JP2011154496A - アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム - Google Patents
アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム Download PDFInfo
- Publication number
- JP2011154496A JP2011154496A JP2010014976A JP2010014976A JP2011154496A JP 2011154496 A JP2011154496 A JP 2011154496A JP 2010014976 A JP2010014976 A JP 2010014976A JP 2010014976 A JP2010014976 A JP 2010014976A JP 2011154496 A JP2011154496 A JP 2011154496A
- Authority
- JP
- Japan
- Prior art keywords
- access right
- information
- electronic data
- setting
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】電子データ(オブジェクト)に対するアクセス権の設定を、本構成を有しない場合と比較して、簡潔化することが可能な技術を提案する。
【解決手段】電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権情報管理部24と、電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めたアクセス権割当情報を記憶するアクセス権割当情報管理部25と、電子データに対するアクセス権情報の設定要求を受け付ける要求受付部21と、前記要求受付部21による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報をアクセス権割当情報管理部25に記憶されているアクセス権割当情報に基づいて取得してアクセス権情報管理部24に記憶させる処理を実行する処理実行制御部22と、を備える。
【選択図】図10
【解決手段】電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権情報管理部24と、電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めたアクセス権割当情報を記憶するアクセス権割当情報管理部25と、電子データに対するアクセス権情報の設定要求を受け付ける要求受付部21と、前記要求受付部21による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報をアクセス権割当情報管理部25に記憶されているアクセス権割当情報に基づいて取得してアクセス権情報管理部24に記憶させる処理を実行する処理実行制御部22と、を備える。
【選択図】図10
Description
本発明は、アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システムに関する。
従来、コンピュータを用いて作成された各種の電子データを管理するシステムが知られている。以下では、適宜、このようなシステムにおいて管理の対象単位となる情報のまとまりである電子データをオブジェクトという。
多くの場合、各オブジェクトは、それぞれのオブジェクトに固有の識別子(ID)により識別されて管理される。オブジェクトの例としては、例えば、文書管理システムにおけるドキュメント(文書)やフォルダ等が挙げられる。オブジェクトを構成する情報としては、コンテンツ情報(文書の内容そのもの)、属性情報(名前や作成日時など)、アクセス権情報などがある。アクセス権情報の一例として、アクセス制御リスト(Access Control List)があり、このACLは、誰(主体)に対してどのような操作を許可又は禁止するか(権限)をリスト形式で定義する情報である。
多くの場合、各オブジェクトは、それぞれのオブジェクトに固有の識別子(ID)により識別されて管理される。オブジェクトの例としては、例えば、文書管理システムにおけるドキュメント(文書)やフォルダ等が挙げられる。オブジェクトを構成する情報としては、コンテンツ情報(文書の内容そのもの)、属性情報(名前や作成日時など)、アクセス権情報などがある。アクセス権情報の一例として、アクセス制御リスト(Access Control List)があり、このACLは、誰(主体)に対してどのような操作を許可又は禁止するか(権限)をリスト形式で定義する情報である。
図20は、従来方式におけるアクセス権設定を例示している。
図20の例では、複数種類のオブジェクトがある場合には、オブジェクトの種類に応じて権限の種類を細分化することでアクセス権を分けて設定可能にしている。例えばREAD権について説明すると、オブジェクトの種類としてTypeF1、TypeF2、TypeD1、・・・がある場合には、READ_TypeF1、READ_TypeF2、READ_TypeD1、・・・のようにREAD権を細分化していた。これにより、種類の異なるオブジェクト毎に異なるアクセス権を設定するアクセス権情報(ACL)を一つにまとめて表現可能としている。アクセス権設定の継承では、オブジェクトの種類によらずに同じ一つのアクセス権情報を継承すれば良い。
図20の例では、複数種類のオブジェクトがある場合には、オブジェクトの種類に応じて権限の種類を細分化することでアクセス権を分けて設定可能にしている。例えばREAD権について説明すると、オブジェクトの種類としてTypeF1、TypeF2、TypeD1、・・・がある場合には、READ_TypeF1、READ_TypeF2、READ_TypeD1、・・・のようにREAD権を細分化していた。これにより、種類の異なるオブジェクト毎に異なるアクセス権を設定するアクセス権情報(ACL)を一つにまとめて表現可能としている。アクセス権設定の継承では、オブジェクトの種類によらずに同じ一つのアクセス権情報を継承すれば良い。
なお、この方式の場合における権限の種類は、最大で、「オブジェクトの種類の数×権限の基本的な数」が必要になり、オブジェクトの種類が多くなると必要な権限が非常に多くなることが推測される。
また、オブジェクトの種類を拡張して増やすことが可能なシステムの場合には、オブジェクトの種類の拡張に合わせて権限の種類も拡張しなければならない。実現方法にもよるが、確保すべき情報の容量も多くなる。権限をデータベースのテーブルの列で表現したり、ビット列のビットで表現したりした場合、権限の種類の数だけテーブルの列数やビット列の長さが必要になる。
また、オブジェクトの種類を拡張して増やすことが可能なシステムの場合には、オブジェクトの種類の拡張に合わせて権限の種類も拡張しなければならない。実現方法にもよるが、確保すべき情報の容量も多くなる。権限をデータベースのテーブルの列で表現したり、ビット列のビットで表現したりした場合、権限の種類の数だけテーブルの列数やビット列の長さが必要になる。
アクセス権に関する技術として、以下のような技術が提案されている。
例えば、ファイルおよびキャビネットにアクセス権を設定できるようにするとともに、キャビネットに継承アクセス権を設定し、明示的にファイルにアクセス権が設定されていない場合には継承アクセス権をデフォルトのアクセス権として用いる技術が提案されている(特許文献1参照)。
例えば、ファイルおよびキャビネットにアクセス権を設定できるようにするとともに、キャビネットに継承アクセス権を設定し、明示的にファイルにアクセス権が設定されていない場合には継承アクセス権をデフォルトのアクセス権として用いる技術が提案されている(特許文献1参照)。
例えば、上位階層のデータオブジェクトのアクセス権を継承するか否かを示す継承情報が付与されたデータオブジェクトを階層的に管理可能に記憶した情報処理装置において、ユーザーがオブジェクトにアクセスを要求した場合、アクセス権判定モジュールは、アクセスを要求されたオブジェクトの該ユーザーに対するアクセス権を決定し、この決定において、オブジェクトに付与された継承情報が継承しないことを示す場合はユーザーに対して設定された該オブジェクトのアクセス権のみに基づいてアクセス権を決定し、該オブジェクトに付与された該継承情報が継承することを示す場合は該ユーザーに対して設定された該オブジェクト及び/又は該オブジェクトの上位階層のオブジェクトのアクセス権に基づいてアクセス権を決定する技術が提案されている(特許文献2参照)。
例えば、階層によって管理されたオブジェクトのアクセス管理において、指定オブジェクトと該指定オブジェクトへのアクセス要求が受信されると、指定オブジェクトに付与されているアクセス権継承データを取得し、そのアクセス権継承データから参照先のオブジェクトを判定する。そして、この参照先のオブジェクトに付与されているアクセス制御データを取得し、取得されたアクセス制御データに基づいてアクセス要求の実行可否を決定する技術が提案されている(特許文献3参照)。
本発明は、電子データ(オブジェクト)に対するアクセス権の設定を、本構成を有しない場合と比較して、簡潔化することが可能な技術を提案することを目的とする。
請求項1に記載の本発明は、コンピュータに、電子データに対するアクセス権情報の設定を要求する設定要求を受け付ける要求受付機能と、電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めた割当情報を記憶する割当記憶手段の記憶内容に基づき、前記要求受付機能による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報を取得し、電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権記憶手段に当該取得したアクセス権情報を記憶させる処理を実行する処理実行機能と、を実現させるためのアクセス権設定プログラムである。
請求項2に記載の本発明は、請求項1に記載のアクセス権設定プログラムにおいて、前記要求受付機能は、割当情報の指定を含む設定要求を受け付け可能であり、前記処理実行機能は、前記設定要求に割当情報の指定が含まれる場合には、当該指定された割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、ことを特徴とする。
請求項3に記載の本発明は、請求項1又は請求項2に記載のアクセス権設定プログラムにおいて、前記処理実行機能は、前記設定対象の電子データに関連付けられた別の電子データに対するアクセス権情報の設定処理に使用された割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、ことを特徴とする。
請求項4に記載の本発明は、請求項3に記載のアクセス権設定プログラムにおいて、前記処理実行機能は、前記設定対象の電子データに関連付けられた別の電子データの種別と当該別の電子データに対して設定されたアクセス権情報とに基づいて特定される割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、ことを特徴とする。
請求項5に記載の本発明は、請求項3に記載のアクセス権設定プログラムにおいて、前記処理実行機能は、電子データに対するアクセス権情報の設定処理に使用した割当情報を当該電子データに対応付けて記憶させており、前記設定対象の電子データに関連付けられた別の電子データに対応付けられている割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、ことを特徴とする。
請求項6に記載の本発明は、請求項1から請求項5のいずれか1項に記載のアクセス権設定プログラムにおいて、前記設定対象の電子データに関連付けられた別の電子データは、前記設定対象の電子データに対して親の関係にある電子データである、ことを特徴とする。
請求項7に記載の本発明は、請求項1から請求項6のいずれか1項に記載のアクセス権設定プログラムにおいて、前記処理実行機能は、前記設定対象の電子データの種別に対応するアクセス権情報が前記割当情報で定められていない場合には、設定内容が空のアクセス権情報を当該電子データに対応付ける、ことを特徴とする。
請求項8に記載の本発明は、電子データに対するアクセス権情報の設定を要求する設定要求を受け付ける要求受付手段と、電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めた割当情報を記憶する割当記憶手段の記憶内容に基づき、前記要求受付手段による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報を取得し、電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権記憶手段に当該取得したアクセス権情報を記憶させる処理を実行する処理実行手段と、を備えたことを特徴とするアクセス権設定装置である。
請求項9に記載の本発明は、電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権記憶手段と、電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めた割当情報を記憶する割当記憶手段と、電子データに対するアクセス権情報の設定要求を受け付ける要求受付手段と、前記要求受付手段による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報を前記割当記憶手段に記憶されている割当情報に基づいて取得して前記アクセス権記憶手段に記憶させる処理を実行する処理実行手段と、を備えたことを特徴とするアクセス権管理システムである。
請求項1に記載の本発明によると、電子データに対して設定されるアクセス権情報を、本構成を有しない場合と比較して、簡潔化することができる。
請求項2に記載の本発明によると、アクセス権設定に使用する割当情報を明示的に指定することができる。
請求項3に記載の本発明によると、アクセス権設定に使用する割当情報の指定を省略することができる。
請求項4に記載の本発明によると、設定対象の電子データに関連付けられた別の電子データから継承する割当情報を、当該別の電子データの種別及びアクセス権情報に基づいて特定することができる。
請求項5に記載の本発明によると、設定対象の電子データに関連付けられた別の電子データから継承する割当情報を、当該別の電子データに対する対応付けから特定することができる。
請求項6に記載の本発明によると、設定対象の電子データに関連付けられた別の電子データとは親の関係にある電子データであり、当該親の関係にある電子データから割当情報を継承することができる。
請求項7に記載の本発明によると、アクセス権設定時には未対応だった種別のアクセス権を事後的に編集する処理の効率化を図ることができる。
請求項8に記載の本発明によると、電子データに対して設定されるアクセス権情報を、本構成を有しない場合と比較して、簡潔化することができる。
請求項9に記載の本発明によると、電子データに対して設定されるアクセス権情報を、本構成を有しない場合と比較して、簡潔化することができる。
本発明の一実施形態について、図面を参照して説明する。
図1は、本発明の一実施形態に係るアクセス権管理システムによるアクセス権の管理方法について説明する図である。なお、本例のアクセス権管理システムは文書管理システムに適用したものであるが、これは一例に過ぎない。また、アクセス権の設定対象となるオブジェクトの種類も、以下に例示するようなドキュメントやフォルダに限定されない。
図1は、本発明の一実施形態に係るアクセス権管理システムによるアクセス権の管理方法について説明する図である。なお、本例のアクセス権管理システムは文書管理システムに適用したものであるが、これは一例に過ぎない。また、アクセス権の設定対象となるオブジェクトの種類も、以下に例示するようなドキュメントやフォルダに限定されない。
以下では、図1に示すように、オブジェクト200〜207が階層構造をなして管理されている場合を例に説明する。
図1では、フォルダ200、201、204、206とドキュメント202、203、205、207の2種類に大別してオブジェクトを表しているが、オブジェクトの分類は更に多くても良い。ここではオブジェクト種別によってオブジェクトの分類を更に詳細に分けて説明する。フォルダ200のオブジェクト種別はtypeF1であり、フォルダ201、204のオブジェクト種別はtypeF2であり、フォルダ206のオブジェクト種別はtypeF3である。また、ドキュメント202、203のオブジェクト種別はtypeD1であり、ドキュメント205、207のオブジェクト種別はtypeD2である。
図1では、フォルダ200、201、204、206とドキュメント202、203、205、207の2種類に大別してオブジェクトを表しているが、オブジェクトの分類は更に多くても良い。ここではオブジェクト種別によってオブジェクトの分類を更に詳細に分けて説明する。フォルダ200のオブジェクト種別はtypeF1であり、フォルダ201、204のオブジェクト種別はtypeF2であり、フォルダ206のオブジェクト種別はtypeF3である。また、ドキュメント202、203のオブジェクト種別はtypeD1であり、ドキュメント205、207のオブジェクト種別はtypeD2である。
アクセス権情報210〜215は、オブジェクト200〜207に対するアクセスを制御するための情報を保持するアクセス制御リスト(ACL)である。なお、これは一例であり、アクセス権情報はACLに限らない。本例では、アクセス権情報(ACL)はオブジェクトを構成する情報の一部ではなくオブジェクトとは独立に存在し、各オブジェクトに関連付けられる。そして、ユーザーがオブジェクトにアクセスする場合には、そのオブジェクトに関連付けられたアクセス権情報に基づいてアクセスの可否が判定される。
図1では、オブジェクトとアクセス権情報との関連付けを破線で示してある。例えば、フォルダ200はアクセス権情報210と関連付けられている。オブジェクトとアクセス権情報とを関連付ける方法については後ほど説明する。
図1では、オブジェクトとアクセス権情報との関連付けを破線で示してある。例えば、フォルダ200はアクセス権情報210と関連付けられている。オブジェクトとアクセス権情報とを関連付ける方法については後ほど説明する。
ここで、アクセス権情報とオブジェクトとの関連付けは必ずしも一対一の対応ではない。例えば、アクセス権情報211はフォルダ201、204の両方と関連付けられ、アクセス権情報212はドキュメント202、203の両方と関連付けられている。このように複数のオブジェクトに共有されるACLを本明細書では共有ACLと呼ぶ。
図2は、共有ACLの一例を示す模式図であり、1つの共有ACLに3つのオブジェクトが関連付けられている。なお、各ACLにはそれぞれに固有の識別子が付されて管理される。図2の共有ACLは、識別子(ID)として“ACL12345”が付されており、ユーザーAに対してオブジェクトのREAD,WRITE,DELETEを許可し、ユーザーBに対してオブジェクトのREAD,WRITEを許可し、グループHのユーザーに対してオブジェクトのREADを許可するものである。
なお、ここではシステムで管理したい目的の対象情報であるオブジェクトとは区別し、狭義の意味でアクセス権情報(共有ACL)をオブジェクトとはしていない。
なお、ここではシステムで管理したい目的の対象情報であるオブジェクトとは区別し、狭義の意味でアクセス権情報(共有ACL)をオブジェクトとはしていない。
このような共有ACLの内容を変更することにより、共有ACLに関連付けられた複数のオブジェクトに対するアクセス権を一括して変更することが簡単にできる。一方、共有ACLによって同じアクセス権が設定されているオブジェクトに対し、それぞれ異なるアクセス権に変更したい場合は、共有ACLの内容変更ではなく、オブジェクトと共有ACLとの関連付けを変更する(関連付けを解除し、別の共有ACLに関連付けし直す)ようにすれば良い。
以下では、共有ACLによるアクセス権情報で説明するが、アクセス権情報が共有ACLであることは必ずしも本発明に必須の要件ではない。
以下では、共有ACLによるアクセス権情報で説明するが、アクセス権情報が共有ACLであることは必ずしも本発明に必須の要件ではない。
本例のアクセス権管理システムでは、一つのオブジェクトに対して複数のアクセス権情報を関連付けることもできる。例えば、図1のドキュメント207は、アクセス権情報213、215の両方と関連付けられている。このように一つのオブジェクトに複数のアクセス権情報を関連付けることができると、組み合わせ的にアクセス権を設定するのが簡単になり利点が多い。
利点の一つとして、例えば継承が挙げられる。図3は、継承においてオブジェクトに対し複数のアクセス権情報を関連付ける利点を説明する図である。図3において、フォルダ230〜232は親子関係にある。共有ACL235は親フォルダ230に関連付けられたアクセス権情報であり、その子フォルダ231及び孫フォルダ232に継承されている。ただし、子フォルダ231は、親フォルダ230の共有ACL235を継承するだけでなく、独自に共有ACL236も関連付けられている。同様に孫フォルダ232は、親フォルダ230の共有ACL235だけでなく子フォルダ231の共有ACL236も継承し、更に自分自身の共有ACL237も関連付けられている。
