JP2004046733A - Device for integrated management of attribute information - Google Patents

Device for integrated management of attribute information Download PDF

Info

Publication number
JP2004046733A
JP2004046733A JP2002206043A JP2002206043A JP2004046733A JP 2004046733 A JP2004046733 A JP 2004046733A JP 2002206043 A JP2002206043 A JP 2002206043A JP 2002206043 A JP2002206043 A JP 2002206043A JP 2004046733 A JP2004046733 A JP 2004046733A
Authority
JP
Japan
Prior art keywords
conversion
information
directory
attribute
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002206043A
Other languages
Japanese (ja)
Inventor
Koji Nishida
西田 廣治
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Holdings Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Holdings Ltd filed Critical Fuji Electric Holdings Ltd
Priority to JP2002206043A priority Critical patent/JP2004046733A/en
Publication of JP2004046733A publication Critical patent/JP2004046733A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To integrally manage attribute information which are individually managed in a database and a directory. <P>SOLUTION: A conversion program 20 inputs change source changing information and change destination writing destination information as a parameter. Based on the above information and information stored in a conversion table 70, attribute information which is specified by the change source changing information managed in an attribute DB 1 and an attribute directory 3 is changed through the use of a DB system master conversion engine 15, and a directory conversion engine 14. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、名前、所属、及び役職などの属性情報を一元的に管理する属性情報管理技術に係わり、特に、電子認証システムのアクセス制御等に好適なものである。
【0002】
【従来の技術】
例えば、電子認証システムにおいては、アクセス権を制御する判断情報として、名前、組織及び役職などの属性情報が使用される。その他にも、官庁における職員認証、民間企業における社員認証、電子申請におけるPKI(Public Key Infrastructure) 電子署名の認証、電子カルテにおけるPKI電子署名の認証等において属性情報が使用される。
【0003】
図6は、従来の電子認証システムの構成を示す図である。
同図において、電子認証システム100の認証サーバ102は、属性DB(属性データベース)101により電子認証データを管理しており、クライアント104はサーバ103にアクセスするためには、認証サーバ102から電子証明書を取得する必要がある。また、電子認証システム200の認証サーバ206は、属性ディレクトリ201により電子認証データを管理しており、クライアント208は、サーバ207をアクセスするためには、認証サーバ206から電子証明書を取得する必要があるる。また、既存マスタ301は、属性DB101や属性ディレクトリ201と同様に、属性情報を管理しているファイルである。
【0004】
同図に示す従来システムにおいては、属性情報は、属性DB(属性データベース)101、属性ディレクトリ201、及び既存マスタ301などにより、個別に管理されており、属性管理(組織、役職などの属性情報の管理)が一元化されていなかった。これら3種類の管理装置の内、2者を統合しようする場合は、一方を他方に合わせるか、または新規な管理装置を構築するなどの対応が必要であった。 ところで、ディレクトリについては、ディレクトリを一つに統合するメタディレクトリの概念があるが、これはディレクトリのみに対応しており、DB(データベース)には対応していない。また、これは、電子認証に特定のものではなく汎用的なものであり、電子認証システムに実際に利用するには、個別対応のプログラミングが必要であった。
【0005】
【発明が解決しようとする課題】
従来システムのように、属性情報が個別の装置により管理されていると、例えば、組織変更や人事異動が発生する度に、多大の労力をかけて、個別の属性DB101や属性ディレクトリ201の管理情報を変更する必要があり、コストがかかる、該変更のための所要時間や変更作業に伴う間違いの発生などが問題となる。また、それぞれの属性ディレクトリ201または属性DB101を統合するには、既存のシステムに改造が発生し、改造が可能かどうかの問題も生じる。また、前記メタディレクトリの技術はDBには適用できず、属性DB101のシステムを統合できないという問題もあった。
【0006】
本発明は、DB、ディレクトリ、及び既存マスタに個々に管理されている属性情報に変更が生じた場合、DB、ディレクトリ、及び既存マスタが管理している該属性情報を容易、高速、かつ確実に一括して変更でき、しかも、既存のシステムを変更することなく、この変更作業を実現可能とすることで、個々のDBやディレクトリに管理されている属性情報の一元的な統合管理を実現すると共に、改造コストの削減を図ることを目的とする。
【0007】
【課題を解決するための手段】
本発明の属性情報統合管理装置は、データベース及びディレクトリに個別に管理されている属性情報を統合管理するための変換ルールを格納している管理手段と、該管理手段に格納されている変換ルールを参照して、前記データベースまたは前記ディレクトリに管理されている属性情報を変更する変換手段とを備える。
【0008】
上記構成の属性情報統合管理装置において、例えば、前記管理手段は、前記変換ルールを格納する変換テーブルを有し、該変換テーブルは、前記変換ルールに関する情報として、変換先のデータベースまたはディレクトリを識別するための情報、及び各データベース及び各ディレクトリの構造情報を格納し、前記変換手段は、前記識別情報及び前記構造情報を基に、前記変換先のデータベースまたはディレクトリをアクセスするように構成にしてもよい。
【0009】
また、上記構成の属性情報統合管理装置において、例えば、前記変換テーブルは、例えば、前記変換ルールに関する情報として、さらに、各データベースまたは各ディレクトリにおいて必要な特殊処理の識別情報を格納し、前記変換手段は、当該データベースまたは当該ディレクトリに対して前記識別情報により特定される特殊処理を実行するような構成にしてもよい。
【0010】
また、上記構成の属性情報統合管理装置において、例えば、前記変換テーブルにおいて、対称範囲のデータベース及びディレクトリに共通な情報を一元的なキーとして定義し、前記変換手段は、前記キーを基に、前記対称範囲のデータベースまたは前記ディレクトリの属性情報の追加または削除を行う構成にしてもよい。
【0011】
本発明の属性情報統合管理方法は、データベース及びディレクトリに個別に管理されている属性情報を統合管理するための変換ルールを格納し、該変換ルールを参照して、前記データベースまたは前記ディレクトリに管理されている属性情報を変更する。
【0012】
本発明のプログラムは、データベース及びディレクトリに個別に管理されている属性情報を統合管理するための変換ルールを格納する機能と、該変換ルールを参照して、前記データベースまたは前記ディレクトリに管理されている属性情報を変更する機能をコンピュータに実行させる。
【0013】
本発明は、データベース及びディレクトリに個別に管理されている属性情報を統合管理するための変換ルールを設け、該変換ルールを参照して、前記データベースまたは前記ディレクトリに管理されている属性情報を変更するようにする。このことにより、データベースとディレクトリに、それぞれ、個別に管理されている属性情報の一括変更が可能となり、データベースとディレクトリの統合管理を実現できる。
【0014】
以下、図面を参照しながら、本発明の実施形態を説明する。
図1は、本発明の実施形態の属性情報管理装置を適用した電子認証システムのシステム構成を示す図である。
【0015】
同図において、認証サーバ2は属性DB(属性データベース)1が管理している情報により、サーバ(アプリサーバ)9のアクセス制御の情報を管理している。認証サーバ5は、属性ディレクトリ3が管理している情報により、サーバ9のアクセス制御の情報を管理している。拡張メタディレクトリ7は、変換ルールにより、属性DB1、属性ディレクトリ3、及び既存マスタ6を統合して管理している。該変換ルールは、例えば、テーブル(変換テーブル)に記述される。
【0016】
クライアント8は、サーバ9にアクセスする際は、認証サーバ5を介して属性ディレクトリ3の管理情報からアクセス権限レベルを取得し、サーバ9にそのアクセス権限レベルを渡すことにより、サーバ9で管理しているアクセス権限レベルで許可されている範囲のアクセスが可能となる。
【0017】
また、拡張メタディレクトリ7により、属性DB1、属性ディレクトリ3、及び既存マスタ6の情報は等価されているので、クライアント8が認証サーバ2により認証された場合も、上述した認証サーバ5による認証の場合と同様の結果となる。但し、認証サーバ2が、固有の属性情報を管理して、アクセス権限レベルを独自に設定している場合は上記結果は該当しない。
【0018】
図1と図6を比較すれば分かるように、本実施形態においては、図6の従来システムに拡張メタディレクトリ7を追加し、この拡張メタディレクトリ7が属性DB1、属性ディレクトリ3及び既存マスタ6を統合管理するような構成となっている。
【0019】
図2は、図1のシステムのソフトウェア構成図である。
属性ディレクトリ3は、属性マスタ情報、PKI(Public Key Infrastructure) 認証の場合の証明書及び失効リストなどを管理する。属性DB1は、人事マスタでの人事情報や属性マスタでの所属や役職などの情報を管理する。属性マスタで、過去の属性情報である世代情報を管理している場合もある。
【0020】
拡張メタディレクトリ7は、属性ディレクトリ3や属性DB1の内容を更新するための変換ルールを格納している変換テーブル70を有している。変換プログラム20は、ディレクトリ変換エンジン14とDB系マスタ変換エンジン15を有しており、これのエンジンを起動する。ディレクトリ変換エンジン14は、LAPD(Light Weight Directory Access Protocol) を用いて、属性ディレクトリ3の情報をアクセスする。DB系マスタ変換エンジン15は、SQL(Structure Query Language)を用いて属性DB1の情報をアクセスする。
【0021】
本実施形態の属性情報管理装置は、拡張メタディレクトリ7及び変換プログラム20(ディレクトリ変換エンジン14とDB系マスタ変換エンジン15を含んでいる)で構成される。
【0022】
尚、認証サーバ2、アプリサーバ9、及びクライアント8は、本発明の実施形態の構成要素ではないので、認証サーバ2、アプリサーバ9のソフトウェア構成の説明は省略する。クライアント8は、PKI対応Webブラウザ、メタディレクトリ及びPMI(Privilege Management Infrastructure) 機能に対応したマスタ管理ツール、及びGPKI(Government PKI) 対応ICカードが装着されるICカードリーダを備えている。
【0023】
図3は、変換プログラム20の入力値(パラメータ)である変換元変更情報の内容を示す図である。
同図に示す変換元変更情報71は、どの属性情報を変更するか指定する変更属性項目と該変更される属性情報の変更前の情報(変更前情報)並びに変更後の情報(変更後情報)のセットをリストアップしたものであり、変換プログラム20の入力となる。この変換元変更情報71は、例えば、CSV形式、エクセル(Excel)の表、DB、またはディレクトリの変更前情報と変更後情報が指定されたときに、変換プログラム20に入力される。
【0024】
尚、DB情報(属性DB1の情報)、ディレクトリ情報(属性ディレクトリ3の情報)が、そのまま、変換元変更情報71となることもある。
図4は、変換テーブル70の構成を示す図である。
【0025】
同図(a)は、変換テーブル70に格納される変換ルールを構成する項目を示す図である。
変換テーブル70は、「変換ID70a」、「変換先種別70b(DBまたはディレクトリ)」、「変換先名称70c」、「DB及びディレクトリ構造情報70d」、及び「変換エンジンID70e」の5項目で構成されている。
【0026】
変換ID70aは、各DBまたは各ディレクトリ毎に設定され、変換の識別に用いられる識別子である。変換先種別70bは、変換先がDBまたはディレクトリのいずれであるかを示す情報である。変換先名称70cは、変換先であるDBまたはディレクトリの名称である。DB及びディレクトリ構造情報70dは、変換先の属性DB1のデータベース構造や変換先の属性ディレクトリ3のディレクトリ構造を示す情報である。変換エンジンID70eは、特殊処理を行う際の特殊処理の識別に用いられる識別子である。該特殊処理は、例えば、変換先のDBの構造が正規化されていなかった場合などに必要な処理である。このような場合には、1対1ではなく1対N(Nは2以上の自然数)の変換が必要になる。変換テーブル70は、1対1の変換を基本としているので、1対Nの変換が必要な場合には、特殊処理によりN箇所に書き込むようにする。
【0027】
同図(b)は、前記変換テーブル70に格納される「DB及びディレクトリ構造情報70d」の例を示す図である。同図(b)には、属性DB1に属するマスタDBであるマスタA(人事マスタ),B(属性マスタ)と、属性ディレクトリ3の属性マスタであるディレクトリAのそれぞれの構造情報が示されている。マスタAは、例えば、人事マスタであり、そのレコードはキー、属性A,Bの3フィールドからなる。また、マスタBは、例えば、属性マスタであり、そのレコードはキー、属性A,B,Dの4フィールドからなる。ディレクトリAのオブジェクトは、キー、属性A,B,Cからなる。変換テーブル70の「変換ID70a」が属性DB1のIDであれば、該変換テーブル70の「DB及びディレクトリ構造情報70d」には、同図(a)に示すマスタA(人事マスタ)とマスタB(属性マスタ)の構造情報が格納される。
【0028】
本実施形態では、対称範囲のDB(属性DB1)及びディレクトリ(属性ディレクトリ3)に共通する一意の情報をキーとして定義する。同図(b)の例では、名前IDがキーとなっている。属性情報は、全てのDB及びディレクトリに共通なものと、個々のDBまたはディレクトリに固有なものがある。
【0029】
図5は、変換プログラム20の処理の流れを示すフローチャートである。
変換プログラム20は、変換元変更情報71及び変換先書込先情報をパラメータとして指定された状態で、変換ID70a(図4(a)参照)単位に、自動または手動で起動される。
【0030】
まず、「変換情報の読み込み」で、人事異動や組織変更が発生した場合に、図3に示す変更元変更情報71を読み込む(ステップS1)。変更情報は、データ列で示される場合やDBまたはディレクトリに格納された形式で示される場合がある。例えば、データ列の場合には、「0011、山田太郎、職位、課長補佐、課長」のCSV形式で示される。また、DBの場合には、

Figure 2004046733
で示される。
【0031】また、ディレクトリの場合には、
変更前ディレクトリ  名前ID 0011 山田太郎−−−職位プロパティ課長補佐
変更後ディレクトリ  名前ID 0011 山田太郎−−−職位プロパティ課長
で示される。
【0032】
この場合は、当該DBまたは当該ディレクトリから、後述するステップS3で読み込む情報を基に自動生成する。すなわち、上記DB及び上記ディレクトリの例の場合には、変更前情報と変更後情報の差分計算を行い、
0011 山田太郎 変更 職位 変更前 課長補佐 変更後 課長
の情報を自動作成する。
【0033】
続いて、「変換テーブル読み込み」で、図4(a)に示す変換テーブル70を読み込む(ステップS2)。そして、「変換先及び変換先の構造情報読込」で、変換テーブル70から、「変換先種別70b」、「変換先名称70c」及び「DB及びディレクトリ構造情報70d」を読み込む(ステップS3)。
【0034】
次に、「変換先書込先情報読込(一時領域など)」で、パラメータとして指定された変換先書込先情報を読み込み、この情報を基に、ステップS1で読み込んだ変換元変更情報71の書き込み領域を特定する(ステップS4)。これは、属性情報は、情報の入替え時期が決まっている場合が多く、それ以前は、一時領域や決められた領域書き込んでおいて、指定した時期に運用する(前記変換先書込先情報で指定される領域に、実際に書き込む))ことが多いからである。
【0035】
続いて、「キーの追加または削除」が有るか判断して、キーの追加または削除」が有る場合には、名前IDをキーにしている場合は、当人が転出などでいなくなる場合または新規に転入する場合などは、DBのレコード追加・削除、ディレクトリの属性追加を行う(ステップS6)。
【0036】
ステップS5でキーの追加または削除が無いと判断された場合またはステップS6の処理の後に、「変換元変更情報及び構造情報から該当情報を変換先書込先に書込」で、ステップS1で読み込んだ変換元変更情報を基に、ステップS3で読み込んだ構造情報及びステップS4で読み込んだ変換先書き込み先情報を利用して、ステップS2で読み込んだ「変換先種別70b」(図4(a)参照)に従い、変換先がDBの場合は、ディレクトリ変換エンジン14によりLDAPを用いて当該ディレクトリ(属性ディレクトリ3)の当該情報をアクセスし、変換先がDBの場合は、DB系マスタ変換エンジン15によりSQLを用いて当該DB(属性DB1)の当該情報をアクセスし、それらの当該情報を指定された変更後情報に変更する(ステップS7)。尚、このステップS7においては、必要に応じて、ディレクトリ変換エンジン14とDB系マスタ変換エンジン15の両者が実行される。
【0037】
そして、最後に、「変換エンジンID読込み特殊処理を実行」で、ステップS2で読み込んだ変換ID70a(図4(a)参照)で指定された特殊処理がある場合には当該特殊処理を実行する(ステップS8)。前述したように、特殊処理は、変換先のDBの構造が正規化されていない場合などのように、1対Nの変換が必要な場合に行われる。したがって、変換元と変換先が1対1の場合には、特殊処理は不要である。
【0038】
以上のようにして、ステップS7とS8の処理により、ディレクトリとDBの属性情報(両者に共通な属性情報)の一括変換がなされる。
この一括変換処理の具体例を、図4(b)のマスタAから、ディレクトリAとマスタBに一括変換する場合を取り上げて説明する。
【0039】
属性Aを職位とした場合、マスタAの属性Aは「課長」、ディレクトリAとマスタBの属性Aは「課長補佐」になっているものとする。
この場合、変更前のマスタAの属性Aは「課長補佐」になっているので、
「0011山田太郎 変更 職位 変更前 課長補佐 変更後 課長」
という情報を自動作成して、ディレクトリ変換エンジン14でディレクトリAの属性Aを「課長」に、DB系マスタ変換エンジン15でマスタBの属性Aを「課長」に書き換える。
【0040】
尚、属性DB1の属性マスタDB(図2参照)で管理されている世代情報を、ディレクトリ(属性ディレクトリ3)を参照しているサーバで参照したい場合には、予め、旧世代用の書き込み領域(変換先書込先)を用意して、ステップS1で読み込む変更元変更情報71を入力元、ステップS4で読み込む変換先書込先を出力先として、変換プログラム20を実行することにより、ディレクトリに上記世代情報が格納される。
【0041】
本発明は、下記の属性管理等に適用できる。
1) 官庁における職員認証での属性管理
2) 民間企業における社員認証での社員の属性管理
3) 電子申請におけるPKI電子署名の認証対象者の属性管理
4) 電子入札におけるPKI電子署名の認証対象者の属性管理
5) 電子カルテにおけるPKI電子署名の認証対象者及びアクセス者の属性管

6) 電子商取引における参加企業または個人の属性管理
また、本実施形態の変換プログラム20及び拡張メタディレクトリ7は、各種規格のCD,各種規格のDVD,フレキシブルディスク、光ディスク、光磁気ディスク、メモリーカード、ROMカード等の可搬性の記録媒体により頒布することも可能である。また、有線または無線の通信を介して、頒布することも可能である。また、変換プログラム20と拡張メタディレクトリ7は、別個の可搬記録媒体により頒布されてもよい。そして、このようにして頒布された変換プログラム20及び拡張メタディレクトリ7は、コンピュータにより実行されて、上述した本実施形態の各機能をコンピュータに実行させる。
【0042】
尚、本発明が適用されるデータベースは、リレーショナルデータベースに限定されず、本発明は、例えば、オブジェクト指向データベースなどの他の形態のデータベースで管理される属性情報の管理にも適用可能である。
【0043】
【発明の効果】
以上説明したように、本発明によれば、ディレクトリとデータベースを統合して一括管理する拡張メタディレクトリに、該ディレクトリの情報と該データベースの情報を統合変換するための変換ルールを格納し、ディレクトリアクセス用の変換エンジンとデータベースアクセス用の変換エンジンにより、変更情報を、一括して当該ディレクトリと当該データベースに書き込むことにより、ディレクトリの管理する属性情報とデータベースの管理する属性情報の等価を図るので、ディレクトリとデータベースに共通する属性情報を、容易、高速、かつ確実に一括変更できる。また、既存のシステムに変更を加えることなく、ディレクトリの属性情報とデータベースの属性情報を統合管理でき、改造コストの削減を図ることができる。
【図面の簡単な説明】
【図1】本発明の実施形態を適用した電子署名システムの構成を示す図である。
【図2】図1の実施形態のソフトウェア構成を示す図である。
【図3】変更元変更情報のデータ構造を示す図である。
【図4】変換テーブルの構成を説明する図である。
【図5】変換プログラムの処理の流れを説明する図である。
【図6】従来の電子署名システムの構成を示す図である。
【符号の説明】
3   属性ディレクトリ
6   既存マスタ
7   拡張メタディレクトリ
14  ディレクトリ変換エンジン
15  DB系マスタ変換エンジン
20  変換プログラム
70  変換テーブル
70a  変換ID
70b  変換先種別
70c  変換先名称
70d  DB及びディレクトリ構造情報
70e  変換エンジンID
71  変更元変更情報
72  DB及びディレクトリ構造情報
72a  マスタA構造
72b  ディレクトリA構造
72c  マスタB構造[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an attribute information management technology for centrally managing attribute information such as a name, an affiliation, and a position, and is particularly suitable for access control of an electronic authentication system.
[0002]
[Prior art]
For example, in an electronic authentication system, attribute information such as a name, an organization, and a position is used as determination information for controlling an access right. In addition, attribute information is used in staff authentication in government offices, employee authentication in private companies, authentication of PKI (Public Key Infrastructure) electronic signatures in electronic applications, authentication of PKI electronic signatures in electronic medical records, and the like.
[0003]
FIG. 6 is a diagram showing a configuration of a conventional electronic authentication system.
In the figure, an authentication server 102 of an electronic authentication system 100 manages electronic authentication data by an attribute DB (attribute database) 101, and a client 104 requires an electronic certificate from the authentication server 102 to access the server 103. You need to get Further, the authentication server 206 of the electronic authentication system 200 manages the electronic authentication data by using the attribute directory 201, and the client 208 needs to acquire the electronic certificate from the authentication server 206 in order to access the server 207. Yes. The existing master 301 is a file that manages attribute information, like the attribute DB 101 and the attribute directory 201.
[0004]
In the conventional system shown in FIG. 1, attribute information is individually managed by an attribute DB (attribute database) 101, an attribute directory 201, an existing master 301, and the like. Management) was not centralized. When integrating two of these three types of management devices, it is necessary to take measures such as matching one to the other or constructing a new management device. By the way, with regard to directories, there is a concept of a metadirectory for integrating directories into one, but this concept corresponds only to directories, and does not correspond to a DB (database). In addition, this is not specific to electronic authentication but general-purpose, and individual use of programming was required to actually use the electronic authentication system.
[0005]
[Problems to be solved by the invention]
When attribute information is managed by individual devices as in a conventional system, for example, every time an organizational change or personnel change occurs, a great deal of effort is required to manage the individual attribute DB 101 or attribute directory 201. Need to be changed, and this is costly, and the time required for the change and the occurrence of mistakes due to the change work pose problems. Further, in order to integrate the respective attribute directories 201 or the attribute DBs 101, the existing system needs to be remodeled, and a problem arises as to whether the remodeling is possible. In addition, the technology of the meta directory cannot be applied to the DB, and there is a problem that the system of the attribute DB 101 cannot be integrated.
[0006]
According to the present invention, when the attribute information individually managed in the DB, the directory, and the existing master is changed, the attribute information managed by the DB, the directory, and the existing master can be easily, quickly, and reliably. It is possible to make a batch change and realize this change work without changing the existing system, thereby realizing a unified integrated management of attribute information managed in each DB and directory. The aim is to reduce remodeling costs.
[0007]
[Means for Solving the Problems]
An attribute information integrated management device of the present invention includes a management unit storing conversion rules for integrally managing attribute information individually managed in a database and a directory, and a conversion rule stored in the management unit. A conversion unit for changing attribute information managed by the database or the directory with reference to the database or the directory.
[0008]
In the attribute information integrated management device having the above configuration, for example, the management unit has a conversion table for storing the conversion rule, and the conversion table identifies a conversion destination database or directory as information on the conversion rule. And the conversion means may be configured to access the conversion destination database or directory based on the identification information and the structure information. .
[0009]
In the attribute information integrated management device having the above-mentioned configuration, for example, the conversion table further stores identification information of a special process required in each database or each directory as information on the conversion rule, for example. May be configured to execute a special process specified by the identification information on the database or the directory.
[0010]
In the attribute information integrated management device having the above configuration, for example, in the conversion table, information common to databases and directories in a symmetric range is defined as a unified key, and the conversion unit performs the conversion based on the key. It may be configured to add or delete attribute information of a symmetric range database or the directory.
[0011]
The attribute information integrated management method of the present invention stores a conversion rule for integrated management of attribute information individually managed in a database and a directory, and refers to the conversion rule to be managed in the database or the directory. Change the attribute information.
[0012]
The program of the present invention has a function of storing a conversion rule for integrally managing attribute information individually managed in a database and a directory, and is managed in the database or the directory with reference to the conversion rule. Causes a computer to execute a function of changing attribute information.
[0013]
The present invention provides a conversion rule for integrally managing attribute information individually managed in a database and a directory, and changes attribute information managed in the database or the directory by referring to the conversion rule. To do. This makes it possible to change the attribute information managed separately for the database and the directory, respectively, and realize integrated management of the database and the directory.
[0014]
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram illustrating a system configuration of an electronic authentication system to which an attribute information management device according to an embodiment of the present invention is applied.
[0015]
In the figure, the authentication server 2 manages access control information of a server (application server) 9 based on information managed by an attribute DB (attribute database) 1. The authentication server 5 manages access control information of the server 9 based on information managed by the attribute directory 3. The extended metadirectory 7 integrates and manages the attribute DB1, the attribute directory 3, and the existing master 6 according to conversion rules. The conversion rule is described in, for example, a table (conversion table).
[0016]
When accessing the server 9, the client 8 acquires the access authority level from the management information of the attribute directory 3 via the authentication server 5, and transfers the access authority level to the server 9 to manage the server 9. Access within the range permitted by the current access authority level is possible.
[0017]
Further, since the information of the attribute DB 1, the attribute directory 3, and the existing master 6 are equivalent by the extended metadirectory 7, even if the client 8 is authenticated by the authentication server 2, The result is the same as However, if the authentication server 2 manages the unique attribute information and sets the access authority level independently, the above result does not apply.
[0018]
As can be seen from a comparison between FIG. 1 and FIG. 6, in this embodiment, an extended metadirectory 7 is added to the conventional system of FIG. 6, and this extended metadirectory 7 stores the attribute DB1, the attribute directory 3, and the existing master 6. It is configured to perform integrated management.
[0019]
FIG. 2 is a software configuration diagram of the system of FIG.
The attribute directory 3 manages attribute master information, certificates and revocation lists in the case of PKI (Public Key Infrastructure) authentication. The attribute DB1 manages personnel information in the personnel master and information such as affiliation and post in the attribute master. In some cases, the attribute master manages generation information that is past attribute information.
[0020]
The extended metadirectory 7 has a conversion table 70 storing conversion rules for updating the contents of the attribute directory 3 and the attribute DB1. The conversion program 20 includes a directory conversion engine 14 and a DB system master conversion engine 15, and starts these engines. The directory conversion engine 14 accesses the information of the attribute directory 3 by using LAPD (Light Weight Directory Access Protocol). The DB system master conversion engine 15 accesses the information of the attribute DB1 using SQL (Structure Query Language).
[0021]
The attribute information management device according to the present embodiment includes an extended metadirectory 7 and a conversion program 20 (including a directory conversion engine 14 and a DB system master conversion engine 15).
[0022]
Since the authentication server 2, the application server 9, and the client 8 are not components of the embodiment of the present invention, the description of the software configuration of the authentication server 2, the application server 9 will be omitted. The client 8 includes a PKI-compatible Web browser, a master management tool corresponding to a metadirectory and a PMI (Privilege Management Infrastructure) function, and an IC card reader on which a GPKI (Government PKI) -compatible IC card is mounted.
[0023]
FIG. 3 is a diagram showing contents of conversion source change information which is an input value (parameter) of the conversion program 20.
The conversion source change information 71 shown in FIG. 7 includes change attribute items for specifying which attribute information is to be changed, information before change (information before change) and information after change (information after change) of the attribute information to be changed. Are listed, and are input to the conversion program 20. The conversion source change information 71 is input to the conversion program 20 when the pre-change information and the post-change information of a CSV format, an Excel table, a DB, or a directory are specified, for example.
[0024]
Note that the DB information (information of the attribute DB1) and the directory information (information of the attribute directory 3) may be directly used as the conversion source change information 71 in some cases.
FIG. 4 is a diagram showing a configuration of the conversion table 70.
[0025]
FIG. 7A is a diagram showing items constituting a conversion rule stored in the conversion table 70.
The conversion table 70 includes five items: “conversion ID 70a”, “conversion destination type 70b (DB or directory)”, “conversion destination name 70c”, “DB and directory structure information 70d”, and “conversion engine ID 70e”. ing.
[0026]
The conversion ID 70a is set for each DB or each directory, and is an identifier used for identifying the conversion. The conversion destination type 70b is information indicating whether the conversion destination is a DB or a directory. The conversion destination name 70c is the name of the conversion destination DB or directory. The DB and directory structure information 70d is information indicating the database structure of the conversion destination attribute DB1 and the directory structure of the conversion destination attribute directory 3. The conversion engine ID 70e is an identifier used for identifying a special process when performing the special process. The special processing is necessary, for example, when the structure of the conversion destination DB has not been normalized. In such a case, conversion of 1 to N (N is a natural number of 2 or more) instead of 1 to 1 is required. Since the conversion table 70 is based on one-to-one conversion, if one-to-N conversion is required, it is written in N places by special processing.
[0027]
FIG. 2B is a diagram showing an example of “DB and directory structure information 70 d” stored in the conversion table 70. FIG. 2B shows the respective structure information of masters A (personnel masters) and B (attribute masters) which are master DBs belonging to the attribute DB 1 and directory A which is an attribute master of the attribute directory 3. . The master A is, for example, a personnel master, and its record is composed of three fields of a key and attributes A and B. The master B is, for example, an attribute master, and its record is composed of a key and four fields of attributes A, B, and D. The objects in the directory A are composed of keys and attributes A, B, and C. If the “conversion ID 70a” of the conversion table 70 is the ID of the attribute DB1, the “DB and directory structure information 70d” of the conversion table 70 include the master A (personnel master) and the master B ( Attribute master) structure information is stored.
[0028]
In the present embodiment, unique information common to the DB (attribute DB1) and the directory (attribute directory 3) in the symmetric range is defined as a key. In the example of FIG. 3B, the name ID is a key. The attribute information includes information common to all DBs and directories and information specific to each DB or directory.
[0029]
FIG. 5 is a flowchart showing the flow of the processing of the conversion program 20.
The conversion program 20 is automatically or manually activated for each conversion ID 70a (see FIG. 4A) in a state where the conversion source change information 71 and the conversion destination writing destination information are specified as parameters.
[0030]
First, when a personnel change or an organization change occurs in "read conversion information", the change source change information 71 shown in FIG. 3 is read (step S1). The change information may be indicated by a data string or in a format stored in a DB or a directory. For example, in the case of a data string, it is indicated in CSV format of “0011, Taro Yamada, position, assistant section manager, section manager”. In the case of DB,
Figure 2004046733
Indicated by
In the case of a directory,
Directory name before change Name ID 0011 Taro Yamada --- Assistant to post-property section manager Post-change directory name ID 0011 Taro Yamada --- Represented by post-property section manager.
[0032]
In this case, it is automatically generated from the DB or the directory based on information read in step S3 described later. That is, in the case of the DB and the directory, a difference between the pre-change information and the post-change information is calculated,
0011 Taro Yamada Change Position Before change Assistant to section manager After change Automatically create section manager information.
[0033]
Subsequently, the conversion table 70 shown in FIG. 4A is read by "read conversion table" (step S2). Then, in "Read conversion destination and structure information of conversion destination", "Conversion destination type 70b", "Conversion destination name 70c", and "DB and directory structure information 70d" are read from conversion table 70 (step S3).
[0034]
Next, in "Read conversion destination writing information (temporary area, etc.)", the conversion destination writing information specified as a parameter is read, and based on this information, the conversion source change information 71 read in step S1 is read. The writing area is specified (Step S4). This is because, in many cases, the replacement time of the attribute information is determined, and before that, a temporary area or a predetermined area is written and operated at the specified time (the conversion destination writing destination information is used for the attribute information). This is because writing is actually performed in the designated area)).
[0035]
Next, it is determined whether there is "addition or deletion of a key", and if there is "addition or deletion of a key", if the name ID is used as a key, if the person is not moved out or a new person is added. For example, when the data is transferred to the database, the record addition / deletion of the DB and the attribute addition of the directory are performed (step S6).
[0036]
When it is determined in step S5 that there is no key addition or deletion, or after the processing in step S6, "write the corresponding information from the conversion source change information and the structure information to the conversion destination writing destination" is read in step S1. The “conversion destination type 70b” read in step S2 using the structural information read in step S3 and the conversion destination write destination information read in step S4 based on the conversion source change information (see FIG. 4A). ), If the conversion destination is a DB, the directory conversion engine 14 accesses the information of the directory (attribute directory 3) using LDAP, and if the conversion destination is a DB, the DB system master conversion engine 15 uses the SQL. To access the relevant information of the DB (attribute DB1) and change the relevant information to the specified post-change information (step Flop S7). In step S7, both the directory conversion engine 14 and the DB system master conversion engine 15 are executed as necessary.
[0037]
Finally, if there is a special process designated by the conversion ID 70a (see FIG. 4A) read in step S2 in "Execute conversion engine ID reading special process", the special process is executed ( Step S8). As described above, special processing is performed when one-to-N conversion is required, such as when the structure of the conversion destination DB is not normalized. Therefore, when the conversion source and the conversion destination are one-to-one, special processing is unnecessary.
[0038]
As described above, by the processes of steps S7 and S8, the attribute information of the directory and the DB (the attribute information common to both) is converted collectively.
A specific example of the batch conversion process will be described with reference to the case of batch conversion from master A to directory A and master B in FIG.
[0039]
When the attribute A is the position, the attribute A of the master A is "section manager", and the attribute A of the directory A and the master B is "assistant section manager".
In this case, since the attribute A of the master A before the change is “assistant section manager”,
"0011 Taro Yamada Change Position Position Before Change Assistant Manager After Change Manager"
Is automatically created, and the directory conversion engine 14 rewrites the attribute A of the directory A to “section manager” and the DB system master conversion engine 15 rewrites the attribute A of the master B to “section manager”.
[0040]
When the generation information managed by the attribute master DB (see FIG. 2) of the attribute DB1 is to be referred to by the server that is referencing the directory (attribute directory 3), the write area (for the old generation) must be specified in advance. A conversion destination write destination) is prepared, and the conversion source change information 71 read in step S1 is set as an input source, and the conversion destination write destination read in step S4 is set as an output destination. The generation information is stored.
[0041]
The present invention is applicable to the following attribute management and the like.
1) Attribute management by staff authentication in government offices 2) Attribute management of employees in private company employee authentication 3) Attribute management of PKI electronic signature authentication target in electronic application 4) PKI electronic signature authentication target in electronic bidding 5) Attribute management of PKI electronic signature authentication target and accessor in electronic medical records 6) Attribute management of participating companies or individuals in electronic commerce Also, the conversion program 20 and extended metadirectory 7 of the present embodiment It can also be distributed on portable recording media such as standard CDs, various standard DVDs, flexible disks, optical disks, magneto-optical disks, memory cards, and ROM cards. It is also possible to distribute via wired or wireless communication. Further, the conversion program 20 and the extended metadirectory 7 may be distributed on separate portable recording media. The conversion program 20 and the extended metadirectory 7 thus distributed are executed by a computer, and cause the computer to execute the functions of the present embodiment described above.
[0042]
Note that the database to which the present invention is applied is not limited to a relational database, and the present invention is also applicable to management of attribute information managed by another type of database such as an object-oriented database.
[0043]
【The invention's effect】
As described above, according to the present invention, a conversion rule for integrating and converting the information of the directory and the information of the database is stored in the extended metadirectory for integrating and managing the directory and the database, and The conversion engine for database and the conversion engine for database access write change information collectively to the directory and the database, so that the attribute information managed by the directory is equivalent to the attribute information managed by the database. , And attribute information common to databases can be easily, quickly, and reliably changed in a batch. Further, it is possible to integrally manage the attribute information of the directory and the attribute information of the database without changing the existing system, and it is possible to reduce the remodeling cost.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of an electronic signature system to which an embodiment of the present invention is applied.
FIG. 2 is a diagram illustrating a software configuration of the embodiment of FIG. 1;
FIG. 3 is a diagram showing a data structure of change source change information.
FIG. 4 is a diagram illustrating a configuration of a conversion table.
FIG. 5 is a diagram illustrating a flow of processing of a conversion program.
FIG. 6 is a diagram showing a configuration of a conventional electronic signature system.
[Explanation of symbols]
3 Attribute directory 6 Existing master 7 Extended metadirectory 14 Directory conversion engine 15 DB system master conversion engine 20 Conversion program 70 Conversion table 70a Conversion ID
70b Conversion destination type 70c Conversion destination name 70d DB and directory structure information 70e Conversion engine ID
71 Change source change information 72 DB and directory structure information 72a Master A structure 72b Directory A structure 72c Master B structure

Claims (6)

データベース及びディレクトリに個別に管理されている属性情報を統合管理するための変換ルールを格納している管理手段と、
該管理手段に格納されている変換ルールを参照して、前記データベースまたは前記ディレクトリに管理されている属性情報を変更する変換手段と、
を備えることを特徴とする属性情報統合管理装置。Management means for storing conversion rules for integrated management of attribute information individually managed in the database and the directory;
A conversion unit for changing attribute information managed in the database or the directory with reference to a conversion rule stored in the management unit;
An attribute information integrated management device comprising: 前記管理手段は、前記変換ルールを格納する変換テーブルを有し、
該変換テーブルは、前記変換ルールに関する情報として、
変換先のデータベースまたはディレクトリを識別するための情報、及び各データベース及び各ディレクトリの構造情報を格納し、
前記変換手段は、前記識別情報及び前記構造情報を基に、前記変換先のデータベースまたはディレクトリをアクセスすることを特徴とする請求項1記載の属性情報統合管理装置。The management unit has a conversion table that stores the conversion rule,
The conversion table includes information on the conversion rule,
Stores information for identifying the conversion destination database or directory, and the structure information of each database and each directory,
2. The attribute information integrated management device according to claim 1, wherein the conversion unit accesses the conversion destination database or directory based on the identification information and the structure information. 前記変換テーブルは、前記変換ルールに関する情報として、さらに、各データベースまたは各ディレクトリにおいて必要な特殊処理の識別情報を格納し、
前記変換手段は、当該データベースまたは当該ディレクトリに対して前記識別情報により特定される特殊処理を実行することを特徴とすることを請求項2記載の属性情報統合管理装置。The conversion table, as the information on the conversion rule, further stores identification information of special processing required in each database or each directory,
The attribute information integrated management device according to claim 2, wherein the conversion means executes a special process specified by the identification information on the database or the directory. 前記変換テーブルにおいて、対称範囲のデータベース及びディレクトリに共通な情報を一元的なキーとして定義し、
前記変換手段は、前記キーを基に、前記対称範囲のデータベースまたは前記ディレクトリの属性情報の追加または削除を行うことを特徴とする請求項2記載の属性情報統合管理装置。In the conversion table, information common to databases and directories in a symmetric range is defined as a centralized key,
3. The attribute information integrated management device according to claim 2, wherein the conversion unit adds or deletes attribute information of the database of the symmetric range or the directory based on the key. データベース及びディレクトリに個別に管理されている属性情報を統合管理するための変換ルールを格納し、
該変換ルールを参照して、前記データベースまたは前記ディレクトリに管理されている属性情報を変更する
ことを特徴とする属性情報統合管理方法。Stores conversion rules for integrated management of attribute information individually managed in databases and directories,
An attribute information integrated management method, wherein attribute information managed in the database or the directory is changed with reference to the conversion rule. データベース及びディレクトリに個別に管理されている属性情報を統合管理するための変換ルールを格納する機能と、
該変換ルールを参照して、前記データベースまたは前記ディレクトリに管理されている属性情報を変更する機能を、
コンピュータに実行させるプログラム。A function to store conversion rules for integrated management of attribute information individually managed in the database and the directory,
With reference to the conversion rule, a function of changing the attribute information managed in the database or the directory,
A program to be executed by a computer.
JP2002206043A 2002-07-15 2002-07-15 Device for integrated management of attribute information Withdrawn JP2004046733A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002206043A JP2004046733A (en) 2002-07-15 2002-07-15 Device for integrated management of attribute information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002206043A JP2004046733A (en) 2002-07-15 2002-07-15 Device for integrated management of attribute information

Publications (1)

Publication Number Publication Date
JP2004046733A true JP2004046733A (en) 2004-02-12

Family

ID=31711185

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002206043A Withdrawn JP2004046733A (en) 2002-07-15 2002-07-15 Device for integrated management of attribute information

Country Status (1)

Country Link
JP (1) JP2004046733A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006073003A (en) * 2004-08-31 2006-03-16 Morgan Stanley Organizational reference data and entitlement system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006073003A (en) * 2004-08-31 2006-03-16 Morgan Stanley Organizational reference data and entitlement system
US9846847B2 (en) 2004-08-31 2017-12-19 Morgan Stanley Organizational reference data and entitlement system with entitlement generator

Similar Documents

Publication Publication Date Title
JP3983961B2 (en) Directory information management apparatus and computer-readable recording medium recording program
US7574413B2 (en) System and method of discovering information
US6671695B2 (en) Dynamic group generation and management
US7233959B2 (en) Life-cycle management engine
KR100959473B1 (en) Systems and methods for interfacing application programs with an item-based storage platform
US7386575B2 (en) System and method for synchronizing related data elements in disparate storage systems
KR101024730B1 (en) Systems and methods for data modeling in an item-based storage platform
CN109074387A (en) Versioned hierarchical data structure in Distributed Storage area
US7593951B2 (en) Application programming interface for centralized storage of principal data
US20200394206A1 (en) Channeling data with decentralized identity stores
JP2001076005A (en) Data base system
US7047234B2 (en) System and method for managing database access
JP2004046733A (en) Device for integrated management of attribute information
JP2011013910A (en) System and method for update processing of corporate information, and corporate information update program
Larsson A case study: implementing novell identity management at Drew University
JP2004258971A (en) Schedule management system, program and recording medium
JP2004259066A (en) Data source integrating program, system and method
CN117573672A (en) Data management system framework based on block chain
CN117708091A (en) Construction method and device of hierarchical data model, electronic equipment and storage medium
JPH03176753A (en) Password control processing system
Schwartz et al. Semantic Information Management
JP2003132067A (en) Information management support device, system and method therefor, program and recording medium for achieving these functions
JP2006040305A (en) Electronic original management device and method
Bepari et al. Architecture of a Distributed LDAP Directory
JP2003131912A (en) Apparatus, system and method for support of information management, program and recording medium for achieving these functions

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20040218

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040914

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20070709