[发明专利]角色工程范围确定和管理

权利要求书

1.一种在数据处理系统中用于执行角色工程项目以对以资源为目标的访问操作应用安全角色的方法，包括：

由所述数据处理系统接收代表组织计算系统的一个或多个用户身份、权限以及资源的多个数据对象；

由所述数据处理系统接收用于过滤所述多个数据对象以生成供在所述角色工程项目期间考虑的数据对象的子集的一个或多个过滤器准则，其中所述一个或多个过滤器准则指定所述角色工程项目的范围；

由所述数据处理系统应用所述一个或多个过滤器准则以生成所述数据对象的子集；

在所述数据处理系统中对所述数据对象的子集执行角色工程项目操作以生成一个或多个安全角色；以及

由所述数据处理系统向所述组织计算系统部署所述一个或多个安全角色以控制以所述组织计算系统的资源为目标的访问操作。

2.如权利要求1所述的方法，其中，接收一个或多个过滤器准则包括：

向用户输出用于选择所述一个或多个过滤器准则的用户界面；以及

通过所述用户界面接收确定将用于选择用于包括在所述角色工程项目中的数据对象的所述一个或多个过滤器准则的用户输入。

3.如权利要求2所述的方法，其中，所述一个或多个过滤器准则包括所述数据对象的一个或多个属性。

4.如权利要求3所述的方法，其中，所述数据对象的一个或多个属性包括用于不同数据对象类型的不同属性，其中所述不同数据对象类型包括用于用户身份的数据对象、用于权限的数据对象以及用于资源的数据对象。

5.如权利要求3所述的方法，其中，所述数据对象的一个或多个属性包括指定数据对象的业务功能的属性、与所述数据对象的业务策略特征相关联的属性、或与所述数据对象的信息技术特征相关联的属性中的至少一个。

6.如权利要求2所述的方法，其中：

所述用户界面输出所述多个数据对象的表示，

提供用于选择所述多个数据对象的至少一个属性的用户输入机制，所述至少一个属性用于对所述多个数据对象的所述表示进行过滤，并且

提供所述用户界面的一部分，在该部分中输出基于所述多个数据对象的所选的至少一个属性而选择的所述数据对象的子集的表示。

7.如权利要求1所述的方法，其中，执行角色工程项目操作以生成一个或多个安全角色包括接收用户对至少一个用户身份数据对象、至少一个资源数据对象以及至少一个权限数据对象的选择，以在所定义的安全角色中将其彼此关联。

8.如权利要求1所述的方法，还包括：

在所述数据处理系统中接收用户输入以修改所述角色工程项目的范围，其中修改所述范围的用户输入包括选择新的过滤器准则以包括在所述一个或多个过滤器准则中或从指定所述角色工程项目的范围的所述一个或多个过滤器准则中去除过滤器准则这两者中的至少一个。

9.如权利要求1所述的方法，还包括以下中的至少一项：

合并所述角色工程项目的所述一个或多个过滤器准则、所述数据对象的子集、或所述一个或多个安全角色中的至少一个与另一角色工程项目的过滤器准则、数据对象、或安全角色中的至少一个；或

将所述角色工程项目的所述一个或多个过滤器准则、所述数据对象的子集、或所述一个或多个安全角色中的所述至少一个分拆为所述角色工程项目的两个或更多子项目。

10.一种计算机程序产品，包括其中储存有计算机可读程序的计算机可读储存介质，其中所述计算机可读程序在数据处理系统上运行时导致所述数据处理系统：

接收代表组织计算系统的一个或多个用户身份、权限以及资源的多个数据对象；

接收用于过滤所述多个数据对象以生成供在所述角色工程项目期间考虑的数据对象的子集的一个或多个过滤器准则，其中所述一个或多个过滤器准则指定所述角色工程项目的范围；

应用所述一个或多个过滤器准则以生成所述数据对象的子集；

对所述数据对象的子集执行角色工程项目操作以生成一个或多个安全角色；以及

向组织计算系统部署所述一个或多个安全角色以控制以所述组织计算系统的资源为目标的访问操作。