JP2012133645A - 情報制御装置および情報制御プログラム - Google Patents
情報制御装置および情報制御プログラム Download PDFInfo
- Publication number
- JP2012133645A JP2012133645A JP2010286154A JP2010286154A JP2012133645A JP 2012133645 A JP2012133645 A JP 2012133645A JP 2010286154 A JP2010286154 A JP 2010286154A JP 2010286154 A JP2010286154 A JP 2010286154A JP 2012133645 A JP2012133645 A JP 2012133645A
- Authority
- JP
- Japan
- Prior art keywords
- information
- database
- tenant
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】
アプリケーションサーバ10からデータベースサーバ30に格納されているデータベース24へのアクセス要求としてデータソース6と、利用者のログイン時に指定される固有情報とが送信されると、データソース6を用いて該当のデータベースに接続する通信手段11と、データベース24のデータへのアクセス時には、固有情報をデータベースサーバ30に格納されているテーブル構造定義情報名とみなし、アクセス電文にテーブル構造定義情報名として固有情報を付加するアプリケーション固有情報付加手段13と、アプリケーション固有情報付加手段13が構成した固有情報を含むアクセス電文にて、上記データベースサーバのデータベースにアクセスする処理手段12とを備えたことを特徴とする情報制御装置。
【選択図】図1
Description
(1)フールプルーフではない。
システムの運用者が、他のテナントのデータを閲覧できるデータベースIDをデータベースシステムへ設定する等、誤った操作をすると、他のテナントのデータが閲覧できてしまい、その点に対する安全対策が施されていない。そのため、他のテナントの機密情報が危険に晒されてしまう。
(2)(1)の問題点解決のため、テナントからの要求が適正なユーザシステムに送信されているかどうかをシステム側で立証する必要がある点。
(3)ネットワークを介して機密保護のための処理を行っており、処理時間を要する。
ネットワークを介して、クライアント側で格納された組織ID情報を応答の中の類似情報(態様としてはクッキーがあると考える)と比較することによって、アプリケーションサーバからの応答が実際に適正なユーザシステムに送信されているかどうかを立証している。ネットワークを介して比較する方法のため、比較に要する時間がかかる。
最初に、本実施の形態以降、各実施の形態の中で用いる用語について、説明する。
「テナント」とは、マルチアプリケーションシステムで該当のアプリケーションを利用する利用組織のことを示す。なお利用組織とは、1つの企業(団体)、1つの部門、または一人の利用者を表わし、利用組織の中には1人以上の利用者が含まれる。
端末装置200(200a、200b・・・)は、ネットワーク300を介してアプリケーションサーバ10とデータのやりとりを行う通信手段31、データの処理を行う処理手段32、入力されたデータを受け付ける入力手段33、表示装置に表示するためのデータを構成する表示手段34を備える。
一方、処理手段22はデータベースへのアクセスを行い、一致するスキーマ名が存在しないことが判明したときは、アクセスを不許可とし、通信手段21はそのアクセス不許可の結果を応答情報として情報制御装置の通信手段11に送信する(ステップS11)。
またステップS10で作成するアクセス電文の一例は、図6のとおりである。アクセス電文とは、データベースをアクセス(データの閲覧、更新、削除、追加等)するための電文で、SQLのSELECT文(閲覧)の場合は、「SELECT(命令)、対象、取得情報」といった、構成になる。対象を示すスキーマ名に、テナントIDをスキーマ名とみなしテナントIDを付加することで、対象を限定することができる。
具体的には、「select no.,name From AA.Table where・・・」といった記載になり、スキーマAAから「no.」と「name」の項目を選択させる命令になる。
実施の形態1では、マルチテナントシステムへのログイン時、ログイン情報の入力とともに、テナントIDの入力を受け付け、テナントIDをスキーマ名とみなして、データベースへのアクセス電文にスキーマ名としてテナントIDを付加するように、動作した。本実施の形態では、ログイン時、テナントIDの入力を受け付けず、情報制御装置20にてユーザ名とテナント情報との対応付けを行うことを特徴とする。
アプリケーションに関するリクエストを受け付けると、アプリケーションサーバ10の処理手段2は、リクエスト情報を一時的に記憶装置に記憶し、その後本実施の形態では(実施の形態1と同様)アプリケーション固有機能情報5を参照することにより定められる、DSNに対応するデータベース接続情報6が1レコード(1情報)のみ記憶されているデータベース接続情報6を参照し、DSNを特定する(ステップS24)。処理手段2は、特定されたDSNに紐づいているデータベース接続情報と、さらにユーザID保持手段8により保持されているユーザIDをデータベース接続情報に付加して、通信手段1は処理手段2が構成した情報(データベース接続情報と、ユーザID)を情報制御装置20に送信する(ステップS25)。
一方、処理手段22はデータベースへのアクセスを行い、一致するスキーマ名が存在しないことが判明したときは、アクセスを不許可とし、通信手段21はその結果を応答情報として情報制御装置の通信手段11に送信する(ステップS31)。
本実施の形態では、マルチテナントシステムへのログイン時、ログイン情報の入力とともに、テナントIDの入力を受け付けるが、実施の形態1とは異なり、テナントIDと、スキーマ名は、異なることを特徴とする。
本実施の形態の処理の流れを実施の形態1で用いた図2にて、説明する。
ステップS1〜S9までは、図2で説明したとおりの処理を行うが、ステップS10にてデータベースにアクセスするため、テナントID付加手段13はテナント/スキーマ対応情報15を参照し、通信手段11から受け渡されたテナントIDに対応するスキーマ名を検索する。その後テナントID付加手段13は、アクセス電文に特定されたスキーマ名を付加して、処理手段12は通信手段11を介して、データベースサーバ30に送信する(ステップS10)。その後のステップS11〜S12は、図2で説明したとおりである。
実施の形態1〜3では、アプリーションサーバのハードウェア環境とデータベースサーバのデータベースインスタンスとをテナント間で共有し、アプリケーション自体はテナント毎に存在するマルチテナントシステムについて説明した。本実施の形態は、1つのアプリケーションを複数のテナントで共有する形態である。つまり、アプリーションサーバのハードウェア環境、データベースサーバのデータベース、およびアプリーションサーバ上のアプリケーションを複数テナントで共有する。