なお、図1のドキュメント207も、継承によってアクセス権情報が関連付けられている。ドキュメント207のアクセス権情報において、アクセス権情報213はフォルダ200からの継承によるものであり、アクセス権情報215はフォルダ206からの継承によるものである。
なお、図1のドキュメント207も、継承によってアクセス権情報が関連付けられている。ドキュメント207のアクセス権情報において、アクセス権情報213はフォルダ200からの継承によるものであり、アクセス権情報215はフォルダ206からの継承によるものである。
オブジェクトに対して複数のアクセス権情報が関連付けられている場合、アクセス権の評価は複数のアクセス権情報によって総合的に判定される。例えば、いずれかのアクセス権情報で許可が与えられていれば許可されるものと論理和で演算しても良い。また、アクセス権に禁止もある場合は同様にいずれかのアクセス権で禁止されていれば禁止と論理和で演算して良いが、許可と禁止の両方が設定されている場合はルールによって許可と禁止のどちらを優先するかを決めるのも良い。具体的には、例えば、単に「許可より禁止が優先される」としても良いし、「上位階層よりも下位階層で設定したアクセス権情報を優先し、グループよりもグループのメンバー(ユーザーやサブグループ)に対して与えられたアクセス権を優先し、同階層や同じ主体に対しては禁止が優先される」としても良い。また、アクセス権情報の評価方法はこの限りではない。
なお、オブジェクに対して複数のアクセス権情報を関連付けることは本発明に必須の要件ではない。例えば、オブジェクトに対して個別にアクセス権情報を設定した場合には、上位階層から別のアクセス権情報を継承しない構成としても良い。
なお、オブジェクに対して複数のアクセス権情報を関連付けることは本発明に必須の要件ではない。例えば、オブジェクトに対して個別にアクセス権情報を設定した場合には、上位階層から別のアクセス権情報を継承しない構成としても良い。
図1において、アクセス権割当情報220、221は、オブジェクト種別毎に、その種別のオブジェクトに設定するアクセス権情報を決定するためのアクセス権決定情報222〜228を保持する。
本例のアクセス権管理システムでは、アクセス権割当情報に基づいてオブジェクトに対するアクセス権を設定する。例えば、フォルダ200に対するアクセス権をアクセス権割当情報220に基づいて設定する。図1では、点線矢印によりこの関係を示してある。オブジェクトに対するアクセス権設定に使用するアクセス権割当情報は、例えば、ユーザーにより明示的に指定され、又は、そのオブジェクトの親オブジェクト(或いは、更に上位階層のオブジェクト)におけるアクセス権設定に使用されたものが暗黙的に指定される。
本例のアクセス権管理システムでは、アクセス権割当情報に基づいてオブジェクトに対するアクセス権を設定する。例えば、フォルダ200に対するアクセス権をアクセス権割当情報220に基づいて設定する。図1では、点線矢印によりこの関係を示してある。オブジェクトに対するアクセス権設定に使用するアクセス権割当情報は、例えば、ユーザーにより明示的に指定され、又は、そのオブジェクトの親オブジェクト(或いは、更に上位階層のオブジェクト)におけるアクセス権設定に使用されたものが暗黙的に指定される。
なお、アクセス権割当情報に識別子を設ければ、オブジェクトとアクセス権割当情報とを関係付けておき、そのアクセス権割当情報の内容に基づいてアクセス権判定をすることが可能だが、この関係付けは必ずしも必要ではない。これは、後述するように本例のアクセス権管理システムでは、アクセス権の設定時にアクセス権割当情報に基づいて対象のオブジェクトに対してその種別に応じたアクセス権情報を設定(関連付け)するので、アクセス権の判定時には対象オブジェクトに関連付けられたアクセス権情報を参照すれば良いためである。
アクセス権割当情報に基づいてオブジェクトに対するアクセス権を設定する処理では、対象オブジェクトの種別に対応するアクセス権情報がアクセス権割当情報から取得されて、対象オブジェクトに設定(関連付け)される。
図1を例として説明すれば、フォルダ200に対してアクセス権割当情報220に基づいてアクセス権を設定する場合、フォルダ200のオブジェクト種別はtypeF1であるので、アクセス権割当情報220が保持するtypeF1に対応するアクセス権決定情報222からアクセス権情報(ACL01)210が取得されてフォルダ200に関連付けられる。
図1を例として説明すれば、フォルダ200に対してアクセス権割当情報220に基づいてアクセス権を設定する場合、フォルダ200のオブジェクト種別はtypeF1であるので、アクセス権割当情報220が保持するtypeF1に対応するアクセス権決定情報222からアクセス権情報(ACL01)210が取得されてフォルダ200に関連付けられる。
本例のアクセス権管理システムでは、アクセス権を設定するとき、上位階層のアクセス権を継承する場合は、上位階層のオブジェクトに対応するアクセス権割当情報に基づいて、オブジェクトにアクセス権情報を設定(関連付け)する。
図4は、アクセス権割当情報をオブジェクトと関連付けて記憶しない場合の継承を説明する図である。図4には、図3で示したフォルダ232の下にドキュメント245を追加するときのアクセス権の継承処理を示してある。
図4は、アクセス権割当情報をオブジェクトと関連付けて記憶しない場合の継承を説明する図である。図4には、図3で示したフォルダ232の下にドキュメント245を追加するときのアクセス権の継承処理を示してある。
上位階層のアクセス権を継承するときは、まず、親のアクセス権情報を取得する(手順1)。図4の例では、継承によるアクセス権設定を行う対象のドキュメント245の親フォルダであるフォルダ232のアクセス権情報235、236、237を取得する。なおアクセス権情報235、236は、それぞれ更に上位階層のフォルダ230、231から継承したアクセス権情報である。
次に、親のアクセス権情報に基づいて、そのアクセス権情報の設定に使用されたアクセス権割当情報を特定する(手順2)。例えば、親フォルダであるフォルダ232のアクセス権情報235、236、237の各識別子(共有ACLのID)を検索条件としてアクセス権割当情報を検索することで特定できる。図4では、アクセス権情報235、236、237からアクセス権割当情報240、241、242がそれぞれ特定される。
次に、特定したアクセス権割当情報から対象オブジェクトの種別に対応するアクセス権情報を抽出して対象オブジェクトに設定する(手順3)。図4では、アクセス権割当情報240、241、242からドキュメント245のオブジェクト種別に対応するアクセス権情報246、247、248をそれぞれ抽出してドキュメント245に設定している。
次に、親のアクセス権情報に基づいて、そのアクセス権情報の設定に使用されたアクセス権割当情報を特定する(手順2)。例えば、親フォルダであるフォルダ232のアクセス権情報235、236、237の各識別子(共有ACLのID)を検索条件としてアクセス権割当情報を検索することで特定できる。図4では、アクセス権情報235、236、237からアクセス権割当情報240、241、242がそれぞれ特定される。
次に、特定したアクセス権割当情報から対象オブジェクトの種別に対応するアクセス権情報を抽出して対象オブジェクトに設定する(手順3)。図4では、アクセス権割当情報240、241、242からドキュメント245のオブジェクト種別に対応するアクセス権情報246、247、248をそれぞれ抽出してドキュメント245に設定している。
この方法によるアクセス権の継承では、直上の親オブジェクトのアクセス権情報だけ取得すれば良く、それより上位階層のオブジェクトを辿る必要がないことが利点である。オブジェクトが複数のアクセス権情報を保持することができるため、直上の親オブジェクト(図4ではフォルダ232)が保持するアクセス権情報だけを取得すれば、更に上位階層のオブジェクトにおけるアクセス権設定に使用されたアクセス権割当情報が特定可能になる。
ただし、上記の継承方法を行うには幾つかの制約が必要である。
まず、アクセス権情報からアクセス権割当情報を一意に特定にするには、一つのアクセス権情報が複数のアクセス権割当情報に保持されないことが必要であり、また、継承によって共有される共有ACLは継承以外によって共有することができないようにする必要がある。
まず、アクセス権情報からアクセス権割当情報を一意に特定にするには、一つのアクセス権情報が複数のアクセス権割当情報に保持されないことが必要であり、また、継承によって共有される共有ACLは継承以外によって共有することができないようにする必要がある。
また、上位階層のオブジェクトに関連づけられたアクセス権割当情報を漏れなく特定可能にするためには、内容が空であっても必ずアクセス権情報を保持する必要がある。
すなわち、図1を例とすると、ドキュメント207に上位階層のフォルダ200から継承してアクセス権情報213を設定するには、直上の親であるフォルダ206からアクセス権割当情報220が特定できなければならない。そのためには、フォルダ206はアクセス権割当情報220に対応するアクセス権情報との関連付けを保持していなくてはならない。
すなわち、図1を例とすると、ドキュメント207に上位階層のフォルダ200から継承してアクセス権情報213を設定するには、直上の親であるフォルダ206からアクセス権割当情報220が特定できなければならない。そのためには、フォルダ206はアクセス権割当情報220に対応するアクセス権情報との関連付けを保持していなくてはならない。
図1の例では、説明の為に敢えて上手くいかない例を示しており、フォルダ206はアクセス権割当情報220に対応するアクセス権情報を保持していない。なぜなら、アクセス権割当情報220では、アクセス権決定情報226に示されるように、フォルダ206のオブジェクト種別であるtypeF3に対するアクセス権情報の設定が存在しないためである。また、typeF3に対するアクセス権決定情報226自体がアクセス権割当情報220に保持されていない場合も同様である。
このため、正しく継承が行なえるようにするには、typeF3に対応するアクセス権情報を作成してアクセス権決定情報226に保持させておく必要がある。このアクセス権情報は、アクセス権割当情報を取得可能にするためのものなので、アクセス権の内容は空(誰に対しても何の許可も禁止も与えない)でも構わない。
このため、正しく継承が行なえるようにするには、typeF3に対応するアクセス権情報を作成してアクセス権決定情報226に保持させておく必要がある。このアクセス権情報は、アクセス権割当情報を取得可能にするためのものなので、アクセス権の内容は空(誰に対しても何の許可も禁止も与えない)でも構わない。
このように空のアクセス権情報で補完するのは、例えばオブジェクトの生成時などが良い。具体例を挙げて説明すると、フォルダ206を作成するときにフォルダ200からアクセス権を継承するのであれば、フォルダ200におけるアクセス権設定に使用されたアクセス権割当情報220からフォルダ206のオブジェクト種別であるtypeF3に対応するアクセス権情報を取得する処理を行い、その結果、typeF3に対応するアクセス権決定情報226にアクセス権情報が設定されていない或いはアクセス権決定情報226自体が無い等の原因により、アクセス権割当情報220からアクセス権情報を取得できなければ、新規に空のアクセス権情報を生成し、typeF3と新たに生成したアクセス権情報(空)とが対応するようにアクセス権割当情報220を更新し、フォルダ206に対して新たに生成したアクセス権情報(空)を設定する。
図5は、アクセス権を継承する別の方法の一例を説明する図である。図5の方法では、オブジェクトとアクセス権割当情報とを関連付けて(例えば、オブジェクトからアクセス権割当情報へのリンク情報などとして)記憶される。この場合でも、一つのオブジェクトから複数のアクセス権割当情報へのリンクを保持することで、継承の設定を行うときに直上の親だけ参照すれば済むようにできる。
図5では、フォルダ232からアクセス権割当情報240、241、242へリンクが張られているため、ドキュメント245が上位階層のアクセス権を継承する場合には親フォルダ232を参照すれば良く、より上位階層のフォルダ230、231まで辿る必要はない。後は基本的に前述の方法と同じである。
なお、図5ではフォルダ230、231、232に設定されたアクセス権情報は省略してある。また、ドキュメント245には、アクセス権情報246、247、248が設定されるだけでなくアクセス権割当情報240、241、242へのリンクも設定されるが、これも図5では省略してある。
この方法によれば、オブジェクトとアクセス権割当情報との関係付けを記憶する必要があるが、継承のためだけの空のアクセス権情報を生成してオブジェクトに設定する必要がなく、また複数のアクセス権割当情報に同一のアクセス権情報を対応付けることも可能である。
図5では、フォルダ232からアクセス権割当情報240、241、242へリンクが張られているため、ドキュメント245が上位階層のアクセス権を継承する場合には親フォルダ232を参照すれば良く、より上位階層のフォルダ230、231まで辿る必要はない。後は基本的に前述の方法と同じである。
なお、図5ではフォルダ230、231、232に設定されたアクセス権情報は省略してある。また、ドキュメント245には、アクセス権情報246、247、248が設定されるだけでなくアクセス権割当情報240、241、242へのリンクも設定されるが、これも図5では省略してある。
この方法によれば、オブジェクトとアクセス権割当情報との関係付けを記憶する必要があるが、継承のためだけの空のアクセス権情報を生成してオブジェクトに設定する必要がなく、また複数のアクセス権割当情報に同一のアクセス権情報を対応付けることも可能である。
ここで、前述の2つの方法では、いずれも、直上の親オブジェクトさえ参照すれば済むように親オブジェクトから複数のアクセス権割当情報を特定可能にしていたが、上位階層を辿ってそれぞれのアクセス権割当情報を特定するようにしても良い。
また、アクセス権の継承については、オブジェクトの階層ツリーにおける上位階層オブジェクトからの継承について説明したが、本例は継承元オブジェクトに設定されたアクセス権を継承する一般的な方法についてのものであり、継承対象は階層ツリーにおける上位階層オブジェクトには限定されない。
また、アクセス権の継承については、オブジェクトの階層ツリーにおける上位階層オブジェクトからの継承について説明したが、本例は継承元オブジェクトに設定されたアクセス権を継承する一般的な方法についてのものであり、継承対象は階層ツリーにおける上位階層オブジェクトには限定されない。
以下に、本例のアクセス権管理システムについて更に説明する。
前述の例では、上位階層のオブジェクトから継承するアクセス権情報を各オブジェクトに設定している。これはオブジェクトへのアクセス判定処理のときに、毎回、上位階層のオブジェクトを辿って継承するアクセス権を取得しなくてもいいようにするためである。
この手法を選択した理由として、次のような前提を想定している。
(前提1)アクセス権の設定を変更する頻度(オブジェクト生成時のアクセス権設定を除く)が一般の操作と比較して少ない。
(前提2)アクセス毎に毎回上位階層のオブジェクトを辿って継承するアクセス権を取得するより、アクセス権変更時に継承するアクセス権情報を各オブジェクトに設定する方が、総合的に処理コスト(処理負担)も低く、利用者のストレスも少ない。
(前提3)殆どのアクセス権の設定変更は、比較的コストの低い方法で対応できる。アクセス権情報(共有ACL)の内容を変更する処理は低コストで実行可能である。一方、オブジェクトに対するアクセス権割当情報を設定し直す変更は、処理コストが高いので可能な限り避けるのが望ましい。
前述の例では、上位階層のオブジェクトから継承するアクセス権情報を各オブジェクトに設定している。これはオブジェクトへのアクセス判定処理のときに、毎回、上位階層のオブジェクトを辿って継承するアクセス権を取得しなくてもいいようにするためである。
この手法を選択した理由として、次のような前提を想定している。
(前提1)アクセス権の設定を変更する頻度(オブジェクト生成時のアクセス権設定を除く)が一般の操作と比較して少ない。
(前提2)アクセス毎に毎回上位階層のオブジェクトを辿って継承するアクセス権を取得するより、アクセス権変更時に継承するアクセス権情報を各オブジェクトに設定する方が、総合的に処理コスト(処理負担)も低く、利用者のストレスも少ない。
(前提3)殆どのアクセス権の設定変更は、比較的コストの低い方法で対応できる。アクセス権情報(共有ACL)の内容を変更する処理は低コストで実行可能である。一方、オブジェクトに対するアクセス権割当情報を設定し直す変更は、処理コストが高いので可能な限り避けるのが望ましい。
図6は、オブジェクトに対するアクセス権割当情報を設定し直すことでアクセス権の設定変更を実現する処理の一例を説明する図である。
変更前は、図1と同じく、オブジェクト200〜207に対して、アクセス権割当情報220、221に基づいてアクセス権情報210〜215が設定されている。
ここでフォルダ200に対するアクセス権の設定変更(a1→b1)を行うとする。フォルダ200の階層下にあるオブジェクト201〜207はフォルダ200のアクセス権を継承しているため、これらのオブジェクト201〜207についてもアクセス権の設定変更を反映する必要がある。
変更前は、図1と同じく、オブジェクト200〜207に対して、アクセス権割当情報220、221に基づいてアクセス権情報210〜215が設定されている。
ここでフォルダ200に対するアクセス権の設定変更(a1→b1)を行うとする。フォルダ200の階層下にあるオブジェクト201〜207はフォルダ200のアクセス権を継承しているため、これらのオブジェクト201〜207についてもアクセス権の設定変更を反映する必要がある。
アクセス権変更の手段として、フォルダ200に対し、アクセス権割当情報220に代えてアクセス権割当情報240を設定し直す場合、フォルダ200以下の全てのオブジェクト200〜207に対し、元のアクセス権割当情報220に基づくアクセス権情報210〜213(a1〜a4)への関連付けを削除し、新たにアクセス権割当情報240に基づくアクセス権情報230〜233(b1〜b4)に関連付けを行う必要がある。なお、図6では、アクセス権情報210〜213がそれぞれアクセス権情報230〜233に一対一に対応しているようにみえるが、一般的には変更前後のアクセス権情報に一対一の対応関係はなく、変更するアクセス権情報はアクセス権割当情報によってのみ決定されることに注意する。
図6に示したように、アクセス権割当情報を設定し直す方法でアクセス権の設定を変更する場合、アクセス権情報を継承する下位階層のオブジェクトに対して再帰的にアクセス権情報の設定変更を行う必要があるので、階層ツリーにおけるオブジェクトの数が増えるに従って処理コストが増大する。したがって、この方法によるアクセス権変更は可能ならば避ける方が良い。
図7は、アクセス権情報(共有ACL)の内容を変更することでアクセス権の設定変更を実現する処理の一例を説明する図である。
図6の例と同様にフォルダ200に対してアクセス権の設定変更(a1→b1)を行い、階層下にあるオブジェクト201〜207にアクセス権設定変更を反映する場合において、図7の方法では、アクセス権情報の内容を変更(a1〜a4→b1〜b4)し、オブジェクトとアクセス権情報との関連付けやアクセス権割当情報は変更しない。変更する対象はオブジェクトの種別の数だけ存在するアクセス権情報だけであり、階層ツリーのオブジェクト数によらず比較的低コストで処理できる。
図6の例と同様にフォルダ200に対してアクセス権の設定変更(a1→b1)を行い、階層下にあるオブジェクト201〜207にアクセス権設定変更を反映する場合において、図7の方法では、アクセス権情報の内容を変更(a1〜a4→b1〜b4)し、オブジェクトとアクセス権情報との関連付けやアクセス権割当情報は変更しない。変更する対象はオブジェクトの種別の数だけ存在するアクセス権情報だけであり、階層ツリーのオブジェクト数によらず比較的低コストで処理できる。
図7の方法で注意すべきことは、アクセス権情報に関連付けた全てのオブジェクトのアクセス権設定が変更されるため、その影響範囲を考慮しなければならないことである。図7の例では、フォルダ200のアクセス権を変更し、アクセス権を継承する階層下のオブジェクトにも反映することを示しているが、アクセス権情報213がフォルダ200以下には含まれないドキュメント208とも関連付けられている場合のように、階層ツリー以外のオブジェクトともアクセス権情報を共用している場合、意図しないオブジェクトのアクセス権が変更されてしまう可能性もある。なお、逆に意図的にそのように設定することも可能である。
変更の影響範囲に注意する必要があるが、処理コストが比較的一定で少なく済むため、基本的にはアクセス権情報の内容を変更する方法を行うのが望ましい。アクセス権情報の内容を変更する対応を可能にするための工夫として、本来は必要のない空のアクセス権情報を設定しておく方法がある。
変更の影響範囲に注意する必要があるが、処理コストが比較的一定で少なく済むため、基本的にはアクセス権情報の内容を変更する方法を行うのが望ましい。アクセス権情報の内容を変更する対応を可能にするための工夫として、本来は必要のない空のアクセス権情報を設定しておく方法がある。
図8及び図9は、共にオブジェクトの階層ツリーにおいて中間の階層に位置するオブジェクトにアクセス権設定を付加する異なる方法の一例を説明する図である。両図とも、図左に示す事前状態では、階層ツリーの最上位にあるフォルダ230にアクセス権が設定されていて(アクセス権割当情報240が関連付けられていて)他のオブジェクト231、232、245はアクセス権を継承している。そして、中間階層であるフォルダ231に対してアクセス権を設定するとどうなるかを、図右に事後状態として示している。
図8では、事前状態(図左)でアクセス権割当情報240が関連付けられているのは、最上位のフォルダ230だけである。また、アクセス権割当情報240に基づき、フォルダ230〜232にはアクセス権情報235(A)が設定され、ドキュメント245にはアクセス権情報246(B)が設定されている。中間階層のオブジェクトであるフォルダ231に新たにアクセス権を設定する処理を行うと、指定されたアクセス権割当情報241に基づき、フォルダ231及びその下位階層のフォルダ232にはアクセス権情報236(C)が、フォルダ232配下のドキュメント245にはアクセス権情報247(D)がそれぞれ追加で関連付けられる。
この方法も、アクセス権を設定する中間オブジェクトの階層下の各オブジェクトに対して行う必要があり、階層下に多数のオブジェクトが存在すれば処理コストは高くつく。
この方法も、アクセス権を設定する中間オブジェクトの階層下の各オブジェクトに対して行う必要があり、階層下に多数のオブジェクトが存在すれば処理コストは高くつく。
一方、図9では、オブジェクトとアクセス権情報とアクセス権割当情報との関係は、事前状態(図左)と事後状態(図右)とで変化しない。図9の例では、フォルダ230だけでなく、フォルダ231、232にもアクセス権割当情報241、242に基づいてアクセス権情報236、237が設定されており、同様にドキュメント245にもアクセス権情報247、248が設定されている。これらのアクセス権情報236、237、247、248の内容はいずれも空であり、意味としてはオブジェクトにアクセス権情報を関連付けないことと同じである。
そして、中間階層のオブジェクトであるフォルダ231にアクセス権を設定する場合は、新たにアクセス権情報を関連付ける必要はなく、予め関連付けられた空のアクセス権情報236、247の内容を変更するだけで良い。処理コストは階層下のオブジェクト数に依存しないため、低コストで処理できる。
そして、中間階層のオブジェクトであるフォルダ231にアクセス権を設定する場合は、新たにアクセス権情報を関連付ける必要はなく、予め関連付けられた空のアクセス権情報236、247の内容を変更するだけで良い。処理コストは階層下のオブジェクト数に依存しないため、低コストで処理できる。
ただし、図9の方法では、多数のアクセス権情報を作成し、予め多数のオブジェクトと関連付けておかねばならず、これら多数の情報を記憶する必要がある。
したがって、アクセス権変更による影響範囲が広いオブジェクト(例えば階層ツリーの上位階層オブジェクトなど)に対しては予め空のアクセス権情報を設定して変更時の処理コストを抑え、影響範囲が少ないオブジェクト(例えば下位階層のオブジェクトなど)に対しては必要時に新たにアクセス権情報を設定するというように使い分けることで、最適な効果を得るのが好ましい。
したがって、アクセス権変更による影響範囲が広いオブジェクト(例えば階層ツリーの上位階層オブジェクトなど)に対しては予め空のアクセス権情報を設定して変更時の処理コストを抑え、影響範囲が少ないオブジェクト(例えば下位階層のオブジェクトなど)に対しては必要時に新たにアクセス権情報を設定するというように使い分けることで、最適な効果を得るのが好ましい。
図10は、本例のアクセス権管理システムとしての機能を備えた文書管理サーバーの構成を例示している。本例の文書管理サーバー20は、処理要求受付部21、処理実行制御部22、アクセス可否判定部23、アクセス権情報管理部24、アクセス権割当情報管理部25、オブジェクト情報管理部26、を有する。
本例の文書管理サーバー20では、文書(ファイル)やフォルダなどの電子データをオブジェクトとして管理する。本例では、文書やフォルダなどにそれぞれ固有の識別情報(ID)を付与し、また属性情報などを設定して管理している。オブジェクト情報(ID、属性情報、状態など)やオブジェクト間の関係情報(リンク)は、オブジェクト情報管理部26で管理する。
また、本例の文書管理サーバー20では、文書やフォルダなどの各オブジェクトに関連付けられたアクセス権情報に従ってアクセスの可否の制御を行う。アクセス権情報は、アクセス権情報管理部24で管理する。また、アクセス権情報は直接オブジェクトに対して設定するのではなく、アクセス権割当情報によって間接的にオブジェクトに設定される。アクセス権割当情報は、アクセス権割当情報管理部25で管理する。
これらのオブジェクト情報管理部26、アクセス権情報管理部24、アクセス権割当情報管理部25は、データベースなどによって実現される。図10では、各管理部24〜26を個別に分けて表わしているが、実際にはこれら3つの管理部24〜26は1つのデータベース上で実現してもよい。
処理実行制御部22は、処理要求受付部21によりアプリケーション10から受け付けた処理要求に基づいて、これら各管理部24〜26を対象にして要求された処理の実行及び制御を行う。また、処理実行制御部22は、要求された処理を実行する前に、アクセス可否判定部23に処理対象のオブジェクトに対してアクセスが可能かどうかの判定を依頼して、その判定結果に従ってアクセス制御を行う。
図11は、オブジェクト情報を管理するオブジェクト情報テーブル(オブジェクト情報管理部26の保持テーブル)の一例を示している。
図11の例では、オブジェクト情報として、各オブジェクトの識別子であるオブジェクト識別子、そのオブジェクトの属性情報(オブジェクト種別を大別するタイプ、オブジェクト種別をより詳細に分類したタイプ詳細、オブジェクトの名前、オブジェクトの作成日時、オブジェクトの作成者、・・・など)、そのオブジェクトに設定されたACL(アクセス権情報)の識別子であるACL_ID(アクセス権情報ID)、ACLの設定に使用されたACD(アクセス権割当情報)の識別子であるACD_ID(アクセス権割当情報ID)、を保持している。
図11の例では、オブジェクト情報として、各オブジェクトの識別子であるオブジェクト識別子、そのオブジェクトの属性情報(オブジェクト種別を大別するタイプ、オブジェクト種別をより詳細に分類したタイプ詳細、オブジェクトの名前、オブジェクトの作成日時、オブジェクトの作成者、・・・など)、そのオブジェクトに設定されたACL(アクセス権情報)の識別子であるACL_ID(アクセス権情報ID)、ACLの設定に使用されたACD(アクセス権割当情報)の識別子であるACD_ID(アクセス権割当情報ID)、を保持している。
図11のACL_ID(アクセス権情報ID)は、オブジェクトに設定されたアクセス権情報の参照先を示し、必ず値を持つ。なお、このようなオブジェクト情報テーブルにアクセス権情報への参照(ID)を持たせるテーブル構成は必須ではなく、オブジェクトとアクセス権情報との対応を別テーブルで管理するようにしてもよい。
図11の例は、複数のオブジェクトで同一のアクセス権情報を共有する場合の管理方法の一例であり、例えば、オブジェクトdoc−0001、doc−0003で同じアクセス権情報(ACL−741852)を共有している。アクセス権の管理方法の別の一例については後ほど示す。
図11の例は、複数のオブジェクトで同一のアクセス権情報を共有する場合の管理方法の一例であり、例えば、オブジェクトdoc−0001、doc−0003で同じアクセス権情報(ACL−741852)を共有している。アクセス権の管理方法の別の一例については後ほど示す。
また、図11のACD_ID(アクセス権割当情報ID)は、オブジェクトに設定されたアクセス権割当情報の参照先を示す。ただし、アクセス権情報のように必ずしも全てのオブジェクトに値が設定されるわけではない。値が設定されるのは、直接アクセス権割当情報が設定されたオブジェクトだけである。直接設定されずに他のオブジェクトからアクセス権割当情報を継承するだけのオブジェクトには設定されない。
図12は、オブジェクト情報管理部26の別のテーブルとして、オブジェクト間の関係情報(リンク)を管理するオブジェクト間関係情報テーブルの一例を示している。
図12の例では、オブジェクト間の関係情報として、リンクの種別とリンクの両端(src端とdest端)のオブジェクト識別子とがある。構成によっては、リンクに属性情報などを付与してもよい。
図12の例では、例えば、フォルダfdr−0001と文書doc−0001、doc−0003とが一般的なフォルダの階層構造における親子関係であることをリンク「FOLDER_TREE」で表している。また、例えば、文書doc−0001の関連文書としてdoc−0002が関係付けられていることをリンク「RELATION_DOCUMENT」で表わしている。
図12の例では、オブジェクト間の関係情報として、リンクの種別とリンクの両端(src端とdest端)のオブジェクト識別子とがある。構成によっては、リンクに属性情報などを付与してもよい。
図12の例では、例えば、フォルダfdr−0001と文書doc−0001、doc−0003とが一般的なフォルダの階層構造における親子関係であることをリンク「FOLDER_TREE」で表している。また、例えば、文書doc−0001の関連文書としてdoc−0002が関係付けられていることをリンク「RELATION_DOCUMENT」で表わしている。
なお、フォルダ階層の親子関係しかないような場合には、図11及び図12のようにテーブルをわけず、図11で示すようなオブジェクト情報テーブルにおいて、各オブジェクトの親オブジェクトへの参照を表すオブジェクト識別子の列を設けてもよい。
図13は、アクセス権情報を管理するアクセス権情報テーブル(アクセス権情報管理部24の保持テーブル)の一例を示している。
アクセス権情報テーブルは、誰(主体)にどのような権限が許可されているかどうかを管理する。アクセス権情報の管理単位であるACLはテーブル上では複数レコードで構成され、テーブル上の1レコードはACL中の1エントリに対応する。例えば、ACL−743657、ACL−741852はそれぞれ4件のレコードで構成され、ACL−741953は2件のレコードで構成されている。
アクセス権情報テーブルは、誰(主体)にどのような権限が許可されているかどうかを管理する。アクセス権情報の管理単位であるACLはテーブル上では複数レコードで構成され、テーブル上の1レコードはACL中の1エントリに対応する。例えば、ACL−743657、ACL−741852はそれぞれ4件のレコードで構成され、ACL−741953は2件のレコードで構成されている。
一つのACLの中で同じ主体が重複することはないので、アクセス権情報の識別子(ACL_ID)と主体の識別子(主体ID)とでユニークになるよう制約される。主体IDとしては、ユーザー、グループ、役割(ロール)などの他に、「全ユーザー」や「ゲスト」など特別な意味を表す値を設定することもできる。なお、図13の例では、設定内容を把握し易いように、主体IDの値としてユーザーの表示名をそのまま示している。
各権限(属性取得権、属性変更権、内容取得権、内容変更権、削除権など)の値としては、許可を表すtrue又は不許可を表すfalseといった真偽値が設定される。図13では、“○”がtrue(許可)を示し、空白がfalse(不許可)を示している。なお、本例では、権限の種類毎にそれぞれ個別の真偽値(true又はfalse)が設定される複数の項目列でアクセス権が表現されているが、このような構成に限定するものではなく、例えば、権限のセットをビット列やバイナリデータで表して1つの項目列で表現してもよい。
図14は、アクセス権割当情報を管理するアクセス権割当情報テーブル(アクセス権割当情報管理部25の保持テーブル)の一例を示している。
アクセス権割当情報テーブルは、どのオブジェクトの種別(タイプ)に対してどのアクセス権情報を割り当てるかを管理する。アクセス権割当情報の管理単位は、テーブル上では複数のレコードで構成される。一つのアクセス権割当情報の中でオブジェクト種別(タイプ詳細)が重複することはないので、アクセス権割当情報の識別子(ACD_ID)と対象オブジェクトの種別(タイプ詳細)とでユニークになるよう制約される。
アクセス権割当情報テーブルは、どのオブジェクトの種別(タイプ)に対してどのアクセス権情報を割り当てるかを管理する。アクセス権割当情報の管理単位は、テーブル上では複数のレコードで構成される。一つのアクセス権割当情報の中でオブジェクト種別(タイプ詳細)が重複することはないので、アクセス権割当情報の識別子(ACD_ID)と対象オブジェクトの種別(タイプ詳細)とでユニークになるよう制約される。
ここで、図11で示したオブジェクト情報テーブルにおけるアクセス権情報の識別子(ACL_ID)と、図14で示したアクセス権割当情報テーブルにおけるアクセス権情報の識別子(ACL_ID)とで冗長になっている点に注意する。これは、図1においてオブジェクトからアクセス権割当情報へとアクセス権情報へに関係付けられていることに対応している。
本例におけるオブジェクトのアクセス権は、本来、アクセス権割当情報とオブジェクトの種別によって特定される。例えば、文書オブジェクトであるdoc−0002は、図11に示されるように、アクセス権割当情報ACD−761894に基づいてアクセス権が設定されたtypeD2の種別のオブジェクトである。また、doc−0002のアクセス権は、図14で示したアクセス権割当情報テーブルを参照すればアクセス権情報ACL−741963であることが特定可能である。実際に、図11においても同様にACL−741963が設定されている。
本例におけるオブジェクトのアクセス権は、本来、アクセス権割当情報とオブジェクトの種別によって特定される。例えば、文書オブジェクトであるdoc−0002は、図11に示されるように、アクセス権割当情報ACD−761894に基づいてアクセス権が設定されたtypeD2の種別のオブジェクトである。また、doc−0002のアクセス権は、図14で示したアクセス権割当情報テーブルを参照すればアクセス権情報ACL−741963であることが特定可能である。実際に、図11においても同様にACL−741963が設定されている。
オブジェクト情報テーブルにおいて、冗長になるにも関わらずにアクセス権情報の識別子(ACL_ID)の列を加えているのは、処理の効率化を図るものである。具体的には、オブジェクト1つ1つのアクセス権の判定の度にアクセス権割当情報テーブルを参照しなくても済むようにするためである。更に、継承における効率化も含む。すなわち、アクセス権割当情報を継承する場合でも、アクセス権情報をキャッシュとして持っていれば、アクセス権の判定の度に継承先のオブジェクトからアクセス権割当情報を引かなくても済む。
更に重要な理由として、アクセス権情報からアクセス権割当情報の逆引きを可能にすることが挙げられる。例えば、図11において、フォルダfdr−0004にはアクセス権割当情報が直接設定されていない。したがって、親フォルダなどから継承するアクセス権割当情報を取得する必要があるが、事前にアクセス権情報ACL−743657が判れば、親フォルダのオブジェクト種別であるtypeF1と共に検索キーに用いて図14のアクセス権割当情報テーブルを参照することで、対応するアクセス権割当情報ACD−324789を特定することができる。
すなわち、階層ツリーによりアクセス権を継承する場合、オブジェクトを登録するときに継承するアクセス権割当情報を知るために、アクセス権割当情報が見つかるまで上位階層のオブジェクトを辿る必要はなく、直上の親フォルダのアクセス権情報(とオブジェクト種別)を取得すればよい。
すなわち、階層ツリーによりアクセス権を継承する場合、オブジェクトを登録するときに継承するアクセス権割当情報を知るために、アクセス権割当情報が見つかるまで上位階層のオブジェクトを辿る必要はなく、直上の親フォルダのアクセス権情報(とオブジェクト種別)を取得すればよい。
図15は、アクセス権割当情報及びアクセス権情報をオブジェクトに設定する例として、オブジェクトの登録処理における処理の流れの一例を示すシーケンス図である。
オブジェクトの登録処理は、処理要求受付部21によりアプリケーション10から受け付けた要求に応じて登録処理が呼び出されることで実行される。本例の登録処理では、引数として、登録対象となるオブジェクトの名称や属性情報を含む登録情報、対象オブジェクトの種別、使用するアクセス権割当情報のID、が与えられる。ここで、アクセス権割当情報IDは、ユーザーに明示的に指定された場合を除いてnull値が与えられ、この場合にはアクセス権の継承を行うことになる。なお、アクセス権割当情報IDが明示的に指定された場合においてアクセス権の継承を追加的に行うようにしてもよい。
オブジェクトの登録処理は、処理要求受付部21によりアプリケーション10から受け付けた要求に応じて登録処理が呼び出されることで実行される。本例の登録処理では、引数として、登録対象となるオブジェクトの名称や属性情報を含む登録情報、対象オブジェクトの種別、使用するアクセス権割当情報のID、が与えられる。ここで、アクセス権割当情報IDは、ユーザーに明示的に指定された場合を除いてnull値が与えられ、この場合にはアクセス権の継承を行うことになる。なお、アクセス権割当情報IDが明示的に指定された場合においてアクセス権の継承を追加的に行うようにしてもよい。
登録処理が呼び出されると、処理実行制御部22は、まずアクセス可否判定部23にアクセス権可否判定処理(図16を参照して後述)を呼び出して、そのオブジェクトが登録される親オブジェクト(フォルダ)に対する権限(オブジェクトの追加を行う権限)が有ることを確認する。
親オブジェクトに対する権限の確認が取れると、引数で与えられたアクセス権割当情報IDの指定内容を確認し、null値である場合には継承アクセス権割当取得処理(図17を参照して後述)を呼び出して、親オブジェクトに対するアクセス権設定に使用されたアクセス権割当情報のIDを取得する。
次に、引数で与えられたアクセス権割当情報ID又は継承アクセス権割当取得処理で取得されたアクセス権割当情報IDと、引数で与えられたオブジェクト種別とに基づいて、該当するアクセス権情報のIDをアクセス権割当情報管理部25から取得する。
その後、引数で与えられた登録情報と、取得したアクセス権情報IDと、その取得に用いたアクセス権割当情報IDとに基づいてオブジェクト登録処理を呼び出して、これらを関連付けたデータ(オブジェクト情報)をオブジェクト情報管理部26に登録する。
親オブジェクトに対する権限の確認が取れると、引数で与えられたアクセス権割当情報IDの指定内容を確認し、null値である場合には継承アクセス権割当取得処理(図17を参照して後述)を呼び出して、親オブジェクトに対するアクセス権設定に使用されたアクセス権割当情報のIDを取得する。
次に、引数で与えられたアクセス権割当情報ID又は継承アクセス権割当取得処理で取得されたアクセス権割当情報IDと、引数で与えられたオブジェクト種別とに基づいて、該当するアクセス権情報のIDをアクセス権割当情報管理部25から取得する。
その後、引数で与えられた登録情報と、取得したアクセス権情報IDと、その取得に用いたアクセス権割当情報IDとに基づいてオブジェクト登録処理を呼び出して、これらを関連付けたデータ(オブジェクト情報)をオブジェクト情報管理部26に登録する。
図16は、アクセス可否判定の処理の流れの一例を示すシーケンス図である。
本例のアクセス可否判定処理では、引数として、判定対象となるオブジェクトの識別子である対象objID、対象オブジェクトについて判定する権限を指定する必要権限セット、が与えられる。なお、アクセス可否判定処理は、オブジェクトの登録処理の際に当該オブジェクトが登録される親オブジェクトに対する権限の確認のために呼び出されるほか、オブジェクトの内容変更や削除等の各種の処理を実行する際にも、その処理を実行する権限の確認のために呼び出される。
本例のアクセス可否判定処理では、引数として、判定対象となるオブジェクトの識別子である対象objID、対象オブジェクトについて判定する権限を指定する必要権限セット、が与えられる。なお、アクセス可否判定処理は、オブジェクトの登録処理の際に当該オブジェクトが登録される親オブジェクトに対する権限の確認のために呼び出されるほか、オブジェクトの内容変更や削除等の各種の処理を実行する際にも、その処理を実行する権限の確認のために呼び出される。
アクセス可否判定処理が呼び出されると、アクセス可否判定部23は、引数で与えられた対象objIDに基づいて、対象オブジェクトに設定されたアクセス権情報のIDをオブジェクト情報管理部26から取得する。
次に、取得したアクセス権情報IDに基づいて、対象オブジェクトに設定されたアクセス権情報をアクセス権情報管理部24から取得する。
その後、引数で与えられた必要権限セットと取得したアクセス権情報とを比較して、取得したアクセス権情報に必要権限セットで指定された権限が含まれるか否かを判定し、権限が含まれない場合にはアクセス権エラーとして、対象オブジェクトに対する処理を拒否させる。
次に、取得したアクセス権情報IDに基づいて、対象オブジェクトに設定されたアクセス権情報をアクセス権情報管理部24から取得する。
その後、引数で与えられた必要権限セットと取得したアクセス権情報とを比較して、取得したアクセス権情報に必要権限セットで指定された権限が含まれるか否かを判定し、権限が含まれない場合にはアクセス権エラーとして、対象オブジェクトに対する処理を拒否させる。
図17は、フォルダの階層構造において上位階層のフォルダからアクセス権割当を継承する場合において、継承するアクセス権割当情報を取得する処理の流れの一例を示すシーケンス図である。
本例の継承アクセス権割当取得処理では、引数として、アクセス権の継承元となる親オブジェクトのIDが与えられる。
本例の継承アクセス権割当取得処理では、引数として、アクセス権の継承元となる親オブジェクトのIDが与えられる。
継承アクセス権割当取得処理が呼び出されると、処理実行制御部22は、引数で与えられた親オブジェクトIDに基づいて、親オブジェクトに設定されたアクセス権情報のIDをオブジェクト情報管理部26から取得する。また、親オブジェクトの種別も併せて取得しておく。
次に、取得した親オブジェクトの種別と、取得したアクセス権情報IDとに基づいて、親オブジェクトに対するアクセス権設定に使用されたアクセス権割当情報のIDをアクセス権割当情報管理部25から取得する。
その後、取得したアクセス権割当情報IDを、継承アクセス権割当取得処理の呼び出し元に処理結果として出力する。
次に、取得した親オブジェクトの種別と、取得したアクセス権情報IDとに基づいて、親オブジェクトに対するアクセス権設定に使用されたアクセス権割当情報のIDをアクセス権割当情報管理部25から取得する。
その後、取得したアクセス権割当情報IDを、継承アクセス権割当取得処理の呼び出し元に処理結果として出力する。
図18は、応用例として、アクセス権割当情報の生成方法の一例を示している。
この例では、アクセス権情報210〜213とアクセス権割当情報220は、共に基本アクセス権情報250に基づいて生成される。オブジェクトへのアクセス権設定は基本アクセス権情報によって行われる。図18では、フォルダ200に対して基本アクセス権情報250によってアクセス権を設定することを示している。
基本アクセス権情報は、オブジェクト種別毎にアクセス権を定義する。これは権限をオブジェクト種別毎に詳細に分割したACLでも良いし、別の形式の情報(例えば、XML(Extensible Markup Language)やJSON(JavaScript Object Notation)などの構造化テキストデータ)でも良い。
この例では、アクセス権情報210〜213とアクセス権割当情報220は、共に基本アクセス権情報250に基づいて生成される。オブジェクトへのアクセス権設定は基本アクセス権情報によって行われる。図18では、フォルダ200に対して基本アクセス権情報250によってアクセス権を設定することを示している。
基本アクセス権情報は、オブジェクト種別毎にアクセス権を定義する。これは権限をオブジェクト種別毎に詳細に分割したACLでも良いし、別の形式の情報(例えば、XML(Extensible Markup Language)やJSON(JavaScript Object Notation)などの構造化テキストデータ)でも良い。
基本アクセス権情報250を対象オブジェクト200に関連付けてアクセス権を設定すると、基本アクセス権情報250の内容に基づいて対象オブジェクト200のオブジェクト種別に応じたアクセス権情報(ACL)210を生成して対象オブジェクト200に関連付けると共に、アクセス権割当情報220を生成して対象オブジェクトのオブジェクト種別とアクセス権情報(ACL)とを対応付けたアクセス権決定情報222を格納する。
親オブジェクトからアクセス権を継承する場合は、前述したように、親オブジェクトのアクセス権情報からアクセス権割当情報を取得してオブジェクト種別に対応するACLを取得する。アクセス権割当情報からACLが取得できる場合には基本アクセス権情報は参照されない。
一方、アクセス権割当情報からオブジェクト種別に対応するACLが取得できない場合、特に対象のオブジェクト種別に対するACLがアクセス権割当情報に格納されていない場合には、アクセス権割当情報から対応する基本アクセス権情報を取得し、基本アクセス権情報の内容に基づいてACLを生成してアクセス権割当情報に格納すると共に、対象オブジェクトに関連付ける。
アクセス権を変更する場合は、基本アクセス権情報の内容に対して変更を行い、それに基づいてアクセス権割当情報を経由して得られる各ACLの内容を変更する。
一方、アクセス権割当情報からオブジェクト種別に対応するACLが取得できない場合、特に対象のオブジェクト種別に対するACLがアクセス権割当情報に格納されていない場合には、アクセス権割当情報から対応する基本アクセス権情報を取得し、基本アクセス権情報の内容に基づいてACLを生成してアクセス権割当情報に格納すると共に、対象オブジェクトに関連付ける。
アクセス権を変更する場合は、基本アクセス権情報の内容に対して変更を行い、それに基づいてアクセス権割当情報を経由して得られる各ACLの内容を変更する。
この応用例の方法は、オブジェクト種別が多い場合でも、オブジェクト種別毎にアクセス権設定を分けることが可能で、且つアクセス権判定処理で使用するアクセス権情報(ACL)を拡張する必要がなく、アクセス権を継承する処理では親オブジェクトだけ参照すれば済むので容易であり、設定したアクセス権の内容を変更する場合でも低コストで処理可能である。
図19は、本例のアクセス権管理システムに設けられるコンピュータにおける主要なハードウェアを例示している。
本例では、各種演算処理を行うCPU51、CPU51の作業領域となるRAM52や基本的な制御プログラムを記録したROM53等の主記憶装置、本発明の一実施形態に係るプログラムや各種データを記憶する補助記憶装置(例えば、HDD等の磁気ディスクや、フラッシュメモリ等の書き換え可能な不揮発性メモリなど)54、各種情報を表示出力するための表示装置や操作者により入力操作に用いられる操作ボタンやタッチパネル等の入力機器とのインタフェースである入出力I/F55、他の装置との間で有線又は無線により通信を行うインタフェースである通信I/F56、等のハードウェア資源を有するコンピュータにより構成されている。
そして、本発明の一実施形態に係るプログラムを補助記憶装置54等から読み出してRAM52に展開し、これをCPU51により実行させることで、本発明の一実施形態に係るアクセス権設定装置の機能をコンピュータ上に実現している。
本例では、各種演算処理を行うCPU51、CPU51の作業領域となるRAM52や基本的な制御プログラムを記録したROM53等の主記憶装置、本発明の一実施形態に係るプログラムや各種データを記憶する補助記憶装置(例えば、HDD等の磁気ディスクや、フラッシュメモリ等の書き換え可能な不揮発性メモリなど)54、各種情報を表示出力するための表示装置や操作者により入力操作に用いられる操作ボタンやタッチパネル等の入力機器とのインタフェースである入出力I/F55、他の装置との間で有線又は無線により通信を行うインタフェースである通信I/F56、等のハードウェア資源を有するコンピュータにより構成されている。
そして、本発明の一実施形態に係るプログラムを補助記憶装置54等から読み出してRAM52に展開し、これをCPU51により実行させることで、本発明の一実施形態に係るアクセス権設定装置の機能をコンピュータ上に実現している。
なお、本例のアクセス権管理システムでは、各機能部を複数台のコンピュータに分散して設けているが、1台のコンピュータに設ける構成としてもよい。
また、本発明の一実施形態に係るプログラムは、例えば、当該プログラムを記憶したCD−ROM等の外部記憶媒体から読み込む形式や、通信回線等を介して受信する形式などにより、本例に係るコンピュータに設定される。
また、本例のようなソフトウェア構成により各機能部を実現する態様に限られず、それぞれの機能部を専用のハードウェアモジュールで実現するようにしてもよい。
また、本発明の一実施形態に係るプログラムは、例えば、当該プログラムを記憶したCD−ROM等の外部記憶媒体から読み込む形式や、通信回線等を介して受信する形式などにより、本例に係るコンピュータに設定される。
また、本例のようなソフトウェア構成により各機能部を実現する態様に限られず、それぞれの機能部を専用のハードウェアモジュールで実現するようにしてもよい。
10:アプリケーション、 20:文書管理サーバー、 21:処理要求受付部、 22:処理実行制御部、 23:アクセス可否判定部、 24:アクセス権情報管理部、 25:アクセス権割当情報管理部、 26:オブジェクト情報管理部
Claims (9)
- コンピュータに、
電子データに対するアクセス権情報の設定を要求する設定要求を受け付ける要求受付機能と、
電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めた割当情報を記憶する割当記憶手段の記憶内容に基づき、前記要求受付機能による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報を取得し、電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権記憶手段に当該取得したアクセス権情報を記憶させる処理を実行する処理実行機能と、
を実現させるためのアクセス権設定プログラム。 - 前記要求受付機能は、割当情報の指定を含む設定要求を受け付け可能であり、
前記処理実行機能は、前記設定要求に割当情報の指定が含まれる場合には、当該指定された割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、
ことを特徴とする請求項1に記載のアクセス権設定プログラム。 - 前記処理実行機能は、前記設定対象の電子データに関連付けられた別の電子データに対するアクセス権情報の設定処理に使用された割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、
ことを特徴とする請求項1又は請求項2に記載のアクセス権設定プログラム。 - 前記処理実行機能は、前記設定対象の電子データに関連付けられた別の電子データの種別と当該別の電子データに対して設定されたアクセス権情報とに基づいて特定される割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、
ことを特徴とする請求項3に記載のアクセス権設定プログラム。 - 前記処理実行機能は、電子データに対するアクセス権情報の設定処理に使用した割当情報を当該電子データに対応付けて記憶させており、前記設定対象の電子データに関連付けられた別の電子データに対応付けられている割当情報に基づいて、前記設定対象の電子データの種別に対応するアクセス権情報を取得する、
ことを特徴とする請求項3に記載のアクセス権設定プログラム。 - 前記設定対象の電子データに関連付けられた別の電子データは、前記設定対象の電子データに対して親の関係にある電子データである、
ことを特徴とする請求項1から請求項5のいずれか1項に記載のアクセス権設定プログラム。 - 前記処理実行機能は、前記設定対象の電子データの種別に対応するアクセス権情報が前記割当情報で定められていない場合には、設定内容が空のアクセス権情報を当該電子データに対応付ける、
ことを特徴とする請求項1から請求項6のいずれか1項に記載のアクセス権設定プログラム。 - 電子データに対するアクセス権情報の設定を要求する設定要求を受け付ける要求受付手段と、
電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めた割当情報を記憶する割当記憶手段の記憶内容に基づき、前記要求受付手段による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報を取得し、電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権記憶手段に当該取得したアクセス権情報を記憶させる処理を実行する処理実行手段と、
を備えたことを特徴とするアクセス権設定装置。 - 電子データに対する処理の許否判定に使用されるアクセス権情報を当該電子データに対応付けて記憶するアクセス権記憶手段と、
電子データの種別と当該種別の電子データに対して設定するアクセス権情報とを定めた割当情報を記憶する割当記憶手段と、
電子データに対するアクセス権情報の設定要求を受け付ける要求受付手段と、
前記要求受付手段による設定要求の受け付けに応じて、設定対象となる電子データの種別に対応するアクセス権情報を前記割当記憶手段に記憶されている割当情報に基づいて取得して前記アクセス権記憶手段に記憶させる処理を実行する処理実行手段と、
を備えたことを特徴とするアクセス権管理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010014976A JP2011154496A (ja) | 2010-01-27 | 2010-01-27 | アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010014976A JP2011154496A (ja) | 2010-01-27 | 2010-01-27 | アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011154496A true JP2011154496A (ja) | 2011-08-11 |
Family
ID=44540415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010014976A Pending JP2011154496A (ja) | 2010-01-27 | 2010-01-27 | アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011154496A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013196229A (ja) * | 2012-03-19 | 2013-09-30 | Fuji Xerox Co Ltd | 情報処理装置及び情報処理プログラム |
JP2013196325A (ja) * | 2012-03-19 | 2013-09-30 | Toshiba Corp | 権限変更装置、作成装置及びプログラム |
JP2015022750A (ja) * | 2013-12-18 | 2015-02-02 | 富士ゼロックス株式会社 | 情報処理システム及びプログラム |
JP2015162058A (ja) * | 2014-02-27 | 2015-09-07 | 富士ゼロックス株式会社 | 情報処理システム及びプログラム |
JP2018180681A (ja) * | 2017-04-05 | 2018-11-15 | 株式会社ドワンゴ | 端末装置のアプリケーションプログラム、端末装置の制御方法、端末装置、および生放送配信サーバのプログラム |
JP2022507092A (ja) * | 2018-12-03 | 2022-01-18 | ベリタス テクノロジーズ エルエルシー | 情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法 |
-
2010
- 2010-01-27 JP JP2010014976A patent/JP2011154496A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013196229A (ja) * | 2012-03-19 | 2013-09-30 | Fuji Xerox Co Ltd | 情報処理装置及び情報処理プログラム |
JP2013196325A (ja) * | 2012-03-19 | 2013-09-30 | Toshiba Corp | 権限変更装置、作成装置及びプログラム |
JP2015022750A (ja) * | 2013-12-18 | 2015-02-02 | 富士ゼロックス株式会社 | 情報処理システム及びプログラム |
JP2015162058A (ja) * | 2014-02-27 | 2015-09-07 | 富士ゼロックス株式会社 | 情報処理システム及びプログラム |
JP2018180681A (ja) * | 2017-04-05 | 2018-11-15 | 株式会社ドワンゴ | 端末装置のアプリケーションプログラム、端末装置の制御方法、端末装置、および生放送配信サーバのプログラム |
US11399212B2 (en) | 2017-04-05 | 2022-07-26 | Dwango Co., Ltd. | Terminal device application program, terminal device control method, terminal device, and live broadcast distribution server program providing questionnaire creation by terminal device |
JP2022507092A (ja) * | 2018-12-03 | 2022-01-18 | ベリタス テクノロジーズ エルエルシー | 情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10324909B2 (en) | Omega names: name generation and derivation utilizing nested three or more attributes | |
CA3104312C (en) | Systems and methods for storing object state on hash chains | |
JP2009123022A (ja) | 文書管理装置、文書管理方法、プログラム及び記憶媒体 | |
JP2005346717A (ja) | データソースを発見して接続するための方法、システムおよび装置 | |
JP2011154496A (ja) | アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム | |
CN112860777B (zh) | 数据处理方法、装置及设备 | |
US20200225916A1 (en) | Method and system for configuring processes of software applications using activity fragments | |
CN105074652B (zh) | 用于向打印机远程提供应用功能的方法和计算机系统 | |
CN111818175A (zh) | 企业服务总线配置文件生成方法、装置、设备和存储介质 | |
US20110010754A1 (en) | Access control system, access control method, and recording medium | |
US20210117391A1 (en) | External data repository file integration using a virtual file system | |
US11294666B1 (en) | Data structures for managing configuration versions of cloud-based applications | |
US11080043B1 (en) | Data structures for managing configuration versions of cloud-based applications | |
CA3089293C (en) | Systems and methods for hash chain migration | |
CN112000971A (zh) | 一种文件权限记录方法、系统及相关装置 | |
KR102014500B1 (ko) | 드릴-다운 슬라이드 프리젠테이션 콘텐츠 생성 방법 및 장치, 드릴-다운 슬라이드 프리젠테이션 콘텐츠 배포 방법 및 장치, 드릴-다운 슬라이드 프리젠테이션 콘텐츠 재생 방법 및 장치, 및 드릴-다운 프리젠테이션 콘텐츠 배포 및 재생 시스템 | |
CA3089289C (en) | System and methods for loading objects from hash chains | |
JP7381290B2 (ja) | 計算機システム及びデータの管理方法 | |
JP7173619B2 (ja) | 脆弱性情報管理装置、脆弱性情報管理方法、およびプログラム | |
JPH0850559A (ja) | ファイル記憶保護装置 | |
JP6366457B2 (ja) | 情報共有装置、及び、情報共有方法 | |
JP7119448B2 (ja) | 情報処理装置及び情報処理プログラム | |
CN117272374A (zh) | 权限的控制方法及相关设备 | |
CN116880927A (zh) | 规则管理方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110505 |