JP2008117052A - Management authority setting system - Google Patents

Management authority setting system Download PDF

Info

Publication number
JP2008117052A
JP2008117052A JP2006297787A JP2006297787A JP2008117052A JP 2008117052 A JP2008117052 A JP 2008117052A JP 2006297787 A JP2006297787 A JP 2006297787A JP 2006297787 A JP2006297787 A JP 2006297787A JP 2008117052 A JP2008117052 A JP 2008117052A
Authority
JP
Japan
Prior art keywords
group
organization
management
hierarchy
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006297787A
Other languages
Japanese (ja)
Other versions
JP4865507B2 (en
Inventor
Shintaro Yamakata
伸太郎 山肩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2006297787A priority Critical patent/JP4865507B2/en
Publication of JP2008117052A publication Critical patent/JP2008117052A/en
Application granted granted Critical
Publication of JP4865507B2 publication Critical patent/JP4865507B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a user management system for transferring the authority of managing a subordinate user/group to a user of a higher order organization in user management in consideration of the organization by using a directory service, without changing ACL corresponding to network resources when assignment change occurs, nor changing a manager authority for an OU. <P>SOLUTION: This management authority setting system is configured of a directory server equipped with a directory service database and a management server for communicating with the directory server based on a communication protocol such as an LDAP. The management server registers an OU 702 and a group 705 for every organization as a pair 711 in the directory database in registering the organizations by a GUI. Also, an ACL(Access Control List) is automatically set in the OU 702 for managing the user/group by the group belonging to the higher layer, and the group 705 of the higher layer is registered as the member of a group 703 of the lower layer. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、管理権限設定システムに関し、特に、ユーザやネットワーク資源の管理を一括化するディレクトリサービスを利用した管理権限設定システムに関する。   The present invention relates to a management authority setting system, and more particularly to a management authority setting system using a directory service for managing users and network resources in a batch.

コンピュータシステムの発達に伴い、多種多様なシステムやファイルを共有するファイルサーバ等が数多く構築され、複数のユーザが、システムやファイルにアクセスすることが簡単にできるようになっている。従来、これらの資源を利用するユーザ情報に関しては、システム毎に個別に管理されてきたが、ユーザ情報が分散されることにより管理が煩雑になるという問題があった。   Along with the development of computer systems, a large number of various file systems and file servers that share files have been built, and a plurality of users can easily access the system and files. Conventionally, user information using these resources has been individually managed for each system, but there is a problem that management becomes complicated due to the distribution of user information.

そこで、この問題を解決する手段として、ユーザやネットワーク資源の管理を一括化するディレクトリサービスが普及しつつある。ディレクトリサービスを利用して、ユーザのネットワーク資産に対するアクセス権限を一括して管理することにより、ユーザはネットワーク内のいずれのシステムに対しても、一貫した権限の元でアクセスを行うことができる。   Therefore, as a means for solving this problem, a directory service that integrates management of users and network resources is becoming widespread. By using the directory service to collectively manage the user's access authority to the network assets, the user can access any system in the network with a consistent authority.

図1は、上記のようなディレクトリサービスでのユーザ管理例を示す図である。ディレクトリサービス101には、例えば、グループA102とグループB103とが登録されている。グループA102には、ユーザC104、ユーザD105が登録されており、グループB103には、ユーザE106、ユーザF107が登録されている。   FIG. 1 is a diagram showing an example of user management in the above directory service. In the directory service 101, for example, a group A102 and a group B103 are registered. In group A102, user C104 and user D105 are registered, and in group B103, user E106 and user F107 are registered.

ここで、フォルダ108にAグループに対する「読込み」権限を設定することにより、フォルダ108に対するユーザC104、ユーザD105の読込みを許可し(丸印で示される)、ユーザE106、ユーザF107からの読込みを抑止することができる(×印で示される)。   Here, by setting the “read” authority for the A group to the folder 108, the user C 104 and the user D 105 are allowed to read the folder 108 (indicated by a circle), and the reading from the user E 106 and the user F 107 is suppressed. (Indicated by a cross).

尚、アクセス権限に関連する技術文献としては、下記の特許文献が挙げられる。
特開2005−338935号公報 特開平8−50559号公報 特開2002−342352号公報 The following patent documents are listed as technical documents related to access authority.
JP 2005-338935 A JP-A-8-50559 JP 2002-342352 A

企業内のユーザ管理を、ディレクトリサービスを用いて管理するケースを考える。図2は、企業の組織階層をディレクトリサービスにより表現した例を示す図である。図2では、部202には部長A205が所属しており、課203に課長B206が所属しており、ユニット204には社員C207と社員D208とが所属している。また、ディレクトリサービス201には、ディレクトリサービス201のユーザ情報を管理するための管理権限(アドミン権限)を有する管理者209が存在する。   Consider a case in which user management in a company is managed using a directory service. FIG. 2 is a diagram illustrating an example in which an organization hierarchy of a company is expressed by a directory service. In FIG. 2, department A 205 belongs to department 202, manager B 206 belongs to section 203, and employee C 207 and employee D 208 belong to unit 204. Further, the directory service 201 includes an administrator 209 having management authority (administrative authority) for managing user information of the directory service 201.

ここで、社員の異動などにより、ディレクトリサービス上のユーザ情報への変更が発生した場合を考える。図3は、ディレクトリサービス301上において、ユニット304に社員C、社員Dに加えて、社員E310が追加された場合のユーザ情報の追加可否を示した図である。   Here, let us consider a case where a change to user information on the directory service occurs due to an employee change or the like. FIG. 3 is a diagram showing whether or not user information can be added when the employee E310 is added to the unit 304 in addition to the employee C and the employee D on the directory service 301.

組織上、ユニット304は、部302及び課303の配下にあるため、部長A305又は課長B306により、社員E310のユニット304への追加作業を実行できることが望ましい。しかしながら、部長A305、課長B306も、ディレクトリサービス301上では一般ユーザとして扱われるため、ユニット304への変更作業の権限を有していない。ユニット304に対する変更処理を行うには、管理者309と同様の管理権限を取得する必要があるが、管理権限を持つと、ユニット304だけでなく、課303及び部302を含む広範囲のグループに対する変更権限を持たせてしまうことになるため、特定の管理者であるアドミニストレータ309以外には極力権限も設定するべきではない。従って、例えば、社員の所属変更メールアドレスの変更など、ディレクトリサービスで管理している情報の変更作業にあたっては、大小関わらず、全て管理権限を有する管理者309が実行する必要があり、管理者309は、各部署において発生する各種ユーザ情報の変更要求に対応しなければならず、作業負荷が増大し、また、各部署でもユーザ管理に対する柔軟な対応がとりにくくなることに起因する、セキュリティレベル向上に対する制約又はセキュリティレベルの低下を招く恐れがある。   Since the unit 304 is under the control of the department 302 and the section 303 in terms of organization, it is desirable that the department manager A 305 or the section manager B 306 can perform the additional work of the employee E 310 on the unit 304. However, the manager A 305 and the manager B 306 are also treated as general users on the directory service 301, and therefore do not have the authority to change the unit 304. In order to perform the change processing for the unit 304, it is necessary to acquire the same management authority as that of the administrator 309. However, if the management authority is given, not only the unit 304 but also a wide group including the section 303 and the section 302 are changed. Since the authority is given, the authority should not be set as much as possible other than the administrator 309 as the specific administrator. Therefore, for example, when changing information managed by the directory service, such as changing the employee's affiliation change email address, regardless of the size, the administrator 309 who has management authority must execute it. Must respond to various user information change requests that occur in each department, which increases the workload and makes it difficult for each department to respond flexibly to user management. There is a risk of causing a restriction on security or a reduction in security level.

一方、ネットワーク資源に対するACL(Access Control list)の設定に関しては、社員の所属変更が発生した場合にも、ネットワーク資源に設定されたACLの再設定を必要としない組織階層定義システムが提案されている。図4は、その一例を示す図である。企業の組織階層401には、一般的には、部403、課404、ユニット405、という組織がある。各組織をディレクトリサービス402に示すような組織階層とは逆向きのグループ階層、ユニット406、課407、部408のツリーとし、ディレクトリサービス402に示されたグループをネットワーク資源に対するACLに設定することにより、グループ内の所属変更によるACLの再設定の必要を無くし、かつ、下位グループがアクセス権限を持つ資源に対しては、上位グループに所属するユーザもアクセス権限を持つことを可能としている。しかしながら、この方式においても、実際の作業として、ディレクトリサービス上のユーザ/グループの変更作業が必要となり、管理権限を持つ管理者が作業を実施する必要があるという点は同じである。   On the other hand, regarding the ACL (Access Control List) setting for network resources, an organization hierarchy definition system has been proposed that does not require resetting of ACLs set for network resources even when employee affiliation changes occur. . FIG. 4 is a diagram showing an example thereof. The organization hierarchy 401 of a company generally has an organization of a section 403, a section 404, and a unit 405. By setting each organization as a group hierarchy opposite to the organizational hierarchy as shown in the directory service 402, a tree of units 406, sections 407, and units 408, and setting the group shown in the directory service 402 as an ACL for network resources Therefore, it is possible to eliminate the need to reset the ACL by changing the affiliation within the group, and to allow the user belonging to the upper group to have the access authority for the resource to which the lower group has the access authority. However, even in this method, as an actual work, a user / group change work on the directory service is required, and the same is true that an administrator having management authority needs to perform the work.

ところで、ユーザ/グループの管理権限を委譲するための手法として、組織単位(OU)がある。OUに対しては、管理者以外のユーザ/グループに対して、そのOU下のユーザ/グループの管理権限を委譲することができる。   By the way, there is an organizational unit (OU) as a method for delegating user / group management authority. For the OU, the management authority of the user / group under the OU can be delegated to a user / group other than the administrator.

しかしながら、OUは、ACLに設定することができないため、組織階層のグループを単にOUに変更した場合には、ネットワーク資源に対するアクセス権をユーザ個別に指定することとなり、部署毎に階層管理を行う意義がなくなってしまう。また、OUの管理者として、上位組織に所属しているユーザを意識して個別に設定しなければならない。また、組織階層を遡る上位階層のユーザそれぞれにも管理権限を設定したい場合に、組織階層を意識した管理権限の委譲が必要となり、所属変更の際にはOUの管理権限の設定も変更する必要が生じる。   However, since the OU cannot be set in the ACL, when the group of the organizational hierarchy is simply changed to the OU, the access right to the network resource is designated for each user, and the significance of performing hierarchical management for each department Will disappear. In addition, as an OU administrator, the user must be set individually in consideration of users belonging to a higher organization. In addition, if you want to set management authority for each user in the upper hierarchy that goes back to the organizational hierarchy, it is necessary to delegate management authority that is conscious of the organizational hierarchy, and it is also necessary to change the setting of OU management authority when changing affiliation Occurs.

本発明の目的は、ディレクトリサービスを利用して組織構造を考慮したユーザ管理を行う場合に、所属変更が発生した際にもネットワーク資源に対するACLを変更することなく、また、OUに対する管理者権限の変更も必要としないユーザ管理システムを提供することにある。また、下位組織ユーザ/グループの管理権限を、上位組織のユーザに委譲することを可能とすることを目的とする。   An object of the present invention is to perform user management in consideration of an organizational structure using a directory service, without changing the ACL for network resources even when a change in affiliation occurs, and for the administrator authority for the OU. The object is to provide a user management system that does not require any changes. It is another object of the present invention to allow subordinate organization user / group management authority to be delegated to a user in a higher organization.

本発明の一観点によれば、ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバと通信する管理サーバと、を有する管理権限設定システムであって、前記管理サーバは、組織階層を定義する際に、前記ディレクトリサービスデータベースに、前記組織階層に対応した組織単位(OU)であって管理権限を設定可能な階層の組織単位と該OUに所属するグループとの組みが、ユーザ操作又は自動的に生成されることを特徴とする管理権限設定システムが提供される。尚、ディレクトリサーバと管理サーバとの間の通信プロトコルとしては、一般的にLDAP(Lightweight Directory Access Protocol)が利用される。   According to one aspect of the present invention, there is provided a management authority setting system having a directory server having a directory service database and a management server communicating with the directory server, wherein the management server defines an organizational hierarchy. In addition, in the directory service database, a combination of an organizational unit (OU) corresponding to the organizational hierarchy and a hierarchical level in which management authority can be set and a group belonging to the OU is determined by a user operation or automatically. A management authority setting system characterized by being generated is provided. Note that, as a communication protocol between the directory server and the management server, generally, LDAP (Lightweight Directory Access Protocol) is used.

上記システムにおいては、ユーザ情報を管理するための管理権限(アドミン権限)を例えば階層単位で付与できるようにするために、組織単位OUとグループとを対応付けした。   In the above system, the organizational unit OU and the group are associated with each other so that the management authority (administrative authority) for managing user information can be granted, for example, in units of hierarchy.

OUに対しては、管理者以外のユーザ/グループに対して、そのOU下のユーザ/グループの管理権限を委譲することができる。前記組み単位で、権限を付与するかどうかを決めるので、任意のOUに対して権限を付与できる。   For the OU, the management authority of the user / group under the OU can be delegated to a user / group other than the administrator. Since whether or not to grant authority is determined for each group, authority can be given to any OU.

さらに、前記組織階層と逆向きのグループ階層を前記ディレクトリサービスデータベースに登録する手段を有することが好ましい。   Furthermore, it is preferable to have means for registering a group hierarchy opposite to the organizational hierarchy in the directory service database.

本発明の他の観点によれば、ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバとLDAP等の通信プロトコルによって通信する管理サーバと、を有する管理権限設定システムにおける管理権限設定方法であって、組織階層を定義するステップであって、グループ/ユーザ情報をディレクトリサービスに登録するステップと、組織階層を表示するツリービューを表示画面に表示させるステップと、ツリービューに表示されている組織のいずれかを選択するステップと、選択した組織に所属する下位組織を定義する際に、定義された組織毎に、組織階層に対応した組織単位(OU)の階層とOUに所属するグループとを、組みで作成するステップと、前記組織単位で権限を設定するステップと、を有することを特徴とする管理権限設定方法が提供される。   According to another aspect of the present invention, there is provided a management authority setting method in a management authority setting system including a directory server having a directory service database and a management server that communicates with the directory server using a communication protocol such as LDAP. The step of defining an organization hierarchy, which is a step of registering group / user information in the directory service, a step of displaying a tree view displaying the organization hierarchy on the display screen, and any of the organizations displayed in the tree view When the subordinate organization belonging to the selected organization is defined, the organizational unit (OU) hierarchy corresponding to the organizational hierarchy and the group belonging to the OU are combined for each defined organization. And creating an authority in the organizational unit. Administrative authority setting wherein the door is provided.

前記ツリービュー表示を行った際に、該ツリービュー表示のうちの1つの組織を選択し、リストビューに選択した組織に属するユニットが表示された状態で、ユニットの追加を行うと、ユニットのOUとユニットのグループとの組が新たに作成され、選択した組織のOUの下にその上位の組織のグループを作成するステップと、該上位のグループに、下位のOUのACLを与えるステップと、下位のグループのメンバに上位のグループを追加するステップと、を有することが好ましい。   When the tree view display is performed, one organization in the tree view display is selected, and a unit belonging to the selected organization is displayed in the list view. A group of unit and unit is newly created, a group of the higher organization is created under the OU of the selected organization, an ACL of the lower OU is given to the upper group, And adding a higher group to the members of the group.

以上の処理により、部のグループは課のグループのメンバとして登録されるため、部から課に対して管理権限を設定できるようになる。   Through the above processing, the department group is registered as a member of the section group, so that management authority can be set for the section from the department.

本発明によれば、以下のような効果を得ることができる。
(1)組織のユーザ/グループの管理を、管理権限を持つ管理者だけでなく、組織階層を遡る上位階層のユーザも実施することができる。
(2)上位階層のユーザに所属変更が発生した場合も、OUに対する管理者権限の変更が必要なく、ディレクトリサービス上での変更作業終了後速やかに下位組織に対するユーザ/グループの管理作業を開始することができる。 According to the present invention, the following effects can be obtained.
(1) Organization users / groups can be managed not only by an administrator having management authority, but also by users in a higher hierarchy that goes back up the organization hierarchy.
(2) Even when an affiliation change occurs in a user of a higher hierarchy, there is no need to change the administrator authority for the OU, and the user / group management work for the lower organization is started immediately after the change work on the directory service is completed. be able to.

以下、本発明の一実施の形態による管理権限付与システムについて、図面を参照しながら説明を行う。   Hereinafter, a management authority grant system according to an embodiment of the present invention will be described with reference to the drawings.

図5は、本発明の一実施の形態による管理権限設定システムの一構成例を示す図である。図5に示す組織階層定義システムは、ディレクトリサービスデータベース505と、ディレクトリサービス部504を備えたディレクトリサーバ502と、このディレクトリサーバ502に対してLDAP等の通信プロトコルによって通信する管理サーバ501と、を有して構成される。また、管理サーバ501は、組織階層をGUIで定義する組織階層定義部503を備えている。   FIG. 5 is a diagram showing a configuration example of the management authority setting system according to the embodiment of the present invention. The organization hierarchy definition system shown in FIG. 5 includes a directory service database 505, a directory server 502 including a directory service unit 504, and a management server 501 that communicates with the directory server 502 using a communication protocol such as LDAP. Configured. The management server 501 also includes an organization hierarchy definition unit 503 that defines an organization hierarchy using a GUI.

図6は、図5に示す組織階層定義部503における組織階層の具体的な定義例としての表示例を示す図である。図6に示す組織階層定義画面601において、GUIにより組織階層を定義することにより、組織階層に対応したグループ/ユーザ情報をディレクトリサービスに登録することができる。図6に示す組織階層定義画面601は、組織階層を表示するツリービュー部602と、ツリービュー部602で選択した組織に所属するユーザ、グループを表示するリストビュー部603とにより構成されている。図6に示す表示例においては、ツリービュー部602において課604を選択た状態を示しており、これに応じて、リストビュー部603に、選択された課604に所属する課長605と第1ユニット606とが表示されている。図示はしていないが、この状態では、例えば、ユーザの操作に基づいて、課長605に加えて対応する組織単位(OU)が課長というグループと対応関係を持って登録されるように構成されている。   FIG. 6 is a diagram showing a display example as a specific definition example of the organization hierarchy in the organization hierarchy definition unit 503 shown in FIG. In the organization hierarchy definition screen 601 shown in FIG. 6, group / user information corresponding to the organization hierarchy can be registered in the directory service by defining the organization hierarchy with the GUI. An organization hierarchy definition screen 601 shown in FIG. 6 includes a tree view unit 602 that displays an organization hierarchy, and a list view unit 603 that displays users and groups belonging to the organization selected in the tree view unit 602. The display example shown in FIG. 6 shows a state in which the section 604 is selected in the tree view unit 602, and in response to this, the list view unit 603 displays the section manager 605 belonging to the selected section 604 and the first unit. 606 is displayed. Although not shown, in this state, for example, based on the user's operation, in addition to the section manager 605, the corresponding organizational unit (OU) is registered so as to have a corresponding relationship with the group called the section manager. Yes.

例えば、組織変更に応じて、設計者がGUIにより新たなユニット(第2ユニット607)をリストビュー部603に追加したとする。すると、第2ユニット607とそれと対応付けされているOUとが、自動的に、或いは、ユーザの任意の選択操作により作成される。OUが付されているということは、管理権限を付与することができることを意味するため、部、課、ユニットなどのグループ毎に、任意にOUを付加して組とすることで、任意のグループに対して管理権限を付与できる状態とすることができる。   For example, it is assumed that the designer adds a new unit (second unit 607) to the list view unit 603 using the GUI in accordance with the organizational change. Then, the 2nd unit 607 and OU matched with it are created automatically or by arbitrary selection operation of a user. The fact that an OU is attached means that management authority can be granted. Therefore, an arbitrary group can be created by arbitrarily adding an OU to each group such as a department, section, or unit. It can be in a state where management authority can be given to.

図7は、図6に示した組織階層例に対する、ディレクトリサービスの設定例を示す図である。図7に示す設定例701では、組織毎にディレクトリサービスにはOU702・703・704・708とグループ705・706・707・709とが設定された組711・712・713・714が設定されている。図7においては、OU702・703・704・708のACLとして、上位組織グループに、すなわち、第1ユニットOU704、第2ユニットOU708に対して、1階層上位の課グループ706が管理権限を持たせており(破線の矢印参照)、課OU703に対して、1階層上位の部グループ705が管理権限を持っている破線の矢印参照)。このような構成により、部グループ705に所属するユーザは、課OU703に所属するユーザ/グループの管理を実施することが出来る。また、課グループ706に所属するユーザは、ユニットOU704に所属するユーザ/グループの管理を実施することができるという利点がある。   FIG. 7 is a diagram showing a setting example of the directory service for the organization hierarchy example shown in FIG. In the setting example 701 shown in FIG. 7, a set 711, 712, 713, 714 in which OUs 702, 703, 704, 708 and groups 705, 706, 707, 709 are set is set in the directory service for each organization. . In FIG. 7, the ACL of OUs 702, 703, 704, and 708 is assigned to the upper organization group, that is, the first group OU 704 and the second unit OU 708, the section group 706 that is one layer higher has management authority. (Refer to the broken line arrow), see the broken line arrow in which the department group 705 one level higher than the section OU 703 has management authority). With such a configuration, a user belonging to the department group 705 can manage users / groups belonging to the section OU703. Further, there is an advantage that the user belonging to the section group 706 can manage the user / group belonging to the unit OU704.

但し、図7に示す例では、部グループ705はユニットOU704に対する管理権限を持たないため、ユニットOU704に所属するユーザ/グループの管理は実施できない。   However, in the example shown in FIG. 7, since the group 705 does not have management authority for the unit OU 704, management of users / groups belonging to the unit OU 704 cannot be performed.

そこで、各OUに対するグループを、組織階層とは逆向きのグループ階層化する。図8は、図7のグループの階層を示した図である。図8においては、部グループ807は、課グループ806のメンバとして登録されている。これにより、部グループ807は、課グループ806が持つユニットOU802のユーザ/グループの管理権限を継承することができる。また、図8のように、これらのOUに所属したグループに対してユーザを登録しておくことにより、グループ内のユーザ変更による速やかな下位組織に対するユーザ/グループの管理作業開始が実現できるという利点がある。   Therefore, the group for each OU is made a group hierarchy opposite to the organizational hierarchy. FIG. 8 is a diagram showing the hierarchy of the group in FIG. In FIG. 8, the department group 807 is registered as a member of the section group 806. As a result, the department group 807 can inherit the user / group management authority of the unit OU802 of the section group 806. In addition, as shown in FIG. 8, by registering users for groups belonging to these OUs, it is possible to quickly start user / group management work for subordinate organizations by changing users within the group. There is.

図9は、組織階層定義部の処理の概略を示すフローチャート図である。図10は、上述のようなユニットの追加に伴う処理の流れを示すフローチャート図である。   FIG. 9 is a flowchart showing an outline of the processing of the organization hierarchy definition unit. FIG. 10 is a flowchart showing the flow of processing accompanying addition of a unit as described above.

図9に示すように、処理が開始され、ステップS901において、組織階層を表示するツリービューを表示画面に表示させる。ステップS902において、ツリービューに表示されている組織のいずれかを選択する。ステップS903において、選択した組織に新規組織を登録する。ステップS904において、ツリービューで選択した組織に所属するユーザ(例えば課長)とユニットとがツリービューに表示される。   As shown in FIG. 9, the process is started, and in step S901, a tree view for displaying the organization hierarchy is displayed on the display screen. In step S902, one of the organizations displayed in the tree view is selected. In step S903, a new organization is registered in the selected organization. In step S904, users (for example, section managers) and units belonging to the organization selected in the tree view are displayed in the tree view.

図10に示すように、ステップS903による新規組織の登録を行う際、例えば、ステップS1001において、ツリービュー表示のうちの課を選択した状態で、リストビューにユニットを追加する。ステップS1002において、ユニット追加に伴い、ユニットのOUが作成される。ステップS1003において、ユニットのグループを作成し、ユニットのOUに所属させる。ステップS1004において、ユニットのOUのACLとして、課のグループに管理権限を設定する。ステップS1005において、ユニットのグループのメンバに、課のグループを追加する。ユニット追加以前の課追加の際にも同様の処理を実施しておくことにより、部のグループは課のグループのメンバとして登録されているため、部のグループにはユニットの管理権限を持つ課のグループの権限が継承され、ユニットから課及び部に対して管理権限を委譲できるようになる。   As shown in FIG. 10, when registering a new organization in step S903, for example, in step S1001, a unit is added to the list view while a section in the tree view display is selected. In step S1002, a unit OU is created with the addition of a unit. In step S1003, a unit group is created and assigned to the unit OU. In step S1004, the management authority is set for the section group as the ACL of the unit OU. In step S1005, the section group is added to the members of the unit group. By performing the same process when adding a section before adding a unit, the department group is registered as a member of the department group. Therefore, the department group has a section management authority. The group authority is inherited, and the management authority can be transferred from the unit to the section and department.

以上に説明したように、本実施の形態による管理権限設定システムにおいては、(1)上位階層のユーザに所属変更が発生した場合も、OUに対する管理者権限の変更が必要なく、ディレクトリサービス上での変更作業終了後に速やかに下位組織に対するユーザ/グループの管理作業を開始することができる。(2)組織のユーザ/グループの管理を、管理権限を持つ管理者だけでなく、組織階層を遡る上位階層のユーザも実施させることができるという利点がある。従って、多くの組織であって頻繁に組織変更がなされる場合であっても、1人の管理者のみに負担をかけなくて良く、管理権限の付与に関する設定を詳細かつ容易に行うことができる。   As described above, in the management authority setting system according to the present embodiment, (1) even when a change in affiliation occurs in a higher-level user, there is no need to change the administrator authority for the OU, and the directory service can The user / group management work for the subordinate organization can be started immediately after the change work is completed. (2) There is an advantage that management of users / groups of an organization can be carried out not only by an administrator having management authority but also by a user of a higher hierarchy that goes back up the organization hierarchy. Therefore, even if there are many organizations and the organization is frequently changed, it is not necessary to place a burden on only one administrator, and settings relating to the granting of management authority can be made in detail and easily. .

尚、本発明は、本実施の形態による各ステップをコンピュータにより実行可能なプログラムの形態であっても良い。   The present invention may be in the form of a program capable of executing each step according to the present embodiment by a computer.

本発明は、組織における管理権限付与システムとして利用可能である。   The present invention can be used as a management authority grant system in an organization.

一般的なディレクトリサービスでのユーザ管理例を示した図である。It is the figure which showed the user management example in a general directory service. 企業の組織階層をディレクトリサービスにより表現した一例を示す図である。It is a figure which shows an example which expressed the organization hierarchy of the company by the directory service. ユーザ情報の追加による問題を表す図である。It is a figure showing the problem by addition of user information. 所属変更によってもACLの再設定を必要としない組織階層定義システムの一例を示す図である。It is a figure which shows an example of the organization hierarchy definition system which does not require resetting of ACL also by affiliation change. 本発明の一実施の形態による管理権限設定システムの一構成例を示す図である。It is a figure which shows the example of 1 structure of the management authority setting system by one embodiment of this invention. 組織階層定義部の表示例を示す図である。It is a figure which shows the example of a display of an organization hierarchy definition part. 組織階層を本実施の形態による管理権限設定システムにより定義した場合にディレクトリサービスの設定例を示した図である。It is the figure which showed the example of a directory service setting when the organization hierarchy is defined by the management authority setting system by this Embodiment. ユーザ/グループ管理権限を上位組織に遡らせるためのディレクトリサービスの設定例を示した図である。It is the figure which showed the example of a setting of the directory service for tracing back user / group management authority to a high-order organization. 組織階層定義部における処理の概略を示すフローチャート図である。It is a flowchart figure which shows the outline of the process in an organization hierarchy definition part. 上述のようなユニットの追加に伴う処理の流れを示すフローチャート図である。It is a flowchart figure which shows the flow of the process accompanying the addition of the above units.

Claims (4)

ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバと通信する管理サーバと、を有する管理権限設定システムであって、
前記管理サーバは、組織階層を定義する際に、前記ディレクトリサービスデータベースに、前記組織階層に対応した組織単位(OU)であって管理権限を設定可能な階層の組織単位と該OUに所属するグループとの組みが、ユーザ操作又は自動的に生成されることを特徴とする管理権限設定システム。 A management authority setting system comprising a directory server provided with a directory service database and a management server communicating with the directory server,
When defining the organizational hierarchy, the management server includes organizational units (OUs) corresponding to the organizational hierarchy in the directory service database that can be set with administrative authority and groups belonging to the OU. A management authority setting system in which a pair is generated by a user operation or automatically. さらに、前記組織階層と逆向きのグループ階層を前記ディレクトリサービスデータベースに登録する手段を有することを特徴とする請求項1に記載の管理権限設定システム。   The management authority setting system according to claim 1, further comprising means for registering a group hierarchy opposite to the organization hierarchy in the directory service database. ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバと通信する管理サーバと、を有する管理権限設定システムにおける管理権限設定方法であって、
組織階層を定義するステップであって、グループ/ユーザ情報をディレクトリサービスに登録するステップと、組織階層を表示するツリービューを表示画面に表示させるステップと、ツリービューに表示されている組織のいずれかを選択するステップと、
選択した組織に所属する下位組織を定義する際に、定義された組織毎に、組織階層に対応した組織単位(OU)の階層とOUに所属するグループとを組みで作成するステップと、
前記組織単位で権限を設定するステップと、
を有することを特徴とする管理権限設定方法。 A management authority setting method in a management authority setting system, comprising: a directory server provided with a directory service database; and a management server that communicates with the directory server,
One of the steps of defining the organization hierarchy, registering group / user information in the directory service, displaying a tree view displaying the organization hierarchy on the display screen, and the organization displayed in the tree view A step of selecting
When defining a subordinate organization belonging to the selected organization, for each defined organization, creating a group of organizational units (OU) corresponding to the organizational hierarchy and a group belonging to the OU;
Setting authority in the organizational unit;
A management authority setting method characterized by comprising: 前記ツリービュー表示を行った際に、該ツリービュー表示のうちの1つの組織を選択し、リストビューに選択した組織に属するユニットが表示された状態で、ユニットの追加を行うと、ユニットのOUとユニットのグループとの組が新たに作成され、選択した組織のOUの下にその上位の組織のグループを作成するステップと、
該上位のグループに、下位のOUのACLを与えるステップと、下位のグループのメンバに上位のグループを追加するステップと、を有することを特徴とする請求項3に記載の管理権限設定方法。 When the tree view display is performed, one organization in the tree view display is selected, and a unit belonging to the selected organization is displayed in the list view. Creating a new group pair with the group of units and creating a group of higher-level organizations under the OU of the selected organization;
4. The management authority setting method according to claim 3, further comprising: a step of giving an ACL of a lower OU to the upper group, and a step of adding the upper group to members of the lower group.
JP2006297787A 2006-11-01 2006-11-01 Management authority setting system Expired - Fee Related JP4865507B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006297787A JP4865507B2 (en) 2006-11-01 2006-11-01 Management authority setting system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006297787A JP4865507B2 (en) 2006-11-01 2006-11-01 Management authority setting system

Publications (2)

Publication Number Publication Date
JP2008117052A true JP2008117052A (en) 2008-05-22
JP4865507B2 JP4865507B2 (en) 2012-02-01

Family

ID=39502929

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006297787A Expired - Fee Related JP4865507B2 (en) 2006-11-01 2006-11-01 Management authority setting system

Country Status (1)

