JP2008217740A - Erp user information management method and device, and erp system and program - Google Patents
Erp user information management method and device, and erp system and program Download PDFInfo
- Publication number
- JP2008217740A JP2008217740A JP2007058218A JP2007058218A JP2008217740A JP 2008217740 A JP2008217740 A JP 2008217740A JP 2007058218 A JP2007058218 A JP 2007058218A JP 2007058218 A JP2007058218 A JP 2007058218A JP 2008217740 A JP2008217740 A JP 2008217740A
- Authority
- JP
- Japan
- Prior art keywords
- user
- erp
- authority
- user information
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、SAP(登録商標)社のR/3(登録商標)に代表される、ERP(Enterprise Resource Planning)パッケージをコンピュータにインストールして構築されたERPシステムにおけるユーザ情報の管理技術に係り、特に、ユーザ情報の管理を自動化すると共に、ユーザ情報の信頼性を効率的に確保するのに好適な技術に関するものである。 The present invention relates to a user information management technique in an ERP system constructed by installing an ERP (Enterprise Resource Planning) package represented by R / 3 (registered trademark) of SAP (registered trademark) in a computer, In particular, the present invention relates to a technique suitable for automating the management of user information and efficiently ensuring the reliability of user information.
ERPパッケージは統合業務パッケージと呼ばれ、企業の基幹業務に関わるシステム、例えば、財務・会計システムや生産システム、販売システム、調達システム、在庫システム、人事システムなどを統合したソフトウェアであり、業務処理コストの削減や、リアルタイムでの業務内容の把握によるデータの一元管理、意志決定のスピードアップ、連結決算や管理会計への対応、および、SOX法(Sarbanes−Oxley act、不正会計に対処するための米国の法律で、財務報告に関わる内部統制を規定)対策、などを目的に、大企業を中心に、中堅・中小企業において導入が進められている。 The ERP package is called an integrated business package, and is software that integrates systems related to the core business of a company, such as financial / accounting systems, production systems, sales systems, procurement systems, inventory systems, and personnel systems. Management of data by grasping business details in real time, speeding decision-making, dealing with consolidated settlement and management accounting, and the SOX Act (Sarbanes-Oxley act, US to deal with fraudulent accounting In order to take measures such as internal control related to financial reporting under the law in Japan, introduction is being promoted in small and medium-sized enterprises, mainly large enterprises.
このような複数の業務システムにおけるユーザ情報を管理する技術として、例えば、特許文献1に記載のものがある。
As a technique for managing user information in such a plurality of business systems, for example, there is one described in
この技術は、複数の業務システムにおいて個々にユーザ認証機能を開発する負担を軽減することを目的としたものであり、複数の業務システムが共通のセキュリティ機能すなわちユーザ認証機能を利用できるようにすることによって、個々の業務システムがユーザ認証機能を個別開発しなくて済むことを可能にする技術である。 The purpose of this technology is to reduce the burden of developing individual user authentication functions in multiple business systems, and to enable multiple business systems to use common security functions, that is, user authentication functions. Thus, it is a technology that enables each business system to eliminate the need to develop a user authentication function individually.
具体的には、イントラネットに接続された複数の業務システムを管理するための管理サーバ・システムにおいて、複数の業務システムそれぞれに対応して設けられたオペレータ権限者に関連して設定された識別情報と、オペレータ権限者がアクセス可能な業務システムとの対応関係を示した検索テーブルを用意し、クライアント端末において、ブラウジングされた選択画面上で選択された業務システムと、入力欄に入力されたオペレータ権限者の識別情報とに基づき、上記検索テーブルを参照して、選択された業務システムへのアクセスをオペレータ権限者に対して許可するか否かを判定し、その判定結果に基づいて、選択された業務システムへのアクセスを許可するまたは不許可にする技術である。 Specifically, in a management server system for managing a plurality of business systems connected to an intranet, identification information set in association with an operator authority provided corresponding to each of the plurality of business systems; Prepare a search table showing the correspondence with the business system that can be accessed by the operator authority. On the client terminal, the business system selected on the browsed selection screen and the operator authority entered in the input field. Based on the identification information, the above-mentioned search table is referred to determine whether to allow the operator authority to access the selected business system, and based on the determination result, the selected business A technology that allows or disallows access to a system.
しかし、この技術では、検索テーブルの内容の変更等は、検索テーブル自体で管理される高レベル権限者によって行われており、ユーザ管理が煩雑で工数が掛かってしまう。さらに、高レベル権限者による不正な検索テーブル内容の変更操作を防ぐことができず、昨今の「内部統制(SOX法)」や「個人情報保護法」の対応が十分ではない。 However, in this technique, the contents of the search table are changed by a high-level authorized person managed by the search table itself, and user management is complicated and takes time. Furthermore, it is not possible to prevent an unauthorized operation of changing the contents of the search table by a high-level authorized person, and the correspondence with the recent “internal control (SOX method)” and “personal information protection law” is not sufficient.
解決しようとする問題点は、従来の技術では、ERPシステムのユーザ管理を、システム管理者が人手により行っており、ユーザ管理操作が煩雑で工数が掛かってしまうと共に、「内部統制(SOX法)」や「個人情報保護法」への対応が不十分な点である。 The problem to be solved is that, in the prior art, the user management of the ERP system is performed manually by the system administrator, and the user management operation is complicated and time-consuming, and “internal control (SOX method) ”And“ Personal Information Protection Law ”.
本発明の目的は、これら従来技術の課題を解決し、ERPシステムにおけるユーザ情報の管理処理の効率化、ユーザ情報に対するセキュリティ機能の向上を可能とすることである。 An object of the present invention is to solve these problems of the prior art and to improve the efficiency of user information management processing in the ERP system and improve the security function for user information.
上記目的を達成するため、本発明においては、(1)LDAPサーバから、当該LDAPサーバが管理するユーザ情報を取得し、ERPシステムにおけるユーザIDの自動登録および権限変更を行うことで、システム管理者のユーザ管理に対する工数を削減する。(2)また、ユーザがシステムにログオン(「ログイン」ともいう)するたびに、LDAPサーバからユーザ情報を取得して自システムにおけるユーザ情報を更新することで、本来ユーザに許可された権限のみを再配布するようにし、ユーザに付与された権限情報を悪意により変更された場合でも、悪意を持ったユーザによる権限を改竄してのログオンを阻止することができる。 In order to achieve the above object, in the present invention, (1) a system administrator obtains user information managed by the LDAP server from the LDAP server, automatically registers a user ID in the ERP system, and changes authority. Reduce man-hours for user management. (2) Each time a user logs on to the system (also referred to as “login”), the user information is acquired from the LDAP server and the user information in the own system is updated. Even if the authority information given to the user is changed by malicious redistribution, logon by falsifying the authority by the malicious user can be prevented.
本発明によれば、自動的にユーザマスタのメンテナンスを実施することができ、ユーザ管理に対するシステム管理者の工数を大幅に削減することが可能であり、かつ、悪意を持ったユーザに対するセキュリティ機能を向上させることが可能である。 According to the present invention, maintenance of a user master can be automatically performed, the number of man-hours of a system administrator for user management can be significantly reduced, and a security function for a malicious user can be provided. It is possible to improve.
以下、図を用いて本発明を実施するための最良の形態例を説明する。図1Aは、本発明に係るERPユーザ管理システムの構成例を示すブロック図であって、図1Aにおいて、1はERPシステムとしてのSAP(登録商標)システム(以下「ERPシステム」と記載)、101はユーザ登録の申請者が通信等に用いる端末(図中「ユーザID申請者」と記載)、102は申請者の上長が通信等に用いる端末(図中「申請者の上長」と記載)、103は主管元が通信等に用いる端末(図中「主管元」と記載)、104はユーザが通信等に用いる端末(図中「ユーザ」と記載)、114はディレクトリサービスを実行するLDAPシステムであり、それぞれ、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理手段(処理部)の機能を実行する。尚、ERPシステム1と各端末101〜104およびLDAPシステム114はネットワークで接続され、当該ネットワークを介してデータの送受信を行う。
The best mode for carrying out the present invention will be described below with reference to the drawings. FIG. 1A is a block diagram showing a configuration example of an ERP user management system according to the present invention. In FIG. 1A,
LDAPシステム114は、プログラムされたコンピュータで実現される機能としてLDAPサーバ114aとユーザマスタ114bを有し、LDAP(Lightweight Directory Access Protocol)、すなわち、インターネットやイントラネットなどのTCP/IPネットワークで、ディレクトリデータベースにアクセスするためのプロトコルを実行するものであり、LDAPサーバ114aにより、ユーザマスタ114bにおいて管理している組織全体の個人情報(各個人のLDAP・ID、氏名、メールアドレス、所属部署、職制など)のアクセス(読み出し処理、書き込み処理)制御を行っている。
The LDAP
また、端末101〜104のそれぞれは、プログラムされたコンピュータで実現される機能としてのブラウザ101a,102a,103a,104aをそれぞれ具備し、各ブラウザ101a,102a,103a,104aを介してERPシステム1との情報のやり取りを行う。
Each of the
このERPシステム1は、プログラムされたコンピュータによる処理で実現する手段として、申請・承認機能2、LDAP連携機能3、データ記憶部4、LDAPサーバ検索機能109、メール送信機能110を有する。
The
申請・承認機能23は、ユーザ申請受付機能105、上長承認機能106、主管元承認機能107、ユーザ認証機能108を具備し、LDAP連携機能3は、ユーザ登録機能111、権限追加機能112、ユーザ情報同期機能113を具備している。
The application / approval function 23 includes a user
また、データ管理部4は、ハードディスク装置等の記憶装置を用いて、申請一覧テーブル4a、追加申請一覧テーブル4b、権限管理テーブル4c、追加権限管理テーブル4d、主管元管理テーブル4e、ユーザマスタ4fにおけるデータの登録(生成・削除)管理を行っている。
In addition, the
以下、ERPシステム1が具備するこれらの各各機能について説明する。
Hereinafter, each of these functions of the
申請・承認機能2において、ユーザ申請受付機能105は、図1Bに示すように、LDAP情報取得手段105a、権限情報取得手段105b、LDAP情報格納手段105c、権限追加処理手段105d、通知処理手段105eを具備し、ユーザ登録申請者が用いる端末101からのユーザ登録申請(当該ユーザのIDおよび上長のIDを含む)の受付処理、当該上長が用いる端末102に対する申請内容の通知処理を実行する。
In the application /
上長承認機能106は、図1Cに示すように、申請情報処理手段106a、ユーザ登録処理実行手段106b、追加権限処理手段106c、通知処理手段106d、申請情報削除処理手段106eを具備し、ユーザ登録申請が上長用の端末102において却下された場合には、端末101に対するユーザ登録申請の差し戻し処理を行い、ユーザ登録申請が承認された場合には、ユーザ登録機能111を使用して、端末101から入力されたIDのユーザの所属部署と職制に該当する権限が付与されたユーザ情報(ユーザマスタ4f)を作成し、さらにユーザ登録申請に追加権限が含まれている場合は、メール送信機能110を使用して、権限の主管元が用いる端末103に対して、追加権限申請を通知する。
As shown in FIG. 1C, the
主管元承認機能107は、図1Dに示すように、追加申請処理手段107a、権限追加処理手段107b、通知処理手段107c、情報削除処理手段107dを具備し、主管元用の端末103に対して追加権限申請を行い、追加権限申請が主管元用の端末103において承認された場合、権限追加機能112を使用して、追加権限を付与し、却下された場合には、端末101に対して追加権限依頼の差し戻し処理を実行する。
As shown in FIG. 1D, the
ユーザ認証機能108は、図1Eに示すように、LDAP情報処理手段108a、ログオン処理手段108bを具備し、ユーザ用の端末104を介してユーザがシステムにログオンする際に、ユーザ情報同期機能113を使用して、ユーザマスタ4fに登録している情報を、LDAPシステム114におけるLDAPサーバ114aが管理制御しているユーザマスタ114bに登録している情報に同期させて更新する。
As shown in FIG. 1E, the
これにより、ユーザ用の端末104からユーザがログオンする際には、常に、ユーザマスタ4fにおける情報(ユーザ情報)が最新の情報(所属部署、職制など)となり、かつ、故意に不正な権限を割り当てていても適正な権限にリフレッシュ(更新)されるので、セキュリティ対策を効率的に行うことができる。
As a result, when a user logs on from the
LDAPサーバ検索機能109は、LDAP・IDをキーにLDAPシステム114から各種情報を取得し、メール送信機能110は、例えば、送付先のLDAP・IDに基づき、LDAPサーバ検索機能109を使用して、送付先のメールアドレスを取得し、申請内容の通知、差し戻し通知等を行う。
The LDAP
LDAP連携機能3において、ユーザ登録機能111は、申請・承認機能2における上長承認機能106からの指示に応じてユーザ登録処理を実行する。この際、必要な情報は全てLDAPシステム114から取得するので、ERPシステム1上では、ユーザ情報の管理をする必要がなくなる。
In the LDAP
また、権限追加機能112は、申請・承認機能2における主管元承認機能107からの指示に応じて、当該ユーザへの権限の追加を実行し、ユーザ情報同期機能113は、申請・承認機能2におけるユーザ認証機能108からの指示に応じて、LDAPシステム114におけるユーザマスタ114bの情報を基にユーザマスタ4fを更新する。
Further, the
LDAPシステム114において、LDAPサーバ114aは、組織全体の個人情報(LDAP・ID、氏名、メールアドレス、所属部署、職制など)を、ユーザマスタ114bを用いて登録管理制御している。
In the
次に、図2〜図8の各フローチャートと図9A〜9Fの各テーブルを用いて、ERPシステム1の各処理手段(機能)の動作について詳細に説明する。尚、以下に説明する各処理手段(機能)の動作は、例えば取得したデータを主メモリ等の記憶装置を用いて一時記憶する処理や、記憶装置から処理対象のデータを読み出す処理等のデータ処理を含む。
Next, the operation of each processing means (function) of the
図2は、図1におけるユーザ申請受付機能105の処理動作例を示すフローチャートであり、図3は、図1における上長承認機能106の処理動作例を示すフローチャート、図4は、図1における主管元承認機能107の処理動作例を示すフローチャート、図5は、図1におけるユーザ認証機能108の処理動作例を示すフローチャート、図6は、図1におけるユーザ登録機能111の処理動作例を示すフローチャート、図7は、図1における権限追加機能112の処理動作例を示すフローチャート、図8は、図1におけるユーザ情報同期機能113の処理動作例を示すフローチャートである。
2 is a flowchart showing an example of the processing operation of the user
また、図9Aは、図1における権限管理テーブル4cの具体的な内容例を示す説明図であり、図9Bは、図1における主管元管理テーブル4eの具体的な内容例を示す説明図、図9Cは、図1における申請一覧テーブル4aの具体的な内容例を示す説明図、図9Dは、図1における追加申請一覧テーブル4bの具体的な内容例を示す説明図、図9Eは、図1における追加権限管理テーブル4dの具体的な内容例を示す説明図、図9Fは、図1におけるユーザマスタ4fの具体的な内容例を示す説明図である。
9A is an explanatory diagram illustrating a specific content example of the authority management table 4c in FIG. 1, and FIG. 9B is an explanatory diagram illustrating a specific content example of the main management table 4e in FIG. 9C is an explanatory diagram illustrating a specific content example of the application list table 4a in FIG. 1, FIG. 9D is an explanatory diagram illustrating a specific content example of the additional application list table 4b in FIG. 1, and FIG. FIG. 9F is an explanatory diagram showing a specific example of contents of the additional authority management table 4d in FIG. 9, and FIG. 9F is an explanatory diagram showing a specific example of contents of the
図2に示すように、端末101のブラウザ101aからユーザ登録の申請(当該ユーザのIDおよび申請者の上長のIDを含む)を受信したユーザ申請受付機能105は、まず、LDAP情報取得手段105aにより、ステップS201における処理として、LDAPサーバ検索機能109を使用して、LDAPシステム114のLDAPサーバ114aにアクセスし、当該LDAPサーバ114aが管理するユーザマスタ114b(図9Aに詳細を示すユーザマスタ4fの内容と同等)を参照して、端末101から入力されたユーザIDに対応する所属部署と職位および申請者の上長IDに対応するメールアドレス等の情報を取得する。
As shown in FIG. 2, the user
次に、権限情報取得手段105bにより、ステップS202における処理として、ステップS201の処理で取得した所属部署と職位をキーにして、図9Aに詳細を示す予めデータ登録された権限管理テーブル4cを検索し、当該申請ユーザに割り当てる権限No(権限番号)を選択する。
Next, the authority
そして、LDAP情報格納手段105cにより、ステップS203における処理として、ステップS202の処理で選択した権限Noと、申請ユーザのユーザID(LDAP・ID)、および、申請ユーザの上長のID(LDAP・ID)を、図9Cに詳細を示す申請一覧テーブル4aに格納する。 Then, by the LDAP information storage means 105c, as the process in step S203, the authority No. selected in the process of step S202, the user ID (LDAP / ID) of the application user, and the upper ID (LDAP / ID) of the application user Is stored in the application list table 4a whose details are shown in FIG. 9C.
また、権限追加処理手段105dにより、ステップS204における処理とて、端末101から、申請ユーザ用として、ステップS202の処理で選択した権限以外の権限が必要であると要求されているか否かを判定する。
Further, the authority
権限追加処理手段105dは、新たな権限要求がなされていれば、ステップS205における処理として、図9Aに詳細を示す権限管理テーブル4cに登録されている全ての権限情報を一覧として、端末101の表示装置の画面上にブラウザ101aを介して表示し、当該端末101における操作者(申請者)からの選択を受け付ける。
If a new authority request is made, the authority addition processing means 105d displays a list of all authority information registered in the authority management table 4c shown in detail in FIG. It is displayed on the screen of the apparatus via the
その後、権限追加処理手段105dは、ステップS206における処理として、ステップS205の処理で端末101が追加で選択した権限Noと、当該申請ユーザのLDAP・IDを、図9Dに詳細を示すように追加申請一覧テーブル4bに格納する。
Thereafter, the authority
そして、通知処理手段105eにより、ステップS207における処理として、ステップS204の判定処理で、権限の追加が不要(N)との結果の場合に、または、ステップS206での処理後に、メール送信機能110を使用して、上長用の端末102宛に、申請内容をメールで通知する。その後、ステップS208において図3に示す上長承認機能106の処理を起動する。
Then, the
ユーザ申請受付機能105からの申請内容のメールを受信した端末102では、当該上長の操作に基づきブラウザ102aを起動してERPシステム1にアクセスし、このアクセスに応じて、ERPシステム1は上長承認機能106により、以下のようにして図3に示す処理を実行する。
The terminal 102 that has received the application content email from the user
図3に示すように、上長承認機能106は、まず、申請情報処理手段106aにより、ステップS301における処理として、申請者の上長のLDAP・IDをキーに、ユーザ申請受付機能105がデータ登録した図9Cに詳細を示す申請一覧テーブル4aを検索し、当該上長IDを特定し、特定した上長に、関連する申請一覧を抽出して当該上長用の端末102宛に送信し、ブラウザ102aにより表示させ、申請内容が妥当か否かを、当該上長に問い合わせる。
As shown in FIG. 3, the
ステップS302において、上長用の端末102のブラウザ102aから「妥当(Y)」との回答を受信すると、追加権限処理手段106cにより、ステップS303における処理として、ユーザ登録申請に追加権限が含まれているか否かをチェックする。
In step S302, when a response “valid (Y)” is received from the
追加権限が含まれていれば(Y)、追加権限処理手段106cは、ステップS304における処理として、追加権限の権限Noをキーに、図9Aに詳細例を示す内容のデータを予め格納した権限管理テーブル4cと図9Bに詳細例を示す内容のデータを予め格納した主管元管理テーブル4eを検索して、主管元の担当者LDAP・IDを取得する。
If the additional authority is included (Y), the additional
そして、通知処理手段106dにより、ステップS305における処理として、メール送信機能110を使用して、主管元が用いる端末103宛に申請内容を通知し、ステップS306において、図4に示す主管元承認機能107を起動する。
Then, the notification processing means 106d uses the
ステップS303での判定処理結果が追加権限が含まれていない(N)との結果であれば、または、ステップ305の処理後に、ユーザ登録処理実行手段106bにより、ステップS307における処理として、ユーザ登録機能111を起動し、図5に示す処理を実行させる。尚、この際、ユーザ登録処理実行手段106bは、ユーザ登録機能111に、端末101から入力されたユーザ登録申請者のLDAP・IDを引数として引き渡す。
If the determination processing result in step S303 is a result that (N) does not include additional authority, or after the processing in step 305, the user registration processing execution means 106b performs the user registration function as the processing in step S307. 111 is started and the processing shown in FIG. 5 is executed. At this time, the user registration
また、ステップS302での判定処理結果が申請内容が妥当でない(N)との結果の場合には、通知処理手段106dにより、ステップS308における処理として、メール送信機能110を使用して、端末101宛に差し戻し情報を通知し、その後、ステップS309における処理として、申請情報削除処理手段106eにより、図9Cに詳細を示す申請一覧テーブル4aと図9Dに詳細を示す追加申請一覧テーブル4bから、端末101から入力されたLDAP・IDに関連するエントリを全て削除する。
Further, when the determination processing result in step S302 is a result that the application content is not valid (N), the notification processing means 106d uses the
上長承認機能106からの申請内容のメールを受信した端末103では、主管元の操作に基づきブラウザ103aを起動してERPシステム1にアクセスし、このアクセスに応じて、ERPシステム1は主管元承認機能107により、図4に示す処理を実行する。
The terminal 103 that has received the application content email from the
図4に示すように、主管元承認機能107は、まず、追加申請処理手段107aにより、ステップS401における処理として、主管元の担当者LDAP・IDをキーに、図9Aに示す権限管理テーブル4cと、図9Bに示す主管元管理テーブル4e、および、図9Dに示す追加申請一覧テーブル4bを検索して、追加申請の一覧を生成し、主管元用の端末103に送出してブラウザ103aにより、その表示装置の画面上に表示させ、ステップS402における処理として、申請内容が妥当か否かを、端末103の操作者(主管元)に問い合わせる。
As shown in FIG. 4, the
端末103(主管元)からの回答が「妥当(Y)」であれば、権限追加処理手段107bにより、ステップS403における処理として、LDAP連携機能3における権限追加機能112を起動する。この際、権限追加処理手段1207bは、権限追加機能112に対して、端末101から入力されたユーザ登録申請者のLDAP・IDと追加権限の権限Noを引数として引き渡す。
If the answer from the terminal 103 (supervising source) is “valid (Y)”, the authority
ステップS402の判定処理結果が「N」の場合には、通知処理手段107cにより、ステップS404における処置として、メール送信機能110を使用し、端末101宛に差し戻し情報を通知し、その後、情報削除処理手段107dにより、ステップS405における処理として、追加申請一覧テーブル4bから当該ユーザ登録申請者のLDAP・IDに関連するエントリを全て削除する。
When the determination processing result in step S402 is “N”, the
図5においては、ユーザ認証機能108の処理動作を示しており、ユーザ認証機能108は、端末104からブラウザ104aを介してユーザのログオン要求があれば、LDAP情報処理手段108aにより、ステップS501における処理として、ユーザ情報同期機能113を起動し、最新のユーザ情報を取得する。この際、LDAP情報処理手段108aは、ユーザ情報同期機能113に対して、端末104から入力された登録対象ユーザのLDAP・IDを引数として引き渡す。
FIG. 5 shows the processing operation of the
そして、ステップS502における処理として、ログオン処理手段108bにより、ユーザ情報同期機能113により最新とされたユーザ情報とそれに伴う権限に基づき、端末104をERPシステム1へログオンさせる。
In step S502, the logon processing unit 108b causes the terminal 104 to log on to the
図6においては、LDAP連携機能3におけるユーザ登録機能111の処理動作を示しており、ユーザ登録機能111は、上長承認機能106からの指示に応じ、まず、ステップS601において、LDAPサーバ検索機能109を使用してLDAPシステム114にアクセスし、LDAPサーバ114aと連携して、上長承認機能106から引き継いだ登録対象ユーザのLDAP・IDに対応した各種情報をユーザマスタ114bから取得する。
FIG. 6 shows the processing operation of the
次に、ステップS602において、上記ステップS601の処理で取得した各種情報と、申請一覧テーブル4aに格納された権限Noとを用いて、ユーザマスタ4fに、当該ユーザに関してのデータを登録する。
Next, in step S602, data related to the user is registered in the
そして、ステップS603において、メール送信機能110を使用し、端末101宛に、ユーザID登録完了を示す情報を通知し、ステップS604において、申請一覧テーブル4aから、当該ユーザのLDAP・IDに関するエントリを削除する。
In step S603, the
図7においては、LDAP連携機能3における権限追加機能112の処理動作を示しており、権限追加機能112は、主管元承認機能107からの指示に応じ、まず、ステップS701において、主管元承認機能107から引き継いだ登録対象ユーザのLDAP・IDをキーにユーザマスタ4fを検索し、このユーザマスタ4fにおける当該ユーザのエントリに、主管元承認機能107から引き継いだ追加権限の権限Noを追加する。
FIG. 7 shows the processing operation of the
次に、ステップS702において、主管元承認機能107から引き継いだ登録対象ユーザのLDAP・IDと追加した権限Noとを対応付けて、追加権限管理テーブル4dに格納する。
Next, in step S702, the LDAP / ID of the registration target user inherited from the
その後、ステップS703において、メール送信機能110を使用して端末101宛に権限追加完了を示す情報を通知し、ステップS704において、追加申請一覧テーブル4bから、主管元承認機能107から引き継いだ登録対象ユーザのLDAP・IDと追加した権限Noに関連するエントリを削除する。
After that, in step S703, the
図8においては、LDAP連携機能3におけるユーザ情報同期機能113の処理動作例を示しており、ユーザ情報同期機能113は、ユーザ認証機能108からの指示に応じて、まず、ステップS801において、LDAPサーバ検索機能109を使用してLDAPシステム114にアクセスし、LDAPサーバ114aと連携して、ユーザ認証機能108から引き継いだ端末104のユーザのLDAP・IDに対応した各種情報をユーザマスタ114bから取得する。
FIG. 8 shows an example of the processing operation of the user
次に、ステップS802において、上記ステップS801の処理で取得した各種情報とユーザマスタ4fにおける情報との間に差異があるか否かをチェックする。
Next, in step S802, it is checked whether or not there is a difference between the various information acquired in the process of step S801 and the information in the
差異があれば(「Y」の場合)、ステップS803において、ステップS801の処理で取得した情報を用いてユーザマスタ4fにおける当該情報を更新する。
If there is a difference (in the case of “Y”), in step S803, the information in the
その後、あるいは、ステップS802の判定結果が「N」の場合(差異がない場合)、ステップS804において、ユーザ認証機能108から引き継いだ端末104のユーザのLDAP・IDと、ユーザマスタ4fの所属部署と職位をキーに権限管理テーブル4cを検索して、当該ユーザに付与された権限Noを取得する。
After that, or when the determination result in step S802 is “N” (when there is no difference), in step S804, the user's LDAP / ID of the terminal 104 handed over from the
さらに、ステップS805において、端末104のユーザLDAP・IDをキーに追加権限管理テーブル4dを検索して、当該ユーザに付与された追加権限の権限Noを取得し、ステップS806において、ステップS804の処理で取得した権限NoとステップS805の処理で取得した権限Noのそれぞれ(図中「丸1,2」と記載)と、ユーザマスタ4fにおいて当該ユーザに対して付与されている権限Noとを比較して、差異の有無を判定する。
Further, in step S805, the additional authority management table 4d is searched using the user LDAP ID of the terminal 104 as a key, and the authority No. of the additional authority given to the user is acquired. In step S806, the process of step S804 is performed. Each of the acquired authority No. and the authority No. acquired in the process of step S805 (described as “
そして、差異があれば(「Y」の場合)、ステップS807において、ユーザマスタ4fから全ての権限Noを除外(削除)し、ステップS804,S805のそれぞれの処理で取得した権限Noを新たに付与して処理を終了する。
If there is a difference (in the case of “Y”), in step S807, all authority Nos. Are excluded (deleted) from the
以上、図1〜図9Fを用いて説明したように、本例のERPユーザ情報管理技術では、ユーザ申請受付機能105において、ユーザ登録申請者が操作する通信端末101からのユーザ登録申請要求を受信すると、LDAP情報取得部105aおよびLDAPサーバ検索機能109により、LDAPシステム114におけるLDAPサーバ114aにアクセスし、このLDAPサーバ114aが予めユーザマスタ114bとして記憶管理しているユーザ情報を参照して、受信したユーザ登録申請要求に含まれるユーザ識別子(ユーザID)に対応する所属部署と職位および権限を少なくとも含むユーザ情報を取得し、ユーザ登録機能111により、取得したユーザ情報を当該ユーザIDに対応付けてERPシステムのユーザマスタ情報として生成して記憶装置(ユーザマスタ4f)に格納することを特徴とする。
As described above with reference to FIGS. 1 to 9F, in the ERP user information management technology of this example, the user
また、上長承認機能106においては、ユーザ登録機能111によるユーザマスタ4fの生成・格納を行う前に、通信端末101から受信したユーザ登録申請要求を、当該ユーザ登録申請者の上長が操作する通信端末102に通知し、この上長によるユーザ登録申請要求の妥当性の判定を依頼し、この上長通信端末102から妥当であるとの判定結果を受信した後に、ユーザ登録機能111によるユーザマスタ4fの生成・格納を行うことを特徴とする。
In the
また、ユーザ申請受付機能105は、ユーザ登録機能111によるユーザマスタ4fの生成・格納を行う前に、通信端末101から受信したユーザ登録申請要求に、LDAPサーバ114aから取得した権限以外の追加権限の要求があるか否かを判定し、追加権限要求があれば、予め定められた主管元の担当者が操作する通信端末103に、当該追加権限要求を通知し、主管元担当者による妥当性の判定を依頼し、この主管元通信端末103から妥当であるとの判定結果を受信すれば、当該追加権限を、ユーザ情報に付加した後に、ユーザ登録機能111によるユーザマスタ4fの生成・格納を行うことを特徴とする。
In addition, the user
また、ユーザが操作する通信端末104からのユーザログオン要求があれば、ユーザ認証機能108において、LDAPサーバ検索機能109を介してLDAPサーバ114aにアクセスし、このLDAPサーバ114aのユーザマスタ114bから、ログオン要求してきたユーザの識別子に対応するユーザ情報を取得して、ユーザ登録機能111により格納した当該ユーザ識別子に対応付けられたユーザマスタ情報を更新することを特徴とする。
If there is a user logon request from the
このようなERPユーザ情報管理技術を具備したERPシステム1(SAP(登録商標)システム)は、LDAPサーバ114aから、当該LDAPサーバ114aがユーザマスタ114bで管理するユーザ情報を取得し、ユーザIDの自動登録および権限変更を行う。これにより、システム管理者のユーザ管理に対する工数を削減することができる。
The ERP system 1 (SAP (registered trademark) system) equipped with such an ERP user information management technology acquires user information managed by the
特に、ユーザがERPシステム1にログオンするたびに、LDAPサーバ114aがユーザマスタ114bで管理するユーザ情報を取得することで、本来ユーザに許可された権限のみを再配布する。これにより、ユーザに付与された権限情報を悪意により変更された場合でも、このような悪意を持ったユーザの権限を越えてのログオンを防止することができる。
In particular, whenever the user logs on to the
このように、本例によれば、自動的に、ERPシステム1におけるユーザマスタ4fのメンテナンスを実施することができ、ユーザ管理に対するシステム管理者の工数を大幅に削減し、かつ、悪意を持ったユーザに対するセキュリティ機能を向上させることが可能である。
As described above, according to this example, the maintenance of the
尚、本発明は、図1〜図9Fを用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、ERPシステムとしてSAP(登録商標)システムを例に説明したが、他のERPシステムにも適用可能である。 In addition, this invention is not limited to the example demonstrated using FIGS. 1-9F, In the range which does not deviate from the summary, various changes are possible. For example, in this example, the SAP (registered trademark) system has been described as an example of the ERP system, but the present invention can also be applied to other ERP systems.
また、本例では、端末101からのユーザ申請者によるユーザ登録申請要求に、登録対象のユーザ識別子(ユーザID)と共に上長のユーザ識別子(ユーザID)を含ませているが、LDAPサーバ114aが管理するユーザマスタ114b(図9Fにおけるユーザマスタ4f)において、ユーザIDに上長ユーザ識別子(ユーザID)を対応付けておくことにより、ユーザ登録申請要求時における上長のユーザ識別子(ユーザID)の通知を不要とすることでも良い。
Further, in this example, the user registration application request from the terminal 101 by the user applicant includes the upper user identifier (user ID) together with the user identifier to be registered (user ID), but the
また、このような図9Fにおけるユーザマスタ4fを含め、図9A〜図9Fのそれぞれで示される各テーブルにおけるデータ例は、実施の状況に応じて適宜に設定されるものである。
Moreover, the data example in each table shown by each of FIG. 9A-FIG. 9F including the
また、本例のコンピュータ構成例においても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。 Also, the computer configuration example of this example may have a computer configuration without a keyboard or optical disk drive. In this example, an optical disk is used as a recording medium, but FD or the like may be used as a recording medium. As for the program installation, the program may be downloaded and installed via a network via a communication device.
1:ERPシステム(SAP(登録商標)システム)、2:申請・承認機能、3:LDAP連携機能、4:データ記憶部、4a:申請一覧テーブル、4b:追加申請一覧テーブル、4c:権限管理テーブル、4d:追加権限管理テーブル、4e:主管元管理テーブル、4f:ユーザマスタ、101〜104:端末、101a〜104a:ブラウザ、105:ユーザ申請受付機能、105a:LDAP情報取得手段、105b:権限情報取得手段、105c:LDAP情報格納手段、105d:権限追加処理手段、105e:通知処理手段、106:上長承認機能、106a:申請情報処理手段、106b:ユーザ登録処理実行手段、106c:追加権限処理手段、106d:通知処理手段、106e:申請情報削除処理手段、107:主管元承認機能、107a:追加申請処理手段、107b:権限追加処理手段、107c:通知処理手段、107d:情報削除処理手段、108:ユーザ認証機能、108a:LDAP情報処理手段、108b:ログオン処理手段、109:LDAPサーバ検索機能、110:メール送信機能、111:ユーザ登録機能、112:権限追加機能、113:ユーザ情報同期機能、114:LDAPシステム、114a:LDAPサーバ、114b:ユーザマスタ。
1: ERP system (SAP (registered trademark) system) 2: Application / approval function 3: LDAP link function 4:
Claims (7)
ユーザ登録申請者が操作する通信端末からのユーザ登録申請要求を受信する第1のステップと、
LDAPサーバにアクセスし、該LDAPサーバが予め記憶管理しているユーザ情報を参照して、上記第1のステップで受信したユーザ登録申請要求に含まれるユーザ識別子に対応する所属部署と職位および権限を少なくとも含むユーザ情報を取得する第2のステップと、
該第2のステップで取得したユーザ情報を当該ユーザ識別子に対応付けてERPシステムのユーザマスタ情報として記憶装置に格納する第3のステップと
を有することを特徴とするERPユーザ情報管理方法。 A method for registering / updating user information of an ERP system by a programmed computer,
A first step of receiving a user registration application request from a communication terminal operated by a user registration applicant;
Access the LDAP server, refer to the user information stored and managed in advance by the LDAP server, and determine the department, position and authority corresponding to the user identifier included in the user registration application request received in the first step. A second step of acquiring at least user information including:
And a third step of storing the user information acquired in the second step in the storage device as user master information of the ERP system in association with the user identifier.
上記第3のステップの前に、
上記ユーザ登録申請要求を、当該ユーザ登録申請者の上長が操作する通信端末に通知して当該上長による上記ユーザ登録申請要求の妥当性の判定結果を受信する第4のステップを有し、
該第4のステップで、上長通信端末から妥当であるとの判定結果を受信した後に、上記第3のステップを実行することを特徴とするERPユーザ情報管理方法。 The ERP user information management method according to claim 1,
Before the third step,
A fourth step of notifying the user registration application request to a communication terminal operated by a superior of the user registration applicant and receiving a determination result of the validity of the user registration application request by the superior;
An ERP user information management method, wherein the third step is executed after receiving the determination result that is appropriate from the superior communication terminal in the fourth step.
上記第3のステップの前に、
上記第1のステップで受信したユーザ登録申請要求に、上記第2のステップで上記LDAPサーバから取得した権限以外の追加権限の要求があるか否かを判定する第5のステップと、
追加権限要求があれば、予め定められた主管元の担当者が操作する通信端末に、当該追加権限要求を通知して該通信端末から当該主管元担当者による上記追加権限要求の妥当性の判定結果を受信する第6のステップと、
主管元通信端末から上記追加権限要求が妥当であるとの判定結果を受信すれば、当該追加権限を、上記第2のステップで取得したユーザ情報に付加する第7のステップと
を有することを特徴とするERPユーザ情報管理方法。 The ERP user information management method according to claim 1, wherein:
Before the third step,
A fifth step for determining whether the user registration application request received in the first step includes a request for additional authority other than the authority acquired from the LDAP server in the second step;
If there is an additional authority request, the communication terminal operated by a person in charge of a predetermined supervisor is notified of the additional authority request, and determination of the validity of the additional authority request by the supervisor in charge from the communication terminal A sixth step of receiving results;
And a seventh step of adding the additional authority to the user information acquired in the second step when receiving a determination result that the additional authority request is valid from the managing communication terminal. ERP user information management method.
通信端末からのユーザログオン要求があれば、上記LDAPサーバにアクセスし、該LDAPサーバからログオン要求してきたユーザの識別子に対応するユーザ情報を取得して、上記第3のステップで格納した当該ユーザ識別子に対応付けられたユーザマスタ情報を更新する第8のステップ
を有することを特徴とするERPユーザ情報管理方法。 An ERP user information management method according to any one of claims 1 to 3,
If there is a user logon request from the communication terminal, the user identifier is accessed by accessing the LDAP server, obtaining user information corresponding to the identifier of the user who has requested the logon from the LDAP server, and storing the user identifier stored in the third step. An ERP user information management method comprising an eighth step of updating the user master information associated with the ERP.
請求項1から請求項4のいずれかに記載のERPユーザ情報管理方法における各ステップでの処理を実行する手段を具備したことを特徴とするERPユーザ情報管理装置。 A system for registering and updating ERP system user information by a programmed computer,
5. An ERP user information management apparatus comprising means for executing processing at each step in the ERP user information management method according to claim 1.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007058218A JP2008217740A (en) | 2007-03-08 | 2007-03-08 | Erp user information management method and device, and erp system and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007058218A JP2008217740A (en) | 2007-03-08 | 2007-03-08 | Erp user information management method and device, and erp system and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008217740A true JP2008217740A (en) | 2008-09-18 |
Family
ID=39837664
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007058218A Pending JP2008217740A (en) | 2007-03-08 | 2007-03-08 | Erp user information management method and device, and erp system and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008217740A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102609806A (en) * | 2012-01-08 | 2012-07-25 | 山西太钢不锈钢股份有限公司 | Automatic water and powder deducting method of metallurgy raw materials based on check result |
CN103208045A (en) * | 2013-03-13 | 2013-07-17 | 北京税恒科技有限公司 | Enterprise tax resource planning system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002032529A (en) * | 2000-07-14 | 2002-01-31 | Toroku Kanri Network Kk | Vehicle registration electronic application mediation system |
JP2004246565A (en) * | 2003-02-13 | 2004-09-02 | Nec Access Technica Ltd | Simple home page browsing system by image display terminal |
JP2006120039A (en) * | 2004-10-25 | 2006-05-11 | Hitachi Information Systems Ltd | Operation information takeover system and operation information takeover method |
JP2006344000A (en) * | 2005-06-09 | 2006-12-21 | Quality Kk | E-mail system, e-mail transmission/reception program, and program for e-mail system |
-
2007
- 2007-03-08 JP JP2007058218A patent/JP2008217740A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002032529A (en) * | 2000-07-14 | 2002-01-31 | Toroku Kanri Network Kk | Vehicle registration electronic application mediation system |
JP2004246565A (en) * | 2003-02-13 | 2004-09-02 | Nec Access Technica Ltd | Simple home page browsing system by image display terminal |
JP2006120039A (en) * | 2004-10-25 | 2006-05-11 | Hitachi Information Systems Ltd | Operation information takeover system and operation information takeover method |
JP2006344000A (en) * | 2005-06-09 | 2006-12-21 | Quality Kk | E-mail system, e-mail transmission/reception program, and program for e-mail system |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102609806A (en) * | 2012-01-08 | 2012-07-25 | 山西太钢不锈钢股份有限公司 | Automatic water and powder deducting method of metallurgy raw materials based on check result |
CN103208045A (en) * | 2013-03-13 | 2013-07-17 | 北京税恒科技有限公司 | Enterprise tax resource planning system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10705801B2 (en) | Data processing systems for identity validation of data subject access requests and related methods | |
US11334682B2 (en) | Data subject access request processing systems and related methods | |
US11210420B2 (en) | Data subject access request processing systems and related methods | |
US11138336B2 (en) | Data processing systems for generating and populating a data inventory | |
US10346637B2 (en) | Data processing systems for the identification and deletion of personal data in computer systems | |
US11449633B2 (en) | Data processing systems and methods for automatic discovery and assessment of mobile software development kits | |
US20190096020A1 (en) | Consent receipt management systems and related methods | |
US20130080548A1 (en) | Email Enabled Project Management Applications | |
US10776514B2 (en) | Data processing systems for the identification and deletion of personal data in computer systems | |
US20210294913A1 (en) | Distributed ledger platform for access control | |
US20220121777A1 (en) | Data subject access request processing systems and related methods | |
US20220269819A1 (en) | Application privacy scanning systems and related methods | |
US11222309B2 (en) | Data processing systems for generating and populating a data inventory | |
JP2006330846A (en) | Access controller, access control method and program | |
JP5341695B2 (en) | Information processing system, information processing method, and program | |
JP2008217740A (en) | Erp user information management method and device, and erp system and program | |
JP4954487B2 (en) | Member information management center apparatus and member information management method | |
KR101709952B1 (en) | Management server and method for detecting personal information | |
KR20070065119A (en) | System and method for opening(or registering) and working community exclusive account, devices for opening(or registering) community exclusive account, devices for working community exclusive account and recording medium | |
US11544667B2 (en) | Data processing systems for generating and populating a data inventory | |
US11651104B2 (en) | Consent receipt management systems and related methods | |
JP6852752B2 (en) | Security management system and security management method | |
JP2010049553A (en) | Account information management system, management method, and computer program | |
JP5981279B2 (en) | Member service provision system | |
US20190319959A1 (en) | Novel Technology for Securing Access to an Enterprise Information System Through a Natural Language Interface |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100319 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100607 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100817 |