JP2006268265A - データベースシステム、データベースサーバ、プログラム、及び、記録媒体 - Google Patents
データベースシステム、データベースサーバ、プログラム、及び、記録媒体 Download PDFInfo
- Publication number
- JP2006268265A JP2006268265A JP2005083639A JP2005083639A JP2006268265A JP 2006268265 A JP2006268265 A JP 2006268265A JP 2005083639 A JP2005083639 A JP 2005083639A JP 2005083639 A JP2005083639 A JP 2005083639A JP 2006268265 A JP2006268265 A JP 2006268265A
- Authority
- JP
- Japan
- Prior art keywords
- data
- access
- schema
- database
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】 ユーザのアクセス権限をデータベースのスキーマ上に保持し、アプリケーション側でのアクセス権限に関するロジック実装を軽減するデータベースシステム等を提供する。
【解決手段】 データベース300は、実データ310を記憶するデータスキーマ301と、ユーザグループ104毎の実データ310のデータ参照範囲情報330、アクセス権限情報340を記憶する複数のアクセススキーマ302からなり、アプリケーション111は、クライアント端末103からのログイン情報に応じて、当該ユーザグループ104に対応付けられるアクセススキーマ302に接続し、データ参照範囲情報330、アクセス権限情報340に基づいてフィルタリング処理やアクセス制限を行うアクセススキーマ302を介して、データスキーマ301の実データ310をアクセスする。
【選択図】 図7
【解決手段】 データベース300は、実データ310を記憶するデータスキーマ301と、ユーザグループ104毎の実データ310のデータ参照範囲情報330、アクセス権限情報340を記憶する複数のアクセススキーマ302からなり、アプリケーション111は、クライアント端末103からのログイン情報に応じて、当該ユーザグループ104に対応付けられるアクセススキーマ302に接続し、データ参照範囲情報330、アクセス権限情報340に基づいてフィルタリング処理やアクセス制限を行うアクセススキーマ302を介して、データスキーマ301の実データ310をアクセスする。
【選択図】 図7
Description
本発明は、ネットワークを利用したデータベースシステムに係り、特に、アクセススキーマを介したデータ制限方法に関する。
近年、カタログ制作を行う際、コンピュータの普及に伴い、カタログに載せる商品データをデータベース化して利用することが始まっている。データベースと連携し、デスクトップパブリッシング(DTP)等でカタログ制作作業を行い、その効率化が図られてきている。例えば、商品情報等を蓄積したデータベースと、データベースの情報を管理し、データベースの情報の入出力、検索、閲覧等の機能を提供するサーバと複数のユーザ端末装置等からなるWeb上で動作するデータベースシステムが幾つか存在する(例えば、特許文献1)。
しかしながら、従来のデータベースシステムでは、データ参照範囲やアクセス権限の設定情報に基づいたアクセス制限やフィルタリング処理をそれぞれのアプリケーションで構築する必要があった。
図9は、従来のデータシステムにおけるユーザのアクセス権限に関するデータ制限方法を示す図である。図9に示すように、従来データシステム1000は、データベース1300に実データ、ユーザグループ104毎の設定情報等を有し、例えば、ユーザグループ104−1のクライアント端末103からのログイン要求に対して、アプリケーション1111は、ログインしようとしているユーザグループ104−1の設定情報を、データベース1300から読み込み、ユーザグループ104−1の設定情報に基づいて、アクセス制限やフィルタリング処理を行っていた。
その結果、データベース1300に接続する種類の異なるアプリケーション1111毎に同様のロジック実装が必要となり、ロジック実装量が膨らむほか、アプリケーション1111開発効率及びメンテナンス効率の低下を招く原因となっていた。
図9は、従来のデータシステムにおけるユーザのアクセス権限に関するデータ制限方法を示す図である。図9に示すように、従来データシステム1000は、データベース1300に実データ、ユーザグループ104毎の設定情報等を有し、例えば、ユーザグループ104−1のクライアント端末103からのログイン要求に対して、アプリケーション1111は、ログインしようとしているユーザグループ104−1の設定情報を、データベース1300から読み込み、ユーザグループ104−1の設定情報に基づいて、アクセス制限やフィルタリング処理を行っていた。
その結果、データベース1300に接続する種類の異なるアプリケーション1111毎に同様のロジック実装が必要となり、ロジック実装量が膨らむほか、アプリケーション1111開発効率及びメンテナンス効率の低下を招く原因となっていた。
本発明は、以上の点に鑑みてなされたものであり、ユーザのアクセス権限をデータベースのスキーマ上に保持し、アプリケーション側でのアクセス権限に関するロジック実装を軽減するデータベースシステム等を提供することを目的とする。
前述した目的を達成するために第1の発明は、クライアント端末にネットワークを介して接続され、データを記憶する少なくとも1つのデータベースを有し、前記データベースを操作、管理するサーバであって、前記データベースは、前記データを記憶するデータスキーマと、ユーザグループ毎の前記データスキーマに対する前記データの参照範囲情報、アクセス権限情報を記憶する少なくとも1つのアクセススキーマと、からなり、前記クライアント端末からのログイン情報に応じて、当該ユーザのユーザグループに対応付けられるアクセススキーマに接続する接続手段と、前記アクセススキーマを介して、前記データスキーマのデータをアクセスするアクセス手段と、を備え、前記アクセススキーマは、前記アクセス権限情報に基づいて、前記データスキーマのデータに対するアクセス制限を行うアクセス制限手段と、前記参照範囲情報に基づいて、前記データスキーマのデータに対するフィルタリング処理を行うフィルタリング手段と、を具備することを特徴とするデータベースサーバである。
また、前記アクセス手段は、前記データベースのデータの検索、閲覧、登録等の少なくともいずれかの操作を有することが望ましい。
また、ユーザ毎にログイン情報とユーザグループとを対応付けたユーザ情報を保持し、前記接続手段は、前記ユーザ情報に基づいて、前記ログイン情報からユーザグループを特定することが望ましい。
また、ユーザ毎にログイン情報とユーザグループとを対応付けたユーザ情報を保持し、前記接続手段は、前記ユーザ情報に基づいて、前記ログイン情報からユーザグループを特定することが望ましい。
第1の発明によるサーバは、クライアント端末にネットワークを介して接続され、データを記憶する少なくとも1つのデータベースを有し、データベースは、データを記憶するデータスキーマと、ユーザグループ毎のデータスキーマに対するデータの参照範囲情報、アクセス権限情報を記憶する少なくとも1つのアクセススキーマと、からなり、クライアント端末からのログイン情報に応じて、当該ユーザのユーザグループに対応付けられるアクセススキーマに接続し、アクセススキーマを介して、データスキーマのデータをアクセスする。アクセススキーマは、アクセス権限情報に基づいて、データスキーマのデータに対するアクセス制限を行い、参照範囲情報に基づいて、データスキーマのデータに対するフィルタリング処理を行う。
「データスキーマ」には、実データを記憶する。
「アクセススキーマ」は、ユーザグループ毎の、データスキーマに対するデータの参照範囲やアクセス権限等の情報を保持し、このデータの参照範囲やアクセス権限等の情報に基づく、アクセス制限、フィルタリング処理を行う。
「アクセス権限情報」は、データスキーマのデータに対して、値の制限、読み取り、書き込み、削除等の属性等の制限情報である。
「参照範囲情報」は、データスキーマのデータに対して、アクセス可能なレコードデータや、カラムデータの参照範囲情報である。
「アクセススキーマ」は、ユーザグループ毎の、データスキーマに対するデータの参照範囲やアクセス権限等の情報を保持し、このデータの参照範囲やアクセス権限等の情報に基づく、アクセス制限、フィルタリング処理を行う。
「アクセス権限情報」は、データスキーマのデータに対して、値の制限、読み取り、書き込み、削除等の属性等の制限情報である。
「参照範囲情報」は、データスキーマのデータに対して、アクセス可能なレコードデータや、カラムデータの参照範囲情報である。
第1の発明では、データベースサーバは、これらのアクセス制限やフィルタリングロジックをデータベース管理手段で担うようにし、アプリケーション側のロジック実装の負荷を軽減し、プログラム開発効率が向上できる。
また、アクセス制限やフィルタリング処理のビジネスロジックの統一が得られると共に、個々のアプリケーションには手を入れなくて済むので、メンテナンス効率が向上できる。
更に、データの登録・更新時に、権限等の細かなチェック処理をデータベース管理手段が併せて担う分、アプリケーション側での事前チェック処理等が不要になるので、全体の処理パフォーマンスの向上が見込める。
また、アクセス制限やフィルタリング処理のビジネスロジックの統一が得られると共に、個々のアプリケーションには手を入れなくて済むので、メンテナンス効率が向上できる。
更に、データの登録・更新時に、権限等の細かなチェック処理をデータベース管理手段が併せて担う分、アプリケーション側での事前チェック処理等が不要になるので、全体の処理パフォーマンスの向上が見込める。
また、第2の発明は、クライアント端末と、データを記憶する少なくとも1つのデータベースを有し、前記データベースを操作、管理するサーバと、がネットワークを介して接続されるシステムであって、前記データベースは、前記データを記憶するデータスキーマと、ユーザグループ毎の前記データスキーマに対する前記データの参照範囲情報、アクセス権限情報を記憶する少なくとも1つのアクセススキーマと、からなり、前記データベースサーバは、前記クライアント端末からのログイン情報に応じて、当該ユーザのユーザグループに対応付けられるアクセススキーマに接続する接続手段と、前記アクセススキーマを介して、前記データスキーマのデータをアクセスするアクセス手段と、を備え、前記アクセススキーマは、前記アクセス権限情報に基づいて、前記データスキーマのデータに対するアクセス制限を行うアクセス制限手段と、前記参照範囲情報に基づいて、前記データスキーマのデータに対するフィルタリング処理を行うフィルタリング手段と、を具備することを特徴とするデータベースシステムである。
第2の発明は、第1の発明のデータベースサーバと、データベースに対して操作要求を行うクライアント端末から構成されるデータベースシステムに関する発明である。
第3の発明は、コンピュータを第1の発明のデータベースサーバとして機能させるプログラムである。
第4の発明は、コンピュータを第1の発明のデータベースサーバとして機能させるプログラムを記録した記録媒体である。
第4の発明は、コンピュータを第1の発明のデータベースサーバとして機能させるプログラムを記録した記録媒体である。
上述のプログラムをCD−ROM等の記録媒体に保持させて流通させてもよいし、このプログラムを通信回線を介して送受することもできる。
本発明は、ユーザのアクセス権限をデータベースのスキーマ上に保持し、アプリケーション側でのアクセス権限に関するロジック実装を軽減するデータベースシステム等を提供することができる。
以下に、添付図面を参照しながら、本発明に係るデータベースシステム等の好適な実施形態について詳細に説明する。なお、以下の説明および添付図面において、略同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略することにする。
図1は、本発明の本実施の形態に係るデータベースシステム100の概略構成を示す図である。
図1は、データベースシステム100の一例であり、図1に示すように、データベースシステム100は、サーバ101、複数のユーザグループ104−1、104−2、104−3のユーザが有する複数のクライアント端末103等が、ネットワーク109を介して接続されて構成される。尚、データベースシステム100は、WWW(World Wide Web)技術を用いて実現した場合の構成図である。
ネットワーク109は、インターネット、ローカルエリアネットワーク(LAN)、社内LAN等のネットワークであり、有線、無線を問わない。
サーバ101は、サーバコンピュータ等であり、Webサーバ110、アプリケーション111、データベース管理手段112等を有する。
アプリケーション111は、Webサーバ110上で動作するアプリケーションであり、クライアント端末103からのアクセスにより、Webサーバ110から呼び出され、データベース300の情報(文字列や画像等)の検索、閲覧、登録等の各種操作を行い、ユーザの登録や各種設定等のシステム運用・管理を行う。クライアント端末103のWebブラウザ120上に情報を送信、表示する。
データベース管理手段112は、データベースエンジン等であり、データスキーマ301と、実データを記憶するデータスキーマ301に対するデータの参照範囲やアクセス権限等の情報を保存する複数のアクセススキーマ302−1、302−2、302−3と、からなるデータベース300を有し、データベース300への検索、参照、登録、削除等の各種要求に対する該当処理を行う。
アプリケーション111は、Webサーバ110上で動作するアプリケーションであり、クライアント端末103からのアクセスにより、Webサーバ110から呼び出され、データベース300の情報(文字列や画像等)の検索、閲覧、登録等の各種操作を行い、ユーザの登録や各種設定等のシステム運用・管理を行う。クライアント端末103のWebブラウザ120上に情報を送信、表示する。
データベース管理手段112は、データベースエンジン等であり、データスキーマ301と、実データを記憶するデータスキーマ301に対するデータの参照範囲やアクセス権限等の情報を保存する複数のアクセススキーマ302−1、302−2、302−3と、からなるデータベース300を有し、データベース300への検索、参照、登録、削除等の各種要求に対する該当処理を行う。
複数のユーザグループ104−1、104−2、104−3は、ユーザを、データベース300の運用/操作形態や、営業部門、開発部門、企画部門等の企業内の部署別にグループ化した情報であり、例えば、一般ユーザのユーザグループ104−1、特別ユーザのユーザグループ104−2、管理者(ユーザ)のユーザグループ104−3等である。ユーザグループ104−1、104−2、104−3のユーザは、夫々クライアント端末103を有する。クライアント端末103は、パーソナルコンピュータ、携帯型端末機(Personal Digital Assistant)等であり、クライアント端末103には、Webブラウザ120が搭載される。クライアント端末103は、Webブラウザ120を介して、サーバ101のアプリケーション111にアクセスし、データベース300の所望する情報の検索、閲覧、登録要求や操作指示等を送信し、受信した情報等を表示する。
次に、サーバ101のハードウェア構成を説明する。図2は、サーバ101のハードウェア構成図である。
サーバ101は、制御部201、記憶部202、メディア入出力部203、通信制御部204、入力部205、表示部206、印刷部207等が、システムバス209を介して接続されて構成される。
制御部201は、CPU(Central Processing Unit )、ROM(Read Only Memory )、RAM(Random Access Memory)等で構成される。
CPUは、記憶部202、ROM、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、システムバス209を介して接続された各装置を駆動制御し、サーバ101が行う後述する各種処理(図8参照)を実現する。
ROMは、不揮発性メモリであり、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持している。
RAMは、揮発性メモリであり、記憶部202、ROM、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部201が各種処理を行う為に使用するワークエリアを備える。
ROMは、不揮発性メモリであり、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持している。
RAMは、揮発性メモリであり、記憶部202、ROM、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部201が各種処理を行う為に使用するワークエリアを備える。
記憶部202は、HDD(ハードディスクドライブ)であり、制御部201が実行するプログラム、プログラム実行に必要なデータ、OS(オペレーティングシステム)等が格納される。プログラムに関しては、OS(オペレーティングシステム)に相当する制御プログラム391や、本コンピュータを適用するサーバ101が行う後述の処理に相当するアプリケーションプログラム392等が格納されている。
これらの各プログラムコードは、制御部201により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
これらの各プログラムコードは、制御部201により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
メディア入出力部203(ドライブ装置)は、データの入出力を行い、例えば、フロッピディスクドライブ、PDドライブ、CDドライブ(−ROM、−R、−RW等)、DVDドライブ(−ROM、−R、−RW等)、MOドライブ等のメディア入出力装置等を有する。
通信制御部204は、通信制御装置、通信ポート等を有し、サーバ101とネットワーク109間の通信を媒介する通信インタフェースであり、ネットワーク109を介して、サーバ101と、クライアント端末103間の通信制御を行う。
入力部205は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。
入力部205を介して、サーバ101に対して、操作指示、動作指示、データ入力等を行うことができる。
入力部205を介して、サーバ101に対して、操作指示、動作指示、データ入力等を行うことができる。
表示部206は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータのビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
印刷部207は、プリンタであり、印刷出力処理を行う。
システムバス209は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
次に、図3を参照しながら、サーバ101の記憶部202が保持する情報について説明する。図3は、記憶部202が保持する情報を示す図である。
記憶部202内には、複数のデータベース300、管理スキーマ325及び制御プログラム391、アプリケーションプログラム392等が格納されている。
データベース300は、データスキーマ301と、複数のアクセススキーマ302からなる。データスキーマ301に対し、複数のアクセススキーマ302が関係付けられ、各アクセススキーマ302には、一つのユーザグループ104が紐付けられ、ユーザが所属するユーザグループ104毎にアクセス権限、データ参照範囲等を設定する。
尚、サーバ101が管理するデータベース300は、必要に応じて、複数存在してもよい。
尚、サーバ101が管理するデータベース300は、必要に応じて、複数存在してもよい。
図4は、データスキーマ301を示す図である。
図4に示すように、データスキーマ301は、実データ310、アクセススキーマ接続情報315等を少なくとも有する。
実データ310は、文字情報や画像情報である複数の情報311からなる。例えば、情報311は、商品情報であり、商品のスペック等の文字情報、商品の素材情報である画像情報等からなる。
アクセススキーマ接続情報315は、アクセススキーマ特定・接続するための情報であり、アクセススキーマ名316とユーザグループID322等を少なくとも有し、接続するアクセススキーマ302とユーザグループ104が対応付けられている。
図4に示すように、データスキーマ301は、実データ310、アクセススキーマ接続情報315等を少なくとも有する。
実データ310は、文字情報や画像情報である複数の情報311からなる。例えば、情報311は、商品情報であり、商品のスペック等の文字情報、商品の素材情報である画像情報等からなる。
アクセススキーマ接続情報315は、アクセススキーマ特定・接続するための情報であり、アクセススキーマ名316とユーザグループID322等を少なくとも有し、接続するアクセススキーマ302とユーザグループ104が対応付けられている。
図5は、アクセススキーマ302を示す図である。
図5に示すように、アクセススキーマ302は、一つのユーザグループ104が紐付けられる当該ユーザグループ104のデータ参照範囲情報330、アクセス権限情報340等を有する。
データ参照範囲情報330は、データスキーマ301の実データ310に対して、当該ユーザグループ104のアクセス可能なレコードデータやカラムデータ等を参照可能とする範囲を設定した情報である。
アクセス権限情報340は、データスキーマ301の実データ310に対して、当該ユーザグループ104の値の制限、読み取り、書き込み、削除等の属性等の制限情報である。
アクセススキーマ302のデータ構成は、データスキーマ301の実データの構成と同一である(後述、詳しく説明する)。
図5に示すように、アクセススキーマ302は、一つのユーザグループ104が紐付けられる当該ユーザグループ104のデータ参照範囲情報330、アクセス権限情報340等を有する。
データ参照範囲情報330は、データスキーマ301の実データ310に対して、当該ユーザグループ104のアクセス可能なレコードデータやカラムデータ等を参照可能とする範囲を設定した情報である。
アクセス権限情報340は、データスキーマ301の実データ310に対して、当該ユーザグループ104の値の制限、読み取り、書き込み、削除等の属性等の制限情報である。
アクセススキーマ302のデータ構成は、データスキーマ301の実データの構成と同一である(後述、詳しく説明する)。
管理スキーマ325は、データベース管理手段112によって管理されるデータであり、データベースサーバに1つ存在し、複数のユーザ情報320、データベースの情報等を保持する。
ユーザ情報320は、接続可能なユーザ情報であり、ユーザID321、ユーザグループID322、パスワード、ユーザの個人情報等を有する。
ユーザ情報320は、接続可能なユーザ情報であり、ユーザID321、ユーザグループID322、パスワード、ユーザの個人情報等を有する。
制御プログラム391は、サーバ101の各構成部分を駆動制御するプログラムであり、OS(オペレーティングシステム)に相当する。
アプリケーションプログラム392は、サーバ101が行う後述の処理(図8参照)に相当する実行可能プログラムであり、WWWサーバ110、アプリケーション111等に該当するプログラムである。
アプリケーションプログラム392は、サーバ101が行う後述の処理(図8参照)に相当する実行可能プログラムであり、WWWサーバ110、アプリケーション111等に該当するプログラムである。
次に、図6を参照しながら、クライアント端末103のハードウェア構成を説明する。図6は、クライアント端末103のハードウェア構成図である。
クライアント端末103は、制御部401、記憶部402、通信制御部403、メディア入出力部404、入力部405、表示部406、印刷部407等が、システムバス409を介して接続される。
尚、クライアント端末103のハードウェア構成は、図2について前述したサーバ101と同様の構成を採る。
尚、クライアント端末103のハードウェア構成は、図2について前述したサーバ101と同様の構成を採る。
次に、図7を参照しながら、データベースシステム100におけるユーザのアクセス権限に関するデータ制限方法について説明する。図7は、データベースシステム100におけるユーザのアクセス権限に関するデータ制限方法を示す図である。
ユーザグループ104−1、104−2、104−3の各クライアント端末103は、サーバ101のアプリケーション111にアクセス、データベース300にログイン要求を行う。
アプリケーション111は、クライアント端末103からのログイン要求に対するユーザID321に対応付けられるユーザグループID322からアクセススキーマ302を特定、接続し、アクセススキーマ302を介して、データスキーマ301上の実データ310をアクセスする。
アクセススキーマ302−1、302−2、302−3は、夫々保持されているユーザグループ104−1、104−2、104−3毎のデータ参照範囲情報330、アクセス権限情報340に基づくフィルタリング処理やアクセス制限処理を行う。
アプリケーション111は、クライアント端末103からのログイン要求に対するユーザID321に対応付けられるユーザグループID322からアクセススキーマ302を特定、接続し、アクセススキーマ302を介して、データスキーマ301上の実データ310をアクセスする。
アクセススキーマ302−1、302−2、302−3は、夫々保持されているユーザグループ104−1、104−2、104−3毎のデータ参照範囲情報330、アクセス権限情報340に基づくフィルタリング処理やアクセス制限処理を行う。
次に、図8を参照しながら、データベースシステム100における、アクセススキーマ302を介したユーザのアクセス権限に関するデータ制限方法の処理手順について詳しく説明する。図8は、データベースシステム100におけるユーザのアクセス権限に関するデータ制限方法の処理手順を示すフローチャートである。
サーバ101は、アプリケーション111、データベース管理手段112(アクセススキーマ302−1、302−2、302−3(以下302−1を代表として説明する))、データスキーマ301)を介して、ユーザグループ104−1、104−2、104−3(以下104−1を代表として説明する)の各クライアント端末103に対して、ユーザのアクセス権限に関するデータ制限処理を行う。
サーバ101の記憶部202には、アプリケーションプログラム392であるWebサーバ110、アプリケーション111に相当する実行可能プログラムがインストールされている。以下のサーバ101の処理は、Webサーバ110、アプリケーション111、データベース管理手段112を介して、このプログラムの制御に従って、サーバ101の制御部201によって行われる。
また、クライアント端末103の記憶部402には、アプリケーションプログラム392であるWebブラウザ120がインストールされており、以下のクライアント端末103の処理(Webブラウザ120を介したサーバ101へのアクセス、サーバ101への操作指示等)は、クライアント103の制御部401によって行われる。
ユーザグループ104−1のクライアント端末103の制御部401は、サーバ101のアプリケーション111を介して、データベース300にログイン要求を行う(ステップS801)。
例えば、クライアント端末103のWebブラウザ120から、サーバ101のアプリケーション111の所定のURLを指定してサーバ101にアクセスし、サーバ101の制御部201は、ログイン画面データをクライアント端末103に送信する。クライアント端末103の制御部401は、ログイン画面(図示せず)に従って、入力されたユーザID321、パスワード323等をサーバ101に送信する。
サーバ101の制御部201は、受け取ったユーザID321、パスワード323から、データベース管理手段112の管理スキーマ325を介して、取得した管理スキーマ325上のユーザ情報320に基づいて、ユーザ認証を行い、正しくユーザ認証された場合、ユーザID321に対応付けられるユーザグループID322(ユーザグループ104−1に相当)を取得する(ステップS802)。
制御部201は、ユーザグループID322に応じた接続可能なデータベース一覧データをクライアント端末103に送信する(ステップS803)。
クライアント端末103の制御部401は、データベース一覧(図示せず)を表示し、所望するデータベースを選択し、送信する(ステップS804)。
サーバ101の制御部201は、選択されたデータベース名、ユーザグループID322(ユーザグループ104−1に相当)から、データベース管理手段112のデータスキーマ301上のアクセススキーマ接続情報315に基づいて、ユーザグループID322に対するアクセススキーマ名316を取得し、アクセススキーマ302−1を特定し、アクセススキーマ302−1を接続する(ステップS805)。
クライアント端末103の制御部401は、例えば、データベース300に対して、データの登録、検索、閲覧等の操作要求を行う(ステップS806)。
サーバ101の制御部201は、アクセススキーマ302−1を介して、データベース(データスキーマ)の実データ310の登録、検索等の操作を行う(ステップS807)。
アクセススキーマ302−1は、アクセススキーマ302−1のユーザグループ104−1用のデータ参照範囲情報330、アクセス権限情報340に基づいて、データスキーマ301の実データ310に対する、フィルタリング処理、アクセス制限を行う(ステップS808)。
サーバ101の制御部201は、アクセススキーマ302−1を介して、データベース(データスキーマ)の実データ310の登録、検索等の操作を行う(ステップS807)。
アクセススキーマ302−1は、アクセススキーマ302−1のユーザグループ104−1用のデータ参照範囲情報330、アクセス権限情報340に基づいて、データスキーマ301の実データ310に対する、フィルタリング処理、アクセス制限を行う(ステップS808)。
次に、アクセススキーマ302のアクセス権限制御や参照範囲制御について、詳しく説明する。
アクセススキーマ302のアクセス権限制御や参照範囲制御は、例えば、View、シノニム、オブジェクト権限設定、トリガーなどを用いて実現する。アクセススキーマ302のデータ参照範囲情報330はView、シノニム等であり、アクセス権限情報340はオブジェクト権限設定、トリガー等である。
データスキーマ301の各実データ310(実表)は、アクセススキーマ302のViewやシノニムに対応しており、データスキーマ301の実データ310(実表)にアクセスする際には、対象の実表に対するView又はシノニムを介してアクセスする。
アクセススキーマ302のViewとシノニムのデータ構成が、データスキーマの実データの構成と同一である。
アクセススキーマ302のViewとシノニムのデータ構成が、データスキーマの実データの構成と同一である。
Viewは、例えば、SQL(Structured Query Language)文が設定されており、このSQL文にて参照できるレコードやカラムがフィルタリングされ、View(仮想表)がデータスキーマ301の実データ310(実表)を基に作成される。Viewを通して、実際にはデータスキーマ301の実データ310に対して参照・更新が行われる。
また、Viewによる参照範囲制限を行う必要のない実データ310(実表)に対しては、シノニムを使用して、データスキーマ301の実表にアクセスする。シノニムは、データスキーマ301の実データ310(実表)をリンク付け、データスキーマ301の実データ310(実表)にアクセスする。
また、Viewによる参照範囲制限を行う必要のない実データ310(実表)に対しては、シノニムを使用して、データスキーマ301の実表にアクセスする。シノニムは、データスキーマ301の実データ310(実表)をリンク付け、データスキーマ301の実データ310(実表)にアクセスする。
また、それぞれViewやシノニムに対して、アクセス権限制御のオブジェクト権限、トリガーを設定する。
オブジェクト権限は、表などのオブジェクトに対するデータの参照/追加/更新/削除などの権限であり、データスキーマ301の実データ310(実表)に対して、アクセススキーマ302からアクセスする際に、データの参照/追加/更新/削除等の可/不可を設定する。
トリガーは、登録/更新/削除権限に応じて、権限を持たない操作が行われた際に、その操作を中止するなどの、登録/更新/削除作業の制限を設定する。トリガーが動作するように設定しているテーブルに対して、データの追加や更新、削除などが行われた際に、設定している制限機能が動作する。
オブジェクト権限は、表などのオブジェクトに対するデータの参照/追加/更新/削除などの権限であり、データスキーマ301の実データ310(実表)に対して、アクセススキーマ302からアクセスする際に、データの参照/追加/更新/削除等の可/不可を設定する。
トリガーは、登録/更新/削除権限に応じて、権限を持たない操作が行われた際に、その操作を中止するなどの、登録/更新/削除作業の制限を設定する。トリガーが動作するように設定しているテーブルに対して、データの追加や更新、削除などが行われた際に、設定している制限機能が動作する。
以上説明したように、本発明の実施の形態によれば、サーバ101の制御部201は、実データ310を記憶するデータスキーマ301と、ユーザグループ104毎のデータスキーマ301に対する実データ310のデータ参照範囲情報330、アクセス権限情報340を記憶する少なくとも1つ以上のアクセススキーマ302と、からなるデータベース300を有し、クライアント端末103からのログイン情報に応じて、当該ユーザのユーザグループ104に対応付けられるアクセススキーマ302に接続し、アクセススキーマ302を介して、データスキーマ301の実データ310をアクセスする。各アクセススキーマ302は、対応付けられたユーザグループ104毎のデータ参照範囲情報330、アクセス権限情報340に基づいて、データスキーマ301の実データ310に対するフィルタリング処理やアクセス制限を行う。
これにより、これらのアクセス制限やフィルタリングロジックをデータベース管理システム(データベース管理手段)で担うようにし、アプリケーション側のロジック実装の負荷を軽減し、プログラム開発効率が向上できる。
また、アクセス制限やフィルタリング処理のビジネスロジックの統一が得られると共に、個々のアプリケーションには手を入れなくて済むので、メンテナンス効率が向上できる。
更に、データの登録・更新時に、権限等の細かなチェック処理をデータベース管理システムが併せて担う分、アプリケーション側での事前チェック処理等が不要になるので、全体の処理パフォーマンスの向上が見込める。
また、アクセススキーマ302内のデータ参照範囲情報330、アクセス権限情報340等の物理テーブル構成やファンクション等は同一であるので、アプリケーション111が権限等を意識せずにアクセスすることを可能とする。
また、アクセス制限やフィルタリング処理のビジネスロジックの統一が得られると共に、個々のアプリケーションには手を入れなくて済むので、メンテナンス効率が向上できる。
更に、データの登録・更新時に、権限等の細かなチェック処理をデータベース管理システムが併せて担う分、アプリケーション側での事前チェック処理等が不要になるので、全体の処理パフォーマンスの向上が見込める。
また、アクセススキーマ302内のデータ参照範囲情報330、アクセス権限情報340等の物理テーブル構成やファンクション等は同一であるので、アプリケーション111が権限等を意識せずにアクセスすることを可能とする。
尚、本実施の形態では、サーバ101に、Webサーバ110、アプリケーション111、データベース管理手段112等を有し、クライアント端末103から、サーバ101にアクセスし、Webサーバ110を介してアプリケーション111を起動したが、予め、クライアント端末103側にアプリケーション111のプログラムをダウンロードにしておき、クライアント端末103上のアプリケーション111の実行可能プログラムを起動し、サーバ101側のデータベース管理手段112のデータベース300(データスキーマ301)をアクセスしてもよい。
尚、図8に示す処理を行うプログラムはCD−ROM等の記録媒体に保持させて流通させてもよいし、このプログラムを通信回線を介して送受することもできる。
以上、添付図面を参照しながら、本発明に係るデータベースシステム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
100………データベースシステム
101………サーバ
103………クライアント端末
104………ユーザグループ
109………ネットワーク
110………Webサーバ
111………アプリケーション
112………データベース管理手段
120………Webブラウザ
201、401………制御部
202、402………記憶部
300………データベース
301………データスキーマ
302………アクセススキーマ
310………実データ
311………情報
315………アクセススキーマ接続情報
320………ユーザ情報
321………ユーザID
322………ユーザグループID
323………パスワード
325………管理スキーマ
330………データ参照範囲情報
340………アクセス権限情報
101………サーバ
103………クライアント端末
104………ユーザグループ
109………ネットワーク
110………Webサーバ
111………アプリケーション
112………データベース管理手段
120………Webブラウザ
201、401………制御部
202、402………記憶部
300………データベース
301………データスキーマ
302………アクセススキーマ
310………実データ
311………情報
315………アクセススキーマ接続情報
320………ユーザ情報
321………ユーザID
322………ユーザグループID
323………パスワード
325………管理スキーマ
330………データ参照範囲情報
340………アクセス権限情報
Claims (9)
- クライアント端末にネットワークを介して接続され、データを記憶する少なくとも1つのデータベースを有し、前記データベースを操作、管理するサーバであって、
前記データベースは、
前記データを記憶するデータスキーマと、ユーザグループ毎の前記データスキーマに対する前記データの参照範囲情報、アクセス権限情報を記憶する少なくとも1つのアクセススキーマと、からなり、
前記クライアント端末からのログイン情報に応じて、当該ユーザのユーザグループに対応付けられるアクセススキーマに接続する接続手段と、
前記アクセススキーマを介して、前記データスキーマのデータをアクセスするアクセス手段と、
を備え、
前記アクセススキーマは、
前記アクセス権限情報に基づいて、前記データスキーマのデータに対するアクセス制限を行うアクセス制限手段と、
前記参照範囲情報に基づいて、前記データスキーマのデータに対するフィルタリング処理を行うフィルタリング手段と、
を具備することを特徴とするデータベースサーバ。 - 前記アクセス権限情報は、前記データスキーマのデータに対して、値の制限情報、読み取り、書き込み、削除等の属性の制限情報の少なくともいずれかを有することを特徴とする請求項1記載のデータベースサーバ。
- 前記参照範囲情報は、前記データスキーマのデータに対して、所定のレコードデータ及び/又はカラムデータのみを参照可能とする情報を有することを特徴とする請求項1記載のデータベースサーバ。
- 前記アクセススキーマのデータ構成は、前記データスキーマの実データのデータ構成と同一であることを特徴とする請求項1から請求項3までのいずれかに記載のデータベースサーバ。
- 前記アクセス手段は、
前記データベースのデータの検索、閲覧、登録等の少なくともいずれかの操作であることを特徴とする請求項1記載のデータベースサーバ。 - ユーザ毎にログイン情報とユーザグループとを対応付けたユーザ情報を保持し、
前記接続手段は、
前記ユーザ情報に基づいて、前記ログイン情報から前記ユーザグループを特定することを特徴とする請求項1記載のデータベースサーバ。 - クライアント端末と、データを記憶する少なくとも1つのデータベースを有し、前記データベースを操作、管理するデータベースサーバと、がネットワークを介して接続されるシステムであって、
前記データベースは、
前記データを記憶するデータスキーマと、ユーザグループ毎の前記データスキーマに対する前記データの参照範囲情報、アクセス権限情報を記憶する少なくとも1つのアクセススキーマと、からなり、
前記データベースサーバは、
前記クライアント端末からのログイン情報に応じて、当該ユーザのユーザグループに対応付けられるアクセススキーマに接続する接続手段と、
前記アクセススキーマを介して、前記データスキーマのデータをアクセスするアクセス手段と、
を備え、
前記アクセススキーマは、
前記アクセス権限情報に基づいて、前記データスキーマのデータに対するアクセス制限を行うアクセス制限手段と、
前記参照範囲情報に基づいて、前記データスキーマのデータに対するフィルタリング処理を行うフィルタリング手段と、
を具備することを特徴とするデータベースシステム。 - コンピュータを請求項1から請求項6のいずれかに記載のデータベースサーバとして機能させるプログラム。
- コンピュータを請求項1から請求項6のいずれかに記載のデータベースサーバとして機能させるプログラムを記録した記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005083639A JP2006268265A (ja) | 2005-03-23 | 2005-03-23 | データベースシステム、データベースサーバ、プログラム、及び、記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005083639A JP2006268265A (ja) | 2005-03-23 | 2005-03-23 | データベースシステム、データベースサーバ、プログラム、及び、記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006268265A true JP2006268265A (ja) | 2006-10-05 |
Family
ID=37204203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005083639A Pending JP2006268265A (ja) | 2005-03-23 | 2005-03-23 | データベースシステム、データベースサーバ、プログラム、及び、記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006268265A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008234286A (ja) * | 2007-03-20 | 2008-10-02 | Dainippon Printing Co Ltd | データベースシステム、データベースサーバ、プログラム、及び、記録媒体 |
| JP2009217730A (ja) * | 2008-03-12 | 2009-09-24 | Micro Cad Co Ltd | スキーマを用いた情報セキュリティ機構 |
| JP2010026653A (ja) * | 2008-07-16 | 2010-02-04 | Fujitsu Ltd | データアクセス制御方法、データアクセス制御装置、及びプログラム |
| JP2011060174A (ja) * | 2009-09-14 | 2011-03-24 | Hitachi Information Systems Ltd | マルチテナントデータベースシステムとアクセス制御方法およびプログラム |
| JP2013134731A (ja) * | 2011-12-27 | 2013-07-08 | Nippon Telegr & Teleph Corp <Ntt> | データ蓄積システムとそのデータアクセス制御方法 |
| WO2017090142A1 (ja) * | 2015-11-26 | 2017-06-01 | 株式会社野村総合研究所 | サービス提供システム |
-
2005
- 2005-03-23 JP JP2005083639A patent/JP2006268265A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008234286A (ja) * | 2007-03-20 | 2008-10-02 | Dainippon Printing Co Ltd | データベースシステム、データベースサーバ、プログラム、及び、記録媒体 |
| JP2009217730A (ja) * | 2008-03-12 | 2009-09-24 | Micro Cad Co Ltd | スキーマを用いた情報セキュリティ機構 |
| JP2010026653A (ja) * | 2008-07-16 | 2010-02-04 | Fujitsu Ltd | データアクセス制御方法、データアクセス制御装置、及びプログラム |
| JP2011060174A (ja) * | 2009-09-14 | 2011-03-24 | Hitachi Information Systems Ltd | マルチテナントデータベースシステムとアクセス制御方法およびプログラム |
| JP2013134731A (ja) * | 2011-12-27 | 2013-07-08 | Nippon Telegr & Teleph Corp <Ntt> | データ蓄積システムとそのデータアクセス制御方法 |
| WO2017090142A1 (ja) * | 2015-11-26 | 2017-06-01 | 株式会社野村総合研究所 | サービス提供システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9092201B2 (en) | Platform for development and deployment of system administration solutions | |
| US20170242888A1 (en) | Method and System for Centralized Control of Database Applications | |
| JP5200721B2 (ja) | 制御方法、制御装置、及びプログラム | |
| EP2896007B1 (en) | External content libraries | |
| CA2486851A1 (en) | Method and system for multiple virtual portals | |
| JP2009187414A (ja) | 分析用属性項目抽出プログラム、分析用属性項目抽出方法、及び情報分析装置 | |
| JP2006268265A (ja) | データベースシステム、データベースサーバ、プログラム、及び、記録媒体 | |
| JP5064912B2 (ja) | 管理装置及びネットワークシステム及びプログラム及び管理方法 | |
| US20060218208A1 (en) | Computer system, storage server, search server, client device, and search method | |
| JP2008234286A (ja) | データベースシステム、データベースサーバ、プログラム、及び、記録媒体 | |
| JP2007011942A (ja) | ユーザー認証情報連携システム | |
| JP4611778B2 (ja) | データベースシステム、データベース検索サーバ、プログラム、及び記録媒体 | |
| JP5141164B2 (ja) | データベースシステム、サーバ、地域別による情報閲覧制限方法、プログラム、及び記録媒体 | |
| JP2011186769A (ja) | コンテンツ管理システム、コンテンツ管理装置、及びアクセス制御方法 | |
| JP2006252255A (ja) | データベースシステム、データベース検索サーバ、プログラム、及び記録媒体 | |
| JP2009086815A (ja) | データベースシステム、サーバ、クライアント端末、検索条件の継承方法、プログラム、及び記録媒体 | |
| JP2002288405A (ja) | プロジェクト管理方法、プロジェクト管理サーバ、受付サーバ及びプログラム | |
| JP2008065656A (ja) | データベースシステム、サムネイル画像提供サーバ、プログラム、及び記録媒体 | |
| JP5197179B2 (ja) | データ管理装置 | |
| US11983292B2 (en) | Native applications using database roles | |
| US11593509B1 (en) | Native applications using database roles | |
| WO2023188092A1 (ja) | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 | |
| EP4174705A1 (en) | Native applications using database roles | |
| Kromann et al. | The Many MySQL Clients | |
| JP2007157037A (ja) | データベースのアクセス環境構築方法、アクセス環境構築プログラム、およびアクセス環境構築装置 |