JP2010170208A - 権限管理システム - Google Patents

権限管理システム Download PDF

Info

Publication number
JP2010170208A
JP2010170208A JP2009010077A JP2009010077A JP2010170208A JP 2010170208 A JP2010170208 A JP 2010170208A JP 2009010077 A JP2009010077 A JP 2009010077A JP 2009010077 A JP2009010077 A JP 2009010077A JP 2010170208 A JP2010170208 A JP 2010170208A
Authority
JP
Japan
Prior art keywords
user
information
business
authority
business application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009010077A
Other languages
English (en)
Inventor
Yasukane Miyata
安謙 宮田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2009010077A priority Critical patent/JP2010170208A/ja
Publication of JP2010170208A publication Critical patent/JP2010170208A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】業務システムに対する権限の変更があった場合であっても、当該変更に容易に対応することを可能とする。
【解決手段】検索部13は、接続キー及びユーザIDを業務システムから取得する。検索部13は、取得されたユーザIDに対応付けて人事/組織情報格納部11に格納されている組織情報及び役職情報を取得する。検索部13は、取得された接続キーに対応付けて設定ファイル14に設定されている接続先情報によって示される権限情報格納部12を特定する。アクセス判定部15は、検索部13によって取得されたユーザID、組織情報または役職情報が、接続キーによって識別される業務アプリケーションを示す権限情報に対応付けて、特定された権限情報格納部12に格納されているかを判定する。アクセス判定部15は、業務システムに対して判定結果を通知する。
【選択図】 図1

Description

本発明は、業務システムに対する利用権限を管理するための権限管理システムに関する。
近年、例えば企業等における業務処理を支援するための業務アプリケーションを当該企業に所属するユーザ(社員または職員等)に対して提供する業務システムが知られている。企業に所属するユーザは、業務を行う際に業務システムにアクセスすることで業務アプリケーションを利用することができる。
しかしながら、業務システムには例えば企業に関する様々な情報が含まれており、全てのユーザが無制限に当該業務システムにアクセスできることは好ましくない。このため、ユーザが所属する企業内における組織または役職等に応じて業務システムに対する利用権限を設定し、当該業務システムに対するアクセスを制限する必要がある。
そこで、ユーザ毎の利用権限を管理するための権限管理システムが知られている。この権限管理システムにおいては、ユーザが業務システムにアクセスし、業務アプリケーションを利用しようとした場合に、管理されている当該ユーザの権限に応じて当該アクセスの可否が判定される。
この権限管理システムに関連して、複数のシステムにおける利用権限を画一的に管理でき、メンテナンス作業を軽減することができ、更に誤情報の登録を防止することができる技術(以下、先行技術と表記)が開示されている(例えば、特許文献1を参照)。この先行技術によれば、ユーザの各種権利・権限を表すアクセス制御情報が管理される。
特開2002−324053号公報
上記したように、先行技術によれば、ユーザの各種権利・権限を表すアクセス制御情報が管理される。つまり、先行技術においては、ユーザを基準に権限(権利)が管理されている。
上記した先行技術において、例えばユーザに対する権限が変更された場合には、管理されているユーザを表すエントリを移動させることで当該権限の変更に対応することができる。
ここで、例えば複数のユーザが所属する企業内の組織等に対する権限が変更された場合を想定する。この場合、上記した先行技術においては、ユーザを基準に権限が管理されているため、権限が変更された組織に所属するユーザの各々について各種権限を変更する必要がある。
具体的には、例えば10人のユーザが所属する組織に対する権限が変更された場合を想定する。この場合、先行技術では、この組織に所属している10人のユーザの各々の権限について変更する必要がある。したがって、このように複数のユーザが所属する組織等に対する権限が変更された場合には、当該変更に伴う処理が煩雑であり時間もかかる。
また、企業に所属するユーザに例えば人事異動等があった場合にも、当該人事異動に伴って当該ユーザの権限(アクセス制限情報)について変更する必要がある。
そこで、本発明の目的は、業務システムに対する権限の変更があった場合であっても、当該変更に容易に対応することが可能な権限管理システムを提供することにある。
本発明の1つの態様によれば、業務処理を行うための各種業務アプリケーションをユーザに対して提供する複数の業務システムと接続される権限管理システムが提供される。この権限管理システムは、前記複数の業務システムを利用するユーザを識別するためのユーザ識別情報、当該ユーザが所属する組織を示す組織情報及び当該ユーザの役職を示す役職情報を対応付けて格納する第1の格納手段と、前記複数の業務システムの各々に対応し、当該業務システムによって提供される業務アプリケーションに設定されている当該業務アプリケーションの利用可否を判定するための権限情報と、当該業務アプリケーションを利用可能なユーザを識別するためのユーザ識別情報、当該業務アプリケーションを利用可能な組織を示す組織情報及び当該業務アプリケーションを利用可能な役職を示す役職情報のうち少なくとも1つとを対応付けて格納する第2の格納手段と、前記複数の業務システムの各々によって提供される業務アプリケーションを識別するためのキー及び当該業務アプリケーションを提供する業務システムに対応する第2の格納手段を示す接続先情報を対応付けて設定する設定ファイルと、前記ユーザによって指定された業務アプリケーションを識別するためのキーを含む接続キー及び当該ユーザを識別するためのユーザ識別情報を、当該業務アプリケーションを提供する業務システムから取得する第1の取得手段と、前記取得されたユーザ識別情報に対応付けられている組織情報及び役職情報を、前記第1の格納手段から取得する第2の取得手段と、前記複数の業務システムの各々に対応する前記第2の格納手段のうち、前記第1の取得手段によって取得された接続キーに含まれるキーに対応付けて前記設定ファイルに設定されている接続先情報によって示される第2の格納手段を特定する特定手段と、前記第1の取得手段によって取得されたユーザ識別情報、前記第2の取得手段によって取得された組織情報または役職情報が、前記特定された第2の格納手段に格納された前記第1の取得手段によって取得された接続キーに含まれるキーによって識別される業務アプリケーションに設定された権限情報に対応付けられているかを判定する判定手段と、前記特定された第2の格納手段に格納されている前記権限情報に対応付けられていると判定された場合、前記ユーザが指定した業務アプリケーションを利用可能である旨を、当該業務アプリケーションを提供する業務システムに対して通知する第1の通知手段と、前記特定された第2の格納手段に格納されている前記権限情報に対応付けられていない判定された場合、前記ユーザが指定した業務アプリケーションを利用できない旨を、当該業務アプリケーションを提供する業務システムに対して通知する第2の通知手段とを具備する。
本発明によれば、業務システムに対する権限の変更があった場合であっても、当該変更に容易に対応することを可能とする。
本発明の実施形態に係る権限管理システムの主として機能構成を示すブロック図。 図1に示す人事/組織情報格納部11のデータ構造の一例を示す図。 図1に示す権限情報格納部12のデータ構造の一例を示す図。 本実施形態に係る権限管理システム10の第1の動作における処理手順を示すフローチャート。 図1に示す設定ファイル14の一例を示す図。 本実施形態に係る権限管理システム10の第2の動作における処理手順を示すフローチャート。 業務アプリケーション23を利用することによってクライアント端末30に表示されるユーザ名及びメールアドレスの一覧画面の一例を示す図。
以下、図面を参照して、本発明の実施形態について説明する。
図1は、本実施形態に係る権限管理システムの主として機能構成を示すブロック図である。
図1に示すように、権限管理システム10は、業務システム20と接続される。この業務システム20は、ユーザによって操作される複数のクライアント端末と接続される。図1においては、クライアント端末30以外のクライアント端末については省略されている。
また、業務システム20は、例えばクライアント端末30を操作するユーザに対して提供される複数の業務アプリケーション(機能)を有する。図1においては、業務システム20は、業務アプリケーション21〜23を有する。例えば企業等における業務を行うユーザがクライアント端末30を用いて業務システム20にアクセスすることで、当該業務システム20は、当該業務システム20が有する業務アプリケーション21〜23により当該ユーザの業務を支援することができる。なお、業務システム20は、例えば支援する業務に応じて複数存在する。
権限管理システム10は、ユーザがクライアント端末30を操作することによって業務システム20が有する業務アプリケーション(例えば、業務アプリケーション21)を利用しようとした場合に、当該ユーザが当該業務アプリケーション21を利用可能であるか否かの情報(権限情報)を管理する。
権限管理システム10は、人事/組織情報格納部11、権限情報格納部12、検索部13、設定ファイル14、アクセス判定部15及び情報生成部16を含む。人事/組織情報格納部11、権限情報格納部12及び設定ファイル14は、権限管理システム10を構成する例えばハードディスクドライブ(HDD:Hard Disk Drive)のような外部記憶装置(図示せず)に格納される。また、検索部13、アクセス判定部15及び情報生成部16は、権限管理システム10を構成する外部記憶装置に格納されたプログラムを当該権限管理システム10(のコンピュータ)が実行することにより実現される。
人事/組織情報格納部11には、業務システム20を含む複数の業務システムを利用するユーザを識別するためのユーザ識別情報(以下、ユーザIDと表記)、当該ユーザが所属する例えば企業における組織(グループ)を示す組織情報及び当該ユーザの役職(例えば、部長及び課長等)を示す役職情報が対応付けて格納される。
また、人事/組織情報格納部11には、ユーザID、組織情報及び役職情報に対応付けて当該ユーザIDによって識別されるユーザに関するユーザ情報が格納される。このユーザ情報には、例えばユーザ名、ユーザの電話番号及びメールアドレス等が含まれる。
権限情報格納部12には、業務システム20によって提供される業務アプリケーション(例えば、業務アプリケーション21〜23)に設定される利用可否を判定するための権限情報と、当該業務アプリケーション21〜23を利用可能なユーザを識別するためのユーザID、当該業務アプリケーション21〜23を利用可能な組織を示す組織情報及び当該業務アプリケーション21〜23を利用可能な役職を示す役職情報のうち少なくとも1つとが対応付けて格納される。
なお、権限管理システム10には、複数の業務システム20の各々に対応する複数の権限情報格納部12が用意されている。
ここで、ユーザがクライアント端末30を操作することによって例えば業務システム20が有する業務アプリケーション21を利用しようとする場合を想定する。この場合、ユーザは、クライアント端末30を操作することによって業務システム20にログインする。このとき、業務システム20は、ログインしたユーザを識別するためのユーザIDを取得する。また、ユーザは、利用しようとする業務アプリケーション(例えば業務アプリケーション21)を指定することができる。
ユーザによって業務アプリケーション21が指定されると、業務システム20は、当該ユーザが業務アプリケーション21を利用する権限を有するか否かを確認するために、当該ユーザを識別するためのユーザID及び当該業務アプリケーション21を識別するためのキーを含む接続キーを権限管理システム10に渡す。なお、接続キーの詳細については後述する。
検索部13は、業務システム20から渡されたユーザID及び接続キーを取得する。検索部13は、取得されたユーザIDに対応付けて人事/組織情報格納部11に格納されている組織情報及び役職情報を、当該人事/組織情報格納部11から取得(検索)する。また、検索部13は、設定ファイル14を参照して、接続先となる権限情報格納部12を特定する。
設定ファイル14には、接続キー(に含まれるキー)及び当該キーによって識別される業務アプリケーション(例えば、業務アプリケーション21〜23)を提供する業務システム20に対応する権限情報格納部12を示す接続先情報が対応付けて予め設定されている。
検索部13は、取得された接続キーに対応付けて設定ファイル14に設定されている接続先情報によって示される権限情報格納部12を、接続先として特定する。
また、検索部13は、ユーザによって指定された業務アプリケーション21の種類に応じて、人事/組織情報格納部11に格納されている当該業務アプリケーション21に対応するユーザ情報(例えば、メールアドレス)を取得(検索)する。
アクセス判定部15は、検索部13によって取得されたユーザID、組織情報または役職情報が、検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション21に設定された権限情報に対応付けられているか否かを判定する。アクセス判定部15は、検索部13によって特定された権限情報格納部12を参照して判定処理を実行する。これにより、アクセス判定部15は、検索部13によって取得されたユーザIDによって識別されるユーザが業務システム20に対してアクセス可能であるか否か、つまり、当該ユーザによって指定された業務アプリケーション(接続キーに含まれるキーによって識別される業務アプリケーション)21を当該ユーザが利用可能であるか否かを判定する。
アクセス判定部15は、判定結果、つまり、ユーザによって指定された業務アプリケーション21を当該ユーザが利用可能であるか否かを業務システムに通知する。
情報生成部16は、検索部13によって検索されたユーザ情報を取得し、当該ユーザ情報の一覧(例えば、メールアドレスの一覧)を生成する。情報生成部16は、生成されたユーザ情報の一覧を業務システム20(検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション21を提供する業務システム20)に返す(出力する)。
図2は、図1に示す人事/組織情報格納部11のデータ構造の一例を示す。図2に示すように、人事/組織情報格納部11には、ユーザID、ユーザ名、組織情報、役職情報、電話番号、メールアドレスが対応付けて格納されている。組織情報は、対応付けられているユーザIDによって識別されるユーザが所属する組織(グループ)を示す。役職情報は、対応付けられているユーザIDによって識別されるユーザの役職を示す。この役職には、例えば企業等における課長または部長等が含まれる。
また、ユーザ名、電話番号及びメールアドレスは、対応付けられているユーザIDによって識別されるユーザに関するユーザ情報である。なお、ユーザ情報として、これら以外の情報が人事/組織情報格納部11に格納されていても構わない。
図2に示す例では、人事/組織情報格納部11には、ユーザID「1」、ユーザ名「aaa」、組織情報「組織X」、役職情報「役職1」、電話番号「電話番号1」及びメールアドレス「メールアドレス1」が対応付けて格納されている。これによれば、ユーザID「1」によって識別されるユーザのユーザ名は「aaa」であり、当該ユーザが所属する組織は「組織X」であり、当該ユーザの役職は「役職1」であり、当該ユーザの電話番号は「電話番号1」であり、当該ユーザのメールアドレスは「メールアドレス1」であることが示されている。
人事/組織情報格納部11には、ユーザID「2」、ユーザ名「bbb」、組織情報「組織X」、役職情報「役職2」、電話番号「電話番号2」及びメールアドレス「メールアドレス2」が対応付けて格納されている。
人事/組織情報格納部11には、ユーザID「3」、ユーザ名「ccc」、組織情報「組織Y」、役職情報「役職1」、電話番号「電話番号3」及びメールアドレス「メールアドレス3」が対応付けて格納されている。
また、人事/組織情報格納部11には、ユーザID「4」、ユーザ名「ddd」、組織情報「組織Z」、役職情報「役職3」、電話番号「電話番号4」及びメールアドレス「メールアドレス4」が対応付けて格納されている。
図3は、図1に示す権限情報格納部12のデータ構造の一例を示す。図3に示すように、権限情報格納部12には、権限情報と、ユーザID、組織情報及び役職情報のうち少なくとも1つとが対応付けて格納されている。なお、権限情報格納部12は、業務システム20毎に用意されている。
権限情報は、業務システム20により提供される業務アプリケーション(例えば、業務アプリケーション21〜23)に設定されている。ユーザIDは、対応付けられている権限情報によって示される業務アプリケーション21〜23を利用可能なユーザを識別するための識別子である。組織情報は、対応付けられている権限情報によって示される業務アプリケーション21〜23を利用可能な組織を示す。役職情報は、対応付けられている権限情報によって示される業務アプリケーション21〜23を利用可能な役職を示す。
なお、図3に示す権限情報1は、業務アプリケーション21に設定されているものとして説明する。同様に、権限情報2は業務アプリケーション22に、権限情報3は業務アプリケーション23に設定されているものとする。
図3に示す例では、権限情報格納部12には、権限情報「権限情報1」とユーザID「1」とが対応付けて格納されている。これによれば、ユーザIDによって識別されるユーザは、「権限情報1」によって示される業務アプリケーション21を利用可能であることが示されている。
権限情報格納部12には、権限情報「権限情報2」と組織情報「組織X」とが対応付けて格納されている。これによれば、「組織X(に所属するユーザ)」は、「権限情報2」が設定されている業務アプリケーション22を利用可能であることが示されている。
権限情報格納部12には、権限情報「権限情報3」と、組織情報「組織X」及び役職情報「役職2」とが対応付けて格納されている。これによれば、「組織X」に所属するユーザであって役職が「役職2」であるユーザは、「権限情報3」が設定されている業務アプリケーション23を利用可能であることが示されている。つまり、この場合には「組織X」に所属するユーザであっても、役職が「役職2」でないユーザは、「権限情報3」によって示される業務アプリケーション23を利用することはできない。このように、例えば権限情報と、組織情報及び役職情報とが対応付けられている場合には、当該組織情報及び役職情報の両方を満たすユーザのみが当該権限情報によって示される業務アプリケーションを利用可能である。
権限情報格納部12には、権限情報「権限情報2」と、組織情報「組織Y」及び役職情報「役職2」とが対応付けて格納されている。これによれば、「組織Y」に所属するユーザであって役職が「役職2」であるユーザは、「権限情報2」が設定されている業務アプリケーション22を利用可能であることが示されている。
本実施形態に係る権限管理システム10においては、人事/組織情報格納部11及び権限情報格納部12を上記した図3及び図4に示すようなデータ構造とすることで、例えばユーザに人事異動等があった場合であっても、権限情報格納部12に格納されている情報は変更することなく対応することが可能となる。具体的には、ユーザが組織Xから組織Yに異動された場合には、当該ユーザの権限は組織Xから組織Yに付属するものに変更されるにもかかわらず、権限情報格納部12においては組織を基準として権限情報が管理されているため当該権限情報格納部12に格納されている情報を変更する必要はない。
また、例えば複数のユーザが所属する組織に対する権限が変更された場合であっても、当該組織に所属する複数のユーザの個々の権限を変更する必要はなく、権限情報格納部12に格納されている権限情報または組織情報を変更するのみで当該複数のユーザの全ての権限の変更に対応することができる。
以下、本実施形態に係る権限管理システム10の動作について説明する。なお、権限管理システム10は、ユーザによって指定された業務アプリケーション(当該ユーザが利用しようとする業務アプリケーション)21〜23の種類によって動作が異なる。業務アプリケーション21〜23の種類には、権限管理システム10の例えば人事/組織情報格納部11に格納されているユーザ情報等を必要としないもの及び当該ユーザ情報等を必要とするものが含まれる。ここでは、例えば業務アプリケーション21及び22は、権限管理システム10の人事/組織情報格納部11に格納されているユーザ情報等を必要としない業務アプリケーションであるものとする。一方、業務アプリケーション23は、権限管理システム10の人事/組織情報格納部11に格納されているユーザ情報等を必要とする業務アプリケーションであるものとする。以下、権限管理システム10の第1及び第2の動作における処理手順について説明する。
まず、図4のフローチャートを参照して、本実施形態に係る権限管理システム10の第1の動作における処理手順について説明する。ここでは、ユーザによって指定される業務アプリケーションが業務アプリケーション22(または21)であるものとする。つまり、第1の動作では、ユーザによって指定される業務アプリケーションが権限管理システム10の人事/組織情報格納部11に格納されているユーザ情報等を必要としない業務アプリケーションである場合を想定している。
業務システム20が有する業務アプリケーション22を利用しようとした場合、ユーザは、クライアント端末30を操作することによって業務システム20にアクセスする(ログインする)。このとき、業務システム20は、当該業務システム20にログインしたユーザを識別するためのユーザIDを取得する。
また、ユーザは、クライアント端末30を操作することによって、当該ユーザが利用しようとする業務アプリケーション22を指定することができる。
業務システム20は、取得されたユーザID及び当該ユーザによって指定された業務アプリケーション22を識別するためのキーを含む接続キーを権限管理システム10に渡す。この接続キーは、権限管理システム10において業務アプリケーション22に対するアクセス可否を判定する際の接続先を特定(一意に識別)するためのキーである。
接続キーの定義は、業務アプリケーション(例えば、業務アプリケーション21〜23)を一意に識別できるキーと「user」、「org」または「role」のキーワードとを組み合わせたものとする。
権限管理システム10に含まれる検索部13は、業務システム20から渡されたユーザID及び接続キーを取得する(ステップS1)。
検索部13は、取得された接続キーをもとに、複数の業務システム20の各々に対応する権限情報格納部12の中から接続先となる権限情報格納部12を特定する(ステップS2)。このとき、検索部13は、設定ファイル14を参照して接続先となる権限情報格納部12を特定する。
ここで、図5は、図1に示す設定ファイル14の一例を示す。設定ファイル14には、接続キー及び接続先情報が対応付けて設定されている。上記したように接続キーは、業務システム20により提供される業務アプリケーション(例えば、業務アプリケーション21〜23)を一意に識別できるキーと「user」、「org」または「role」のキーワードが組み合わされたものである。接続先情報は、対応付けられている接続キーに含まれるキーによって識別される業務アプリケーションを提供する業務システム20に対応する権限情報格納部12を接続先として示す情報である。
つまり、設定ファイル14においては、業務アプリケーション毎に例えばキーワードと接続先とが紐付けられている。
図5に示す例では、設定ファイル14には、例えば接続キー「common.user」及び接続先情報「name=”dao” ref=”common.dao”」が対応付けて設定されている。
再び図4に戻ると、検索部13は、上記した図5に示すような設定ファイル14において、取得された接続キーに対応付けて設定されている接続先情報によって示される権限情報格納部12を接続先として特定する。
次に、アクセス判定部15は、検索部13によって取得されたユーザIDによって識別されるユーザが、当該検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション22を利用可能であるか(利用する権限があるか)否かを判定する(ステップS3)。つまり、アクセス判定部15は、検索部13によって取得されたユーザIDが、検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション22を示す権限情報に対応付けて接続先として特定された権限情報格納部12に格納されているか否かを判定する。
アクセス判定部15は、検索部13によって取得されたユーザIDが業務アプリケーション22を示す権限情報に対応付けて権限情報格納部12に格納されている場合には、権限があると判定する。一方、アクセス判定部15は、検索部13によって取得されたユーザIDが業務アプリケーション22を示す権限情報に対応付けて権限情報格納部12に格納されている場合には、権限がないと判定する。
アクセス判定部15によって権限がないと判定された場合(ステップS3のNO)、検索部13は、取得されたユーザIDに対応付けて人事/組織情報格納部11に格納されている組織情報及び役職情報を、当該人事/組織情報格納部11から取得(検索)する(ステップS4)。この組織情報及び役職情報は、検索部13によって取得されたユーザIDによって識別されるユーザの所属する組織及び当該ユーザの役職を示す。
アクセス判定部15は、検索部13によって取得された組織情報または役職情報が、検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション22を示す権限情報に対応付けて接続先として特定された権限情報格納部12に格納されているか否かを判定する。これにより、アクセス判定部15は、検索部13によって取得されたユーザIDによって識別されるユーザが、当該検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション22を利用する権限があるか否かを判定する(ステップS5)。
この場合、アクセス判定部15は、検索部13によって取得された組織情報及び役職情報のいずれか一方のみが業務アプリケーション22を示す権限情報に対応付けて権限情報格納部12に格納されている場合、権限があると判定する。また、アクセス判定部15は、検索部13によって取得された組織情報及び役職情報の両方が業務アプリケーション22を示す権限情報に対応付けて権限情報格納部12に格納されている場合、権限があると判定する。つまり、業務アプリケーション22を示す権限情報に対応付けて組織情報及び役職情報が権限情報格納部12に格納されている場合であって、検索部13によって取得された組織情報及び役職情報のいずれか一方のみが当該業務アプリケーション22を示す権限情報に対応付けられているような場合には、権限はないと判定される。
上記した図3を用いて、例えば検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーションが業務アプリケーション22である場合について説明する。なお、図3において、「権限情報2」は業務アプリケーション22に設定されているものとする。
この場合、検索部13によって取得された組織情報が「組織X」であり、役職情報が「役職1」である場合には、検索部13によって取得されたユーザIDによって識別されるユーザは業務アプリケーション22を利用する権限があると判定される。一方、検索部13によって取得された組織情報が「組織Y」であり、役職情報が「役職1」である場合には、検索部13によって取得されたユーザIDによって識別されるユーザは業務アプリケーション22を利用する権限がないと判定される。
アクセス判定部15によって権限があると判定された場合(ステップS5のYES)、アクセス判定部15は、検索部13によって取得されたユーザIDによって識別されるユーザが当該検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション22を利用可能である旨(つまり、アクセス可の情報)を、当該業務アプリケーション22を提供する業務システム20に対して通知する(ステップS6)。この通知が業務システム20により受け取られると、ユーザは、クライアント端末30を操作することにより、業務システム20にアクセスし、業務アプリケーション22を利用することが可能となる。
一方、アクセス判定部15によって権限がないと判定された場合(ステップS5のNO)、アクセス判定部15は、検索部13によって取得されたユーザIDによって識別されるユーザが当該検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション22を利用可能でない旨(つまり、アクセス不可の情報)を、当該業務アプリケーション22を提供する業務システム20に対して通知する(ステップS7)。この通知を受けると、業務システム20は、ユーザが業務アプリケーション22を利用できない旨をクライアント端末30に対して通知する。
一方、ステップS3においてアクセス判定部15によって権限があると判定された場合、ステップS6の処理が実行される。
ここでは、ステップS3において権限がないと判定された場合にはステップS4の処理が実行されるが、ここで、当該処理結果を業務システム20に通知する構成であっても構わない。このような構成の場合には、権限管理システム10において人事/組織情報格納部11または権限情報格納部12にアクセスされる都度、業務システム20に処理が返される。
次に、図6のフローチャートを参照して、本実施形態に係る権限管理システム10の第2の動作における処理手順について説明する。ここでは、ユーザによって指定される業務アプリケーションが業務アプリケーション23であるものとする。つまり、第2の動作では、ユーザによって指定される業務アプリケーションが権限管理システム10の人事/組織情報格納部11に格納されているユーザ情報等を必要とする業務アプリケーションである場合を想定している。
業務システム20が有する業務アプリケーション23を利用しようとした場合、上記したようにユーザは、クライアント端末30を操作することによって業務システム20にアクセスする(ログインする)。このとき、業務システム20は、当該業務システム20にログインしたユーザを識別するためのユーザIDを取得する。
ユーザは、クライアント端末30を操作することによって、当該ユーザが利用しようとする業務アプリケーション23を指定することができる。ここで、ユーザによって指定された業務アプリケーション23は、例えば「同一組織のユーザのメールアドレスを表示する」機能を有するものとする。
業務システム20は、取得されたユーザID及び当該ユーザによって指定された業務アプリケーション23を識別するためのキーを含む接続キーを権限管理システム10に渡す。この接続キーは、権限管理システム10において業務アプリケーション23に対するアクセス可否を判定する際の接続先を特定(一意に識別)するためのキーである。
この場合、上述した図4に示すステップS1〜ステップS5の処理に相当するステップS11〜ステップS15の処理が実行される。
ステップS15においてアクセス判定部15によって権限があると判定された場合、検索部13は、取得された接続キーに含まれるキーによって識別される業務アプリケーション(つまり、ユーザによって指定された業務アプリケーション)23に対応するユーザ情報を取得する処理を行う。
ここで、上記したようにユーザによって指定された業務アプリケーション23は、例えば「同一組織のユーザのメールアドレスを表示する」機能を有する。この場合の業務アプリケーション23に対応するユーザ情報には、「同一組織のユーザのメールアドレス」が含まれる。
検索部13は、取得されたユーザIDに対応付けて人事/組織情報格納部11に格納されている組織情報を取得する。この組織情報は、業務アプリケーション23を利用しようとするユーザ(取得されたユーザIDによって識別されるユーザ)が所属する組織を示す。
検索部13は、取得された組織情報に対応付けて人事/組織情報格納部11に格納されているユーザIDによって識別されるユーザを、業務アプリケーション23を利用しようとするユーザと同一組織に所属するユーザとして特定する(ステップS16)。図2を用いて具体的に説明すると、例えば業務アプリケーション23を利用しようとするユーザが所属する組織が「組織X」である場合には、当該ユーザと同一組織に所属するユーザとしてユーザID「1」及び「2」によって識別されるユーザ(ユーザ名「aaa」及び「bbb」)が特定される。
次に、検索部13は、特定されたユーザに関するユーザ情報を人事/組織情報格納部11から取得(検索)する。ここでは、業務アプリケーション23は「同一組織のユーザのメールアドレスを表示する」機能を有するため、特定されたユーザのユーザ情報としてメールアドレスを取得する(ステップS17)。具体的には、検索部13は、特定されたユーザを識別するユーザIDに対応付けて人事/組織情報格納部11に格納されているメールアドレスを取得する。このとき、検索部13は、特定されたユーザの例えばユーザ名を取得する。検索部13は、取得されたユーザ名及びメールアドレスを情報生成部16に渡す。
情報生成部16は、検索部13から渡されたユーザ名及びメールアドレスを取得する。情報生成部16は、取得されたユーザ名及びメールアドレスの一覧を生成する(ステップS18)。情報生成部16は、生成されたユーザ名及びメールアドレスの一覧を、検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション23を提供する業務システム20に対して出力する(ステップS19)。なお、このステップS19の処理によって、検索部13によって取得されたユーザIDによって識別されるユーザが当該検索部13によって取得された接続キーに含まれるキーによって識別される業務アプリケーション23を利用可能である旨が、当該業務アプリケーション23を提供する業務システム20に対して通知される。
これにより、ユーザは、クライアント端末30を操作することにより、業務システム20にアクセスし、業務アプリケーション23を利用することが可能となる。この場合、業務システム20に対して渡されたユーザ名及びメールアドレスの一覧が、ユーザが利用するクライアント端末30に表示される。
ここで、図7は、業務アプリケーション23を利用することによってクライアント端末30に表示されるユーザ名及びメールアドレスの一覧画面の一例である。図7に示すように、メールアドレスの一覧画面100には、業務アプリケーション23を利用するユーザと同一組織に属するユーザのユーザ名(またはユーザID)毎に対応付けて、当該ユーザのメールアドレスが表示される。
なお、上記したステップS13においてアクセス判定部15によって権限があると判定された場合にはステップS16の処理が実行される。また、ステップS15においてアクセス判定部15によって権限がないと判定された場合、上述した図4に示すステップS7の処理に相当するステップS20の処理が実行される。
ところで、本実施形態に係る権限管理システム10は、オブジェクト指向技術により実現することも可能である。
以下、権限管理システム10をオブジェクト指向技術により実現する場合の当該権限管理システム10の処理について簡単に説明する。
まず、権限管理システム10においては、設定ファイル14を参照して、人事/組織情報格納部11または接続先となる権限情報格納部12に対する接続が確立される。
次に、権限管理システム10においては、人事/組織情報格納部11または権限情報格納部12から各種情報を取得(検索)するための情報取得オブジェクト(検索オブジェクト)の生成が行われる。この情報取得オブジェクトは、人事/組織情報格納部11または複数の業務システム20の各々に対応する権限情報格納部12のような接続先毎に生成される。権限管理システム10では、生成された情報取得オブジェクトを当該権限管理システム10のメモリ上に展開することで処理速度を向上させる前処理が実行される。
権限管理システム10においては、業務システム20からの入力パラメータ(接続キー)に応じて情報の格納先が特定(判断)され、上記生成された情報取得オブジェクトが割り振られる。
このとき、権限管理システム10は、業務システム20に対して利用可能なAPI(Application Program Interface)を提示する。業務システム20は、提示されたAPIの中からユーザによって指定された業務アプリケーション(例えば、業務アプリケーション21〜23)に対応するAPIを指示する。
権限管理システム10においては、業務システム20からの指示と共にユーザIDが受け付けられ、生成された情報取得オブジェクトにより人事/組織情報格納部11及び権限情報格納部12から情報が取得される。
権限管理システム10においては、取得された情報に基づいて上述したアクセス可否の判定、または、例えばユーザ名及びメールアドレスの一覧の生成が行われる。権限管理システム10においては、取得された情報がIDまたはIDに付随する属性情報のリストとして例えば処理結果オブジェクトに格納される。この処理結果オブジェクトは、業務システム20に対して返される。
権限管理システム10においては、人事/組織情報格納部11及び権限情報格納部12に対する接続の破棄が行われ、処理が終了される。
このように、本実施形態に係る権限管理システム10は、オブジェクト指向技術により実現されても構わない。
上記したように本実施形態においては、図2に示すデータ構造を有する人事/組織情報格納部11及び図3に示すデータ構造を有する権限情報格納部12を管理することで、例えば業務システム20に対する権限の変更があった場合であっても、当該変更に容易に対応することができる。
具体的には、人事/組織情報格納部11及び権限情報格納部12のデータ構造を上記した図2及び図3のようにすることで、例えば業務システム20を利用するユーザに人事異動等があった場合であっても、権限情報格納部12に格納されている情報は変更することなく対応することが可能となる。例えばユーザが組織Xから組織Yに異動された場合であっても、権限情報格納部12においては例えば組織を基準として権限情報が管理されているため当該権限情報格納部12に格納されている情報を変更する必要はない。
また、複数のユーザが所属する組織に対する権限が変更された場合であっても、当該組織に所属する複数のユーザの個々について権限を変更する必要はなく、当該組織を基準とする権限情報を変更するのみで、当該複数のユーザの全ての権限の変更に対応することができる。ユーザまたは役職に対する権限が変更された場合についても同様である。
なお、本実施形態においては、上記したように人事/組織情報格納部11及び権限情報格納部12を管理する場合であっても、いずれの情報に対しても標準的な手法で情報を取得することができる。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。
10…権限管理システム、11…人事/組織情報格納部(第1の格納手段)、12…権限情報格納部(第2の格納手段)、13…検索部、14…設定ファイル、15…アクセス判定部、16…情報生成部、20…業務システム、21,22,23…業務アプリケーション、30…クライアント端末。

Claims (2)

  1. 業務処理を行うための各種業務アプリケーションをユーザに対して提供する複数の業務システムと接続される権限管理システムにおいて、
    前記複数の業務システムを利用するユーザを識別するためのユーザ識別情報、当該ユーザが所属する組織を示す組織情報及び当該ユーザの役職を示す役職情報を対応付けて格納する第1の格納手段と、
    前記複数の業務システムの各々に対応し、当該業務システムによって提供される業務アプリケーションに設定される当該業務アプリケーションの利用可否を判定するための権限情報と、当該業務アプリケーションを利用可能なユーザを識別するためのユーザ識別情報、当該業務アプリケーションを利用可能な組織を示す組織情報及び当該業務アプリケーションを利用可能な役職を示す役職情報のうち少なくとも1つとを対応付けて格納する第2の格納手段と、
    前記複数の業務システムの各々によって提供される業務アプリケーションを識別するためのキー及び当該業務アプリケーションを提供する業務システムに対応する第2の格納手段を示す接続先情報を対応付けて設定する設定ファイルと、
    前記ユーザによって指定された業務アプリケーションを識別するためのキーを含む接続キー及び当該ユーザを識別するためのユーザ識別情報を、当該業務アプリケーションを提供する業務システムから取得する第1の取得手段と、
    前記取得されたユーザ識別情報に対応付けられている組織情報及び役職情報を、前記第1の格納手段から取得する第2の取得手段と、
    前記複数の業務システムの各々に対応する前記第2の格納手段のうち、前記第1の取得手段によって取得された接続キーに含まれるキーに対応付けて前記設定ファイルに設定されている接続先情報によって示される第2の格納手段を特定する特定手段と、
    前記第1の取得手段によって取得されたユーザ識別情報、前記第2の取得手段によって取得された組織情報または役職情報が、前記特定された第2の格納手段に格納された、前記第1の取得手段によって取得された接続キーに含まれるキーによって識別される業務アプリケーションに設定された権限情報に対応付けられているかを判定する判定手段と、
    前記特定された第2の格納手段に格納されている前記権限情報に対応付けられていると判定された場合、前記ユーザが指定した業務アプリケーションを利用可能である旨を、当該業務アプリケーションを提供する業務システムに対して通知する第1の通知手段と、
    前記特定された第2の格納手段に格納されている前記権限情報に対応付けられていないと判定された場合、前記ユーザが指定した業務アプリケーションを利用できない旨を、当該業務アプリケーションを提供する業務システムに対して通知する第2の通知手段と
    を具備することを特徴とする権限管理システム。
  2. 情報生成手段と、出力手段とを更に具備し、
    前記第1の格納手段は、前記ユーザ識別情報、前記組織情報及び前記役職情報に対応付けて当該ユーザ識別情報によって識別されるユーザに関するユーザ情報を更に格納し、
    前記第1の通知手段によって前記ユーザが当該業務アプリケーションを利用可能である旨が通知された場合、前記情報生成手段は、前記第1の取得手段によって取得された接続キーに含まれるキーによって識別される業務アプリケーションに対応するユーザ情報を前記第1の格納手段から取得し、当該ユーザ情報の一覧を生成し、
    前記出力手段は、前記生成されたユーザ情報の一覧を、前記第1の取得手段によって取得された接続キーに含まれるキーによって識別される業務アプリケーションを提供する業務システムに対して出力する
    ことを特徴とする請求項1記載の権限管理システム。
JP2009010077A 2009-01-20 2009-01-20 権限管理システム Pending JP2010170208A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009010077A JP2010170208A (ja) 2009-01-20 2009-01-20 権限管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009010077A JP2010170208A (ja) 2009-01-20 2009-01-20 権限管理システム

Publications (1)

Publication Number Publication Date
JP2010170208A true JP2010170208A (ja) 2010-08-05

Family

ID=42702324

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009010077A Pending JP2010170208A (ja) 2009-01-20 2009-01-20 権限管理システム

Country Status (1)

Country Link
JP (1) JP2010170208A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102402653A (zh) * 2010-09-16 2012-04-04 金蝶软件(中国)有限公司 一种不同应用间的数据权限控制方法、系统及终端
WO2015045048A1 (ja) * 2013-09-26 2015-04-02 富士通株式会社 アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム
JP7484455B2 (ja) 2020-06-09 2024-05-16 株式会社リコー サービス提供システム、アプリ利用方法、情報処理システム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10111833A (ja) * 1996-10-07 1998-04-28 Hitachi Ltd アクセス権限管理方式
JPH11328187A (ja) * 1998-05-08 1999-11-30 Yamatake Corp 情報閲覧システム
JP2000215166A (ja) * 1999-01-25 2000-08-04 Nec Corp ユ―ザ管理システム
JP2005107984A (ja) * 2003-09-30 2005-04-21 Honda Motor Co Ltd ユーザ認証システム
JP2006072904A (ja) * 2004-09-06 2006-03-16 Canon Inc 情報処理装置、情報処理方法、ならびにプログラム、記憶媒体

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10111833A (ja) * 1996-10-07 1998-04-28 Hitachi Ltd アクセス権限管理方式
JPH11328187A (ja) * 1998-05-08 1999-11-30 Yamatake Corp 情報閲覧システム
JP2000215166A (ja) * 1999-01-25 2000-08-04 Nec Corp ユ―ザ管理システム
JP2005107984A (ja) * 2003-09-30 2005-04-21 Honda Motor Co Ltd ユーザ認証システム
JP2006072904A (ja) * 2004-09-06 2006-03-16 Canon Inc 情報処理装置、情報処理方法、ならびにプログラム、記憶媒体

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102402653A (zh) * 2010-09-16 2012-04-04 金蝶软件(中国)有限公司 一种不同应用间的数据权限控制方法、系统及终端
WO2015045048A1 (ja) * 2013-09-26 2015-04-02 富士通株式会社 アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム
JPWO2015045048A1 (ja) * 2013-09-26 2017-03-02 富士通株式会社 アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム
US10102396B2 (en) 2013-09-26 2018-10-16 Fujitsu Limited Application data storage area generation method, application data storage area generation apparatus, and application data storage area generation program
JP7484455B2 (ja) 2020-06-09 2024-05-16 株式会社リコー サービス提供システム、アプリ利用方法、情報処理システム

Similar Documents

Publication Publication Date Title
JP4348236B2 (ja) コミュニティ継承方法
JP5673543B2 (ja) ロール設定装置、ロール設定方法及びロール設定プログラム
KR20110076891A (ko) 엔티티의 조직 정보에의 액세스를 관리하는 기법
CN105940410A (zh) 用于去除个人可识别信息的清理器
EP2761570B1 (en) Extending a conversation across applications
RU2005108108A (ru) Способ и система для отображения и управления информацией, относящейся к безопасности
JP6307888B2 (ja) 操作対象管理装置及びプログラム
JP2010033470A (ja) 文書管理装置、文書管理プログラムおよび記録媒体
JP2010170208A (ja) 権限管理システム
JP5687989B2 (ja) アクセス権限管理装置、アクセス権限管理方法及びアクセス権限管理プログラム
JP2011154496A (ja) アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム
CN105320728B (zh) 分离域数据的聚合的方法、电子设备和计算机可读介质
JP2004054779A (ja) アクセス権管理システム
JP2007004210A (ja) ワークフロー処理方法、装置及びプログラム
JP2010282304A (ja) データ管理検索システム
JP2016184215A (ja) コミュニケーション管理方法及びコミュニケーション管理システム
JP5884925B2 (ja) 管理支援装置、管理支援方法及び管理支援プログラム
JP5300902B2 (ja) 画面制御プログラム及び情報処理装置
JP2006085705A (ja) データ処理装置及び記憶媒体
JP2012027691A (ja) 情報管理システムおよび情報管理方法
JP5296146B2 (ja) 文書データ管理装置、文書データ継承方法およびプログラム
JP5637501B2 (ja) 文書管理システム、及び文書管理方法
JP2007310439A (ja) アクセス権管理システム
JP5682452B2 (ja) 変更管理支援装置、変更管理支援方法及び変更管理支援プログラム
JP2015170263A (ja) ワークフロー統合システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120821

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121211