专利名称:用于使用新的对等的概念来限制对用户简档信息的访问权限的方法和系统的制作方法
技术领域:
本发明涉及网络门户领域。具体而言,涉及用于使用新的对等组的概念来限制对 用户简档信息的访问权限的方法和系统。1. 2.现有技术的描沭和缺点在此领域,术语“合成应用”定义了在web门户平台上托管(host)的应用,这 种应用是通过针对诸如商店或虚拟团队空间应用的特定用途,组合和连接诸如门户件 (p0rtlet)、WikiS、文档库和Web服务来构建的。单一门户平台可以托管同一个合成应用的 多个实例,例如,不同的关联的用户社区的不同的团队空间。合成应用是从描述所包含的组 件以及它们的设置和互连的模板构建的。图1示出构成现有技术应用基础结构11一此处还缩写为AI—总体门户系统10内 的系统体系结构的组件的总览。应用基础结构包括-处理系统中的模板和新合成应用的创建的制模应用基础结构13-此处还缩写为 TAI,-在运行时处理应用实例19并管理应用的组件之间的连接和数据流的合成应用 基础结构15—此处还缩写为CAI,-管理系统中安装的商务组件的组件注册表27,以及-门户处理器29,这是特定的本地组件,其管理任何门户相关的辅件8,如门户中 的应用基础结构的网页或门户件,并且该门户处理器在新合成应用的创建期间被实例化组 件17用来创建这种辅件。制模应用基础结构(TAI)组件13管理系统中的包含对组件的本地列表27中的 可实例化的组件的引用的模板23。作为示例,购物应用的模板可以包括对下列各组件的引 用被用来保留可用的货物以及它们的描述的文档库组件,让客户处理实际购物交易的商 店门户件,处理支付进程的发票商务组件,以及允许客户对他们的满意度作出评论的博客 (blogging)组件。TAI组件13还通过实例化组件17从模板创建应用实例,实例化组件17通常通过 创建或复制被引用的商务组件的单个配置,创建被引用的商务组件的单独的实例,以便可 以从同一个模板创建多个应用实例,而不会彼此干扰。对于上文所提及的示例模板,实例化(组件)17将另外在文档库中创建单个存储 室,引用了银行帐户的发票组件的单个配置,以及被设置为显示来自所创建的文档库的货 物并对所创建的发票组件实例委派支付处理的商店门户件的单个配置。具体而言,实例化 (组件)17需要创建必要的门户辅件,如允许与所创建的合成应用进行交互的网页,通常是 通过使用特定处理器29来完成的,特定处理器29创建那些门户辅件8,并将它们与应用的 商务组件链接。
3
所创建的合成应用实例19保留了上下文25,其中列出构成合成应用的组件实例。图2示出门户体系结构10中所涉及的存储器组件的总览,门户体系结构10包括 部署组件14中的与部署相关的代码,以及其中执行所部署的组件的一个或多个运行时容 器12中的运行时环境。对于合成应用上下文,部署的辅件是-存储在组件注册表18中的应用组件,-存储在模板目录20中的模板。然后,由应用的实例特定的数据16来引用此数据。现在参考本发明的焦点,现有技术合成应用是现有技术面向服务体系结构的主要 概念。它们允许最终用户不必编程而通过简单地定义诸如配置数据和应用结构的一些元信 息,从给定组件的集合组装商务逻辑。现有技术合成应用,例如,通过现有技术IBM WebSphere Portal及其他已知产品 来得到支持。现在参考图3、4、5A、5B,对于本发明的很技术性的问题,现有技术的基于Web的协 作平台通常支持“社区”的概念。社区50(例如,图5A中的圆圈50)是人的集合一例如,共 享特定的工作目标或兴趣的人D、E、F。在是一个给定社区的成员的情况下,通常带有对社 区内共享的资源或门户对象8(图1)(如文档、门户网页,以及门户件32)的访问权限,以便 可以在一个或多个合成应用中一起协作。带有类似的功能以及其中包含的人的其他社区51 和52共同存在。现有技术中的社区是利用社区的创建者以动态点播(on-demand)的方式创建和 管理的,社区的创建者是被允许邀请其他人到社区的社区管理员。这不利地包括许多人工工作。具体参考图3,在现有技术协作平台中,对用户数据的访问控制通常由逻辑程序组 件36以与社区概念的正交的方式来进行管理。这意味着,安全管理员通过逻辑用户管理程 序组件34来定义哪一个用户被允许看到哪些其他用户的简档信息。基于此访问控制信息, 用户可以受益于人感知(awareness)功能,如“谁现在正在线...”。下面参考图4说明其 细节。具体参考图4,该图示出现有技术的针对某一给定单一用户的对用户的访问管理, 当此单一用户启动对其他用户的搜索时,参见图4中的步骤1,此用户使用针对这种搜索请 求的相应的用户界面,这是由某个门户件41向他提供的。此门户件41将他的请求传递到 用户管理组件34,该组件34又(intern)提供对用户数据存储器和组数据存储器的访问权 限,参见步骤2。然后,在进一步的步骤3中,在组件34和访问控制组件36之间执行交互步骤,检 查之前所提及的用户“Bob”是否被允许看到其他用户。由访问控制组件36来管理相应的 控制信息,该组件36存储和管理有关所有类型资源的访问信息,因此,也包括资源“用户” 的访问信息。为此,访问控制组件36在其当前配置中查询用户Bob的访问权限,参见步骤4。为了完全地实现,还可以通过观察用户Bob的条目,查询数据库39的静态访问信 息。将结果返回到用户管理组件34,该用户管理组件34对此结果进行评估,并向后端存储设备38 (例如,LDAP用户存储器)发送搜索请求,以便搜索全部可用的用户。此外,不利地,对于图4中的步骤5,没有动态的方法可以用来允许涉及安全管理 任务的“admin”用户,将给定用户的可用的用户基础(base)限制到他有需要与其进行协作 的人。如果有某种象这样的事情是必需的,则admin将需要管理每一用户的访问权限,如果 一个社区的成员资格发生变化,这导致admin花费很大的个人人力。此外,现有技术协作工具只允许每一用户从可用的目录中搜索所有用户。然而,这 是很大的缺点,因为在许多情况下,完整的用户列表一例如,几百或数千个用户简直太大, 以至于个人不能滚动和控制。如此,所期望的结果是能够使名称对于其他人不可见。然而, 对于其他用户“不可见”的唯一途径是通过使用黑列表(名单)或白列表(名单)。然而, 那些列表需要由每一单个用户进行维护,这又会导致花费很大的个人人力。1.3.本发明的目标如此,本发明的目标是提供用于限制对用户简档信息的访问权限的更加有效而灵 活的方法和系统。2.本发明的内容和优点本发明的此目标是通过所附的独立的权利要求中所陈述的特征实现的。在相应的 子权利要求中阐述了本发明的进一步的有益的布置和实施例。现在应该参考所附的权利要 求。根据本发明的方法的最广泛的方面,提供了一种用于使用新的对等组的概念来限 制对用户简档信息的访问权限的方法,其中,给定用户的对等组被定义为包含该用户的所 有社区的所有成员的用户集合(set),其中,在所述web门户内定义了单个社区,其中,在所 述web门户上,实现了多个合成应用,其中,每一合成应用(19;50)都具有预定数量的用户 正在使用所述合成应用工作,为该合成应用构建社区,其特征在于下列步骤a)通过收集所述用户是其成员的所有合成应用的社区,基于请求的用户的所述对 等组,构建过滤器(650,660,670)b)当从所述用户注册表中选择(680)用户信息时,使用所述过滤器作为附加约 束,以便将所有查询结果限制到与所述给定用户的对等组的成员关联的用户简档信息,c)将所述结果显示给用户(690)。此外,为执行步骤b),代替LDAP过滤器,实现显式的后过滤步骤,以便从查询结果 丢弃不与所述请求的用户的对等组中所包含的用户关联的所有用户简档信息。关于优点本发明的方法基于社区成员资格,对于用户提供自动可视性控制,其中,用户被自 动允许看到,即,察觉到其他社区成员。通过本发明的方法,可以有利地将可见的用户的集合准确限制到正在彼此协作的 那些用户,例如,共享的社区的成员。此外,有利地,本发明的方法提供自动评估单个用户的单个社区的相关性。本发明基于引入“对等组”的概念,其中,对等组与给定用户相关联,是与该给定用 户共享至少一个社区成员资格的用户的集合。优选地,某一社区的成员资格是由同一个合 成应用的成员资格,或者,换句话说,同一个协作应用的成员资格所定义的。此外,根据此原则,对之前所提及的web门户的资源的访问控制,根据本发明,是基于上文所提及的对等组的。如此,本发明的方法和系统支持特定的操作模式,其中,对给 定用户有效的访问控制仅仅受他的在相应的合成或协作应用的成员资格所控制。这样,用 户被允许察觉到另一个用户的存在,并且只有此用户是他的对等组的一部分,才可以访问 这种用户的用户简档。
3.
通过示例显示本发明,本发明不受附图中的图形的形状限制,其中图1和2示出在门户站点用于现有技术方法的现有技术硬件和软件环境的最基本 的结构组件,图3示出专门用于在门户站点用于现有技术方法的现有技术硬件和软件环境中 管理访问控制权限的相关结构组件,图4是概要地示出图3的现有技术硬件和软件环境中的现有技术访问方法所使用 的用户信息的访问和管理的框图,图5a示出根据图3的门户环境中的不同的社区中的现有技术用户协作;图5b示出图5a的协作用户的用户可见性(也是现有技术);图6是根据本发明的优选实施例的方法的发明组件丰富的根据图4的图示,包括 在本发明的方法中执行的交互控制步骤;图7是当应用本发明方法时用户可见性的图示。
4.
具体实施例方式一般地参考附图,并具体地参考图6,当在门户环境中运行实现本发明的方法的优 选实施例的程序时,按如下方式来描述对单一用户Bob的用户信息的访问如上文利用现有技术的讨论所描述的,执行第一步骤1、2、3和4。在图6中,它们 分别用参考编号610到640来表示。结果是,如果Bob被允许看到其他用户,则该结果对用 户管理组件34可用。然后,在新颖的步骤650中,由本发明的实施例所提供的社区过滤组件62实现了 当前用户的可见性对Bob的社区的用户子集的限制。为此,本发明的社区过滤器62发送对 示例性用户Bob正在与其共享合成应用的所有用户和组的询问请求。此请求被导向应用基 础结构11,该应用基础结构11是现有技术已知的,并存储和管理有关在门户中实现的合成 应用的信息。此程序组件11首先确定示例性用户Bob是其成员的所有合成应用。此信息 基于Bob能够加入的合成应用和被作为那些合成应用的成员列出的用户或组。应用基础结 构组件11从数据存储39检索此信息,参见步骤660。应用组件11将此信息返回到用户管 理组件34,参见步骤670。现在,用户管理组件使用代表Bob的多个合成应用的成员的多个用户名,以便建 立由发明性的、丰富的用户管理组件34所生成的过滤器准则。如此,作为此评估的结果,由 用户管理组件34和社区过滤器组件62协作,生成搜索请求,其包括合成应用和对应于Bob 的合成应用的相应的受限制的成员。然后,由用户管理组件34的社区过滤器62将此生成的搜索请求发送到后端用户 数据存储器38,以便获得受限制的多个用户的用户信息,而不是如现有技术中执行的那样获取所有用户的用户信息。接下来,给出在步骤670中返回的信息的示例如下Returns list of Distinguished names{uid = bob, ο = yourco:uid = alice, ο = yourco:cn = allmanagers, ο = yourco}此外,还以伪代码给出针对LDAP存储器38的经过滤的请求的示例,如下find all users from LDAP where displayname = ' bo * ' anddistinguishednames in{uid = bob,ο = yourco: uid = alice, ο = yourco :cn = al lmanagers, ο = yourco}本发明的方法的效果是对于诸如前面的描述中的用户Bob的任何示例性用户的 受限制的用户可见性。通过本发明的方法,建立特殊的对等组,其中,门户的用户现在是他 们的单个对等组的隐式成员。参考图7,用户E的对等组是人B、D、F的集合。此外,人A的对等组是空集合。用 户B的对等组是人D、E,人C的对等组是人D、F,而人D的对等组是人C、F、B、E。由于本发明的方法,所有用户都被自动地允许与他们的单个对等组的人进行通 信,而不会限制从具有对门户的访问权限的所有用户的集合中执行困难的用户选择。这样, 用户舒适度显著增大,因为通信由于应该与哪一个用户建立通信的选择显著简化而被显著 简化。如此,任何示例性用户自动地只看到他是其成员以及由此他正在与其协作的合成应 用的通信伙伴。从图7可以看出,例如,对于用户C,此用户不能觉察到用户E,因为用户E和用户 C没有共享的合成应用。注意,图7中的每一圆圈都对应于一个合成应用,一个人位于该圆 圈内表示此人在该合成应用中的成员资格。此外,有利地,图7示出在新用户A加入社区52的情况下,她将自动看到用户C、D 和F,因为他们也是合成应用52的成员。本发明的方法也可以包括额外的访问控制步骤, 该步骤可以在由作为其基础形式的本发明的方法执行的访问控制上面应用,如上文所描述 的。优选地,这可以在特定情况下执行,例如,当一个人必须提供某些管理,并因此被提供了 十分高的访问权限,但是,仍没有对门户的整个全部多个用户的访问权限时。这是巨大的优 点,例如,在执行两个企业的合并的情况下,其中,合并两个预先存在的门户,并且其中,用 户管理和门户管理被确定为每一个合并的企业完全分别继续。另外,仍可以给某些用户提 供如通过他们的对等组定义的看到更多用户的权限。这为了向不属于任何社区的新用户发 送邀请。本发明可以呈现完全是硬件实施方式、完全是软件实施方式或包含硬件和软件元 件两者的实施方式的形式。在优选实施例中,本发明是以软件实现的,包括但不仅限于固 件、常驻软件、微代码等等。此外,本发明还可以呈现计算机程序产品的形式,该产品可以从计算机可用介质 或计算机可读介质进行访问,其提供了程序代码,供计算机或任何指令执行系统使用或与 它们一起使用。对于此说明书,计算机可用介质或计算机可读介质可以是能够包含、存储、 传递、传播或传输供指令执行系统、设备或装置使用或与它们结合使用的程序的任何设备。
介质可以是电子的、磁性的、光学的、电磁的、红外线的或半导体系统(设备或器 件)或传播介质。计算机可读介质的示例包括半导体或固态存储器、磁带、可移动计算机 磁盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前示例包括光 盘_只读存储器(CD-ROM)、光盘读取/写入(CD-R/W),以及DVD。适用于存储和/或执行程序代码的数据处理系统将至少包括一个通过系统总线 直接或间接地耦接到存储器元件的处理器。存储器元件可以包括在程序代码的实际执行过 程中使用的本地存储器、大容量存储器,以及高速缓冲存储器,其提供了至少某些程序代码 的临时存储器,以便减少在执行过程中必须从大容量存储器检索代码的次数。输入/输出或I/O设备(包括但不仅限于,键盘、显示器、指示设备等等)可以直 接或者通过I/O控制器耦接到系统。网络适配器也可以耦接到系统,以使得数据处理系统通过介入私有的或公共网络 耦接到其他数据处理系统或远程打印机或存储设备。调制解调器、电缆调制解调器和以太 网卡只是几种当前可用类型的网络适配器。
权利要求
一种用于使用新的对等组的概念来限制对用户简档信息的访问权限的方法,其中,给定用户的对等组被定义为包含该用户的所有社区的所有成员的用户集合,其中,在所述web门户内定义了单个社区,其中,在所述web门户上,实现了多个合成应用,其中,每一合成应用(19;50)都具有预定数量的用户正在使用所述合成应用工作,为该合成应用构建社区,其特征在于下列步骤a)通过收集所述用户是其成员的所有合成应用的社区,基于请求的用户的所述对等组,构建过滤器(650,660,670),b)当从所述用户注册表中选择(680)用户信息时,使用所述过滤器作为附加约束,以便将所有查询结果限制到与所述给定用户的对等组的成员关联的用户简档信息,c)将所述结果显示给用户(690)。
2.根据权利要求1所述的方法,其中,为执行步骤b),代替LDAP过滤器,实现显式的后 过滤步骤,以便从查询结果丢弃不与请求的用户的对等组中所包含的用户关联的所有用户 简档信息。
3.根据权利要求1所述的方法,其中,实现所述合成应用之间的排序,以便建立要显示 的用户名的内部分层结构。
4.根据权利要求1所述的方法,其中,对于具有定义了某种社区表征信息的用户,评估 对应于所述合成应用中的每一个所述合成应用的某种元数据,并评估至少一个所述合成应 用与社区表征信息的相关性,并向所述用户显示。
5.一种用于使用新的对等组的概念来限制对用户简档信息的访问权限的电子数据处 理系统,其中,给定用户的对等组被定义为包含该用户的所有社区的所有成员的用户集合, 其中,在所述web门户内定义了单个社区,其中,在所述web门户上,实现了多个合成应用, 其中,每一合成应用(19;50)都具有预定数量的用户正在使用所述合成应用工作,为该合 成应用构建社区,所述系统的特征在于a)用于通过收集所述用户是其成员的所有合成应用的社区、基于所述请求的用户的所 述对等组构建过滤器(650,660,670)的装置,b)用于当从所述用户注册表中选择(680)用户信息时,使用所述过滤器作为附加约束, 以便将所有查询结果限制到与所述给定用户的对等组的成员关联的用户简档信息的装置,c)用于将所述结果显示给用户(690)的装置。
6.一种用于使用新的对等组的概念来限制对用户简档信息的访问权限的计算机程序 产品,其中,给定用户的对等组被定义为包含该用户的所有社区的所有成员的用户集合,其 中,在所述web门户内定义了单个社区,其中,在所述web门户上,实现了多个合成应用,其 中,每一合成应用(19;50)都具有预定数量的用户正在使用所述合成应用工作,为该合成 应用构建社区,包括其中包括计算机可读程序的计算机可用介质,其中,计算机可读程序包 括功能组件,当在计算机上执行该功能组件时,导致计算机执行下列步骤a)通过收集所述用户是其成员的所有合成应用的社区,基于请求的用户的所述对等 组,构建过滤器(650,660,670),b)当从所述用户注册表中选择(680)用户信息时,使用所述过滤器作为附加约束,以 便将所有查询结果限制到与所述给定用户的对等组的成员关联的用户简档信息,c)将所述结果显示给用户(690)。
全文摘要
本发明涉及网络门户领域,具体而言,涉及用于使用新的对等组的概念来限制对用户简档信息的访问权限的方法和系统,其中,给定用户的对等组被定义为包含该用户的所有社区的所有成员的用户集合,其中,在所述web门户内定义了单个社区,其中,在所述web门户上,实现了多个合成应用,其中,每一合成应用(19;50)都具有预定数量的用户正在使用所述合成应用工作,为该合成应用构建社区,其特征在于下列步骤a)通过收集所述用户是其成员的所有合成应用,基于请求的用户的所述对等组,构建过滤器(650,660,670),b)当从所述用户注册表中选择(680)用户信息时,使用所述过滤器作为附加约束,以便将所有查询结果限制到与所述给定用户的对等组的成员关联的用户简档信息,c)将所述结果显示给用户(690)。
文档编号H04L29/06GK101939966SQ200980104277
公开日2011年1月5日 申请日期2009年1月14日 优先权日2008年2月5日
发明者C·德圣埃格宁, D·布埃勒, S·施密特, S·海佩尔 申请人:国际商业机器公司