JP2011013982A - 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム - Google Patents

認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム Download PDF

Info

Publication number
JP2011013982A
JP2011013982A JP2009158189A JP2009158189A JP2011013982A JP 2011013982 A JP2011013982 A JP 2011013982A JP 2009158189 A JP2009158189 A JP 2009158189A JP 2009158189 A JP2009158189 A JP 2009158189A JP 2011013982 A JP2011013982 A JP 2011013982A
Authority
JP
Japan
Prior art keywords
information
user
organization
authentication
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009158189A
Other languages
English (en)
Inventor
Hidetoshi Ito
秀俊 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009158189A priority Critical patent/JP2011013982A/ja
Publication of JP2011013982A publication Critical patent/JP2011013982A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】組織やグループの統合や分割が発生した場合のシステム管理者の作業負担を軽減する。
【解決手段】利用者の認証情報に基づいて、利用者の情報資産の利用権限を判定するファイル管理装置20と、ファイル管理装置20に、利用者の認証情報を提供する認証情報提供装置10とを備え、認証情報提供装置10は、ファイル管理装置20に、利用者が現在所属する組織の情報と、組織の統合及び分割の少なくとも一方の履歴情報を提供し、ファイル管理装置20は、提供された情報に基づいて、利用者の利用権限の有無を判定する。
【選択図】図1

Description

本発明は、利用者の認証を行う認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラムに関する。
ユーザIDやパスワード等のユーザ情報と、ユーザが所属する組織やグループの情報を一元管理して、社内ネットワークなどへのアクセス権限の制御に利用する認証システムが知られている(例えば、特許文献1)。このような認証システムでは、一般的に組織やグループ単位でアクセス権限の付与を行っている。組織やグループ単位でアクセス権限を付与することにより、人事異動によりユーザが他のグループに異動した場合、そのユーザの所属グループの情報のみを変更すれば、アクセス権限の変更も反映されるため、管理が容易である。
特開2005−141612号公報
しかし、人事異動によって組織やグループの統合や分割が発生し、その結果、元々存在していた組織やグループが存在しなくなった場合、元々存在した組織やグループに対して付与されていたアクセス権限は無効となってしまう。このため、システム管理者が該当するシステムやファイルに対するアクセス権限を、統合・分割後の組織やグループに対して付与するよう変更する必要があった。このため、人事異動によって組織やグループの統合や分割が発生した場合のシステム管理者の作業負担が大きくなっていた。
そこで本発明の目的は、組織やグループの統合や分割が発生した場合のシステム管理者の作業負担を軽減することである。
本発明に係る認証システムは、利用者の認証情報に基づいて、利用者の情報資産の利用権限を判定する利用権限制御装置と、利用権限制御装置に、利用者の認証情報を提供する認証情報提供装置と、を備えた認証システムであって、認証情報提供装置は、利用権限制御装置に、利用者が現在所属する組織の情報と、組織の統合及び分割の少なくとも一方の履歴情報を提供し、利用権限制御装置は、提供された情報に基づいて、利用者の利用権限の有無を判定するものである。
本発明によれば、組織やグループの統合や分割が発生した場合にも、アクセス権限を、統合・分割後の組織やグループに対して付与するよう変更する必要が無いので、システム管理者の作業負担を軽減することができる。
本発明による認証システムの構成を示すブロック図である。 本実施形態による認証情報提供装置の機能構成を示すブロック図である。 本実施形態によるファイル管理装置の機能構成を示すブロック図である。 本実施形態によるユーザ情報テーブルの例である。 本実施形態による人事異動履歴情報テーブルの例である。 本実施形態によるファイル管理装置におけるアクセス権限判定処理のフローチャートである。
次に、本発明を実施するための最良の形態について、図面を参照して詳細に説明する。
図1は、本発明による認証システムの構成を示すブロック図である。図に示すように、認証システムは、認証情報提供装置10、ファイル管理装置(利用権限制御装置)20、クライアント端末30を備えている。認証情報提供装置10とファイル管理装置20は、通信回線を介して接続されている。また、クライアント端末30は、通信回線を介してファイル管理装置20と接続されている。
図2は、認証情報提供装置10の機能構成を示すブロック図である。図に示すように、認証情報提供装置10は、記憶部(第1の記憶部、第2の記憶部)101、認証要求受信部102、認証情報提供部103を備えている。認証情報提供装置10は、例えば汎用的なパーソナルコンピュータに所定のプログラムを実行させたものである。認証要求受信部102、認証情報提供部103は、プログラムに従ってコンピュータのプロセッサが行う動作のモジュールを表しており、これらは一体として認証情報提供装置10のプロセッサを構成する。記憶部101は、ハードディスク等の記憶装置である。
記憶部101には、図4Aに示すような、ユーザ情報テーブルと、図4Bに示すような人事異動履歴情報テーブルが記憶されている。ユーザ情報テーブルには、ユーザID、ユーザ名及びパスワードの他、ユーザが現在所属する組織やグループのID、名称等の情報が含まれている。人事異動履歴情報テーブルには、各々の組織やグループの統合や分割の履歴情報が含まれている。
図3は、ファイル管理装置20の機能構成を示すブロック図である。図に示すように、ファイル管理装置20は、記憶部(第3の記憶部)201、アクセス権限制御部(利用権限判定部)202、データ管理部203、認証制御部204、データ入出力制御部205を備えている。ファイル管理装置20は、例えば汎用的なパーソナルコンピュータに所定のプログラムを実行させたものである。アクセス権限制御部202、データ管理部203、認証制御部204、データ入出力制御部205は、プログラムに従ってコンピュータのプロセッサが行う動作のモジュールを表しており、これらは一体としてファイル管理装置20のプロセッサを構成する。記憶部201は、ハードディスク等の記憶装置である。
記憶部201には、ファイル管理装置20で管理する文書ファイル等の情報資産の他、個々の情報資産に対するアクセス権限の情報が記憶されている。アクセス権限は、組織やグループ単位で付与されている。例えば、ファイルAへのアクセス権限が、組織OFC01に対して与えられていれば、組織OFC01に所属する全てのユーザがファイルAにアクセスすることができる。
クライアント端末30は、例えば汎用的なパーソナルコンピュータであり、通信回線を介してファイル管理装置20へ各種の操作要求を送信し、ファイル管理装置20から操作要求に対する結果情報を受信することが可能に構成されている。
次に、本実施形態による認証システムの動作について説明する。
まず、ユーザは、クライアント端末30から通信回線を介してファイル管理装置20にユーザIDとパスワードを送信し、ログイン操作を行う。ファイル管理装置20は、クライアント端末30からユーザIDとパスワードを受信すると、認証制御部204から認証情報提供装置10に、入力されたユーザIDとパスワードを送信する。認証情報提供装置10では認証チェックが行われる。認証に成功した場合には、ユーザ情報テーブルに記憶された、当該ユーザの現在の所属組織及びグループの情報と、人事異動履歴情報テーブルに記憶された、当該組織及びグループについての統合及び分割の履歴情報をファイル管理装置20に送信する。ファイル管理装置20は、送信された情報に基づいて、ユーザの操作対象ファイルに対するアクセス権限の有無を判定する。
図5は、ファイル管理装置20におけるアクセス権限判定処理のフローチャートである。
まず、ステップS501で、認証制御部204において、ログインしたユーザが管理者であるか否かを判定する。ユーザが管理者の場合(YES)、ステップS505へ移行する。ステップS505では、データ管理部203に対し、アクセス権限有りの結果を通知する。ユーザが管理者でない場合(NO)、ステップS502へ移行する。
ステップS502では、アクセス権限制御部202が認証情報提供装置10から受信したユーザの現在の所属組織及びグループの情報に基づいて、ユーザにアクセス権限があるか否かを判定する。すなわち、ユーザの所属する組織またはグループが、操作対象ファイルへのアクセス権限が付与された組織またはグループと一致する場合には、アクセス権限有りと判定し、一致しない場合にはアクセス権限無しと判定する。アクセス権限有りの場合(YES)、ステップS505へ移行し、データ管理部203に対し、アクセス権限有りの結果を通知する。アクセス権限無しの場合(NO)ステップS503へ移行する。
ステップS503では、アクセス権限制御部202が認証情報提供装置10から受信したユーザの現在の所属組織及びグループについての統合及び分割の履歴情報に基づいて、ユーザにアクセス権限があるか否かを判定する。すなわち、履歴情報から、ユーザの所属する組織またはグループの、分割・統合以前の元の組織(グループ)のIDを取得し、元の組織またはグループが、操作対象ファイルへのアクセス権限が付与された組織またはグループと一致する場合には、アクセス権限有りと判定し、一致しない場合にはアクセス権限無しと判定する。アクセス権限有りの場合(YES)、ステップS504へ移行する。アクセス権限無しの場合(NO)ステップS506へ移行する。ステップS506では、データ管理部203に対し、アクセス権限無しの結果を通知する。
ステップS504では、操作対象ファイルに対するアクセス権限に、人事異動の発生後から一定期間の有効期限が設定されている場合、有効期限内か否かを判定する。有効期限内の場合(YES)、ステップS505へ移行し、データ管理部203に対し、アクセス権限有りの結果を通知する。有効期限内でない場合(NO)は、ステップS506へ移行し、データ管理部203に対し、アクセス権限無しの結果を通知する。
データ管理部203は、アクセス権限制御部202からアクセス権限有りと通知された場合には、データ入出力制御部205を介して、ユーザが操作対象ファイルへアクセスできるようにする。一方、アクセス権限無しと通知された場合には、データ入出力制御部205を介して、ユーザが操作対象ファイルを操作できないようにする。さらに、必要に応じてユーザのアクセス権限の範囲を限定するようにしてもよい。例えば、図5のステップS502において権限有りと判断された場合には、ファイルの読み取り及び書き込み操作に対する権限を与え、ステップS504において権限有りと判定された場合には、ファイルの読み取りのみを許可するようにしてもよい。
以上のように、本実施形態では、ユーザの現在の所属組織の情報に基づいてアクセス権限の判定を行うだけでなく、現在の所属組織についての統合や分割の履歴情報から、現在は存在しない元の組織の情報も利用してアクセス権限の判定を行う。このため、操作対象ファイルへのアクセス権限が、元の組織に対して付与されたままであっても、その組織に所属していたユーザは従来通りファイルへアクセスすることができる。
さらに、必要に応じて、人事異動に伴う統合/分割の対象となった組織、グループに所属していた利用者に対するアクセス権限の有効期間を人事異動の発生後から一定期間内に限定したり、権限の範囲を限定したりすることにより、システムの安全性をより向上させることができる。
例えば、ユーザXは組織Aに所属しており、組織Aが組織Bと統合され組織Cとなった場合について説明する。組織Aに対してアクセス権限が付与されているファイルYにユーザXがアクセスしようとした場合、認証情報提供装置10からファイル管理装置20に通知される情報が、現在の所属組織情報、すなわち組織Cのみの場合、ファイル管理装置20のアクセス権限制御部202では、アクセス権限無しと判定されてしまう。
しかし、本実施形態では、現在の所属組織Cと併せて、組織Cの統合前の組織である組織Aも通知される。この情報に基づいてアクセス権限判定が行われることにより、ユーザは、既に存在しない組織Aに対するアクセス権限が付与された操作対象ファイルにアクセスすることが可能となる。
なお、本実施形態では、認証情報を利用して利用権限を制御する装置としてファイル管理装置20を用いているが、情報資産の利用権限を制御する機能を有するものであれば、ファイル管理装置以外も適用することができる。
本発明による認証システムは、例えば、ワークフローシステムに適用することができる。ワークフローシステムにおいて、組織Aに所属しているユーザが、起票の際、承認ルート上の最終承認者に現在の所属組織Aの課長以上を設定して承認回覧を開始したとする。承認回覧中に人事異動が発生し、組織Aが分割されて別組織(組織Bと組織C)となった場合、人事異動後の所属組織の情報のみで認証を行うと、起票したユーザは一旦承認回覧を中止し、起票しなおした上で承認ルートを再設定して、再度承認回覧を行う必要がある。しかし、本発明のように人事異動前の組織の情報も認証に用いるようにすれば、システム側で人事異動の履歴情報を元に自動的に所属組織Bと所属組織Cの課長以上も最終承認者となることができると判断するので、承認ルートの再設定を行う必要がない。
10 認証情報提供装置、20 ファイル管理装置、30 クライアント端末、101 記憶部、102 認証要求受信部、103 認証情報提供部、201 記憶部、202 アクセス権限制御部、203 データ管理部、204 認証制御部、205 データ入出力制御部

Claims (8)

  1. 利用者の認証情報に基づいて、前記利用者の情報資産の利用権限を判定する利用権限制御装置と、
    前記利用権限制御装置に、前記利用者の認証情報を提供する認証情報提供装置と、を備えた認証システムであって、
    前記認証情報提供装置は、前記利用権限制御装置に、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報と、を前記認証情報として提供する、認証システム。
  2. 請求項1に記載の認証システムにおいて、
    前記利用権限制御装置は、前記利用者が現在所属する組織の情報に基づいて前記利用者に前記情報資産の利用権限が有ると判定された場合、または、前記履歴情報から得られる前記組織の過去の情報に基づいて前記利用者に利用権限が有ると判定された場合には、前記利用者に前記情報資産の利用権限が有ると判定する、認証システム。
  3. 請求項2に記載の認証システムにおいて、
    前記利用権限制御装置は、前記履歴情報から得られる前記組織の過去の情報に基づいて前記利用者の利用権限の有無を判定する場合には、利用権限を有りとする期間及び権限の範囲の少なくとも一方を限定することが可能な認証システム。
  4. 利用者が現在所属する組織の情報を記憶する第1の記憶部と、
    前記組織の統合や分割の少なくとも一方の履歴情報を記憶する第2の記憶部と、
    前記利用者の認証情報要求を受信する認証要求受信部と、
    前記認証情報要求に対し、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報を提供する認証情報提供部と、を備えた認証情報提供装置。
  5. 情報資産に対する利用者毎の利用権限を記憶する第3の記憶部と、
    前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報とに基づいて、前記情報資産に対する前記利用者の利用権限を判定する利用権限判定部と、を備えた利用権限制御装置。
  6. 利用権限制御装置から認証情報提供装置に、利用者の認証情報要求を送信する工程と、
    前記認証情報要求に対し、前記認証情報提供装置から前記利用権限制御装置に、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方を送信する工程と、
    前記利用権限制御装置が、前記認証情報提供装置から送信された情報に基づいて、前記利用者の情報資産の利用権限の有無を判定する工程と、を備えた認証方法。
  7. コンピュータを、
    利用者の認証情報要求を受信する認証要求受信部と、
    前記認証情報要求に対し、前記利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報を提供する認証情報提供部、として機能させるプログラム。
  8. コンピュータを、
    利用者が現在所属する組織の情報と、前記組織の統合及び分割の少なくとも一方の履歴情報に基づいて、情報資産に対する前記利用者の利用権限を判定する利用権限判定部、として機能させるプログラム。
JP2009158189A 2009-07-02 2009-07-02 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム Pending JP2011013982A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009158189A JP2011013982A (ja) 2009-07-02 2009-07-02 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009158189A JP2011013982A (ja) 2009-07-02 2009-07-02 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム

Publications (1)

Publication Number Publication Date
JP2011013982A true JP2011013982A (ja) 2011-01-20

Family

ID=43592785

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009158189A Pending JP2011013982A (ja) 2009-07-02 2009-07-02 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP2011013982A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8752168B2 (en) 2012-03-19 2014-06-10 Fuji Xerox Co., Ltd. Non-transitory computer readable medium storing access rights update program, access rights management system, and access rights update method
US9614191B2 (en) 2013-01-17 2017-04-04 Kateeva, Inc. High resolution organic light-emitting diode devices, displays, and related methods
US9779263B2 (en) 2015-03-10 2017-10-03 Fuji Xerox Co., Ltd. Access right estimation apparatus and non-transitory computer readable medium

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8752168B2 (en) 2012-03-19 2014-06-10 Fuji Xerox Co., Ltd. Non-transitory computer readable medium storing access rights update program, access rights management system, and access rights update method
US9614191B2 (en) 2013-01-17 2017-04-04 Kateeva, Inc. High resolution organic light-emitting diode devices, displays, and related methods
US9779263B2 (en) 2015-03-10 2017-10-03 Fuji Xerox Co., Ltd. Access right estimation apparatus and non-transitory computer readable medium

Similar Documents

Publication Publication Date Title
EP2573986B1 (en) Methods and systems for increasing the security of electronic messages
US8661558B2 (en) Methods and systems for increasing the security of electronic messages
US9608972B2 (en) Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output
US8913270B2 (en) Authentication system having an authentication apparatus including an authentication unit configured to search records of identification information associated with group information to find matching identification information matching obtained identification information of a user, authentication method, and apparatus
US9229663B2 (en) Information processing apparatus and method for selective prioritization of jobs
US20140068714A1 (en) Network system, data processing apparatus, and method
JP6287401B2 (ja) 中継装置、システム及びプログラム
JP7180221B2 (ja) 情報処理装置、情報処理システムおよびプログラム
JP2011013982A (ja) 認証システム、認証情報提供装置、利用権限制御装置、認証方法、及びプログラム
JPWO2016084822A1 (ja) 複数のサービスシステムを制御するサーバシステム及び方法
CA2804465C (en) Methods and systems for increasing the security of electronic messages
JP5679151B2 (ja) 画像形成システム、画像形成装置およびプログラム
JP2012027691A (ja) 情報管理システムおよび情報管理方法
KR20120087208A (ko) 명함정보 관리 방법
JP2016045920A (ja) 認証システム、認証装置、認証方法及びプログラム
JP2013033420A (ja) 情報処理装置及びその代理アクセス権付与方法
JP5854070B2 (ja) アクセス制御装置、端末装置、及びプログラム
JP2019049779A (ja) 印刷管理装置
US20210150019A1 (en) User authentication device, image processing apparatus including user authentication device, and user authentication method
JP2012190056A (ja) パスワード管理装置、パスワード管理方法、及びパスワード管理システム
JP2009004936A (ja) 文書配布システム及びプログラム
JP2006164158A (ja) プリントサービスシステム
EP4295331A1 (en) Handling access rights for access to a physical space
JP2006164157A (ja) プリントサービスシステム
JP2015026288A (ja) サービス提供システム、サービス提供方法及びプログラム