JP2007272387A - ファイルアクセス権限設定システム - Google Patents
ファイルアクセス権限設定システム Download PDFInfo
- Publication number
- JP2007272387A JP2007272387A JP2006095022A JP2006095022A JP2007272387A JP 2007272387 A JP2007272387 A JP 2007272387A JP 2006095022 A JP2006095022 A JP 2006095022A JP 2006095022 A JP2006095022 A JP 2006095022A JP 2007272387 A JP2007272387 A JP 2007272387A
- Authority
- JP
- Japan
- Prior art keywords
- information
- structural unit
- file
- access authority
- hierarchy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】ディレクトリサービスで保持している情報について一元管理するとともに、組織階層に基づくファイルアクセス権限を簡単に設定する。
【解決手段】組織階層に基づくユーザ情報の提供は、グループおよびユーザ情報をディレクトリサービス503に保持する。組織(グループ)の階層構造である親子関係の情報は独自にデータベース502に保持する。グループおよびユーザ情報と組織階層の情報は、グラフィカルなユーザインタフェースにより結びつける。組織階層情報一覧の要求があった場合には、組織階層情報から求めたユーザやグループを一覧の形で提供する。
【選択図】 図6
【解決手段】組織階層に基づくユーザ情報の提供は、グループおよびユーザ情報をディレクトリサービス503に保持する。組織(グループ)の階層構造である親子関係の情報は独自にデータベース502に保持する。グループおよびユーザ情報と組織階層の情報は、グラフィカルなユーザインタフェースにより結びつける。組織階層情報一覧の要求があった場合には、組織階層情報から求めたユーザやグループを一覧の形で提供する。
【選択図】 図6
Description
本発明は、ファイルアクセス権限設定システムに関し、特に、組織階層に基づき、組織に所属する社員などのユーザ情報又は部・課などのグループ情報を提供するためのディレクトリサービスを含むにファイルアクセス権限設定システムに関する。
コンピュータシステムの発達に伴い、コンピュータシステムによりユーザの管理を行うことが一般的になってきている。コンピュータシステムが複数存在する場合に、それぞれのコンピュータシステムが個別にユーザ管理を行うように構成すると、ユーザ情報が複数個所に存在することになり、ユーザ情報の管理が煩雑となる。
そこで、ユーザ情報を一元管理するために、ディレクトリサービスを利用することが一般的となっている。図1は、ディレクトリサービスの利用方法の一例を示す図である。ユーザ情報101a、所属グループ101b、メールアドレス101cなどの情報を一括管理するディレクトリサービス101、電子メールを送受信するメールサーバ102、共用プリンタを管理するプリンタサーバ103、共用フォルダを管理するファイルサーバ104、社内業務を行う業務システム105が設けられている。
このような場合、メールサーバ102、プリンタサーバ103、ファイルサーバ104や業務システム105は、認証のためにユーザ情報をディレクトリサービス101より取得し、対象となるユーザが実際に登録されているか、パスワードは合っているか、などを照合して確認するサービスを行う。また、ディレクトリサービス101は、ユーザがどのグループに属するかに関する情報も持っているため、グループに複数のユーザを属するような構成をとっていれば、ファイルサーバ104のように共用するフォルダやグループに対し参照や更新などのアクセス権を設定することにより、ユーザ毎に権限を設定する煩わしさも解消することが可能となる。
業務システムでは、業務を行うためのユーザ認証や部署情報、ユーザ情報を表示させることにより、様々なナビゲーションを表現することが可能となる。このように、ユーザや組織などの情報をそれぞれのメールサーバ102、プリンタサーバ103、ファイルサーバ104や、業務システム105のそれぞれで保持すると、会社であれば社員の退職や異動などがあった場合などに、全てのサーバやシステムの情報を変更する必要があり、管理が煩雑となってしまうという問題がある。
