JP2019036245A - Information processing device - Google Patents
Information processing device Download PDFInfo
- Publication number
- JP2019036245A JP2019036245A JP2017158734A JP2017158734A JP2019036245A JP 2019036245 A JP2019036245 A JP 2019036245A JP 2017158734 A JP2017158734 A JP 2017158734A JP 2017158734 A JP2017158734 A JP 2017158734A JP 2019036245 A JP2019036245 A JP 2019036245A
- Authority
- JP
- Japan
- Prior art keywords
- user
- tenant
- authority
- information
- license
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、情報処理装置に関する。 The present invention relates to an information processing apparatus.
ネットワークで提供される資源やサービスの利用に関して、権限が割り当てられる個々のユーザ、資源やサービスの利用状況、資源やサービスの種別ごとのライセンス数等を管理することが行われている。ネットワークで提供される資源やサービスに関する管理手法として、テナントと呼ばれる単位で管理が行われることがある。資源やサービスの利用者(ユーザ)は、テナントに所属し、所属したテナントに対して与えられているライセンスの範囲で資源やサービスを利用する権限が割り当てられる。 Regarding the use of resources and services provided on a network, management of individual users to whom authority is assigned, usage status of resources and services, the number of licenses for each type of resources and services, and the like is performed. As a management method related to resources and services provided on a network, management may be performed in units called tenants. A user (user) of a resource or service belongs to a tenant, and is assigned an authority to use the resource or service within the scope of a license given to the tenant.
特許文献1には、組織に所属するユーザがサービスを利用した場合に、ユーザが使用した機器をユーザが所属する組織と関連付けて管理することにより、組織単位でのサービスの利用状況の管理を可能とする情報管理システムが開示されている。また、特許文献2には、サービス提供を契約したテナントと、テナントに属するユーザと、ライセンスされたサービスにおけるユーザのアクセス権限を示すロールとをユーザ管理テーブルに登録し、ユーザに対するロールの設定のためのユーザインターフェースを提供し、ユーザインターフェースを介してユーザに対して設定されたロールにしたがってユーザ管理テーブルを更新するクラウドシステムが開示されている。また、特許文献3には、サービスの種別ごとの権限の設定を受け付けると共に、ライセンスにより権限が割り当てられるユーザ数がライセンスにより権限が割り当て可能なユーザ数を超えないようにサービスに対する権限の設定を行う情報処理システムが開示されている。 In Patent Document 1, when a user belonging to an organization uses a service, the usage status of the service can be managed in an organizational unit by managing the device used by the user in association with the organization to which the user belongs. An information management system is disclosed. Patent Document 2 registers a tenant contracted to provide a service, a user belonging to the tenant, and a role indicating the access authority of the user in the licensed service in the user management table, and sets the role for the user. A cloud system that provides a user interface and updates a user management table according to a role set for the user via the user interface is disclosed. Patent Document 3 accepts setting of authority for each service type and sets authority for a service so that the number of users to whom authority is assigned by a license does not exceed the number of users to whom authority can be assigned by a license. An information processing system is disclosed.
ユーザが所属するテナントが変更された場合、変更前のテナントで利用していた資源やサービスを、変更後のテナントにおいても引き続き利用したい場合がある。この引継ぎをテナントの管理者等が手動で行う場合、多大な手間を要していた。変更前のテナントからユーザの管理情報を取得して機械的に登録することは考えられるが、変更前のテナントにおいてユーザが単に権限を持っていただけの(利用しない)資源やサービスもあり、一律に引継ぎを行うのは無駄が生じる場合がある。 When the tenant to which a user belongs is changed, there are cases where it is desired to continue using the resources and services used by the tenant before the change even in the tenant after the change. When this takeover is performed manually by a tenant administrator or the like, a great deal of labor is required. Although it is conceivable to acquire user management information from the tenant before the change and register it mechanically, there are resources and services that the user simply has the authority (not used) in the tenant before the change. It may be wasteful to take over.
本発明は、資源やサービスの利用に関する権限の管理において、ユーザが利用する蓋然性の高い資源やサービスを特定し、その資源やサービスを利用する権限の引継ぎを可能とすることを目的とする。 An object of the present invention is to identify a resource or service having a high probability of being used by a user in the management of authority related to the use of the resource or service, and to take over the authority to use the resource or service.
請求項1に係る本発明は、
ネットワーク上の資源を利用する権限に基づき当該資源へのアクセスを制御する第1の制御手段と、
前記第1の制御手段を介して前記資源へアクセス可能なユーザを登録して管理する第1の管理手段と、
前記第1の制御手段とは別に、ネットワーク上の資源を利用する権限に基づき当該資源へのアクセスを制御する第2の制御手段と、
前記第2の制御手段を介して前記資源へアクセス可能なユーザを登録して管理する第2の管理手段と、
前記第1の管理手段の管理対象から前記第2の管理手段の管理対象に変更されたユーザに関して、前記第1の制御手段における当該ユーザによる前記資源の利用に関する情報に基づき、前記第2の制御手段において当該ユーザに付与されるネットワーク上の資源を利用する権限を特定する特定手段と、
を備えることを特徴とする、情報処理装置である。
請求項2に係る本発明は、
前記特定手段は、前記第1の制御手段における前記ユーザによる前記資源の利用に関する情報に基づき、当該第1の制御手段において当該ユーザに付与されていた当該資源を利用する権限のうち当該ユーザが当該資源を利用するために行使した権限を特定し、当該権限の情報を前記第2の制御手段および前記第2の管理手段の管理者に提示し、当該管理者からの指示を受け付けて、当該第2の制御手段において当該ユーザに付与する権限を特定することを特徴とする、請求項1に記載の情報処理装置である。
請求項3に係る本発明は、
前記特定手段は、前記権限の情報を前記ユーザに提示し、当該ユーザによる選択を受け付けて当該権限の情報を更新し、更新した権限の情報を前記管理者に提示することを特徴とする、請求項2に記載の情報処理装置である。
請求項4に係る本発明は、
前記特定手段は、前記第1の制御手段における前記ユーザによる前記資源の利用に関する情報に基づいて特定される当該ユーザが当該資源を利用するために行使した権限と、前記第2の制御手段に設定されているネットワーク上の資源を利用する権限とに基づいて、当該第2の制御手段において当該ユーザに付与する権限を特定することを特徴とする、請求項1に記載の情報処理装置である。
請求項5に係る本発明は、
前記特定手段は、前記第2の制御手段に設定されているネットワーク上の資源を利用する権限のうち、前記第1の制御手段において前記ユーザが前記資源を利用するために行使した権限に該当しない権限に関して、当該第2の制御手段において当該ユーザに付与するか否かを当該ユーザに問い合わせることを特徴とする、請求項4に記載の情報処理装置である。
請求項6に係る本発明は、
前記特定手段は、前記第1の制御手段において前記ユーザが前記資源を利用するために行使した権限のうち、前記第2の制御手段に設定されているネットワーク上の資源を利用する権限に含まれない権限に関して、当該権限に関連する権限を、当該第2の制御手段において当該ユーザに付与する権限に加えることを特徴とする、請求項4または請求項5に記載の情報処理装置である。
請求項7に係る本発明は、
ネットワーク上の資源を利用する権限に基づき当該資源へのアクセスを制御する制御機能、および、当該制御機能を用いて当該資源へアクセス可能なユーザを管理する管理機能をテナント単位で管理するテナント管理手段と、
一のテナントの管理対象から他のテナントの管理対象に変更されたユーザに関して、当該一のテナントにおける当該ユーザによる前記資源の利用に関する情報に基づき、当該他のテナントにおいて当該ユーザに付与されるネットワーク上の資源を利用する権限を特定する特定手段と、
を備えることを特徴とする、情報処理装置である。
請求項8に係る本発明は、
前記特定手段は、前記一のテナントにおける前記ユーザによる前記資源の利用に関する情報に基づいて特定される当該ユーザが当該資源を利用するために行使した権限と、前記他のテナントに設定されているネットワーク上の資源を利用する権限とに基づいて、当該他のテナントにおいて当該ユーザに付与する権限を特定することを特徴とする、請求項7に記載の情報処理装置である。
請求項9に係る本発明は、
前記特定手段は、前記一のテナントにおいて前記ユーザが前記資源を利用するために行使した権限のうち、前記他のテナントに設定されているネットワーク上の資源を利用する権限に含まれない権限に関して、当該権限に関連する権限を、当該他のテナントにおいて当該ユーザに付与する権限に加えることを特徴とする、請求項8に記載の情報処理装置である。
The present invention according to claim 1
First control means for controlling access to the resource based on the authority to use the resource on the network;
First management means for registering and managing users who can access the resource via the first control means;
Apart from the first control means, second control means for controlling access to the resource based on the authority to use the resource on the network;
Second management means for registering and managing users who can access the resource via the second control means;
With respect to a user who has been changed from a management target of the first management unit to a management target of the second management unit, the second control is performed based on information on the use of the resource by the user in the first control unit. A specifying means for specifying the authority to use resources on the network granted to the user in the means;
An information processing apparatus comprising:
The present invention according to claim 2
The identifying means is based on information related to the use of the resource by the user in the first control means, and the user out of the authority to use the resource given to the user in the first control means Identify the authority exercised to use the resource, present the authority information to the administrator of the second control means and the second management means, accept instructions from the administrator, The information processing apparatus according to claim 1, wherein an authority to be given to the user is specified by the control means of 2.
The present invention according to claim 3 provides:
The specifying means presents the authority information to the user, accepts a selection by the user, updates the authority information, and presents the updated authority information to the administrator. The information processing apparatus according to Item 2.
The present invention according to claim 4 provides:
The specifying means is set in the second control means and the authority exercised by the user to use the resource specified based on information on the use of the resource by the user in the first control means 2. The information processing apparatus according to claim 1, wherein an authority to be given to the user in the second control unit is specified based on the authority to use resources on the network.
The present invention according to claim 5 provides:
The specifying means does not correspond to the authority used by the user to use the resource in the first control means among the authority to use resources on the network set in the second control means. 5. The information processing apparatus according to claim 4, wherein the second control unit inquires of the user whether or not the authority is given to the user.
The present invention according to claim 6 provides:
The specifying means is included in the authority to use the resources on the network set in the second control means among the authority exercised by the user to use the resources in the first control means. 6. The information processing apparatus according to claim 4, wherein an authority related to the authority is added to an authority given to the user by the second control unit.
The present invention according to claim 7 provides:
Tenant management means for managing, on a tenant basis, a control function that controls access to the resource based on the authority to use resources on the network, and a management function that manages users who can access the resource using the control function When,
For a user who has been changed from being managed by one tenant to being managed by another tenant, based on information related to the use of the resource by that user in that one tenant, on the network granted to that user in that other tenant A means of identifying authority to use the resources of
An information processing apparatus comprising:
The present invention according to claim 8 provides:
The specifying means includes an authority exercised by the user to use the resource specified based on information on the use of the resource by the user in the one tenant, and a network set in the other tenant. The information processing apparatus according to claim 7, wherein the authority to be given to the user in the other tenant is specified based on the authority to use the above resources.
The present invention according to claim 9 provides:
The specifying means includes the authority that the user has exercised to use the resource in the one tenant, and the authority that is not included in the authority to use resources on the network set in the other tenant. The information processing apparatus according to claim 8, wherein an authority related to the authority is added to an authority given to the user in the other tenant.
請求項1の発明によれば、第1の制御手段におけるユーザの権限の行使状況を考慮せずに第2の制御手段においてユーザに付与されるネットワーク上の資源を利用する権限を付与する構成と比較して、ユーザが第2の制御手段で利用する蓋然性の高い資源やサービスを特定し、その資源やサービスを利用する権限の引継ぎを行うことができる。
請求項2の発明によれば、第1の制御手段におけるユーザの権限の行使状況のみに基づき第2の制御手段で権限を付与する構成と比較して、第2の制御手段に設定された権限の状況に応じてユーザに権限を付与することができる。
請求項3の発明によれば、第1の制御手段におけるユーザの権限の行使状況のみに基づき第2の制御手段で権限を付与する構成と比較して、ユーザが第2の制御手段において行使することを望む権限を付与することができる。
請求項4の発明によれば、第1の制御手段におけるユーザの権限の行使状況のみに基づき第2の制御手段で権限を付与する構成と比較して、第2の制御手段において新たに権限を設定することなく付与可能な権限をユーザに付与することができる。
請求項5の発明によれば、単に、第1の制御手段におけるユーザの権限の行使状況と第2の制御手段に設定された権限とに基づき第2の制御手段で権限を付与する構成と比較して、ユーザが第2の制御手段において行使することを望む権限を付与することができる。
請求項6の発明によれば、ユーザが第1の制御手段において行使していた権限に対応する権限が第2の制御手段に設定されていない場合であっても、代替する権限をユーザに付与することができる。
請求項7の発明によれば、管理元の変更前のテナントにおけるユーザの権限の行使状況を考慮せずに変更後のテナントにおいてユーザに付与されるネットワーク上の資源を利用する権限を付与する構成と比較して、ユーザが変更後のテナントで利用する蓋然性の高い資源やサービスを特定し、その資源やサービスを利用する権限の引継ぎを行うことができる。
請求項8の発明によれば、管理元の変更前のテナントにおけるユーザの権限の行使状況のみに基づき変更後のテナントで権限を付与する構成と比較して、変更後のテナントにおいて新たに権限を設定することなく付与可能な権限をユーザに付与することができる。
請求項9の発明によれば、ユーザが管理元の変更前のテナントにおいて行使していた権限に対応する権限が変更後のテナントに設定されていない場合であっても、代替する権限をユーザに付与することができる。
According to the first aspect of the present invention, there is provided a configuration for granting authority to use resources on the network given to the user in the second control means without considering the state of exercising the authority of the user in the first control means. In comparison, it is possible to specify a resource or service with a high probability that the user uses the second control means and take over the authority to use the resource or service.
According to the invention of claim 2, the authority set in the second control means as compared with the configuration in which the authority is given in the second control means based only on the user's authority exercise status in the first control means. The authority can be given to the user according to the situation.
According to the invention of claim 3, the user exercises in the second control means as compared with the configuration in which the authority is given in the second control means based only on the user's authority exercise status in the first control means. You can grant the authority you want.
According to the invention of claim 4, in comparison with the configuration in which the authority is given by the second control means based only on the exercise status of the user's authority in the first control means, the authority is newly given in the second control means. Authority that can be granted without setting can be given to the user.
According to the fifth aspect of the present invention, it is compared with the configuration in which the authority is given by the second control means based on the user's authority exercise status in the first control means and the authority set in the second control means. Thus, the authority that the user desires to exercise in the second control means can be given.
According to the invention of claim 6, even when the right corresponding to the right that the user has exercised in the first control means is not set in the second control means, the right to substitute is given to the user. can do.
According to the invention of claim 7, a configuration for granting the authority to use resources on the network granted to the user in the tenant after the change without considering the exercise status of the user's authority in the tenant before the change of the management source Compared to the above, it is possible to specify a resource or service having a high probability of being used by the user in the tenant after the change and take over the authority to use the resource or service.
According to the invention of claim 8, in the tenant after the change, a new authority is newly given in the tenant after the change based on only the exercise status of the user's authority in the tenant before the change of the management source. Authority that can be granted without setting can be given to the user.
According to the invention of claim 9, even when the authority corresponding to the authority exercised by the user in the tenant before the change of the management source is not set in the tenant after the change, the authority to substitute is given to the user. Can be granted.
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
<情報処理システムの全体構成>
図1は、本実施形態の情報処理システムの全体構成を示す図である。図1に示すように、本実施形態の情報処理システム100は、テナント管理サーバ10と、資源提供サーバ20と、クライアント端末30と、情報機器40とを備える。各装置は、ネットワーク50を介して接続されている。また、図1において破線で示すように、テナント管理サーバ10および資源提供サーバ20は、ネットワーク50上の資源やサービスを提供するサービス環境を構成し、クライアント端末30は、ネットワーク50上の資源やサービスを利用するクライアント環境を構成する。情報機器40は、情報機器40の機能をネットワーク50上で利用可能な資源と捉え、クライアント端末30から情報機器40の機能を利用するという観点ではサービス環境に含まれる。一方、情報機器40は、クライアント端末30と同様に、情報機器40自体のユーザ・インターフェイスを介してユーザが直接操作する操作対象装置となり得る。よって、この観点ではクライアント環境に含まれる。
Embodiments of the present invention will be described below in detail with reference to the accompanying drawings.
<Overall configuration of information processing system>
FIG. 1 is a diagram illustrating an overall configuration of an information processing system according to the present embodiment. As illustrated in FIG. 1, the
テナント管理サーバ10は、ユーザがネットワーク50上の資源を利用するための権限を管理するサーバであり、管理手段の一例である。また、テナント管理サーバ10は、このネットワーク50上の資源を利用するための権限に基づき、ユーザによる資源へのアクセスを制御するサーバであり、制御手段の一例である。ここで、ネットワーク50上の資源とは、ユーザがネットワークを介して利用し得るハードウェア、ソフトウェア、データ等をいう。ここで、ネットワークで提供されるサービス(Webサービスやクラウド・サービス)を利用する際には、そのサービスを提供するために用いられたハードウェアやソフトウェアが使用される。したがって、本実施形態において、ネットワーク50上の資源には、ネットワークで提供されるサービスを含むものとする。また、ネットワーク50を介して情報機器40を操作する場合、情報機器40の機能は、ネットワーク50上でクライアント端末30から利用可能な資源に含まれる。テナントおよびユーザの権限の詳細については後述する。
The
資源提供サーバ20は、ネットワークを介して具体的な資源を提供するサーバであり、ネットワーク50上の資源の提供手段の一例である。資源提供サーバ20には、いわゆるサービス・プロバイダが含まれる。サービス・プロバイダとは、ネットワークを介してサービス(Webサービスやクラウド・サービス)を提供するサーバである。資源提供サーバ20により提供される資源としてのサービスは、例えば、ネットワーク50を介して利用されるアプリケーション・プログラム(Webアプリケーション)や、さらにバックエンドに置かれたアプリケーション・プログラムを用いた処理により実現される。また、資源提供サーバ20により提供されるサービスには、ストレージやプロセッサ等のハードウェア資源の提供やソフトウェア自体(ソフトウェア・パッケージ)の提供等も含む。
The
クライアント端末30は、テナント管理サーバ10を介して、資源提供サーバ20により提供されるサービスを利用する端末装置である。クライアント端末30は、例えば、パーソナル・コンピュータ、タブレット端末やスマートフォン等の携帯型情報端末、その他、ネットワーク50を介してテナント管理サーバ10に接続し、ネットワーク50上の資源を利用し得る情報端末である。上述したように、ネットワーク50上の資源の利用には、資源提供サーバ20により提供されるサービス、ハードウェア資源、ソフトウェア・パッケージを利用することの他、ネットワーク50を介して情報機器40の機能を利用することも含まれる。
The
情報機器40は、ユーザが使用するネットワーク50に接続可能な情報処理装置であって、クライアント端末30以外のものであり、テナント管理サーバ10により管理されている装置である。情報機器40は、それ自体がユーザ・インターフェイスを有し、クライアント端末30と同様に、ユーザが直接操作する操作対象装置となり得る。情報機器40は、例えば、ネットワーク50に接続するための通信機能を備えたオフィス機器等で実現される。具体的には、複写機、スキャナ、ファックス送受信機、プリンタ、これらの機能を複合的に備えた複合機等が挙げられる。また、オフィス内で共有される(個別にユーザに対応付けられていない)パーソナル・コンピュータやタブレット端末等の情報端末を情報機器40としても良い。また、情報機器40の機能は、テナント管理サーバ10により管理、提供されるネットワーク50上の資源として、クライアント端末30から利用されるようにしても良い。情報機器40は、ネットワーク50とは別のLANを介してクライアント端末30に接続する構成としても良い。
The
ネットワーク50は、情報処理システム100を構成する装置間のデータ通信に用いられる通信ネットワークである。ネットワーク50は、データの送受信が可能であれば、その種類は特に限定されず、例えばインターネット、LAN(Local Area Network)、WAN(Wide Area Network)等として良い。データ通信に用いられる通信回線は、有線であっても無線であっても良い。また、複数のネットワークや通信回線を介して各装置を接続するように構成しても良い。上述したように、情報処理システム100のうち、ユーザ環境を構成するクライアント端末30と情報機器40とは、ネットワーク50とは別のLANを介して接続しても良い。この場合、例えば、クライアント端末30および情報機器40が接続されたLAN(LANのルータ)をネットワーク50に接続することにより、クライアント環境とサービス環境とを接続するネットワークを構築しても良い。
The
<情報処理システムの管理機能>
図2は、本実施形態の情報処理システムによるマルチテナント型の管理方式を説明する図である。本実施形態では、テナント管理サーバ10が、マルチテナント型の管理方式により、ネットワーク50上の資源を利用するための権限を管理する。テナントとは、ネットワーク50上の資源の利用に関する管理を行う単位である。マルチテナント型の管理方式では、テナントが複数設定され、テナントごとに権限の管理が行われる。したがって、テナント管理サーバ10は、テナント管理手段の一例である。
<Management function of information processing system>
FIG. 2 is a diagram for explaining a multi-tenant type management method by the information processing system of this embodiment. In the present embodiment, the
各テナントには、資源提供サーバ20によるサービス(Webサービスやクラウド・サービス)を利用するためのライセンス、資源提供サーバ20を介して利用可能なソフトウェア・パッケージを利用するためのライセンス、情報機器40の機能を利用するライセンス等が設定される。ライセンスとは、テナントに付与されたサービスやソフトウェア・パッケージの利用権限である。ライセンスは、クラウド・サービスのプロバイダや、ソフトウェア・パッケージのベンダーから、テナントに対して付与される。ライセンスの条項により、ユーザ上限数などが設けられている。
Each tenant has a license for using a service (Web service or cloud service) provided by the
また、各テナントには、1または複数のユーザが所属する。実際の運用において、テナントは、利用契約等により、企業や企業内の部署、その他の団体等の種々の組織に対応付けて設定することができる。このようにすれば、テナントに対応する組織ごとに、上記の各種のライセンスを管理し、ネットワーク50上の資源の利用を制御し得る。すなわち、テナントに所属するユーザ(以下、所属ユーザ)およびテナントに設定されたライセンスは、テナントにより管理される管理対象である。テナントが設定された組織は、各々のテナントにおいて、別個のシステム上で提供されている専用の資源を利用しているのと同様にネットワーク50上の資源を利用し得る。
Further, one or more users belong to each tenant. In actual operation, a tenant can be set in association with various organizations such as a company, a department within the company, and other groups, based on a usage contract or the like. In this way, the various licenses described above can be managed for each organization corresponding to the tenant, and the use of resources on the
また、各テナントには、テナント管理者が設定され、このテナント管理者により、テナントに所属するユーザに対してロールの割り当てが行われる。ロールとは、ユーザに対して割り当てられる(付与される)ライセンスの利用権限である。また、テナント管理者とは、テナントに対するユーザの所属を許可し、テナントの所属ユーザに対してロールを設定し、所属ユーザおよび各所属ユーザに割り当てられたロールを管理する者である。また、テナント管理者は、テナントにおけるライセンスの設定を行う者である。また、テナントに所属するユーザ(所属ユーザ)とは、テナントに関連付けて登録され、割り当てられたロールにしたがって、テナントに設定されたライセンスを利用することが認められたユーザである。各ユーザのロールは、テナントに設定されたライセンスの範囲内で定められる。例えば、あるソフトウェア・パッケージの利用に関し、テナントに設定されたライセンス数が10である場合、10人までの所属ユーザにソフトウェア・パッケージを利用するためのロールを割り当てることができる。言い換えると、このテナントに所属するユーザが10人よりも多い場合であっても、10人を超える所属ユーザにロールを割り当てることはできない。また、あるクラウド・サービスの利用に関し、テナントに設定されたライセンスにより利用できるサービス内容に制限がある場合、ライセンスが設定されたサービス内容に関してのみ、ロールを所属ユーザに割り当てることができる。そして、制限されたサービス内容に関するロールを所属ユーザに割り当てることはできない。 A tenant administrator is set for each tenant, and the tenant administrator assigns roles to users belonging to the tenant. A role is a use authority of a license assigned (given) to a user. The tenant administrator is a person who permits the user to belong to the tenant, sets a role for the tenant's belonging user, and manages the assigned user and the role assigned to each belonging user. The tenant administrator is a person who sets a license in the tenant. A user belonging to a tenant (affiliated user) is a user who is registered in association with the tenant and is permitted to use the license set in the tenant according to the assigned role. The role of each user is determined within the scope of the license set for the tenant. For example, regarding the use of a software package, when the number of licenses set for a tenant is 10, a role for using the software package can be assigned to up to 10 users. In other words, even if there are more than 10 users belonging to this tenant, roles cannot be assigned to more than 10 affiliated users. In addition, when there is a restriction on the service content that can be used with a license set for a tenant with respect to the use of a certain cloud service, a role can be assigned to an affiliated user only for the service content for which a license is set. A role related to the restricted service content cannot be assigned to the affiliated user.
<各装置のハードウェア構成>
図3は、テナント管理サーバ10、資源提供サーバ20、クライアント端末30等を実現するコンピュータのハードウェア構成例を示す図である。図3に示すコンピュータ200は、演算手段であるCPU(Central Processing Unit)201と、記憶手段である主記憶装置(メイン・メモリ)202および外部記憶装置203を備える。CPU201は、外部記憶装置203に格納されたプログラムを主記憶装置202に読み込んで実行する。主記憶装置202としては、例えばRAM(Random Access Memory)が用いられる。外部記憶装置203としては、例えば磁気ディスク装置やSSD(Solid State Drive)等が用いられる。また、コンピュータ200は、表示装置(ディスプレイ)210に表示出力を行うための表示機構204と、コンピュータ200の操作者による入力操作が行われる入力デバイス205とを備える。入力デバイス205としては、例えばキーボードやマウス等が用いられる。また、コンピュータ200は、ネットワーク50に接続するためのネットワーク・インターフェイス206を備える。
<Hardware configuration of each device>
FIG. 3 is a diagram illustrating a hardware configuration example of a computer that realizes the
なお、図3に示すコンピュータ200の構成は一例に過ぎず、図3の構成例に限定されるものではない。例えば、記憶装置としてフラッシュ・メモリ等の不揮発性メモリやROM(Read Only Memory)を備える構成としても良い。また、テナント管理サーバ10、資源提供サーバ20、クライアント端末30等の適用対象に応じて、具体的な構成は異なる場合がある。例えば、クライアント端末30がタブレット端末等で実現される場合、入力デバイス205としてタッチセンサと液晶ディスプレイとを組み合わせたタッチパネルが用いられる。また、テナント管理サーバ10および資源提供サーバ20は、図3に示すようなコンピュータ200の単体で構成しても良いし、複数のコンピュータ200による分散処理にて実現するように構成しても良い。
The configuration of the
<テナント管理サーバの機能構成>
図4は、テナント管理サーバ10の機能構成を示す図である。図4に示すように、テナント管理サーバ10は、ユーザ登録部11と、ライセンス管理部12と、ロール設定部13と、ロール管理部14と、ライセンス要求部15と、情報格納部16と、操作画面生成部17と、送受信制御部18とを備える。情報格納部16には、所属ユーザ、テナント、ライセンス、ロール等の情報が様々に対応付けられて格納されている。各情報の詳細については後述する。ユーザ登録部11、ライセンス管理部12、ロール設定部13、ロール管理部14、ライセンス要求部15、操作画面生成部17および送受信制御部18の機能は、例えば、図3に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。情報格納部16は、例えば、図3に示したコンピュータ200において、主記憶装置202や外部記憶装置203により実現される。
<Functional configuration of tenant management server>
FIG. 4 is a diagram illustrating a functional configuration of the
ユーザ登録部11は、テナントの所属ユーザを登録する登録手段である。所属ユーザはテナントごとに設定され登録される。ユーザ登録部11は、例えば、ネットワーク50に接続された認証サーバ(図示せず)により認証されたことを条件として登録しても良い。認証サーバとしては、一般的なIdP(Identity Provider)を用いて良い。IdPとは、ユーザの個人認証を行うサーバである。登録された所属ユーザの情報はユーザ情報166として、所属するテナントとユーザとの対応情報は所属情報161として、それぞれ情報格納部16に格納される。
The
ライセンス管理部12は、テナントに対して設定されたライセンスをテナントに対応付けて管理する管理手段である。ライセンスは、テナントごとに個別に設定される。また、ライセンス管理部12は、各テナントの所属ユーザが各テナントにおけるライセンスを行使するためのロールを定義する。ライセンスの情報はライセンス情報163として、ロールの情報はロール情報165として、情報格納部16に格納される。ライセンス管理部12により管理されるライセンスは、例えば、資源提供サーバ20によるサービス(Webサービスやクラウド・サービス)を利用するためのライセンス、資源提供サーバ20により提供されるソフトウェア・パッケージを利用するためのライセンス、情報機器40の機能を利用するライセンス等である。
The
ロール設定部13は、テナントの所属ユーザに対し、テナントに設定されたライセンスを行使するためのロールを設定する設定手段である。ロールは、ライセンス管理部12により管理されているライセンスの範囲内で設定される。テナントに設定されたライセンスの範囲を超えてロールを設定する必要が生じた場合、ライセンス管理部12によるライセンスの設定変更を行って対応することが必要となる。テナントに設定されたライセンスの範囲を超えてロールを設定する必要が生じる場合としては、例えば、所属ユーザの増加等により設定されているライセンス数よりも多いライセンスが必要となった場合や、設定されているライセンスの内容とは異なる内容のライセンスが必要な場合等がある。
The
ロール管理部14は、ロールに関する情報を管理する管理手段である。ロールに関する情報としては、例えば、新規ロールの設定(所属ユーザへのロールの付与)、ロールの削除、ロールが行使されたテナントを特定する情報(テナントID)、ロールを行使した所属ユーザを特定する情報(ユーザID)、ロールが行使された際に行われた操作、ロールが行使された日時などの情報が挙げられる。
The
以上のように、テナント管理サーバ10は、ライセンス管理部12の機能により、テナントごとに設定されたネットワーク上の資源を利用する権限に基づき、テナントの所属ユーザによる資源へのアクセスを制御する。また、テナント管理サーバ10は、ユーザ登録部11、ライセンス管理部12、ロール設定部13およびロール管理部14の機能により、ネットワーク50上の資源へアクセス可能なユーザを登録して管理する。
As described above, the
ライセンス要求部15は、テナントの所属ユーザに対してロールを付与するためのライセンスの要求をテナント管理者に対して行う要求手段である。詳しくは後述するが、ライセンス要求部15は、所属ユーザの所属先のテナントが変更される場合、所属ユーザにロールを付与するために必要なライセンスを、変更前に所属ユーザが所属していたテナントおよび変更後に所属ユーザが所属するテナントが有しているライセンスに基づいて特定する。また、ライセンス要求部15は、所属ユーザの所属先のテナントが変更される場合、所属ユーザにロールを付与するために必要なライセンスを、所属ユーザが所属先の変更前に所属していたテナントにおいて実際に利用していた資源(行使していた権限)に基づいて、特定する。
The
ここで、ロール設定部13に関して説明したように、ライセンスはテナントに対して設定され、所属ユーザに対してはテナントに設定されたライセンスの範囲でロールとして権限が割り当てられる。したがって、テナント管理者がライセンス要求部15からの要求に対して実際に行うのはロールの割り当てである。しかしながら、テナントに設定されているライセンスがライセンス要求部15からの要求に応じるには不足している場合、ライセンス管理部12によるライセンスの設定変更を行って対応することが必要となる場合がある。
Here, as described with respect to the
本実施形態において、ライセンス要求部15は、あるユーザが一のテナントの所属から他の一のテナントの所属に変更する場合、所属変更前のテナントにおいて有していた権限に対応する権限を取得するように要求を行う。したがって、ユーザが、所属変更後のテナントに設定されていないライセンスに基づく権限を所属変更前のテナントにおいて有していた場合、所属変更後のテナントにおいても同じ権限を取得するように要求を行う。テナント管理者は、この要求に応じる場合は、新たなユーザに対して要求された権限のロールを割り当てられるように、新たなライセンス設定を行うこととなる。ユーザが所属するテナントの変更に伴うライセンスの要求に関する処理の詳細については後述する。
In this embodiment, the
情報格納部16は、テナントを管理するために用いられる情報を格納する格納手段である。ここで、情報格納部16には、所属情報161、テナント情報162、ライセンス情報163、ライセンス所有情報164、ロール情報165、ユーザ情報166、ロール付与情報167、ロール行使履歴情報168が格納される。
所属情報161は、ユーザIDと、ユーザIDで特定されるユーザが所属するテナントのテナントIDとを対応付けた情報である。
テナント情報162は、テナントIDと、テナントIDで特定されるテナントの属性情報(テナント属性)とを対応付けた情報である。
ライセンス情報163は、ライセンスIDと、ライセンスIDで特定されるライセンスの属性情報(ライセンス属性)とを対応付けた情報である。
ライセンス所有情報164は、テナントIDと、テナントIDで特定されるテナントが所有する(設定された)ライセンスのライセンスIDとを対応付けた情報である。
ロール情報165は、ライセンスIDと、ライセンスIDで特定されるライセンスに対して定義されたロールのロールIDとを対応付けた情報である。
ユーザ情報166は、ユーザIDと、ユーザIDで特定されるユーザの属性情報(ユーザ属性)とを対応付けた情報である。
ロール付与情報167は、ユーザIDと、ユーザIDで特定されるユーザに割り当てられたロールのロールIDとを対応付けた情報である。
ロール行使履歴情報168は、ロールIDおよびユーザIDと、これらのIDで特定されるロールおよびユーザによる操作の種別および操作が行われた日時とを対応付けた情報である。
The
The
The
The
The
The
The
The
The role
ユーザIDは、ユーザを特定する識別情報である。
ユーザ属性は、テナントに関わるユーザの属性を示す情報であり、テナントが設定された組織におけるユーザの情報等を含んでも良い。具体的な属性の内容は、例えば、テナントやテナント管理サーバ10の仕様や運用状況、サービス等に応じて定められる。
テナントIDは、テナントを特定する識別情報である。
テナント属性は、テナントの属性を示す情報であり、テナントが設定された組織の情報等を含んでも良い。具体的な属性の内容は、例えば、テナント管理サーバ10の仕様や運用状況、サービス等に応じて定められる。
ライセンスIDは、ライセンスを特定する識別情報である。
ライセンス属性は、テナントに設定されたライセンスの属性を示す情報であり、ライセンス数、ライセンスに基づく権限や制限の内容等を含んでも良い。具体的な属性の内容は、例えば、ライセンスにより利用可能となる資源やサービスの種類、内容等に応じて定められる。
ロールIDは、ロールを特定する識別情報である。
ロールに対する操作の種別は、ロールの設定、ロールの削除、ロールの行使のいずれが行われたかを示す情報である。また、これらの操作が行われた日時の情報も含まれる。
The user ID is identification information that identifies the user.
The user attribute is information indicating the attribute of the user related to the tenant, and may include information on the user in the organization in which the tenant is set. Specific attribute contents are determined according to, for example, the specifications, operational status, service, and the like of the tenant or the
The tenant ID is identification information that identifies a tenant.
The tenant attribute is information indicating the attribute of the tenant, and may include information on an organization in which the tenant is set. Specific attribute contents are determined according to, for example, the specifications, operational status, service, and the like of the
The license ID is identification information that identifies a license.
The license attribute is information indicating the attribute of the license set for the tenant, and may include the number of licenses, authority based on the license, contents of restrictions, and the like. Specific attribute contents are determined according to, for example, the types of resources and services that can be used by the license, the contents, and the like.
The role ID is identification information that identifies a role.
The type of operation for a role is information indicating whether a role is set, a role is deleted, or a role is exercised. Information on the date and time when these operations are performed is also included.
操作画面生成部17は、テナント内における所属ユーザの操作を受け付けるための操作画面を生成する画面生成手段である。操作画面は、例えば、Webページとして生成される。また、操作画面は、テナント管理者が使用するための管理者用操作画面と、所属ユーザが使用するためのユーザ用操作画面とに分けても良い。管理者用操作画面では、例えば、ユーザ登録部11、ライセンス管理部12、ロール設定部13およびロール管理部14に対する操作を受け付ける。管理者用操作画面は、テナント管理者が、自身が管理するテナントに管理者権限でログインした場合に生成され、テナント管理者のクライアント端末30に送られる。また、ユーザ用操作画面では、ライセンス要求部15の機能に対する操作を受け付ける。ユーザ用操作画面は、テナントの所属ユーザが、自身が所属するテナントに所属ユーザとしてログインした場合に生成され、その所属ユーザのクライアント端末30に送られる。各クライアント端末30に送られた操作画面は、クライアント端末30の表示手段により表示される。テナント管理者や所属ユーザが、クライアント端末30の表示手段に表示された操作画面に対して入力操作等を行うと、操作内容の情報がクライアント端末30からテナント管理サーバ10へ送信される。なお、ログインとは、テナント管理サーバ10による管理下でネットワーク50上の資源を利用するために、予め設定されたアカウント情報を用いて、テナントの所属ユーザを認証するための操作である。
The operation
送受信制御部18は、資源提供サーバ20、クライアント端末30および情報機器40と通信を行うための通信手段である。送受信制御部18は、例えば、図3に示したネットワーク・インターフェイス206を制御し、ネットワーク50を介して資源提供サーバ20、クライアント端末30および情報機器40との間でコマンドやデータを送受信する。
The transmission /
<資源提供サーバの機能構成>
図5は、資源提供サーバ20の機能構成を示す図である。図5に示すように、資源提供サーバ20は、アプリケーション実行部21と、送受信制御部22とを備える。アプリケーション実行部21および送受信制御部22の機能は、例えば、図3に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。
<Functional configuration of resource providing server>
FIG. 5 is a diagram illustrating a functional configuration of the
アプリケーション実行部21は、資源提供サーバ20による資源の提供に係る処理を実現するアプリケーション・プログラムを実行する実行手段である。例えば、資源提供サーバ20がサービス・プロバイダである場合、アプリケーション実行部21は、サービス(Webサービスやクラウド・サービス)に係る処理を実行する。また、資源提供サーバ20がソフトウェア・パッケージを提供するサーバである場合、アプリケーション実行部21は、ソフトウェア・パッケージを利用するためのライセンスを管理するLMS(License Management System)サーバとしての機能を実現する。LMSサーバとは、ソフトウェア・パッケージのライセンスの有効性を確認し、利用の許諾を与えるサーバである。
The
送受信制御部22は、テナント管理サーバ10、クライアント端末30および情報機器40と通信を行うための通信手段である。送受信制御部22は、例えば、図3に示したネットワーク・インターフェイス206を制御し、ネットワーク50を介してテナント管理サーバ10、クライアント端末30および情報機器40との間でコマンドやデータを送受信する。
The transmission /
本実施形態では、資源提供サーバ20により提供される資源を利用するユーザの認証は、図示しない認証サーバ(IdP等)により行われる。したがって、図5に示すように、資源提供サーバ20はユーザ認証のための手段を有していない。ただし、資源提供サーバ20に認証手段を設け、認証サーバを用いず、個々の資源提供サーバ20においてユーザ認証を行うように構成しても良い。
In the present embodiment, authentication of a user who uses resources provided by the
<クライアント端末の機能構成>
図6は、クライアント端末30の機能構成を示す図である。図6に示すように、クライアント端末30は、操作画面表示部31と、操作受け付け部32と、送受信制御部33とを備える。操作画面表示部31、操作受け付け部32および送受信制御部33の機能は、例えば、図3に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。
<Functional configuration of client terminal>
FIG. 6 is a diagram illustrating a functional configuration of the
操作画面表示部31は、資源提供サーバ20により提供されるサービスやソフトウェア・パッケージ、情報機器40の機能等を使用するための操作画面を生成し表示させる手段である。操作画面表示部31は、例えば、図3に示した表示機構204を制御し、表示装置210に操作画面を表示させる。また、操作受け付け部32は、操作画面上で行われた操作を、サービス、ソフトウェア・パッケージ、情報機器40の機能等を使用するための操作として受け付ける手段である。操作受け付け部32は、例えば、図3に示した入力デバイス205を用いて行われた操作を受け付ける。一例として、サービス、ソフトウェア・パッケージ、情報機器40の機能等を、WWW(World Wide Web)を用いて提供する場合、操作画面表示部31および操作受け付け部32の機能は、Webブラウザにより実現される。
The operation
送受信制御部33は、テナント管理サーバ10および資源提供サーバ20と通信を行うための通信手段である。送受信制御部33は、例えば、図3に示したネットワーク・インターフェイス206を制御し、ネットワーク50を介してテナント管理サーバ10および資源提供サーバ20との間でコマンドやデータを送受信する。
The transmission /
<テナント移行に基づく権限の引継ぎ>
次に、本実施形態において、あるユーザが一のテナントの所属から他の一のテナントの所属に変更する場合における権限の引継ぎについて説明する。一のテナント(以下、テナントAとする)の所属ユーザ(以下、ユーザaとする)が、他の一のテナント(以下、テナントBとする)の所属に変更される場合、テナントAで利用していた資源を、テナントBにおいても引き続き利用したい場合がある。一方、変更前のテナントAにおいてユーザaが利用する権限を有していた資源のうち、利用する権限を有していただけで実際には利用していなかった資源については、ユーザaが利用を望まなければ、テナントBにおいて利用権限を引き継ぐ必要はない。逆に、ユーザaが利用しないライセンス数の制限された資源についてロールを設定すれば、その資源の利用を欲する他の所属ユーザを阻害する原因ともなる。そこで、本実施形態では、テナントAにおけるユーザaの資源の利用実績を加味して、ユーザaがテナントAで有していた権限のうち、ユーザaがテナントBにおいても利用する蓋然性の高い資源に関する権限について、テナントBにおいてもロールを設定する。
<Inheritance of authority based on tenant migration>
Next, in the present embodiment, a description will be given of handing over authority when a certain user changes from belonging to one tenant to belonging to another tenant. When a user belonging to one tenant (hereinafter referred to as tenant A) (hereinafter referred to as user a) is changed to belong to another tenant (hereinafter referred to as tenant B), There are cases where the tenant B wants to continue using the resources that have been used. On the other hand, among the resources that the user a has the authority to use in the tenant A before the change, the user a wants to use the resources that have only the authority to use and are not actually used. Otherwise, there is no need to take over the usage authority in the tenant B. On the other hand, if a role is set for a resource with a limited number of licenses that is not used by user a, this may cause other affiliated users who want to use the resource to be blocked. Therefore, in the present embodiment, considering the resource usage record of the user a in the tenant A, the authority that the user a has in the tenant A is related to the highly probable resource that the user a also uses in the tenant B. Regarding authority, a role is also set in Tenant B.
図7は、ユーザのテナント移行時の権限の設定変更に関する動作を示すフローチャートである。所属するテナントを変更しようとするユーザaは、それまで所属していたテナントAおよび移行先のテナントBの識別情報(テナントID)を入力する(S701)。具体的な入力操作は、例えば、テナントAにログインし、テナント管理サーバ10の操作画面生成部17により生成されたユーザ用操作画面において、テナントAおよびテナントBのテナントIDを入力する。なお、ここでは移行前のテナントAにおいてテナントIDを入力する動作として説明するが、移行先のテナントBにおいてテナントIDを入力するようにしても良い。
FIG. 7 is a flowchart illustrating an operation related to authority setting change at the time of user tenant migration. The user a who intends to change his / her tenant inputs identification information (tenant ID) of the tenant A and the migration destination tenant B to which he / she belongs so far (S701). Specifically, for example, the tenant A logs in to the tenant A, and inputs the tenant IDs of the tenant A and the tenant B on the user operation screen generated by the operation
テナントAおよびテナントBのテナントIDが入力されると、テナント管理サーバ10のライセンス要求部15は、ユーザaがテナントAで有していた権限および利用していた資源に基づき、テナントBでユーザaに提供する権限(ライセンス)のリストを作成する(S702)。具体的には、ユーザaのユーザIDとテナントAのテナントIDとを用いてユーザaがテナントAで割り当てられていたロール(有していた権限)に対するライセンスを特定し、リストアップする。ユーザaのユーザIDはログイン時の入力情報から取得でき、テナントAのテナントIDはS701の入力情報から取得できる。また、情報格納部16に格納されたライセンス所有情報164を参照することにより、テナントIDからテナントAに設定されたライセンスのライセンスIDを特定することができる。そして、ロール情報165を参照することにより、テナントAのライセンスに対して設定されたロールのロールIDを特定することができる。一方、ロール付与情報167を参照することにより、ユーザaに対して付与されたロールのロールIDを特定することができる。これらの情報に基づき、ユーザaがテナントAで利用していたライセンスおよび割り当てられていたロールが特定される。
When the tenant IDs of the tenant A and the tenant B are input, the
ここで、テナントAに設定されているライセンスとテナントBに設定されているライセンスとが異なる場合について考える。例えば、テナントBでのみ設定されているライセンスがある場合、ユーザaは、かかるライセンスのロールを割り当てられれば、テナントAで利用していなかった資源を利用可能となる。一方、テナントAでのみ設定されているライセンスがある場合、テナントBにおいても同じライセンスを設定しないと、ユーザaは、テナントAで利用していた資源のうちで利用できない資源がでてくる。そこで、本実施形態ではさらに、テナントBに設定されているライセンスを調べ、テナントAで設定されているライセンスと比較する。テナントBのテナントIDは、S701の入力情報から取得できる。そして、情報格納部16に格納されたライセンス所有情報164を参照することにより、テナントIDからテナントBに設定されたライセンスのライセンスIDを特定することができる。
Here, consider a case where the license set for the tenant A and the license set for the tenant B are different. For example, when there is a license that is set only in the tenant B, the user a can use resources that were not used in the tenant A if the role of the license is assigned. On the other hand, if there is a license set only in tenant A, if the same license is not set in tenant B, user a will have resources that cannot be used among resources used in tenant A. Therefore, in this embodiment, the license set for the tenant B is further checked and compared with the license set for the tenant A. The tenant ID of tenant B can be acquired from the input information in S701. Then, by referring to the
また、ユーザaがテナントAで有していた権限には、単に権限を有していた(ロールが割り当てられていた)だけであって、ユーザaが権限に基づく資源の利用を行っていなかったものが含まれる場合がある。そこで、本実施形態では、テナントAにおいてユーザaに割り当てられていたロールのうち、資源の利用に供していたもの(ロールに基づく操作が行われていたもの)を抽出する。上記のように特定したユーザaがテナントAで割り当てられていたロールのロールIDとユーザa自身のユーザIDとをキーとして、ロール行使履歴情報168を参照することにより、ユーザaが実際に資源を利用するのに用いていたロールを特定することができる。
In addition, the authority that the user a had in the tenant A was simply the authority (the role was assigned), and the user a did not use the resource based on the authority. Things may be included. Therefore, in the present embodiment, out of the roles assigned to the user a in the tenant A, the ones that have been used for resources (the ones that have been operated based on the roles) are extracted. By referring to the role
以上のようにして得られた情報に基づき、テナントBにおいてユーザaにロールを付与するために必要なライセンスのリストが作成される。このリストには、ユーザaがテナントAで利用していたライセンス(テナントAで利用していた資源のロールが定義されたライセンス)が記載されている。また、テナントBでのみ設定されているライセンスがある場合、ユーザaがテナントAで利用していたライセンスに加え、テナントBでのみ設定されているライセンスを含んだリストが作成される。 Based on the information obtained as described above, a list of licenses necessary for granting a role to the user a in the tenant B is created. In this list, a license used by the user a in the tenant A (a license in which the role of the resource used in the tenant A is defined) is described. In addition, when there is a license set only in the tenant B, a list including licenses set only in the tenant B in addition to the license used by the user a in the tenant A is created.
次に、ライセンス要求部15は、作成したライセンスのリストをテナントBのテナント管理者に通知する(S703)。通知されたリストは、例えば管理者用操作画面に記載されて、テナント管理者のクライアント端末30の表示装置に表示される。テナント管理者は、取得したリストに基づき、ユーザaにロールを割り当てるライセンスを決定する。このとき、テナント管理者は、テナントBに設定されているライセンスとリストで要求されたライセンスとの関係に応じて、種々の操作を行う。例えば、リストに、テナントBに設定されていないライセンスが含まれている場合がある。このような場合、テナント管理者は、ユーザaにロールを割り当てるために新たにライセンスを取得しても良いし、テナントBにおいて該当するロールを割り当てないと決定しても良い。また、テナントBに設定されているライセンスではあるが、ユーザaに対して単純にロールを割り当てられない場合がある。例えば、ユーザaにロールを割り当てるとライセンス数の制限を超過する場合等である。このような場合においても、テナント管理者は、ユーザaへのロールの割り当てが可能とするようにライセンスの設定を変更しても良いし、テナントBにおいて該当するロールを割り当てないと決定しても良い。さらに、既にロールが割り当てられている他の所属ユーザからユーザaへロールの割り当てを変更しても良い。これらの場合に具体的にどのような操作を行うかは、テナント管理サーバ10を含むシステムの仕様や運用状況等に応じて、個別に定めれば良い。
Next, the
テナント管理者は、上記の決定の後、クライアント端末30に表示された管理者用操作画面等を用いて、ユーザaにロールを付与する操作を行い、クライアント端末30からテナント管理サーバ10へ、ロール付与のための指示が送られる。テナント管理サーバ10のロール設定部13は、テナント管理者のクライアント端末30から送られた指示を受け付けると(S704)、指示に応じてユーザaにロールを割り当てる(S705)。具体的には、ロール設定部13は、ライセンス情報163およびロール情報165を参照してユーザaに割り当てるロールのロールIDを特定する。そして、特定したロールIDとユーザaのユーザIDとを対応付けてロール付与情報167に登録する。
After the above determination, the tenant administrator performs an operation of assigning a role to the user a using the administrator operation screen displayed on the
以上のように、本実施形態では、ライセンス要求部15が、ユーザaの所属の移行先であるテナントBにおいてユーザaに対しロールを割り当て得るライセンスのリストを作成する。そして、ロール設定部13が、リストに基づくテナント管理者の指示を受け付け、この指示により特定されたライセンスのロールをユーザaに割り当てる。したがって、ライセンス要求部15およびロール設定部13は、特定手段の一例である。
As described above, in the present embodiment, the
なお、上記の動作例では、S702で作成したリストを、S703で直ちに、テナント管理者に通知した。これに対し、S702で作成したリストを、まずユーザaに提示し、ユーザa自身に所望するライセンスを選択させても良い。特に、テナントBでのみ設定されているライセンスがリストに含まれている場合、そのライセンスは、ユーザaがテナントAで利用していたライセンスには含まれない。したがって、ユーザaに、テナントBにおいてそのライセンスを要求するか否かを問い合わせて良い。ユーザaに対する問い合わせは、例えば、ユーザ用操作画面にリストを表示し、ユーザaのクライアント端末30において選択を受け付けることにより行う。ユーザaの選択により要求しないとされたライセンスは、リストから削除される。
In the above operation example, the list created in S702 is immediately notified to the tenant administrator in S703. On the other hand, the list created in S702 may be first presented to the user a and the user a himself may select a desired license. In particular, when a license that is set only in tenant B is included in the list, the license is not included in the license that user a used in tenant A. Therefore, the user a may be inquired whether the tenant B requests the license. The inquiry to the user “a” is made, for example, by displaying a list on the user operation screen and accepting the selection at the
<ロール行使履歴の収集>
次に、ロール行使履歴の収集について説明する。本実施形態では、テナントBでユーザaに提供する権限(ライセンス)のリストを作成する際(図7、S702参照)に、ロール行使履歴情報168を参照することにより、ユーザaが実際に資源を利用するのに用いていたロールを特定した。ここで、ロールに基づく資源の利用として、クラウド・サービスを利用する場合、ソフトウェア・パッケージを利用する場合、情報機器40の機能を使用する場合のそれぞれについて、ロール行使履歴の取得手順を説明する。なお、ここではテナントに所属する所属ユーザの個人認証を、資源提供サーバ20や情報機器40とは別に設けられた認証サーバにより行うものとする。
<Collecting role exercise history>
Next, collection of role exercise history will be described. In the present embodiment, when the tenant B creates a list of authority (licenses) to be provided to the user a (see S702 in FIG. 7), the user a actually allocates resources by referring to the role
図8は、クラウド・サービスを利用する場合のロール行使履歴の取得手順を示すシーケンス図である。テナントの所属ユーザは、クラウド・サービスを提供するサービス・プロバイダとしての資源提供サーバ20にアクセスする(S801)。ここで、所属ユーザは、テナント管理サーバ10における自身が所属するテナントから割り当てられているロールに基づき、テナントに設定されているライセンスを用いて、資源提供サーバ20にアクセスする。
FIG. 8 is a sequence diagram showing a procedure for acquiring a role exercising history when using a cloud service. The user belonging to the tenant accesses the
所属ユーザが資源提供サーバ20にアクセスしようとすると、まず、所属ユーザのクライアント端末30から送られたアクセス要求が、認証サーバ80(IdP等)に転送され(S802)、認証サーバ80において所属ユーザの個人認証が行われる(S803)。そして、所属ユーザの個人認証が成功し、認証サーバ80から資源提供サーバ20へ認証結果が送られると(S804)、所属ユーザは資源提供サーバ20によるサービスを利用可能となる(S805)。一方、認証サーバ80は、今回の認証処理に関わる情報(認証ログ)として、所属ユーザの個人認証で用いたユーザIDと、アクセス対象の資源提供サーバ20のサービスに対応するライセンスのライセンスIDと、認証日時とを保存する(S806)。
When the affiliated user tries to access the
テナント管理サーバ10のロール管理部14は、上記の認証およびサービスの利用とは別のタイミングにおいて、認証サーバ80から認証ログを取得する(S807)。認証ログの取得は、例えば、夜間等の負荷の少ない時間帯における定期的なバッチ処理等により行われる。そして、ロール管理部14は、取得した認証ログからライセンスIDを抽出し、情報格納部16に格納されているロール情報165を参照して、抽出したライセンスIDを有するライセンスに対して定義されたロールのロールIDのリストを取得する(S808)。次に、ロール管理部14は、認証ログからユーザIDを抽出し、情報格納部16に格納されているロール付与情報167とS808で取得したリストとを参照して、所属ユーザにより行使されたロールを特定する(S809)。そして、ロール管理部14は、特定した所属ユーザおよびロールのユーザIDおよびロールIDと、認証ログから抽出される認証日時(ロールの行使日時と擬制)と、操作の種別(ロールの行使を示す情報)とを、ロール行使履歴情報168に記録する(S810)。
The
なお、以上の動作では、認証サーバ80を用いて所属ユーザの個人認証を行うこととしたが、個々の資源提供サーバ20において個人認証を行っても良い。また、テナント管理サーバ10自身が個人認証を行っても良い。後者の場合、認証ログは、テナント管理サーバ10に保存されることになるので、上記のように、別途、認証サーバ80からバッチ処理等により認証ログを取得する必要がない。
In the above operation, personal authentication of the belonging user is performed using the
図9は、ソフトウェア・パッケージを利用する場合のロール行使履歴の取得手順を示すシーケンス図である。前提として、ソフトウェア・パッケージの初回の起動時に、資源提供サーバ20からクライアント端末30にソフトウェア・パッケージが提供され、LMSサーバ90においてライセンス・キーの認証が行われ、認証サーバ80においてユーザの個人認証が行われている。
FIG. 9 is a sequence diagram showing a procedure for acquiring a role exercising history when using a software package. As a premise, when the software package is activated for the first time, the software package is provided from the
テナントの所属ユーザは、クライアント端末30において資源提供サーバ20から取得したソフトウェア・パッケージを起動する(S901)。すると、クライアント端末30は、ユーザIDとソフトウェア・パッケージのライセンス・キーとをLMSサーバ90に送信し、ライセンスの有効性を問い合わせる(S902)。LMSサーバ90は、ライセンスの有効性の判定結果をクライアント端末30に返送すると共に(S903)、ユーザID、ライセンス・キーおよび判定結果を認証サーバ80に通知する(S904)。
The user belonging to the tenant activates the software package acquired from the
LMSサーバ90からの応答によりライセンスが有効であった場合、クライアント端末30においてソフトウェア・パッケージは使用可能となる(S905)。一方、認証サーバ80は、今回のソフトウェア・パッケージの使用に関わる情報(認証ログ)として、LMSサーバ90から取得したユーザIDと、ライセンス・キーから特定されるライセンスのライセンスIDと、判定日時とを保存する(S906)。
If the license is valid according to the response from the
テナント管理サーバ10のロール管理部14は、上記の認証およびソフトウェア・パッケージの使用とは別のタイミングにおいて、認証サーバ80から認証ログを取得する(S907)。認証ログの取得は、例えば、夜間等の負荷の少ない時間帯における定期的なバッチ処理等により行われる。そして、ロール管理部14は、取得した認証ログからライセンスIDを抽出し、情報格納部16に格納されているロール情報165を参照して、抽出したライセンスIDを有するライセンスに対して定義されたロールのロールIDのリストを取得する(S908)。次に、ロール管理部14は、認証ログからユーザIDを抽出し、情報格納部16に格納されているロール付与情報167とS908で取得したリストとを参照して、所属ユーザにより行使されたロールを特定する(S909)。そして、ロール管理部14は、特定した所属ユーザおよびロールのユーザIDおよびロールIDと、認証ログから抽出される認証日時(ロールの行使日時と擬制)と、操作の種別(ロールの行使を示す情報)とを、ロール行使履歴情報168に記録する(S910)。
The
なお、上記の動作例では、ソフトウェア・パッケージが起動された際に、毎回、ライセンスの有効性の問い合わせを行ったが(S901、S902参照)、予め時期的条件を設定しておき、条件を満足した際の起動時に問い合わせを行うようにしても良い。時期的条件は、ライセンスの期限に基づいて定めても良い。また、ライセンスの期限よりも短い間隔で定期的に問い合わせを行うようにしても良い。 In the above operation example, when the software package is activated, an inquiry about the validity of the license is made every time (see S901 and S902). However, the timing condition is set in advance and the condition is satisfied. You may make it inquire at the time of starting. The time condition may be determined based on the expiration date of the license. Further, the inquiry may be made periodically at intervals shorter than the license expiration date.
図10は、情報機器40の機能を使用する場合のロール行使履歴の取得手順を示すシーケンス図である。テナントの所属ユーザが情報機器40を使用する場合、情報機器40を直接操作して使用する場合と、クライアント端末30から情報機器40を遠隔操作して使用する場合とがある。ここでは前者の場合を例として説明する。また、情報機器40は、ネットワーク50を介して情報機器40を管理する機器管理サーバ70に接続され、使用状況や機器の状態等が管理されているものとする。
FIG. 10 is a sequence diagram illustrating a procedure for acquiring a role exercising history when the function of the
テナントの所属ユーザが情報機器40を使用する際、所属ユーザは、情報機器40を介して認証サーバ80による個人認証を行う。所属ユーザの認証情報は、例えばICカードによる社員証に記録されており、情報機器40に設けられた読み取り装置により読み取られる(S1001)。情報機器40は、読み取った認証情報を認証サーバ80へ送信する(S1002)。
When the user belonging to the tenant uses the
認証サーバ80において所属ユーザの個人認証が成功し(S1003)、認証サーバ80から情報機器40へ認証結果が送られると(S1004)、情報機器40は、今回の認証処理に関わる情報(認証ログ)として、所属ユーザの個人認証で用いたユーザIDと、アクセス対象の資源提供サーバ20のサービスに対応するライセンスのライセンスIDと、認証日時とを、磁気ディスク装置や半導体メモリ等の記憶手段に保存する(S1005)。そして、所属ユーザは情報機器40のライセンスに関わる機能を利用可能となる(S1006)。また、情報機器40は、使用状況や機器の状態等に関する管理情報を、機器管理サーバ70に、定期的に送信しており、上記の認証ログも管理情報と共に送信する(S1007)。機器管理サーバ70は、情報機器40から受信した管理情報(認証ログを含む)を保存する(S1008)。
When personal authentication of the affiliated user succeeds in the authentication server 80 (S1003) and an authentication result is sent from the
テナント管理サーバ10のロール管理部14は、上記の認証および情報機器40の使用とは別のタイミングにおいて、機器管理サーバ70から認証ログを取得する(S1009)。認証ログの取得は、例えば、夜間等の負荷の少ない時間帯における定期的なバッチ処理等により行われる。そして、ロール管理部14は、取得した認証ログからライセンスIDを抽出し、情報格納部16に格納されているロール情報165を参照して、抽出したライセンスIDを有するライセンスに対して定義されたロールのロールIDのリストを取得する(S1010)。次に、ロール管理部14は、認証ログからユーザIDを抽出し、情報格納部16に格納されているロール付与情報167とS1010で取得したリストとを参照して、所属ユーザにより行使されたロールを特定する(S1011)。そして、ロール管理部14は、特定した所属ユーザおよびロールのユーザIDおよびロールIDと、管理情報から抽出される操作(ジョブ)の実行日時(ロールの行使日時)と、操作の種別(ロールの行使を示す情報)とを、ロール行使履歴情報168に記録する(S1012)。
The
なお、上記の動作例では、所属ユーザが情報機器40を直接操作する場合の動作を説明したが、情報機器40の種類によっては、所属ユーザのクライアント端末30から遠隔操作により情報機器40を動作させる場合がある。この場合、所属ユーザの個人認証は、例えば、テナントAを介して情報機器40を操作するためにテナントAにログインした際に入力されたユーザIDを用いて認証サーバ80により行っても良い。このような構成の場合、情報機器40が機器管理サーバ70に管理されていなくても、テナント管理サーバ10において情報機器40の使用履歴を保存することにより、この使用履歴および認証ログから得られる情報をロール行使履歴情報168に記録することができる。
In the above operation example, the operation in the case where the belonging user directly operates the
以上、ロールに基づく資源の利用として、クラウド・サービスを利用する場合、ソフトウェア・パッケージを利用する場合、情報機器40の機能を使用する場合のそれぞれについて、ロール行使履歴の取得手順を説明した。しかしながら、上記の動作例は例示に過ぎず、ロール行使履歴を取得するための手法は上記の例に限定されるものではない。
As described above, the role exercising history acquisition procedure has been described for each of the use of the cloud service, the use of the software package, and the use of the function of the
<テナント管理サーバの変形例>
次に、本実施形態の変形例について説明する。図11は、本変形例におけるテナント管理サーバ10の機能構成を示す図である。図11に示す例において、テナント管理サーバ10は、ユーザ登録部11と、ライセンス管理部12と、ロール設定部13と、ロール管理部14と、ライセンス要求部15と、情報格納部16と、操作画面生成部17と、送受信制御部18と、関連ライセンス判定部19とを備える。そして、情報格納部16には、所属情報161、テナント情報162、ライセンス情報163、ライセンス所有情報164、ロール情報165、ユーザ情報166、ロール付与情報167、ロール行使履歴情報168、ライセンス関連情報169が格納される。図11に示す構成において、ユーザ登録部11、ライセンス管理部12、ロール設定部13、ロール管理部14、ライセンス要求部15、情報格納部16、操作画面生成部17および送受信制御部18は、図4に示した各機能ブロックと同様である。また、情報格納部16に格納される情報のうち、所属情報161、テナント情報162、ライセンス情報163、ライセンス所有情報164、ロール情報165、ユーザ情報166、ロール付与情報167およびロール行使履歴情報168は、図4に示した各情報と同様である。したがって、同一の符号を付して説明を省略する。
<Modified example of tenant management server>
Next, a modification of this embodiment will be described. FIG. 11 is a diagram illustrating a functional configuration of the
ライセンス関連情報169は、予め、関連性の強いライセンスとして特定されたライセンスの組に関して、各ライセンスのライセンスIDを対応付けた情報である。関連性の強いライセンスの組は、例えば、ライセンスが設定された資源の種類や用途(一の資源を用いた処理の結果を他の資源を用いた処理で利用する等)、同時に使用されることが多い等の属性に基づいて定めても良い。
The license related
関連ライセンス判定部19は、一のライセンスに関連する他のライセンス(以下、関連ライセンス)を判定する判定手段である。関連ライセンス判定部19は、一のライセンスのライセンスIDを与えられると、情報格納部16に格納されたライセンス関連情報169を参照し、与えられたライセンスIDに対応付けられたライセンスIDを取得する。一例として、関連ライセンス判定部19は、ユーザが所属するテナントの変更に伴ってライセンスを引き継ぐためにライセンス要求部15が所属変更後のテナントでライセンスの取得を要求する場合に、要求するライセンスの関連ライセンスを判定する。
The related
テナント移行時のライセンス引継ぎの動作について、さらに説明する。図7に示した動作例を参照し、ユーザaがテナントAの所属からテナントBの所属へ移行する場合を考える。図7のS702に関して説明したように、ライセンス要求部15は、ユーザaが移行前のテナントAで有していた権限および利用していた資源に基づき、移行後のテナントBでユーザaに提供する権限(ライセンス)のリストを作成する。このとき、ライセンス要求部15は、作成したリストに含まれるライセンスの関連ライセンスを関連ライセンス判定部19に問い合わせる。関連ライセンス判定部19は、問い合わせに応じてライセンス関連情報169を参照し、関連ライセンスがあれば、そのライセンスIDをライセンス要求部15に返す。ライセンス要求部15は、関連ライセンス判定部19から取得したライセンスIDに基づき、関連ライセンスをリストに追加する。したがって、この場合は、ライセンス要求部15、ロール設定部13および関連ライセンス判定部19が特定手段の一例となる。
The operation of license takeover at the time of tenant migration will be further described. Referring to the operation example shown in FIG. 7, consider a case where the user a shifts from the affiliation of the tenant A to the affiliation of the tenant B. As described with reference to S702 in FIG. 7, the
なお、リストへの関連ライセンスの追加は、ユーザaがテナントAで利用していたライセンスがテナントBに設定されていない場合に、そのライセンスを代替するライセンスを提示するために行っても良い。また、関連ライセンスはユーザaが利用することを所望するライセンスか否かが不明であるため、リストに関連ライセンスを追加した場合、作成したリストを、まずユーザaに提示し、ユーザa自身に所望するライセンスを選択させても良い。 The addition of the related license to the list may be performed in order to present a license that replaces the license when the license used by the user a in the tenant A is not set in the tenant B. In addition, since it is unclear whether the related license is a license that the user a desires to use, when the related license is added to the list, the created list is first presented to the user a and desired by the user a himself / herself. A license to be selected may be selected.
以上、本発明の実施形態について説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の技術思想の範囲から逸脱しない様々な変更や構成の代替は、本発明に含まれる。例えば、上記の各動作例等でも説明したように、個人認証やライセンス認証、認証ログの保存やロール行使履歴情報168の記録等は、ネットワーク50に接続された他のサーバ等に代替して良い。また、本実施形態は、テナント管理サーバ10によりテナントごとにユーザおよびライセンスを管理し得る種々のシステムに対して適用し得る。
As mentioned above, although embodiment of this invention was described, the technical scope of this invention is not limited to the said embodiment. Various modifications and substitutions of configurations without departing from the scope of the technical idea of the present invention are included in the present invention. For example, as described in the above operation examples, personal authentication, license authentication, authentication log storage, role
10…テナント管理サーバ、11…ユーザ登録部、12…ライセンス管理部、13…ロール設定部、14…ロール管理部、15…ライセンス要求部、16…情報格納部、17…操作画面生成部、18…送受信制御部、19…関連ライセンス判定部、20…資源提供サーバ、30…クライアント端末、40…情報機器、50…ネットワーク、161…所属情報、162…テナント情報、163…ライセンス情報、164…ライセンス所有情報、165…ロール情報、166…ユーザ情報、167…ロール付与情報、168…ロール行使履歴情報、169…ライセンス関連情報
DESCRIPTION OF
Claims (9)
前記第1の制御手段を介して前記資源へアクセス可能なユーザを登録して管理する第1の管理手段と、
前記第1の制御手段とは別に、ネットワーク上の資源を利用する権限に基づき当該資源へのアクセスを制御する第2の制御手段と、
前記第2の制御手段を介して前記資源へアクセス可能なユーザを登録して管理する第2の管理手段と、
前記第1の管理手段の管理対象から前記第2の管理手段の管理対象に変更されたユーザに関して、前記第1の制御手段における当該ユーザによる前記資源の利用に関する情報に基づき、前記第2の制御手段において当該ユーザに付与されるネットワーク上の資源を利用する権限を特定する特定手段と、
を備えることを特徴とする、情報処理装置。 First control means for controlling access to the resource based on the authority to use the resource on the network;
First management means for registering and managing users who can access the resource via the first control means;
Apart from the first control means, second control means for controlling access to the resource based on the authority to use the resource on the network;
Second management means for registering and managing users who can access the resource via the second control means;
With respect to a user who has been changed from a management target of the first management unit to a management target of the second management unit, the second control is performed based on information on the use of the resource by the user in the first control unit. A specifying means for specifying the authority to use resources on the network granted to the user in the means;
An information processing apparatus comprising:
一のテナントの管理対象から他のテナントの管理対象に変更されたユーザに関して、当該一のテナントにおける当該ユーザによる前記資源の利用に関する情報に基づき、当該他のテナントにおいて当該ユーザに付与されるネットワーク上の資源を利用する権限を特定する特定手段と、
を備えることを特徴とする、情報処理装置。 Tenant management means for managing, on a tenant basis, a control function that controls access to the resource based on the authority to use resources on the network, and a management function that manages users who can access the resource using the control function When,
For a user who has been changed from being managed by one tenant to being managed by another tenant, based on information related to the use of the resource by that user in that one tenant, on the network granted to that user in that other tenant A means of identifying authority to use the resources of
An information processing apparatus comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017158734A JP2019036245A (en) | 2017-08-21 | 2017-08-21 | Information processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017158734A JP2019036245A (en) | 2017-08-21 | 2017-08-21 | Information processing device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019036245A true JP2019036245A (en) | 2019-03-07 |
Family
ID=65637755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017158734A Pending JP2019036245A (en) | 2017-08-21 | 2017-08-21 | Information processing device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019036245A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020154868A (en) * | 2019-03-20 | 2020-09-24 | 富士ゼロックス株式会社 | Information processing system and program |
JP2022525479A (en) * | 2019-03-18 | 2022-05-16 | サービスナウ, インコーポレイテッド | Systems and methods for license analysis |
JP7484455B2 (en) | 2020-06-09 | 2024-05-16 | 株式会社リコー | Service provision system, application usage method, information processing system |
-
2017
- 2017-08-21 JP JP2017158734A patent/JP2019036245A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022525479A (en) * | 2019-03-18 | 2022-05-16 | サービスナウ, インコーポレイテッド | Systems and methods for license analysis |
JP7209108B2 (en) | 2019-03-18 | 2023-01-19 | サービスナウ, インコーポレイテッド | System and method for license analysis |
JP2020154868A (en) * | 2019-03-20 | 2020-09-24 | 富士ゼロックス株式会社 | Information processing system and program |
JP7331398B2 (en) | 2019-03-20 | 2023-08-23 | 富士フイルムビジネスイノベーション株式会社 | Information processing system and program |
JP7484455B2 (en) | 2020-06-09 | 2024-05-16 | 株式会社リコー | Service provision system, application usage method, information processing system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11489671B2 (en) | Serverless connected app design | |
JP6056384B2 (en) | System and service providing apparatus | |
JP6318940B2 (en) | Service providing system, data providing method and program | |
JP5743786B2 (en) | Server apparatus, information processing method, and program | |
JP6323994B2 (en) | Content management apparatus, content management method and program | |
US20210377277A1 (en) | Service providing system, information processing system, and use permission assigning method | |
JP2015075932A (en) | Relay device, relay system, and program | |
JP2019036245A (en) | Information processing device | |
JP6183035B2 (en) | Service providing system, service providing method and program | |
JP2021174156A (en) | Service providing system, login setting method, and information processing system | |
JP7180221B2 (en) | Information processing device, information processing system and program | |
JP7059559B2 (en) | Information processing equipment and programs | |
JP2016009466A (en) | Web service system, authentication approval device, information processing device, information processing method, and program | |
JP2007157024A (en) | Apparatus and method for managing access right, and program therefor | |
JP6447766B2 (en) | Service providing system, data providing method and program | |
JP2015026231A (en) | Service provision system, image provision method, and program | |
JP6241111B2 (en) | Service providing system, information processing system, usage restriction method and program | |
JP6205946B2 (en) | Service providing system, information collecting method and program | |
JP2014021949A (en) | Service providing system, service management device, and information processing method of service management device | |
JP6237868B2 (en) | Cloud service providing system and cloud service providing method | |
JP2020119147A (en) | System, tenant moving method, information processing apparatus and control method thereof, authorization server and control method thereof, and program | |
JP7459649B2 (en) | Cloud system, information processing system, and user registration method | |
JP7135658B2 (en) | Information processing system, information processing device and program | |
JP6897418B2 (en) | Information processing device | |
JP2016206971A (en) | Coordination system, coordination system control method and program |