JP2007086893A - Access control method - Google Patents

Access control method Download PDF

Info

Publication number
JP2007086893A
JP2007086893A JP2005272215A JP2005272215A JP2007086893A JP 2007086893 A JP2007086893 A JP 2007086893A JP 2005272215 A JP2005272215 A JP 2005272215A JP 2005272215 A JP2005272215 A JP 2005272215A JP 2007086893 A JP2007086893 A JP 2007086893A
Authority
JP
Japan
Prior art keywords
user
matrix
data
folder
coordinate information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005272215A
Other languages
Japanese (ja)
Inventor
Rie Hakamata
理恵 袴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2005272215A priority Critical patent/JP2007086893A/en
Publication of JP2007086893A publication Critical patent/JP2007086893A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To simplify access control information of each resource, and implement centralized management of user information. <P>SOLUTION: A system enables user access control by inquiring a user's attributes of a directory server in response to a request for the user's coordinate information from a data, folder or service management means access-requested by the user, dynamically generating the user's access control matrix from a matrix template according to the acquired user's attribute information, computing the user's coordinate information from the matrix, and comparing it with coordinate information held by the data, folder or service management to determine and control the user's access authority. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ディレクトリサーバに一元管理されているユーザ情報を元に、アクセスコントロールを行うシステムに関する発明である。   The present invention relates to a system that performs access control based on user information that is centrally managed by a directory server.

従来、データやフォルダ、サービスといったリソースにユーザがアクセスするときにそのユーザの権限を決定するアクセスコントロールを行う際に、データやフォルダ、サービスといったリソース毎に、ユーザのアクセス権限に関するアクセスコントロール情報を保持しているのが一般的であった。   Conventionally, when a user accesses a resource such as data, folder, or service, access control information related to the user's access authority is held for each resource such as data, folder, or service when performing access control that determines the user's authority It was common to do.

しかし、この方式では、これらデータやフォルダ、サービスといった各リソースを利用するユーザの規模が大きくなった場合には、各リソースが保持しなければならないアクセスコントロール情報は膨大なものになる。   However, in this method, when the scale of users who use these resources such as data, folders, and services increases, the access control information that each resource must hold becomes enormous.

また、複数のリソースで個々にアクセスコントロール情報を持っていることによって、よりアクセスコントロール情報は膨大かつ、ユーザの属性変更によるアクセスコントロール権限の変更等が発生した場合、この修正作業が非常に煩雑になり、管理コストが増大しているという問題点があった。   Also, by having access control information individually for multiple resources, the access control information is enormous, and if the access control authority changes due to user attribute changes, this correction work becomes very complicated. Therefore, there has been a problem that the management cost has increased.

従来例としては、例えば特許文献1をあげることが出来る。
特開2003−280990号公報 For example, Patent Document 1 can be cited as a conventional example.
JP 2003-280990 A

前項で述べたように、従来の方式では、これらデータやフォルダ、サービスといった各リソースを利用するユーザの規模が大きくなった場合には、各リソースが保持しなければならないアクセスコントロール情報は膨大なものになる。   As described in the previous section, in the conventional method, when the size of users who use each resource such as data, folders, and services becomes large, the access control information that each resource must hold is enormous. become.

また、複数のリソースで個々にアクセスコントロール情報を持っていることによって、よりアクセスコントロール情報は膨大かつ、ユーザの属性変更によるアクセスコントロール権限の変更等が発生した場合、この修正作業が非常に煩雑になり、管理コストが増大しているという問題点があった。   Also, by having access control information individually for multiple resources, the access control information is enormous, and if the access control authority changes due to user attribute changes, this correction work becomes very complicated. Therefore, there has been a problem that the management cost has increased.

本発明では、上記問題を解決し、各リソースの持つアクセスコントロール情報を簡素化し、かつユーザ情報の一元管理を実現するものである。   The present invention solves the above problems, simplifies access control information possessed by each resource, and realizes unified management of user information.

ユーザからのアクセス要求のあった、データあるいはフォルダ、サービス管理手段からの該ユーザの座標情報の要求に基づき、ディレクトリサーバにユーザの属性を問い合わせ、入手した該ユーザの属性情報に基づき、マトリクステンプレートから、該ユーザのアクセスコントロールマトリクスをダイナミックに生成し、そのマトリクスから、該ユーザがもつ座標情報を求め、データあるいはフォルダ、サービス管理がもつ座標情報と比較する事により、ユーザのアクセス権限を判断し、コントロールする事を可能することによりユーザのアクセスコントロールを可能としたシステムを実現したものである。   Based on the user's coordinate information request from the data or folder or service management means requested by the user, the directory server is inquired of the user's attribute, and based on the acquired user attribute information, the matrix template , Dynamically generating an access control matrix of the user, obtaining coordinate information possessed by the user from the matrix, determining the access authority of the user by comparing with the coordinate information possessed by the data or folder, service management, This is a system that enables user access control by enabling control.

以上説明したように、本発明によれば、ユーザからのアクセス要求のあった、データあるいはフォルダ、サービス管理手段からの該ユーザの座標情報の要求に基づき、ディレクトリサーバにユーザの属性を問い合わせ、入手した該ユーザの属性情報に基づき、マトリクステンプレートから、該ユーザのアクセスコントロールマトリクスをダイナミックに生成し、そのマトリクスから、該ユーザがもつ座標情報を求め、データあるいはフォルダ、サービス管理がもつ座標情報と比較する事によりユーザのアクセス権限を判断し、コントロールする事を可能することによりユーザのアクセスコントロールを行うことが可能となる。   As described above, according to the present invention, based on a request for the coordinate information of the user from the data or folder or service management means requested by the user, the directory server is inquired about the user attribute and obtained. Based on the attribute information of the user, the access control matrix of the user is dynamically generated from the matrix template, the coordinate information of the user is obtained from the matrix, and compared with the coordinate information of the data, folder, or service management. By doing so, it becomes possible to judge and control the access authority of the user, thereby performing the access control of the user.

以下、図面を用いて本発明の実施例について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1と図2は、本発明の一実施例のネットワーク構成について記した図である。   1 and 2 are diagrams showing a network configuration according to an embodiment of the present invention.

図1において101はディレクトリサーバである。このサーバは、ユーザに関する属性情報の地減管理を行っている。   In FIG. 1, reference numeral 101 denotes a directory server. This server performs land reduction management of attribute information related to users.

このディレクトリサーバ101は、マトリクスマネージャ103から指定されたユーザに関する属性情報を元にして、保持しているマトリクステンプレートに基づいて、指定されたユーザのユーザ情報をテンプレートに当てはめた該ユーザのアクセスコントロールマトリクスをダイナミックに生成し、ユーザ情報の論理積がコントロールマトリクス上のどの座標に位置するかを算出する。   The directory server 101 is based on the attribute information related to the user specified from the matrix manager 103, and based on the matrix template that is held, the user access control matrix of the user applied to the template. Is dynamically generated to calculate at which coordinates on the control matrix the logical product of the user information is located.

リソース管理システム105は、管理している各リソースに対して、コントロールマトリクス上のどの座標に位置するユーザに対して、どんなアクセス権を許すか、を管理し、マトリクスマネージャ103から送られてきた、ユーザの座標データと各リソースに対して、特定の権限を持つとあらかじめ指定された座標データと照合し、該ユーザのアクセス権を決定する。   The resource management system 105 manages what kind of access rights are allowed for a user located at which coordinate on the control matrix for each managed resource, and is sent from the matrix manager 103. The user's access right is determined by collating with the coordinate data designated in advance as having specific authority for the user's coordinate data and each resource.

図1に於いては、リソース管理システム105は、ドキュメントデータおよびそれを格納するフォルダを管理するシステムであり、リソース管理システム105で管理されている個々のフォルダやデータに関して、特権あるいは閲覧を許可するユーザが持つべき座標をこれらのリソース毎に管理している。   In FIG. 1, the resource management system 105 is a system for managing document data and a folder for storing the document data. The resource management system 105 permits privileges or browsing for individual folders and data managed by the resource management system 105. The coordinates that the user should have are managed for each of these resources.

クライアントコンピュータ106は、当アクセスコントロールシステムによって管理されたリソース管理システムのリソースを使用する際にユーザが使用する端末である。   The client computer 106 is a terminal used by the user when using the resource of the resource management system managed by the access control system.

図2は、リソース管理システムが管理するリソースは、図1のように特定のフォルダやデータにとどまらず、ユーザに提供するサービスにも適用できる事を図示したものである。   FIG. 2 illustrates that resources managed by the resource management system can be applied not only to specific folders and data as shown in FIG. 1 but also to services provided to users.

ここで提供されるサービスの一つとして、図1で解説したようなドキュメント管理システムを実装する事も可能である。   As one of the services provided here, it is possible to implement a document management system as described in FIG.

図1、図2ともに、ディレクトリサーバ101、マトリクスマネージャ103、リソース管理システム105は、別々のノードとして図示されているが、ある1つのノードが、2つもしくは3つの機能を兼ね備える事も可能である。   In both FIG. 1 and FIG. 2, the directory server 101, the matrix manager 103, and the resource management system 105 are illustrated as separate nodes. However, a single node may have two or three functions. .

図1、図2について、アクセスコントロールの流れを説明する。   The flow of access control will be described with reference to FIGS.

クライアントコンピュータ106から、リソース管理システム105あるいは205で管理している特定リソースへのアクセス要求があった場合、リソース管理システム105あるいは205は、クライアントコンピュータから送られてきたユーザ情報、もしくはリソース管理システム105あるいは205にログインする、というステップがある場合には、ログイン時に得られたユーザ情報を元に、マトリクスマネージャ103に対して、当該ユーザの座標情報の取得依頼を行う。   When there is an access request from the client computer 106 to a specific resource managed by the resource management system 105 or 205, the resource management system 105 or 205 receives the user information sent from the client computer or the resource management system 105. Alternatively, if there is a step of logging in to 205, the matrix manager 103 is requested to acquire coordinate information of the user based on the user information obtained at the time of login.

このステップは、リソースにアクセスする前のステップとして、前述したログインステップが存在する場合には、当該ユーザのログイン時に、あらかじめマトリクスマネージャ103から当該ユーザの座標情報を取得して、メモリ内に保持して各リソースへのアクセス時のオーバヘッドを軽減するような実装も可能である。   In this step, when the above-described login step exists as a step before accessing the resource, the coordinate information of the user is acquired from the matrix manager 103 in advance and stored in the memory when the user logs in. Therefore, it is possible to reduce the overhead when accessing each resource.

ユーザの座標情報の取得依頼を受けたマトリクスマネージャ103は、ディレクトリサーバ101から、当該ユーザの属性情報を取得して、各リソース毎に定義された、あるいは共通のマトリクステンプレート(図5)上に、当該ユーザの属性情報をマッピングする事により、ダイナミックにアクセスコントロールマトリクス(図6、図7)を生成する。   Upon receiving the user coordinate information acquisition request, the matrix manager 103 acquires the attribute information of the user from the directory server 101, and on the matrix template (FIG. 5) defined or shared for each resource. By mapping the attribute information of the user, an access control matrix (FIGS. 6 and 7) is dynamically generated.

マトリクスマネージャ103上で作成されたアクセスコントロールマトリクス(図6、図7)から、当該ユーザの座標情報(当該ユーザのもつ属性がマトリクス上で交わる座標)の一覧をリソース管理システム105あるいは205に返す。   From the access control matrix (FIGS. 6 and 7) created on the matrix manager 103, a list of the coordinate information of the user (the coordinates at which the attributes of the user intersect on the matrix) is returned to the resource management system 105 or 205.

マトリクスマネージャ103から当該ユーザの座標情報の一覧を取得したリソース管理システム105または205は、管理するリソースの持つ座標データ管理テーブルに基づき、当該ユーザのアクセス権限を決定する。   The resource management system 105 or 205 that acquired the coordinate information list of the user from the matrix manager 103 determines the access authority of the user based on the coordinate data management table of the managed resource.

図3は、本実施例におけるマトリクスマネージャ103の機能ブロック図である。   FIG. 3 is a functional block diagram of the matrix manager 103 in this embodiment.

図3に於いて、マトリクスマネージャ103は、通信制御部301を通じて、ネットワークに接続されている。   In FIG. 3, the matrix manager 103 is connected to the network through the communication control unit 301.

302は運用管理部で、このマトリクスマネージャ103の動作に関するログの管理や、当該マトリクスマネージャ103にログインし設定変更等行う管理者ユーザの管理とその記録を行う。   An operation management unit 302 manages logs related to the operation of the matrix manager 103, and manages and records administrator users who log in to the matrix manager 103 and change settings.

また、運用管理部302は、情報提供部303を通じて、マトリクスマネージャ103の動作に対する設定や、マトリクステンプレートの設定などを行う。   In addition, the operation management unit 302 performs settings for the operation of the matrix manager 103, setting of a matrix template, and the like through the information providing unit 303.

ユーザ属性情報取得部304は、クライアントコンピュータ106からアクセス要求のあったユーザについての属性情報を、ディレクトリサーバ101に対して、通信制御部301、データ送信部305を介して行う。   The user attribute information acquisition unit 304 performs attribute information on a user who has requested access from the client computer 106 to the directory server 101 via the communication control unit 301 and the data transmission unit 305.

ユーザ属性情報取得部304で取得したユーザ属性情報と、マトリクスDB管理装置351で管理されているマトリクステンプレートを元にして、ダイナミックマトリクス生成部306は、コントロールマトリクスを生成する。   Based on the user attribute information acquired by the user attribute information acquisition unit 304 and the matrix template managed by the matrix DB management device 351, the dynamic matrix generation unit 306 generates a control matrix.

ダイナミックマトリクス生成部306で生成したマトリクスに基づき、情報提供部302は、該ユーザの座標情報を作成し、データ送信部305と通信制御部301を通じて、リソース管理システムに、該ユーザの座標情報を送る。   Based on the matrix generated by the dynamic matrix generation unit 306, the information providing unit 302 creates the coordinate information of the user, and sends the coordinate information of the user to the resource management system through the data transmission unit 305 and the communication control unit 301. .

図4は、本実施例に於けるリソース管理システム105および205の機能ブロック図である。   FIG. 4 is a functional block diagram of the resource management systems 105 and 205 in the present embodiment.

図4に於いて、通信制御部401は、リソース管理システム105または205と他のノードとの通信を司る。   In FIG. 4, the communication control unit 401 manages communication between the resource management system 105 or 205 and other nodes.

運用管理部402は、リソース管理システム105または205の動作の動作に関するログの管理や、当該ノードにログインし設定変更等行う管理者ユーザの管理とその記録を行う。   The operation management unit 402 manages logs related to the operation of the resource management system 105 or 205, and manages and records administrator users who log in to the node and change settings.

403は、情報提供部で、リソース管理システム105および205が、リソース管理装置452を用いて管理しているリソース、例えばドキュメントデータ、およびそれを格納するフォルダ、もしくはサービスをクライアントに対して提供する。   Reference numeral 403 denotes an information providing unit that provides the client with resources managed by the resource management systems 105 and 205 using the resource management device 452, such as document data, and folders or services for storing the data.

404は、座標データ比較部で、マトリクスマネージャ103から受け取ったユーザの座標データと、リソース管理システム105および205が管理している各リソースに関する座標データ管理装置451が管理している、アクセス権限者として定義されている座標データとの比較を行い、該ユーザのアクセス権限の確認を行う。   Reference numeral 404 denotes a coordinate data comparison unit as an access authorized person managed by the coordinate data management device 451 related to the user coordinate data received from the matrix manager 103 and each resource managed by the resource management systems 105 and 205. Comparison with the defined coordinate data is performed, and the access authority of the user is confirmed.

情報提供部403は、この座標データの比較結果に基づいて、リソース管理装置452で管理されているリソース(ドキュメントおよびこれを格納するフォルダ、、またはサービス)を該ユーザに提供する。   Based on the comparison result of the coordinate data, the information providing unit 403 provides the user with the resources (documents and folders storing the documents or services) managed by the resource management device 452.

図5は、本実施例に於ける、マトリクステンプレートの一例である。   FIG. 5 is an example of a matrix template in the present embodiment.

本実施例では、マトリクステンプレートは2次元のものを提示しているが、当該システムの利用形態によっては、3次元マトリクスを用いる事も可能である。   In this embodiment, a two-dimensional matrix template is presented, but a three-dimensional matrix can also be used depending on the usage form of the system.

図5では、横軸に所属組織、縦軸に役職としてテンプレートを定義している。ここでは表形式で記述されているが、これは管理者ユーザからみたときのGUI的なわかりやすさのためであり、実際は、必ずしも、表形式でデータ管理されている訳ではない。   In FIG. 5, a template is defined with a belonging organization on the horizontal axis and a post on the vertical axis. Although it is described in a tabular format here, this is for ease of understanding of the GUI when viewed from the administrator user, and in fact, data management is not necessarily performed in the tabular format.

図6は、図5のマトリクステンプレートにユーザの属性情報を反映させ生成したマトリクスの一例で、マトリクスDB管理装置351によって管理されている。   FIG. 6 is an example of a matrix generated by reflecting user attribute information in the matrix template of FIG. 5, and is managed by the matrix DB management device 351.

該ユーザ(以下ユーザA)は、組織Aの部長であり、組織Bの課長を兼任し、プロジェクトAのプロジェクトチーフを務め、タスクフォースAに参加し、ワークグループBではグループリーダをつとめている。   The user (hereinafter referred to as user A) is a department manager of organization A, serves as a section manager of organization B, serves as project chief of project A, participates in task force A, and serves as a group leader in work group B.

これを座標で表すと、ユーザAは、(1,1)、(2,2)、(3,3)、(4,5)、(5,4)の座標情報をもつユーザという事になる。   If this is expressed in coordinates, the user A is a user having coordinate information of (1,1), (2,2), (3,3), (4,5), (5,4). .

次に、図7は、同じく図5のマトリクステンプレートにユーザの属性情報を反映させ生成したマトリクスの一例である。   Next, FIG. 7 is an example of a matrix generated by reflecting user attribute information in the matrix template of FIG.

該ユーザ(以下ユーザB)は、組織Aの一般社員であり、プロジェクトAのグループリーダであり、タスクフォースAとワークグループBに参加している。   The user (hereinafter referred to as user B) is a general employee of organization A, a group leader of project A, and participates in task force A and work group B.

これを座標で表すと、ユーザBは、(1,5)、(3,4)、(4,5)、(5,5)の座標情報を持つユーザと言う事になる。   When this is expressed in coordinates, the user B is said to be a user having coordinate information of (1,5), (3,4), (4,5), (5,5).

図8は、座標データ管理テーブルの一例である。   FIG. 8 is an example of a coordinate data management table.

この例では、フォルダAに対する、アクセスコントロール情報を表現している。座標の指定には一般的な正規表現を使用する事ができる。   In this example, access control information for folder A is represented. A general regular expression can be used to specify the coordinates.

フォルダAに対して、それ自身を削除する権限があるのは、(1,1)の座標をもつユーザである。これを図5のマトリクステンプレートの一例に当てはめると、(1,1)の座標を持つのは、組織Aの部長であり、これを生成したマトリクスの例である図6、図7に当てはめると、ユーザAがこれに該当することになる。   The user with the coordinates (1,1) has the authority to delete folder A. If this is applied to an example of the matrix template of FIG. 5, it is the department manager of the tissue A that has the coordinates (1,1), and if applied to FIG. 6 and FIG. 7 which are examples of the generated matrix, User A corresponds to this.

また、読み出しが可能なのは、(1-2,*)であり、これは、図5によれば、組織Aまたは組織Bに所属するユーザにその権限があるので、図6と図7の例のユーザA、ユーザBともにこれに該当する。   Further, it is possible to read out (1-2, *), and according to FIG. 5, since the user belonging to the organization A or the organization B has the authority, the example of FIG. 6 and FIG. This applies to both user A and user B.

また、この座標の表記自体の論理積または論理和を用いて、アクセス権を定義する事も可能である。例えば、(1-2,1-2)&&(3,*)という座標データは、図5によれば、組織Aまたは組織Bの課長、部長であり、同時にプロジェクトAに在籍しているユーザを示す。   It is also possible to define the access right using the logical product or logical sum of the coordinate notation itself. For example, according to FIG. 5, the coordinate data (1-2,1-2) && (3, *) is the section manager or department manager of organization A or organization B, and the users who are enrolled in project A Show.

図9も、同じく座標管理テーブルの一例である。   FIG. 9 is also an example of a coordinate management table.

この例ではサービスBに対するアクセスコントロール情報を表現している。アプリケーションサービスBに対して実行権があるのは、(1-2,*)の座標を持つユーザであり、図5のマトリクステンプレートの例をとると、組織Aまたは組織Bに所属するユーザということになる。   In this example, access control information for service B is represented. The user who has the execution right for the application service B is a user having the coordinates of (1-2, *). In the example of the matrix template in FIG. 5, the user who belongs to the organization A or the organization B become.

このサービスの実行結果に対して何らかの承認を行う権限があるのは、(1-2,1-2)で、組織Aまたは組織Bの部長あるいは課長である。   It is (1-2, 1-2) who has the authority to make some approval for the execution result of this service, and the department manager or section manager of organization A or organization B.

アクセスコントロールシステム構成の一例1。Example 1 of access control system configuration. アクセスコントロールシステム構成の一例2。Example 2 of access control system configuration. 本実施例におけるマトリクスマネージャ103の機能ブロック図。The functional block diagram of the matrix manager 103 in a present Example. 本実施例に於けるリソース管理システム105および205の機能ブロック図。The functional block diagram of the resource management systems 105 and 205 in a present Example. マトリクステンプレートの一例。An example of a matrix template. 生成したマトリクスの例1。Example 1 of generated matrix. 生成したマトリクスの例2。Example 2 of generated matrix. 座標データ管理テーブルの一例1。An example 1 of a coordinate data management table. 座標データ管理テーブルの一例2。An example 2 of a coordinate data management table.

Claims (3)

アクセスコントロールマトリクスを用い、各データあるいはフォルダ、サービス毎に、ユーザがマトリクス上のどの座標に位置するかによって、該ユーザに付与する権限を決定するアクセスコントロール方式であって、
アクティブコントロールマトリクス手段は、ユーザからのアクセス要求のあった、データあるいはフォルダ、サービス管理手段からの該ユーザの座標情報の要求に基づき、ディレクトリサーバに該ユーザの属性を問い合わせる手段を有し、
前記アクティブコントロールマトリクス手段は、ディレクトリサーバから入手した該ユーザの属性情報に基づき、マトリクステンプレートから、該ユーザのアクセスコントロールマトリクスをダイナミックに生成する手段を有し、
前記アクティブコントロールマトリクス手段は、データあるいはフォルダ、サービス管理手順に生成した該ユーザのアクティブコントロールマトリクスへ、該ユーザがもつ座標情報を送信する手段を有し、
データあるいはフォルダ、サービス管理手段は、データあるいはフォルダ、サービス毎に、どの座標情報を持ったユーザにどのような権限を許可するかを管理する手段を有し、
前記アクティブコントロールマトリクス手段から送られて来た座標情報を元に、データあるいはフォルダ、サービス毎に持つ座標情報と、ユーザのアクセス権限を判断し、コントロールする事を可能としたアクセスコントロール方式。 Using an access control matrix, for each data or folder, service, an access control method for determining the authority to be given to the user depending on which coordinates on the matrix the user is located on,
The active control matrix means has a means for inquiring the attribute of the user to the directory server based on the request for the coordinate information of the user from the data or folder, the service management means, and the access request from the user,
The active control matrix means includes means for dynamically generating the user access control matrix from a matrix template based on the user attribute information obtained from the directory server.
The active control matrix means includes means for transmitting coordinate information possessed by the user to the active control matrix of the user generated in the data or folder or service management procedure,
The data or folder or service management means has means for managing what authority is granted to a user having which coordinate information for each data or folder or service,
An access control method that makes it possible to determine and control the coordinate information held for each data, folder, or service and the access authority of the user based on the coordinate information sent from the active control matrix means. アクセスコントロールマトリクスを用い、各データあるいはフォルダ、サービス毎に、ユーザがマトリクス上のどの座標に位置するかによって、該ユーザに付与する権限を決定するアクセスコントロールシステムの制御方式であって、
アクティブコントロールマトリクス手段は、ユーザからのアクセス要求のあった、データあるいはフォルダ、サービス管理手段からの該ユーザの座標情報の要求に基づき、ディレクトリサーバに該ユーザの属性を問い合わせる手段を有し、
前記アクティブコントロールマトリクス手段は、ディレクトリサーバから入手した該ユーザの属性情報に基づき、マトリクステンプレートから、該ユーザのアクセスコントロールマトリクスをダイナミックに生成する手段を有し、
前記アクティブコントロールマトリクス手段は、データあるいはフォルダ、サービス管理手順に生成した該ユーザのアクティブコントロールマトリクスへ、該ユーザがもつ座標情報を送信する手段を有し、
データあるいはフォルダ、サービス管理手段は、データあるいはフォルダ、サービス毎に、どの座標情報を持ったユーザにどのような権限を許可するかを管理する手段を有し、
前記アクティブコントロールマトリクス手段から送られて来た座標情報を元に、データあるいはフォルダ、サービス毎に持つ座標情報と、ユーザのアクセス権限を判断し、コントロールする事を可能としたアクセスコントロールシステムの制御方法。 A control method of an access control system that uses an access control matrix to determine the authority to be given to the user depending on which coordinate on the matrix the user is located for each data or folder, service,
The active control matrix means has a means for inquiring the attribute of the user to the directory server based on the request for the coordinate information of the user from the data or folder, the service management means, and the access request from the user,
The active control matrix means includes means for dynamically generating the user access control matrix from a matrix template based on the user attribute information obtained from the directory server.
The active control matrix means includes means for transmitting coordinate information possessed by the user to the active control matrix of the user generated in the data or folder or service management procedure,
The data or folder or service management means has means for managing what authority is granted to a user having which coordinate information for each data or folder or service,
A control method for an access control system capable of determining and controlling the coordinate information held for each data, folder, or service and the access authority of the user based on the coordinate information sent from the active control matrix means . アクセスコントロールマトリクスを用い、各データあるいはフォルダ、サービス毎に、ユーザがマトリクス上のどの座標に位置するかによって、該ユーザに付与する権限を決定するアクセスコントロールシステムの制御方式であって、
アクティブコントロールマトリクス手段は、ユーザからのアクセス要求のあった、データあるいはフォルダ、サービス管理手段からの該ユーザの座標情報の要求に基づき、ディレクトリサーバに該ユーザの属性を問い合わせる手段を有し、
前記アクティブコントロールマトリクス手段は、ディレクトリサーバから入手した該ユーザの属性情報に基づき、マトリクステンプレートから、該ユーザのアクセスコントロールマトリクスをダイナミックに生成する手段を有し、
前記アクティブコントロールマトリクス手段は、データあるいはフォルダ、サービス管理手順に生成した該ユーザのアクティブコントロールマトリクスへ、該ユーザがもつ座標情報を送信する手段を有し、
データあるいはフォルダ、サービス管理手段は、データあるいはフォルダ、サービス毎に、どの座標情報を持ったユーザにどのような権限を許可するかを管理する手段を有し、
前記アクティブコントロールマトリクス手段から送られて来た座標情報を元に、データあるいはフォルダ、サービス毎に持つ座標情報と、ユーザのアクセス権限を判断し、コントロールする事を可能としたアクセスコントロールシステムの制御方法を含む読み出し可能な記憶媒体。 A control method of an access control system that uses an access control matrix to determine the authority to be given to the user depending on which coordinate on the matrix the user is located for each data or folder, service,
The active control matrix means has a means for inquiring the attribute of the user to the directory server based on the request for the coordinate information of the user from the data or folder, the service management means, and the access request from the user,
The active control matrix means includes means for dynamically generating the user access control matrix from a matrix template based on the user attribute information obtained from the directory server.
The active control matrix means includes means for transmitting coordinate information possessed by the user to the active control matrix of the user generated in the data or folder or service management procedure,
The data or folder or service management means has means for managing what authority is granted to a user having which coordinate information for each data or folder or service,
A control method for an access control system capable of determining and controlling the coordinate information held for each data, folder, or service and the access authority of the user based on the coordinate information sent from the active control matrix means A readable storage medium including:
JP2005272215A 2005-09-20 2005-09-20 Access control method Withdrawn JP2007086893A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005272215A JP2007086893A (en) 2005-09-20 2005-09-20 Access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005272215A JP2007086893A (en) 2005-09-20 2005-09-20 Access control method

Publications (1)

Publication Number Publication Date
JP2007086893A true JP2007086893A (en) 2007-04-05

Family

ID=37973845

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005272215A Withdrawn JP2007086893A (en) 2005-09-20 2005-09-20 Access control method

Country Status (1)

Country Link
JP (1) JP2007086893A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009193289A (en) * 2008-02-14 2009-08-27 Nec Corp Access right management method, access management system and access right management program
JP2011128703A (en) * 2009-12-15 2011-06-30 Kddi Corp Access control device, access control method, and program
JP2012003362A (en) * 2010-06-15 2012-01-05 Chugoku Electric Power Co Inc:The Content server and access control system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009193289A (en) * 2008-02-14 2009-08-27 Nec Corp Access right management method, access management system and access right management program
JP2011128703A (en) * 2009-12-15 2011-06-30 Kddi Corp Access control device, access control method, and program
JP2012003362A (en) * 2010-06-15 2012-01-05 Chugoku Electric Power Co Inc:The Content server and access control system

Similar Documents

Publication Publication Date Title
US10623406B2 (en) Access authentication for cloud-based shared content
US10642798B2 (en) Method and system for routing data flows in a cloud storage system
KR101432317B1 (en) Translating role-based access control policy to resource authorization policy
US11082226B2 (en) Zero-knowledge identity verification in a distributed computing system
US8972366B2 (en) Cloud-based directory system based on hashed values of parent and child storage locations
JP7092736B2 (en) Dynamic routing using container orchestration services
US20200287719A1 (en) Zero-knowledge identity verification in a distributed computing system
US20070011136A1 (en) Employing an identifier for an account of one domain in another domain to facilitate access of data on shared storage media
US20140215551A1 (en) Controlling access to shared content in an online content management system
US20090276840A1 (en) Unified access control system and method for composed services in a distributed environment
US20080034438A1 (en) Multiple hierarchy access control method
KR20150036323A (en) Security and data isolation for tenants in a business data system
JP5848339B2 (en) Leader arbitration for provisioning services
KR20140098919A (en) Method of providing virtual machine for real time virtual desktop service and service gateway of the same
US11126460B2 (en) Limiting folder and link sharing
CN109587233A (en) Cloudy Container Management method, equipment and computer readable storage medium
JP2007179198A5 (en)
US20240061825A1 (en) Method and system for using external content type object types
JP4094560B2 (en) Resource partition server and resource partition server program
US20070208946A1 (en) High performance secure caching in the mid-tier
CA2660916A1 (en) File system and method for controlling file system
US20090089395A1 (en) System and method for absolute path discovery by a storage virtualization system
JP2007086893A (en) Access control method
JP2022108304A (en) Chatbot control device and chatbot control method
RU2656739C1 (en) Data storage method and system

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20081202