JP2004303051A - Data management method, data management device, information processor, and telecommunication network system - Google Patents
Data management method, data management device, information processor, and telecommunication network system Download PDFInfo
- Publication number
- JP2004303051A JP2004303051A JP2003096999A JP2003096999A JP2004303051A JP 2004303051 A JP2004303051 A JP 2004303051A JP 2003096999 A JP2003096999 A JP 2003096999A JP 2003096999 A JP2003096999 A JP 2003096999A JP 2004303051 A JP2004303051 A JP 2004303051A
- Authority
- JP
- Japan
- Prior art keywords
- data
- user
- data box
- group
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、LANやWAN等の通信ネットワークにおけるサーバや端末におけるデータのアクセス制限等を含むデータ管理技術に関し、特に、会計事務所のような小規模な事業体でのネットワーク(WAN、LANを含む)におけるデータ管理方法、データ管理装置、及び通信ネットワークシステムに関する。
【0002】
【従来の技術】
データのセキュリティを保持するためにファイルへのアクセス制限を行ったり、データの取り扱いを容易にするためにフォルダ管理を行う技術として次のようなものがある。
データベースに対するアクセス要求に対する制御を効率的に実行するためのデータアクセス制御方法として、階層構造データメニューをユーザ固有のユーザIDに対応させて設定し、アクセス要求に含まれるユーザ識別子に基づいて各ユーザの端末に当該ユーザがアクセス可能な階層構造データメニューを作成して表示する方法(例えば、特許文献1参照)。
【0003】
ストレージエリアネットワーク(SAN)環境下での記憶装置を介したデータ共有方法におけるアクセス制限方法として、少なくとも1つの記憶デバイスを有し、複数の計算機に接続される記憶装置システムにおいて、その少なくとも1つの記憶デバイスの領域に複数の計算機からのアクセスを許可又は禁止する手段を備えるようにしたもの(例えば、特許文献2参照)。
【0004】
クライアント・サーバシステムにおいて企業等の組織内で情報を共有するデータベース管理システムで、データベースに対してアクセス要求を行ったクライアントのタイプに応じてグループ制限を定義テーブルに記述しておき、ユーザのグループ分けとグループタイプ別のアクセス制限を行うアクセス制御装置(例えば、特許文献3参照)。
【0005】
また、従来、ネットワーク(WAN、LANを含む)を利用したクライアントサーバシステムにおいて、ユーザにアクセス制限をかけたり、ユーザごとにアクセスできる領域を区別して管理する場合には、OSに用意された種々の管理ソフトを起動し設定を行っていた。すなわち、ウィンドウズ(R)やLinuxなどのOSの管理ソフトで、▲1▼まずユーザ登録を行う設定を行い、▲2▼ユーザごとのグループ分けを行なう設定を行い、 ▲3▼フォルダごとにアクセス権限を設定することにより、 特定のフォルダに対して各グループ単位でアクセス可否を設定することができる(非特許文献1)。
【0006】
一方、データベースシステムにおいて、各ユーザがデータベースをアクセスするために、専用のアプリケーションである、データベース言語SQL(Structured Query Language;構造照会言語)を用いてアクセス権限の設定を行い、リレーショナルデータベース管理システムの機能にしたがってデータベースのアクセス制御を行うものがある。この方式では、「ロール」(グループ管理を行うために、複数のユーザを一つの単位としてグループ化し、グループのメンバーであるユーザ全員に同じ権限を付与すること)を用いてアクセス制御を行う(例えば、非特許文献2参照)。
【0007】
また、上記非特許文献2記載のデータベースシステムでSQL言語を用いてアクセス権を設定したり、変更したりする場合、データアクセスのSQL文に対応付けてデータ項目やファイル名及び検索条件等を意識した記述が必要であるが、データベースの問い合わせ条件が複雑になればなるほど作業量が膨大になり、しかも、データベースやSQLに関する高度な知識を必要とするために通常のオペレータではその記述が困難であり、データベース管理者のようなデータベースやSQLに関する高度な知識を持ったエキスパートに作業を依頼しなければならないという問題点があった。
【0008】
このような問題を解決する技術として、社員情報等のユーザ管理情報のアクセスをユーザの属性に応じてユーザグループ毎に制御するために、ユーザ毎にユーザログイン情報とユーザグループとを対応付けたユーザ別グループ情報をユーザ管理情報を基に自動生成することで、データベース言語による設定を意識せずに専門家でなくてもアクセス権の設定や変更を可能とし、オペレータの負担を軽減したり、ユーザグループ別のアクセス権とユーザ管理情報の整合を図るデータアクセス制御装置が提案されている(例えば、特許文献4)
【特許文献1】
特許第3382881号公報
【特許文献2】
特開2003−6048公報
【特許文献3】
特開2000−137735公報
【特許文献4】
特開平11−194974公報
【非特許文献】
Crain Stinson, Carl Siechert著、安達俊一、安達真弓訳、「Microsoft Windows(R) 2000 Professional オフィシャルマニュアル」、日経bpソフトプレス出版、2000年6月5日、p553〜p594
【非特許文献2】
Marci Frohock Garcia, Jamie Reding, Whalen, Stave Adrien Deluca 著、(株)クイック訳、「Microsoft SQL Sever 2000 オフィシャルマニュアル上」、日経BPソフトプレス出版 2001年3月19日
【0009】
【発明が解決しようとする課題】
会計事務所ではその顧問先(会計事務所との契約により会計処理又は会計処理に係わる指導を委託した個人又は企業をいう)に対する会計処理や指導を行なっている。このような会計事務所では監査用会計処理装置を用いて仕訳内容や摘要をチェック(監査)して誤りがあった場合にはそれを訂正するための訂正入力を行ったり、チェックや指導のために元帳や財務諸表を表示又は印刷出力したりするが、各担当者はデータ管理に係るシステム管理やセキュリティ管理に係わる専門知識を持っているわけではなない。
【0010】
このような会計事務所では図1(a)に示すようにサーバ1と端末で3からなるLANを構成して複数の端末からメモリ装置2の記憶媒体に格納されている会計ファイルの更新や作成を行ったり、メモリ装置2の記憶媒体に格納されている会計ファイルを基に表示又は印刷出力される財務諸表等を用いて監査や指導を行なう際には、サーバや端末におけるアクセス制限やホルダ管理等、及びアクセス権限の設定や等に係わる負担を軽減する簡易なデータ管理方式が導入されることが望ましい。また、図1(b)に示すようなWAN等の通信ネットワークを介して顧問先端末との間で会計処理や指導を行ういわゆる「インターネット会計」を行にも同様な簡易なデータ管理方式が導入されることが望ましい。
また、会計事務所では元帳の入力や財務諸表等を用いて顧問先企業に対する監査や指導を行なうので、データのアクセス権限の設定(例えば所員のグループ分け、会計事務所の業務に促したデータ領域の分割、それぞれの対応関係等)についても、ある程度定型化されていれば足りる面もある。
むしろ、アクセス権限管理の自由度が高いがゆえに設定作業が複雑化するよりは、自由度が低くても、会計事務所の業務に必要なアクセス権限管理が出来さえすればよい。
【0011】
また、会計事務所の法人化により、会計事務所A、B、・・・が合併した会計事務所X(法人)ができることとなるが、この場合、当分の間、元の会計事務所A、B、・・の顧問先を元の会計事務所A、B、・・の担当者が担当することになることが予想される。このような場合は、例えば、元の会計事務所Aの顧問先の会計ファイルを一群として格納したある特定の記憶領域に対して元の会計事務所Aの担当者グループのメンバーのみがアクセスできるようにデータ管理を行うことが望ましい。元の会計事務所B、・・・の顧問先についても同様である。
ここで、会計事務所の法人化に際しては、数個の会計事務所が統合する場合や、ある程度の大きな規模を持つ会計事務所がそのまま法人に移行する場合などが考えられるが、この際、会計事務所の法人化の形態はある程度限定され、データのアクセス権限の設定(例えば所員のグループ分け、会計事務所の業務に促したデータ領域の分割、それぞれの対応関係等)についても、予め定型化されることが望ましい。
【0012】
このような観点からは、上記特許文献1に記載のデータアクセス制御方法は、階層構造データメニューを提供する技術であるため、ユーザ単位にアクセス制御を行うものであって、ユーザのグループ分をした上でのアクセス制御やデータベースの分割領域との対応付けを行うものではない。
【0013】
また、上記特許文献2に記載のアクセス制御方法は、ユーザ毎にファイル単位でアクセス制御を行う技術であり、特許文献1の場合と同様ユーザのグループ分をした上でのアクセス制御やデータベースの分割領域との対応付けを行うものではない。
【0014】
また、上記特許文献2に記載のアクセス制御装置は、定義テーブルによって「検索アクセス」を制限する。従って、ユーザから検索アクセスがあって初めて動作するものであり、予めアクセスできる領域に割り当てられているものではない。
一方、非特許文献1に記載のOS(オペレーティングシステム)の管理ソフトでOSに用意された種々の管理ソフトを起動し設定を行う作業は非常に複雑で手間のかかる作業となっており、通常のユーザでは、OSの管理ソフトを使いこなすまでには習熟を要し、訓練を受けていないユーザではこれらの作業をすることが事実上出来なかった。(各種設定に習熟することはもちろん、加えそれら設定の優先関係、相関関係等を習熟することが必要だからである)。
【0015】
例えば、Administratorグループの権利を選択する場合、図26に示すようなダイアログボックスが表示され、この中からフォルダのアクセス権限に関係するものを取捨選択しつつ設定する必要がある。更に、各グループに対する実際の権利の割り当てに際してはフォルダのアクセス権限関係が無いものが多く存在するのでの中からフォルダのアクセス権限に関係するものを取捨選択しつつ設定する必要もある。つまり、図26のように、単に全体の設定の中のたったひとつのアクセス権限に関して、しかもひとつのグループに対しての設定をするだけでも、多くのバックグラウンド知識を必要とするという問題点がある。
【0016】
また、アクセス権限設定だけでなくアクセスできる領域を分割することについても、一般のユーザにとっては困難性が高い。
例えば、メモリ装置の領域分割に際しては、まず、ファイルシステムの概要についての理解が必要である。
つまり、ボリュームの概念や、パーティッションの概念、ファイルとフォルダの概念の理解が第一に必要である。
そして、ファイル単位でアクセス権限を管理するか、フォルダ単位でアクセス権限を管理するかを決定する必要があった。
【0017】
また、フォルダ単位でアクセス権限を管理する場合には、フォルダごとにセキュリティ管理プログラムを起動して行う必要もある(フォルダの「プロパティ」ダイアログボックスの「セキュリティ」タブにおいて設定を行う)。
【0018】
この場合、設定中のフォルダより上位のフォルダとの継承関係についても理解をしつつ設定することを要し、アクセス許可が上位のフォルダから継承することの影響についても考慮が必要となる。 このように、OS管理ソフトについての習熟した者でなければ、事実上、フォルダ管理についても不可能な状況であった。
【0019】
また、非特許文献2記載のデータベース言語においても、アクセス権を設定したり、変更したりする場合だけでなく、ユーザがどのデータベースオブジェクトを使用する権限を持ち、ユーザがそれらのオブジェクトにおいていかなる操作ができるかを決定するための「権限」設定や変更の場合についても同様にシステム管理者等のように高度なデータベース知識やSQLの知識を持ったエキスパートでなければ設定が極めて困難であるという問題点がある。
【0020】
また、上記特許文献4に記載の発明は、上述した非特許文献1に記載のデータベース言語によってアクセス権限の設定を行うリレーショナルデータベース管理システムを前提としたものであり、当該データベース言語によるアクセス権を設定/変更を簡易に行う手法であって、ユーザグループを定義する手段とユーザログイン情報を定義する手段はデータベースを直接制御する定義ファイルで構成されているので、非特許文献1に記載のデータベース言語及びリレーショナルデータベース管理システム以外でデータ管理を行う場合には適用できない。
【0021】
さらに、以上の従来技術では、セキュリティポリシー(担当者をどういったグループに分け、業務に促してどのようなデータ領域を設け、各担当者グループにどう対応づけるかといった戦略設計)の策定はユーザに一任されることになり、一般ユーザには困難であったため、多くの場合、外部のシステムインテグレータ(SI)業者の手を借りることとなっていた。
【0022】
ここで、ここで、アプリケーションと管理ソフトの中間に位置するミドルウエアによりユーティリティを中心とした簡易な設定で、簡易な設定で、ユーザにアクセス制限をかけたり、ユーザ毎にアクセスできる領域を区別して管理することができれば、会計事務所のような小規模な事業体でネットワーク(WAN、LANを含む)を利用したクライアントサーバシステムにおけるデータ管理を、専門知識を持っていなくても、簡単に行うことができる。
本発明は、上記課題を解決するためになされたものであり、サーバ及び/又は端末におけるデータ管理をミドルウエアによってユーティリティ群を中心として簡易に行い得るように構成した、データ管理方法、データ管理装置、及び通信ネットワークの提供を目的とする。
【0023】
【課題を解決するための手段】
上記課題を解決するために、請求項1に記載の発明では、記憶領域を分割した分割領域からなるデータボックスを設定し、データボックスの少なくとも1つにユーザグループを対応付け、ユーザグループの少なくとも1つにユーザを対応付け、データボックスに属するユーザグループに対応付けられているユーザのみがそのユーザグループが対応付けられているデータボックスに格納されているデータにアクセスできる、ことを特徴するデータ管理方法を提供する。
【0024】
また、請求項2に記載の発明では、情報処理装置の記憶装置であって、その記憶領域を分割してなるデータボックスを備え、データボックスに対応付けられたユーザグループに属するユーザのみがそのグループが対応付けられているデータボックスに格納されているデータにアクセスできる、ことを特徴するデータ管理装置を提供する。
【0025】
また、請求項3に記載の発明では、情報処理装置の記憶装置であって、記憶領域を分割してなるデータボックスと、データボックスと該データボックスとアクセス可能なユーザグループを対応付けたグループ管理情報と、ユーザグループとユーザを対応付けたユーザ管理情報とを備え、ユーザ管理情報によって対応付けられるユーザグループに属するユーザのみがグループ管理情報によって対応付けられているデータボックスに格納されているデータにアクセスできる、ことを特徴するデータ管理装置を提供する。
【0026】
また、請求項4に記載の発明では、記憶領域は、ユーザによるアクセスを制限なく行うことができる共通領域を備えたことを特徴とする請求項2又は3記載のデータ管理装置を提供する。
【0027】
また、請求項5に記載の発明では、記憶装置に該記憶装置の記憶領域を分割してなる分割領域をデータボックスとして設定するデータボックス設定手段と、設定したデータボックとユーザグループを対応付けるグループ設定手段と、ユーザグループとユーザを対応付けて設定するユーザ設定手段と、データボックスのアクセス権限を設定するアクセス権限設定手段と、各手段を制御して設定動作を実行させる設定動作制御手段と、を備えたことを特徴とする情報処理装置を提供する。
【0028】
また、請求項6に記載の発明では、異なる記憶装置を備えた情報処理装置であって、異なる各記憶装置をデータボックスとして設定するデータボックス設定手段と、設定されていたデータボックスとユーザグループを対応付けるグループ設定手段と、ユーザグループとユーザを対応付けて設定するユーザ設定手段と、データボックスのアクセス権限を設定するアクセス権限設定手段と、各設定手段を制御して設定動作を実行させる設定動作制御手段と、を備えたことを特徴とする情報処理装置を提供する。
【0029】
また、請求項7に記載の発明では、請求項5又は6記載の情報処理装置と通信ネットワークを介してデータを授受する複数の端末を備えた通信ネットワークシステムであって、ユーザ設定手段によってユーザグループと対応付けられたユーザは、複数の端末のうちの一つからグループ設定手段によって該ユーザが属するユーザグループに対応付けられているデータボックスに格納されているデータにアクセスできること、を特徴とする通信ネットワークシステムを提供する。
【0030】
また、請求項8に記載の発明では、請求項5又は6記載の情報処理装置からなるサーバと通信ネットワークを介して接続する複数の端末からなる通信ネットワークシステムであって、データボックス設定手段は、端末の記憶装置にデータボックスを設定する手段を含むことを特徴とする通信ネットワークシステムを提供する。
【0031】
また、請求項9に記載の発明では、請求項5又は請求項6に記載の情報処理装置からなるサーバと通信ネットワークを介して接続する複数の端末からなる通信ネットワークシステムであって、端末は、アプリケーションプログラムの起動に際し、データボックスが設定されている記憶装置を選択する記憶装置選択手段と、記憶装置選択手段によって選択された記憶装置に設定されているデータボックスを選択するデータボックス選択手段と、データボックス選択手段によって選択されたデータボックスに格納されているデータを選択するデータ選択手段と、各選択手段を制御して選択動作を実行させる選択動作制御手段と、を備えたことを特徴とする通信ネットワークシステムを提供する。
【0032】
【発明の実施の形態】
1.ネットワーク構成例
図1は本発明を適用可能なネットワーク構成例の一実施例を示す図であり、図1(a)は会計事務所における適用例を示し、図1(b)はいわゆる「インターネット会計」を採用している会計事務所における適用例を示す。
図1で、符号1は会計事務所内に設置されたサーバ、符号2は磁気ディスク装置等のメモリ装置であり、符号3は会計事務所内に設けられたLAN、符号4−1、4−2、・・・はLANを介してサーバ1と接続する端末(監査用会計処理装置(以下、端末4と記す))示す。また、符号5はインターネット等のWAN(Wide Area Network)を、符号6−1、6−2、・・は顧問先の端末(会計処理装置(以下、端末6と記す)、符号100はLANネットワークを、符号200はインターネット等の広域ネットワークであるWANを意味する。
【0033】
図1で、会計事務所のオペレータはサーバ1においてメモリ装置2に 複数のデータボックス(後述)を設定し、各担当者をグループに分けてデータボックスと対応付ける。これにより、担当者は対応付けられたデータボックスのアクセス権限を持つこととなる。なお、メモリ装置2には誰でもアクセスできる共有領域が設けられている。また。担当者のうちのあるものは複数のデータボックスをアクセス権限を持つことができる。
なお、メモリ装置2はサーバとは別構成になっているように記載されているが、物理的にはサーバの内部に設置することもできる。
また、本発明のデータ管理を行う管理装置の実体はサーバ1或いは端末3のメモリ装置(外部メモリ装置の場合も含む)の中に存在する。
そして、本発明のデータ管理を行う管理装置は後述するように「環境設定」操作によってサーバ1或いは端末3のメモリ装置(外部メモリ装置の場合も含む)の中から選択・設定する。
また、データボックスを構成する「メモリ装置」は後述するようにサーバ1に内蔵又は外付けされるメモリ装置2に限定されず、端末3に内蔵又は外付けされる記憶装置でもよい。また、メモリ装置2はデータベース装置として構成されていてもよい。
【0034】
また、図1(a)に示したネットワーク100では、会計事務所内において、各担当者が端末3を操作して顧問先から受け取った仕訳データの入力や会計処理(例えば、会計データの入力、会計ファイルの更新及び元帳や財務諸表の監査)等を行い、結果を担当する顧問先に送る。なお、会計処理の開始にあたっては本発明によるグループ管理方法に基づくユーザ認証が行われ、データボックスへのアクセス制御が行われる。
【0035】
また、入力処理の際は、入力データはLAN2及びサーバ1を介してメモリ装置2のデータボックスのうち当該担当者がメンバーであるグループに対応付けられているデータボックスに記憶される。また、会計ファイルの更新処理の際は、LAN2及びサーバ1を介してメモリ装置2のデータボックスのうち当該担当者がメンバーであるグループに対応付けられているデータボックスに記憶されている会計ファイルの更新を行う。また、監査の際は、LAN2及びサーバ1を介してメモリ装置2のデータボックスのうち当該担当者がメンバーであるグループに対応付けられているデータボックスに記憶されている会計ファイルを基に元帳や座意味諸表等の表示を行う。
【0036】
また、図1(b)に示したネットワークシステム200では、ユーザ認証によるアクセス制御や、会計事務処理についてはは図1(a)の場合と同様に行われるが、これに加え、WAN回線6を介してサーバ1と顧問先の端末6との間の会計データや会計ファイルの授受及び会計ファイルの同期処理等が行われる。
【0037】
2.データボックス
データボックスとは、指定されたコンピュータ装置(図示の例では、サーバ1或いは複数の端末3のうちの指定されたもの)の記憶装置の領域内にデータ管理プログラムによって仮想的に設けられた複数の独立した分割領域(論理上の分割領域)であり、見かけ上、複数のデータ領域が存在するとして、アクセス制限の対象とし得るものである。
これらのデータボックスは後述するように、データ管理装置として選択されることとなる。
【0038】
データボックスは、例えばサーバーディスクをパーティションによって区切ることで実現される。ただし、後述のようにマルチデバイス対応することもあるため、データボックスの実体はハードディスク(およびその一部であるパーティション)に限定するものではなくCD−RやMOD、USBデバイスなど記憶媒体全般を広く含む。また、 また、フォルダという概念で分割することだけでなくデータベースを分割することも含む。
なお、分割領域としてデータ管理装置(例えばメモリ装置2)の記憶領域を物理的に領域分割したパーティションをデータボックスとして用いることもできるが、領域が固定されているため柔軟性に欠け、しかも、データファイルのサイズによっては記憶可能なファイルの数が制限されたり、未使用領域が虫食い状態で残るといった現象(フラグメンテ−ションという)が生じやすい。
つまり、仮想的な(論理上の)分割領域の場合、このようなフラグメンテ−ションの発生を考慮しなくとも良いため、管理し易い特徴を持っている。このため、一つの物理的なメモリ装置を分割する際には、主に仮想的な分割方式が採用される。
【0039】
ただし、メモリ装置を分割するのではなく、そのままひとつのデータボックスに割り当てることが都合がいい場合もあるので、データボックスは、必ずしも仮想的に分割した領域だけを意味するものではない。
具体的には、後述のように、データボックスとして、一つのMO装置全体や一つのDVD装置全体、ひとつのUSBメモリ装置全体を(それぞれ分割せずに)データボックスとしてそれぞれ割り当てる場合である(図6(b)参照)。
【0040】
図2はデータボックスの説明図であり、メモリ装置2にデータボックスが設定された例である。図示の例ではメモリ装置(例えば、磁気ディスク)2の記憶領域20内には、データボックス21、22、23が設定されているが、記憶領域20内に設けることができるデータボックスの数は3つに限定されない。また、記憶領域20内にはデータボックスのほかに共通領域のほか様々な分割領域が設定できる。
【0041】
各データボックスにアクセス権限を持つグループのメンバーは、そのデータボックスにデータファイルを格納したり、格納されているデータファイルの内容を更新したり、或いはデータファイルを削除することができる。図示の例で、データボックス21には会計事務所の所員で、データボックス21にアクセス権限のあるグループのメンバーだけがアクセス可能な会計ファイル21−1、21−2、21−3が格納されている。データボックス22、23にもアクセス権限のある他のグループのメンバーだけがアクセス可能な会計ファイルが格納されている。
【0042】
図3はデータボックスを設定した記憶装置の記憶領域の構成例を示す図であり、メモリ装置2の記憶領域20は、ユーザの構成員なら誰でもアクセス権なしにアクセスできる共通領域20−1と、セキュリティ情報等を格納する情報管理ボックス20−2と、複数のデータボックス21、22、・・・を備えている。
【0043】
具体的には、ディスクのルートディレクトリに「=XXXX」(XXXXはデータBOX.NO)という名前のディレクトリを用意し、この下にこれまでと同じ構成でデータを格納するようにする。こうすることでグループ単位のデータ管理を実現する。(これまでの領域は「共有領域」と呼び、すべてのユーザーからアクセス権なしでアクセスできる)。
【0044】
共通領域20−1には、例えば、会計事務所の場合、図示のように、OS、システムファイル、財務会計システム(アプリケーションプログラム)用プログラムファイル、財務ファイル1、2、・・等のファイルが格納される。
【0045】
管理情報ボックス20−2には、ユーザ情報を管理する「ユーザ管理テーブル」、ユーザが属するグループ情報を管理する「グループ管理テーブル」、記憶領域20にどのようなデータBOXが用意されているかを管理する「データBOX管理テーブル」などの情報が格納されている。また、各データボックスには、図示の例では会計事務所の各顧問先の会計ファイル(複数)がそれぞれ格納されている。
【0046】
図4は、管理テーブルによって管理されるアクセス権限の内容の説明図である。
本実施例ではアクセスレベルは0〜2の3レベルであり、図示のように、レベル0ではアクセス権限はアクセス制限「なし」であり、全てのメンバーがアクセスできる。記憶領域を共有領域として利用したり、種類別データ管理を行う場合のアクセスレベルである。
【0047】
レベル1ではアクセス権限はデータボックスに共通のパスワードによるアクセス制限であり、パスワードを知っているメンバーのみが全てのデータボックスにアクセスできる。記憶領域を共有領域として利用したり、種類別データ管理を行う場合のアクセスレベルである。
【0048】
レベル2では、アクセス権限はデータボックスに毎に設けられたパスワードによるアクセス制限であり、あるデータボックスに対応付けられているグループのメンバーのみがそのデータボックスにアクセスできる。グループ管理を行う場合のアクセスレベルである。
【0049】
これらのアクセス権はすべて情報管理BOX20−2(図3)で管理されている。なお、情報管理ボックスは各デバイスごとに1つ用意される。情報管理ボックスには、前述(図3)したように、ユーザ管理テーブル、グループ管理テーブル、データボックス管理テーブルの3つの管理テーブルが用意されており、これらによってアクセス権限が管理され、グループ管理と各データボックスへのアクセセ権限の管理が実現される。
【0050】
(ユーザ管理テーブル)
ユーザ管理テーブルとはユーザ単位の管理を行うテーブルであり、ユーザとはデータボックスのアクセス権の管理の最小単位である。また、すべてのユーザは必ずどこかのグループに属する必要がある。このテーブルでは、ユーザ名、パスワード、ユーザ名称、ユーザ権限、ユーザID、所属するグループIDなどを管理する。なお、特にアクセス権を設定せずにすべてのデータボックスを全員で共有する場合は「anonymous」ユーザのみが登録される。
【0051】
(グループ管理テーブル)
グループ管理テーブルとはグループの管理を行うテーブルであり、このグループごとにアクセスできるデータボックスを指定する。ここではグループID、グループ名称、アクセス可能なデータボックスIDを設定する。
【0052】
(データボックス管理テーブル)
メモリ装置に用意されているデータボックスを管理するテーブルである。このテーブルではデータボックスIDとデータボックス名称を管理する。
【0053】
図5は、情報管理ボックスに格納されている、ユーザ管理テーブル、グループ管理テーブル及びデータボックス管理テーブルの構成例及び各管理テーブルの関係を示す図であり、図5(a)はユーザ管理テーブル、図5(b)はグループ管理テーブル、図5(c)はデータボックス管理テーブルを示す。
【0054】
ユーザ管理テーブル51は、ユーザ名を記憶したユーザ名欄511、パスワードを記憶したパスワード欄512、会計事務所等の名称を記憶したユーザ名称欄513、ユーザ権限を記憶したユーザ権限欄514、ユーザIDを記憶したユーザID欄515、ユーザが所属するグループIDを記憶したグループID欄516からなる。
【0055】
また、グループ管理テーブル52は、グループIDを記憶したグループID欄521、グループ名称を記憶したグループ名称欄522、及びこのグループのメンバーがアクセス可能なデータボックスのIDを記憶したデータボックスID欄523からなる。
【0056】
また、データボックス管理テーブル53は、データボックスIDを記憶したデータボックスID欄531、データボックス名称を記憶したデータボックス欄532からなる。
【0057】
図5の例で、ユーザBの所属するグループ名は、ユーザ管理テーブル51に登録されているグループID「#003」をポインタとして、グループ管理テーブル52の「Z会計グループ」として特定でき、このグループのメンバーであるユーザBがアクセス可能なデータボックスのID「BOX−1」、「BOX−4」を取得することができる。そして、取得したデータボックスID「BOX−1」、「BOX−4」を基にデータボックス管理テーブル53を参照してユーザBがアクセスできるデータボックス(名称)を知ることができる。また、逆にデータボックス名称を基に、このデータボックスを参照可能なグループ及びそのメンバーを知ることもできる。
【0058】
図6はデータ管理装置選択画面の一実施例を示す図であり、図6(a)はLAN構成の会計事務所の端末で会計処理を開始する際に表示されるデータ管理装置選択画面の一実施例を示す。
【0059】
データ管理装置選択画面60はマシン表示欄61と管理装置選択欄62からなり、マシン表示欄61にはデータボックスを設定したメモリ装置を備えた情報処理装置名が表示され、管理装置選択欄62にはデータボックスが設定されているメモリ装置名が表示され、データボックス名が括弧書き等で付記される)。
【0060】
図6(a)の例では、データ管理装置選択画面60にXサーバ(サーバのマシン名)の磁気ディスク装置の記憶領域に設定されている共通領域と2つのデータボックス(A会計事務所の個人データ用データボック及びA会計事務所の法人データ用データボックス)と、全体が1つのデータボックスとして設定されているXサーバのMO(Magneto−Optical disk)と、全体が1つのデータボックスとして設定されている端末の磁気ディスク装置が表示されている。なお、図6(a)で、共有領域を全員からなるグループ(つまり、全構成員)が「アクセス権限不用」というアクセス権限を対応付けた汎用ユーザ(anontmous)ユーザのデータボックスとみなせば、Xサーバの磁気ディスク装置の記憶領域には3つのデータボックスが設定されていることとなり、図5(c)のデータボックス管理テーブル53でデータボックスとして管理することができる。
【0061】
ユーザはジョブの開始時に表示されるこのデータ管理装置選択画面60で、アクセス権限のある、データ管理装置、つまり、共通領域或いはデータボックスをカーソル65で選択し、確定ボタン66をクリックすることで、ジョブに必要なデータファイルへのアクセス権を取得し、ジョブを開始することができる。
ユーザは、最初に、この設定をすれば、以後、各アプリケーションソフトを起動し該ソフトの処理中においては、データ管理を意識せずにアプリケーションソフトの操作に専念することができる。これがミドルウェアによって実現された本発明の利点の一つでもある。
【0062】
また、図6(b)はマルチデバイスにデータボックスを対応付けて設定した場合のデータ管理装置選択画面の一実施例を示し、ユーザはジョブの開始時に表示されるこのデータ管理装置選択画面60’で、データ管理装置、つまり、図5(c)でデータボックスとして設定されているデバイスを選択することにより、ジョブに必要なデバイスへのアクセス権を取得し、ジョブを開始することができる。このように、メモリ装置として設定されているデバイスであればデータボックスを対応付けることができる。
【0063】
図6(b)のような設定をした場合、DVD装置に割り当てられたデータボックスを過年度データの退避用に使うことができ、地震や火災など災害時の対応に備えて、過去の履歴をDVD−Rなどに待避しておきたい会計事務所に好適なデータ管理システムを提供できる。
【0064】
図7は、アクセスレベルによるユーザ管理の相違を示す概念図であり、図7(a)はレベル0又はレベル1におけるユーザ管理の概念図、図7(b)はレベル2におけるユーザ管理の概念図である。
【0065】
図7(a)で、汎用ユーザにパスワードが付与されている場合はアクセスレベル1であり、付与されていない場合はアクセスレベル0である。レベル0では誰でも共有領域及びデータボックスにアクセスできるが、レベル1の場合はパスワードを付与された者だけが全てのデータボックスにアクセスできる(レベル1でパスワードを付与されていない汎用ユーザがアクセスできるのは共通領域だけである)。
このような構成で運用した場合、各ユーザは同じグループに属すことになるため、比較的小規模な会計事務所に好適な環境を提供することができる。
【0066】
図7(b)の例では、グループ1のアクセス権限を付与されたユーザAとユーザBは共有領域とデータボックス0001にアクセスできるが、それ以外のデータボックスにはアクセスできない。また、グループ2のアクセス権限を付与されたユーザCは共有領域とデータボックス0002にアクセスできるが、それ以外のデータボックスにはアクセスできない。しかし、グループadminのアクセス権限を付与された「管理者」は共通領域及び全てのデータボックスにアクセスできる。
【0067】
図7(b)のような構成で運用した場合、各ユーザーは3つのグループに属すことになるため、比較的大規模な会計事務所に好適な環境を提供することができる。会計事務所が大きくなると、担当者は各顧問先ごとに専属となる場合が多いことに対応したものである。
【0068】
図8はアクセスレベルによるユーザ管理を拡大した概念図であり、図7(b)のアクセスレベル2の概念図との相違は、符号81で示す一点鎖線で結ばれた部分、つまり、ユーザAはグループ2のアクセス権限も付与されている点である。このように、アクセスレベル2において、ユーザに複数のグループのアクセス権限を付与するようにアクセス権限の付与管理を拡大してもよい。また、各ユーザ毎にパスワードを指定するようにしてもよい。
【0069】
図9は、アクセスレベルによるユーザ管理において、グループ管理をカスタマイズ可能とした例を示す図であり、図示の例は、顧問先のデータはすべての事務員に公開するが、会計事務所自身のデータ(会計事務所の会計ファイルや給与ファイルなど)だけは事務員から参照できないようした例である(但し、共有領域の図示は省略している)。
【0070】
つまり、図示の構成では、全ての事務員は一つのグループ(事務員グループ)のIDを共有することにより、事務員グループへのアクセス権限を付与されているので、データボックスに格納されている顧問先のデータにアクセスできる。しかし、事務所内の給与ファイル等を格納しているデータボックスZZZに対するアクセスは、先生グループに属する先生以外はできない。
この場合、各所員の給与や人事のデータを先生だけがアクセスできるような別管理としたい場合に好適な環境を提供できる。
【0071】
図10は、データボックスを利用したデータ管理の一実施例を示す図であり、データを種類別に管理する例である。図10で、符号101は会計事務所に設置されたサーバ、符号102はサーバ101に接続するディスク、符号103はLAN回線、符号WS1、WS2.・・はLANを介してサーバ101と接続する端末(会計処理装置)を示す。
【0072】
データボックスを利用するとこのようなサーバ1台の構成でディスクに格納されているデータを種類別に管理することができる。例えばデータを「法人」「個人」「その他」などに分類し、端末(WS1、WS2、・・)からは業務内容に応じてデータを選択し、入力処理などを行なうことができる。
【0073】
会計事務所の顧問先には法人と個人等があり、「法人」「個人」「その他」などに分けて管理することで、一つのディスクに混在してデータを保存するのに対し、効率的な顧問先管理を行なうことができる。図の例では端末WS1とWS2で同じ管理装置が使用可能な設定となっているが、これは比較的小規模な会計事務所での会計業務に好適である。
なお、このようなケースでは基本的にはアクセスレベル0とする(アクセス権は設定せず、すべてのユーザがすべてのデータにアクセスできるようにする)。なお、これを例えば、担当者のグループ毎に「法人」「個人」をそれぞれ一方だけアクセス可能とすれば、担当者が多い会計事務所において、法人担当のグループと個人担当のグループに分けたグループ管理が可能となり、比較的大規模な会計事務所に好適な形態となる。
【0074】
図11は、データボックスを利用したデータ管理の一実施例を示す図であり、特定のデータのみをアクセス可能とした例である。なお、ネットワーク構成は図10の場合と同様として説明する。
【0075】
データボックス利用すると他のメンバーからはアクセスできないプライベートなデータ領域を確保することができる。例えば、会計事務所自身の会計ファイルや給与ファイル、先生用のプライベートなデータなど一般の事務員には見せたくないようなものは、専用のデータボックスを作成して登録し、また、あわせて一般事務員用のアカウントと先生用のアカウントを2つ作成し、先生だけがそのデータボックスにアクセスできるように設定できる。つまり、一般事務員用に顧問先のデータを共有領域で管理し、一般事務員は共有領域のみを使用でき、先生は共有領域、事務所のデータを格納したデータボックス、及び先生個人のデータを格納したデータボックスにアクセスできるように設定することができる。
【0076】
図12は、データボックスを利用したデータ管理の一実施例を示す図であり、データをグループ別に管理するようにした例である。なお、ネットワーク構成は図10の場合と同様として説明する。
【0077】
例えば、会計事務所の法人化に対応するため、データをグループ別に管理したい場合は、データボックスを利用することで複数の会計事務所のデータを1台のサーバーディスクでグループ別に管理することができる。このようにした場合、各グループ(旧事務所)用のデータボックスにはこれまでのディスクと同様に財務や税務、文書などのデータを登録し、あたかも旧事務所ごとにサーバが用意されているかのような運用をすることができる。
【0078】
この場合、まず各事務員ごとにアカウントを作成し、会計事務所ごとのグループを作成した上で、各事務員が所属するグループを規定する。それによりアプリケーションの管理装置選択画面では自分がアクセスできるデータボックス(その事務所のデータ)のみが表示される。また、設定によっては先生がすべての事務所のデータにアクセスできるようにすることもできる。
【0079】
以上の説明では、データボックスを構成し具体的な業務に促したデータボックスの定義付けによって、どのような規模の、あるいはどのような構成の、あるいはどのような業務形態の会計事務所に好適なアクセス管理が実現されるかを説明した。
【0080】
以下、まず、各種アプリケーションの中でミドルウェアとしてどのように作用するか説明する。次に、これらを実現するための環境を構築するためのユーティリティについて説明する。
【0081】
<ミドルウエアによるデータ管理>
クライアントサーバシステムにおいて、ユーザにアクセス制限をかけたり、ユーザごとにアクセスできる領域を区別して管理する場合には、従来はOS(例えば、Windows(R)(マイクロソフト社の登録商標))に用意された種々の管理ソフトを起動し設定を行っていたが、管理ソフトに必要な初期設定やアプリケーション起動開始時に起動される管理ソフトによって要求される各種操作がOSや管理ソフトに関する専門知識を備えたエキスパートを必要とするほど難しく且つ煩わしいものであることは前述したとおりである。
【0082】
本発明ではアプリケーションとOSの中間に位置付けられるユーティリティプログラム群を中心とした限られた数の選択画面を用いた簡易な選択操作と入力操作により、上述したデータ管理条件の初期設定、変更及びジョブメニュー起動時やアプリケーションの実行時に必要なデータ管理用の各種操作を可能としている。
【0083】
すなわち、ユーティリティプログラム群によって設定された構成を基礎として、アプリケーションとOSの中間に位置付けられるミドルウエアが、アプリケーションに共通したデータ管理、アクセス管理環境を提供することができる。
【0084】
以下の説明で、図13、図14に示される画面や図16〜図26に示す各画面の表示、選択又は入力、及び入力結果の登録、保存、設定条件の変更や、設定条件やパラメータのOSやアプリケーションプログラムとの授受等等は各画面に対応するユーティリティプログラムによって実行される。
【0085】
図13は、ユーティリティによるデータボックス管理メイン画面(以下、メイン画面)の一実施例を示す図であり、メイン画面130はデータ管理条件の初期設定、変更時及びアプリケーション起動前に表示される。
【0086】
メイン画面130には図示のように、設定内容が表示される設定内容表示欄131と、各種設定メニューを表示するメニュー表示欄132からなる。
【0087】
また、設定内容表示欄131に示される設定内容の意味は、図示の場合については、「管理装置 名称」行には実行しようとするジョブ(アプリケーション)による設定変更の対象となる管理装置の名称が表示され、「管理装置 設定」行には通常は認証モードが表示され、「現在のユーザ」行には現在ログインしているユーザのユーザ名が表示され、「現在のグループ」には現在ログインしているユーザの所属グループ名が表示され、「現在の権限」行には現在ログインしているユーザの権限が表示される(ただし、管理者パスワードが入力されている場合は“管理者(管理者パスワード入力済)”と表示される。
【0088】
メニュー表示欄132のメニューを選択すると、メニューに表示された処理を行うプログラム(この例では各種メニューに対応するユーティリティプログラム群)に分岐する。なお、メニュー選択欄132には更に詳細なメニューガ表示される場合がある(例えば、図16のメイン画面参照)。
【0089】
(アプリケーション実行の場合)
図14は、アプリケーション起動時に行うデータ管理操作のプロセスを示すフローチャートであり、アプリケーションにより異なるが、ほとんどの場合、図示のような順で操作が行われる。なお、図14のフローチャートの右側に示されている画面141〜144は、プロセスに応じて表示されるデータ管理画面である。
【0090】
まず、端末を起動すると、アプリケーションを選択するためのジョブメニューガ表示されるので(ステップS1)、オペレータがジョブ(アプリケーション)を選択すると、データ管理用ユーティリティプログラム群の中からアクセス権限確認用のティユーティリティプログラムがミドルウエアとして構成されたデータ管理プログラムによって呼び出され、データボックスへのアクセス権限を確認するために図示のようなユーザ認証画面141を表示し、ユーザ名及びパスワード等の認証データの入力を促す。ユーザが認証データを入力すると認証処理が行われる(ステップS2)。
【0091】
認証がなされた場合は、ステップS1で選択されたジョブを実行するためのアプリケーションが起動され、略同時に、データ管理用ユーティリティプログラム群の中から管理装置選択処理用のユーティリティプログラムがデータ管理プログラムによって呼び出され、図示のような管理装置選択画面142を表示して領域(共通領域又はデータボックス)の選択を促し(ステップS3)、ユーザが管理装置選択画面142に表示されている領域(共通領域又はデータボックス;図示の例では、データボックス1)を選択し、確定操作を行うと(ステップS4)、データ管理用ユーティリティプログラム群の中からデータ選択用のティユーティリティプログラムがデータ管理プログラムによって呼び出され、図示のようなデータ選択画面143を表示する。データ選択画面には上記ステップS4で選択した領域に格納されているデータ(ファイル)名等が一覧表示(図示の例では1件)されるので、データを選択し、確定操作を行うと(ステップS5)データがステップS4で選択された領域から呼び出され、アプリケーションが実行される。
【0092】
図14のフローチャートに示すように、本発明のデータ管理方法によれば、最小限の数だけ表示される画面に簡単な操作を施すだけでアプリケーションを実行できる。
【0093】
すなわち、ユーザは、最初に、図15に示すような簡易な設定をすれば、以後、各アプリケーションソフトを起動し該ソフトの処理中においては、データ管理を意識せずにアプリケーションソフトの操作に専念することができる。
【0094】
なお、各アプリケーションソフトの使用中に、ユーザの設定操作の一層の簡略化を図りたい場合には、(例えば特定のアプリケーションで固有の管理装置を使う場合には)、ステップS4の管理装置選択をパスすることもできる。
【0095】
図15は、データボックス作成等の設定動作のプロセスを示すフローチャートである。
まず、データBOX管理ジョブを起動すると、データ管理プログラムが起動し、データ管理用ユーティリティプログラム群の中からメイン画面表示用のユーティリティプログラムがミドルウエアとして構成されたデータ管理プログラムによって呼び出され、図16に示すようなメイン画面130を表示するので、ユーザが設定メニュー欄132に表示されている「初期設定」を選択すると(ステップT1)、データ管理用ユーティリティプログラム群の中からパスワード設定用のユーティリティプログラムがデータ管理プログラムによって呼び出され、図17に示すような管理者パスワード設定画面170を表示し、パスワードの入力を促すので、管理者パスワードを入力し、「実行」ボタン171をクリックするとステップT3に進む(ステップT2)。
【0096】
再びデータ管理用ユーティリティプログラム群の中からメイン画面表示用のユーティリティプログラムがデータ管理プログラムによって呼び出され、図16のメイン画面130を表示するので、ユーザが設定メニュー欄132に表示されている「初期設定」を選択するとステップT4に進み、「データボックス設定」を選択するとステップT5に進み、「グループ設定」を選択するとステップT6に進み、「ユーザ設定」を選択するとステップT7に進む(ステップT3)。
【0097】
メイン画面130で「初期設定」が選択されると、データ管理用ユーティリティプログラム群の中から基本設定画面表示用のユーティリティプログラムがデータ管理プログラムによって呼び出され、図18に示すような基本設定画面180を表示し、認証モードの選択を促すので、やユーザが認証モード選択欄181に表示されている認証モードの中からいずれかのモードを選択すると、ステップT3に戻って図16のメイン画面を表示する。なお、グループ設定やユーザ設定を行う場合にはユーザ認証を有効にするため「ユーザ認証あり」を選択する(ステップT4)。
【0098】
メイン画面130で「データボックス設定」が選択されると、データ管理用ユーティリティプログラム群の中からデータボックス設定用のユーティリティプログラムがデータ管理プログラムによって呼び出され、まず、図19(a)に示すような管理装置・データボックス一覧画面190を表示する。なお、画面190の左欄191には管理装置とデータボックスのツリーが表示され、左欄192にはツリーで選択された項目に係わる情報が表示される(初期設定時は空欄表示となる)。ユーザが「追加」ボタン193をクリックすると、図19(b)に示すような入力画面190’が表示されるので、ユーザがデータボックス設定画面190’の各入力欄にデータボックス作成に必要なデータをキー入力して「実行」ボタン198をクリックすると、入力に対応したデータボックスが作成され、図19(c)に示すように、再び、管理装置・データボックス一覧画面190が表示され、右欄191には管理装置とデータボックスのツリーが表示され、右欄192にはツリーで選択された項目(この例では、「佐藤会計事務所データ」)に係わる情報が表示される。ここで、ユーザが「アクセス設定」ボタン194をクリックするとステップT5’に進み、{確認」ボタン195をクリックするとステップT3に戻る(ステップT5)。
【0099】
管理装置・データボックス一覧画面190で「アクセス設定」ボタン194がクリックされると、データ管理用ユーティリティプログラム群の中からアクセス権設定用のユーティリティプログラムがデータ管理プログラムによって呼び出され、図20(a)に示すようなアクセス権設定画面200を表示する。アクセス権設定画面200のグループ表示欄202にはグループ名が表示されているので、データボックス表示欄201に表示されているデータボックス(上記ステップT5で設定したデータボックス)の利用を許可するグループをクリックしてチェックをONにし、「確定」ボタン203をクリックすると、チェックがONになっているグループにデータボックス表示欄201に表示されているデータボックスへのアクセス権が付与され、ステップT5に戻る(この場合、ステップT5では、管理装置・データボックス一覧画面190の情報表示欄192に図20(b)に示すようにアクセスを許可したグループ名を表示する)(ステップT5’)。
【0100】
また、メイン画面130で「グループ設定」が選択されると、データ管理用ユーティリティプログラム群の中からユーザ設定用のユーティリティプログラムがデータ管理プログラムによって呼び出され、まず、図21(a)に示すようなグループ一覧画面210を表示する。なお、画面210の左欄211グループ名が表示され、右欄212には左欄211選択されたグループに係わる情報が表示される(初期設定時は空欄表示となる)。ユーザが「追加」ボタン213をクリックすると、図21(b)に示すようなグループ設定画面210’が表示されるので、ユーザがグループ設定画面210’のグループ名入力欄211’にグループ名をキー入力して「実行」ボタン218をクリックするとグループが設定され、図21(c)に示すように、再び、グループ一覧画面210が表示され、左欄212に設定されたグループが表示される。ここで、ユーザが「アクセス設定」ボタン214をクリックするとステップT6’に進み、{確認」ボタン215をクリックするとステップT3に戻る(ステップT6)。
【0101】
グループ一覧画面210で「アクセス設定」ボタン214クリックされると、データ管理用ユーティリティプログラム群の中からアクセス権設定用のユーティリティプログラムがデータ管理プログラムによって呼び出され、図22(a)に示すようなアクセス権設定画面220を表示する。アクセス権設定画面220の表示欄222にはデータボックス名が表示されているので、グループ名表示欄221に表示されているグループの利用を許可するデータボックスをクリックしてチェックをONにし、「確定」ボタン223をクリックすると、チェックがONになっているデータボックスにグループ名表示欄221に表示されているデータボックスへのアクセス権が付与され、ステップT5に戻る(この場合、ステップT5では、データボックス一覧画面190の情報表示欄212に図22(b)に示すようにアクセスを許可したグループ名を表示する)(ステップT6’)。
【0102】
また、メイン画面130で「ユーザ設定」が選択されると、データ管理用ユーティリティプログラム群の中からユーザ設定用のユーティリティプログラムがデータ管理プログラムによって呼び出され、まず、図23(a)に示すようなユーザ一覧画面230を表示する。ここでユーザが「追加」ボタン237をクリックすると、図23(b)に示すようなユーザ設定画面230’が表示されるので、ユーザがユーザ設定画面23’の各名入力欄に必要なデータをキー入力して「実行」ボタン238をクリックするとグループが設定され、図23(c)に示すように、再び、グループ一覧画面230が表示され、表示欄232に設定されたユーザ情報が表示される。ここで、ユーザが「確認」ボタン239をクリックするとステップT3に戻る(ステップT7)。
【0103】
上記図15のフローチャートの説明からも明らかなように、少ない画面から従来技術に比べて極めて簡単な操作でデータ管理に必要な、初期設定、基本設定、データボックス設定、グループ設定、アクセス権設定、ユーザ設定を行うことができる。
【0104】
図24は、WAN回線を介したユーザ管理の概念図である。
本発明のデータ管理方法によれば、図示のようにWAN回線を介して接続するコンピュータ.ユーザ241でも会計事務所242側でグループ管理できる。また、各ユーザごとにパスワードを指定することもできる。
【0105】
本発明のデータ管理方法によれば、図示のようにWAN回線を介して接続するコンピュータ.ユーザ241でも会計事務所242側でグループ管理できる。また、各ユーザごとにパスワードを指定することもできる。
【0106】
以上説明したようにデータボックス設定、グループ設定、ユーザ設定が行われた結果、図5に示したようなデータボックス管理テーブル53、グループ管理テーブル52及びユーザ管理テーブル51が構築され、データボックスとグループとが結び付けられ、グループ毎の各データボックスへのアクセス権限管理体制が構築される。
【0107】
次に各種アプリケーションソフト(給与ソフト、財務入力ソフトなど)を起動し、その操作の中で、管理装置をアクセスする(すなわち、給与データや財務データの読み出し、書込みをする)際に、上記構築された環境をベースにユーザ(グループ)ごとに、アクセス制限管理が生かされているのかを説明する。
【0108】
ユーザAがデータボックス「BOX2」にアクセスしようとした場合、まず、図5のユーザ管理テーブル51により、ユーザAが属するグループID「#0002」が取り出され、グループID「#0002」でグループ管理テーブル52をサーチし、ユーザAが属するグループ「X会計事務所グループ」がアクセス可能なデータボックスとして「BOX1」、「BOX2」があることが分かる。
【0109】
このように、ユーザAはX会計事務所に対応づけられたデータボックス「BOX2」にアクセスすることができるが(あるいはユーザAの管理装置にはデータボックス2が表示される)、Y会計事務所のデータボックスにアクセスしようとしてもユーザAはY会計事務所に属していないのでアクセス権がなくアクセス拒否となり(あるいはユーザAの管理装置には表示されないようにすることとされる)。
【0110】
図14、図15のフローチャートの説明で述べたように、データ管理プログラムがいわばミドルウェアとして機能するので、図25(パスワード継承の説明図)に示すように、グループαに属するユーザが、パスワード入力による認証の後、アプリケーションソフトXを起動して特定のデータボックスにアクセスし、アプリケーションソフトXによる処理の終了の後、同じデータボックスにアクセスする他のアプリケーションYによる処理を行うような場合は、データ管理プログラムは前回のアプリケーションソフトXに関して設定したアクセス制限環境を維持しているので、パスワードを入力しなくてもアプリケーションソフトYを起動することができる。つまり、同一人が、アクセスするデータボックスが同じで、異なるアプリケーションソフトを連続して使用する場合はパスワード等のアクセス制限環境が継承されるので、データ管理のために操作を繰り返す必要がない。
【0111】
最後に、図15以下に説明したユーティリティによる設定を基礎として、アプリケーションとミドルウエアの処理がどのように連携して、どう作用するかについて、適宜図5のテーブル構成を引用し簡単に説明する。
【0112】
まず、該ユーティリティによって、データボックスの各種設定がなされた結果、図5のようなテーブルが構築される。これによりデータボックスとグループとが結び付けられ、グループ毎の各データボックスへのアクセス権限管理体制が構築される。
これを前提とし、次に、各種アプリケーションソフト(給与ソフト、財務入力ソフトなど)を起動し、その操作の中で、管理装置をアクセスする(すなわち、給与データや財務データの読み出し/書込みをする)際に、上記構築された環境をベースに、如何にユーザ(グループ)ごとに、アクセス制限管理が活かされているのかを説明する。
【0113】
財務入力プログラムを起動した場合について説明すると、まず、ユーザBがデータボックス「BOX−2」にアクセスしようとした場合、まず、図5(a)のユーザ管理テーブルにより、所属するグループIDが「#003」であることが分かり、ついで、図5(b)のグループ管理テーブルにより、グループIDが「#003」のグループはZ会計事務所グループに該当し、ユーザBはZ会計事務所グループに属していることが分かる。また、グループ管理テーブルのアクセス可能データボックスIDにより、Z会計事務所はデータボックス「BOX−1」、「BOX−4に対するアクセスが可能であることが分かる。
【0114】
さらに、図5(c)のデータBOX管理テーブルにより、データボックス「BOX−4」の名称は「共有データ」であり、データボックス「BOX−4」の名称は「Z会計事務所データ」であることが分かる。
【0115】
以上のような各テーブルの検索結果により、この場合は、図14のステップS4において管理装置としてアクセス可能なデータボックスの一覧(この場合には「BOX−1」と「BOX−4」)が表示されることになる(図示せず)。
【0116】
なお、ユーザAの場合は同様のテーブルの検索によりY会計事務所に対応づけられたデータ「BOX−1」とデータ「BOX−3」にアクセスでき、ユーザAの管理装置にはデータボックスとしてデータ「BOX−1」とデータ「BOX−3」が表示されることとなるが、ユーザAの属するY会計事務所のデータボックスであるデータ「BOX−4」は管理装置として表示されないこととなり、ユーザのグループ分けとデータボックスのアクセス権限管理がなされることとなる。このように、前記ユーティリティによって設定された構成を基礎として、ミドルウェアとして機能することにより、どのアプリケーションソフトを起動し操作しても、アクセス制限された環境を構築することができる。
【0117】
以上、本発明の一実施例について説明したが本発明は上記実施例に限定されるものではなく、種々の変形実施が可能であることはいうまでもない。
【0118】
【発明の効果】
上記説明したように、本発明によれば、データボックスに属するユーザグループに対応付けられているユーザのみがそのユーザグループが対応付けられているデータボックスに格納されているデータにアクセスできるので、アクセス管理がしやすい。従って、アプリケーションに依存しないアクセス管理を可能とすることができる。
【0119】
また、データボックスを情報処理装置のデバイスに割り付けることができるので、様々な構成の通信ネットワーク環境に対応できる。
【図面の簡単な説明】
【図1】本発明を適用可能なネットワークシスム構成例の一実施例を示す図である。
【図2】データボックスの説明図である。
【図3】データボックスを設定したメモリ装置の記憶領域の構成例を示す図である。
【図4】ユーザ管理テーブル、グループ管理テーブル及びデータボックス管理テーブルの構成例及び各管理テーブルの関係を示す図である。
【図5】ユーザ管理テーブル、グループ管理テーブル及びデータボックス管理テーブルの構成例及び各管理テーブルの関係を示す図である。
【図6】データ管理装置選択画面の一実施例を示す図である。
【図7】アクセスレベルによるユーザ管理の相違を示す概念図である。
【図8】アクセスレベルによるユーザ管理を拡大した概念図である。
【図9】アクセスレベルによるユーザ管理において、グループ管理をカスタマイズ可能とした例を示す図である。
【図10】データボックスを利用したデータ管理の一実施例を示す図である。
【図11】データボックスを利用したデータ管理の一実施例を示す図である。
【図12】データボックスを利用したデータ管理の一実施例を示す図である。
【図13】データボックス管理メイン画面の一実施例を示す図である。
【図14】アプリケーション起動時に行うデータ管理操作のプロセスを示すフローチャートである。
【図15】データボックス作成等の設定動作のプロセスを示すフローチャートである。
【図16】データボックス管理メイン画面の一実施例を示す図である。
【図17】管理者パスワード設定画面の一実施例を示す図である。
【図18】基本設定画面の一実施例を示す図である。
【図19】管理装置・データボックス一覧画面の一実施例を示す図である。
【図20】アクセス権設定画面の一実施例を示す図である。
【図21】グループ一覧画面の一実施例を示す図である。
【図22】アクセス権設定画面の一実施例を示す図である。
【図23】ユーザ設定画面の一実施例を示す図である。
【図24】WAN回線を介したユーザ管理の概念図である。
【図25】パスワード管理の継承方法の一実施例を示す図である。
【図26】従来のOS管理ソフトによりグループの権利を選択する場合に表示されるダイアログボックスの一例を示す図である。
【符号の説明】
1、1’ サーバ(情報処理装置)
2 メモリ装置(データ管理装置)
3 通信ネットワーク
4、4−1、4−2、6、6−1、6−2 端末(情報処理装置)
21、22、23 データボックス[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a data management technique including a data access restriction in a server or a terminal in a communication network such as a LAN or a WAN, and particularly to a network (including a WAN or a LAN) in a small business entity such as an accounting office. ), A data management device, and a communication network system.
[0002]
[Prior art]
There are the following techniques for restricting access to files in order to maintain data security and for managing folders to facilitate data handling.
As a data access control method for efficiently executing a control for an access request to a database, a hierarchical structure data menu is set in association with a user ID unique to a user, and each user is set based on a user identifier included in the access request. A method of creating and displaying a hierarchically structured data menu accessible to the user on a terminal (for example, see Patent Document 1).
[0003]
As a method of restricting access in a data sharing method via a storage device under a storage area network (SAN) environment, in a storage device system having at least one storage device and connected to a plurality of computers, at least one storage device is provided. A device provided with means for permitting or prohibiting access from a plurality of computers in a device area (for example, see Patent Document 2).
[0004]
A database management system that shares information within an organization such as a company in a client / server system. Group restrictions are described in a definition table according to the type of client that has made an access request to the database, and users are grouped. And an access control device for restricting access by group type (for example, see Patent Document 3).
[0005]
Conventionally, in a client server system using a network (including a WAN and a LAN), when restricting access to a user or managing areas that can be accessed by each user separately, various types of OS prepared are required. The management software was started and the settings were made. That is, using OS management software such as Windows (R) or Linux, (1) first make settings for user registration, (2) make settings for grouping each user, and (3) access authority for each folder. By setting, it is possible to set whether or not to access a specific folder on a group basis (Non-Patent Document 1).
[0006]
On the other hand, in the database system, in order for each user to access the database, access rights are set using a database language SQL (Structured Query Language), which is a dedicated application, and the functions of the relational database management system In some cases, database access control is performed according to In this method, access control is performed using a "role" (to perform group management, grouping a plurality of users as one unit and assigning the same authority to all users who are members of the group) (for example, , Non-Patent Document 2).
[0007]
When setting or changing the access right using the SQL language in the database system described in Non-Patent
[0008]
As a technique for solving such a problem, a user who associates user login information with a user group for each user in order to control access to user management information such as employee information for each user group according to the attribute of the user. By automatically generating separate group information based on user management information, it is possible to set and change access rights without being an expert without being aware of the settings in the database language, reducing the burden on the operator and A data access control device for matching the access right for each group with the user management information has been proposed (for example, Patent Document 4).
[Patent Document 1]
Japanese Patent No. 3382881
[Patent Document 2]
JP 2003-6048 A
[Patent Document 3]
JP 2000-137735 A
[Patent Document 4]
JP-A-11-194974
[Non-patent literature]
Crain Stinson, Carl Siechert, translated by Shunichi Adachi and Mayumi Adachi, "Microsoft Windows (R) 2000 Professional Official Manual", Nikkei bp Soft Press Publishing, June 5, 2000, p553-p594.
[Non-patent document 2]
By Marci Frohock Garcia, Jamie Reding, Whalen, Steve Adrian Deluca, Quick Translation, "Microsoft SQL Server 2000 Official Manual", Nikkei BP Soft Press Publishing March 19, 2001
[0009]
[Problems to be solved by the invention]
Accounting firms provide accounting and guidance to their advisors (meaning individuals or companies that have entrusted accounting or guidance on accounting with a contract with an accounting firm). In such accounting firms, the contents of journals and descriptions are checked (audited) using an accounting device for auditing, and if there is an error, a correction input to correct it is made, or a check or guidance is provided. Although the ledger and financial statements are displayed or printed out, each person in charge does not necessarily have the specialized knowledge related to system management related to data management and security management.
[0010]
In such an accounting firm, as shown in FIG. 1 (a), a LAN consisting of a
In addition, accounting firms perform audits and provide guidance to advisor companies using ledger entry and financial statements, etc., so that data access authority settings (for example, grouping of staff, data areas that encouraged accounting firms to work) , And their correspondence, etc.) may be sufficient if they are standardized to some extent.
Rather, rather than complicating the setting work due to the high degree of freedom of access authority management, it is sufficient to manage the access authority necessary for the business of the accounting firm even if the degree of freedom is low.
[0011]
In addition, by the incorporation of accounting firms, accounting firms A, B, ... will be merged into accounting firm X (corporate). In this case, for the time being, the original accounting firms A, B, It is expected that the advisors of B,... Will be in charge of the former accounting firms A, B,. In such a case, for example, only a member of the person in charge of the original accounting firm A can access a specific storage area storing the accounting files of the adviser of the original accounting firm A as a group. It is desirable to perform data management in The same applies to the former accounting firm B,...
Here, when accounting firms are incorporated, there may be cases where several accounting firms are integrated or accounting firms of a certain large scale are transferred to corporations as they are. The form of incorporation of the office is limited to some extent, and the setting of data access authority (for example, grouping of staff, division of data areas promoted by accounting firms, correspondence between them, etc.) is also standardized in advance. It is desirable to be done.
[0012]
From such a viewpoint, the data access control method described in
[0013]
The access control method described in
[0014]
Further, the access control device described in
On the other hand, the operation of starting and setting various management software prepared in the OS with the OS (operating system) management software described in
[0015]
For example, when selecting the rights of the Administrator group, a dialog box as shown in FIG. 26 is displayed, and it is necessary to select and select ones related to the access right of the folder from among them. Furthermore, when assigning actual rights to each group, there are many things that do not have a folder access right relationship, so it is necessary to select ones related to the folder access right from among them. That is, as shown in FIG. 26, there is a problem that a lot of background knowledge is required even if only one access right in the whole setting is set, and even if setting is performed for only one group. .
[0016]
It is also difficult for ordinary users to divide not only the access authority setting but also the accessible area.
For example, when dividing an area of a memory device, it is first necessary to understand an outline of a file system.
In other words, it is first necessary to understand the concept of volumes, the concept of partitions, and the concepts of files and folders.
Then, it is necessary to determine whether to manage the access authority on a file basis or on a folder basis.
[0017]
Also, when managing access rights on a folder basis, it is necessary to start up a security management program for each folder (settings are made on the “Security” tab of the “Properties” dialog box of the folder).
[0018]
In this case, it is necessary to set while understanding the inheritance relationship with the folder higher than the folder being set, and it is necessary to consider the effect of inheriting the access permission from the higher folder. As described above, unless a person who is proficient in OS management software is used, folder management is virtually impossible.
[0019]
Also, in the database language described in
[0020]
Also, the invention described in
[0021]
Further, in the above conventional technology, the security policy (strategic design such as dividing the persons in charge into groups, creating data areas to encourage the work, and associating each person in charge group) is determined by the user. And it was difficult for general users, so in many cases, it was necessary to obtain the help of an external system integrator (SI).
[0022]
Here, the middleware located between the application and the management software is used for simple settings centered on the utility, and with simple settings, it is possible to restrict access to users or to distinguish areas accessible by each user. If it can be managed, data management in a client-server system using a network (including a WAN and a LAN) can be easily performed by a small business entity such as an accounting firm without having specialized knowledge. Can be.
SUMMARY An advantage of some aspects of the invention is to provide a data management method and a data management apparatus configured so that data management in a server and / or a terminal can be easily performed by a middleware centering on a utility group. And the provision of communication networks.
[0023]
[Means for Solving the Problems]
In order to solve the above problem, according to the first aspect of the present invention, a data box including a divided area obtained by dividing a storage area is set, a user group is associated with at least one of the data boxes, and at least one of the user groups is set. A data management method, wherein only a user associated with a user group belonging to a data box can access data stored in a data box associated with the user group. I will provide a.
[0024]
According to the invention described in
[0025]
According to the third aspect of the present invention, in the storage device of the information processing apparatus, a group management in which a data box obtained by dividing a storage area is associated with a data box and a user group that can access the data box. Information, and user management information in which the user group and the user are associated with each other, and only the users belonging to the user group associated with the user management information are included in the data stored in the data box associated with the group management information. Provided is a data management device characterized by being accessible.
[0026]
According to a fourth aspect of the present invention, there is provided the data management apparatus according to the second or third aspect, wherein the storage area includes a common area that can be accessed by the user without restriction.
[0027]
Further, in the invention according to
[0028]
Further, in the invention according to
[0029]
According to a seventh aspect of the present invention, there is provided a communication network system comprising a plurality of terminals for transmitting and receiving data to and from the information processing apparatus according to the fifth or sixth aspect via a communication network, wherein The user associated with the user can access data stored in the data box associated with the user group to which the user belongs by the group setting means from one of the plurality of terminals. Provide a network system.
[0030]
According to an eighth aspect of the present invention, there is provided a communication network system including a plurality of terminals connected to a server including the information processing apparatus according to the fifth or sixth aspect via a communication network, wherein the data box setting unit includes: There is provided a communication network system including means for setting a data box in a storage device of a terminal.
[0031]
According to a ninth aspect of the present invention, there is provided a communication network system including a plurality of terminals connected via a communication network to a server including the information processing device according to the fifth or sixth aspect, wherein the terminal comprises: Upon activation of the application program, a storage device selection unit that selects a storage device in which a data box is set, and a data box selection unit that selects a data box set in the storage device selected by the storage device selection unit, Data selection means for selecting data stored in the data box selected by the data box selection means, and selection operation control means for controlling each selection means to execute a selection operation. Provide a communication network system.
[0032]
BEST MODE FOR CARRYING OUT THE INVENTION
1. Network configuration example
FIG. 1 is a diagram showing one embodiment of a network configuration example to which the present invention can be applied. FIG. 1A shows an application example in an accounting firm, and FIG. 1B adopts so-called "Internet accounting". An example of application in an accounting firm is shown below.
In FIG. 1,
[0033]
In FIG. 1, the operator of the accounting office sets a plurality of data boxes (to be described later) in the
Although the
Further, the entity of the management device for performing data management according to the present invention exists in the memory device (including the case of the external memory device) of the
Then, the management device for performing data management according to the present invention selects and sets from the memory device (including the external memory device) of the
Further, the “memory device” constituting the data box is not limited to the
[0034]
Also, in the
[0035]
In the input process, the input data is stored in the data box of the
[0036]
In the
[0037]
2. Data box
The data box refers to a plurality of data boxes virtually provided by a data management program in an area of a storage device of a designated computer device (in the illustrated example, a designated one of the
These data boxes will be selected as data management devices as described later.
[0038]
The data box is realized by, for example, partitioning a server disk by partitions. However, since the data box may be compatible with a multi-device as described later, the actual data box is not limited to a hard disk (and a partition which is a part of the data box), and a wide range of storage media such as a CD-R, a MOD, and a USB device are widely used. Including. In addition, it also includes dividing a database as well as dividing by the concept of a folder.
Note that a partition obtained by physically dividing a storage area of a data management device (for example, the memory device 2) can be used as a data box as a divided area. However, since the area is fixed, the partition lacks flexibility and furthermore, Depending on the size of the file, the number of files that can be stored is limited, or an unused area remains in a worm-like state (referred to as fragmentation).
In other words, in the case of a virtual (logical) divided area, it is not necessary to consider the occurrence of such fragmentation, so that it has a feature that is easy to manage. Therefore, when one physical memory device is divided, a virtual division method is mainly used.
[0039]
However, in some cases, it is convenient to assign the memory device to one data box instead of dividing it, so that the data box does not necessarily mean only a virtually divided area.
More specifically, as will be described later, the entirety of one MO device, one entire DVD device, and one entire USB memory device are allocated as data boxes (without division), respectively (FIG. 6 (b)).
[0040]
FIG. 2 is an explanatory diagram of a data box, and is an example in which a data box is set in the
[0041]
A member of the group having access authority to each data box can store a data file in the data box, update the contents of the stored data file, or delete the data file. In the example shown in the figure, the
[0042]
FIG. 3 is a diagram showing a configuration example of a storage area of a storage device in which a data box is set. , An information management box 20-2 for storing security information and the like, and a plurality of
[0043]
Specifically, a directory named “= XXXX” (XXXX is data box. NO) is prepared in the root directory of the disk, and data is stored under this directory with the same configuration as before. In this way, data management on a group basis is realized. (The old area is called the "shared area" and can be accessed without access by all users.)
[0044]
For example, in the case of an accounting office, files such as an OS, a system file, a program file for a financial accounting system (application program),
[0045]
The management information box 20-2 manages a “user management table” for managing user information, a “group management table” for managing group information to which the user belongs, and manages what data box is prepared in the
[0046]
FIG. 4 is an explanatory diagram of the contents of the access authority managed by the management table.
In the present embodiment, the access levels are three levels of 0 to 2, and as shown in the figure, at
[0047]
At
[0048]
At
[0049]
These access rights are all managed by the information management BOX 20-2 (FIG. 3). Note that one information management box is prepared for each device. As described above (FIG. 3), the information management box is provided with three management tables, a user management table, a group management table, and a data box management table. Management of access rights to the data box is realized.
[0050]
(User management table)
The user management table is a table for performing management on a user-by-user basis, and the user is a minimum unit for managing access rights of a data box. Also, all users must belong to some group. This table manages a user name, a password, a user name, a user authority, a user ID, a group ID to which the user belongs, and the like. When all data boxes are shared by all without setting an access right, only the “anonymous” user is registered.
[0051]
(Group management table)
The group management table is a table for managing groups, and specifies a data box that can be accessed for each group. Here, a group ID, a group name, and an accessible data box ID are set.
[0052]
(Data box management table)
6 is a table for managing data boxes prepared in a memory device. This table manages data box IDs and data box names.
[0053]
FIG. 5 is a diagram showing a configuration example of a user management table, a group management table, and a data box management table stored in the information management box and a relationship between the management tables. FIG. FIG. 5B shows a group management table, and FIG. 5C shows a data box management table.
[0054]
The user management table 51 includes a user name column 511 storing a user name, a
[0055]
The group management table 52 includes a
[0056]
The data box management table 53 includes a data
[0057]
In the example of FIG. 5, the group name to which the user B belongs can be specified as “Z accounting group” in the group management table 52 using the group ID “# 003” registered in the user management table 51 as a pointer. Of the data box accessible by the user B who is a member of the group "BOX-1" and "BOX-4". Then, based on the acquired data box IDs “BOX-1” and “BOX-4”, the data box (name) accessible to the user B can be known by referring to the data box management table 53. Conversely, based on the data box name, it is possible to know the group that can refer to this data box and its members.
[0058]
FIG. 6 is a diagram showing an embodiment of a data management device selection screen. FIG. 6A is a diagram showing one example of a data management device selection screen displayed when the accounting process is started at a terminal of an accounting office having a LAN configuration. An example will be described.
[0059]
The data management
[0060]
In the example of FIG. 6A, the common area set in the storage area of the magnetic disk device of the X server (the machine name of the server) and two data boxes (individuals of the A accounting firm) are displayed on the data management
[0061]
On the data management
If the user makes this setting first, the user can then start each application software and concentrate on the operation of the application software without being aware of data management during the processing of the software. This is one of the advantages of the present invention realized by middleware.
[0062]
FIG. 6B shows an embodiment of a data management device selection screen when a data box is set in association with a multi-device, and the user selects this data management device selection screen 60 'displayed at the start of a job. Then, by selecting the data management device, that is, the device set as the data box in FIG. 5C, the access right to the device necessary for the job can be acquired and the job can be started. As described above, a data box can be associated with a device set as a memory device.
[0063]
When the setting as shown in FIG. 6B is made, the data box allocated to the DVD device can be used for evacuation of past year's data, and the past history is stored in the DVD in preparation for a disaster such as an earthquake or fire. -A data management system suitable for accounting firms that need to be evacuated to R or the like can be provided.
[0064]
7A and 7B are conceptual diagrams showing a difference in user management depending on an access level. FIG. 7A is a conceptual diagram of user management at
[0065]
In FIG. 7A, the access level is 1 when the password is assigned to the general-purpose user, and the access level is 0 when the password is not assigned to the general-purpose user. At
When operated in such a configuration, since each user belongs to the same group, an environment suitable for a relatively small accounting firm can be provided.
[0066]
In the example of FIG. 7B, the users A and B to which the access authority of the
[0067]
When operated in the configuration as shown in FIG. 7B, each user belongs to three groups, so that an environment suitable for a relatively large accounting firm can be provided. This is in line with the fact that when accounting firms grow in size, the person in charge is often assigned to each consultant.
[0068]
FIG. 8 is a conceptual diagram in which the user management by the access level is enlarged. The difference from the conceptual diagram of the
[0069]
FIG. 9 is a diagram showing an example in which group management can be customized in user management by access level. In the illustrated example, the data of the advisor is disclosed to all clerks, but the data of the accounting firm itself is shown. This is an example in which only a clerk cannot refer to (an accounting file of an accounting office, a salary file, etc.) (however, illustration of a shared area is omitted).
[0070]
That is, in the illustrated configuration, all clerks are given the access right to the clerk group by sharing the ID of one group (clerk group). Can access previous data. However, only the teacher belonging to the teacher group can access the data box ZZZ storing the salary file and the like in the office.
In this case, a suitable environment can be provided when it is desired to separately manage the salary and personnel data of each staff so that only the teacher can access the data.
[0071]
FIG. 10 is a diagram showing an embodiment of data management using a data box, in which data is managed by type. In FIG. 10,
[0072]
The use of the data box makes it possible to manage the data stored in the disk for each type in such a configuration of one server. For example, data can be classified into “corporate”, “individual”, “other”, etc., and data can be selected from terminals (WS1, WS2,...) In accordance with the business content, and input processing and the like can be performed.
[0073]
There are corporations and individuals as advisors to accounting firms, and by managing them separately as "corporate", "individual", "other", etc., it is efficient to save data mixed on one disk It can perform effective consultant management. In the illustrated example, the terminal WS1 and the terminal WS2 are set so that the same management device can be used. However, this is suitable for accounting at a relatively small accounting firm.
In such a case, the access level is basically set to 0 (an access right is not set and all users can access all data). For example, if only “corporate” and “individual” can be accessed for each group of persons in charge, for example, in an accounting firm with many persons in charge, a group divided into a group in charge of corporations and a group in charge of individuals Management becomes possible, which is a form suitable for a relatively large accounting firm.
[0074]
FIG. 11 is a diagram showing an embodiment of data management using a data box, in which only specific data can be accessed. The description of the network configuration is the same as that of FIG.
[0075]
Use of a data box can secure a private data area that cannot be accessed by other members. For example, if you do not want to show it to the general clerk, such as the accounting office's own accounting file, salary file, private data for teachers, create and register a dedicated data box, You can create two accounts, one for the clerk and one for the teacher, so that only the teacher can access the data box. In other words, the general clerk manages the advisor's data in the shared area, the general clerk can use only the shared area, and the teacher can use the shared area, the data box storing the office data, and the teacher's personal data. It can be set so that the stored data box can be accessed.
[0076]
FIG. 12 is a diagram showing an embodiment of data management using a data box, in which data is managed by group. The description of the network configuration is the same as that of FIG.
[0077]
For example, if it is desired to manage data by group in order to cope with the incorporation of accounting firms, data of a plurality of accounting firms can be managed by a single server disk by using a data box. . In this case, data such as finance, tax, documents, etc. are registered in the data box for each group (former office) in the same way as the conventional disk, and whether a server is prepared for each old office It can be operated as follows.
[0078]
In this case, first, an account is created for each clerk, a group is created for each accounting office, and then the group to which each clerk belongs is defined. As a result, only the data box to which the user can access (data of the office) is displayed on the management device selection screen of the application. Also, depending on the settings, the teacher may be able to access all office data.
[0079]
In the above description, the definition of the data box that configures the data box and promotes the specific business is suitable for an accounting firm of any size, any configuration, or any business form. It has been explained whether access management is realized.
[0080]
Hereinafter, first, how it acts as middleware in various applications will be described. Next, utilities for constructing an environment for realizing these will be described.
[0081]
<Data management using middleware>
In a client server system, when restricting access to a user or separately managing an accessible area for each user, an OS (for example, Windows (R) (registered trademark of Microsoft Corporation)) has conventionally been prepared. Various management software was started up and the settings were made, but the initial settings required for the management software and the various operations required by the management software started at the start of application startup require expert knowledge of the OS and management software. As described above, it is difficult and cumbersome as necessary.
[0082]
In the present invention, the initial setting and change of the data management conditions and the job menu described above are performed by a simple selection operation and input operation using a limited number of selection screens centered on a group of utility programs positioned between the application and the OS. Various operations for data management required at the time of startup and application execution are enabled.
[0083]
That is, the middleware positioned between the application and the OS can provide a common data management and access management environment for the application based on the configuration set by the utility program group.
[0084]
In the following description, display, selection or input of the screens shown in FIGS. 13 and 14 and each of the screens shown in FIGS. 16 to 26, registration and storage of the input result, change of the setting conditions, and change of the setting conditions and parameters The exchange with the OS and the application program is executed by a utility program corresponding to each screen.
[0085]
FIG. 13 is a diagram showing an embodiment of a data box management main screen (hereinafter, main screen) using a utility. The
[0086]
As shown in the figure, the
[0087]
The meaning of the setting content shown in the setting
[0088]
When the menu in the menu display column 132 is selected, the program branches to a program for performing the processing displayed on the menu (in this example, a utility program group corresponding to various menus). Note that a more detailed menu may be displayed in the menu selection column 132 (for example, see the main screen in FIG. 16).
[0089]
(For application execution)
FIG. 14 is a flowchart showing the process of the data management operation performed when the application is started. The operation is performed in the order shown in FIG.
[0090]
First, when the terminal is started, a job menu for selecting an application is displayed (step S1). When the operator selects a job (application), a tee for confirming access authority is selected from a group of data management utility programs. The utility program is called by the data management program configured as middleware, and displays a
[0091]
If the authentication is performed, an application for executing the job selected in step S1 is started, and at substantially the same time, a utility program for management device selection processing is called from the utility program group for data management by the data management program. Then, the management
[0092]
As shown in the flowchart of FIG. 14, according to the data management method of the present invention, an application can be executed only by performing a simple operation on a minimum number of displayed screens.
[0093]
That is, the user first sets the simple settings as shown in FIG. 15, and thereafter starts each application software and concentrates on the operation of the application software without being aware of data management during the processing of the software. can do.
[0094]
If it is desired to further simplify the user's setting operation while using each application software (for example, when a specific management device is used for a specific application), the management device selection in step S4 is performed. You can also pass.
[0095]
FIG. 15 is a flowchart showing a process of a setting operation such as data box creation.
First, when a data box management job is started, a data management program is started, and a utility program for displaying a main screen is called from a group of data management utility programs by a data management program configured as middleware. Since the
[0096]
The utility program for displaying the main screen is called again by the data management program from the utility program group for data management, and the
[0097]
When "initial setting" is selected on the
[0098]
When "data box setting" is selected on the
[0099]
When the “access setting”
[0100]
When "group setting" is selected on the
[0101]
When an “access setting” button 214 is clicked on the
[0102]
When "user setting" is selected on the
[0103]
As is clear from the description of the flowchart in FIG. 15, the initial settings, basic settings, data box settings, group settings, access right settings, User settings can be made.
[0104]
FIG. 24 is a conceptual diagram of user management via a WAN line.
According to the data management method of the present invention, a computer connected via a WAN line as shown in the figure. Even the user 241 can perform group management on the
[0105]
According to the data management method of the present invention, a computer connected via a WAN line as shown in the figure. Even the user 241 can perform group management on the
[0106]
As described above, as a result of the data box setting, group setting, and user setting, the data box management table 53, the group management table 52, and the user management table 51 as shown in FIG. Are linked, and a system for managing access authority to each data box for each group is established.
[0107]
Next, when various application software (payroll software, financial input software, etc.) is started, and the management device is accessed (that is, read and write payroll data and financial data) during the operation, the above-described configuration is established. It is explained whether access restriction management is utilized for each user (group) based on the environment.
[0108]
When the user A attempts to access the data box “BOX2”, first, the group ID “# 0002” to which the user A belongs is extracted from the user management table 51 of FIG. Searching 52, it can be seen that there are "BOX1" and "BOX2" as data boxes accessible to the group "X accounting firm group" to which user A belongs.
[0109]
As described above, the user A can access the data box “BOX2” associated with the X accounting firm (or the
[0110]
As described in the description of the flowcharts in FIGS. 14 and 15, the data management program functions as middleware, so that as shown in FIG. 25 (an explanatory diagram of password inheritance), a user belonging to the group α After the authentication, the application software X is started to access a specific data box, and after the processing by the application software X is completed, the processing by another application Y accessing the same data box is performed. Since the program maintains the access restriction environment set for the previous application software X, the application software Y can be activated without inputting a password. That is, when the same person accesses the same data box and continuously uses different application software, the access restriction environment such as a password is inherited, so that there is no need to repeat the operation for data management.
[0111]
Finally, how the application and the middleware process cooperate and how they operate based on the settings by the utility described in FIG. 15 and thereafter will be briefly described with reference to the table configuration of FIG. 5 as appropriate.
[0112]
First, as a result of various settings of the data box made by the utility, a table as shown in FIG. 5 is constructed. As a result, the data box and the group are linked, and an access authority management system for each data box for each group is established.
Based on this premise, next, various application software (payroll software, financial input software, etc.) are started, and the management device is accessed during the operation (that is, read / write of payroll data and financial data). At this time, how the access restriction management is utilized for each user (group) based on the constructed environment will be described.
[0113]
A case where the financial input program is started will be described. First, when the user B tries to access the data box “BOX-2”, first, the group ID to which the user belongs belongs to “#” according to the user management table of FIG. 003 ”, and the group management table in FIG. 5B shows that the group with the group ID“ # 003 ”corresponds to the Z accounting office group, and the user B belongs to the Z accounting office group. You can see that. Further, it can be understood from the accessible data box ID of the group management table that the Z accounting office can access the data boxes “BOX-1” and “BOX-4”.
[0114]
Further, according to the data BOX management table of FIG. 5C, the name of the data box “BOX-4” is “shared data”, and the name of the data box “BOX-4” is “Z accounting office data”. You can see that.
[0115]
In this case, a list of data boxes accessible as a management device (in this case, “BOX-1” and “BOX-4”) is displayed in step S4 of FIG. (Not shown).
[0116]
In the case of the user A, the data “BOX-1” and the data “BOX-3” associated with the Y accounting firm can be accessed by searching the same table. Although “BOX-1” and data “BOX-3” are displayed, data “BOX-4”, which is a data box of the Y accounting office to which the user A belongs, is not displayed as a management device, and Grouping and data box access right management. As described above, by functioning as the middleware based on the configuration set by the utility, it is possible to construct an environment in which access is restricted even if any application software is started and operated.
[0117]
As mentioned above, although one Example of this invention was described, this invention is not limited to the said Example, It cannot be overemphasized that various deformation | transformation implementation is possible.
[0118]
【The invention's effect】
As described above, according to the present invention, only the user associated with the user group belonging to the data box can access the data stored in the data box associated with the user group. Easy to manage. Therefore, it is possible to perform access management independent of an application.
[0119]
In addition, since the data box can be allocated to the device of the information processing apparatus, it can correspond to a communication network environment of various configurations.
[Brief description of the drawings]
FIG. 1 is a diagram showing an embodiment of a network system configuration example to which the present invention can be applied.
FIG. 2 is an explanatory diagram of a data box.
FIG. 3 is a diagram illustrating a configuration example of a storage area of a memory device in which a data box is set.
FIG. 4 is a diagram illustrating a configuration example of a user management table, a group management table, and a data box management table, and a relationship between the management tables;
FIG. 5 is a diagram illustrating a configuration example of a user management table, a group management table, and a data box management table, and a relationship between the management tables.
FIG. 6 is a diagram showing one embodiment of a data management device selection screen.
FIG. 7 is a conceptual diagram illustrating a difference in user management depending on an access level.
FIG. 8 is a conceptual diagram in which user management based on an access level is enlarged.
FIG. 9 is a diagram showing an example in which group management can be customized in user management based on an access level.
FIG. 10 is a diagram showing an embodiment of data management using a data box.
FIG. 11 is a diagram showing an embodiment of data management using a data box.
FIG. 12 is a diagram showing an embodiment of data management using a data box.
FIG. 13 is a diagram showing one embodiment of a data box management main screen.
FIG. 14 is a flowchart illustrating a process of a data management operation performed when an application is started.
FIG. 15 is a flowchart showing a process of a setting operation such as data box creation.
FIG. 16 is a diagram showing one embodiment of a data box management main screen.
FIG. 17 is a diagram showing an embodiment of an administrator password setting screen.
FIG. 18 is a diagram showing an example of a basic setting screen.
FIG. 19 is a diagram illustrating an example of a management device / data box list screen.
FIG. 20 is a diagram showing an embodiment of an access right setting screen.
FIG. 21 is a diagram showing an example of a group list screen.
FIG. 22 is a diagram showing an embodiment of an access right setting screen.
FIG. 23 is a diagram showing one embodiment of a user setting screen.
FIG. 24 is a conceptual diagram of user management via a WAN line.
FIG. 25 is a diagram illustrating an embodiment of a password management inheritance method.
FIG. 26 is a diagram showing an example of a dialog box displayed when selecting a group right using conventional OS management software.
[Explanation of symbols]
1, 1 'server (information processing device)
2 Memory device (data management device)
3 communication network
4, 4-1, 4-2, 6, 6-1 and 6-2 Terminal (information processing device)
21, 22, 23 Data box
Claims (9)
前記データボックスに属するユーザグループに対応付けられているユーザのみがそのユーザグループが対応付けられているデータボックスに格納されているデータにアクセスできる、ことを特徴するデータ管理方法。Setting a data box including a divided area obtained by dividing a storage area, associating a user group with at least one of the data boxes, and associating a user with at least one of the user groups;
A data management method, wherein only a user associated with a user group belonging to the data box can access data stored in a data box associated with the user group.
前記データボックスに対応付けられたユーザグループに属するユーザのみがそのグループが対応付けられているデータボックスに格納されているデータにアクセスできる、ことを特徴するデータ管理装置。A storage device of the information processing device, comprising a data box obtained by dividing the storage area,
A data management device, wherein only a user belonging to a user group associated with the data box can access data stored in the data box associated with the group.
前記ユーザ設定手段によってユーザグループと対応付けられたユーザは、前記複数の端末のうちの一つから前記グループ設定手段によって該ユーザが属するユーザグループに対応付けられているデータボックスに格納されているデータにアクセスできること、を特徴とする通信ネットワークシステム。A communication network system comprising: a plurality of terminals that exchange data with the information processing apparatus according to claim 5 through a communication network,
The user associated with the user group by the user setting unit is a data stored in a data box associated with the user group to which the user belongs by the group setting unit from one of the plurality of terminals. A communication network system, wherein
前記データボックス設定手段は、前記端末の記憶装置にデータボックスを設定する手段を含むことを特徴とする通信ネットワークシステム。A communication network system comprising a plurality of terminals connected to a server comprising the information processing apparatus according to claim 5 or 6 via a communication network,
The communication network system according to claim 1, wherein said data box setting means includes means for setting a data box in a storage device of said terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003096999A JP4495915B2 (en) | 2003-03-31 | 2003-03-31 | Data management method, memory device, and server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003096999A JP4495915B2 (en) | 2003-03-31 | 2003-03-31 | Data management method, memory device, and server |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004303051A true JP2004303051A (en) | 2004-10-28 |
JP4495915B2 JP4495915B2 (en) | 2010-07-07 |
Family
ID=33408905
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003096999A Expired - Lifetime JP4495915B2 (en) | 2003-03-31 | 2003-03-31 | Data management method, memory device, and server |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4495915B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006127243A (en) * | 2004-10-29 | 2006-05-18 | Konica Minolta Business Technologies Inc | Device, and management method and management program for the same |
JP2006227779A (en) * | 2005-02-16 | 2006-08-31 | Matsushita Electric Ind Co Ltd | Information system control method, information terminal equipment and its program |
JP2007058459A (en) * | 2005-08-23 | 2007-03-08 | Ricoh Co Ltd | Document management system, setting method for document management system, program and computer-readable recording medium |
JP2010026653A (en) * | 2008-07-16 | 2010-02-04 | Fujitsu Ltd | Data access control method, data access control apparatus, and program |
WO2013171968A1 (en) * | 2012-05-15 | 2013-11-21 | ソニー株式会社 | Screening management device and screening management method |
JP2014191762A (en) * | 2013-03-28 | 2014-10-06 | Japan Digital Laboratory Co Ltd | Accounting processing method, system and program |
WO2017090142A1 (en) * | 2015-11-26 | 2017-06-01 | 株式会社野村総合研究所 | Service-providing system |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04280317A (en) * | 1991-03-08 | 1992-10-06 | Matsushita Electric Ind Co Ltd | File management device |
JP2000134443A (en) * | 1998-10-21 | 2000-05-12 | Ricoh Co Ltd | Office machine with information service function |
JP2002091813A (en) * | 2000-09-18 | 2002-03-29 | Ricoh Co Ltd | System and method for managing integrated document and computer readable recording medium recording program |
JP2002259215A (en) * | 2001-03-06 | 2002-09-13 | Kyocera Communication Systems Co Ltd | Access control system |
JP2003036207A (en) * | 2001-07-23 | 2003-02-07 | Mitsubishi Electric Corp | Data access control system and data access control method |
JP2003085090A (en) * | 2001-09-07 | 2003-03-20 | Fuji Electric Co Ltd | Information sharing system |
JP2003091448A (en) * | 2001-09-14 | 2003-03-28 | Ricoh Co Ltd | Document managing system |
JP2003233555A (en) * | 2002-02-13 | 2003-08-22 | Zenrin Datacom Co Ltd | Information managing system |
-
2003
- 2003-03-31 JP JP2003096999A patent/JP4495915B2/en not_active Expired - Lifetime
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04280317A (en) * | 1991-03-08 | 1992-10-06 | Matsushita Electric Ind Co Ltd | File management device |
JP2000134443A (en) * | 1998-10-21 | 2000-05-12 | Ricoh Co Ltd | Office machine with information service function |
JP2002091813A (en) * | 2000-09-18 | 2002-03-29 | Ricoh Co Ltd | System and method for managing integrated document and computer readable recording medium recording program |
JP2002259215A (en) * | 2001-03-06 | 2002-09-13 | Kyocera Communication Systems Co Ltd | Access control system |
JP2003036207A (en) * | 2001-07-23 | 2003-02-07 | Mitsubishi Electric Corp | Data access control system and data access control method |
JP2003085090A (en) * | 2001-09-07 | 2003-03-20 | Fuji Electric Co Ltd | Information sharing system |
JP2003091448A (en) * | 2001-09-14 | 2003-03-28 | Ricoh Co Ltd | Document managing system |
JP2003233555A (en) * | 2002-02-13 | 2003-08-22 | Zenrin Datacom Co Ltd | Information managing system |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006127243A (en) * | 2004-10-29 | 2006-05-18 | Konica Minolta Business Technologies Inc | Device, and management method and management program for the same |
US7519597B2 (en) | 2004-10-29 | 2009-04-14 | Konica Minolta Business Technologies, Inc. | Device and method for managing files in storage device |
JP2006227779A (en) * | 2005-02-16 | 2006-08-31 | Matsushita Electric Ind Co Ltd | Information system control method, information terminal equipment and its program |
JP2007058459A (en) * | 2005-08-23 | 2007-03-08 | Ricoh Co Ltd | Document management system, setting method for document management system, program and computer-readable recording medium |
JP2010026653A (en) * | 2008-07-16 | 2010-02-04 | Fujitsu Ltd | Data access control method, data access control apparatus, and program |
WO2013171968A1 (en) * | 2012-05-15 | 2013-11-21 | ソニー株式会社 | Screening management device and screening management method |
JP2014191762A (en) * | 2013-03-28 | 2014-10-06 | Japan Digital Laboratory Co Ltd | Accounting processing method, system and program |
WO2017090142A1 (en) * | 2015-11-26 | 2017-06-01 | 株式会社野村総合研究所 | Service-providing system |
Also Published As
Publication number | Publication date |
---|---|
JP4495915B2 (en) | 2010-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3158494B1 (en) | System and method for supporting security in a multitenant application server environment | |
US7630974B2 (en) | Multi-language support for enterprise identity and access management | |
JP4398371B2 (en) | How to control access to a relational database | |
JP4571746B2 (en) | System and method for selectively defining access to application functions | |
US8306999B2 (en) | Computer-implemented systems, methods, and computer program product for providing row-level security in a database network | |
US6587854B1 (en) | Virtually partitioning user data in a database system | |
US8234693B2 (en) | Secure document management | |
US5911143A (en) | Method and system for advanced role-based access control in distributed and centralized computer systems | |
EP1460565B1 (en) | Method and system for uniformly accessing multiple directory services | |
US7865521B2 (en) | Access control for elements in a database object | |
EP2116954A1 (en) | Apparatus and method for accessing data in a multi-tenant database according to a trust hierarchy | |
US20110040793A1 (en) | Administration Groups | |
US9430665B2 (en) | Dynamic authorization to features and data in JAVA-based enterprise applications | |
US20130311459A1 (en) | Link analysis for enterprise environment | |
US7870101B2 (en) | Method and apparatus for presentation of a security-focused repository with a party-focused repository | |
US7533157B2 (en) | Method for delegation of administrative operations in user enrollment tasks | |
JP2008547118A (en) | Granting unified authority for heterogeneous applications | |
JP2002207739A (en) | Document management system | |
US20100114897A1 (en) | Indexing and searching a network of multi-faceted entity data | |
US20200092337A1 (en) | Context-aware content object security | |
JP4495915B2 (en) | Data management method, memory device, and server | |
CN112632492A (en) | Multidimensional authority model design method for matrixing management | |
US20040139141A1 (en) | Integration of virtual data within a host operating environment | |
US11971909B2 (en) | Data processing system with manipulation of logical dataset groups | |
US10419410B2 (en) | Automatic generation of unique identifiers for distributed directory management users |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060303 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090210 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090409 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090811 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091109 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20091127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100302 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100309 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100406 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100412 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4495915 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130416 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160416 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |