JP2007257127A - Organizational hierarchy definition system, composition method for group hierarchy and display method for organizational hierarchy - Google Patents

Organizational hierarchy definition system, composition method for group hierarchy and display method for organizational hierarchy Download PDF

Info

Publication number
JP2007257127A
JP2007257127A JP2006078396A JP2006078396A JP2007257127A JP 2007257127 A JP2007257127 A JP 2007257127A JP 2006078396 A JP2006078396 A JP 2006078396A JP 2006078396 A JP2006078396 A JP 2006078396A JP 2007257127 A JP2007257127 A JP 2007257127A
Authority
JP
Japan
Prior art keywords
hierarchy
group
organization
directory service
organizational
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006078396A
Other languages
Japanese (ja)
Other versions
JP4932291B2 (en
Inventor
Masahiko Mano
将彦 眞野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2006078396A priority Critical patent/JP4932291B2/en
Publication of JP2007257127A publication Critical patent/JP2007257127A/en
Application granted granted Critical
Publication of JP4932291B2 publication Critical patent/JP4932291B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To compose a group hierarchy that users who belong to an upper organization can access and ACL changes are not required when an organization is changed if access rights to a file server in a company are controlled using an ACL. <P>SOLUTION: An organizational hierarchy definition system has a directory server provided with a directory service database, and a management server which communicates with the directory server using LDAP. The management server defines an organizational hierarchy using GUI, and registers a group hierarchy, the direction of which is reverse to the organizational hierarchy, into the directory service database. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、企業内のユーザ情報やネットワーク上にある資源を一元管理するディレクトリサービスを利用したシステムに関するものである。   The present invention relates to a system using a directory service that centrally manages user information in a company and resources on a network.

近年企業内には、人事システム、経理システムなどアプリケーションや、ファイルを共有するためのファイルサーバが数多く構築されている。従来、これらのアプリケーションやファイルサーバを利用するユーザの情報は個別に管理されてきたが、管理が煩雑であるという問題があった。
この問題を解決する手段として、ユーザ情報やネットワーク上にある資源を一元管理するディレクトリサービスが普及しつつある。また、ディレクトリサービスにアクセスするプロトコルもLDAP(Lightweight Directory Access Protocol)という規格になっている。 In recent years, many applications such as personnel systems and accounting systems and file servers for sharing files have been built in the enterprise. Conventionally, information on users who use these applications and file servers has been individually managed, but there is a problem that management is complicated.
As a means for solving this problem, a directory service for centrally managing user information and resources on a network is becoming widespread. A protocol for accessing the directory service is also a standard called LDAP (Lightweight Directory Access Protocol).

また、ファイルサーバのフォルダやファイルへのアクセス権を制御する場合、フォルダやファイルに対してACL(Access Control List)を設定する。ACLには、ディレクトリサービスで管理されているユーザやグループに対して、どのような操作を許可するかを指定する。
図14は、ACLの設定例である。ディレクトリサービス1401には、Aグループ1402とBグループ1405とを登録している。Aグループ1402には、Cユーザ1403とDユーザ1404を追加しており、Bグループ1405には、Eユーザ1406とFユーザ1407を追加している。このとき、フォルダ1408にはAグループに対して、「読み込み」のアクセス権を指定している。これにより、フォルダ1408を参照できるユーザをCユーザ1403とDユーザ1404のみに制限できる(例えば、特許文献1参照)。 Also, when controlling access rights to a folder or file on the file server, an ACL (Access Control List) is set for the folder or file. The ACL specifies what operations are permitted for users and groups managed by the directory service.
FIG. 14 shows an ACL setting example. In the directory service 1401, an A group 1402 and a B group 1405 are registered. A user 1403 and D user 1404 are added to the A group 1402, and an E user 1406 and an F user 1407 are added to the B group 1405. At this time, the “read” access right is designated for the folder A 1408 for the A group. Thereby, users who can refer to the folder 1408 can be limited to only the C user 1403 and the D user 1404 (see, for example, Patent Document 1).

特開2005−338935号公報(段落番号0008〜0010、図1、図2)Japanese Patent Laying-Open No. 2005-338935 (paragraph numbers 0008 to 0010, FIGS. 1 and 2)

ACLを設定して、企業内のファイルサーバに対するアクセス権を制御するケースを考える。
図1は企業の組織階層の例である。図1に示すように、組織階層の最上位に会社101があり、その組織には社長111が所属している。会社101の下には、設計部102と営業部105があり、それぞれの組織には、A部長112とB部長117が所属している。さらに設計部102の下には、設計部第1グループ103と設計部第2グループ104があり、それぞれの組織には、C課長113、D社員114と、E課長115、F社員116が所属している。 Consider a case where ACL is set to control access rights to a file server in a company.
FIG. 1 shows an example of an organization hierarchy of a company. As shown in FIG. 1, a company 101 is at the top of the organization hierarchy, and a president 111 belongs to the organization. Under the company 101, there are a design department 102 and a sales department 105, and an A department manager 112 and a B department manager 117 belong to each organization. Further, under the design department 102, there are a design department first group 103 and a design department second group 104, each of which includes a section manager 113, a staff D 114, a section manager E 115, and a staff F 116. ing.

図2は、図1に示した組織階層をディレクトリサービスのグループとユーザで表した図である。図2に示すように、図1で示した組織はディレクトリサービス上のグループとして表現される。また、組織の階層はグループの階層で表現することができる。これによると、グループ階層の最上位には会社201がある。   FIG. 2 is a diagram showing the organizational hierarchy shown in FIG. 1 by directory service groups and users. As shown in FIG. 2, the organization shown in FIG. 1 is expressed as a group on the directory service. The organization hierarchy can be expressed as a group hierarchy. According to this, there is a company 201 at the top of the group hierarchy.

一方、ACLの設定について考えると、企業内のリソースという特性から、下位の組織が管理するファイルやフォルダに対して、上位の組織に所属する人がアクセスできるようにしたい場合が多い。具体的には、図1の設計部第1グループ103が管理するファイルやフォルダに対しては、A部長112や社長111が読み込みのためのアクセスをできるようにしたい場合である。また、書き込みのためのアクセスに設定することもできる。   On the other hand, considering ACL settings, there are many cases where it is desired that a person belonging to a higher organization can access files and folders managed by a lower organization because of the characteristics of resources in the company. Specifically, this is a case where the department manager A 112 or the president 111 wants to be able to access the files and folders managed by the design department first group 103 in FIG. 1 for reading. It is also possible to set access for writing.

これを実現するためには、図3に示すようなACLを設定する。図3は、アクセス権をフォルダやファイルに対して設定するACLを示し、上位組織に属するユーザもアクセスできるように設定したACLを示した図である。つまり、図3に示すように、フォルダ301に対して、設計部第1グループのアクセス権304、A部長のアクセス権303、社長のアクセス権302の3つのアクセス権を指定する必要がある。   In order to realize this, an ACL as shown in FIG. 3 is set. FIG. 3 is a diagram showing an ACL for setting access rights for folders and files, and an ACL set so that users belonging to a higher organization can also access. That is, as shown in FIG. 3, it is necessary to specify three access rights for the folder 301: the design department first group access right 304, the manager A access right 303, and the president access right 302.

この指定方法には従来2つの問題点があった。一つは、ACLを設定するときに、組織階層を意識して、上位組織に所属しているユーザを個別に指定しなければならないことである。図3の例では、上位組織に所属しているユーザを意識して、A部長のアクセス権303と、社長のアクセス権302を個別にACLに設定しなければならない。   There have been two problems with this designation method. One is that when setting an ACL, it is necessary to individually designate users belonging to a higher organization in consideration of the organizational hierarchy. In the example of FIG. 3, the access right 303 for the manager A and the access right 302 for the president must be individually set to ACL in consideration of the users belonging to the upper organization.

もう一つは、組織の変更に同期して、ファイルサーバなどのリソースに設定したACLを変更しなければならないことである。
企業では、人事異動や組織改変、退職や新人の採用等によって、組織に所属するユーザの情報や組織階層が頻繁に変更される。そのため、組織の変更に同期してファイルやフォルダに設定したACLを変更する必要がある。図3の例では、設計部の部長が異動した場合、ACLを変更する必要がある。 The other is that the ACL set for a resource such as a file server must be changed in synchronization with the change of the organization.
In a company, the information and organizational hierarchy of users belonging to an organization are frequently changed due to personnel changes, organizational changes, retirement, recruitment of new employees, and the like. Therefore, it is necessary to change the ACL set for the file or folder in synchronization with the change of the organization. In the example of FIG. 3, the ACL needs to be changed when the general manager of the design section changes.

このように、ファイルやフォルダに設定したACLを組織の変更に同期させることは、ファイルの数が多い場合、非常に煩雑な作業となる。このため、ACLの変更漏れが発生したり、実際の組織とファイルに対するアクセス権が一致しない状態がたびたび発生したりしてしまう。   As described above, synchronizing ACLs set for files and folders with organizational changes is a very complicated task when the number of files is large. For this reason, an ACL change omission occurs, or a state in which the access right to the actual organization and the file does not match often occurs.

本発明は、前記問題を解決するために創案されたものであり、企業内のファイルサーバに対するアクセス権をACLで制御する場合に、上位組織に属するユーザをアクセス可能とし、かつ、組織改変時のACL変更が不要となるグループ階層をディレクトリサービスデータベースに登録する組織階層定義システム、グループ階層の構成方法、及び組織階層の表示方法を提供することを課題とする。   The present invention was devised to solve the above problem, and when the access right to the file server in the enterprise is controlled by the ACL, the user belonging to the higher organization can be accessed, and at the time of the organization change It is an object of the present invention to provide an organization hierarchy definition system for registering a group hierarchy in which an ACL change is unnecessary in a directory service database, a group hierarchy configuration method, and an organization hierarchy display method.

上記課題を達成するために、本発明に係る組織階層定義システムは、ディレクトリサービスデータベースを備えたディレクトリサーバと、LDAPを用いて前記ディレクトリサーバと通信する管理サーバとを備え、この管理サーバは、GUIを用いて組織階層を定義することで、前記組織階層と逆向きのグループ階層を前記ディレクトリサービスデータベースに登録する手段と、前記ディレクトリサービスデータベースに登録されたグループ階層を組織階層としてツリー表示する手段とを設けたものである。   In order to achieve the above object, an organization hierarchy definition system according to the present invention includes a directory server having a directory service database and a management server that communicates with the directory server using LDAP. Means for registering a group hierarchy opposite to the organization hierarchy in the directory service database, and means for displaying the group hierarchy registered in the directory service database as a tree as a tree. Is provided.

本発明の組織階層定義システム、グループ階層の構成方法、及び組織階層の表示方法によれば、次のような効果がある。
企業内のファイルサーバに対するアクセス権を制御する場合に、上位組織に属するユーザをアクセス可能とし、かつ、組織改変時のACL変更が不要となるグループ階層をディレクトリサービスデータベースに登録することができ、組織階層と逆向きに構成されたグループ階層を再帰的に処理してツリー表示することができる。 The organization hierarchy definition system, group hierarchy configuration method, and organization hierarchy display method of the present invention have the following effects.
When controlling access rights to a file server in a company, a group hierarchy that enables access to users belonging to a higher organization and does not require ACL change when the organization is modified can be registered in the directory service database. A group hierarchy configured in the opposite direction to the hierarchy can be recursively processed and displayed as a tree.

以下、本発明を適用した組織階層定義システムの一実施の形態について、図面を参照して詳細に説明する。
図4は、本発明の実施形態の一例を示すシステム構成図である。図4に示すように、この組織階層定義システム400は、ディレクトリサービスデータベース(ディレクトリサービスDB)405を備えたディレクトリサーバ403と、このディレクトリサーバ403に対してアクセスする管理サーバ401を備えている。 Hereinafter, an embodiment of an organization hierarchy definition system to which the present invention is applied will be described in detail with reference to the drawings.
FIG. 4 is a system configuration diagram showing an example of an embodiment of the present invention. As shown in FIG. 4, the organization hierarchy definition system 400 includes a directory server 403 including a directory service database (directory service DB) 405 and a management server 401 that accesses the directory server 403.

また、管理サーバ401は、ディレクトリサーバ403に対してLDAPでアクセスし、組織階層をGUI(Graphical User Interface)で定義する組織階層定義部402を備えている。組織階層定義部402は、組織階層定義画面表示部411、GUI入力部412、及びディレクトリサービス登録部413を備えている。
また、ディレクトリサーバ403は、ディレクトリサービス部404を備えている。 In addition, the management server 401 includes an organization hierarchy definition unit 402 that accesses the directory server 403 using LDAP and defines an organization hierarchy using a GUI (Graphical User Interface). The organization hierarchy definition unit 402 includes an organization hierarchy definition screen display unit 411, a GUI input unit 412, and a directory service registration unit 413.
In addition, the directory server 403 includes a directory service unit 404.

図5は、図4に示した組織階層定義部402の組織階層定義画面表示部411が表示する組織階層定義画面501の具体例である。組織階層定義画面501は、GUI入力部412を介して組織階層を定義することで、組織階層に対応したグループ階層を、ディレクトリサービス登録部413を介してディレクトリサービスに登録する画面である。
図5に示すように、組織階層定義画面501は、組織階層を表示するツリービュー502と、組織階層で選択している組織505に属するユーザとグループを表示するリストビュー503とを備えている。リストビュー503の表示内容は、ツリービュー502で選択している組織に応じて変わる。図5の例では、ツリービュー502で設計部504を選択しているため、リストビュー503には、設計部504の下位組織である設計部第1グループ506と、設計部504に所属しているA部長507とを表示している。 FIG. 5 is a specific example of the organization hierarchy definition screen 501 displayed by the organization hierarchy definition screen display unit 411 of the organization hierarchy definition unit 402 shown in FIG. The organization hierarchy definition screen 501 is a screen for registering a group hierarchy corresponding to the organization hierarchy in the directory service via the directory service registration unit 413 by defining the organization hierarchy via the GUI input unit 412.
As shown in FIG. 5, the organization hierarchy definition screen 501 includes a tree view 502 that displays an organization hierarchy, and a list view 503 that displays users and groups belonging to the organization 505 selected in the organization hierarchy. The display content of the list view 503 changes according to the organization selected in the tree view 502. In the example of FIG. 5, since the design unit 504 is selected in the tree view 502, the list view 503 belongs to the design unit first group 506, which is a subordinate organization of the design unit 504, and the design unit 504. A section manager 507 is displayed.

図6は、組織階層定義画面に表示される組織階層と、ディレクトリサービス部404に定義されるグループ階層の関係を示した図である。
図6に示すように、組織階層定義画面601では、会社602の下位組織として、設計部603が定義されている。さらに、設計部603には下位組織として、設計部第1グループ604が定義されている。 FIG. 6 is a diagram showing the relationship between the organization hierarchy displayed on the organization hierarchy definition screen and the group hierarchy defined in the directory service unit 404.
As shown in FIG. 6, in the organization hierarchy definition screen 601, a design unit 603 is defined as a subordinate organization of the company 602. Further, the design unit 603 defines a design unit first group 604 as a subordinate organization.

このとき本システム(組織階層定義システム400)のディレクトリサービス登録部413では、ディレクトリサービス606に、管理サーバ401における組織階層と逆向きのグループ階層を定義する。つまり、設計部第1グループ607に含まれるグループとして、設計部608を定義し、さらに、会社609を設計部608に含まれるグループとして定義する。これにより、上位組織が下位組織に含まれるグループ階層となるため、下位組織を表すグループのACLを設定するだけで、上位組織に属するユーザもアクセス可能となる。   At this time, the directory service registration unit 413 of this system (organization hierarchy definition system 400) defines a group hierarchy opposite to the organization hierarchy in the management server 401 in the directory service 606. That is, the design unit 608 is defined as a group included in the design unit first group 607, and the company 609 is defined as a group included in the design unit 608. As a result, since the upper organization is a group hierarchy included in the lower organization, it is possible to access users belonging to the upper organization only by setting the ACL of the group representing the lower organization.

図7は、組織階層に設計部第2グループを追加した後の組織階層定義画面を示した図である。図7に示すように、組織階層定義画面701では、ツリービュー702に示す設計部704の下位組織である、設計部第1グループと設計部第2グループ、さらに、設計部704に所属しているA部長をリストビュー703に表示している。   FIG. 7 is a diagram showing the organization hierarchy definition screen after adding the design unit second group to the organization hierarchy. As shown in FIG. 7, the organization hierarchy definition screen 701 belongs to the design unit first group, the design unit second group, and the design unit 704, which are subordinate organizations of the design unit 704 shown in the tree view 702. The manager A is displayed in the list view 703.

図8は、組織階層に設計部第2グループを追加した後のディレクトリサービス上のグループ階層を示した図である。図8に示すように、図6と比較すると、新たに設計部第2グループ804が追加され、さらに、設計部805が設計部第2グループ804に含まれるグループとして定義されている。なお、この図8では、設計部802と設計部805、会社803と会社806は同じオブジェクトを指している。このとき、設計部(802、805)と会社(803、806)の階層関係は変わらないので、会社806も間接的に設計部第2グループ804に含まれるグループになっている。   FIG. 8 is a diagram showing the group hierarchy on the directory service after adding the design unit second group to the organization hierarchy. As shown in FIG. 8, compared with FIG. 6, the design unit second group 804 is newly added, and the design unit 805 is further defined as a group included in the design unit second group 804. In FIG. 8, the design unit 802 and the design unit 805, and the company 803 and the company 806 indicate the same object. At this time, since the hierarchical relationship between the design departments (802, 805) and the company (803, 806) does not change, the company 806 is also indirectly included in the design department second group 804.

図9は、組織階層定義システムにおいて、組織を新規に作成する処理の概要を示すフローチャートである。組織階層定義画面で組織を新規に作成すると、図9に示すように、まず、組織に一対一で対応するグループをディレクトリサービス上に作成する(ステップ901)。図7と図8に示した例では設計部第2グループに対応するグループをディレクトリサービス上に作成することになる。   FIG. 9 is a flowchart showing an overview of processing for creating a new organization in the organization hierarchy definition system. When a new organization is created on the organization hierarchy definition screen, as shown in FIG. 9, first, a group corresponding to the organization is created on the directory service (step 901). In the example shown in FIGS. 7 and 8, a group corresponding to the second design group is created on the directory service.

次に、作成する組織の上位組織に対応するグループを取得する(ステップ902)。図7と図8に示した例では設計部第2グループの上位組織である設計部に対応するグループがそれにあたる。   Next, a group corresponding to the organization above the organization to be created is acquired (step 902). In the example shown in FIG. 7 and FIG. 8, the group corresponding to the design department which is a higher organization of the design department second group corresponds to this.

次に、組織の階層関係をグループの階層関係として定義する。具体的には、上位組織に対応するグループを、新規に作成するグループのmember属性に追加する(ステップ903)。member属性とは、ディレクトリサービス上のあるグループに所属するオブジェクトを示す属性であるが、本システム(組織階層定義システム400)では、組織階層と逆向きのグループ階層を作成するため、member属性は、ある組織の上位組織を表していることになる。
図7と図8に示した例では設計部第2グループのmember属性に、設計部に対応するグループを追加することになる。 Next, the organizational hierarchical relationship is defined as a group hierarchical relationship. Specifically, a group corresponding to the higher organization is added to the member attribute of the newly created group (step 903). The member attribute is an attribute indicating an object belonging to a certain group on the directory service. In this system (organization hierarchy definition system 400), a group hierarchy opposite to the organization hierarchy is created. It represents the upper organization of a certain organization.
In the example shown in FIG. 7 and FIG. 8, a group corresponding to the design unit is added to the member attribute of the design unit second group.

図10はディレクトリサービスに格納されたグループ階層から組織階層をツリー表示する処理の概要を示すフローチャートである。図10に示すように、はじめに最上位の組織に対応するグループを取得する(ステップ1001)。図8に示した例では、会社(803および806)がそれにあたる。
つづいて最上位の組織、つまり会社(803および806)をツリービューに表示する(ステップ1002)。会社(803および806)の下位の組織を表示する処理(ステップ1003)は、図11に示すフローチャートに示す再帰的な処理となる。 FIG. 10 is a flowchart showing an outline of processing for displaying an organization hierarchy from a group hierarchy stored in a directory service as a tree. As shown in FIG. 10, first, a group corresponding to the highest organization is acquired (step 1001). In the example shown in FIG. 8, companies (803 and 806) correspond to this.
Subsequently, the highest-level organization, that is, companies (803 and 806) are displayed in the tree view (step 1002). The process (step 1003) for displaying the organization under the company (803 and 806) is a recursive process shown in the flowchart shown in FIG.

図11は下位の組織階層を再帰的に表示する処理の概要を示すフローチャートである。図11に示すように、まず、対象となるグループのmemberOf属性を取得する(ステップ1101)。MemberOf属性とは、ディレクトリサービス上のあるオブジェクトが所属するグループを示す属性であるが、本システムで作成したグループ階層は、組織階層と逆向きのツリーになっているため(図6参照)、memberOf属性は、ある組織の下位組織を表していることになる。   FIG. 11 is a flowchart showing an outline of processing for recursively displaying lower organization hierarchies. As shown in FIG. 11, first, the memberOf attribute of the target group is acquired (step 1101). The MemberOf attribute is an attribute indicating a group to which an object on the directory service belongs. However, since the group hierarchy created by this system is a tree opposite to the organization hierarchy (see FIG. 6), memberOf The attribute represents a subordinate organization of a certain organization.

次に、対象となるグループのmemberOf属性があるかどうかを判定する(ステップ1102)。図8の例では、会社(803および806)が所属するグループ、つまり設計部(802および805)が取得されているため、次のステップへ進む。
以降の処理は、memberOf属性のグループ数を繰り返す(ステップ1103)。
まず、memberOf属性のグループを対象となるグループの下位組織として表示する(ステップ1104)。図8の例では、設計部(802および805)を会社(803および806)の下位組織として表示する。 Next, it is determined whether there is a memberOf attribute of the target group (step 1102). In the example of FIG. 8, since the group to which the company (803 and 806) belongs, that is, the design unit (802 and 805) is acquired, the process proceeds to the next step.
In the subsequent processing, the number of groups of the memberOf attribute is repeated (step 1103).
First, the memberOf attribute group is displayed as a subordinate organization of the target group (step 1104). In the example of FIG. 8, the design departments (802 and 805) are displayed as subordinate organizations of the company (803 and 806).

次に、設計部(802および805)を対象グループとして、再帰的に処理を繰り返す。
つまり、設計部(802および805)のmemberOf属性を取得する(ステップ1101)。
設計部(802および805)は設計部第1グループ801および設計部第2グループ804に所属しているため、次のステップへ進む。 Next, the process is recursively repeated with the design units (802 and 805) as the target group.
That is, the memberOf attribute of the design unit (802 and 805) is acquired (step 1101).
Since the design units (802 and 805) belong to the design unit first group 801 and the design unit second group 804, the process proceeds to the next step.

memberOf属性のグループを対象となるグループの下位組織として表示する(ステップ1104)。つまり、設計部第1グループ801および設計部第2グループ804を設計部(802および805)の下位組織として表示する。
さらに、設計部第1グループ801および設計部第2グループ804を対象グループとして、再帰的に処理を繰り返すが、それぞれのグループはどのグループにも所属していない、つまり、memberOf属性がないため、表示処理は終了する。
以上のステップにより、ディレクトリサービスに格納されたグループ階層から組織階層をツリー表示する。 The group of the memberOf attribute is displayed as a subordinate organization of the target group (step 1104). That is, the design unit first group 801 and the design unit second group 804 are displayed as subordinate organizations of the design unit (802 and 805).
Furthermore, the design unit first group 801 and the design unit second group 804 are used as target groups, and the process is recursively repeated, but each group does not belong to any group, that is, there is no memberOf attribute. The process ends.
Through the above steps, the organization hierarchy is displayed as a tree from the group hierarchy stored in the directory service.

図12は、本システムで図1に示した組織階層を定義した時の、ディレクトリサービス上に登録されているグループとユーザを示した図である。
図12には、図1に示した組織階層とは逆向きのグループ階層が構成されている。例えば、設計部(1202および1205)は、設計部第1グループ1201と設計部第2グループ1204に所属するグループになっている。また、会社(1203、1206および1208)は、設計部(1202および1205)と営業部1207の所属するグループになっている。 FIG. 12 is a diagram showing groups and users registered on the directory service when the organizational hierarchy shown in FIG. 1 is defined in this system.
In FIG. 12, a group hierarchy opposite to the organizational hierarchy shown in FIG. 1 is configured. For example, the design units (1202 and 1205) are groups belonging to the design unit first group 1201 and the design unit second group 1204. The companies (1203, 1206, and 1208) are in a group to which the design department (1202 and 1205) and the sales department 1207 belong.

図13は、図12に示したグループを利用してACLを設定した例である。図13に示すように、この例では、設計部第1グループに対して、「読み込み」のアクセス権1302を指定している。このようにACLを設定した場合、社長、A部長、C課長、D社員の4人がアクセスできるフォルダ1301となる。すなわち、ACLを設定する際には、上位の組織階層を意識する必要はない。また、設計部の部長が変わった場合にも、ディレクトリサービス側で、設計部に所属するユーザを変更するだけで良く、フォルダに設定されたACLを変更する必要はない。   FIG. 13 shows an example in which an ACL is set using the group shown in FIG. As shown in FIG. 13, in this example, the “read” access right 1302 is designated for the design group first group. When the ACL is set in this way, the folder 1301 can be accessed by four people: the president, the department manager A, the section manager C, and the employee D. That is, when setting the ACL, it is not necessary to be aware of the upper organizational hierarchy. Also, when the manager of the design department changes, it is only necessary to change the user belonging to the design department on the directory service side, and it is not necessary to change the ACL set in the folder.

以上のように、本実施の形態の組織階層定義システム400によれば、次のような効果がある。
(1)GUIを用いて組織階層を定義することで、組織階層と逆向きのグループ階層をディレクトリサービスデータベースに登録することができる。
(2)前項(1)で登録したグループをファイルやフォルダのACLに設定することで、上位組織に属するユーザを自動的にアクセス可能とすることができる。また、組織改変時には、ディレクトリサービス側でグループに所属するユーザを変更するだけで良く、ファイルやフォルダのACLを再設定する必要はない。 As described above, according to the organization hierarchy definition system 400 of the present embodiment, there are the following effects.
(1) By defining an organizational hierarchy using a GUI, a group hierarchy opposite to the organizational hierarchy can be registered in the directory service database.
(2) By setting the group registered in (1) in the ACL of the file or folder, users belonging to the higher organization can be automatically accessed. Further, when the organization is changed, it is only necessary to change the user belonging to the group on the directory service side, and it is not necessary to reset the ACL of the file or folder.

以上、好ましい実施の形態について説明したが、本発明は前記実施の形態に限定されるものではなく、本発明の要旨を逸脱することのない範囲内において適宜の変更が可能なものである。例えば、ディレクトリサービスにアクセスするプロトコルをLDAPとしたが、他のプロトコルであっても構わない。また、GUIを用いて組織階層を定義するとしたが、他のインターフェースであっても構わない。   The preferred embodiments have been described above. However, the present invention is not limited to the above-described embodiments, and appropriate modifications can be made without departing from the scope of the present invention. For example, although the protocol for accessing the directory service is LDAP, other protocols may be used. In addition, although the organizational hierarchy is defined using the GUI, other interfaces may be used.

組織階層の例を示した図である。It is the figure which showed the example of the organization hierarchy. 組織階層の例をディレクトリサービスのグループとユーザで表した図である。It is the figure which represented the example of the organization hierarchy by the group and user of the directory service. 上位組織に属するユーザもアクセスできるように設定したACLの例を示した図である。It is the figure which showed the example of ACL set so that the user which belongs to a high-order organization could also access. 本発明の一実施の形態を示すシステム構成図である。1 is a system configuration diagram showing an embodiment of the present invention. 組織階層定義部の例を示した図である。It is the figure which showed the example of the organization hierarchy definition part. 組織階層とグループ階層の関係を示した図である。It is the figure which showed the relationship between an organization hierarchy and a group hierarchy. 組織階層に設計部第2グループを追加した後の組織階層定義画面を示した図である。It is the figure which showed the organization hierarchy definition screen after adding a design part 2nd group to an organization hierarchy. 組織階層に設計部第2グループを追加した後のディレクトリサービス上のグループ階層を示した図である。It is the figure which showed the group hierarchy on the directory service after adding a design part 2nd group to an organization hierarchy. 組織を新規に作成する処理の概要を示すフローチャートである。It is a flowchart which shows the outline | summary of the process which creates a structure | tissue newly. 組織階層を表示する処理の概要を示すフローチャートである。It is a flowchart which shows the outline | summary of the process which displays an organization hierarchy. 下位の組織階層を再帰的に表示する処理の概要を示すフローチャートである。It is a flowchart which shows the outline | summary of the process which displays a lower organization hierarchy recursively. 図1に示した組織階層を定義した場合に作成されるグループとユーザを示した図である。FIG. 2 is a diagram showing groups and users created when the organizational hierarchy shown in FIG. 1 is defined. 本システムで作成したグループをACLに設定した例を示した図である。It is the figure which showed the example which set the group created with this system to ACL. 従来例に係るACLの設定例を示した図である。It is the figure which showed the example of a setting of ACL which concerns on a prior art example.

符号の説明Explanation of symbols

101,201,602,609,803,806,1203,1206,1208 会社
102,212,504,603,608,704,802,805,1202,1205 設計部
103,222,506,604,607,801,1201 設計部第1グループ
104,223,804,1204 設計部第2グループ
105,213,702,1207 営業部
111,211 社長
112,221,507 A部長
113,231 C課長
114,232 D社員
115,233 E課長
116,234 F社員
224 B部長
301,1301 フォルダ
302,303,304,1302 アクセス権(読み込み)
400 組織階層定義システム
401 管理サーバ
402 組織階層定義部
403 ディレクトリサーバ
404 ディレクトリサービス部
405 ディレクトリサービスデータベース(ディレクトリサービスDB)
411 組織階層定義画面表示部
412 GUI入力部
413 ディレクトリサービス登録部
501,601,701 組織階層定義画面
502 ツリービュー
503,703 リストビュー
505 組織
606 ディレクトリサービス
101, 201, 602, 609, 803, 806, 1203, 1206, 1208 Company 102, 212, 504, 603, 608, 704, 802, 805, 1202, 1205 Design part 103, 222, 506, 604, 607, 801 , 1201 Design Department 1st Group 104, 223, 804, 1204 Design Department 2nd Group 105, 213, 702, 1207 Sales Department 1111, 211 President 112,221,507 A Department Manager 113,231 C Section Manager 114,232 D Employee 115 , 233 E section manager 116, 234 F employee 224 B department manager 301, 1301 Folder 302, 303, 304, 1302 Access right (read)
400 Organization hierarchy definition system 401 Management server 402 Organization hierarchy definition unit 403 Directory server 404 Directory service unit 405 Directory service database (directory service DB)
411 Organization hierarchy definition screen display unit 412 GUI input unit 413 Directory service registration unit 501, 601, 701 Organization hierarchy definition screen 502 Tree view 503, 703 List view 505 Organization 606 Directory service

Claims (3)

ディレクトリサービスデータベースを備えたディレクトリサーバと、
LDAPを用いて前記ディレクトリサーバと通信する管理サーバと、
を備えた組織階層定義システムであって、
前記管理サーバは、
GUIを用いて組織階層を定義することで、前記組織階層と逆向きのグループ階層を前記ディレクトリサービスデータベースに登録する手段と、
前記グループ階層を前記組織階層としてツリー表示する手段と、
を備えることを特徴とする
組織階層定義システム。 A directory server with a directory service database;
A management server that communicates with the directory server using LDAP;
An organizational hierarchy definition system comprising
The management server
Means for registering a group hierarchy opposite to the organizational hierarchy in the directory service database by defining an organizational hierarchy using a GUI;
Means for displaying the group hierarchy as the organization hierarchy in a tree;
An organizational hierarchy definition system characterized by comprising: ディレクトリサービスデータベースを備えたディレクトリサーバと、
LDAPを用いて前記ディレクトリサーバと通信する管理サーバと、
を備えた組織階層定義システムにおけるグループ階層の構成方法であって、
組織階層と逆向きのグループ階層を前記ディレクトリサービスデータベースへ登録するステップを含むことを特徴とする
グループ階層の構成方法。 A directory server with a directory service database;
A management server that communicates with the directory server using LDAP;
A method for configuring a group hierarchy in an organization hierarchy definition system comprising:
A method for constructing a group hierarchy, comprising: registering a group hierarchy opposite to an organization hierarchy in the directory service database. ディレクトリサービスデータベースを備えたディレクトリサーバと、
LDAPを用いて前記ディレクトリサーバと通信する管理サーバと、
を備えた組織階層定義システムにおける組織階層の表示方法であって、
前記組織階層と逆向きに構成されたグループ階層を再帰的に処理してツリー表示するステップを含むことを特徴とする
組織階層の表示方法。
A directory server with a directory service database;
A management server that communicates with the directory server using LDAP;
An organization hierarchy display method in an organization hierarchy definition system comprising:
A method for displaying an organizational hierarchy, comprising the step of recursively processing a group hierarchy configured in the direction opposite to the organizational hierarchy to display a tree.
JP2006078396A 2006-03-22 2006-03-22 Access right control system Expired - Fee Related JP4932291B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006078396A JP4932291B2 (en) 2006-03-22 2006-03-22 Access right control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006078396A JP4932291B2 (en) 2006-03-22 2006-03-22 Access right control system

Publications (2)

Publication Number Publication Date
JP2007257127A true JP2007257127A (en) 2007-10-04
JP4932291B2 JP4932291B2 (en) 2012-05-16

Family

ID=38631344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006078396A Expired - Fee Related JP4932291B2 (en) 2006-03-22 2006-03-22 Access right control system

Country Status (1)

Country Link
JP (1) JP4932291B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008117052A (en) * 2006-11-01 2008-05-22 Hitachi Software Eng Co Ltd Management authority setting system
WO2016093298A1 (en) * 2014-12-10 2016-06-16 高崎 将紘 Labor asset information management device, method, and computer program

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000259479A (en) * 1999-03-08 2000-09-22 Nec Corp Method for realizing directory service
JP2002042147A (en) * 2000-07-21 2002-02-08 Casio Comput Co Ltd Data management device and storage medium
JP2003280990A (en) * 2002-03-22 2003-10-03 Ricoh Co Ltd Document processing device and computer program for managing document
WO2005071882A1 (en) * 2003-10-23 2005-08-04 Microsoft Corporation System and methods providing enhanced security model
WO2005081440A1 (en) * 2004-02-17 2005-09-01 Avocent Corporation Network virtual computing devices and framework
JP2006031080A (en) * 2004-07-12 2006-02-02 Fuji Xerox Co Ltd Computer program, system, and method for data management

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000259479A (en) * 1999-03-08 2000-09-22 Nec Corp Method for realizing directory service
JP2002042147A (en) * 2000-07-21 2002-02-08 Casio Comput Co Ltd Data management device and storage medium
JP2003280990A (en) * 2002-03-22 2003-10-03 Ricoh Co Ltd Document processing device and computer program for managing document
WO2005071882A1 (en) * 2003-10-23 2005-08-04 Microsoft Corporation System and methods providing enhanced security model
WO2005081440A1 (en) * 2004-02-17 2005-09-01 Avocent Corporation Network virtual computing devices and framework
JP2006031080A (en) * 2004-07-12 2006-02-02 Fuji Xerox Co Ltd Computer program, system, and method for data management

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008117052A (en) * 2006-11-01 2008-05-22 Hitachi Software Eng Co Ltd Management authority setting system
WO2016093298A1 (en) * 2014-12-10 2016-06-16 高崎 将紘 Labor asset information management device, method, and computer program

Also Published As

Publication number Publication date
JP4932291B2 (en) 2012-05-16

Similar Documents

Publication Publication Date Title
US10754932B2 (en) Centralized consent management
US8296200B2 (en) Collaborative financial close portal
US8812439B2 (en) Folder structure and authorization mirroring from enterprise resource planning systems to document management systems
US10796012B2 (en) Unifying interface for cloud content sharing services
RU2534369C2 (en) Methods of controlling access to organisational information of entity
US9530105B2 (en) Managing entity organizational chart
US7913161B2 (en) Computer-implemented methods and systems for electronic document inheritance
US20050131959A1 (en) Superset file browser
AU2002216658A1 (en) System and method for application-level security
WO2002041150A1 (en) System and method for application-level security
JP2008210376A (en) Organization hierarchy definition system, group hierarchy composition method, and organization hierarchy display method
US20130031480A1 (en) Visually representing and managing access control of resources
JP2011192078A (en) Task managing device and task management program
JP4932291B2 (en) Access right control system
US20230325045A1 (en) Presenting entity activities
JP4865507B2 (en) Management authority setting system
JP2008052337A (en) Digital data file multi-attribute evaluation classification operation management program
JP2009110241A (en) Electronic file management device
WO2017094554A1 (en) Electronic sticky note system
JP2007272387A (en) File access authority setting system
US7774406B2 (en) Method and system for an independent collaborative computing community
US11238030B2 (en) Issue tracking systems and methods for a configurable project hierarchy
US12001421B2 (en) Issue tracking systems and methods for a configurable project hierarchy
WO2013171968A1 (en) Screening management device and screening management method
JP2020181585A (en) Information processing device and information processing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110412

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120215

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150224

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees