JP2001306522A - ネットワーク環境へのアクセスを検証する方法およびシステム - Google Patents

ネットワーク環境へのアクセスを検証する方法およびシステム

Info

Publication number
JP2001306522A
JP2001306522A JP2001070288A JP2001070288A JP2001306522A JP 2001306522 A JP2001306522 A JP 2001306522A JP 2001070288 A JP2001070288 A JP 2001070288A JP 2001070288 A JP2001070288 A JP 2001070288A JP 2001306522 A JP2001306522 A JP 2001306522A
Authority
JP
Japan
Prior art keywords
notification
user
verification
access
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001070288A
Other languages
English (en)
Inventor
Barbara G Parry
バーバラ・ジー・パリー
Michael S Mckay
マイケル・エス・マッケイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2001306522A publication Critical patent/JP2001306522A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

(57)【要約】 【課題】 ネットワーク内の複数の異なるタイプのエン
ティティについて、エンティティへのアクセス権を管理
し、検証するのに使用される、分散ネットワーク環境で
の管理機能を自動化する方法を提供すること。 【解決手段】 この方法には、ユーザIDのリストをコ
ンパイルするステップが含まれ、ユーザIDは、少なく
とも1つのシステムと関連する。住所録を取り出し、リ
スト内のデータを、住所録に含まれるデータと比較す
る。リスト内の無効なデータにフラグを立てる。その
後、リスト内のデータと住所録に含まれるデータの比較
の結果に基づいて、ユーザ定義のレポートを生成する。
この方法を実施するシステムおよび記憶媒体も開示され
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク環境
へのアクセスを検証する方法およびシステムに関する。
【0002】
【従来の技術】多くの組織が現在、ユーザが分散リソー
スにアクセスし、アプリケーションを処理する分散コン
ピューティング環境(DCE)に相互接続された複数の
コンピュータを使用している。さまざまなアプリケーシ
ョンを使用して、データ共用、印刷サービス、および分
散ファイル・システムを介するデータベース・アクセス
などの分散サービスを提供することができる。
【0003】分散ファイル・システムは、データおよび
リソースのより高い可用性、超大規模システム全体にわ
たって情報を共用する能力、およびセキュリティ機構の
使用を介する情報の保護など、独立型ファイル・サーバ
に対する多数の長所をもたらす。また、分散ファイル・
システムは、さまざまなファイル・システムに格納され
たファイルのすべてを、グローバル・ネームスペースに
まとめる。複数のサーバが、そのファイル・システムを
このネームスペースにエクスポートすることができる。
その間に、分散ファイル・システム・ユーザのすべて
が、このネームスペースを共用し、分散ファイル・シス
テム・ファイルのすべてが、すべての分散ファイル・シ
ステム計算機から簡単に使用可能にされる。
【0004】DCEが、単にピアツーピアに結合された
2台のコンピュータであるか、数千のユーザを有する広
域ネットワークであるかに無関係に、セキュリティ・シ
ステムが、通常は、ネットワーク上のエンティティ(プ
リンタ、モデム、他のネットワーク、ディレクトリ、フ
ァイル、データなど)へのアクセス権を制限し、ネット
ワークに接続することができる各ユーザを識別するため
に含められる。
【0005】コンピュータ・ネットワーク上のエンティ
ティへのアクセスの制御は、非常に重要である。本来個
人的なデータもしくは独占的情報または機密情報を含む
データを、ネットワークに接続されたユーザのすべてに
よって自由にアクセス可能または使用可能にしてはなら
ない。たとえば、電子メール・メッセージは、所期の受
取人によってのみアクセス可能にしなければならない。
会社の各従業員に関する詳細を含む個人データ・ファイ
ルは、限られたグループ、たとえば、その会社の人事部
の人間によってのみアクセス可能にしなければならな
い。ファイルの内容の変更、ファイルの読取、またはフ
ァイルの実行を行う権利は、しばしば、ネットワークの
保全性を保守するため、またはプログラムを実行できる
ユーザ数を制限するライセンス交付要件を満足するため
に、指定されたユーザに制限されなければならない。
【0006】ネットワーク管理者またはシステム管理者
は、通常は、ユーザの定義されたグループを確立し、保
守し、誰がネットワークに接続する権利を有するかを決
定し、ネットワーク上のエンティティに関する各グルー
プおよび個々のユーザの権利を最初に決定する責任を割
り当てられる。グループには、通常は、当初にそれに関
するアクセス権が許可されるエンティティに対する共通
の関係を有する1つまたは複数のユーザが含まれる。た
とえば、ある会社の会計部門の事務員が、いくつかの会
計プログラムおよびいくつかの会計データ・ファイルに
対するすべての権利とそれ以外に対する制限された権利
を有する「Accounting Group(会計グループ)」を構成
することができる。会計部門の長は、通常は、「Accoun
ting Group」のメンバであり、より多くの機密会計デー
タ・ファイルへの完全な権利と極秘会計データ・ファイ
ルへの制限された権利を有する「Accounting Superviso
rGroup(会計管理者グループ)」のメンバでもあること
ができる。
【0007】グループまたは個々のユーザに与えられる
権利によって、そのグループのメンバまたはそのユーザ
が、システム上の他のエンティティへのアクセスを制御
できるかどうかが決定される。したがって、あるディレ
クトリですべての権利を有するユーザは、ネットワーク
上の他のユーザよる、そのディレクトリへのアクセスお
よびそのディレクトリのサブディレクトリまたはそのユ
ーザがそのディレクトリ内で作成したファイルへのアク
セスを制御することができる。
【0008】エンティティへのアクセス制御の一形態で
は、アクセス制御項目(ACE)の組からなるアクセス
制御リスト(ACL)が使用される。ACLは、ネット
ワーク上のエンティティと関連付けることができる。A
CEには、通常は、ユーザまたはグループの識別子(プ
ラットホーム固有またはオペレーティング・システム固
有)と、そのオブジェクトに関してそのユーザまたはグ
ループに許可される権利または拒否される権利を指定す
るエンコードまたは表現が含まれる。あるエンティティ
上のオブジェクトへのアクセスを求める個々のユーザま
たはグループを、「要求者」と称する。アクセス・マス
クは、エンティティまたはそれが使用される環境もしく
はその両方に関する動作のエンコードを表す。したがっ
て、ACLによって、誰がそのエンティティへのアクセ
ス権を有するかと、そのアクセスの性質が指定される。
【0009】より大きいネットワークでは、アクセス管
理は、時間がかかり、大量の人間の介入を必要とする。
通常のシステム管理システムまたはアクセス管理システ
ムは、1つの位置に集中化され、1人の人間または1つ
の部署によって管理される。通常のシステム管理者また
はアクセス管理者は、DCE内での使用に関するアクセ
スのシステムを開発し、実施し、継続的に更新する責任
を負う。たとえば、新しいパスワードIDに関する要求
は、必要に応じて、個別に評価され、承認(または拒
否)されることが必要である。この処理には、その変更
をシステムに入力する前にさまざまな個人または部署に
よる複数レベルの承認または検討が含まれる可能性があ
り、これが、要求ごとのより長い処理時間になる可能性
がある。さらに、システム管理者またはアクセス管理者
は、組織の必要に応じて、アクセス権を与えるためのシ
ステム判断基準を継続的に更新する必要がある。このデ
ータの手動操作の量が多いほど、エラーが生じる危険性
が高くなる。DCE環境でのこのアクセス管理のシステ
ムを容易にし、自動化することが望ましい。
【0010】
【発明が解決しようとする課題】ネットワーク内の複数
の異なるタイプのエンティティについて、エンティティ
へのアクセス権を管理し、検証するのに使用される、分
散ネットワーク環境での管理機能を自動化する方法であ
る。
【0011】
【課題を解決するための手段】本発明の例示的実施形態
は、ネットワーク内の複数の異なるタイプのエンティテ
ィに関するエンティティへのアクセス権を管理し、検証
するのに使用される、分散ネットワーク環境での管理機
能を自動化する方法である。この方法には、ユーザID
のリストをコンパイルするステップが含まれ、ユーザI
Dは、少なくとも1つのシステムに関連する。住所録を
取り出し、リスト内のデータを、住所録に含まれるデー
タと比較する。リスト内の無効なデータにフラグを立て
る。その後、住所録に含まれるデータとのリスト内のデ
ータの比較の結果に基づいて、ユーザ定義レポートを生
成する。この方法を実施するシステムおよび記憶媒体も
開示される。
【0012】
【発明の実施の形態】ユーザ識別管理システムは、通常
は、分散コンピューティング環境(DCE)内で相互接
続された1つまたは複数のサーバおよび1つまたは複数
のエンティティを含むシステムを介して実施される。本
発明を使用することができる例示的なシステム10の一
部を、図1に示す。本発明の長所を実現するために必要
ではないが、システム10は、大きく異なる位置にある
数百台のワークステーションを相互接続する、高速デー
タ回線または無線リンクのいずれかによって異なる地理
的位置が相互接続される広域ネットワークの一部とする
ことができる。図1の簡略化された図では、3つのサー
バ12、14、および16だけが示されており、これら
は、ネットワーク18によって、2つのワークステーシ
ョン20および22と、プリンタ38に結合される。本
発明が、トークン・リング構成またはスター構成などの
複数のタイプのネットワーク構成上でも使用可能である
ことを、当業者は理解するであろう。ネットワーク・シ
ステムで典型的であるとおり、サーバ12、14、およ
び16のそれぞれには、ワークステーション20および
22によってアクセスすることができるデータおよびア
プリケーションを含む複数のファイルが格納される少な
くとも1つのハード・ディスク24が含まれる。さら
に、各サーバには、モニタ26が与えられる。特に図示
されてはいないが、各サーバを、サーバの動作の構成お
よび制御に使用されるコマンドおよびデータの入力用の
キーボードに結合することもできる。
【0013】ワークステーション20および22のそれ
ぞれは、ワークステーション内のマザーボード上に配置
される中央処理装置(CPU)(共に図示せず)によっ
て実行することができるプログラムを格納するためのハ
ード・ディスク30を含む汎用コンピュータとすること
ができる。表示画面32が、ワークステーションのそれ
ぞれに設けられる。ユーザは、キーボード34またはマ
ウス36(または他の適当な入力デバイス)を介して、
ワークステーションを制御し、コマンドおよびデータの
入力を供給することができる。ワークステーション20
および22のそれぞれは、ネットワーク18を介してサ
ーバ12、14、および16のいずれにもアクセスする
ことができる。
【0014】上で説明したように、コンピュータ・ネッ
トワーク上のエンティティへのアクセスの制御が、重要
である。ネットワーク管理者またはシステム管理者は、
ネットワーク内のこれらのエンティティへの他のユーザ
によるアクセスを確立し、保守する責任を負う。ユーザ
識別管理システムは、要求、要求に関する承認、および
これらの要求の実施を、フロント・エンドとしてネット
ワーク・インターフェースを使用する簡単でユーザ・フ
レンドリなツールに構造化するように設計される。
【0015】ユーザ識別管理システムが確立された後
に、レベル1管理者と称するすべてのアクセス権を有す
る管理者が、ネットワーク許可構造のセット・アップを
開始することができる。下でさらに説明するように、ユ
ーザ識別管理システムは、単一カスタマ・ベースまた
は、各カスタマが複数のグループ/プロジェクトを有す
ることができ、各プロジェクトが複数のシステム識別子
(SID)を有することができ、各SIDが複数のクラ
イアントを有することができる複数カスタマ・ベースを
サポートすることができる。
【0016】複数のレベル1管理者を、所与のネットワ
ーク内で指定することができる。さらに、すべてのレベ
ル1管理者が、レベル1IDまたはレベル2IDを作成
または削除するためのアクセス権を有し、他のレベル1
IDまたはレベル2IDのアドレスまたはパスワードを
変更することができる。当初は、レベル1管理者が、ユ
ーザ識別管理システムにログ・オンし、複数レベルにま
たがる許可構造をセット・アップまたは定義する。「カ
スタマ」は、包括的な用語であり、個々の組織の必要と
矛盾しない形でレベル1管理者によって定義することが
でき、その代わりに完全に省略することもできる。たと
えば、複数のカスタマが所望される、より大きいネット
ワークでは、カスタマを、組織内の多数の部署の1つと
して定義することができる。より小さいネットワークで
は、カスタマ・データベースが必要でない場合があり、
完全に省略することができる。任意の数のカスタマを指
定することができる。
【0017】図2に、管理者が、選択されている特定の
ディレクトリまたはファイルに関するアクセス許可をセ
ットすることができる、ユーザ識別管理システムの「管
理」画面50を示す。ツール・バー52によって、そこ
から本発明にアクセス可能であるアプリケーションが識
別される。図2からわかるように、「Admin(管理)」
というラベルを付けられたオプション54が、ツール・
バー52から選択されており、複数の追加メニュー・オ
プションが、ドロップ・ダウン・リスト・ボックス(ま
たはプル・ダウン・メニュー)56に表示され、その4
番目が、「CHANGE CUSTOMERS(カスタマ変更)」と記さ
れたオプション58である。オプション58を選択する
ことによって、レベル1管理者は、必要に応じてカスタ
マを追加、変更、または削除することができる。図2に
は、カスタマ・ウィンドウ60の例が示されており、こ
のウィンドウでは、8つのカスタマ62が、すでに作成
され、定義されており、8つの事前定義のカスタマ・コ
ード64が、それぞれ各カスタマに割り当てられてい
る。例示的実施形態では、レベル1管理者だけが、カス
タマの追加または削除を行うアクセス許可を有する。し
かし、レベル1管理者は、レベル2管理者が既存のカス
タマに関する情報を変更するための許可を与えることが
できる。カスタマを追加するには、レベル1管理者が、
図2のカスタマ画面の「ADD(追加)」機能66を選
択する。
【0018】ウィンドウが表示され(図示せず)、ユー
ザに、カスタマ・コードおよびカスタマ名(共に図示せ
ず)を入力するように問い合わせる。その後、ユーザ
は、「commit(コミット)」ボタン(図示せず)を選択
して、処理を完了する(または、その代わりに、「canc
el(キャンセル)」ボタンを選択してアクションを放棄
する)。カスタマ・コードおよびカスタマ名は、レベル
1管理者によって入力される時に、メイン・ネットワー
ク・ページ(図示せず)に即座に反映される。ここで、
SIDをこのカスタマに割り当てることができる。
【0019】SIDとは、ユーザが図1のネットワーク
18を介してアクセスすることができるシステム、SI
Dのタイプ、およびそのSIDへのアクセス権を所有す
るか制御する管理者を識別する一意の識別子である。図
3に、レベル1管理者がカスタマに新しいSIDを追加
することができる、ユーザ識別管理システムの「保守」
ウィンドウ68を示す。レベル1管理者だけが、SID
の追加または削除を行うことができる。しかし、レベル
1管理者は、レベル2管理者に、そのレベル2管理者に
よって制御される既存のSIDに関する情報を変更する
アクセス許可を与えることができる。SIDを追加する
には、レベル1管理者が、図2のツール・バー52のS
IDオプション70を選択し、プル・ダウン・メニュー
(図示せず)の「new(新規)」をクリックする。図3
で参照される保守ウィンドウ68が表示される。レベル
1管理者は、SIDボックス72でSIDを識別する一
意の識別子を割り当て、その後、図4の符号94に示さ
れているように、メイン・ネットワーク・ページに表示
されることが望まれるので、DESCRIPTION(説明)ボッ
クス74にシステムの説明を入力する。その後、レベル
1管理者は、プル・ダウン・メニュー76から、このシ
ステムを所有するADMIN ID(管理者ID)を選択する。
図3に示されているように、SIDに関する他の情報を
入力することができる。
【0020】レベル1管理者は、TYPE(タイプ)プ
ル・ダウン・メニュー78から、システムの3つのタイ
プの1つを選択する。システムのタイプを指定すること
によって、レベル1管理者は、システムにアクセスする
ためのパスワードを分配する方法を制御する。第1のタ
イプのシステムは、新しいIDおよびパスワードのリセ
ットを含めて、このシステムにアクセスするためのパス
ワードが所有者のマネージャに行くだけである「実働」
システムである。第2のタイプのシステムは、パスワー
ドを所有者のマネージャおよび所有者の両方に送らなけ
ればならない実働システムを指定する、「ユーザへのパ
スワードを有する実働」システムである。第3のタイプ
のシステムは、システムが実働システムでないことを指
定する非実働システムである。非実働システムでは、パ
スワードは、マネージャと所有者の両方に送られる。そ
の後、レベル1管理者は、CUSTOMER CODE(カスタマ・
コード)プル・ダウン・メニュー80からの選択によっ
て、SIDボックス72で指定された所望のSIDをカ
スタマに割り当てる。
【0021】システムへの要求は、本明細書で説明する
ように、1つまたは複数の承認者によって承認される。
図3には、義務不履行(delinquent)の承認者に覚え書
きが送られる前に要求が処置なしのままでいられる日数
を指定する第1時間制限82が示されている。ステージ
1承認者が義務不履行の場合には、そのステージ1承認
者だけが注を受け取る。ステージ1承認者の一部がすで
に承認している場合には、それらのステージ1承認者は
通知を受け取らない。ステージ2承認者が義務不履行者
である場合には、その承認者だけが、通知を受け取り、
ステージ1承認者は通知を受け取らない。この通知機能
が所望されない場合には、第1時間制限82に0をセッ
トして、この通知を非活動化しなければならない。
【0022】第2時間制限84は、完全に承認されずに
要求がキュー内にいられる時間を示す。カウントは、元
の要求日付から開始されるので、このオプションは、第
1時間制限82より短い日数にすることができない。第
2時間制限84に達した後に、要求は、キューから削除
される。要求が削除されたことを述べ、まだ必要な場合
には再サブミットするように示す注が、すべての承認者
および要求者に送られる。この機能が所望されない場合
には、第2時間制限84に0をセットして、この機能を
非活動化しなければならない。
【0023】レベル1管理者は、任意選択として、「グ
ループ指定機能」86を選択し、メイン・ネットワーク
・ページに表示されなければならないグループ名を入力
することによって、カスタマ内のグループまたはプロジ
ェクトを定義することができる。図4に複製されたネッ
トワーク・ページでは、ユーザが見るカスタマ・プロフ
ァイル90の特定の例に、それぞれが1つまたは複数の
SID94を含む3つのユーザ定義のグループまたはプ
ロジェクト92が示されている。
【0024】SIDを作成する際に、管理者は、所与の
システムについて使用可能であるアクセス・プロファイ
ルも定義する。アクセス・プロファイルによって、ユー
ザまたはシステム内で共通のジョブ要件を共用するユー
ザのグループに許可されるアクセスのレベルが定義され
る。定義することができるアクセス・プロファイルに
は、「メイン(main)」および「アド・オン(add o
n)」の2タイプがある。このアクセス・プロファイル
のタイプの相違は、そのプログラムされた定義にある。
メイン・アクセス・プロファイルは、ユーザIDについ
て1つのメイン・アクセス・プロファイルを必要とし、
1つのメイン・アクセス・プロファイルを選択すること
だけが許容される。アド・オン・アクセス・プロファイ
ルでは、ユーザIDについて0個、1個、または複数の
アド・オン・アクセス・プロファイルを選択することが
許容される。1つのユーザIDについて1つのアクセス
・プロファイルだけを望むSID(業務の分離のために
実働環境でしばしば使用される)では、メイン・アクセ
ス・プロファイルだけが定義され、したがって、ユーザ
IDが複数のアクセス・プロファイルを得ることができ
ない。ジョブ要件のほとんどを含むがいくつかのアクセ
ス・プロファイルの追加を許容するアクセス・プロファ
イルを有するSIDでは、ジョブ・レベル・プロファイ
ルに「メイン」、追加の権限プロファイルに「アド・オ
ン」を使用することができる。SIDが、アクセス・プ
ロファイルの組合せを必要とする場合には、管理者は、
「アド・オン」を使用することができ、したがって、ア
クセス・プロファイルのすべての組合せの選択が可能に
なる。「カテゴリ」アクセス・プロファイルを使用する
場合には、下で説明するように、承認者を、「承認者の
定義」と称する機能を介してカテゴリによって定義する
ことができる。
【0025】図5に、これによって管理者が新しいアク
セス・プロファイルをカスタマ・ネットワーク・ページ
に追加できる、管理画面50内のメイン・アクセス・プ
ロファイル・ウィンドウ100を示す。新しいメイン・
アクセス・プロファイルを追加するには、管理者が、ま
ず、管理画面50の左側に配置されたSIDメニュー1
02に表示された所望のSIDを強調表示し、その後、
ツール・バーのSIDオプション70を選択し、その
後、プル・ダウン(図示せず)の「profiles(プロファ
イル)」を選択し、最後のプル・ダウン・メニュー(図
示せず)の「main(メイン)」(図示せず)を選択す
る。図5のメイン・アクセス・プロファイル・ウィンド
ウ100が、管理者に提示される。その後、管理者は、
「ADD(追加)」ボタン108を選択し、図6の「ADD A
NEW PROFILE(新規プロファイルの追加)」ウィンドウ
110が表示される。管理者は、カスタマ・ネットワー
ク・ページでのアクセス・プロファイルの提示をソート
するのに使用されるソート・キー112を入力する。ア
クセス・プロファイルは、数によってソートすることが
できる。SIDについてカテゴリが使用される場合に
は、アクセス・プロファイルが、各カテゴリ114内で
数によってソートされる。「カテゴリ」とは、包括的な
用語であり、組織の必要に従って管理者が定義すること
ができる。その後、管理者は、「PROFILE NAME(プロフ
ァイル名)」ボックス116にテクニカル・アクセス・
プロファイル名、「DESCRIPTION」ボックス118にア
クセス・プロファイルの説明を入力する。アクセス・プ
ロファイルのテクニカル名は、そのIDを作成したシス
テムによって認識される名前である。アクセス・プロフ
ァイルの説明は、管理者が説明と共にテクニカル名を表
示することを望まない場合にカスタマ・ページに反映さ
れるものであり、管理者が説明と共にテクニカル名を表
示することを望む場合には、管理者は、図3で説明した
保守ウィンドウ68を介してそれを行うことができる。
【0026】その代わりに、管理者は、「main」(図示
せず)を選択するのではなく、図5で説明したプル・ダ
ウンから「add on(アド・オン)」を選択することによ
って、「メイン」アクセス・プロファイルの代わりに
「アド・オン」アクセス・プロファイル(図示せず)を
追加することができる。アクセス・プロファイル提示機
能のもう1つの特徴が、カスタマ・ネットワーク・ペー
ジに提示されるテキストの、色、テキスト・スタイル、
およびサイズをカストマイズする能力ならびにヘッダま
たはカラムを含める能力である。これらの効果を達成す
るために、図5で説明したメインまたはアド・オンのア
クセス・プロファイル・メニューの通常テキスト区域で
テキスト・タグを使用することができる。
【0027】DCE組織が、SID内の複数クライアン
ト構造の使用を望む場合、図7に、そのようなクライア
ントの構成のための管理画面50を示す。「クライアン
ト」とは、包括的な用語であり、組織の必要に従って管
理者が定義することができる。管理者は、まず、管理画
面50の左側に配置されたSIDメニュー102から所
望のSIDを強調表示し、その後、ツール・バー52の
SIDオプション70を選択し、その後、プル・ダウン
・メニュー128の「CLIENTS(クライアント)」12
6を選択する。ポップアップ・ウィンドウ130が表示
され、管理者に、クライアント・コード132およびク
ライアント名134を入力するように問い合わせる。ク
ライアント名134は、即座にコンパイルされ、メイン
・ネットワーク・ページのメイン・クライアント・リス
ト見出し(図示せず)の下に反映される。クライアント
・リストに対する更新は、クライアント名134のフィ
ールド「CLIENT NAME」を選択し、所望の情報を直接に
入力することによって完了することができる。同様に、
クライアント名134のフィールド「CLIENT NAME」を
選択し、「DELETE(削除)」136を選択することによ
って、クライアント名を削除することができる。確認ウ
ィンドウが表示され、管理者は、「OK」を選択してク
ライアントの除去を確認する(図示せず)。
【0028】ユーザ識別管理システムのもう1つの特徴
が、承認者のさまざまなステージおよびタイプを介する
承認セットアップのために提供される変数オプションで
ある。用語「承認者」および「オーソライザ」は、交換
可能に使用される。承認者の2つのステージは、ネット
ワーク情報に対する2ステップ複数レベル許可を提供す
るために存在する。SIDは、1ステージ承認または2
ステージ承認のいずれかを含むように構成することがで
きる。さらに、ステージ1承認者は、指定されたステー
ジ2承認者の前に、許可に関する要求を受け取る。ステ
ージ1承認者が要求を拒否する場合には、ステージ2承
認者は、要求を受け取らない。さらに、承認の各ステー
ジ内に、複数のタイプの承認者すなわち、General(一
般)、Category(カテゴリ)、Client(クライアン
ト)、Delete(削除)、およびChange(変更)が存在す
る。削除承認者および変更承認者は、1ステージ承認だ
けを使用することができ、他のタイプの承認者は、2ス
テージ承認方法を使用することができる。一般承認者
は、要求が何であっても、承認リスト上にある。カテゴ
リ承認者は、図5および図6に示されているように、ジ
ョブ・プロファイルがカスタマ内のカテゴリにグループ
化される場合に使用される。カテゴリ承認者は、その承
認者が指定されているジョブ・プロファイルが要求者に
よって選択された場合に、承認リスト上にある。システ
ムが、複数クライアント構造である場合には、クライア
ント承認者を、クライアントごとに指定することができ
る。クライアント承認者は、要求者が要求に関してその
クライアントを選択した場合に限って、承認リスト上に
ある。削除承認者は、システムについて指定された唯一
の承認者がカテゴリ承認者である場合を除いて、任意選
択である。削除要求は、カテゴリの選択を必要としない
ので、削除承認者を定義しなければならない。一般承認
者またはクライアント承認者がすでに存在する場合、削
除承認者は、これらの承認者に追加される。変更承認者
は、変更承認のみについて指定される。上の承認タイプ
のそれぞれが、単一の承認者、それぞれが承認しなけれ
ばならない複数の承認者、または承認者のどれかが承認
すると同時に承認が完了することを示す「どれか1つ
(any one of)」条件(たとえばブールOR)を用いて
リンクされた複数の承認者を有することができる。「an
d」条件(承認者のメールIDの間の「&」を使用して
入力される)が選択される場合、各承認者が、それ自体
の一意のパスコードを受け取る。「or」条件(承認者の
メールIDの間の「|」を使用して入力される)が選択
される場合、「or」されるすべての承認者が、同一のパ
スコードを受け取る。上のすべてを、任意の組合せで使
用することができる。
【0029】図8に、さまざまな承認者を指定する際に
使用される管理画面50を示す。承認者を追加するため
に、管理者は、まず管理画面50の左側に配置されたS
IDメニュー102に表示された所望のSIDを強調表
示し、次にツール・バー52のSIDオプション70を
選択し、次にプル・ダウン・メニュー150の「AUTHOR
IZERS(オーソライザ)」148を選択し、最後のプル
・ダウン・メニュー152でオーソライザのタイプを選
択する。一般(GENERAL)承認者154を選択すると、
承認の適当なステージに関する承認者ボックス166で
の承認者の直接入力を可能にするウィンドウ160が表
示される。この承認者を更新するには、管理者が、承認
者ボックス166を選択し、正しい情報をその中に入力
し、「COMMIT」ボタン168を選択して、行った変更を
確認する。その後、管理者は、適当な承認者ステージ・
ボックスに承認者の完全な電子メール・アドレスを入力
し、ステージ1の承認者ボックス166またはステージ
2の承認者ボックス146のいずれかを選択する。複数
の承認者が所望される(たとえばブールAND条件)場
合には、管理者は、承認者ボックス166または146
に「電子メール&電子メール」を入力する。一方の承認
者が承認する(たとえばブールOR条件)場合には、承
認者ボックス166または146に「電子メール|電子
メール」を入力する。文字列は、任意の組合せで連結す
ることができ、たとえば、「電子メール1|電子メール
2&電子メール3&電子メール4」などとすることがで
きる。他のタイプの承認者は、同様に構成することがで
き、これ以上説明しない。
【0030】ユーザ識別管理システムは、すべての承認
が完了した後に要求を自動的に完了するのに使用される
ように設計されている。しかし、承認された要求を自動
的に処理せず、手動完了を要求するように構成すること
もできる。自動的に処理されるすべての要求が、介入を
一切必要とせずに、キューに入れられ、キューから除去
される。しかし、キューに入れられた要求を管理しなけ
ればならない理由が多数存在する。キューには2つのタ
イプがある。第1のキューには、許可を保留されている
すべての要求が含まれる。このキューの操作は、失われ
た承認コード、故意でなしに繰り返して入力された要求
などに起因するものとすることができる。第2のキュー
には、承認処理を完了し、完全に承認され、要求の実行
を待っている要求が含まれる。システムが、自動実行用
にセット・アップされ、要求がエラーなしに完了する場
合には、そのレコードは、このキューで数分の1秒だけ
を過ごす。しかし、要求がエラーを有する(作成中にプ
ロファイルが見つからないなど)場合、またはシステム
が自動実行用にセット・アップされない場合には、要求
は、このキューから手動で操作されなければならない。
許可保留中キューの管理を助けるもう1つの機能が、そ
の設定および使用を図3の「SIDの追加」部分の警告
フィールドである第1時間制限82および第2時間制限
84で示したキュー警告設定である。この機能を用いる
と、許可の要求が指定された時間の間に作用されない場
合の、覚え書きの通知または保留中要求の除去をセット
・アップできるようになる。
【0031】要求キューの管理は、図9に示されたキュ
ー管理機能を介して使用可能である。第1のキューにア
クセスするには、管理者が、まず、管理画面50の左側
に表示されたSID156を強調表示し、次にツール・
バー52のSIDオプション70を選択し、プル・ダウ
ン・メニュー128の「USER QUEUE(ユーザ・キュ
ー)」190を選択し、許可を保留されている要求の
「MAINTAIN(保守)」129を選択する。「MAINTAIN U
SER REQUESTS(ユーザ要求の保守)」ウィンドウ158
が表示され、このキューにあるすべての要求の要約が表
示される。要約の最初のフィールド162には、主パス
コードが含まれる(承認者に送られるパスコードは、承
認に必要な追加の4文字を有する)。次のフィールド1
64には、SIDが含まれ、その次のフィールド170
には、要求のタイプ(ADD(追加)、CHANGE(変更)、R
ESET(リセット)など)が含まれる。次のフィールド1
72には、ユーザ情報が含まれ、その次のフィールド1
78には、ユーザのメール・アドレスが含まれ、最後の
フィールド180は、状況(PENDING(保留中)また
は、第2ステージの場合のPENDING 2のいずれか)であ
る。項目を削除するには、管理者が、項目を強調表示
し、「DELETE」174をクリックする。確認ウィンドウ
が表示され、管理者は、「confirm(確認)」を選択す
る(どちらも図示せず)。完全なレコードを見るには、
管理者が、「SHOW DETAILS(詳細を表示)」176をク
リックするか、項目をダブル・クリックする。その後、
レコード全体182が、図10に示されているように表
示される。使用されていないフィールドには、空白が表
示される。要求がサブミットされた日付184ならびに
割り当てられた承認者およびそのパスコードのすべて1
86を、ここで得ることができる。承認者を見る時に
は、メールIDのとなりに完全なパスコードを有する承
認者だけが、承認していない承認者である。たとえば、
図10からわかるように、符号186の「STAGE 2 APPR
OVERS」にリストされた第2の承認者が、まだレコード
全体182で示される要求を承認していない。
【0032】図11からわかるように、管理者は、管理
画面50の左側に表示されたSID188を強調表示
し、その後、ツール・バー52のSIDオプション70
を選択し、その後、プル・ダウン・メニュー128の
「USER QUEUE」190をクリックすることによって、キ
ュー管理機能の第2のキューにアクセスする。その後、
管理者は、完了を保留されている要求に関する「COMPLE
TE-REJECT(完了/拒否)」192機能を選択する。管
理者は、「REFRESH(最新表示)」196キーを選択す
ることによって、このキューの現在の要求に画面を更新
することができる。要求を再処理するには、管理者が、
キューの要求194を強調表示し、「REPROCESS(再処
理)」198を押し下げる。これによって、まだ作成さ
れていない要求がシステムに送り返される。「COMPLETE
(完了)」258は、ある項目についてすべての項目が
手動で完了された後に使用される。これによって、未解
決の注のすべてが送られ、要求がキューから除去され、
状況に手動完了がセットされる。「REJECT(拒否)」2
60機能を用いると、管理者が、すべての承認者が承認
した要求を拒否できるようになる。これは、コメント・
フィールドに、処理することができない特殊な指示があ
る場合に必要になる可能性がある。最後に、「SHOW DET
AILS」262を用いて、レコード全体を表示することが
できる。
【0033】図12に、新規ユーザIDまたは更新され
たユーザIDの処理および承認の処理を示す。ユーザ
が、302で要求をサブミットする。ユーザ識別管理シ
ステムは、304で、住所録から入手可能な情報のすべ
てを事前に書き込む。要求者情報を突きとめることがで
きない場合には、既存ユーザが、要求者を保証しなけれ
ばならない(図示せず)。ステージ1の承認通知を送る
304。承認者は、306で、そのアカウントの承認ペ
ージを入力し、この要求に関する1回限り使用の承認コ
ードを入力する。承認者は、要求を再検討し、その要求
の承認または拒否のいずれかを行う。要求が拒否される
場合には、流れはステップ312に進み、承認者が、拒
否の理由または他のコメントを入力することができる。
承認者のどれかが要求を拒否する場合、要求が拒否され
たことの通知が312で生成され、承認者によって入力
された理由と共に、他のすべての承認者(そのステージ
の承認者のみ)および要求者に送られる。この要求に関
する未解決の承認コードのすべてが、314で無効化さ
れる。
【0034】ステップ308で、ステージ1承認者のす
べてが応答したかどうかを判定する。そうでない場合に
は、流れはステップ306に進み、そこで処理を継続す
る。ステージ1承認のすべてが完了した後に、ステップ
309で、ステージ2承認者の存在を判定する。ステー
ジ2承認者がない場合には、流れは、本明細書で説明す
るステップ320に進む。ステージ2承認者が存在する
場合には、流れはステップ316に進み、そこで、ステ
ージ2承認者に通知を送る。ステージ2承認処理は、ス
テップ317および318で、ステップ306および3
08に類似する形で実行される。
【0035】ステップ318で承認が完了した後に、ユ
ーザ識別管理システムは、ステップ320で、システム
上のIDを作成または更新する。321で、IDが成功
裡に完了したかどうかを判定する。そうである場合に
は、流れはステップ324に進み、そこで、通知がシス
テム上で分配される。たとえば、新規ユーザがSIDへ
のアクセスを許可されたことの通知を送ることができ
る。326で、要求にコメントがあるかどうかを判定す
る。ない場合には、流れはステップ328に進み、そこ
で、処理が終了し、要求が完了としてマークされる。3
21でIDが成功裡に完了しなかった場合、または32
6で要求にコメントがある場合、流れはステップ325
に進み、そこで、管理者に通知を送る。管理者は、問題
を解決し、コメントに対処することができる。ステップ
327が完了した後に、流れはステップ328に進み、
要求が「完了」とマークされる。
【0036】上で説明した、承認者を確立し、承認を実
行する処理は、図1に示されたものなどのシステムで実
施することができる。そのようなシステムでは、たとえ
ばワークステーション20によって実施される要求者
が、アプリケーション、データなどを含むことができる
サーバ12などのネットワーク上のエンティティへのア
クセスを望む。要求者システムであるワークステーショ
ン20が、アクセスの要求をサブミットし、この要求
は、サーバ14などの管理サーバに向けることができ
る。管理サーバであるサーバ14は、この要求を適当な
承認者に転送し、この承認者は、たとえばワークステー
ション22によって実施することができる。管理サーバ
であるサーバ14は、システム識別子のデータベースに
アクセスして、どの承認者が、要求者がアクセスを求め
ているエンティティに関連するかを判定する。このデー
タベースは、管理サーバであるサーバ14の一部または
ワークステーション20または22の一部もしくはその
両方とすることができる。その代わりに、これらのデー
タベースを、外部に格納し、リモート機能呼出しによっ
てアクセスすることができる。承認者システムであるワ
ークステーション22は、上で説明したように、管理サ
ーバであるサーバ14に応答を供給することによって、
エンティティへのアクセスを許可する。
【0037】管理者は、サーバから直接に、または、サ
ーバに結合されたワークステーションを介して、システ
ムを構成することができる。管理者が、SIDに対する
変更を開始する時に、ユーザ識別管理システムが、実行
され、管理者にパスコードを問い合わせる。その後、ユ
ーザ識別管理システムは、承認された管理者および対応
するパスコードのリストをアプリケーション・サーバに
問い合わせ、このリストを検査して、その管理者のアク
セス許可を検証する。管理者が、適当なアクセスのレベ
ルを有する場合に、その管理者は、その管理者に割り当
てられたSIDに対する複数の変更を開始することがで
きる。SIDに対するさまざまな承認者を定義し、選択
された承認者のそれぞれに電子メール・アドレスを関連
付けることによって、管理者は、アクセスに関する要求
の実行のシステムを自動化することができる。たとえ
ば、ユーザが、システムへのアクセスを要求する時に、
ユーザ識別管理システムは、そのシステムについて定義
されたアクセス許可および識別子を含むデータベースな
らびにこれらのアクセス許可に割り当てられた承認者を
取り出し、そのユーザに割り当てられたアクセス権を検
証する。ユーザ識別管理システムは、その後、許可のた
めに指定された承認者にこの要求を送るか、キューに要
求情報を格納し、要求はそこで次のアテンションを待
つ。このキューは、ネットワーク内の1つまたは複数の
サーバに格納することができる。
【0038】上の機能のほかに、ユーザ管理識別システ
ムは、システム・ユーザに関する最新情報を管理し、保
持する組織の能力の援助を提供する。このオプション
は、再検証ツールを介して使用可能になる。再検証ツー
ルは、ユーザ・アクセスがまだ必要であることを周期的
に確認する自動化された方法を提供する。再検証ツール
を用いると、管理者が、定義されたシステムまたは保管
されたファイルから直接にユーザ情報をロードできるよ
うになる。会社の住所録と共にその情報を使用すること
によって、ユーザ識別管理システムの再検証ツールは、
情報レポートを作成し、通知を作成し、通知のメールを
送り、応答状況を追跡し、覚え書き通知を送り、応答し
ていないグループをロックする。使用可能なオプション
には、1つのシステムまたはクライアントに対する実行
または多数に対する実行を可能にすること、ある形式の
アドレス(識別)が欠けているレコードのレポートの生
成、システムまたはクライアントでリストされているが
住所録内で見つからないユーザIDのレポートの生成、
「報告先(reports to)」によってグループ化されたユ
ーザ情報のレポートの生成、指定された個人またはアド
レスに送られるリリース・ノートの生成が含まれる。
【0039】再検証ツールにアクセスするには、管理者
が、図13の管理画面のツール・バー52の「Tools
(ツール)」を選択し、その後、プル・ダウン・メニュ
ーの「REVERIFICATION(再検証)」202を選択する。
再検証ウィンドウ204が表示される。再検証ツールの
機能を使用するには、管理者が、まず、再検証が所望さ
れるユーザのグループを定義しなければならない。ユー
ザのグループは、システムまたはクライアントによって
編成することができる。ユーザのグループを定義するに
は、管理者が、再検証ウィンドウ204のツール・バー
206から「USERS(ユーザ)」205を選択し、その
後、プル・ダウン・メニュー(図示せず)の「From sys
tem(元のシステム)」を選択する。図14のログオン
・ウィンドウ208が表示される。その後、管理者は、
収集されるシステムまたはクライアントに関する情報を
入力する。管理者は、ユーザ情報にアクセスするために
ID210およびパスワード212を入力しなければな
らない。すべての情報を入力した時に、管理者は「SUBM
IT(サブミット)」214をクリックする。ユーザ識別
管理システムは、システムから情報を取り出し、図15
に示されている、システムから引き出した情報の未加工
テーブル213を作成する。完了の後に、図13および
図14に示された処理を繰り返すことによって、追加の
クライアント情報またはシステム情報を、追加するか、
現在のリストと共にグループ化することができる。
【0040】図16を参照すると、現行リストをクリア
する処理が示されている。管理者は、ツール・バー20
6の「USERS」205をクリックし、その後、プル・ダ
ウン・メニューの「CLEAR(クリア)」216をクリッ
クする。操作されるすべての情報がコンパイルされた時
に、管理者は、「VERIFY(検証)」オプション218を
実行し、これによって、各ユーザID所有者を住所録に
対して検査して、彼らがまだ雇用されているかどうかを
検証する。この機能が実行される際に、「USERNAME(ユ
ーザ名)」220フィールドおよび「MANAGER NAME(マ
ネージャ名)」222フィールドが、再検証ウィンドウ
204に取り込まれる。欠けているデータまたは無効な
データがあるユーザIDは、赤で強調表示される(図示
せず)。訂正を完了することができ、継続する前に上の
ステップが繰り返される。検証機能が完了し、システム
情報が望み通りになった時に、図17に示された再検証
レポート機能を使用することができる。
【0041】例示的レポートの1つが、マネージャに、
そのマネージャによって所有されるユーザIDのリスト
と各ユーザのアクセス情報とを含む再検証ノートが送ら
れる、メール・レポートである。図17に、再検証ノー
トの生成のための管理者画面を示す。図18に、受取側
のマネージャが見る再検証ノートを示す。マネージャ
は、ユーザ情報の正確さおよび最新性を検証し、必要な
変更のすべてをサブミットすることを求められる。マネ
ージャには、彼らがその間に応答しなければならない指
定された時間制限を与えることもできる。マネージャへ
のノートに、パスコードが含まれる。従業員リストを検
証するために、マネージャは、再検証通知に含まれるネ
ットワーク・ページへのリンクを活動化し、これによっ
て、彼らのパスコードが自動的に登録される(いずれも
図示せず)。このネットワーク・ページで確認270を
入力することによって、再検証完了が登録され、日付が
記録される。1つまたは複数のマネージャが、所定の時
間以内に再検証ノートに応答しない場合には、管理者
は、図17に示されているように、再検証ウィンドウ2
74の「REPORT(レポート)」272を選択し、その
後、プル・ダウン・メニューの「MAIL(メール)」27
6を選択し、その後、「POSITIVE(肯定)」278およ
び「2ND NOTICE(第2通知)」280を選択することに
よって、第2通知を実行することができる。これによっ
て、まだ検証してないマネージャだけに第2通知が送ら
れ、これには、元の情報のすべてが含まれる。第2通知
では、管理者によって変更可能な、もう1つの制限付き
応答期間が与えられる。第2期間の後に、管理者は、第
2通知処理を繰り返すか、ロックダウン(すなわち、ア
クセス権の否認)を実行するかを選択できる。ロックダ
ウンを実行するには、管理者が、USERS、lockを選択
し、検証の実行コードを入力する(図示せず)。その代
わりに、第2時間期間が満了した後に、自動ロックダウ
ンを実行するようにシステムを構成することができる。
ロックダウンによって、まだ検証されていないすべての
IDのターゲットSIDに対するロックが作成される。
未解決のマネージャからの後続の検証によって、彼らの
従業員IDが自動的にロック解除される。図19に、ど
のマネージャが所定の期日までに応答したかと未解決の
ノートを検証するために管理者がコンパイルすることが
できる再検証状況レポートの例を示す。この情報には、
マネージャがノートに応答した実際の日付が含まれ、管
理者は、図19に示されたネットワーク状況ページから
この情報を入手可能である。マネージャが、所定の時間
以内にこの要求に応答しない場合には、このマネージャ
によって所有されるすべてのユーザIDが、システムか
ら除去される。その場合には、アクセスに関する新しい
要求を開始しなければならない。
【0042】上で説明した再検証処理は、図1に示され
たものなどのシステムで実施することができる。そのよ
うなシステムでは、通知を送る装置を、ワークステーシ
ョン20などの通知を受け取る装置に通知を発行するサ
ーバ14によって実施することができる。上で説明した
ように、通知によって、ユーザがシステム上のエンティ
ティ(たとえばサーバ12)へのアクセスを許可される
ことの再検証が要求される。管理サーバであるサーバ1
4は、システムに関連するユーザIDを含むデータベー
スおよび会社の住所録にアクセスする。データベース
は、管理サーバであるサーバ14の一部またはワークス
テーション20または22の一部もしくはその両方とす
ることができる。その代わりに、これらのデータベース
を、外部に格納し、リモート機能呼出しによってアクセ
スすることができる。管理サーバであるサーバ14は、
ユーザIDを住所録と比較して、個人が会社を去ったか
どうかなどを判定する。管理サーバであるサーバ14
は、通知を送る装置として働き、ワークステーション2
0(すなわち、通知を受け取る装置)に通知を送る。上
で説明したように、通知を受け取るものは、通知にリス
トされたユーザのアクセス権を確認しなければならな
い。これは、通知を受け取る装置(すなわちワークステ
ーション20)が、通知を送る装置(すなわち管理サー
バであるサーバ14)に応答を送ることによって達成さ
れる。
【0043】再検証ツールのほかに、ユーザ識別管理シ
ステムは、管理者が、情報検索のためにデータベースに
アクセスでき、測定データを収集できるようにする、ロ
グ・ビューア・ツールを備える。図20に、どのように
して管理者がログ・ビューア・ツールを使用してデータ
ベースを検索できるかを示す。管理者は、まず、管理画
面50のツール・バー52の「TOOL(ツール)」機能2
00を選択し、その後、プル・ダウン・メニューの「LO
G VIEWER(ログ・ビューア)」226を選択する。ログ
・ビューア・ウィンドウ227が表示される。検索の有
効範囲または収集される測定値は、可変である。これ
は、1つのSID上の1つのクライアントに制限するこ
とも、使用可能なすべてのSID上のすべてのクライア
ントにすることもできる。ログ・オンしているadmin ID
からアクセス可能なすべてのSIDが、「SID」とい
うラベルを付けられた、ログ・ビューア・ウィンドウ2
27内に配置されたスクロール可能なサブウィンドウ2
28にリストされる。単一のSID、複数のSID、ま
たはSIDのブロックを選択することができる。1つの
SIDを選択するには、管理者が、所望のSIDをクリ
ックする(図示せず)。そのSIDが強調表示される。
複数のSIDを選択するには、管理者が、所望のSID
を選択している間にキーボードの「Ctrl」キーを押し下
げる(図示せず)。選択されたSIDのそれぞれが、強
調表示される。管理者は、範囲の上端の所望のSIDを
クリックし、キーボードの「Shift」キーを押し下げ、
そのままに保ち、範囲の下端のSIDを選択することに
よって(図示せず)、SIDの範囲を選択することもで
きる。2つのSIDの間のすべてのSIDが強調表示さ
れる。
【0044】1つのSIDだけが選択される場合には、
検索を、特定のクライアントにさらに制限することがで
きる。これを行うために、管理者は、まず、上で示した
ようにサブウィンドウ228にリストされる所望のSI
Dを選択し、その後、「ALLCLIENTS(全クライアン
ト)」とマークされたボックス230のチェックを除去
し、その後、「REFRESH CLIENTS(クライアント最新表
示)」ボタン232をクリックする。そのSIDについ
てユーザ識別管理システム内で定義されているすべての
クライアントが、「CLIENTS」ボックス234に表示さ
れる。管理者は、SIDの選択について上で説明したも
のと同一の方法を使用して、検索に含まれるクライアン
トを選択する。
【0045】SIDまたはクライアントを選択した後
に、管理者は、「SEARCH(検索)」ボタン236をクリ
ックする。図21のポップアップ・ウィンドウが表示さ
れる。行うことができる検索には、5つの主なタイプが
ある。「USERID」フィールド238を用いて、検索を特
定のユーザIDに制限することができる。管理者は、こ
のUSERIDフィールド238に検索用のユーザID
を入力する。ユーザIDが定義されない場合には、この
USERIDフィールド238は、すべてのユーザID
が選択されることを示す「%」ワイルドカード記号を除
いて、空白にすることができる。次に、要求のタイプを
選択する。このリミッタは、所与の期間内に要求された
パスワード・リセットの回数など、情報に関する統計の
収集に有用である。検索に要求タイプを含めるには、
「TYPES OF REQUESTS TO SHOW(表示する要求のタイ
プ)」セクション240の5つのボックスの1つをチェ
ックしなければならない。第3のセクションである「ST
ATUS OF REQUESTS TO SHOW(表示する要求の状況)」2
42は、選択されたSIDまたはクライアント内のすべ
ての要求の現在の状況を判定するのに使用される。この
セクションの1つまたは複数のボックスを選択すること
ができる。「DATE RANGE(日付範囲)」セクション24
4を用いて、管理者が、指定された日付範囲内の状況に
選択を制限することができる。たとえば、特定の月の情
報を集めるには、管理者が、所望の月の最初の日を、指
定されたフォーマットで、「FROM」行248に入力し、
所望の月の最後の日を、「TO」行250に入力する。TO
行250を空白にすると、現在の日付が選択される。検
索機能の最後のオプションが、「GROUP BY USERID(ユ
ーザIDによるグループ化)」ボックス252である。
管理者は、検索の結果を、デフォルトの「発生順」ソー
トではなくユーザIDによってアルファベット順に提示
しなければならない場合に、このオプションを選択す
る。
【0046】検索に関する選択を行った後に、管理者
は、「SEARCH」ボタン254を選択して実行する。ユー
ザ識別管理システムは、判断条件に一致するすべての項
目の要約を作成し、結果を画面上にリストする。各要求
が検索によって定義される特定の状況に達した時刻、要
求が承認されるまでの全時間、要求を完了するまでの全
時間、および検索によって定義される要求の現在の状況
(図示せず)などの、さまざまな情報が表示される。管
理者は、要約リスティングの項目をダブルクリックし
て、その項目の完全な詳細を表示することができる。管
理者は、検索で見つかった要求の総数、検索内の全要求
の承認の平均時間、要求完了の平均時間、および他の同
様のタイプの情報(図示せず)など、検索結果にリスト
された全レコードの要約状況を得ることもできる。新し
い検索を実行するには、管理者が、図20のログ・ビュ
ーア・ウィンドウ227の「Clear(クリア)」ボタン
256をクリックし、その後、上で説明したように「SE
ARCH」ボタン236を選択する。管理者は、上で説明し
た図21のものと同一のステップを繰り返して、検索を
定義する。
【0047】ユーザ識別管理システムのもう1つの有用
な特徴が、第三者承認を用いずにユーザが即座にパスワ
ードをリセットできるようにするパスワード・リセット
機能である。あるシステムは、不正なパスワードが複数
回入力された場合(たとえば、誤ったパスワードによる
3回のログインの試行)に、IDおよびパスワードを使
用不可にする。これは、システムへの許可されないアク
セスを防ぐセキュリティ機能である。パスワード・リセ
ット機能を用いると、管理者が定義した情況でのパスワ
ード・リセットの自動承認が可能になる。図22に、パ
スワードをリセットする処理を示す。ユーザは、400
で要求をサブミットする。402で、ユーザ識別管理シ
ステムが、システムを検査して、現在のユーザIDが存
在することを検証する。IDが存在しない場合には、流
れはステップ404に進み、ここで、IDが存在しない
ことを示す通知をユーザに即座に送り、406で要求処
理を終了する。IDが存在する場合には、ユーザ識別管
理システムが、データベース(図示せず)からユーザ情
報を取り出し、408でその情報をユーザに表示する。
410で、ユーザが、パスワード・リセットの要求をサ
ブミットする。システムは、412で、要求を受け取
り、IDの所有者に承認通知を送る。IDの所有者は、
システム構成に応じて、実際のユーザとするか、その代
わりにユーザのマネージャとすることができる。414
で、要求が承認されたかどうかを判定する。IDの所有
者が要求を承認しない場合には、416で要求処理を終
了する。要求が承認される場合には、流れはステップ4
18に進み、ここで、システムが、そのシステム上でパ
スワード・リセットを実行し、必要であれば、IDをロ
ック解除する。ステップ420で、リセットが成功裡に
完了したかどうかを判定する。そうである場合には、流
れはステップ422に進み、ここで、システムを介して
通知を配布する。たとえば、ユーザのパスワードがリセ
ットされたことの通知を、ユーザのマネージャまたは管
理者に送ることができる。424で、要求にコメントが
存在するかどうかを判定する。そうでない場合には、流
れはステップ426に進み、ここで、処理が終了し、要
求が「完了」としてマークされる。420でリセットが
成功裡に完了しなかった場合、または、424で要求に
コメントが存在する場合には、流れはステップ428に
進み、ここで、管理者に通知を送る。管理者は、問題を
解決し、コメントに対処することができる。ステップ4
30が完了した後に、流れはステップ426に進み、要
求が「完了」としてマークされる。
【0048】上で説明したパスワード・リセット処理
は、図1に示されたものなどのシステムで実施すること
ができる。そのようなシステムでは、要求元装置を、サ
ーバ14などの承認する装置にパスワード・リセットの
要求を発行するワークステーション20によって実施す
ることができる。上で説明したように、パスワード・リ
セットの要求をサブミットすると、ユーザのパスワード
がロック解除される。承認する装置(すなわちサーバ1
4)は、ユーザIDを含むデータベースにアクセスし
て、そのユーザIDの存在を確認する。このデータベー
スは、サーバ14の一部またはワークステーション20
または22の一部もしくはその両方とすることができ
る。その代わりに、これらのデータベースを、外部に格
納し、リモート機能呼出しによってアクセスすることが
できる。このデータベースには、ユーザIDの所有者の
身元も含まれる。承認する装置は、ユーザIDの所有者
に承認通知を送って、ユーザIDおよびパスワードをロ
ック解除するための承認を要求する。「所有者」のアド
レスは、ワークステーション20および22の一方の電
子メール・アドレスとすることができる。好ましい実施
形態では、要求元の装置と所有者が同一であり、その結
果、ユーザが、自分自身のパスワードをリセットできる
ようになっている。承認する装置(すなわちサーバ1
4)は、所有者(たとえばワークステーション20)か
ら承認を受け取った場合にパスワードをリセットし、承
認を受け取らない場合にはパスワード・リセットの要求
を終了する。
【0049】上で説明したように、本発明は、コンピュ
ータ実施される処理およびこれらの処理を実施する装置
の形で実施することができる。本発明は、フロッピ・デ
ィスケット、CD−ROM、ハード・ディスク、または
他のコンピュータ可読記憶媒体などの有形の媒体内で実
施される命令を含むコンピュータ・プログラム・コード
であって、このコンピュータ・プログラム・コードが、
コンピュータにロードされ、コンピュータによって実行
される時に、そのコンピュータが本発明を実施する装置
になる、コンピュータ・プログラム・コードの形で実施
することもできる。本発明は、たとえば、記憶媒体に格
納されるか、コンピュータにロードまたはコンピュータ
によって実行またはその両方を行われるか、電線または
ケーブリングなどの伝送媒体、光ファイバ、または電磁
放射を介するなどの伝送媒体を介して伝送されるかいず
れかである、コンピュータ・プログラム・コードであっ
て、そのコンピュータ・プログラム・コードがコンピュ
ータにロードされ、コンピュータによって実行される時
に、そのコンピュータが本発明を実施する装置になるコ
ンピュータ・プログラム・コードの形で実施することも
できる。汎用マイクロプロセッサ上で実施される時に
は、コンピュータ・プログラム・コード・セグメントに
よってマイクロプロセッサが構成されて、特定の論理回
路が作成される。
【0050】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0051】(1)ネットワーク内の複数の異なるタイ
プのエンティティについて、エンティティへのアクセス
権を管理し、検証するのに使用される、分散ネットワー
ク環境での管理機能を自動化する方法であって、ユーザ
IDのリストであって、前記ユーザIDが、少なくとも
1つのシステムに関連する、ユーザIDのリストをコン
パイルするステップと、住所録を取り出すステップと、
前記リスト内のデータを前記住所録に含まれるデータと
比較するステップであって、前記リスト内の無効なデー
タにフラグが立てられる、比較するステップと、前記デ
ータの前記比較の結果に基づいて、ユーザ定義レポート
を生成するステップとを含む方法。 (2)リモート機能呼出しを介して前記ユーザIDのリ
ストにアクセスするステップをさらに含む、上記(1)
に記載の方法。 (3)前記データの前記比較の前記結果に含まれるデー
タを変更するステップをさらに含む、上記(1)に記載
の方法。 (4)通知送信者によって通知受信者に通知を送るステ
ップであって、前記通知が、継続されるアクセス権の検
証に関する確認要求と、現在アクセス権を有する前記ユ
ーザIDのそれぞれに関するユーザIDデータと、前記
通知への応答に関するユーザ定義の時間制限とを含む、
通知を送るステップと、前記通知受信者による前記通知
に対する応答に基づいて、前記継続されるアクセス権を
検証するステップとをさらに含む、上記(1)に記載の
方法。 (5)前記通知が、第1通知および第2通知を含み、前
記第2通知が、前記時間制限までに前記第1通知に応答
しなかった前記通知受信者に送られ、前記第2通知が、
応答に関する第2のユーザ定義の時間制限を含む上記
(4)に記載の方法。 (6)前記通知のそれぞれが、一意のパスコードを含
み、前記パスコードが、通知受信者を識別する、上記
(4)に記載の方法。 (7)前記通知のそれぞれが、ネットワーク・ページへ
のリンクを含み、前記リンクの活動化が、前記パスコー
ドの自動的な登録を引き起こす、上記(6)に記載の方
法。 (8)前記継続されるアクセス権の前記検証が、前記通
知受信者による前記検証の完了を確認するステップを含
み、前記完了が、検証結果および前記検証の日付の登録
を引き起こす、上記(4)に記載の方法。 (9)前記検証に関する要求に対する応答が、前記通知
で規定される前記時間制限内に前記通知送信者によって
受け取られない前記ユーザIDについて、前記エンティ
ティへのアクセス権を拒否するステップをさらに含む、
上記(4)に記載の方法。 (10)前記アクセス権の拒否が、前記通知送信者によ
って手動で実行される、上記(9)に記載の方法。 (11)前記アクセス権の拒否が、前記第2通知で規定
される前記時間制限の満了時に自動的に実行される、上
記(9)に記載の方法。 (12)前記アクセス権の拒否が、前記通知送信者によ
る前記検証の要求に対する前記応答の後続の受取時に、
自動的に逆転される、上記(9)に記載の方法。 (13)前記アクセス権の拒否が、前記通知送信者によ
る前記検証の要求に対する前記応答の後続の受取時に、
手動で逆転される、上記(9)に記載の方法。 (14)前記検証の要求に対する応答が、前記通知送信
者によって受け取られない前記ユーザIDを削除するス
テップをさらに含む、上記(4)に記載の方法。 (15)ネットワーク内の複数の異なるタイプのエンテ
ィティについて、エンティティへのアクセス権を管理
し、検証するのに使用される、分散ネットワーク環境で
の管理機能を自動化するシステムであって、少なくとも
1つのエンティティと、前記少なくとも1つのネットワ
ーク・エンティティと通信する少なくとも1つの通知を
送る装置と、前記通知を送る装置と通信する少なくとも
1つの通知を受け取る装置とを含むコンピュータ・ネッ
トワークと、ユーザIDのデータベースであって、前記
ユーザIDが、少なくとも1つのシステムと関連する、
ユーザIDのデータベースと、ユーザ情報を含む住所録
とを含み、前記通知を送る装置が、前記ユーザIDおよ
び前記住所録に応答してアクセス権を検証するシステ
ム。 (16)前記通知を送る装置が、ユーザIDのリストを
コンパイルし、住所録を取り出し、前記リスト内のデー
タを前記住所録に含まれるデータと比較し、前記リスト
内の無効なデータにフラグを立て、前記比較の結果に基
づいて、ユーザ定義レポートを生成する上記(15)に
記載のシステム。 (17)前記ユーザIDのリストが、リモート機能呼出
しによってアクセスされることをさらに含む、上記(1
6)に記載のシステム。 (18)前記比較の前記結果に含まれるデータが、前記
通知を送る装置によって変更される、上記(16)に記
載のシステム。 (19)前記通知を送る装置が、前記通知を受け取る装
置に通知を送り、前記通知が、継続されるアクセス権の
検証に関する確認要求と、現在アクセス権を有する前記
ユーザIDのそれぞれに関するユーザIDデータと、応
答に関するユーザ定義の時間制限とを含み、前記通知を
受け取る装置が、前記通知に対する応答に基づいて、前
記継続されるアクセス権を検証することをさらに含む、
上記(16)に記載のシステム。 (20)前記通知が、第1通知および第2通知を含み、
前記第2通知が、前記時間制限までに前記第1通知に応
答しなかった前記通知を受け取る装置に送られ、さら
に、前記第2通知が、応答に関する第2のユーザ定義の
時間制限を含む上記(19)に記載のシステム。 (21)前記通知が、一意のパスコードを含み、前記パ
スコードが、通知を受け取る装置を識別する、上記(1
9)に記載のシステム。 (22)前記通知が、ネットワーク・ページへのリンク
を含み、前記リンクの活動化が、前記パスコードの自動
的な登録を引き起こす上記(21)に記載のシステム。 (23)前記継続されるアクセス権の前記検証が、前記
通知を受け取る装置による前記検証の完了の確認を含
み、前記完了が、検証結果および前記検証の日付の登録
を引き起こす、上記(19)に記載のシステム。 (24)前記検証に関する要求に対する応答が前記時間
制限内に前記通知を送る装置によって受け取られかった
前記ユーザIDが、その後、前記エンティティへのアク
セス権を拒否される上記(19)に記載のシステム。 (25)前記ユーザIDが、前記通知を送る装置によっ
て手動でアクセス権を拒否される、上記(24)に記載
のシステム。 (26)前記ユーザIDが、前記通知で規定される前記
時間制限の満了時に自動的にアクセス権を拒否される、
上記(24)に記載のシステム。 (27)アクセス権を拒否された前記ユーザIDが、前
記通知を送る装置による前記検証の要求に対する応答の
後続の受取時に、自動的に復権される、上記(24)に
記載のシステム。 (28)アクセス権を拒否された前記ユーザIDが、前
記通知を送る装置による前記検証の要求に対する応答の
後続の受取時に、手動で復権される、上記(24)に記
載のシステム。 (29)前記検証の要求に対する応答が、前記通知を送
る装置によって前記時間制限内に受け取られなかった前
記ユーザIDが、前記通知を送る装置によって削除され
る上記(19)に記載のシステム。 (30)製造品であって、ネットワーク内の複数の異な
るタイプのエンティティについて、アクセス権を管理
し、検証するのに使用される、分散ネットワーク環境で
の管理機能を自動化するコンピュータ可読プログラム・
コードをその中で実施されたコンピュータ使用可能媒体
を含み、前記製造品内の上記コンピュータ可読プログラ
ム・コードが、ユーザIDのリストであって、前記ユー
ザIDが、少なくとも1つのシステムに関連する、ユー
ザIDのリストを、コンピュータにコンパイルさせるコ
ンピュータ可読プログラム・コードと、コンピュータに
住所録を取り出させるコンピュータ可読プログラム・コ
ードと、コンピュータに前記リスト内のデータを前記会
社の住所録に含まれるデータと比較させるコンピュータ
可読プログラム・コードであって、前記リスト内の無効
なデータにフラグが立てられる、比較させるコンピュー
タ可読プログラム・コードと、コンピュータに、前記デ
ータの前記比較の結果に基づいて、ユーザ定義レポート
を生成させるコンピュータ可読プログラム・コードとを
含む、製造品。 (31)コンピュータに、リモート機能呼出しを介して
前記ユーザIDのリストにアクセスさせるコンピュータ
可読プログラム・コードをさらに含む、上記(30)に
記載の製造品。 (32)コンピュータに、前記データの前記比較の前記
結果に含まれるデータを変更させるコンピュータ可読プ
ログラム・コードをさらに含む、上記(30)に記載の
製造品。 (33)コンピュータに、通知を受け取る装置に通知を
送らせるコンピュータ可読プログラム・コードであっ
て、前記通知が、継続されるアクセス権の検証に関する
確認要求と、現在アクセス権を有する前記ユーザIDの
それぞれに関するユーザIDデータと、前記要求への応
答に関するユーザ定義の時間制限とを含む、通知を送ら
せるコンピュータ可読プログラム・コードと、コンピュ
ータに、前記通知を受け取る装置からの応答に基づい
て、前記継続されるアクセス権を検証させるコンピュー
タ可読プログラム・コードとをさらに含む、上記(3
0)に記載の製造品。 (34)前記通知が、第1通知および第2通知を含み、
前記第2通知が、前記時間制限までに前記第1通知に応
答しなかった前記通知を受け取る装置に送られ、さら
に、前記第2通知が、応答に関する第2のユーザ定義の
時間制限を含む上記(33)に記載の製造品。 (35)前記通知が、一意のパスコードを含み、前記パ
スコードが、通知を受け取る装置を識別する、上記(3
3)に記載の製造品。 (36)コンピュータに、前記通知にネットワーク・ペ
ージへのリンクを提供させるコンピュータ可読プログラ
ム・コードをさらに含み、前記リンクの活動化が、前記
パスコードの自動的な登録を引き起こす上記(35)に
記載の製造品。 (37)前記継続されるアクセス権の前記検証が、前記
通知を受け取る装置による前記検証の完了の確認を含
み、前記完了が、検証結果および前記検証の日付の登録
を引き起こす、上記(33)に記載の製造品。 (38)コンピュータに、前記検証に関する要求に対す
る応答が受け取られない前記ユーザIDへのアクセス権
を拒否させるコンピュータ可読プログラム・コードをさ
らに含む、上記(33)に記載の製造品。 (39)前記アクセス権の拒否が、手動で実行される、
上記(38)に記載の製造品。 (40)前記アクセス権の拒否が、前記通知で規定され
る前記時間制限の満了時に自動的に実行される、上記
(38)に記載の製造品。 (41)前記アクセス権の拒否が、前記検証の要求に対
する前記応答の後続の受取時に、自動的に逆転される、
上記(38)に記載の製造品。 (42)前記アクセス権の拒否が、前記検証の要求に対
する前記応答の後続の受取時に、手動で逆転される、上
記(38)に記載の製造品。 (43)コンピュータに、前記検証の要求に対する応答
が受け取られない前記ユーザIDを削除させるコンピュ
ータ可読プログラム・コードをさらに含む、上記(3
3)に記載の製造品。
【図面の簡単な説明】
【図1】その上でアクセスが制御される、複数のワーク
ステーションおよびサーバを含むシステムの一部のブロ
ック図である。
【図2】管理者がカスタマ・データ・ベースの構成また
は変更を選択的に行えるようにする、プル・ダウン・メ
ニューおよびカスタマ・ウィンドウを含む例示的管理画
面を示す図である。
【図3】管理者がカスタマ内のシステム識別子(SI
D)ならびに他の所望の判断基準を選択的に構成する方
法を示す、例示的保守ウィンドウを示す図である。
【図4】所与のカスタマについて定義されたプロジェク
トまたはグループならびに各プロジェクトまたは各グル
ープに割り当てられたSIDを示す、ユーザが見る例示
的ウェブ画面を示す図である。
【図5】管理者が所与のSIDについてメイン・アクセ
ス・プロファイルの作成、変更、または削除を行う方法
を示す、例示的管理画面およびメイン・アクセス・プロ
ファイル・ウィンドウを示す図である。
【図6】管理者がSID内の新しいアクセス・プロファ
イルを作成する方法を示す、例示的アクセス・プロファ
イル・ウィンドウを示す図である。
【図7】管理者がSID内のクライアントを選択的に構
成できるようにするプル・ダウン・メニューおよびクラ
イアント・ウィンドウを含む、例示的管理画面を示す図
である。
【図8】管理者がSIDのシステム・オーソライザまた
は承認者を選択的に構成できるようにするプル・ダウン
・メニューおよび承認者ウィンドウを含む、例示的管理
画面を示す図である。
【図9】管理者がキュー内の許可を保留されている要求
の状況を再検討できるようにするプル・ダウン・メニュ
ーおよび保守ウィンドウを含む、例示的管理画面を示す
図である。
【図10】管理者がキュー内の個々の要求に関する特定
の詳細を再検討できるようにする、保守ウィンドウおよ
びユーザ・データ・ウィンドウを含む、例示的管理画面
を示す図である。
【図11】管理者が、手動で処理されなければならない
承認された要求を実行できるようにする、プル・ダウン
・メニューおよび「Complete/Reject User Requests」
ウィンドウを含む、例示的管理画面を示す図である。
【図12】ネットワーク上のエンティティへのアクセス
を選択し、制御するために実施される論理ステップを示
す、例示的流れ図である。
【図13】どのユーザが、アクセスを許可されたシステ
ムへのアクセスを要求し続けているかを管理者が周期的
に評価できるようにする、プル・ダウン・メニューおよ
び再検証ウィンドウを含む例示的管理画面を示す図であ
る。
【図14】管理者が、評価されるアクセス要件について
グループのユーザを選択でき、定義できるようにする、
例示的再検証ウィンドウを示す図である。
【図15】アクセス要件の評価のために管理者によって
選択されたシステムまたはクライアント内のユーザのグ
ループを含む情報のテーブルを表示する再検証ウィンド
ウを含む、例示的管理画面を示す図である。
【図16】管理者が、テーブル内で識別されたユーザが
まだ雇用されているかどうかを検証し、ユーザ・データ
に対する訂正または更新を行えるようにする再検証ウィ
ンドウおよびプル・ダウン・メニューを含む、例示的管
理画面を示す図である。
【図17】管理者が、ユーザ・データに関するさまざま
なレポートを生成できるようにする、再検証ウィンドウ
およびプル・ダウン・メニューを含む例示的管理画面を
示す図である。
【図18】マネージャがそれに関するユーザ・アクセス
要件の検証を要求したユーザ・データのリスティングを
表示する、受信側マネージャによって見られる、例示的
メール・レポート画面を示す図である。
【図19】管理者が再検証メール・レポート処理を管理
できるようにする、例示的再検証状況レポート画面を示
す図である。
【図20】管理者がユーザ識別管理システムに含まれる
さまざまなデータを検索できるようにする、1つまたは
複数の異なる選択された判断基準によって編成すること
ができる、ログ・ビューア・ウィンドウを含む例示的管
理画面を示す図である。
【図21】管理者が、指定されたSIDまたはクライア
ントに関する検索をさらに定義できるようにする、ログ
・ビューア・ツールの例示的検索機能ウィンドウを示す
図である。
【図22】自動パスワード・リセットのために実施され
る論理ステップを示す例示的流れ図である。
【符号の説明】
302 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 303 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 304 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 305 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 306 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 307 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 308 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 309 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 310 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 311 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 312 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 313 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 314 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 315 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 316 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 317 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 318 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 319 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 320 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 321 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 322 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 323 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 324 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 325 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 326 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 327 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 328 ネットワーク上のエンティティへのアクセスを
選択し、制御するためのステップ 400 自動パスワード・リセットのためのステップ 401 自動パスワード・リセットのためのステップ 402 自動パスワード・リセットのためのステップ 403 自動パスワード・リセットのためのステップ 404 自動パスワード・リセットのためのステップ 405 自動パスワード・リセットのためのステップ 406 自動パスワード・リセットのためのステップ 407 自動パスワード・リセットのためのステップ 408 自動パスワード・リセットのためのステップ 409 自動パスワード・リセットのためのステップ 410 自動パスワード・リセットのためのステップ 411 自動パスワード・リセットのためのステップ 412 自動パスワード・リセットのためのステップ 413 自動パスワード・リセットのためのステップ 414 自動パスワード・リセットのためのステップ 415 自動パスワード・リセットのためのステップ 416 自動パスワード・リセットのためのステップ 417 自動パスワード・リセットのためのステップ 418 自動パスワード・リセットのためのステップ 419 自動パスワード・リセットのためのステップ 420 自動パスワード・リセットのためのステップ 421 自動パスワード・リセットのためのステップ 422 自動パスワード・リセットのためのステップ 423 自動パスワード・リセットのためのステップ 424 自動パスワード・リセットのためのステップ 425 自動パスワード・リセットのためのステップ 426 自動パスワード・リセットのためのステップ 427 自動パスワード・リセットのためのステップ 428 自動パスワード・リセットのためのステップ 429 自動パスワード・リセットのためのステップ 430 自動パスワード・リセットのためのステップ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 マイケル・エス・マッケイ アメリカ合衆国12570 ニューヨーク州ポ ーカーグ グリーン・ストリート 20

Claims (43)

    【特許請求の範囲】
  1. 【請求項1】ネットワーク内の複数の異なるタイプのエ
    ンティティについて、エンティティへのアクセス権を管
    理し、検証するのに使用される、分散ネットワーク環境
    での管理機能を自動化する方法であって、 ユーザIDのリストであって、前記ユーザIDが、少な
    くとも1つのシステムに関連する、ユーザIDのリスト
    をコンパイルするステップと、 住所録を取り出すステップと、 前記リスト内のデータを前記住所録に含まれるデータと
    比較するステップであって、前記リスト内の無効なデー
    タにフラグが立てられる、比較するステップと、 前記データの前記比較の結果に基づいて、ユーザ定義レ
    ポートを生成するステップとを含む方法。
  2. 【請求項2】リモート機能呼出しを介して前記ユーザI
    Dのリストにアクセスするステップをさらに含む、請求
    項1に記載の方法。
  3. 【請求項3】前記データの前記比較の前記結果に含まれ
    るデータを変更するステップをさらに含む、請求項1に
    記載の方法。
  4. 【請求項4】通知送信者によって通知受信者に通知を送
    るステップであって、前記通知が、 継続されるアクセス権の検証に関する確認要求と、 現在アクセス権を有する前記ユーザIDのそれぞれに関
    するユーザIDデータと、 前記通知への応答に関するユーザ定義の時間制限とを含
    む、通知を送るステップと、 前記通知受信者による前記通知に対する応答に基づい
    て、前記継続されるアクセス権を検証するステップとを
    さらに含む、請求項1に記載の方法。
  5. 【請求項5】前記通知が、第1通知および第2通知を含
    み、 前記第2通知が、前記時間制限までに前記第1通知に応
    答しなかった前記通知受信者に送られ、 前記第2通知が、応答に関する第2のユーザ定義の時間
    制限を含む請求項4に記載の方法。
  6. 【請求項6】前記通知のそれぞれが、一意のパスコード
    を含み、前記パスコードが、通知受信者を識別する、請
    求項4に記載の方法。
  7. 【請求項7】前記通知のそれぞれが、ネットワーク・ペ
    ージへのリンクを含み、前記リンクの活動化が、前記パ
    スコードの自動的な登録を引き起こす、請求項6に記載
    の方法。
  8. 【請求項8】前記継続されるアクセス権の前記検証が、
    前記通知受信者による前記検証の完了を確認するステッ
    プを含み、前記完了が、検証結果および前記検証の日付
    の登録を引き起こす、請求項4に記載の方法。
  9. 【請求項9】前記検証に関する要求に対する応答が、前
    記通知で規定される前記時間制限内に前記通知送信者に
    よって受け取られない前記ユーザIDについて、前記エ
    ンティティへのアクセス権を拒否するステップをさらに
    含む、請求項4に記載の方法。
  10. 【請求項10】前記アクセス権の拒否が、前記通知送信
    者によって手動で実行される、請求項9に記載の方法。
  11. 【請求項11】前記アクセス権の拒否が、前記第2通知
    で規定される前記時間制限の満了時に自動的に実行され
    る、請求項9に記載の方法。
  12. 【請求項12】前記アクセス権の拒否が、前記通知送信
    者による前記検証の要求に対する前記応答の後続の受取
    時に、自動的に逆転される、請求項9に記載の方法。
  13. 【請求項13】前記アクセス権の拒否が、前記通知送信
    者による前記検証の要求に対する前記応答の後続の受取
    時に、手動で逆転される、請求項9に記載の方法。
  14. 【請求項14】前記検証の要求に対する応答が、前記通
    知送信者によって受け取られない前記ユーザIDを削除
    するステップをさらに含む、請求項4に記載の方法。
  15. 【請求項15】ネットワーク内の複数の異なるタイプの
    エンティティについて、エンティティへのアクセス権を
    管理し、検証するのに使用される、分散ネットワーク環
    境での管理機能を自動化するシステムであって、 少なくとも1つのエンティティと、 前記少なくとも1つのネットワーク・エンティティと通
    信する少なくとも1つの通知を送る装置と、 前記通知を送る装置と通信する少なくとも1つの通知を
    受け取る装置とを含むコンピュータ・ネットワークと、 ユーザIDのデータベースであって、前記ユーザID
    が、少なくとも1つのシステムと関連する、ユーザID
    のデータベースと、 ユーザ情報を含む住所録とを含み、前記通知を送る装置
    が、前記ユーザIDおよび前記住所録に応答してアクセ
    ス権を検証するシステム。
  16. 【請求項16】前記通知を送る装置が、 ユーザIDのリストをコンパイルし、 住所録を取り出し、 前記リスト内のデータを前記住所録に含まれるデータと
    比較し、前記リスト内の無効なデータにフラグを立て、 前記比較の結果に基づいて、ユーザ定義レポートを生成
    する請求項15に記載のシステム。
  17. 【請求項17】前記ユーザIDのリストが、リモート機
    能呼出しによってアクセスされることをさらに含む、請
    求項16に記載のシステム。
  18. 【請求項18】前記比較の前記結果に含まれるデータ
    が、前記通知を送る装置によって変更される、請求項1
    6に記載のシステム。
  19. 【請求項19】前記通知を送る装置が、前記通知を受け
    取る装置に通知を送り、前記通知が、 継続されるアクセス権の検証に関する確認要求と、 現在アクセス権を有する前記ユーザIDのそれぞれに関
    するユーザIDデータと、 応答に関するユーザ定義の時間制限とを含み、 前記通知を受け取る装置が、前記通知に対する応答に基
    づいて、前記継続されるアクセス権を検証することをさ
    らに含む、請求項16に記載のシステム。
  20. 【請求項20】前記通知が、第1通知および第2通知を
    含み、 前記第2通知が、前記時間制限までに前記第1通知に応
    答しなかった前記通知を受け取る装置に送られ、 さらに、前記第2通知が、応答に関する第2のユーザ定
    義の時間制限を含む請求項19に記載のシステム。
  21. 【請求項21】前記通知が、一意のパスコードを含み、
    前記パスコードが、通知を受け取る装置を識別する、請
    求項19に記載のシステム。
  22. 【請求項22】前記通知が、ネットワーク・ページへの
    リンクを含み、前記リンクの活動化が、前記パスコード
    の自動的な登録を引き起こす請求項21に記載のシステ
    ム。
  23. 【請求項23】前記継続されるアクセス権の前記検証
    が、前記通知を受け取る装置による前記検証の完了の確
    認を含み、前記完了が、検証結果および前記検証の日付
    の登録を引き起こす、請求項19に記載のシステム。
  24. 【請求項24】前記検証に関する要求に対する応答が前
    記時間制限内に前記通知を送る装置によって受け取られ
    かった前記ユーザIDが、その後、前記エンティティへ
    のアクセス権を拒否される請求項19に記載のシステ
    ム。
  25. 【請求項25】前記ユーザIDが、前記通知を送る装置
    によって手動でアクセス権を拒否される、請求項24に
    記載のシステム。
  26. 【請求項26】前記ユーザIDが、前記通知で規定され
    る前記時間制限の満了時に自動的にアクセス権を拒否さ
    れる、請求項24に記載のシステム。
  27. 【請求項27】アクセス権を拒否された前記ユーザID
    が、前記通知を送る装置による前記検証の要求に対する
    応答の後続の受取時に、自動的に復権される、請求項2
    4に記載のシステム。
  28. 【請求項28】アクセス権を拒否された前記ユーザID
    が、前記通知を送る装置による前記検証の要求に対する
    応答の後続の受取時に、手動で復権される、請求項24
    に記載のシステム。
  29. 【請求項29】前記検証の要求に対する応答が、前記通
    知を送る装置によって前記時間制限内に受け取られなか
    った前記ユーザIDが、前記通知を送る装置によって削
    除される請求項19に記載のシステム。
  30. 【請求項30】製造品であって、 ネットワーク内の複数の異なるタイプのエンティティに
    ついて、アクセス権を管理し、検証するのに使用され
    る、分散ネットワーク環境での管理機能を自動化するコ
    ンピュータ可読プログラム・コードをその中で実施され
    たコンピュータ使用可能媒体を含み、前記製造品内の上
    記コンピュータ可読プログラム・コードが、 ユーザIDのリストであって、前記ユーザIDが、少な
    くとも1つのシステムに関連する、ユーザIDのリスト
    を、コンピュータにコンパイルさせるコンピュータ可読
    プログラム・コードと、 コンピュータに住所録を取り出させるコンピュータ可読
    プログラム・コードと、 コンピュータに前記リスト内のデータを前記会社の住所
    録に含まれるデータと比較させるコンピュータ可読プロ
    グラム・コードであって、前記リスト内の無効なデータ
    にフラグが立てられる、比較させるコンピュータ可読プ
    ログラム・コードと、 コンピュータに、前記データの前記比較の結果に基づい
    て、ユーザ定義レポートを生成させるコンピュータ可読
    プログラム・コードとを含む、製造品。
  31. 【請求項31】コンピュータに、リモート機能呼出しを
    介して前記ユーザIDのリストにアクセスさせるコンピ
    ュータ可読プログラム・コードをさらに含む、請求項3
    0に記載の製造品。
  32. 【請求項32】コンピュータに、前記データの前記比較
    の前記結果に含まれるデータを変更させるコンピュータ
    可読プログラム・コードをさらに含む、請求項30に記
    載の製造品。
  33. 【請求項33】コンピュータに、通知を受け取る装置に
    通知を送らせるコンピュータ可読プログラム・コードで
    あって、前記通知が、 継続されるアクセス権の検証に関する確認要求と、 現在アクセス権を有する前記ユーザIDのそれぞれに関
    するユーザIDデータと、 前記要求への応答に関するユーザ定義の時間制限とを含
    む、通知を送らせるコンピュータ可読プログラム・コー
    ドと、 コンピュータに、前記通知を受け取る装置からの応答に
    基づいて、前記継続されるアクセス権を検証させるコン
    ピュータ可読プログラム・コードとをさらに含む、請求
    項30に記載の製造品。
  34. 【請求項34】前記通知が、第1通知および第2通知を
    含み、 前記第2通知が、前記時間制限までに前記第1通知に応
    答しなかった前記通知を受け取る装置に送られ、 さらに、前記第2通知が、応答に関する第2のユーザ定
    義の時間制限を含む請求項33に記載の製造品。
  35. 【請求項35】前記通知が、一意のパスコードを含み、
    前記パスコードが、通知を受け取る装置を識別する、請
    求項33に記載の製造品。
  36. 【請求項36】コンピュータに、前記通知にネットワー
    ク・ページへのリンクを提供させるコンピュータ可読プ
    ログラム・コードをさらに含み、前記リンクの活動化
    が、前記パスコードの自動的な登録を引き起こす請求項
    35に記載の製造品。
  37. 【請求項37】前記継続されるアクセス権の前記検証
    が、前記通知を受け取る装置による前記検証の完了の確
    認を含み、前記完了が、検証結果および前記検証の日付
    の登録を引き起こす、請求項33に記載の製造品。
  38. 【請求項38】コンピュータに、前記検証に関する要求
    に対する応答が受け取られない前記ユーザIDへのアク
    セス権を拒否させるコンピュータ可読プログラム・コー
    ドをさらに含む、請求項33に記載の製造品。
  39. 【請求項39】前記アクセス権の拒否が、手動で実行さ
    れる、請求項38に記載の製造品。
  40. 【請求項40】前記アクセス権の拒否が、前記通知で規
    定される前記時間制限の満了時に自動的に実行される、
    請求項38に記載の製造品。
  41. 【請求項41】前記アクセス権の拒否が、前記検証の要
    求に対する前記応答の後続の受取時に、自動的に逆転さ
    れる、請求項38に記載の製造品。
  42. 【請求項42】前記アクセス権の拒否が、前記検証の要
    求に対する前記応答の後続の受取時に、手動で逆転され
    る、請求項38に記載の製造品。
  43. 【請求項43】コンピュータに、前記検証の要求に対す
    る応答が受け取られない前記ユーザIDを削除させるコ
    ンピュータ可読プログラム・コードをさらに含む、請求
    項33に記載の製造品。
JP2001070288A 2000-03-14 2001-03-13 ネットワーク環境へのアクセスを検証する方法およびシステム Pending JP2001306522A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US52493600A 2000-03-14 2000-03-14
US09/524936 2000-03-14

Publications (1)

Publication Number Publication Date
JP2001306522A true JP2001306522A (ja) 2001-11-02

Family

ID=24091243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001070288A Pending JP2001306522A (ja) 2000-03-14 2001-03-13 ネットワーク環境へのアクセスを検証する方法およびシステム

Country Status (3)

Country Link
EP (1) EP1134644A3 (ja)
JP (1) JP2001306522A (ja)
KR (1) KR100358876B1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004199335A (ja) * 2002-12-18 2004-07-15 Fuji Xerox Co Ltd 接続制御システムおよび方法
JP2008033936A (ja) * 2006-07-31 2008-02-14 Fisher Rosemount Syst Inc 分散型ユーザ確認・プロファイル管理システム及び方法
WO2020153286A1 (ja) * 2019-01-25 2020-07-30 京セラドキュメントソリューションズ株式会社 認証システム

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7051102B2 (en) * 2002-04-29 2006-05-23 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) security infrastructure and method
US6941468B2 (en) * 2002-05-06 2005-09-06 Thomson Licensing Hand-held device forgotten password notification
DE10312774A1 (de) * 2003-03-21 2004-10-14 Deutsche Telekom Ag Verfahren und Kommunikationssystem zur Freigabe einer Datenverarbeitungseinheit
US20050060572A1 (en) * 2003-09-02 2005-03-17 Trulogica, Inc. System and method for managing access entitlements in a computing network

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5627967A (en) * 1991-09-24 1997-05-06 International Business Machines Corporation Automated generation on file access control system commands in a data processing system with front end processing of a master list
EP0907120A3 (en) * 1997-10-02 2004-03-24 Tumbleweed Software Corporation Method amd apparatus for delivering documents over an electronic network
US6167435A (en) * 1998-10-30 2000-12-26 Netcreations, Inc. Double opt-in™ method and system for verifying subscriptions to information distribution services

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004199335A (ja) * 2002-12-18 2004-07-15 Fuji Xerox Co Ltd 接続制御システムおよび方法
JP2008033936A (ja) * 2006-07-31 2008-02-14 Fisher Rosemount Syst Inc 分散型ユーザ確認・プロファイル管理システム及び方法
WO2020153286A1 (ja) * 2019-01-25 2020-07-30 京セラドキュメントソリューションズ株式会社 認証システム

Also Published As

Publication number Publication date
KR20010091899A (ko) 2001-10-23
KR100358876B1 (ko) 2002-11-01
EP1134644A2 (en) 2001-09-19
EP1134644A3 (en) 2004-08-18

Similar Documents

Publication Publication Date Title
US7886342B2 (en) Distributed environment controlled access facility
US9727744B2 (en) Automatic folder access management
US7467142B2 (en) Rule based data management
US7950049B2 (en) Hybrid meta-directory
US8375113B2 (en) Employing wrapper profiles
US6820082B1 (en) Rule based database security system and method
US9313207B2 (en) Apparatus and method for access validation
US7707623B2 (en) Self-service resource provisioning having collaborative compliance enforcement
US7447701B2 (en) Automatic configuration of attribute sets
US7308704B2 (en) Data structure for access control
US7350237B2 (en) Managing access control information
US7114037B2 (en) Employing local data stores to maintain data during workflows
KR100712569B1 (ko) 애플리케이션 기능으로의 액세스를 선택적으로 정의하는시스템 및 방법
US8799243B1 (en) System and method providing for regulatory compliance
JP2001506386A (ja) コンピュータが実行可能なワークフロー制御システム
US20100043051A1 (en) Identifying and resolving separation of duties conflicts in a multi-application environment
US20070208698A1 (en) Avoiding duplicate service requests
JP4292342B2 (ja) 電子承認システムにおける承認ルート決定方法及びプログラム
US20080294639A1 (en) System and Method For Delegating Program Management Authority
KR100358876B1 (ko) 네트워크 환경에의 액세스를 검증하기 위한 방법 및 시스템
EP0793184A2 (en) Method and apparatus for distributing work flow processes among a plurality of users
JP2005285008A (ja) データセキュリティ管理システム、プログラム、データセキュリティ管理方法
JP2005259104A (ja) データ管理装置、データ管理方法及びそのプログラム
JP2006085705A (ja) データ処理装置及び記憶媒体
US8176320B1 (en) System and method for data access and control

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041116

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20050128

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20050202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050802