权利的管理和应用的制作方法

专利名称：权利的管理和应用的制作方法
权利的管理和应用
背景
权利描述能够对在给定应用程序或系统上的给定身份启用或禁用的能力。 通常基于业务流程而被授予各身份。例如，如果经理批准则可以将电子邮件帐 户给予每个全职员工。在该示例中，如果该员工具有全职的状态，则电子邮件 通知将被发送到经理以备批准。 一旦接收到经理批准，就可以为该员工创建电 子邮件帐户。
在典型的供应应用程序中，与业务流程一起内联地应用权利。如果将权利 直接应用于应用程序，则需要业务流程的执行者具有对正对其应用权利的应用 程序的许可。此外，取决于诸如网络通信量和系统负荷等因素，在应用程序上 启用权利可能是昂贵的。不同的业务流程也可以应用相同的权利。在这种情况 下，系统可能以对该应用程序的冗余调用而告终。此外，系统可以按不一致的 方式来将权利应用于应用程序。
概述
下面提供本发明的简化的概要以便为读者提供基本的理解。本概要不是本 发明的详尽概观，并且既不标识本发明的关键/决定性要素也不描绘本发明的范 围。其唯一目的是以简化形式提供在此公开一些概念作为稍后提供的更详细描 述的序言。
此处所描述的是涉及用于管理和应用权利的各种方法和系统的各种技术 和方法。根据所描述的技术的一个实现，身份集成服务器集中地管理与对应于 多个身份的权利相关联的数据。该集成服务器可以选择多个工作流中的一个。 选择将在工作流中使用的多个权利中的一个或多个，并且选择该工作流所适用 的一组身份。做出关于该工作流是否应该在该身份上运行的判断。如果是，则 启动该工作流。该一个或多个权利然后被添加到授予的权利列表。然后，可以 启动将该一个或多个权利应用于该一个或多个身份的独立过程。
在所描述的技术的另一个实现中，集成服务器接收将权利授予身份的请 求。该集成服务器确定该权利是否已经存在。如果是，则不必做任何事。如果 不是，则可以授予该权利。可以启动将该权利应用于该身份的另一个过程。
许多附带特征将随着参考下面的详细描述并结合附图进行理解而得到更 好的认识。


从结合附图的下列详细描述中将更好地理解本说明书，在附图中 图1是示出用于管理和应用权利的示例性系统的框图。
图2是示出用于选择权利并将其应用于所选身份的示例性过程的流程图。
图3是示出用于在请求时将权利应用于身份的示例性过程的流程图。
图4是示出用于管理权利的示例性用户界面的屏幕截图。
图5是示出用于定义身份规则的示例性用户界面的屏幕截图。
图6是示出用于定义工作流的示例性用户界面的屏幕截图。
图7示出了在其中可以实现本发明的某些方面的示例性计算环境。
相同的标号用于指示附图中相同的部分。
详细描述
下面结合附图提供的详细描述旨在作为对本示例的描述，而非表示用于解 释或利用本示例的唯一形式。该描述阐述本示例的功能以及用于构造和操作本
示例的步骤序列。然而，相同或等价的功能与序列可由不同的示例来完成。
图1是示出用于管理和应用权利的示例性系统100的框图。权利描述了能 够对给定用户和应用程序启用或禁用的能力。权利的示例包括但不限于诸如用 户帐户、电子邮件帐户等帐户、或邮箱、或诸如远程系统访问或对共享站点的 访问等访问权限。可以基于业务流程或工作流来授予或撤销。例如，可以在员
工的经理批准帐户后将电子邮件帐户授予员工。
在系统100中，业务流程是与权利的应用分离的。在系统100中全局地定 义权利。每个权利都具有唯一标识符(ID)。权利ID对应于描述如何对应用 程序启用或禁用权利的权利定义。权利ID和定义可被存储在数据存储110中。
定义用于批准权利的授予或用于撤销权利的业务流程或工作流的业务规则可
被存储在数据存储112中。
系统100包括集中地管理权利的应用的身份集成服务器102。诸如114或 116等一个或多个目录通过诸如104或106等相应的管理代理被耦合到身份集 成服务器102。身份集成服务器102维护存储元空间(metaverse)对象的数据 存储108。每个元空间对象都可以具有与由系统100管理的身份相关联的数据。 例如，公司可以维护与其员工相关联的元空间对象。身份的其他示例包括但不 限于用户、组、组织角色、应用程序、或系统。
每个元空间对象可以具有授予的权利列表(GEL)以及当前权利列表 (CEL)。授予的权利列表是根据业务规则元空间对象应具有的权利的列表。 授予的权利列表上的条目可包括但不限于对权利定义的引用、对创建该条目的 进程的引用、和/或诸如添加或移除权利等要完成的操作。当前权利列表是基于 在身份集成服务器中配置的权利定义元空间对象当前所具有的权利的列表。
当对由系统100管理的身份添加或移除权利时，添加或移除权利的请求可 被发送到身份集成服务器102。确定并启动与授予或撤销权利相关联的业务流 程或工作流。当完成该业务流程或工作流时，可以在与身份相关联的元空间对 象的授予的权利列表上设置权利的引用。 一旦完成业务流程或工作流，就可以 启动通过管理代理连接器空间将权利应用于正确连接的目录的独立过程。因为 权利的应用是与业务流程分离的，所以业务流程不必知道如何定义和应用权 利。系统可以批量处理权利请求。此外，可以并行执行业务流程的评估以及权 利引用的应用。
图2-3是示出用于应用权利的各示例性过程的流程图。虽然可以参考其他 附图来做出对图2-3的描述，但应理解，图2-3所示出的各示例性过程并不旨 在限于与任何特定的一张或多张附图的系统或其他内容相关联。另外还应理 解，尽管图2-3的各示例性过程指示操作执行的特定次序，但在一个或多个替 换实现中可以按不同的次序来对这些操作进行排序。此外，图2-3的各示例性 过程中所示出的某些步骤和数据可能是不必要的并且可以在某些实现中省略。 最后，虽然图2-3的各示例性过程包含多个离散的步骤，但应认识到，在某些 实施例中这些操作中的某一些可被组合并同时执行。
图2是示出用于选择权利并将其应用于所选身份的示例性过程的流程图。 在210处，选择工作流。在220处，选择将在工作流中使用的多个权利中的一 个或多个。在230处，选择该工作流所适用的一组身份。在240处，做出关于 该工作流是否应该在该身份上运行的判断。如果不是，则在280处，该过程可 以完成。如果是，则在250处，启动该工作流。在260处，该一个或多个权利 被添加到在其上运行该工作流的身份的GEL。如果存在该工作流的批准过程， 则在权利的应用之前启动该过程。然后，在270处，选择下一个工作流并且该 过程从步骤220处重复。
图3是示出用于在请求时应用权利的示例性过程的流程图。在310处，接 收将权利授予身份的请求。该身份可以与存储的元空间对象相关联。在320处， 做出关于所请求的权利是否已经存在的判断。如果所请求的权利已经存在，则 在350处，该过程可以完成。如果所请求的权利不存在，则在330处，授予所 请求的权利。然后在340处，可以启动将所请求的权利应用于该身份的过程。
可以对撤销权利的请求执行类似的过程。如果该权利不存在，则不必做任 何事。如果该权利确实存在，则撤销该权利。
图4是示出用于管理权利的示例性用户界面400的屏幕截图。该界面包括 如402处所示的身份规则、诸如404处所示的工作流、以及诸如406处所示的 权利的标识和管理。身份规则定义用于标识为应用由身份集成服务器管理的一 个或多个权利所选的多个身份中的一个或多个的准则。例如，身份规则可指定 诸如全职员工、工程部门的员工、和/或在8号楼工作的员工的准则。
每条身份规则都可具有与之相关联的优先级。例如，在工程部门工作可以 具有比成为全职员工更高的优先级。可以使用优先级指示符来根据身份规则解 决对于各身份组所批准的权利之间的冲突。例如，假设成为全职员工将电子邮 件帐户授权给你，但是没有远程系统访问。假设在工程部门将远程系统访问授 权给你。如果员工是全职的并且在工程部门，则在执行相应工作流之后，该员 工可具有包含因成为全职员工而获得的权利(诸如电子邮件帐户等，而没有远 程系统访问)以及因在工程部门而获得的权利(诸如远程系统访问)的授予的 权利列表。因为在工程部门具有比成为全职员工更高的优先级，所以给予该员 工电子邮件帐户和远程系统访问。假设同一员工然后转到了人力资源部门并且
假设在人力资源部门不具有与之相关联的任何额外的权利。贝lj，该员工将只具 有电子邮件帐户并且将不再具有远程系统访问。以此方式，管理员可以为基础 身份规则设置标准权利集并且将更特定权利授予特定身份规则。
工作流定义定义了将一个或多个权利授予所选身份要遵循的业务流程。例 如，工作流可包括将电子邮件发送给经理或呼叫管理员。或者，公司的业务规 则可以是使得身份规则已足够并因此在工作流中不需要额外的批准。例如，可 以将电子邮件帐户给予所有全职员工。因此，如果员工的状态是全职的，则工 作流会将电子邮件帐户给予该员工。
权利定义描述如何对应用程序启用或禁用权利。权利定义包括断言和流程 规则。断言是由身份集成服务器用来标识权利的准则。使用断言来匹配对象权 利。断言可用于确定在连接器空间中是否已经存在对象。如果对象不存在，则 可以在连接器中创建对象。对于属性权利，使用断言来确定属性是否已经存在 并且填充当前权利列表。使用流程规则来填充权利的属性。对象权利可具有初 始化和永久流程规则，而属性权利只可具有永久流程规则。此外，属性权利可
具有依赖对象，该依赖对象具有该属性权利所依赖的对象权利的ID。例如， 作为对象权利的现用目录(AD)权利可具有断言PrimaryObjectClassyuser"、 初始化流程规则Password= "foobar"、以及永久流程规贝U{DisplayName}= Metaverse.DisplayName 、 Primary ObjectClass = "user"、以及Dn = {DisplayName} + ou=Users、 dc=Redmond、 dc=Microsoft、 dc=com。作为属性权利的远程访问 系统(RAS)权利可具有依赖对象AD用户权利的ID、断言RAS: "true"、 以及永久流程规则RAS = "true"。
图5是示出用于定义身份规则的示例性用户界面500的屏幕截图。身份规 则定义用于标识为应用由身份集成服务器管理的一个或多个权利所选的多个 身份中的一个或多个的准则。在该示例中，身份规则502定义具有属性员工状 态等于全职员工(FTE)的一组身份。因此，该身份规则所涉及的该组身份是 公司的全职员工。
图6是示出用于定义工作流的示例性用户界面600的屏幕截图。工作流定 义定义了对于所选身份授予或撤销所选权利要遵循的业务流程。在该示例中， 工作流602定义业务流程中的各步骤，包括将电子邮件发送给经理。在已经执
行了在该示例业务流程中的各步骤之后，批准或不批准权利。如果对于该身份 批准了该权利，则可以启动将该权利应用于该身份的独立过程。
图7示出了在其中可以实现本发明的某些方面的示例性计算环境。应该理 解，计算环境700只是在其中可以利用此处所描述的各种技术的合适的计算环 境的一个示例，并且并非对此处所描述各种技术的使用范围或功能提出任何限 制。计算环境700也不应被解释为必定需要此处所示出的所有组件。
此处所描述的各种技术可以用众多其它通用或专用计算系统环境或配置 来操作。适用于此处所描述的各种技术的公知的计算系统、环境和/或配置的示 例包括，但不限于，个人计算机、服务器计算机、手持式或膝上型设备、多处 理器系统、基于微处理器的系统、机顶盒、可编程消费者电子产品、网络PC、 小型机、大型机、包括上述系统或设备中的任一个的分布式计算机环境等。
参考图7，计算环境700包括通用计算设备710。计算设备710的组件可 包括但不限于处理单元712、存储器714、存储设备716、输入设备718、输出 设备720、以及通信连接722。
处理单元712可包括一个或多个通用或专用处理器、ASIC、或可编程逻 辑芯片。取决于计算设备的配置和类型，存储器714可以是易失性的(诸如 RAM)、非易失性的(诸如ROM、闪存等)或是两者的某种组合。计算设备 710还可包括其它存储(可移动和/或不可移动)，其中包括但不限于磁盘、光 盘或磁带。这样的其它存储在图7中由存储716示出。计算机存储介质包括以 用于存储诸如计算机可读指令、数据结构、程序模块或其它数据这样的信息的 任意方法或技术来实现的易失性和非易失性、可移动和不可移动介质。存储器 714和存储716都是计算机存储介质的示例。计算机存储介质包括但不限于， RAM、 ROM、 EEPROM、闪存或其它存储器技术，CD-ROM、数字多功能盘 (DVD)或其它光存储，磁带盒、磁带、磁盘存储或其它磁存储设备，或者可 用于存储所需信息并且可由计算设备710访问的任何其它介质。任何这样的计 算机存储介质可以是计算设备710的一部分。
计算设备710还可包含允许计算设备710通过网络730与其他计算设备等 其他设备进行通信的通信连接722。通信连接722是通信介质的一个示例。通 信介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读
指令、数据结构、程序模块或其它数据，且包含任何信息传递介质。术语'已 调制数据信号'指的是其一个或多个特征以在信号中编码信息的方式被设定或 更改的信号。作为示例而非限制，通信介质包括有线介质，如有线网络或直接
连线连接，以及无线介质，如声学、RF、红外和其它无线介质。此处所使用的 术语计算机可读介质包括存储介质。
计算设备710还可具有诸如键盘、鼠标、笔、语音输入设备、触摸输入设 备、和/或任何其他输入设备等的输入设备718。还可包括诸如一个或多个显示 器、扬声器、打印机、和/或任何其他输出设备等的输出设备720。
虽然已经按照若干示例性实施例来描述本发明，但本领域的普通技术人员 将认识到本发明并不限于所描述的各实施例，而是能够在所附权利要求书的精 神和范围之内以修改和改变来实施。本说明书因此被认为是说明性而非限制性 的。
权利要求
1. 一种方法，包括选择多个工作流中的一个；选择将在所选工作流中使用的多个权利中的一个或多个。选择所述工作流所适用的多个身份中的一个或多个；在所述一个或多个所选身份上启动所述工作流以便将所述一个或多个权利授予所述一个或多个所选身份；以及启动将所述一个或多个所选权利应用于所述一个或多个所选身份的过程。
2. 如权利要求1所述的方法，其特征在于，每个身份都与一存储的元空间对象相关联。
3. 如权利要求1所述的方法，其特征在于，还包括确定所选身份是否具有所选权利。
4. 如权利要求3所述的方法，其特征在于，还包括当所述所选身份不具 有所述所选权利时启动所述工作流。
5. 如权利要求1所述的方法，其特征在于，还包括确定用于撤销所 选权利的工作流。
6. 如权利要求5所述的方法，其特征在于，还包括确定所述所选身 份是否具有应被撤销的所选权利。
7. 如权利要求6所述的方法，其特征在于，还包括当所述所选身份 具有应被撤销的所选权利时启动用于撤销所选权利的所述工作流。
8. 如权利要求1所述的方法，其特征在于，所述多个权利中的一个 或多个是帐户。
9. 如权利要求1所述的方法，其特征在于，所述多个权利中的一个 或多个是访问权限。
10. —种系统，包括用于存储元空间对象的数据存储，每个元空间对象都与一身份相关联； 耦合到一个或多个目录以发送对权利的请求以及将权利应用于相应目录的一个或多个管理代理；以及耦合到所述数据存储和所述一个或多个管理代理以集中地管理与对应于多个身份的权利相关联的数据的集成服务器，所述集成服务器从所述管理代理接收对权利的请求，启动对应于所述请求的相应工作流，以及启动通过所述相应的管理代理将所述权利应用于所述相应目录的过程。
11. 如权利要求10所述的系统，其特征在于，所述集成服务器为每一 元控件对象维护指示已通过所述相应工作流被授予所述元空间对象的一个或 多个权利的授予的权利列表。
12. 如权利要求10所述的系统，其特征在于，所述集成服务器为每一 元控件对象维护指示所述元空间对象当前具有的一个或多个权利的当前权利 列表。
13. 如权利要求10所述的系统，其特征在于，还包括耦合到所述集成 服务器以存储工作流的数据存储，每个工作流都与一业务流程相关联以便对于 由所述集成服务器管理的所述身份中的至少一个授予或撤销所述权利中的至 少一个。
14. 如权利要求10所述的系统，其特征在于，还包括耦合到所述集成 服务器以存储由所述集成服务器管理的所述权利的定义的数据存储。
15. —种或多种具有用于执行以下步骤的设备可执行指令的设备可读介质，所述步骤包括接收将权利授予身份的请求，所述身份与元空间对象相关联； 确定与将所请求的权利授予所述身份相关联的业务流程； 启动所述将所请求的权利授予所述身份的业务流程；以及 启动将所请求的权利应用于所述身份的独立过程。
16. 如权利要求15所述的一种或多种设备可读介质，其特征在于，所 述步骤还包括将所请求的权利添加到与所述身份相关联的授予的权利列表。
17. 如权利要求15所述的一种或多种设备可读介质，其特征在于，启 动将所请求的权利应用于所述身份的独立过程包括向管理代理发送将所请求 的权利应用于所述身份的请求。
18. 如权利要求17所述的一种或多种设备可读介质，其特征在于，所 述步骤还包括当所请求的权利已被应用于所述身份时将所请求的权利添加到 与所述身份相关联的当前权利列表。
19. 如权利要求15所述的一种或多种设备可读介质，其特征在于，所 请求的权利是帐户。
20. 如权利要求15所述的一种或多种设备可读介质，其特征在于，所 请求的权利是访问权限。
全文摘要
此处描述了一种用于管理和应用权利的方法和系统。身份集成服务器集中地管理与对应于多个身份的权利相关联的数据。该集成服务器可以选择多个工作流中的一个。选择将在工作流中使用的多个权利中的一个或多个，并且选择该工作流所适用的一组身份。做出关于该工作流是否应该在该身份上运行的判断。如果是，则启动该工作流。该一个或多个权利然后被添加到授予的权利列表。然后，可以启动将该一个或多个权利应用于该一个或多个身份的独立过程。
文档编号G06Q10/00GK101395632SQ200780008113
公开日2009年3月25日 申请日期2007年2月6日 优先权日2006年3月6日
发明者B·T·克雷斯, G·叶, H·J·曼, J·H·奇布拉, N·K·考兰德 申请人:微软公司