Country Link
JP (1) JP4865507B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101697301B1 (en) * 2016-08-29 2017-01-17 주식회사 넷앤드 Method and system for intensify security of DBMS(database management system)
JP2017538232A (en) * 2014-10-10 2017-12-21 深▲せん▼唯圏科技有限公司Shenzhen Vchan Technology Co., Ltd Group hierarchy system construction method and apparatus
CN113496037A (en) * 2020-03-19 2021-10-12 腾讯科技(深圳)有限公司 Organization architecture authority setting method, device, equipment and storage medium

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7236337B2 (en) 2019-06-19 2023-03-09 三菱重工業株式会社 Composite material wing and molding method for composite material wing

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0594389A (en) * 1991-10-03 1993-04-16 Nec Corp Safety protection system for directory system
JP2000112891A (en) * 1998-10-09 2000-04-21 Toshiba Corp Access control setting system and storage medium
JP2001117803A (en) * 1999-10-15 2001-04-27 Hitachi Ltd Method and device for deciding access right and computer-readable recording medium recorded with access right deciding program
JP2002116944A (en) * 2000-10-11 2002-04-19 Hitachi Ltd Membership management method
JP2003280990A (en) * 2002-03-22 2003-10-03 Ricoh Co Ltd Document processing device and computer program for managing document
JP2006146559A (en) * 2004-11-19 2006-06-08 Nec Corp System, method, apparatus and program for managing dynamic organization
JP2007257127A (en) * 2006-03-22 2007-10-04 Hitachi Software Eng Co Ltd Organizational hierarchy definition system, composition method for group hierarchy and display method for organizational hierarchy

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0594389A (en) * 1991-10-03 1993-04-16 Nec Corp Safety protection system for directory system
JP2000112891A (en) * 1998-10-09 2000-04-21 Toshiba Corp Access control setting system and storage medium
JP2001117803A (en) * 1999-10-15 2001-04-27 Hitachi Ltd Method and device for deciding access right and computer-readable recording medium recorded with access right deciding program
JP2002116944A (en) * 2000-10-11 2002-04-19 Hitachi Ltd Membership management method
JP2003280990A (en) * 2002-03-22 2003-10-03 Ricoh Co Ltd Document processing device and computer program for managing document
JP2006146559A (en) * 2004-11-19 2006-06-08 Nec Corp System, method, apparatus and program for managing dynamic organization
JP2007257127A (en) * 2006-03-22 2007-10-04 Hitachi Software Eng Co Ltd Organizational hierarchy definition system, composition method for group hierarchy and display method for organizational hierarchy

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017538232A (en) * 2014-10-10 2017-12-21 深▲せん▼唯圏科技有限公司Shenzhen Vchan Technology Co., Ltd Group hierarchy system construction method and apparatus
KR101697301B1 (en) * 2016-08-29 2017-01-17 주식회사 넷앤드 Method and system for intensify security of DBMS(database management system)
CN113496037A (en) * 2020-03-19 2021-10-12 腾讯科技(深圳)有限公司 Organization architecture authority setting method, device, equipment and storage medium

Also Published As

Publication number Publication date
JP4865507B2 (en) 2012-02-01

Similar Documents

Publication Publication Date Title
US10447737B2 (en) Delegating administration rights using application containers
US9992068B2 (en) Rule based mobile device management delegation
RU2598324C2 (en) Means of controlling access to online service using conventional catalogue features
US9172621B1 (en) Unified account metadata management
US9047462B2 (en) Computer account management system and realizing method thereof
US20050060572A1 (en) System and method for managing access entitlements in a computing network
JP6921831B2 (en) Associating user accounts with corporate workspaces
KR20110076891A (en) Techniques to manage access to organizational information of an entity
JP2010500652A (en) Credit management system and method
WO2002041150A1 (en) System and method for application-level security
KR100832093B1 (en) Provisioning apparatus for resources and authorities for integrated identity management
US9984245B2 (en) Methods, systems, and computer readable media for providing a secure virtual research space
JP2004158007A (en) Computer access authorization
US20060259955A1 (en) Attribute-based allocation of resources to security domains
JP4865507B2 (en) Management authority setting system
JP2008197751A (en) Electronic form preparation/management system, electronic form preparation/management program, and recording medium storing this program
Pereira RBAC for high performance computing systems integration in grid computing and cloud computing
JP2008210376A (en) Organization hierarchy definition system, group hierarchy composition method, and organization hierarchy display method
JP6528536B2 (en) INFORMATION PROCESSING APPARATUS, PROGRAM, AND INFORMATION PROCESSING SYSTEM
JP6358819B2 (en) Workflow integration system
JP2007272387A (en) File access authority setting system
WO2020258694A1 (en) Domain name management method and system
JP4932291B2 (en) Access right control system
JP7399364B1 (en) Information management control device, information management control system, information management control method, and program
Uikey et al. RBACA: role-based access control architecture for multi-domain cloud environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090702

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111021

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111108

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141118

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees