JP2003280990A - Document processing device and computer program for managing document - Google Patents
Document processing device and computer program for managing documentInfo
- Publication number
- JP2003280990A JP2003280990A JP2002080411A JP2002080411A JP2003280990A JP 2003280990 A JP2003280990 A JP 2003280990A JP 2002080411 A JP2002080411 A JP 2002080411A JP 2002080411 A JP2002080411 A JP 2002080411A JP 2003280990 A JP2003280990 A JP 2003280990A
- Authority
- JP
- Japan
- Prior art keywords
- user
- document
- access right
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、文書DBの利用シス
テムやファイルサーバなど共有電子データをアクセス権
に基づいて複数のユーザが利用する電子データサーバ機
能を備えた文書処理装置(システム)に関するものであ
り、特にアクセスコントロールリスト(ACL)をユーザ
属性情報(例えば、組織のポスト情報、職務権限の範囲
等)に関する一次情報により直接参照して、対象文書
(電子データ)に対して設定されたアクセスを許可する
アクセス権管理を可能にした前記文書処理装置(システ
ム)に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a document processing apparatus (system) having an electronic data server function that allows a plurality of users to use shared electronic data, such as a document DB utilization system and a file server. In particular, the access control list (ACL) is directly referred to by the primary information relating to the user attribute information (for example, the post information of the organization, the range of job authority, etc.), and the access set for the target document (electronic data). The present invention relates to the document processing device (system) capable of managing the access right for permitting.
【0002】[0002]
【従来の技術】従来より、蓄積した文書(電子データ)
を複数のユーザが利用できるようにした文書管理装置
(システム)やファイルサーバなどにおいて、共有する
蓄積文書を利用する複数のユーザにとって不都合が生じ
ないように、蓄積文書へのアクセス権をユーザにより制
限してデータの適正な維持・管理を行うようにしてい
る。例えば、特開平9-218827号公報には、認証システム
名、ユーザ名およびアクセス権を設定したアクセス権リ
ストを各電子文書(データ)に付与し、電子文書を開く
際に、認証システムにおいてそのユーザの認証をおこな
い、認証されたユーザのアクセス権をアクセス権リスト
を用いて認識するように構成した電子文書管理装置が提
案されている。なお、この例は、複数のユーザ管理環境
下に適応するシステムを構成するために、ユーザ指定の
(前記アクセス権リストに載せた)認証システムによ
り、ユーザの認証を行うことにより、管理環境によって
異なる認証システムが採用された場合への対応を図るよ
うにしている。操作対象物である電子文書へのアクセス
権の設定は、一般に、例示した特開平9-218827号公報に
おけるように、直接ユーザの名前もしくはIDにより行う
場合、或いはユーザと同様にディレクトリサービス上で
管理されているグループの名前もしくはIDにより行う場
合が知られている。なお、上記したディレクトリサービ
スは、登録された認証可能なユーザの一覧やユーザ検索
のサービスを提供するものである。因みに、マイクロソ
フト Windows(登録商標)の場合にはActive Directory
と呼ぶサービスによりその機能を提供しており、また、
一般にLDAP(LightWait Directory Access Protocol)と
呼ぶプロトコルを実装するサーバであれば、認証サービ
スとディレクトリサービスの双方を提供する。2. Description of the Related Art Conventionally, accumulated documents (electronic data)
In a document management device (system) or file server that allows multiple users to access the stored documents, the access right to the stored documents is restricted by the users so that no inconvenience occurs for the multiple users who use the shared documents that are shared. The data is properly maintained and managed. For example, in Japanese Patent Laid-Open No. 9-218827, an access right list in which an authentication system name, a user name, and an access right are set is given to each electronic document (data), and when the electronic document is opened, the user is identified in the authentication system. There has been proposed an electronic document management apparatus configured to authenticate the user and recognize the access right of the authenticated user using the access right list. Note that this example differs depending on the management environment by authenticating the user by an authentication system specified by the user (listed in the access right list) in order to configure a system adapted to a plurality of user management environments. We are trying to deal with the case where the authentication system is adopted. Generally, the setting of the access right to the electronic document which is the operation target is performed by directly using the user's name or ID, as in Japanese Patent Laid-Open No. 9-218827, or on the directory service like the user. It is known that the name or ID of a group that has been set is used. The directory service described above provides a list of registered authenticateable users and a user search service. By the way, in the case of Microsoft Windows (registered trademark), Active Directory
The function is provided by a service called
A server that implements a protocol generally called LDAP (LightWait Directory Access Protocol) provides both authentication service and directory service.
【0003】ところで、グループIDでアクセス権を設定
する方式による場合に、グループは複数のユーザ又は他
のグループを包含することが可能になっており、グルー
プに対してアクセス権が設定されていれば、そのグルー
プに所属するユーザはそのアクセス権を持っていると解
釈されて、蓄積電子文書へのアクセスを可能にする。電
子文書毎にユーザのアクセス権リストを付与するという
方法によりアクセス権を設定するとき、グループ対応方
式による場合は、ユーザのみの場合に比べて、複数の
ユーザをグルーピングすることによりアクセス権の設定
数を減らす、グループを所属組織や組織上のポスト
(役職等)に対応付けて運用することにより、流動的で
あることが多い組織の構成メンバーと実際に設定するア
クセス権を分離することができる、などの利点がある。
の利点に着目した場合、組織の構成が変更されてアク
セス権を持つユーザが変わった場合は、グループの構成
メンバーを実際の組織変更に合わせて修正することによ
り対応することが可能であり、個々の蓄積文書に設定さ
れているアクセス権を一つ一つ変更する必要は無い。By the way, when the access right is set by the group ID, the group can include a plurality of users or other groups, and if the access right is set for the group. , The user belonging to the group is interpreted as having the access right, and enables access to the stored electronic document. When setting access rights by assigning a user's access right list for each electronic document, the number of access rights set by grouping multiple users when using the group-based method, compared to the case of only users By operating the group by associating it with the organization to which it belongs and posts (positions etc.) on the organization, it is possible to separate the access rights to be actually set from the members of the organization, which are often fluid. There are advantages such as.
Focusing on the advantages of, if the organization configuration is changed and the users who have access rights are changed, it is possible to respond by modifying the members of the group according to the actual organizational change. It is not necessary to change the access rights that are set for the stored documents of each one.
【0004】[0004]
【発明が解決しようとする課題】しかしながら、グルー
プ対応方式による場合、組織構成に関する一次情報はデ
ィレクトリサービス上に設定されているユーザの所属情
報や属性情報であり、グループの構成メンバーに関して
は別途それぞれユーザが設定登録を行う必要があり、組
織変更があると、それに合わせて修正を行う。修正して
グループの構成メンバーとして登録しておかないと、ア
クセス権が得られない。従って、上記の利点を目的と
してグループ対応方式を採用する場合、組織変更の際に
必要になるグループ構成の見直しが大きな負担となって
いることが実状である。グループの構成はそれぞれの利
用者が比較的自由に作成することも多く自由度も高いた
め自動的に変更を反映する操作も一般的には困難であ
る。本発明は、蓄積した文書(電子データ)に対して複
数のユーザによるアクセスを可能にした電子データサー
バなどの文書処理システムにおける上記した従来技術の
問題点に鑑みてなされたもので、その目的は、従来、蓄
積した共有文書に対するアクセス権をユーザIDやグルー
プIDのみによって管理していたために必要になっていた
組織(グループ)変更時のメンテナンス作業の軽減化を
図ることが可能なアクセス権管理を行うようにした電子
データサーバ機能を持つ文書処理装置(システム)及び
該文書処理装置を構成するためのコンピュータプログラ
ムを提供することにある。However, in the case of the group correspondence method, the primary information regarding the organizational structure is the user's affiliation information and attribute information set in the directory service, and the members constituting the group are separately classified by the user. Needs to register the settings, and if there is an organizational change, it will be corrected accordingly. If you do not modify and register as a member of the group, you will not get access. Therefore, in the case of adopting the group corresponding method for the purpose of the above advantages, it is a fact that the review of the group configuration necessary when the organization is changed is a heavy burden. In many cases, each user can create the group structure relatively freely, and since the degree of freedom is high, it is generally difficult to automatically reflect the change. The present invention has been made in view of the above-described problems of the conventional technique in the document processing system such as an electronic data server that enables a plurality of users to access a stored document (electronic data). , Access right management that can reduce the maintenance work when changing the organization (group), which was necessary because the access right to the stored shared document was managed only by the user ID and group ID. An object of the present invention is to provide a document processing device (system) having an electronic data server function to be performed and a computer program for configuring the document processing device.
【0005】[0005]
【課題を解決するための手段】請求項1の発明は、フォ
ルダ下に文書を置き、該文書及びフォルダに対して設定
されたアクセス権に従い文書を管理する文書管理部を有
する文書処理装置であって、前記文書管理部は、ユーザ
属性情報と関連付けて文書及びフォルダに対して設定さ
れたアクセス権を示したアクセス権設定情報を予め保有
し、ユーザのアクセス要求に示された指示内容を該アク
セス権設定情報によりチェックし、整合する設定条件に
従いアクセス権を許可するようにしたことを特徴とする
文書処理装置である。According to a first aspect of the present invention, there is provided a document processing apparatus having a document management unit for placing a document under a folder and managing the document according to the access right set for the document and the folder. Then, the document management unit holds in advance access right setting information indicating the access right set for the document and the folder in association with the user attribute information, and accesses the instruction content indicated in the user's access request. The document processing apparatus is characterized in that the right is checked according to the right setting information and the access right is permitted according to the matching setting condition.
【0006】請求項2の発明は、請求項1に記載された
文書処理装置において、前記文書管理部は、ユーザ属性
情報が階層構造を持つ組織のポスト情報である場合に、
アクセス権を許可するときに、アクセス要求をしたユー
ザの属性としてのポストに対して上位に位置するポスト
との関連で設定されているアクセス権も許可するように
したことを特徴とするものである。According to a second aspect of the present invention, in the document processing apparatus according to the first aspect, the document management unit, when the user attribute information is post information of an organization having a hierarchical structure,
It is characterized in that when the access right is granted, the access right set in relation to the post positioned higher than the post as an attribute of the user who made the access request is also allowed. .
【0007】請求項3の発明は、請求項1又は2に記載
された文書処理装置において、アクセス権設定情報にお
けるユーザの属性情報が、複数の属性情報の組み合わせ
からなることを特徴とするものである。According to a third aspect of the invention, in the document processing apparatus according to the first or second aspect, the attribute information of the user in the access right setting information is a combination of a plurality of attribute information. is there.
【0008】請求項4の発明は、請求項1乃至3のいず
れかに記載された文書処理装置において、前記アクセス
権設定情報がユーザ情報とユーザの属性情報の組み合わ
せと文書及びフォルダに対して設定されたアクセス権と
の関連を示すものであることを特徴とするものである。According to a fourth aspect of the present invention, in the document processing apparatus according to any one of the first to third aspects, the access right setting information is set for a combination of user information and user attribute information, a document and a folder. It is characterized in that it shows a relationship with the access right that has been set.
【0009】請求項5の発明は、フォルダ下に文書を置
き、該文書及びフォルダに対して設定されたアクセス権
に従い文書を管理するためのコンピュータプログラムで
あって、管理下の文書及びフォルダに対するユーザのア
クセス要求に基づいてユーザの属性情報及びアクセス種
別情報を取得するステップと、取得したユーザの属性情
報及びアクセス権種別を、予め用意したユーザ属性情報
と関連付けて文書及びフォルダに対して設定されたアク
セス権を示したアクセス権設定情報によりチェックする
ステップと、チェック結果により整合するアクセス権を
許可するステップの各処理ステップを実行するためのコ
ンピュータプログラムである。A fifth aspect of the present invention is a computer program for placing a document under a folder and managing the document according to the access right set for the document and the folder. Step of acquiring user attribute information and access type information based on the access request of the user, and the acquired user attribute information and access right type are set for the document and folder in association with the user attribute information prepared in advance. It is a computer program for executing each processing step of checking by the access right setting information indicating the access right and allowing the access right that matches the check result.
【0010】[0010]
【発明の実施の形態】本発明の文書処理装置を添付する
図面とともに示す以下の実施形態に基づき説明する。図
1は、本発明の実施形態に係わる文書処理装置(システ
ム)の構成の概要を示すものである。図1に示すよう
に、本例の文書処理システムは、ストレージ11を有し
た電子データ管理サーバ1と、認証サーバ2と、ユーザ
情報DB(データベース)31を有したディレクトリサー
バ3と、複数のクライアントコンピュータ5A,5Bを構
成要素として、これらをネットワークを介して接続する
ことによりシステムを構成する。電子データ管理サーバ
1は、複数のユーザが共有する電子データ(例えば文
書)をストレージ11に保持し、複数のクライアントコ
ンピュータ5A,5Bからのアクセス要求に応じ電子デー
タを操作し、クライアントに対する電子データのサーバ
として機能する。電子データ管理サーバ1は、共有する
電子データに対するアクセスの度にそれが適切なユーザ
による操作であるかどうかをチェックする。このため
に、認証サーバ2及びディレクトリサーバ3を利用す
る。認証サーバ2、或いは構成によってはディレクトリ
サーバ3は、クライアントコンピュータ5A,5Bからの
アクセス要求に示されたユーザの認証を行い、認証が成
功した場合に、ユーザ情報DB31に保存されている認証
情報を電子データ管理サーバ1に伝える。なお、認証に
失敗した場合には、いかなる操作も許可されない。又、
認証サーバ2とディレクトリサーバ3はユーザの管理情
報に関して同期が取れており、両者が統合されて一つの
サーバとして構成されている場合もある。電子データ管
理サーバ1におけるチェックは、認証サーバから取得し
た認証情報と操作対象の電子データに設定されているAC
L(アクセスコントロールリスト)を照合することによ
り、ACLに設定された可能な操作(アクセス)種を得
る。また、この照合の結果、得られた操作種とクライア
ントの要求する操作種との整合をチェックし、整合(一
致)する操作種によるアクセスコントロールを許可し、
ストレージ11の対象電子データへの操作を可能にす
る。なお、図1には、ネットワーク上に構築された実施
形態の文書処理システムを示したが、必要な機能を実現
するためのコンピュータプログラムをワークステーショ
ンに搭載することにより、スタンドアロンの文書処理装
置として実施することも可能である。BEST MODE FOR CARRYING OUT THE INVENTION The document processing apparatus of the present invention will be described based on the following embodiments shown in the accompanying drawings. FIG. 1 shows the outline of the configuration of a document processing apparatus (system) according to the embodiment of the present invention. As shown in FIG. 1, the document processing system of this example includes an electronic data management server 1 having a storage 11, an authentication server 2, a directory server 3 having a user information DB (database) 31, and a plurality of clients. A system is configured by connecting the computers 5A and 5B as constituent elements via a network. The electronic data management server 1 holds electronic data (for example, documents) shared by a plurality of users in the storage 11, operates the electronic data in response to access requests from the plurality of client computers 5A, 5B, and stores the electronic data for the clients. Acts as a server. Each time the electronic data management server 1 accesses the shared electronic data, it checks whether or not it is an operation by an appropriate user. For this purpose, the authentication server 2 and the directory server 3 are used. The authentication server 2, or the directory server 3 depending on the configuration, authenticates the user indicated by the access request from the client computers 5A and 5B, and if the authentication is successful, the authentication information stored in the user information DB 31 is displayed. Notify the electronic data management server 1. If the authentication fails, no operation is permitted. or,
The authentication server 2 and the directory server 3 are synchronized with each other regarding the management information of the user, and the two may be integrated and configured as one server. The check in the electronic data management server 1 is the AC set in the authentication information acquired from the authentication server and the electronic data to be operated.
By matching L (access control list), the possible operation (access) type set in the ACL is obtained. Also, as a result of this collation, the consistency between the obtained operation type and the operation type requested by the client is checked, and access control by the operation type that matches (matches) is permitted,
The target electronic data in the storage 11 can be operated. Although FIG. 1 shows the document processing system of the embodiment constructed on the network, it is implemented as a stand-alone document processing apparatus by installing a computer program for realizing necessary functions in a workstation. It is also possible to do so.
【0011】ACL(アクセスコントロールリスト)につ
いて説明する。ACLは、操作対象物、たとえばファイル
やデータフォルダ毎に、誰がどんな操作を行うことを許
可するかを定義するリストである。従来技術では、ユー
ザ又はグループによりアクセス権の範囲を決める方式で
あった。図2は、従来のACLを例示するものであり、同
図では、3つのエントリーが登録されている。各エント
リーには、ユーザIDもしくはグループID、エントリ
ーがユーザを表すのかグループを表すものかを識別する
情報、そのユーザ又はグループが可能な操作の種類、
即ち、参照/改版/更新/削除からなる操作種の許可の
有無を表す情報が指示される。次に、認証情報について
説明する。認証情報は、アクセス要求を行ったユーザの
認証を行うために用意されている情報であり、ディレク
トリサーバ3の管理下のユーザ情報DB31に保存されて
いる。認証情報の一つは、グループ定義であり、その例
を図3に示す。この例では「企画2グループ」という名
前のグループを定義しており、そのグループIDとメンバ
ーの構成を記述している。もう一つの認証情報は、ユー
ザ定義であり、その例を図4に示す。この例では「tana
ka」という名前のユーザを定義しており、そのIDと電話
番号やメールアドレス、職務上の権限(図4中、「Post
Code:6」として職務権限の範囲をデータ化した例を示
す)などのユーザ属性を記述している。なお、認証情報
(図3,図4)については、本実施形態において用いる
ものも、基本的に従来例におけるものと変わりがない。An ACL (access control list) will be described. The ACL is a list that defines who is allowed to perform what operation for each operation target such as a file or a data folder. In the prior art, it is a method of determining the range of access right by a user or a group. FIG. 2 exemplifies a conventional ACL. In FIG. 2, three entries are registered. Each entry has a user ID or group ID, information that identifies whether the entry represents a user or a group, the type of operations that the user or group can perform,
That is, information indicating whether or not the operation type consisting of reference / revision / update / deletion is permitted is instructed. Next, the authentication information will be described. The authentication information is information prepared for authenticating the user who has made the access request, and is stored in the user information DB 31 under the control of the directory server 3. One of the authentication information is a group definition, an example of which is shown in FIG. In this example, a group named “Plan 2 group” is defined, and the group ID and the composition of members are described. Another piece of authentication information is user-defined, an example of which is shown in FIG. In this example, "tana
A user named "ka" is defined, and its ID, telephone number, e-mail address, and authority for work (in Fig. 4, "Post
Code: 6 ”is shown as an example in which the range of job authority is converted to data) and other user attributes are described. The authentication information (FIGS. 3 and 4) used in the present embodiment is basically the same as that in the conventional example.
【0012】本実施形態では、ACLに直接ユーザ属性に
より、対象電子データに対する可能な操作の種類(アク
セス権種別)を定義し、従来のユーザIDもしくはグルー
プIDのみによる場合に必要であったグループ変更時のメ
ンテナンス作業の軽減を図るものである。本例のユーザ
属性に基づくACLの例を図5に示す。従来例(図2)と
の違いは、ユーザ又はグループのIDを使って利用者を特
定する変わりにユーザ属性の取る範囲、即ち、ここで
は、職務上の権限の範囲によりPost Code<4とPost Cod
e<6の各エントリを指定することにより利用者を特定す
るようにした点である。In the present embodiment, the type of operation (access right type) that can be performed on the target electronic data is defined by the user attribute directly in the ACL, and the group change which is necessary when only the conventional user ID or group ID is used. It is intended to reduce maintenance work at the time. An example of the ACL based on the user attribute of this example is shown in FIG. The difference from the conventional example (Fig. 2) is that instead of specifying the user by using the user or group ID, the range taken by the user attribute, that is, here, Post Code <4 and Post depending on the range of authority for work. Cod
The point is that the user is specified by specifying each entry of e <6.
【0013】図6は、階層構造をもつユーザ属性の例で
ある。ディレクトリサービスの管理対象であるユーザ、
グループやその他のリソースは、図6のような階層構造
の基に定義されることがある。ディレクトリの階層構造
は、一般的には組織の構成を表すのに用いることが多
い。図6では、'tanaka'というユーザは階層上'o=ab
c' 'ou=ppu, o=abc' 'ou=p2g, ou=ppu, o=abc'とい
うポスト(ノード)に所属している。本発明の実施形態
に係わる他のACLの例は、上記図6に例示したような階
層構造をもつユーザ属性に対するものである。図7は、
そのACLを例示する。ここでは、その指定されている条
件を、階層構造上のポスト(ノード)がdn='ou=p2g,ou=
ppu, o=abc'とdn='ou=ppu, o=abc'として、各エントリ
を指定することにより利用者を特定するようにしてい
る。図8は、図7に示されているアクセス権の及ぶ範囲
を図示したものである。指定されたポストに設定された
アクセス権はそのポストの下位の階層に属するユーザ全
体に影響が及ぶ。つまり、dn='ou=p2g, ou=ppu, o=abc'
のエントリーに設定されたアクセス権(参照/改版)
は、図8に示した範囲Z3に及び、dn='ou=ppu,o=abc'の
エントリーに設定されたアクセス権(参照)は、図8に
示した範囲Z2に及び、id=264のエントリーに設定された
アクセス権(参照/改版/更新/削除)は、図8に示し
た範囲Z1に及ぶ。FIG. 6 is an example of user attributes having a hierarchical structure. Users who are managed by the directory service,
Groups and other resources may be defined based on the hierarchical structure shown in FIG. The hierarchical structure of a directory is often used to represent the organization of an organization. In Fig. 6, the user'tanaka 'is in the hierarchy'o = ab
c''ou = ppu, o = abc 'belongs to the post (node) called'ou = p2g, ou = ppu, o = abc'. Another ACL example according to the embodiment of the present invention is for a user attribute having a hierarchical structure as illustrated in FIG. Figure 7
The ACL is illustrated. Here, the specified condition is that the post (node) in the hierarchical structure is dn = 'ou = p2g, ou =
The user is specified by specifying each entry as ppu, o = abc 'and dn =' ou = ppu, o = abc '. FIG. 8 illustrates the range of access rights shown in FIG. 7. The access right set for the specified post affects all users belonging to the hierarchy below the post. That is, dn = 'ou = p2g, ou = ppu, o = abc'
Access right (reference / revision) set for the entry
Indicates that the access right (reference) set in the entry of dn = 'ou = ppu, o = abc' extends to the range Z3 shown in FIG. 8 and extends to the range Z2 shown in FIG. The access right (reference / revision / update / deletion) set for the entry extends to the range Z1 shown in FIG.
【0014】本発明の実施形態に係わる他のACLの例
は、複数のユーザ属性の組み合わせに対するものであ
る。図9は、そのACLを例示する。属性条件の項に複数
のユーザ属性条件を併記して2項演算子'and'で結ぶこ
とにより複数のユーザ属性条件を同時に満たすユーザの
みが設定したアクセス権を持つようにすることを示して
いる。ここでは、、図9の1レコード目に示すように、
その指定されている条件を、階層構造上のノードと職務
上の権限の範囲の組み合わせ、即ち、「dn='ou=p2g, ou
=ppu, o=abc'」and「Post Code<6」として、エントリ
を指定することにより利用者を特定するようにしてい
る。また、本発明の実施形態に係わる他のACLの例は、
複数のアクセス権設定方式を組み合わせたものである。
図10は、そのACLを例示する。属性条件の項にユーザ
属性条件とユーザもしくはグループIDを併記して2項演
算子'and'で結ぶことにより複数の複数のアクセス権設
定方式による条件を同時に満たすユーザのみが設定した
アクセス権を持つようにすることを示している。ここで
は、図10の1レコード目に示すように、その指定され
ている条件を、「ObjectClass='Person'」and「id=26
4」として、エントリを指定することにより利用者を特
定するようにしている。Another example of an ACL according to an embodiment of the present invention is for a combination of user attributes. FIG. 9 illustrates the ACL. It indicates that multiple user attribute conditions are also written in the attribute condition section and connected by the binary operator'and 'so that only users who simultaneously satisfy multiple user attribute conditions have the set access right. . Here, as shown in the first record of FIG.
The specified condition is defined as a combination of a hierarchical node and a range of authority for duties, that is, "dn = 'ou = p2g, ou
The user is specified by specifying an entry as "= ppu, o = abc '" and "Post Code <6". Another example of the ACL according to the embodiment of the present invention is
This is a combination of multiple access right setting methods.
FIG. 10 illustrates the ACL. By having the user attribute condition and the user or group ID together in the attribute condition section and connecting them with the binary operator'and ', only the users who simultaneously satisfy the conditions according to the multiple access right setting methods have the access right. It shows that you do. Here, as shown in the first record of FIG. 10, the specified condition is "ObjectClass = 'Person'" and "id = 26.
4 ”, the user is specified by specifying the entry.
【0015】次に、上記した文書処理システムにおける
共有データ管理サーバによるアクセス権制御処理に係わ
る実施形態を以下に説明する。以下に示す「実施形態
1」、「実施形態2」、「実施形態3」、「実施形態
4」は、それぞれ上記の図5、図7、図9、図10のア
クセスコントロールリスト(ACL)によるアクセス権制
御を行うことにより、ユーザ属性により直接、対象電子
データに対する可能な操作を行うようにし、従来のユー
ザIDもしくはグループIDのみによりアクセス権制御を行
っていた場合に必要であった組織やグループの構成変更
時のメンテナンス作業の軽減化を図ることを可能とする
ものである。「実施形態1」図11は、実施形態1(図
5に例示したACLによる)のアクセス権制御処理フロー
である。なお、図11中の(A)で囲った部分は、ACL
の1レコード分の処理に相当する。図11を参照して、
クライアントコンピュータ5A(5B)からストレージ1
1に蓄積された対象電子データへのアクセス要求がある
度に、電子データ管理サーバ1が行う本例のアクセス権
制御処理のフローを説明する。先ず、適切なユーザによ
るアクセス要求であるか否かを、認証サーバ2により認
証する。そのための手順として、認証手続きが済んでい
るか否かをチェックし(S11)、済んでいない場合、
認証サーバ2に接続して認証手続きを行う(S12)。
認証手続きは、アクセス要求に記されたユーザ情報(或
いはユーザ属性情報)がディレクトリサーバ3のユーザ
情報DB31に登録されているか否かを確認することによ
る。ユーザ情報(或いはユーザ属性情報)が確認でき
ず、認証に失敗した場合(S13-NO)、アクセス要求
を拒否し、いかなる操作も許可しない。他方、認証に成
功した場合(S13-YES)、次の手順として、認証サー
バ2(構成によってはディレクトリサーバ3の場合もあ
る)よりそこに保有されていたユーザ属性情報を取得し
て認証情報(図4)として保持する(S14)。Next, an embodiment relating to the access right control processing by the shared data management server in the above-mentioned document processing system will be described below. The following "Embodiment 1", "Embodiment 2", "Embodiment 3", and "Embodiment 4" are based on the access control list (ACL) of FIG. 5, FIG. 7, FIG. 9, and FIG. By performing access right control, it is possible to directly perform target operations on the target electronic data according to user attributes, and the organization or group that was necessary when access right control was performed only with conventional user IDs or group IDs. It is possible to reduce the maintenance work when the configuration is changed. [First Embodiment] FIG. 11 is an access right control processing flow according to the first embodiment (by the ACL illustrated in FIG. 5). The part surrounded by (A) in FIG. 11 is the ACL.
Is equivalent to the processing for one record of. Referring to FIG.
Client computer 5A (5B) to storage 1
A flow of the access right control processing of the present example performed by the electronic data management server 1 every time there is a request for access to the target electronic data stored in 1 will be described. First, the authentication server 2 authenticates whether or not the access request is made by an appropriate user. As a procedure therefor, it is checked whether or not the authentication procedure has been completed (S11).
The authentication procedure is performed by connecting to the authentication server 2 (S12).
The authentication procedure is performed by checking whether the user information (or user attribute information) described in the access request is registered in the user information DB 31 of the directory server 3. If the user information (or user attribute information) cannot be confirmed and the authentication fails (S13-NO), the access request is rejected and no operation is permitted. On the other hand, if the authentication is successful (S13-YES), as the next step, the user attribute information held therein is acquired from the authentication server 2 (which may be the directory server 3 depending on the configuration) and the authentication information ( It is held as (FIG. 4) (S14).
【0016】次に、認証サーバ2から取得した認証情報
と操作対象物のACLを照合することによりアクセス要求
の操作が可否をチェックする。具体的には、操作対象物
毎に設定されるACL(図5)の各レコードと認証情報を
比較するので、ACLの1レコードを取り出し(S15)、
さらにそのレコードの属性条件(本例では、属性条件と
して認証情報に含まれるユーザ属性値、即ちPost Code
<4、といった職務権限に対する許可範囲を設定してい
る)及びステップS13で認証した認証情報に記されて
いるユーザ属性情報を取り出す(S16)。両者を比較
し、ACLの属性条件が認証情報に存在しない場合(S1
7-NO)、又属性が存在しても属性値がACLの属性条件の
範囲内(Post Code<4)ではない場合(S18-NO)、
照合は不成立であるから、全レコードのチェック完了を
確認して(S20)、未完了であれば、次の1レコード
の照合を行うために、ステップS15からの手順に戻
す。他方、ACLの属性条件が認証情報に存在し(S17-
YES)、又その属性値がACLの属性条件の範囲内である場
合(S18-YES)、照合は成立するから、ACLレコード
上のアクセス許可情報を取り出し、参照以外に改版/更
新/削除が許可されているときには、それらを可能なア
クセス操作種に加える(S19)。なお、ACLの各レコ
ードは独立している。例のようにアクセス許可の種類が
複数ある場合、ACL上の複数レコードの条件を満たすユ
ーザ属性は、その両方のアクセス許可を得ることができ
る。全レコードの完了を確認した後(S20-YES)、ユ
ーザのアクセス要求内容に指示されているアクセス操作
種(アクセス権)が許可できるか否かを、上記したACL
により確認したユーザ属性に関連付けて許可されるアク
セス操作種によりチェックを掛ける(S21)。このチ
ェックの結果、ユーザのアクセス要求内容がACLに設定
された許可条件と整合しない場合(S21-NO)、アク
セス要求を拒否する。他方、ユーザのアクセス要求内容
がACLに設定された許可条件と整合する場合(S21-YE
S)、要求に従うアクセス操作種を実行可能とする(S
22)。このように、アクセス許可とユーザが指示した
操作を比較して可能な操作だけを実行し、許可されない
操作を実行しないことによりアクセス権管理機能を実現
する。Next, by comparing the authentication information acquired from the authentication server 2 with the ACL of the operation object, it is checked whether the operation of the access request can be performed. Specifically, since each record of the ACL (FIG. 5) set for each operation target is compared with the authentication information, one record of the ACL is extracted (S15),
Furthermore, the attribute condition of the record (in this example, the user attribute value included in the authentication information as the attribute condition, that is, Post Code
The permission range for the job authority such as <4 is set) and the user attribute information described in the authentication information authenticated in step S13 is extracted (S16). If both are compared and the attribute condition of ACL does not exist in the authentication information (S1
7-NO), or if the attribute value is not within the ACL attribute condition range (Post Code <4) even if the attribute exists (S18-NO),
Since the collation is unsuccessful, it is confirmed that all records have been checked (S20). If not, the procedure returns to step S15 to collate the next one record. On the other hand, the ACL attribute condition exists in the authentication information (S17-
YES), or if the attribute value is within the range of the ACL attribute condition (S18-YES), the collation is established, so the access permission information on the ACL record is extracted, and revision / update / deletion is permitted other than reference. If so, they are added to the possible access operation types (S19). Note that each record in ACL is independent. When there are multiple types of access permissions as in the example, a user attribute that satisfies the conditions of multiple records on the ACL can obtain both access permissions. After confirming the completion of all records (S20-YES), the above-mentioned ACL is used to determine whether or not the access operation type (access right) indicated in the access request content of the user can be permitted.
A check is made according to the type of access operation permitted in association with the user attribute confirmed by (S21). As a result of this check, if the user's access request content does not match the permission condition set in the ACL (S21-NO), the access request is rejected. On the other hand, if the user's access request content matches the permission condition set in the ACL (S21-YE
S), enabling the access operation type according to the request (S)
22). In this way, the access right management function is realized by comparing the access permission with the operation instructed by the user, executing only the operation that is possible, and not executing the operation that is not permitted.
【0017】「実施形態2」図12は、実施形態2(図
7に例示したACLによる)のアクセス権制御処理フロー
に係わる。なお、本実施形態は、図11中の(A)で囲
った、ACLの1レコード分の処理に相当する部分を図12
に示すフローに置き換えて実施するものであり、ACLの1
レコード分の処理以外は図11と同じ処理フローを実行
する。図12を参照して、本例のアクセス権制御処理の
フローを説明する。図12のフローに入る前段のステッ
プで、適切なユーザによるアクセス要求であるか否か
を、アクセス要求に記されたユーザ情報(或いはユーザ
属性情報)により認証する。認証された場合、認証サー
バ2からそこに保有されていた“階層構造をもつユーザ
属性”を含むユーザ属性情報を取得して認証情報として
保持する(図11参照)。この後、操作対象物毎に設定
されるACL(図7)の各レコードと認証情報を比較する
図12の処理ステップに入る。先ず、ACLの1レコードを
取り出し、さらにそのレコードの属性条件(本例では、
属性条件として認証情報に含まれる階層構造をもつユー
ザ属性、即ちdn='ou=p2g, ou=ppu, o=abc'、といった条
件に対する許可範囲を設定している)及び認証した認証
情報に記されているユーザ属性情報を取り出す(S3
1)。両者を比較し、ACLの属性条件が認証情報に存在
しない場合(S32-NO)、又存在しても属性が階層構
造を持つ属性ではなく(S33-NO)、このACLに設定さ
れた属性条件の範囲内ではない場合(S38-NO)、照
合は不成立であるから、当該レコードのチェックを終了
する。[Second Embodiment] FIG. 12 relates to the access right control processing flow of the second embodiment (by the ACL illustrated in FIG. 7). In the present embodiment, the portion corresponding to the processing for one record of ACL enclosed by (A) in FIG. 11 is shown in FIG.
It is implemented by replacing with the flow shown in
The same process flow as in FIG. 11 is executed except for the process for the records. The flow of the access right control process of this example will be described with reference to FIG. In the first step in the flow of FIG. 12, whether or not the access request is made by an appropriate user is authenticated by the user information (or user attribute information) written in the access request. When the user is authenticated, the user attribute information including the “user attribute having a hierarchical structure” held therein is acquired from the authentication server 2 and held as the authentication information (see FIG. 11). After that, the processing step of FIG. 12 for comparing each record of the ACL (FIG. 7) set for each operation target with the authentication information is started. First, one record of ACL is taken out, and the attribute condition of that record (in this example,
The user attribute having the hierarchical structure included in the authentication information as the attribute condition, that is, the permission range for the condition such as dn = 'ou = p2g, ou = ppu, o = abc' is set) and the authenticated authentication information. The retrieved user attribute information is retrieved (S3
1). When both are compared and the attribute condition of the ACL does not exist in the authentication information (S32-NO), or even if the attribute condition is not an attribute having a hierarchical structure (S33-NO), the attribute condition set in this ACL If it is not within the range (S38-NO), the collation is unsuccessful, and the check of the record is finished.
【0018】他方、ACLの属性条件が認証情報に存在し
(S32-YES)、又その属性が階層構造を持つ属性であ
る場合(S33-YES)、認証情報からユーザ属性情報と
して得られる階層構造をもつ属性値を加工してユーザが
属する階層上のノードのリストを得る(S34)。例え
ば、図6のような階層構造をもつユーザ管理が行われて
いた場合、'cn=tanaka, ou=p2g, ou=ppu, o=abc'という
ユーザは、その属性値を分析することにより、'o=ab
c' 'ou=ppu, o=abc' 'ou=p2g, ou=ppu, o=abc'とい
うポスト(ノード)に所属していることが分かる。次
に、ACLのレコードの属性条件と認証情報を加工して得
たポスト(ノード)名を比較する(S35)。ここで照
合が、不成立の場合には(S36-NO)、当該レコード
のチェックを終了する。照合が成立する場合には(S3
6-YES)、ACLレコード上のアクセス許可情報を取り出
し、参照以外に改版/更新/削除が許可されているとき
には、それらを可能なアクセス操作種に加える(S3
7)。具体的には、ACLのレコード(図7)と上記〜
を比較する。ACLの第2レコードの'ou=p2g, ou=ppu, o
=abc'はと一致し、第3レコードの'ou=ppu, o=abc'は
と一致することから、このユーザは「参照/改版」に
関するアクセス権をもっていると判断される。図8に示
すように、各ノードに対するアクセス権を設定すると下
位に属する全てのユーザに対してその設定が有効にな
る。なお、ACLの属性条件が認証情報に存在し(S32-
YES)、その属性が階層構造を持つ属性ではない場合で
も(S33-NO)、例えばid=264(図7)のように、条
件に適合する場合には(S38-YES)、ACLに従ったア
クセス権を設定する(S37)。On the other hand, when the attribute condition of ACL exists in the authentication information (S32-YES) and the attribute has an hierarchical structure (S33-YES), the hierarchical structure obtained from the authentication information as user attribute information. The attribute value having is processed to obtain a list of nodes on the hierarchy to which the user belongs (S34). For example, when user management having a hierarchical structure as shown in FIG. 6 is performed, the user'cn = tanaka, ou = p2g, ou = ppu, o = abc 'analyzes the attribute value to 'o = ab
c''ou = ppu, o = abc 'It can be seen that it belongs to the post (node) called'ou = p2g, ou = ppu, o = abc'. Next, the attribute condition of the ACL record and the post (node) name obtained by processing the authentication information are compared (S35). If the collation is unsuccessful (S36-NO), the check of the record ends. If the verification is successful (S3
6-YES), the access permission information on the ACL record is taken out, and when revision / update / deletion other than reference is permitted, these are added to the possible access operation types (S3).
7). Specifically, the ACL record (Fig. 7) and the above ~
To compare. ACL second record'ou = p2g, ou = ppu, o
Since = abc 'matches with, and'ou = ppu, o = abc' in the third record matches with, it is determined that this user has the access right for “reference / revision”. As shown in FIG. 8, when the access right to each node is set, the setting becomes valid for all users belonging to the lower order. The ACL attribute condition exists in the authentication information (S32-
YES), even if the attribute is not an attribute having a hierarchical structure (S33-NO), if the condition is met (S38-YES), for example, id = 264 (FIG. 7), the ACL is followed. The access right is set (S37).
【0019】「実施形態3」図13は、実施形態3(図
9に例示したACLによる)のアクセス権制御処理フロー
に係わる。なお、本実施形態は、図11中の(A)で囲
った、ACLの1レコード分の処理に相当する部分を図13
に示すフローに置き換えて実施するものであり、ACLの1
レコード分の処理以外は図11と同じ処理フローを実行
する。また、図13の(B)で囲んだ部分はACLの属性
の組み合わせ条件を分割して1条件分の処理に相当する
部分を示す。図13を参照して、本例のアクセス権制御
処理のフローを説明する。図13のフローに入る前段の
ステップで、適切なユーザによるアクセス要求であるか
否かを、アクセス要求に記されたユーザ情報(或いはユ
ーザ属性情報)により認証する。認証された場合、認証
サーバ2からそこに保有されていた、複数種の組み合わ
せからなるユーザ属性情報を取得して認証情報として保
持する(図11参照)。この後、操作対象物毎に設定さ
れるACL(図9)の各レコードと認証情報を比較する図
13の処理ステップに入るが、先ず、ACLの1レコードを
取り出し、そこに記述されている属性条件データを構文
解析して1つの条件を取り出す(S41)。なお、ACLに
属性条件として記述される一般的な複合条件を解釈して
適合チェックをするためには条件文の構文解析が必要と
なるが、ここでは、図9に示すように比較的単純な‘A=
a and B=b’の条件から‘A=a’と‘B=b’を分離して、
それぞれの条件を判定した上で最後に両者を統合する方
式例を示した。一般的な属性条件としては、演算子とし
て論理積(AND)、論理和(OR)、否定(NOT)や、等号
(=)、不等号(<,>)およびその組み合わせなどを
用いた複雑な条件も定義することができる。そうした場
合には、ここで例示したよりも少し複雑な構文解析を行
う必要がある。[Third Embodiment] FIG. 13 relates to the access right control processing flow of the third embodiment (by the ACL illustrated in FIG. 9). Note that, in this embodiment, the portion corresponding to the processing for one record of ACL enclosed by (A) in FIG. 11 is shown in FIG.
It is implemented by replacing with the flow shown in
The same process flow as in FIG. 11 is executed except for the process for the records. In addition, the portion surrounded by (B) in FIG. 13 shows a portion corresponding to processing for one condition by dividing the combination condition of ACL attributes. The flow of the access right control process of this example will be described with reference to FIG. In the first step in the flow of FIG. 13, whether or not the access request is made by an appropriate user is authenticated by the user information (or user attribute information) described in the access request. When the user is authenticated, the user attribute information held by the authentication server 2 and composed of a combination of a plurality of types is acquired and held as the authentication information (see FIG. 11). After that, the process step of FIG. 13 for comparing each record of the ACL (FIG. 9) set for each operation object with the authentication information is entered. First, one record of the ACL is taken out, and the attributes described therein are recorded. The condition data is parsed to extract one condition (S41). In order to interpret the general compound condition described as the attribute condition in the ACL and check the conformity, it is necessary to parse the conditional statement, but here, as shown in FIG. 9, it is relatively simple. 'A =
Separate'A = a 'and'B = b' from the condition of'a and B = b ',
An example of a method in which both conditions are determined and then the two are integrated is shown. As a general attribute condition, a complex product that uses a logical product (AND), a logical sum (OR), a negation (NOT), an equal sign (=), an inequality sign (<,>), and combinations thereof as operators. Conditions can also be defined. In that case, you need to do a little more complicated parsing than the one illustrated here.
【0020】ACLの1レコードに記述された属性条件を構
文解析して得られる1つの条件についてのチェック処理
(図13中(B)部分)の始めに、レコードの解析され
た1条件(本例では、属性条件として認証情報に含まれ
る階層構造をもつユーザ属性、即ちdn='ou=p2g, ou=pp
u, o=abc'、といった条件と、職務権限のランク、即ちP
ost Code<6、といった条件の組み合わせに対する許可
範囲を設定しているので、この中から分けた1条件)及
び認証した認証情報に記されているユーザ属性情報を取
り出す(S42)。両者を比較し、ACLの属性条件が認
証情報に存在しない場合(S43-NO)、照合処理を行
わずに、照合は不成立として、ステップS48にスキッ
プする。ACLの属性条件が認証情報に存在する場合(S
43-YES)、属性が階層構造を持つ属性か否かにより処
理を分岐するので、その確認をする(S44)。その属
性が階層構造を持つ属性である場合(S44-YES)、認
証情報からユーザ属性情報として得られる階層構造をも
つ属性値を加工してユーザが属する階層上のノードのリ
ストを得る(S45)。この処理は図12のステップ3
4の処理と同様であり、先の説明を参照する。次に、AC
Lのレコードの属性条件と認証情報を加工して得たポス
ト(ノード)名を比較し、照合の成立/不成立を判定し
(S46)、次のステップS48に移行する。他方、属
性が階層構造を持たない場合の条件(本例では、職務権
限のランク)についてその照合を行い、照合の成立/不
成立を判定し(S47)、次のステップS48に移行す
る。次に、上記で行った照合結果を受け、かつACLの属
性の組み合わせ条件を示す演算子を考慮して、条件を満
足するかを判定する(S48)。判定結果として、条件
を棄却する場合(S49-YES)、当該レコードのチェッ
クを終了する。ステップS48の判定結果として、条件
を棄却しない場合(S49-NO)、ACLの属性の組み合わ
せの全条件のチェックを済ませたかを確認して(S5
0)、全条件をチェックしていない場合には(S50-N
O)、次の条件をチェックするためにステップS41に
戻す。なお、ステップS49の処理は、条件不成立を確
認した場合のみチェックを終了させ、それ以外の不定の
状態では棄却をしない。条件を棄却せずに、全条件のチ
ェックが済んだ場合には(S50-YES)、ACLの属性の
組み合わせ条件を満たすことになるので、ACLレコード
上のアクセス許可情報を取り出し、参照以外に改版/更
新/削除が許可されているときには、それらを可能なア
クセス操作種に加え(S51)、当該1レコード分のチ
ェックを終了する。At the beginning of the check processing (part (B) in FIG. 13) for one condition obtained by parsing the attribute condition described in one record of ACL, one analyzed condition of the record (this example Then, a user attribute having a hierarchical structure included in the authentication information as an attribute condition, that is, dn = 'ou = p2g, ou = pp
u, o = abc ', and the rank of job authority, that is, P
Since the permitted range for the combination of conditions such as ost Code <6 is set, the user attribute information described in the authenticated condition and the authenticated attribute information is extracted (S42). When both are compared and the attribute condition of ACL does not exist in the authentication information (S43-NO), the collation process is not performed and the collation is unsuccessful, and the process skips to step S48. When the attribute condition of ACL exists in the authentication information (S
43-YES), the process branches depending on whether the attribute has a hierarchical structure or not, so that confirmation is made (S44). When the attribute is an attribute having a hierarchical structure (S44-YES), the attribute value having a hierarchical structure obtained as the user attribute information from the authentication information is processed to obtain a list of nodes on the hierarchical layer to which the user belongs (S45). . This process is step 3 in FIG.
The processing is the same as that of No. 4, and the above description is referred to. Then AC
The attribute condition of the L record is compared with the post (node) name obtained by processing the authentication information, and it is determined whether or not the collation is established (S46), and the process proceeds to the next step S48. On the other hand, the condition (in this example, the rank of the job authority) when the attribute does not have a hierarchical structure is collated, and it is determined whether or not the collation is established (S47), and the process proceeds to the next step S48. Next, it is determined whether or not the conditions are satisfied by receiving the collation result obtained above and considering the operator indicating the combination condition of the ACL attributes (S48). When the condition is rejected as the determination result (S49-YES), the check of the record is finished. If the conditions are not rejected as the determination result of step S48 (S49-NO), it is confirmed whether all the conditions of the combination of ACL attributes have been checked (S5).
0), if all conditions are not checked (S50-N
O), and returns to step S41 to check the next condition. Note that the process of step S49 ends the check only when it is confirmed that the condition is not satisfied, and does not reject in other undefined states. If all the conditions have been checked without rejecting the conditions (S50-YES), the ACL attribute combination conditions will be satisfied, so the access permission information on the ACL record is extracted and revised other than for reference. If the / update / delete is permitted, they are added to the possible access operation types (S51), and the check for the one record is completed.
【0021】「実施形態4」図14は、実施形態4(図
10に例示したACLによる)のアクセス権制御処理フロ
ーに係わる。なお、本実施形態は、図11中の(A)で
囲った、ACLの1レコード分の処理に相当する部分を図1
4に示すフローに置き換えて実施するものであり、ACL
の1レコード分の処理以外は図11と同じ処理フローを
実行する。また、図14中のステップS64は、図13
の(B)で囲んだ部分、即ちACLの属性の組み合わせ条
件を分割して1条件分の処理に相当する部分を示す。図
14を参照して、本例のアクセス権制御処理のフローを
説明する。図14のフローに入る前段のステップで、適
切なユーザによるアクセス要求であるか否かを、アクセ
ス要求に記されたユーザ情報(或いはユーザ属性情報)
により認証する。認証された場合、本例は、複数のアク
セス権設定方式による条件を同時に満たすユーザのみが
設定したアクセス権を持つようにすることを意図したも
のであるから、この条件チェックに関わるユーザ情報お
よびユーザの属性情報を認証サーバ2から取得して認証
情報として保持する(図11参照)。この後、操作対象
物毎に設定されるACL(図10)の各レコードと認証情
報を比較する図14の処理ステップ(S62〜64)に
入るが、先ず、ACLの1レコードを取り出し、そこに記述
されている属性条件データを構文解析して1つの条件を
取り出す(S61)。なお、ACLに属性条件として記述
される一般的な複合条件を解釈して適合チェックをする
ためには条件文の構文解析が必要となるが、ここでは、
図9に示すように比較的単純な‘A=a and B=b’の条件
から‘A=a’と‘B=b’を分離して、それぞれの条件を判
定した上で最後に両者を統合する方式例を示した。一般
的な属性条件としては、演算子として論理積(AND)、
論理和(OR)、否定(NOT)や、等号(=)、不等号
(<,>)およびその組み合わせなどを用いた複雑な条
件も定義することができる。そうした場合には、ここで
例示したよりも少し複雑な構文解析を行う必要がある。[Fourth Embodiment] FIG. 14 relates to the access right control processing flow of the fourth embodiment (by the ACL illustrated in FIG. 10). In the present embodiment, the portion corresponding to the processing for one record of ACL enclosed by (A) in FIG. 11 is shown in FIG.
ACL flow is performed by replacing the flow shown in 4
The same process flow as in FIG. 11 is executed except for the process for one record. Further, step S64 in FIG.
The portion surrounded by (B), that is, the portion corresponding to the processing for one condition by dividing the combination condition of ACL attributes is shown. With reference to FIG. 14, a flow of the access right control process of this example will be described. In the previous step of entering the flow of FIG. 14, it is determined whether or not the access request is made by an appropriate user, and the user information (or user attribute information) described in the access request.
Authenticate by. When authenticated, this example is intended to ensure that only users who simultaneously satisfy the conditions of multiple access right setting methods have the set access rights. Attribute information is acquired from the authentication server 2 and held as authentication information (see FIG. 11). After that, the process steps (S62 to S64) of FIG. 14 for comparing each record of the ACL (FIG. 10) set for each operation object with the authentication information are entered. First, one record of the ACL is taken out and stored in that. The described attribute condition data is parsed to extract one condition (S61). In order to interpret the general compound condition described as an attribute condition in ACL and check the conformity, it is necessary to parse the conditional statement, but here,
As shown in FIG. 9, 'A = a'and'B = b 'are separated from the relatively simple'A = a and B = b' condition, each condition is judged, and finally both are judged. An example of integration method is given. As a general attribute condition, AND (AND) as an operator,
Complex conditions using logical sum (OR), negation (NOT), equal sign (=), inequality sign (<,>), and combinations thereof can also be defined. In that case, you need to do a little more complicated parsing than the one illustrated here.
【0022】本例では、「実施形態3」で組み合わされ
た属性条件にさらにグループを特定する条件が追加され
ているので、ACLの1レコードに記述された属性条件を構
文解析して得られる3種類の条件に対するチェック処理
を要する。そこで、この3種類の条件に対するチェック処
理を分岐するために、最初に、ステップ61で取り出し
た1条件がグループを特定できる条件であるかを確認
し、グループである場合に(S62-YES)、ディレクト
リサーバ3を検索し、認証情報に含まれるユーザIDが、
該当グループの構成メンバーに含まれるか否かを判定す
る(S63)。他方、ステップ61で取り出した1条件
がグループを特定できる条件ではない場合(S62-N
O)、「実施形態3」で説明した図13の(B)部分の
処理、即ちACLのユーザ属性の組み合わせ条件の分割処
理を行う(S64)。このようにして、3種類の条件に
対するチェック処理を分岐して行い、それぞれ得られる
判定結果(S63,S46,S47)、即ち属性条件の
照合の成立/不成立の結果を受け、かつACLの属性の組
み合わせ条件を示す演算子を考慮して、複数のアクセス
権設定方式による条件を満足するかを判定する(S6
5)。判定結果として、条件を棄却する場合(S66-Y
ES)、当該レコードのチェックを終了する。ステップS
65の判定結果として、条件を棄却しない場合(S66
-NO)、ACLの属性の組み合わせの全条件のチェックを済
ませたかを確認して(S67)、全条件をチェックして
いない場合には(S67-NO)、次の条件をチェックす
るためにステップS61に戻す。なお、ステップS65
の処理は、条件不成立を確認した場合のみ当該レコード
のチェックを終了させ、それ以外の不定の状態では棄却
をしない。条件を棄却せずに、全条件のチェックが済ん
だ場合には(S67-YES)、ACLの属性の組み合わせ条
件を満たすことになるので、ACLレコード上のアクセス
許可情報を取り出し、参照以外に改版/更新/削除が許
可されているときには、それらを可能なアクセス操作種
に加え(S68)、当該1レコード分のチェックを終了
する。In this example, since a condition for specifying a group is added to the attribute conditions combined in the "third embodiment", the attribute condition described in one record of the ACL is obtained by parsing 3 Check processing for the types of conditions is required. Therefore, in order to branch the check processing for these three kinds of conditions, first, it is confirmed whether the one condition extracted in step 61 is a condition that can specify a group, and if it is a group (S62-YES), The directory server 3 is searched, and the user ID included in the authentication information is
It is determined whether or not the member is included in the members of the corresponding group (S63). On the other hand, if the one condition extracted in step 61 is not a condition that can specify a group (S62-N
O), the process of part (B) of FIG. 13 described in the "third embodiment", that is, the process of dividing the combination condition of the user attributes of the ACL is performed (S64). In this way, the check processing for the three types of conditions is performed in a branched manner, and the determination results (S63, S46, S47) obtained respectively, that is, the result of success / failure of the matching of the attribute conditions are received, and the ACL attribute Considering the operator indicating the combination condition, it is determined whether or not the conditions according to the plurality of access right setting methods are satisfied (S6).
5). When the condition is rejected as the determination result (S66-Y
ES), the check of the record ends. Step S
When the condition is not rejected as the determination result of S65 (S66)
-NO), check whether all the conditions of the combination of ACL attributes have been checked (S67), and if all the conditions have not been checked (S67-NO), step to check the next condition. Return to S61. Note that step S65
In the process of, the check of the record is finished only when it is confirmed that the condition is not satisfied, and it is not rejected in other undefined states. If all the conditions have been checked without rejecting the conditions (S67-YES), the ACL attribute combination conditions will be satisfied, so access permission information on the ACL record is extracted and revised other than for reference. If the / update / delete is permitted, they are added to the possible access operation types (S68), and the check for the one record is completed.
【0023】上記「実施形態1」〜「実施形態4」にそ
れぞれ示したアクセス権制御処理は、例示したフローに
示した各処理ステップを実行するためのコンピュータプ
ログラムを作成し、それを、文書管理サーバ(図1のシ
ステム例では電子データ管理サーバ1)を構成するコン
ピュータにおける動作制御プログラムとして用いること
により、実施し得る。文書管理サーバ(電子データ管理
サーバ1)を構成するコンピュータは、サーバ機能に必
要な処理手順を実行するためのプログラム(ソフトウェ
ア)を内蔵CPU(図示せず)の制御下の記憶手段(図示
せず)の記憶媒体に保持させ、プログラムに従う処理を
実行するが、そのプログラムの一部として、上記「実施
形態1」〜「実施形態4」にそれぞれ例示したアクセス
権制御処理を実行するために作成したプログラムを用
い、所期のアクセス権制御を実現する。The access right control processing shown in each of the above "first embodiment" to "fourth embodiment" creates a computer program for executing each processing step shown in the exemplified flow, and executes the computer program to manage the computer program. It can be implemented by using it as an operation control program in a computer that constitutes a server (electronic data management server 1 in the system example of FIG. 1). A computer constituting the document management server (electronic data management server 1) has a storage unit (not shown) under the control of a built-in CPU (not shown) for executing a program (software) for executing a processing procedure required for the server function. ) Is stored in the storage medium and the process according to the program is executed, but created as a part of the program to execute the access right control process illustrated in each of the “first embodiment” to the “fourth embodiment”. Realize the desired access right control using a program.
【0024】[0024]
【発明の効果】(1) 請求項1の発明に対応する効果
文書管理部(電子データ管理サーバ)はユーザ属性情報
(組織のポスト情報、職務権限の範囲等)とアクセス権
の種類とを文書毎に関連付けたアクセスコントロールリ
スト(ACL)を保有し、アクセス要求に対してACLをユー
ザ属性情報により参照するようにしたので、ユーザ属性
を直接アクセス権に結びつけることが可能になり、従
来、ユーザIDやグループIDのみによって管理していたた
めに組織(グループ)変更時にアクセスができなくなっ
てしまっていたケースでも、バックアップが可能にな
り、又その分、不可欠であった組織(グループ)変更時
のメンテナンス作業(グループ構成の見直し等)の負担
を軽減することが可能になる。
(2) 請求項2の発明に対応する効果
上記(1)の効果に加え、階層構造を持つ組織のポスト
情報を対象としたアクセス権設定を行う場合に、上位ポ
ストに設定されているアクセス権も許可するようにした
ので、組織の所属メンバーに対するアクセス権付与がよ
り簡単に実現できる。
(3) 請求項3の発明に対応する効果
上記(1)、(2)の効果に加え、アクセス権設定情報
におけるユーザの属性情報を複数の属性情報の組み合わ
せとしたので、アクセス権設定の自由度を増大させるこ
とができる。即ち、従来行われているグループを利用し
たアクセス権設定は非常に大きな自由度を持っており、
請求項1、請求項2の発明だけで同等の設定を実現する
のは困難であるが、請求項3の発明により、ユーザ属性
の有効利用がやり易くなり、データのセキュリティにあ
わせた柔軟なアクセス権の設定ができるようになる。Advantageous Effects of Invention (1) The effect document management unit (electronic data management server) corresponding to the invention of claim 1 documents user attribute information (post information of organization, range of job authority, etc.) and type of access right. Since an access control list (ACL) associated with each item is stored and the ACL is referenced by the user attribute information for access requests, the user attribute can be directly linked to the access right. Even when the organization (group) is inaccessible when it is changed because it is managed only by the group ID, backup is possible, and the maintenance work when changing the organization (group), which is indispensable It is possible to reduce the burden of reviewing the group composition). (2) Effect corresponding to the invention of claim 2 In addition to the effect of (1) above, when the access right setting is made for post information of an organization having a hierarchical structure, the access right set to the upper level post Since it is also allowed, it is easier to grant access rights to members who belong to the organization. (3) Effect corresponding to the invention of claim 3 In addition to the effects of (1) and (2) above, the attribute information of the user in the access right setting information is a combination of a plurality of attribute information. The degree can be increased. That is, the access right setting using the group that has been conventionally performed has a great degree of freedom,
Although it is difficult to realize the same setting only by the inventions of claims 1 and 2, the invention of claim 3 facilitates effective use of user attributes, and provides flexible access according to data security. You can set the right.
【0025】(4) 請求項4の発明に対応する効果
上記(1)〜(3)の効果に加え、ACLのアクセス権設
定情報をユーザ情報とユーザの属性情報の組み合わせと
したので、さらに柔軟性が高く管理のし易いアクセス権
管理が可能になる。即ち、グループによるアクセス権設
定はディレクトリサーバで管理されているユーザ属性と
無関係な人の集合に対してアクセス権の設定を行う際に
は有効であり、この場合には組織(グループ)変更とは
まったく関係のないアクセス権を設定できるため、両者
を併用することによってさらに柔軟性が高く管理のしや
すいアクセス権管理システムを構築することが可能にな
る。
(5) 請求項5の発明に対応する効果
文書管理部(電子データ管理サーバ)を構成するコンピ
ュータに、請求項5に記載された各処理ステップを実行
するためのプログラムを搭載することにより、上記
(1)の効果を容易に具現化することが可能になる。(4) Effect corresponding to the invention of claim 4 In addition to the effects of (1) to (3), the access right setting information of ACL is a combination of user information and user attribute information, so that it is more flexible. It is possible to manage access rights that are highly manageable and easy to manage. That is, the access right setting by the group is effective when setting the access right for a set of persons who are unrelated to the user attributes managed by the directory server. In this case, the organization (group) change is not Since access rights that are completely unrelated to each other can be set, it becomes possible to construct a more flexible and easy-to-manage access right management system by using both of them together. (5) By installing a program for executing each processing step described in claim 5 in a computer constituting an effect document management unit (electronic data management server) corresponding to the invention of claim 5, It is possible to easily realize the effect of (1).
【図1】 本発明の実施形態に係わる文書処理装置(シ
ステム)の構成の概要を示す。FIG. 1 shows an outline of a configuration of a document processing apparatus (system) according to an embodiment of the present invention.
【図2】 従来のACL(アクセスコントロールリスト)
の例を示す。[Figure 2] Conventional ACL (access control list)
For example:
【図3】 ユーザ情報DBに格納された認証情報の例(グ
ループの定義)を示す。FIG. 3 shows an example of authentication information (group definition) stored in a user information DB.
【図4】 ユーザ情報DBに格納された認証情報の例(ユ
ーザの定義)を示す。FIG. 4 shows an example of authentication information (user definition) stored in a user information DB.
【図5】 本発明に係わるACLの例(実施形態1)を示
す。FIG. 5 shows an example (first embodiment) of an ACL according to the present invention.
【図6】 階層構造をもつユーザ属性の例を示す。FIG. 6 shows an example of user attributes having a hierarchical structure.
【図7】 本発明に係わるACLの例(実施形態2)を示
す。FIG. 7 shows an example (second embodiment) of an ACL according to the present invention.
【図8】 図7のACLによるアクセス権の範囲を説明す
る図である。FIG. 8 is a diagram illustrating a range of access rights according to the ACL of FIG.
【図9】 本発明に係わるACLの例(実施形態3)を示
す。FIG. 9 shows an example (third embodiment) of an ACL according to the present invention.
【図10】 本発明に係わるACLの例(実施形態4)を
示す。FIG. 10 shows an example of an ACL (Embodiment 4) according to the present invention.
【図11】 本発明に係わるアクセス権制御処理(実施
形態1)のフローチャートを示す。FIG. 11 shows a flowchart of an access right control process (first embodiment) according to the present invention.
【図12】 本発明に係わるアクセス権制御処理(実施
形態2)のフローチャートを示す。FIG. 12 shows a flowchart of an access right control process (second embodiment) according to the present invention.
【図13】 本発明に係わるアクセス権制御処理(実施
形態3)のフローチャートを示す。FIG. 13 shows a flowchart of an access right control process (third embodiment) according to the present invention.
【図14】 本発明に係わるアクセス権制御処理(実施
形態4)のフローチャートを示す。FIG. 14 shows a flowchart of an access right control process (fourth embodiment) according to the present invention.
1…電子データ管理サーバ 2…認証サーバ、
3…ディレクトリサーバ、 5A,5B…クライアントコ
ンピュータ、11…ストレージ、 31
…ユーザ情報DB(データベース)。1 ... Electronic data management server 2 ... Authentication server,
3 ... Directory server, 5A, 5B ... Client computer, 11 ... Storage, 31
… User information DB (database).
Claims (5)
ォルダに対して設定されたアクセス権に従い文書を管理
する文書管理部を有する文書処理装置であって、前記文
書管理部は、ユーザ属性情報と関連付けて文書及びフォ
ルダに対して設定されたアクセス権を示したアクセス権
設定情報を予め保有し、ユーザのアクセス要求に示され
た指示内容を該アクセス権設定情報によりチェックし、
整合する設定条件に従いアクセス権を許可するようにし
たことを特徴とする文書処理装置。1. A document processing apparatus comprising a document management unit for placing a document under a folder and managing the document according to an access right set for the document and the folder, wherein the document management unit is user attribute information. The access right setting information indicating the access right set for the document and the folder in association with the above is held in advance, and the instruction content indicated in the user's access request is checked by the access right setting information.
A document processing apparatus characterized in that an access right is permitted according to a matching setting condition.
いて、前記文書管理部は、ユーザ属性情報が階層構造を
持つ組織のポスト情報である場合に、アクセス権を許可
するときに、アクセス要求をしたユーザの属性としての
ポストに対して上位に位置するポストとの関連で設定さ
れているアクセス権も許可するようにしたことを特徴と
する文書処理装置。2. The document processing apparatus according to claim 1, wherein the document management unit, when the user attribute information is post information of an organization having a hierarchical structure, requests access when granting an access right. A document processing apparatus characterized in that an access right set in association with a post located at a higher level is also permitted to a post as an attribute of a user who has made a request.
置において、アクセス権設定情報におけるユーザの属性
情報が、複数の属性情報の組み合わせからなることを特
徴とする文書処理装置。3. The document processing apparatus according to claim 1 or 2, wherein the user attribute information in the access right setting information is a combination of a plurality of attribute information.
文書処理装置において、前記アクセス権設定情報がユー
ザ情報とユーザの属性情報の組み合わせと文書及びフォ
ルダに対して設定されたアクセス権との関連を示すもの
であることを特徴とする文書処理装置。4. The document processing apparatus according to claim 1, wherein the access right setting information is a combination of user information and user attribute information, and an access right set for a document and a folder. A document processing device characterized by showing the relation of.
ォルダに対して設定されたアクセス権に従い文書を管理
するためのコンピュータプログラムであって、管理下の
文書及びフォルダに対するユーザのアクセス要求に基づ
いてユーザの属性情報及びアクセス種別情報を取得する
ステップと、取得したユーザの属性情報及びアクセス権
種別を、予め用意したユーザ属性情報と関連付けて文書
及びフォルダに対して設定されたアクセス権を示したア
クセス権設定情報によりチェックするステップと、チェ
ック結果により整合するアクセス権を許可するステップ
の各処理ステップを実行するためのコンピュータプログ
ラム。5. A computer program for placing a document under a folder and managing the document according to the access right set for the document and the folder, based on a user's access request for the document and the folder under the control. The step of acquiring the user's attribute information and access type information, and the acquired user's attribute information and access right type are associated with the user attribute information prepared in advance to indicate the access right set for the document and folder. A computer program for executing each processing step of checking by the access right setting information and permitting an access right matching the check result.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002080411A JP2003280990A (en) | 2002-03-22 | 2002-03-22 | Document processing device and computer program for managing document |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002080411A JP2003280990A (en) | 2002-03-22 | 2002-03-22 | Document processing device and computer program for managing document |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003280990A true JP2003280990A (en) | 2003-10-03 |
Family
ID=29229456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002080411A Pending JP2003280990A (en) | 2002-03-22 | 2002-03-22 | Document processing device and computer program for managing document |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003280990A (en) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005259112A (en) * | 2004-02-13 | 2005-09-22 | Ricoh Co Ltd | Information processor, information processing method, information processing program, storage medium, and information management device |
| JP2005266946A (en) * | 2004-03-16 | 2005-09-29 | Ricoh Co Ltd | Information processor, information processing method, information processing program and recording medium |
| JP2005338935A (en) * | 2004-05-24 | 2005-12-08 | Mitsubishi Electric Corp | In-house information system management device and method |
| JP2006031533A (en) * | 2004-07-20 | 2006-02-02 | Chugoku Electric Power Co Inc:The | Drawing distribution list management system |
| JP2006092075A (en) * | 2004-09-22 | 2006-04-06 | Fuji Xerox Co Ltd | Computer program for object management, and object management device and method |
| WO2006137124A1 (en) * | 2005-06-20 | 2006-12-28 | Fujitsu Limited | Document management device |
| JP2007109217A (en) * | 2005-09-16 | 2007-04-26 | Ricoh Co Ltd | Information processing apparatus, information processing method, information processing program, information displaying apparatus, information displaying method and information displaying program |
| JP2007513402A (en) * | 2003-11-06 | 2007-05-24 | インテュウェーブ リミテッド | Secure multi-entity access to resources on mobile phones |
| JP2007257127A (en) * | 2006-03-22 | 2007-10-04 | Hitachi Software Eng Co Ltd | Organizational hierarchy definition system, composition method for group hierarchy and display method for organizational hierarchy |
| JP2008117052A (en) * | 2006-11-01 | 2008-05-22 | Hitachi Software Eng Co Ltd | Management authority setting system |
| JP2008146586A (en) * | 2006-12-13 | 2008-06-26 | Fujitsu Ltd | Annotation management program, annotation management device, and annotation management method |
| JP2008210376A (en) * | 2007-02-01 | 2008-09-11 | Hitachi Software Eng Co Ltd | Organization hierarchy definition system, group hierarchy composition method, and organization hierarchy display method |
| JP2008294550A (en) * | 2007-05-22 | 2008-12-04 | Fuji Xerox Co Ltd | Document management system, document processor and document management program |
| JP2008294551A (en) * | 2007-05-22 | 2008-12-04 | Fuji Xerox Co Ltd | Document management system, document operation device and document operation program |
| JP2009087230A (en) * | 2007-10-02 | 2009-04-23 | Fuji Xerox Co Ltd | Information processor, information processing system and program |
| JP2009259188A (en) * | 2008-03-17 | 2009-11-05 | Ricoh Co Ltd | Apparatus, system and method for assisting collaborative work, program and recording medium |
| JP2009539183A (en) * | 2006-05-30 | 2009-11-12 | マイクロソフト コーポレーション | Convert role-based access control policies to resource authorization policies |
| JP2011013723A (en) * | 2009-06-30 | 2011-01-20 | Hitachi East Japan Solutions Ltd | Access control method, program, and access control system |
| US8015164B2 (en) | 2005-12-22 | 2011-09-06 | Canon Kabushiki Kaisha | Information processing apparatus and information processing method |
| JP2012003362A (en) * | 2010-06-15 | 2012-01-05 | Chugoku Electric Power Co Inc:The | Content server and access control system |
| JP2012003361A (en) * | 2010-06-15 | 2012-01-05 | Chugoku Electric Power Co Inc:The | Content server and access control system |
| JP2012133813A (en) * | 2012-03-12 | 2012-07-12 | Fuji Xerox Co Ltd | Authority authentication device, authority authentication system, and authority authentication program |
| WO2013022317A2 (en) * | 2011-08-10 | 2013-02-14 | 엘지전자 주식회사 | Method for executing command of server, and apparatus for same |
| JP2013105193A (en) * | 2011-11-10 | 2013-05-30 | Nec Corp | Mailing list device, mail distribution method, and program |
| JP2014016697A (en) * | 2012-07-06 | 2014-01-30 | Mitsubishi Electric Corp | Authority id assignment device, authentication system, authority id assignment method, authority id assignment program, and authentication method |
| US8862624B2 (en) | 2005-12-19 | 2014-10-14 | International Business Machines Corporation | Access control to resource content |
| JP2016192060A (en) * | 2015-03-31 | 2016-11-10 | ブラザー工業株式会社 | Server program, information management method, and server device |
| CN113505362A (en) * | 2021-07-16 | 2021-10-15 | 长鑫存储技术有限公司 | System authority control method, data center, control device and storage medium |
-
2002
- 2002-03-22 JP JP2002080411A patent/JP2003280990A/en active Pending
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007513402A (en) * | 2003-11-06 | 2007-05-24 | インテュウェーブ リミテッド | Secure multi-entity access to resources on mobile phones |
| JP4625334B2 (en) * | 2004-02-13 | 2011-02-02 | 株式会社リコー | Information processing apparatus, information processing method, information processing program, recording medium, and resource management apparatus |
| JP2005259112A (en) * | 2004-02-13 | 2005-09-22 | Ricoh Co Ltd | Information processor, information processing method, information processing program, storage medium, and information management device |
| US7574745B2 (en) | 2004-02-13 | 2009-08-11 | Ricoh Company, Ltd. | Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus |
| JP2005266946A (en) * | 2004-03-16 | 2005-09-29 | Ricoh Co Ltd | Information processor, information processing method, information processing program and recording medium |
| JP2005338935A (en) * | 2004-05-24 | 2005-12-08 | Mitsubishi Electric Corp | In-house information system management device and method |
| JP2006031533A (en) * | 2004-07-20 | 2006-02-02 | Chugoku Electric Power Co Inc:The | Drawing distribution list management system |
| JP2006092075A (en) * | 2004-09-22 | 2006-04-06 | Fuji Xerox Co Ltd | Computer program for object management, and object management device and method |
| WO2006137124A1 (en) * | 2005-06-20 | 2006-12-28 | Fujitsu Limited | Document management device |
| JPWO2006137124A1 (en) * | 2005-06-20 | 2009-01-08 | 富士通株式会社 | Document management device |
| JP2007109217A (en) * | 2005-09-16 | 2007-04-26 | Ricoh Co Ltd | Information processing apparatus, information processing method, information processing program, information displaying apparatus, information displaying method and information displaying program |
| US8862624B2 (en) | 2005-12-19 | 2014-10-14 | International Business Machines Corporation | Access control to resource content |
| US8015164B2 (en) | 2005-12-22 | 2011-09-06 | Canon Kabushiki Kaisha | Information processing apparatus and information processing method |
| JP2007257127A (en) * | 2006-03-22 | 2007-10-04 | Hitachi Software Eng Co Ltd | Organizational hierarchy definition system, composition method for group hierarchy and display method for organizational hierarchy |
| KR101432317B1 (en) | 2006-05-30 | 2014-08-21 | 마이크로소프트 코포레이션 | Translating role-based access control policy to resource authorization policy |
| JP2009539183A (en) * | 2006-05-30 | 2009-11-12 | マイクロソフト コーポレーション | Convert role-based access control policies to resource authorization policies |
| JP2008117052A (en) * | 2006-11-01 | 2008-05-22 | Hitachi Software Eng Co Ltd | Management authority setting system |
| JP2008146586A (en) * | 2006-12-13 | 2008-06-26 | Fujitsu Ltd | Annotation management program, annotation management device, and annotation management method |
| JP2008210376A (en) * | 2007-02-01 | 2008-09-11 | Hitachi Software Eng Co Ltd | Organization hierarchy definition system, group hierarchy composition method, and organization hierarchy display method |
| JP2008294550A (en) * | 2007-05-22 | 2008-12-04 | Fuji Xerox Co Ltd | Document management system, document processor and document management program |
| JP2008294551A (en) * | 2007-05-22 | 2008-12-04 | Fuji Xerox Co Ltd | Document management system, document operation device and document operation program |
| JP2009087230A (en) * | 2007-10-02 | 2009-04-23 | Fuji Xerox Co Ltd | Information processor, information processing system and program |
| JP2009259188A (en) * | 2008-03-17 | 2009-11-05 | Ricoh Co Ltd | Apparatus, system and method for assisting collaborative work, program and recording medium |
| JP2011013723A (en) * | 2009-06-30 | 2011-01-20 | Hitachi East Japan Solutions Ltd | Access control method, program, and access control system |
| JP2012003361A (en) * | 2010-06-15 | 2012-01-05 | Chugoku Electric Power Co Inc:The | Content server and access control system |
| JP2012003362A (en) * | 2010-06-15 | 2012-01-05 | Chugoku Electric Power Co Inc:The | Content server and access control system |
| WO2013022317A2 (en) * | 2011-08-10 | 2013-02-14 | 엘지전자 주식회사 | Method for executing command of server, and apparatus for same |
| WO2013022317A3 (en) * | 2011-08-10 | 2013-06-20 | 엘지전자 주식회사 | Method for executing command of server, and apparatus for same |
| JP2013105193A (en) * | 2011-11-10 | 2013-05-30 | Nec Corp | Mailing list device, mail distribution method, and program |
| JP2012133813A (en) * | 2012-03-12 | 2012-07-12 | Fuji Xerox Co Ltd | Authority authentication device, authority authentication system, and authority authentication program |
| JP2014016697A (en) * | 2012-07-06 | 2014-01-30 | Mitsubishi Electric Corp | Authority id assignment device, authentication system, authority id assignment method, authority id assignment program, and authentication method |
| JP2016192060A (en) * | 2015-03-31 | 2016-11-10 | ブラザー工業株式会社 | Server program, information management method, and server device |
| CN113505362A (en) * | 2021-07-16 | 2021-10-15 | 长鑫存储技术有限公司 | System authority control method, data center, control device and storage medium |
| CN113505362B (en) * | 2021-07-16 | 2023-09-22 | 长鑫存储技术有限公司 | System authority management and control method, data center, management and control device and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2003280990A (en) | Document processing device and computer program for managing document | |
| US11038867B2 (en) | Flexible framework for secure search | |
| JP4398371B2 (en) | How to control access to a relational database | |
| US9251364B2 (en) | Search hit URL modification for secure application integration | |
| US7761404B2 (en) | System and method for managing application specific privileges in a content management system | |
| US7941419B2 (en) | Suggested content with attribute parameterization | |
| US8332430B2 (en) | Secure search performance improvement | |
| US8005816B2 (en) | Auto generation of suggested links in a search system | |
| US7546633B2 (en) | Role-based authorization management framework | |
| US8875249B2 (en) | Minimum lifespan credentials for crawling data repositories | |
| US8433712B2 (en) | Link analysis for enterprise environment | |
| US7574745B2 (en) | Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus | |
| US6457007B1 (en) | Distributed database management system including logical database constituted by a group of physical databases | |
| US20120278303A1 (en) | Propagating user identities in a secure federated search system | |
| US20070214129A1 (en) | Flexible Authorization Model for Secure Search | |
| US20070208714A1 (en) | Method for Suggesting Web Links and Alternate Terms for Matching Search Queries | |
| US20120072426A1 (en) | Self-service sources for secure search | |
| US7284265B2 (en) | System and method for incremental refresh of a compiled access control table in a content management system | |
| US20040254934A1 (en) | High run-time performance method and system for setting ACL rule for content management security | |
| JP2002207739A (en) | Document management system | |
| US20040010665A1 (en) | Employing local data stores to maintain data during workflows | |
| US8533242B2 (en) | File management method in web storage system | |
| JP4892179B2 (en) | Zone-based security management for data items | |
| US20040268125A1 (en) | Method, system and computer program for managing user authorization levels | |
| US7272550B2 (en) | System and method for configurable binding of access control lists in a content management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060628 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060712 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060911 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070402 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070528 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070712 |