CN105229662A - 访问控制装置和访问控制方法以及程序 - Google Patents
访问控制装置和访问控制方法以及程序 Download PDFInfo
- Publication number
- CN105229662A CN105229662A CN201480029654.5A CN201480029654A CN105229662A CN 105229662 A CN105229662 A CN 105229662A CN 201480029654 A CN201480029654 A CN 201480029654A CN 105229662 A CN105229662 A CN 105229662A
- Authority
- CN
- China
- Prior art keywords
- level
- access
- key element
- information
- level key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
层级定义管理部(012)存储层级间的顺序。组织信息管理部(013)存储按照每个层级的组合来示出层级要素的对的信息。任务分配管理部(011)存储允许访问的条件与特定的层级要素对应的信息。处理受理部(005)输入请求由用户向资源进行访问的操作请求。F-RBAC部(006)反复以下的动作,判别与上述用户对应的层级要素,根据层级间的顺序,从组织信息管理部(013)的信息中提取与所判别的层级要素成对的上一级的层级的层级要素,并提取与所提取的层级要素成对的上一级的层级的层级要素,对照所判别的层级要素以及所提取的层级要素与利用任务分配管理部(011)定义的层级要素,判定是否允许访问。
Description
技术领域
本发明涉及采用层级构造的访问控制。
背景技术
作为用于实现云服务或SaaS(SoftwareasaService:软件即服务)的基础技术,具有由多个企业(租户)共用一个应用程序(以下,称为应用)的“多租户管理技术”。
作为多租户管理技术的目的,可举出由于多个企业共享应用,削减了硬件(H/W)资源以及软件(S/W)资源,削减成本。
在现有技术中,可通过使用户的属性与访问权限对应来进行灵活的访问权限设定(例如专利文献1)。
在专利文献1中,通过“用户信息表”来管理租户/部门等的属性,而不仅仅是用户,通过“访问权限分配表”,按照进行访问控制的权限来管理具有哪种属性的用户能够利用应用。
现有技术文献
专利文献
专利文献1:日本特开2012-69087号公报
发明内容
发明要解决的课题
在多租户应用程序中,不仅能新开发系统,有时为了削减开发成本,还能够最大限度地有效利用以往由单一租户利用的应用而供多个租户利用。
另外,有时为了扩大服务范围,原本由某大厦利用的应用程序也可以被其它大厦或属于其它大厦的租户利用。
即,属于大厦的某租户也入住了其它大厦,有时需要跨过大厦对租户设定访问控制。
因此,需要从大厦、租户、公司内的总务部、营业部等组织这样的顺序的层级构造,在某一时刻变更为租户、大厦、组织这样的层级构造。
在专利文献1中,不仅没有提到历史管理,而且也没有提到组织层级构造。
假设在以专利文献1的技术为基础来实现上述要求时,如果组织层级构造变更,则需要全部重新评价在组织层级构造变更的时刻所设定的访问权限分配。
本发明的主要目的是解决这样的课题,其主要目的是即使在变更了层级构造的定义的情况下,也能将伴随于变更的数据修改作业的作业量限定为最小限度。
解决问题的手段
本发明的访问控制装置的特征是,具备:层级顺序信息存储部,其存储表示由多个层级构成的层级构造中的层级间的顺序的层级顺序信息;层级要素信息存储部,其存储层级要素信息,该层级要素信息按照层级的每个组合来表示属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素;访问允许条件信息存储部,其存储访问允许条件信息,该访问允许条件信息与特定的层级要素对应地示出访问允许条件,该访问允许条件是允许向被限制访问的访问限制资源进行访问的条件;访问请求接收部,其接收来自与任意的层级要素对应的用户的访问请求,该访问请求用于请求对访问限制资源进行访问;层级要素提取部,其反复以下动作直到到达特定的层级为止:判别与所述用户对应的层级要素,并且根据所述层级顺序信息所示的层级间的顺序,从所述层级要素信息中提取与所判别的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素,从所述层级要素信息中提取与所提取的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素;以及访问是否允许判定部,其对照由所述层级要素提取部判别的层级要素以及所提取的层级要素与所述访问允许条件所示的所述特定的层级要素,针对所述访问请求判定是否允许对所述访问限制资源进行访问。
发明效果
在本发明中,存储表示层级间的顺序的层级顺序信息,另外,存储按照每个层级的组合示出属于不同的两个层级的相互关联的层级要素的对的层级要素信息,在出现访问请求的时刻,以与进行访问请求的用户对应的层级要素为起点,根据层级顺序信息和层级要素信息来构建层级构造。
这样,在本发明中,仅定义了层级间的上下关系而没有定义层级要素间的上下关系,所以,即使在层级构造发生变更的情况下,只要对层级顺序信息进行修改即可,可将修改作业的作业量限定为最小限度。
附图说明
图1是示出实施方式1的系统结构例的图。
图2是示出实施方式1的访问控制装置的结构例的图。
图3是示出实施方式1的操作请求的结构例的图。
图4是示出由实施方式1的用户信息管理部管理的用户信息的例子的图。
图5是示出由实施方式1的访问权限管理部管理的访问权限信息的例子的图。
图6是示出由实施方式1的任务分配管理部管理的任务分配信息的例子的图。
图7是示出由实施方式1的层级定义管理部管理的层级定义信息的例子的图。
图8是示出由实施方式1的组织信息管理部管理的信息的例子的图。
图9是示出实施方式1的业务逻辑部的结构例的图。
图10是示出实施方式1的业务逻辑信息管理部的结构例的图。
图11是示出实施方式1的处理受理部的动作例的流程图。
图12是示出实施方式1的F-RBAC部的动作例的流程图。
图13是示出实施方式1的业务逻辑部的动作例的流程图。
图14是示出实施方式1的层级构造变更请求的例子的图。
图15是示出实施方式1的F-RBAC部的动作例的流程图。
图16是示出由实施方式1的层级定义管理部管理的层级顺序变更后的层级定义信息的例子的图。
图17是示出由实施方式2的层级定义管理部管理的层级定义信息的例子的图。
图18是示出实施方式2的业务逻辑信息管理部的结构例的图。
图19是示出实施方式1的用户、所属组织、所属大厦与所属租户的关系的图。
图20是示出实施方式1的访问控制装置的硬件结构例的图。
具体实施方式
实施方式1.
在本实施方式中说明以下这样的结构:为了各种使用者能够共享同一应用,而高效地管理多租户型应用中的对数据的访问权或应用的利用权(以下,称为访问权限)。
更具体地说,在本实施方式中说明了即使在变更层级构造的定义的情况下也能将伴随于变更的数据修改作业的作业量限定为最小限度的结构。
另外,在本实施方式中,说明将所保存的操作历史的信息限定为最小限度的结构。
在企业等中,需要根据内部统制的关系来管理针对应用操作的操作历史,并实施历史的跟踪。
因此,需要再现过去时刻的层级构造。
在专利文献1的技术中,作为操作历史必需保存的数据也变得庞大,但根据本实施方式,可使所保存的操作历史的信息成为最小限度。
图1示出本实施方式的系统结构例。
在图1中,终端001、终端002是在利用服务的租户企业中配置的终端装置,假定为个人计算机、移动终端等。
在终端001、终端002内安装有Web浏览器001a、002a。
此外,操作终端001、002的用户假定为其它租户企业的从业员。
另外,还可以在同一租户企业内设置多个终端,或者由3个租户企业以上利用同一应用。
终端000是管理图1所示的系统的系统管理者、运用者所利用的终端装置,假定为个人计算机、移动终端等。
在终端000内安装有Web浏览器000a。
网络003是在终端001、002利用访问控制装置004时采用的通信路径,可以是互联网以及LAN(LocalAreaNetwork:局域网)。
访问控制装置004判定是否允许对被限制访问的访问限制资源进行访问。
此外,以下将仅对属于特定组织的用户、具有特定属性的用户允许访问的业务逻辑(应用)用作访问限制资源的例子。
访问控制装置004如图2所示具备:处理受理部005、灵活的基于任务的访问控制部(FlexibleRole-basedAccessControl部;以下称为F-RBAC部)006、业务逻辑部007、业务逻辑信息管理部008、用户信息管理部009、访问权限管理部010、任务分配管理部011、层级定义管理部012、组织信息管理部013。
在访问控制装置004中,处理受理部005接收从终端001、002发出的请求,并实施后述的处理。
处理受理部005例如从终端001、002接受请求对访问限制资源的访问的请求即操作请求(访问请求)。
处理受理部005相当于访问请求接收部的例子。
F-RBAC部006根据终端001、002的请求内容和在访问控制装置004内管理的信息,判定有无访问权限。
F-RBAC部006相当于层级要素提取部、访问是否允许判定部、层级顺序变更部的例子。
业务逻辑部007实施就业管理或会计处理这样的业务用处理。
业务逻辑信息管理部008管理在业务逻辑部007中利用的信息。
用户信息管理部009管理可进行应用程序操作的用户的信息。
访问权限管理部010管理业务逻辑的访问权限。
任务分配管理部011利用访问权限信息与组织信息的对应关系来管理可向业务逻辑进行访问的组织。
任务分配管理部011相当于访问允许条件信息存储部的例子。
层级定义管理部012管理在系统中利用的组织层级构造的定义。
层级定义管理部012相当于层级顺序信息存储部的例子。
组织信息管理部013管理利用应用程序的组织的信息。
组织信息管理部013相当于层级要素信息存储部的例子。
此外,可存在多个图2内的各个要素,并使其具有冗余构造。
图3的操作请求201是从终端001、002发送的请求内容的一例。
操作请求201包含操作请求201的发行源的用户的用户ID、密码等认证信息、对业务逻辑部007的操作内容、为了进行通信所需的报头信息。
此外,在本实施方式中,虽然利用了HTTP(HyperTextTransferProtocol:超文本传送协议)形式,但关于协议,即使是FTP(FileTransferProtocol:文件传送协议)、JMS(Java(注册商标)MessageService:Java信息服务)等,只要能够具有上述内容就可以代用。
操作请求201具有通信报头202、认证信息203、操作内容204。
通信报头202具有在终端001与访问控制装置004之间进行通信所需的报头信息、请求发送源、请求发送目的地的信息。
认证信息203表示请求发送源用户的认证信息,作为例子具有用户的用户ID、密码。
操作内容204表示对请求发送源用户对业务逻辑部007的操作请求内容,作为例子具有业务逻辑的种类、操作内容(数据的参照、数据的更新等)。
图4示出由用户信息管理部009管理的用户信息301的例子。
用户信息301保存利用访问控制装置004的用户的信息,根据用户ID可唯一地识别各个用户。
此外,用户信息301除了用户ID以外,还具有用户名称、用户所属的组织的组织ID、用户的认证所需的密码。
图5是示出由访问权限管理部010管理的访问权限信息401的例子。
访问权限信息401保存由访问控制装置004管理的业务逻辑部007的操作权限范围或访问控制装置004自身的操作权限范围的信息。
例如,将对业务逻辑A的能否操作或对访问权限的能否操作作为可操作的内容进行保存。
此外,可对于能否操作施加仅能够参照等的部分限制。
图6是示出由任务分配管理部011管理的任务分配信息501的例子。
任务分配信息501管理访问权限信息401与组织信息的对应关系,保存哪个组织能实施其操作的信息。
此外,权限的分配对象不仅仅是组织,还可以进行大厦整体、租户整体这样的设定。
此外,还可以进行组织属下(也适合于所指定的组织的子组织以下的情况)或直属(不包含所指定的组织的子组织)这样的指定。
此外,任务分配信息也可以分割为任务自身的信息和表示任务与组织的对应关系的信息。
如图6所示,在任务分配信息501中,与特定的层级要素(T001属下、B001属下)对应地示出允许对访问限制资源(租户A业务逻辑、大厦A业务逻辑)进行访问(操作、参照)的条件即访问允许条件。
此外,T001和B001如图8所示分别是租户的ID和大厦的ID。
任务分配信息501相当于访问允许条件信息的例子,任务分配管理部011如上所述相当于访问允许条件信息存储部的例子。
图7示出由层级定义管理部012管理的层级定义信息601。
层级定义信息601具有利用访问控制装置004的大厦、租户、组织等主体间的顺序以及表示层级构造有效的期间的有效期限。
例如,图7中的层级ID:ST001定义了这样的构造:对层级构造的顶点分配大厦、对大厦之下分配租户、对租户之下分配组织。
此外,在图7中作为层级的例子举出大厦、租户、组织,但例如也可以对大厦的上位层级定义地域这样的主体,或者对租户之下定义分公司这样的主体。
如图7所示,在层级定义信息601中显示层级构造内的层级间的顺序,相当于层级顺序信息的例子。
并且,层级定义管理部012相当于层级顺序信息存储部的例子。
图8示出由组织信息管理部013管理的信息。
组织信息管理部013具有大厦信息701、租户信息702、组织信息703、大厦/租户对应信息704、租户/组织对应信息705、大厦/组织对应信息706。
大厦信息701保存利用访问控制装置004的大厦的信息。
各大厦可通过大厦ID进行识别。
另外,除了大厦ID以外,还可以保存大厦名称、大厦的所在地这样的属性信息。
租户信息702保存利用访问控制装置004的租户的信息。
各租户可通过租户ID进行识别。
另外,除了租户ID以外,还可以保存租户名称、租户的合同内容这样的属性信息。
组织信息703保存利用访问控制装置004的组织的信息。
各组织可通过组织ID进行识别。
另外,除了组织ID以外,还可以保存组织名称、组织中的责任人(组织负责人)这样的属性信息。
此外,关于组织,如在部的属下设置科的情况那样还可考虑组织之间的层级构造,因此,关于与组织的上位层级相当的组织(上级组织)也作为信息而具有。
大厦/租户对应信息704表示由大厦信息701管理的大厦与由租户信息702管理的租户的对应关系。
大厦/租户对应信息704保存如大厦ID/租户ID那样可唯一地确定大厦和租户的属性。
另外,在大厦/租户的对应关系具有有效期限的情况下,作为属性,保存有效期限。
租户/组织对应信息705表示由租户信息702管理的租户与由组织信息703管理的组织的对应关系。
租户/组织对应信息705保存如租户ID/组织ID那样可唯一地确定租户和组织的属性。
另外,在租户/组织的对应关系具有有效期限的情况下,作为属性,保存有效期限。
大厦/组织对应信息706表示由大厦信息701管理的大厦与由组织信息703管理的组织的对应关系。
大厦/组织对应信息706保存如大厦ID/组织ID那样可唯一地确定大厦和组织的属性。
另外,在大厦/组织的对应关系具有有效期限的情况下,作为属性,保存有效期限。
大厦/租户对应信息704、租户/组织对应信息705、大厦/组织对应信息706按照层级的每个组合示出属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素。
具体地说,关于大厦层级和租户层级,在大厦/租户对应信息704中记载了作为大厦层级的层级要素的B001与作为租户层级的层级要素的T001的对、作为大厦层级的层级要素的B001与作为租户层级的层级要素的T002的对。
另外,关于租户层级和组织层级,在租户/组织对应信息705中记载了作为租户层级的层级要素的T001与作为组织层级的层级要素的ORGT001的对、作为租户层级的层级要素的T001与作为组织层级的层级要素的ORGT002的对等。
另外,关于大厦层级和组织层级,在大厦/组织对应信息706中记载了作为大厦层级的层级要素的B001与作为组织层级的层级要素的ORGT001的对、作为大厦层级的层级要素的B001与作为组织层级的层级要素的ORGT002的对等。
大厦/租户对应信息704、租户/组织对应信息705、大厦/组织对应信息706相当于层级要素信息的例子。
并且,组织信息管理部013如上所述相当于层级要素信息存储部的例子。
图9示出业务逻辑部007的内部结构。
业务逻辑部007在内部具有业务逻辑部A801、业务逻辑部B802、业务逻辑部C803,各自担当的业务逻辑不同。
例如,业务逻辑部A801担当就业管理,业务逻辑部B802担当会计管理,业务逻辑部C803担当出入管理,以这样的方式担当各自的业务。
此外,位于业务逻辑部007内的逻辑的数量是任意的,内部的业务逻辑的数量能够与由访问控制装置004处理的业务逻辑的增减相应地进行增减。
图10示出业务逻辑信息管理部008的内部结构。
业务逻辑信息管理部008具有业务逻辑A信息管理部901、业务逻辑B信息管理部902、业务逻辑C信息管理部903。
业务逻辑A信息管理部901管理业务逻辑部A801处理的信息,业务逻辑B信息管理部902管理业务逻辑部B802处理的信息,业务逻辑C信息管理部903管理由业务逻辑部C803处理的信息。
例如,在业务逻辑A信息管理部901中具有就业管理逻辑所利用的员工名册、考勤记录、出勤日的日历等。
此外,与业务逻辑部007同样,内部具有的信息的数量也能够增减。
另外,在具有由各信息管理部共同利用的信息时,也可以共用。
接着,说明利用访问控制装置004的用户从自己的终端发出业务逻辑操作请求时的动作。
在属于租户A的用户A进行访问控制装置004内的业务逻辑A的操作时,用户A采用终端001的Web浏览器001a对访问控制装置004关于自身的认证信息以及业务逻辑的操作内容,以操作请求201的形式发出请求。
在访问控制装置004中,利用处理受理部005集中地实施从终端接收到操作请求时的请求的管理以及响应的生成。
参照图11的流程图来描述处理受理部005的动作。
此外,以下,以接收到图3所示的操作请求201的情况为例进行说明。
在图3中示出请求参照业务逻辑A(业务ID:L001)的数据的操作请求201,该操作请求201是用户ID:U001的用户利用终端001发送的操作请求201。
此外,如图19所示,用户A属于组织ID:ORG001的组织,组织ID:ORG001的组织属于租户ID:T001的租户,租户ID:T001的租户属于大厦ID:B001的大厦。
但是,在访问控制装置004中,未保存预先定义了图19所示的层级要素间的上下关系的信息,在接收到操作请求201时,如后所述,F-RBAC部006采用图7以及图8所示的信息来分析层级要素间的上下关系。
处理受理部005根据所接收的操作请求201取得认证信息203、操作内容204,将认证信息203、操作内容204输出至F-RBAC部006,向F-RBAC部006询问请求源的用户可否对业务逻辑进行操作(S101)。
接着,处理受理部005根据F-RBAC部006的询问结果来判定用户可否进行操作(S102)。
在S102的结果是可操作的情况下(在S102中为“是”),处理受理部005向业务逻辑部007交接操作请求201的操作内容204(S103)。
然后,处理受理部005将输出到业务逻辑部007的操作请求结果作为响应返回至终端001a(S104)。
另一方面,在S102的结果是不可操作的情况下(在S102中为“否”),处理受理部005将不可操作的情况作为响应返回至终端001a(S105)。
接着,参照图12的流程图来说明F-RBAC部006的用户可否操作的判定处理的动作。
F-RBAC部006从认证信息203中取得用户ID以及密码等的认证所需的信息,认证信息203是从处理受理部005接收到的(S201)。
接着,F-RBAC部006对用户信息管理部009询问具有从认证信息203中取得的保存用户ID的用户的信息(S202)。
接着,F-RBAC部006验证用户认证是否已成功(S203)。
具体地说,F-RBAC部006根据以下的顺序进行验证。
F-RBAC部006根据用户信息管理部009的响应来确认是否存在具有在S201中取得的用户ID的用户。
在不存在符合的用户的情况下,视为无法认证。
另外,在存在符合的用户的情况下,判定从认证信息203中取得的密码与由用户信息管理部009管理的密码是否一致。
在密码一致的情况下视为认证成功,在不一致的情况下视为认证失败。
在S203中是认证成功的情况下(在S203中为“是”),F-RBAC部006从操作内容204中取得作为用户的操作对象的业务逻辑的业务ID,取得该业务ID的逻辑与访问权限管理部010关联的访问权限的一览(S204),其中,操作内容204是从处理受理部005接收到的。
如果是图3的操作内容204,则F-RBAC部006根据业务ID:L001,取得图5的权限ID:A001的记录和权限ID:A002的记录。
接着,F-RBAC部006从层级定义管理部012取得当前时刻的层级顺序的信息(S205)。
在图7的例子中,取得记述有“大厦>租户>组织”的层级顺序的信息。
F-RBAC部006根据从用户信息管理部009取得的用户信息的用户所属的组织的组织ID的信息,从组织信息管理部013取得用户所属的组织的信息(S206)。
因为图3的操作请求201的情况是用户ID:U001,所以,在图4中,作为对象的用户A所属的组织是组织ID:ORG001的组织。
接着,F-RBAC部006根据从层级定义管理部012取得的层级顺序的信息与从组织信息管理部013取得的组织的信息,反复取得属于更上位的层级的大厦、租户、组织的信息,直到不存在上位层级的组织为止(S207)。
因为在S205中取得的层级顺序是“大厦>租户>组织”,所以,F-RBAC部006首先在组织的上一级的层级即租户层级中搜索与组织ID:ORG001成对的层级要素。
具体地说,F-RBAC部006搜索图8的租户/组织对应信息705,提取与组织ID:ORG001成对的租户ID:T001。
接着,F-RBAC部006根据层级顺序“大厦>租户>组织”,在租户的上一级的层级即大厦层级中搜索与租户ID:T001成对的层级要素。
具体地说,F-RBAC部006搜索图8的大厦/租户对应信息704,提取与租户ID:T001成对的大厦ID:B001。
接着,F-RBAC部006从任务分配管理部011取得与在S204中取得的访问权限以及在S206、S207中取得的组织、租户、大厦一致的任务分配信息(S208)。
在图6的例子中,F-RBAC部006取得任务分配ID:R001的记录和任务分配ID:R002的记录。
接着,F-RBAC部006判定在S208中取得的任务分配是否存在(S209)。
此外,关于组织,从上位层级起依次确认是否存在分配。
在S209中存在分配时,F-RBAC部006判断为认证成功,对处理受理部005返回成功的响应(S210)。
因为在图3的操作请求201中请求参照数据,所以,与图6的“任务名称:仅能参照大厦业务逻辑A”一致,F-RBAC部006向处理受理部005返回成功的响应。
在S203中认证失败或者在S209中不存在任务的分配时,F-RBAC部006判断为认证失败,向处理受理部005返回失败的响应(S211)。
参照图13的流程图,说明业务逻辑部007的动作。
业务逻辑部007根据从处理受理部005接收的操作内容204,来判定指定了业务逻辑部007中的哪个业务逻辑内的操作,向内部的业务逻辑交接操作内容(S301)。
此外,以下,假设指定了图9的业务逻辑部A801的操作,说明动作。
业务逻辑部A801根据在S301中从业务逻辑部007接收到的操作内容,参照/更新由业务逻辑信息管理部008内的业务逻辑A信息管理部901处理的信息并且进行操作(S302)。
业务逻辑部A801针对实施S302后的结果经由业务逻辑部007向处理受理部005返回响应(S303)。
接着,说明访问控制装置的管理者(以下,称为系统用户)变更访问控制装置004的层级构造时的动作。
图14示出在变更访问控制装置004的层级构造时系统用户采用终端000对访问控制装置004发送的请求即层级构造变更请求的一例。
管理访问控制装置004的系统用户采用终端000的Web浏览器000a向访问控制装置004发送层级构造变更请求1301。
层级构造变更请求1301是用于请求变更图7的层级定义信息601内的层级顺序的请求。
在访问控制装置004中,处理受理部005接收层级构造变更请求1301,F-RBAC部006实施系统用户的认证,然后,F-RBAC部006变更层级定义信息601内的层级顺序。
此外,处理受理部005的动作、F-RBAC部006的认证之前的动作与上述S101~S105、S201~S203相同。
在层级顺序变更之后,处理受理部005对终端000返回响应。
参照图15的流程图,来说明层级构造定义变更时的F-RBAC部006的动作。
F-RBAC部006根据从处理受理部005接收到的层级构造变更请求1301,取得载有层级构造的变更信息的操作内容1304(S401)。
接着,F-RBAC部006关于在S401中取得的操作内容1304向层级定义管理部012发出层级构造定义的变更请求(S402)。
层级定义管理部012根据在S402中接受的请求,例如将图7的层级定义信息601变更为图16的层级定义信息602。
在图16中,作为新的层级顺序定义了“租户>大厦>组织”。
另外,将变更前的层级顺序“大厦>租户>组织”与有效期限一起保存在层级定义信息602中。
F-RBAC部006在层级定义管理部012的处理结束之后,对处理受理部005返回操作结果(S403)。
另外,当根据以上的顺序变更层级定义信息的层级顺序之后接收到操作请求201时,F-RBAC部006根据变更后的层级顺序进行图12的处理。
根据以上的动作,即使在系统内管理的组织的层级构造随着时间经过而变更时,也能够通过具备具有有效期限的层级构造定义,来与层级构造定义的变更相应地仅变更层级构造定义。
另外,通过层级构造具有有效期限,可再现在所指定的时刻的层级构造。
另外,不需要更新访问权限的分配信息,将在系统中管理的数据的变更限定为最小限度,且能够将还包含在系统中保存的过去的日志信息在内的数据量限定为最小限度。
此外,在图11的说明中,在朝向上位层级的方向上检索层级要素(S207),但取而代之,也可以在朝向下位层级的方向上检索层级要素。
以上,在本实施方式中,说明了以下这样的租户访问控制装置、方式以及程序,具备:任务分配管理部,其管理表示任务和多个个人以及组织与任务的对应关系的任务分配信息;层级定义管理部,其管理组织层级的构造以及层级构造的有效期间;以及访问控制部,其根据任务分配管理部和层级定义部具有的层级构造定义来解释组织层级构造,并且从上位起依次搜索层级,对任务分配对象与利用系统的用户所属的组织层级位置进行比较,判定是否保存有对系统所管理的信息的访问权限或系统的利用权限。
另外,在本实施方式中,说明了以下这样的租户访问控制装置、方式以及程序,具备访问控制部,在任意时刻变更组织的层级构造时,该访问控制部通过变更层级构造的有效期限,实现系统内的层级构造的变更。
另外,在本实施方式中,说明了以下这样的租户访问控制装置、方式以及程序,具备访问权限管理部,该访问权限管理部管理能否对系统内的每个应用进行访问,还具备访问控制部,该访问控制部在个人利用系统内的应用时,根据访问权限管理部的能否访问的信息判断能否进行访问。
实施方式2.
在本实施方式中记述与实施方式1的不同点。
以下所说明的以外的动作、结构与实施方式1相同。
图17示出本实施方式的层级定义管理部012的层级定义信息610。
图17的层级定义信息610与图7的层级定义信息601相比,作为属性附加有如业务ID那样与业务逻辑对应的信息。
在本实施方式中,如图17所示,可按照每个业务逻辑来变更层级构造。
即,在本实施方式的层级定义信息610中,按照业务逻辑(访问限制资源)来定义层级顺序。
图18示出本实施方式的业务逻辑信息管理部008的业务逻辑定义910。
与图10不同,在图18中按照业务逻辑分配业务ID。
在用户采用终端来发送业务逻辑的操作请求201的情况下,在图12的S205中,当取得层级顺序时,F-RBAC部006从操作请求201中取得业务ID,取得与所取得的业务ID对应的层级顺序,并将所取得的层级顺序应用于以后的有无访问权限的判定。
通过这样的结构,在获得与实施方式1同样的效果的同时,可切换每个应用所采用的层级构造定义。
因此,可将各种应用程序汇集到一个系统内,并且利用共同的逻辑,所以,可得到汇集度变高的效果。
以上,在本实施方式中,说明了以下这样的租户访问控制装置、方式以及程序,具备层级定义管理部,该层级定义管理部具有系统内的每个应用的组织的层级构造,还具备访问控制部,该访问控制部在个人利用系统内的应用时,利用层级定义管理部按照每个应用来切换组织层级构造,判断能否进行访问。
最后,参照图20来说明实施方式1以及2所示的访问控制装置004的硬件结构例。
访问控制装置004是计算机,可利用程序来实现访问控制装置004的各个要素。
作为访问控制装置004的硬件结构,在总线上连接有运算装置1901、外部存储装置1902、主存储装置1903、通信装置1904、输入输出装置1905。
运算装置1901是执行程序的CPU(CentralProcessingUnit:中央处理器)。
外部存储装置1902例如是ROM(ReadOnlyMemory:只读存储器)或闪存、硬盘装置。
主存储装置1903是RAM(RandomAccessMemory:随机存取存储器)。
图2所示的“~管理部”由外部存储装置1902或主存储装置1903来实现。
通信装置1904对应于处理受理部005的物理层。
输入输出装置1905例如是鼠标、键盘、显示器装置等。
通常,在外部存储装置1902中存储有程序,在加载到主存储装置1903内的状态下,依次在运算装置1901中读入并执行该程序。
程序是实现作为图2所示的“~部”(其中,去除“~管理部”。以下也是同样)说明的功能的程序。
而且,在外部存储装置1902中还存储有操作系统(OS),将OS的至少一部分加载到主存储装置1903内,运算装置1901执行OS,并且执行实现图1所示的“~部”的功能的程序。
另外,在实施方式1以及2的说明中,将表示作为“~的判断”、“~的判定”、“~的判别”、“~的提取”、“~的对照”、“~的取得”、“~的设定”、“~的登记”、“~的选择”、“~的生成”、“~的接收”、“~的输出”等说明的处理的结果的信息、数据、信号值或变量值作为文件存储到主存储装置1903内。
另外,也可以将加密秘钥、解密秘钥、随机数值或参数作为文件存储到主存储装置1903内。
此外,图20的结构仅表示访问控制装置004的硬件结构的一例,访问控制装置004的硬件结构不限于图20所记载的结构,可以是其它结构。
另外,根据实施方式1以及2所示的顺序,可实现本发明的访问控制方法。
标号说明
000终端、001终端、002终端、003网络、004访问控制装置、005处理受理部、006F-RBAC部、007业务逻辑部、008业务逻辑信息管理部、009用户信息管理部、010访问权限管理部、011任务分配管理部、012层级定义管理部、013组织信息管理部。
Claims (8)
1.一种访问控制装置,其特征在于,该访问控制装置具备:
层级顺序信息存储部,其存储表示由多个层级构成的层级构造中的层级间的顺序的层级顺序信息;
层级要素信息存储部,其存储层级要素信息,该层级要素信息按照层级的每个组合来表示属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素;
访问允许条件信息存储部,其存储访问允许条件信息,该访问允许条件信息与特定的层级要素对应地示出访问允许条件,该访问允许条件是允许向被限制访问的访问限制资源进行访问的条件;
访问请求接收部,其接收来自与任意的层级要素对应的用户的访问请求,该访问请求用于请求对访问限制资源进行访问;
层级要素提取部,其反复以下动作直到到达特定的层级为止:判别与所述用户对应的层级要素,并且根据所述层级顺序信息所示的层级间的顺序,从所述层级要素信息中提取与所判别的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素,从所述层级要素信息中提取与所提取的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素;以及
访问是否允许判定部,其对照由所述层级要素提取部判别的层级要素以及所提取的层级要素与所述访问允许条件所示的所述特定的层级要素,针对所述访问请求判定是否允许对所述访问限制资源进行访问。
2.根据权利要求1所述的访问控制装置,其特征在于,
所述层级要素信息存储部存储层级要素信息,该层级要素信息按照层级的每个组合来表示属于不同的两个层级的处于上下关系的层级要素的对,而不包含哪一个层级要素是上位、哪一个层级要素是下位的定义。
3.根据权利要求1所述的访问控制装置,其特征在于,
所述访问控制装置还具有层级顺序变更部,该层级顺序变更部变更所述层级顺序信息的层级间的顺序,
所述访问是否允许判定部针对由所述层级顺序变更部变更所述层级顺序信息的层级间的顺序之后接收到的访问请求,根据变更后的层级间的顺序来提取层级要素。
4.根据权利要求3所述的访问控制装置,其特征在于,
所述层级顺序变更部在变更所述层级顺序信息的层级间的顺序的情况下,使变更前的层级间的顺序与有效期限一起保存在所述层级顺序信息存储部中。
5.根据权利要求1所述的访问控制装置,其特征在于,
所述访问允许条件信息存储部存储与特定的用户对应地示出访问允许条件的访问允许条件信息,
所述访问是否允许判定部判断所述访问请求的发送源的用户是否符合所述访问允许条件信息所示的所述特定的用户,针对所述访问请求判定是否允许对所述访问限制资源进行访问。
6.根据权利要求1所述的访问控制装置,其特征在于,
所述访问控制装置进行关于多个访问限制资源的访问控制,
所述层级顺序信息存储部针对各访问限制资源,存储层级顺序信息,
所述访问请求接收部接收用于请求对任意访问限制资源进行访问的访问请求,
所述访问是否允许判定部根据与在所述访问请求中被请求访问的访问限制资源相对的层级顺序信息所示的层级间的顺序,提取层级要素。
7.一种访问控制方法,其特征在于,包括以下步骤:
计算机从存储区域中读出表示由多个层级构成的层级构造中的层级间的顺序的层级顺序信息;
所述计算机从所述存储区域中读出层级要素信息,该层级要素信息按照每个层级的组合来表示属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素;
所述计算机从所述存储区域中读出访问允许条件信息,该访问允许条件信息与特定的层级要素对应地示出访问允许条件,该访问允许条件是允许向被限制访问的访问限制资源进行访问的条件;
所述计算机接收来自与任意的层级要素对应的用户的访问请求,该访问请求用于请求对访问限制资源进行访问;
所述计算机反复以下动作直到到达特定的层级为止:判别与所述用户对应的层级要素,并且根据所述层级顺序信息所示的层级间的顺序,从所述层级要素信息中提取与所判别的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素,从所述层级要素信息中提取与所提取的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素;以及
所述计算机对照所判别的层级要素以及所提取的层级要素与所述访问允许条件所示的所述特定的层级要素,针对所述访问请求判定是否允许对所述访问限制资源进行访问。
8.一个程序,其特征在于,使计算机执行以下的处理:
层级顺序信息读出处理,从存储区域中读出表示由多个层级构成的层级构造中的层级间的顺序的层级顺序信息;
层级要素信息读出处理,从所述存储区域中读出层级要素信息,该层级要素信息按照每个层级的组合来表示属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素;
访问允许条件信息读出处理,从所述存储区域中读出访问允许条件信息,该访问允许条件信息与特定的层级要素对应地示出访问允许条件,该访问允许条件是允许向被限制访问的访问限制资源进行访问的条件;
访问请求接收处理,接收来自与任意的层级要素对应的用户的访问请求,该访问请求用于请求对访问限制资源进行访问;
层级要素提取处理,反复以下动作直到到达特定的层级为止:判别与所述用户对应的层级要素,并且根据所述层级顺序信息所示的层级间的顺序,从所述层级要素信息中提取与所判别的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素,从所述层级要素信息中提取与所提取的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素;以及
访问允许判定处理,对照利用所述层级要素提取处理判别的层级要素以及所提取的层级要素与所述访问允许条件所示的所述特定的层级要素,针对所述访问请求判定是否允许对所述访问限制资源进行访问。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013-108925 | 2013-05-23 | ||
JP2013108925 | 2013-05-23 | ||
PCT/JP2014/052851 WO2014188743A1 (ja) | 2013-05-23 | 2014-02-07 | アクセス制御装置及びアクセス制御方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105229662A true CN105229662A (zh) | 2016-01-06 |
CN105229662B CN105229662B (zh) | 2018-02-02 |
Family
ID=51933310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480029654.5A Expired - Fee Related CN105229662B (zh) | 2013-05-23 | 2014-02-07 | 访问控制装置和访问控制方法 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP5980421B2 (zh) |
CN (1) | CN105229662B (zh) |
WO (1) | WO2014188743A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111988173A (zh) * | 2020-08-19 | 2020-11-24 | 北京安瑞志远科技有限公司 | 基于多层父子结构租户的租户管理平台和租户管理方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7107745B2 (ja) * | 2018-05-24 | 2022-07-27 | 清水建設株式会社 | 設備利用状況公開システム、設備利用状況公開方法およびプログラム |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1987884A (zh) * | 2005-12-19 | 2007-06-27 | 国际商业机器公司 | 用于对资源内容进行访问控制的方法和系统 |
JP2007172154A (ja) * | 2005-12-20 | 2007-07-05 | Mitsubishi Space Software Kk | アクセス制御装置及びアクセス制御方法及びアクセス制御プログラム |
JP2008210376A (ja) * | 2007-02-01 | 2008-09-11 | Hitachi Software Eng Co Ltd | 組織階層定義システム、グループ階層の構成方法、及び組織階層の表示方法 |
JP2011076569A (ja) * | 2009-10-02 | 2011-04-14 | Ariel Networks Co Ltd | アクセス権管理装置およびアクセス権管理プログラム |
US20110213789A1 (en) * | 2010-02-26 | 2011-09-01 | Salesforce.Com, Inc. | System, method and computer program product for determining an amount of access to data, based on a role |
CN103038778A (zh) * | 2010-06-23 | 2013-04-10 | 惠普发展公司,有限责任合伙企业 | 授权控制 |
-
2014
- 2014-02-07 CN CN201480029654.5A patent/CN105229662B/zh not_active Expired - Fee Related
- 2014-02-07 WO PCT/JP2014/052851 patent/WO2014188743A1/ja active Application Filing
- 2014-02-07 JP JP2015518114A patent/JP5980421B2/ja not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1987884A (zh) * | 2005-12-19 | 2007-06-27 | 国际商业机器公司 | 用于对资源内容进行访问控制的方法和系统 |
JP2007172154A (ja) * | 2005-12-20 | 2007-07-05 | Mitsubishi Space Software Kk | アクセス制御装置及びアクセス制御方法及びアクセス制御プログラム |
JP2008210376A (ja) * | 2007-02-01 | 2008-09-11 | Hitachi Software Eng Co Ltd | 組織階層定義システム、グループ階層の構成方法、及び組織階層の表示方法 |
JP2011076569A (ja) * | 2009-10-02 | 2011-04-14 | Ariel Networks Co Ltd | アクセス権管理装置およびアクセス権管理プログラム |
US20110213789A1 (en) * | 2010-02-26 | 2011-09-01 | Salesforce.Com, Inc. | System, method and computer program product for determining an amount of access to data, based on a role |
CN103038778A (zh) * | 2010-06-23 | 2013-04-10 | 惠普发展公司,有限责任合伙企业 | 授权控制 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111988173A (zh) * | 2020-08-19 | 2020-11-24 | 北京安瑞志远科技有限公司 | 基于多层父子结构租户的租户管理平台和租户管理方法 |
CN111988173B (zh) * | 2020-08-19 | 2023-09-12 | 北京安瑞志远科技有限公司 | 基于多层父子结构租户的租户管理平台和租户管理方法 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2014188743A1 (ja) | 2017-02-23 |
CN105229662B (zh) | 2018-02-02 |
JP5980421B2 (ja) | 2016-08-31 |
WO2014188743A1 (ja) | 2014-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220385740A1 (en) | Resource access based on supervisory-subordinate relationship | |
AU2020200059B2 (en) | Method and system for providing a secure secrets proxy | |
US9418236B2 (en) | Method and system for dynamically and automatically managing resource access permissions | |
CN104954468A (zh) | 资源的分配方法及装置 | |
KR20200002034A (ko) | 온-디바이스 기계 학습 플랫폼 | |
US10164902B2 (en) | Resource allocation method using cloud API key and apparatus therefor | |
WO2009144822A1 (ja) | 装置構成情報管理プログラム、装置構成情報管理装置及び装置構成情報管理方法 | |
CN104050201A (zh) | 用于多租户分布式环境中的数据管理的方法和设备 | |
US8660996B2 (en) | Monitoring files in cloud-based networks | |
CN111352737A (zh) | 一种基于资源池的容器云计算服务平台 | |
CN109298937A (zh) | 文件解析方法及网络设备 | |
CN105229662A (zh) | 访问控制装置和访问控制方法以及程序 | |
KR102197329B1 (ko) | 스크래핑 기반 서비스 제공 방법 및 이를 수행하는 어플리케이션 | |
US11647022B2 (en) | Method and system for providing access to data stored in a security data zone of a cloud platform | |
CN108810130B (zh) | 一种分配请求规划的方法和装置 | |
KR102398085B1 (ko) | 인공지능 기반 기업 정보 자동 처리 및 생성 방법, 장치 및 시스템 | |
KR101495562B1 (ko) | 데이터 분석 서비스를 제공하기 위한 장치 및 그 방법 | |
CN112685778A (zh) | 一种数据存储方法及装置 | |
CN111783044B (zh) | 一种共享登录态的方法和装置 | |
JP7011070B2 (ja) | 分散型itインフラストラクチャにおいてプロセスプロトコルを生成するための方法 | |
KR20170013592A (ko) | 하둡 기반의 어플라이언스 관리 시스템 | |
JP2020166504A (ja) | データ提供システムおよびデータアクセス方法 | |
CN115834123A (zh) | Bim数字信息安全管理方法、装置、设备及存储介质 | |
KR20230096615A (ko) | 대규모 멀티클러스터 프로비저닝을 위한 엣지 클라우드 운영 시스템 | |
CN112651041A (zh) | 权限控制方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180202 Termination date: 20220207 |
|
CF01 | Termination of patent right due to non-payment of annual fee |