JP2010198602A - Access right management device, access right management system, access right management method, program, and recording medium - Google Patents
Access right management device, access right management system, access right management method, program, and recording medium Download PDFInfo
- Publication number
- JP2010198602A JP2010198602A JP2009279501A JP2009279501A JP2010198602A JP 2010198602 A JP2010198602 A JP 2010198602A JP 2009279501 A JP2009279501 A JP 2009279501A JP 2009279501 A JP2009279501 A JP 2009279501A JP 2010198602 A JP2010198602 A JP 2010198602A
- Authority
- JP
- Japan
- Prior art keywords
- access right
- right management
- user terminal
- access
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、データベース(DB)システムにおける、複数のユーザからなるグループに付与された個々のユーザについてのアクセス権限の追加/変更/削除の連絡等の管理を行うアクセス権管理装置、アクセス権管理システム、アクセス権管理方法、プログラムおよび記録媒体に関する。 The present invention relates to an access right management apparatus and an access right management system for managing communication of addition / change / deletion of access rights for individual users assigned to a group consisting of a plurality of users in a database (DB) system. , An access right management method, a program, and a recording medium.
企業内DB(データベース)等に対する情報セキュリティ対策の基本的なものの1つとして、アクセス権の設定と管理がある。企業は、この設定等により、DBへの不正アクセスによる情報の漏洩を防止している。 One of basic information security measures for an in-company DB (database) or the like is setting and managing access rights. With this setting, the company prevents information leakage due to unauthorized access to the DB.
アイコンをクリックすることによりDBを開く、例えばロータスノーツDB(ロータスノーツは登録商標)の如きDBにおいても、全く同様にIDの追加/変更/削除をアクセス制御リストにIDを追加/変更/削除することによりアクセス権の管理が行なわれている。この場合、例えばDBの管理者が、DBにアクセス可能なアクセス権保有者を登録したACL(Access Control List:アクセス制御リスト)を作成し、DBサーバに格納しておく。DBサーバは、自DBへのアクセス要求に応じて、ACLを参照し、アクセス要求者がアクセス権保有者である場合にのみ、DBへのアクセスを許可する。なお、個々のDBサーバでは、ACLの作成を行わず、適宜の管理DBサーバでACLの管理(例えば、アクセス権保有者の追加/変更/削除等)を行うようにし、個々のDBサーバは、管理DBサーバのACLのコピーを保有し随時更新する形態、あるいは個々のDBサーバがアクセスを受ける毎に管理DBサーバに問い合わせを行うことでアクセス権の確認を行う形態で、DBシステムを運用することもある。 Clicking on an icon opens a DB, for example, a DB such as Lotus Notes DB (Lotus Notes is a registered trademark), and adds / changes / deletes IDs in the access control list in exactly the same way. Thus, access rights are managed. In this case, for example, the DB administrator creates an ACL (Access Control List) in which access right holders who can access the DB are registered, and stores the ACL in the DB server. The DB server refers to the ACL in response to a request for access to its own DB, and permits access to the DB only when the access requester is an access right holder. In addition, in each DB server, ACL creation is not performed, and ACL management (for example, addition / change / deletion of access right holders) is performed in an appropriate management DB server. Operate the DB system in the form of holding a copy of the ACL of the management DB server and updating it as needed, or checking the access right by inquiring the management DB server every time each DB server is accessed There is also.
ロータスノーツ等のDBの場合、上記のACLには、登録対象であるアクセス権保有者として個人が登録されるだけでなく、グループが登録(記録)されることがある。その場合には、登録されたグループに属する個人が登録対象となり、その者にアクセス権が設定される。すなわち、グループ化された複数の利用者端末の個々の前記アクセス権を少なくともグループ単位で管理可能になっている。そして、個人IDに対して通常事業部、部や課という所属に関するものや、DBのアクセス管理などを目的として、グループアドレスが任意に作成されている。 In the case of a DB such as Lotus Notes, not only an individual is registered as an access right holder to be registered but also a group may be registered (recorded) in the ACL. In that case, an individual belonging to the registered group becomes a registration target, and an access right is set for that person. That is, it is possible to manage individual access rights of a plurality of grouped user terminals at least in group units. A group address is arbitrarily created for the personal ID for the purpose of belonging to a normal business department, department or section, DB access management, or the like.
グループアドレスによる登録は複数の条件で登録されている場合もある。例えば特許文献1には、グループアドレスに登録されているグループメンバーを解析してアクセス制御レベルによる解析を容易にする技術が提案されている。また、特許文献2には、グループ登録下でのアクセス制御リストの自動更新処理に関する技術が開示されている。 Registration by group address may be registered under a plurality of conditions. For example, Patent Document 1 proposes a technique that facilitates analysis based on an access control level by analyzing group members registered in a group address. Patent Document 2 discloses a technique related to automatic update processing of an access control list under group registration.
こうした、従来のDBにおいては、アクセス権管理側では図12の操作画面表示例に例示するようにアクセス権の追加を個人IDもしくは、個人IDをまとめたグループアドレスをアクセス制御レベル:管理者、設計者、編集者、作成者、読者、投稿者といった状況に合わせて追加することで該当するDBを見ることが可能となっている。なお、アクセス制御リスト変更記録(ログ)を表示させることができる(図13の画面表示例参照)。 In such a conventional DB, on the access right management side, as exemplified in the operation screen display example of FIG. 12, the access right is added as a personal ID or a group address including the personal IDs as an access control level: administrator, design. Applicable DBs can be viewed by adding them according to the situation such as the editor, editor, creator, reader, or contributor. An access control list change record (log) can be displayed (see the screen display example in FIG. 13).
ところで、従来のDBシステムにおいては、アクセス権の管理状態の現況についてはユーザ側への対応は充分とは言えないものであった。追加/変更/削除の記録は、アクセス権管理側では図13にあるようなログをみることでわかるが、該当IDを有する利用者には何ら連絡がない。また、ログの記録件数は限られているため、変更記録が頻繁に行なわれていれば、長い期間でのログの全てを保存しておくことは出来ない。このように、ユーザ側としては、アクセス権の追加/変更/削除について何ら情報を得られず、特にグループ単位のアクセス権変更により、ユーザの明確な認識無しにアクセス権が削除されたような場合には、突然DBがひらけなくなるという不都合がある。 By the way, in the conventional DB system, it cannot be said that the response to the user side is sufficient for the current state of the access right management state. The record of addition / change / deletion can be seen on the access right management side by looking at the log as shown in FIG. 13, but there is no communication with the user having the corresponding ID. In addition, since the number of log records is limited, it is not possible to save all the logs over a long period if change recording is frequently performed. As described above, the user side cannot obtain any information on addition / change / deletion of access right, and in particular, when the access right is deleted without the user's clear recognition due to the access right change of the group unit. Has the disadvantage of suddenly failing to open the DB.
こうした場合に生じる問題の具体例を挙げる。ロータスノーツDB稼動環境で、組織異動に伴うグループアドレスの変更により、ユーザ甲は必要な掲示板が閲覧不能であったことに気づいたのは変更後日数も経過した9月になってであった。DBの管理者も判らず色々なところへと問い合わせをした後、ようやく手続きを調べ一月後に申請することによってやっとDBの閲覧ができるようになった。以後、このようなことが無いように掲示板DBを毎日クリックして閲覧可能かどうかを確認するようにしているが、そのための時間が必毎日少なからず要となり、本来の業務時間が割かれてしまう不都合が生じた。また、DBの内容表示がアイコンをクリックすることで行なわれるDBであるため、DBを開くたびにアイコンが作成され、必要なDBの所在がわからないといった問題点もある。
一方、DB自体の構成の変更、具体的にいうとサーバの移動によりDB自体の存在がわからないことや、使用頻度の低いDBに対してはファイルを圧縮して容量アーカイブ処理の実施などによりDBが容易に閲覧できないという問題点が生じる。
かかる場合にはグループアドレスの変更が行なわれた時と同様に、アイコンをクリックしてもDBが開けない。
アーカイブされた情報をリトリーブするとしても時間がかかるので、必要な情報をすぐに得られないという不具合が生じる。
このような場合には、事前にサーバの移動あるいはアーカイブされることを知っておけば、必要な情報のバックアップを取ることが可能となる。
Specific examples of problems that occur in such cases are given below. In the Lotus Notes DB operating environment, it was only in September when the days after the change passed that the user A realized that the required bulletin board could not be browsed due to the change of the group address accompanying the organizational change. After the DB administrator made inquiries to various places without knowing it, he finally became able to view the DB by examining the procedure and applying for it one month later. After that, to make sure that this is not the case, click on the bulletin board DB every day to check if it can be viewed. However, the time required for that will be necessary every day. Inconvenience occurred. In addition, since the DB content is displayed by clicking an icon, there is a problem that an icon is created each time the DB is opened, and the location of the necessary DB is unknown.
On the other hand, a change in the configuration of the DB itself, specifically, the fact that the DB itself does not exist due to the movement of the server, or for a DB that is not frequently used, the file is compressed and the capacity archiving process is performed. There is a problem that it cannot be viewed easily.
In such a case, the DB cannot be opened even if the icon is clicked in the same way as when the group address is changed.
Even if the archived information is retrieved, it takes time, so that the necessary information cannot be obtained immediately.
In such a case, if it is known that the server is moved or archived in advance, it becomes possible to back up necessary information.
本発明は、上述した如き実情を考慮してなされたものであり、従前のDBシステムのアクセス権管理方式に伴い発生する、ユーザ側から見て使い勝手が悪いという課題を解決して、個々のユーザがDBのアクセス権の状況変化、DBの構成の情報変化を、リアルタイムに把握可能なアクセス権管理装置、アクセス権管理システム、アクセス権管理方法、プログラムおよび記録媒体を提供することを目的としている。 The present invention has been made in consideration of the above-mentioned circumstances, and solves the problem of inconvenience seen from the user side, which occurs with the access right management method of the conventional DB system, and enables individual users to It is an object of the present invention to provide an access right management device, an access right management system, an access right management method, a program, and a recording medium capable of grasping in real time changes in the status of DB access rights and changes in DB configuration information.
上記課題を解決するために、本発明は、以下の解決手段を有することを特徴とする。
(1)個々の利用者端末に割り当てられたID情報によって、情報提供DBに対するアクセス権を管理するアクセス権管理装置であって、グループ化された複数の利用者端末の個々の前記アクセス権を少なくともグループ単位で管理し、前記グループ単位でのアクセス権の共通した追加/変更/削除処理を行った場合には、当該処理実施完了時に当該処理の実施完了情報を、前記グループに属する個々の利用者端末に一括して通知する通知手段を備えることを特徴とする。
In order to solve the above-mentioned problems, the present invention is characterized by having the following solution means.
(1) An access right management device that manages an access right to an information providing DB based on ID information assigned to each user terminal, wherein at least the access rights of a plurality of grouped user terminals are When management is performed in units of groups and the common access right addition / change / deletion processing is performed in units of groups, the execution completion information of the processing is displayed as individual users belonging to the group when the processing is completed. It is characterized by comprising notification means for collectively notifying the terminal.
(2)前記(1)に記載のアクセス権管理装置において、上記アクセス権管理装置において、前記利用者端末からの通知要求に対して、要求元の前記利用者端末がアクセス可能な情報提供DBの一覧を通知することを特徴とすることができる。
(3)また前記(2)に記載のアクセス権管理装置において、上記アクセス権管理装置において、前記要求元の利用者端末がアクセス可能な情報提供DBを当該利用者端末においてアイコン化して視覚的に表示させることを特徴とすることができる。
(2) In the access right management device according to (1), in the access right management device, in the information provision DB accessible to the requesting user terminal in response to a notification request from the user terminal. A list can be notified.
(3) Further, in the access right management device according to (2), in the access right management device, an information provision DB accessible to the requesting user terminal is iconified and visually displayed in the user terminal. It can be characterized by being displayed.
(4)前記(2)または(3)に記載のアクセス権管理装置において、上記アクセス権管理装置であって、前記要求元の利用者端末において、前記アクセス可能な情報提供DBまたは前記アクセス可能な情報提供DBを示すアイコンが、各情報提供DBと当該利用者端末のID情報との個々の関連性の種別に基づいて視覚的に分類表示されることを特徴とすることができる。
(5)また前記(2)または(3)に記載のアクセス権管理装置において、上記アクセス権管理装置であって、前記要求元の利用者端末において、前記アクセス可能な情報提供DBまたは前記アクセス可能な情報提供DBを示すアイコンが、アクセス権限の種類ごとに視覚的に分類表示されることを特徴とすることができる。
(6)前記(1)〜(5)のいずれかに記載のアクセス権管理装置において、DBの構成に変更がある前後に、当該DBのグループアドレス並びにアクセス履歴メンバーに連絡を行なうことを特徴とする。
(7)また前記(1)〜(5)のいずれかに記載のアクセス権管理装置において、前記通知をグループアドレス並びにアクセス履歴メンバーに通知後、少なくとも一週間後に、構成の変更を行なうことを特徴とする。
(4) The access right management device according to (2) or (3), wherein the access right management device is the accessible information provision DB or accessible at the requesting user terminal. The icons indicating the information providing DBs may be characterized in that they are visually classified and displayed based on the types of individual relevance between each information providing DB and the ID information of the user terminal.
(5) Also, in the access right management device according to (2) or (3), the access right management device may be configured such that the accessible information provision DB or the accessible is accessible at the requesting user terminal. An icon indicating a simple information provision DB is visually classified and displayed for each type of access authority.
(6) The access right management apparatus according to any one of (1) to (5), wherein the DB group address and access history members are contacted before and after the DB configuration is changed. To do.
(7) In the access right management apparatus according to any one of (1) to (5), the configuration is changed at least one week after the notification is notified to the group address and the access history member. And
(8)第二の観点として、本発明は、ネットワークを介して、互いにデータ通信可能に接続された情報提供DBと、前記(1)乃至(5)のいずれか一項に記載のアクセス権管理装置と、前記情報提供DBに対する個々のアクセス権を少なくともグループ単位で前記アクセス権管理装置によって管理され、グループ化された複数の利用者端末と、を備えるアクセス権管理システムであって、前記利用者端末は、ネットワークを通じて前記アクセス権管理装置から通知された前記実施完了情報を受信する通信手段と、前記実施完了情報を予め定められた態様で画面表示するための表示手段、を備えることを特徴とする。 (8) As a second aspect, the present invention provides an information provision DB connected to each other via a network so that data communication is possible, and the access right management according to any one of (1) to (5) An access right management system comprising: a device; and a plurality of user terminals in which individual access rights to the information providing DB are managed by the access right management device at least in groups and grouped. The terminal includes a communication unit that receives the execution completion information notified from the access right management apparatus through a network, and a display unit that displays the execution completion information on a screen in a predetermined manner. To do.
(9)また第三の観点として、本発明は、前記(8)に記載のアクセス権管理システムのアクセス権管理方法であって、前記アクセス権管理装置において、前記グループ単位でのアクセス権の共通した追加/変更/削除処理実施完了時に、前記通知手段が、前記実施完了情報を前記グループに属する個々の前記(8)に記載の利用者端末に一括して通知し、前記利用者端末において、通信手段が、ネットワークを通じて前記アクセス権管理装置から通知された前記実施完了情報を受信した場合に、表示手段が、前記実施完了情報を予め定められた態様で画面表示することを特徴とする。 (9) As a third aspect, the present invention provides the access right management method for the access right management system according to (8), wherein the access right management device uses a common access right for each group. When the addition / change / deletion processing has been completed, the notification means collectively notifies the execution completion information to each user terminal described in (8) belonging to the group. In the user terminal, When the communication means receives the execution completion information notified from the access right management apparatus via a network, the display means displays the execution completion information on a screen in a predetermined manner.
(10)また第四の観点として、本発明は、前記(8)に記載のアクセス権管理システム内の前記アクセス権管理装置によって管理され、グループ化された複数の利用者端末を制御するためのコンピュータ実行可能なアクセス権管理プログラム群であって、当該プログラム群に含まれる第1のプログラムは、前記通知手段が、前記グループ単位でのアクセス権の共通した追加/変更/削除処理実施完了時に、前記実施完了情報を前記グループに属する個々の利用者端末に一括して通知するステップを前記アクセス権管理装置におけるコンピュータに実行させ、当該プログラム群に含まれる第2のプログラムは、前記利用者端末の通信手段が、ネットワークを通じて前記アクセス権管理装置から通知された前記実施完了情報を受信するステップと、前記利用者端末の表示手段が、前記実施完了情報を予め定められた態様で画面表示するステップと、を前記各利用者端末におけるコンピュータに夫々に実行させることを特徴とする。
(11)また本発明は、上述した(10)の前記第1のプログラムまたは前記第2のプログラムを、コンピュータが読取可能な形式で記録したことを特徴とするプログラム記録媒体である。
(10) As a fourth aspect, the present invention provides a method for controlling a plurality of user terminals managed and grouped by the access right management device in the access right management system according to (8). A computer-executable access right management program group, the first program included in the program group is configured such that when the notifying unit has completed execution of a common addition / change / deletion process of the access right in the group unit, The step of notifying the individual user terminals belonging to the group collectively of the execution completion information is executed by a computer in the access right management device, and the second program included in the program group The communication means receives the execution completion information notified from the access right management device through a network. , The display unit of the user terminal, characterized in that to execute the respective steps of screen display in the embodiment completion information a predetermined manner, to a computer in each of the user terminals.
(11) The present invention also provides a program recording medium in which the first program or the second program according to (10) described above is recorded in a computer-readable format.
本発明によれば、アクセス権情報が提供され、また変更がDB側よりユーザに通知されるのでユーザ側としては自分のIDにより個別DBのアクセス権限情報がわかり、当該DBをアクセスしてみなくてもDBの閲覧可能であるかどうかを判断することが可能となる。
また本発明によれば、DBの構成の変化が起こる前後にDB関係者に連絡がいくことで当該DBの必要な情報のバックアップを行なうことが可能となる。
According to the present invention, the access right information is provided, and the change is notified to the user from the DB side. Therefore, the user side knows the access authority information of the individual DB by his / her ID, and does not try to access the DB. However, it is possible to determine whether or not the DB can be browsed.
Further, according to the present invention, it is possible to back up necessary information of the DB by contacting the DB related person before and after the change of the DB configuration occurs.
従来のシステムでは、既に述べたように、図12にあるようにアクセス権の追加を個人IDもしくは、個人IDをまとめたグループアドレスをアクセス制御レベル:管理者、設計者、編集者、作成者、読者、投稿者といった状況に合わせて追加するが、このアクセス権更新事実は、該当IDを有するものには何ら連絡がなく使い勝手に難点があった。しかるに、以下に詳述するように本実施形態においては、かかる追加/変更/削除の記録(追加、変更または削除のすくなくとも1つ。以下同様。)を、該当IDを有するものに通知するようにして、ユーザがリアルタイムにDBのアクセス権状況を把握することが可能となっている。 In the conventional system, as described above, as shown in FIG. 12, an access right is added by using a personal ID or a group address in which personal IDs are grouped together as an access control level: administrator, designer, editor, creator, Although it is added according to the situation of readers and contributors, this access right update fact has a difficulty in usability because there is no contact with those having the corresponding ID. However, as described in detail below, in the present embodiment, such addition / change / deletion record (at least one of addition, change, or deletion; the same shall apply hereinafter) is notified to the one having the corresponding ID. Thus, the user can grasp the access right situation of the DB in real time.
[第1実施形態]
以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。図1は、本実施形態に係る利用者端末(情報処理端末装置)を含み構成されたネットワークシステムの一例を模式的に表した概念図、図2は本実施形態に係るアクセス権管理装置の全体構成例を示した概略ブロック図、図3は、本実施形態に係るアクセス権管理装置の論理的構成例を説明するブロック図である。
[First Embodiment]
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a conceptual diagram schematically showing an example of a network system including a user terminal (information processing terminal device) according to the present embodiment. FIG. 2 is an overall view of an access right management device according to the present embodiment. FIG. 3 is a schematic block diagram illustrating a configuration example, and FIG. 3 is a block diagram illustrating a logical configuration example of the access right management apparatus according to the present embodiment.
図1に示したネットワークシステムは、利用者端末としての複数の汎用コンピューティングデバイス(110_1〜110_n)、ネットワークプリンタ210、ゲートウェイ310、Webサーバ及びアクセス権管理装置として機能するイントラネットサーバ(以下では、本発明目的機能に着目して単にアクセス権管理装置と記す)410(LAN(Local Area Network)内)、インターネットを介した外部のWeb(ウェブ)サーバである
リモートコンピュータ510(510_1、510_2〜510_m)や図示しない遠隔地の利用者端末などが、それぞれネットワーク経由でデータ通信可能に接続されたものである。
The network system shown in FIG. 1 includes a plurality of general-purpose computing devices (110_1 to 110_n) as user terminals, a
図1に示したネットワーキング環境は、オフィス、企業規模のコンピュータネットワーク、イントラネットおよびインターネットでは一般的なものである。以下、このネットワークシステムを例に、アクセス権管理装置並びに関連機器の実施形態について詳しく説明する。なお、アクセス権管理装置410は、今回は説明を行わない周知の利用者認証機能(例えば、個々のユーザ毎に設定されているID情報による証査)と、周知のイントラネットサーバ機能も備えていて、LAN内のWebサーバとして機能し、そのメモリデバイス内に、Webコンテンツの形態で社内文書や参照用のデータが蓄積されていて、端末装置からの利用に供することができるものとする。
The networking environment shown in FIG. 1 is common in offices, enterprise-wide computer networks, intranets and the Internet. Hereinafter, embodiments of the access right management apparatus and related devices will be described in detail by taking this network system as an example. The access
図1のネットワークシステムにおいて、本実施形態を実施するためのアクセス権管理装置(例えば、イントラネットサーバ)410は、パーソナルコンピュータ装置により構成されていて、要部として、CPU(Central Processing Unit)120′を主体に構成される制御部120と、システムメモリ(主記憶部)130と、ユーザ入力インターフェース(入力部)160と、表示部と、通信インターフェース(ネットワークインタフェース)170と、外部記憶装置としてのハードディスクドライブ141と、を含み構成されている(後に図2を参照してその他の部分も含め詳述する)。
In the network system of FIG. 1, an access right management device (for example, an intranet server) 410 for implementing the present embodiment is composed of a personal computer device, and a CPU (Central Processing Unit) 120 ′ is used as a main part. A
制御部120は、CPU120′等より構成され、外部記憶装置141に記憶される処理実行プログラムおよび必要なデータを読込み、必要に応じて外部からのデータを用いて後述する処理を実行する。システムメモリ130は、RAM(Random Access Memory)等からなり、制御部120の作業領域として用いられる。ユーザ入力インターフェース160は、キーボード162、マウス161等の入力装置が接続されて、入力された情報を制御部120へ供給する。また、表示部は、CRT(Cathode Ray Tube)、液晶ディスプレイ等からなり、制御部120の指示に従った画像を表示する。通信インターフェース170は、LAN等のネットワークを介して他の装置(利用者端末110や各情報提供データベース等)と通信を行うためのものである。このアクセス権管理装置410は、パーソナルコンピュータ装置を用いて実現されている(後で説明するが、利用者端末110も同様なパーソナルコンピュータ装置を用いている)。
The
上述したようなパーソナルコンピュータ装置は、利用者端末110、インターネット172を介した外部のWebサーバであるリモートコンピュータ510(510_1,510_2〜510_m)、や図示されていないプライマリDNS(Domain Name System)、
セカンダリDNSサーバなどの複数のリモートコンピュータへの論理接続を使用して、ネットワーク化された環境内で動作するようになっている。各リモートコンピュータは、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、その他の一般的な既知のネットワークノード等のネットワーク機器となっている。
The personal computer device as described above includes a
It operates in a networked environment using logical connections to a plurality of remote computers, such as secondary DNS servers. Each remote computer is a network device such as a personal computer, a server, a router, a network PC, a peer device, and other generally known network nodes.
