[发明专利]访问控制评估中的安排的交互

说明书

此处描述了一种提供接入控制决策功能的安排的接入系统，该接入控制决策功能通过与实时合作通信系统交互来增大，该实时合作通信系统维持各个用户的可用性状态来进行通信。该安排的接入系统为策略本来不许可接入的接入控制场景提供实时批准。该系统为作出请求的用户提供基于潜在批准者与作出请求的用户的关系、潜在批准者与资源的关系、以及潜在批准者对于实时通信的可用性来从多个潜在批准者中间选择适当批准者的体验。该系统还可以提供数据库中的批准者和请求参数的记录，以优化进一步的交互。因此，该安排的接入系统为作出请求的用户以及(诸)批准者两者提供用于许可接入组织内的资源的改进体验。

背景

在联网计算机系统中，控制对各个源的访问是频繁的考虑问题。文件服务器、数据库、网站、应用及其他资源可以包含不意图被提供给能够获得到信息服务器的连接的任何人的机密信息或数据。访问控制是指确定是否将允许任何特定请求者来访问任何特定资源的软件主体。在传统访问控制中，与每个资源相关联的访问控制列表(ACL)一般包含指定将被允许访问或将不被允许访问的每个实体的访问控制条目(ACE)。这些条目可以是由操作系统或域控制器、用户组、其他计算机系统等等指定的用户。

在企业计算机系统中，当用户请求访问资源时(诸如读取文件服务器上保持的文件、或者执行业务应用中的交易)，访问控制决策功能(ACDF)将基于所配置的访问控制信息来评估用户的请求是否要被允许或拒绝。一般而言，该功能将依赖于预定义的策略，其中策略引用用户的属性、资源的属性、以及/或者请求的属性以及在满足时将允许访问的环境条件。如果未找到任何策略，或如果策略不许可访问，则用户不能访问该资源。在策略未完全指定的情况下，可以阻止合法企业活动，直到策略拥有者修订该策略为止。在组织具有基于许多请求参数或环境条件的因素来限制访问的要求的情况下，策略可变得不必要地复杂，以便自动化访问控制决策功能可以实现该策略。

一些系统，诸如，微软TM SHAREPOINT TM，具有供请求者在访问被拒绝的时刻向资源拥有者发送电子邮件的选项。如果资源拥有者同意电子邮件的内容，则资源拥有者可以改变该策略，诸如作出对作出请求的用户的一次性的访问许可。然而，这可以对作出请求的用户产生未知延迟，该作出请求的用户不知道资源拥有者下一次何时阅读电子邮件、或者资源拥有者花多长时间来决策。如果资源拥有者目前距电子邮件一延长时段(例如，在度假或休假)，则作出请求的用户在此时无法求助并且可能甚至不知道实际上没有人审阅该请求。这一通信模型不再符合当今对工作的期望，其中可能假定雇员在大多数时间在线，并且携带有一个或多个移动设备。

发明内容

此处描述了一种提供访问控制决策功能的安排的访问系统，该访问控制决策功能通过与实时协作通信系统交互来增强，该实时协作通信系统维持各个用户的可用性状态来进行通信。该安排的访问系统为策略本来不许可访问的访问控制场景提供实时批准。在一些实施例中，该系统为作出请求的用户和批准者提供面向移动设备的体验。在一些实施例中，该系统提供基于潜在批准者与作出请求的用户的关系、潜在批准者与资源的关系、以及潜在批准者对于实时通信的可用性来从多个潜在批准者中间选择一适当批准者的体验。这允许作出请求的用户基于作出请求的用户需要响应有多快以及作出请求的用户获悉谁可能理解请求的上下文且批准访问，来作出与要将请求发送给谁有关的快速决策。该系统还可以在数据库或其他数据存储中提高批准者和请求参数的记录，以优化进一步的交互。因此，该安排的访问系统为作出请求的用户以及(诸)批准者两者提供用于授予访问组织内的资源的改进体验。

提供该发明内容以便以简化形式引入概念的选集，概念在以下详细描述中进一步描述。该发明内容不意图标识所要求保护的主题的关键特征或基本特征，也不意图被用来限制所要求保护的主题的范围。

附图简述

图1是图示一实施例中、安排的访问系统的组件的框图。

图2是图示一实施例中、安排的访问系统对来自作出请求的用户的对访问资源的尝试进行响应的处理的流程图。