続いて処理手段2は、データベース接続情報6を参照し、入力されたテナントIDに対応するDSNを決定する。ステップS5以降の処理は、図2で説明したとおりである。
図14において、コンピュータは、システムユニット(図示せず)、CRT(Cathode・Ray・Tube)やLCD(液晶ディスプレイ)の表示画面を有する表示装置901、キーボード902(K/B)、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(Compact・Disc・Drive)などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニットは、コンピュータであり、LANに接続されている。
記憶装置(磁気ディスク装置)920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。プログラム群923には、本実施の形態の説明において「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。また、ファイル群924には、各実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(IDentifier)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として記憶されている。「〜ファイル」や「〜データベース」や「〜テーブル」は、ディスクやメモリなどの記憶媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理(動作)に用いられる。抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
Claims (5)
- アプリケーションが格納されているアプリケーションサーバ、データベースが格納されているデータベースサーバとネットワーク接続された情報制御装置であって、
上記アプリケーションサーバに格納されているアプリケーションから上記データベースサーバに格納されているデータベースへの接続要求としてデータソースを受信し、上記アプリケーションが該当のデータベースに接続された後上記アプリケーションサーバから該当のデータベースへのアクセス要求としてデータベースアクセス情報と利用者のログイン時に指定される固有情報とを受信する通信手段と、
上記通信手段が上記アプリケーションサーバからデータベースへの接続要求としてデータソースを受信したとき、上記通信手段を介して、上記データソースを用いてデータベースへの接続要求を上記データベースサーバへ要求する処理手段と、
上記通信手段が上記アプリケーションサーバからデータベースへのアクセス要求としてデータベースアクセス情報と利用者のログイン時に指定される固有情報とを受信したとき、上記固有情報を上記データベースサーバに格納されているテーブル構造定義情報名とみなし、上記データベースアクセス情報をアクセス電文に変換して、このアクセス電文に上記テーブル構造定義情報名として上記固有情報を付加するアプリケーション固有情報付加手段とを備え、
上記処理手段は、上記通信手段を介して、上記アプリケーション固有情報付加手段が構成した上記固有情報を含むアクセス電文にて、上記データベースサーバのデータベースにアクセスすることを
特徴とする情報制御装置。 - 上記固有情報は、利用者がログイン時に指定するテナントIDであり、
上記通信手段は、データベースへのアクセス要求を受信するとき、テナントIDを受信し、
上記アプリケーション固有情報付加手段は、上記テナントIDを上記データベースサーバに格納されているテーブル構造定義情報名とみなし、アクセス電文に上記テーブル構造定義情報名として上記テナントIDを付加し、
上記処理手段は、上記アプリケーション固有情報付加手段が構成した上記テナントIDを含むアクセス電文にて、上記データベースサーバのデータベースにアクセスすることを特徴とする請求項1に記載の情報制御装置。 - 上記固有情報は、利用者がログイン時に指定するユーザIDであり、
上記通信手段は、データベースへのアクセス要求を受信するとき、ユーザIDを受信し、
上記アプリケーション固有情報付加手段は、ユーザIDを受信したときは、ユーザIDとテナントIDとの対応付けを記憶している情報に基づき、ユーザIDに対応するテナントIDを検索し、このテナントIDを上記データベースサーバに格納されているテーブル構造定義情報名とみなし、アクセス電文に上記テーブル構造定義情報名として上記テナントIDを付加し、
上記処理手段は、上記アプリケーション固有情報付加手段が構成した上記テナントIDを含むアクセス電文にて、上記データベースサーバのデータベースにアクセスすることを特徴とする請求項1に記載の情報制御装置。 - 上記固有情報は、利用者がログイン時に指定するテナントIDであり、
上記通信手段は、データベースへのアクセス要求を受信するとき、テナントIDを受信し、
上記アプリケーション固有情報付加手段は、テナントIDを受信したときは、テナントIDとスキーマ名との対応付けを記憶している情報に基づき、テナントIDに対応するスキーマ名を検索し、このスキーマ名をアクセス電文に付加し、
上記処理手段は、上記アプリケーション固有情報付加手段が構成した上記スキーマ名を含むアクセス電文にて、上記データベースサーバのデータベースにアクセスすることを特徴とする請求項1に記載の情報制御装置。 - コンピュータを、請求項1〜4のいずれか一項に記載の情報制御装置として機能させるコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010286154A JP4988035B2 (ja) | 2010-12-22 | 2010-12-22 | 情報制御装置および情報制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010286154A JP4988035B2 (ja) | 2010-12-22 | 2010-12-22 | 情報制御装置および情報制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012133645A true JP2012133645A (ja) | 2012-07-12 |
JP4988035B2 JP4988035B2 (ja) | 2012-08-01 |
Family
ID=46649162
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010286154A Expired - Fee Related JP4988035B2 (ja) | 2010-12-22 | 2010-12-22 | 情報制御装置および情報制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4988035B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018101239A (ja) * | 2016-12-20 | 2018-06-28 | 株式会社ミロク情報サービス | 共通プログラム、データベース管理装置、及びデータベース管理方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104717651A (zh) * | 2013-12-13 | 2015-06-17 | 华为技术有限公司 | 租户切换方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010026653A (ja) * | 2008-07-16 | 2010-02-04 | Fujitsu Ltd | データアクセス制御方法、データアクセス制御装置、及びプログラム |
-
2010
- 2010-12-22 JP JP2010286154A patent/JP4988035B2/ja not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010026653A (ja) * | 2008-07-16 | 2010-02-04 | Fujitsu Ltd | データアクセス制御方法、データアクセス制御装置、及びプログラム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018101239A (ja) * | 2016-12-20 | 2018-06-28 | 株式会社ミロク情報サービス | 共通プログラム、データベース管理装置、及びデータベース管理方法 |
WO2018117107A1 (ja) * | 2016-12-20 | 2018-06-28 | 株式会社ミロク情報サービス | 共通プログラム、データベース管理装置、及びデータベース管理方法 |
KR20190086777A (ko) * | 2016-12-20 | 2019-07-23 | 가부시키가이샤 미로쿠 죠호 서비스 | 공통 프로그램, 데이터베이스 관리장치 및 데이터베이스 관리방법 |
KR102087325B1 (ko) | 2016-12-20 | 2020-03-10 | 가부시키가이샤 미로쿠 죠호 서비스 | 공통 프로그램, 데이터베이스 관리장치 및 데이터베이스 관리방법 |
Also Published As
Publication number | Publication date |
---|---|
JP4988035B2 (ja) | 2012-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11848936B2 (en) | Method, apparatus, and computer program product for selectively granting permissions to group-based objects in a group-based communication system | |
US9853978B2 (en) | Domain join and managed directory support for virtual computing environments | |
US9455970B2 (en) | Information processing system, information processing apparatus, and authentication method | |
US9288213B2 (en) | System and service providing apparatus | |
US7454421B2 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
US8572215B2 (en) | Remote automated volume mounting | |
US9009469B2 (en) | Systems and methods for securing data in a cloud computing environment using in-memory techniques and secret key encryption | |
US10375177B1 (en) | Identity mapping for federated user authentication | |
US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
US11784994B2 (en) | Management device, management system, and non-transitory computer readable medium | |
JP2014119962A (ja) | 情報通信システム及び認証装置及び情報通信システムのアクセス制御方法及びアクセス制御プログラム | |
US9621349B2 (en) | Apparatus, method and computer-readable medium for user authentication | |
US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
US20220255914A1 (en) | Identity information linking | |
JP4988035B2 (ja) | 情報制御装置および情報制御プログラム | |
JP2005267529A (ja) | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 | |
JP5289104B2 (ja) | 認証先選定システム | |
US10402876B1 (en) | Domain name transfer risk mitigation | |
JP5300794B2 (ja) | コンテンツサーバ及びアクセス制御システム | |
JP2018041347A (ja) | 認証システム | |
US11909729B2 (en) | Auto-form fill based website authentication | |
US10554789B2 (en) | Key based authorization for programmatic clients | |
KR101636986B1 (ko) | 통합 인터페이스 사용자 인증방법 | |
US20170214685A1 (en) | System and method for controlling system | |
US11316843B1 (en) | Systems for authenticating users from a separate user interface |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120410 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120425 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4988035 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |