企业权利框架的制作方法

专利名称：企业权利框架的制作方法
絲领域
^^发明总地涉A^十^^^。 ^^，本发明涉及-^t用于在计胁系统 或网络上管理在多个应用间的用户积跟的灵活才嫁。背景絲
来说明，并且不P艮制于附图之中，附图中相近的附图冲射己 表示相近的元件，其中[11

图1解#^兌明了实;^M^斤描迷的一个或多个方面的计^^T《免的方块图。12图2是才MM^^斤描述的一个或多个方面用于在多个应用之间管S^P艮信 息的网络系统图。[13图3A解^i兌明才N^本i^斤描述的一个或多个方面的用于^^实^F艮 的企ik^U^匡架的示意图。[14图3B是條^;斤描述的一个或多个方面的两种树艮情;X^目应的树艮 ,的困。[15图4A4F ;UW^兌明^^本i^斤描述的一个或多个方面的树艮管理系统 中的^t数据结构和对象的图。16图5A-5E ;U^^i兌明才娥本文描述的一个或多个方面的基于角色的树艮 和关称寸象的创建和定义的图。[17]图6A-6D ^^#^兌明#^>^^描述的一个或多个方面的基于用户的树艮 和关m象的创建和定义的图。[181图7A-7C ;U^^i兌明^^;ML描述的一个或多个方面的^t支持4护 lt据结构和对象的图。[19图8是僻释说明才^I^M:描述的一个或多个方面的用于添加和实^F艮的 方法的5危程图。M实施方式[201在以下描述的树实施例中，参考作为;M^^分的附图，附图中示出了可实;jfe^发明的M实施方式。可以理解的是，在不背离本发明的范围的情况下，可釆用用，实施方式以^t结构和功^^ftf务改。21图1解#^兌明了可实^jth^所描述的一个或多个方面的计算环免。诸^i十胁ioo之类的计算设备可包含用于输入、输出、^Hh理数据的多^WK例如，处理器105可^f亍多^f壬务，包括^Wt—个或多个应用、从"^M!^ 置115之类的存^i殳^H:数^V或向诸如显示器120 ^L类的i殳备输出翁:据。 处理器105可连接到临时^^应用数^^/或指4^l随机访问絲器(RAM)模 块110。 RAM模块110可以任意顺序进行"4^^访问，从而为RAM模夹llO 中的^^位置提供了相同的存取能力。计#4几100可进一步包括只读賴器 (ROM) 112，其可以在计#^几100关机以后^^据持^^继续^^##絲 上。ROM 112可用于包括^i十^l/L100的J4^^入输出系统(BIOS)在内 的树目的。ROM112还可^ft数l^时间信息，从而即便关#重启也能保 持信息。j^卜，^#装置115可提供对包括应用和数据文件在内的^t数据进 行长^ft。 ^^置115可包^f壬意一种计^^L可读介质，例如，盘驱动器、 ;5t4^介质、磁带員系统、闪存，器等。在一个例子中，处理器105可以 ^#^^置115中;l^应用，并在^Lfti亥应用的时候，将与应用相关联的指令 临时^ft在RAM才狭110上。221计難100可通过^t部^H殳械出数据。如前所述，""^t这样的输出 设备可以是显示器120。另一种输出设备可以包:^H^扬声器125之类的，输 出设备。^错出设备120和125可与#显示劍&器122和賴适配器127之类的输出适配器相连，输出适配絲处理點旨^HH匕^y目应的賴^ii信号。除了输出系M^卜，计胁100可从树输入设4^b^/^^纳输入，所 述^t输入设备可以是勉130、 >^#介质驱动器135和/或;^X (未示出)。 就象输出设备120和125 —样，每个输入设备130和135都可与适配器140相 连，从而将输入转^^计^^可读/T^^的数据。在一种'J子中，可舰过麦 (未示出)接^1]的声音输入转^J:字格式并^^在数据文件中。在一 种或多种情况下，诸如介质驱动器135之类的设备可同时用作输A^p输出设备， 来允许用户将数据写A^读出^f^介质(例如，DVD-R、 CD-RW等)。[23计#^几100还可包^-个或多个在网络中^fp发送数据的通信^K各 种类型的网络包^窝网络、数字广播网络、因特网协议(IP)网络等。计算 机100可包^dt^f4il些网络中的一个或多个网络中进^it信的适配器。特 别是，计胁100可包括网络it^器150，用絲IP网络中与一个或多个其它 计^^^计算设备进^it信。在一个例子中，适配器150可以对公司或组织的 网络中參电子*1^消息和/或财政数据之类的数据的传送提^1更利。在另一个 例子中，itS&器150可以对来自iH口互联网之类的万维网的信息的发iHi^t 提^H更利。适配器150可包括与一个或多个网络协议有关的一个或多个指令集。 例如，iti己器150可包^-个用于处理IP网^t据包的第一指令集和与处理蜂 窝网络数据^目关的第^旨令集。在一个或更多的配置中，网络适配器150可 为计#^ 100揭r^无线网络访问。他部降，并不限于图1所描述的设备和系统。 P [25图2是解#^兌明用于为运行在一个或多个^i十^^L 100 (图1)的计算 机系统中的一个或多个应用^f^管i^i艮信息的中央系统200的图。系统200 可用于为多个应用205、设备(未示出)和/或数据库(未示出)进行集中协调 和管理由多个应用205、设备和/或数据库共享的;kP艮信息。中央系统200可包 括^t部^N^层，所^包^^JJ ;应用层210和lfcl^层215。亦可在系统200 中实施网络服务网关220，从而为在系统200和应用205、相关设备和/或数据库 之间的通信及無交互提#<更利。例如，网络服务网关220可包括多^Ht信协 议，以允许应用^^J糾通信协议与系统200交互。网关220还可为系统200 与接口设备和/或应用之间的通信提^H^"如数据加密之类的安全层。26]在一种或多种配置中，网关220还可为系统200与诸如应用/服务207之类 的^^H^只别管理应用之间的通信提^^更利，从而允许Wfc应用絲系统 200的特妙功能。在"H^'J子中，i抽SUN IDENUTY MANAGER这样的 月良务可通过网络服务网关220絲系统200的服朴特征。网关220可作为系 统200的一部分，或者可^J4可以是从系统200分离出来的独立进程、应用和/ 或设备。可i4^，才W—个或多个方面，可以直^ti应用205或用户与系统 200之间的通信。换句话沈，可以不釆用网关来协助通信。例如，由系统200 准备的^^t理输出可以直接发iti^应用205，而无需网络服务网关220的帮助或朋。27呈^p应用层2io可实现一个或多个网络;sji用接口，包括网络菜单械制面板，如管理控制台230。管理控制台230可实现为允iff財用户访问^^务 ^ft在数据层215中的各种树艮信息的java程序或其它程序。^&，管理 控制台230可提供图形或非图形用户界面，用户通过该界面可增加/移除/管S^ 限。因此，当用户登^il者以，方式访问系统200时，可通过管理控制台230 向用户呈^^选项械制，例如，可向用户提##树艮分@2^"个或多个用 户、角色、层级节点或列表项的选项。还可向用户给出选项絲加或删除对象， 如用户、角色、动作、资源属性等。管理控制台230可显示与;Kf狄态、定义 的树Mgt量、与用户相关的树艮、用户树Mt变历史、被管理的应用對目关的 附加信息。[281除了管理控制台230^卜，呈i^L/应用层210还可提供附加的应用编程接 口 ( API )235a、 235b、 235c和235d,在一个或更多实施方式中，可4^) ASP.NET 才瑰来实现API235。 ^-个API235可专用于系统200中的不同进程，包M 权API235a、管理API235b、审计API235c和报告API235d。例如，授权API 235a可以为确定是否授权用户^t特定资源的一个或多^作的任务提^^更 利。另一方面，管3git^可为应用提供向系统200增加树ML从系统200移除 树艮的函数调用。jHW卜，管理API、审计API^^告API可提供ff息以及一个 或多个由管理控制台230提供的能力。因此，；M^求用户通过管理控制台230 从系统200手动修^/检索树艮信息，应用可以使用管理API 235b自动实现这些 功能。本领域的才i^A员将意iJ測，推据用户或组织的功能需求，系统200中 可包^^^^t相似的API。[29WW卜，呈^L^应用层210可包括一个或多个服^件240,来i^ft^/或完 舰过API 235a、 235b、 235c和235d发布的服务。服:^w240涉;S^4t类 型的过^iSl任务，包^5L、管理、审计、报告、緩存、数据访问和/或4tm 理。例如，数驗问部件245可专用于与数据层215接口，并从数据层215检 索信息或辦息^^在数据层215上。因此，为了确;t^L否授糊户来l^亍与 特定项目相关联的特^^动作，可调用#_縣问部件245对数据层215进4愤问 并检索与特定用户、动作和/或资源相关的树艮信息。部件240也可以是相互连 接的，允^-H^件调用另一个服务部件的方法和服务。在一^^，子中，报告*可以向数旨问部件245请4^1据，以制作一个被请求的报告。 [30数据层215还可包括数据处理部分250。数据处理部分250可定义一个或 多个ii^liM^、处3^p/il^索来自^:据层215的lt据，特别^自^F艮信息 数据库255的数据。例如，^Wj过程260可定义资源类型、用户、角色和/或 树艮:W^被^^在数据库255中。例如，可将iif呈定:5U^许用户从系維索 某些类型的数据(例如GetListUserRoleMap)。在另一^H^子中，可将it^定 :5(JU 1于插A^f艮(例如InsertPrivilege )。数据处理部分250可进一步包M 取转格械(ETL)系统265，该系统可才,包括^^M^M^呈"W260中的各 种ii^Ii^tH取、转换和加 作。在一个或更多的例子中，ETL系统265可 用于将以笫一种格^^收的信4#械和数据库255絲的第^^t格式。在一 种特定的例子中，ETL系统265可用于加絲级信息。可i^kJl附加地，ETL 系统265可才NIW 260的MJ!'j和iif呈将数据^A数据库255。 [31树艮信息^:据库255可，两种类型的^^>4270和275， ^"^t^"有 独立的功能。例如，知"i尸v^270可负责^f^,'j^Ht"息，而^i尸v^275可 用于审计和/或4t^:务賭。每^H^尸v^270和275可具有^f^部件260并由其 ^ft^l特定^^呈。MJ'^Pi只库270提供与不同用户、角色、资源类型、动 作和树財目关的树ML许可数据的中央务賭。可^^尺库270中提Wfc据^ 查是否授权用户来"^t一个或多个动作。在下面将^^细地讨论在管^5dl 结构中拟^^0!'j的^^与^a亍。另一方面，审计/#^^尸4 275可^(t在知 识库270或另一个数据库上^M亍的与审计和/或诊树目关的数悟。所M的审计参照图2所描述的^t元件可以许多方式进ms^^/或进行^W务改。例如， 在""^^换的实^式中，可^i尸v隼270和275组合成一个单-^PiR库。 [32]图3八解#^兑明用于^^表示树艮信息的数据模型。模型300可包括与 树艮305、动作310、资源类型315、角色320、资源属性树象323、用户325、 资源属性对象326、层级对象327、列表对象328和列表项对象329相关的对象， 还可以包括^5ft^^表格。在一种或更多种配置中，数据模型300可以以资 源类型对象315为中心，该资源类型对象315可用于识别和表示可为^义一 个或多个树艮的应用的类型。例如，资源类型对象315可表示财务应用、供水 安全系统应用或地铁管理应用。j^卜，资源类型通常可定义可以赋予权限的范围。4娥用户的條，可宽^k^狭窄地定义资源类型。例如，通tr将资源类型定:5W^输应用，或者可逸地，可将资源类型单独定义成航空逸输、地面33额夕卜赋替m，对于^"种资源类型，可才M^对应于例如层斷象327 的相M^Ult定50KFMl^F树象305。通常，层toj"象327可,iC^作定义可被 授予树艮的资源类型的结构的基础。也^l:说，层鋭冲象327可才^与用于为 资源类型定:W艮的应用数据相关的结构来定:5U5(i艮。例如，可#^位置和区 J^MU且织和构成与电话服^f理应用相关的电话信息和数据。因此，可根提电 话服K理应用指定的位置和区^t义以及分类来^0&良可i^fe^附加地， 层级可以表示用来为资源类型定:^艮的^^只结构。例如，层级对象327可以 ^M^只或公司内定义^^^^或g以及每个歸、J或^Mi之间的关系。在另一 个例子中，层级对象327可以为运输应用资源类型定义包Mi市、州、地区和 国家级别或节点在内的iik^乱国家节点可表示层级中的最宽鈔1^，接下 来是地区、州和城市。接下来由积f树象305定义的树艮可以应用于和/或关联 到^t层M^"。因此，与国家级别活动相关的ii^F艮可与层级中的国家级 别或节点相关联，而与州内公路it^目关的一个或多个权限可与层级中的州级 别相关耽[34才W-个或多个方面，可通it 'J^t象328来表示可赋予树艮的目标项的 列表。例如，可^L^"James作为管理/JWff务改时间条目"的相J^分解^ 目标项"时间条目，，Ji^^'修改"的动作。在另一^^子中，可创建指定"James 作为管3S/Jbit^改开支条目"的W艮。该树艮可分解錄目标项"开支条目"上 进幹'修改"的动作。才娥一个或多个实施方式，资源类型可与定义^F艮的目标 项的预定义ll^相关联。目标项^^可由列^t象328表示，而条^中的^ 项可^^为刺口列表项对象329之类的项目对象。在一^^J子中，财务应用可 包含多个目标项，例如每季》1^\_数据、财务预测信息、开支数^V或投f^己录， 这些目标项可定义一个或多个树艮。同样，用户在将树^^加到财务应用的时 候，可在目标项条^中选#^"个或多个与应用或应用类型(即，资源类型)相 关联的项目。可以将目标V列表项目和列表作为整^ii行添加、删除和/或修改。 可替m^附加地，列^/目标项目还可与层级中的一个或多^Nt定^U'J相关联。 也 _说，某个列^/目标项目的权限可局P^ij—个或多个指定的层^U5i[35可以^JD由资源属't树象326表示的资源属性来定:W艮与一个或多个其 M象之间的关联和关系。例如，可以对层级资源属'J^it行定义，从而在层级 中识别3械予权P艮的一^Nt定的节点或^^。同样，列表资源属性可以指定权 卩Mt应于的特定列表项。换句"^i兌，资源属性可以定，艮的范围(即，,舰属'酙目关联，这多个;源属性可被^^:定:oi—个资源属:齡。才娥资^:属性^^对象323可定:M^/或创建资源属性齡。资源属性H^i常涉及与单 独的权PK资源类型相关联的一组资源属性。同样，4M多个列表资源属'战 资源属性集合可将树艮与多个列表项或层级节点关自lt。在一种或多种配置 中，资源属性^^可增强资源属性的数据絲。136积J艮可以包^^如与;KF財目关的用户、用户角色^作4^类的细L^部分' 同样，可由动作对象310来^^/或表示动作。另一方面，角^t象320可用 于^织结构中定义用户角色，而用户对象325可用于^N应的组织中^^特 定的用户或雇员。在一种或多种例子中，每个由用户对象325所表示的用户可 与由角^t象320所表示的角M目关联。^M^型300中的每个对象，例如对象 305、 310、 315、 320、 323、 325、 326、 327、 328、 329和330， i^可以包^-" 个或多个引用^W象的数据字^l链接。例如，树树象305可包括引用与 用户对象325、资源类型对象315、角色对象320和规则对象330相关联的M 储在其中的信息的字段。数据字段可用于指定包括每个对象的识别信息在内的[37
图3A以;Sit^的附图中的箭头;^ie^示从一个数据对^^另一个数据 对象的链接。链接可以表^NI^在可以共享和/或引用相似的树艮信息的数据 对"间的关系信息。箭头才射己的方向可定义哪个对象是被引用的对象以及哪 个对象狄出引用的对象。例如，示出一^^鄉资源类型对象315链接到权 卩树象305。该链翻旨向树艮对象305。因此，^^接可以指示树艮对象305包括 一个或多个对由资源类型对象305^#^/或^#的数据的引用。类^^，用户-角色映射对象335可以引用和/或包括由用户对象325和角&叶象320，的数 据。这样的链接允"i^HHbM，J框架(即，权限管理系统)来定:^"应于特定权 限的多种数^V4sUB^部分之间的关联。-"feM兌，数据对象之间的^^接为与 树M目关的^t^41供了意义。38]图犯说明了^Mft含上将两个^F峰景^t到^2M^斤描述的数据鄉的各 个方面和特征的图。两个树l^景可与相同的资源类型(例如J^"采购应用类 型)或不同的资源类型相关联。图3B戶/f^W数据模型将树艮拆分成六个《誠 部分。在场景l中，^P艮允许Bill作为司^P (DoJ)的^l负责A^^Ml帧中 继器。将场景1的树艮分解^￡^:据模型的结构，"Bffl"可被识别和絲为用 户，"DoJ的^/负责人",i^^l户"Bm"扮演的角色。It^，可将剩絲权 卩!U^斤成包絲作对^r/或列表项对絲内的树附加对象。例如，"狄"可 解释为^jf艮中的动作，"帧中继器"可败:JU^艮的目标项。在一或多种配 置中，树!Ui可包括^J'J。細'j可表示用户和/或角色可以在怎游的糾下对资源^Mt^作或利用资源^i^作。在一个例子中，##可以约束用户Bm在早上6点至晚上6点之间扭行他的树k[391通过将^FIU^^Nfft^f虫立的^^部絲特性，逻^t据模型/絲结 构可以提^""个灵活且可扩展的管理系统，在添M应用和/或修改旧的应用 时，实施新的和/或经修改的树艮、资源类型以及角色。更进一步，4^1资源 属性来定50^F艮自动演变的不同^a^部分与^f艮的自我调节/重新定义之间的关 系。例如，可以通过将新的目标项添加到在与权PM目关联的资源属性中标识的列表，将由树树象定义的树赋予附加的目标项。因此，树Ml树M"象的手动重新定M重新编程不再是必需的'[40图3B的场景2描述了 Alice作为DoJ的副狄负责人(OA)， ^ 有浏 览^)数据的树艮。对于才M^U，滩^N^型的一个或多个配置来)^斤树艮， 可将用户定W'Alice"，挣'DoJ的副狄负责人"定:U 角色，#"浏览"定义 成动作，桥'狄数据"定义为列表项。^H^FIUE可确定^"如果用户是请求者的下级"之类的MJ'J。图38戶;^^#^模型 ^#^緣的一个#^，并不意 味是对4^^斤描述的特#情况的限制。例如，可以在图3B^^賴才練中添 加树艮的^t其它部^V或情况。[41回到图3A,对象305、 310、 315、 320和325可以^fW艮的一个或多个 属性，例如图3B所描述的内容。诸如用户-角色5jy^对象335和树IU动作錄 对象340之类的^W象也可以被实施iM^供用于鹏和管^f象之间的关联 的信息。作为例子，用户-角色^t对象335提供用户和角色之间的关棘因 而，如果4^1树艮管理系统的应用请求了和某个角M目关联的所有用户的列表，则可以访问一个或多个用户-角色ft^f对象335iMHr这样的信息。相合她，如 果应用请求了对应于某^作的所有树艮，则可^^树^动作^yt对象340来 提取信息。42为了更详细,迷数据模型，图4A4F将图3A中解释的对絲结构分组 成iH^U'J、层级、树艮、资源类型、用户和角色以;SJO!'J之类的功食辦类。 例如，图4A图75W兌明了与树艮管理系统中的;M'J功育M目关的多个对絲结构。 拟，J种类包括多个对象，所述多个对絲过向用户显示W门在高toiJ (即在应 用层)具有的^PIMU区动用户经历。换句^i兌，^ti^5U'附类的对^^数据结 构410、 402、 404、 408和409通过资源类型提供了对数据模型中为用户^W ^P艮信息的高级显示。这种树艮信息的高織示还可被^4^在i^^对象408之 类的^^立度树Mt象中。权利功能可由对象賴区动，所財象例如B用对象 402、资源类型-应用映射对象404、树 态对象406、粗fe^W艮对象408和 入口对象409。入口对象409定义了网络前端，用户可通过该网络前端访问用户 的一个或多个树|^斤关^^/或4#的应用。对不同的应用可以定义不同的入口 。 在一种或多种实施方式中，可以才娥一个或多个应用参lfo^相同应用的不同实 例定义不同的入口或网络前端。应用参数可以确定什么资源类型和/或树艮^:可 用的并可^皮^^^^用户。应用参数可包^N如可定:W艮的目标项以及用户可 以扭^亍的可用动作。才娥应用需要以及特性的不同，每个应用还可进一步与不 同的入口相关耽43jHW卜，应用对象402可以识别资源类型或资源类型对象所对应的特定应用。 另一方面，资源类型-应用^f对象可用于絲资源类型辆目应的应用之间的关 系。在一种或多种情况中，应用可关联多个资源类型。例如，特定的珊管理 应用可以对应地铁it^r资源类型、航空资源类型以M面运输资源类型。可选 地，应用可与同一资源类型的多个实例相关联。通过资源类型-应用映射对象404 可为对应于应用的资源类型的识别4^^f更利。为了'fel查找，映射对象404可 以，资源类型与一个或多个应用之间的关耽[44粗粒度树艮对象408定义了与应用或资源类型相关联的树艮的种类或总 和。例如，财务交易应用可以和i^tp"删除财^i己录的ID字段"、"添加财^i己 录"和,整预报"之类的细粒度树M目关联。在一些情况下，用^K^^斤有细粒度 树艮的"fetol链接来呈现用户接口或GUI会使用户信息过载。因此，粗 >权或类型的细津立yl^F艮。在上ii例子中，细粒度^F艮可与用于确定"修Wj^i己录" 选项是否在用户接口显示或以雞方式可用的^^立度树財目关联。因此，不是 处t种不同的权限，而是可以使用单个tt:度树艮来确定要呈SL^用户的选 项。树歐态对象410可以指定^^立度树艮是否对特^)户来^A可用的/活动 的，或者;i不可用的/不活动的。[451图4B解#^兌明了可包含多个与;^艮的^i^^表示相关的对^l^构的权 P树类。*地，树树象305务賭了与积跟的多个方面和纟1^部^目关的信 息^M接。例如，权限对象305可以包括用于识别与权限对象305戶/H饿的权 F^目对应的用户、角色和树艮类型的字段。树艮类型对象410可用于定义一个 或多个树艮类型，例如，用户和组类型树艮。树M象305还可与由一个或多 个资源属性糾象412定义的一个或多个资源属性集相关联。资源属性集可以 絲由资源属'財象414 4化的一个或多个资源属性。资源属性集还可用作緩 存机制，用来^A与树財目关联的属性以胁't^'l^:据的絲。 [46在一种或多种配置中，资源属'树象414可用来定义与树財目关联的特定 资源类型的一个或多个属性。资源属，)^^可定:W艮与诸如层级节点之类的另 一个对象之间的关系。^il种情况下，由资源属性定义的关系可以表示权限范 围中的层级节点所包含的内容。资源属'腿可以定义列絲目标项与^FH^间 的关系。特别是，资源属性可以确定树P斤管辖的列絲目标项。因此，可以 才娘与^F贿关系的对象(例如，资源属性、层级节点和/或列表项)的一个或 多^H务錄自动重新定:^调整树艮的范围。也tOi兌，不需要对树MU5LF艮 对^Ji行AX重新配置或重新定义。也可以定义雞的资源属性并与^FM目关47] jH^卜，由树w^t象416定义的树mr^可用于通ii^加具有指定特性 的层级节点和/或列表项来定:Ul修細艮的范围。在一种情况下，棒性可以包 括关系。换句话说，与i^节点或项目之间的关系和由权PMW确定的关系相 匹配的附加的层级节点或列表项可被添加到拟艮范围中。例如，树M8^:可用 于将权限分gei^层级节点和从属于该节点的所有节点。具体地，可以给用户一 ^H者如'所有子节点"的选项。在另一种仔中，权f^W^可向用户提^-Mst 项(例如，"所有列表")来将权PM^仅赋予特定的列表项，并JUm予同一列表中的絲项目。树MTO^项或快妙式可以使管理员无需选#^/4^予权 卩^ij层级中的每付节点。因此，数据模型可以4^I树W^象416来定义 和/或创建在明确授予的树咏一个或多个由快^r式确定的^F艮之间的关氣 在包括层级类型和节点类型的树MW中还可^^)其它特性类型。48才W""个或多个方面，；KPW^b许在添加新的层级节点或列表项的事 件中自动进^KF艮的自我调节。例如，參'所有子节点，，这样的树W^可以 自动^f添加的子节点与响应该添加的积跟关^^。 #^^， ^'所有列表" 权PW^4项，添加给与树M目关的新目标项可自动与权^M目关联。因此，使 用这样的权PWi系统，可以不需要对树Ml权限的^iB^部^^行人工重 新定:5UMi应新添加的^lt[49图4<:解#^明了与资源类型相关的对絲结构。如Ji^斤述，资源类型可 fct到可为^^OKP艮的应用类型。数据模型可^^I动作对象310来为资源类 型定义一个或多个可^J I的动作。例如，雇员管理应用可以包括与轮班^S&、 增加/开除雇员、修改工资對目关的命令。这样，可将上述动作中的^-个添加 到资源类型，而浙口出货或##这样的动作则不可以。j^卜，可才Wi^H^ 对象422这样的资源属'l^^t象来定义与特定资源类型相关的资源属性。资 源属'h4^L^给定的资源类型定5Ur性。因此，为给定的资源类型定:W艮可 能需要定:5^斤有由^1指定的属性。50在4或多种配置中，资源属'I^^L可以包括i^bf射己，该才斜6狄了属 性是否必须进行定义。资源属#*1也可以包括可授予才射己，该才射M旨定了是 否可以将权PH^綠资源属性。例如，在公共X^呈系统中，权PW食诚予对应 于州层级节点的属性，但可授予对应于城市层级节点的属性。这种配置可有效 地阻jhit宽的权限定义。； 1^￡可以提供关于^:据格式和#^式的《兌明。具 絲，^^t象422可指定一个或多个必需的字段、每个字段的最大数据大小、 数据类型和/或它们的组合。通过资源属'I^UE可定义鈔父节点和子节点之 类的资源属性之间的关系。[51图4D中解^i兌明了实,鄉列表的数据对絲结构。列絲常与对象、 目标项和/或^M言息的^"有关。另一方面，层Mit常涉财象、数^V或其 M息的^，其中才娥一个或多^^;W"信息进行归类或排列。层#列表 可相对独立使用，或者可i4^，可组^f吏用。例如，层级的不同^J'J可与可用项目的不同列勤目关联。因此，可以允许第一层M次的树^项目的一个不同列表中辦。更进一步，节点分类对象436可用于区分层级节点和列表节点。 jth^卜，还可由相应于节点类型对象438的节点类型来定U^V或列表中的节 点。例如，；Hk^3S层级(如国家、州、城市)中的节点可具有M类型节点。类 似地，也可以通过相应于层级类型对象432的类型变量(例如 Hierarchy_iype_ID) iMt征^^亂可通it^户来定U级类型，层级类型可 包括地理层级、安全层级、位置层级等。还可以通it^级确定变量(例如 Hierarchy—ID)[52图4E对用户和角色图进行了说明，该图示出了用于^F艮管理系统中实 WtV或支^^F艮的用户和角色成賴;L^对絲结构320、 325、 335、 452、 454、 456。用户对象325可以員包括用户识别符、；HkAt信息、电^"^lt据、电子 邮斧ft息等在内的^ft字艮4W由用户类型对象452和用户状态对象454分 别定义的用户类型和用户状态，还可对用户对象325进##征化。用户状态的 #^包括活动用户、非活动用户、删除的用户，而用户类型的举例可包括内部 和夕MP用户类型。^F艮管理系^i可包^NP用户扮演对象456之类的用户扮 演对象来允许第一用户扮演第二用户。^^一个或多*降，第一用户可继承 第二用户的一个或多个^艮。因此，用户扮演对象456可M包含第一用户识 别符(例如UserJD)和第二用户伊J5'J符(例如User_Impersonation_ID)在内 的数据，其中第二用户识别符用来识别继承第一用户的用户(即，在第一用户 的4t^l下扮演)。用户扮演对象456还可包括有效日期和^Uh日期来定义有^M 承的周期。[53如上所述，用户和角色还可通过用户角色-映射对象335定义的用户角色 ftW来链接。用户角色-ftM^对象335存^t用户和特定角色之间的对应和关联。 因此，如果用户Liz^ialK中扮演人力资源经理，树艮管理系统可^^I用户-角 色映射对象335将用户Liz与人力资源经理角^目关联。如角色对象320这样 的角色对象包括^#信息的字段，所絲的信息iJN^是角^、角色描錄截 止曰期。如同用户扮演和角色，用户-角色关^i也可以包括氣Ji曰期和/或有效曰 期辆保该关联不纽期。[54图4F解释了包括规则对象330、规则类型对象462和树,'j^t对象 464在内的^F,'J图。細'j对象330可定义一个或多^WJ或餅来限制权限。例如，财^y^务 W艮可取决于日期时间和^^免l^。因此可将日期时间M定义为限制财^ii^^W艮的^J!'J。 ^^^F,'JftMt对象464可将 权p^^y'j相关联。在一种或多种配置中，可以对一个^F艮定义多^HiyH。规 则可^ft在列表中作为列表项。还可通im则类型对象462定义的一个或多个 ，'j类型对多^0!'j进行归类和分类。MJ'J类型可^，例如，有效日期范围、 有效时间范围、大于/小于日期、数字范围、列表项条阵、值列表务降、大于/ 小于##^^^匹配。55jH^卜，才w"^t或多种情况，^4t树,，J的^h古，树艮可对用户或角色 有效。例如，权P,'J可以M^i户树艮的有效絲于是否将用户指^7第一 部门的角色。这种树艮可用于定购图书或一些，项目。因此，如果用户角色 妙，对图书进行狄的用户^f艮将U效的。换句"^兌，用户权PML^了。 才^t^P,'J，用户积J艮是动态且自调节的'[56]图5A-E解^i兌明了才娥;M^斤描述的构ii^^型的树情况的树艮创建 和定义。例如，在图5A中，可4M层级对象501、层级类型对象504、节点分 类对象515、节点类型对象5U、列表对象513、列表项对象514和层级节点对 象507来创建层级。层级对象501可定义具有fflerarchyJD为1000以及 ffierarchy—iype一ID为1000的层l fflerarchy_iype_ID可以识别和/或对应于 ^i己类型对象504定义的iife^级类型。彭卜，层级可与相应于层级的M级 别或成分的多个层级节点507a、 507b和507c相关耽*节点507a、 507b和 507c同样可由节点类型对象5U定义的一个或多个节点类型进##征化。每个 节点507a、 507b和507c还可指定^1I^M只别层级中节点所属或分配的级 别。例如，节点类型对象511可定义#星体、国家、州、城市和坐标方R 类的节点类型。因此可##个节点507a、 507b和507c识别为节点类型中的一 种。例如，节点507a对应于星体节点类型(用NodeJiypeJD字段和^1^示)， 而节点507b对应于国家节点类型。[57层级节点还可以包^H口节^^称、双亲层级节点id辆艮部层级节点id 之类的字段。双亲层级节点id可用于定:^&级中节点间的关系。因此，在一种 或多种情况中，可将层级节点507a定:5U^:级节点507b的双亲层级节点。每 个节点507a、 507b和507c还可以在root—hierarchy—node—ID中指^Jr糾艮节 点。通过指定由节点分类对象515定义的节点分类id或值可将节点识别为列表节点M级节点。在一种或多种配置中，节点类型可与列M象513以WiJ表 项对象514定义的由树艮应用的列表项的列勤目关礼在一个例子中，列表可 包^Ha电子网格、7j^网格和it^网^L类列表项。[58图56解#^兌明了资源类型以及与其关联的资源属'^ 的定义。资源类型对象519可定义iH^共x^呈系^:类的特定资源类型。资源类型对象519还可识别一个或多个用于^^只相应于资源类型的^P艮的^^I和/或应用的关M 良资源类型还可^f线资源属'I^L^象523定义的一个或多个属'N^J^定 义需要的属性。这种#^可定义必须为与资源类型相关联的权限定义的属性列 表。；^L可^^I^^斤描述的无效字"^M旨定需要以及不需辨峰属性。每个^^也可以识别双亲资源备1^M^特征化资源属性之间的关系。才娥一种或多种情况，才緣资源属'l^^象523中的ResourceJiypeJD字段，资源羼性 ^!可与特定的资源类型相关联。59图5C解释说明了分别由用户对象527、角&寸象531和用户-角色映射对 象535定义的用户、角色、用户-角色,。每个角&寸象531和用户对象527 可分别定义一个或多个角色和用户。例如，在图5C中，用户对象527定义两个用户，射己一个用户id为iooi，舶己另一个用户id为i002。角色可以指;Ua织中的用户角色或者Md^斤^a的特定角色。角M"象531定义公共x^呈系 统角色与公共x^呈系^目对应的任务相关联(而不是，例如自来水x^iiut^xa系统)。用户-角色RjMt对象535可用于将用户和角M目关联。例如，用户-角色^)Mt对象535可定^U目应于用户id 1001的用户与公共X^呈系统角色之间的 关联性。601在图5D中，可才娥角色定細艮。也^!Ui兑，将树艮射條角色(例如， 由角^J"象552定义的/厶共X^系统角色)，所述角色可以射己一个或多个用户。 树艮可^f^树艮对象554并与动作、树艮类型和/或资源属性集相对应。动作 对象541可定义和^^^务#浏览之类的动作，而树艮类型对象545可定 :M^，包括用户和角^内的树艮类型。树艮动作ftyt对象560可定:M^/或 ^ 作与树艮之间的关联性。与树艮类型对象554制定的角色(即，role—id 1000确定的角色)相关联的用户允许Wt定义的动作。；W艮动作,的^^1进 一步允许对与树M目关联的动作的自动重新定:M^或重新配置，而无需对树艮 的参数进行人工或特定的修改。ort^卜，资源属'f^象549可用于对^F艮或资源类型进##征化。例如，资源属'树象549可^ft用于指;t^级节点配置的属 性。特别是，通过将树艮与相应的资源属'1^目关联，可将树艮与层级节点或级别相关耽jrt^卜，树R^向M^tt^J"象558可用于定义细Wy5U^^a^度权Pll之间的对应，其中细粒度;W艮是由相/Mt象554来定义的。可以对^个与^a^立度树Mt象554可以为每个与特定角^目关联的用户(用户1001和1002) M两^W立度树艮。如上所述，i^立度权限可表示宽泛的描iiil细粒度树艮 的分类。特别是，可以从动作和类别列表项中提^F艮，或将树艮归类到其中。 例如，可以为具有iH^浏财音乐部门的订单"、"浏财絲部门的订单"以 及"浏财计^lis门的订单"之类的多个树艮的用户定义妙'浏览订单"之类的^a^立度权限。因此，^a^立度树艮"浏览订单"可以将用户链接到对应于不同部 门的独立浏览订单树艮。在另一^h^子中，与添加、删除以及修订列表项相关 的树艮可以归入"修改"^i^立度权限中。在另一个例子中，刺口回顾、打印g 存之类的细粒度树艮可归类到"浏览，v^立度树艮中。[61图5E解^^兌明了基于^^立度树树象562的^L^1树艮定义。尤其是粗 粒度树树象562定义两^Na^立度;kP艮，即^lS^树艮id 1000和1001。树狄 态对象566可用于描^W^W艮的状态。在一^^'J子中，^P狄态该可包括 活动的和非活动的。另一方面，资源类型应用映射对象570可定义资源类型和 应用之间的关^1性。这种关联性允许用户或树艮管3^浏览和/或确定与特^ 用相关联的资源类型以;5W艮，反之亦然。例如，资源类型应用映射对象570 可^"公共X^呈系统资源类型(即，资源类型id 1000 )与公共X^呈系统应用(即， 资源类型id l)之间的对应。在一^t或多种S&置中，同样定5UI于创賴户接 口从而^i4^F艮访问的入口。例如，入口可用于向用户显示与多个不同应用相 关的可利用的相粒度树l可使用入口对象574来定:5C^口 。 [62图6A-6D解释说明了树艮定义的另一个例子。然而，与图5A-5E相比， 图6A-6D的树艮定:JU^于用户，而不A^于角色。特别地，图6<:解#^兌明 了基于由用户对象605和用户状态对象610定义的用户来创建树艮，而图6D则 解释说明了相粒度树艮的定义。通过用户对象可以定义和/或^ft用户，并JIii 可以通过诸如激活、待决和/或净妙'Jfi^t样的用户状态;jM^述用户。因此，树艮 对象615可以确定与用户对象605相对应的用户，而不是确定角色。勒以地，树议向^f匕对象620可以##用户，而不是角色，将^a^JL^f艮与细粒度树M目关联。因此，如图6A-6D,WI^的，粗泮i^树艮对象625可以为树M" 象615确定的一个用户(即与userjd 1000相关联的用户)仅创建一4*^度 树艮定义。与图5D和5E相比，由于图6A-6D中所描述的树H^是根提围绕一 个以上用户的角色所定义的，因此可以为一个用户M义一^H^立度树艮。图 6A解^i兌明了层鄉列表的定义，而图66解#^兑明了资源类型的定义。可以 釆用与基于角色的树IUL^相同的方式为基于用户的积跟创建和/或定:5C&级、 列絲资源类型。[63^^J一个或多个包括历^A格对象、^^记^ii^对象以及资源输A^t 綠内的维护对象可进一步支#^/或管^^>斤描述的数据对象、结构財法。 图7A解释说明了可用于iiJt^i己录与一个或多个^t^目关的特定^K例 如,角色历史705可用于鹏与特定角色或角M^目关的动作和/或状,統息。 勤W^，资源类型历史对象710可^#历史数据，该数据与对特定资源类型或 资源类型对fii糊修W目关。她历史对象可包細艮历史对象715、用户历 史对象720 g作历史对象725。可响应触发或预定义的MJO'J来记录^HMt 息。例如，资源类型历史对象710可响应^r测对资源类型的^^M^加条目。 用户可以检索表格和历史对象705、 710、 715、 720中的^r-个来审计或分才树 她系鉞树的 。[64图7B解#^兑明了 ；i^t淑日志记紗活动iii^对象。每^N^日志记录 和活动追踪记^t象与^t不同类型的日志相关。例如，应用异常日志对象730 可用于^f^J应应用命4^V或请求而产生的异常'另一方面，FTP输出日志对 象735可用于^iL识别^KF艮管理系统的ftp输出活动的日志。仍旧是在另一个 例子中，资源输入^日志对象740可用于^^在特定资源类型输出时iiJ'J的 错误。；^域的技术人员将意识到^^I这些对象可以ii^各种活动和错误，并 且可添加M日志ijUl^宗^^^活动。j^卜，日志记^^活动iUt对象730、 735和740可响应在系统内定义的M、预定5UJU!，J和/或^K [65图7C图^i兌明了用于维护系统内^^和/或絲的树类型数据的主列表 的资源输A^f象。例如，输A^级对象747可^^与一个或多个层^目关并在 权P艮管理系统中表示的数据。类々她，输入动作对象可与系统定义的动作表格 或列勤目一致。在一种或多种配置中，主列;M^/或表格可被用作用于在ETL处理过程中验"ii^TA^:件的控制列表。另一方面，为了确定树艮将要进行的改变，可4W。输入产品对象745之类的输入产品表格或对象用于目标项和/i^ 级的i^/Nj'J表。例如，如果新的目标项被添加到应用或资源类型，可通it3iT入产品主列表以及将主列表与树艮管理系统中^^1的当前列^Ji行》b^,从而确定这些新的目标项。才娥一个或多个确定的差别，对一个或多个与有^5LFM目 关联的项目列^Ji行更新(例如,从列表中添加或删除项目)。输入动作对象750 可以为更新g测与应用或资源类型相关联的动作的 提供相似的功能。此 夕卜，可以^"拟艮的 进^^舰，并将其记^J'J树峰量输出文件。可将该文 件;^iH^应用，或者;i管理员或用户可以利用该文件，[66上^护对象中的^个^T用于包^辑^I检查在内的^t目的。 这些对象也可用于将数据^Ail^图4A4E中所)1 #的那些对^^类的一个或 多个^Wt象。W卜，还可在值的前后^ftJiii^护对象中的一个或多个，从 而^^l户可以^f预试功能。例如，ilh^在图7B中戶;f^糊那些ii^对象可用 于记^，的输入数据而对一个或多个权PIUi行的^。可将这些改变， 到增量输出文件(例如^#在先前的4小时内jgjt变化的树艮的文件)。接着可 将文^f^l^-"个或多个相关应用。[67图8解#^兌明了用于^P艮管理系统中^mF艮的方法。可^^相关的权 限信息，通过用户和/或由管理系统自动对树IUi行定义。可i^k^附加地，可 通过网络服务器和/或管理控制台用户接口iM^加树艮。例如，在步骤800，可 通ii^P艮管理系^^收添加权限的请求。例如，可以通过网络服务网关从用户 那里^L请求，例如网关220 (图2)。才M^亥请求，在步骤805中可提Wl确 定一种或多种信息类型。各种信息类型包括列表项信息、动作信息、用户数據、 角色数据、层级信息等。[68在步骤810中，可创建新的;^树象^Wf的树艮并建立糾属性与权 卩M目对应的数据对象之间的关联。在步骤815中，例如，iH^作对^角色 对象之类的对象可与树树斜目关联。对象之间的连接可以根据对象之间的依 赖性以及关系和/或其中^fW数据来建立。在一个或多个实施方式中，可将关 系和连接定线资源属'树象中^W源属性。[69在步骤816中，系统可确定在层级中树M皮关联的位置。该确定可通朋 户输Ail才Mt默认的层^^进行。在步骤817中，系统可确定用户是否希望定义一个树mw。用户可指定用于识别树w斤关联的一个或多个附加的或其 他的层级节点或列表项的关系或描述。例如，如果用户选幹'所有子节点"树艮^i^项，系统可iP^—个或多个作为子节点级别的节点或不走816中确定的 节点。如^^择了树Ma^，在步骤818中树HM^可与树M目关耽射卜， 在步骤819中，可以确定一个或多个与^FW^斤指定的描逸氛关系相匹配的 节点或项目。[70在步骤820中，可以为^f^斤应用的每个层级节点确定相应的资源属性。 这些节点可包括明确的用户选择节点和/或通ittiW^不明显选择的节点。在 步骤825,可以为树P斤应用的列表项确定相应的资源属性。例如，^F艮可允许 用户去浏览不同类型的数据。这样，那些不同类型数据中的萄^"种都可以由资 源属性;j^JUf与树M目关联。j^卜，用户可明确选择或不明^kitit^fil^ ^i^择列表项，在步骤830，可在资源属性集中链接、^^或关联与树M目应的 资源属性。在步骤835中，系统可确^j^否对一种或多种树,'J进行了定义 或创建。如果是这样，在步骤840中可将树,'J与树M目关联。在一种或多 种配置中，可将树,'j射ei^"个或多个与权PM目关联的节点。通it^:5U5L 限应用需要符合或可由用户使用的特定条降，权FMC则可以限制权限。在一种 或多种情况下，树树用户是否有效M于应用到权P,'j的用户特征(例如 角色)。例如，树,，j可指定在早六点至晚六点之间可,电"^丁单。在另一 个例子中，用于定制财务报争的树艮可取决于用户是否具有管理角色。这样， 如果用户的角色改变，对"i亥用户来i兌，，;W具有可以定制财^艮告的树艮。 在步骤845，属'赋属性集还可以与树M目关联，从而描柳艮的一个或多个参 数(例如，层M^U，J和/或目标列表项)。71才W^种或多种情况，可以为管S^或用户M^4格对象、错误日志记 絲iii^对象、和/或资源输4象中絲数据进而重新浏览和/或分析。为了调 。和/或功能，也可以从一个或多日志记^il^对象中提取日志。历^4格对象、躲日志记絲it^对象以及资源输A^^ft的信息和 It据可以创lfc^t接口和功能。[72^^本^^斤描述的特#情况，应用可以从中心拟艮管理系统中获得树艮信息。才娥一种或多种配置，中心树艮管理系统可以做出批量输出，该批量输 出将与一个或多个^j^目关的信息^^到单独的文件或数据结构中。可4捐各种工具^M^供这种批量输出，包括基于解决方案的XML。然后应用就可以)§!# 该输出文件来确定相关的树IL^信息。[73此外，^^本i^斤描述的方面和特征增强了树艮管理系统中的灵活'脉可扩展性。特别是，基于对树IM^型的其它部分或对^ii糊修^il改变，可 以自动重新定:UlFIM^型的各部分或对象。例如，妙'所有子节点"这样的权 PMa^可以用来响应对层M构的修改(例如添加子节点)来自动重新定:M目 应树艮的范围。在另一个例子中，与积J^目关联的资源属性集合中的资源属性 可以确定权FP斤应用的特定项目列表。因此，通it^加新的项目到列表中，可 自动将树艮应用到新的项目中。jW^卜，除了列表"卜，不需要对内^i^行手动 重新配置或修改。[74jH^卜，在一种或多种配置中，可以4w^层级、资源类型、应用等这样的 新对^J^加到树艮管理系统，而无需增加或修改系统中的程序设计。也^1说， 无需新的^H殳it^t可以添加新的资源类型和新的应用。因此，可以通过生成 新的对^fN以^新的对^f^定义一个或多个WUM，J建对象。这些械 可包括名称、识别号码或代码、和/或对应于一个或多*对#^斤关联的对象的[75#^本发明的>^^示范实施方式￡^本发明进行了描述。4^域的"fit 技权员通it^Ml揭露内容的回顾将发餘附加^，J要求的范围^ft中的许 多其它实财式、修妙变化。
权利要求
1. 一种存储用于管理与资源类型相对应的权限的数据基础结构的计算机可读介质，该数据基础结构包括层级对象，用于定义与资源类型相关联的层级结构，其中所述资源类型对应于被赋予权限的一个或多个应用，并且其中所述层级结构包括层级节点；层级节点对象，被配置为存储层级节点；以及资源属性集对象，用于存储一个或多个资源属性的集合，其中所述一个或多个属性包括层级属性和列表项属性中的至少一个，其中，根据所述一个或多个资源属性来定义权限范围；以及其中，响应于所述基础结构的组成部分被修改，自动对权限范围进行重新定义。
2、 根据权利要求1的计^4几可读介质，其中通过修改与层级节.多对象的一个或多个械相关联的数据来配i^级节点对象。
3、 根据权利要求2的计算机可读介质，其中所^级节点对^旨U级节 点在层级中所属的的^U5'J。
4、 根据权利要求1的计算机可读介质，其中所述数据基础结构还包括員 树艮动作映射的树艮动作^fct对象，其中所i^限动作^4t确定与树糾目对应 的一个或多个动作。
5、 根据权利要求l的计算机可读介质，其中所i^li^l结构的组成部分包括 所it^赠构、所述一个或多个资源属性的齡以及项目列表中的至少一个。
6、 根据权利要求l的计算机可读介质，其中所述数据基础结构还包括， 树MW的树MWt象，其中该树M^^娥指定的特性确定^J^予拟艮的 一个或多个附加层级节点。
7、 根据权利要求6的计^^可读介质，其中该指定的特性包括层级节点关系。
8、 根据权利要求7的计算机可读介质，其中所述节点关系包括子节点。
9、 根据权利要求l的计算机可读介质，其中所述数据^54结构还包括为准 予树艮而定:5U^M)y!，J的树,，J对象。
10、 根据权利要求l的计^bL可读介质，其中用户的树沐效'Ii^于根据^F,'J对用户的一个或多W争性的译f古。
11、 一种^ft用于管,艮的数据模型的计算机可读介质，该数据模型包拾^FMt象，用于^ft与资源类型相对应的^J^; 层斷象，用于^^具有层级节点的层赠构，其中#^资源类型定义该 层赠构；列M象，用于务賭目标项列表，其中从目标项列表选#1 予树艮的目标项；;^W^f象，用于^#指定特性的树^ ，其中4娥该指定的特性来H^i^f艮的范围。
12、 ;fM^5U，澳求11的计#^几可读介质，其中所述指定的特性包括列表项 关系和层级节点关系中的至少一个。
13、 根据W，J^求12的计算机可读介质，其中将与选择的目标项之间的关 系与所述列表项关系相匹配的附加的目标项添加到所ii^F艮范围中。
14、 ^^5U，j要求12的计算机可读介质，其中将与所^级节点之间的关 系与所^级节点关系相匹配的附加的层级节点添加到所i^艮范围中。
15、 才N^5U'J^求U的计#^几可读介质，其中所述指定的特性是目标项列 表中的成员 。
16、 才l^^5Ui^"求15的计算机可读介质，其中当新的目标项添加到目标项 列表时，用该新的目标项自动更新所i^F艮范围。
17、 一种賴数据模型的计胁可读介质，该数据微包括 层m象，用于定义与资源类型相关联的层赠构，其中该层赠构包括一个或多个层级节点；^^P艮的树树象，其中树艮至少絲于用户絲于角色中的一种； 资源属性糾象，用于^ft一个或多个资源属性的齡，其中所述一个或多个属性包括层域'^^列表项属性中的至少一个，并且其中才娘所述一个或多个属'N^定:W艮的范围；以及;KF,'j对象，用于定义准予树艮范围的树,'h
18、 才M^5U，J^求l7的计算机可读介质，其中树,'j对应于一种或多种 权P,'J类型，该一种或多种树,，j包括日期范围、时间范围、小于日期、数字范围、列表项M、值列表、大于准予^H^^匹配中的至少一种。
19、 才N^5U'澳求17的计算机可读介质，其中响应层级结构的改变，自动重新定細艮范围。
20、 才M^M，J^求17的计^f几可读介质，其中响应一个或多个用户特性的 自动^^UH户的^F^"效性。
全文摘要
提供了一种在多个应用和/或数据库之间管理权限信息的方法和系统。可以实施灵活且可扩展的企业权利框架来存储和管理各种类型的权限、访问权和资源。企业权利框架可包括用于存储权限的各个组成部分和/或方面的各种数据对象和结构。数据对象可以包括资源类型对象、用户对象、角色对象、动作对象、资源属性对象、列表项对象和/或层级对象。为一个具体权限定义的数据对象还可以根据一个或多个对象之间的关系被链接起来。通过定义与新应用的权限结构兼容的新对象，企业权利框架可扩展使用新的应用。
文档编号G06F17/30GK101256605SQ200710185730
公开日2008年9月3日 申请日期2007年8月30日 优先权日2006年8月31日
发明者A·A·摩塔, M·R·谢伊, S·A·阿尔菲里 申请人:埃森哲环球服务有限公司