JP2009054086A - Information providing device - Google Patents
Information providing device Download PDFInfo
- Publication number
- JP2009054086A JP2009054086A JP2007222445A JP2007222445A JP2009054086A JP 2009054086 A JP2009054086 A JP 2009054086A JP 2007222445 A JP2007222445 A JP 2007222445A JP 2007222445 A JP2007222445 A JP 2007222445A JP 2009054086 A JP2009054086 A JP 2009054086A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- server
- service
- content
- service providing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、端末とネットワークを介して接続し、ユーザからのアクセス制御を実現して複数のサービスを提供する装置に関する。 The present invention relates to an apparatus that provides a plurality of services by connecting to a terminal via a network and realizing access control from a user.
インターネットを介してWeb上でサービスを提供する情報提供装置(Webシステム)が多数構築されているが、その中には個人への情報提供や企業間の取引を行うものなど、保護を行う必要のある情報(コンテンツ)が存在する。このため、Webシステムにおいては、個人の認証によるコンテンツへのアクセス制御機能が導入され、コンテンツへのアクセス制御をサービス提供時に実現している。一方で、業務の効率化などを図るため、コンテンツを複数のサービスから利用するというニーズが存在している。 Many information providing devices (Web systems) that provide services on the Web via the Internet have been built, but some of them need to be protected, such as those that provide information to individuals and transactions between companies Some information (content) exists. For this reason, in the Web system, an access control function for content by personal authentication is introduced, and access control to the content is realized at the time of service provision. On the other hand, there is a need to use content from a plurality of services in order to improve business efficiency.
従来のWebシステムのアクセス制御装置では、コンテンツを新たに作成すると、ポリシーサーバはこのコンテンツに係る作成者或いは管理者が設定したセキュリティの属性と、企業などの組織のセキュリティポリシーが記述されているセキュリティポリシーデータに基づいて、アクセス制御リストを作成する。作成されたアクセス制御リストは、サービスを提供する文書管理サーバに保存される。利用者がこのコンテンツにアクセスするときには、このコンテンツを提供する文書管理サーバにアクセスを行い、文書管理サーバに保存されたアクセス制御リストを基にアクセスの許可を得てコンテンツにアクセスする。(例えば、特許文献1参照)。 In a conventional Web system access control device, when a new content is created, the policy server describes the security attributes set by the creator or administrator of the content and the security policy of the organization such as a company. Create an access control list based on the policy data. The created access control list is stored in the document management server that provides the service. When the user accesses this content, the user accesses the document management server that provides the content, and accesses the content with permission of access based on the access control list stored in the document management server. (For example, refer to Patent Document 1).
従来の情報提供装置では、1つのコンテンツが複数のサービスで提供される共有コンテンツの場合、サービスを提供するサーバごとにアクセス制御リストが必要となり、共有コンテンツの追加、削除やアクセス権限の変更があると、このコンテンツを提供する複数のサーバのアクセス制御リストを連動して変更しなければならないという問題点があった。 In the conventional information providing apparatus, when one content is shared content provided by a plurality of services, an access control list is required for each server that provides the service, and there is addition / deletion of shared content and change of access authority. In addition, there is a problem that the access control lists of a plurality of servers that provide the content must be changed in conjunction.
この発明は、上述のような問題を解決するためになされたもので、複数のサービスで提供される共有コンテンツのアクセス権限を一元的に管理することにより、複数のサーバのアクセス制御リストを連動して変更する必要をなくすことを課題とする。 The present invention has been made to solve the above-described problems. By integrally managing the access rights of shared contents provided by a plurality of services, the access control lists of a plurality of servers are linked. The challenge is to eliminate the need for changes.
この発明に係る情報提供装置においては、クライアント端末から共有コンテンツに接続する複数のサービス提供サーバへのアクセス制御を、この共有コンテンツへのアクセス可否の判断の基となるデータであるアクセス制御データを有するアクセス制御サーバにより行うものである。 In the information providing apparatus according to the present invention, the access control to the plurality of service providing servers connected to the shared content from the client terminal has access control data that is data used as a basis for determining whether to access the shared content. This is performed by the access control server.
この発明は、サービス提供サーバへのアクセス可否をアクセス制御サーバで一元的に判断することにしたので、アクセス権限の変更をアクセス制御データのみの変更で行うことができる。これにより、複数のサーバのアクセス制御リストを連動して変更することをなくすことができる。 According to the present invention, the access control server centrally determines whether or not the service providing server can be accessed, so that the access authority can be changed by changing only the access control data. As a result, it is possible to avoid changing the access control lists of a plurality of servers in conjunction with each other.
実施の形態1.
図1はこの発明を実施するための実施の形態1における情報提供装置の概略構成図、図2はこの発明を実施するための実施の形態1におけるアクセス制御サーバの機能ブロック図、図3はこの発明を実施するための実施の形態1におけるユーザ情報データの例を示す説明図、図4はこの発明を実施するための実施の形態1における各サーバが提供するサービスの例を示す説明図、図5はこの発明を実施するための実施の形態1におけるサービス提供サーバが必要とするアクセス権限の設定例を示す説明図、図6はこの発明を実施するための実施の形態1におけるサービス提供サーバが必要とするアクセス権限の設定例を示す説明図、図7はこの発明を実施するための実施の形態1におけるコンテンツの例を示す説明図、図8はこの発明を実施するための実施の形態1におけるコンテンツの例を示す説明図、図9はこの発明を実施するための実施の形態1におけるコンテンツを一意に特定する表現例を示す説明図、図10はこの発明を実施するための実施の形態1におけるアクセス制御サーバの例を示す説明図である。
FIG. 1 is a schematic configuration diagram of an information providing apparatus according to
図1において、コンテンツを提供するWebシステム1とコンテンツを要求するクライアント端末3がネットワーク2を介して接続されている。図1ではクライアント端末3は1台しか記載していないが、通常は複数接続されている。このWebシステム1はユーザによる前述のクライアント端末3からのアクセスによりユーザを認証する認証サーバ100、ユーザの情報を格納しているユーザ情報データ101、サービスをまたがってアクセス制御を実現するアクセス制御サーバ102、このアクセス制御サーバ102が用いる情報を格納するアクセス制御データ103、前述のクライアント端末3からの要求に対し情報を提供する複数のサービス提供サーバ12、13、これら複数のサービス提供サーバのうちサービス提供サーバ12のみが用いるコンテンツ121、サービス提供サーバ13のみが用いるコンテンツ131、サービス提供サーバ12およびサービス提供サーバ13の両方が共有して用いるコンテンツ141から構成され、上記のうち認証サーバ100、ユーザ情報データ101、アクセス制御サーバ102、サービス提供サーバ12および13はWebシステム1内のネットワークであるLAN(Local Area Network)11を介して相互に接続している。このLAN11は前述のネットワーク2に接続している。
In FIG. 1, a
認証サーバ100は、クライアント端末3からアクセスするユーザがログインしているかどうかを管理する。ユーザがログインするためクライアント端末3でユーザID、パスワードもしくはそれに代わる識別符号を入力してWebシステム1にアクセスすると、前述のユーザID、パスワードもしくはそれに代わる識別符号と、ユーザ情報データ101に格納された情報とを比較することにより、当該ユーザがログイン可能かどうかを判定する。ログインしているユーザのみがアクセス制御サーバ102を介してサービス提供サーバ12、13を利用することができる。ユーザ情報データ101は図3に示す例のように、ユーザIDをキーとしてパスワードと組織や職制などの情報が格納されている。この図3において、サービス提供サーバ12が会社組織に属するユーザのみが利用するサービスを提供し、サービス提供サーバ13が一般のユーザが利用するサービスを提供しているとすると、サービス提供サーバ12にアクセス可能なユーザはユーザIDがA、B、C、Dの各ユーザであり、サービス提供サーバ13にアクセス可能なユーザはユーザIDがE、F、G、H、Iの各ユーザである。
The
図4は、サービス提供サーバ12および13が提供するサービスを示したものである。サービス提供サーバ12は前述のように会社組織に属するユーザのみが利用するサーバであり業務サービスを提供し、サービス提供サーバ13は一般のユーザが利用するサーバであり情報提供サービスを提供する。各サービスの内容は図4の該当欄に記載の通りである。
FIG. 4 shows services provided by the
サービス提供サーバ12では、図5に示すように役割と権限に対して権限を与えるユーザの方針が定められており、サービス提供サーバ13においても、図6に示すように役割と権限に対して権限を与えるユーザが定められている。
As shown in FIG. 5, the
また、サービス提供サーバ12が提供する業務サービスにおけるコンテンツ121には、図7に示すように個々のコンテンツと対応するコンテンツの状態を示すステータスとコンテンツ作成者が登録されており、サービス提供サーバ13が提供する情報提供サービスにおけるコンテンツ131には、図8に示すように個々のコンテンツと対応するコンテンツの状態を示すステータスとコンテンツの作成ユーザ、およびこのコンテンツの開示範囲が登録されている。ただし、両方のサービス提供サーバ12および13が共有するコンテンツ141として「広報Vol.12」が存在しており、このコンテンツは図7に示す業務サービスにおけるコンテンツと図8に示す情報提供サービスにおけるコンテンツの両方の図に示している。
Further, in the
これらのコンテンツおよび操作は、アクセス制御サーバもしくはその他サーバの機能により、定められた表現に基づいて一意に特定できるものとする。例えば、「業務サービス」におけるコンテンツ「10/11打合せ報告書」に対する「修正」操作を行う場合、図9に示すように、サービス、コンテンツ、操作を例えば「http://Web……」で始まる形式で記載されるURL(Uniform Resource Locator)の中にフォルダ、ファイル、クエリパラメータを組合せて表現できるものとする。ただし、本発明を実施するに当たって、サービスを跨ってコンテンツを共有するためには、コンテンツとサービスもしくはコンテンツと操作は、独立した情報として指定できる必要がある。サービスと操作については、その許可する権限しだいでは、必ずしも独立して表現できる必要はない。 These contents and operations can be uniquely specified based on a predetermined expression by the function of the access control server or other server. For example, when the “modify” operation is performed on the content “10/11 meeting report” in “business service”, the service, content, and operation start with “http: // Web...” As shown in FIG. Assume that folders, files, and query parameters can be expressed in combination in a URL (Uniform Resource Locator) described in a format. However, in implementing the present invention, in order to share content across services, it is necessary to be able to designate content and service or content and operation as independent information. Services and operations do not necessarily have to be expressed independently, depending on their permissions.
この一意に特定されたコンテンツ及びその操作に対するアクセス制御を実現するために、アクセス制御データ103には、図7に示す業務サービスにおけるコンテンツ121、図8に示す情報提供サービスにおけるコンテンツ131および図7と図8の両方に示される共有コンテンツ141に対するアクセス制御データを図10に示す形式で格納する。すなわち、各コンテンツに対し、コンテンツを用いるサービスと、サービスがコンテンツに対して行う操作と、ユーザとを指定し、その指定に対してアクセス可否を許可情報として格納する。各サービスではコンテンツに対する権限を、図7に示すような「コンテンツ作成者」や図8に示すような「開示を許可する範囲」などコンテンツの属性に基づき行おうとするが、アクセス制御データ103には、ユーザもしくは組織、職制など、ユーザ情報データ101に含まれる情報に置き換えて表現し格納する。この図10で示すアクセス制御データの各レコードは順に解釈され、例えばユーザIを除いて一般に属する全員は業務サービスの全てのコンテンツにアクセスすることができないことを意味する。
In order to realize access control for this uniquely specified content and its operation, the
このように表現されたアクセス制御データ103を用いて、アクセス制御サーバ102は図2に示すブロック図に従った処理により、アクセス制御を実行する。図2において、リクエスト611はユーザがクライアント端末3で入力し認証サーバ100を経由したHTTPリクエストを示しており、このリクエスト611には図9に示したようなサービス、コンテンツおよびそのコンテンツに対する操作が含まれ、さらにこのリクエスト611の情報の一部であるHTTPヘッダもしくはCookieなどにこのリクエスト611を提示したユーザを判定するための情報を含んでいる。
Using the
このリクエスト611を受けたアクセス制御サーバ102は、リクエスト応答処理621を経由したのち、アクセス判定処理622に情報が渡される。このアクセス判定処理622は、アクセス制御に関するデータの入出力を扱うアクセス制御データ管理処理624を介して、ユーザ情報取得処理625により、ユーザ情報データ101からリクエスト611を行ったユーザを特定する。サービス、コンテンツおよびそのコンテンツに対する操作に関する情報は、アクセス制御データ103とつき合わされ、アクセス許可と判定された場合にはリクエスト転送処理623により、リクエスト611に含まれるサービス情報を基に、サービス提供サーバ12もしくは13にリクエストを送信し、そのレスポンス613をクライアントに向けてレスポンス614として送信する。アクセス制御データ102とのつき合わせの結果、アクセス不可と判定された場合には、アクセスが不許可となった故をユーザに表示するためのレスポンス614がアクセス判定処理622で作成されリクエスト応答処理621によりクライアント端末3に送信される。
Upon receiving this request 611, the
アクセス制御サーバ102はこのように構成されているので、サービス提供サーバ12または13に対応した固有のコンテンツ121、131や、複数のサービス提供サーバ12および13に対応した共有コンテンツ141のアクセス制御を変更するためには、コンテンツへのアクセス制御に関するデータを一元的に管理しているアクセス制御データ103を変更するだけでよい。
Since the
このように、コンテンツ、サービス、サービスに対する操作を一意に特定する表現を用い、アクセス制御データを一元的に管理するアクセス制御サーバを設けることで、共有コンテンツを含む1つのコンテンツにおいて、複数のユーザに対しそれぞれ複数のサービス提供サーバから情報提供の許可もしくは不許可とすることが可能となるとともに、コンテンツに対するアクセス制御の変更の操作に関しても、アクセス制御データのみの変更で可能となる。 In this way, by providing an access control server that centrally manages access control data using expressions that uniquely identify content, services, and operations for services, a single content including shared content can be shared with a plurality of users. On the other hand, it is possible to permit or disallow information provision from a plurality of service providing servers, respectively, and it is also possible to change access control data only by changing access control data.
実施の形態2.
なお、実施の形態1ではコンテンツ121、131、141が新しく作成されたりアクセス制限に関する情報が変更されたりした場合に、実施の形態1で示した図10におけるアクセス制御データ103の内容が変更されることとなるが、この変更をサービス提供サーバ12、13からの制御設定により行ってもよい。
In the first embodiment, when the
この発明の実施の形態2について、図11に示すこの発明を実施するための実施の形態2におけるアクセス制御サーバの機能ブロック図、および図12に示すこの発明を実施するための実施の形態2における制御設定の説明図に従って説明する。 In the second embodiment of the present invention, the functional block diagram of the access control server in the second embodiment for carrying out the present invention shown in FIG. 11 and the second embodiment for carrying out the present invention shown in FIG. A description will be given according to the explanatory diagram of control setting.
図11において、アクセス制御サーバ102にサービス提供サーバ12あるいは13からのアクセス制御データを設定する入出力の手段である制御設定受信処理626を設け、Webシステム1が扱うアクセス制御データ103に格納するデータ入力インタフェースとする。この制御設定受信処理626に対して、各サービス提供サーバ12、13は、コンテンツの追加・削除に伴って、定められた様式に従って制御設定104を送信する。制御設定104を受信した制御設定入出力処理626は、アクセス制御データ管理処理624にこの制御設定104を渡し、アクセス制御データ103を変更した上で制御応答105を、この制御設定104を発信したサービス提供サーバ12、13に返送する。
In FIG. 11, the
図12に、制御設定104の例を示す。制御設定104には、アクセス制御データに対するコマンドとして「追加」「削除」「更新」といった操作に加え、「一覧取得」といった操作指定により、現在設定されているデータの一覧を制御応答105として取得する操作も指定できる。それ以外のデータ部には、コンテンツ、サービス、操作、ユーザといった情報を含め、それらは、アクセス制御データ102に1レコードとして格納される。現在設定されている制御設定105についても、制御設定104と同様の構造で得られる。なお、このデータは、図12に示すようにXML(Extensible Markup Language)などの形式で扱っても構わない。
FIG. 12 shows an example of the control setting 104. In the control setting 104, in addition to operations such as “add”, “delete”, and “update” as commands for the access control data, a list of currently set data is acquired as a control response 105 by an operation designation such as “list acquisition”. You can also specify an operation. The other data part includes information such as contents, services, operations, and users, and these are stored as one record in the
制御設定104では、コンテンツ、サービス、操作、ユーザは、それぞれ複数要素を指定することも可能である。ただし、サービスについては、他のサービスへの影響があってはならないため、制御設定104を送信している当該サービスのみを指定する。システム管理者や、特別に権限を与えられた人物のみが、サービスを跨る設定を可能とし、通常のサービスが他のサービスの設定を変更しないようにするため、この制御設定104は、送信元サービスを識別する認証情報とともに送信される。同様に、現在設定されている制御設定を取得する制御応答105の場合にも、ユーザ自身の情報のみを取得可能とする。 In the control setting 104, the content, service, operation, and user can each specify a plurality of elements. However, since the service should not affect other services, only the service that transmits the control setting 104 is specified. Only the system administrator or a specially authorized person can make settings across services, and the normal service does not change the settings of other services. Is transmitted together with authentication information for identifying Similarly, in the case of the control response 105 for acquiring the currently set control setting, only the user's own information can be acquired.
このようにすることで、サービス提供サーバに、多数のコンテンツが追加、登録されるような状況において、各サービス側の機能によって、動的にアクセス制御データを更新することが可能となる。 By doing so, it becomes possible to dynamically update the access control data by the function of each service side in a situation where many contents are added to and registered in the service providing server.
また、この実施の形態では、アクセス制御サーバに許可、不許可を行わせるだけでなく、アクセス制御サーバにおけるログ取得の有無など、各種機能を実行させることも可能となる。これにより、重要な操作に対するログのみを蓄積するなど、監査にも利用可能な機能を実現することができる。 In this embodiment, the access control server is allowed not only to permit / deny, but also to execute various functions such as the presence / absence of log acquisition in the access control server. As a result, it is possible to realize functions that can be used for auditing, such as accumulating only logs for important operations.
実施の形態3.
この発明の実施の形態3について、図13に示すこの発明を実施するための実施の形態3におけるアクセス制御サーバの機能ブロック図、および図14に示すこの発明を実施するための実施の形態3におけるURL変換定義の説明図に従って説明する。
FIG. 13 shows a functional block diagram of an access control server in the third embodiment for carrying out the present invention, and a third embodiment for carrying out the present invention shown in FIG. A description will be given according to the explanatory diagram of the URL conversion definition.
この発明の実施の形態1を適用するためには、サービス、コンテンツ、操作が一意に特定できるように、アクセス制御サーバからサービス提供サーバへのリクエストであるURLを同じ様式とする必要がある。しかしながら、複数のサービスをそれぞれ別個に構築する場合、全てのサービス提供サーバへのリクエストを同じURL表現とすることは困難である。このため、実施の形態3ではWebシステムを利用する外部に対してはコンテンツを一意に特定できるようにし、Webシステムの内部では、各サービスがそれぞれ都合のよい表現を用いることができるように、アドレス変換を行う仕組みを追加している。 In order to apply the first embodiment of the present invention, it is necessary to make the URL, which is a request from the access control server to the service providing server, the same format so that the service, content, and operation can be uniquely identified. However, when building a plurality of services separately, it is difficult to make requests to all service providing servers the same URL expression. For this reason, in the third embodiment, the contents can be uniquely specified for the outside using the Web system, and the addresses can be used so that each service can use convenient expressions inside the Web system. A mechanism to perform conversion is added.
この仕組みを実現するため、アクセス制御サーバ102のリクエスト転送処理623に、図13に示すURL変換定義631を用いたURLのアドレス変換を行う手段を設ける。
In order to realize this mechanism, the
このURL変換定義631の内容について、図14に示す例により説明する。このWebシステム1が外部に公開するURL表現1001について、サービス、コンテンツ、操作といった情報を変数としてみなす。サービス提供サーバ12では、URL表現1002、サービス提供サーバ13では、URL表現1003を用いている場合に、URL変換定義631には、書式変換定義1004に基づいてリクエスト中のURLを内部のサービス向けに変換する。URL表現1001で[A]欄に含まれるサービスを特定する情報を判定条件に、サービス提供サーバ12については、変換ID1、サービス提供サーバ13については変換ID2に基づいて書式を組み変える。
The contents of the
ここで、外部で入力する情報が、必ずしも内部の情報として使えない場合もある。すなわち、ある操作に対して、Webシステムの外部では「修正」といった名称を用いるが、内部では「updateoperation」という名称を用いるような場合には、変数を内部の表現に変換する必要がある。このため、URL変換定義には、変数変換定義1005を設け、書式変換定義1004の変換IDにおける変数を置き換える方法を定義する。変換定義では、エンコードや文字列結合、置換といった関数、条件分岐を利用可能とする。
Here, there are cases where information input externally cannot always be used as internal information. That is, for a certain operation, a name such as “modify” is used outside the Web system, but a name “update operation” is used internally, it is necessary to convert the variable into an internal representation. For this reason, a
このように、本発明の実施の形態3により、サービス提供サーバがそれぞれ異なるURL表現でコンテンツ、操作を特定しているような場合においても、コンテンツごとにアクセス制御を行うことが可能となる。 As described above, according to the third embodiment of the present invention, it is possible to perform access control for each content even when the service providing server specifies the content and operation with different URL expressions.
実施の形態4.
この発明の実施の形態4について、図15に示すこの発明を実施するための実施の形態4におけるアクセス制御サーバの機能ブロック図、および図16に示すこの発明を実施するための実施の形態4における制御設定処理定義の説明図に従って説明する。
Embodiment 4 FIG.
FIG. 15 is a functional block diagram of an access control server in the fourth embodiment for carrying out the present invention, and FIG. 16 is a fourth embodiment for carrying out the present invention. A description will be given according to the explanatory diagram of the control setting process definition.
なお実施の形態2では、制御設定104には予めアクセス制御データ管理処理624が備える処理のみを利用するため制御設定104の様式をアクセス制御データ管理処理624に一意に決められた方式に従って定められていたが、複数のサービスをそれぞれ別個に構築する場合、全てのサービス提供サーバからの制御設定を同じ方式に従って定めることは困難である。このため、実施の形態4では、制御設定104の方式をWebシステム1内では各サービスがそれぞれ都合の良い表現を用いることができるようにして、アクセス制御データ103へアクセスする際には、コンテンツ・サービス・操作・ユーザの組合せを本発明の実施の形態1で示した図10に従った方式に変換を行う仕組みを追加している。
In the second embodiment, since only the processing provided in the access control
このようなサービスを実現するために、図15に示すように、制御設定104に記述された内容を解釈し、アクセス制御データ103へ一意に決められた方式でアクセスできるように変換する情報を保持する制御設定処理定義632を設け、この制御設定処理定義632に定義された内容により制御設定104に対して必要な処理を行う手段を設ける。
In order to realize such a service, as shown in FIG. 15, the contents described in the control setting 104 are interpreted, and information to be converted so that the
図16に、制御設定処理定義632の例を示す。この例の1つ目のレコードでは、業務サービスから制御設定104によって「追加」コマンドが送信されてきた場合に、その中に含まれるユーザの値が「システム管理者」であった場合は、権限を許可するユーザを「総務課の課長」と解釈することを示す。これにより、サービス提供サーバ12が提供する業務サービスで「システム管理者」を定義していなくても、アクセス制御サーバ102において一元的に定義することが可能となる。
FIG. 16 shows an example of the control setting process definition 632. In the first record of this example, when an “add” command is transmitted from the business service by the control setting 104, if the user value included in the command is “system administrator”, the authority is This indicates that a user who is allowed to be interpreted as “General Manager of General Affairs Division”. As a result, even if the “system administrator” is not defined in the business service provided by the
同じく図16の2つ目のレコードでは、前述の「一覧」コマンドのようにサービスが応答を受信するようなコマンドを拡張した「ユーザコンテンツ一覧取得」コマンドにおいて、ユーザに「E」、コンテンツに「操作可能なコンテンツ」を指定されたときの処理を定義している。この定義に基づき、アクセス制御データ管理処理624では、ユーザ「E」が操作可能なコンテンツの一覧が制御応答105に含まれるように、アクセス制御データ103に対する一致検索を行う。
Similarly, in the second record of FIG. 16, in the “user content list acquisition” command, which is an extension of the command for the service to receive a response like the “list” command described above, “E” is displayed for the user and “ Defines the processing when “operational content” is specified. Based on this definition, the access control
このような処理内容の定義を制御設定処理定義として処理本体と別に定義することで、サービスごとに異なる処理を作り込むことなく、サービスが必要とする各種アクセス制御データ操作の拡張を可能となる。 By defining such a processing content definition as a control setting processing definition separately from the processing body, it is possible to expand various access control data operations required by the service without creating different processing for each service.
実施の形態5.
なお実施の形態3では、Webシステム1の内部のサービス提供サーバ12、13を指定しているが、多数の拠点を持つシステムにおいては、Webシステム1内部のサービス提供サーバ12、13だけでなく、Webシステム1の外部のサービス提供サーバにアクセスすることも可能である。
In the third embodiment, the
図17はこの発明を実施するための実施の形態5における情報提供装置の概略構成図、図18はこの発明を実施するための実施の形態5におけるアクセス制御サーバの機能ブロック図である。 FIG. 17 is a schematic configuration diagram of an information providing apparatus according to the fifth embodiment for carrying out the present invention, and FIG. 18 is a functional block diagram of an access control server according to the fifth embodiment for carrying out the present invention.
図17において、サービス提供サーバ15がWebシステム1から、ネットワーク2を介して提供されている例を示す。ここで、Webシステム1は、アクセス制御サーバ102から、ネットワーク2にあるサービス提供サーバ15に対して、リクエストを送信することができるようにネットワーク11が構成されているものとする。サービス提供サーバ15に対して、アクセス制御サーバ102がリクエストを転送した場合、本来システム外部に漏れてはいけない、認証情報やアクセス制御設定といった情報がネットワーク2の上に送信されることになる。ネットワーク2に存在する悪意のある第三者が情報を使われた場合、Webシステム1の信頼は大きく損なわれることになる。
FIG. 17 shows an example in which the
このため、アクセス制御サーバ102は、図18に例を示すように、外部への通信のための暗号鍵データストア633、暗号化通信処理627を揃えるものとする。リクエスト転送処理623からのリクエストは、この暗号化通信処理627により暗号化され、暗号化されたリクエスト615をサービス提供サーバ15に送信する。このサービス提供サーバ15からのレスポンス616のレスポンスも、暗号化通信処理627によって複合され、リクエスト転送処理623に返される。このとき、サービス提供サーバ15は、本来外部のURLであるが、URL変換定義631を適切に記述することによって、Webシステム1と同様にアクセス制御を行うことができるようになる。この暗号化通信処理は、一般的なSSL通信によって実現することもできる。
For this reason, the
このように、本発明の実施の形態5では、Webシステムの外部のネットワークにサービス提供サーバが存在する場合においても、一元的にアクセス制御サーバにおいて、アクセス制御を行うことが出来る。 As described above, in the fifth embodiment of the present invention, even when a service providing server exists in a network outside the Web system, access control can be performed centrally in the access control server.
1 Webシステム
2、11 ネットワーク
3 端末
12、13 サービス提供サーバ
102 アクセス制御サーバ
103 アクセス制御データ
141 共有コンテンツ
DESCRIPTION OF
Claims (5)
前記複数のサービス提供サーバのうち少なくとも2のサービス提供サーバと接続する共有コンテンツと、
前記ネットワークに接続され、ネットワークを介して端末から送信された前記共有コンテンツを利用したサービスを要求するリクエストと、前記共有コンテンツへのアクセス可否を判定するアクセス制御データとを基に、該当するサービス提供サーバへのアクセスの判定を行うアクセス制御サーバとを備えた情報提供装置。 A plurality of service providing servers connected to the network;
Shared content connected to at least two service providing servers among the plurality of service providing servers;
Providing a corresponding service based on a request for requesting a service using the shared content transmitted from the terminal via the network and access control data for determining whether or not the shared content is accessible An information providing apparatus comprising: an access control server that determines access to a server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007222445A JP4858360B2 (en) | 2007-08-29 | 2007-08-29 | Information provision device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007222445A JP4858360B2 (en) | 2007-08-29 | 2007-08-29 | Information provision device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009054086A true JP2009054086A (en) | 2009-03-12 |
JP4858360B2 JP4858360B2 (en) | 2012-01-18 |
Family
ID=40505088
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007222445A Expired - Fee Related JP4858360B2 (en) | 2007-08-29 | 2007-08-29 | Information provision device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4858360B2 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011055486A1 (en) | 2009-11-09 | 2011-05-12 | 日本電気株式会社 | Access control system, communication terminal, server, and access control method |
JP2014146114A (en) * | 2013-01-28 | 2014-08-14 | Canon Inc | Web server device, control method and program therefor |
JP2017507410A (en) * | 2014-01-15 | 2017-03-16 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Privacy mode activated by privacy filtering and status of requested user data |
US20210195742A1 (en) | 2013-08-06 | 2021-06-24 | Bedrock Automation Platforms Inc. | Industrial control system cable |
JP2022008660A (en) * | 2014-07-07 | 2022-01-13 | ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド | Operator action authentication in industrial control system |
US11658519B2 (en) | 2011-12-30 | 2023-05-23 | Bedrock Automation Platforms Inc. | Electromagnetic connector for an Industrial Control System |
US11688549B2 (en) | 2011-12-30 | 2023-06-27 | Bedrock Automation Platforms Inc. | Electromagnetic connector for an industrial control system |
US11722495B2 (en) | 2013-08-06 | 2023-08-08 | Bedrock Automation Platforms Inc. | Operator action authentication in an industrial control system |
US11899604B2 (en) | 2011-12-30 | 2024-02-13 | Bedrock Automation Platforms Inc. | Input/output module with multi-channel switching capability |
US11960312B2 (en) | 2022-12-27 | 2024-04-16 | Analog Devices, Inc. | Secure power supply for an industrial control system |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10269184A (en) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | Security management method for network system |
JP2000010930A (en) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | Access control method for network system |
JP2003242119A (en) * | 2002-02-20 | 2003-08-29 | Pfu Ltd | User certification server, and control program therefor |
JP2003271555A (en) * | 2002-03-19 | 2003-09-26 | Ntt Data Corp | Directory function device with access control, directory function method with access control, directory function program with access control, and storage medium |
JP2006031522A (en) * | 2004-07-20 | 2006-02-02 | Dainippon Printing Co Ltd | Content relay distribution server, content relay distribution computer program |
JP2006268588A (en) * | 2005-03-24 | 2006-10-05 | Nec Corp | Client server system and data processing method for it |
-
2007
- 2007-08-29 JP JP2007222445A patent/JP4858360B2/en not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10269184A (en) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | Security management method for network system |
JP2000010930A (en) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | Access control method for network system |
JP2003242119A (en) * | 2002-02-20 | 2003-08-29 | Pfu Ltd | User certification server, and control program therefor |
JP2003271555A (en) * | 2002-03-19 | 2003-09-26 | Ntt Data Corp | Directory function device with access control, directory function method with access control, directory function program with access control, and storage medium |
JP2006031522A (en) * | 2004-07-20 | 2006-02-02 | Dainippon Printing Co Ltd | Content relay distribution server, content relay distribution computer program |
JP2006268588A (en) * | 2005-03-24 | 2006-10-05 | Nec Corp | Client server system and data processing method for it |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8914905B2 (en) | 2009-11-09 | 2014-12-16 | Nec Corporation | Access control system, communication terminal, server, and access control method |
WO2011055486A1 (en) | 2009-11-09 | 2011-05-12 | 日本電気株式会社 | Access control system, communication terminal, server, and access control method |
US11658519B2 (en) | 2011-12-30 | 2023-05-23 | Bedrock Automation Platforms Inc. | Electromagnetic connector for an Industrial Control System |
US11899604B2 (en) | 2011-12-30 | 2024-02-13 | Bedrock Automation Platforms Inc. | Input/output module with multi-channel switching capability |
US11688549B2 (en) | 2011-12-30 | 2023-06-27 | Bedrock Automation Platforms Inc. | Electromagnetic connector for an industrial control system |
JP2014146114A (en) * | 2013-01-28 | 2014-08-14 | Canon Inc | Web server device, control method and program therefor |
US11722495B2 (en) | 2013-08-06 | 2023-08-08 | Bedrock Automation Platforms Inc. | Operator action authentication in an industrial control system |
US11700691B2 (en) | 2013-08-06 | 2023-07-11 | Bedrock Automation Platforms Inc. | Industrial control system cable |
US20210195742A1 (en) | 2013-08-06 | 2021-06-24 | Bedrock Automation Platforms Inc. | Industrial control system cable |
JP2017507410A (en) * | 2014-01-15 | 2017-03-16 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Privacy mode activated by privacy filtering and status of requested user data |
JP2022008660A (en) * | 2014-07-07 | 2022-01-13 | ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド | Operator action authentication in industrial control system |
US11960312B2 (en) | 2022-12-27 | 2024-04-16 | Analog Devices, Inc. | Secure power supply for an industrial control system |
US11967839B2 (en) | 2023-05-04 | 2024-04-23 | Analog Devices, Inc. | Electromagnetic connector for an industrial control system |
US11966349B2 (en) | 2023-05-04 | 2024-04-23 | Analog Devices, Inc. | Electromagnetic connector for for an industrial control system |
Also Published As
Publication number | Publication date |
---|---|
JP4858360B2 (en) | 2012-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4858360B2 (en) | Information provision device | |
US9288213B2 (en) | System and service providing apparatus | |
US10409965B2 (en) | Hybrid digital rights management system and related document access authorization method | |
US20180248887A1 (en) | Method and Systems for Virtual File Storage and Encryption | |
AU2019222893B2 (en) | Document management system and processing apparatus | |
JP6572926B2 (en) | Document management system | |
JP6364287B2 (en) | Data concealment / restoration device, method and program, data concealment / restoration system, and form creation device | |
JP4728610B2 (en) | Access control list attachment system, original content creator terminal, policy server, original content data management server, program, and recording medium | |
KR20090068183A (en) | Apparatus and method for sharing of user control enhanced digital identity | |
AU2019261686B2 (en) | Management apparatus and document management system | |
JPWO2013046336A1 (en) | Group definition management system | |
JP2019212337A (en) | Information processing device, information processing system and program | |
WO2016190949A1 (en) | Authorization in a distributed system using access control lists and groups | |
US20090271870A1 (en) | Methods, apparatuses, and computer program products for providing distributed access rights management using access rights filters | |
US20070005359A1 (en) | Method for transmitting transactional commands and data between computer networks | |
JP6708239B2 (en) | Document management system | |
JP4889693B2 (en) | Authorization server device, information processing method, and program | |
CN111740940B (en) | information processing system | |
Field et al. | Resource-oriented lightweight information exchange (ROLIE) | |
JP2019179579A (en) | Document management system, processing apparatus, and management apparatus | |
JP2008234256A (en) | Information processing system and computer program | |
JP2020017308A (en) | Information processing apparatus and program | |
US10614433B2 (en) | Hybrid digital rights management system and related document protection method | |
CN110741371B (en) | Information processing apparatus, protection processing apparatus, and use terminal | |
JP7361384B2 (en) | Electronic application assistance method, electronic application assistance system, electronic application assistance system program and its recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090107 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110726 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110727 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110912 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111004 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111017 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141111 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |