[发明专利]角色工程范围确定和管理

说明书

技术领域

本申请总体上涉及改善的数据处理设备和方法，更特别地，涉及用于角色工程(role engineering)范围确定和管理的机制。

背景技术

在安全角色管理领域，使用角色建模(role modeling)来创建符合保护资源且同时允许与商业组织相关联的正确的人访问的商业目标的有效率且可管理的安全角色集合。对于大型组织，运行组织所需的组织中的人数(例如，数千或数十万)、保护资源的权限的数量(例如，数千或者甚至数百万)、以及用户与权限之间的映射的数量(例如，数千或者甚至数千万)超出了设计安全角色的系统管理员的管理范围。

许多安全角色工程项目由于需要花费数月或数年来处理代表组织的若干人、资源以及权限的大数据集而失败。当必须跨多个组织协作时，这变得更加费时。到开发完安全角色时，关于人、资源以及权限的许多数据可能已经改变，以致于所开发的安全角色已陈旧，不再与组织的商业目标完全相关。

发明内容

在一说明性实施例中，提供一种在数据处理系统中用于执行角色工程项目以便应用安全角色来访问以资源为目标的操作的方法。该方法包括由数据处理系统接收代表一个或多个用户身份、权限以及组织计算系统的资源的多个数据对象。该方法还包括由数据处理系统接收用于过滤所述多个数据对象以生成供在角色工程项目过程中考虑的数据对象子集的一个或多个过滤准则。一个或多个过滤准则指定角色工程项目的范围。此外，该方法还包括由数据处理系统应用所述一个或多个过滤准则以生成所述数据对象子集。另外，该方法还包括在数据处理系统中对数据对象子集执行角色工程项目操作以生成一个或多个安全角色。该方法还包括由数据处理系统向组织计算系统部署所述一个或多个安全角色以控制以组织计算系统的资源为目标的访问操作。

在另一些说明性实施例中，提供一种计算机程序产品，其包括具有计算机可读程序的计算机可用或可读介质。当在计算设备上运行时，计算机可读程序使计算设备执行上面关于说明性方法实施例概述操作中的各种操作以及操作的组合。

在又一说明性实施例中，提供一种系统/设备。该系统/设备可包括一个或多个处理器以及耦合到所述一个或多个处理器的存储器。所述存储器可包括指令，所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行上面关于说明性方法实施例概述操作中的各种操作以及操作的组合。

将在下面的对本发明的示例性实施例的详细描述中描述本发明的这些以及其他特征和优点，或者，通过下面对本发明的示例性实施例的详细描述，本发明的这些以及其他特征和优点将对本领域技术人员变得显而易见。

附图说明

本发明和优选使用模式以及进一步的目标和优点将通过结合附图参考下面对说明性实施例的详细描述而得到最好的理解，附图中：

图1是其中可实现说明性实施例的一些方面的示例性分布式数据处理系统的示例性框图；

图2是其中可实现说明性实施例的一些方面的计算设备的示例性框图；

图3是示出根据一说明性实施例的角色工程机制的主要操作组件的示例图；

图4A-4F是根据一说明性实施例的可由角色工程机制的各种组件生成的用于定义角色工程/建模的范围的用户界面的示例图；以及

图5是概述根据一说明性实施例的用于执行角色工程范围确定的示例性操作的示例性流程图。

具体实施方式

说明性实施例提供一种用于角色工程范围确定和管理的机制。此处使用的术语“角色工程范围确定”是指定义在角色工程项目过程中考虑的数据对象的范围，包括将是用于角色工程/建模和开发的基础的特定数据的一个或多个子集。此处使用的术语“角色”是指具有一个或多个权限的集合的数据结构，所述权限确定可由角色所分配到的一个或多个实体访问(即，影响资源的动作)的资源、实体可以执行什么类型的访问、由于在这样的访问上执行的访问操作(例如，创建、检索、更新、过滤、变换等)而可返回给实体的结果，响应于这样的访问而要被执行的操作(例如，向管理员发送通知)等。实体可以是人类用户、计算设备资源等。角色是集合了用户和权限的概念，具有与组织相关的含义，诸如职位功能或职务，以简化对用户访问资源的管理。通过向一个或多个角色分派，用户获取对资源执行操作的权限，其中这些权限也被分派给所述角色。通过使用角色，用户对资源的访问的管理简化为向角色分配用户。