この問題を解決するために、ディレクトリサービスとして情報を一元管理し、全てのサーバや業務システムの情報を使用するような形態をとっている。ディレクトリサービスに使用するインタフェース(またはプロコトル)として一般的にLDAP(Lightweight Directory Access Protocol)が利用される。ディレクトリサービスは、グループの情報を保持するが、グループ間の関係の情報については持っていないのが一般的である。LDAPのインタフェースでも、効率よくグループ間の関係を取得するインタフェースは持っていない。
あるファイルに対して誰が参照可能かどうかという権限情報をファイルに設定可能とする。図2は、ファイルに「誰が、何をできる」というような権限を与えた場合のシステム構成例を示す図である。図2に示すように、権限情報203を付与されたファイル201は、実際の情報を書き込んだ実ファイル202と、「誰が、何をできる」といった権限情報203とを合わせて一つのファイル201を構成する。このファイル201は、専用のファイルエディタ204でのみ内容を参照可能であるということを前提として、ファイルエディタ204は、権限情報203に基づいてユーザの操作を制限することが可能となる。
権限情報203に設定されたように、ユーザA205はファイル201の更新が可能であるため、ファイルエディタ204はファイル201の更新を許可するようにユーザA205の操作を制御する。また、グループXに属するユーザn206は、参照可の権限のみであれば、ファイルエディタ204はユーザn206に対してファイル201の参照のみを許容し、更新する等の操作を制限するような仕組みとすることができる。
ここで、ファイル201に対して付与する権限情報203の「誰が」の部分の情報は、ディレクトリサービス207から取得するように構成されている。すなわち、ディレクトリサービス207に登録されているユーザまたはグループでなければ、ファイルを操作(参照・更新等)が出来ない。
図3(A)、(B)は、会社組織がファイルに権限情報を付与する場合のルールの例を示す図である。xx会社301の社員であるJ担当302がファイル303を参照する場合を考える。ファイル303に対して参照制限のために何らかのガードをかけたい場合に、例えばJ担当302以外は参照できないように設定した場合でも、J担当302の上司であるI課長303、D部長304や社長305は参照可能としたいが、直系の上長でないE部長306や他部署に所属する開発11課307の社員には見せたくないという場合がある。しかしながら、組織階層に従った下から上に向かっての直系の上長または部署をたどった情報をLDAPでディレクトリサービスから取得することはできない。図4は、会社の組織階層に従った情報をディレクトリサービスに設定する場合の例を示す図である。組織階層を表現するためには、図4に示すように、会社グループ401の中に営業本部グループ402と開発本部グループ403といった様にグループを入れ子の形にするしか方法がない。開発12課404からの直系のグループの一覧の取得をする方法はなく、会社グループ401を選択した場合には、社員全員を選択することになり、社長だけの情報を取得することはできない。
これを解決する手段として、全ての情報をデータベース内に格納することにより、組織階層に従った、直系の上位ユーザもしくはグループを取得することができる。しかしながら、この方法では、ユーザ情報やグループ情報をディレクトリサービスとデータベースとで2重管理することになり、当初のディレクトリサービスによる情報の一元管理が出来なくなってしまうという問題がある。
本発明の目的は、下から上への直系の上長または上位組織情報を、既存のディレクトリサービスを利用して一元管理できるサービスを提供することである。
本発明に係るファイルアクセス権限設定システムは、ファイルに対するアクセス権を与える対象ユーザまたはグループを、組織階層を意識して自動的に取得し、ファイルに権限を設定する仕組みを有する。
すなわち、本発明の一観点によれば、組織の構成単位毎の組織階層に関する情報を提供する組織階層提供サービスと、該組織階層提供サービスが提供する前記組織階層情報に基づいて作成された構成単位名を保持するディレクトリサービス及び構成単位毎にツリー状に形成された階層情報を保持するデータベースに対して、前記ディレクトリサービスの各構成単位名と前記データベースの構成単位毎の組織情報とを、該構成単位名に基づいて自動的に関連付けるための登録を行う管理者端末と、前記関連付けに基づいて、組織が保持する権限付与対象ファイルに対して構成単位毎のアクセス権限を付与するファイル権限設定システムと、を備えることを特徴とするファイルアクセス権限設定システムが提供される。ディレクトリサービスには、組織の階層情報を含まない。データベースには、組織の階層情報が含まれる。両方の情報に基づいて、管理者端末から、例えば、組織の下方向から上方向の経路に沿ってファイルアクセス権限を付与することができる。
本発明の他の観点によれば、組織の構成単位毎の組織階層に関する情報を提供するステップと、提供された前記組織階層情報に基づいて、構成単位名をディレクトリサービスに保持させるとともに、構成単位毎ツリー状に形成された階層情報をデータベースに保持させるステップと、前記データベースの構成単位毎の組織階層と前記ディレクトリサービスの各構成単位名とを構成単位名に基づいて自動的に関連付けるステップと、前記関連付けに基づいて権限付与対象ファイルに対して構成単位毎のアクセス権限を付与するステップと、を有することを特徴とするファイルアクセス権限設定方法が提供される。前記構成単位毎のアクセス権限を付与するステップは、前記ツリーを一本道に辿って前記構成単位に対して前記アクセス権限を付与していくステップを有することも可能である。本発明は、上記に記載のステップをコンピュータに実行させるためのプログラムであっても良い。
本発明の組織階層提供サービスを用いると、ディレクトリサービスで保持している情報については一元管理しつつ、データベースに別途保持させた組織階層に基づいて、ファイルアクセス権限を効率良く設定することができるという利点がある。
本明細書において、組織の構成単位とは、会社、社長、本部長、開発本部などの本部、部、課、グループ、プロジェクトチームなど、固定的又は一時的なグループを含むものとして定義される。このような構成単位については、何らかの階層が決められているのが一般的である。
以下に、本発明の一実施の形態によるファイルアクセス権限設定システムについて図面を参照しながら説明を行う。図5は、本実施の形態によるファイルアクセス権限設定システムに対して組織階層情報を提供するシステムの一構成例を示す図である。管理者端末501は、組織階層提供サービス502が提供する管理画面から、組織情報の登録と組織階層の登録とを行う。ファイル権限設定システム503は、開発12課用フォルダ504に格納されている、例えば開発12課用フォルダ内のファイル504a、開発13課用フォルダ内のファイル504bに権限を付与するために、対象となるグループを組織階層提供サービス502から取得する。
図6は、下方向から上方向の経路に沿った課レベルのユーザ(又はグループ)の一覧の取得方法と、「組織階層提供サービス」502としてシステムに提供する方法を示す。組織階層提供サービス502は、組織階層情報を持つデータベース505と、グループ又はユーザ情報を保持するディレクトリサービス506と、で構成される。尚、図示しないが、図5、図6において、組織階層提供サービス502、ファイル権限設定システム503、データベース505及びディレクトリサービス506は、単一または複数のコンピュータ装置(サーバ)内に存在するものとする。
以下に処理の流れについて図5、6を参照しながら説明を行う。
1)管理者端末501の画面から、組織の各構成単位の登録及び組織階層を定義する。組織の各構成単位とは、具体的には、ディレクトリサービス506の「営業本部」や「開発本部」などを指す。ディレクトリサービス506の各構成単位は、階層構造を持たないため、この階層(関連)はデータベース505で保持する。
尚、「組織階層を定義する」とは、管理者端末501の画面上で、「xx会社」の下には「営業本部」と「開発本部」といった各構成単位の位置(関連)を定義することを指す。
2)組織階層提供サービス502は、組織の各構成単位が登録された場合には、ディレクトリサービス506に、新たに登録された構成単位のオブジェクトを作成する。すなわち、構成単位オブジェクトをディレクトリサービス506に作成するように依頼(指示)する。
3)組織階層提供サービス502は、組織階層を定義した場合は、組織階層提供サービスに定義した組織階層情報を、データベース505内に持ち管理する。尚、組織階層を定義するのは、上記1)の管理者端末501が行う。
4)このとき、組織階層提供サービス502は、データベース505の組織階層の各構成単位の階層情報とディレクトリサービス506の各構成単位情報(オブジェクト)とを自動的に関連付ける(L1からL7)。すなわち、上記1)の情報を元に、上記2)→3)→4)の処理を行う。
5)この結果、ファイル権限設定システム503は、組織階層提供サービス502に対して、ある末端の組織(または途中の組織)の情報を基に、下から上方向(課レベル)の経路に沿ったユーザ(もしくはグループ)の図3に示すようなファイルのアクセス権限に関する一覧を取得することができ、構成単位毎のアクセス権限を付与することが可能となる。
1)管理者端末501の画面から、組織の各構成単位の登録及び組織階層を定義する。組織の各構成単位とは、具体的には、ディレクトリサービス506の「営業本部」や「開発本部」などを指す。ディレクトリサービス506の各構成単位は、階層構造を持たないため、この階層(関連)はデータベース505で保持する。
尚、「組織階層を定義する」とは、管理者端末501の画面上で、「xx会社」の下には「営業本部」と「開発本部」といった各構成単位の位置(関連)を定義することを指す。
2)組織階層提供サービス502は、組織の各構成単位が登録された場合には、ディレクトリサービス506に、新たに登録された構成単位のオブジェクトを作成する。すなわち、構成単位オブジェクトをディレクトリサービス506に作成するように依頼(指示)する。
3)組織階層提供サービス502は、組織階層を定義した場合は、組織階層提供サービスに定義した組織階層情報を、データベース505内に持ち管理する。尚、組織階層を定義するのは、上記1)の管理者端末501が行う。
4)このとき、組織階層提供サービス502は、データベース505の組織階層の各構成単位の階層情報とディレクトリサービス506の各構成単位情報(オブジェクト)とを自動的に関連付ける(L1からL7)。すなわち、上記1)の情報を元に、上記2)→3)→4)の処理を行う。
5)この結果、ファイル権限設定システム503は、組織階層提供サービス502に対して、ある末端の組織(または途中の組織)の情報を基に、下から上方向(課レベル)の経路に沿ったユーザ(もしくはグループ)の図3に示すようなファイルのアクセス権限に関する一覧を取得することができ、構成単位毎のアクセス権限を付与することが可能となる。
以上に説明したように、本実施の形態による組織階層提供サービスを用いると、以下に示す効果がある。
ディレクトリサービスで保持している情報について一元管理するとともに、組織階層に基づくファイルアクセス権限を簡単に設定することができる。
本発明は、ファイルアクセス権限設定システムに利用可能である。
501…管理者端末、502…組織階層提供サービス、503…ファイル権限設定システム、504…開発12課用フォルダ、505…データベース、506…ディレクトリサービス。
Claims (4)
- 組織の構成単位毎の組織階層に関する情報を提供する組織階層提供サービスと、
該組織階層提供サービスが提供する前記組織階層情報に基づいて作成された構成単位名を保持するディレクトリサービス及び構成単位毎にツリー状に形成された階層情報を保持するデータベースに対して、前記ディレクトリサービスの各構成単位名と前記データベースの構成単位毎の組織情報とを、該構成単位名に基づいて自動的に関連付けるための登録を行う管理者端末と、
前記関連付けに基づいて、組織が保持する権限付与対象ファイルに対して構成単位毎のアクセス権限を付与するファイル権限設定システムと
を備えることを特徴とするファイルアクセス権限設定システム。 - 組織の構成単位毎の組織階層に関する情報を提供するステップと、
提供された前記組織階層情報に基づいて、構成単位名をディレクトリサービスに保持させるとともに、構成単位毎ツリー状に形成された階層情報をデータベースに保持させるステップと、
前記データベースの構成単位毎の組織階層と前記ディレクトリサービスの各構成単位名とを構成単位名に基づいて自動的に関連付けるステップと、
前記関連付けに基づいて権限付与対象ファイルに対して構成単位毎のアクセス権限を付与するステップと
を有することを特徴とするファイルアクセス権限設定方法。 - 前記構成単位毎のアクセス権限を付与するステップは、前記ツリーを一本道に辿って前記構成単位に対して前記アクセス権限を付与していくステップを有することを特徴とする請求項2に記載のファイルアクセス権限設定方法。
- コンピュータに請求項2又は3に記載のステップを実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006095022A JP2007272387A (ja) | 2006-03-30 | 2006-03-30 | ファイルアクセス権限設定システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006095022A JP2007272387A (ja) | 2006-03-30 | 2006-03-30 | ファイルアクセス権限設定システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007272387A true JP2007272387A (ja) | 2007-10-18 |
Family
ID=38675153
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006095022A Pending JP2007272387A (ja) | 2006-03-30 | 2006-03-30 | ファイルアクセス権限設定システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007272387A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010079468A (ja) * | 2008-09-25 | 2010-04-08 | Hitachi Ltd | ファイルサーバリソース分割方法、システム、装置及びプログラム |
JP5575969B1 (ja) * | 2013-10-30 | 2014-08-20 | 株式会社アイ・ピー・エス | データ管理サーバ、およびデータ管理プログラム |
CN111611220A (zh) * | 2019-02-26 | 2020-09-01 | 宁波创元信息科技有限公司 | 一种基于层级式节点的文件共享方法及系统 |
-
2006
- 2006-03-30 JP JP2006095022A patent/JP2007272387A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010079468A (ja) * | 2008-09-25 | 2010-04-08 | Hitachi Ltd | ファイルサーバリソース分割方法、システム、装置及びプログラム |
JP5575969B1 (ja) * | 2013-10-30 | 2014-08-20 | 株式会社アイ・ピー・エス | データ管理サーバ、およびデータ管理プログラム |
CN111611220A (zh) * | 2019-02-26 | 2020-09-01 | 宁波创元信息科技有限公司 | 一种基于层级式节点的文件共享方法及系统 |
CN111611220B (zh) * | 2019-02-26 | 2024-02-06 | 宁波创元信息科技有限公司 | 一种基于层级式节点的文件共享方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9992068B2 (en) | Rule based mobile device management delegation | |
US9720915B2 (en) | Presenting metadata from multiple perimeters | |
CN103377336B (zh) | 一种计算机系统用户权限的控制方法和系统 | |
JP2008097419A (ja) | アプリケーション稼働制御システムおよびアプリケーション稼働制御方法 | |
US20100011408A1 (en) | Implementing Organization-Specific Policy During Establishment of an Autonomous Connection Between Computer Resources | |
JP2003323528A (ja) | 人事管理システムおよびその方法 | |
JP2013196349A (ja) | 社員情報管理システム、情報処理装置、社員情報管理システム生成方法、社員情報管理システム生成プログラム及び情報取得方法 | |
JP2013114475A (ja) | 情報管理システムおよび情報管理方法 | |
JP5119840B2 (ja) | 情報処理装置、情報処理システム、及びプログラム | |
JP2014182603A (ja) | 文書管理システム、文書管理方法及び文書管理プログラム | |
JP2005038145A (ja) | 電子承認システムにおける承認ルート決定方法及びプログラム | |
JP2007272387A (ja) | ファイルアクセス権限設定システム | |
JP4865507B2 (ja) | 管理権限設定システム | |
JP2006350627A (ja) | 文書管理システム | |
JP2005301602A (ja) | 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体 | |
JP2009110241A (ja) | 電子ファイル管理装置 | |
JP2006107282A (ja) | コミュニティ管理システム、コミュニティサーバ、コミュニティ管理方法、及びコミュニティ管理プログラム | |
JP2005228059A (ja) | アカウント管理システム及びその方法 | |
JP2007226428A (ja) | 利用権限管理システム、利用権限管理装置、および利用権限管理プログラム | |
JP5820952B1 (ja) | 情報管理装置及びプログラム | |
JP2009157445A (ja) | データベース開発管理システム及びプログラム | |
JP2007233635A (ja) | 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム | |
JP2010160742A (ja) | 認証処理装置、認証処理システム、認証処理方法、及びプログラム | |
JP4932291B2 (ja) | アクセス権制御システム | |
JP2008234200A (ja) | セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |