此处描述了一种用于管理和应用权利的方法和系统。身份集成服务器集中地管理与对应于多个身份的权利相关联的数据。该集成服务器可以选择多个工作流中的一个。选择将在工作流中使用的多个权利中的一个或多个,并且选择该工作流所适用的一组身份。做出关于该工作流是否应该在该身份上运行的判断。如果是,则启动该工作流。该一个或多个权利然后被添加到授予的权利列表。然后,可以启动将该一个或多个权利应用于该一个或多个身份的独立过程。
【技术实现步骤摘要】
【国外来华专利技术】权利的管理和应用背景权利描述能够对在给定应用程序或系统上的给定身份启用或禁用的能力。 通常基于业务流程而被授予各身份。例如,如果经理批准则可以将电子邮件帐 户给予每个全职员工。在该示例中,如果该员工具有全职的状态,则电子邮件 通知将被发送到经理以备批准。 一旦接收到经理批准,就可以为该员工创建电 子邮件帐户。在典型的供应应用程序中,与业务流程一起内联地应用权利。如果将权利 直接应用于应用程序,则需要业务流程的执行者具有对正对其应用权利的应用 程序的许可。此外,取决于诸如网络通信量和系统负荷等因素,在应用程序上 启用权利可能是昂贵的。不同的业务流程也可以应用相同的权利。在这种情况 下,系统可能以对该应用程序的冗余调用而告终。此外,系统可以按不一致的 方式来将权利应用于应用程序。概述下面提供本专利技术的简化的概要以便为读者提供基本的理解。本概要不是本 专利技术的详尽概观,并且既不标识本专利技术的关键/决定性要素也不描绘本专利技术的范 围。其唯一目的是以简化形式提供在此公开一些概念作为稍后提供的更详细描 述的序言。此处所描述的是涉及用于管理和应用权利的各种方法和系统的各种技术 和方法。根据所描述的技术的一个实现,身份集成服务器集中地管理与对应于 多个身份的权利相关联的数据。该集成服务器可以选择多个工作流中的一个。 选择将在工作流中使用的多个权利中的一个或多个,并且选择该工作流所适用 的一组身份。做出关于该工作流是否应该在该身份上运行的判断。如果是,则 启动该工作流。该一个或多个权利然后被添加到授予的权利列表。然后,可以 启动将该一个或多个权利应用于该一个或多个身份的独立过程。在所描述的技术的另一个实现中,集成服务器接收将权利授予身份的请 求。该集成服务器确定该权利是否已经存在。如果是,则不必做任何事。如果 不是,则可以授予该权利。可以启动将该权利应用于该身份的另一个过程。许多附带特征将随着参考下面的详细描述并结合附图进行理解而得到更 好的认识。附图说明从结合附图的下列详细描述中将更好地理解本说明书,在附图中 图1是示出用于管理和应用权利的示例性系统的框图。图2是示出用于选择权利并将其应用于所选身份的示例性过程的流程图。图3是示出用于在请求时将权利应用于身份的示例性过程的流程图。图4是示出用于管理权利的示例性用户界面的屏幕截图。图5是示出用于定义身份规则的示例性用户界面的屏幕截图。图6是示出用于定义工作流的示例性用户界面的屏幕截图。图7示出了在其中可以实现本专利技术的某些方面的示例性计算环境。相同的标号用于指示附图中相同的部分。详细描述下面结合附图提供的详细描述旨在作为对本示例的描述,而非表示用于解 释或利用本示例的唯一形式。该描述阐述本示例的功能以及用于构造和操作本示例的步骤序列。然而,相同或等价的功能与序列可由不同的示例来完成。图1是示出用于管理和应用权利的示例性系统100的框图。权利描述了能 够对给定用户和应用程序启用或禁用的能力。权利的示例包括但不限于诸如用 户帐户、电子邮件帐户等帐户、或邮箱、或诸如远程系统访问或对共享站点的 访问等访问权限。可以基于业务流程或工作流来授予或撤销。例如,可以在员工的经理批准帐户后将电子邮件帐户授予员工。在系统100中,业务流程是与权利的应用分离的。在系统100中全局地定 义权利。每个权利都具有唯一标识符(ID)。权利ID对应于描述如何对应用 程序启用或禁用权利的权利定义。权利ID和定义可被存储在数据存储110中。定义用于批准权利的授予或用于撤销权利的业务流程或工作流的业务规则可被存储在数据存储112中。系统100包括集中地管理权利的应用的身份集成服务器102。诸如114或 116等一个或多个目录通过诸如104或106等相应的管理代理被耦合到身份集 成服务器102。身份集成服务器102维护存储元空间(metaverse)对象的数据 存储108。每个元空间对象都可以具有与由系统100管理的身份相关联的数据。 例如,公司可以维护与其员工相关联的元空间对象。身份的其他示例包括但不 限于用户、组、组织角色、应用程序、或系统。每个元空间对象可以具有授予的权利列表(GEL)以及当前权利列表 (CEL)。授予的权利列表是根据业务规则元空间对象应具有的权利的列表。 授予的权利列表上的条目可包括但不限于对权利定义的引用、对创建该条目的 进程的引用、和/或诸如添加或移除权利等要完成的操作。当前权利列表是基于 在身份集成服务器中配置的权利定义元空间对象当前所具有的权利的列表。当对由系统100管理的身份添加或移除权利时,添加或移除权利的请求可 被发送到身份集成服务器102。确定并启动与授予或撤销权利相关联的业务流 程或工作流。当完成该业务流程或工作流时,可以在与身份相关联的元空间对 象的授予的权利列表上设置权利的引用。 一旦完成业务流程或工作流,就可以 启动通过管理代理连接器空间将权利应用于正确连接的目录的独立过程。因为 权利的应用是与业务流程分离的,所以业务流程不必知道如何定义和应用权 利。系统可以批量处理权利请求。此外,可以并行执行业务流程的评估以及权 利引用的应用。图2-3是示出用于应用权利的各示例性过程的流程图。虽然可以参考其他 附图来做出对图2-3的描述,但应理解,图2-3所示出的各示例性过程并不旨 在限于与任何特定的一张或多张附图的系统或其他内容相关联。另外还应理 解,尽管图2-3的各示例性过程指示操作执行的特定次序,但在一个或多个替 换实现中可以按不同的次序来对这些操作进行排序。此外,图2-3的各示例性 过程中所示出的某些步骤和数据可能是不必要的并且可以在某些实现中省略。 最后,虽然图2-3的各示例性过程包含多个离散的步骤,但应认识到,在某些 实施例中这些操作中的某一些可被组合并同时执行。图2是示出用于选择权利并将其应用于所选身份的示例性过程的流程图。 在210处,选择工作流。在220处,选择将在工作流中使用的多个权利中的一 个或多个。在230处,选择该工作流所适用的一组身份。在240处,做出关于 该工作流是否应该在该身份上运行的判断。如果不是,则在280处,该过程可 以完成。如果是,则在250处,启动该工作流。在260处,该一个或多个权利 被添加到在其上运行该工作流的身份的GEL。如果存在该工作流的批准过程, 则在权利的应用之前启动该过程。然后,在270处,选择下一个工作流并且该 过程从步骤220处重复。图3是示出用于在请求时应用权利的示例性过程的流程图。在310处,接 收将权利授予身份的请求。该身份可以与存储的元空间对象相关联。在320处, 做出关于所请求的权利是否已经存在的判断。如果所请求的权利已经存在,则 在350处,该过程可以完成。如果所请求的权利不存在,则在330处,授予所 请求的权利。然后在340处,可以启动将所请求的权利应用于该身份的过程。可以对撤销权利的请求执行类似的过程。如果该权利不存在,则不必做任 何事。如果该权利确实存在,则撤销该权利。图4是示出用于管理权利的示例性用户界面400的屏幕截图。该界面包括 如402处所示的身份规则、诸如404处所示的工作流、以及诸如406处所示的 权利的标识和管理。身份规则定义用于标识为应用由身份集成服务器管理的一 个或多个权利所本文档来自技高网...
【技术保护点】
一种方法,包括: 选择多个工作流中的一个; 选择将在所选工作流中使用的多个权利中的一个或多个。 选择所述工作流所适用的多个身份中的一个或多个; 在所述一个或多个所选身份上启动所述工作流以便将所述一个或多个权利授予所述一个或多个所选身份;以及 启动将所述一个或多个所选权利应用于所述一个或多个所选身份的过程。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:NK考兰德,G叶,HJ曼,BT克雷斯,JH奇布拉,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。