公路it^目關的一個或多個權限可與層級中的州級 別相關耽[34才W-個或多個方面，可通it 'J^t象328來表示可賦予樹艮的目標項的 列表。例如，可^L^"James作為管理/JWff務改時間條目"的相J^分解^ 目標項"時間條目，，Ji^^'修改"的動作。在另一^^子中，可創建指定"James 作為管3S/Jbit^改開支條目"的W艮。該樹艮可分解錄目標項"開支條目"上 進幹'修改"的動作。才娥一個或多個實施方式，資源類型可與定義^F艮的目標 項的預定義ll^相關聯。目標項^^可由列^t象328表示，而條^中的^ 項可^^為刺口列表項對象329之類的項目對象。在一^^J子中，財務應用可 包含多個目標項，例如每季》1^\_數據、財務預測信息、開支數^V或投f^己錄， 這些目標項可定義一個或多個樹艮。同樣，用戶在將樹^^加到財務應用的時 候，可在目標項條^中選#^"個或多個與應用或應用類型(即，資源類型)相 關聯的項目。可以將目標V列表項目和列表作為整^ii行添加、刪除和/或修改。 可替m^附加地，列^/目標項目還可與層級中的一個或多^Nt定^U'J相關聯。 也 _說，某個列^/目標項目的權限可局P^ij—個或多個指定的層^U5i[35可以^JD由資源屬't樹象326表示的資源屬性來定:W艮與一個或多個其 M象之間的關聯和關係。例如，可以對層級資源屬'J^it行定義，從而在層級 中識別3械予權P艮的一^Nt定的節點或^^。同樣，列表資源屬性可以指定權 卩Mt應於的特定列表項。換句"^i兌，資源屬性可以定，艮的範圍(即，,艦屬'酙目關聯，這多個;源屬性可被^^:定:oi—個資源屬:齡。才娥資^:屬性^^對象323可定:M^/或創建資源屬性齡。資源屬性H^i常涉及與單 獨的權PK資源類型相關聯的一組資源屬性。同樣，4M多個列表資源屬'戰 資源屬性集合可將樹艮與多個列表項或層級節點關自lt。在一種或多種配置 中，資源屬性^^可增強資源屬性的數據絲。136積J艮可以包^^如與;KF財目關的用戶、用戶角色^作4^類的細L^部分' 同樣，可由動作對象310來^^/或表示動作。另一方面，角^t象320可用 於^織結構中定義用戶角色，而用戶對象325可用於^N應的組織中^^特 定的用戶或僱員。在一種或多種例子中，每個由用戶對象325所表示的用戶可 與由角^t象320所表示的角M目關聯。^M^型300中的每個對象，例如對象 305、 310、 315、 320、 323、 325、 326、 327、 328、 329和330， i^可以包^-" 個或多個引用^W象的數據字^l連結。例如，樹樹象305可包括引用與 用戶對象325、資源類型對象315、角色對象320和規則對象330相關聯的M 儲在其中的信息的欄位。數據欄位可用於指定包括每個對象的識別信息在內的[37
圖3A以;Sit^的附圖中的箭頭;^ie^示從一個數據對^^另一個數據 對象的連結。連結可以表^NI^在可以共享和/或引用相似的樹艮信息的數據 對"間的關係信息。箭頭才射己的方向可定義哪個對象是被引用的對象以及哪 個對象狄出引用的對象。例如，示出一^^鄉資源類型對象315連結到權 卩樹象305。該鏈翻旨向樹艮對象305。因此，^^接可以指示樹艮對象305包括 一個或多個對由資源類型對象305^#^/或^#的數據的引用。類^^，用戶-角色映射對象335可以引用和/或包括由用戶對象325和角&葉象320，的數 據。這樣的連結允"i^HHbM，J框架(即，權限管理系統)來定:^"應於特定權 限的多種數^V4sUB^部分之間的關聯。-"feM兌，數據對象之間的^^接為與 樹M目關的^t^41供了意義。38]圖犯說明了^Mft含上將兩個^F峰景^t到^2M^斤描述的數據鄉的各 個方面和特徵的圖。兩個樹l^景可與相同的資源類型(例如J^"採購應用類 型)或不同的資源類型相關聯。圖3B戶/f^W數據模型將樹艮拆分成六個《誠 部分。在場景l中，^P艮允許Bill作為司^P (DoJ)的^l負責A^^Ml幀中 繼器。將場景1的樹艮分解^￡^:據模型的結構，"Bffl"可被識別和絲為用 戶，"DoJ的^/負責人",i^^l戶"Bm"扮演的角色。It^，可將剩絲權 卩!U^斤成包絲作對^r/或列表項對絲內的樹附加對象。例如，"狄"可 解釋為^jf艮中的動作，"幀中繼器"可敗:JU^艮的目標項。在一或多種配 置中，樹!Ui可包括^J'J。細'j可表示用戶和/或角色可以在怎遊的糾下對資源^Mt^作或利用資源^i^作。在一個例子中，##可以約束用戶Bm在早上6點至晚上6點之間扭行他的樹k[391通過將^FIU^^Nfft^f蟲立的^^部絲特性，邏^t據模型/絲結 構可以提^""個靈活且可擴展的管理系統，在添M應用和/或修改舊的應用 時，實施新的和/或經修改的樹艮、資源類型以及角色。更進一步，4^1資源 屬性來定50^F艮自動演變的不同^a^部分與^f艮的自我調節/重新定義之間的關 系。例如，可以通過將新的目標項添加到在與權PM目關聯的資源屬性中標識的列表，將由樹樹象定義的樹賦予附加的目標項。因此，樹Ml樹M"象的手動重新定M重新編程不再是必需的'[40圖3B的場景2描述了 Alice作為DoJ的副狄負責人(OA)， ^ 有瀏 覽^)數據的樹艮。對於才M^U，灘^N^型的一個或多個配置來)^斤樹艮， 可將用戶定W'Alice"，掙'DoJ的副狄負責人"定:U 角色，#"瀏覽"定義 成動作，橋'狄數據"定義為列表項。^H^FIUE可確定^"如果用戶是請求者的下級"之類的MJ'J。圖38戶;^^#^模型 ^#^緣的一個#^，並不意 味是對4^^斤描述的特#情況的限制。例如，可以在圖3B^^賴才練中添 加樹艮的^t其它部^V或情況。[41回到圖3A,對象305、 310、 315、 320和325可以^fW艮的一個或多個 屬性，例如圖3B所描述的內容。諸如用戶-角色5jy^對象335和樹IU動作錄 對象340之類的^W象也可以被實施iM^供用於鵬和管^f象之間的關聯 的信息。作為例子，用戶-角色^t對象335提供用戶和角色之間的關棘因 而，如果4^1樹艮管理系統的應用請求了和某個角M目關聯的所有用戶的列表，則可以訪問一個或多個用戶-角色ft^f對象335iMHr這樣的信息。相合她，如 果應用請求了對應於某^作的所有樹艮，則可^^樹^動作^yt對象340來 提取信息。42為了更詳細,迷數據模型，圖4A4F將圖3A中解釋的對絲結構分組 成iH^U'J、層級、樹艮、資源類型、用戶和角色以;SJO!'J之類的功食辦類。 例如，圖4A圖75W兌明了與樹艮管理系統中的;M'J功育M目關的多個對絲結構。 擬，J種類包括多個對象，所述多個對絲過向用戶顯示W門在高toiJ (即在應 用層)具有的^PIMU區動用戶經歷。換句^i兌，^ti^5U'附類的對^^數據結 構410、 402、 404、 408和409通過資源類型提供了對數據模型中為用戶^W ^P艮信息的高級顯示。這種樹艮信息的高織示還可被^4^在i^^對象408之 類的^^立度樹Mt象中。權利功能可由對象賴區動，所財象例如B用對象 402、資源類型-應用映射對象404、樹 態對象406、粗fe^W艮對象408和 入口對象409。入口對象409定義了網絡前端，用戶可通過該網絡前端訪問用戶 的一個或多個樹|^斤關^^/或4#的應用。對不同的應用可以定義不同的入口 。 在一種或多種實施方式中，可以才娥一個或多個應用參lfo^相同應用的不同實 例定義不同的入口或網絡前端。應用參數可以確定什麼資源類型和/或樹艮^:可 用的並可^皮^^^^用戶。應用參數可包^N如可定:W艮的目標項以及用戶可 以扭^亍的可用動作。才娥應用需要以及特性的不同，每個應用還可進一步與不 同的入口相關耽43jHW卜，應用對象402可以識別資源類型或資源類型對象所對應的特定應用。 另一方面，資源類型-應用^f對象可用於絲資源類型輛目應的應用之間的關 系。在一種或多種情況中，應用可關聯多個資源類型。例如，特定的珊管理 應用可以對應地鐵it^r資源類型、航空資源類型以M面運輸資源類型。可選 地，應用可與同一資源類型的多個實例相關聯。通過資源類型-應用映射對象404 可為對應於應用的資源類型的識別4^^f更利。為了'fel查找，映射對象404可 以，資源類型與一個或多個應用之間的關耽[44粗粒度樹艮對象408定義了與應用或資源類型相關聯的樹艮的種類或總 和。例如，財務交易應用可以和i^tp"刪除財^i己錄的ID欄位"、"添加財^i己 錄"和,整預報"之類的細粒度樹M目關聯。在一些情況下，用^K^^斤有細粒度 樹艮的"fetol連結來呈現用戶接口或GUI會使用戶信息過載。因此，粗 >權或類型的細津立yl^F艮。在上ii例子中，細粒度^F艮可與用於確定"修Wj^i己錄" 選項是否在用戶接口顯示或以雞方式可用的^^立度樹財目關聯。因此，不是 處t種不同的權限，而是可以使用單個tt:度樹艮來確定要呈SL^用戶的選 項。樹歐態對象410可以指定^^立度樹艮是否對特^)戶來^A可用的/活動 的，或者;i不可用的/不活動的。[451圖4B解#^兌明了可包含多個與;^艮的^i^^表示相關的對^l^構的權 P樹類。*地，樹樹象305務賭了與積跟的多個方面和糹1^部^目關的信 息^M接。例如，權限對象305可以包括用於識別與權限對象305戶/H餓的權 F^目對應的用戶、角色和樹艮類型的欄位。樹艮類型對象410可用於定義一個 或多個樹艮類型，例如，用戶和組類型樹艮。樹M象305還可與由一個或多 個資源屬性糾象412定義的一個或多個資源屬性集相關聯。資源屬性集可以 絲由資源屬'財象414 4化的一個或多個資源屬性。資源屬性集還可用作緩 存機制，用來^A與樹財目關聯的屬性以脅't^'l^:據的絲。 [46在一種或多種配置中，資源屬'樹象414可用來定義與樹財目關聯的特定 資源類型的一個或多個屬性。資源屬，)^^可定:W艮與諸如層級節點之類的另 一個對象之間的關係。^il種情況下，由資源屬性定義的關係可以表示權限範 圍中的層級節點所包含的內容。資源屬'腿可以定義列絲目標項與^FH^間 的關係。特別是，資源屬性可以確定樹P斤管轄的列絲目標項。因此，可以 才娘與^F賄關係的對象(例如，資源屬性、層級節點和/或列表項)的一個或 多^H務錄自動重新定:^調整樹艮的範圍。也tOi兌，不需要對樹MU5LF艮 對^Ji行AX重新配置或重新定義。也可以定義雞的資源屬性並與^FM目關47] jH^卜，由樹w^t象416定義的樹mr^可用於通ii^加具有指定特性 的層級節點和/或列表項來定:Ul修細艮的範圍。在一種情況下，棒性可以包 括關係。換句話說，與i^節點或項目之間的關係和由權PMW確定的關係相 匹配的附加的層級節點或列表項可被添加到擬艮範圍中。例如，樹M8^:可用 於將權限分gei^層級節點和從屬於該節點的所有節點。具體地，可以給用戶一 ^H者如'所有子節點"的選項。在另一種仔中，權f^W^可向用戶提^-Mst 項(例如，"所有列表")來將權PM^僅賦予特定的列表項，並JUm予同一列表中的絲項目。樹MTO^項或快妙式可以使管理員無需選#^/4^予權 卩^ij層級中的每付節點。因此，數據模型可以4^I樹W^象416來定義 和/或創建在明確授予的樹詠一個或多個由快^r式確定的^F艮之間的關氣 在包括層級類型和節點類型的樹MW中還可^^)其它特性類型。48才W""個或多個方面，；KPW^b許在添加新的層級節點或列表項的事 件中自動進^KF艮的自我調節。例如，參'所有子節點，，這樣的樹W^可以 自動^f添加的子節點與響應該添加的積跟關^^。 #^^， ^'所有列表" 權PW^4項，添加給與樹M目關的新目標項可自動與權^M目關聯。因此，使 用這樣的權PWi系統，可以不需要對樹Ml權限的^iB^部^^行人工重 新定:5UMi應新添加的^lt[49圖4<:解#^明了與資源類型相關的對絲結構。如Ji^斤述，資源類型可 fct到可為^^OKP艮的應用類型。數據模型可^^I動作對象310來為資源類 型定義一個或多個可^J I的動作。例如，僱員管理應用可以包括與輪班^S&、 增加/開除僱員、修改工資對目關的命令。這樣，可將上述動作中的^-個添加 到資源類型，而浙口出貨或##這樣的動作則不可以。j^卜，可才Wi^H^ 對象422這樣的資源屬'l^^t象來定義與特定資源類型相關的資源屬性。資 源屬'h4^L^給定的資源類型定5Ur性。因此，為給定的資源類型定:W艮可 能需要定:5^斤有由^1指定的屬性。50在4或多種配置中，資源屬'I^^L可以包括i^bf射己，該才斜6狄了屬 性是否必須進行定義。資源屬#*1也可以包括可授予才射己，該才射M旨定了是 否可以將權PH^綠資源屬性。例如，在公共X^呈系統中，權PW食誠予對應 於州層級節點的屬性，但可授予對應於城市層級節點的屬性。這種配置可有效 地阻jhit寬的權限定義。； 1^￡可以提供關於^:據格式和#^式的《兌明。具 絲，^^t象422可指定一個或多個必需的欄位、每個欄位的最大數據大小、 數據類型和/或它們的組合。通過資源屬'I^UE可定義鈔父節點和子節點之 類的資源屬性之間的關係。[51圖4D中解^i兌明了實,鄉列表的數據對絲結構。列絲常與對象、 目標項和/或^M言息的^"有關。另一方面，層Mit常涉財象、數^V或其 M息的^，其中才娥一個或多^^;W"信息進行歸類或排列。層#列表 可相對獨立使用，或者可i4^，可組^f吏用。例如，層級的不同^J'J可與可用項目的不同列勤目關聯。因此，可以允許第一層M次的樹^項目的一個不同列表中辦。更進一步，節點分類對象436可用於區分層級節點和列表節點。 jth^卜，還可由相應於節點類型對象438的節點類型來定U^V或列表中的節 點。例如，；Hk^3S層級(如國家、州、城市)中的節點可具有M類型節點。類 似地，也可以通過相應於層級類型對象432的類型變量(例如 Hierarchy_iype_ID) iMt徵^^亂可通it^戶來定U級類型，層級類型可 包括地理層級、安全層級、位置層級等。還可以通it^級確定變量(例如 Hierarchy—ID)[52圖4E對用戶和角色圖進行了說明，該圖示出了用於^F艮管理系統中實 WtV或支^^F艮的用戶和角色成賴;L^對絲結構320、 325、 335、 452、 454、 456。用戶對象325可以員包括用戶識別符、；HkAt信息、電^"^lt據、電子 郵斧ft息等在內的^ft字艮4W由用戶類型對象452和用戶狀態對象454分 別定義的用戶類型和用戶狀態，還可對用戶對象325進##徵化。用戶狀態的 #^包括活動用戶、非活動用戶、刪除的用戶，而用戶類型的舉例可包括內部 和夕MP用戶類型。^F艮管理系^i可包^NP用戶扮演對象456之類的用戶扮 演對象來允許第一用戶扮演第二用戶。^^一個或多*降，第一用戶可繼承 第二用戶的一個或多個^艮。因此，用戶扮演對象456可M包含第一用戶識 別符(例如UserJD)和第二用戶伊J5'J符(例如User_Impersonation_ID)在內 的數據，其中第二用戶識別符用來識別繼承第一用戶的用戶(即，在第一用戶 的4t^l下扮演)。用戶扮演對象456還可包括有效日期和^Uh日期來定義有^M 承的周期。[53如上所述，用戶和角色還可通過用戶角色-映射對象335定義的用戶角色 ftW來連結。用戶角色-ftM^對象335存^t用戶和特定角色之間的對應和關聯。 因此，如果用戶Liz^ialK中扮演人力資源經理，樹艮管理系統可^^I用戶-角 色映射對象335將用戶Liz與人力資源經理角^目關聯。如角色對象320這樣 的角色對象包括^#信息的欄位，所絲的信息iJN^是角^、角色描錄截 止曰期。如同用戶扮演和角色，用戶-角色關^i也可以包括氣Ji曰期和/或有效曰 期輛保該關聯不紐期。[54圖4F解釋了包括規則對象330、規則類型對象462和樹,'j^t對象 464在內的^F,'J圖。細'j對象330可定義一個或多^WJ或餅來限制權限。例如，財^y^務 W艮可取決於日期時間和^^免l^。因此可將日期時間M定義為限制財^ii^^W艮的^J!'J。 ^^^F,'JftMt對象464可將 權p^^y'j相關聯。在一種或多種配置中，可以對一個^F艮定義多^HiyH。規 則可^ft在列表中作為列表項。還可通im則類型對象462定義的一個或多個 ，'j類型對多^0!'j進行歸類和分類。MJ'J類型可^，例如，有效日期範圍、 有效時間範圍、大於/小於日期、數字範圍、列表項條陣、值列表務降、大於/ 小於##^^^匹配。55jH^卜，才w"^t或多種情況，^4t樹,，J的^h古，樹艮可對用戶或角色 有效。例如，權P,'J可以M^i戶樹艮的有效絲於是否將用戶指^7第一 部門的角色。這種樹艮可用於定購圖書或一些，項目。因此，如果用戶角色 妙，對圖書進行狄的用戶^f艮將U效的。換句"^兌，用戶權PML^了。 才^t^P,'J，用戶積J艮是動態且自調節的'[56]圖5A-E解^i兌明了才娥;M^斤描述的構ii^^型的樹情況的樹艮創建 和定義。例如，在圖5A中，可4M層級對象501、層級類型對象504、節點分 類對象515、節點類型對象5U、列表對象513、列表項對象514和層級節點對 象507來創建層級。層級對象501可定義具有fflerarchyJD為1000以及 ffierarchy—iype一ID為1000的層l fflerarchy_iype_ID可以識別和/或對應於 ^i己類型對象504定義的iife^級類型。彭卜，層級可與相應於層級的M級 別或成分的多個層級節點507a、 507b和507c相關耽*節點507a、 507b和 507c同樣可由節點類型對象5U定義的一個或多個節點類型進##徵化。每個 節點507a、 507b和507c還可指定^1I^M只別層級中節點所屬或分配的級 別。例如，節點類型對象511可定義#星體、國家、州、城市和坐標方R 類的節點類型。因此可##個節點507a、 507b和507c識別為節點類型中的一 種。例如，節點507a對應於星體節點類型(用NodeJiypeJD欄位和^1^示)， 而節點507b對應於國家節點類型。[57層級節點還可以包^H口節^^稱、雙親層級節點id輛艮部層級節點id 之類的欄位。雙親層級節點id可用於定:^&級中節點間的關係。因此，在一種 或多種情況中，可將層級節點507a定:5U^:級節點507b的雙親層級節點。每 個節點507a、 507b和507c還可以在root—hierarchy—node—ID中指^Jr糾艮節 點。通過指定由節點分類對象515定義的節點分類id或值可將節點識別為列表節點M級節點。在一種或多種配置中，節點類型可與列M象513以WiJ表 項對象514定義的由樹艮應用的列表項的列勤目關禮在一個例子中，列表可 包^Ha電子網格、7j^網格和it^網^L類列表項。[58圖56解#^兌明了資源類型以及與其關聯的資源屬'^ 的定義。資源類型對象519可定義iH^共x^呈系^:類的特定資源類型。資源類型對象519還可識別一個或多個用於^^只相應於資源類型的^P艮的^^I和/或應用的關M 良資源類型還可^f線資源屬'I^L^象523定義的一個或多個屬'N^J^定 義需要的屬性。這種#^可定義必須為與資源類型相關聯的權限定義的屬性列 表。；^L可^^I^^斤描述的無效字"^M旨定需要以及不需辨峰屬性。每個^^也可以識別雙親資源備1^M^特徵化資源屬性之間的關係。才娥一種或多種情況，才緣資源屬'l^^象523中的ResourceJiypeJD欄位，資源羼性 ^!可與特定的資源類型相關聯。59圖5C解釋說明了分別由用戶對象527、角&寸象531和用戶-角色映射對 象535定義的用戶、角色、用戶-角色,。每個角&寸象531和用戶對象527 可分別定義一個或多個角色和用戶。例如，在圖5C中，用戶對象527定義兩個用戶，射己一個用戶id為iooi，舶己另一個用戶id為i002。角色可以指;Ua織中的用戶角色或者Md^斤^a的特定角色。角M"象531定義公共x^呈系 統角色與公共x^呈系^目對應的任務相關聯(而不是，例如自來水x^iiut^xa系統)。用戶-角色RjMt對象535可用於將用戶和角M目關聯。例如，用戶-角色^)Mt對象535可定^U目應於用戶id 1001的用戶與公共X^呈系統角色之間的 關聯性。601在圖5D中，可才娥角色定細艮。也^!Ui兌，將樹艮射條角色(例如， 由角^J"象552定義的/厶共X^系統角色)，所述角色可以射己一個或多個用戶。 樹艮可^f^樹艮對象554並與動作、樹艮類型和/或資源屬性集相對應。動作 對象541可定義和^^^務#瀏覽之類的動作，而樹艮類型對象545可定 :M^，包括用戶和角^內的樹艮類型。樹艮動作ftyt對象560可定:M^/或 ^ 作與樹艮之間的關聯性。與樹艮類型對象554制定的角色(即，role—id 1000確定的角色)相關聯的用戶允許Wt定義的動作。；W艮動作,的^^1進 一步允許對與樹M目關聯的動作的自動重新定:M^或重新配置，而無需對樹艮 的參數進行人工或特定的修改。ort^卜，資源屬'f^象549可用於對^F艮或資源類型進##徵化。例如，資源屬'樹象549可^ft用於指;t^級節點配置的屬 性。特別是，通過將樹艮與相應的資源屬'1^目關聯，可將樹艮與層級節點或級別相關耽jrt^卜，樹R^向M^tt^J"象558可用於定義細Wy5U^^a^度權Pll之間的對應，其中細粒度;W艮是由相/Mt象554來定義的。可以對^個與^a^立度樹Mt象554可以為每個與特定角^目關聯的用戶(用戶1001和1002) M兩^W立度樹艮。如上所述，i^立度權限可表示寬泛的描iiil細粒度樹艮 的分類。特別是，可以從動作和類別列表項中提^F艮，或將樹艮歸類到其中。 例如，可以為具有iH^瀏財音樂部門的訂單"、"瀏財絲部門的訂單"以 及"瀏財計^lis門的訂單"之類的多個樹艮的用戶定義妙'瀏覽訂單"之類的^a^立度權限。因此，^a^立度樹艮"瀏覽訂單"可以將用戶連結到對應於不同部 門的獨立瀏覽訂單樹艮。在另一^h^子中，與添加、刪除以及修訂列表項相關 的樹艮可以歸入"修改"^i^立度權限中。在另一個例子中，刺口回顧、列印g 存之類的細粒度樹艮可歸類到"瀏覽，v^立度樹艮中。[61圖5E解^^兌明了基於^^立度樹樹象562的^L^1樹艮定義。尤其是粗 粒度樹樹象562定義兩^Na^立度;kP艮，即^lS^樹艮id 1000和1001。樹狄 態對象566可用於描^W^W艮的狀態。在一^^'J子中，^P狄態該可包括 活動的和非活動的。另一方面，資源類型應用映射對象570可定義資源類型和 應用之間的關^1性。這種關聯性允許用戶或樹艮管3^瀏覽和/或確定與特^ 用相關聯的資源類型以;5W艮，反之亦然。例如，資源類型應用映射對象570 可^"公共X^呈系統資源類型(即，資源類型id 1000 )與公共X^呈系統應用(即， 資源類型id l)之間的對應。在一^t或多種S&置中，同樣定5UI於創賴戶接 口從而^i4^F艮訪問的入口。例如，入口可用於向用戶顯示與多個不同應用相 關的可利用的相粒度樹l可使用入口對象574來定:5C^口 。 [62圖6A-6D解釋說明了樹艮定義的另一個例子。然而，與圖5A-5E相比， 圖6A-6D的樹艮定:JU^於用戶，而不A^於角色。特別地，圖6<:解#^兌明 了基於由用戶對象605和用戶狀態對象610定義的用戶來創建樹艮，而圖6D則 解釋說明了相粒度樹艮的定義。通過用戶對象可以定義和/或^ft用戶，並JIii 可以通過諸如激活、待決和/或淨妙'Jfi^t樣的用戶狀態;jM^述用戶。因此，樹艮 對象615可以確定與用戶對象605相對應的用戶，而不是確定角色。勒以地，樹議向^f匕對象620可以##用戶，而不是角色，將^a^JL^f艮與細粒度樹M目關聯。因此，如圖6A-6D,WI^的，粗泮i^樹艮對象625可以為樹M" 象615確定的一個用戶(即與userjd 1000相關聯的用戶)僅創建一4*^度 樹艮定義。與圖5D和5E相比，由於圖6A-6D中所描述的樹H^是根提圍繞一 個以上用戶的角色所定義的，因此可以為一個用戶M義一^H^立度樹艮。圖 6A解^i兌明了層鄉列表的定義，而圖66解#^兌明了資源類型的定義。可以 釆用與基於角色的樹IUL^相同的方式為基於用戶的積跟創建和/或定:5C&級、 列絲資源類型。[63^^J一個或多個包括歷^A格對象、^^記^ii^對象以及資源輸A^t 綠內的維護對象可進一步支#^/或管^^>斤描述的數據對象、結構財法。 圖7A解釋說明了可用於iiJt^i己錄與一個或多個^t^目關的特定^K例 如,角色歷史705可用於鵬與特定角色或角M^目關的動作和/或狀,統息。 勤W^，資源類型歷史對象710可^#歷史數據，該數據與對特定資源類型或 資源類型對fii糊修W目關。她歷史對象可包細艮歷史對象715、用戶歷 史對象720 g作歷史對象725。可響應觸發或預定義的MJO'J來記錄^HMt 息。例如，資源類型歷史對象710可響應^r測對資源類型的^^M^加條目。 用戶可以檢索表格和歷史對象705、 710、 715、 720中的^r-個來審計或分才樹 她系鉞樹的 。[64圖7B解#^兌明了 ；i^t淑日誌記紗活動iii^對象。每^N^日誌記錄 和活動追蹤記^t象與^t不同類型的日誌相關。例如，應用異常日誌對象730 可用於^f^J應應用命4^V或請求而產生的異常'另一方面，FTP輸出日誌對 象735可用於^iL識別^KF艮管理系統的ftp輸出活動的日誌。仍舊是在另一個 例子中，資源輸入^日誌對象740可用於^^在特定資源類型輸出時iiJ'J的 錯誤。；^域的技術人員將意識到^^I這些對象可以ii^各種活動和錯誤，並 且可添加M日誌ijUl^宗^^^活動。j^卜，日誌記^^活動iUt對象730、 735和740可響應在系統內定義的M、預定5UJU!，J和/或^K [65圖7C圖^i兌明了用於維護系統內^^和/或絲的樹類型數據的主列表 的資源輸A^f象。例如，輸A^級對象747可^^與一個或多個層^目關並在 權P艮管理系統中表示的數據。類々她，輸入動作對象可與系統定義的動作表格 或列勤目一致。在一種或多種配置中，主列;M^/或表格可被用作用於在ETL處理過程中驗"ii^TA^:件的控制列表。另一方面，為了確定樹艮將要進行的改變，可4W。輸入產品對象745之類的輸入產品表格或對象用於目標項和/i^ 級的i^/Nj'J表。例如，如果新的目標項被添加到應用或資源類型，可通it3iT入產品主列表以及將主列表與樹艮管理系統中^^1的當前列^Ji行》b^,從而確定這些新的目標項。才娥一個或多個確定的差別，對一個或多個與有^5LFM目 關聯的項目列^Ji行更新(例如,從列表中添加或刪除項目)。輸入動作對象750 可以為更新g測與應用或資源類型相關聯的動作的 提供相似的功能。此 夕卜，可以^"擬艮的 進^^艦，並將其記^J'J樹峰量輸出文件。可將該文 件;^iH^應用，或者;i管理員或用戶可以利用該文件，[66上^護對象中的^個^T用於包^輯^I檢查在內的^t目的。 這些對象也可用於將數據^Ail^圖4A4E中所)1 #的那些對^^類的一個或 多個^Wt象。W卜，還可在值的前後^ftJiii^護對象中的一個或多個，從 而^^l戶可以^f預試功能。例如，ilh^在圖7B中戶;f^糊那些ii^對象可用 於記^，的輸入數據而對一個或多個權PIUi行的^。可將這些改變， 到增量輸出文件(例如^#在先前的4小時內jgjt變化的樹艮的文件)。接著可 將文^f^l^-"個或多個相關應用。[67圖8解#^兌明了用於^P艮管理系統中^mF艮的方法。可^^相關的權 限信息，通過用戶和/或由管理系統自動對樹IUi行定義。可i^k^附加地，可 通過網絡伺服器和/或管理控制臺用戶接口iM^加樹艮。例如，在步驟800，可 通ii^P艮管理系^^收添加權限的請求。例如，可以通過網絡服務網關從用戶 那裡^L請求，例如網關220 (圖2)。才M^亥請求，在步驟805中可提Wl確 定一種或多種信息類型。各種信息類型包括列表項信息、動作信息、用戶數據、 角色數據、層級信息等。[68在步驟810中，可創建新的;^樹象^Wf的樹艮並建立糾屬性與權 卩M目對應的數據對象之間的關聯。在步驟815中，例如，iH^作對^角色 對象之類的對象可與樹樹斜目關聯。對象之間的連接可以根據對象之間的依 賴性以及關係和/或其中^fW數據來建立。在一個或多個實施方式中，可將關 系和連接定線資源屬'樹象中^W源屬性。[69在步驟816中，系統可確定在層級中樹M皮關聯的位置。該確定可通朋 戶輸Ail才Mt默認的層^^進行。在步驟817中，系統可確定用戶是否希望定義一個樹mw。用戶可指定用於識別樹w斤關聯的一個或多個附加的或其 他的層級節點或列表項的關係或描述。例如，如果用戶選幹'所有子節點"樹艮^i^項，系統可iP^—個或多個作為子節點級別的節點或不走816中確定的 節點。如^^擇了樹Ma^，在步驟818中樹HM^可與樹M目關耽射卜， 在步驟819中，可以確定一個或多個與^FW^斤指定的描逸氛關係相匹配的 節點或項目。[70在步驟820中，可以為^f^斤應用的每個層級節點確定相應的資源屬性。 這些節點可包括明確的用戶選擇節點和/或通ittiW^不明顯選擇的節點。在 步驟825,可以為樹P斤應用的列表項確定相應的資源屬性。例如，^F艮可允許 用戶去瀏覽不同類型的數據。這樣，那些不同類型數據中的萄^"種都可以由資 源屬性;j^JUf與樹M目關聯。j^卜，用戶可明確選擇或不明^kitit^fil^ ^i^擇列表項，在步驟830，可在資源屬性集中連結、^^或關聯與樹M目應的 資源屬性。在步驟835中，系統可確^j^否對一種或多種樹,'J進行了定義 或創建。如果是這樣，在步驟840中可將樹,'J與樹M目關聯。在一種或多 種配置中，可將樹,'j射ei^"個或多個與權PM目關聯的節點。通it^:5U5L 限應用需要符合或可由用戶使用的特定條降，權FMC則可以限制權限。在一種 或多種情況下，樹樹用戶是否有效M於應用到權P,'j的用戶特徵(例如 角色)。例如，樹,，j可指定在早六點至晚六點之間可,電"^丁單。在另一 個例子中，用於定製財務報爭的樹艮可取決於用戶是否具有管理角色。這樣， 如果用戶的角色改變，對"i亥用戶來i兌，，;W具有可以定製財^艮告的樹艮。 在步驟845，屬'賦屬性集還可以與樹M目關聯，從而描柳艮的一個或多個參 數(例如，層M^U，J和/或目標列表項)。71才W^種或多種情況，可以為管S^或用戶M^4格對象、錯誤日誌記 絲iii^對象、和/或資源輸4象中絲數據進而重新瀏覽和/或分析。為了調 。和/或功能，也可以從一個或多日誌記^il^對象中提取日誌。歷^4格對象、躲日誌記絲it^對象以及資源輸A^^ft的信息和 It據可以創lfc^t接口和功能。[72^^本^^斤描述的特#情況，應用可以從中心擬艮管理系統中獲得樹艮信息。才娥一種或多種配置，中心樹艮管理系統可以做出批量輸出，該批量輸 出將與一個或多個^j^目關的信息^^到單獨的文件或數據結構中。可4捐各種工具^M^供這種批量輸出，包括基於解決方案的XML。然後應用就可以)§!# 該輸出文件來確定相關的樹IL^信息。[73此外，^^本i^斤描述的方面和特徵增強了樹艮管理系統中的靈活'脈可擴展性。特別是，基於對樹IM^型的其它部分或對^ii糊修^il改變，可 以自動重新定:UlFIM^型的各部分或對象。例如，妙'所有子節點"這樣的權 PMa^可以用來響應對層M構的修改(例如添加子節點)來自動重新定:M目 應樹艮的範圍。在另一個例子中，與積J^目關聯的資源屬性集合中的資源屬性 可以確定權FP斤應用的特定項目列表。因此，通it^加新的項目到列表中，可 自動將樹艮應用到新的項目中。jW^卜，除了列表"卜，不需要對內^i^行手動 重新配置或修改。[74jH^卜，在一種或多種配置中，可以4w^層級、資源類型、應用等這樣的 新對^J^加到樹艮管理系統，而無需增加或修改系統中的程序設計。也^1說， 無需新的^H殳it^t可以添加新的資源類型和新的應用。因此，可以通過生成 新的對^fN以^新的對^f^定義一個或多個WUM，J建對象。這些械 可包括名稱、識別號碼或代碼、和/或對應於一個或多*對#^斤關聯的對象的[75#^本發明的>^^示範實施方式￡^本發明進行了描述。4^域的"fit 技權員通it^Ml揭露內容的回顧將發餘附加^，J要求的範圍^ft中的許 多其它實財式、修妙變化。
權利要求
1. 一種存儲用於管理與資源類型相對應的權限的數據基礎結構的計算機可讀介質，該數據基礎結構包括層級對象，用於定義與資源類型相關聯的層級結構，其中所述資源類型對應於被賦予權限的一個或多個應用，並且其中所述層級結構包括層級節點；層級節點對象，被配置為存儲層級節點；以及資源屬性集對象，用於存儲一個或多個資源屬性的集合，其中所述一個或多個屬性包括層級屬性和列表項屬性中的至少一個，其中，根據所述一個或多個資源屬性來定義權限範圍；以及其中，響應於所述基礎結構的組成部分被修改，自動對權限範圍進行重新定義。
2、 根據權利要求1的計^4幾可讀介質，其中通過修改與層級節.多對象的一個或多個械相關聯的數據來配i^級節點對象。
3、 根據權利要求2的計算機可讀介質，其中所^級節點對^旨U級節 點在層級中所屬的的^U5'J。
4、 根據權利要求1的計算機可讀介質，其中所述數據基礎結構還包括員 樹艮動作映射的樹艮動作^fct對象，其中所i^限動作^4t確定與樹糾目對應 的一個或多個動作。
5、 根據權利要求l的計算機可讀介質，其中所i^li^l結構的組成部分包括 所it^贈構、所述一個或多個資源屬性的齡以及項目列表中的至少一個。
6、 根據權利要求l的計算機可讀介質，其中所述數據基礎結構還包括， 樹MW的樹MWt象，其中該樹M^^娥指定的特性確定^J^予擬艮的 一個或多個附加層級節點。
7、 根據權利要求6的計^^可讀介質，其中該指定的特性包括層級節點關係。
8、 根據權利要求7的計算機可讀介質，其中所述節點關係包括子節點。
9、 根據權利要求l的計算機可讀介質，其中所述數據^54結構還包括為準 予樹艮而定:5U^M)y!，J的樹,，J對象。
10、 根據權利要求l的計^bL可讀介質，其中用戶的樹沐效'Ii^於根據^F,'J對用戶的一個或多W爭性的譯f古。
11、 一種^ft用於管,艮的數據模型的計算機可讀介質，該數據模型包拾^FMt象，用於^ft與資源類型相對應的^J^; 層斷象，用於^^具有層級節點的層贈構，其中#^資源類型定義該 層贈構；列M象，用於務賭目標項列表，其中從目標項列表選#1 予樹艮的目標項；;^W^f象，用於^#指定特性的樹^ ，其中4娥該指定的特性來H^i^f艮的範圍。
12、 ;fM^5U，澳求11的計#^幾可讀介質，其中所述指定的特性包括列表項 關係和層級節點關係中的至少一個。
13、 根據W，J^求12的計算機可讀介質，其中將與選擇的目標項之間的關 系與所述列表項關係相匹配的附加的目標項添加到所ii^F艮範圍中。
14、 ^^5U，j要求12的計算機可讀介質，其中將與所^級節點之間的關 系與所^級節點關係相匹配的附加的層級節點添加到所i^艮範圍中。
15、 才N^5U'J^求U的計#^幾可讀介質，其中所述指定的特性是目標項列 表中的成員 。
16、 才l^^5Ui^"求15的計算機可讀介質，其中當新的目標項添加到目標項 列表時，用該新的目標項自動更新所i^F艮範圍。
17、 一種賴數據模型的計脅可讀介質，該數據微包括 層m象，用於定義與資源類型相關聯的層贈構，其中該層贈構包括一個或多個層級節點；^^P艮的樹樹象，其中樹艮至少絲於用戶絲於角色中的一種； 資源屬性糾象，用於^ft一個或多個資源屬性的齡，其中所述一個或多個屬性包括層域'^^列表項屬性中的至少一個，並且其中才娘所述一個或多個屬'N^定:W艮的範圍；以及;KF,'j對象，用於定義準予樹艮範圍的樹,'h
18、 才M^5U，J^求l7的計算機可讀介質，其中樹,'j對應於一種或多種 權P,'J類型，該一種或多種樹,，j包括日期範圍、時間範圍、小於日期、數字範圍、列表項M、值列表、大於準予^H^^匹配中的至少一種。
19、 才N^5U'澳求17的計算機可讀介質，其中響應層級結構的改變，自動重新定細艮範圍。
20、 才M^M，J^求17的計^f幾可讀介質，其中響應一個或多個用戶特性的 自動^^UH戶的^F^"效性。
全文摘要
提供了一種在多個應用和/或資料庫之間管理權限信息的方法和系統。可以實施靈活且可擴展的企業權利框架來存儲和管理各種類型的權限、訪問權和資源。企業權利框架可包括用於存儲權限的各個組成部分和/或方面的各種數據對象和結構。數據對象可以包括資源類型對象、用戶對象、角色對象、動作對象、資源屬性對象、列表項對象和/或層級對象。為一個具體權限定義的數據對象還可以根據一個或多個對象之間的關係被連結起來。通過定義與新應用的權限結構兼容的新對象，企業權利框架可擴展使用新的應用。
文檔編號G06F17/30GK101256605SQ200710185730
公開日2008年9月3日 申請日期2007年8月30日 優先權日2006年8月31日
發明者A·A·摩塔, M·R·謝伊, S·A·阿爾菲裡 申請人:埃森哲環球服務有限公司