JP2004303023A - Access managing method - Google Patents

Access managing method Download PDF

Info

Publication number
JP2004303023A
JP2004303023A JP2003096695A JP2003096695A JP2004303023A JP 2004303023 A JP2004303023 A JP 2004303023A JP 2003096695 A JP2003096695 A JP 2003096695A JP 2003096695 A JP2003096695 A JP 2003096695A JP 2004303023 A JP2004303023 A JP 2004303023A
Authority
JP
Japan
Prior art keywords
access
information
file server
user
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003096695A
Other languages
Japanese (ja)
Other versions
JP4361752B2 (en
Inventor
Katsumasa Suzuki
克昌 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Social Science Labs Ltd
Original Assignee
Fujitsu Social Science Labs Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Social Science Labs Ltd filed Critical Fujitsu Social Science Labs Ltd
Priority to JP2003096695A priority Critical patent/JP4361752B2/en
Publication of JP2004303023A publication Critical patent/JP2004303023A/en
Application granted granted Critical
Publication of JP4361752B2 publication Critical patent/JP4361752B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To execute the centralized management of the setting operation of access rights to a plurality of file servers to save the operation of a data manager, and to easily provide the mechanism of file sharing whose security level is high. <P>SOLUTION: A user terminal transmits identification information for identifying a user to a managing server; the managing server receives the identification information from the user terminal, and the managing server retrieves access information for performing access to a folder in a file server by referring to the identification information and a correspondence chart; the management server transmits the access information to the user terminal; the user terminal transmits folder information included in the received access information, and including information for specifying the folder and the password to the file server; and the file server decides the validity/invalidity of access by the user based on the folder information. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、複数のファイルサーバに対するアクセス権を管理することに関する。
【0002】
【従来の技術】
現在、一般的な企業では、業務で使用する各種のファイルをファイルサーバ上に格納し、各作業者間で情報の共有を行うことが多い。
【0003】
しかし、ファイルサーバが複数存在する場合、データ管理者は、各ファイルサーバ毎に個別に各作業者に対するアクセス権の設定作業を行う必要がある。そのため、ファイルサーバ台数と作業者数が共に多い場合、管理不能な状況に陥る可能性が高い。
【0004】
図19を参照して、従来のアクセス権の設定について説明する。作業者Aは作業者端末Aを使用してファイルサーバCのみアクセス可能である。つまり、作業者AはファイサーバCに関してのアクセス権のみ有する。
【0005】
作業者Bは作業者端末Bを使用してファイルサーバAとBにアクセス可能である。つまり、作業者BはファイサーバAとBに関してのアクセス権を有する。
【0006】
ここで、作業者BがファイサーバCについてもアクセスできるように設定をする。この場合、データ管理者はファイサーバCに個別に作業者Aに対するアクセス権の設定作業を行う必要がある。
【0007】
特に外注要員に対するアクセス権の設定変更作業は、頻繁に発生する可能性が高く、データ管理者のスキルを持った要員の絶対数が少ない場合、管理不能な状況に陥る可能性が最も高い。また、管理不能な状況に陥った場合、社内の機密情報が社外に漏洩するなどの重大な問題を誘発する可能性が高まると予想される。
【0008】
また、セキュリティの向上を図る技術として、パスワードを一元管理するパスワード管理システムが提案されている。このパスワード管理システムは、利用者が、業務システムメニュー画面から稼働させたい業務システムを選択して処理を実行すると、シングルサインオン手段により本人性の確認が必要な業務システムであるか否かが判断され、本人性の確認が必要である業務システムの場合には、本人性の確認が行われる(特許文献1参照。)。
【0009】
【特許文献1】
特開2000−259566号公報(要約書)。
【0010】
【発明が解決しようとする課題】
本発明は、このような従来技術の問題に鑑みてなされたものである。すなわち、本発明が解決しようとする課題は、複数のファイルサーバに対するアクセス権の設定操作を集中管理することによって、データ管理者の作業を省力化し、簡単にセキュリティレベルの高いファイル共有の仕組みを提供することである。
【0011】
【課題を解決するための手段】
本発明は、上記課題を解決するために以下の手段を採用した。
【0012】
本発明に係るアクセス管理方法は、ファイルサーバ内のアクセス先へアクセスする利用者端末と、利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理するため、利用者を識別する識別情報とファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する管理サーバとを備えるシステムで実行される利用者端末からのアクセスを管理する方法であって、利用者端末が利用者を識別する識別情報を前記管理サーバに送信するステップと、管理サーバが前記利用者端末から前記識別情報を受信するステップと、管理サーバが前記識別情報と前記対応表を参照して、ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を検索するステップと、管理サーバが前記アクセス情報を前記利用者端末に送信するステップと利用者端末が受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信するステップと、ファイルサーバが受信したアクセス先情報に基づいて前記利用者のアクセスの可否を判定するステップとを実行させることを特徴とする。
【0013】
また、本発明に係るアクセス管理方法は、ファイルサーバが管理サーバからパスワード設定要求を受信するステップと、前記パスワード設定要求に従って、アクセス情報を設定するステップとをさらに実行させてもよい。
【0014】
このようなステップを実行すると、ファイルサーバに対するアクセス権の設定操作を集中管理することによって、データ管理者の作業を省力化し、簡単にセキュリティレベルの高いファイル共有の仕組みを提供することができる。
【0015】
【発明の実施の形態】
以下に図面を参照して、本発明の好適な実施の形態を説明する。
【0016】
図1は本発明の原理構成図であり、図2はアクセス権管理の方式概念図であり、図3はシステム構成図である。
【0017】
図4から図7はモジュール構成を示す図であり、図4はアクセス権操作部のモジュール構成図であり、図5はアクセス制御部のモジュール構成図であり、図6はアクセス管理部のモジュール構成図であり、図7はアクセス処理部のモジュール構成図である。
【0018】
図8から図12はファイル形式を示す図であり、図8はアクセス制御リストのファイル形式を示し、図9はフォルダパスワードリストのファイル形式を示し、図10はデータ管理者アクセスキーのファイル形式を示し、図11は利用者アクセスキーのファイル形式を示し、図12はアクセスログのファイル形式を示す。
【0019】
図13から図17は処理フロー示す図であり、図13はデータ管理者登録/削除の処理フローを示し、図14はアクセス権設定の処理フローを示し、図15はアクセス権参照/削除の処理フローを示し、図16はアクセス権取得の処理フローを示し、図17はファイルサーバアクセスの処理フローを示す。
【0020】
図18は利用者の画面遷移のイメージ図である。
<原理構成>
本発明では、一台の管理サーバを経由して、複数のファイルサーバに対して、アクセス権の設定操作を行い、アクセス権を集中管理する。また、本発明は、管理サーバとファイルサーバとデータ管理者端末と利用者端末とからなるファイル管理システムにおいて好適に実施できる。
【0021】
図1を参照して、本発明の原理構成を説明する。図1は本発明の原理構成図である。
【0022】
管理サーバ300は、アクセス権に関する情報を保存するアクセス制御リスト320と、利用者のアクセス権を集中管理するアクセス権管理部310とを含む。ファイルサーバ400は、ファイルのアクセス履歴を保存するアクセスログ430と、利用者からのファイルサーバへのアクセスに応答するアクセス処理部410とを含む。
【0023】
また、データ管理者端末100は、データ管理者が利用者のアクセス権を操作するためのアクセス権操作部110を含む。利用者端末200は、利用者がフィルサーバをアクセスするためのアクセス制御部210を含む。
【0024】
以下に、アクセス権の設定からファイサーバへのファイルアクセスまでの流れを説明する。
【0025】
まず、管理サーバ300上のアクセス権管理部310は、データ管理者からのアクセス権設定要求を受信する(S101)。つまり、データ管理者がデータ管理者端末100を使用して管理サーバ300にアクセス権の設定を要求する。そして、管理サーバ300がアクセス権設定要求を受信する。
【0026】
そして、アクセス権管理部310は、各ファイルサーバ400に対して、アクセス権設定先のフォルダにパスワードを設定する(S102)。ここで設定されたフォルダ名やそのパスワードなどは、アクセス制御リスト320上に格納される。また、図1では、一台のファイルサーバ400を示すが、ファイルサーバは複数設置されてもよい。
【0027】
そして、利用者端末200内のアクセス制御部210は、管理サーバ300内のアクセス権管理部310と通信を行い、アクセス可能なファイルサーバ名、フォルダ名、フォルダのパスワードを取得し、フォルダの一覧を画面に表示する(S103)。
【0028】
各ファイルサーバ400上のアクセス処理部410は、利用者端末200上のアクセス制御部210からの要求に従って、各種のファイル操作を処理する(S104)。このファイル操作は、例えばファイル一覧の読み出し、ファイルの受信、ファイルの送信、ファイルの削除などである。
<アクセス権管理方式の概念>
図2を参照して、アクセス権の管理方式を説明する。図2は、アクセス権管理の方式概念図である。
【0029】
管理サーバ300は、どの利用者がどのフォルダにアクセスできるかを管理する管理情報をアクセス制御リスト320に格納する。この管理情報としては、利用者を特定するユーザ名、ファイルサーバ上のフォルダを特定するサーバ名とフォルダ名、及びフォルダパスワードなどがある。
【0030】
利用者端末200は、利用者自身を識別する識別情報をアクセス制御部210に保持する。この識別情報としてはユーザ名がある。
【0031】
また、ファイルサーバ400は、フォルダに対するパスワードを使用して、利用者からのアクセスの可否をアクセス処理部410によりチェックする。ここで、フォルダに対するパスワードとは、フォルダ名とそのフォルダパスワードをいう。
【0032】
以下にアクセス権管理の処理の流れを説明する。
【0033】
まず、使用者端末200は、ユーザ名を管理サーバ300に対して送信する(S201)。
【0034】
そして、管理サーバ300は、当該利用者端末200にアクセス対象情報を返却する(S202)。ここで、管理サーバ300は、ユーザ名とそのアクセス対象とを関連づけたテーブルをアクセス制御リスト320に格納している。そして、管理サーバ300は、当該利用者端末200をユーザ名から特定し、このテーブルを参照して、当該利用者端末200にアクセス対象情報を送信する。 このアクセス対象情報は、データ管理者によってアクセスを許可されたフォルダに関するサーバ名、フォルダ名、及びフォルダパスワードなどである。このアクセス対象情報は、利用者が認識できないようにする。このようにすると、各利用者に対して、ファイルの物理的な格納先を秘匿にすることができる。
【0035】
また、フォルダアクセス用のパスワードも秘匿され、部外者の不正アクセスが困難となる。結果的に機密情報の外部漏洩を防止することができる。
【0036】
利用者端末200は、アクセス対象情報に含まれるフォルダ名、パスワードをファイルサーバ400に送信する(S203)。つまり、利用者端末200は、アクセス情報に含まれるサーバ名から当該利用者端末200をアクセス対象としているファイルサーバ400を特定し、そのファイルサーバ400にフォルダ名とフォルダパスワードを送信する。
【0037】
そして、ファイルサーバ400は、送信されたフォルダ名とフォルダパスワードに基づいて、ファイルサーバ400内のアクセス可能なフォルダ一覧を利用者端末200に提供する。
<システム構成>
図3を参照して、本発明のシステム構成を説明する。図3は、本発明のシステム構成図である。本システムは、データ管理者端末100、利用者端末200、管理サーバ300、及びファイルサーバ400から構成される。
【0038】
ここで、データ管理者端末100は、データ管理者が利用者のアクセス権を操作するための端末である。データ管理者端末100はアクセス権操作部110を有し、データ管理者を識別するためのデータ管理者アクセスキー120(以下、DKYともいう)を格納する。
【0039】
利用者端末200は、利用者がファイルサーバ400にアクセスするための端末である。利用者端末200はアクセス制御部210を有し、利用者を識別する利用者アクセスキー220(以下、UKYともいう)を格納する。
【0040】
データ管理サーバ300は、利用者のアクセス権を集中管理するためのサーバである。データ管理サーバ300はアクセス権管理部310を有し、アクセス権に関するアクセス制御リスト320(以下、ACLともいう)を保持する。
【0041】
ファイルサーバ400は、利用者からのアクセスに応答するためのサーバである。ファイルサーバ400はアクセス制御部410を有し、フォルダにアクセスする時に使用するフォルダパスワードリスト420(以下、FPLともいう)とファイルのアクセス履歴430(以下、LOGともいう)を格納する。
【0042】
そして、データ管理者端末100、利用者端末200、管理サーバ300、及びファイルサーバ400は、LANやWANなどのネットワークで接続されてる。
<モジュール構成>
図4から図7を参照して、モジュール構成を説明する。
【0043】
まず、図4を参照して、アクセス権操作部のモジュール構成を説明する。図4は、アクセス権操作部のモジュール構成図である。アクセス操作部110はデータ管理者端末100に備えられ、データ管理者認証処理111、アクセス権設定処理112、アクセス権参照/削除処理113、及び利用者アクセスキー作成処理114を実行する。
【0044】
データ管理者認証処理111は、ユーザ名、パスワード、及びデータ管理者アクセスキーを使用して、データ管理者を認証する。データ管理者アクセスキーは、データ管理者端末100のデータ管理者アクセスキーファイル120に格納される。また、ユーザ名とパスワードは、管理サーバ300のアクセス制御リスト320に格納される。
【0045】
アクセス権設定処理112は、アクセス制御リスト320の設定を管理サーバ300に対して要求する。ここで設定される情報は、利用者のユーザ名、パスワード、ファイルサーバ名、フォルダ名、及びフォルダIDである。
【0046】
アクセス権参照/削除処理113は、利用者のユーザ名、パスワード、ファイルサーバ名、フォルダ名、及びフォルダIDをキーにして、管理サーバ300のアクセス制御リスト320を参照する。また、アクセス権参照/削除処理113は、利用者のユーザ名、パスワード、ファイルサーバ名、フォルダ名、及びフォルダIDのアクセス制御リスト320からの削除を管理サーバ300に要求する。
【0047】
利用者アクセスキー作成処理114は、アクセス権を設定する利用者が新規な場合に、利用者アクセスキーを生成する。生成された利用者アクセスキーは、利用者自身に何らかの手段で送付し、利用者端末200にセットアップする。送信手段としては、例えばFDなどに格納してオフラインで送付してもよい。
【0048】
次に図5を参照して、アクセス制御部210のモジュール構成を説明する。図5は、アクセス制御部210のモジュール構成図である。アクセス制御部210は利用者端末200に備えられ、管理者認証処理211、画面制御処理212、アクセス権取得処理213、及びファイルアクセス操作処理214を実行する。
【0049】
利用者認証処理211は、ユーザ名、パスワード、及び利用者アクセスキーを使用して、利用者を認証する。画面制御処理は212、利用者の操作にしたがって、利用者端末200に操作画面を表示する。操作画面としては、例えば、ログイン画面、フォルダ一覧画面やファイル一覧画面などがある。
【0050】
アクセス権取得処理213は、ユーザ名をキーにして、アクセス制御リスト320を参照し、利用者のアクセス権を取得する。ファイルアクセス操作処理214は、利用者の操作にしたがって、ファイルを送信、受信、削除、及びサブフォルダの参照を行う。
【0051】
次に図6を参照して、アクセス権管理部310のモジュール構成を説明する。図6は、アクセス管権理部310のモジュール構成図である。アクセス権管理部310は、管理サーバ300に備えられ、データ管理者登録/削除処理311、データ管理者アクセスキー作成処理312、データ管理者検索処理313、アクセス制御リスト参照/更新処理314、利用者検索処理315、フォルダパスワード設定/削除処理316、及び画面制御処理317を実行する。
【0052】
データ管理者登録/削除処理は311、データ管理者のユーザ名、パスワードをアクセス制御リスト320に追加または削除する。つまり、データ管理者登録/削除処理は、データ管理者情報をアクセス制御リスト320に追加することによりデータ管理者を登録し、データ管理者情報をアクセス制御リスト320から削除することによりデータ管理者の登録を削除する。
【0053】
データ管理者アクセスキー作成処理312は、データ管理者アクセスキーを生成する。生成されたデータ管理者アクセスキーは、データ管理者自身に何らかの手段を用いて送付し、データ管理者端末100にセットアップする。データ管理者端末100は、このデータ管理者アクセスキーをデータ管理者アクセスキー120に格納する。
【0054】
データ管理者検索処理313は、データ管理者端末300から要求に応じてアクセス制御リスト320を利用してデータ管理者を認証する。
【0055】
アクセス制御リスト参照/更新処理314は、データ管理者端末100からの要求に応じてアクセス制御リスト320を参照、または更新する。
【0056】
利用者検索処理315は、利用者端末200から要求に応じてアクセス制御リストを利用して利用者を認証する。
【0057】
フォルダパスワード設定/削除処理316は、アクセス権設定対象が新規の場合にフォルダパスワードを生成する。また、アクセス権設定対象が全て削除された場合には、フォルダ名、フォルダID、及びフォルダパスワードをフォルダパスワードリストから削除する。
【0058】
画面制御処理317は、データ管理者の操作にしたがって、データ管理者端末300の設定画面を表示する。
【0059】
次に図7を参照して、アクセス処理部410のモジュール構成を説明する。図7は、アクセス処理部のモジュール構成図である。アクセス処理部410はファイルサーバ400に備えられ、フォルダパスワードリスト参照/更新処理411、フォルダパスワード検索処理412、ファイルアクセス処理413、及びアクセスログ更新処理414を実行する。
【0060】
フォルダパスワードリスト参照/更新処理411は、管理サーバ300からの要求に応じて、フォルダパスワードリスト420を参照または更新する。フォルダパスワード検索処理412は、利用者端末200からの要求に応じて当該利用者のアクセス権の有無をチェックする。
【0061】
ファイルアクセス処理413は、利用者端末200を操作対象のファイル、サブフォルダにアクセスさせる。なお、アクセス権が設定されていないサブフォルダに対するアクセス権は、親フォルダのアクセス権を継承する。
【0062】
アクセスログ更新処理414は、アクセスログ430上の時刻、ユーザ名、ファイル名、操作内容を更新する。このアクセスログ430は、ファイルへのアクセス履歴であり、不正アクセスの痕跡を探し出すときに利用される。
<データ構成>
図8から図12を参照して、上述したリストのファイル形式を説明する。
【0063】
まず、図8を参照して、管理サーバ300が保持するアクセス制御リスト320のファイル形式について説明する。アクセス制御リスト320は、アクセス権に関する情報を保持するファイルである。そして、アクセス制御リスト320は、データ管理ファイル321、ユーザアクセス権情報ファイル322、サーバ情報ファイル323、及びユーザ情報ファイル324から構成される。
【0064】
データ管理ファイル321には、ユーザ名とパスワードが格納される。ユーザアクセス権情報ファイル322には、ユーザ名、サーバ名、及びフォルダ名が格納される。サーバ情報ファイル323には、ユーザ名、フォルダ名、フォルダID、及びフォルダパスワードが格納される。ユーザ情報ファイル324には、ユーザ名及びパスワードが格納される。
【0065】
次に図9を参照して、ファイルサーバ400が保持するフォルダパスワードリスト420のファイル形式について説明する。フォルダパスワードリスト420は、フォルダをアクセスするときに使用する情報を保持するファイルである。フォルダパスワードリスト420には、ファイルダ名、フォルダID、及びフォルダパスワードが格納される。
【0066】
次に図10を参照して、データ管理者端末100が保持するデータ管理者アクセスキー120のファイル形式を説明する。データ管理者アクセスキー120は、データ管理者を識別するための情報を格納するファイルである。データ管理者アクセスキー120には、作成日時及びデータ管理者識別子が格納される。
【0067】
次に図11を参照して、利用者アクセスキー220のファイル形式を説明する。利用者アクセスキー220は、利用者を識別するための情報を格納するファイルである。利用者アクセスキー220には、作成日時及び利用者識別子が格納される。
【0068】
次に図12を参照して、アクセスログ430のファイル形式を説明する。アクセスログ430は、ファイルのアクセス履歴を保存するファイルである。アクセスログ430には、作成日時、ユーザ名、フォルダID、及び操作名が格納される。
<処理フロー>
図13から図17を参照して、本システムの処理の流れを説明する。本システムは、データ管理者登録/削除、アクセス権設定、アクセス権参照/削除、アクセス権取得、ファイルサーバアクセスを処理する。
【0069】
まず、図13を参照して、データ管理者登録/削除の処理を説明する。図13は、データ管理者登録/削除の処理フローである。データ管理者登録/削除とは、システム管理者が管理サーバ300にアクセス権の操作を許可するデータ管理者を登録、削除する処理である。
【0070】
そして、この処理は、管理サーバ300上でアクセス権管理部310によって実行される。
【0071】
まず、アクセス権管理部310が、データ管理者のユーザ名とパスワードをアクセス制御リスト320に追加、削除する(S1301)。
【0072】
そして、アクセス権管理部310は、アクセス制御リスト320への追加を実行する場合、データ管理者アクセスキーを生成する(S1302)。ここで生成されたデータ管理者アクセスキーは、データ管理者自身に何らかの手段を用いて送付し、データ管理者端末にセットアップする。送信手段としては、例えばFDなどに格納してオフラインで送付してもよい。
【0073】
次に図14を参照して、アクセス権設定の処理を説明する。図14は、アクセス権設定の処理フローである。アクセス権設定とは、データ管理者が管理サーバ300に利用者のアクセス権を設定する処理である。
【0074】
データ管理者端末100では、アクセス権操作部110がユーザ名、パスワード、及びデータ管理者アクセスキーを使用して、データ管理者を認証する(S1401)。
【0075】
そして、アクセス権操作部110がデータ管理者を認証する(S1402)。
【0076】
一方、管理サーバでは、アクセス権管理部310が利用者のユーザ名、パスワード、ファイルサーバ名、フォルダ名、及びフォルダIDをアクセス制御リスト320に追加する(S1403)。
【0077】
そして、アクセス権管理部310がアクセス制御リストを更新する(S1404)。ところで、S1404で、アクセス権設定対象が新規の場合には、アクセス権管理部310はフォルダパスワードを生成する(S1405)。
【0078】
アクセス権管理部310はフォルダ名、フォルダ名、及びフォルダIDをフォルダパスワードに追加する(S1406)。
【0079】
ファイルサーバ400では、アクセス処理部410がフォルダパスワードリストを更新する(S1407)。
【0080】
一方S1403で、利用者が新規の場合には、データ管理者端末100ではアクセス権操作部110が利用者アクセスキーを生成する(S1408)。ここで生成された利用者アクセスキーは、利用者自身に送付し、利用者端末にセットアップするものとする。
【0081】
次に図15を参照して、アクセス権参照/削除の処理を説明する。図15は、アクセス権参照/削除の処理フローである。アクセス権参照/削除とは、データ管理者が管理サーバから利用者のアクセス権を参照、削除する処理である。なお、管理サーバは、アクセス権の設定対象が全て削除された場合、当該ファイサーバに対して、フォルダパスワードの削除を行う。
【0082】
データ管理者端末100では、アクセス権操作部110がユーザ名、パスワード、及びデータ管理者アクセスキーを使用して、データ管理者を認証する(S1501)。一方、管理サーバ300では、アクセス権管理部310がデータ管理者を認証する(S1502)。
【0083】
また、データ管理者端末100では、アクセス権操作部110が利用者のユーザ名、ファアイルサーバ名、フォルダ名、及びフォルダIDをキーにして、アクセス制御リストを参照、削除する(S1503)。一方、管理サーバ300では、アクセス権管理部310がアクセス制御リストを参照、更新する(S1504)。
【0084】
アクセス権設定対象が全て削除された場合、アクセス権管理部310がフォルダ名、フォルダID、及びフォルダパスワードをフォルダパスワードリストから削除する(S1505)。
【0085】
ファイルサーバでは、アクセス処理部410がフォルダパスワードを更新する(S1506)。
【0086】
次に図16を参照して、アクセス権取得の処理を説明する。図16は、アクセス権取得の処理フローである。アクセス権取得とは、利用者が管理サーバ300から利用者自身のアクセス権を取得する処理である。
【0087】
利用者端末200では、アクセス制御部210がユーザ名、パスワード、及び利用者アクセスキーを使用して、利用者を認証する(S1601)。一方、管理サーバ300では、アクセス権管理部310が利用者を認証する(S1602)。
【0088】
また、利用者端末200では、アクセス制御部210がユーザ名をキーにして、アクセス制御リストを参照し、利用者のアクセス権を取得する(S1603)。一方、管理サーバ300では、アクセス権管理部310がアクセス制御リストを参照する(S1604)。
【0089】
そして、利用者端末200はフォルダIDの一覧を画面に表示する(S1605)。
【0090】
次に図17を参照して、ファイルサーバアクセスの処理を説明する。図17は、ファイルサーバアクセスの処理フローである。ファイルサーバアクセスとは、利用者がファイルサーバ400にアクセスする処理である。この処理は、図16に示したアクセス権取得の処理に連続して実行される。
【0091】
利用者端末200では、アクセス制御部210がフォルダIDの一覧からアクセス対象のフォルダを選択する(S1701)。そして、アクセス制御部210がユーザ名、パスワードを使用して、アクセス権の有無をチェックする(S1702)。
【0092】
一方、ファイルサーバ400では、アクセス処理部410がフォルダパスワードリスト420を参照する(S1703)。
【0093】
また、利用者端末200は、当該フォルダのファイル名の一覧を画面に表示する(S1704)。そして、利用者端末200は、利用者の操作に従って、ファイルを送信、受信、削除、及びサブフォルダの参照を行う(S1705)。
【0094】
アクセス処理部410が利用者端末200を操作対象のファイル、サブフォルダにアクセスさせる(S1706)。
【0095】
アクセスログに時刻、ユーザ名、ファイル名、操作内容を追加する(S1707)。このアクセスログは、ファイルへのアクセス履歴であり、不正アクセスの痕跡を探し出すときに利用される。
【0096】
その後、S1702から処理を繰り返す。つまり、利用者が参照するフォルダを変更する毎に、当該フォルダに対するアクセス権の有無をチェックする。
【0097】
なお、アクセス権が設定されていないサブフォルダに対するアクセス権は、親フォルダのアクセス権を継承するものとする。
<利用者画面の遷移>
図18を参照して、利用者操作に伴う利用者端末の画面遷移の例を説明する。図18は、利用者の画面遷移のイメージ図である。
【0098】
利用者が利用者端末200を使用してアプリケーションを起動する(S1801)。利用者画面にはログイン画面が表示される。ログイン画面には、ユーザ名とパスワードを入力する欄がある。このユーザ名とパスワードは、利用者自身を識別する情報となる。
【0099】
そして、利用者が利用者端末200を使用してユーザ名、パスワード入力する(S1802)。そして、利用者がユーザ名とパスワードを入力したあと、送信ボタンを押すことにより、ユーザ名とパスワードは管理サーバに送信される。
【0100】
その後、利用者画面にはフォルダ一覧が表示される。ここで表示されるフォルダは、データ管理者によってアクセスを許可されたフォルダである。
【0101】
利用者が利用者端末200を使用してアクセスするフォルダをダブルクリックする(S1803)。利用者画面にはフォルダの内容が表示される。
【0102】
そして、利用者は利用者端末200を使用してアクセス対象のファイルを操作する(S1804)。例えば、利用者がカーソルでファイルを選択し、マウスで右クリックすることによって利用者画面にメニューを表示し、メニューの中から操作項目を選択させてファイルを操作してもよい。
<実施形態の効果>
本実施の形態に従うと、複数のファイサーバを使用してファイル共有を行う場合、スキルフリー、省力化、仮想アクセス化、及び不正アクセス防止が図れる。
【0103】
ここで、スキルフリーとは、データ管理者にWindowsマシン、およびunixマシンなどの管理者スキルが不要となることである。また、省力化とは、データ管理者が最小限の労力で各作業者に対するアクセス権の設定を行うことである。また、仮想アクセス化とは、各利用者に対して、ファイルの物理的な格納先を秘匿にすることである。
【0104】
また、各利用者に対して、フォルダアクセス用のパスワードが秘匿されており、部外者の不正アクセスが困難となる。そのため、不正アクセスの痕跡をアクセスログから探し出すことができる。結果的に機密情報の外部漏洩を防止することができる。
<コンピュータに読み取り可能な記憶媒体>
上記実施の形態のいずれかの処理をコンピュータに実行させるプログラムをコンピュータが読み取り可能な記憶媒体に記録することができる。そして、コンピュータに、この記憶媒体のプログラムを読み込ませて実行させることにより、上記実施の形態に示したシステムを提供することができる。
【0105】
ここで、コンピュータが読み取り可能な記憶媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記憶媒体をいう。このような記憶媒体のうちコンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD−ROM、CD−R/W、DVD、DAT、8mmテープ、メモリカード等がある。
【0106】
また、コンピュータに固定された記録媒体として、ハードディスクやROM(リード・オンリー・メモリ)等がある。
【0107】
なお、上記実施の形態は本発明の範囲をなんら限定するものではなく、当業者が理解できる範囲において適宜、各種の変形の態様があり得る。
<その他>
さらに、本実施の形態は以下の発明を開示する。
【0108】
(付記1)ファイルサーバ内のアクセス先へアクセスする利用者端末と、利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理するため、利用者を識別する識別情報とファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する管理サーバとを備えるシステムで実行される利用者端末からのアクセスを管理する方法であって、
前記利用者端末が利用者を識別する識別情報を前記管理サーバに送信するステップと、
前記管理サーバが前記利用者端末から前記識別情報を受信するステップと、
前記管理サーバが前記識別情報と前記対応表を参照して、ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を検索するステップと、
前記管理サーバが前記アクセス情報を前記利用者端末に送信するステップと
前記利用者端末が受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信するステップと、
前記ファイルサーバが受信したアクセス先情報に基づいて前記利用者のアクセスの可否を判定するステップとを実行させるアクセス管理方法。
(付記2)前記ファイルサーバが管理サーバからパスワード設定要求を受信するステップと、
前記パスワード設定要求に従って、アクセス情報を設定するステップとを実行させる付記1に記載のアクセス管理方法。
(付記3)ネットワークで接続された利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理し、利用者を識別する識別情報と、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する管理サーバにおいて実行されるアクセス管理方法であって、
前記利用者端末から前記識別情報を受信するステップと、
前記識別情報と前記対応表を参照して前記アクセス情報を検索するステップと、
前記アクセス情報を前記利用者端末に送信するステップとを実行させるアクセス管理方法。
(付記4)前記アクセス情報は、ファイルサーバと当該ファイルサーバ内のアクセス先とを特定する情報、及び前記アクセス先のパスワードを含む付記3に記載のアクセス管理方法。
(付記5)ネットワークで接続された管理者端末からアクセス設定要求を受信するステップと、
アクセス設定要求に基づいて、アクセス先へのパスワードを生成するステップと、
生成した前記パスワードを含むアクセス情報をファイルサーバに送信するステップとを実行させる付記4に記載のアクセス管理方法。
(付記6)前記利用者端末から識別情報を受信した後、識別情報を利用して利用者を認証するステップをさらに実行させる付記5に記載のアクセス管理方法。
(付記7)ネットワークで接続された管理サーバを介して、ファイルサーバ内のアクセス先へアクセスする利用者端末において実行される方法であって、
利用者を識別する識別情報を前記管理サーバに送信するステップと、
ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を前記管理サーバから受信するステップと、
受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信するステップとを実行させるアクセス管理方法。
(付記8)ネットワークで接続された管理サーバによって利用者端末からのアクセスを一元的に管理させ、少なくとも一つ以上のアクセス先を有するファイルサーバにおいて実行される方法であって、
前記ファイルサーバが前記管理サーバからパスワード設定要求を受信するステップと、
前記パスワード設定要求に従って、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報を設定するステップとを実行させるアクセス管理方法。
(付記9)ネットワークで接続された利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理し、利用者を識別する識別情報と、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する管理サーバにおいてコンピュータによって実行するプログラムであって、
前記利用者端末から前記識別情報を受信するステップと、
前記識別情報と前記対応表を参照して前記アクセス情報を検索するステップと、
前記アクセス情報を前記利用者端末に送信するステップとを実行するプログラム。
(付記10)前記アクセス情報は、ファイルサーバと当該ファイルサーバ内のアクセス先とを特定する情報、及び前記アクセス先のパスワードを含む付記9に記載のプログラム。
(付記11)ネットワークで接続された管理者端末からアクセス設定要求を受信するステップと、
アクセス設定要求に基づいて、アクセス先へのパスワードを生成するステップと、
生成した前記パスワードを含むアクセス情報をファイルサーバに送信するステップとを実行する付記10に記載のプログラム。
(付記12)前記利用者端末から識別情報を受信した後、識別情報を利用して利用者を認証するステップをさらに実行する付記11に記載のプログラム。
(付記13)ネットワークで接続された管理サーバを介して、ファイルサーバ内のアクセス先へアクセスする利用者端末においてコンピュータによって実行するプログラムであって、
利用者を識別する識別情報を前記管理サーバに送信するステップと、
ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を前記管理サーバから受信するステップと、
受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信するステップとを実行するプログラム。
(付記14)ネットワークで接続された管理サーバによって利用者端末からのアクセスを一元的に管理させ、少なくとも一つ以上のアクセス先を有するファイルサーバにおいてコンピュータによって実行するプログラムであって、
前記ファイルサーバが前記管理サーバからパスワード設定要求を受信するステップと、
前記パスワード設定要求に従って、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報を設定するステップとを実行するプログラム。
(付記15)ネットワークで接続された利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理する管理サーバであって、
利用者を識別する識別情報と、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する手段と、
前記利用者端末から前記識別情報を受信する手段と、
前記識別情報と前記対応表を参照して前記アクセス情報を検索する手段と、
前記アクセス情報を前記利用者端末に送信する手段とを備える管理サーバ。
(付記16)前記アクセス情報は、ファイルサーバと当該ファイルサーバ内のアクセス先とを特定する情報、及び前記アクセス先のパスワードを含む付記15に記載の管理サーバ。
(付記17)ネットワークで接続された管理者端末からアクセス設定要求を受信する手段と、
アクセス設定要求に基づいて、アクセス先へのパスワードを生成する手段と、
生成した前記パスワードを含むアクセス情報をファイルサーバに送信する手段とを備える付記16に記載の管理サーバ。
(付記18)前記利用者端末から識別情報を受信した後、識別情報を利用して利用者を認証する手段をさらに備える付記17に記載の管理サーバ。
(付記19)ネットワークで接続された管理サーバを介して、ファイルサーバ内のアクセス先へアクセスする利用者端末であって、
利用者を識別する識別情報を前記管理サーバに送信する手段と、
ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を前記管理サーバから受信する手段と、
受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信する手段とを備える端末。
(付記20)ネットワークで接続された管理サーバによって利用者端末からのアクセスを一元的に管理させ、少なくとも一つ以上のアクセス先を有するファイルサーバであって、
前記ファイルサーバが前記管理サーバからパスワード設定要求を受信する手段と、
前記パスワード設定要求に従って、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報を設定する手段とを備えるサーバ。
【0109】
【発明の効果】
以上で説明したように、本発明は、複数のファイルサーバに対するアクセス権の設定操作を集中管理することによって、データ管理者の作業を省力化し、簡単にセキュリティレベルの高いファイル共有の仕組みを提供することができる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】アクセス権管理の方式概念図である。
【図3】システム構成図である。
【図4】アクセス権操作部のモジュール構成図である。
【図5】アクセス制御部のモジュール構成図である。
【図6】アクセス管理部のモジュール構成図である。
【図7】アクセス処理部のモジュール構成図である。
【図8】アクセス制御リストのファイル形式を示す図である。
【図9】フォルダパスワードリストのファイル形式を示す図である。
【図10】データ管理者アクセスキーのファイル形式を示す図である。
【図11】利用者アクセスキーのファイル形式を示す図である。
【図12】アクセスログのファイル形式を示す図である。
【図13】データ管理者登録/削除の処理フローを示す図である。
【図14】アクセス権設定の処理フローを示す図である。
【図15】アクセス権参照/削除の処理フローを示す図である。
【図16】アクセス権取得の処理フローを示す図である。
【図17】ファイルサーバアクセスの処理フローを示す図である。
【図18】利用者の画面遷移のイメージ図である。
【図19】従来のアクセス権設定を示す図である。
【符号の説明】
100…データ管理者端末
110…アクセス権操作部
111…データ管理者認証処理
112…アクセス権設定処理
113…アクセス権参照/削除処理
114…利用者アクセスキー作成処理
120…データ管理者アクセスキー(DKY)
200…利用者端末
210…アクセス制御部
211…利用者認証処理
212…画面制御処理
213…アクセス権取得処理
214…ファイルアクセス操作処理
220…ユーザアクセスキー(UKY)
300…管理サーバ
310…アクセス権管理部
311…データ管理者登録/削除処理
312…データ管理者アクセスキー作成処理
313…データ管理者検索処理
314…アクセス制御リスト参照/更新処理
315…利用者検索処理
316…フォルダパスワード設定/削除処理
317…画面制御処理
320…アクセス制御リスト(ACL)
321…データ管理者情報ファイル
322…ユーザアクセス権情報ファイル
323…サーバ情報ファイル
324…ユーザ情報ファイル
400…ファイルサーバ
410…アクセス処理部
420…ファイルパスワードリスト(FPL)
430…アクセスログ(LOG)[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to managing access rights to a plurality of file servers.
[0002]
[Prior art]
At present, in general companies, various files used in business are stored on a file server, and information is often shared among workers.
[0003]
However, when there are a plurality of file servers, the data manager needs to individually set the access right for each worker for each file server. Therefore, when both the number of file servers and the number of workers are large, there is a high possibility that an unmanageable situation will occur.
[0004]
With reference to FIG. 19, setting of a conventional access right will be described. The worker A can access only the file server C using the worker terminal A. That is, the worker A has only the access right for the file server C.
[0005]
The worker B can access the file servers A and B using the worker terminal B. That is, the worker B has an access right for the phi servers A and B.
[0006]
Here, the setting is made so that the worker B can also access the file server C. In this case, the data manager needs to individually set the access right for the worker A to the file server C.
[0007]
In particular, the work of changing the setting of access rights for outsourced personnel is likely to occur frequently, and if the absolute number of personnel with data manager skills is small, the situation is most likely to fall into an unmanageable situation. In addition, if the situation falls into an unmanageable situation, it is expected that the possibility of causing serious problems such as leakage of confidential information in the company to the outside increases.
[0008]
As a technique for improving security, a password management system for centrally managing passwords has been proposed. When the user selects a business system to be operated from the business system menu screen and executes the process, the password management system determines whether the personal system needs to be confirmed by single sign-on means. In the case of a business system that requires confirmation of personality, personality confirmation is performed (see Patent Document 1).
[0009]
[Patent Document 1]
JP-A-2000-259566 (abstract).
[0010]
[Problems to be solved by the invention]
The present invention has been made in view of such problems of the related art. That is, the problem to be solved by the present invention is to centrally manage the operation of setting access rights to a plurality of file servers, thereby saving the work of the data administrator and providing a file sharing mechanism with a high security level easily. It is to be.
[0011]
[Means for Solving the Problems]
The present invention employs the following means in order to solve the above problems.
[0012]
An access management method according to the present invention includes a user terminal for accessing an access destination in a file server, and an identification for identifying a user in order to centrally manage access from the user terminal to the access destination in the file server. A method for managing access from a user terminal executed in a system comprising: a management server storing a correspondence table in which information is associated with access information for accessing an access destination in a file server. A step in which the terminal transmits identification information for identifying a user to the management server, a step in which the management server receives the identification information from the user terminal, and a management server with reference to the identification information and the correspondence table Retrieving access information for accessing an access destination in a file server; Transmitting the access destination information included in the access information received by the user terminal and including information for specifying an access destination and a password thereof to the file server; Determining whether or not the user has access based on the accessed destination information.
[0013]
Further, the access management method according to the present invention may further execute the step of the file server receiving a password setting request from the management server, and the step of setting access information according to the password setting request.
[0014]
By executing such steps, the operation of setting the access right to the file server is centrally managed, so that the work of the data administrator can be saved and a file sharing mechanism with a high security level can be easily provided.
[0015]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.
[0016]
FIG. 1 is a block diagram showing the principle of the present invention, FIG. 2 is a conceptual diagram of an access right management method, and FIG.
[0017]
4 to 7 are diagrams showing a module configuration, FIG. 4 is a module configuration diagram of an access right operation unit, FIG. 5 is a module configuration diagram of an access control unit, and FIG. 6 is a module configuration of an access management unit. FIG. 7 is a module configuration diagram of the access processing unit.
[0018]
8 to 12 show the file format. FIG. 8 shows the file format of the access control list, FIG. 9 shows the file format of the folder password list, and FIG. 10 shows the file format of the data manager access key. FIG. 11 shows the file format of the user access key, and FIG. 12 shows the file format of the access log.
[0019]
13 to 17 are diagrams showing a processing flow, FIG. 13 shows a processing flow of data manager registration / deletion, FIG. 14 shows a processing flow of access right setting, and FIG. 15 shows a processing of access right reference / deletion. FIG. 16 shows a processing flow of access right acquisition, and FIG. 17 shows a processing flow of file server access.
[0020]
FIG. 18 is an image diagram of a user screen transition.
<Principle configuration>
In the present invention, access right setting operations are performed on a plurality of file servers via one management server, and the access rights are centrally managed. Further, the present invention can be suitably implemented in a file management system including a management server, a file server, a data manager terminal, and a user terminal.
[0021]
The principle configuration of the present invention will be described with reference to FIG. FIG. 1 is a diagram showing the principle of the present invention.
[0022]
The management server 300 includes an access control list 320 that stores information on access rights, and an access right management unit 310 that centrally manages user access rights. The file server 400 includes an access log 430 that stores an access history of a file, and an access processing unit 410 that responds to a user accessing the file server.
[0023]
Further, the data manager terminal 100 includes an access right operation unit 110 for the data manager to operate the access right of the user. The user terminal 200 includes an access control unit 210 for the user to access the fill server.
[0024]
Hereinafter, a flow from setting of access right to file access to the file server will be described.
[0025]
First, the access right management unit 310 on the management server 300 receives an access right setting request from a data administrator (S101). That is, the data manager requests the management server 300 to set the access right using the data manager terminal 100. Then, the management server 300 receives the access right setting request.
[0026]
Then, the access right management unit 310 sets a password in the access right setting destination folder for each file server 400 (S102). The folder name and its password set here are stored on the access control list 320. Although FIG. 1 shows one file server 400, a plurality of file servers may be provided.
[0027]
Then, the access control unit 210 in the user terminal 200 communicates with the access right management unit 310 in the management server 300, acquires an accessible file server name, a folder name, a folder password, and displays a list of folders. It is displayed on the screen (S103).
[0028]
The access processing unit 410 on each file server 400 processes various file operations according to a request from the access control unit 210 on the user terminal 200 (S104). This file operation is, for example, reading a file list, receiving a file, transmitting a file, deleting a file, and the like.
<Concept of access right management method>
An access right management method will be described with reference to FIG. FIG. 2 is a conceptual diagram of an access right management method.
[0029]
The management server 300 stores management information for managing which users can access which folders in the access control list 320. The management information includes a user name for specifying a user, a server name and a folder name for specifying a folder on a file server, a folder password, and the like.
[0030]
The user terminal 200 holds identification information for identifying the user in the access control unit 210. The identification information includes a user name.
[0031]
In addition, the file server 400 uses the access processing unit 410 to check whether or not the user can access using the password for the folder. Here, the password for the folder refers to the folder name and the folder password.
[0032]
The flow of access right management processing will be described below.
[0033]
First, the user terminal 200 transmits a user name to the management server 300 (S201).
[0034]
Then, the management server 300 returns the access target information to the user terminal 200 (S202). Here, the management server 300 stores, in the access control list 320, a table in which the user names are associated with the access targets. Then, the management server 300 specifies the user terminal 200 from the user name and refers to this table to transmit the access target information to the user terminal 200. The access target information includes a server name, a folder name, a folder password, and the like relating to the folder permitted to be accessed by the data administrator. This access target information is set so that the user cannot recognize it. In this way, the physical storage location of the file can be kept secret from each user.
[0035]
Also, the password for folder access is kept secret, which makes unauthorized access by outsiders difficult. As a result, external leakage of confidential information can be prevented.
[0036]
The user terminal 200 transmits the folder name and the password included in the access target information to the file server 400 (S203). That is, the user terminal 200 specifies the file server 400 to which the user terminal 200 is to be accessed from the server name included in the access information, and transmits the folder name and the folder password to the file server 400.
[0037]
Then, the file server 400 provides a list of accessible folders in the file server 400 to the user terminal 200 based on the transmitted folder name and folder password.
<System configuration>
The system configuration of the present invention will be described with reference to FIG. FIG. 3 is a system configuration diagram of the present invention. This system includes a data manager terminal 100, a user terminal 200, a management server 300, and a file server 400.
[0038]
Here, the data manager terminal 100 is a terminal for the data manager to operate the access right of the user. The data manager terminal 100 has an access right operation unit 110 and stores a data manager access key 120 (hereinafter, also referred to as DKY) for identifying the data manager.
[0039]
The user terminal 200 is a terminal for the user to access the file server 400. The user terminal 200 has an access control unit 210 and stores a user access key 220 (hereinafter, also referred to as UKY) for identifying a user.
[0040]
The data management server 300 is a server for centrally managing user access rights. The data management server 300 has an access right management unit 310 and holds an access control list 320 (hereinafter, also referred to as ACL) related to the access right.
[0041]
The file server 400 is a server for responding to access from a user. The file server 400 has an access control unit 410 and stores a folder password list 420 (hereinafter, also referred to as FPL) used when accessing a folder and a file access history 430 (hereinafter, also referred to as LOG).
[0042]
The data manager terminal 100, the user terminal 200, the management server 300, and the file server 400 are connected by a network such as a LAN and a WAN.
<Module configuration>
The module configuration will be described with reference to FIGS.
[0043]
First, the module configuration of the access right operation unit will be described with reference to FIG. FIG. 4 is a module configuration diagram of the access right operation unit. The access operation unit 110 is provided in the data manager terminal 100 and executes a data manager authentication process 111, an access right setting process 112, an access right reference / deletion process 113, and a user access key creation process 114.
[0044]
The data manager authentication processing 111 authenticates a data manager using a user name, a password, and a data manager access key. The data administrator access key is stored in the data administrator access key file 120 of the data administrator terminal 100. Further, the user name and the password are stored in the access control list 320 of the management server 300.
[0045]
The access right setting process 112 requests the management server 300 to set the access control list 320. The information set here is the user name, password, file server name, folder name, and folder ID of the user.
[0046]
The access right reference / deletion process 113 refers to the access control list 320 of the management server 300 using the user's user name, password, file server name, folder name, and folder ID as keys. The access right reference / deletion process 113 requests the management server 300 to delete the user name, password, file server name, folder name, and folder ID of the user from the access control list 320.
[0047]
The user access key creation processing 114 generates a user access key when the user to set the access right is new. The generated user access key is sent to the user by some means and set up in the user terminal 200. The transmission means may be stored in, for example, an FD or the like and sent off-line.
[0048]
Next, a module configuration of the access control unit 210 will be described with reference to FIG. FIG. 5 is a module configuration diagram of the access control unit 210. The access control unit 210 is provided in the user terminal 200, and executes an administrator authentication process 211, a screen control process 212, an access right acquisition process 213, and a file access operation process 214.
[0049]
The user authentication process 211 authenticates a user using a user name, a password, and a user access key. The screen control process 212 displays an operation screen on the user terminal 200 according to the operation of the user. Examples of the operation screen include a login screen, a folder list screen, a file list screen, and the like.
[0050]
In the access right acquisition process 213, the access right of the user is acquired with reference to the access control list 320 using the user name as a key. The file access operation process 214 transmits, receives, deletes, and refers to a subfolder according to a user operation.
[0051]
Next, a module configuration of the access right management unit 310 will be described with reference to FIG. FIG. 6 is a module configuration diagram of the access management unit 310. The access right management unit 310 is provided in the management server 300, and includes a data manager registration / deletion process 311, a data manager access key creation process 312, a data manager search process 313, an access control list reference / update process 314, a user A search process 315, a folder password setting / deletion process 316, and a screen control process 317 are executed.
[0052]
The data administrator registration / deletion process 311 adds or deletes the data administrator's user name and password to the access control list 320. That is, the data manager registration / deletion process registers the data manager by adding the data manager information to the access control list 320, and deletes the data manager information from the access control list 320 by adding the data manager information to the access control list 320. Delete registration.
[0053]
The data administrator access key creation process 312 generates a data administrator access key. The generated data administrator access key is sent to the data administrator himself / herself by any means, and set up in the data administrator terminal 100. The data manager terminal 100 stores the data manager access key in the data manager access key 120.
[0054]
The data manager search process 313 authenticates the data manager using the access control list 320 in response to a request from the data manager terminal 300.
[0055]
The access control list reference / update processing 314 refers to or updates the access control list 320 in response to a request from the data administrator terminal 100.
[0056]
The user search process 315 authenticates the user using the access control list in response to a request from the user terminal 200.
[0057]
The folder password setting / deletion process 316 generates a folder password when the access right setting target is new. When all the access right setting objects have been deleted, the folder name, the folder ID, and the folder password are deleted from the folder password list.
[0058]
The screen control process 317 displays the setting screen of the data manager terminal 300 according to the operation of the data manager.
[0059]
Next, a module configuration of the access processing unit 410 will be described with reference to FIG. FIG. 7 is a module configuration diagram of the access processing unit. The access processing unit 410 is provided in the file server 400, and executes a folder password list reference / update process 411, a folder password search process 412, a file access process 413, and an access log update process 414.
[0060]
The folder password list reference / update process 411 refers to or updates the folder password list 420 in response to a request from the management server 300. The folder password search process 412 checks whether the user has an access right in response to a request from the user terminal 200.
[0061]
The file access process 413 causes the user terminal 200 to access a file and a subfolder to be operated. In addition, the access right to the subfolder to which the access right is not set inherits the access right of the parent folder.
[0062]
The access log update processing 414 updates the time, user name, file name, and operation content on the access log 430. The access log 430 is a history of access to the file, and is used when searching for traces of unauthorized access.
<Data structure>
The file format of the above-described list will be described with reference to FIGS.
[0063]
First, the file format of the access control list 320 held by the management server 300 will be described with reference to FIG. The access control list 320 is a file that holds information on access rights. The access control list 320 includes a data management file 321, a user access right information file 322, a server information file 323, and a user information file 324.
[0064]
The data management file 321 stores a user name and a password. The user access right information file 322 stores a user name, a server name, and a folder name. The server information file 323 stores a user name, a folder name, a folder ID, and a folder password. The user information file 324 stores a user name and a password.
[0065]
Next, the file format of the folder password list 420 held by the file server 400 will be described with reference to FIG. The folder password list 420 is a file that holds information used when accessing a folder. The folder password list 420 stores a file name, a folder ID, and a folder password.
[0066]
Next, the file format of the data manager access key 120 held by the data manager terminal 100 will be described with reference to FIG. The data administrator access key 120 is a file that stores information for identifying the data administrator. The data manager access key 120 stores the creation date and time and the data manager identifier.
[0067]
Next, the file format of the user access key 220 will be described with reference to FIG. The user access key 220 is a file that stores information for identifying a user. The user access key 220 stores a creation date and a user identifier.
[0068]
Next, the file format of the access log 430 will be described with reference to FIG. The access log 430 is a file that stores a file access history. The access log 430 stores a creation date and time, a user name, a folder ID, and an operation name.
<Processing flow>
The processing flow of the present system will be described with reference to FIGS. This system processes data manager registration / deletion, access right setting, access right reference / deletion, access right acquisition, and file server access.
[0069]
First, the data manager registration / deletion process will be described with reference to FIG. FIG. 13 is a processing flow of data administrator registration / deletion. The data administrator registration / deletion is a process in which the system administrator registers and deletes a data administrator who is permitted to operate the access right in the management server 300.
[0070]
This process is executed by the access right management unit 310 on the management server 300.
[0071]
First, the access right management unit 310 adds and deletes the data administrator's user name and password to the access control list 320 (S1301).
[0072]
Then, when executing the addition to the access control list 320, the access right management unit 310 generates a data administrator access key (S1302). The data manager access key generated here is sent to the data manager himself by any means, and set up in the data manager terminal. The transmission means may be stored in, for example, an FD or the like and sent off-line.
[0073]
Next, an access right setting process will be described with reference to FIG. FIG. 14 is a processing flow of access right setting. The access right setting is a process in which the data administrator sets the user's access right in the management server 300.
[0074]
In the data administrator terminal 100, the access right operation unit 110 authenticates the data administrator using the user name, the password, and the data administrator access key (S1401).
[0075]
Then, the access right operation unit 110 authenticates the data administrator (S1402).
[0076]
On the other hand, in the management server, the access right management unit 310 adds the user name, password, file server name, folder name, and folder ID of the user to the access control list 320 (S1403).
[0077]
Then, the access right management unit 310 updates the access control list (S1404). If the access right setting target is new in S1404, the access right management unit 310 generates a folder password (S1405).
[0078]
The access right management unit 310 adds the folder name, the folder name, and the folder ID to the folder password (S1406).
[0079]
In the file server 400, the access processing unit 410 updates the folder password list (S1407).
[0080]
On the other hand, if the user is new in S1403, the access right operation unit 110 of the data administrator terminal 100 generates a user access key (S1408). The user access key generated here is sent to the user himself and set up in the user terminal.
[0081]
Next, the access right reference / deletion process will be described with reference to FIG. FIG. 15 is a processing flow of access right reference / deletion. Access right reference / deletion is a process in which a data administrator refers to and deletes a user's access right from a management server. When all the access right setting objects are deleted, the management server deletes the folder password for the file server.
[0082]
In the data manager terminal 100, the access right operation unit 110 authenticates the data manager using the user name, the password, and the data manager access key (S1501). On the other hand, in the management server 300, the access right management unit 310 authenticates the data administrator (S1502).
[0083]
In the data administrator terminal 100, the access right operation unit 110 refers to and deletes the access control list using the user's user name, file server name, folder name, and folder ID as keys (S1503). On the other hand, in the management server 300, the access right management unit 310 refers to and updates the access control list (S1504).
[0084]
When all the access right setting objects have been deleted, the access right management unit 310 deletes the folder name, the folder ID, and the folder password from the folder password list (S1505).
[0085]
In the file server, the access processing unit 410 updates the folder password (S1506).
[0086]
Next, an access right acquisition process will be described with reference to FIG. FIG. 16 is a processing flow of access right acquisition. The access right acquisition is a process in which the user acquires the user's own access right from the management server 300.
[0087]
In the user terminal 200, the access control unit 210 authenticates the user using the user name, the password, and the user access key (S1601). On the other hand, in the management server 300, the access right management unit 310 authenticates the user (S1602).
[0088]
In the user terminal 200, the access control unit 210 acquires the access right of the user by referring to the access control list using the user name as a key (S1603). On the other hand, in the management server 300, the access right management unit 310 refers to the access control list (S1604).
[0089]
Then, the user terminal 200 displays a list of folder IDs on the screen (S1605).
[0090]
Next, a file server access process will be described with reference to FIG. FIG. 17 is a processing flow of file server access. File server access is a process in which a user accesses the file server 400. This process is executed successively to the access right acquisition process shown in FIG.
[0091]
In the user terminal 200, the access control unit 210 selects an access target folder from the list of folder IDs (S1701). Then, the access control unit 210 checks whether there is an access right using the user name and the password (S1702).
[0092]
On the other hand, in the file server 400, the access processing unit 410 refers to the folder password list 420 (S1703).
[0093]
Further, the user terminal 200 displays a list of the file names of the folder on the screen (S1704). Then, the user terminal 200 transmits, receives, deletes, and refers to the subfolder according to the operation of the user (S1705).
[0094]
The access processing unit 410 causes the user terminal 200 to access the file or subfolder to be operated (S1706).
[0095]
The time, user name, file name, and operation content are added to the access log (S1707). This access log is a history of access to the file, and is used when searching for traces of unauthorized access.
[0096]
Thereafter, the processing is repeated from S1702. That is, every time the user changes the folder to be referred to, the presence or absence of the access right to the folder is checked.
[0097]
It is assumed that the access right to the subfolder to which the access right is not set inherits the access right of the parent folder.
<Transition of user screen>
With reference to FIG. 18, an example of a screen transition of the user terminal according to a user operation will be described. FIG. 18 is an image diagram of a screen transition of a user.
[0098]
The user starts the application using the user terminal 200 (S1801). A login screen is displayed on the user screen. The login screen has fields for inputting a user name and a password. The user name and password serve as information for identifying the user himself.
[0099]
Then, the user inputs a user name and a password using the user terminal 200 (S1802). Then, after the user inputs the user name and password, the user presses the send button, so that the user name and password are transmitted to the management server.
[0100]
After that, a folder list is displayed on the user screen. The folder displayed here is a folder to which access has been permitted by the data administrator.
[0101]
The user double-clicks a folder to be accessed using the user terminal 200 (S1803). The contents of the folder are displayed on the user screen.
[0102]
Then, the user operates the file to be accessed using the user terminal 200 (S1804). For example, the user may select a file with the cursor, right-click with the mouse to display a menu on the user screen, and operate the file by selecting an operation item from the menu.
<Effects of Embodiment>
According to the present embodiment, when file sharing is performed using a plurality of file servers, skill free, labor saving, virtual access, and unauthorized access prevention can be achieved.
[0103]
Here, "skill-free" means that the data administrator does not need administrator skills such as a Windows machine and a unix machine. Labor saving means that a data manager sets access rights for each worker with a minimum of effort. In addition, the virtual access means that the physical storage location of the file is kept secret from each user.
[0104]
Further, the password for folder access is kept confidential for each user, making unauthorized access by outsiders difficult. Therefore, traces of unauthorized access can be found from the access log. As a result, external leakage of confidential information can be prevented.
<Computer-readable storage medium>
A program that causes a computer to execute any of the processes of the above-described embodiments can be recorded on a computer-readable storage medium. The system described in the above embodiment can be provided by causing a computer to read and execute the program in the storage medium.
[0105]
Here, a computer-readable storage medium refers to a storage medium that stores information such as data and programs by electrical, magnetic, optical, mechanical, or chemical action and can be read from a computer. . Among such storage media, those removable from a computer include, for example, a flexible disk, a magneto-optical disk, a CD-ROM, a CD-R / W, a DVD, a DAT, an 8 mm tape, a memory card, and the like.
[0106]
Further, as a recording medium fixed to the computer, there is a hard disk, a ROM (Read Only Memory), or the like.
[0107]
The above embodiment does not limit the scope of the present invention in any way, and various modifications may be appropriately made within a range that can be understood by those skilled in the art.
<Others>
Further, this embodiment discloses the following invention.
[0108]
(Supplementary Note 1) In order to centrally manage the user terminal accessing the access destination in the file server and the access from the user terminal to the access destination in the file server, the identification information for identifying the user and the identification information in the file server A management server that stores a correspondence table that associates access information for accessing the access destination with a management server, the method comprising:
The user terminal transmits identification information for identifying a user to the management server;
The management server receives the identification information from the user terminal,
A step in which the management server refers to the identification information and the correspondence table to search for access information for accessing an access destination in a file server;
The management server transmitting the access information to the user terminal;
Transmitting to the file server access destination information included in the access information received by the user terminal and including information specifying an access destination and a password thereof;
Determining whether the user has access based on the access destination information received by the file server.
(Supplementary Note 2) The file server receives a password setting request from a management server;
Setting the access information in accordance with the password setting request.
(Supplementary Note 3) Centrally managing access from a user terminal connected to the network to an access destination in the file server, identification information for identifying the user, and access for accessing the access destination in the file server An access management method executed in a management server that stores a correspondence table that associates information with information,
Receiving the identification information from the user terminal;
Searching the access information by referring to the identification information and the correspondence table;
Transmitting the access information to the user terminal.
(Supplementary note 4) The access management method according to supplementary note 3, wherein the access information includes information for specifying a file server and an access destination in the file server, and a password of the access destination.
(Supplementary Note 5) a step of receiving an access setting request from an administrator terminal connected via a network;
Generating a password for the access destination based on the access setting request;
Sending the access information including the generated password to a file server.
(Supplementary note 6) The access management method according to supplementary note 5, further comprising, after receiving the identification information from the user terminal, authenticating the user using the identification information.
(Supplementary Note 7) A method executed in a user terminal accessing an access destination in a file server via a management server connected via a network,
Transmitting identification information for identifying a user to the management server;
Receiving access information for accessing an access destination in the file server from the management server;
Transmitting to the file server access destination information that is included in the received access information and includes information specifying the access destination and a password thereof.
(Supplementary Note 8) A method executed by a file server having at least one access destination, in which access from a user terminal is centrally managed by a management server connected via a network,
The file server receiving a password setting request from the management server;
Setting access information for accessing an access destination in a file server in accordance with the password setting request.
(Supplementary Note 9) Centrally managing access from a user terminal connected to the network to an access destination in the file server, identification information for identifying the user, and access for accessing the access destination in the file server A program executed by a computer in a management server that stores a correspondence table in which information is associated,
Receiving the identification information from the user terminal;
Searching the access information by referring to the identification information and the correspondence table;
Transmitting the access information to the user terminal.
(Supplementary note 10) The program according to supplementary note 9, wherein the access information includes information for specifying a file server and an access destination in the file server, and a password of the access destination.
(Supplementary Note 11) a step of receiving an access setting request from an administrator terminal connected via a network;
Generating a password for the access destination based on the access setting request;
Transmitting the access information including the generated password to a file server.
(Supplementary note 12) The program according to supplementary note 11, further comprising, after receiving the identification information from the user terminal, authenticating the user using the identification information.
(Supplementary Note 13) A program executed by a computer at a user terminal accessing an access destination in a file server via a management server connected via a network,
Transmitting identification information for identifying a user to the management server;
Receiving access information for accessing an access destination in the file server from the management server;
Transmitting to the file server access destination information that is included in the received access information and includes information specifying the access destination and a password thereof.
(Supplementary Note 14) A program executed by a computer on a file server having at least one access destination, in which access from a user terminal is integrally managed by a management server connected via a network,
The file server receiving a password setting request from the management server;
Setting access information for accessing an access destination in a file server according to the password setting request.
(Supplementary Note 15) A management server that centrally manages access from a user terminal connected to a network to an access destination in a file server,
Means for storing a correspondence table that associates identification information for identifying a user with access information for accessing an access destination in a file server;
Means for receiving the identification information from the user terminal,
Means for searching for the access information with reference to the identification information and the correspondence table,
Means for transmitting the access information to the user terminal.
(Supplementary note 16) The management server according to supplementary note 15, wherein the access information includes information for specifying a file server and an access destination in the file server, and a password of the access destination.
(Supplementary Note 17) Means for receiving an access setting request from an administrator terminal connected via a network,
Means for generating a password for the access destination based on the access setting request;
Means for transmitting access information including the generated password to a file server.
(Supplementary note 18) The management server according to supplementary note 17, further comprising: after receiving the identification information from the user terminal, authenticating the user using the identification information.
(Supplementary Note 19) A user terminal that accesses an access destination in the file server via a management server connected via a network,
Means for transmitting identification information for identifying a user to the management server;
Means for receiving, from the management server, access information for accessing an access destination in the file server;
Means for transmitting access destination information, which is included in the received access information and includes information for specifying the access destination and a password thereof, to the file server.
(Supplementary Note 20) A file server having a management server connected via a network to centrally manage access from a user terminal and having at least one access destination,
Means for the file server receiving a password setting request from the management server;
Means for setting access information for accessing an access destination in the file server in accordance with the password setting request.
[0109]
【The invention's effect】
As described above, the present invention centralizes management of access right setting operations for a plurality of file servers, thereby reducing the work of a data administrator and providing a file sharing mechanism with a high security level easily. be able to.
[Brief description of the drawings]
FIG. 1 is a principle configuration diagram of the present invention.
FIG. 2 is a conceptual diagram of an access right management scheme.
FIG. 3 is a system configuration diagram.
FIG. 4 is a module configuration diagram of an access right operation unit.
FIG. 5 is a module configuration diagram of an access control unit.
FIG. 6 is a module configuration diagram of an access management unit.
FIG. 7 is a module configuration diagram of an access processing unit.
FIG. 8 is a diagram showing a file format of an access control list.
FIG. 9 is a diagram showing a file format of a folder password list.
FIG. 10 is a diagram showing a file format of a data administrator access key.
FIG. 11 is a diagram showing a file format of a user access key.
FIG. 12 is a diagram showing a file format of an access log.
FIG. 13 is a diagram showing a processing flow of data manager registration / deletion.
FIG. 14 is a diagram showing a processing flow of access right setting.
FIG. 15 is a diagram showing a processing flow of access right reference / deletion.
FIG. 16 is a diagram showing a processing flow of access right acquisition.
FIG. 17 is a diagram showing a processing flow of file server access.
FIG. 18 is an image diagram of a screen transition of a user.
FIG. 19 is a diagram showing conventional access right setting.
[Explanation of symbols]
100 ... data manager terminal
110 access right operation unit
111: Data manager authentication process
112: Access right setting processing
113 ... Access right reference / deletion process
114 ... User access key creation processing
120: Data manager access key (DKY)
200 ... User terminal
210 access control unit
211: User authentication processing
212: Screen control processing
213 access right acquisition processing
214: File access operation processing
220: User access key (UKY)
300: Management server
310 ... Access right management unit
311 Data registration / deletion processing
312: Data administrator access key creation processing
313: Data manager search processing
314 ... Access control list reference / update processing
315: User search processing
316: Folder password setting / deletion process
317: Screen control processing
320 access control list (ACL)
321 ... data manager information file
322: User access right information file
323: Server information file
324: User information file
400 ... File server
410 access processing unit
420: File password list (FPL)
430 ... Access log (LOG)

Claims (15)

ファイルサーバ内のアクセス先へアクセスする利用者端末と、利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理するため、利用者を識別する識別情報とファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する管理サーバとを備えるシステムで実行される利用者端末からのアクセスを管理する方法であって、
前記利用者端末が利用者を識別する識別情報を前記管理サーバに送信するステップと、
前記管理サーバが前記利用者端末から前記識別情報を受信するステップと、
前記管理サーバが前記識別情報と前記対応表を参照して、ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を検索するステップと、
前記管理サーバが前記アクセス情報を前記利用者端末に送信するステップと
前記利用者端末が受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信するステップと、
前記ファイルサーバが受信したアクセス先情報に基づいて前記利用者のアクセスの可否を判定するステップとを実行させるアクセス管理方法。To centrally manage the user terminal accessing the access destination in the file server and the access from the user terminal to the access destination in the file server, the identification information to identify the user and the access destination in the file server A method for managing access from a user terminal executed in a system including a management server that stores a correspondence table that associates access information for access with the management server,
The user terminal transmits identification information for identifying a user to the management server;
The management server receives the identification information from the user terminal,
A step in which the management server refers to the identification information and the correspondence table to search for access information for accessing an access destination in a file server;
The step of the management server transmitting the access information to the user terminal and the access information included in the access information received by the user terminal and including information for specifying an access destination and a password thereof are transmitted to the file server. Sending,
Determining whether the user has access based on the access destination information received by the file server. 前記ファイルサーバが管理サーバからパスワード設定要求を受信するステップと、
前記パスワード設定要求に従って、アクセス情報を設定するステップとを実行させる請求項1に記載のアクセス管理方法。The file server receiving a password setting request from a management server;
Setting the access information in accordance with the password setting request. ネットワークで接続された利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理し、利用者を識別する識別情報と、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する管理サーバにおいて実行されるアクセス管理方法であって、
前記利用者端末から前記識別情報を受信するステップと、
前記識別情報と前記対応表を参照して前記アクセス情報を検索するステップと、
前記アクセス情報を前記利用者端末に送信するステップとを実行させるアクセス管理方法。Centrally manages access to access destinations in the file server from user terminals connected over the network, and associates identification information for identifying users with access information for accessing the access destination in the file server An access management method executed in a management server that stores a correspondence table,
Receiving the identification information from the user terminal;
Searching the access information by referring to the identification information and the correspondence table;
Transmitting the access information to the user terminal. 前記アクセス情報は、ファイルサーバと当該ファイルサーバ内のアクセス先とを特定する情報、及び前記アクセス先のパスワードを含む請求項3に記載のアクセス管理方法。The access management method according to claim 3, wherein the access information includes information for specifying a file server and an access destination in the file server, and a password of the access destination. ネットワークで接続された管理者端末からアクセス設定要求を受信するステップと、
アクセス設定要求に基づいて、アクセス先へのパスワードを生成するステップと、
生成した前記パスワードを含むアクセス情報をファイルサーバに送信するステップとを実行させる請求項4に記載のアクセス管理方法。Receiving an access setting request from an administrator terminal connected via a network;
Generating a password for the access destination based on the access setting request;
Transmitting the generated access information including the password to a file server. 前記利用者端末から識別情報を受信した後、識別情報を利用して利用者を認証するステップをさらに実行させる請求項5に記載のアクセス管理方法。The access management method according to claim 5, further comprising, after receiving the identification information from the user terminal, authenticating the user using the identification information. ネットワークで接続された管理サーバを介して、ファイルサーバ内のアクセス先へアクセスする利用者端末において実行される方法であって、
利用者を識別する識別情報を前記管理サーバに送信するステップと、
ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を前記管理サーバから受信するステップと、
受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信するステップとを実行させるアクセス管理方法。A method executed in a user terminal accessing an access destination in a file server via a management server connected via a network,
Transmitting identification information for identifying a user to the management server;
Receiving access information for accessing an access destination in the file server from the management server;
Transmitting to the file server access destination information that is included in the received access information and includes information specifying the access destination and a password thereof. ネットワークで接続された管理サーバによって利用者端末からのアクセスを一元的に管理させ、少なくとも一つ以上のアクセス先を有するファイルサーバにおいて実行される方法であって、
前記ファイルサーバが前記管理サーバからパスワード設定要求を受信するステップと、
前記パスワード設定要求に従って、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報を設定するステップとを実行させるアクセス管理方法。A method performed by a file server having at least one access destination, in which access from a user terminal is centrally managed by a management server connected to a network,
The file server receiving a password setting request from the management server;
Setting access information for accessing an access destination in a file server in accordance with the password setting request. ネットワークで接続された利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理し、利用者を識別する識別情報と、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する管理サーバにおいてコンピュータによって実行するプログラムであって、
前記利用者端末から前記識別情報を受信するステップと、
前記識別情報と前記対応表を参照して前記アクセス情報を検索するステップと、
前記アクセス情報を前記利用者端末に送信するステップとを実行するプログラム。Centrally manages access to access destinations in the file server from user terminals connected over the network, and associates identification information for identifying users with access information for accessing the access destination in the file server A program executed by a computer in a management server that stores a correspondence table,
Receiving the identification information from the user terminal;
Searching the access information by referring to the identification information and the correspondence table;
Transmitting the access information to the user terminal. 前記アクセス情報は、ファイルサーバと当該ファイルサーバ内のアクセス先とを特定する情報、及び前記アクセス先のパスワードを含む請求項9に記載のプログラム。The program according to claim 9, wherein the access information includes information for specifying a file server and an access destination in the file server, and a password of the access destination. ネットワークで接続された管理者端末からアクセス設定要求を受信するステップと、
アクセス設定要求に基づいて、アクセス先へのパスワードを生成するステップと、
生成した前記パスワードを含むアクセス情報をファイルサーバに送信するステップとを実行する請求項10に記載のプログラム。Receiving an access setting request from an administrator terminal connected via a network;
Generating a password for the access destination based on the access setting request;
Transmitting the generated access information including the password to a file server. 前記利用者端末から識別情報を受信した後、識別情報を利用して利用者を認証するステップをさらに実行する請求項11に記載のプログラム。The program according to claim 11, further comprising, after receiving the identification information from the user terminal, authenticating the user using the identification information. ネットワークで接続された管理サーバを介して、ファイルサーバ内のアクセス先へアクセスする利用者端末においてコンピュータによって実行するプログラムであって、
利用者を識別する識別情報を前記管理サーバに送信するステップと、
ファイルサーバ内のアクセス先にアクセスするためのアクセス情報を前記管理サーバから受信するステップと、
受信したアクセス情報に含まれ、アクセス先を特定する情報とそのパスワードとを含むアクセス先情報を前記ファイルサーバに送信するステップとを実行するプログラム。A program executed by a computer at a user terminal accessing an access destination in a file server via a management server connected via a network,
Transmitting identification information for identifying a user to the management server;
Receiving access information for accessing an access destination in the file server from the management server;
Transmitting to the file server access destination information that is included in the received access information and includes information specifying the access destination and a password thereof. ネットワークで接続された管理サーバによって利用者端末からのアクセスを一元的に管理させ、少なくとも一つ以上のアクセス先を有するファイルサーバにおいてコンピュータによって実行するプログラムであって、
前記ファイルサーバが前記管理サーバからパスワード設定要求を受信するステップと、
前記パスワード設定要求に従って、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報を設定するステップとを実行するプログラム。A program executed by a computer on a file server having at least one or more access destinations, wherein access from a user terminal is centrally managed by a management server connected via a network,
The file server receiving a password setting request from the management server;
Setting access information for accessing an access destination in a file server according to the password setting request. ネットワークで接続された利用者端末からファイルサーバ内のアクセス先へのアクセスを一元的に管理する管理サーバであって、
利用者を識別する識別情報と、ファイルサーバ内のアクセス先へアクセスするためのアクセス情報とを関連付けた対応表を格納する手段と、
前記利用者端末から前記識別情報を受信する手段と、
前記識別情報と前記対応表を参照して前記アクセス情報を検索する手段と、
前記アクセス情報を前記利用者端末に送信する手段とを備える管理サーバ。An administration server that centrally manages access to access destinations in a file server from user terminals connected via a network,
Means for storing a correspondence table that associates identification information for identifying a user with access information for accessing an access destination in a file server;
Means for receiving the identification information from the user terminal,
Means for searching for the access information with reference to the identification information and the correspondence table,
Means for transmitting the access information to the user terminal.
JP2003096695A 2003-03-31 2003-03-31 Access control method Expired - Fee Related JP4361752B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003096695A JP4361752B2 (en) 2003-03-31 2003-03-31 Access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003096695A JP4361752B2 (en) 2003-03-31 2003-03-31 Access control method

Publications (2)

Publication Number Publication Date
JP2004303023A true JP2004303023A (en) 2004-10-28
JP4361752B2 JP4361752B2 (en) 2009-11-11

Family

ID=33408672

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003096695A Expired - Fee Related JP4361752B2 (en) 2003-03-31 2003-03-31 Access control method

Country Status (1)

Country Link
JP (1) JP4361752B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127205A (en) * 2004-10-29 2006-05-18 Hitachi Ltd Computer and its access control method
JP2007264942A (en) * 2006-03-28 2007-10-11 Nomura Research Institute Ltd Electronic document delivery system
JP2008090701A (en) * 2006-10-04 2008-04-17 Astec Corp:Kk Authentication access control system and add-in module to be used therefor
JP2008148095A (en) * 2006-12-12 2008-06-26 Buffalo Inc Storage device and user authentication method
JP2009545071A (en) * 2006-07-25 2009-12-17 ネットアップ,インコーポレイテッド Systems and methods for server configuration control and management
JP4461465B1 (en) * 2009-03-17 2010-05-12 サイバーステーション株式会社 Web system, instruction target system, and content data providing method
US7743190B2 (en) 2006-10-10 2010-06-22 Hitachi, Ltd. Access right managing method for accessing multiple programs
WO2016092630A1 (en) * 2014-12-09 2016-06-16 キヤノン株式会社 Information processing device, method for controlling information processing device, information processing system, and computer program

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127205A (en) * 2004-10-29 2006-05-18 Hitachi Ltd Computer and its access control method
JP4532237B2 (en) * 2004-10-29 2010-08-25 株式会社日立製作所 Computer and access control method in computer
JP2007264942A (en) * 2006-03-28 2007-10-11 Nomura Research Institute Ltd Electronic document delivery system
JP2009545071A (en) * 2006-07-25 2009-12-17 ネットアップ,インコーポレイテッド Systems and methods for server configuration control and management
JP2008090701A (en) * 2006-10-04 2008-04-17 Astec Corp:Kk Authentication access control system and add-in module to be used therefor
US8145818B2 (en) 2006-10-10 2012-03-27 Hitachi, Ltd. Access right managing method for accessing multiple programs
US7743190B2 (en) 2006-10-10 2010-06-22 Hitachi, Ltd. Access right managing method for accessing multiple programs
US8010725B2 (en) 2006-10-10 2011-08-30 Hitachi, Ltd. Access right managing method for accessing multiple programs
JP2008148095A (en) * 2006-12-12 2008-06-26 Buffalo Inc Storage device and user authentication method
CN101965562A (en) * 2009-03-17 2011-02-02 网络基站株式会社 Web system, command target system, and content data providing method
JP2010218212A (en) * 2009-03-17 2010-09-30 Cyber Station Kk Web system, instruction objective system, and content data providing method
WO2010107062A1 (en) * 2009-03-17 2010-09-23 サイバーステーション株式会社 Web system, command target system, and content data providing method
KR101125809B1 (en) 2009-03-17 2012-03-27 가부시키가이샤 아이-오 데이터 키키 Web system, instruction-receiving system and contents data providing method
JP4461465B1 (en) * 2009-03-17 2010-05-12 サイバーステーション株式会社 Web system, instruction target system, and content data providing method
CN101965562B (en) * 2009-03-17 2014-03-19 网络基站株式会社 Web system, command target system, and content data providing method
WO2016092630A1 (en) * 2014-12-09 2016-06-16 キヤノン株式会社 Information processing device, method for controlling information processing device, information processing system, and computer program
CN107004094A (en) * 2014-12-09 2017-08-01 佳能株式会社 Information processor, the control method of information processor, information processing system and computer program
JPWO2016092630A1 (en) * 2014-12-09 2017-09-21 キヤノン株式会社 Information processing apparatus, information processing apparatus control method, information processing system, and computer program
EP3232363A4 (en) * 2014-12-09 2018-07-18 Canon Kabushiki Kaisha Information processing device, method for controlling information processing device, information processing system, and computer program
CN107004094B (en) * 2014-12-09 2021-01-15 佳能株式会社 Information processing apparatus, control method for information processing apparatus, information processing system, and computer program

Also Published As

Publication number Publication date
JP4361752B2 (en) 2009-11-11

Similar Documents

Publication Publication Date Title
US10268835B2 (en) Hosted application gateway architecture with multi-level security policy and rule promulgations
US20240053870A1 (en) Systems and methods for content sharing through external systems
EP2585970B1 (en) Online service access controls using scale out directory features
JP6543724B2 (en) Collection folder for collecting file submissions via customizable file requests
US10824756B2 (en) Hosted application gateway architecture with multi-level security policy and rule promulgations
JP2008015625A (en) Access authority management program, access authority management device, and method for managing access authority
JP6323994B2 (en) Content management apparatus, content management method and program
KR102032583B1 (en) Access to supplemental data based on identifier derived from corresponding primary application data
CN114641768A (en) Controlling access to cloud resources in data using cloud-enabled data tagging and dynamic access control policy engine
US11675927B2 (en) System and method for external users in groups of a multitenant system
CN105516059A (en) Resource access control method and device
JP2006048340A (en) Access control list attaching system, original contents preparer&#39;s terminal, policy server, original contents data management server, program, and recording medium
US10129173B2 (en) Network system and method for changing access rights associated with account IDs of an account name
JP2007179202A (en) Electronic business form server, client, electronic business form system, information providing method, information using method, service providing method, server program, client program, and storage medium
JP4361752B2 (en) Access control method
EP2154819B1 (en) Content sharing method, server and system
JP2018156410A (en) Information processing apparatus and program
JP2004046460A (en) File management system and access control system
JP2006048527A (en) System, method, server, and software for license management
JP6154683B2 (en) Computer system
JP7172709B2 (en) Information processing system and program
JP2020017308A (en) Information processing apparatus and program
JP2005032109A (en) Document data managing device, document data access program, and document data managing program
JP2003259306A (en) Advertisement approval circulation system, approval circulation center server, advertisement staff terminal, computer program, storage medium, and approval circulation method for approval circulation center server
US11570170B2 (en) Embedding group-based communication system content

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090406

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090804

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090813

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150821

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees