JP2011227697A - アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ - Google Patents
アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ Download PDFInfo
- Publication number
- JP2011227697A JP2011227697A JP2010096717A JP2010096717A JP2011227697A JP 2011227697 A JP2011227697 A JP 2011227697A JP 2010096717 A JP2010096717 A JP 2010096717A JP 2010096717 A JP2010096717 A JP 2010096717A JP 2011227697 A JP2011227697 A JP 2011227697A
- Authority
- JP
- Japan
- Prior art keywords
- access right
- information
- web system
- request
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できるアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバを提供する。
【解決手段】アクセス権管理システム1は、ユーザからのWebシステムAへの転送サービスへのリクエストをユーザ端末2から受信し、リクエストを送信したユーザのアクセス権設定情報をアクセス権設定情報記憶部12から取得して、リクエストを送信したユーザにアクセス権限があるかどうかを判定し、アクセス権がある場合のみサービス対応情報記憶部15から転送先Webシステム、転送先サービス、パラメータ変換ルールを取得し、ルールに従ってパラメータ変換して転送リクエストを組み立て、WebシステムAにリクエストを転送し、WebシステムAから返却されたレスポンスを受信し、ユーザ端末2にレスポンスを返却する。
【選択図】図5
【解決手段】アクセス権管理システム1は、ユーザからのWebシステムAへの転送サービスへのリクエストをユーザ端末2から受信し、リクエストを送信したユーザのアクセス権設定情報をアクセス権設定情報記憶部12から取得して、リクエストを送信したユーザにアクセス権限があるかどうかを判定し、アクセス権がある場合のみサービス対応情報記憶部15から転送先Webシステム、転送先サービス、パラメータ変換ルールを取得し、ルールに従ってパラメータ変換して転送リクエストを組み立て、WebシステムAにリクエストを転送し、WebシステムAから返却されたレスポンスを受信し、ユーザ端末2にレスポンスを返却する。
【選択図】図5
Description
本発明は、サービスを提供するWebシステムへのアクセスを制御するアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバに関する。
従来のWebシステムでは、自身のWebシステムもしくは連携した認可システムでアクセス権の設定情報を保有管理しており、Webシステムにアクセスしてきたユーザがサービスを利用する権限があるかどうかの判定は、自身のWebシステムもしくは連携した認可システムが行っていた。
図6は、Webシステムへのアクセスを制御する従来のシステム構成の一例を示す図である。Webシステム31は、掲示板Aに対して内容の書き込みができる掲示版書き込みサービスと、掲示板Aに対して既存の書き込み内容の削除ができる掲示板内容削除サービスと、掲示板Aに対して既存の書き込み内容の参照ができる掲示板内容確認サービスを提供している。また、Webシステム31は、ユーザ毎のアクセス権設定情報を保持するアクセス権設定情報記憶部33を備えている。図7は、アクセス権設定情報記憶部33に保持されるアクセス権設定情報の一例を示す図である。
図8は、図6に示すWebシステムの掲示板Aへの追記書き込み時における動作を説明するフロー図である。ユーザXがユーザ端末32を使用してWebシステム31へのログインを行うと(S201)、ユーザ端末32は、Webシステム31へのログインリクエストを行う(S202)。Webシステム31は、ログインリクエストを受信すると、ユーザXを認証し、セッションを保持し(S203)、Webシステム31が提供する、例えば、掲示板書き込みサービス、掲示板内容削除サービス、掲示板内容確認サービスのサービスメニュー情報をユーザ端末32に送信する(S204)。
ユーザXにより、例えば、掲示板Aへの書き込み処理リクエストが入力されると(S205)、ユーザ端末32は、Webシステム31の掲示板書き込みサービスへのリクエストを行う(S206)。インプットパラメータは、掲示板Aへの書き込み内容である。Webシステム31は、リクエストを受信すると、ユーザXのアクセス権設定情報をアクセス権設定情報記憶部33から取得し(S207)、リクエスト内容(掲示板Aへの書き込み)と取得したユーザXのアクセス権設定情報(掲示板書き込みサービス:可)からユーザXが掲示板Aへ書き込みができるかを判定する(S208)。この場合、アクセス権有りと判定する。
アクセス権有りの場合、リクエストに応じた処理を行う(S209)。この場合、掲示板Aが既に存在していれば、リクエストで受信した書き込み内容を掲示板Aに追記し、追記された掲示板Aの画面情報を生成する。掲示板が存在しなければ書き込み内容の掲示板Aを新規作成し、新規作成された掲示板Aの画面情報を生成する。そして、Webシステム31は、処理結果として、書き込み内容が追記された掲示板Aの画面情報または新規作成された掲示板Aの画面情報をユーザ端末32に送信し(S210)、ユーザ端末32は、掲示板Aの画面情報を表示する(S211)。
アクセス権が無い場合、Webシステム31は、処理結果として、アクセス権なしエラー画面をユーザ端末32に送信し(S212)、ユーザ端末32は、アクセス権なしエラー画面情報を表示する(S213)。
アクセス権が無い場合、Webシステム31は、処理結果として、アクセス権なしエラー画面をユーザ端末32に送信し(S212)、ユーザ端末32は、アクセス権なしエラー画面情報を表示する(S213)。
IPA、情報セキュリティ、セキュア・プログラミング講座、Webアプリケーション編、"第2章アクセス制御対策 アクセス認可対策"、情報処理推進機構、[online]、[2010年3月10日検索]インターネット<URL:http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/102.html>
上述したWebシステムの掲示版書き込みサービスでは、掲示板に対する書き込み内容をインプットパラメータとして受信し、掲示板が既に存在すれば掲示板への追記を行い、掲示板が存在しなければ掲示板を新規作成しており、ユーザに書き込み権限があれば、新規作成と追記のどちらでも行うことが可能な制御をしている。
ここで、Webシステムの掲示板への書き込み権限の判定を、新規作成と追記に分けて管理する必要があるとする。既存技術では、Webシステムに掲示板新規書き込みサービスと掲示板追記書き込みサービスを作成し、既存のアクセス権設定情報を新規書き込みと追記書き込みに分け、アクセス権判定の処理内容を新規作成の書き込みと追記の書き込みに分ける必要があり、大きな改造が必要となる。
ここで、Webシステムの掲示板への書き込み権限の判定を、新規作成と追記に分けて管理する必要があるとする。既存技術では、Webシステムに掲示板新規書き込みサービスと掲示板追記書き込みサービスを作成し、既存のアクセス権設定情報を新規書き込みと追記書き込みに分け、アクセス権判定の処理内容を新規作成の書き込みと追記の書き込みに分ける必要があり、大きな改造が必要となる。
上述のように、書き込みというアクセス権判定をしているシステムにおいて、判定処理として新規書き込みと追記書き込みに分けて管理するよう処理を変更する場合のように、一度開発してしまったアクセス権判定の処理を詳細化して仕様変更する場合、Webシステムの大きな改造が必要となってしまい、仮にアクセス権の判定方法を変更する改造を実施しても、既に設定されている全てのアクセス権の設定情報を修正しないと変更内容を利用することができないため、ユーザや運用者の負担が大きくなってしまう。
本発明は、このような問題点に鑑みてなされたものであり、本発明の目的は、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できるアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバを提供することにある。
上記目的を達成するため、本発明は、ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるシステムのアクセス制御方法であって、前記アクセス権管理サーバの処理手順が、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、前記パラメータを、前記転送先Webシステムに転送するステップと、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、前記処理結果の情報を前記ユーザ端末に送信するステップとを含むことを特徴とする。
上述した本発明のアクセス制御方法において、前記アクセス権管理サーバの処理手順は、前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことが好ましい。
また、本発明は、ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるアクセス制御システムであって、前記アクセス権管理サーバが、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部とを備えることを特徴とする。
上述した本発明のアクセス制御システムにおいて、前記アクセス権管理サーバは、エラーメッセージの画面情報を生成するエラー生成部を更に備え、前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することが好ましい。
また、本発明は、ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバであって、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部とを備えることを特徴とする。
上述した本発明のアクセス権管理サーバは、エラーメッセージの画面情報を生成するエラー生成部を更に備え、前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することが好ましい。
また、本発明は、ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバとして構成するコンピュータに、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、前記パラメータを、前記転送先Webシステムに転送するステップと、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、前記処理結果の情報を前記ユーザ端末に送信するステップとを実行させるためのプログラムとしての特徴を有する。
上述した本発明のプログラムは、前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことが好ましい。
本発明は、アクセス権管理サーバがアクセス権の判定処理を行うことにより、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
本発明の実施の形態について図面を参照して説明する。図1は、本発明のアクセス制御システムの構成を示す図である。本発明のアクセス制御システムは、アクセス権管理サーバ1と、ユーザ端末2と、Webシステム3からなる。アクセス権管理サーバ1と、ユーザ端末2と、Webシステム3は、互いにネットワークを介して接続されている。また、アクセス権管理サーバ1には、少なくとの1つのWebシステム3が接続されており、その1つを、以下では、WebシステムAという。
アクセス権管理サーバ1は、WebシステムAが提供する掲示版書き込みサービスに、掲示板Aに対しての内容の新規書き込みを転送する掲示板新規書き込み転送サービスと、WebシステムAが提供する掲示版書き込みサービスに、掲示板Aに対しての内容の追記書き込みを転送する掲示板追記書き込み転送サービスと、WebシステムAが提供する掲示版内容削除サービスに、掲示板Aに対しての既存の書き込み内容削除を転送する掲示板内容削除転送サービスと、WebシステムAが提供する掲示版内容確認サービスに、掲示板Aに対しての既存の書き込み内容参照を転送する掲示板内容確認転送サービスを提供する。
また、アクセス権管理サーバ1は、ユーザ毎のアクセス権設定情報を保持するアクセス権設定情報記憶部12と、サービス毎のサービス対応情報を保持するサービス対応情報記憶部15を備えている。
また、アクセス権管理サーバ1は、ユーザ毎のアクセス権設定情報を保持するアクセス権設定情報記憶部12と、サービス毎のサービス対応情報を保持するサービス対応情報記憶部15を備えている。
WebシステムAは、掲示板Aに対して内容の書き込みができる掲示版書き込みサービスと、掲示板Aに対して既存の書き込み内容の削除ができる掲示板内容削除サービスと、掲示板Aに対して既存の書き込み内容の参照ができる掲示板内容確認サービスを提供している。掲示版書き込みサービスでは、書き込みのリクエストがあったときに掲示板Aが存在しない場合は新規に掲示板Aが作成され、存在する場合は掲示板Aに追記される。
図2は、アクセス権管理サーバの構成を示す図である。アクセス権管理サーバ1は、処理要求受信部は11と、アクセス権設定情報記憶部12と、アクセス権設定情報取得部13と、アクセス権判定部14と、サービス対応情報記憶部15と、サービス対応情報取得部16と、パラメータ変換部17と、処理要求転送部18と、処理結果受信部19と、処理結果(エラー)生成部20と、処理結果送信部21とを備える。アクセス権管理サーバ1は、アクセス権管理サーバの各機能を実現する処理内容を記述したプログラムを、当該サーバの記憶部に格納しておき、当該サーバの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
処理要求受信部11は、ユーザ端末2からアクセス権管理サーバ1のサービスへの処理リクエスト(WebシステムAに転送する処理リクエスト)をネットワークを経由して受信する。インプットパラメータとして、ユーザ識別情報、サービスへのリクエスト内容を受信する。
アクセス権設定情報記憶部12は、どの識別情報のユーザが、アクセス権管理サーバ1のどのサービスを、利用可/利用不可であるかというレコードを保持している。図3は、アクセス権設定情報記憶部12に保持されるアクセス権設定情報の一例を示す図である。例えば、ユーザXは、WebシステムAへの掲示板追記書き込み転送サービスを利用可としている。
アクセス権設定情報記憶部12は、どの識別情報のユーザが、アクセス権管理サーバ1のどのサービスを、利用可/利用不可であるかというレコードを保持している。図3は、アクセス権設定情報記憶部12に保持されるアクセス権設定情報の一例を示す図である。例えば、ユーザXは、WebシステムAへの掲示板追記書き込み転送サービスを利用可としている。
アクセス権設定情報取得部13は、アクセス権設定情報記憶部12から、リクエスト送信者のユーザ識別情報をキーとして、送信者のアクセス権設定情報の一覧を取得する。
アクセス権判定部14は、取得したアクセス権設定情報の一覧に、リクエストされたアクセス権管理サーバ1のサービスが存在するか否かを判定し、さらに、アクセス権が有るか否かを判定する。一覧にサービスが存在し、アクセス権が有る場合、サービス対応情報取得部16に処理を引き継ぎ、一覧にサービスが存在しない、もしくはアクセス権が無い場合、処理結果(エラー)生成部20に処理を引き継ぐ。
アクセス権判定部14は、取得したアクセス権設定情報の一覧に、リクエストされたアクセス権管理サーバ1のサービスが存在するか否かを判定し、さらに、アクセス権が有るか否かを判定する。一覧にサービスが存在し、アクセス権が有る場合、サービス対応情報取得部16に処理を引き継ぎ、一覧にサービスが存在しない、もしくはアクセス権が無い場合、処理結果(エラー)生成部20に処理を引き継ぐ。
サービス対応情報記憶部15は、アクセス権管理サーバ1のどのサービスが、どのWebシステムの、どのサービスに、どのようなルールでパラメータ変換して転送するか、という情報を保持している。図4は、サービス対応情報記憶部15に保持されるサービス対応情報の一例を示す図である。例えば、WebシステムAへの掲示板追記書き込み転送サービスでは、WebシステムAの掲示板書き込みサービスに、インプットパラメータの書き込み内容(掲示板Aへの追記書き込み内容)をWebシステムAの掲示板書き込みサービスへのパラメータとして設定している。
サービス対応情報取得部16は、サービス対応情報記憶部15から、処理リクエストを転送する転送先Webシステム、転送先サービス、パラメータ変換ルールを取得する。
パラメータ変換部17は、取得したサービス対応情報のパラメータ変換ルールと送信された処理リクエストから、転送するパラメータを組み立てる。
サービス対応情報取得部16は、サービス対応情報記憶部15から、処理リクエストを転送する転送先Webシステム、転送先サービス、パラメータ変換ルールを取得する。
パラメータ変換部17は、取得したサービス対応情報のパラメータ変換ルールと送信された処理リクエストから、転送するパラメータを組み立てる。
処理要求転送部18は、パラメータ変換部17で変換したパラメータを、サービス対応情報取得部16で取得した転送先Webシステムの転送先サービスに転送する。
処理結果受信部19は、転送先Webシステムから返却される処理結果の情報をネットワークを経由して受信する。
処理結果(エラー)生成部20は、アクセス権がないというエラーメッセージの画面情報を生成する。
処理結果送信部21は、処理結果受信部19で受信した処理結果の情報、もしくは、処理結果(エラー)生成部20で生成されたエラーメッセージの情報をユーザ端末2に送信する。
処理結果受信部19は、転送先Webシステムから返却される処理結果の情報をネットワークを経由して受信する。
処理結果(エラー)生成部20は、アクセス権がないというエラーメッセージの画面情報を生成する。
処理結果送信部21は、処理結果受信部19で受信した処理結果の情報、もしくは、処理結果(エラー)生成部20で生成されたエラーメッセージの情報をユーザ端末2に送信する。
図5は、WebシステムAの掲示板Aへの追記書き込み時における動作を説明するフロー図である。ユーザXがユーザ端末2を使用してWebシステムAへのログインを行うと(S101)、ユーザ端末2は、WebシステムAへのログインリクエストを行う(S102)。WebシステムAは、ログインリクエストを受信すると、ユーザXのIDとパスワードによりユーザXを認証し、セッションを保持し(S103)、アクセス権管理サーバ1がWebシステムAへの転送用に提供するサービスメニューの情報、例えば、WebシステムAへの掲示板新規書き込み転送サービス、WebシステムAへの掲示板追記書き込み転送サービス、WebシステムAへの掲示板内容削除転送サービス、WebシステムAへの掲示板内容確認転送サービスのサービスメニュー情報をユーザ端末2に送信する(S104)。
ユーザXが、WebシステムAの掲示板書き込みサービスにおいて掲示板Aへの追記書き込みを行うために、ユーザ端末2の画面に表示されたサービスメニューから、WebシステムAに転送する処理リクエストを入力すると(S105)、ユーザ端末2は、アクセス権管理サーバ1のWebシステムAへの掲示板追記書き込み転送サービスへリクエストを行う(S106)。インプットパラメータは、ユーザXの識別情報と掲示板Aへの追記書き込み内容である。アクセス権管理サーバ1の処理要求受信部11が、リクエストを受信すると、アクセス権管理サーバ1のアクセス権設定情報取得部13は、ユーザXの識別情報をキーに、アクセス権設定情報記憶部12からアクセス権設定情報一覧を取得する(S107)。ユーザXは、WebシステムAへの掲示板追記書き込み転送と、WebシステムAへの掲示板内容確認転送が利用可能である。アクセス権判定部14は、リクエストされたWebシステムAへの掲示板追記書き込み転送サービスと、取得したユーザXのアクセス権設定情報から、ユーザXが、WebシステムAへの掲示板追記書き込み転送サービスを実行できるかを判定する(S108)。ユーザXは、WebシステムAへの掲示板追記書き込み転送が利用可であるので、アクセス権有りと判定する。
アクセス権有りの場合、サービス対応情報取得部16は、リクエストを受けたサービスをキーに、サービス対応情報記憶部15から転送先Webシステム、転送先のサービス、転送先へのパラメータ変換ルールを取得する(S109)。この場合、リクエストを受けたサービスが、WebシステムAへの掲示板追記書き込み転送サービスなので、受信したパラメータ(掲示板Aへの追記書き込み内容)をパラメータ(掲示板Aへの書き込み内容)に設定してWebシステムAの掲示板書き込みサービスに転送するという情報を取得する。
次に、パラメータ変換部17は、取得したサービス対応情報から転送するパラメータを組み立てる(S110)。この場合、リクエストを受けたサービスが、WebシステムAへの掲示板追記書き込み転送サービスなので、受信した掲示板Aへの追記書き込み内容を転送パラメータ(掲示板Aへの書き込み内容)に設定する。次に、処理要求転送部18は、WebシステムAの掲示板書き込みサービスへリクエストを行い(S111)、WebシステムAは、リクエストに応じた処理を行う(S112)。WebシステムAは、追記書き込み内容を掲示板Aに追記し、追記された画面を生成する。そして、WebシステムAは、処理結果として、追記書き込み内容が追記された掲示板Aの画面情報をアクセス権管理サーバ1の処理結果受信部19に送信し(S113)、アクセス権管理サーバ1の処理結果送信部21は、追記書き込み内容が追記された掲示板Aの画面情報をユーザ端末2に送信し(S114)、ユーザ端末2は、追記された掲示板Aの画面情報を表示する(S115)。
アクセス権判定(S108)においてアクセス権が無い場合、処理結果(エラー)生成部20は、処理結果として、アクセス権なしのエラーメッセージの画面情報を生成し、理結果送信部21は、エラーメッセージの画面情報をユーザ端末2に送信し(S116)、ユーザ端末2は、アクセス権なしエラー画面を表示する(S117)。
上述のように、本発明では、アクセス権管理サーバがアクセス権の判定処理を行うので、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
1 アクセス権管理サーバ
2,32 ユーザ端末
3,31 Webシステム
11 処理要求受信部
12,33 アクセス権設定情報記憶部
13 アクセス権設定情報取得部
14 アクセス権判定部
15 サービス対応情報記憶部
16 サービス対応情報取得部
17 パラメータ変換部
18 処理要求転送部
19 処理結果受信部
20 処理結果(エラー)生成部
21 処理結果送信部
2,32 ユーザ端末
3,31 Webシステム
11 処理要求受信部
12,33 アクセス権設定情報記憶部
13 アクセス権設定情報取得部
14 アクセス権判定部
15 サービス対応情報記憶部
16 サービス対応情報取得部
17 パラメータ変換部
18 処理要求転送部
19 処理結果受信部
20 処理結果(エラー)生成部
21 処理結果送信部
Claims (8)
- ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるシステムのアクセス制御方法であって、
前記アクセス権管理サーバの処理手順は、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、
前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、
前記パラメータを、前記転送先Webシステムに転送するステップと、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、
前記処理結果の情報を前記ユーザ端末に送信するステップと、
を含むことを特徴とするアクセス制御方法。 - 前記アクセス権管理サーバの処理手順は、
前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことを特徴とする請求項1に記載のアクセス制御方法。 - ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるアクセス制御システムであって、
前記アクセス権管理サーバは、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、
前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、
前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、
前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、
前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、
前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部と、
を備えることを特徴とするアクセス制御システム。 - 前記アクセス権管理サーバは、
エラーメッセージの画面情報を生成するエラー生成部を更に備え、
前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することを特徴とする請求項3に記載のアクセス制御システム。 - ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバであって、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、
前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、
前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、
前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、
前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、
前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部と、
を備えることを特徴とするアクセス権管理サーバ。 - エラーメッセージの画面情報を生成するエラー生成部を更に備え、
前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することを特徴とする請求項5に記載のアクセス権管理サーバ。 - ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバとして構成するコンピュータに、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、
前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、
前記パラメータを、前記転送先Webシステムに転送するステップと、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、
前記処理結果の情報を前記ユーザ端末に送信するステップと、
を実行させるためのプログラム。 - 前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことを特徴とする請求項7に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010096717A JP2011227697A (ja) | 2010-04-20 | 2010-04-20 | アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010096717A JP2011227697A (ja) | 2010-04-20 | 2010-04-20 | アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011227697A true JP2011227697A (ja) | 2011-11-10 |
Family
ID=45042971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010096717A Pending JP2011227697A (ja) | 2010-04-20 | 2010-04-20 | アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011227697A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013114614A (ja) * | 2011-11-30 | 2013-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システムとそのアクセス制御方法 |
| CN115292624A (zh) * | 2022-10-08 | 2022-11-04 | 成都同步新创科技股份有限公司 | 基于http协议的通用报文处理方法及装置 |
-
2010
- 2010-04-20 JP JP2010096717A patent/JP2011227697A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013114614A (ja) * | 2011-11-30 | 2013-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システムとそのアクセス制御方法 |
| CN115292624A (zh) * | 2022-10-08 | 2022-11-04 | 成都同步新创科技股份有限公司 | 基于http协议的通用报文处理方法及装置 |
| CN115292624B (zh) * | 2022-10-08 | 2023-08-04 | 成都同步新创科技股份有限公司 | 基于http协议的通用报文处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5614340B2 (ja) | システム、認証情報管理方法、およびプログラム | |
| US20180240130A1 (en) | System, information management method, and information processing apparatus | |
| KR20110100622A (ko) | 네트워크를 통해 자동으로 콘텐츠를 신디케이트하는 기술 | |
| JP2008532119A5 (ja) | ||
| KR20120002836A (ko) | 복수의 서비스에 대한 접근 제어 장치 및 방법 | |
| KR20130037434A (ko) | 클라우딩 네트워크에서 디바이스들 간에 멀티미디어 콘텐츠를 공유하기 위한 시스템 및 방법 | |
| JP2007323340A (ja) | アカウントリンクシステム,アカウントリンク用コンピュータ,およびアカウントリンク方法 | |
| KR20230003228A (ko) | 문서 공유 처리 방법, 장치, 기기, 매체와 시스템 | |
| US20240012641A1 (en) | Model construction method and apparatus, and medium and electronic device | |
| JP6119709B2 (ja) | サービスプロバイダ装置、プログラム及びサービス提供方法 | |
| WO2015196979A1 (en) | Web page information presentation method and system | |
| US11882154B2 (en) | Template representation of security resources | |
| JP2015075932A (ja) | 中継装置、中継システム及びプログラム | |
| WO2008061113A2 (en) | System and method for utilizing xml documents to transfer programmatic requests in a service oriented architecture | |
| US11729334B2 (en) | Communication system, device, and recording medium for remote access to electronic device through relaying device and converter | |
| US9032541B2 (en) | Information processing system, information processing apparatus, and computer-readable storage medium | |
| CN110968367A (zh) | 一种电商商品字段配置方法、装置、服务器及存储介质 | |
| JP6197286B2 (ja) | 通信装置、情報処理システム及び情報処理システムの制御方法 | |
| KR20090062797A (ko) | 레가시 디바이스의 원격 제어를 위한 동적 ui 시스템 및그 실행 방법 | |
| CN101283540B (zh) | 在数字权限管理中共享权限对象的方法及其装置和系统 | |
| JP5678893B2 (ja) | 属性情報連携提供システム、アクセス情報管理装置、アクセス情報代理管理装置、方法、およびプログラム | |
| JP2014183587A (ja) | Eppを介するインテリジェント多対多サービスのための方法およびシステム | |
| US11017029B2 (en) | Data transfer system, data transfer apparatus, data transfer method, and computer-readable recording medium | |
| JP2008158695A (ja) | オンラインサービスを提供する情報処理システム及びプログラム | |
| JP2011227697A (ja) | アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ |