JP2010122798A - Agent access management system - Google Patents

Agent access management system Download PDF

Info

Publication number
JP2010122798A
JP2010122798A JP2008294432A JP2008294432A JP2010122798A JP 2010122798 A JP2010122798 A JP 2010122798A JP 2008294432 A JP2008294432 A JP 2008294432A JP 2008294432 A JP2008294432 A JP 2008294432A JP 2010122798 A JP2010122798 A JP 2010122798A
Authority
JP
Japan
Prior art keywords
agent
authority
user
information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008294432A
Other languages
Japanese (ja)
Other versions
JP5027097B2 (en
Inventor
Hidehito Gomi
秀仁 五味
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yahoo Japan Corp
Original Assignee
Yahoo Japan Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yahoo Japan Corp filed Critical Yahoo Japan Corp
Priority to JP2008294432A priority Critical patent/JP5027097B2/en
Publication of JP2010122798A publication Critical patent/JP2010122798A/en
Application granted granted Critical
Publication of JP5027097B2 publication Critical patent/JP5027097B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an agent with an appropriate authority as a proxy of a user so as to enhance convenience while reducing security risks. <P>SOLUTION: An agent access management system for managing the deputy of a procedure including authentication of an agent includes: an authority delegation accepting means for delegating an authority to the agent by registering an identifier, credential information and the delegated authority as agent information from an agent user; an authentication information receiving means for receiving the identifier and the credential information from the agent; an access control means for performing an authentication process and confirmation of the authority based on the identifier and credential information received; and an agent management means for accepting a predetermined procedure according to an instruction from the agent and within the range of the delegated authority corresponding to the agent. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、利用者から権限委譲(Delegation)されたエージェント(Software Agents)によりネットワーク上のサービスにアクセスするための管理技術に関し、認証(Authentication)と認可(Authorization)に伴う権限委譲を実現する技術に関する。   TECHNICAL FIELD The present invention relates to a management technology for accessing services on a network by delegated agents (Software Agents) from a user, and a technology for realizing authority delegation accompanying authentication and authorization. About.

近年、インターネット等のネットワークの発達に伴い、アプリケーションがサービスとして公開され、利用者が物理的に離れたところでもネットワークを通じてサービスを利用することが可能になってきている。それらのサービスに対するアクセスを所定の利用者だけに制限したい場合、サービスに対してアクセス要求する利用者を認証し、認証済みの利用者の保有する権限に基づいてサービスへの認可判断を行い、アクセス要求を制御するアクセス管理システムが多く実装されている。   In recent years, with the development of networks such as the Internet, applications have been released as services, and it has become possible to use services through networks even when users are physically separated. If you want to restrict access to those services to only certain users, authenticate the users who request access to the services, make an authorization decision for the services based on the authority of the authenticated users, and access Many access management systems that control requests are implemented.

ネットワーク上で利用可能なサービスが多くなると、利用者はそれらの様々なサービスを利用するために、それぞれのサービスにアクセス要求し、個別の認証処理を行った後に個別のサービス処理を行うことになり、利用者にとって煩わしさを伴う。   As more services are available on the network, users will request access to each service and perform individual service processing after performing individual authentication processing in order to use these various services. This is cumbersome for the user.

上記のようなサービス毎の個別認証処理を削減する技術としては、一度の認証手続きだけで複数のサービスの利用が可能となるシングルサインオンに関する技術が数多く提案されている。しかし、サインオンした後に、個別のサービスの利用時に利用者が行う処理を削減することはできない。   As a technique for reducing the individual authentication processing for each service as described above, many techniques related to single sign-on that enable the use of a plurality of services with only one authentication procedure have been proposed. However, it is not possible to reduce the processing performed by the user when using individual services after signing on.

利用者がアクセス制限の付いたサービスを利用する際に必要となる処理の削減を解決するための従来技術として、特許文献1に開示される技術がある。   As a conventional technique for solving a reduction in processing required when a user uses a service with access restriction, there is a technique disclosed in Patent Document 1.

図1は特許文献1に開示された従来のデータベースアクセス制御のためのシステム構成を示す図である。   FIG. 1 is a diagram showing a system configuration for conventional database access control disclosed in Patent Document 1. In FIG.

図1においては、ユーザ装置91とデータベースアクセス制御装置93と代理処理サーバ装置97とがネットワーク92に接続され、データベースアクセス制御装置93にはデータベース96が接続されてシステムを構成している。このシステムの動作は次のようになる。   In FIG. 1, a user device 91, a database access control device 93, and a proxy processing server device 97 are connected to a network 92, and a database 96 is connected to the database access control device 93 to constitute a system. The operation of this system is as follows.

すなわち、ユーザ自らが直接にデータベースにアクセスをするのではなく、ユーザのエージェントとなる代理処理サーバ装置97がユーザの権限を代わりに持つ。ユーザはユーザ装置91からデータベースアクセス制御装置93の仲介処理部94にアクセスし、認証手続きを行った後、データベースアクセス制御装置93から認証セッション情報を含むクッキー(cookie)情報を受け取る。   That is, instead of the user himself / herself directly accessing the database, the proxy processing server device 97 serving as the user's agent has the authority of the user instead. The user accesses the mediation processing unit 94 of the database access control device 93 from the user device 91 and performs an authentication procedure, and then receives cookie information including authentication session information from the database access control device 93.

そして、ユーザは、利用可能な代理処理サーバ装置97のリストを入手し、ユーザが選択した代理処理サーバ装置97にリダイレクトされ、クッキー情報を持ってアクセスする。   Then, the user obtains a list of available proxy processing server devices 97, is redirected to the proxy processing server device 97 selected by the user, and accesses with cookie information.

代理処理サーバ装置97は、ユーザのアクセス時に付加されるクッキー情報からセッション情報を取り出し、クッキー情報を伴って、データベースアクセス制御装置93に対してユーザの代理でアクセス要求する。   The proxy processing server device 97 extracts session information from the cookie information added at the time of user access, and requests access to the database access control device 93 on behalf of the user with the cookie information.

データベースアクセス制御装置93は、クッキー情報からユーザを特定し、代理処理サーバ装置97を確認した後、ユーザのアクセス権限を確認し、代理処理サーバ装置97へのアクセスに対する認可判断を行う。代理処理サーバ装置97へのアクセスが許可される場合、その代理処理サーバ装置97は、ユーザの指定した所定のデータ処理をアクセス処理部95を介してデータベース96に対して行った後、処理結果をユーザ装置91に対して返信する。   The database access control device 93 identifies the user from the cookie information, confirms the proxy processing server device 97, confirms the access authority of the user, and makes an authorization decision for access to the proxy processing server device 97. When access to the proxy processing server device 97 is permitted, the proxy processing server device 97 performs predetermined data processing specified by the user on the database 96 via the access processing unit 95, and then displays the processing result. Reply to the user device 91.

このように、従来技術では、ユーザ本人とは異なる装置に対してアクセス権限を委譲し、代理アクセスを許可するアクセス管理を行うことによって、利用者の個別サービスに対する処理の削減を実現している。
国際公開WO2005/006204 As described above, in the conventional technology, the access authority is delegated to a device different from the user himself / herself, and the access management for permitting the proxy access is performed, thereby reducing the processing for the individual service of the user.
International Publication WO2005 / 006204

従来のシステムは上述した仕組により利用者の個別サービスに対する処理の削減を実現するものであるが、次のような問題点が存在する。
(1)ユーザのサービス利用時の処理の負担が依然として大きい。これは、ユーザがデータベースアクセス制御装置93にセッションを保持している間でしか、代理処理サーバ装置97はデータベース96にアクセスできず、独自処理実行ができないからである。
(2)ドメインをまたがる分散環境においてアクセス管理できない。これは、データベースアクセス制御装置93と代理処理サーバ装置97とが異なるドメインに位置するような場合、ユーザの認証セッション情報を含むクッキー情報を両者の間で共有することができないからである。
(3)代理処理サーバ装置97のアクセスを許可するためのセッション管理が必要となり、そのための導入・管理コストがかかる。これは、代理処理サーバ装置97からの代理アクセスを共通クッキーによって実現しているため、ユーザのIDと関連付けて、その中に含まれる認証セッション情報や代理処理サーバ情報などを管理する必要があるからである。
(4)ユーザが委譲する権限を柔軟に制御することができない。これは、代理処理サーバ装置97はユーザと同等の権限を有し、権限の内容を細分化することができないからである。 The conventional system realizes the reduction of the processing for the individual service of the user by the above-described mechanism, but has the following problems.
(1) The burden of processing when the user uses the service is still large. This is because the proxy processing server device 97 can access the database 96 only while the user holds a session in the database access control device 93 and cannot execute the unique processing.
(2) Access management is not possible in a distributed environment across domains. This is because when the database access control device 93 and the proxy processing server device 97 are located in different domains, cookie information including user authentication session information cannot be shared between the two.
(3) Session management for permitting access to the proxy processing server device 97 is required, and installation and management costs for this are required. This is because the proxy access from the proxy processing server device 97 is realized by the common cookie, so that it is necessary to manage the authentication session information and proxy processing server information included in the user ID in association with the user ID. It is.
(4) The authority delegated by the user cannot be flexibly controlled. This is because the proxy processing server device 97 has authority equivalent to that of the user, and the contents of the authority cannot be subdivided.

本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、エージェントが利用者の代理としてしかるべき権限を与えられ、利便性の向上と同時にセキュリティリスクを軽減することのできるエージェントアクセス管理システムを提供することにある。   The present invention has been proposed in view of the above-described conventional problems, and the purpose of the present invention is to reduce the security risk at the same time as improving the convenience, because the agent is given the appropriate authority on behalf of the user. It is to provide an agent access management system that can be used.

上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、エージェントに対する認証処理を含めた手続処理の代理を管理するエージェントアクセス管理システムであって、エージェント利用者からのエージェント情報として、識別子、クレデンシャル情報および委譲権限を登録することによりエージェントに権限委譲を行う権限委譲受付手段と、エージェントから識別子およびクレデンシャル情報を受信する認証情報受信手段と、受信した識別子およびクレデンシャル情報に基づいて認証処理および権限確認を行うアクセス制御手段と、エージェントからの指示に基づいて、該エージェントに対応した委譲権限の範囲内で所定の手続処理を受け付けるエージェント管理手段とを備えるエージェントアクセス管理システムを要旨としている。   In order to solve the above-described problems, according to the present invention, an agent access management system for managing a proxy for a procedure process including an authentication process for an agent, as set forth in claim 1, is an agent user. As the agent information from, the authority delegation accepting means for delegating authority to the agent by registering the identifier, credential information and delegation authority, the authentication information receiving means for receiving the identifier and credential information from the agent, and the received identifier and credential Agent access management comprising: access control means for performing authentication processing and authority confirmation based on information; and agent management means for accepting predetermined procedure processing within the scope of delegation authority corresponding to the agent based on instructions from the agent system It is the gist.

また、請求項2に記載されるように、請求項1に記載のエージェントアクセス管理システムにおいて、前記アクセス制御手段は、クレデンシャル情報の検証を経て作成されたセッションの確認により認証を行い、要求されたアクションが登録された権限もしくは委譲権限の範囲内であるか否かの確認により権限確認を行うようにすることができる。   Also, as described in claim 2, in the agent access management system according to claim 1, the access control means performs authentication by confirming a session created through verification of credential information, and is requested. Authority confirmation can be performed by confirming whether the action is within the registered authority or delegation authority.

また、請求項3に記載されるように、請求項2に記載のエージェントアクセス管理システムにおいて、前記アクセス制御手段は、セッションを示すクッキー情報を伴わないアクセス要求に対し、クレデンシャル情報の検証を行う認証手段へのリダイレクトを行うようにすることができる。   Also, as described in claim 3, in the agent access management system according to claim 2, the access control means performs authentication for verifying credential information for an access request not accompanied by cookie information indicating a session. Redirection to the means can be performed.

また、請求項4に記載されるように、請求項1乃至3のいずれか一項に記載のエージェントアクセス管理システムにおいて、人を利用者として登録する場合の権限は、対象となるサービスに対応したセキュリティポリシに基づいて決定されるようにすることができる。   In addition, as described in claim 4, in the agent access management system according to any one of claims 1 to 3, the authority for registering a person as a user corresponds to a target service. It can be determined based on a security policy.

また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載のエージェントアクセス管理システムにおいて、エージェントを利用者として登録する場合の委譲権限は、委譲元の人もしくはエージェントの権限もしくは委譲権限の範囲内で指定されるようにすることができる。   Further, as described in claim 5, in the agent access management system according to any one of claims 1 to 4, when the agent is registered as a user, the delegation authority is that of the delegation person or agent It can be specified within the scope of authority or delegation authority.

また、請求項6に記載されるように、エージェントに対する認証処理を含めた手続処理の代理を管理するエージェントアクセス管理方法であって、エージェント利用者からのエージェント情報として、識別子、クレデンシャル情報および委譲権限を登録することによりエージェントに権限委譲を行う権限委譲受付工程と、エージェントから識別子およびクレデンシャル情報を受信する認証情報受信工程と、受信した識別子およびクレデンシャル情報に基づいて認証処理および権限確認を行うアクセス制御工程と、エージェントからの指示に基づいて、該エージェントに対応した委譲権限の範囲内で所定の手続処理を受け付けるエージェント管理工程とを備えるエージェントアクセス管理方法として構成することができる。   According to a sixth aspect of the present invention, there is provided an agent access management method for managing proxy of procedural processing including authentication processing for an agent, wherein agent information from an agent user includes an identifier, credential information, and delegation authority Authority delegation acceptance process for delegating authority to agents by registering, authentication information receiving process for receiving identifiers and credential information from agents, and access control for performing authentication processing and authority confirmation based on received identifiers and credential information It can be configured as an agent access management method that includes a process and an agent management process that accepts predetermined procedure processing within the scope of delegation authority corresponding to the agent based on an instruction from the agent.

また、請求項7に記載されるように、エージェントに対する認証処理を含めた手続処理の代理を管理するエージェントアクセス管理システムを構成するコンピュータを、エージェント利用者からのエージェント情報として、識別子、クレデンシャル情報および委譲権限を登録することによりエージェントに権限委譲を行う権限委譲受付手段、エージェントから識別子およびクレデンシャル情報を受信する認証情報受信手段、受信した識別子およびクレデンシャル情報に基づいて認証処理および権限確認を行うアクセス制御手段、エージェントからの指示に基づいて、該エージェントに対応した委譲権限の範囲内で所定の手続処理を受け付けるエージェント管理手段として機能させるエージェントアクセス管理プログラムとして構成することができる。   According to a seventh aspect of the present invention, a computer constituting an agent access management system that manages a proxy of a procedure process including an authentication process for an agent is used as an agent information from an agent user as an identifier, credential information, and Authority delegation accepting means for delegating authority to agents by registering delegation authority, authentication information receiving means for receiving identifiers and credential information from agents, access control for performing authentication processing and authority confirmation based on received identifiers and credential information And an agent access management program that functions as an agent management unit that accepts predetermined procedure processing within the scope of delegation authority corresponding to the agent based on an instruction from the agent. Kill.

本発明のエージェントアクセス管理システムにあっては、エージェントに対し現実世界の利用者と同様にそのアイデンティティを定義し、管理者等の情報を管理し、認証するためのクレデンシャルを発行し、エージェントの認証を可能とすることで、エージェントが利用者の代理としてしかるべき権限を与えられ、利便性の向上と同時にセキュリティリスクを軽減することができる。   In the agent access management system of the present invention, the identity of the agent is defined in the same way as the real-world user, the administrator information is managed, the authentication credentials are issued, and the agent is authenticated. By enabling the agent, the agent can be given the right authority as a proxy for the user, and the security risk can be reduced while improving the convenience.

以下、本発明の好適な実施形態につき説明する。   Hereinafter, preferred embodiments of the present invention will be described.

<エージェント>
エージェント(Software Agent)とは、人の代理となるソフトウェア、あるいは、システムやサーバのような非人間の利用者をいう。本実施形態では、利用者を人とエージェントの2つに分類し、エージェントからのアクセスを許可するシステムとする。エージェントは、エージェントの実行環境で動作する。 <Agent>
An agent (Software Agent) refers to software on behalf of a person or a non-human user such as a system or server. In the present embodiment, a system is provided in which users are classified into two types, human and agent, and access from the agent is permitted. The agent operates in the execution environment of the agent.

エージェントのアイデンティティを構成する属性情報は以下の通りである。
・エージェントID(Aid):エージェントの識別子である。
・委譲者(Delegator):エージェントに権限を委譲した利用者(人、エージェントの両方ありうる)である。
・管理者(Owner):エージェントの管理者(人)であり、そのエージェントの動作に関連する責任を負う。
・開発者(Developer):エージェントを開発した利用者(人、人のグループ(会社)等)である。
・実行装置(AgentBase):エージェントの実行環境であり、その環境を提供する管理者や開発者の情報も含まれる。 The attribute information constituting the agent identity is as follows.
Agent ID (Aid): An identifier of the agent.
Delegator: A user (can be both a person and an agent) who has delegated authority to the agent.
・ Owner: An administrator (person) of an agent who has responsibilities related to the operation of the agent.
Developer: A user (person, group of people (company), etc.) who developed the agent.
Execution device (AgentBase): This is the execution environment of the agent, and includes information on administrators and developers who provide that environment.

エージェントアクセス管理システムには、以下のような管理プロセスが存在する。   The agent access management system has the following management process.

登録(Registration):登録により、エージェントは、正規の利用者として、システムへのアクセスが可能な状態となる。   Registration: Registration allows the agent to access the system as a legitimate user.

活性化(Activation):委譲者からある権限を委譲されることによって、エージェントの権限が決まり、動作可能な状態となる。   Activation: By delegating a certain authority from the delegator, the authority of the agent is determined and becomes operable.

認証(Authentication):サービスアクセス要求時に、1人の利用者として(人と同様に)認証を受ける。   Authentication: Authentication is performed as a single user (similar to a person) when a service access request is made.

認可(Authorization):認証を受けた後、委譲された権限を確認して、サービスに対する代理アクセスの認可判断を決定する。   Authorization: After receiving authentication, confirm the delegated authority and determine the authorization judgment of proxy access to the service.

非活性化(Deactivation):活性化された状態を一時的に解除し、権限委譲された状態を無効にする。   Deactivation: The activated state is temporarily canceled, and the delegated state is invalidated.

取消(Revocation):完全に委譲された権限を削除する。   Revocation: Removes a fully delegated authority.

<構成>
図2は本発明の一実施形態にかかるシステムの構成例を示す図である。 <Configuration>
FIG. 2 is a diagram illustrating a configuration example of a system according to an embodiment of the present invention.

図2において、本システムは、サービス提供装置1とエージェント実行装置2と端末装置3とがインターネット等のネットワーク4に接続されて構成されている。   In FIG. 2, this system is configured by connecting a service providing device 1, an agent execution device 2, and a terminal device 3 to a network 4 such as the Internet.

サービス提供装置1は、コンテンツ提供等の各種のサービスを提供するサーバ装置である。サービス提供装置1の内部構成については後述する。   The service providing apparatus 1 is a server apparatus that provides various services such as content provision. The internal configuration of the service providing apparatus 1 will be described later.

エージェント実行装置2は、エージェントの実行環境となるサーバ装置である。エージェント実行装置2の内部構成については後述する。   The agent execution device 2 is a server device that becomes an execution environment of the agent. The internal configuration of the agent execution device 2 will be described later.

端末装置3は、利用者(人)Uの利用する端末であり、ブラウザ31によりサービス提供装置1に対してアクセス要求を行い、認証を受け、セッション情報を管理する機能を持つ。また、エージェント実行装置2に対してアクセスし、エージェントを管理する機能を持つ。ブラウザ31は通常の汎用的なWebブラウザを想定しており、特別の機能は不要である。   The terminal device 3 is a terminal used by the user (person) U, and has a function of making an access request to the service providing device 1 by the browser 31, receiving authentication, and managing session information. It also has a function of accessing the agent execution device 2 and managing the agent. The browser 31 is assumed to be an ordinary general-purpose Web browser, and no special function is required.

図3はサービス提供装置1の構成例を示す図である。   FIG. 3 is a diagram illustrating a configuration example of the service providing apparatus 1.

図3において、サービス提供装置1は、機能部として、登録部101と認証部102とアクセス制御部103とセッション管理部104と権限管理部105と権限委譲部106とサービス提供部107とを備えている。また、データ保持部として、利用者情報格納部111とエージェントリスト格納部112とセキュリティポリシ情報格納部113とセッション情報格納部114と権限情報格納部115と権限委譲情報格納部116とサービス情報格納部117とを備えている。   In FIG. 3, the service providing apparatus 1 includes a registration unit 101, an authentication unit 102, an access control unit 103, a session management unit 104, an authority management unit 105, an authority delegation unit 106, and a service provision unit 107 as functional units. Yes. In addition, as a data holding unit, a user information storage unit 111, an agent list storage unit 112, a security policy information storage unit 113, a session information storage unit 114, an authority information storage unit 115, an authority transfer information storage unit 116, and a service information storage unit 117.

各機能部は、サービス提供装置1を構成するコンピュータのCPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等のハードウェア資源上で実行されるコンピュータプログラムによって実現されるものである。なお、各機能部は、単一のコンピュータ上に配置される必要はなく、必要に応じて分散される形態であってもよい。各データ保持部は、サービス提供装置1内のHDD(Hard Disk Drive)等の記憶媒体上にデータを体系的に保持するものである。   Each functional unit is realized by a computer program executed on a hardware resource such as a CPU (Central Processing Unit), a ROM (Read Only Memory), and a RAM (Random Access Memory) of the computer constituting the service providing apparatus 1. Is. Each functional unit need not be arranged on a single computer, and may be distributed as necessary. Each data holding unit systematically holds data on a storage medium such as an HDD (Hard Disk Drive) in the service providing apparatus 1.

登録部101は、利用者(人、エージェント)を登録する機能を有している。人の登録にあっては、利用者IDとクレデンシャル情報(パスワード等の認証に必要とする情報)を発行し、利用者情報格納部111に格納する。エージェントの登録にあっては、要求者に対してエージェントIDとクレデンシャル情報を発行し、利用者情報格納部111に格納する。このとき、要求者は、そのエージェントの所有者(owner)として登録される。なお、ここでは利用者情報格納部111を一つのデータベースとしたが、例えば、人とエージェントを別々に管理してもよい。   The registration unit 101 has a function of registering users (people, agents). When registering a person, a user ID and credential information (information necessary for authentication such as a password) are issued and stored in the user information storage unit 111. In registering the agent, an agent ID and credential information are issued to the requester and stored in the user information storage unit 111. At this time, the requester is registered as the owner of the agent. Although the user information storage unit 111 is a single database here, for example, people and agents may be managed separately.

認証部102は、利用者(人、エージェント)からアクセス要求等を受けた際に所定の認証方式に従って認証する機能を有している。認証時には、利用者に対して、必要となるIDとクレデンシャル情報の提示を求め、受け取ったIDとクレデンシャル情報を、利用者情報格納部111にて管理するID・クレデンシャル情報に照会し、両者が一致するか否かを判断する。   The authentication unit 102 has a function of authenticating according to a predetermined authentication method when an access request or the like is received from a user (person, agent). At the time of authentication, the user is requested to present the necessary ID and credential information, and the received ID and credential information are inquired to the ID / credential information managed by the user information storage unit 111, so that both match. Judge whether to do.

アクセス制御部103は、正規の利用者(人、エージェント)に対してのみサービス利用を許可する機能を有している。アクセス時には、ブラウザからクッキー情報が送付されていないのを確認すると、利用者を認証すべく、認証部102に対してリダイレクションする認証要求メッセージをアクセス要求元のブラウザに送付する。クッキー情報が送付されている場合は、セッション管理部104で管理されるクッキー情報と照合することで認証済であることを確認し、その後の処理につなげる。   The access control unit 103 has a function of permitting service use only to authorized users (people, agents). At the time of access, if it is confirmed that no cookie information is sent from the browser, an authentication request message for redirection to the authentication unit 102 is sent to the access request source browser to authenticate the user. When the cookie information is sent, the authentication is confirmed by comparing with the cookie information managed by the session management unit 104, and the subsequent processing is performed.

セッション管理部104は、認証部102による利用者(人、エージェント)の認証処理の後、認証に成功した場合に、認証セッションを確立し、その利用者と認証セッションに関する情報を関連付けて、セッション情報格納部114に格納して管理する機能を有している。認証セッションが確立した後、その認証セッションを一意に検索可能なセッション識別子を含めたクッキー情報を発行し、返信する。   The session management unit 104 establishes an authentication session when the authentication is successful after the authentication processing of the user (person, agent) by the authentication unit 102, associates the user with information about the authentication session, and stores session information. It has a function of storing and managing in the storage unit 114. After the authentication session is established, cookie information including a session identifier that can uniquely search the authentication session is issued and returned.

権限管理部105は、利用者(人、エージェント)の権限情報を、権限情報格納部115において管理する機能を有している。権限情報は、利用者の属性情報(例えば、利用者のロール)と関連付けられて管理されており、利用者のIDがわかれば、それに対応する権限を参照できる。   The authority management unit 105 has a function of managing authority information of users (people, agents) in the authority information storage unit 115. The authority information is managed in association with user attribute information (for example, user role), and if the user ID is known, the authority corresponding to the user information can be referred to.

権限委譲部106は、利用者(人、エージェント)からの他の利用者(人、エージェント)に対する権限委譲の機能を有している。権限委譲要求の被委譲者がエージェントの場合、委譲者が人の場合は、その委譲者をそのエージェントの委譲者(delegator)、委譲者がエージェントの場合は、そのエージェントの管理者(owner)を被委譲者であるエージェントの委譲者となるように設定する。   The authority delegation unit 106 has a function of delegating authority from a user (person, agent) to another user (person, agent). If the delegator of the authority delegation request is an agent, if the delegator is a person, the delegator is the agent's delegator, and if the delegator is the agent, the agent's administrator is the owner. Set to be the delegate of the agent who is the delegate.

サービス提供部107は、個別のアプリケーションサービスを所定のアクセス権限を持つ利用者に対してのみ提供する機能を有している。提供するサービス情報として想定しているのは、一般利用者向けのコンテンツではなく、所定の利用者に対してのみ共有を許可するコンテンツ、例えば、プロジェクト管理による進捗管理等の情報である。   The service providing unit 107 has a function of providing individual application services only to users having a predetermined access authority. The service information to be provided is not content intended for general users, but content that is allowed to be shared only by a predetermined user, for example, information such as progress management by project management.

図4はサービス提供装置1内に格納される各種データの構造例を示す図である。(a)は利用者情報格納部111のデータ構造例を示しており、利用者IDとパスワードとロールを含んでいる。(b)はエージェントリスト格納部112のデータ構造例を示しており、エージェント名を含んでいる。(c)はセキュリティポリシ情報格納部113のデータ構造例を示しており、サービス名とセキュリティポリシを含んでいる。(d)はセッション情報格納部114のデータ構造例を示しており、利用者IDとセッションIDとクッキーを含んでいる。(e)は権限情報格納部115のデータ構造例を示しており、ロールを含んでいる。(f)は権限委譲情報格納部116のデータ構造例を示しており、委譲者ID(利用者ID、エージェントID)と管理者ID(利用者ID)とエージェントIDとロールを含んでいる。(g)はサービス情報格納部117のデータ構造例を示しており、サービス名とサービス情報を含んでいる。   FIG. 4 is a diagram illustrating a structure example of various data stored in the service providing apparatus 1. (A) shows an example of the data structure of the user information storage unit 111, which includes a user ID, a password, and a role. (B) shows an example of the data structure of the agent list storage unit 112, which includes the agent name. (C) shows an example of the data structure of the security policy information storage unit 113, which includes a service name and a security policy. (D) shows an example of the data structure of the session information storage unit 114, which includes a user ID, a session ID, and a cookie. (E) shows an example of the data structure of the authority information storage unit 115 and includes a role. (F) shows an example of the data structure of the authority delegation information storage unit 116, and includes a delegator ID (user ID, agent ID), an administrator ID (user ID), an agent ID, and a role. (G) shows an example of the data structure of the service information storage unit 117, which includes a service name and service information.

図5はエージェント実行装置2の構成例を示す図である。   FIG. 5 is a diagram illustrating a configuration example of the agent execution device 2.

図5において、エージェント実行装置2は、機能部として、登録部101と、認証部202とエージェント管理部203とエージェントプログラム実行部204と権限管理部205とを備えている。また、データ保持部として、利用者情報格納部211とセキュリティポリシ情報格納部212と権限情報格納部213とエージェント情報格納部214とを備えている。なお、権限管理部205と権限情報格納部213はエージェント実行装置2側でロールを考慮した制御を行わない場合には省略してもよい。   In FIG. 5, the agent execution device 2 includes a registration unit 101, an authentication unit 202, an agent management unit 203, an agent program execution unit 204, and an authority management unit 205 as functional units. In addition, a user information storage unit 211, a security policy information storage unit 212, an authority information storage unit 213, and an agent information storage unit 214 are provided as data holding units. Note that the authority management unit 205 and the authority information storage unit 213 may be omitted when the agent execution apparatus 2 does not perform control considering roles.

各機能部は、エージェント実行装置2を構成するコンピュータのCPU、ROM、RAM等のハードウェア資源上で実行されるコンピュータプログラムによって実現されるものである。なお、各機能部は、単一のコンピュータ上に配置される必要はなく、必要に応じて分散される形態であってもよい。各データ保持部は、エージェント実行装置2内のHDD等の記憶媒体上にデータを体系的に保持するものである。   Each functional unit is realized by a computer program executed on hardware resources such as a CPU, a ROM, and a RAM of a computer constituting the agent execution device 2. Each functional unit need not be arranged on a single computer, and may be distributed as necessary. Each data holding unit systematically holds data on a storage medium such as an HDD in the agent execution device 2.

登録部201は、利用者(人)を登録する機能を有している。登録要求を受けると、利用者IDとクレデンシャル情報を発行し、利用者情報格納部211に格納する。   The registration unit 201 has a function of registering a user (person). When a registration request is received, a user ID and credential information are issued and stored in the user information storage unit 211.

認証部202は、エージェント実行装置2を利用する利用者を認証する機能を有している。   The authentication unit 202 has a function of authenticating a user who uses the agent execution device 2.

エージェント管理部203は、エージェント実行装置2で動作するエージェントを管理する機能を有している。エージェントはエージェントIDにより識別される。エージェントの属性情報として、エージェントID(aid)、委譲者(delegator)、管理者(owner)、実行装置(agentBase)の情報が管理される。エージェントが、あるサービス提供装置1において登録された際のID・クレデンシャル情報も同様に管理される。エージェント固有の実行時状態(コンテキスト)を持ち、これらを管理する。コンテキスト情報として、エージェントが、あるサービス提供装置1に対して認証を完了させた後のセッション情報、アクセスログなども同様に管理される。   The agent management unit 203 has a function of managing agents operating on the agent execution device 2. An agent is identified by an agent ID. As agent attribute information, information on agent ID (aid), delegator, manager, and execution device (agentBase) is managed. The ID / credential information when the agent is registered in a certain service providing apparatus 1 is also managed in the same manner. It has agent-specific runtime states (contexts) and manages them. As the context information, session information after the agent completes authentication with respect to a certain service providing apparatus 1, access logs, and the like are similarly managed.

エージェントプログラム実行部204は、エージェントがエージェント実行装置2において、所定のエージェントプログラムを実行する際に、その動作を制御するとともに、実行環境を提供する機能を有している。エージェントの個別のプログラム実行時に、権限情報格納部213において管理するエージェントごとの権限情報と、セキュリティポリシ情報格納部212において管理するエージェント実行装置2におけるセキュリティポリシを参照して、その実行に対する認可判断を行った上で、権限とセキュリティポリシに矛盾がない場合にのみ、エージェントの実行を許可するようにすることができる。   The agent program execution unit 204 has a function of controlling an operation and providing an execution environment when an agent executes a predetermined agent program in the agent execution device 2. When executing an individual program of an agent, the authorization information for each agent managed in the authority information storage unit 213 and the security policy in the agent execution device 2 managed in the security policy information storage unit 212 are referred to, and an authorization decision for the execution is made. Once done, the agent can be allowed to run only if there is no conflict between authority and security policy.

図6はエージェント実行装置2内に格納される各種データの構造例を示す図である。(a)は利用者情報格納部211のデータ構造例を示しており、利用者IDとパスワードとロールを含んでいる。(b)はセキュリティポリシ情報格納部212のデータ構造例を示しており、サービス名とセキュリティポリシを含んでいる。(c)は権限情報格納部213のデータ構造例を示しており、ロールを含んでいる。(d)はエージェント情報格納部214のデータ構造例を示しており、エージェントIDと委譲者ID(利用者ID、エージェントID)と管理者ID(利用者ID)と実行装置とエージェントプログラム本体とを含んでいる。   FIG. 6 is a diagram showing an example of the structure of various data stored in the agent execution device 2. (A) shows an example of the data structure of the user information storage unit 211, which includes a user ID, a password, and a role. (B) shows an example of the data structure of the security policy information storage unit 212, which includes a service name and a security policy. (C) shows an example of the data structure of the authority information storage unit 213, which includes roles. (D) shows an example of the data structure of the agent information storage unit 214. The agent ID, delegator ID (user ID, agent ID), administrator ID (user ID), execution device, and agent program main body are shown. Contains.

<動作:利用者登録>
図7は利用者登録の処理例を示すシーケンス図である。 <Operation: User registration>
FIG. 7 is a sequence diagram showing an example of user registration processing.

図7において、利用者Uは、端末装置3のブラウザ31から、サービス提供装置1の登録部101に対して、利用するサービス名を指定した利用者登録要求を行う(ステップS101)。   In FIG. 7, the user U makes a user registration request specifying a service name to be used from the browser 31 of the terminal device 3 to the registration unit 101 of the service providing device 1 (step S101).

登録部101は、セキュリティポリシ情報格納部113に対して、利用者Uにより指定されたサービス名に関連するセキュリティポリシを要求する(ステップS102)。このセキュリティポリシ要求に応じ、セキュリティポリシ情報格納部113は、登録部101に対して、指定されたサービス名に関連するセキュリティポリシを返信する(ステップS103)。   The registration unit 101 requests the security policy information storage unit 113 for a security policy related to the service name designated by the user U (step S102). In response to this security policy request, the security policy information storage unit 113 returns a security policy related to the specified service name to the registration unit 101 (step S103).

サービス提供装置1の管理者は、返信された関連セキュリティポリシを参照の上、利用者登録要求を行った利用者Uが適切な利用者であることを確認し、適切な利用者である場合に、利用者Uがサービス提供装置1にアクセスするための利用者IDおよびパスワードを発行する。そして、登録部101は、これらの情報に基づき、利用者情報格納部111にアカウントの生成および登録を要求する(ステップS104)。利用者情報格納部111はアカウントの生成および登録を行った上で、登録部101に対して、利用者Uのアカウント生成(登録)が完了した旨を通知する(ステップS105)。   When the administrator of the service providing apparatus 1 refers to the returned related security policy, confirms that the user U who made the user registration request is an appropriate user, and if the user U is an appropriate user The user U issues a user ID and password for accessing the service providing apparatus 1. The registration unit 101 requests the user information storage unit 111 to generate and register an account based on these pieces of information (step S104). After generating and registering the account, the user information storage unit 111 notifies the registration unit 101 that the account generation (registration) of the user U has been completed (step S105).

次いで、登録部101は、権限管理部105に対し、サービス提供装置1の利用者に関連するロールリスト要求を行う(ステップS106)。これに応じ、権限管理部105は、権限情報格納部115に対し、ロールリストを要求する(ステップS107)。権限情報格納部115は、権限管理部105に対して、ロールリストを返信する(ステップS108)。権限管理部105は、ロールリストを登録部101に返信する(ステップS109)。   Next, the registration unit 101 makes a role list request related to the user of the service providing apparatus 1 to the authority management unit 105 (step S106). In response to this, the authority management unit 105 requests a role list from the authority information storage unit 115 (step S107). The authority information storage unit 115 returns a role list to the authority management unit 105 (step S108). The authority management unit 105 returns the role list to the registration unit 101 (step S109).

サービス提供装置1の管理者は、既に取得した関連セキュリティポリシを参照の上、利用者登録要求を行った利用者Uに適切なロールを確認する。ここで、適切なロールがロールリストに含まれていない場合、権限管理部105に対して、しかるべき権限を関連付けるロール作成要求を行う(ステップS110)。これに応じ、権限管理部105は、権限情報格納部115に対して、ロールの作成要求を行う(ステップS111)。権限情報格納部115は、新規ロールを作成して格納し、その処理の完了通知を権限管理部105に返信する(ステップS112)。権限管理部105は、登録部101に対して、更新されたロールリストを伴うロール作成完了通知を返送する(ステップS113)。   The administrator of the service providing apparatus 1 confirms the appropriate role for the user U who made the user registration request with reference to the already acquired related security policy. If an appropriate role is not included in the role list, a role creation request for associating an appropriate authority is made to the authority management unit 105 (step S110). In response to this, the authority management unit 105 makes a role creation request to the authority information storage unit 115 (step S111). The authority information storage unit 115 creates and stores a new role, and returns a notification of completion of the process to the authority management unit 105 (step S112). The authority management unit 105 returns a role creation completion notification with the updated role list to the registration unit 101 (step S113).

サービス提供装置1の管理者は、更新されたロールリストから適切なロールを選択し、登録部101により、権限管理部105に対し、利用者Uに関連付けたロール登録要求を行う(ステップS114)。これに応じ、権限管理部105は、利用者情報格納部111に対して、利用者Uに関連する情報としてロール情報の格納を要求する(ステップS115)。利用者情報格納部111はロール情報の格納を行い、権限管理部105に対して、ロール情報の登録完了通知を送付する(ステップS116)。権限管理部105は、登録部101に対して、ロール登録完了通知を返信する(ステップS117)。   The administrator of the service providing apparatus 1 selects an appropriate role from the updated role list, and the registration unit 101 makes a role registration request associated with the user U to the authority management unit 105 (step S114). In response to this, the authority management unit 105 requests the user information storage unit 111 to store role information as information related to the user U (step S115). The user information storage unit 111 stores role information and sends a role information registration completion notification to the authority management unit 105 (step S116). The authority management unit 105 returns a role registration completion notification to the registration unit 101 (step S117).

ロール登録完了通知を受け、登録部101は、ブラウザ31に対して、利用者Uの利用者ID、パスワードおよびロールを通知する応答を行う(ステップS118)。利用者Uはブラウザ31からいったんログアウトを行う。   Upon receiving the role registration completion notification, the registration unit 101 makes a response to notify the browser 31 of the user ID, password, and role of the user U (step S118). User U logs out from browser 31 once.

利用者Uは、エージェント実行装置2に対しても、上記の処理と同様に利用者登録要求を行う。この場合、図7における登録部101は登録部201に、セキュリティポリシ情報格納部113は権限情報格納部213に、利用者情報格納部111は利用者情報格納部211に、権限情報格納部115は権限管理部205と読み替えればよい。なお、エージェント実行装置2側でロールを考慮した制御を行わない場合は、ロールについての処理(ステップS106〜S117)を省略し、ロールの返送を行わないようにすることができる。   The user U also makes a user registration request to the agent execution device 2 in the same manner as the above processing. In this case, the registration unit 101 in FIG. 7 is the registration unit 201, the security policy information storage unit 113 is the authority information storage unit 213, the user information storage unit 111 is the user information storage unit 211, and the authority information storage unit 115 is What is necessary is just to read as the authority management part 205. When the agent execution device 2 does not perform control in consideration of the roll, the roll processing (steps S106 to S117) can be omitted so that the roll is not returned.

<動作:エージェント登録>
図8および図9はエージェント登録の処理例を示すシーケンス図であり、図7に示した利用者登録を済ませた利用者Uの操作により行われる処理である。 <Operation: Agent registration>
FIG. 8 and FIG. 9 are sequence diagrams showing an example of agent registration processing, which is performed by the operation of the user U who has completed the user registration shown in FIG.

図8において、利用者登録を済ませた利用者Uは、端末装置3のブラウザ31からサービス提供装置1のアクセス制御部103に対してアクセス要求を行う(ステップS201)。   In FIG. 8, the user U who has completed user registration makes an access request to the access control unit 103 of the service providing apparatus 1 from the browser 31 of the terminal apparatus 3 (step S201).

アクセス制御部103は正規利用者に対してのみサービス利用を許可するアクセス制限を行っており、ブラウザ31からクッキー情報が送付されていないのを確認すると、利用者を認証すべく、認証部102に対してリダイレクションする認証要求メッセージをブラウザ31に送付する(ステップS202)。   The access control unit 103 performs access restriction that allows only authorized users to use the service. When it is confirmed that the cookie information is not sent from the browser 31, the access control unit 103 asks the authentication unit 102 to authenticate the user. An authentication request message for redirection is sent to the browser 31 (step S202).

認証要求メッセージを受信したブラウザ31は、当該メッセージに含まれる送付先である認証部102のURL(Uniform Resource Locator)に対して、メッセージをリダイレクトする(ステップS203)。   The browser 31 that has received the authentication request message redirects the message to the URL (Uniform Resource Locator) of the authentication unit 102 that is the destination included in the message (step S203).

認証部102は、アクセスしてきたブラウザ31の利用者を認証するために、登録したクレデンシャル情報(利用者IDおよびパスワード)の入力を要求する(ステップS204)。   The authentication unit 102 requests input of registered credential information (user ID and password) in order to authenticate the user of the browser 31 that has accessed (step S204).

利用者Uは、利用者IDとパスワードをブラウザ31に対して入力し、ブラウザ31は認証部102に対して利用者IDとパスワードを返信する(ステップS205)。   The user U inputs the user ID and password to the browser 31, and the browser 31 returns the user ID and password to the authentication unit 102 (step S205).

認証部102は、利用者Uから送付された利用者IDとパスワードが適切であるか否かを確認するために、利用者情報格納部111に対して、受信した利用者IDとパスワードを伴ったクレデンシャル検証要求を行う(ステップS206)。利用者情報格納部111は、検証要求された利用者IDとパスワードが適切であるか否か、格納している利用者IDとパスワードを照会し、結果(OK/NG)を認証部102に対して送付する(ステップS207)。   The authentication unit 102 accompanies the received user ID and password to the user information storage unit 111 to confirm whether the user ID and password sent from the user U are appropriate. A credential verification request is made (step S206). The user information storage unit 111 inquires of the stored user ID and password whether or not the requested user ID and password are appropriate, and sends the result (OK / NG) to the authentication unit 102. (Step S207).

クレデンシャルの検証結果がOKの場合、セッションクッキーを発行すべく、認証部102は、セッション管理部104に対して、利用者IDを含めたセッション登録要求を行う(ステップS208)。   If the verification result of the credential is OK, the authentication unit 102 makes a session registration request including the user ID to the session management unit 104 in order to issue a session cookie (step S208).

セッション管理部104は、利用者IDに対する新しいセッションを生成し、また、そのセッション情報を識別するセッションIDと、そのセッションIDと関連付けたクッキーを発行して、セッション情報格納部114に登録要求する(ステップS209)。セッション情報格納部114は、セッションIDとクッキーの登録を行った上で、セッション登録応答(OK/NG)をセッション管理部104に返送する(ステップS210)。セッション管理部104は、セッション情報格納部114において登録したクッキー情報を認証部102に対して返送する(ステップS211)。   The session management unit 104 generates a new session for the user ID, issues a session ID for identifying the session information, and a cookie associated with the session ID, and requests registration to the session information storage unit 114 ( Step S209). The session information storage unit 114 registers the session ID and cookie, and then returns a session registration response (OK / NG) to the session management unit 104 (step S210). The session management unit 104 returns the cookie information registered in the session information storage unit 114 to the authentication unit 102 (step S211).

認証部102は、ブラウザ31に対して、アクセス制御部103に再度クッキー付きのアクセス要求を行う旨のリダイレクト要求メッセージとしてクッキー情報を送付する(ステップS212)。   The authentication unit 102 sends cookie information to the browser 31 as a redirect request message for requesting access again with a cookie to the access control unit 103 (step S212).

ブラウザ31は、リダイレクト要求メッセージを受信し、受け取ったクッキー情報を含めたアクセス要求メッセージをアクセス制御部103に対して送付する(ステップS213)。   The browser 31 receives the redirect request message and sends an access request message including the received cookie information to the access control unit 103 (step S213).

アクセス制御部103は、アクセス要求メッセージにクッキー情報が含まれていることを確認し、そのクッキー情報に関連付けられた利用者のセッションが存在するか否かを確認するための認証確認要求を、セッション管理部104に対して行う(ステップS214)。   The access control unit 103 confirms that the cookie information is included in the access request message, and issues an authentication confirmation request for confirming whether or not the user session associated with the cookie information exists. It performs with respect to the management part 104 (step S214).

セッション管理部104は、セッション情報格納部114に対して、クッキー情報に関連づいたセッションおよび利用者が存在するか検索すべく、クッキー情報をキーとする利用者ID要求を行う(ステップS215)。セッション情報格納部114は、検索を実行し、セッション管理部104に対して、クッキー情報に関連付けて格納された利用者IDを返信する(ステップS216)。セッション管理部104は、アクセス制御部103に対して、利用者IDを応答とする認証確認応答を送付する(ステップS217)。   The session management unit 104 makes a user ID request using the cookie information as a key to search the session information storage unit 114 for the presence of a session and a user associated with the cookie information (step S215). The session information storage unit 114 executes a search, and returns a user ID stored in association with the cookie information to the session management unit 104 (step S216). The session management unit 104 sends an authentication confirmation response with a user ID as a response to the access control unit 103 (step S217).

アクセス制御部103は、利用者IDのロール情報を入手すべく、利用者情報格納部111に対して、利用者IDを含めたロール要求を行う(ステップS218)。利用者情報格納部111は、利用者IDに関連付けて格納されるロール情報を取得し、アクセス制御部103に対して返送する(ステップS219)。   The access control unit 103 makes a role request including the user ID to the user information storage unit 111 to obtain the role information of the user ID (step S218). The user information storage unit 111 acquires role information stored in association with the user ID and returns it to the access control unit 103 (step S219).

アクセス制御部103は、取得したロール情報と、プロジェクト管理サービスを実行するための所定のアクション情報(ここでは、サービストップページへのアクセス)とを含めて、権限管理部105に対して、そのアクションをそのロールにおいて実行可能か否かの認可判断要求を送付する(ステップS220)。   The access control unit 103 includes the acquired role information and predetermined action information for executing the project management service (in this case, access to the service top page), and the action control unit 103 sends the action to the authority management unit 105. Is sent an authorization determination request as to whether or not the role can be executed (step S220).

権限管理部105は、そのロールにそのアクションを行う権限があるか否か、権限情報格納部115を照会する(ステップS221)。権限情報格納部115は、要求されたロールに対して規定される認可されたアクションのリストに要求されたアクションが含まれていればOKを、権限管理部105に対して応答する(ステップS222)。権限管理部105は、アクセス制御部103に対して、権限照会の結果を認可判断応答として返答する(ステップS223)。アクセス制御部103は、サービス提供部107に対し、認可判断応答を転送する(ステップS224)。   The authority management unit 105 inquires of the authority information storage unit 115 whether or not the role has the authority to perform the action (step S221). The authority information storage unit 115 responds OK to the authority management unit 105 if the requested action is included in the list of authorized actions specified for the requested role (step S222). . The authority management unit 105 returns the result of the authority inquiry as an authorization determination response to the access control unit 103 (step S223). The access control unit 103 transfers an authorization determination response to the service providing unit 107 (step S224).

これを受け、サービス提供部107は、アクセス制御部103からの認可判断検証の結果がOKであれば、アクセスが許可されたものとみなし、サービストップページをアクセス制御部103に対して送付する(ステップS225)。アクセス制御部103はサービストップページをブラウザ31に転送する(ステップS226)。一方、NGであれば、アクセスは否認されたものとして、サービスが提供できない旨を通知する。   In response to this, if the result of the authorization judgment verification from the access control unit 103 is OK, the service providing unit 107 regards that access is permitted and sends the service top page to the access control unit 103 ( Step S225). The access control unit 103 transfers the service top page to the browser 31 (step S226). On the other hand, if it is NG, it is notified that the service cannot be provided because the access is denied.

次に、図9において、利用者Uは、サービストップページを参照して、権限委譲可能なエージェントのリストの参照要求を行う(ステップS227)。サービス提供部107は、登録部101に対して、エージェント参照要求を転送する(ステップS228)。   Next, in FIG. 9, the user U refers to the service top page and makes a reference request for a list of agents whose authority can be transferred (step S227). The service providing unit 107 transfers the agent reference request to the registration unit 101 (step S228).

登録部101は、エージェントリスト格納部112に対して、エージェントリストを要求する(ステップS229)。エージェントリスト格納部112は、登録部101に対して、エージェントリストを返送する(ステップS230)。   The registration unit 101 requests an agent list from the agent list storage unit 112 (step S229). The agent list storage unit 112 returns the agent list to the registration unit 101 (step S230).

登録部101は、エージェントリストをサービス提供部107に対して返送し(ステップS231)、サービス提供部107は、利用者Uのブラウザ31に対して、エージェントリストの画面を表示する(ステップS232)。   The registration unit 101 returns the agent list to the service providing unit 107 (step S231), and the service providing unit 107 displays the agent list screen on the browser 31 of the user U (step S232).

利用者Uは、表示されたエージェントリストから権限委譲すべきエージェントの種類を選択し、そのエージェントに対する権限委譲要求を行う(ステップS233)。この要求メッセージには、クッキー情報のほかに、選択したエージェント名と、委譲すべき権限と関連付けられるロールを含める。このロールは、利用者本人のロールと関連付けられたロールのサブセットを指定する。   The user U selects the type of agent whose authority is to be delegated from the displayed agent list, and makes an authority delegation request for the agent (step S233). In addition to the cookie information, the request message includes the selected agent name and the role associated with the authority to be delegated. This role specifies a subset of roles associated with the user's own role.

サービス提供部107は、ブラウザ31からのエージェント権限委譲要求を受け、登録部101に対して、権限委譲するエージェント名を指定したエージェント登録要求を送付する(ステップS234)。   The service providing unit 107 receives the agent authority delegation request from the browser 31, and sends an agent registration request designating the agent name to which authority is delegated to the registration unit 101 (step S234).

エージェント登録要求を受けた登録部101は、そのエージェントに対応するパスワードを発行した上で、利用者情報格納部111に対して、発行したパスワードを含むアカウントの生成および登録の要求を行う(ステップS235)。利用者情報格納部111は、アカウントを新規作成し、当該アカウントに対応するエージェントIDを割り当て、指定されたパスワードを登録し、登録部101に対して、エージェントIDを含めたアカウント生成完了通知を送付する(ステップS236)。   Upon receiving the agent registration request, the registration unit 101 issues a password corresponding to the agent, and then requests the user information storage unit 111 to generate and register an account including the issued password (step S235). ). The user information storage unit 111 creates a new account, assigns an agent ID corresponding to the account, registers the specified password, and sends an account generation completion notification including the agent ID to the registration unit 101. (Step S236).

登録部101は、権限管理部105に対して、エージェントIDとロールを伴うロール登録要求を行う(ステップS237)。   The registration unit 101 makes a role registration request with an agent ID and a role to the authority management unit 105 (step S237).

権限管理部105は、利用者情報格納部111に対して、エージェントIDにロールを関連付けて登録するよう要求する(ステップS238)。利用者情報格納部111は、ロールの登録を行い、権限管理部105に対して、ロール登録完了通知を返信する(ステップS239)。権限管理部105は、登録部101に対して、ロール登録完了通知を転送する(ステップS240)。   The authority management unit 105 requests the user information storage unit 111 to register the role associated with the agent ID (step S238). The user information storage unit 111 registers a role, and returns a role registration completion notification to the authority management unit 105 (step S239). The authority management unit 105 transfers a role registration completion notification to the registration unit 101 (step S240).

登録部101は、サービス提供部107に対して、エージェントIDとパスワードを含めたエージェント登録完了応答を行う(ステップS241)。   The registration unit 101 sends an agent registration completion response including the agent ID and password to the service providing unit 107 (step S241).

サービス提供部107は、権限委譲部106に対して、権限委譲要求を行う(ステップS242)。   The service providing unit 107 makes an authority delegation request to the authority delegation unit 106 (step S242).

権限委譲部106は、権限委譲情報格納部116に対して、権限委譲情報(利用者ID、エージェントID、ロール)の登録要求を行う(ステップS243)。権限委譲情報格納部116は、権限委譲情報の登録を行い、権限委譲部106に対して、権限委譲情報登録応答を行う(ステップS244)。権限委譲部106は、サービス提供部107に対して、権限委譲情報登録応答を転送する(ステップS245)。   The authority delegation unit 106 requests the authority delegation information storage unit 116 to register authority delegation information (user ID, agent ID, role) (step S243). The authority delegation information storage unit 116 registers authority delegation information, and sends an authority delegation information registration response to the authority delegation unit 106 (step S244). The authority delegation unit 106 transfers the authority delegation information registration response to the service providing unit 107 (step S245).

サービス提供部107は、エージェント権限委譲要求に対する応答として、登録したエージェントIDとそのパスワードをブラウザ31に対して返信する(ステップS246)。   The service providing unit 107 returns the registered agent ID and its password to the browser 31 as a response to the agent authority delegation request (step S246).

なお、利用者U(人)がブラウザ31からエージェント登録を行う場合について説明したが、エージェントが利用者として他のエージェントの登録を行うこともできる。   In addition, although the case where the user U (person) performed agent registration from the browser 31 was demonstrated, the agent can also register other agents as a user.

<動作:エージェント起動>
図10はエージェント起動の処理例を示すシーケンス図である。 <Operation: Agent startup>
FIG. 10 is a sequence diagram showing an example of agent activation processing.

図10において、利用者Uは、エージェント実行装置2のエージェント管理部203にアクセス要求する(ステップS301)。   In FIG. 10, the user U makes an access request to the agent management unit 203 of the agent execution device 2 (step S301).

エージェント管理部203は、利用者Uを認証すべく、認証部202に対してリダイレクションする認証要求メッセージをブラウザ31に送付する(ステップS302)。   In order to authenticate the user U, the agent management unit 203 sends an authentication request message for redirection to the authentication unit 202 to the browser 31 (step S302).

認証要求メッセージを受信したブラウザ31は、当該メッセージに含まれる送付先である認証部202のURLに対して、メッセージをリダイレクトする(ステップS303)。   The browser 31 that has received the authentication request message redirects the message to the URL of the authentication unit 202 that is the destination included in the message (step S303).

認証部202は、利用者Uのブラウザ31に対して、エージェント管理サービスを利用するための認証として、クレデンシャルの入力を求める(ステップS304)。   The authentication unit 202 requests the user U's browser 31 to input a credential as authentication for using the agent management service (step S304).

利用者Uは、クレデンシャルとして、自らのIDとパスワードを入力し、ブラウザ31はこれを認証部202に送信する(ステップS305)。   The user U inputs his / her ID and password as credentials, and the browser 31 transmits this to the authentication unit 202 (step S305).

認証部202は、利用者Uから受け取ったIDとパスワードを利用者情報格納部211に送付し、正規の利用者であるか否かを検証するためのクレデンシャル検証要求を行う(ステップS306)。   The authentication unit 202 sends the ID and password received from the user U to the user information storage unit 211, and makes a credential verification request for verifying whether or not the user is an authorized user (step S306).

利用者情報格納部211は、検証要求された利用者IDとパスワードが適切であるか否か、格納している利用者IDとパスワードを照会し、結果(OK/NG)を認証部202に対して送付する(ステップS307)。   The user information storage unit 211 inquires of the stored user ID and password whether the requested user ID and password are appropriate, and sends the result (OK / NG) to the authentication unit 202. (Step S307).

認証部202は、クレデンシャルの検証結果がOKの場合、クッキー情報を含む認証応答を利用者Uのブラウザ31に対して返信する(ステップS308)。   If the verification result of the credential is OK, the authentication unit 202 returns an authentication response including cookie information to the browser 31 of the user U (step S308).

ブラウザ31は、認証応答をエージェント管理部203に対してリダイレクトし、クッキー情報を含めたアクセス要求メッセージとして再度送付する(ステップS309)。   The browser 31 redirects the authentication response to the agent management unit 203 and sends it again as an access request message including cookie information (step S309).

エージェント管理部203は、アクセス要求に対する応答メッセージをブラウザ31に対して返信する(ステップS310)。これにより、利用者Uは、認証が完了し、エージェント管理部203が利用可能となる。   The agent management unit 203 returns a response message to the access request to the browser 31 (step S310). As a result, the user U is authenticated and can be used by the agent management unit 203.

利用者Uは、エージェント管理部203の表示する画面から、起動可能なエージェントリストを表示するための要求を行う(ステップS311)。   The user U makes a request for displaying an activatable agent list from the screen displayed by the agent management unit 203 (step S311).

エージェント管理部203は、エージェント情報格納部214に対して、格納されているエージェント情報のリストを要求する(ステップS312)。   The agent management unit 203 requests the agent information storage unit 214 for a list of stored agent information (step S312).

エージェント情報格納部214は、エージェント管理部203からの要求に基づき、エージェント情報のリストを返信する(ステップS313)。   The agent information storage unit 214 returns a list of agent information based on the request from the agent management unit 203 (step S313).

エージェント管理部203は、エージェント情報格納部214からの返信結果に基づき、起動可能なエージェントリストをブラウザ31に対して送付する(ステップS314)。   Based on the reply result from the agent information storage unit 214, the agent management unit 203 sends an activatable agent list to the browser 31 (step S314).

利用者Uは、起動可能なエージェントリストから、既にエージェント登録してあるエージェント名を選択し、エージェントプログラム実行部204に対して、エージェント登録に伴って取得したエージェントIDとそのパスワードを指定して、エージェントの作成要求を行う(ステップS315)。エージェントIDとパスワードはエージェント内に設定され、後にサービス提供装置1の認証部102にアクセスする際に用いられる。   The user U selects an agent name that has already been registered as an agent from the startable agent list, designates the agent ID acquired along with the agent registration and the password for the agent program execution unit 204, and An agent creation request is made (step S315). The agent ID and password are set in the agent and used later when accessing the authentication unit 102 of the service providing apparatus 1.

エージェントプログラム実行部204は、利用者Uが指定したエージェントのプログラムをロードするようにエージェント情報格納部214に対して要求する(ステップS316)。   The agent program execution unit 204 requests the agent information storage unit 214 to load the agent program designated by the user U (step S316).

エージェント情報格納部214は、要求されたエージェントプログラムをエージェントプログラム実行部204に対して送付する(ステップS317)。   The agent information storage unit 214 sends the requested agent program to the agent program execution unit 204 (step S317).

エージェントプログラム実行部204は、取得したエージェントプログラムに対して、利用者Uから送付されたエージェントIDとパスワードを関連付けてエージェントを生成し、ブラウザ31に対してエージェント生成の結果を通知する(ステップS318)。   The agent program execution unit 204 generates an agent by associating the agent ID and password sent from the user U with the acquired agent program, and notifies the browser 31 of the result of agent generation (step S318). .

利用者Uは、エージェントが生成されたことを確認し、エージェントのエージェントIDを指定し、エージェント起動要求を行う(ステップS319)。   The user U confirms that the agent has been generated, designates the agent ID of the agent, and makes an agent activation request (step S319).

エージェントプログラム実行部204は、要求されたエージェントを起動し、その結果をブラウザ31に対して通知する(ステップS320)。   The agent program execution unit 204 activates the requested agent and notifies the browser 31 of the result (step S320).

なお、利用者U(人)がブラウザ31からエージェント起動を行う場合について説明したが、エージェントが利用者として他のエージェントの起動を行うこともできる。   Although the case where the user U (person) starts the agent from the browser 31 has been described, the agent can also start another agent as a user.

<動作:エージェント実行>
図11はエージェント実行の処理例を示すシーケンス図である。 <Operation: Agent execution>
FIG. 11 is a sequence diagram illustrating an example of agent execution processing.

エージェント実行装置2で起動したエージェントは、自らのプログラムに基づき、サービス提供装置1のプログラム管理サービスへのアクセスを試みる。   The agent activated by the agent execution device 2 tries to access the program management service of the service providing device 1 based on its own program.

図11において、先ず、エージェントプログラム実行部204で動作するエージェントは、サービス提供装置1の認証部102に対して認証要求メッセージを送付する(ステップS401)。エージェントプログラム実行部204で動作するエージェントからアクセス制御部103にアクセスし、認証部102にリダイレクトされるようにしてもよい。   In FIG. 11, first, the agent operating in the agent program execution unit 204 sends an authentication request message to the authentication unit 102 of the service providing apparatus 1 (step S401). The access control unit 103 may be accessed from an agent operating in the agent program execution unit 204 and redirected to the authentication unit 102.

認証要求を受けた認証部102は、エージェントプログラム実行部204で動作するエージェントに対して、プログラム管理サービスを利用するためのクレデンシャルの入力を要求する(ステップS402)。   Upon receiving the authentication request, the authentication unit 102 requests the agent operating in the agent program execution unit 204 to input credentials for using the program management service (step S402).

エージェントプログラム実行部204で動作するエージェントは、既に利用者Uが設定したエージェントIDとパスワードを認証部102に対して送付する(ステップS403)。   The agent operating in the agent program execution unit 204 sends the agent ID and password set by the user U to the authentication unit 102 (step S403).

認証部102は、エージェントから送付されたエージェントIDとパスワードを利用者情報格納部111に対して送付し、検証するよう要求する(ステップS404)。利用者情報格納部111は、エージェントIDとパスワードが適切であるか否かを、格納されている利用者情報と照合して検証し、その結果を認証部102に対して返信する(ステップS405)。   The authentication unit 102 sends the agent ID and password sent from the agent to the user information storage unit 111 and requests to be verified (step S404). The user information storage unit 111 verifies whether or not the agent ID and password are appropriate against the stored user information, and returns the result to the authentication unit 102 (step S405). .

認証部102は、指定されたエージェントIDに対応するエージェントのセッションを確立すべく、セッション登録要求をセッション管理部104に対して送付する(ステップS406)。   The authentication unit 102 sends a session registration request to the session management unit 104 in order to establish an agent session corresponding to the designated agent ID (step S406).

セッション管理部104は、セッション登録要求を受け、新たなセッションを生成し、そのセッションに対して、エージェントIDとセッションIDとクッキー情報を関連付けて格納するように、セッション情報格納部114に対してセッション登録要求する(ステップS407)。セッション情報格納部114は、指定されたエージェントIDとセッションIDとクッキー情報を関連付けて格納し、その結果をセッション管理部104に返信する(ステップS408)。   The session management unit 104 receives a session registration request, generates a new session, and stores a session ID in the session information storage unit 114 so as to store an agent ID, a session ID, and cookie information in association with each other. A registration request is made (step S407). The session information storage unit 114 stores the specified agent ID, session ID, and cookie information in association with each other, and returns the result to the session management unit 104 (step S408).

セッション管理部104は、新たに生成したクッキー情報を含めて、セッション登録に対する応答メッセージを認証部102に対して行う(ステップS409)。認証部102は、クッキー情報をエージェントプログラム実行部204で動作するエージェントに対して返信し、認証応答とする(ステップS410)。これによって、エージェントプログラム実行部204で動作するエージェントは、認証部102に対する認証を完了する。   The session management unit 104 sends a response message to the session registration including the newly generated cookie information to the authentication unit 102 (step S409). The authentication unit 102 returns the cookie information to the agent operating in the agent program execution unit 204, and makes an authentication response (step S410). As a result, the agent operating in the agent program execution unit 204 completes the authentication with respect to the authentication unit 102.

次いで、エージェントプログラム実行部204で動作するエージェントは、アクセス制御部103に対して、利用者Uの代理として、プロジェクト情報要求を行う(ステップS411)。ここで、既に認証済みである旨を示すクッキー情報を含める。   Next, the agent operating in the agent program execution unit 204 makes a project information request to the access control unit 103 on behalf of the user U (step S411). Here, cookie information indicating that authentication has already been performed is included.

アクセス制御部103は、受信したクッキー情報を含めて、セッション管理部104に対して、プロジェクト情報要求の要求主体が、既に認証済みであるか否かを確認すべく、認証確認要求を行う(ステップS412)。   The access control unit 103 makes an authentication confirmation request to the session management unit 104 including the received cookie information in order to confirm whether or not the requesting entity of the project information request has already been authenticated (step S412).

セッション管理部104は、セッション情報格納部114に対して、クッキー情報を含めて、利用者ID要求を行う(ステップS413)。セッション情報格納部114は、クッキー情報をキーとして、関連付けて格納しているエージェントIDを取得し、セッション管理部104に対して返信する(ステップS414)。セッション管理部104は、エージェントIDを含めて、アクセス制御部103に対して、認証確認応答を行う(ステップS415)。   The session management unit 104 makes a user ID request including the cookie information to the session information storage unit 114 (step S413). The session information storage unit 114 acquires the agent ID stored in association with the cookie information as a key, and sends it back to the session management unit 104 (step S414). The session management unit 104 sends an authentication confirmation response to the access control unit 103 including the agent ID (step S415).

アクセス制御部103は、受け取ったエージェントIDと、エージェントが実行することを要求するアクション(ここでは、サービス情報へのアクセス)を含めて、権限委譲認可判断要求を権限委譲部106に対して送付する(ステップS416)。   The access control unit 103 sends an authority delegation authorization determination request to the authority delegation unit 106 including the received agent ID and an action (in this case, access to service information) that the agent requests to execute. (Step S416).

権限委譲部106は、エージェントIDとアクションを含めて、エージェントがそのアクションを実行するに足る権限を委譲されているか否かの検証を行うべく、権限委譲情報格納部116に対して権限照会を行う(ステップS417)。権限委譲情報格納部116は、エージェントIDと関連付けて格納するロールを参照し、アクションと照合し、そのエージェントにアクションを実行する権限を有するか否かの応答を行う(ステップS418)。権限委譲部106は、権限委譲情報格納部116からの応答を元にして、権限委譲の認可判断応答を、アクセス制御部103に対して行う(ステップS419)。   The authority delegation unit 106 makes an authority inquiry to the authority delegation information storage unit 116 in order to verify whether or not the agent is delegated authority sufficient to execute the action including the agent ID and the action. (Step S417). The authority delegation information storage unit 116 refers to the role stored in association with the agent ID, compares it with the action, and makes a response as to whether or not the agent has the authority to execute the action (step S418). The authority delegation unit 106 makes an authorization delegation authorization determination response to the access control unit 103 based on the response from the authority delegation information storage unit 116 (step S419).

アクセス制御部103は、認可判断検証結果の応答を、サービス提供部107に対して送付する(ステップS420)。   The access control unit 103 sends a response of the authorization determination verification result to the service providing unit 107 (step S420).

サービス提供部107は、認可判断検証結果を元にして、もしエージェントがサービス情報へのアクセス権限を有する場合には、要求されたサービス情報をアクセス制御部103に対して送付する(ステップS421)。アクセス制御部103はサービス情報をエージェントプログラム実行部204で動作するエージェントに対して転送する(ステップS422)。   Based on the authorization judgment verification result, the service providing unit 107 sends the requested service information to the access control unit 103 if the agent has the authority to access the service information (step S421). The access control unit 103 transfers the service information to the agent operating in the agent program execution unit 204 (step S422).

これにより、エージェントプログラム実行部204で動作するエージェントはサービス情報格納部117に格納されたコンテンツ等の提供を受け、定期的に利用者Uに対して取得した情報を通知する等の予め定められた動作を行う。   As a result, the agent operating in the agent program execution unit 204 is provided with the contents stored in the service information storage unit 117 and periodically notifies the user U of the acquired information. Perform the action.

なお、エージェントプログラム実行部204で動作するエージェントがサービス提供部107にアクセスしてサービス情報の提供を受ける場合について説明したが、エージェントはそのプログラムに従って、他のエージェントの登録、起動等の、人の利用者と同様の処理を行うことができる。   Note that the case where an agent operating in the agent program execution unit 204 accesses the service providing unit 107 and receives provision of service information has been described. However, an agent can perform other operations such as registration and activation of other agents according to the program. Processing similar to that of the user can be performed.

<総括>
以上説明したように、本実施形態によれば次のような利点がある。
(1)利用者がネットワークにアクセスしない場合においても、自らの代理となるエージェントが代わりにサービスを代理実行するため、利用者にとってのサービス利用時の効率性と利便性が向上する。
(2)権限委譲者と被委譲者とがセッション情報を共有しないので、両者の存在するネットワークシステム環境に依存せず、分散環境においても安全なアクセス管理を実現できる。
(3)エージェントを人と同様に一人の利用者と扱うことによって、人と同様の認証、認可方式を適用することができ、特別の機能追加が少なくてすむため、システムの導入を低コストで実現できる。
(4)エージェントに対し、利用者の権限の範囲内で委譲する権限を柔軟に制御することができる。
(5)エージェントは登録時にエージェントの管理者情報が管理され、認証、権限委譲などのプロセスを通じて管理され、エージェントの動作はログに記録されているため、エージェントに伴う動作により何らかの問題が発生した場合には、原因を追跡し、責任を課すことができる。 <Summary>
As described above, the present embodiment has the following advantages.
(1) Even when the user does not access the network, the agent acting on his / her behalf executes the service instead, so that the efficiency and convenience when using the service for the user is improved.
(2) Since the delegator and the delegee do not share session information, it is possible to realize safe access management in a distributed environment without depending on the network system environment in which both exist.
(3) By treating the agent as a single user as well as a person, the same authentication and authorization method as a person can be applied and less special functions are added. realizable.
(4) It is possible to flexibly control the authority to delegate to the agent within the range of the authority of the user.
(5) Agents manage agent administrator information at the time of registration and are managed through processes such as authentication and authority delegation, and agent operations are recorded in the log. You can track the cause and impose responsibilities.

以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。   The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.

従来のデータベースアクセス制御のためのシステム構成を示す図である。It is a figure which shows the system configuration for the conventional database access control. 本発明の一実施形態にかかるシステムの構成例を示す図である。It is a figure which shows the structural example of the system concerning one Embodiment of this invention. サービス提供装置の構成例を示す図である。It is a figure which shows the structural example of a service provision apparatus. サービス提供装置内に格納される各種データの構造例を示す図である。It is a figure which shows the structural example of the various data stored in a service provision apparatus. エージェント実行装置の構成例を示す図である。It is a figure which shows the structural example of an agent execution apparatus. エージェント実行装置内に格納される各種データの構造例を示す図である。It is a figure which shows the structural example of the various data stored in an agent execution apparatus. 利用者登録の処理例を示すシーケンス図である。It is a sequence diagram which shows the example of a process of user registration. エージェント登録の処理例を示すシーケンス図(その1)である。FIG. 10 is a sequence diagram (part 1) illustrating an example of agent registration processing; エージェント登録の処理例を示すシーケンス図(その2)である。It is a sequence diagram (the 2) which shows the example of a process of agent registration. エージェント起動の処理例を示すシーケンス図である。It is a sequence diagram which shows the example of a process of agent starting. エージェント実行の処理例を示すシーケンス図である。It is a sequence diagram which shows the example of a process of agent execution.

符号の説明Explanation of symbols

1 サービス提供装置
101 登録部
102 認証部
103 アクセス制御部
104 セッション管理部
105 権限管理部
106 権限委譲部
107 サービス提供部
111 利用者情報格納部
112 エージェントリスト格納部
113 セキュリティポリシ情報格納部
114 セッション情報格納部
115 権限情報格納部
116 権限委譲情報格納部
117 サービス情報格納部
2 エージェント実行装置
201 登録部
202 認証部
203 エージェント管理部
204 エージェントプログラム実行部
205 権限管理部
211 利用者情報格納部
212 セキュリティポリシ情報格納部
213 権限情報格納部
214 エージェント情報格納部
3 端末装置
31 ブラウザ
4 ネットワーク
U 利用者 DESCRIPTION OF SYMBOLS 1 Service provision apparatus 101 Registration part 102 Authentication part 103 Access control part 104 Session management part 105 Authority management part 106 Authority delegation part 107 Service provision part 111 User information storage part 112 Agent list storage part 113 Security policy information storage part 114 Session information Storage unit 115 Authority information storage unit 116 Authority delegation information storage unit 117 Service information storage unit 2 Agent execution device 201 Registration unit 202 Authentication unit 203 Agent management unit 204 Agent program execution unit 205 Authority management unit 211 User information storage unit 212 Security policy Information storage unit 213 Authority information storage unit 214 Agent information storage unit 3 Terminal device 31 Browser 4 Network U User

Claims (7)

エージェントに対する認証処理を含めた手続処理の代理を管理するエージェントアクセス管理システムであって、
エージェント利用者からのエージェント情報として、識別子、クレデンシャル情報および委譲権限を登録することによりエージェントに権限委譲を行う権限委譲受付手段と、
エージェントから識別子およびクレデンシャル情報を受信する認証情報受信手段と、
受信した識別子およびクレデンシャル情報に基づいて認証処理および権限確認を行うアクセス制御手段と、
エージェントからの指示に基づいて、該エージェントに対応した委譲権限の範囲内で所定の手続処理を受け付けるエージェント管理手段と
を備えたことを特徴とするエージェントアクセス管理システム。 An agent access management system for managing proxy of procedure processing including authentication processing for an agent,
As agent information from the agent user, authority delegation accepting means for delegating authority to the agent by registering identifier, credential information and delegation authority,
Authentication information receiving means for receiving the identifier and credential information from the agent;
Access control means for performing authentication processing and authority confirmation based on the received identifier and credential information;
An agent access management system comprising agent management means for receiving predetermined procedure processing within a range of delegation authority corresponding to an agent based on an instruction from the agent. 請求項1に記載のエージェントアクセス管理システムにおいて、
前記アクセス制御手段は、クレデンシャル情報の検証を経て作成されたセッションの確認により認証を行い、要求されたアクションが登録された権限もしくは委譲権限の範囲内であるか否かの確認により権限確認を行う
ことを特徴とするエージェントアクセス管理システム。 In the agent access management system according to claim 1,
The access control means authenticates by confirming a session created through verification of credential information, and confirms authority by confirming whether the requested action is within the registered authority or the authority of delegation Agent access management system characterized by the above. 請求項2に記載のエージェントアクセス管理システムにおいて、
前記アクセス制御手段は、セッションを示すクッキー情報を伴わないアクセス要求に対し、クレデンシャル情報の検証を行う認証手段へのリダイレクトを行う
ことを特徴とするエージェントアクセス管理システム。 In the agent access management system according to claim 2,
The agent access management system, wherein the access control means redirects to an authentication means for verifying credential information in response to an access request without cookie information indicating a session. 請求項1乃至3のいずれか一項に記載のエージェントアクセス管理システムにおいて、
人を利用者として登録する場合の権限は、対象となるサービスに対応したセキュリティポリシに基づいて決定される
ことを特徴とするエージェントアクセス管理システム。 In the agent access management system according to any one of claims 1 to 3,
An agent access management system characterized in that authority when registering a person as a user is determined based on a security policy corresponding to a target service. 請求項1乃至4のいずれか一項に記載のエージェントアクセス管理システムにおいて、
エージェントを利用者として登録する場合の委譲権限は、委譲元の人もしくはエージェントの権限もしくは委譲権限の範囲内で指定される
ことを特徴とするエージェントアクセス管理システム。 In the agent access management system according to any one of claims 1 to 4,
An agent access management system, wherein delegation authority when registering an agent as a user is specified within the authority of the delegation person or agent or delegation authority. エージェントに対する認証処理を含めた手続処理の代理を管理するエージェントアクセス管理方法であって、
エージェント利用者からのエージェント情報として、識別子、クレデンシャル情報および委譲権限を登録することによりエージェントに権限委譲を行う権限委譲受付工程と、
エージェントから識別子およびクレデンシャル情報を受信する認証情報受信工程と、
受信した識別子およびクレデンシャル情報に基づいて認証処理および権限確認を行うアクセス制御工程と、
エージェントからの指示に基づいて、該エージェントに対応した委譲権限の範囲内で所定の手続処理を受け付けるエージェント管理工程と
を備えたことを特徴とするエージェントアクセス管理方法。 An agent access management method for managing proxy of procedure processing including authentication processing for an agent,
An authority delegation acceptance process for delegating authority to an agent by registering an identifier, credential information, and delegation authority as agent information from the agent user;
An authentication information receiving step for receiving an identifier and credential information from the agent;
An access control process for performing authentication processing and authority confirmation based on the received identifier and credential information;
An agent access management method comprising: an agent management step of receiving a predetermined procedure process within a range of delegation authority corresponding to an agent based on an instruction from the agent. エージェントに対する認証処理を含めた手続処理の代理を管理するエージェントアクセス管理システムを構成するコンピュータを、
エージェント利用者からのエージェント情報として、識別子、クレデンシャル情報および委譲権限を登録することによりエージェントに権限委譲を行う権限委譲受付手段、
エージェントから識別子およびクレデンシャル情報を受信する認証情報受信手段、
受信した識別子およびクレデンシャル情報に基づいて認証処理および権限確認を行うアクセス制御手段、
エージェントからの指示に基づいて、該エージェントに対応した委譲権限の範囲内で所定の手続処理を受け付けるエージェント管理手段
として機能させるエージェントアクセス管理プログラム。 A computer that constitutes an agent access management system that manages a proxy for procedure processing including authentication processing for an agent;
Authority delegation acceptance means for delegating authority to agents by registering identifiers, credential information and delegation authority as agent information from agent users,
Authentication information receiving means for receiving an identifier and credential information from an agent;
Access control means for performing authentication processing and authority confirmation based on the received identifier and credential information;
An agent access management program that functions as an agent management unit that accepts predetermined procedure processing within the scope of delegation authority corresponding to an agent based on an instruction from the agent.
JP2008294432A 2008-11-18 2008-11-18 Agent access management system Active JP5027097B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008294432A JP5027097B2 (en) 2008-11-18 2008-11-18 Agent access management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008294432A JP5027097B2 (en) 2008-11-18 2008-11-18 Agent access management system

Publications (2)

Publication Number Publication Date
JP2010122798A true JP2010122798A (en) 2010-06-03
JP5027097B2 JP5027097B2 (en) 2012-09-19

Family

ID=42324103

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008294432A Active JP5027097B2 (en) 2008-11-18 2008-11-18 Agent access management system

Country Status (1)

Country Link
JP (1) JP5027097B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014013502A (en) * 2012-07-04 2014-01-23 Bank Of Tokyo-Mitsubishi Ufj Ltd Information processing device, information processing system, information processing method, and program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (en) * 1998-03-31 1999-10-15 Secom Joho System Kk Communication system having user authentication function and user authentication method
JP2000047997A (en) * 1998-07-31 2000-02-18 Toshiba Corp Mobile agent system and mobile agent managing control method in distributedly configurated computer system
JP2002244871A (en) * 2001-02-20 2002-08-30 Kddi Corp Data communication system and data communication method
WO2005006204A1 (en) * 2003-07-11 2005-01-20 Nippon Telegraph And Telephone Corporation Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
JP2008102614A (en) * 2006-10-17 2008-05-01 Fuji Xerox Co Ltd Authority transfer system, information processing device, authority transfer id issuing device, authority transfer processing device, and information processing system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (en) * 1998-03-31 1999-10-15 Secom Joho System Kk Communication system having user authentication function and user authentication method
JP2000047997A (en) * 1998-07-31 2000-02-18 Toshiba Corp Mobile agent system and mobile agent managing control method in distributedly configurated computer system
JP2002244871A (en) * 2001-02-20 2002-08-30 Kddi Corp Data communication system and data communication method
WO2005006204A1 (en) * 2003-07-11 2005-01-20 Nippon Telegraph And Telephone Corporation Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
JP2008102614A (en) * 2006-10-17 2008-05-01 Fuji Xerox Co Ltd Authority transfer system, information processing device, authority transfer id issuing device, authority transfer processing device, and information processing system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014013502A (en) * 2012-07-04 2014-01-23 Bank Of Tokyo-Mitsubishi Ufj Ltd Information processing device, information processing system, information processing method, and program

Also Published As

Publication number Publication date
JP5027097B2 (en) 2012-09-19

Similar Documents

Publication Publication Date Title
US8918856B2 (en) Trusted intermediary for network layer claims-enabled access control
US9344432B2 (en) Network layer claims based access control
JP6066647B2 (en) Device apparatus, control method thereof, and program thereof
EP1764978B1 (en) Attested identities
JP6061633B2 (en) Device apparatus, control method, and program thereof.
JP7196174B2 (en) Authentication methods, systems and programs using delegated identities
US8990896B2 (en) Extensible mechanism for securing objects using claims
US20100251353A1 (en) User-authorized information card delegation
JP6675163B2 (en) Authority transfer system, control method of authorization server, authorization server and program
US20140355034A1 (en) Image forming apparatus, server device, information processing method, and computer-readable storage medium
JPH10240690A (en) Client/server system, server and client terminals
JP2006260201A (en) Distributed authentication system and communication controller
JP2007219935A (en) Distributed authentication system and distributed authentication method
JP2019514090A (en) Associating a User Account with a Corporate Workspace
CN105225072B (en) Access management method and system for multiple application systems
JPWO2011089712A1 (en) Authentication method, authentication system, and authentication program
US11849053B2 (en) Automation of user identity using network protocol providing secure granting or revocation of secured access rights
JP2005259111A (en) Program, recording medium and apparatus for handling user information
WO2000068763A1 (en) Method and system for proving membership in a nested group
WO2016190949A1 (en) Authorization in a distributed system using access control lists and groups
JP7059559B2 (en) Information processing equipment and programs
JP2015026161A (en) Information processing system, information processing device, and program
JP3770173B2 (en) Common key management system and common key management method
JP2019036245A (en) Information processing device
JP5027097B2 (en) Agent access management system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120306

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120612

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120621

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150629

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5027097

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250