JP2003006194A - データベースアクセス制御システム - Google Patents

データベースアクセス制御システム

Info

Publication number
JP2003006194A
JP2003006194A JP2001189331A JP2001189331A JP2003006194A JP 2003006194 A JP2003006194 A JP 2003006194A JP 2001189331 A JP2001189331 A JP 2001189331A JP 2001189331 A JP2001189331 A JP 2001189331A JP 2003006194 A JP2003006194 A JP 2003006194A
Authority
JP
Japan
Prior art keywords
user
data
access control
control information
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001189331A
Other languages
English (en)
Inventor
Takeshi Iwasaki
猛志 岩崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2001189331A priority Critical patent/JP2003006194A/ja
Publication of JP2003006194A publication Critical patent/JP2003006194A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

(57)【要約】 【課題】 ビューを定義することなく項目単位でのアク
セス権の設定を可能にする。 【解決手段】 ユーザ毎に、データウェアハウス1に登
録された各テーブルのアクセス権限情報が設定されたア
クセス権限テーブル8を予め定義する。アクセス権限情
報には、選択条件テーブル9に設定された選択条件への
ポインタと、項目毎にアクセス権限及びデータ加工式テ
ーブル10に登録されたデータ変換のためのデータ加工
式へのポインタが予め定義されている。クライアント3
からログインすると、当該ユーザのアクセス権限情報及
びテーブル一覧がサーバ2から送られて保存される。項
目名表示処理部15は、ユーザが選択したテーブルの全
項目名が送られてくるとアクセス権限情報を参照して表
示が許可された項目名のみを表示する。データ表示処理
部16は、ユーザが選択した項目、アクセス権限情報に
従い権限のある項目データを取り出すSQL文を生成
し、その結果を表示する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はデータベースアクセ
ス制御システム、特にユーザの属性に応じたデータへの
きめ細かなアクセス制御の実行に関する。
【0002】
【従来の技術】データウェアハウスを保持するデータベ
ースアクセス制御システムは、顧客管理や商品管理とい
ったエンドユーザの目的に応じて種々の情報を提供す
る。情報を提供する際には、蓄積したデータを加工して
ユーザが所望する形式にすることができる。従来におい
ては、例えば特開平11−282740号公報に示され
ているように、エンドユーザの要望に応えるためにユー
ザの目的に応じたビューを個々に定義し、そのビューに
対するアクセスの権限を設定している。そして、ログイ
ン時に指定するユーザIDによりユーザを判別し、デー
タウェアハウスアクセス時に当該ユーザ用に定義したビ
ューを適用することで、そのユーザが所望する項目デー
タにアクセスさせる一方、権限のないデータに対してア
クセスできないようにしている。アクセスの権限として
は、read,write,update,delet
e、createなどがあるが、一般にSQLというデ
ータベース言語を用いてアクセス権情報を設定し、アク
セス制御を行っている。あるいは、上位アプリケーショ
ン層でアクセス権情報を管理してアクセス制御を行う場
合もある。
【0003】
【発明が解決しようとする課題】しかしながら、従来に
おいてユーザ毎の項目データへのアクセス制御を実現す
るためには、ユーザ個々に対応させてビューを定義しな
ければならなかったので、その定義に要する作業負荷は
多大であった。また、ユーザが所望するデータ構成に変
更があった場合は、その都度ビューを再定義しなければ
ならなかったので、その作業負荷は多大であった。
【0004】また、例えば、あるユーザが2つの部署に
所属している場合、一方の部署のデータをアクセスする
には、その部署において付与されたユーザIDでログイ
ンすればよい。しかしながら、双方の部署それぞれで許
可されている項目データを併せて表示したいという場
合、従来においては、各部署において表示できる項目デ
ータを統合したビューを新たに定義し直さなければなら
なかったので面倒である。
【0005】また、ユーザによっては、例えば日本円
(金額)の項目データをドル建てで表示することを希望
する者もいるであろうが、従来においては、円をドル建
てに変換するようなアプリケーションは提供されていな
かった。従って、ドル建てで表示するには、同一データ
を日本円とドルという表示形式に合わせて保持するか、
ユーザが表示形式を変換するアプリケーションを独自に
作成しなければならなかった。
【0006】本発明は以上のような問題を解決するため
になされたものであり、その目的は、項目単位でのアク
セス権の設定を可能とすることできめ細かなアクセス制
御を、ビューを定義することなくより簡単に実現するこ
とのできるデータベースアクセス制御システムを提供す
ることにある。
【0007】更に、所望する形式で項目データを出力す
ることのできるユーザに便宜なデータベースアクセス制
御システムを提供することにある。
【0008】
【課題を解決するための手段】以上のような目的を達成
するために、本発明に係るデータベースアクセス制御シ
ステムは、複数のテーブルが蓄積されたデータウェアハ
ウスを有し、ユーザからのデータアクセス要求に応じて
当該ユーザのアクセス権に従い前記データウェアハウス
へアクセスするデータベースアクセス制御システムにお
いて、ユーザ毎に、各テーブルを構成するレコード単位
項目単位に設定されたアクセス制御情報を保持するアク
セス制御情報保持手段を有し、当該ユーザのデータアク
セス要求に基づき当該ユーザのアクセス制御情報に従い
データベースアクセス実行文を生成する実行文生成処理
手段と、前記実行文生成処理手段が生成したデータベー
スアクセス実行文を実行することによって前記データウ
ェアハウスをアクセスするデータベース管理手段とを有
し、各テーブルを構成するレコード毎項目毎に各ユーザ
に対するアクセス権を設定可能にしたものである。
【0009】また、前記アクセス制御情報保持手段は、
ユーザ毎の各テーブルを構成する項目毎に設定されたア
クセス権限情報を保持するアクセス権限情報保持部と、
テーブルを構成するレコードの中から当該ユーザがアク
セス可能なレコードを選択することによってユーザ毎の
レコードアクセスの可否を保持する選択条件情報保持部
とを有するものである。
【0010】更にまた、前記データウェアハウスから取
得された項目データを出力するデータ出力処理手段を有
し、前記アクセス制御情報保持手段は、当該データを他
の出力形式に変換するデータ加工情報を保持するデータ
加工情報保持部を有し、前記データ出力処理手段は、ユ
ーザのデータアクセス要求に基づき前記データウェアハ
ウスから取得された項目データを、当該ユーザの当該項
目データに対応付けして設定されたデータ加工情報に従
いデータ変換するデータ加工処理部を有するものであ
る。
【0011】また、前記データウェアハウス、前記アク
セス制御情報保持手段及び前記データベース管理手段を
有するサーバと、前記実行文生成処理手段及び前記デー
タ出力処理手段を有し、ユーザが前記データウェアハウ
スへアクセスする際に使用されるクライアントとを有
し、前記サーバは、前記クライアントからのユーザログ
イン時に当該ユーザに関連するアクセス制御情報を前記
クライアントへ送信するアクセス制御情報送信処理手段
を有し、前記クライアントは、アクセス制御情報を保持
するログインユーザアクセス制御情報保持手段と、ユー
ザ識別情報を指定したログイン時に前記アクセス制御情
報送信処理手段から送られてくるアクセス制御情報を前
記ログインユーザアクセス制御情報保持手段へ書き込む
アクセス制御情報取得処理手段とを有し、前記実行文生
成処理手段は、ユーザが指定したデータアクセス要求及
び前記ログインユーザアクセス制御情報保持手段で保持
されているアクセス制御情報に基づきデータベースアク
セス実行文を自動生成するものである。
【0012】更にまた、前記アクセス制御情報取得処理
手段は、第1のユーザ識別情報を指定してログインされ
ているときに第2のユーザ識別情報を指定して更にログ
インされたとき、前記アクセス制御情報送信処理手段か
ら送られてきた第2のユーザ識別情報に対応したアクセ
ス制御情報と、前記ログインユーザアクセス制御情報保
持手段に設定されているアクセス制御情報との論理和に
より各項目データのアクセス権を合成して設定するもの
である。
【0013】
【発明の実施の形態】以下、図面に基づいて、本発明の
好適な実施の形態について説明する。
【0014】図1は、本発明に係るデータベースアクセ
ス制御システムの一実施の形態を示した構成図である。
本実施の形態におけるデータベースアクセス制御システ
ムは、搭載したデータウェアハウス1に対するアクセス
制御を実行するサーバ2と、データウェアハウス1に対
してアクセスするクライアント3とを有している。クラ
イアント3は、1乃至複数台搭載されているが、図1に
は、1台のみを図示している。
【0015】本実施の形態におけるデータウェアハウス
1には、テーブル#1〜#nのn個のテーブル4が蓄積
されているものとする。このうちのテーブル#1は、図
2に例示したように6行4列のテーブル(4項目に対し
て6レコード)で構成されている。図2には、あるユー
ザ(例えば“u1”)のテーブル#1に対するアクセス
権の設定例が示されているが、図2では、2,4行目の
レコードの項目1の項目データに対しては参照のみ、同
行の項目2,3の項目データに対しては参照及び更新が
でき、その他の項目データに対してはアクセスできない
アクセス権が設定されていることを例示している。本実
施の形態では、このようにユーザ毎に、各テーブル4に
対してレコード毎項目毎にきめ細かなアクセス権を簡便
に設定できるようにしたことを特徴としている。
【0016】図1において、サーバ2は、DBMS(D
ataBase Management Syste
m)5、ログイン処理部6及びアクセス制御情報保持手
段7を有している。アクセス制御情報保持手段7には、
各テーブル4を構成するレコード単位項目単位にユーザ
毎に設定されたアクセス制御情報が保持されている。ア
クセス制御情報は、アクセス権限テーブル8、選択条件
テーブル9及びデータ加工式テーブル10に分類保持さ
れている。アクセス権限テーブル8には、各テーブル4
を構成する各レコード各項目に設定されたアクセス権限
情報がユーザ毎に設定されている。選択条件テーブル9
には、テーブル4を構成するレコードの中から当該ユー
ザがアクセス可能なレコードを選択することによって当
該ユーザによる各レコードへのアクセスの可否が設定さ
れる。データ加工式テーブル10には、データウェアハ
ウス1に蓄積されている項目データを他の出力形式に変
換するための規則がデータ加工式で表現され保持されて
いる。
【0017】DBMS5は、ログイン処理部6あるいは
クライアント3からの要求に含まれているデータベース
アクセス実行文を実行することによってデータウェアハ
ウス1をアクセスする。本実施の形態におけるDBMS
5は、汎用的なシステムを使用することができる。な
お、データベースアクセス実行文を記述するデータベー
ス言語として本実施の形態では、SQLを用いる。ログ
イン処理部6は、クライアント3からユーザIDが指定
されたログイン要求に応じてユーザ認証(ログイン許
可)を実行するという一般的な処理機能に加えて、アク
セス制御情報送信処理部11及びテーブルリスト送信処
理部12により実行される処理機能を有している。アク
セス制御情報送信処理部11は、ユーザ認証後に当該ユ
ーザに関連するアクセス制御情報をアクセス制御情報保
持手段7から取り出してクライアント3へ送信する。テ
ーブルリスト送信処理部12は、ユーザ認証後にデータ
ウェアハウス1に蓄積されているテーブル4の名称一覧
をクライアント3へ送信する。
【0018】一方、クライアント3は、ログイン要求処
理部13、ログインユーザアクセス制御情報保持手段1
4、項目名表示処理部15及びデータ表示処理部16を
有している。ログイン要求処理部13は、データウェア
ハウス1へのアクセスを実行するためにユーザIDを指
定したログイン要求をサーバ2へ送信してログインする
という一般的な処理機能に加えて、アクセス制御情報取
得処理部17及びテーブルリスト取得処理部18により
実行される処理機能を有している。アクセス制御情報取
得処理部17は、アクセス制御情報送信処理部11から
送られてくる指定ユーザIDに対応したアクセス制御情
報をログインユーザアクセス制御情報保持手段14へ書
き込む。テーブルリスト取得処理部18は、テーブルリ
スト送信処理部12から送られてくるテーブルリストを
受け取る。
【0019】項目名表示処理部15は、テーブルリスト
取得処理部18が取得し、画面表示されたテーブルリス
トの中から選択されたテーブル4を構成する項目名一覧
をサーバ2から取得し、アクセス権限情報に従い表示す
る。データ表示処理部16は、ユーザからの要求に応じ
てアクセス制御情報に従い該当する項目データをサーバ
2から取得し画面表示する。データ表示処理部16に
は、実行文生成処理部19とデータ加工処理部20とが
含まれている。実行文生成処理部19は、画面表示され
た項目名リストの中からユーザにより選択された項目、
ユーザにより指定された検索条件を含むデータアクセス
要求、更には当該ユーザのアクセス制御情報に基づきS
QLを生成する。データ加工処理部20は、サーバ2か
ら取得された項目データを、当該項目データに対応付け
して設定されたデータ加工式に従いデータ変換する。
【0020】なお、本実施の形態では、データを表示す
るためにSelect文によりデータウェアハウス1か
らデータを取り出すことをデータベースアクセスの一例
として説明するので、データベースアクセスを実行する
構成要素としてデータ表示処理部16のみを明示してい
る。
【0021】図3は、本実施の形態におけるアクセス制
御情報保持手段7に予め設定される各テーブル8,9,
10のデータ構造並びに関係を示した図である。アクセ
ス権限テーブル8には、各テーブル4に対するアクセス
権限情報がユーザ毎に予め定義されている。各アクセス
権限情報には、当該テーブル4を構成する各項目に対す
る権限値と、選択条件テーブル9へのアドレスポインタ
とが設定される。本実施の形態においては、権限値を設
定することによって当該テーブル4を構成する各項目へ
のアクセス権限を定義する。
【0022】一方、選択条件テーブル9には、当該テー
ブル4を構成する各レコードへのアクセスの可否が設定
されている。本実施の形態では、SQL文のWhere
句を選択条件として定義しておく。これにより、Whe
re句に該当したレコードのみを当該テーブル4から抽
出することができる。換言すると、Where句により
選択されないレコードに対する当該ユーザのアクセス
は、禁止されているということができる。
【0023】本実施の形態においては、選択条件テーブ
ル9に予め定義された該当する選択条件へのポインタ情
報をアクセス権限情報に設定することによって、アクセ
ス権限情報を参照すれば、該当ユーザの該当するテーブ
ル4へのアクセス制御を行うことができる。特に、本実
施の形態では、アクセス権限情報を設定することによっ
てビューを定義しなくてもレコード毎項目毎のきめ細か
なアクセス制御を行うことができる。
【0024】権限値は、項目毎に設定するが、本実施の
形態では、各項目の権限値を32ビットで形成してい
る。このうち、下位16ビットの権限値設定領域21で
実際のアクセス権を定義している。アクセス権として
は、一般にSelect,Update,Delet
e,Insertなどがあるので、それぞれに1ビット
ずつ割り当てる。そして、各ビットには、権限を付与す
るのであればセット(1)し、権限を付与しないのであ
ればクリア(0)する。また、本実施の形態では、項目
データの上記アクセス権のみならず、新たなアクセス
権、あるいはアクセス権と同等に扱うことのできる権限
を事前に定義し、その権限にもビットを割り付けること
ができる。例えば、項目データ自体へのアクセスは不可
でも項目名称のみの表示は許可するなどのアクセス権を
設定し、未使用のビットを割り当てることをすれば、種
々のアクセス権を設定することができる。本実施の形態
では、各アクセス権の設定をフラグで行うようにしたの
で、極めて簡単にアクセス権を定義することができる。
【0025】また、権限値の上位16ビットに配置され
たデータ加工ポインタ情報領域22は、データ加工式テ
ーブル10のアドレスポインタとアドレスポインタ設定
領域22aへの設定値の有効/無効を表す1ビットのフ
ラグ22bとで構成されている。データ加工式テーブル
10には、例えば日本円の項目データをドルへ変換する
加工式等が予め設定されている。あるユーザが日本円
(金額)の項目データを表示する際には日本円ではなく
ドル建てで表示したいときに、データ加工式テーブル1
0に設定されている日本円からドルへ変換するデータ加
工式を実行することで当該項目データをドル建てで表示
することができる。このような表示形式を変換したいと
きには、所望のデータ加工式が設定されているデータ加
工式テーブル10のアドレスをアドレスポインタ設定領
域22aへ設定し、フラグ22bをセット(1)してお
けばよい。このようにすることで、ドル建ての項目を新
たに設ける必要はなく、また、ユーザ側で日本円をドル
に変換するアプリケーションを作成する必要もない。
【0026】次に、本実施の形態におけるデータアクセ
ス制御について図4に示したフローチャートを用いて説
明する。本実施の形態では、クライアント3の画面上に
データを表示するためにデータウェアハウス1に対して
アクセスする場合を例にして説明する。
【0027】クライアント3のユーザは、まずユーザI
Dを指定してサーバ2にログインしようとする。ログイ
ン要求処理部13は、ユーザにより入力されたユーザI
Dを付加してログイン要求をサーバ2へ送信する(ステ
ップ101)。
【0028】サーバ2のログイン処理部6は、ユーザI
Dをチェックしユーザ認証を行う(ステップ201)。
ユーザ認証自体は、本発明の要旨ではなく従来からある
手法を利用することができる。ユーザ認証後、本実施の
形態におけるアクセス制御情報送信処理部11は、ログ
インしたユーザIDにより特定されるユーザのアクセス
権限情報をアクセス権限テーブル8から取り出す。取り
出すのは、当該ユーザに設定されている全テーブル#1
〜#nのアクセス権限情報である。更に、アクセス制御
情報送信処理部11は、各アクセス権限情報に設定され
ているアドレスポインタにより関連付けられている選択
条件及びデータ加工式をそれぞれ選択条件テーブル9及
びデータ加工式テーブル10から取り出す。そして、当
該ユーザのアクセス制御情報としてクライアント3へ送
信する。一方、テーブルリスト送信処理部12は、デー
タウェアハウス1に蓄積されている全てのテーブルの番
号及び名称をDBMS5を介して抽出し、テーブル名一
覧としてクライアント3へ送信する(ステップ20
2)。
【0029】クライアント3のアクセス制御情報取得処
理部17及びテーブルリスト取得処理部18は、サーバ
2から送られてきた当該ユーザのアクセス制御情報とテ
ーブル名一覧をそれぞれ取得し、当該ユーザのアクセス
制御情報をログインユーザアクセス制御情報保持手段1
4に保存する(ステップ102)。このとき、アドレス
権限情報に設定されている選択条件及びデータ加工式へ
のアドレスポインタ値は、選択条件テーブル9及びデー
タ加工式テーブル10における格納先アドレスであるた
め、クライアント3側においてそれぞれを関連付けるた
めには適当に変更する必要がある。あるいは、ログイン
ユーザアクセス制御情報保持手段14に保存する際のデ
ータ構造をクライアント3独自のものにしてもよい。な
お、既にログインしているときに更に他のユーザIDを
指定してログインするという、本実施の形態において特
徴的な追加ログインについては後述する。
【0030】ユーザは、表示させたいデータの項目名を
取得するためにそのデータを含むテーブル番号を指定し
て項目名取得要求を出す。もし、テーブル番号が指定さ
れていなければ、テーブル名一覧をクライアント3の画
面に表示して選択させる。項目名表示処理部15は、選
択されたテーブルの番号をサーバ2へ送信する(ステッ
プ105)。
【0031】サーバ2のDBMS5は、クライアント3
から送られてきたテーブル番号をキーにしてデータウェ
アハウス1を検索することで当該テーブルに含まれる全
ての項目名を抽出して項目名一覧としてクライアント3
へ送信する(ステップ203)。
【0032】クライアント3の項目名表示処理部15
は、サーバ2から項目名一覧が送られてくると、それを
画面に表示する(ステップ106)。但し、送られてく
るのは全ての項目名なので、項目名表示処理部15は、
ログインユーザアクセス制御情報保持手段14に登録さ
れている該当するテーブルのアクセス権限情報の権限値
を参照して、項目名表示というアクセス権が設定されて
いるかをサーバ2から取得した全ての項目名に対してチ
ェックする。そして、表示可とされた項目名であれば画
面表示し、表示不可とされた項目名であれば画面表示さ
れない。この表示例を図5に示す。
【0033】図5は、項目名表示処理部15が表示する
項目名表示画面の例を示した図である。項目名表示処理
部15は、サーバ2から送られてきた項目名を表示しよ
うとするが、上記説明したように項目名表示という権限
のない項目名23を表示しない。すなわち、項目の存在
自体をユーザに示さない。従って、ユーザにより選択さ
れたテーブル#iに含まれている全項目1〜nのうち
“項目i”に続く2つの項目の名称は、画面表示されな
い。
【0034】ユーザは、取得したいデータをこの画面か
ら選択することになるが、項目名表示処理部15は、ユ
ーザにより項目を選択させるためにチェックボックス2
4を生成して表示する。チェックボックス24を表示す
るとき、項目名表示処理部15は、各項目に対応した権
限値に設定されているアクセス権“Select”を参
照し、データウェアハウス1からデータを取得できるか
否かを判断する。アクセス権“Select”のある項
目であれば、選択用のチェックボックス24を対応させ
て表示し、ない項目であれば、チェックボックス24を
表示しない。図5に示した例によると、当該ユーザは、
“項目i−1”に対しては項目名表示のアクセス権はあ
るけれども“Select”のアクセス権はない項目で
あることがわかる。
【0035】図5に示した例では、更に条件入力フィー
ルド25が示されているが、ユーザは、検索条件を指定
したければ、ここにSQL構文に合致した形式で条件を
記載する。また、図5に示した表示型という項目は、デ
ータ加工式の設定があることを示している。
【0036】データ表示処理部16は、ユーザにより実
行ボタン26が押下されると、SQL文を自動生成した
後、サーバ2へ送信する(ステップ107)。ここで、
SQL文を生成する実行文生成処理部19の作用につい
てより詳細に説明すると、Select文“Select 項
目 from テーブル where 条件”の「項目」には、ユー
ザが項目名表示画面から選択した1乃至複数の項目名を
当てはめる。「テーブル」にはステップ105で選択さ
れたテーブル名、「条件」を指定するwhere句に
は、ログインユーザアクセス制御情報保持手段14に登
録されている対応する選択条件が存在すれば、それを当
てはめる。また、ユーザが項目名表示画面から条件を入
力していれば、where句において選択条件に“an
d”でつなげる。実行文生成処理部19は、以上のよう
にしてSQL文を自動生成するが、送られてきた項目デ
ータの中から表示する項目データを絞り込むのではなく
項目データを取り出すSQL文生成時に項目データの絞
込みを行うようにしたので、クライアントサーバ間のネ
ットワーク通信負荷を軽減することができる。
【0037】サーバ2のDBMS5は、クライアント3
からSQL文が送られてくると、それを実行することで
データウェアハウス1を検索して該当する項目データを
取り出すと、その実行結果をクライアント3へ送信する
(ステップ204)。
【0038】クライアント2のデータ表示処理部16
は、サーバ2から実行結果を受け取ると、所定の画面に
表示する。このとき、受け取った項目にデータ加工式が
割り付けられているかどうかをチェックする。つまり、
図3を用いて上述したように、当該項目のデータ加工式
ポインタ情報に含まれているフラグ22bがセットされ
ていれば、データ加工処理部20は、対応するデータ加
工式を実行することで受け取った項目データを所定の表
示形式に変換する(ステップ108)。図5に示した例
によると、日本円形式のデータである“項目2”には、
データ加工式が設定されており、ユーザが選択したとき
には、金額はドル建てに変換されることになる。このよ
うにして、データ表示処理部16は、アクセス権限情報
への設定内容に従い必要に応じて項目データに変換した
後に所定の画面に表示する(ステップ109)。
【0039】本実施の形態によれば、アクセス権限情
報、選択条件、データ加工式を予め定義しておくことで
ビューを用いなくてもレコード毎項目毎にきめ細かなア
クセス制御を実行することができる。
【0040】次に、本実施の形態の特徴の一つでもある
追加ログインについて説明する。
【0041】図4のステップ101において、クライア
ント3からログイン要求を発行してサーバ2にログイン
したとする。このログインは、サーバ2への最初のログ
インではなくて既にログインしている状態において更に
ログインしたとする。つまり、ユーザID“u1”でロ
グインしているときに他のユーザID“u2”を指定し
てログインすると言うことである。追加ログインしたと
きにアクセス権について図6を用いて説明する。
【0042】図6には、アクセス権としてユーザID
“u1”には“Select”のみが、ユーザID“u
2”には“Select”及び“Update”が、そ
れぞれ付与されていることが示されている。ユーザID
“u1”でログインしているユーザがユーザID“u
2”で追加ログインしたとき、本実施の形態において
は、各ユーザIDのアクセス権の論理和をとることで新
たなアクセス権を形成する。図4に示した処理の流れに
沿って追加ログインについて説明すると、ユーザID
“u1”でサーバ2に最初にログインしたときには、上
述したようにユーザID“u1”のアクセス権限情報が
ログインユーザアクセス制御情報保持手段14に登録さ
れる。この後、当該ユーザがユーザID“u2”で追加
ログインしたとき(ステップ103)、アクセス制御情
報取得処理部17は、ログインユーザアクセス制御情報
保持手段14に既に登録されているアクセス権限情報
に、ユーザID“u2”のアクセス権限情報をアペンド
することで更新し、ログインユーザアクセス制御情報保
持手段14に保存する(ステップ104)。
【0043】例えば、A課とB課の双方に所属するユー
ザが各課からそれぞれユーザID“u1”,“u2”が
付与されたとする。このとき、ユーザID“u1”でロ
グインしているときにB課におけるデータをも参照した
いためにユーザID“u2”でログインする。ユーザI
D“u2”でログインしたことにより、従来であれば、
B課のデータは参照できるようになるが、A課のデータ
は参照できなくなる。そこで、本実施の形態において
は、前述したようにログインした各ユーザIDのアクセ
ス権を合成していくようにしたので、A課及びB課双方
のデータをアクセスすることができる。これは、所属課
という同列の関係のみならず、A課従業員、A課の課
長、部長と階層的な関係の場合にも適用することができ
る。なお、ここでは、2つの課の場合で例示したが、3
以上であっても適用することができる。また、本実施の
形態において説明したように、アクセス権限情報の論理
和を取り合成することが一般的な用い方であると考えら
れるが、場合によっては論理積等を求めるような使い方
もすることはできる。あるいは、従来のように上書きす
るような方法と選択できるようにしてもよい。
【0044】
【発明の効果】本発明によれば、ビューを定義すること
なくテーブル内のレコード毎項目毎にきめ細かなアクセ
ス権限の設定、管理を容易に行うことができる。
【0045】また、項目データを変換するデータ加工情
報をその項目データに対応させて設定できるようにした
ので、データウェアハウスに蓄積されているのと異なる
形式で項目データを変換し表示することを簡単に実現す
ることができる。
【0046】また、異なるユーザ識別情報により重複し
てログインをしたときに、各ユーザ識別情報に割り当て
られたアクセス権を合成して新たなアクセス権を設定す
るようにしたので、一ユーザが複数のユーザ識別情報を
使用する場合のアクセス権限の設定を容易に行うことが
できる。
【図面の簡単な説明】
【図1】 本発明に係るデータベースアクセス制御シス
テムの一実施の形態を示した構成図である。
【図2】 本実施の形態におけるデータウェアハウスに
蓄積されるテーブルのデータ構成例を示した図である。
【図3】 本実施の形態におけるアクセス制御情報保持
手段に予め設定される各テーブルのデータ構造並びに関
係を示した図である。
【図4】 本実施の形態におけるデータアクセス制御の
処理の流れを示したフローチャートである。
【図5】 本実施の形態における項目名表示処理部が表
示する項目名表示画面の例を示した図である。
【図6】 本実施の形態における追加ログインによるア
クセス権限の合成の例を示した図である。
【符号の説明】
1 データウェアハウス、2 サーバ、3 クライアン
ト、4 テーブル、5DBMS、6 ログイン処理部、
7 アクセス制御情報保持手段、8 アクセス権限テー
ブル、9 選択条件テーブル、10 データ加工式テー
ブル、11アクセス制御情報送信処理部、12 テーブ
ルリスト送信処理部、13 ログイン要求処理部、14
ログインユーザアクセス制御情報保持手段、15 項
目名表示処理部、16 データ表示処理部、17 アク
セス制御情報取得処理部、18 テーブルリスト取得処
理部、19 実行文生成処理部、20 データ加工処理
部、21 権限値設定領域、22 データ加工ポインタ
情報領域、22a アドレスポインタ設定領域、22b
フラグ、23 項目名、24 チェックボックス、2
5 条件入力フィールド、26 実行ボタン。

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 複数のテーブルが蓄積されたデータウェ
    アハウスを有し、ユーザからのデータアクセス要求に応
    じて当該ユーザのアクセス権に従い前記データウェアハ
    ウスへアクセスするデータベースアクセス制御システム
    において、 ユーザ毎に、各テーブルを構成するレコード単位項目単
    位に設定されたアクセス制御情報を保持するアクセス制
    御情報保持手段を有し、 当該ユーザのデータアクセス要求に基づき当該ユーザの
    アクセス制御情報に従いデータベースアクセス実行文を
    生成する実行文生成処理手段と、 前記実行文生成処理手段が生成したデータベースアクセ
    ス実行文を実行することによって前記データウェアハウ
    スをアクセスするデータベース管理手段と、 を有し、各テーブルを構成するレコード毎項目毎に各ユ
    ーザに対するアクセス権を設定可能にしたことを特徴と
    するデータベースアクセス制御システム。
  2. 【請求項2】 前記アクセス制御情報保持手段は、 ユーザ毎の各テーブルを構成する項目毎に設定されたア
    クセス権限情報を保持するアクセス権限情報保持部と、 テーブルを構成するレコードの中から当該ユーザがアク
    セス可能なレコードを選択することによってユーザ毎の
    レコードアクセスの可否を保持する選択条件情報保持部
    と、 を有することを特徴とする請求項1記載のデータベース
    アクセス制御システム。
  3. 【請求項3】 前記データウェアハウスから取得された
    項目データを出力するデータ出力処理手段を有し、 前記アクセス制御情報保持手段は、当該データを他の出
    力形式に変換するデータ加工情報を保持するデータ加工
    情報保持部を有し、 前記データ出力処理手段は、ユーザのデータアクセス要
    求に基づき前記データウェアハウスから取得された項目
    データを、当該ユーザの当該項目データに対応付けして
    設定されたデータ加工情報に従いデータ変換するデータ
    加工処理部を有することを特徴とする請求項2記載のデ
    ータベースアクセス制御システム。
  4. 【請求項4】 前記データウェアハウス、前記アクセス
    制御情報保持手段及び前記データベース管理手段を有す
    るサーバと、 前記実行文生成処理手段及び前記データ出力処理手段を
    有し、ユーザが前記データウェアハウスへアクセスする
    際に使用されるクライアントと、を有し、 前記サーバは、前記クライアントからのユーザログイン
    時に当該ユーザに関連するアクセス制御情報を前記クラ
    イアントへ送信するアクセス制御情報送信処理手段を有
    し、 前記クライアントは、 アクセス制御情報を保持するログインユーザアクセス制
    御情報保持手段と、 ユーザ識別情報を指定したログイン時に前記アクセス制
    御情報送信処理手段から送られてくるアクセス制御情報
    を前記ログインユーザアクセス制御情報保持手段へ書き
    込むアクセス制御情報取得処理手段と、 を有し、 前記実行文生成処理手段は、ユーザが指定したデータア
    クセス要求及び前記ログインユーザアクセス制御情報保
    持手段で保持されているアクセス制御情報に基づきデー
    タベースアクセス実行文を自動生成することを特徴とす
    る請求項1記載のデータベースアクセス制御システム。
  5. 【請求項5】 前記アクセス制御情報取得処理手段は、
    第1のユーザ識別情報を指定してログインされていると
    きに第2のユーザ識別情報を指定して更にログインされ
    たとき、前記アクセス制御情報送信処理手段から送られ
    てきた第2のユーザ識別情報に対応したアクセス制御情
    報と、前記ログインユーザアクセス制御情報保持手段に
    設定されているアクセス制御情報との論理和により各項
    目データのアクセス権を合成して設定することを特徴と
    する請求項4記載のデータベースアクセス制御システ
    ム。
JP2001189331A 2001-06-22 2001-06-22 データベースアクセス制御システム Pending JP2003006194A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001189331A JP2003006194A (ja) 2001-06-22 2001-06-22 データベースアクセス制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001189331A JP2003006194A (ja) 2001-06-22 2001-06-22 データベースアクセス制御システム

Publications (1)

Publication Number Publication Date
JP2003006194A true JP2003006194A (ja) 2003-01-10

Family

ID=19028273

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001189331A Pending JP2003006194A (ja) 2001-06-22 2001-06-22 データベースアクセス制御システム

Country Status (1)

Country Link
JP (1) JP2003006194A (ja)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004341896A (ja) * 2003-05-16 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ
JP2005182527A (ja) * 2003-12-19 2005-07-07 Denso Corp 知財管理支援システム
JP2006164123A (ja) * 2004-12-10 2006-06-22 Fuji Xerox Co Ltd 文書検索装置および方法
WO2006082957A1 (ja) * 2005-02-07 2006-08-10 Kumazawa, Noboru 長寿保険システムおよびその方法
JP2006301858A (ja) * 2005-04-19 2006-11-02 Ricoh Co Ltd 表示情報生成装置、プログラム及びコンピュータ読み取り可能な記録媒体
JP2006350464A (ja) * 2005-06-13 2006-12-28 Nec Corp データ収集システム、データ抽出サーバ、データ収集方法及びデータ収集プログラム
JP2007097693A (ja) * 2005-09-30 2007-04-19 Fujifilm Corp 解像度可変型x線撮像装置及びx線ct装置
JP2007141022A (ja) * 2005-11-21 2007-06-07 Hitachi Information Systems Ltd データファイルのバーチャル更新・照会方法、およびシステム、ならびにそのプログラム
JP2008165428A (ja) * 2006-12-27 2008-07-17 Fujitsu Ltd 電子ファイルシステム、操作装置、承認装置及びコンピュータプログラム
JP2008529184A (ja) * 2005-02-04 2008-07-31 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 認可ドメインを作成する方法、装置、システム及びトークン
JP2010009412A (ja) * 2008-06-27 2010-01-14 Canon Marketing Japan Inc 情報処理装置、電子帳票管理システムおよびその帳票検索方法、並びにプログラム
KR100961813B1 (ko) 2006-01-05 2010-06-08 인터내셔널 비지네스 머신즈 코포레이션 포커스 데이터에 근거한 동적 인증
JP2010218089A (ja) * 2009-03-16 2010-09-30 Konica Minolta Business Technologies Inc 画像形成装置、機能拡張方法およびユーザ認証システム
JP2012141680A (ja) * 2010-12-28 2012-07-26 Yahoo Japan Corp 新規投稿情報表示装置及び方法
JP2013134731A (ja) * 2011-12-27 2013-07-08 Nippon Telegr & Teleph Corp <Ntt> データ蓄積システムとそのデータアクセス制御方法
JP2014078059A (ja) * 2012-10-09 2014-05-01 Mitsubishi Electric Corp データベース処理装置、データベース処理方法、及びプログラム
JP2015535622A (ja) * 2012-11-09 2015-12-14 マイクロソフト コーポレーション 予め定義されたクエリーによる表示のフィルタリング
JP2016066307A (ja) * 2014-09-25 2016-04-28 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation データベースへのアクセスを制御する装置及び方法
JP2017525072A (ja) * 2014-06-20 2017-08-31 アマゾン テクノロジーズ インコーポレイテッド 組み込み可能なクラウド分析
JP2017219880A (ja) * 2016-06-02 2017-12-14 三菱電機株式会社 認可システム、アクセス制御方法およびアクセス制御プログラム
CN109815284A (zh) * 2019-01-04 2019-05-28 平安科技(深圳)有限公司 一种数据处理的方法和装置
US10430438B2 (en) 2014-06-20 2019-10-01 Amazon Technologies, Inc. Dynamic n-dimensional cubes for hosted analytics
US10769175B1 (en) 2014-06-20 2020-09-08 Amazon Technologies, Inc. Real-time hosted system analytics
US11868372B1 (en) 2014-06-20 2024-01-09 Amazon Technologies, Inc. Automated hierarchy detection for cloud-based analytics

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004341896A (ja) * 2003-05-16 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ
JP2005182527A (ja) * 2003-12-19 2005-07-07 Denso Corp 知財管理支援システム
JP2006164123A (ja) * 2004-12-10 2006-06-22 Fuji Xerox Co Ltd 文書検索装置および方法
JP2008529184A (ja) * 2005-02-04 2008-07-31 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 認可ドメインを作成する方法、装置、システム及びトークン
WO2006082957A1 (ja) * 2005-02-07 2006-08-10 Kumazawa, Noboru 長寿保険システムおよびその方法
JP2006301858A (ja) * 2005-04-19 2006-11-02 Ricoh Co Ltd 表示情報生成装置、プログラム及びコンピュータ読み取り可能な記録媒体
JP2006350464A (ja) * 2005-06-13 2006-12-28 Nec Corp データ収集システム、データ抽出サーバ、データ収集方法及びデータ収集プログラム
JP2007097693A (ja) * 2005-09-30 2007-04-19 Fujifilm Corp 解像度可変型x線撮像装置及びx線ct装置
JP4669768B2 (ja) * 2005-09-30 2011-04-13 富士フイルム株式会社 解像度可変型x線撮像装置及びx線ct装置
JP2007141022A (ja) * 2005-11-21 2007-06-07 Hitachi Information Systems Ltd データファイルのバーチャル更新・照会方法、およびシステム、ならびにそのプログラム
KR100961813B1 (ko) 2006-01-05 2010-06-08 인터내셔널 비지네스 머신즈 코포레이션 포커스 데이터에 근거한 동적 인증
JP2008165428A (ja) * 2006-12-27 2008-07-17 Fujitsu Ltd 電子ファイルシステム、操作装置、承認装置及びコンピュータプログラム
JP2010009412A (ja) * 2008-06-27 2010-01-14 Canon Marketing Japan Inc 情報処理装置、電子帳票管理システムおよびその帳票検索方法、並びにプログラム
JP2010218089A (ja) * 2009-03-16 2010-09-30 Konica Minolta Business Technologies Inc 画像形成装置、機能拡張方法およびユーザ認証システム
JP4743297B2 (ja) * 2009-03-16 2011-08-10 コニカミノルタビジネステクノロジーズ株式会社 画像形成装置、機能拡張方法およびユーザ認証システム
US8151362B2 (en) 2009-03-16 2012-04-03 Konica Minolta Business Technologies, Inc. Image forming apparatus, function extending method and user authentication system
JP2012141680A (ja) * 2010-12-28 2012-07-26 Yahoo Japan Corp 新規投稿情報表示装置及び方法
JP2013134731A (ja) * 2011-12-27 2013-07-08 Nippon Telegr & Teleph Corp <Ntt> データ蓄積システムとそのデータアクセス制御方法
JP2014078059A (ja) * 2012-10-09 2014-05-01 Mitsubishi Electric Corp データベース処理装置、データベース処理方法、及びプログラム
JP2015535622A (ja) * 2012-11-09 2015-12-14 マイクロソフト コーポレーション 予め定義されたクエリーによる表示のフィルタリング
US10430438B2 (en) 2014-06-20 2019-10-01 Amazon Technologies, Inc. Dynamic n-dimensional cubes for hosted analytics
JP2017525072A (ja) * 2014-06-20 2017-08-31 アマゾン テクノロジーズ インコーポレイテッド 組み込み可能なクラウド分析
US10162876B1 (en) 2014-06-20 2018-12-25 Amazon Technologies, Inc. Embeddable cloud analytics
US10769175B1 (en) 2014-06-20 2020-09-08 Amazon Technologies, Inc. Real-time hosted system analytics
US10776397B2 (en) 2014-06-20 2020-09-15 Amazon Technologies, Inc. Data interest estimation for n-dimensional cube computations
US10812551B1 (en) 2014-06-20 2020-10-20 Amazon Technologies, Inc. Dynamic detection of data correlations based on realtime data
US11868372B1 (en) 2014-06-20 2024-01-09 Amazon Technologies, Inc. Automated hierarchy detection for cloud-based analytics
US10339329B2 (en) 2014-09-25 2019-07-02 International Business Machines Corporation Controlling access to data in a database
JP2016066307A (ja) * 2014-09-25 2016-04-28 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation データベースへのアクセスを制御する装置及び方法
US11036878B2 (en) 2014-09-25 2021-06-15 International Business Machines Corporation Controlling access to data in a database
JP2017219880A (ja) * 2016-06-02 2017-12-14 三菱電機株式会社 認可システム、アクセス制御方法およびアクセス制御プログラム
CN109815284A (zh) * 2019-01-04 2019-05-28 平安科技(深圳)有限公司 一种数据处理的方法和装置

Similar Documents

Publication Publication Date Title
JP2003006194A (ja) データベースアクセス制御システム
US7630974B2 (en) Multi-language support for enterprise identity and access management
US6986138B1 (en) Virtual work flow management method
US8539575B2 (en) Techniques to manage access to organizational information of an entity
JP4571746B2 (ja) アプリケーション機能に対するアクセスを選択的に規定するためのシステムおよび方法
US6122741A (en) Distributed method of and system for maintaining application program security
US9804747B2 (en) Techniques to manage access to organizational information of an entity
US8793489B2 (en) Method and system for controlling data access to organizational data maintained in hierarchical
US7467133B2 (en) Method, apparatus, and system for searching based on search visibility rules
US6606627B1 (en) Techniques for managing resources for multiple exclusive groups
US8321460B2 (en) Populating a cache system based on privileges
EP2116954A1 (en) Apparatus and method for accessing data in a multi-tenant database according to a trust hierarchy
US20020095432A1 (en) Document management system
US7856448B2 (en) Access control decision method and system
JP2001056810A (ja) データベースアクセスシステム
US20040122946A1 (en) Delegation of administrative operations in user enrollment tasks
US8156091B2 (en) Method to retain an inherent and indelible item value in a relational database management system
JP2003108440A (ja) データ公開方法、データ公開プログラム、データ公開装置
US20020091674A1 (en) Enterprise information filtering system, enterprise information filtering method, and storage medium storing therein program
US8726336B2 (en) Authorizations for analytical reports
US7383576B2 (en) Method and system for displaying and managing security information
US7124132B1 (en) Domain specification system for an LDAP ACI entry
US20100153333A1 (en) Method of and System for Managing Drill-Through Source Metadata
US20060136361A1 (en) Extensible, customizable database-driven row-level database security
JP2004303051A (ja) データ管理方法、データ管理装置、情報処理装置、及び通信ネットワークシステム