アクセス権管理装置410は、イントラネットサーバとして位置付けられ、アクセス権DBを保持し、それを用いた既知の適宜のユーザ認証機能(本明細書では説明を省略)と、アクセス権DBを現状に合わせて維持(DB内のアクセス制御リストの追加/変更/削除)するアクセス権管理機能を備えている。なお、実施形態ではアクセス権管理装置410は、情報提供DBも備え既知のコンテンツサーバとしても機能しているが、この機能については周知であり本明細書では詳述はしない。本明細書では、専らアクセス権管理に則して、装置構成と処理動作について詳述する。
The access
本実施形態に係るアクセス権管理装置410の構成を、図2の構成ブロック図を参照して更に詳しく説明する。図2に示すように、本実施形態に係るアクセス権管理装置410は、装置全体を統括的に制御するCPU120′、ROM(Read−Only Memory)131やRAM132でなるシステムメモリ130、ハードディスクドライブ141、通信インターフェース(ネットワークインタフェース(ネットワークI/F))170、表示装置(表示部)191、入力部(160〜162)などがシステムバス121を介して接続され、通信インターフェース170によりローカルエリアネットワーク(LAN)171と接続された状態でネットワークデバイスとして機能する周知のコンピュータシステムで構成されている。
The configuration of the access
このコンピュータ装置としてのアクセス権管理装置410は、LANネットワーキング環境内で使用される場合、通信インターフェース(アダプタ)170を介してローカルエリアネットワーク171に接続される。なお、図2では省略したが、通信インターフェース170をシステムバス121に接続する構成要素としてのプロトコルスタックが備わっている。これは、所定プロトコル(例えば、IPv4(Internet Protocol version 4 )およびIPv6(Internet Protocol version 6 )のいずれかあるいは両方)に従ったデータ通信を実現するために実装(ハードディスクドライブ141に記憶)されたプログラムモジュールである。
The access
システムバス121は、CPU(処理デバイス)120′ならびにシステムメモリ130を含めて様々なシステム構成要素を結合する。このシステムバス121には、メモリバスまたはメモリコントローラ、周辺バス、および様々なバスアーキテクチャのいずれかを用いたローカルバスを含め、複数タイプのバス構造のいずれかが適宜組み合わせて採用されている。
The
システムメモリ130は、読出し専用メモリ(ROM:Read−Only Memory)131およびランダムアクセスメモリ(RAM:Random Access Memory)132などの揮発性および/または不揮発性メモリの形の記録媒体を含む。起動時などにコンピュータ410内の要素間で情報を転送するのに役立つ基本ルーチンを含む基本入出力システム(BIOS:basic input/output system)133は一般に、ROM131に格納される。RAM132は一般に、CPU120′によって即時にアクセス可能であり、かつ/またはそれによる操作を現在受けているデータおよび/またはプログラムモジュールがロードされる。
The
ユーザは、キーボード162、ならびにマウス、トラックボールまたはタッチパッドと一般に称されるポインティングデバイス161などの入力デバイスを用いてコンピュータ410にコマンドおよび情報を入力することができる。これら、入力デバイスは、ユーザ入力インターフェース160または他の適切な機構を介してシステムバス121に接続されている。実施形態では、入力デバイスはシステムバス121に結合されたユーザ入力インターフェース160を介して制御部120に接続されるが、パラレルポート、ゲームポートまたはユニバーサルシリアルバス(USB:universal serial bus)などの他のインターフェースおよびバス構造によって接続されることもある。
A user may enter commands and information into the
また、アクセス権管理装置410は、様々な取外し可能/取外し不可能、揮発性/不揮発性のコンピュータ読取り可能な記録媒体を備えている。図2には、固定式不揮発性の磁気媒体から読み出しまたはそこに書き込むハードディスクドライブ141、着脱式不揮発性のフロッピー(登録商標)ディスク152から読み出し、またはそこに書き込むフロッピーディスクドライブ151、およびCD−ROMや他の光媒体などの着脱式不揮発性の光ディスク156から読み出しまたはそこに書き込む光ディスクドライブ155を例として示してある。
Further, the access
ハードディスクドライブ141は、インターフェースの1つである固定式不揮発性メモリインターフェース(取外し不可能メモリインターフェース)140によってシステムバス121に接続され、フロッピーディスクドライブ151および光ディスクドライブ155は一般に、インターフェースの1つである着脱式不揮発性メモリインターフェース(取外し可能メモリインターフェース)150によってシステムバス121に接続されている。
The
本実施形態の実施のために必要となるプログラム群は、記録媒体としてのハードディスクドライブ141に、あらかじめインストールした状態で実装される。すなわち、上述したハードディスクドライブ141の記憶領域の一部は、コンピュータ読取り可能命令、データ構造体、アクセス権管理装置410の各機能実現のためのプログラムモジュール、およびデータの記憶域として使用されている。図2では、記録媒体としてのハードディスクドライブ141には、オペレーティングシステム600、アプリケーションプログラム700、アクセス権管理プログラム800およびプログラムデータ134が格納されていてシステムメモリ130上にロードされる。
A program group necessary for implementing this embodiment is installed in a state of being installed in advance in a
これらのソフトウェア構成要素は、オペレーティングシステム600、アプリケーションプログラム700、アクセス権管理プログラム800およびプログラムデータ134を全て共通の記録媒体を用いても良いが、各記録媒体に適宜分散記録させてもよい。すなわち、ネットワーク環境内では、アクセス権管理装置410に関して示したプログラムモジュール、またはその一部については、自装置の記憶手段以外にもリモートメモリ記憶デバイス内に格納しておくこともできる。
As these software components, the operating system 600, the
同じハードディスクドライブ141には、更に、アクセス権管理機能を実現するための管理DBとしてのマスタDB900(アクセス制御リスト(ACL):910、ユーザに関する情報を蓄積した個人情報DBとしての社員マスタDB:920、グループ情報DBとしてグループID(グループアドレス)とメンバーIDの対応テーブル:930)が実装されている。またハードディスクドライブ141には、既に周知のLAN内のWebサーバとしての機能(説明省略)を実現するための、コンテンツDB950も実装されている。
Further, in the same
なお、この種の装置では、記憶するデータの役割に応じて夫々に複数台のハードディスクドライブ141を接続した構成としても構わない。また、個々のハードディスクドライブ141について、多重化を図り各2台のハードディスクドライブを並列動作させる場合もある。
In this type of apparatus, a plurality of hard disk drives 141 may be connected to each other depending on the role of data to be stored. In some cases, the individual
ちなみに、ネットワーク機器であるアクセス権管理装置では、ネットワーク接続された別体のサーバ装置にデータ蓄積機能の一部を分担させて、必要に応じて必要なデータを参照するようにした構成としても同等のネットワークシステムを構築可能でそのようなシステム例も多い。 Incidentally, an access right management device that is a network device is equivalent to a configuration in which a part of the data storage function is shared by a separate server device connected to the network so that necessary data can be referenced as necessary. There are many examples of such systems.
次に、実施形態における利用者端末110の構成について説明する。本実施形態に係るコンピュータ装置としての利用者端末110の構成は、大部分は上述したアクセス権管理装置410と共通している。図4に利用者端末110の構成ブロック図の例を示す。図4では先の図2と同一要素には、同一の符号を付してあり重複する説明は省略する。
Next, the configuration of the
利用者端末110として用いられる場合には、コンピュータは、外部の周辺出力デバイスとして、入出力周辺インターフェース195を介して接続されているマイク196とスピーカ197を有している。一方、マスタDBや、コンテンツDBは備えておらず、通信端末機能と情報処理機能とを備えている。画面表示制御手段を構成しているビデオインターフェース190、および表示装置191で成る表示システムは、実装ソフトウェアと協働して表示装置の画面上に1以上の作業ウィンドウを表示可能なマルチウィンドウ機能を実現している。
When used as the
ユーザは、前記した画面に表示されるグラフィックユーザインタフェース(GUI)を入力装置(例えば、ユーザ入力インターフェース160、マウス161、キーボード162で成る)を操作して、データ通信やWebページのブラウジング、文書の印刷処理等を含む各種のコンピュータ処理を行うことができる。また、自己のアクセス権の現状把握のためのアクセス権確認制御プログラム800′を搭載している。なお、ネットワークシステムにログインし(通常認証を受ける必要がある)、外部ネットワーク機器等と接続して各種サービスを利用する場合には、アクセス権管理装置410により個々のユーザ毎に設定されている前記ID情報に基づく認証が必要となる。
The user operates a graphic user interface (GUI) displayed on the above-described screen by operating an input device (for example, comprising a user input interface 160, a mouse 161, and a keyboard 162), data communication, web page browsing, document Various computer processes including a printing process can be performed. In addition, an access right
なお、利用者端末110は、WAN(Wide Area Network)ネットワーキング環境内で使用される場合には、更にゲートウェイ310を介して、外部のネットワーク172に接続されて、遠隔地のリモートコンピュータ510にアクセスすることが可能である。図に例示した、リモートコンピュータ510はWebサーバであり、そのメモリデバイス511内には、Webコンテンツ512が、蓄積されて一般に公開されており、利用者端末110が利用することができる。クライアント装置のユーザ毎に管理されたスケジュールデータや、ユーザが参加する開催予定の会議のデータが管理されている。
When the
なお、上述した利用者端末110およびアクセス権管理処理410、プリンタ210等について、ネットワーク171を介してデータ通信可能な状態とするためには、そのネットワークにおいてデバイスを識別するためのIP(Internet Protocol)アドレスを設定する必要がある。ちなみに、こうして設定するIPアドレスは、IPv4であれば1つに限られるのに対し、IPv6に対してはそのような制限がなく、複数種類のIPアドレスが設定可能である。
In order to make the above-described
また、IPアドレスは、IPv4であるかIPv6であるかに拘わらず、手動および自動の設定機能にて設定することができる。この設定機能のうち、手動の設定機能(手動設定、スタティック)は、後述するように、利用者端末110の設定管理プログラムに従って行われるものである。また、自動の設定機能(自動設定)については、IPv4であれば、ネットワーク上に設置された図示を省略したDHCP(Dynamic Host Configuration Protocol )サーバから取得したものを自身のIPアドレスとして設定するものだけであるが、IPv6であれば、DHCPサーバから取得したものを自身のIPアドレスとして設定するもの(ステートフル)の他、ネットワーク上に設けられた図示しないルータなどから取得またはあらかじめ定められた情報(プリフィックス)、および自身の通信インターフェース170に割り当てられたMAC(Media Access Control)アドレスからIPアドレスを生成して自身のIPアドレスとして設定するもの(ステートレス)がある。
The IP address can be set by a manual and automatic setting function regardless of whether it is IPv4 or IPv6. Of these setting functions, the manual setting function (manual setting, static) is performed according to the setting management program of the
続いて、本実施形態に係るネットワークシステムであるアクセス権管理システムにおけるアクセス権管理処理について詳しく説明する。本実施形態に係るネットワークシステムでは、ノーツ(登録商標)DBシステムが構築されていて、アクセス権管理装置410は、利用者端末110のユーザのアクセス権管理処理(後に詳述する)を行う他にも、同ユーザからのサービス提供要求に応じて、要求ユーザのアクセス権の認証処理(本明細書では、アクセス権管理処理に含めない)と、認証成功後のユーザに対してデータ通信やWebコンテンツのブラウジング、文書の印刷処理等を含む各種のサービス提供処理と、を併せて行う。
Next, the access right management process in the access right management system that is the network system according to the present embodiment will be described in detail. In the network system according to the present embodiment, a Notes (registered trademark) DB system is constructed, and the access
本実施形態での利用者端末110およびアクセス権管理装置410におけるコンピュータ処理は、コンピュータプログラム(オペレーティングシステム(OS)、アプリケーションソフトウェア、その他)により当該コンピュータ(利用者端末)のCPU(Central Processing Unit)とシステムメモリ(主記憶装置)等を用いることにより実行される。
The computer processing in the
以下の説明ではOSとしてマイクロソフト社のウィンドウズ(登録商標)を採用したパソコンにおける実施を想定して説明しているが、本発明がUNIX(登録商標)、LINUXその他のマルチウィンドウ型OSを動作させるコンピュータ装置でも良いことはいうまでもない。 In the following description, the description is made on the assumption that it is implemented on a personal computer that employs Windows (registered trademark) of Microsoft Corporation as the OS. Needless to say, a device may be used.
これらのコンピュータプログラムの提供形態は、当該コンピュータに接続された補助記憶装置をはじめ、フロッピーディスク(登録商標)やCD−ROM(Compact Disk Read Only Memory)等の可搬型記憶装置やネットワークに接続された他のコンピュータの主記憶装置及び補助記憶装置等の各記録媒体に格納されて提供されるものであってもよく、コンピュータプログラムの実行に際しては、当該実行コンピュータのシステムメモリ上にローディングされ実行される。 The computer program is provided in a form of an auxiliary storage device connected to the computer, a portable storage device such as a floppy disk (registered trademark) or a CD-ROM (Compact Disk Read Only Memory), or a network. It may be provided by being stored in each recording medium such as a main storage device and an auxiliary storage device of another computer, and when executing the computer program, it is loaded onto the system memory of the execution computer and executed. .
図3(論理的構成例を示すブロック図)に示すように、このアクセス権管理装置410は、実装したオペレーティングシステム600の機能として通信手段630、画面表示手段640等を備え、オペレーティングシステム600上で実行されるプログラムとしてのDB更新処理要求手段830、ID設定情報取得手段840、ID認証手段850を有し、また、アクセス権管理プログラム800を構成するプログラムモジュールとしてACL操作手段810とグループ化制御手段820とを有している。
As shown in FIG. 3 (a block diagram showing a logical configuration example), the access
図示した構成における各手段は、実際には外部記憶部であるハードディスク141に記憶されていて、制御部120のCPU120′の制御下でシステムメモリ130上に読み込まれ、各機能を実現するためのプログラム(ソフトウェア)を主体にこれと関連して動作するハードウェア構成と融合した形態で実現される。制御部120のCPU120′等がシステムメモリ130上のプログラムを実行することにより各機能が実現される。
Each means in the illustrated configuration is actually stored in the
以下、本実施形態における主要動作について詳細に説明する。図5は、本実施形態におけるアクセス権管理装置410側(イントラネットサーバ側)で行われるDB内でのアクセス制御リストの展開等のアクセス権管理処理例(グループ処理関連部のみ示し、既知の処理については省略)の概要を概念図で示している。アクセス権管理装置410は、グループ情報DBアクセス権DB内のグループIDのアクセス制御について追加/変更/削除がなされた際に構成メンバーの個人IDについて変更処理を行う。また、図6に示すようにDBから追加/変更/削除がなされると、該当するIDを有するユーザへ日時、理由など具体的な内容に関する連絡が送信される(通知)。
Hereinafter, main operations in the present embodiment will be described in detail. FIG. 5 shows an example of access right management processing such as expansion of an access control list in the DB performed on the access
すなわち、図5のID連絡処理概念図に示すように、DBから追加/変更/削除がなされた場合に、個人IDが管理されているユーザマスタ(個人情報リスト)と、個人IDをまとめたグループ情報DB(グループアドレス)とを参照し、グループアドレスについて、個々の個人IDに展開してこれら個人IDを、個人情報リスト中に個人IDのみで登録されているものとの重複を排除する。その後、個人ID別に該当するIDを有する利用者端末110へとアクセス制御リストの追加/変更/削除の旨(日時、理由など具体的な内容に関する連絡情報)がメールとして送信される(通知)。このように、変更処理完了の旨の連絡は、その管理をするDBに基づいて自動にメールにて行なわれる。なお、メール以外にも文書にて連絡を行う形態とすることも容易である。
That is, as shown in the ID contact processing conceptual diagram of FIG. 5, when added / changed / deleted from the DB, a user master (personal information list) in which personal IDs are managed and a group in which personal IDs are collected With reference to the information DB (group address), the group address is expanded into individual personal IDs, and these personal IDs are excluded from duplication with those registered only by the personal IDs in the personal information list. Thereafter, to the
図7は、上記のアクセス権変更からアクセス権保有者向け通知処理までの概要をフローチャートで示したものである。管理者が入力装置160を用いて入力したアクセス権変更内容または他のネットワーク機器からネットワーク171を介して受信したアクセス権変更要求を受付けると(S11)、該当するグループアドレス(または個人ID)のアクセス権追加/変更/削除処理(ACLの変更)が行われる(S12)。アクセス権限の変更処理がグループ単位(全員)かそれともグループ内特定個人かを判断して(S13)、グループ内特定個人の変更処理の場合(S13/グループ内特定個人)は処理を終わるが、グループ単位(全員)で変更が行われた場合(S13/グループ全員)には、グループアドレスに基づいて構成メンバーの個人IDに展開し(S14)、展開した個人IDとACLに在る個人IDの重複を確認し重複している個人ID間の整合をとる(S15)。 FIG. 7 is a flowchart showing an outline from the access right change to the notification process for the access right holder. When an administrator receives an access right change content input using the input device 160 or an access right change request received from another network device via the network 171 (S11), the access of the corresponding group address (or personal ID) is made. A right addition / change / deletion process (ACL change) is performed (S12). It is determined whether the access authority change process is a group unit (all members) or a specific individual within the group (S13). In the case of a change process for a specific individual within the group (S13 / specific individual within group), the process ends. When the change is made in units (all members) (S13 / all members in the group), the personal ID of the constituent member is expanded based on the group address (S14), and the expanded personal ID and the personal ID in the ACL overlap And matching between duplicate personal IDs is performed (S15).
続いて、アクセス権変更処理が完了した各個人IDそれぞれについて、変更後のアクセス権の現状について視覚化データを生成する(S16)。そして、処理後の個人IDに対応付けられたメールアドレスに、今回のアクセス権限変更内容を電子メールにて通知する(S17)。処理要求元へは要請された変更処理が完了した旨の通知がなされる(S18)。 Subsequently, for each personal ID for which the access right changing process has been completed, visualization data is generated for the current state of the changed access right (S16). Then, the current access authority change content is notified by e-mail to the e-mail address associated with the processed personal ID (S17). The processing request source is notified that the requested change processing has been completed (S18).
図8に、利用者端末110に通知される、DBの関連情報の一例を示す。図8の例では、IDの位置付けが共通なものであるか部あるいは課、グループレベルで必要なものかあるいは他の部門のものであるか等の情報が視覚的に表示され、これによりアクセス権限ごとに示すことで取るべきアクションが判る。
FIG. 8 shows an example of DB related information notified to the
なお、本実施形態のアクセス権管理装置410では、アクセス権管理機能以外にもコンテンツサーバとしての機能として、クライアント端末として動作するコンピュータから、コンテンツ利用要求があると、要求ユーザの認証を行った上で、要求されたコンテンツの利用を許可するが、この点については、既に周知の技術でありここでは触れない。更に、図示を省略した他のコンテンツサーバやゲートウェイサーバ310等からのユーザ認証要求に応じて、送付されたユーザ情報の証査を行い、認証結果を返送する周知の認証アクセス制御機能も備えるがこれについても説明は省略する。
The access
上述したように、本実施形態に係るアクセス権管理システムは、従来のシステムの不都合を解消して、個々のユーザがDBのアクセス権の状況変化をリアルタイムに把握可能なアクセス権管理システムとなっており、ユーザ側から見て使い勝手が向上している。 As described above, the access right management system according to the present embodiment is an access right management system that eliminates the disadvantages of the conventional system and enables individual users to grasp the change in the status of the DB access right in real time. Therefore, usability is improved from the user side.
〔第2実施形態〕
続いて、上記第1実施形態と異なる実施形態について説明する。上記第1実施形態においては、上述したように、該当するDBから直接に(変更処理を契機として後続して自動的に、の意味)ユーザに対して変更完了の旨の連絡がなされているが、本実施形態では、これまで説明したシステムを用い更なる機能として、アクセス権管理DBから随時に、また、利用者端末110からの要求アクションを契機として間接的(言わば、要求に応じる形で)に連絡がなされる機能を備えている。
[Second Embodiment]
Subsequently, an embodiment different from the first embodiment will be described. In the first embodiment, as described above, the user is notified of the completion of the change directly (meaning automatically following the change process as a trigger) directly from the corresponding DB. In the present embodiment, as a further function using the system described so far, as an additional function from the access right management DB, and indirectly from the request action from the user terminal 110 (in other words, in response to the request). It has the function to be contacted.
図9にアクセス権管理装置410から間接的に通知が行われるようにした場合の、管理DB(社員甲IDにより閲覧可能なデータベース)での画面表示の一例を示す。一覧送付ボタンを押下する一覧送付操作によって通知(例えば、リンクまたはアイコン)が送られる。
FIG. 9 shows an example of a screen display in the management DB (database that can be viewed by the employee ID) when notification is indirectly made from the access
図10に、利用者端末110において表示される通知を示す((a) は、リンク受信時の例、(b) はアイコン受信時の例)。利用者端末110では、アクセス可能なDBの一覧を通知されることで、自分がアクセス可能なDBは何であるかが一目でわかる。リンクあるいはDBのアイコンを表示するようにしたことでユーザが自己のアクセス権の現況を直感的に理解することができる。リンクやアイコンを操作してアクセス権管理DBを参照することで先に例示した図8の表示が得られ、DB関連情報の表示において自分が見えるDBが何であり、見える根拠となるIDは個人のものかグループアドレスによるものか、権限は何であるか、追加日などの諸々の情報がわかる(間接的通知)。
〔第3実施形態〕
DBのサーバの負荷の低減あるいは整理のために、DBの搭載されているサーバの移動を行なう場合がある。
また、使用頻度の低いDBを通常の状態でサーバに載せていくとサーバ自体のレスポンスの劣化、使用頻度の高いDBの使用容量が減るといった問題点を回避すべく、かかるDBはアーカイブ処理を行なうことを行なうことがある。
以上のような場合、通常のアクセスではDBの内容を開けない。
構成の変化前後にDBのグループアドレス(図12)に記載されているメンバー並びにアクセス履歴(図13)に図11と同様に構成変化前後に連絡を行なう。
変化前であれば、必要な内容に対してのバックアップ、そして後では確認ができる。
かかる通知がない場合、グループアドレスの変更により必要なDBが見られないのと同様な不具合を防ぐことができる。
変更前の通知はグループアドレス並びにアクセス履歴メンバーに通知後、少なくとも1週間後、好ましくは2〜5日、更に好ましくは3〜4日後に、行なう事で必要なバックアップを取ることが可能となる。
通知は、変更開始前には毎日1〜3回行なう事で必要なバックアップをとり忘れることがない。
また変更後、通知を行なう事でDBの変更を再確認できる。
変更後の連絡は、変更後1週間は毎日行なう事で周知徹底ができる。
FIG. 10 shows notifications displayed on the user terminal 110 ((a) is an example when a link is received, and (b) is an example when an icon is received). The
[Third Embodiment]
In order to reduce or organize the load on the DB server, the server on which the DB is mounted may be moved.
Further, in order to avoid problems such as degradation of the response of the server itself and reduction of the used capacity of the frequently used DB when the infrequently used DB is loaded on the server in a normal state, the DB performs an archiving process. There are things to do.
In such a case, the contents of the DB cannot be opened by normal access.
Before and after the configuration change, the members and the access history (FIG. 13) described in the DB group address (FIG. 12) are contacted before and after the configuration change as in FIG.
If it is before the change, you can backup the necessary contents and check it later.
If there is no such notification, it is possible to prevent the same problem that the necessary DB cannot be seen due to the change of the group address.
The notification before the change is made after at least one week, preferably 2 to 5 days, more preferably 3 to 4 days after notification to the group address and the access history member, so that necessary backup can be taken.
The notification is performed once to three times every day before the start of the change so that a necessary backup is not forgotten.
In addition, the change of DB can be reconfirmed by notifying after the change.
The communication after the change can be thoroughly communicated by performing it every day for one week after the change.
以下に、本実施形態を運用した場合の実際の具体事例を示す。 The following are actual examples when the present embodiment is used.
[事例1]
ある年の12月の状態において、A事業部の一員が登録されているグループアドレスAと、B事業部の一員が登録されているグループアドレスBが別々に存在しており、それぞれ共通に使用している掲示板データベースにはグループアドレスA、グループアドレスBがそれぞれ「作成者権限」として登録されており、A事業部の一員とB事業部の一員はそれぞれ掲示板(データベース)を見ることができた。
[Case 1]
In the state of December of a certain year, there is a group address A where a member of the A division is registered and a group address B where a member of the B division is registered. In the bulletin board database, group address A and group address B are registered as “creator authority”, respectively, and members of the A division and the division B could see the bulletin board (database).
その後、翌年1月に本実施形態におけるネットワーク管理システムであるアクセス権管理システムが導入された。 Thereafter, in January of the following year, an access right management system, which is a network management system in the present embodiment, was introduced.
組織の見直しにより同年4月にA事業部とB事業部が統合されてC事業部となってグループアドレスCが新設され、掲示板データベースには、グループアドレスCが「作成者権限」で登録された。 In April of the same year, the A and B divisions were merged into a C division due to a review of the organization, and the group address C was newly established. The group address C was registered with “author authority” in the bulletin board database. .
C事業部となって同年5月にグループアドレスAを、同年6月にグループアドレスBを削除した。なお、甲乙丙の各人は、以下の条件にて所属を異動している。
甲:A事業部からD事業部
乙:B事業部からC事業部
丙:D事業部からB事業部
In the same year, Group A was deleted from Group C and Group Address B was deleted in June. In addition, each person of Kai Otomo has changed affiliation under the following conditions.
Party A: Department A to Department D Department B: Department B to Department C Department IV: Department D to Department B
甲には、6月に掲示板データベースのアクセス権が無くなったことが通知され遅滞なくアクセス権の変更を把握することができた。しかし、甲の業務として掲示板の閲覧が必要であることからデータベース管理者に閲覧申請を行い、許可されてデータベースの閲覧可能なことが連絡された。 We were informed that the access rights to the bulletin board database were lost in June, and we were able to grasp the change in access rights without delay. However, because it was necessary for us to view the bulletin board, we applied to the database administrator for viewing and were informed that we were allowed to view the database.
乙には、4月にグループアドレスCでのアクセス権により掲示板データベースが閲覧可能であることが通知された。また、5月にグループアドレスBが削除されたことが通知された。 B was informed in April that the bulletin board database can be viewed with the access right at group address C. It was also notified that group address B was deleted in May.
丙には、4月にグループアドレスCでのアクセス権により掲示板データベースが閲覧可能であることが通知された。また、6月にグループアドレスBが削除されたことが通知された。 Tsuji was informed that the bulletin board database can be browsed with the access right at group address C in April. It was also notified that group address B was deleted in June.
甲乙丙は、閲覧可能DBの確認をするべく一覧表送付ボタン操作により一覧表を確認できた。アイコンの対比により、閲覧不能なデータベースのアイコンを削除して普段アクセスすることが必要であるデータベースのみ表示するようにした。 Kai Otomo confirmed the list by operating the send list button to confirm the viewable DB. By comparing the icons, the database icons that cannot be browsed are deleted and only the databases that need to be accessed normally are displayed.
[事例2]
乙は、DBのアイコンがたくさんでき、必要なDBがわかりにくくなった。そこでDBのアイコン一覧を、送付ボタンを押下することにより通知要求を送信させた。図10に示すようにアイコンが送られたので、必要なDBと必要でないDBの区別がすぐにでき、不要なDBのアイコンの削除ができデスクトップの整理ができたため、必要なDBをすぐに探せるようになった。
[Case 2]
Otsu made many DB icons, making it difficult to understand the necessary DBs. Therefore, a notification request is sent to the DB icon list by pressing the send button. Since the icons are sent as shown in FIG. 10, the necessary DBs can be easily distinguished from the unnecessary DBs, the unnecessary DB icons can be deleted, and the desktop can be organized. It became so.
[事例3]
丙は、各DBと自分のIDとの関係がわからず、業務遂行上問題があるので、DB送付ボタン操作により図8に示す視覚的に分類表示を送信させた。そのことで、各DBと自分のIDとの関係が明確となり業務遂行が容易になった。
[Case 3]
Since Sakai does not know the relationship between each DB and his / her ID and has a problem in performing the business, the classification display visually shown in FIG. 8 is transmitted by operating the DB send button. As a result, the relationship between each DB and one's own ID became clear and business execution became easier.
なお、上記第2実施形態において、直接的な通知機能を省略して、間接的な通知機能のみとしたシステムとした場合も、アクセス権をグループ単位で共通して追加/変更/削除処理(追加、変更または削除の少なくとも1つの処理)を行った場合に対応し、実施完了情報の通知をする機能を備えたものとして本発明に含まれるものである。また、個人単位でアクセス権の追加/変更/削除があった場合にも通知を行う機能を備える様にしても良い。 In the second embodiment, even when the direct notification function is omitted and only the indirect notification function is used, the access right is commonly added / changed / deleted (added) for each group. , At least one process of change or deletion) is included, and is included in the present invention as having a function of notifying execution completion information. In addition, a function may be provided for notifying when an access right is added / changed / deleted on an individual basis.
なお、各実施形態においては、アクセス権管理装置410は、WANネットワーキング環境内で使用される場合には、更にゲートウェイ310を介して、外部のネットワーク172に接続されて、遠隔地のリモートコンピュータ(各種機能サーバ等)にアクセスすることが可能である。従って、本実施形態でアクセス権管理装置410の備える機能の一部を、外部のサーバ装置に分担させる構成も採り得る。例えば、コンテンツ供給機能を全て外部のデータサーバに委ねることや、サービスの受付け処理機能を外部で行うこともできる(アクセス権管理装置410は、連係してアクセス権の認証処理を分担する)。
In each embodiment, when used in a WAN networking environment, the access
図11は、外部サーバ装置が前述した機能の一部を備えたシステム例の概要を概念図で示している。図11の例では、個人ID情報とグループアドレス管理を行っている外部装置で、アクセス制御リストの追加/変更/削除が実行された場合に、その処理内容を当該装置から中継サーバを経由して送信してもらうように設定してある。そして、外部サーバ装置からの処理内容を受けてアクセス権管理装置が、既述したと同等の処理、すなわち、ACL変更/追加/削除対象が完了した、個人IDやグループアドレスの抽出を行い、グループアドレス変更に対応する個人IDを特定して、該当ID情報の視覚化処理(一覧用データ作成、DBアイコン化処理等)を行うとともに、当該IDの利用者端末に対して、中継サーバを介してメール送信(処理完了通知)およびアイコンデータの送付を行う。また、各利用者端末からの一覧表示要求に応じて、要求元の利用者端末に該当するデータを返送して所定のDB情報を視覚的に表示させる。
[事例4]
丁は、本発明によるDBのアーカーブが行なわれる連絡を得たため、必用な情報についてバックアップを行なった。
一方、本発明の恩恵を受けていない戊は、必用な情報があるDBを久しぶりに開いたところ既にアーカーブされており何も見えない状態であり、リトリーブの申請を行なうなど必用な情報の収集に1週間ほどの時間が掛かった。
FIG. 11 is a conceptual diagram showing an outline of a system example in which the external server device includes a part of the functions described above. In the example of FIG. 11, when an access control list is added / changed / deleted by an external device that manages personal ID information and group addresses, the processing content is transferred from the device via a relay server. It is set to be sent. Then, in response to the processing content from the external server device, the access right management device performs the same processing as described above, that is, extracts the personal ID and group address for which the ACL change / addition / deletion target has been completed, and the group The personal ID corresponding to the address change is identified, the ID information is visualized (list data creation, DB icon conversion processing, etc.), and the user terminal of the ID is passed through the relay server. Send mail (notify process completion) and send icon data. Further, in response to a list display request from each user terminal, data corresponding to the requesting user terminal is returned and predetermined DB information is visually displayed.
[Case 4]
Ding got a report that DB arching according to the present invention was performed, and therefore backed up necessary information.
On the other hand, the niece who has not received the benefits of the present invention has opened the DB with the necessary information for the first time in a long time. It took about a week.
以上、実施形態について具体的な例を示したが、これらは本発明の一態様にすぎず、これらによって本発明に係るアクセス権管理装置、アクセス権管理システム、アクセス権管理方法、プログラムおよび記録媒体の技術的範囲が限定されることはない。
以上説明してきたように、本発明によれば、個々のユーザがDBのアクセス権の状況変化をリアルタイムに把握可能なシステムを提供でき、ユーザ側から見た使い勝手が向上させることができる。
As described above, specific examples of the embodiment have been described. However, these are only one aspect of the present invention, and the access right management apparatus, the access right management system, the access right management method, the program, and the recording medium according to the present invention are described. The technical scope of is not limited.
As described above, according to the present invention, it is possible to provide a system in which individual users can grasp a change in the status of DB access rights in real time, and the usability as viewed from the user side can be improved.
また、本発明によれば、アクセス権管理DBよりアクセス可能な一覧が通知されるのでユーザ側として自分が閲覧可能なDBがリアルタイムに把握することが可能となる。また、管理DBに確認操作すれば再度確認できる In addition, according to the present invention, since an accessible list is notified from the access right management DB, it is possible to grasp the DB that can be browsed by the user in real time. Moreover, it can confirm again if confirmation operation is carried out to management DB.
また、本発明によれば、DBのアイコンが表示されるため、上記効果に加えてDB名称に頼らずに視覚的にどのDBであるのかが把握可能となる。 Further, according to the present invention, since the DB icon is displayed, it is possible to grasp which DB is visually without depending on the DB name in addition to the above effect.
また、本発明によれば、DBとIDの関係が視覚的に分類表示されることで、ユーザ側として自己のIDの関係が一目で理解できる。 Further, according to the present invention, the relationship between the DB and the ID is visually classified and displayed, so that the user can understand the relationship between his / her ID at a glance.
また、本発明によれば、アクセス権の種類ごとに視覚的に表示されることで、ユーザ側
として自己の権限が一目で容易に理解できる。
本発明によれば、DBの構成の変化前後の連絡を受けるため必用な情報のバックアップが容易となる。
Further, according to the present invention, the user's authority can be easily understood at a glance by visually displaying each access right type.
According to the present invention, it is easy to back up necessary information to receive notification before and after the change in the configuration of the DB.
また、本発明によれば、上記アクセス権管理装置に関する発明を有する媒体として利用拡大することができる。 Further, according to the present invention, the use can be expanded as a medium having the invention related to the access right management apparatus.
110 利用者端末(パーソナルコンピュータ)
120 制御部
120′ CPU(処理デバイス)
121 システムバス
130 システムメモリ
131 ROM
132 RAM
134 プログラムデータ
141 ハードディスクドライブ(外部記憶装置)
152 フロッピー(登録商標)ディスク
156 光ディスク
160 ユーザ入力インターフェース
161 マウス(ポインティングデバイス)
162 キーボード
168 (ローカル)プリンタ
170 通信インターフェース(ネットワークインタフェース)
171 ローカルエリアネットワーク
190 ビデオインターフェース(画面表示制御手段)
191 表示装置(モニタ)
210 ネットワークプリンタ
310 ゲートウェイ
410 アクセス権管理装置(イントラネットサーバ)
600 オペレーティングシステム
630 通信手段
700 アプリケーションプログラム(群)
800 アクセス権管理プログラム
810 ACL操作手段
820 グループ化制御手段
830 DB更新処理要求手段
840 ID設定情報取得手段
850 ID認証手段
900 マスタDB(社員マスタDB)
950 コンテンツDB
110 User terminal (personal computer)
120
121
132 RAM
134
152 floppy disk (registered trademark) 156 optical disk 160 user input interface 161 mouse (pointing device)
162 Keyboard 168 (Local)
171 Local area network 190 Video interface (screen display control means)
191 Display device (monitor)
210
600
800 Access right management program 810 ACL operation means 820 Grouping control means 830 DB update processing request means 840 ID setting information acquisition means 850 ID authentication means 900 Master DB (employee master DB)
950 Content DB
Claims (11)
グループ化された複数の利用者端末の個々の前記アクセス権を少なくともグループ単位で管理し、
前記グループ単位でのアクセス権の共通した追加/変更/削除処理を行った場合には、当該処理実施完了時に当該処理の実施完了情報を、前記グループに属する個々の利用者端末に一括して通知する通知手段を備えることを特徴とするアクセス権管理装置。 An access right management device that manages the access right to the information providing DB based on ID information assigned to each user terminal,
Managing each access right of a plurality of grouped user terminals at least in group units,
When the common addition / change / deletion processing of access rights in the group unit is performed, the execution completion information of the processing is collectively notified to the individual user terminals belonging to the group when the processing is completed. An access right management device comprising notification means for performing
要求元の前記利用者端末がアクセス可能な情報提供DBの一覧を通知することを特徴とする請求項1に記載のアクセス権管理装置。 In response to a notification request from the user terminal,
The access right management apparatus according to claim 1, wherein a list of information providing DBs accessible by the user terminal as a request source is notified.
前記利用者端末は、ネットワークを通じて前記アクセス権管理装置から通知された前記実施完了情報を受信する通信手段と、
前記実施完了情報を予め定められた態様で画面表示するための表示手段と、を備えることを特徴とするアクセス権管理システム。 An information providing DB connected to be communicable with each other via a network, the access right management apparatus according to any one of claims 1 to 7, and individual access rights to the information providing DB at least in groups A plurality of user terminals managed and grouped by the access right management device, and an access right management system comprising:
The user terminal receives communication completion information notified from the access right management device through a network;
An access right management system comprising: display means for displaying the execution completion information on a screen in a predetermined manner.
前記アクセス権管理装置において、前記グループ単位でのアクセス権の共通した追加/変更/削除処理実施完了時に、前記通知手段が、前記実施完了情報を前記グループに属する個々の利用者端末に一括して通知し、
前記利用者端末において、前記通信手段が、ネットワークを通じて前記アクセス権管理装置から通知された前記実施完了情報を受信した場合に、
前記表示手段が、前記実施完了情報を予め定められた態様で画面表示することを特徴とするアクセス権管理方法。 An access right management method for an access right management system according to claim 8,
In the access right management apparatus, when the execution of the common addition / change / deletion processing of the access right in the group unit is completed, the notification unit collectively sends the execution completion information to each user terminal belonging to the group. Notify
In the user terminal, when the communication means receives the execution completion information notified from the access right management device through a network,
The access right management method, wherein the display means displays the execution completion information on a screen in a predetermined manner.
当該プログラム群に含まれる第1のプログラムは、
前記利用者端末の通知手段が、前記グループ単位でのアクセス権の共通した追加/変更/削除処理実施完了時に、前記実施完了情報を前記グループに属する個々の利用者端末に一括して通知するステップを前記アクセス権管理装置におけるコンピュータに実行させ、
当該プログラム群に含まれる第2のプログラムは、
前記利用者端末の通信手段が、ネットワークを通じて前記アクセス権管理装置から通知された前記実施完了情報を受信するステップと、
前記利用者端末の表示手段が、前記実施完了情報を予め定められた態様で画面表示するステップと、を前記各利用者端末におけるコンピュータに夫々に実行させることを特徴とするプログラム群。 A computer-executable access right management program group for controlling a plurality of grouped user terminals managed by the access right management device in the access right management system according to claim 8,
The first program included in the program group is:
A step in which the notification means of the user terminal collectively notifies the execution completion information to the individual user terminals belonging to the group when the common addition / change / deletion processing of the access right in the group unit is completed. To the computer in the access right management device,
The second program included in the program group is:
The communication means of the user terminal receiving the implementation completion information notified from the access right management device through a network;
A program group that causes the display unit of the user terminal to cause the computer in each user terminal to execute the step of displaying the execution completion information on a screen in a predetermined manner.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009279501A JP2010198602A (en) | 2009-01-29 | 2009-12-09 | Access right management device, access right management system, access right management method, program, and recording medium |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009018180 | 2009-01-29 | ||
JP2009279501A JP2010198602A (en) | 2009-01-29 | 2009-12-09 | Access right management device, access right management system, access right management method, program, and recording medium |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010198602A true JP2010198602A (en) | 2010-09-09 |
Family
ID=42823216
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009279501A Pending JP2010198602A (en) | 2009-01-29 | 2009-12-09 | Access right management device, access right management system, access right management method, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010198602A (en) |
-
2009
- 2009-12-09 JP JP2009279501A patent/JP2010198602A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10565236B1 (en) | Data processing systems for generating and populating a data inventory | |
US8681994B2 (en) | Systems and methods for document control using public key encryption | |
US8719842B2 (en) | Transmitting a calendar event in target calendaring system format | |
US8756385B2 (en) | Software configuration item back-up facility | |
US10623601B2 (en) | Inserting a graphical symbol into a print stream for a document file that does not include the graphical symbol | |
US9817988B2 (en) | System and method to provide document management on a public document system | |
JP2009015585A (en) | Management device, network system, program, and management method | |
US10621239B2 (en) | Managing printed documents in a document processing system | |
JP2009026294A (en) | Data security control system | |
JP2009211403A (en) | File search program | |
US10437982B2 (en) | Communication management method and communication management system | |
US10248314B2 (en) | Migrate nickname cache for email systems and devices | |
US10114959B2 (en) | Information processing apparatus, information processing method, and information processing system | |
JP2018055497A (en) | Information processing system, usage amount information formation method, information processing unit, and program | |
US20080059538A1 (en) | Method and system for synchronizing offline records | |
JP2007200047A (en) | Access log-displaying system and method | |
JP4087434B1 (en) | Data security control system | |
JP2010198602A (en) | Access right management device, access right management system, access right management method, program, and recording medium | |
JP2006302041A (en) | Information management device, information management method, and information management program | |
JP7486812B2 (en) | Information processing method, information processing device, and program | |
JP4261551B2 (en) | Archive system | |
JP7440259B2 (en) | Information processing device, information processing method, program | |
JP2004258971A (en) | Schedule management system, program and recording medium | |
KR101851602B1 (en) | Apparatus for assisting strategy map management to provide internal customer satisfaction | |
JP2024048250A (en) | ID inventory support system, ID inventory support method and program |