JP2009539183A - 役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換 - Google Patents

役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換 Download PDF

Info

Publication number
JP2009539183A
JP2009539183A JP2009513185A JP2009513185A JP2009539183A JP 2009539183 A JP2009539183 A JP 2009539183A JP 2009513185 A JP2009513185 A JP 2009513185A JP 2009513185 A JP2009513185 A JP 2009513185A JP 2009539183 A JP2009539183 A JP 2009539183A
Authority
JP
Japan
Prior art keywords
role
resource
range
rbac
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009513185A
Other languages
English (en)
Other versions
JP5356221B2 (ja
JP2009539183A5 (ja
Inventor
マクファソン,デイブ
パラマシヴァム,ムサクリシュナン
リーチ,ポール・ジェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2009539183A publication Critical patent/JP2009539183A/ja
Publication of JP2009539183A5 publication Critical patent/JP2009539183A5/ja
Application granted granted Critical
Publication of JP5356221B2 publication Critical patent/JP5356221B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

ACLベースのアプリケーションなどの資源許可ポリシー(RAP)に対するRBAC「役割」を管理する役割ベースのオーサリングモデルの変換が提供される。汎用RBACシステムが定義され、その汎用RBACシステムから他の許可実施機構へのマッピングにより、RBAC「役割」の、資源マネージャ、例えばファイルシステム資源マネージャによって管理される資源に適用された資源許可ポリシーへの変換が可能となる。記憶機構およびオブジェクトモデルとしてWindows Authorization Managerを使用して、RBACシステムから変換されたオブジェクトタイプおよび関係を管理する実装が説明される。
【選択図】図1

Description

本発明は、役割ベースのアクセス制御(RBAC)ポリシーを資源許可ポリシーに変換することに関する。
大規模ネットワークを管理する際の最も難しい問題の1つは、セキュリティ管理が非常に複雑である結果として生じるものであり、管理がコンピュータおよびネットワークシステムでの重要な問題となる。この点で、許可機構が、オペレーティングシステム、アプリケーション、または資源アクセス制御が関係する任意の場所に存在する。許可は伝統的に、認証とアクセス制御の2つの別々のプロセスから構成される。認証は、「ユーザは誰であるか?」という問題に対処し、アクセス制御は、「ある資源に対して/を用いてユーザは何を行うことができるか?」という問題に対処する。
資源レベルでは、歴史的に、ネットワークは、資源許可ポリシー(RAP)を使用して、ユーザが指定の資源に接続することが許可されているかどうかを判定してきた。例示的RAPでは、従来の分散型コンピューティングネットワークは、ドメインベースのアクセス制御リスト(ACL)をアクセス制御のための支配的な機構として使用してきた。ACLは、資源に対するユーザのアクセス権を、データ構造内の読取り許可、書込み許可、および実行許可の点で指定するが、必然的に、今日の共有コンピューティング空間内の資源およびユーザの数が引き続き急増するにつれて管理可能性および複雑さの問題をもたらす。
厳格にオブジェクトごとにユーザアクセスを許可または取消しする、アクセス制御の従来型RAP方法とは対照的に、RAPに対する代替は、役割ベースのセキュリティとも呼ばれる役割ベースのアクセス制御(RBAC)ポリシーである。RBACは、大規模ネットワーク応用例でのセキュリティ管理の複雑さおよびコストを低減するので、RBACは、アクセス制御のための顕著なモデルとなっている。RBACは、企業内の個々のユーザの役割に基づいて、コンピュータまたはネットワーク資源へのアクセスを規制する方法である。この文脈では、アクセスとは、ファイルの閲覧、作成、修正などの特定の作業を実行する個々のユーザの能力である。役割は、企業内の既存の役割/ラベル、例えば仕事の能力、権限、または責任に従って定義される。
適切に実装されたとき、RBACは、柔軟な機能、関係、および制約に従ってユーザの行動を動的に規制することにより、ユーザが許可された広範な作業を実施することを可能にする。RBACでは、企業の必要が発展するにつれて、あらゆるユーザについての特権を個々に更新する必要なしに、役割を容易に作成、変更、停止することができる。
したがって、RBACは、大部分のコンピュータシステム上の分散型アクセス制御リスト(ACL)モデルにおいて困難である活動を可能にする。そのような活動は、各アプリケーションにわたる許可照会を含む。しかし現在のところ、RBAC「役割」を管理する役割ベースのオーサリングモデルを、ACLベースのアプリケーションなどの資源許可ポリシー(RAP)、または他の許可実施機構に変換する方法はない。本発明の様々な実施形態に関して以下でより詳細に説明するように、現況技術の上記およびその他の不備に対して改良することが望ましい。
上記に鑑みて、本発明は、RBAC「役割」を管理する役割ベースのオーサリングモデルを、ACLベースのアプリケーションなどの資源許可ポリシー(RAP)、または他の許可実施機構に変換するシステムおよび方法を提供する。したがって、本発明は汎用RBACシステムを定義し、その汎用RBACシステムから他の許可実施機構へのマッピングにより、RBAC「役割」の、資源マネージャ(例えばファイルシステム資源マネージャ)によって管理される資源に適用された資源許可ポリシーへの変換が可能となる。例示的非限定的実施形態では、記憶機構およびオブジェクトモデルとしてWindows Authorization Managerを使用して、RBACシステムから変換されたオブジェクトタイプおよび関係を管理する実装が論じられる。
本発明の他の特徴が以下で説明される。
ネットワークコンピューティング環境でRBACポリシーをRAPに変換する方法が、添付の図面を参照しながらさらに説明される。
RBACは、組織全体にわたる集中型許可のための新興の解決策である。RBACは、大部分のコンピュータシステム上の分散型ACLモデルにおいて困難である活動を可能にする。そのような活動は、各アプリケーションにわたる許可照会を含む。RBACポリシーシステムの利点と比較して複雑なACL実装に対処する困難を考慮して、本発明は、RBAC「役割」を管理する役割ベースのオーサリングモデルを提供し、次いでそれをACLベースのアプリケーションおよび他の許可実施機構に変換することができる。このことを達成するために、本発明は、例えば既存のRBAC概念モデルに基づいて、新しい汎用RBACシステムを定義する。
したがって、本発明の一態様では、本発明は、ACLなどの資源許可ポリシー構造と互換であるRBACモデルを提供し、その結果、役割ベースのデータ構造とACLの間で変換を実施することができる。これは、RBACポリシーをACLベースの許可にマッピングする能力を含む。
本発明の様々な他の非限定的態様では、メンバシップグループを使用してRBACポリシーを実装する方法が提供される。さらに、本発明の役割ベースのオーサリングツールの様々な非限定的実施形態は、コンピュータ資源の分散型役割ベースの許可のためのシステムレベル定義を作成する能力を含む。
本発明の1つの例示的非限定的Windows実装では、本発明のRBACポリシー−ACL変換能力は、Windows Authorization Manager(WAM)を用いた「Roles−to−ACL」変換を提供する。そのような実装では、WAMは、RBACシステムが使用するオブジェクトタイプおよび関係を管理するための記憶機構およびオブジェクトモデルとして使用され、資源許可ポリシーに従ってオブジェクトタイプおよび関係をACLデータ構造に変換することができる。さらに、本発明は多種多様なコンピュータシステムに適用することができ、1つの例示的非限定的実施形態では、Windows NTFSファイルシステムが例示的資源マネージャとして使用される。
以下で、RBACポリシーを資源許可ポリシー(RAP)に変換するシステムおよび方法が、様々な非限定的実施形態で説明される。しかし、本明細書に記載の様々な実施形態を検討した時に、本発明によるRBACポリシーモデルからRAPモデルへの変換を、既存の、または将来設計される様々なRBACポリシーモデルにわたって実施でき、あるいは本発明に従って定義されるRBACポリシーモデルと共に実施できることを当業者は理解することができる。同様に、RBACポリシーを様々なRAPモデル、すなわち既存の、または将来設計される資源ごと、アプリケーションごと、またはサービスデータ構造および分析ごとに特権または許可を授与する任意のモデルに変換でき、したがって本発明は、本明細書に記載のACLベースのモデルおよび実施形態によるRAPに限定されないことを理解することができる。
用語
最後に、用語に関して、用語がどのように使用されるかの文脈を考慮することに加えて、不確かさを避けるために、以下のRBAC用語は以下を意味すると理解すべきである。
Scope:1組の資源、
アクセス制御リスト(ACL):コンピュータ資源に関するアクセス制御ポリシー、
役割定義(またはアプリケーション役割):所与の範囲でプリンシパルに割り当てることのできる1組の許可、
役割割当て:所与の範囲での1つまたは複数のプリンシパルへの役割定義の割当て、
組織役割(または役割グループ):所与の1組の資源(範囲)に対して同一の許可を有する1組の人々、
組織グループ:所与のコンピュータ資源の許可実施モデルに固有のセキュリティグループタイプ、および
資源グループ:特定の資源に対するグループ特有のアクセスでメンバに与えるのに使用される所与のコンピュータ資源の許可実施モデルに固有のセキュリティグループタイプ。
RBACポリシーを定義し、RBACポリシーを資源許可ポリシーに変換する
背景技術で触れたように、一般には、RBACモデリングは、分散型アクセス制御リスト(ACL)モデルに勝る、時間、計算、および複雑さの節約を実現し、既存の組織の概念にマッピングされるので概念的にオーサリングするのが容易である。しかし、RBAC「役割」を管理する役割ベースのオーサリングモデルをACLベースのアプリケーションなどの資源許可ポリシー(RAP)に変換する方法はない。
現況技術の上記およびその他の問題を考慮して、高レベルで、本発明のRBACシステムは、組織的役割に基づいて権限許可コンピュータ資源の集中型管理を実現し、ユーザ役割メンバシップおよび能力に関する照会を可能にし、役割ベースの構造からACLなどの資源許可構造への変換を可能にするので有利である。
したがって、図1に示されるように、本発明は、RBAC集中型記憶モデルRBAC_DBを含むRBACシステムを提供する。集中型記憶モデルRBAC_DBの主な属性は、本発明のすべてのポリシー定義をそこに格納できることである。ポリシーは必ずしも、中央主宰管理者によって定義される必要はない(管理モデルの委任が存在することができる)。さらに、ポリシーは必ずしも、中央ストアでオーサリングされる必要はない。分散型実装は、オーサリングを他のポリシーストアに配布することができるが、ポリシーは、最終的には中央ストアと同期される。図1のRBACシステムでは、アプリケーション資源許可ポリシーのアプリケーション許可が定義され、それがアプリケーション役割にマッピングされ、またはその逆である。図示されるように、資源のセット、例えばFile Server FSRVのFile Share FSが範囲Sと定義され、Organizational(または「Enterprise」)役割ERが、企業役割ERに与えられた資源グループRG、役割定義RD中のユニバーサルユーザグループUG、ならびに範囲Sおよび許可(役割割当てRA)によって定義される。役割定義RD、Scope S、およびRole Assignment RAに基づく企業役割ERの定義より、RBACシステムは、必要に応じて、限定はしないがActive Directoryグループなどの識別管理システムIMSのグループUGおよびRGを作成することができ、ACLなどの資源ポリシーを構成することができる。
図2は、ファイル共有アプリケーションまたはファイルサーバFSRVの資源FSIが範囲S1と定義される例に適用される、RBAC集中型記憶モデルRBAC_DBの一例を示す。この例では、資源のセットFSIに\\Server\Shareと名前が付けられ、セキュリティ識別子(SID)を有し、\\Server\Shareに対して、AccessMask:0x1F01FFが、名前Sales Docsを有する範囲S1と定義される。次いで、対応するEnterprise Role ER1が、企業役割ER1に与えられる資源グループ、役割定義RD1中のユニバーサルユーザグループ、ならびに範囲S1および役割割当てRAに関して定義される。有利には、役割定義RD1、Scope S1、およびRole Assignment RA1に基づく企業役割ER1の定義より、RBACシステムは、必要に応じて、限定はしないがActive Directory ADのActive DirectoryグループUG1およびRG1などの識別管理システムIMSのグループUG1およびRG1を作成することができる。したがって、本発明は、必要に応じて、本発明のRBACシステムの組織的役割のレンズを通じて、ACLなどの資源ポリシーを構成するのに使用することができる。
図3は、本発明のファイルシステム実施形態に従って資源許可ポリシーデータ構造に変換される(すなわち、ファイルシステムが、要求された資源を含む場合)、本発明のRBACポリシー構造の例示的非限定的流れ図を示す。300で、ファイルシステムに関するファイルの各許可レベルについて役割が定義される(カスタムレベルが可能である)。310で、資源識別子(例えばファイル共有、ディレクトリ、またはファイル)によって範囲が定義される。320で、最新のデータに従って役割または範囲を更新することができる。このことは、メンバシップグループが320aで変化したときにメンバシップグループを更新することを含むことができ、組織的許可レベルが320bで発展したときの役割定義許可変更を含むことができる。次いで330で、こうした構造を、資源に対して設定される基礎となるACL(すなわちファイルシステムACL)にマッピングすることができる。ファイルシステム資源の状況で図3が説明されるが、ネットワークコンピューティング環境内の任意の種類の資源、アプリケーション、またはサービスを求める要求の許可に概念を拡張することができる。
アプリケーション統合
図4に示されるように、本発明のRBACモデルおよびストア400によれば、特定のアプリケーションについて、まず許可プリミティブが、役割、すなわちEnterprise Role ER、ファイル共有FSなどのApplication Resourceに関してRBACシステム内で定義され、次いで、範囲Sを介してRBACシステムに追加される。次いで、Enterprise Role ERは、Enterprise Role ERに関連する役割割当ておよび役割定義に従って範囲S内のアクセスを許可される。
アプリケーション役割定義
許可管理および照会を集中型で行うことを可能にするために、各アプリケーションタイプについての許可もRBACシステムに入力される。このことは、アプリケーション内の役割に対応する許可セットとして定義されたアプリケーション役割に関して行われる。Windowsファイルシステムを使用する非限定的例では、本発明は、(例えば、先進ACLエディタUI上で利用可能な)オペレーションFull Control、Modify、Read&Execute、Read and Writeに関して、現行ファイルシステムExplorer UI許可レベルのそれぞれについて役割を定義する。Windowsファイルシステム許可レベル以外の許可のカスタムセットをアプリケーション役割定義と定義することもできることを理解することができる。
資源範囲定義
役割に割り当てるべき資源の各セットについて、本発明による範囲が、資源識別子に関して定義される。ファイルシステム実施例では、資源はファイル共有、ディレクトリ、またはファイルである。資源識別子は、資源までのフルパス名でよい。範囲を、複数のサーバにまたがる資源を含めてより広く定義することもできる。Windowsファイルシステム実施例では、例えば、そのような範囲をファイル共有のユーザプリンシパル名(UPN)のコンマ区切りリストに関して定義することができる。
範囲の名前は、範囲資源を含む物理的コンテナまでの経路に基づくことができる。図2のファイルシステム実施例では、上述のように、そのような範囲名は、「\\Server\Share」でよく、必要ならこれを、\\folder\fileなど、ファイルまでより細かく宣言することができる。範囲名は、「Sales Docs」など、資源を効率的に記述する任意の名前でよく、このことは、販売組織内の各サーバ上に複数の文書がまたがる範囲についてより有用である可能性があり、すなわち、そのような名前を組織構造および運用特性により良好に対応付けることができる。
図2の例は、単一ファイル共有FS1を含む範囲を使用する。その範囲名は「資源グループ」を付加するのに使用され、次いでそれが、各役割をポピュレートするのに使用される。複数のファイル共有またはディレクトリが使用されている場合、範囲を定義するファイル共有、ファイル、またはディレクトリのリストを範囲オブジェクトS1内に維持することができる。
資源の各セット(範囲)について、資源の管理者は、RBACシステムが、実際の資源許可を設定することによって許可を管理することを可能にし、トラステッド許可サービスアカウントがその許可を更新することを可能にする。本発明の例示的実施形態では、範囲がファイル共有またはディレクトリに対して、指定のファイル共有またはディレクトリ内またはその下のその資源のすべて(ファイルおよびディレクトリ)と共に適用される場合、そのようなファイル共有またはディレクトリは、デフォルトで指定のファイル共有またはディレクトリの許可を継承するように設定される。
Role−to−ACL変換
以下のアクションは、上記で定義されたトラステッド許可サービスアカウント内のドメインコントローラまたはドメインサーバ上で動作するRBAC−ACL変換システムによって実施される:Scope Creationと、Organizational Role Creationと、Membership ChangeおよびRole−Definition Permission Changeを含むPolicy Update。様々な非限定的実装特有の詳細が以下で説明される例示的実施形態に組み込まれるが、コンピューティングプラットフォームまたは任意任意の特定の資源許可ポリシーモデルとは無関係に本発明を適用できることを理解することができる。
範囲作成
新しい範囲が作成されたとき、本発明のRBACシステムは、アプリケーション内の各役割定義についてユーザグループを作成する。したがって、Windowsファイルシステム実施例では、RBACシステムは、各アプリケーション役割定義Full Control、Modify、Read&Execute、Read and Writeについてグループを作成する。こうしたグループには、コンピュータ資源に関する許可が授与され、したがって、グループは、コンピュータ資源に固有の許可実施モデルによってサポートされるセキュリティグループである。例えば、Windowsシステムでは、こうしたグループは、Active Directoryドメインローカルグループでよい。こうしたグループは、「Scope1−full−control」などの範囲および許可を記述する名前を有する。こうしたグループは、組織的役割に関する許可を定義する(伝統的に、こうしたグループは資源グループと呼ばれる)。資源グループ関係に対する各役割定義について、本発明のRBACシステムは、RBACシステムのデータストア内に役割割当てオブジェクトを作成する。これにより、資源グループのメンバを返す、範囲ベースのアプリケーション役割メンバシップ照会が可能となる。次いで、Organizational Roleに、こうしたグループ内のメンバシップを介して範囲に対する許可が割り当てられる。
以下では、本発明のWindows実装に関する例示的非限定的最適化を説明する。そのような実装では、範囲内の資源は、(理想的には)すべての1つのドメイン内であり、Active Directory(AD)Domain Local Groupは、そのような目的にかなうものである。必須ではないがドメインローカルグループが好ましい。ユーザがそのドメイン内のサーバにログオンし、かつ別のドメインにログオンしていないときに、ドメインローカルグループがユーザのトークンに追加されるだけだからである。これにより、SIDが不要であるときにログオン時間をスローダウンさせることになるSIDがログオントークンに追加されることが防止される。
さらに、そのような実装では、組織的役割に範囲内の対応する役割定義が割り当てられるまで、資源グループを作成しないことが好ましい。グループを作成した後、本発明のRBACシステムは、適切な許可管理API(例えば、Windowsでは、NTMartaまたはMACLとなる)を呼び出して、範囲内の資源に関する適切な許可をグループに授与する。ファイルシステム実施例では、次いでアクセス制御エントリ(ACE)が、各資源グループ(Full Control、Modifyなど)について、例えば範囲内の資源に追加される。次いで、各グループに与えられた許可、例えばアクセスマスクが、資源グループに対応する各役割定義のAccessMaskプロパティから取り出される。
本発明のWindows実装の別の例示的非限定的最適化では、セキュリティ記述子のSecurity Descriptor Definition Language(SDDL)表現が、その対応する役割定義と共に格納される。
組織的役割作成
役割から資源範囲および許可への双方向照会をサポートするために、上述のように、各組織的役割がRBACシステムで定義される。各組織的役割について、本発明のRBACシステムは、組織の識別管理システム内の「組織グループ」(例えばActive Directory Universal Group)と、RBACシステムストア内の組織的役割オブジェクトを作成する。組織グループは組織的役割のメンバを含み、RBACシステム内の組織的役割オブジェクトにリンクされる。
組織グループは、コンピュータ資源に固有の許可実施モデルによってサポートされるセキュリティグループでなければならないが、グループのメンバシップは、任意のシステムのメンバシップオブジェクト内で別々に管理することができる。そのようなメンバシップの例は、限定はしないが、ドメインセキュリティグループおよびEメール配布リストを含む。本発明のRBACシステムは、必要なセキュリティグループとそのようなメンバシップリストを同期することができる。
本発明の任意選択の態様では、ビジネス論理をオペレーティングシステム(OS)アクセス制御リスト(ACL)プリミティブで取り込むことを可能にすることにより、主概念を超えてRBACシステムを拡張することができるが、本発明をEメールグループ、例えばDistribution List(DL)に拡張することもできる。
新しい役割が本発明のRBACシステムで作成されるとき、役割を作成した管理者により、上記で定義される役割定義に関する許可が新しい役割に割り当てられる。RBACシステムでは、指定の役割定義および範囲に関する役割割当てオブジェクトを介して、組織的役割に範囲に対するアプリケーション役割が割り当てられる。
組織的役割への各役割割当てについて、本発明のRBACシステムは、組織グループを指定の範囲および役割定義に合致する資源グループに割り当て、それによって役割におけるユーザに、役割定義で定義される許可を授与する。
ポリシー更新
本発明のRBACシステムは、限定はしないが以下で説明されるメンバシップまたは役割の許可を変化することを含む、ポリシー更新を行う能力をサポートする。
メンバシップ変更
本発明のRBACシステムは、組織的役割に対するメンバシップ変更をサポートし、それが、組織的役割に対応する組織グループ、すなわち組織の識別管理システムに格納される。任意選択で、RBACシステムの実装は、基礎となるグループを抽象化し、組織グループを役割として公開することを選ぶことができる。
役割定義許可変更
範囲内の役割について許可が変更されるとき、管理者は通常、組織的役割に割り当てられたアプリケーション役割を追加または除去することによってそれを行う。この場合、本発明のRBACシステムは、役割から追加または除去されているアプリケーション役割定義に対応する資源グループに組織グループを追加し、またはその資源グループから組織グループを除去する。
アプリケーション役割定義が追加または削除されているとき、上述のように、対応する資源グループを作成または削除する必要がある(例えば、資源範囲定義を参照)。アプリケーション役割定義が変更されている場合、コンピュータ資源に関する許可が更新され、(上記の範囲作成のセクションで論じたように)更新後の資源グループのセットに、コンピュータ資源に関する適切な許可が与えられる。
本発明の例示的実装は、上述の詳細なステップに従う図5の流れ図に従って動作する。500で、本発明のRBACシステムに関するアプリケーション役割が定義される。510で、本発明のRBACシステムに従って資源範囲が定義される。520で、各範囲および各役割についてグループが定義される。530で、作成されたグループに許可が与えられる。540で、例えばファイルシステムのディレクトリ、フォルダなどに対する、基礎となる資源許可ポリシーを実行するために、500から530に従ってそのように定義されたRBACポリシーをシステム内のACLにマッピングすることができる。
例示的非限定的AzMan実装
以下では、Windows Authorization Manager(AzMan)をRBACシステムストアとして使用する本発明の例示的非限定的実装を説明する。WindowsサーバのAzManは、役割ベースのセキュリティの管理のためのインフラストラクチャを提供し、役割ベースのセキュリティの管理をよりスケーラブルにし、柔軟にし、かつ実装するのを容易にする。AzManを使用して、役割ならびにそうした役割が実行することのできる作業を定義することができる。他の役割から特徴を継承するために役割をネスト化することができ、アプリケーショングループを定義することができる。さらに、AzManは、スクリプトの使用が許可を動的に修正することを可能にし、セキュリティ論理を、Active Directoryに格納することのできるセキュリティポリシー内に包み込むことを可能にする。AzManはまた、アクセスチェックを実行するために、使用するのが容易なAPIを含む。
この点で、AzManは、本発明に従って説明したのと類似のRBAC概念モデルを提供し、記憶機構および管理インターフェースも提供する。したがって、AzManフレームワークを活用して、役割ベースのポリシー構造をACLベースのポリシー構造に変換するRole−to−ACL実装を提供することができる。そのように行う際に、RBACシステムで使用される概念が、以下の例示的非限定的マッピングと共に実装される。
Organizational Role(または役割グループ):AzManアプリケーショングループオブジェクト
Scope:AzMan Scopeオブジェクト
Role−definition(またはアプリケーション役割):AzMan Role−Definition object
Role−assignment:AzMan Role Assignmentオブジェクト
注:AzManアプリケーショングループを静的に定義することができ、または実行時に計算することができる。
現在説明しているAzMan実装についてのセットアップに関して、Active Directory(AD)アカウントが作成され、次いでそれがトラステッド許可サービスで使用され、資源上のADおよびACLでの役割メンバシップが更新される。次いで、このADアカウントが、資源上のACLを更新するために各資源サーバにログオンする。次いで、AzManストアオブジェクトが作成され、トラステッド許可サービスがPolicy Reader AzMan管理役割に割り当てられる。
Azman実装でのアプリケーション初期化に関して、アプリケーションが、NTFS資源マネージャ用のAzManで定義される。NTFSオペレーションがAzManオペレーションにマッピングされる。アクセスマスクへの変換のプロセスを単純化するために、各許可を、対応するアクセスマスクと同数にすることができる。NTFS ACLエディタでの各許可レベル(Full Control、Modifyなど)について、AzMan役割定義が定義され、対応するアクセスマスクが、役割定義オブジェクト上のApplicationDataプロパティに格納される。
Azman実装での範囲作成に関して、各範囲について、AzMan範囲がNTFS AzManアプリケーションで定義される。範囲内のファイル共有およびディレクトリUNCのリストをAzMan範囲オブジェクトのApplicaitonDataプロパティで保持することができる。
AzMan実装での組織的役割に関して、各組織的役割について、AzManグローバルアプリケーショングループが作成される。ADユニバーサルグループがAzManグローバルアプリケーショングループに割り当てられる。組織的役割が割り当てられる各アプリケーション役割について、RBACシステムは、アプリケーション定義の役割定義(すなわちFull Control、Modifyなど)にリンクするAzMan Role−Assignmentオブジェクトを作成する。
各AzMan役割割当てについて、RBACシステムは、AzMan、すなわちAzManグローバルアプリケーショングループ内の組織的役割のリストを列挙し、さらに各役割についてRoleAssignmentを列挙することすることにより、上記で定義した資源グループにADユニバーサルグループを割り当てる。各RoleAssigmnentは、範囲および役割定義を識別する。次いで、RBACシステムは、現在説明している実装でのAzManアプリケーショングループに対するメンバとして識別したADユニバーサルグループを、各役割割当てオブジェクトで識別された範囲および役割定義に合致する資源グループに割り当てる。
AzMan実装のメンバシップに関して、組織的役割に対するメンバシップ変更が、組織的役割に対応するADユニバーサルグループに格納される。RBACシステムは、これを抽象化し、またはADグループを公開し、AzManアプリケーショングループはADユニバーサルグループのうちの少なくとも1つを含む。
AzMan実装の許可変化に関して、許可変化が上記のように管理され、追加のタスクが、AzManグローバルグループの割当てをAzMan役割割当てに追加または除去し、組織的役割許可が追加、削除、または変更されるとき、AzMan役割定義を追加、削除、または更新する。
補足的状況−ACLベースのシステム
アクセス制御リスト(ACL)は、各ユーザがファイルディレクトリや個々のファイルなどの特定のシステムオブジェクトに対してどのアクセス権を有するかをコンピュータシステムに伝える、テーブルなどのデータ構造である。各オブジェクトは、そのアクセス制御リストを識別するセキュリティ属性を有する。リストは、アクセス特権またはアクセス特権の明示的拒否を伴う、各システムユーザについてのエントリを有する。最も一般的な特権は、ファイル(またはディレクトリ内のすべてのファイル)を読み取る能力、ファイルに書き込む能力、およびファイルを実行する能力(ファイルが実行可能ファイルまたはプログラムである場合)を含む。様々なオペレーティングシステムは、各オペレーティングシステムによって異なるように実装されたアクセス制御リストを使用する。
Windowsでは、一般に、アクセス制御リスト(ACL)が各システムオブジェクトと関連付けられる。各ACLは、ユーザまたはユーザのグループの名前からなる1つまたは複数のアクセス制御エントリ(ACE)を有する。ユーザはまた、「プログラマ」や「テスタ」などの役割名でもよい。こうしたユーザ、グループ、または役割のそれぞれについて、アクセス特権が、アクセスマスクと呼ばれるビットの文字列で記述される。一般に、システム管理者またはオブジェクト所有者は、オブジェクトに関するアクセス制御リストを作成する。
図6に反映されるように、ACL600a、600b、600c、...、600Nは、1つまたは複数のアクセス制御エントリ(ACE)を含む。例えばACL600aはACE1、ACE2、...、ACENを含む。ACLは、主ないくつかの権利を許可/拒否するACEのリストである。ACLの各ACEを資源ごとにマッピングすることができ、それによって各資源は、その資源に適用されるACLからのACEのリストを有する。例えば、図示されるように、ACL600aのACE1、ACE2、およびACENが、コンピューティングシステムのサブコンポーネントS1、S2、...、SNの様々な資源にマッピングされる。例えば、サブコンポーネントS1は第1サーバでよく、S2は第2サーバでよく、以下同様である。資源r1、r2、r3がサブコンポーネントS1と関連付けられ、資源r4、r5、r6がサブコンポーネントS2と関連付けられ、資源rx、ry、rNがサブコンポーネントSNと関連付けられる。しかし、資源をシステム内でサブグループ化することができ、点線で示されるように、ACLのACEをコンピューティングシステムの個々の資源にマッピングすることができ、ACLから、対応するACEに基づく資源ベースのポリシーに変換される。
補足的状況−NIST RBAC標準
1つの非限定的例示的RBACポリシーモデルとして、米国標準技術研究所(NIST)は、RBAC標準(すなわち、InterNational Committee for Information Technology Standards(INCITS)Designation:INCITS 359)を有し、それについての概要が以下のように与えられる。NIST標準は、いくつかの一般に受け入れられるRBAC特徴と、基準モデルで拒否されるRBAC特徴に関する機能とを定義する仕様基準モデルを含む。NIST標準は、RBAC Reference ModelとRBAC System and Administrative Functional Specificationの2つの部分からなり、それらが以下で詳細に説明される。
RBAC Reference Modelは、基本的RBAC要素のセット(すなわち、ユーザ、役割、許可、オペレーション、およびオブジェクト)および関係を、この標準に含まれるタイプおよび機能として定義する。RBAC基準モデルは2つの目的を果たす。まず、基準モデルは、標準に含まれるRBAC機能の範囲を定義する。これは、すべての準拠RBACシステムに含まれる特徴の最小限のセット、役割階層の各側面、静的制約関係の各側面、および動的制約関係の各側面を識別する。第2に、基準モデルは、機能仕様を定義する際に使用するために、要素セットおよび機能によって言語を提供する。
RBAC SystemおよびAdministrative Functional Specificationは、RBACシステムの必要な特徴を指定する。こうした特徴は、管理オペレーション、管理検討、およびシステムレベル機能という3つのカテゴリに分類される。管理オペレーションは、RBAC要素および関係を作成、削除、および維持する(例えばユーザ役割割当てを作成および削除する)能力を提供する管理インターフェースおよび関連するセマンティクスのセットによって機能を定義する。管理検討特徴は、RBAC要素および関係に対して照会オペレーションを実行する能力を提供する管理インターフェースおよび関連するセマンティクスのセットによって機能を定義する。システムレベル機能は、役割活動化/非活動化、役割活動化に関する制約の実施を含めるためのユーザセッションの作成、およびアクセス判断の計算のための特徴を定義する。
RBAC基準モデルは、Core RBAC、Hierarchical RBAC、Static Separation of Duty Relations、およびDynamic Separation of Duty Relationsという4つのモデルコンポーネントによって定義される。各モデル構成要素は、以下のサブコンポーネントによって定義される:1組の基本要素セット、こうした要素セットに関係する1組のRBAC関係(有効な割当てを示すカルテシアン積のサブセットを含む)、およびある要素セットからの所与のインスタンスに対して設定された、別の要素からメンバのインスタンスを生み出す1組のMapping Function。
コアRBACは、Role−Based Access Control Systemを完全に達成するために、RBAC要素、要素セット、および関係の最小限の集合を定義する。これは、多くのRBACシステムで基本的と考えられる、ユーザ役割割当てと許可役割割当ての関係を含む。さらに、コアRBACは、コンピュータシステム内のユーザのセッションの一部として役割活動化の概念を導入する。コアRBACは、任意のNIST準拠RBACシステムで必要であるが、他のコンポーネントは、互いに独立であり、別々に実装することができる。全体としてのRBACモデルは、本質的に、役割に割り当てられている個々のユーザと、役割に割り当てられている許可によって定義される。したがって、役割は、個々のユーザおよび許可間の多対多関係を命名するための手段である。さらに、コアRBACモデルは、1組のセッション(SESSIONS)を含み、各セッションは、ユーザと、ユーザに割り当てられる役割の活動化されたサブセットとの間のマッピングである。
コアRBACは、ユーザ(USERS)、役割(ROLES)、オブジェクト(OBS)、オペレーション(OPS)、および許可(PRMS)と呼ばれる5つの基本データ要素を含む。ユーザとは一般に人間を指すが、概念としては、何らかの方式で人間の代わりに働くマシン、ネットワーク、またはインテリジェント自律エージェントを含むように、ユーザおよびユーザの証明書の概念を拡張することができる。役割は、組織のコンテキスト内のジョブ機能であり、権限および責任に関する関連するセマンティクスが、役割に割り当てられたユーザに関して協議される。許可は、1つまたは複数のRBAC保護オブジェクトに対するオペレーションを実行するための承認である。オペレーションは、ユーザに関する何らかの機能を呼出し時に実行するプログラムの実行可能イメージである。RBACが制御するこのタイプのオペレーションおよびオブジェクトは、それが実装されるシステムのタイプとは無関係である。例えば、ファイルシステム内では、オペレーションは読取り、書込み、および実行を含むことができ、データベース管理システム内では、オペレーションは挿入、削除、追加、および更新を含むことができる。任意のアクセス制御機構の目的は、システム資源(すなわち保護されたオブジェクト)を保護することである。アクセス制御の初期のモデルと適合して、オブジェクトは、情報を含み、または受け取るエンティティである。
各セッションは、あるユーザの、恐らくは多くの役割へのマッピングであり、すなわち、ユーザはセッションを確立し、そのセッションの間、ユーザは、ユーザに割り当てられる役割のあるサブセットを活動化する。各セッションは単一のユーザと関連付けられ、各ユーザは1つまたは複数のセッションと関連付けられる。関数session_rolesは、セッションによって活動化された役割を与え、関数session_usersは、セッションに関連するユーザを与える。ユーザにとって利用可能な許可は、すべてのユーザのセッションにわたって現在アクティブである役割に割り当てられた許可である。
HierarchicalRBACコンポーネントは、役割階層に関する関係を追加する。階層は、役割間の上下関係を定義する部分的順序であり、それによって上層レベルの役割が、下層レベルの許可を獲得し、下層レベルの役割が上層レベルのユーザを獲得する。さらに、Hierarchical RBACは、許可ユーザと許可された許可の役割のセットの概念を導入することにより、単純なユーザおよび許可役割割当てに優先する。
階層は、組織の権限および責任の線を反映するように役割を構造化する自然な手段である。役割階層は、役割の間の継承関係を定義する。継承は、許可によって記述されてきた。すなわち、r2のすべての特権がr1の特権でもある場合、r1は役割r2を「継承」する。ある分散型RBAC実装では、役割許可は集中型で管理されないが、役割階層は集中型で管理される。こうした場合、役割階層はユーザ制約関係によって管理され、r1について許可されたすべてのユーザがr2についても許可される場合、役割r1は役割r2を「含む」。しかし、ユーザ包含は、r1のユーザが(少なくとも)r2のすべての特権を有することを暗示するが、r1およびr2に関する許可継承は、ユーザ割当てについて何も暗示しないことに留意されたい。
この標準は、一般役割階層と限定役割階層という2つのタイプの役割階層を認識する。一般役割階層は、役割階層として働くための任意の部分的順序に関するサポートを提供し、許可の複数の継承および役割間のユーザメンバシップの概念を含む。限定役割階層は、制限を課し、その結果、より単純なツリー構造が得られる(すなわち、役割は1つまたは複数の直系の先祖を有することができるが、単一の直系の子孫に制限される)。
一般役割階層は、複数の継承の概念をサポートし、複数の継承は、2つ以上の役割ソースから許可を継承し、2つ以上の役割ソースからユーザメンバシップを継承する能力を提供する。
第3モデルコンポーネントであるStatic Separation of Duty(SSD)Relationは、ユーザ割当てに関して役割間の排他性関係を追加する。役割ベースのシステムへの関心の競合が、競合する役割に関連する許可に対する権限をユーザが得る結果として生じる可能性がある。この形態の関心の競合を防止する一手段は、SSDを介するものであり、すなわち、ユーザの役割への割当てに関する制約を実施することである。役割階層のデューティ関係と継承関係の静的分離に関する不整合の可能性のために、SSD関係モデルコンポーネントは、役割階層の存在と不在の両方における関係を定義する。静的制約は、多種多様な形態を取ることができる。一般的な例は、役割のセットに関して、互いに素なユーザ割当てを定義するSSDである。
第4モデルコンポーネントであるDynamic Separation of Duty (DSD)Relationsは、ユーザのセッションの一部として活動化される役割に関して排他性関係を定義し、DSDの組織特有のポリシーを実施する能力を提供する。
SSDとDSDを比較すると、SSD関係は、ユーザの全許可空間に関する制約を定義し、それを課す。SSD関係は、1組の役割に割り当てることのできるユーザに関する制約を課すことにより、ユーザに対して利用可能にすることができる潜在的許可の数を削減する。DSD関係は、SSD関係と同様に、ユーザが利用可能な許可を制限するように意図されるものである。しかし、DSD関係は、こうした制限が課される状況により、SSD関係とは異なる。DSD Relationモデルコンポーネントは、ユーザのセッション内で、またはユーザのセッションにわたって活動化することのできる役割に関する制約を課すことによってユーザの許可空間にわたる許可の可用性を制限するDSDプロパティを定義する。DSDプロパティは、実行される役割に応じて各ユーザが様々なレベルの許可を様々な時間に有する点で、最小特権の原理に対する拡張サポートを提供する。こうしたプロパティは、デューティの性能のために必要とされる時間を超えて許可が存続しないことを保証する。この最小特権の態様はしばしば、トラストの適時取消しと呼ばれる。他のSSDとDSDの違いも存在し、理解できるように、許可の動的取消しはデューティの動的分離の機構なしには幾分複雑となる可能性があり、したがって、便宜上、過去においては一般に無視されてきた。
例示的ネットワーク環境および分散型環境
コンピュータネットワークの一部として配置することができ、または分散コンピューティング環境内に配置することのできる任意のコンピュータまたは他のクライアントまたはサーバと共に本発明を実装できることを当業者は理解することができる。この点で、本発明は、任意の数のメモリまたは記憶装置と、任意の数の記憶装置またはボリュームにわたって行われる任意の数のアプリケーションおよびプロセスとを有する任意のコンピュータシステムまたは環境に関連し、その任意のコンピュータシステムまたは環境を、本発明によるアクセスポリシーモデルにわたって変換するプロセスと共に使用することができる。本発明は、リモートまたはローカルストレージを有する、ネットワーク環境または分散コンピューティング環境内に配置されたサーバコンピュータおよびクライアントコンピュータを有する環境に適用することができる。本発明はまた、リモートまたはローカルサービスおよびプロセスと共に情報を生成、受信、および送信するためのプログラミング言語機能、解釈および実行機能を有するスタンドアロンコンピューティング装置にも適用することができる。
分散コンピューティングは、コンピューティング装置およびシステムの間の交換によってコンピュータ資源およびサービスの共有を実現する。こうした資源およびサービスは、情報の交換、ファイルなどのオブジェクトのためのキャッシュストレージおよびディスクストレージを含む。分散コンピューティングはネットワーク接続性を活用し、クライアントがその集合的パワーを活用して、企業全体に利することを可能にする。この点で、様々な装置が、本発明のアクセスポリシーモデルにわたって変換を実施するシステムおよび方法を関係させることのできるアプリケーション、オブジェクト、または資源を有することができる。
図7Aは、例示的ネットワーク環境または例示的分散コンピューティング環境の略図を与える。分散コンピューティング環境はコンピューティングオブジェクト10a、10bなど、およびコンピューティングオブジェクトまたは装置110a、110b、110cなどを含む。こうしたオブジェクトは、プログラム、メソッド、データストア、プログラマブルロジックなどを含むことができる。オブジェクトは、PDA、オーディオ/ビデオ装置、MP3プレーヤ、パーソナルコンピュータなどの同一または異なる装置の各部分を含むことができる。各オブジェクトは、通信ネットワーク14によって別のオブジェクトと通信することができる。このネットワークは、それ自体、図7Aのシステムにサービスを提供する他のコンピューティングオブジェクトおよびコンピューティング装置を含むことができ、それ自体、複数の相互接続されたネットワークを表すことができる。本発明の一態様によれば、各オブジェクト10a、10bなど、または110a、110b、110cは、本発明によるRBACポリシーモデルからRAPモデルに変換するシステムおよび方法と共に使用するのに適したAPI、または他のオブジェクト、ソフトウェア、ファームウェア、および/またはハードウェアを利用することのできるアプリケーションを含むことができる。
110cなどのオブジェクトを別のコンピューティング装置10a、10bなど、または110a、110bなどの上でホストすることができることも理解することができる。したがって、図示される物理的環境は、接続された装置をコンピュータとして示すことがあるが、そのような図示は例示的なものに過ぎず、別法として、PDA、テレビジョン、MP3プレーヤなどの様々なデジタル装置、インターフェース、COMオブジェクトなどのソフトウェアオブジェクトを含む物理的環境を図示または記述することができる。
分散コンピューティング環境をサポートする様々なシステム、構成要素、およびネットワーク構成が存在する。例えば、優先またはワイヤレスシステム、ローカルネットワーク、あるいは広範に分散したネットワークでコンピューティングシステムを互いに接続することができる。現在のところ、ネットワークの多くは、広範に分散したコンピューティングのためのインフラストラクチャを提供し、多数の異なるネットワークを包含するインターネットに結合される。本発明によるアクセスポリシーモデルにわたって変換するために行われる例示的通信のために任意のインフラストラクチャを使用することができる。
ホームネットワーキング環境では、電力線、データ(ワイヤレスと有線の両方)、音声(例えば電話)、エンターテイメント媒体などの固有のプロトコルをそれぞれサポートすることのできる、少なくとも4つの異なるネットワーク移送媒体が存在する。光スイッチやアプライアンスなどのホーム制御装置は、接続性のために電力線を使用することができる。データサービスは、ブロードバンド(例えばDSLまたはケーブルモデム)として家庭に進入することができ、ワイヤレス(例えばHomeRFまたは802.11B)接続性または有線(例えばHome PNA、Cat 5、イーサネット(登録商標)、さらには電力線)接続性を使用して家庭内でアクセス可能である。ボイストラフィックは、有線(例えばCat 3)またはワイヤレス(例えば携帯電話)として家庭に進入することができ、例えばCat 3配線を使用して家庭内で配布することができる。エンターテイメント媒体または他のグラフィカルデータは、サテライトまたはケーブルを介して家庭に進入することができ、通常は同軸ケーブルを使用して家庭内で配布される。IEEE1394およびDVIも媒体装置のクラスタ用のデジタル相互接続である。こうしたネットワーク環境と、プロトコル標準として出現する可能性のある、または既に出現しているその他のすべてを相互接続して、イントラネットなどのネットワークを形成することができ、それをGSMネットワーク環境やインターネットなどの広域ネットワークによって外部世界に接続することができる。手短に言えば、データの格納および伝送のための様々な異なるソースが存在し、したがって、さらに言えば、コンピューティング装置は、本発明によるアクセスポリシーモデルにわたる変換中に、プログラムオブジェクトに付随してアクセスまたは使用されるデータなどのデータを共有する方式を必要とする。
インターネットは一般に、コンピュータネットワーキングの技術分野で周知の伝送制御プロトコル/インターネットプロトコル(TCP/IP)プロトコル群を使用するネットワークおよびゲートウェイの集合を指す。インターネットは、ユーザがネットワークを介して対話し、情報を共有することを可能にするネットワーキングプロトコルを実行するコンピュータによって相互接続された、地理的に分散したリモートコンピュータネットワークのシステムと述べることができる。このような広範囲にわたる情報の共有のために、インターネットなどのリモートネットワークは、これまでのところ一般には、開発者が専用のオペレーションまたはサービスを実行するために本質的に無制限にソフトウェアアプリケーションを設計することのできるオープンシステムとして発展してきた。
したがって、ネットワークインフラストラクチャにより、クライアント/サーバ、ピアツーピア、またはハイブリッドアーキテクチャなどのネットワークトポロジのホストが可能となる。「クライアント」とは、無関係の別のクラスまたはグループのサービスを使用するクラスまたはグループのメンバである。したがって、コンピューティングにおいて、クライアントは、別のプログラムによって提供されるサービスを要求するプロセス、すなわち大雑把に言えば1組の命令またはタスクである。クライアントプロセスは、他のプログラムまたはサービス自体についての動作詳細を「認識」する必要なしに、要求したサービスを利用する。クライアント/サーバアーキテクチャ、特にネットワークシステムでは、クライアントは通常、別のコンピュータ、例えばサーバによって提供される共有ネットワーク資源にアクセスするコンピュータである。図7Aでは、一例を挙げると、コンピュータ110a、110bなどをクライアントとみなすことができ、コンピュータ10a、10bなどをサーバとみなすことができ、サーバ10a、10bなどがデータを維持し、次いでそのデータがクライアントコンピュータ110a、110bなどに複写されるが、状況に応じて、任意のコンピュータをクライアント、サーバ、またはその両方とみなすことができる。こうしたコンピューティング装置のいずれも、本発明によるRBACモデルからRAPモデルへの変換に関係する可能性のあるデータを処理している可能性があり、または本発明によるRBACモデルからRAPモデルへの変換に関係する可能性のあるサービスまたはタスクを要求している可能性がある。
サーバは一般に、インターネットなどのリモートまたはローカルのネットワークを介してアクセス可能なリモートコンピュータシステムである。クライアントプロセスは第1のコンピュータシステムでアクティブにすることができ、サーバプロセスは第2のコンピュータシステムでアクティブにすることができ、それらが通信媒体を介して互いに通信し、したがって分散機能が提供され、複数のクライアントがサーバの情報収集能力を利用することが可能となる。本発明のアクセスポリシーモデルにわたって変換する技法に従って利用されるどんなソフトウェアオブジェクトも複数のコンピューティング装置またはオブジェクトにわたって分散させることができる。
クライアントとサーバは、プロトコル層で提供される機能を利用して互いに通信することができる。例えば、ハイパーテキスト転送プロトコル(HTTP)は、ワールドワイドウェブ(WWW)すなわち「ウェブ」に関連して使用される一般的なプロトコルである。通常、インターネットプロトコル(IP)アドレスなどのコンピュータネットワークアドレス、またはUniversal Resource Locator(URL)などの他の参照を使用して、サーバまたはクライアントコンピュータを互いに識別することができる。ネットワークアドレスをURLアドレスと呼ぶことができる。通信媒体を介して通信を実現することができ、例えば高容量通信用のTCP/IP接続を介してクライアントとサーバを互いに結合することができる。
したがって、図7Aは、本発明を利用することのできる、サーバがネットワーク/バスを介してクライアントコンピュータと通信する例示的なネットワーク環境または分散環境を示す。より詳細には、いくつかのサーバ10a、10bなどが、通信ネットワーク/バス14は、LAN、WAN、イントラネット、インターネットなどでよい通信ネットワーク/バス14を介して、ポータブルコンピュータ、ハンドヘルドコンピュータ、シンクライアント、ネットワーク式アプライアンスなど、またはVCR、TV、オーブン、ライト、ヒータなどの他の装置などのいくつかのクライアントまたはリモートコンピューティング装置110a、110b、110c、110d、110eなどと相互接続される。したがって、あるアクセスポリシーモデルから別のアクセスポリシーモデルに変換することがそれに関連して望ましい任意のコンピューティング装置に本発明を適用できることが企図される。
例えば通信ネットワーク/バス14がインターネットであるネットワーク環境では、サーバ10a、10bなどは、クライアント110a、110b、110c、110d、110eなどがHTTPなどのいくつかの周知のプロトコルのいずれかを介して通信することができるウェブサーバでよい。分散コンピューティング環境の特徴として、サーバ10a、10bなどは、クライアント110a、110b、110c、110d、110eなどとして働くこともできる。
上述のように、通信は適宜、有線またはワイヤレスでよい。クライアント装置110a、110b、110c、110d、110eなどは、通信ネットワーク/バス14を介して通信することがあり、または通信しないことがあり、それらに関連する独立な通信を有することがある。例えば、TVまたはVCRの場合、その制御に対するネットワーク態様が存在することがあり、または存在しないことがある。各クライアントコンピュータ110a、110b、110c、110d、110eなど、およびサーバコンピュータ10a、10bなどは、様々なアプリケーションプログラムモジュールまたはオブジェクト135a、135b、135cなどを備えることがあり、様々なタイプの記憶素子またはオブジェクトに対する接続またはアクセスを備えることがあり、それらにわたってファイルまたはデータストリームを格納することができ、またはそれらに対してファイルまたはデータストリームの部分をダウンロードし、送信し、または移動することができる。コンピュータ10a、10b、110a、110bなどのうちの任意の1つまたは複数は、本発明に従って処理または保存されるデータを格納するデータベースまたはメモリ20などのデータベース20または他の記憶素子の保守および更新の任を担うことができる。したがって、本発明は、クライアントコンピュータ110a、110bなど、および他の類似のデバイス、ならびにデータベース20と対話することのできるコンピュータネットワーク/バス14およびサーバコンピュータ10a、10bなどにアクセスすることができ、対話することができるクライアントコンピュータ110a、110bなどを有するコンピュータネットワーク環境で使用することができる。
例示的コンピューティング装置
上述のように、本発明は、コンピューティング装置のアクセスポリシーモデルにわたって変換することが望ましい任意の装置に適用される。しかし、前述のように、ハンドヘルド装置、ポータブル装置、およびその他のコンピューティング装置と、すべての種類のコンピューティングオブジェクト、すなわち装置がアクセス制御に関するポリシーモデルにわたって変換することを望む可能性のある任意の場所(例えば、携帯電話などのポータブル装置を介するGSMネットワーク)が、本発明と共に使用されるように企図されることを理解されたい。したがって、図7Bで記述される以下の汎用リモートコンピュータは一例に過ぎず、ネットワーク/バス相互運用性および対話を有する任意のクライアントで本発明を実装することができる。したがって、非常にわずかな、または最小のクライアント資源が含まれるネットワークホストサービスの環境、例えば、アプライアンス内に配置されたオブジェクトなどのクライアント装置が単にネットワーク/バスに対するインターフェースとして働くネットワーク環境で本発明を実装することができる。
必須ではないが、装置またはオブジェクト向けのサービスの開発者が使用するために、オペレーティングシステムを介して本発明を部分的に実装することができ、かつ/または本発明の構成要素と共に動作するアプリケーションソフトウェア内に本発明を含めることができる。ソフトウェアは、クライアントワークステーション、サーバ、他の装置などの1つまたは複数のコンピュータによって実行中のプログラムモジュールなどのコンピュータ実行可能命令の一般的な状況で記述することができる。本発明を他のコンピュータシステム構成およびプロトコルと共に実施できることを当業者は理解されよう。
したがって、図7Bは、本発明を実装することのできる適切なコンピューティングシステム環境100aの一例を示すが、上記で明らかにしたように、コンピューティングシステム環境100aはコンピューティング装置のための適切なコンピューティング環境の一例に過ぎず、本発明の使用法または機能の範囲について何らかの制限を示唆するものではない。例示的動作環境100aに示される構成要素のいずれか1つあるいはその組合せに関して、コンピューティング環境100aが何らかの依存関係または要件を有するものと解釈すべきでもない。
図7Bを参照すると、本発明を実装する例示的リモート装置は、コンピュータ110aの形態の汎用コンピューティング装置を含む。コンピュータ110aの構成要素は、限定はしないが、処理装置120aと、システムメモリ130aと、システムメモリを含む様々なシステム構成要素を処理装置120aに結合するシステムバス121aとを含むことができる。システムバス121aは、様々なバスアーキテクチャのいずれかを使用する、メモリバスまたはメモリコントローラ、周辺バス、およびローカルバスを含むいくつかのタイプのバス構造のいずれでもよい。
コンピュータ110aは通常、様々なコンピュータ可読媒体を含む。コンピュータ可読媒体はコンピュータ110aでアクセスすることができる入手可能などんな媒体でもよい。例えば、限定はしないが、コンピュータ可読媒体は、コンピュータ記憶媒体と通信媒体を含むことができる。コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、他のデータなどの情報の格納のための任意の方法または技術で実装された不揮発性媒体と揮発性媒体の両方、取外し可能媒体と取外し不能媒体の両方を含む。コンピュータ記憶媒体は、限定はしないが、RAM、ROM、EEPROM、フラッシュメモリ、またはその他のメモリ技術、CDROM、デジタルバーサタイルディスク(DVD)、または他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ、または他の磁気記憶装置、あるいは所望の情報を格納するのに使用することができ、コンピュータ110aでアクセスすることのできる他の任意の媒体を含む。通信媒体は通常、コンピュータ可読命令、データ構造、プログラムモジュール、あるいは他のデータを、搬送波や他の移送機構などの被変調データ信号として実施し、任意の情報配信媒体を含む。
システムメモリ130aは、読取り専用メモリ(ROM)やランダムアクセスメモリ(RAM)など、揮発性および/または不揮発性メモリの形態のコンピュータ記憶媒体を含む。起動時などにコンピュータ110a内の要素間で情報を転送する助けとなる基本ルーチンを含む基本入出力システム(BIOS)をメモリ130aに格納することができる。メモリ130aは通常、処理装置120aから即座にアクセス可能であり、かつ/または処理装置120aによって現在操作されているデータおよび/またはプログラムモジュールも含む。例えば、限定はしないが、図1に、メモリ130aは、オペレーティングシステム、アプリケーションプログラム、他のプログラムモジュール、およびプログラムデータも含むことができる。
コンピュータ110aは、他の取外し可能/取外し不能な、揮発性/不揮発性のコンピュータ記憶媒体も含むことができる。例えば、コンピュータ110aは、取外し不能な不揮発性の磁気媒体を読み書きするハードディスクドライブ、取外し可能な不揮発性の磁気ディスクを読み書きする磁気ディスクドライブ、およびCD−ROMや他の光学媒体などの取外し可能な不揮発性の光ディスクを読み書きする光ディスクドライブを含むことができる。例示的動作環境で使用することができる他の取外し可能/取外し不能な、揮発性/不揮発性のコンピュータ記憶媒体は、限定はしないが、磁気テープカセット、フラッシュメモリカード、デジタルバーサタイルディスク、デジタルビデオテープ、固体RAM、固体ROMなどを含む。ハードディスクドライブは通常、インターフェースなどの取外し不能メモリインターフェースを介してシステムバス121aに接続され、磁気ディスクドライブおよび光ディスクドライブは通常、インターフェースなどの取外し可能メモリインターフェースによってシステムバス121aに接続される。
ユーザは、キーボードや、一般にマウス、トラックボール、またはタッチパッドと呼ばれるポインティングデバイスなどの入力装置を介して、コマンドおよび情報をコンピュータ110aに入力することができる。他の入力装置は、マイクロフォン、ジョイスティック、ゲームパッド、サテライトディッシュ、スキャナなどを含むことができる。これらの入力装置や他の入力装置はしばしば、システムバス121aに結合されるユーザ入力140aおよび関連するインターフェースを介して処理装置120aに接続されるが、パラレルポート、ゲームポート、ユニバーサルシリアルバス(USB)などの他のインターフェースおよびバス構造によって接続することもできる。グラフィックスサブシステムもシステムバス121aに接続することもできる。モニタまたは他のタイプのディスプレイ装置も出力インターフェース150aなどのインターフェースを介してシステムバス121aに接続され、出力インターフェース150aはビデオメモリと通信することができる。モニタに加えて、コンピュータは、スピーカやプリンタなどの他の周辺出力装置も含むことができ、その周辺出力装置は、出力インターフェース150aを介して接続することができる。
コンピュータ110aは、リモートコンピュータ170aなどの1つまたは複数の他のリモートコンピュータへの論理接続を使用して、ネットワーク環境または分散環境で動作することができ、1つまたは複数の他のリモートコンピュータは、装置110aとは異なる媒体能力などの能力を有する。リモートコンピュータ170aは、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピア装置、または他の共通ネットワークノード、あるいは他の任意のリモート媒体消費または伝送装置でよく、コンピュータ110aに関して上記で述べた要素のいずれかまたはすべてを含むことができる。図7Bに示される論理接続は、ローカルエリアネットワーク(LAN)や広域ネットワーク(WAN)などのネットワーク171aを含むが、他のネットワーク/バスも含むことができる。そのようなネットワーキング環境は、家庭、オフィス、企業全体のコンピュータネットワーク、イントラネット、およびインターネットで一般的なものである。
LANネットワーキング環境で使用されるとき、コンピュータ110aは、ネットワークインターフェースまたはアダプタを介してLAN171aに接続される。WANネットワーキング環境で使用する際、コンピュータ110aは通常、インターネットなどのWANを介して通信を確立するネットワークコンポーネント(ネットワークカードモデムなど)または他の手段を含む。ネットワークに接続するための手段は内蔵または外付けでよく、入力140aのユーザ入力インターフェースまたは他の適切な機構を介してシステムバス121aに接続することができる。ネットワーク環境では、コンピュータ110aに関して示されるプログラムモジュールまたはその各部分をリモートメモリ記憶装置に格納することができる。図示および説明されるネットワーク接続は例示的なものであり、コンピュータ間の通信リンクを確立する他の手段を使用できることを理解されよう。
例示的分散コンピューティングフレームワークまたはアーキテクチャ
様々な分散コンピューティングフレームワークがパーソナルコンピューティングとインターネットの収束に照らして開発されてきており、かつ開発されつつある。個人ユーザおよびビジネスユーザは一様に、アプリケーションおよびコンピューティング装置のためのシームレスに相互相互運用可能かつウェブ使用可能なインターフェースを備え、コンピューティング活動がますますウェブブラウザまたはネットワーク指向となっている。
例えば、MICROSOFT(登録商標)の管理コードプラットフォーム、すなわち.NETは、サーバ、ウェブベースのデータストレージなどのビルディングブロックサービス、およびダウンロード可能装置ソフトウェアを含む。一般的には、.NETプラットフォームは、(1)コンピューティング装置の範囲全体が共に働くようにし、コンピューティング装置上のすべてに対してユーザ情報を自動的に更新および同期させる能力、(2)HTMLではなくXMLをより多く使用することによって可能となる、ウェブページに関する対話機能の向上、(3)例えばEメールなどの様々なアプリケーション、Office .NETなどのソフトウェアの管理のための、中央開始地点からユーザへの製品およびサービスのカスタマイズ化されたアクセスおよび送達を特徴とするオンラインサービス、(4)アクセスの効率および容易さ、ならびにユーザおよび装置間の情報の同期を向上させる集中型データストレージ、(5)Eメール、ファックス、電話などの様々な通信媒体を統合する能力、(6)開発者に関して、再利用可能モジュールを作成し、それによって生産性を向上させ、プログラミングエラーの数を低減する能力、および(7)他のクロスプラットフォームおよび言語統合機能も提供する。
コンピューティング装置上に常駐するアプリケーションプログラミングインターフェース(API)などのソフトウェアに関連していくつかの例示的実施形態を本明細書で説明したが、本発明の1つまたは複数の部分をオペレーティングシステム、または「ミドルマン」オブジェクト、制御オブジェクト、ハードウェア、ファームウェア、中間言語命令またはオブジェクトなどを介して実装することもでき、それによって、本発明によるポリシーモデルにわたって変換する方法を、.NETコードなどの管理コードによって使用可能にされる言語およびサービスのすべて、および他の分散コンピューティングフレームワークの中に含めることもでき、その中でサポートすることもでき、またはそれを介してアクセスすることもできる。
例えば、アプリケーションおよびサービスが本発明のポリシーモデルにわたって変換するシステムおよび方法を使用することを可能にする適切なAPI、ツールキット、ドライバコード、オペレーティングシステム、コントロール、スタンドアロン型またはダウンロード可能ソフトウェアオブジェクトなど、本発明を実装する複数の方式がある。本発明は、API(または他のソフトウェアオブジェクト)の観点ならびに本発明によるダウンロードされたプログラムを受け取るソフトウェアまたはハードウェアオブジェクトの観点から本発明の使用を企図する。したがって、本明細書に記載の本発明の様々な実装は、完全にハードウェアである態様、部分的にハードウェア、部分的にはソフトウェアである態様、ならびにソフトウェアの態様を有することができる。
上述のように、本発明の例示的実施形態を様々なコンピューティング装置およびネットワークアーキテクチャに関連して説明したが、基礎となる概念を、あるアクセスポリシーモデルから別のアクセスポリシーモデルに変換することが望ましい任意のコンピューティング装置またはシステムに適用することができる。例えば、本発明のアルゴリズムおよびハードウェア実装を、装置の別々のオブジェクトとして設けられた、別のオブジェクトの部分として設けられた、再利用可能制御として設けられた、サーバからダウンロード可能オブジェクトとして設けられた、装置またはオブジェクトとネットワークの間の「ミドルマン」として設けられた、分散オブジェクトとして、ハードウェアとして設けられた、メモリ内に設けられた、上記のいずれかの組合せとして設けられたコンピューティング装置のオペレーティングシステムに適用することができる。例示的プログラミング言語、名前、および例は本明細書で様々なの選択肢の代表として選ばれるものであって、こうした言語、名前、および例は限定的なものであることが意図されるわけではない。本発明の様々な実施形態によって達成されるのと同一の機能、類似の機能、または等価な機能を達成するオブジェクトコードおよび用語を提供する多数の方式があることを当業者は理解されよう。
上述のように、本明細書に記載の様々な技法をハードウェアまたはソフトウェア、あるいは適切な場合はその両方の組合せと共に実装することができる。したがって、本発明の方法および機器、またはそのいくつかの態様または部分は、フロッピィディスケット、CD−ROM、ハードドライブ、または他の任意の機械可読記憶媒体などの有形媒体内に実施されたプログラムコード(すなわち命令)の形態を取ることができ、プログラムコードがコンピュータなどのマシンにロードされ実行されたときに、そのマシンが本発明を実施するための装置となる。プログラム可能コンピュータ上のプログラムコード実行のケースでは、コンピューティング装置は一般に、プロセッサ、プロセッサで読取り可能な記憶媒体(揮発性および不揮発性のメモリおよび/または記憶素子を含む)、少なくとも1つの入力装置、および少なくとも1つの出力装置を含む。例えばデータ処理API、再利用可能制御などを使用することによって本発明のポリシーモデルにわたって変換する方法を実装または利用することのできる1つまたは複数のプログラムは、コンピュータと通信するために高水準の手続き型プログラミング言語またはオブジェクト指向プログラミング言語で実装されることが好ましい。しかし、望むならアセンブリ言語または機械語でプログラムを実装することもできる。いずれにしても、言語はコンパイル型言語またはインタプリタ型言語でよく、ハードウェア実装と組み合わせることができる。
本発明の方法および装置は、電気配線またはケーブル、光ファイバ、あるいは他の任意の形態の伝送などの、何らかの伝送媒体を介して伝送されるプログラムコードの形で実施された通信を介して実施することでき、プログラムコードが、EPROM、ゲートアレイ、プログラマブルロジックデバイス(PLD)、クライアントコンピュータなどのマシンで受信され、ロードされ、実行されるとき、マシンは本発明を実施する機器になる。汎用プロセッサ上に実装されるとき、プログラムコードがプロセッサと組み合わさり、本発明の機能を起動するように動作する固有の装置を提供する。さらに、本発明に関連して使用される任意の記憶技法は常にハードウェアとソフトウェアの組合せでよい。
様々な図の好ましい実施形態と共に本発明を説明したが、本発明から逸脱することなく、他の類似の実施形態を使用することができ、あるいは本発明と同じ機能を実施するために記載の実施形態に修正および追加を行うことができることを理解されたい。例えば、本発明の例示的ネットワーク環境がピアツーピアネットワーク環境などのネットワーク環境の状況で説明されたが、本発明はそれに限定されず、有線であってもワイヤレスであっても、ゲーミングコンソール、ハンドヘルドコンピュータ、ポータブルコンピュータなどの任意のコンピューティング装置または環境に本願に記載の方法を適用でき、通信を介して接続され、ネットワークを介して対話する任意の数のそのようなコンピューティング装置に本願に記載の方法を適用できることを当業者は理解されよう。さらに、特にワイヤレスネットワーク装置の数が引き続き急増するにつれて、ハンドヘルド装置オペレーティングシステムおよび他のアプリケーション特有のオペレーティングシステムを含む様々なコンピュータプラットフォームが企図されることが強調されるべきである。
例示的実施形態は、特定のプログラミング言語構成の状況で本発明を使用することを参照するが、本発明はそのように限定されるわけではなく、本発明を任意の言語で実施して、ポリシーモデルにわたって変換する方法を提供するこことができる。さらに、本発明を複数の処理チップまたは装置内に、または複数の処理チップにわたって実装することができ、ストレージを複数の装置にわたって同様に実施することができる。したがって、本発明が何らかの単一の実施形態に限定されるべきではなく、添付の特許請求の範囲による広さおよび範囲で解釈されるべきである。
本発明に従って定義されたRBACシステムの概要のブロック図である。 本発明に従って定義されたRBACシステムに関する役割の例示的作成のブロック図である。 本発明によるRBACポリシーの作成、RBACポリシーの更新、およびRAP構造への変換を示す例示的流れ図である。 本発明のRBACポリシー定義によるアプリケーション資源に基づく企業役割および範囲の関係を示すブロック図である。 本発明によるRBACポリシーの作成、および本発明によるアクセス制御リスト(ACL)への対応する自動変換の例示的非限定的流れ図である。 ACLを使用する権限システム内のアクセス制御エントリ(ACE)の資源ごとのアプリケーションを示す例示的ブロック図である。 本発明を実装することのできる例示的ネットワーク環境を表すブロック図である。 本発明を実装することのできる例示的非限定的コンピューティングシステム環境を表すブロック図である。

Claims (21)

  1. ネットワークコンピューティング環境内で役割ベースのアクセス制御ポリシーをオーサリングする方法であって、
    少なくとも1つの範囲を定義するステップであって、各範囲が、前記ネットワークコンピューティング環境内の1組の資源を表すステップ(510)と、
    所与の範囲内のプリンシパルに割り当てられる1組の許可をそれぞれ含む、少なくとも1つのアプリケーション役割を定義するステップ(500)と、および
    組織識別管理システム内のプリンシパルの少なくとも1つの資源グループを定義するステップであって、前記少なくとも1つの資源グループのメンバのそれぞれが、前記少なくとも1つの範囲のうちの範囲と前記少なくとも1つのアプリケーション役割のうちのアプリケーション役割とに従って、特定の資源へのアクセスのために指定されるステップ(520)と
    を含む方法。
  2. 前記資源グループの対応する範囲およびアプリケーション役割に基づいて前記少なくとも1つの資源グループに対する許可を授与または拒否するステップをさらに含む請求項1に記載の方法。
  3. 前記少なくとも1つの範囲、前記少なくとも1つのアプリケーション役割、および前記少なくとも1つの資源グループを、資源許可ポリシーモデルに対応する許可に変換するステップをさらに含む請求項1に記載の方法。
  4. 前記少なくとも1つの範囲、前記少なくとも1つのアプリケーション役割、および前記少なくとも1つの資源グループを、資源許可ポリシーモデルに対応するデータ構造に変換するステップをさらに含む請求項1に記載の方法。
  5. 前記少なくとも1つの範囲、前記少なくとも1つのアプリケーション役割、および前記少なくとも1つの資源グループを変換し、アクセス制御リスト(ACL)およびアクセス制御エントリ(ACE)に基づいて資源許可ポリシーモデルのACLおよびACEデータ構造に変換するための変換情報を形成するステップをさらに含む請求項4に記載の方法。
  6. ACLおよびACEに基づく資源許可ポリシーモデルがWindows Authorization Manager(AzMan)である請求項5に記載の方法。
  7. 前記情報を前記ネットワークコンピューティング環境のアクセス制御リスト(ACL)およびアクセス制御エントリ(ACE)データ構造に伝播するステップをさらに含む請求項5に記載の方法。
  8. プリンシパルの前記少なくとも1つの資源グループを定義する前記ステップが、前記ネットワークコンピューティング環境内で動作する組織に関連する既存のメンバシップグループを選択するステップを含む請求項1に記載の方法。
  9. 前記既存のメンバシップグループが変化したときに前記少なくとも1つの資源グループを更新するステップをさらに含む請求項8に記載の方法。
  10. プリンシパルの前記少なくとも1つの資源グループを定義する前記ステップが、前記組織に関連するEメールグループまたは配布リストを選択するステップを含む請求項9に記載の方法。
  11. 前記少なくとも1つの範囲のうちの範囲が、オペレーティングシステムのファイルシステムによって編成される1つまたは複数のファイル、フォルダ、または他のオブジェクトの集合として定義される請求項1に記載の方法。
  12. 範囲に関連する1組の資源が変化したとき、前記少なくとも1つの範囲を更新するステップをさらに含む請求項1に記載の方法。
  13. 請求項1に記載の方法を実施するコンピュータ実行可能命令を有するコンピュータ実行可能インターフェースモジュールを含むアプリケーションプログラミングインターフェース。
  14. ネットワークコンピューティング環境内でアクセスを制御する役割ベースのアクセス制御ポリシーデータを格納するコンピュータ可読媒体であって、
    少なくとも1つの範囲を表す範囲データを含む第1データ構造であって、各範囲が、前記ネットワークコンピューティング環境内の1組の資源を表す第1データ構造(310)と、
    所与の範囲内のプリンシパルに割り当てられる1組の許可をそれぞれ含む、少なくとも1つのアプリケーション役割を定義する役割データを含む第2データ構造(300)と、
    組織識別管理システム内のプリンシパルの少なくとも1つの資源グループを定義するグループデータを含む第3データ構造であって、前記少なくとも1つの資源グループのメンバのそれぞれに、前記少なくとも1つの範囲のうちの範囲と前記少なくとも1つのアプリケーション役割のうちのアプリケーション役割とに従って、特定の資源へのアクセスが授与または拒否される第3データ構造とを含み、
    前記第1、第2、および第3データ構造が、資源600a〜Nごとに許可ポリシーを適用する資源許可ポリシーに関連するデータ構造への所定のマッピング機能に従ってマッピング可能であるコンピュータ可読媒体。
  15. 前記資源許可ポリシーが、アクセス制御リスト(ACE)データ構造を基本資源権限として含む資源許可ポリシーである請求項14に記載のコンピュータ可読媒体。
  16. 前記第1、第2、および第3データ構造をオーサリングするコンピュータ実行可能モジュールをさらに含む請求項14に記載のコンピュータ可読媒体。
  17. 前記第1、第2、および第3データ構造を前記資源許可ポリシーに関連する前記データ構造に変換するコンピュータ実行可能モジュールをさらに含む請求項14に記載のコンピュータ可読媒体。
  18. 前記第1、第2、および第3データ構造を前記資源許可ポリシーに関連する前記許可に変換するコンピュータ実行可能モジュールをさらに含む請求項14に記載のコンピュータ可読媒体。
  19. 資源許可ポリシーに基づく権限を含むネットワークコンピューティング環境内で実施されるべき役割ベースのアクセス制御ポリシーを作成するオーサリングツールであって、
    前記ネットワークコンピューティング環境内の1組の資源をそれぞれ表す、少なくとも1つの範囲を定義する手段(510)と、
    所与の範囲内のプリンシパルに割り当てられる1組の許可をそれぞれ含む、少なくとも1つのアプリケーション役割を定義する手段(500)と、
    組織識別管理システム内のプリンシパルの少なくとも1つの資源グループを定義する手段であって、前記少なくとも1つの資源グループのメンバのそれぞれが、前記少なくとも1つの範囲のうちの範囲と前記少なくとも1つのアプリケーション役割のうちのアプリケーション役割とに従って、特定の資源へのアクセスのために指定される手段(520)と
    を含むオーサリングツール。
  20. 前記資源グループの対応する範囲およびアプリケーション役割に基づいて前記少なくとも1つの資源グループに対する許可を授与または拒否する手段をさらに含む請求項19に記載のオーサリングツール。
  21. 前記少なくとも1つの範囲、前記少なくとも1つのアプリケーション役割、および前記少なくとも1つの資源グループを、前記資源許可ポリシーモデルに対応する許可に変換する手段をさらに含む請求項20に記載のオーサリングツール。
JP2009513185A 2006-05-30 2007-05-22 役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換 Expired - Fee Related JP5356221B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/443,638 2006-05-30
US11/443,638 US8381306B2 (en) 2006-05-30 2006-05-30 Translating role-based access control policy to resource authorization policy
PCT/US2007/012346 WO2007142849A1 (en) 2006-05-30 2007-05-22 Translating role-based access control policy to resource authorization policy

Publications (3)

Publication Number Publication Date
JP2009539183A true JP2009539183A (ja) 2009-11-12
JP2009539183A5 JP2009539183A5 (ja) 2010-06-17
JP5356221B2 JP5356221B2 (ja) 2013-12-04

Family

ID=38791954

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009513185A Expired - Fee Related JP5356221B2 (ja) 2006-05-30 2007-05-22 役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換

Country Status (8)

Country Link
US (1) US8381306B2 (ja)
EP (1) EP2021935A4 (ja)
JP (1) JP5356221B2 (ja)
KR (1) KR101432317B1 (ja)
BR (1) BRPI0711700A2 (ja)
CA (1) CA2649862C (ja)
MX (1) MX2008014856A (ja)
WO (1) WO2007142849A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009540461A (ja) * 2006-06-13 2009-11-19 マイクロソフト コーポレーション 宣言型管理フレームワーク(declarativemanagementframework)
JP2011128952A (ja) * 2009-12-18 2011-06-30 Fuji Xerox Co Ltd 情報処理装置およびプログラム
JP2011186891A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 情報管理装置および方法
JP2016505942A (ja) * 2012-12-05 2016-02-25 エルジー エレクトロニクス インコーポレイティド 無線通信システムにおいて接近権限認証のための方法及び装置
JP2016081243A (ja) * 2014-10-15 2016-05-16 株式会社日立製作所 情報共有装置、及び、情報共有方法

Families Citing this family (191)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080005115A1 (en) * 2006-06-30 2008-01-03 International Business Machines Corporation Methods and apparatus for scoped role-based access control
US9455990B2 (en) * 2006-07-21 2016-09-27 International Business Machines Corporation System and method for role based access control in a content management system
US8903365B2 (en) * 2006-08-18 2014-12-02 Ca, Inc. Mobile device management
US8402514B1 (en) 2006-11-17 2013-03-19 Network Appliance, Inc. Hierarchy-aware role-based access control
US7712127B1 (en) * 2006-11-17 2010-05-04 Network Appliance, Inc. Method and system of access control based on a constraint controlling role assumption
US20080120302A1 (en) * 2006-11-17 2008-05-22 Thompson Timothy J Resource level role based access control for storage management
US8719894B2 (en) 2007-03-29 2014-05-06 Apple Inc. Federated role provisioning
CA2682415A1 (en) * 2007-03-30 2008-10-09 Real Enterprise Solutions Development B.V. Method and system for determining entitlements to resources of an organization
US7890531B2 (en) * 2007-06-29 2011-02-15 Oracle International Corporation Method for resolving permission for role activation operators
US10417586B2 (en) * 2007-08-31 2019-09-17 Red Hat, Inc. Attaching ownership to data
US8549278B2 (en) * 2007-10-20 2013-10-01 Blackout, Inc. Rights management services-based file encryption system and method
US8825999B2 (en) 2007-10-20 2014-09-02 Blackout, Inc. Extending encrypting web service
US8549326B2 (en) * 2007-10-20 2013-10-01 Blackout, Inc. Method and system for extending encrypting file system
US8326814B2 (en) 2007-12-05 2012-12-04 Box, Inc. Web-based file management system and service
US8132231B2 (en) * 2007-12-06 2012-03-06 International Business Machines Corporation Managing user access entitlements to information technology resources
US9430660B2 (en) * 2008-01-31 2016-08-30 International Business Machines Corporation Managing access in one or more computing systems
US20090198548A1 (en) * 2008-02-05 2009-08-06 Mathias Kohler System to avoid policy-based deadlocks in workflow execution
US8266118B2 (en) * 2008-02-07 2012-09-11 Microsoft Corporation Automated access policy translation
US8584196B2 (en) * 2008-05-05 2013-11-12 Oracle International Corporation Technique for efficiently evaluating a security policy
JP4591546B2 (ja) * 2008-05-26 2010-12-01 コニカミノルタビジネステクノロジーズ株式会社 データ配信装置、データ配信方法、及びデータ配信プログラム
US8943271B2 (en) 2008-06-12 2015-01-27 Microsoft Corporation Distributed cache arrangement
US8176256B2 (en) * 2008-06-12 2012-05-08 Microsoft Corporation Cache regions
US20090313079A1 (en) * 2008-06-12 2009-12-17 Microsoft Corporation Managing access rights using projects
US8181230B2 (en) * 2008-06-30 2012-05-15 International Business Machines Corporation System and method for adaptive approximating of a user for role authorization in a hierarchical inter-organizational model
JP5035182B2 (ja) * 2008-08-27 2012-09-26 富士通株式会社 アクセス制御システム、アクセス制御方法、アクセス制御プログラム、及びアクセス制御プログラムを記録した記録媒体
US8291468B1 (en) * 2009-03-30 2012-10-16 Juniper Networks, Inc. Translating authorization information within computer networks
US8713060B2 (en) 2009-03-31 2014-04-29 Amazon Technologies, Inc. Control service for relational data management
US8332365B2 (en) 2009-03-31 2012-12-11 Amazon Technologies, Inc. Cloning and recovery of data volumes
US9207984B2 (en) 2009-03-31 2015-12-08 Amazon Technologies, Inc. Monitoring and automatic scaling of data volumes
US8307003B1 (en) 2009-03-31 2012-11-06 Amazon Technologies, Inc. Self-service control environment
US9705888B2 (en) * 2009-03-31 2017-07-11 Amazon Technologies, Inc. Managing security groups for data instances
WO2010128358A1 (en) 2009-05-06 2010-11-11 Grigory Levit Permissions verification method and system
US20120246695A1 (en) * 2009-05-08 2012-09-27 Alexander Cameron Access control of distributed computing resources system and method
US8326874B2 (en) * 2009-06-17 2012-12-04 Microsoft Corporation Model-based implied authorization
US20100325684A1 (en) * 2009-06-17 2010-12-23 Microsoft Corporation Role-based security for messaging administration and management
US8255419B2 (en) * 2009-06-17 2012-08-28 Microsoft Corporation Exclusive scope model for role-based access control administration
US8549289B2 (en) 2009-06-22 2013-10-01 Microsoft Corporation Scope model for role-based access control administration
US8656508B2 (en) * 2009-07-24 2014-02-18 Oracle International Corporation Licensed feature enablement manager
US8732847B2 (en) * 2009-08-31 2014-05-20 Oracle International Corporation Access control model of function privileges for enterprise-wide applications
US9135283B2 (en) 2009-10-07 2015-09-15 Amazon Technologies, Inc. Self-service configuration for data environment
US8676753B2 (en) 2009-10-26 2014-03-18 Amazon Technologies, Inc. Monitoring of replicated data instances
US8074107B2 (en) 2009-10-26 2011-12-06 Amazon Technologies, Inc. Failover and recovery for replicated data instances
US8335765B2 (en) 2009-10-26 2012-12-18 Amazon Technologies, Inc. Provisioning and managing replicated data instances
US20110154229A1 (en) * 2009-12-17 2011-06-23 Microsoft Corporation Mosaic identity
US10057239B2 (en) * 2009-12-17 2018-08-21 Pulse Secure, Llc Session migration between network policy servers
US8464319B2 (en) * 2010-01-08 2013-06-11 Microsoft Corporation Resource access based on multiple scope levels
US20110173947A1 (en) * 2010-01-19 2011-07-21 General Electric Company System and method for gas turbine power augmentation
US8789132B2 (en) * 2010-06-07 2014-07-22 Oracle International Corporation Enterprise model for provisioning fine-grained access control
US9256757B2 (en) * 2010-06-17 2016-02-09 Sap Se Prefetch of attributes in evaluating access control requests
US8601549B2 (en) * 2010-06-29 2013-12-03 Mckesson Financial Holdings Controlling access to a resource using an attribute based access control list
JP2012027650A (ja) * 2010-07-22 2012-02-09 Nec Corp コンテンツ管理装置およびコンテンツ管理方法
JP5807640B2 (ja) * 2010-09-22 2015-11-10 日本電気株式会社 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム
US20120078923A1 (en) * 2010-09-29 2012-03-29 Microsoft Corporation Scripting using new ordering algorithm
WO2012054055A1 (en) 2010-10-22 2012-04-26 Hewlett-Packard Development Company, L.P. Distributed network instrumentation system
CN103052957A (zh) * 2010-10-25 2013-04-17 株式会社日立制作所 存储装置和其管理方法
AU2010246354B1 (en) 2010-11-22 2011-11-03 Microsoft Technology Licensing, Llc Back-end constrained delegation model
US8869052B2 (en) * 2010-11-30 2014-10-21 Sap Se Context-dependent object types in an integrated development environment
US10554426B2 (en) 2011-01-20 2020-02-04 Box, Inc. Real time notification of activities that occur in a web-based collaboration environment
US8990891B1 (en) 2011-04-19 2015-03-24 Pulse Secure, Llc Provisioning layer two network access for mobile devices
US8689298B2 (en) * 2011-05-31 2014-04-01 Red Hat, Inc. Resource-centric authorization schemes
US9015601B2 (en) 2011-06-21 2015-04-21 Box, Inc. Batch uploading of content to a web-based collaboration environment
US9063912B2 (en) 2011-06-22 2015-06-23 Box, Inc. Multimedia content preview rendering in a cloud content management system
US9978040B2 (en) 2011-07-08 2018-05-22 Box, Inc. Collaboration sessions in a workspace on a cloud-based content management system
WO2013009337A2 (en) 2011-07-08 2013-01-17 Arnold Goldberg Desktop application for access and interaction with workspaces in a cloud-based content management system and synchronization mechanisms thereof
US20130197951A1 (en) * 2011-07-26 2013-08-01 Christopher Evan Watson Incident Management and Monitoring Systems and Methods
US9197718B2 (en) 2011-09-23 2015-11-24 Box, Inc. Central management and control of user-contributed content in a web-based collaboration environment and management console thereof
US8515902B2 (en) 2011-10-14 2013-08-20 Box, Inc. Automatic and semi-automatic tagging features of work items in a shared workspace for metadata tracking in a cloud-based content management system with selective or optional user contribution
US8918425B2 (en) 2011-10-21 2014-12-23 International Business Machines Corporation Role engineering scoping and management
US9098474B2 (en) 2011-10-26 2015-08-04 Box, Inc. Preview pre-generation based on heuristics and algorithmic prediction/assessment of predicted user behavior for enhancement of user experience
US11210610B2 (en) 2011-10-26 2021-12-28 Box, Inc. Enhanced multimedia content preview rendering in a cloud content management system
US8990307B2 (en) 2011-11-16 2015-03-24 Box, Inc. Resource effective incremental updating of a remote client with events which occurred via a cloud-enabled platform
GB2500152A (en) 2011-11-29 2013-09-11 Box Inc Mobile platform file and folder selection functionalities for offline access and synchronization
US9019123B2 (en) 2011-12-22 2015-04-28 Box, Inc. Health check services for web-based collaboration environments
US9904435B2 (en) 2012-01-06 2018-02-27 Box, Inc. System and method for actionable event generation for task delegation and management via a discussion forum in a web-based collaboration environment
US9635029B2 (en) 2012-01-27 2017-04-25 Honeywell International Inc. Role-based access control permissions
US11232481B2 (en) 2012-01-30 2022-01-25 Box, Inc. Extended applications of multimedia content previews in the cloud-based content management system
US8726338B2 (en) 2012-02-02 2014-05-13 Juniper Networks, Inc. Dynamic threat protection in mobile networks
US9965745B2 (en) 2012-02-24 2018-05-08 Box, Inc. System and method for promoting enterprise adoption of a web-based collaboration environment
US8966576B2 (en) * 2012-02-27 2015-02-24 Axiomatics Ab Provisioning access control using SDDL on the basis of a XACML policy
US9195636B2 (en) 2012-03-07 2015-11-24 Box, Inc. Universal file type preview for mobile devices
US9054919B2 (en) 2012-04-05 2015-06-09 Box, Inc. Device pinning capability for enterprise cloud service and storage accounts
US9575981B2 (en) 2012-04-11 2017-02-21 Box, Inc. Cloud service enabled to handle a set of files depicted to a user as a single file in a native operating system
US8595799B2 (en) 2012-04-18 2013-11-26 Hewlett-Packard Development Company, L.P. Access authorization
US9413587B2 (en) 2012-05-02 2016-08-09 Box, Inc. System and method for a third-party application to access content within a cloud-based platform
US9691051B2 (en) 2012-05-21 2017-06-27 Box, Inc. Security enhancement through application access control
US8914900B2 (en) 2012-05-23 2014-12-16 Box, Inc. Methods, architectures and security mechanisms for a third-party application to access content in a cloud-based platform
US9027108B2 (en) 2012-05-23 2015-05-05 Box, Inc. Systems and methods for secure file portability between mobile applications on a mobile device
US9081950B2 (en) * 2012-05-29 2015-07-14 International Business Machines Corporation Enabling host based RBAC roles for LDAP users
US9213571B2 (en) * 2012-06-06 2015-12-15 2236008 Ontario Inc. System and method for changing abilities of a process
KR101401794B1 (ko) * 2012-06-29 2014-06-27 인텔렉추얼디스커버리 주식회사 데이터 공유 제공 방법 및 장치
US9021099B2 (en) 2012-07-03 2015-04-28 Box, Inc. Load balancing secure FTP connections among multiple FTP servers
GB2505072A (en) 2012-07-06 2014-02-19 Box Inc Identifying users and collaborators as search results in a cloud-based system
US9712510B2 (en) 2012-07-06 2017-07-18 Box, Inc. Systems and methods for securely submitting comments among users via external messaging applications in a cloud-based platform
US9792320B2 (en) 2012-07-06 2017-10-17 Box, Inc. System and method for performing shard migration to support functions of a cloud-based service
US9237170B2 (en) 2012-07-19 2016-01-12 Box, Inc. Data loss prevention (DLP) methods and architectures by a cloud service
US8868574B2 (en) 2012-07-30 2014-10-21 Box, Inc. System and method for advanced search and filtering mechanisms for enterprise administrators in a cloud-based environment
US9794256B2 (en) 2012-07-30 2017-10-17 Box, Inc. System and method for advanced control tools for administrators in a cloud-based service
US9881017B2 (en) 2012-08-03 2018-01-30 Egnyte, Inc. System and method for event-based synchronization of remote and local file systems
US9369520B2 (en) 2012-08-19 2016-06-14 Box, Inc. Enhancement of upload and/or download performance based on client and/or server feedback information
US8745267B2 (en) 2012-08-19 2014-06-03 Box, Inc. Enhancement of upload and/or download performance based on client and/or server feedback information
GB2513671A (en) 2012-08-27 2014-11-05 Box Inc Server side techniques for reducing database workload in implementing selective subfolder synchronization in a cloud-based environment
US9135462B2 (en) 2012-08-29 2015-09-15 Box, Inc. Upload and download streaming encryption to/from a cloud-based platform
US9178886B2 (en) 2012-08-29 2015-11-03 Red Hat Israel, Ltd. Flattening permission trees in a virtualization environment
US9117087B2 (en) 2012-09-06 2015-08-25 Box, Inc. System and method for creating a secure channel for inter-application communication based on intents
US9311071B2 (en) 2012-09-06 2016-04-12 Box, Inc. Force upgrade of a mobile application via a server side configuration file
US9195519B2 (en) 2012-09-06 2015-11-24 Box, Inc. Disabling the self-referential appearance of a mobile application in an intent via a background registration
US9292833B2 (en) 2012-09-14 2016-03-22 Box, Inc. Batching notifications of activities that occur in a web-based collaboration environment
US10200256B2 (en) 2012-09-17 2019-02-05 Box, Inc. System and method of a manipulative handle in an interactive mobile user interface
US9553758B2 (en) 2012-09-18 2017-01-24 Box, Inc. Sandboxing individual applications to specific user folders in a cloud-based service
US10915492B2 (en) 2012-09-19 2021-02-09 Box, Inc. Cloud-based platform enabled with media content indexed for text-based searches and/or metadata extraction
US9461978B2 (en) 2012-09-25 2016-10-04 Tata Consultancy Services Limited System and method for managing role based access controls of users
US9959420B2 (en) 2012-10-02 2018-05-01 Box, Inc. System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment
US9495364B2 (en) 2012-10-04 2016-11-15 Box, Inc. Enhanced quick search features, low-barrier commenting/interactive features in a collaboration platform
US9705967B2 (en) 2012-10-04 2017-07-11 Box, Inc. Corporate user discovery and identification of recommended collaborators in a cloud platform
US9665349B2 (en) 2012-10-05 2017-05-30 Box, Inc. System and method for generating embeddable widgets which enable access to a cloud-based collaboration platform
GB2507191B (en) 2012-10-17 2015-03-04 Box Inc Remote key management in a cloud-based environment
US9756022B2 (en) 2014-08-29 2017-09-05 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US9754121B2 (en) * 2012-10-18 2017-09-05 Oracle International Corporation System and methods for live masking file system access control entries
US9544312B2 (en) 2012-10-30 2017-01-10 Citigroup Technology, Inc. Methods and systems for managing directory information
US10235383B2 (en) 2012-12-19 2019-03-19 Box, Inc. Method and apparatus for synchronization of items with read-only permissions in a cloud-based environment
US9396245B2 (en) 2013-01-02 2016-07-19 Box, Inc. Race condition handling in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
US9953036B2 (en) 2013-01-09 2018-04-24 Box, Inc. File system monitoring in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
EP2755151A3 (en) 2013-01-11 2014-09-24 Box, Inc. Functionalities, features and user interface of a synchronization client to a cloud-based environment
EP2757491A1 (en) 2013-01-17 2014-07-23 Box, Inc. Conflict resolution, retry condition management, and handling of problem files for the synchronization client to a cloud-based platform
US9503478B2 (en) 2014-01-27 2016-11-22 Honeywell International Inc. Policy-based secure communication with automatic key management for industrial control and automation systems
US9432344B2 (en) * 2013-03-15 2016-08-30 Low Gravity Innovation, Inc. Secure storage and sharing of user objects
US9325739B1 (en) 2013-04-29 2016-04-26 Amazon Technologies, Inc. Dynamic security policy generation
US10846074B2 (en) 2013-05-10 2020-11-24 Box, Inc. Identification and handling of items to be ignored for synchronization with a cloud-based platform by a synchronization client
US10725968B2 (en) 2013-05-10 2020-07-28 Box, Inc. Top down delete or unsynchronization on delete of and depiction of item synchronization with a synchronization client to a cloud-based platform
US9467452B2 (en) 2013-05-13 2016-10-11 International Business Machines Corporation Transferring services in a networked environment
US20140343989A1 (en) * 2013-05-16 2014-11-20 Phantom Technologies, Inc. Implicitly linking access policies using group names
EP3681125A1 (en) * 2013-05-30 2020-07-15 Intel Corporation Adaptive authentication systems and methods
GB2515192B (en) 2013-06-13 2016-12-14 Box Inc Systems and methods for synchronization event building and/or collapsing by a synchronization component of a cloud-based platform
US9805050B2 (en) 2013-06-21 2017-10-31 Box, Inc. Maintaining and updating file system shadows on a local device by a synchronization client of a cloud-based platform
US9515832B2 (en) 2013-06-24 2016-12-06 Microsoft Technology Licensing, Llc Process authentication and resource permissions
US10229134B2 (en) 2013-06-25 2019-03-12 Box, Inc. Systems and methods for managing upgrades, migration of user data and improving performance of a cloud-based platform
US10110656B2 (en) 2013-06-25 2018-10-23 Box, Inc. Systems and methods for providing shell communication in a cloud-based platform
US9430665B2 (en) * 2013-07-22 2016-08-30 Siemens Aktiengesellschaft Dynamic authorization to features and data in JAVA-based enterprise applications
SG10201800751WA (en) * 2013-07-29 2018-03-28 Berkeley Information Tech Pty Ltd Systems and methodologies for managing document access permissions
US9535924B2 (en) 2013-07-30 2017-01-03 Box, Inc. Scalability improvement in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
US9654351B2 (en) * 2013-08-22 2017-05-16 Red Hat, Inc. Granular permission assignment
GB2518298A (en) 2013-09-13 2015-03-18 Box Inc High-availability architecture for a cloud-based concurrent-access collaboration platform
US9535909B2 (en) 2013-09-13 2017-01-03 Box, Inc. Configurable event-based automation architecture for cloud-based collaboration platforms
US9213684B2 (en) 2013-09-13 2015-12-15 Box, Inc. System and method for rendering document in web browser or mobile device regardless of third-party plug-in software
US8892679B1 (en) 2013-09-13 2014-11-18 Box, Inc. Mobile device, methods and user interfaces thereof in a mobile device platform featuring multifunctional access and engagement in a collaborative environment provided by a cloud-based platform
US9704137B2 (en) 2013-09-13 2017-07-11 Box, Inc. Simultaneous editing/accessing of content by collaborator invitation through a web-based or mobile application to a cloud-based collaboration platform
CN104579726A (zh) * 2013-10-16 2015-04-29 航天信息股份有限公司 对用户的网络资源使用权限进行管理的方法和装置
US10866931B2 (en) 2013-10-22 2020-12-15 Box, Inc. Desktop application for accessing a cloud collaboration platform
US8875230B1 (en) * 2013-12-19 2014-10-28 Medidata Solutions, Inc. Controlling access to a software application
US9860252B2 (en) * 2014-03-25 2018-01-02 Open Text Sa Ulc System and method for maintenance of transitive closure of a graph and user authentication
US10530854B2 (en) 2014-05-30 2020-01-07 Box, Inc. Synchronization of permissioned content in cloud-based environments
US10516667B1 (en) * 2014-06-03 2019-12-24 Amazon Technologies, Inc. Hidden compartments
US10089476B1 (en) 2014-06-03 2018-10-02 Amazon Technologies, Inc. Compartments
US9602514B2 (en) 2014-06-16 2017-03-21 Box, Inc. Enterprise mobility management and verification of a managed application by a content provider
US10038731B2 (en) 2014-08-29 2018-07-31 Box, Inc. Managing flow-based interactions with cloud-based shared content
US9894119B2 (en) 2014-08-29 2018-02-13 Box, Inc. Configurable metadata-based automation and content classification architecture for cloud-based collaboration platforms
US10574442B2 (en) 2014-08-29 2020-02-25 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
EP2993606A1 (en) 2014-09-05 2016-03-09 Axiomatics AB Provisioning system-level permissions using attribute-based access control policies
US9396343B2 (en) * 2014-10-20 2016-07-19 International Business Machines Corporation Policy access control lists attached to resources
US10122757B1 (en) * 2014-12-17 2018-11-06 Amazon Technologies, Inc. Self-learning access control policies
US10986131B1 (en) 2014-12-17 2021-04-20 Amazon Technologies, Inc. Access control policy warnings and suggestions
US10043030B1 (en) 2015-02-05 2018-08-07 Amazon Technologies, Inc. Large-scale authorization data collection and aggregation
EP3059690B1 (en) 2015-02-19 2019-03-27 Axiomatics AB Remote rule execution
CN114756520A (zh) * 2015-10-02 2022-07-15 谷歌有限责任公司 用于在计算系统中同步离线数据的方法和系统
US10038552B2 (en) 2015-11-30 2018-07-31 Honeywell International Inc. Embedded security architecture for process control systems
US20170177613A1 (en) * 2015-12-22 2017-06-22 Egnyte, Inc. Event-Based User State Synchronization in a Cloud Storage System
US9860690B2 (en) 2016-02-01 2018-01-02 International Business Machines Corporation Method, apparatus and product for determining presence-related roles
US10855462B2 (en) 2016-06-14 2020-12-01 Honeywell International Inc. Secure in-band upgrade using key revocation lists and certificate-less asymmetric tertiary key pairs
CN108092945B (zh) * 2016-11-22 2022-02-22 中兴通讯股份有限公司 访问权限的确定方法和装置、终端
US10587421B2 (en) 2017-01-12 2020-03-10 Honeywell International Inc. Techniques for genuine device assurance by establishing identity and trust using certificates
US10673863B2 (en) 2017-02-24 2020-06-02 International Business Machines Corporation Managing inter-object operations in a domain role-based access control (RBAC) system
US10749692B2 (en) 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
US11709753B2 (en) 2017-10-09 2023-07-25 Box, Inc. Presenting collaboration activities
US11928083B2 (en) 2017-10-09 2024-03-12 Box, Inc. Determining collaboration recommendations from file path information
US11030223B2 (en) 2017-10-09 2021-06-08 Box, Inc. Collaboration activity summaries
US10693882B2 (en) * 2017-10-31 2020-06-23 Microsoft Technology Licensing, Llc Resource-based selection of identity provider
US11055310B2 (en) 2017-12-04 2021-07-06 Bank Of America Corporation SQL server integration services (SSIS) package analyzer
CN108681452A (zh) * 2018-05-09 2018-10-19 上海嘉银金融科技股份有限公司 一种多租户环境下租户和应用模型的初始化方法
US11163834B2 (en) 2018-08-28 2021-11-02 Box, Inc. Filtering collaboration activity
US10757208B2 (en) 2018-08-28 2020-08-25 Box, Inc. Curating collaboration activity
US11451554B2 (en) 2019-05-07 2022-09-20 Bank Of America Corporation Role discovery for identity and access management in a computing system
CN110378130B (zh) * 2019-06-18 2023-09-19 佛山市第一人民医院(中山大学附属佛山医院) 基于角色的麻精类药品处方访问控制方法及装置
US11582238B2 (en) * 2019-08-13 2023-02-14 Dell Products L.P. Securing a server from untrusted client applications
US11252159B2 (en) 2019-09-18 2022-02-15 International Business Machines Corporation Cognitive access control policy management in a multi-cluster container orchestration environment
US11599683B2 (en) 2019-11-18 2023-03-07 Microstrategy Incorporated Enforcing authorization policies for computing devices
CN112069541B (zh) * 2020-09-08 2024-05-07 北京百度网讯科技有限公司 权限管理、查询方法和装置
US11811771B2 (en) * 2020-11-19 2023-11-07 Tetrate.io NGAC graph evaluations
US11757887B2 (en) * 2021-06-15 2023-09-12 Atlassian Pty Ltd. Apparatuses, methods, and computer program products for centralized access permissions management of a plurality of application instances
US20230370466A1 (en) * 2022-05-13 2023-11-16 Microsoft Technology Licensing, Llc Virtual scopes for resource management
CN115022020B (zh) * 2022-05-31 2024-04-16 上海申石软件有限公司 一种基于多维集合计算的访问控制方法及系统
CN116186652B (zh) * 2022-12-22 2024-01-02 博上(山东)网络科技有限公司 一种权限管理方法、系统、设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11313102A (ja) * 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
JP2003280990A (ja) * 2002-03-22 2003-10-03 Ricoh Co Ltd 文書処理装置及び文書を管理するためのコンピュータプログラム
JP2005038124A (ja) * 2003-07-18 2005-02-10 Hitachi Information Systems Ltd ファイルアクセス制御方法及び制御システム
JP2006012117A (ja) * 2004-05-21 2006-01-12 Nec Corp アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0697662B1 (en) * 1994-08-15 2001-05-30 International Business Machines Corporation Method and system for advanced role-based access control in distributed and centralized computer systems
US6202066B1 (en) * 1997-11-19 2001-03-13 The United States Of America As Represented By The Secretary Of Commerce Implementation of role/group permission association using object access type
US20020026592A1 (en) 2000-06-16 2002-02-28 Vdg, Inc. Method for automatic permission management in role-based access control systems
US6950825B2 (en) 2002-05-30 2005-09-27 International Business Machines Corporation Fine grained role-based access to system resources
US7546633B2 (en) 2002-10-25 2009-06-09 Microsoft Corporation Role-based authorization management framework
US7404203B2 (en) 2003-05-06 2008-07-22 Oracle International Corporation Distributed capability-based authorization architecture
US7647256B2 (en) * 2004-01-29 2010-01-12 Novell, Inc. Techniques for establishing and managing a distributed credential store

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11313102A (ja) * 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
JP2003280990A (ja) * 2002-03-22 2003-10-03 Ricoh Co Ltd 文書処理装置及び文書を管理するためのコンピュータプログラム
JP2005038124A (ja) * 2003-07-18 2005-02-10 Hitachi Information Systems Ltd ファイルアクセス制御方法及び制御システム
JP2006012117A (ja) * 2004-05-21 2006-01-12 Nec Corp アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009540461A (ja) * 2006-06-13 2009-11-19 マイクロソフト コーポレーション 宣言型管理フレームワーク(declarativemanagementframework)
JP2011128952A (ja) * 2009-12-18 2011-06-30 Fuji Xerox Co Ltd 情報処理装置およびプログラム
JP2011186891A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 情報管理装置および方法
JP2016505942A (ja) * 2012-12-05 2016-02-25 エルジー エレクトロニクス インコーポレイティド 無線通信システムにおいて接近権限認証のための方法及び装置
US9615346B2 (en) 2012-12-05 2017-04-04 Lg Electronics Inc. Method and apparatus for notifying information change in wireless communication system
US10257800B2 (en) 2012-12-05 2019-04-09 Lg Electronics Inc. Method and apparatus for authenticating access authorization in wireless communication system
JP2016081243A (ja) * 2014-10-15 2016-05-16 株式会社日立製作所 情報共有装置、及び、情報共有方法

Also Published As

Publication number Publication date
BRPI0711700A2 (pt) 2011-11-29
EP2021935A1 (en) 2009-02-11
US8381306B2 (en) 2013-02-19
JP5356221B2 (ja) 2013-12-04
MX2008014856A (es) 2009-03-05
WO2007142849A1 (en) 2007-12-13
KR101432317B1 (ko) 2014-08-21
EP2021935A4 (en) 2010-07-28
KR20090024124A (ko) 2009-03-06
US20070283443A1 (en) 2007-12-06
CA2649862C (en) 2015-03-31
CA2649862A1 (en) 2007-12-13

Similar Documents

Publication Publication Date Title
JP5356221B2 (ja) 役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換
US10367821B2 (en) Data driven role based security
JP4880331B2 (ja) アクセス管理システム等におけるリソース等にアクセスする権限の委任
US9286475B2 (en) Systems and methods for enforcement of security profiles in multi-tenant database
RU2598324C2 (ru) Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога
US8572760B2 (en) Systems and methods for secure agent information
US9047462B2 (en) Computer account management system and realizing method thereof
US8990900B2 (en) Authorization control
US11636220B2 (en) Data management systems and methods
US20120131646A1 (en) Role-based access control limited by application and hostname
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
JP2004533046A (ja) プラグ対応認可システムに対するサーバサポート方法およびシステム
JP2009512959A (ja) オペレーティングシステム非依存型データ管理
CN102299914A (zh) 用于启用网络层声明的访问控制的可信中介
US20030041154A1 (en) System and method for controlling UNIX group access using LDAP
US20120198515A1 (en) Flexibly assigning security configurations to applications
JP2005050335A (ja) データ項目のためのゾーンベースのセキュリティ管理
Abou El Kalam et al. Access control for collaborative systems: A web services based approach
KR100673329B1 (ko) 그리드 환경에서 인증서를 이용한 사용자 역할/권한 설정 시스템 및 그 방법
KR20070076342A (ko) 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
US20100043049A1 (en) Identity and policy enabled collaboration
Nazareth et al. Using spki/sdsi for distributed maintenance of attribute release policies in shibboleth
Massonet et al. GridTrust—A Usage Control-Based Trust and Security Framework for Service-Based Grids
Xie et al. Access control of global distributed storage system
Gritzalis A policy-ruled Knowledge Dissemination Architecture for supporting Multi-Domain Secure Interoperation

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100419

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100419

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120417

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130828

R150 Certificate of patent or registration of utility model

Ref document number: 5356221

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees