JP2003515806A - 簡略化ldapアクセス制御言語システム - Google Patents

簡略化ldapアクセス制御言語システム

Info

Publication number
JP2003515806A
JP2003515806A JP2001540459A JP2001540459A JP2003515806A JP 2003515806 A JP2003515806 A JP 2003515806A JP 2001540459 A JP2001540459 A JP 2001540459A JP 2001540459 A JP2001540459 A JP 2001540459A JP 2003515806 A JP2003515806 A JP 2003515806A
Authority
JP
Japan
Prior art keywords
user
read
write
access
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001540459A
Other languages
English (en)
Inventor
プラサンタ ベヘラ
Original Assignee
ネットスケープ コミュニケーションズ コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ネットスケープ コミュニケーションズ コーポレーション filed Critical ネットスケープ コミュニケーションズ コーポレーション
Publication of JP2003515806A publication Critical patent/JP2003515806A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

(57)【要約】 【課題】 ユーザが自分のディレクトリエントリ情報の特定の属性にアクセスし得る者のリストを指定する機能をシステム管理者に与える簡略化LDAPアクセス制御言語システムを提供すること。 【解決手段】 簡略化LDAPアクセス言語システムは、ユーザが自分の属性の特定のセットに対する読み取り又は書き込みアクセスを与えたい人物をディレクトリシステムに伝えるユーザ定義属性を提供する。読み取り及び書き込み属性は、別個のリストであり、実際に、異なるもので、これにより、ユーザに、自分の属性に対するアクセスの優れた管理を行う柔軟性を与える。読み取り及び書き込み属性の値は、インターネット規格(RFC2254)であるLDAPフィルタフォーマットであり、これにより、ユーザは、自分のイントラネットのローカルユーザのみでなく、インターネット全体のユーザを同様に指定できる。アクセス制御リスト(ACL)は、システム管理者により作成され、ユーザが読み取り又は書き込みアクセスを制御可能な特定の属性が記載され、これによりシステム管理者は、ユーザがどの情報を公開できるかを完全に制御することが可能になる。このACLは、エントリと共にディレクトリに格納される。ユーザが、ディレクトリ内のエントリにアクセスする時、サーバは、アクセスされている属性に指定されたACLをチェックする。アクセスされている属性の所有者の読み取り又は書き込み属性は、サーバがACLをチェックする時、このサーバにより使用される。読み取り又は書き込み属性とACLとの組み合わせにより、そのユーザが、アクセスされている属性に対する読み取り又は書き込みアクセスを実行する許可を有しているどうかが判断される。

Description

【発明の詳細な説明】
【0001】
【発明が属する技術分野】
本発明は、コンピュータ環境においてディレクトリ構造から情報にアクセスす
ることに関する。特に、本発明は、コンピュータ環境においてLDAP( Lightweigh
t Directory Access Protocol)ディレクトリ構造内のデータへのアクセスを制御
することに関する。
【0002】
【従来の技術】
軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリ(ネットスケープ
・コミュニケーションズ社のDirectory Server等)は、「エントリ」の集合で
ある。各エントリは、名前(識別名と呼ばれる)と属性値のリストとを有する。
ディレクトリ内のエントリは、小さな単位に再分割される主要集団を有するツリ
ー構造で組織化されている。ディレクトリは、いくつかの組織エントリを含むこ
とが可能で、各組織エントリは、いくつかの組織単位エントリを含むことができ
る。これらのエントリは、更に再分割することができる。
【0003】 LDAPは、ディレクトリツリーの特定の部分で実行可能な検索動作を提供する。
このため、ツリーとサブツリーは、LDAPディレクトリに格納されたデータを取り
扱うための自然な方法である。
【0004】 エントリと属性とは、人事情報、サーバ設定、取引関係、及び優先度といった
幅広いデータタイプに対応している。すべてのエントリは、単一のディレクトリ
内に格納されるため、特定情報の可用性を認定ユーザに限定する方法が必要にな
る。
【0005】 このアクセス制御に使用される方法は、アクセス制御リスト(ACL)を介して
行われる。ディレクトリサーバ管理者(DSAdmin)は、特定のユーザがディレク
トリ内のさまざまな情報にアクセスすることを許可するいくつかの基本ACL規則
を作成する。セキュリティに関する考慮事項のほとんどの場合、数十乃至数百の
規則を実施する必要がある。ACLの数が少なければ、パフォーマンスが向上し、
管理が容易になる。
【0006】 ディレクトリは、例えば、人間等に関する情報の集合を含むイントラネット内
において、クリティカルな中央リポジトリであるため、アクセスオプション/機
能の豊富なセットを提供することが必須である。例えば、ユーザは、自分のエン
トリを修正することができるべき、つまり、DSAdminに全く干渉されずに、自宅
住所又は自宅電話番号を更新することができるべきである。
【0007】 機能向上により、ユーザには、自分の個人情報の一部にアクセスすることが出
来る者を決定する能力が、与えられる。これを行う唯一の方法は、ユーザによる
ACLの作成を可能にすることである。しかしながら、ディレクトリは、ネットス
ケープのネットセンタにより使用されるディレクトリ等、何百万ものエントリを
含む可能性がある。従来のアプローチを使用してこのようなサイズのディレクト
リをサポートするためには、何百万ものACLが必要となる。これは、サーバのパ
フォーマンスを低下させるのみではなく、極めて扱いにくいものとなる。更にこ
れは、ユーザが、容認できない、DSAdminがいくつかの特権を拒絶する規則を作
成することが可能となるようなリスクを生み出す。
【0008】 もう一つの欠点は、ACLシンタックスが一般に複雑なことである。通常のユー
ザが、効率的に及び安全に規則を使用することができるように、この形式と規則
のフィールドとを理解することは不可能である。
【0009】 ユーザが、自分のディレクトリエントリ情報の特定の属性にアクセスし得る者
のリストを指定する機能を、システム管理者に与える簡略化LDAPアクセス制御言
語システムを提供することができれば有利であろう。更に、ユーザによるこうし
た仕様の作成を可能にする単純なメカニズムを備える簡略化LDAPアクセス制御言
語システムを提供することができれば、有利であろう。
【0010】
【課題を解決するための手段】
本発明は、簡略化LDAPアクセス言語システムを提供する。このシステムは、シ
ステム管理者が、ユーザに、ディレクトリエントリの特定の属性にアクセスでき
る者のリストを指定する柔軟性を与えることを可能にする単純なコマンド言語を
提供する。加えて、本発明は、ユーザが、複雑なコマンドシンタックスを学習す
る必要なしに、アクセスリストを簡単に指定することを可能にするシステムを提
供する。
【0011】 本発明の好適な実施形態は、ユーザが、自分の属性の特定のセットに対する読
み取り又は書き込みアクセスを与えたい人物をディレクトリシステムに伝えるユ
ーザ定義属性を提供する。読み取り及び書き込み属性は、別個のリストであり、
実際に、異なるものである。これは、ユーザに、自分の属性に対するアクセスの
優れた管理を行う柔軟性を与える。
【0012】 読み取り及び書き込み属性の値は、インターネット規格(RFC2254)であるLDA
Pフィルタフォーマットである。このフィルタ特性により、ユーザは、自分のイ
ントラネットのローカルユーザのみでなく、インターネット全体のユーザを同様
に指定できる。
【0013】 アクセス制御リスト(ACL)は、システム管理者により作成される。このACLに
は、ユーザが読み取り又は書き込みアクセスを制御可能な特定の属性が記載され
る。これにより、システム管理者は、ユーザがどの情報を公開できるかを完全に
制御することが可能になる。
【0014】 このACLは、エントリと共にディレクトリに格納される。ユーザが、ディレク
トリ内のエントリにアクセスする時、サーバは、アクセスされている属性に指定
されたACLをチェックする。アクセスされている属性の所有者の読み取り又は書
き込み属性は、サーバがACLをチェックする時、このサーバにより使用される。
読み取り又は書き込み属性とACLとの組み合わせにより、そのユーザが、アクセ
スされている属性に対する読み取り又は書き込みアクセスを実行する許可を有し
ているどうかが判断される。
【0015】 本発明のその他の態様及び利点は、本発明の原理を例示する添付図面と併せて
、以下の詳細な説明から明らかになるであろう。
【0016】
【発明を実施するための形態】
本発明は、コンピュータ環境における簡略化LDAPアクセス制御言語システムに
おいて実施される。本発明によるシステムは、システム管理者がユーザに対して
、ディレクトリエントリの特定の属性にアクセスできる者のリストを指定する柔
軟性を与えることを可能にする単純なコマンド言語を提供する。加えて、本発明
は、複雑なコマンドシンタックスを学習する必要なく、ユーザがアクセスリスト
を簡単に指定することを可能にするシステムを提供する。
【0017】 軽量ディレクトリアクセスプロトコル(LDAP)ディレクトリ(ネットスケープ
・コミュニケーションズ社のDirectory Server等)は、「エントリ」の集合で
ある。各エントリは、名前(識別名と呼ばれる)と属性値のリストとを有する。
ディレクトリ内のエントリは、小さな単位に再分割される主要集団を有するツリ
ー構造に組織化されている。ディレクトリは、いくつかの組織単位エントリを含
むことができるいくつかの組織エントリを含むことが出来る。これらのエントリ
は、更に再分割することができる。
【0018】 LDAPは、ディレクトリツリーの特定の部分で実行可能な検索動作を提供する。
このため、ツリーとサブツリーは、LDAPディレクトリに格納されたデータを取り
扱うための自然な方法である。
【0019】 エントリと属性とは、人事情報、サーバ設定、取引関係、及び優先度といった
幅広いデータタイプに対応している。すべてのエントリは、単一のディレクトリ
内に格納されるため、特定情報の可用性を認定ユーザに限定する方法が必要にな
る。
【0020】 このアクセス制御に使用される方法は、アクセス制御リスト(ACL)を介して
行われる。ディレクトリサーバ管理者(DSAdmin)は、特定のユーザがディレク
トリ内のさまざまな情報にアクセスすることを許可するいくつかの基本ACL規則
を作成する。セキュリティに関する考慮事項のほとんどの場合、数十乃至数百の
規則を実施する必要がある。ACLの数が少なければ、パフォーマンスが向上し、
管理が容易になる。
【0021】 ディレクトリは、例えば、人間等に関する情報の集合を含むイントラネット内
において、クリティカルな中央リポジトリであるため、アクセスオプション/機
能の豊富なセットを提供することが必須である。例えば、ユーザは、自分のエン
トリを修正することができるべき、つまり、DSAdminに全く干渉されずに、自宅
住所又は自宅電話番号を更新することができるべきである。
【0022】 機能向上により、ユーザには、自分の個人情報の一部にアクセスすることが出
来る者を決定する能力が、与えられる。これを行う唯一の方法は、ユーザによる
ACLの作成を可能にすることである。しかしながら、ディレクトリは、ネットス
ケープのネットセンタにより使用されるディレクトリ等、何百万ものエントリを
含む可能性がある。従来のアプローチを使用してこのようなサイズのディレクト
リをサポートするためには、何百万ものACLが必要となる。これは、サーバのパ
フォーマンスを低下させるのみではなく、極めて扱いにくいものとなる。更にこ
れは、ユーザが、容認できない、DSAdminがいくつかの特権を拒絶する規則を作
成することが可能となるようなリスクを生み出す。
【0023】 もう一つの欠点は、ACLシンタックスが一般に複雑なことである。通常のユー
ザが、効率的にかつ安全に規則を使用できるように、この形式と規則のフィール
ドを理解することは不可能である。
【0024】 提示されている問題は次の通りである。 ・ユーザに、自分の情報の一部を管理させる方法。
【0025】 ・セキュリティ規則の違反が発生しないように、DSAdminが、情報を管理でき
るようにする方法。
【0026】 ・前記状況の下で、サーバを管理可能にする方法。
【0027】 理想的には、DSAdminが、(ディレクトリ内のn属性から)以下のタスクを実行
する規則を有していることが望まれる。
【0028】 1.世界中の如何なる者も、n1属性を読み出せる(これは、典型的な要件であ
る)。属性の例は、cn、sn、電話番号である。
【0029】 2.ユーザ自身は、例えば、自宅住所、自宅電話番号等のn2属性を読み取りか
つ修正できる。
【0030】 3.所有者/マネージャは、例えば、給与、雇用等級等のn3属性を管理できる
【0031】 4.ユーザは、n4属性を管理できる、つまりユーザが、この属性を読み取り又
は修正できる者を決定する。例えば、ユーザは、サムのみが趣味属性を読み出せ
、ケリーのみが緊急連絡先情報の読み取り又は変更を行って情報を最新に保てる
ように、決定することができる。
【0032】 5.管理者グループを除く不特定多数の者は、雇用状況等、残りのn5 =[n−(
n1+n2+n3+n4)]属性にアクセスできない。
【0033】 1、2、3、及び5を解決することは、かなり容易であり、これについては以下で
説明する。唯一、困難な項目は、4番目のケースである。前述したように、この
機能を可能にするには、ユーザが自分のACLを作成することが出来ることが必要
である。これは、何百万ものACLにつながることになり、受け入れることはでき
ない。本明細書の以下の部分では、わずかなACLと既存のインターネット規格と
を使用して、こうした問題を克服する新しいアプローチを説明する。
【0034】 これが応用可能な一領域は、Netcenterメンバのレジストリを有するネットス
ケープのNetcenter内にある。すべてのメンバ情報は、ディレクトリサーバに格
納される。Netcenter管理者は、メンバの情報/プロフィールを保守したいばか
りではなく、他のメンバがアクセス出来る他のいくつかの重要な情報をメンバが
保守できるような柔軟性も提供したいと考えるであろう。この問題に明快な方法
で対処できる現行のソリューションは、存在しないため、差し迫った必要性が存
在する。
【0035】 当業者は、本明細書においてはLDAPディレクトリについて述べているが、本発
明は、任意のディレクトリアプリケーションにおいて実施可能であることを、容
易に理解するであろう。加えて、引用した具体例は人間に関係した属性に関わる
ものであるが、当業者は、システム内に格納された任意の属性へのアクセスを本
発明により制御できることを容易に理解するであろう。
【0036】 図1には、個人のLDAPディレクトリエントリ101の例が示されている。特定の個
人に関する属性が列挙されている。このような属性の一部(dn、sn、uid等)は
、管理者102により制御される。趣味、ホームページ、パーソナルページ等、特
定の数の属性103は、ユーザが読み取り及び書き込みアクセスを制御したい属性
である。
【0037】 LDAP規格は、柔軟性が高い。新しい属性又はオブジェクトクラスを追加するこ
とにより、スキーマの拡張が可能になる。「趣味」107と呼ばれる新しい属性を
エントリに追加することは、この属性を有するオブジェクトクラスが既に追加さ
れている限り可能である。
【0038】 図2に関して、理想的な状況では、所定のn属性201に対し、属性の一部(電話
番号等)がパブリック202である。つまり、如何なるユーザもこれらを見ること
ができる。他の属性は、プライベートであり、通常、他のユーザはこれらを利用
することはできない。例えば、部門管理者及びマネージャのみが、個人の給与属
性203にアクセスすることが可能で、スーパ管理者のみが、個人の雇用状況204に
アクセスすることが可能である。最後の属性セットは、ユーザが制御する205、
趣味、ホームページ、及びパーソナルページ等である。
【0039】 ケース1、2、3、及び5を解決する方法の説明には、以下のACLシンタックスが
使用される。このシンタックスは、一参考として使用されているに過ぎないこと
に留意されたい。
【0040】 ・任意の者が、n1属性を読み出すことが出来る。
【0041】 ACL:(list of n1 attrs)(allow(read)user=“anyone”)
【0042】 ・ユーザ自身は、n2属性を読み出すことが出来る。
【0043】 ACL:(list of n2 attrs)(allow(read, write)user =“self
”)
【0044】 ・管理者グループしか、n5属性の読み取り/書き込みを行うことは出来ない。
【0045】 ACL:(list of n5 attrs)(allow(read, write)group=“Admi
ngroupe”)
【0046】 ・所有者又はマネージャは、n3属性を管理することができる。
【0047】 ACL:(list of n3 attrs)(allow(read, write)attr=“manag
er”or attr=“owner”)
【0048】 再び図1を参照すると、ユーザPrasanta 108のマネージャは、Claire 109であ
り、彼女はn3属性のリストの読み取り/書き込みを行うことが可能である。同様
に、JoeのマネージャであるBillは、Joeのn3属性の読み取り/修正を行うことが
可能である。これは、一つのACLを使用して達成される。「マネージャ」の値は
、実行時にプラグインされる。
【0049】 ケース4では、要件は、更に複雑になる。n4属性から、更に細かい粒度を達成
する必要がある。つまり、n4属性は、特定の者が読み取ることが出来(n4読み取
り属性)、(必ずしも、属性を読み取ることが出来る者とは同じではない)特定
の者により修正することが出来る(n4書き込み属性)。本発明の好適な実施形態
の場合、他のケースと同様のACLを提供し、かつ更にユーザ定義属性を使用する
ことにより、4番目のケースを解決する。
【0050】 再び図1を参照すると、ユーザ定義属性104は、ユーザが自分の属性103に対す
る読み取り許可105及び書き込み許可106を与えたい者をシステムに伝える。読み
取り属性105と書き込み属性106が、別個のリストであることは明白であるので、
これらは、実際、異なるものにすることができる。これにより、ユーザには、自
分の属性に対するアクセスの優れた管理を行う柔軟性が与えられる。
【0051】 本発明のACLシンタックスは、次の通りである(前述の例が使用されている)
【0052】 ACL: (list of n4−read attrs) (allow (read) filterattr=“whocanreadat
tr”)
【0053】 Ex: (hobbies, emergencyContact) (allow (read) filterattr=“whocanread
attr”)
【0054】 ACL: (list of n4−write attrs) (allow (write) filterattr=“whocanwrite
attr”)
【0055】 Ex: (emergencyContact) (allow(write)filterattr=“whocanwriteattr”)
【0056】 ここで、whocanreadattr及びwhocanwriteattrの値は、次の通りである。
【0057】 Whocanreadattr: ((Idap:///o=abc.com?(uid=sam))(uid=kelly))
【0058】 Whocanwriteattr: (uid=kelly)
【0059】 読み取り及び書き込み属性の値は、インターネット規格(RFC2254)であるLDA
Pフィルタフォーマットである。このACLは、DSAdminにより作成される。これに
より、DSAdminは、ユーザがどの情報を公開できるかを完全に制御することが可
能になる。図3に関して、このフィルタ特性により、ユーザは、自分のイントラ
ネットのローカルユーザのみならず、インターネット全体のユーザも指定するこ
とができる。上の例の場合、Prasanta303及びKelly304は、同じ企業ネットスケ
ープ社301内のユーザ302である。「whocanreadattr」は、ABC社のSamとネットス
ケープ社のKellyーに読み取りアクセスを与える。
【0060】 図4を参照すると、このACL402は、エントリ403と共にディレクトリ401に格納
される。ユーザが、ディレクトリ401内のエントリ403にアクセスすると、サーバ
は、アクセスされている属性に指定されたACL402をチェックする。アクセスされ
ている属性の所有者の読み取り属性404又は書き込み属性405は、サーバがACL402
をチェックする時、このサーバにより使用される。
【0061】 上述の例を使用すると、「whocanwriteattr」の値は、サーバにより実行時に
「(uid=kelly)」としてプラグインされる。そのため、Kellyが、アクセス中
のクライアントである場合、フィルタはTRUEとなり、Kellyは「emergencyContac
t」属性の修正が可能となる。しかしながら、Billが、クライアントである場合
、フィルタはFALSEとなり、Billは権限を否定される。これにより、各ユーザは
、LDAPフィルタを作成することが可能となり、自分の情報を管理することができ
るようになる。
【0062】 本発明の利点は、次の通りである。
【0063】 ・Adminは、ユーザが行える事柄を完全に制御できる。
【0064】 ・何百万ものACLではなく、少数のACLしか必要とされない。
【0065】 ・サーバのパフォーマンスが、著しく増加する。
【0066】 ・新しい属性の値が、インターネット規格に基づいている。
【0067】 本明細書では、好適な実施形態を参照して、本発明を説明したが、当業者は、
本発明の趣旨及び範囲から逸脱することなく、本明細書で述べたものを他の応用
により置換することが出来ることを、容易に理解するであろう。したがって、本
発明は、本明細書の請求項によりのみ制限される。
【図面の簡単な説明】
【図1】 本発明によるLDAPディレクトリエントリを示す図である。
【図2】 本発明による、n属性にアクセスする方法の例を示す説明図である。
【図3】 本発明による、企業階層ツリーのユーザの編成を表すブロック説明図である。
【図4】 本発明による、ACL、エントリ、及び読み取り/書き込み属性を含むディレク
トリを示すブロック説明図である。
【符号の説明】
101 ディレクトリエントリ 102 管理者 103 ユーザ属性 104 ユーザ定義属性 105 読み取り許可 106 書き込み許可 108 プラサンタ 109 クレア 201 n属性 202 パブリック 203 給与属性 204 個人の雇用状況 205 ユーザ制御対象
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,MZ,SD,SL,SZ,TZ,UG ,ZW),EA(AM,AZ,BY,KG,KZ,MD, RU,TJ,TM),AE,AL,AM,AT,AU, AZ,BA,BB,BG,BR,BY,CA,CH,C N,CR,CU,CZ,DE,DK,DM,EE,ES ,FI,GB,GD,GE,GH,GM,HR,HU, ID,IL,IN,IS,JP,KE,KG,KP,K R,KZ,LC,LK,LR,LS,LT,LU,LV ,MA,MD,MG,MK,MN,MW,MX,NO, NZ,PL,PT,RO,RU,SD,SE,SG,S I,SK,SL,TJ,TM,TR,TT,TZ,UA ,UG,UZ,VN,YU,ZA,ZW

Claims (27)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
    略化アクセス制御言語のためのプロセスであって、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
    りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して当
    該管理者が選択した前記ユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
    し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
    ることを可能にさせることを特徴とするプロセス。
  2. 【請求項2】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、アクセスさ
    れている前記属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の前記読み取りリストを参照して、当該ク
    ライアントが、当該読み取りアクセスの実行が許可されているか否かを判断する
    請求項1に記載のプロセス。
  3. 【請求項3】 更に、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
    みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
    当該管理者が選択したユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
    することにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
    ることを可能にする請求項1に記載のプロセス。
  4. 【請求項4】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、アクセスさ
    れている前記属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
    アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
    3に記載のプロセス。
  5. 【請求項5】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
    略化アクセス制御言語のためのプロセスであって、 ユーザ定義読み取りアクセスに対して当該管理者が選択したユーザ属性を列挙
    した、システム管理者定義読み取りアクセス制御コマンドを提供するステップと
    、 ユーザ定義書き込みアクセスに対して当該管理者が選択したユーザ属性を列挙
    した、システム管理者定義書き込みアクセス制御コマンドを提供するステップと
    、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性を
    読み取ることが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
    するステップと、 ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性を
    書き込むことが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
    するステップと、 を備え、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性の
    一つに対するクライアントの読み込みアクセスが発生した時、当該読み取りアク
    セス制御コマンドと、前記アクセスされている属性の所有者の前記読み取りリス
    トとを使用して、当該クライアントが、当該読み取りアクセスの実行が許可され
    ているか否かを判断し、かつ 当該管理者がユーザ定義書き込みアクセスに対して選択した当該ユーザ属性の
    一つに対して、クライアントの書き込みアクセスが発生した時、当該クライアン
    トが、当該書き込みアクセス制御コマンドと前記アクセスされている属性の所有
    者の前記書き込みリストとを使用して、当該書き込みアクセスの実行が許可され
    ているか否かを判断することを特徴とするプロセス。
  6. 【請求項6】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
    略化アクセス制御言語のためのプロセスであって、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
    みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
    当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
    することにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
    ることを可能にすることを特徴とするプロセス。
  7. 【請求項7】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
    アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
    6記載のプロセス。
  8. 【請求項8】 更に、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
    りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
    当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
    し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
    ることが可能になる請求項6記載のプロセス。
  9. 【請求項9】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の読み取りリストを参照して、当該クライ
    アントが、当該読み取りアクセスの実行が許可されているか否かを判断する請求
    項8記載のプロセス。
  10. 【請求項10】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
    略化アクセス制御言語のための装置であって、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
    りリストと、 システム管理者定義読み取りアクセス制御コマンドと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
    当該管理者が選択したユーザ属性を列挙し、 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
    し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
    ることが可能になることを特徴とする装置。
  11. 【請求項11】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の読み取りリストを参照して、当該クライ
    アントが、当該読み取りアクセスの実行が許可されているか否かを判断する請求
    項10記載の装置。
  12. 【請求項12】 更に、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
    みリストと、 システム管理者定義書き込みアクセス制御コマンドと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
    当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
    し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
    ることが可能になる請求項10記載の装置。
  13. 【請求項13】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
    アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
    12記載の装置。
  14. 【請求項14】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
    略化アクセス制御言語のための装置であって、 ユーザ定義読み取りアクセスに対して当該管理者が選択したユーザ属性を列挙
    した、システム管理者定義読み取りアクセス制御コマンドと、 ユーザ定義書き込みアクセスに対して当該管理者が選択したユーザ属性を列挙
    した、システム管理者定義書き込みアクセス制御コマンドと、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性を
    読み取ることが可能なユーザIDを含む、複数のユーザ定義読み取りリストと、 ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性を
    書き込むことが可能なユーザIDを含む、複数のユーザ定義書き込みリストと、 を備え、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性の
    一つに対するクライアントの読み込みアクセスが発生した時、当該読み取りアク
    セス制御コマンドと前記アクセスされている属性の所有者の前記読み取りリスト
    とを使用して、当該クライアントが、当該読み取りアクセスの実行が許可されて
    いるか否かを判断し、かつ ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性の
    一つに対するクライアントの書き込みアクセスが発生した時、当該書き込みアク
    セス制御コマンドとアクセスされている属性の所有者の書き込みリストとを使用
    して、当該クライアントが当該書き込みアクセスの実行が許可されているか否か
    を判断することを特徴とする装置。
  15. 【請求項15】 コンピュータ環境において、ディレクトリエントリへのアクセスを制御する簡
    略化アクセス制御言語のための装置であって、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
    みリストと、 システム管理者定義書き込みアクセス制御コマンドと、 を備え、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
    当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
    し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
    ることが可能になることを特徴とする装置。
  16. 【請求項16】 クライアントの書き込みアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の書き込みリストを参照して、当該クライ
    アントが当該書き込みアクセスの実行が許可されているか否かを判断する請求項
    15記載の装置。
  17. 【請求項17】 更に、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
    りリストと、 システム管理者定義読み取りアクセス制御コマンドと、 を備え、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
    当該管理者が選択したユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
    し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
    ることが可能になる請求項15記載の装置。
  18. 【請求項18】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の前記読み取りリストを参照して、当該ク
    ライアントが、当該読み取りアクセスの実行が許可されているか否かを判断する
    請求項17記載の装置。
  19. 【請求項19】 コンピュータ環境においてディレクトリエントリへのアクセスを制御する簡略
    化アクセス制御言語のための方法ステップを実行するコンピュータにより実行可
    能な命令のプログラムを明確に実施する、コンピュータ読み取り可能なプログラ
    ム記憶媒体であって、前記方法ステップが、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
    りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を含み、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して
    当該管理者が選択した前記ユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
    し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
    ることを可能にすることを特徴とするプログラム記憶媒体。
  20. 【請求項20】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の前記読み取りリストを参照して、当該ク
    ライアントが、当該読み取りアクセスの実行が許可されているか否かを判断する
    請求項19記載の方法。
  21. 【請求項21】 更に、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
    みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を含み、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
    当該管理者が選択したユーザ属性を列挙し、 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
    し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
    ることが可能になる請求項19記載の方法。
  22. 【請求項22】 クライアントの書き込みアクセス時、前記ディレクトリサーバは、前記アクセ
    スされている属性に従って特定の書き込みアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の前記書き込みリストを参照して、当該ク
    ライアントが当該書き込みアクセスの実行が許可されているか否かを判断する請
    求項21記載の方法。
  23. 【請求項23】 コンピュータ環境においてディレクトリエントリへのアクセスを制御する簡略
    化アクセス制御言語のための方法ステップを実行するコンピュータにより実行可
    能な命令のプログラムを明確に実施する、コンピュータ読み取り可能なプログラ
    ム記憶媒体であって、前記方法ステップが、 当該管理者がユーザ定義読み取りアクセスに対して選択したユーザ属性を列挙
    した、システム管理者定義読み取りアクセス制御コマンドを提供するステップと
    、 当該管理者がユーザ定義書き込みアクセスに対して選択したユーザ属性を列挙
    した、システム管理者定義書き込みアクセス制御コマンドを提供するステップと
    、 当該管理者がユーザ定義読み取りアクセスに対して選択した当該ユーザ属性を
    読み取ることが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
    するステップと、 当該管理者がユーザ定義書き込みアクセスに対して選択した当該ユーザ属性を
    書き込むことが可能なユーザIDを含む、複数のユーザ定義読み取りリストを提供
    するステップと、 を含み、 ユーザ定義読み取りアクセスに対して当該管理者が選択した当該ユーザ属性の
    一つに対するクライアントの読み込みアクセスが発生した時、当該読み取りアク
    セス制御コマンドと前記アクセスされている属性の所有者の前記読み取りリスト
    とを使用して、当該クライアントが、当該読み取りアクセスの実行が許可されて
    いるか否かを判断し、かつ ユーザ定義書き込みアクセスに対して当該管理者が選択した当該ユーザ属性の
    一つに対するクライアントの書き込みアクセスが発生した時、当該書き込みアク
    セス制御コマンドと前記アクセスされている属性の所有者の前記書き込みリスト
    とを使用して、当該クライアントが当該書き込みアクセスの実行が許可されてい
    るか否かを判断することを特徴とするプログラム記憶媒体。
  24. 【請求項24】 コンピュータ環境においてディレクトリエントリへのアクセスを制御する簡略
    化アクセス制御言語のための方法ステップを実行するコンピュータにより実行可
    能な命令のプログラムを明確に実施する、コンピュータ読み取り可能なプログラ
    ム記憶媒体であって、前記方法ステップが、 指定された属性セットの書き込みが可能なユーザIDを含む、ユーザ定義書き込
    みリストを提供するステップと、 システム管理者定義書き込みアクセス制御コマンドを提供するステップと、 を含み、 当該書き込みアクセス制御コマンドが、ユーザ定義書き込みアクセスに対して
    当該管理者が選択したユーザ属性を列挙し、かつ 当該書き込みアクセス制御コマンドが、当該ユーザ定義書き込みリストを参照
    し、これにより、当該書き込みユーザIDが当該ユーザ属性に書き込みアクセスす
    ることが可能になることを特徴とするプログラム記憶媒体。
  25. 【請求項25】 クライアントの書き込みアクセス時、前記3ディレクトリサーバが、前記アク
    セスされている属性に従って特定の書き込みアクセス制御コマンドを選択し、か
    つ前記アクセスされている属性の所有者の前記書き込みリストを参照して、当該
    クライアントが当該書き込みアクセスの実行が許可されているか否かを判断する
    請求項24記載の方法。
  26. 【請求項26】 更に、 指定された属性セットの読み取りが可能なユーザIDを含む、ユーザ定義読み取
    りリストを提供するステップと、 システム管理者定義読み取りアクセス制御コマンドを提供するステップと、 を含み、 当該読み取りアクセス制御コマンドが、ユーザ定義読み取りアクセスに対して当
    該管理者が選択したユーザ属性を列挙し、かつ 当該読み取りアクセス制御コマンドが、当該ユーザ定義読み取りリストを参照
    し、これにより、当該読み取りユーザIDが当該ユーザ属性に読み取りアクセスす
    ることが可能になる請求項24記載の方法。
  27. 【請求項27】 クライアントの読み取りアクセス時、前記ディレクトリサーバが、前記アクセ
    スされている属性に従って特定の読み取りアクセス制御コマンドを選択し、かつ
    前記アクセスされている属性の所有者の読み取りリストを参照して、当該クライ
    アントが、当該読み取りアクセスの実行が許可されているか否かを判断する請求
    項26記載の方法。
JP2001540459A 1999-11-22 2000-10-19 簡略化ldapアクセス制御言語システム Pending JP2003515806A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/447,443 1999-11-22
US09/447,443 US6950819B1 (en) 1999-11-22 1999-11-22 Simplified LDAP access control language system
PCT/US2000/029057 WO2001038971A2 (en) 1999-11-22 2000-10-19 Simplified ldap access control language system

Publications (1)

Publication Number Publication Date
JP2003515806A true JP2003515806A (ja) 2003-05-07

Family

ID=23776393

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001540459A Pending JP2003515806A (ja) 1999-11-22 2000-10-19 簡略化ldapアクセス制御言語システム

Country Status (7)

Country Link
US (1) US6950819B1 (ja)
EP (1) EP1232432A2 (ja)
JP (1) JP2003515806A (ja)
CN (1) CN100414471C (ja)
AU (1) AU1573701A (ja)
HK (1) HK1046963A1 (ja)
WO (1) WO2001038971A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127504A (ja) * 2004-10-28 2006-05-18 Microsoft Corp 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7610390B2 (en) 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
AU2003904317A0 (en) 2003-08-13 2003-08-28 Securicom (Nsw) Pty Ltd Remote entry system
JP4273934B2 (ja) * 2003-11-13 2009-06-03 株式会社日立製作所 ファイルシステム
US9697373B2 (en) * 2004-11-05 2017-07-04 International Business Machines Corporation Facilitating ownership of access control lists by users or groups
GB0610113D0 (en) * 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
EP1860589B1 (en) * 2006-05-26 2013-11-27 Incard SA Method for accessing structured data in IC Cards
US20080016546A1 (en) * 2006-07-13 2008-01-17 Li Tong L Dynamic profile access control
CN101431402B (zh) * 2007-11-05 2012-02-08 中兴通讯股份有限公司 Ldap账号源与aaa系统的高效挂接方法
US20100036845A1 (en) * 2008-08-07 2010-02-11 Research In Motion Limited System and Method for Negotiating the Access Control List of Data Items in an Ad-Hoc Network with Designated Owner Override Ability
US9882769B2 (en) * 2008-08-08 2018-01-30 Blackberry Limited System and method for registration of an agent to process management object updates
US8250628B2 (en) * 2009-08-28 2012-08-21 International Business Machines Corporation Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions
US8601263B1 (en) 2010-05-18 2013-12-03 Google Inc. Storing encrypted objects
US10277601B1 (en) * 2015-05-11 2019-04-30 Google Llc System and method for recursive propagating application access control

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06348575A (ja) * 1993-06-11 1994-12-22 Pfu Ltd データベース制御装置
JPH10198593A (ja) * 1997-01-10 1998-07-31 Nec Corp オブジェクト指向データベースシステム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4799153A (en) * 1984-12-14 1989-01-17 Telenet Communications Corporation Method and apparatus for enhancing security of communications in a packet-switched data communications system
US5129083A (en) * 1989-06-29 1992-07-07 Digital Equipment Corporation Conditional object creating system having different object pointers for accessing a set of data structure objects
US5263165A (en) * 1990-02-15 1993-11-16 International Business Machines Corporation System for providing user access control within a distributed data processing system having multiple resource managers
US5388196A (en) 1990-09-07 1995-02-07 Xerox Corporation Hierarchical shared books with database
CA2176775C (en) * 1995-06-06 1999-08-03 Brenda Sue Baker System and method for database access administration
US5696898A (en) * 1995-06-06 1997-12-09 Lucent Technologies Inc. System and method for database access control
US5880731A (en) * 1995-12-14 1999-03-09 Microsoft Corporation Use of avatars with automatic gesturing and bounded interaction in on-line chat session
FR2745649B1 (fr) * 1996-03-01 1998-04-30 Bull Sa Systeme de configuration de logiciels preconfigures sur des systemes ouverts en reseau dans un environnement distribue et procede mis en oeuvre par un tel systeme
US6098081A (en) * 1996-05-06 2000-08-01 Microsoft Corporation Hypermedia navigation using soft hyperlinks
US6038563A (en) 1997-10-31 2000-03-14 Sun Microsystems, Inc. System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects
US6470332B1 (en) * 1999-05-19 2002-10-22 Sun Microsystems, Inc. System, method and computer program product for searching for, and retrieving, profile attributes based on other target profile attributes and associated profiles

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06348575A (ja) * 1993-06-11 1994-12-22 Pfu Ltd データベース制御装置
JPH10198593A (ja) * 1997-01-10 1998-07-31 Nec Corp オブジェクト指向データベースシステム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127504A (ja) * 2004-10-28 2006-05-18 Microsoft Corp 軽量ディレクトリアクセスプロトコルトラフィックのセキュリティ保護

Also Published As

Publication number Publication date
WO2001038971A3 (en) 2002-03-07
WO2001038971A2 (en) 2001-05-31
AU1573701A (en) 2001-06-04
HK1046963A1 (zh) 2003-01-30
CN100414471C (zh) 2008-08-27
US6950819B1 (en) 2005-09-27
CN1451109A (zh) 2003-10-22
EP1232432A2 (en) 2002-08-21

Similar Documents

Publication Publication Date Title
US6535879B1 (en) Access control via properties system
US8973157B2 (en) Privileged access to managed content
CN107480517B (zh) 应用市场管理控件
US8370388B2 (en) Mandatory access control list for managed content
US7788489B2 (en) System and method for permission administration using meta-permissions
US7404203B2 (en) Distributed capability-based authorization architecture
US7251647B2 (en) Web based resource distribution system
US6917975B2 (en) Method for role and resource policy management
US7882544B2 (en) Inherited role-based access control system, method and program product
US7058630B2 (en) System and method for dynamically controlling access to a database
JP2003515806A (ja) 簡略化ldapアクセス制御言語システム
US20040225893A1 (en) Distributed capability-based authorization architecture using roles
US20100088738A1 (en) Global Object Access Auditing
US8719903B1 (en) Dynamic access control list for managed content
US20070043716A1 (en) Methods, systems and computer program products for changing objects in a directory system
US20050132215A1 (en) Dynamic delegation method and device using the same
US20020083059A1 (en) Workflow access control
JP2007524884A (ja) 階層的な役割ベース資格のためのシステム及び方法
WO2014142742A2 (en) Policy based data protection
WO2003015342A1 (en) Dynamic rules-based secure data access system for business computer platforms
JP2002207739A (ja) ドキュメント管理システム
US7657925B2 (en) Method and system for managing security policies for databases in a distributed system
US6633870B1 (en) Protocols for locking sharable files and methods for carrying out the protocols
JP2003108440A (ja) データ公開方法、データ公開プログラム、データ公開装置
US8095970B2 (en) Dynamically associating attribute values with objects

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070622

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100507

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101019