JP2011013982A - 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム - Google Patents
認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム Download PDFInfo
- Publication number
- JP2011013982A JP2011013982A JP2009158189A JP2009158189A JP2011013982A JP 2011013982 A JP2011013982 A JP 2011013982A JP 2009158189 A JP2009158189 A JP 2009158189A JP 2009158189 A JP2009158189 A JP 2009158189A JP 2011013982 A JP2011013982 A JP 2011013982A
- Authority
- JP
- Japan
- Prior art keywords
- information
- user
- organization
- authentication
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】組織やグループの統合や分割が発生した場合のシステム管理者の作業負担を軽減する。
【解決手段】利用者の認証情報に基づいて、利用者の情報資産の利用権限を判定するファイル管理装置20と、ファイル管理装置20に、利用者の認証情報を提供する認証情報提供装置10とを備え、認証情報提供装置10は、ファイル管理装置20に、利用者が現在所属する組織の情報と、組織の統合及び分割の少なくとも一方の履歴情報を提供し、ファイル管理装置20は、提供された情報に基づいて、利用者の利用権限の有無を判定する。
【選択図】図1
【解決手段】利用者の認証情報に基づいて、利用者の情報資産の利用権限を判定するファイル管理装置20と、ファイル管理装置20に、利用者の認証情報を提供する認証情報提供装置10とを備え、認証情報提供装置10は、ファイル管理装置20に、利用者が現在所属する組織の情報と、組織の統合及び分割の少なくとも一方の履歴情報を提供し、ファイル管理装置20は、提供された情報に基づいて、利用者の利用権限の有無を判定する。
【選択図】図1
Description
本発明は、利用者の認証を行う認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラムに関する。
ユーザIDやパスワード等のユーザ情報と、ユーザが所属する組織やグループの情報を一元管理して、社内ネットワークなどへのアクセス権限の制御に利用する認証システムが知られている(例えば、特許文献1)。このような認証システムでは、一般的に組織やグループ単位でアクセス権限の付与を行っている。組織やグループ単位でアクセス権限を付与することにより、人事異動によりユーザが他のグループに異動した場合、そのユーザの所属グループの情報のみを変更すれば、アクセス権限の変更も反映されるため、管理が容易である。
しかし、人事異動によって組織やグループの統合や分割が発生し、その結果、元々存在していた組織やグループが存在しなくなった場合、元々存在した組織やグループに対して付与されていたアクセス権限は無効となってしまう。このため、システム管理者が該当するシステムやファイルに対するアクセス権限を、統合・分割後の組織やグループに対して付与するよう変更する必要があった。このため、人事異動によって組織やグループの統合や分割が発生した場合のシステム管理者の作業負担が大きくなっていた。
そこで本発明の目的は、組織やグループの統合や分割が発生した場合のシステム管理者の作業負担を軽減することである。
本発明に係る認証システムは、利用者の認証情報に基づいて、利用者の情報資産の利用権限を判定する利用権限制御装置と、利用権限制御装置に、利用者の認証情報を提供する認証情報提供装置と、を備えた認証システムであって、認証情報提供装置は、利用権限制御装置に、利用者が現在所属する組織の情報と、組織の統合及び分割の少なくとも一方の履歴情報を提供し、利用権限制御装置は、提供された情報に基づいて、利用者の利用権限の有無を判定するものである。
本発明によれば、組織やグループの統合や分割が発生した場合にも、アクセス権限を、統合・分割後の組織やグループに対して付与するよう変更する必要が無いので、システム管理者の作業負担を軽減することができる。
次に、本発明を実施するための最良の形態について、図面を参照して詳細に説明する。
図1は、本発明による認証システムの構成を示すブロック図である。図に示すように、認証システムは、認証情報提供装置10、ファイル管理装置(利用権限制御装置)20、クライアント端末30を備えている。認証情報提供装置10とファイル管理装置20は、通信回線を介して接続されている。また、クライアント端末30は、通信回線を介してファイル管理装置20と接続されている。
図1は、本発明による認証システムの構成を示すブロック図である。図に示すように、認証システムは、認証情報提供装置10、ファイル管理装置(利用権限制御装置)20、クライアント端末30を備えている。認証情報提供装置10とファイル管理装置20は、通信回線を介して接続されている。また、クライアント端末30は、通信回線を介してファイル管理装置20と接続されている。
図2は、認証情報提供装置10の機能構成を示すブロック図である。図に示すように、認証情報提供装置10は、記憶部(第1の記憶部、第2の記憶部)101、認証要求受信部102、認証情報提供部103を備えている。認証情報提供装置10は、例えば汎用的なパーソナルコンピュータに所定のプログラムを実行させたものである。認証要求受信部102、認証情報提供部103は、プログラムに従ってコンピュータのプロセッサが行う動作のモジュールを表しており、これらは一体として認証情報提供装置10のプロセッサを構成する。記憶部101は、ハードディスク等の記憶装置である。
記憶部101には、図4Aに示すような、ユーザ情報テーブルと、図4Bに示すような人事異動履歴情報テーブルが記憶されている。ユーザ情報テーブルには、ユーザID、ユーザ名及びパスワードの他、ユーザが現在所属する組織やグループのID、名称等の情報が含まれている。人事異動履歴情報テーブルには、各々の組織やグループの統合や分割の履歴情報が含まれている。
図3は、ファイル管理装置20の機能構成を示すブロック図である。図に示すように、ファイル管理装置20は、記憶部(第3の記憶部)201、アクセス権限制御部(利用権限判定部)202、データ管理部203、認証制御部204、データ入出力制御部205を備えている。ファイル管理装置20は、例えば汎用的なパーソナルコンピュータに所定のプログラムを実行させたものである。アクセス権限制御部202、データ管理部203、認証制御部204、データ入出力制御部205は、プログラムに従ってコンピュータのプロセッサが行う動作のモジュールを表しており、これらは一体としてファイル管理装置20のプロセッサを構成する。記憶部201は、ハードディスク等の記憶装置である。
記憶部201には、ファイル管理装置20で管理する文書ファイル等の情報資産の他、個々の情報資産に対するアクセス権限の情報が記憶されている。アクセス権限は、組織やグループ単位で付与されている。例えば、ファイルAへのアクセス権限が、組織OFC01に対して与えられていれば、組織OFC01に所属する全てのユーザがファイルAにアクセスすることができる。
クライアント端末30は、例えば汎用的なパーソナルコンピュータであり、通信回線を介してファイル管理装置20へ各種の操作要求を送信し、ファイル管理装置20から操作要求に対する結果情報を受信することが可能に構成されている。
次に、本実施形態による認証システムの動作について説明する。
まず、ユーザは、クライアント端末30から通信回線を介してファイル管理装置20にユーザIDとパスワードを送信し、ログイン操作を行う。ファイル管理装置20は、クライアント端末30からユーザIDとパスワードを受信すると、認証制御部204から認証情報提供装置10に、入力されたユーザIDとパスワードを送信する。認証情報提供装置10では認証チェックが行われる。認証に成功した場合には、ユーザ情報テーブルに記憶された、当該ユーザの現在の所属組織及びグループの情報と、人事異動履歴情報テーブルに記憶された、当該組織及びグループについての統合及び分割の履歴情報をファイル管理装置20に送信する。ファイル管理装置20は、送信された情報に基づいて、ユーザの操作対象ファイルに対するアクセス権限の有無を判定する。
まず、ユーザは、クライアント端末30から通信回線を介してファイル管理装置20にユーザIDとパスワードを送信し、ログイン操作を行う。ファイル管理装置20は、クライアント端末30からユーザIDとパスワードを受信すると、認証制御部204から認証情報提供装置10に、入力されたユーザIDとパスワードを送信する。認証情報提供装置10では認証チェックが行われる。認証に成功した場合には、ユーザ情報テーブルに記憶された、当該ユーザの現在の所属組織及びグループの情報と、人事異動履歴情報テーブルに記憶された、当該組織及びグループについての統合及び分割の履歴情報をファイル管理装置20に送信する。ファイル管理装置20は、送信された情報に基づいて、ユーザの操作対象ファイルに対するアクセス権限の有無を判定する。
図5は、ファイル管理装置20におけるアクセス権限判定処理のフローチャートである。
まず、ステップS501で、認証制御部204において、ログインしたユーザが管理者であるか否かを判定する。ユーザが管理者の場合(YES)、ステップS505へ移行する。ステップS505では、データ管理部203に対し、アクセス権限有りの結果を通知する。ユーザが管理者でない場合(NO)、ステップS502へ移行する。
まず、ステップS501で、認証制御部204において、ログインしたユーザが管理者であるか否かを判定する。ユーザが管理者の場合(YES)、ステップS505へ移行する。ステップS505では、データ管理部203に対し、アクセス権限有りの結果を通知する。ユーザが管理者でない場合(NO)、ステップS502へ移行する。
ステップS502では、アクセス権限制御部202が認証情報提供装置10から受信したユーザの現在の所属組織及びグループの情報に基づいて、ユーザにアクセス権限があるか否かを判定する。すなわち、ユーザの所属する組織またはグループが、操作対象ファイルへのアクセス権限が付与された組織またはグループと一致する場合には、アクセス権限有りと判定し、一致しない場合にはアクセス権限無しと判定する。アクセス権限有りの場合(YES)、ステップS505へ移行し、データ管理部203に対し、アクセス権限有りの結果を通知する。アクセス権限無しの場合(NO)ステップS503へ移行する。
ステップS503では、アクセス権限制御部202が認証情報提供装置10から受信したユーザの現在の所属組織及びグループについての統合及び分割の履歴情報に基づいて、ユーザにアクセス権限があるか否かを判定する。すなわち、履歴情報から、ユーザの所属する組織またはグループの、分割・統合以前の元の組織(グループ)のIDを取得し、元の組織またはグループが、操作対象ファイルへのアクセス権限が付与された組織またはグループと一致する場合には、アクセス権限有りと判定し、一致しない場合にはアクセス権限無しと判定する。アクセス権限有りの場合(YES)、ステップS504へ移行する。アクセス権限無しの場合(NO)ステップS506へ移行する。ステップS506では、データ管理部203に対し、アクセス権限無しの結果を通知する。
ステップS504では、操作対象ファイルに対するアクセス権限に、人事異動の発生後から一定期間の有効期限が設定されている場合、有効期限内か否かを判定する。有効期限内の場合(YES)、ステップS505へ移行し、データ管理部203に対し、アクセス権限有りの結果を通知する。有効期限内でない場合(NO)は、ステップS506へ移行し、データ管理部203に対し、アクセス権限無しの結果を通知する。
データ管理部203は、アクセス権限制御部202からアクセス権限有りと通知された場合には、データ入出力制御部205を介して、ユーザが操作対象ファイルへアクセスできるようにする。一方、アクセス権限無しと通知された場合には、データ入出力制御部205を介して、ユーザが操作対象ファイルを操作できないようにする。さらに、必要に応じてユーザのアクセス権限の範囲を限定するようにしてもよい。例えば、図5のステップS502において権限有りと判断された場合には、ファイルの読み取り及び書き込み操作に対する権限を与え、ステップS504において権限有りと判定された場合には、ファイルの読み取りのみを許可するようにしてもよい。
以上のように、本実施形態では、ユーザの現在の所属組織の情報に基づいてアクセス権限の判定を行うだけでなく、現在の所属組織についての統合や分割の履歴情報から、現在は存在しない元の組織の情報も利用してアクセス権限の判定を行う。このため、操作対象ファイルへのアクセス権限が、元の組織に対して付与されたままであっても、その組織に所属していたユーザは従来通りファイルへアクセスすることができる。
さらに、必要に応じて、人事異動に伴う統合/分割の対象となった組織、グループに所属していた利用者に対するアクセス権限の有効期間を人事異動の発生後から一定期間内に限定したり、権限の範囲を限定したりすることにより、システムの安全性をより向上させることができる。
例えば、ユーザXは組織Aに所属しており、組織Aが組織Bと統合され組織Cとなった場合について説明する。組織Aに対してアクセス権限が付与されているファイルYにユーザXがアクセスしようとした場合、認証情報提供装置10からファイル管理装置20に通知される情報が、現在の所属組織情報、すなわち組織Cのみの場合、ファイル管理装置20のアクセス権限制御部202では、アクセス権限無しと判定されてしまう。
しかし、本実施形態では、現在の所属組織Cと併せて、組織Cの統合前の組織である組織Aも通知される。この情報に基づいてアクセス権限判定が行われることにより、ユーザは、既に存在しない組織Aに対するアクセス権限が付与された操作対象ファイルにアクセスすることが可能となる。
なお、本実施形態では、認証情報を利用して利用権限を制御する装置としてファイル管理装置20を用いているが、情報資産の利用権限を制御する機能を有するものであれば、ファイル管理装置以外も適用することができる。
本発明による認証システムは、例えば、ワークフローシステムに適用することができる。ワークフローシステムにおいて、組織Aに所属しているユーザが、起票の際、承認ルート上の最終承認者に現在の所属組織Aの課長以上を設定して承認回覧を開始したとする。承認回覧中に人事異動が発生し、組織Aが分割されて別組織(組織Bと組織C)となった場合、人事異動後の所属組織の情報のみで認証を行うと、起票したユーザは一旦承認回覧を中止し、起票しなおした上で承認ルートを再設定して、再度承認回覧を行う必要がある。しかし、本発明のように人事異動前の組織の情報も認証に用いるようにすれば、システム側で人事異動の履歴情報を元に自動的に所属組織Bと所属組織Cの課長以上も最終承認者となることができると判断するので、承認ルートの再設定を行う必要がない。
10 認証情報提供装置、20 ファイル管理装置、30 クライアント端末、101 記憶部、102 認証要求受信部、103 認証情報提供部、201 記憶部、202 アクセス権限制御部、203 データ管理部、204 認証制御部、205 データ入出力制御部
Claims (8)
- 利用者の認証情報に基づいて、前記利用者の情報資産の利用権限を判定する利用権限制御装置と、
前記利用権限制御装置に、前記利用者の認証情報を提供する認証情報提供装置と、を備えた認証システムであって、
前記認証情報提供装置は、前記利用権限制御装置に、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報と、を前記認証情報として提供する、認証システム。 - 請求項1に記載の認証システムにおいて、
前記利用権限制御装置は、前記利用者が現在所属する組織の情報に基づいて前記利用者に前記情報資産の利用権限が有ると判定された場合、または、前記履歴情報から得られる前記組織の過去の情報に基づいて前記利用者に利用権限が有ると判定された場合には、前記利用者に前記情報資産の利用権限が有ると判定する、認証システム。 - 請求項2に記載の認証システムにおいて、
前記利用権限制御装置は、前記履歴情報から得られる前記組織の過去の情報に基づいて前記利用者の利用権限の有無を判定する場合には、利用権限を有りとする期間及び権限の範囲の少なくとも一方を限定することが可能な認証システム。 - 利用者が現在所属する組織の情報を記憶する第1の記憶部と、
前記組織の統合や分割の少なくとも一方の履歴情報を記憶する第2の記憶部と、
前記利用者の認証情報要求を受信する認証要求受信部と、
前記認証情報要求に対し、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報を提供する認証情報提供部と、を備えた認証情報提供装置。 - 情報資産に対する利用者毎の利用権限を記憶する第3の記憶部と、
前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報とに基づいて、前記情報資産に対する前記利用者の利用権限を判定する利用権限判定部と、を備えた利用権限制御装置。 - 利用権限制御装置から認証情報提供装置に、利用者の認証情報要求を送信する工程と、
前記認証情報要求に対し、前記認証情報提供装置から前記利用権限制御装置に、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方を送信する工程と、
前記利用権限制御装置が、前記認証情報提供装置から送信された情報に基づいて、前記利用者の情報資産の利用権限の有無を判定する工程と、を備えた認証方法。 - コンピュータを、
利用者の認証情報要求を受信する認証要求受信部と、
前記認証情報要求に対し、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報を提供する認証情報提供部、として機能させるプログラム。 - コンピュータを、
利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報に基づいて、情報資産に対する前記利用者の利用権限を判定する利用権限判定部、として機能させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009158189A JP2011013982A (ja) | 2009-07-02 | 2009-07-02 | 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009158189A JP2011013982A (ja) | 2009-07-02 | 2009-07-02 | 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011013982A true JP2011013982A (ja) | 2011-01-20 |
Family
ID=43592785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009158189A Pending JP2011013982A (ja) | 2009-07-02 | 2009-07-02 | 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011013982A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8752168B2 (en) | 2012-03-19 | 2014-06-10 | Fuji Xerox Co., Ltd. | Non-transitory computer readable medium storing access rights update program, access rights management system, and access rights update method |
US9614191B2 (en) | 2013-01-17 | 2017-04-04 | Kateeva, Inc. | High resolution organic light-emitting diode devices, displays, and related methods |
US9779263B2 (en) | 2015-03-10 | 2017-10-03 | Fuji Xerox Co., Ltd. | Access right estimation apparatus and non-transitory computer readable medium |
-
2009
- 2009-07-02 JP JP2009158189A patent/JP2011013982A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8752168B2 (en) | 2012-03-19 | 2014-06-10 | Fuji Xerox Co., Ltd. | Non-transitory computer readable medium storing access rights update program, access rights management system, and access rights update method |
US9614191B2 (en) | 2013-01-17 | 2017-04-04 | Kateeva, Inc. | High resolution organic light-emitting diode devices, displays, and related methods |
US9779263B2 (en) | 2015-03-10 | 2017-10-03 | Fuji Xerox Co., Ltd. | Access right estimation apparatus and non-transitory computer readable medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2573986B1 (en) | Methods and systems for increasing the security of electronic messages | |
US8661558B2 (en) | Methods and systems for increasing the security of electronic messages | |
US9608972B2 (en) | Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output | |
US8913270B2 (en) | Authentication system having an authentication apparatus including an authentication unit configured to search records of identification information associated with group information to find matching identification information matching obtained identification information of a user, authentication method, and apparatus | |
US9229663B2 (en) | Information processing apparatus and method for selective prioritization of jobs | |
US20140068714A1 (en) | Network system, data processing apparatus, and method | |
JP6287401B2 (ja) | 中継装置、システム及びプログラム | |
JP7180221B2 (ja) | 情報処理装置、情報処理システムおよびプログラム | |
JP2011013982A (ja) | 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム | |
JPWO2016084822A1 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
CA2804465C (en) | Methods and systems for increasing the security of electronic messages | |
JP5679151B2 (ja) | 画像形成システム、画像形成装置およびプログラム | |
JP2012027691A (ja) | 情報管理システムおよび情報管理方法 | |
KR20120087208A (ko) | 명함정보 관리 방법 | |
JP2016045920A (ja) | 認証システム、認証装置、認証方法及びプログラム | |
JP2013033420A (ja) | 情報処理装置及びその代理アクセス権付与方法 | |
JP5854070B2 (ja) | アクセス制御装置、端末装置、及びプログラム | |
JP2019049779A (ja) | 印刷管理装置 | |
US20210150019A1 (en) | User authentication device, image processing apparatus including user authentication device, and user authentication method | |
JP2012190056A (ja) | パスワード管理装置、パスワード管理方法、及びパスワード管理システム | |
JP2009004936A (ja) | 文書配布システム及びプログラム | |
JP2006164158A (ja) | プリントサービスシステム | |
EP4295331A1 (en) | Handling access rights for access to a physical space | |
JP2006164157A (ja) | プリントサービスシステム | |
JP2015026288A (ja) | サービス提供システム、サービス提供方法及びプログラム |