JP2013182295A - 処理実行装置及びコンピュータプログラム及び処理実行方法 - Google Patents

処理実行装置及びコンピュータプログラム及び処理実行方法 Download PDF

Info

Publication number
JP2013182295A
JP2013182295A JP2012043727A JP2012043727A JP2013182295A JP 2013182295 A JP2013182295 A JP 2013182295A JP 2012043727 A JP2012043727 A JP 2012043727A JP 2012043727 A JP2012043727 A JP 2012043727A JP 2013182295 A JP2013182295 A JP 2013182295A
Authority
JP
Japan
Prior art keywords
role
authority
user
tenant
inter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012043727A
Other languages
English (en)
Other versions
JP5868221B2 (ja
Inventor
Koji Ogawa
康志 小川
Masaru Kosugi
優 小杉
Naohiko Katsuyama
尚彦 勝山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Mitsubishi Electric Information Technology Corp
Original Assignee
Mitsubishi Electric Corp
Mitsubishi Electric Information Technology Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Mitsubishi Electric Information Technology Corp filed Critical Mitsubishi Electric Corp
Priority to JP2012043727A priority Critical patent/JP5868221B2/ja
Publication of JP2013182295A publication Critical patent/JP2013182295A/ja
Application granted granted Critical
Publication of JP5868221B2 publication Critical patent/JP5868221B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】他のグループから権限の委譲を受けて処理実行装置にアクセスする利用者についての情報と、代行業者に権限を委譲する依頼者等の利用者についての情報との分離を確実にする。
【解決手段】ユーザ認証部145(利用者認証部)は、ユーザを認証する。権限判定部144(利用者ロール判定部)は、ユーザ認証部145が認証したユーザに対応づけられた利用者ロールを判定する。テナント間権限判定部111(権限ロール判定部)は、権限判定部144が判定した利用者ロールに対応づけられた他のテナントの権限ロールを判定する。権限判定部144(実行権限判定部)は、テナント間権限判定部111が判定した権限ロールに対応づけられた権限(実行権限)を判定する。
【選択図】図4

Description

この発明は、利用者による指示に基づいて処理を実行する処理実行装置に関する。
クラウドなど、ネットワークを介して接続された資源を活用して処理を実行するシステムがある。このようなシステムにおいて、処理を実行する処理実行装置には、多数の利用者が接続する。処理の対象となるデータや利用者自身に関するデータなどのデータは、利用者と同じグループに属する利用者がアクセスできるが、それ以外の利用者がアクセスできないよう、分離して管理される。これにより、情報漏洩が防止される。
データ入力業務の代行サービスなどを行なう代行業者がある。上記のシステムにおいて、代行業者も一利用者であり、代行業者に代行サービスを依頼する依頼者も一利用者である。代行業者と依頼者とは、通常、異なるグループに属しているため、代行業者は、依頼者のデータにアクセスすることができない。
代行業者が依頼者のデータにアクセスできるようにするため、例えば、代行業者を、依頼者と同じグループに属するユーザとして登録する方式が提案されている。また、依頼者と同じグループに属する仮ユーザを作成し、代行業者がシステムにログインすると仮ユーザとしてシステムを利用することができるようにする方式が提案されている。
特開2008−217366号公報 特開2010−205166号公報
提案されている方式では、代行業者についての情報と、依頼者についての情報とを、完全に分離することができない。例えば、代行業者の構成員が複数いる場合、複数の構成員をそれぞれユーザとして登録し、あるいは、複数の構成員と仮ユーザとを対応づける情報を、依頼者に知らせる必要がある。また、代行サービスの終了後、ユーザを削除し忘れるなどして、情報漏洩に繋がる可能性がある。
この発明は、例えば、代行業者など他のグループから権限の委譲を受けて処理実行装置にアクセスする利用者についての情報と、代行業者に権限を委譲する依頼者などの利用者についての情報との分離を確実にすることを目的とする。
この発明にかかる処理実効装置は、データを記憶する記憶装置と、データを処理する処理装置と、利用者ロール記憶部と、権限ロール記憶部と、ロール間対応記憶部と、利用者認証部と、利用者ロール判定部と、権限ロール判定部と、実行権限判定部と、実行部とを有し、
上記利用者ロール記憶部は、上記記憶装置を用いて、複数のグループのうちのいずれかに属する利用者と、上記利用者が属するグループと同じグループに属する利用者ロールとの対応関係を表わす利用者ロールデータを記憶し、
上記権限ロール記憶部は、上記記憶装置を用いて、上記複数のグループのうちのいずれかに属する処理を実行する実行権限と、上記処理が属するグループと同じグループに属する権限ロールとの対応関係を表わす権限ロールデータを記憶し、
上記ロール間対応記憶部は、上記記憶装置を用いて、上記利用者ロールと、上記利用者ロールにかかるグループと異なるグループにかかる権限ロールとの対応関係を表わすロール間対応データを記憶し、
上記利用者認証部は、上記処理装置を用いて、利用者を認証し、
上記利用者ロール判定部は、上記処理装置を用いて、上記利用者ロール記憶部が記憶した利用者ロールデータに基づいて、上記利用者認証部が認証した利用者に対応づけられた利用者ロールを判定し、
上記権限ロール判定部は、上記処理装置を用いて、上記ロール間対応記憶部が記憶したロール間対応データに基づいて、上記利用者ロール判定部が判定した利用者ロールに対応づけられた権限ロールを判定し、
上記実行権限判定部は、上記処理装置を用いて、上記権限ロール記憶部が記憶した権限ロールデータに基づいて、上記権限ロール判定部が判定した権限ロールに対応づけられた実行権限を判定し、
上記実行部は、上記処理装置を用いて、上記実行権限判定部が判定した実行権限に基づいて、上記利用者認証部が認証した利用者が実行権限を有する処理を実行することを特徴とする。
この発明にかかる処理実行装置によれば、権限を委譲する側の利用者についての情報を、権限の委譲を受ける側の利用者に知らせる必要がなく、権限の委譲を受ける側の利用者についての情報を、権限を委譲する側の利用者に知らせる必要もない。このため、権限委譲に伴う情報漏洩を防ぐことができる。
実施の形態1におけるマルチテナント型アプリケーション実行システム900の全体構成の一例を示すシステム構成図。 実施の形態1におけるコンピュータ910のハードウェア資源の一例を示すハードウェア構成図。 実施の形態1におけるDBサーバ装置102の機能ブロック構成の一例を示す構成図。 実施の形態1におけるAPサーバ装置101の機能ブロック構成の一例を示す構成図。 実施の形態1における権限情報記憶部171が記憶する権限情報の一例を示す図。 実施の形態1におけるロール情報記憶部172が記憶するロール情報の一例を示す図。 実施の形態1におけるユーザ情報記憶部173が記憶するユーザ情報の一例を示す図。 実施の形態1における権限ロール定義情報記憶部174が記憶する権限ロール定義情報の一例を示す図。 実施の形態1におけるユーザロール定義情報記憶部175が記憶するユーザロール定義情報の一例を示す図。 実施の形態1におけるテナント間委譲定義情報記憶部161が記憶するテナント間委譲定義情報の一例を示す図。 実施の形態1におけるマルチテナント型アプリケーション実行処理S00の流れの一例を示すフロー図。 実施の形態1における権限委譲処理S10の流れの一例を示すフロー図。 実施の形態1における権限役割設定処理S20の流れの一例を示すフロー図。 実施の形態1におけるユーザ役割設定処理S30の流れの一例を示すフロー図。 実施の形態1における代行処理S40の流れの一例を示すフロー図。 実施の形態1における委譲解除処理S50の流れの一例を示すフロー図。 実施の形態2における権限委譲処理S10でテナントロール管理部112が生成する情報の一例を示す図。
実施の形態1.
実施の形態1について、図1〜図16を用いて説明する。
なお、同様の要素が複数ある場合、符号の後ろにアルファベットを付加して区別する場合がある。
図1は、この実施の形態におけるマルチテナント型アプリケーション実行システム900の全体構成の一例を示すシステム構成図である。
マルチテナント型アプリケーション実行システム900(処理実行システムの一例。)は、例えば、実行環境システム100と、複数のテナント180とを有する。
テナント180(グループの一例。)は、実行環境システム100が提供するアプリケーションを利用する。それぞれのテナント180は、1つ以上のクライアント端末装置181〜182(端末装置の一例。)を有する。
クライアント端末装置181は、インターネットなどの広域網やローカルエリアネットワークなどのネットワーク105を介して、実行環境システム100に接続している。クライアント端末装置181は、ユーザによる操作にしたがって、実行環境システム100に処理の実行を要求し、実行結果を受け取って、ユーザに通知する。
実行環境システム100(処理実行装置の一例。)は、クライアント端末装置181からの要求にしたがって処理を実行し、実行結果をクライアント端末装置181に通知する。実行環境システム100は、例えば、データセンターなどに設置された各種サーバ群によって構成されている。実行環境システム100は、例えば、APサーバ装置101と、DBサーバ装置102と、ゲートウェイ装置103とを有する。APサーバ装置101と、DBサーバ装置102と、ゲートウェイ装置103との間は、LANなどのネットワーク104を介して接続している。
ゲートウェイ装置103は、APサーバ装置101やDBサーバ装置102をネットワーク105から分離するとともに、ネットワーク105からの通信を、APサーバ装置101やDBサーバ装置102に中継する。
APサーバ装置101は、マルチテナントアプリケーションを実行するサーバ装置である。マルチテナントアプリケーションは、複数のテナント180から利用可能なアプリケーションである。
DBサーバ装置102は、マルチテナントデータベースを構成するサーバ装置である。マルチテナントデータベースは、複数のテナント180のデータを混在して管理するデータベースである。
図2は、この実施の形態におけるコンピュータ910のハードウェア資源の一例を示すハードウェア構成図である。
APサーバ装置101やDBサーバ装置102やゲートウェイ装置103やクライアント端末装置181は、例えば、コンピュータ910によって構成されている。
コンピュータ910は、例えば、処理装置911と、入力装置912と、出力装置913と、記憶装置914とを有する。
記憶装置914は、処理装置911が実行するコンピュータプログラムや、処理装置911が処理するデータなどを記憶する。記憶装置914は、例えば、揮発性メモリや不揮発性メモリなどの内部記憶装置を有する。あるいは、記憶装置914は、フラッシュメモリなどの半導体メモリや、磁気ディスクや光学ディスクなどの記憶媒体を用いた外部記憶装置を有する。
処理装置911は、記憶装置914が記憶したコンピュータプログラムを実行することにより、記憶装置914が記憶したデータを処理し、コンピュータ910全体を制御する。
入力装置912は、コンピュータ910の外部から信号や情報を入力して、処理装置911が処理できるデータに変換する。入力装置912が変換したデータは、処理装置911が直接処理してもよいし、記憶装置914が一時的に記憶してもよい。入力装置912は、例えば、キーボードやマウスなどユーザの操作を入力する操作入力装置を有する。あるいは、入力装置912は、カメラやスキャナ装置など静止画像や動画像を入力する画像入力装置である。あるいは、入力装置912は、マイクなど音声を入力する音声入力装置である。あるいは、入力装置912は、温度センサや圧力センサなど物理量を測定するセンサ装置である。あるいは、入力装置912は、アナログ信号をデジタルデータに変換するアナログデジタル変換装置である。あるいは、入力装置912は、他の装置が送信した信号を受信する受信装置である。
出力装置913は、処理装置911が処理したデータや記憶装置914が記憶したデータを信号などに変換してコンピュータ910の外部へ出力する。出力装置913は、例えば、液晶ディスプレイ装置など文字や画像を表示する表示装置である。あるいは、出力装置913は、レーザプリンタ装置など文字や画像を印刷する印刷装置である。あるいは、出力装置913は、スピーカなど音声を出力する音声出力装置である。あるいは、出力装置913は、デジタルデータをアナログ信号に変換するデジタルアナログ変換装置である。あるいは、出力装置913は、他の装置に対して信号を送信する送信装置である。
APサーバ装置101などの機能ブロックは、例えば、記憶装置914が記憶したコンピュータプログラムを処理装置911が実行することにより実現される。なお、APサーバ装置101などの機能ブロックは、他の構成により実現する構成であってもよい。例えば、デジタル回路やアナログ回路などの電気的構成や、機械的構成などを用いて、APサーバ装置101などの機能ブロックを実現する構成であってもよい。
図3は、この実施の形態におけるDBサーバ装置102の機能ブロック構成の一例を示す構成図である。
DBサーバ装置102は、例えば、マルチテナント管理情報記憶部160と、テナント情報記憶部170とを有する。
テナント情報記憶部170は、記憶装置914を用いて、それぞれのテナント180に関するデータをマルチテナントデータベースに格納する。それぞれのテナント180に関するデータは、論理的に分離されている。基本的に、あるテナント180のデータに対して、他のテナント180のユーザはアクセスできない。すなわち、他のテナント180のユーザは、原則として、そのデータを見ることもできないし、変更することもできない。
例えば、テナント情報記憶部170は、テナント180ごとに異なるテーブル、スキーマ、データベースインスタンスなどを用いて、テナント180ごとにデータを分離する。
あるいは、テナント情報記憶部170は、複数のテナント180で同一のテーブルを共有する構成であってもよい。その場合、あるレコードにかかるデータがどのテナント180のものであるかを区別するため、例えば、各テーブルに、テナントIDなどテナント180を識別するテナント識別情報を格納するカラムを設ける。
テナント情報記憶部170は、例えば、権限情報記憶部171と、ロール情報記憶部172と、ユーザ情報記憶部173と、権限ロール定義情報記憶部174と、ユーザロール定義情報記憶部175とを有する。
ユーザ情報記憶部173は、記憶装置914を用いて、ユーザ情報を記憶する。ユーザ情報は、ユーザ(利用者の一例。)に関する情報である。ユーザ情報には、例えば、ユーザIDなどユーザを識別するユーザ識別情報、パスワードなどそのユーザを認証するためのユーザ認証情報、ユーザが属するテナント180を表わすテナント識別情報、ユーザ名などユーザの属性を表わすユーザ属性情報などがある。
権限情報記憶部171は、記憶装置914を用いて、権限情報を記憶する。権限情報は、ユーザが実行環境システム100に処理を実行させる権限(実行権限の一例。)に関する情報である。権限情報には、例えば、権限を識別する権限識別情報、アプリケーション名など実行環境システム100が実行する処理を表わす処理識別情報、処理の対象となるデータが属するテナント180を表わすテナント識別情報などがある。
ロール情報記憶部172は、記憶装置914を用いて、ロール情報を記憶する。ロール情報は、役割(利用者ロール及び権限ロールの一例、)に関する情報である。各ユーザは、そのユーザが属するテナント180と同じテナント180に属する役割に関連づけられる。また、各役割は、その役割が属するテナント180と同じテナント180に属するデータを対象とする権限に関連づけられる。これにより、ユーザと権限とが、役割を介して関連づけられる。各ユーザには、関連づけられた権限が与えられる。ロール情報には、例えば、役割を識別する役割識別情報、役割が属するテナント180を表わすテナント識別情報などがある。
ユーザロール定義情報記憶部175(利用者ロール記憶部の一例。)は、記憶装置914を用いて、ユーザロール定義情報(利用者ロールデータの一例。)を記憶する。ユーザロール定義情報は、ユーザと役割とのを関連付けを定義する情報である。ユーザロール定義情報には、例えば、役割に関連付けるユーザを表わすユーザ識別情報、そのユーザに関連付けられる役割を表わす役割識別情報などがある。ユーザロール定義情報は、ユーザ識別情報によってユーザ情報に紐付けられ、役割識別情報によってロール情報に紐付けられることにより、ユーザ情報とロール情報との間を関連付ける。
権限ロール定義情報記憶部174(権限ロール記憶部の一例。)は、記憶装置914を用いて、権限ロール定義情報(権限ロールデータの一例。)を記憶する。権限ロール定義情報は、権限と役割との関連付けを定義する情報でる。権限ロール定義情報には、例えば、役割に関連づける権限を表わす権限識別情報、その権限に関連づけられる役割を表わす役割識別情報などがある。権限ロール定義情報は、権限識別情報によって権限情報に紐付けられ、役割識別情報によってロール情報に紐付けられることにより、権限情報とロール情報との間を関連付ける。
マルチテナント管理情報記憶部160は、記憶装置914を用いて、マルチテナントを管理するための情報を記憶する。マルチテナント管理情報記憶部160は、複数のテナント間にまたがって管理する必要のある情報をマルチテナントデータベースに格納する。マルチテナント管理情報記憶部160は、例えば、テナント間委譲定義情報記憶部161を有する。
テナント間委譲定義情報記憶部161(ロール間対応記憶部の一例。)は、記憶装置914を用いて、テナント間委譲定義情報(ロール間対応データの一例。)を記憶する。テナント間委譲定義情報は、テナント間での権限委譲関係を定義する情報である。テナント間での権限委譲とは、あるテナント180のデータに対する処理を実行する権限を、別のテナント180のユーザに対して与えることをいう。例えば、テナント180bが、データ入力業務の代行サービスや、保守サービスを提供し、テナント180aが、そのサービスを利用する。テナント180aは、テナント180bに対して、テナント180aのデータに対する処理を実行する権限を与える。テナント180bは、テナント180aに与えられた権限に基づいて、テナント180aのデータに対する処理を実行する。
テナント間委譲定義情報には、例えば、委譲される権限に関連付けられた役割を表わす役割識別情報、委譲元のテナント180を表わすテナント識別情報(以下「委譲元識別情報」と呼ぶ。)、委譲先のテナント180を表わすテナント識別情報(以下「委譲先識別情報」と呼ぶ。)などがある。
図4は、この実施の形態におけるAPサーバ装置101の機能ブロック構成の一例を示す構成図である。
APサーバ装置101は、例えば、テナント間権限判定部111と、テナントロール管理部112と、ユーザアクセス制御部130と、テナント権限処理部140と、アプリケーション処理部150とを有する。これらの機能ブロックが連携して動作することにより、APサーバ装置101は、マルチテナントアプリケーションを実行する。
テナント権限処理部140は、テナント180の権限に関する処理をする。テナント権限処理部140は、例えば、アクセス制御部141と、テナント間委譲設定部142と、ロール管理部143とを有する。
アクセス制御部141は、ユーザによるアクセスを制御する。アクセス制御部141は、例えば、権限判定部144と、ユーザ認証部145とを有する。
ユーザ認証部145(利用者認証部の一例。)は、ログイン時などのユーザの認証をする。ユーザ認証部145は、処理装置911を用いて、ユーザのログイン処理をする。例えば、ユーザ認証部145は、入力装置912を用いて、ユーザのユーザIDやパスワードなどを入力する。ユーザ認証部145は、ユーザ情報記憶部173が記憶したユーザ情報に基づいて、入力したユーザIDやパスワードなどを検証することにより、ユーザを認証する。
権限判定部144(利用者ロール判定部及び実行権限判定部の一例。)は、ユーザの権限を判定する。権限判定部144は、処理装置911を用いて、ユーザ認証部145が認証したユーザが有する権限を判定する。例えば、権限判定部144は、ユーザロール定義情報記憶部175が記憶したユーザロール情報に基づいて、ユーザ認証部145が認証したユーザに関連付けられた役割を判定する。権限判定部144は、権限ロール定義情報記憶部174が記憶した権限ロール定義情報に基づいて、判定した役割に関連付けられた権限を判定する。
ロール管理部143は、テナント180内のロールを管理する。ロール管理部143は、処理装置911を用いて、テナント情報記憶部170が記憶したデータを管理する。ロール管理部143は、ユーザの指示にしたがって、テナント情報記憶部170に新たなデータを追加し、テナント情報記憶部170が記憶したデータを変更し、あるいは、テナント情報記憶部170が記憶したデータを削除する。ロール管理部143は、例えば管理者権限のような特別な権限を有するユーザの指示にしたがって、そのユーザが属するテナント180のデータを書き換える。例えば、ロール管理部143は、権限判定部144による判定結果に基づいて、ユーザが指示した処理を実行させる権限がそのユーザにあるか否かを判定する。その処理についての権限がそのユーザにあると判定した場合、ロール管理部143は、ユーザの指示にしたがって、テナント情報記憶部170が記憶したデータを書き換える。
ロール情報記憶部172が記憶したロール情報によって表わされる役割には、次の2種類がある。
(1)その役割が関連付けられたユーザと同じテナント180のデータに対する処理をする権限に関連付けられた役割。
(2)権限委譲により、その役割が関連づけられたユーザと異なるテナント180のデータに対する処理をする権限に関連付けられた役割。
以下、(1)を「通常ロール」、(2)を「テナントロール」と呼ぶ。
通常ロールは、その役割が関連付けられたユーザが属するテナント180と、その役割が関連付けられた権限の対象となるデータが属するテナント180とが一致している。通常ロールは、そのテナント180に属する。通常ロールを表わすロール情報に対する処理をユーザが指示した場合、ロール管理部143は、指示をしたユーザが属するテナント180と、その役割が属するテナント180とが一致する場合に、その指示を受け付ける。また、ユーザと通常ロールとを関連付けるユーザロール定義情報や、権限と通常ロールとを関連付ける権限ロール定義情報も同様に、そのテナント180に属する。ユーザロール定義情報や権限ロール定義情報に対する処理をユーザが指示した場合、ロール管理部143は、指示をしたユーザが属するテナント180と、そのユーザロール定義情報や権限ロール定義情報が属するテナント180とが一致する場合に、その指示を受け付ける。
これに対し、テナントロールは、その役割が関連付けられたユーザが属するテナント180と、その役割が関連付けられた権限の対象となるデータが属するテナント180とが異なる。そこで、テナントロールを、その役割が関連付けられたユーザが属するテナント180と同じテナント180に属するユーザロールと、その役割が関連付けられた権限の対象となるデータが属するテナント180と同じテナント180に属する権限ロールとの2つに分けて管理する。ユーザとユーザロールとを関連付けるユーザロール定義情報は、そのユーザが属するテナント180と同じテナント180に属する。権限と権限ロールとを関連付ける権限ロール定義情報は、その権限が属するテナント180と同じテナント180に属する。ユーザロールや、ユーザとユーザロールとを関連付けるユーザロール定義情報に対する処理をユーザが指示した場合、ロール管理部143は、指示をしたユーザが属するテナント180と、そのユーザロールやユーザロール定義情報が属するテナント180とが一致する場合に、その指示を受け付ける。権限ロールや、権限と権限ロールとを関連付ける権限ロール定義情報に対する処理をユーザが指示した場合、ロール管理部143は、指示をしたユーザが属するテナント180と、その権限ロールや権限ロール定義情報が属するテナント180とが一致する場合に、その指示を受け付ける。
ロール管理部143は、例えば、ロールタイプ判定部146を有する。
ロールタイプ判定部146は、処理装置911を用いて、ユーザの指示に関わる役割が通常ロールであるかテナントロールであるかを判定し、テナントロールである場合、ユーザロールであるか権限ロールであるかを判定する。
例えば、ユーザロール定義情報の追加をユーザが指示した場合、ロールタイプ判定部146は、ユーザロール定義情報によって関連付けようとしている役割が通常ロールであるかユーザロールであるか権限ロールであるかを判定する。通常ロールあるいはユーザロールであるとロールタイプ判定部146が判定した場合、ロール管理部143は、ユーザの指示にしたがって、ユーザロール定義情報を追加する。しかし、権限ロールであるとロールタイプ判定部146が判定した場合、ロール管理部143は、ユーザロール定義情報を追加しない。
あるいは、権限ロール定義情報の追加をユーザが指示した場合、ロールタイプ判定部146は、ユーザロール定義情報によって関連付けようとしている役割が通常ロールであるかユーザロールであるか権限ロールであるかを判定する。通常ロールあるいは権限ロールであるとロールタイプ判定部146が判定した場合、ロール管理部143は、ユーザの指示にしたがって、権限ロール定義情報を追加する。しかし、ユーザロールであるとロールタイプ判定部146が判定した場合、ロール管理部143は、権限ロール定義情報を追加しない。
テナント間委譲設定部142は、テナント180間の委譲設定をする。テナント間委譲設定部142は、入力装置912を用いて、テナント間の権限委譲に関するユーザの指示を入力する。テナント間の権限委譲に関する指示とは、例えば、新たな権限委譲の開始や、既にある権限委譲の終了などの指示である。テナント間委譲設定部142は、例えば、権限委譲の対象である権限を自ら有し、更に、その権限を他のテナント180に委譲する権限を有するユーザからの指示を受け付ける。例えば、テナント間委譲設定部142は、権限判定部144による判定結果に基づいて、ユーザが指示した処理を実行させる権限がそのユーザにあるか否かを判定する。その処理についての権限がそのユーザにあると判定した場合、ロール管理部143は、ユーザの指示を、テナントロール管理部112に通知する。
テナントロール管理部112は、テナントロールを管理する。テナントロール管理部112は、処理装置911を用いて、マルチテナント管理情報記憶部160が記憶したデータを管理する。テナントロール管理部112は、テナント間委譲設定部142からの通知にしたがって、マルチテナント管理情報記憶部160に新たなデータを追加し、マルチテナント管理情報記憶部160が記憶したデータを変更し、あるいは、マルチテナント管理情報記憶部160が記憶したデータを削除する。
テナント間委譲定義情報記憶部161が記憶したテナント間委譲定義情報は、委譲元のテナント180に属する。委譲元のテナント180に属するユーザは、テナント間委譲定義情報にアクセスできるが、委譲先のテナント180に属するユーザは、テナント間委譲定義情報にアクセスできない。
テナント間権限判定部111(権限ロール判定部の一例。)は、複数のテナント180にまたがった権限の判定をする。テナント間権限判定部111は、処理装置911を用いて、ユーザが他のテナント180にアクセスする権限があるか否かを判定する。例えば、ユーザが他のテナント180に属するデータにアクセスしようとした場合、テナント間権限判定部111は、テナント間委譲定義情報記憶部161が記憶したテナント間委譲定義情報に基づいて、ユーザ認証部145が認証したユーザが、そのテナント180にアクセスできるか否かを判定する。
ユーザアクセス制御部130は、ユーザがアプリケーションにアクセスした際の制御をする。ユーザアクセス制御部130は、例えば、テナント切替制御部131と、アプリケーション切替制御部132とを有する。
テナント切替制御部131は、ユーザに対してアクセス先のテナント180を切り替える。例えば、テナント切替制御部131は、入力装置912を用いて、ユーザがアクセスしようとしているデータが属するテナント180を入力する。テナント切替制御部131は、テナント間権限判定部111による判定結果に基づいて、そのユーザがそのテナント180にアクセスする権限を有するか否かを判定する。そのテナント180にアクセスする権限がそのユーザにあると判定した場合、テナント切替制御部131は、そのユーザによるアクセスの対象となるテナント180をそのテナント180に切り替える。
アプリケーション切替制御部132は、ユーザが実際に行なうアプリケーション処理の切り替えをする。アプリケーション切替制御部132は、入力装置912を用いて、ユーザが実行環境システム100に実行させようとしている処理を入力する。アプリケーション切替制御部132は、権限判定部144やテナント間権限判定部111による判定結果に基づいて、そのユーザがその処理を実行させる権限を有するか否かを判定する。その処理を実行させる権限がそのユーザにあると判定した場合、アプリケーション切替制御部132は、アプリケーション処理部150が実行するアプリケーションを、その処理を実行するアプリケーションに切り替える。
アプリケーション処理部150(実行部の一例。)は、処理装置911を用いて、アプリケーションを実行する。アプリケーションは、マルチテナントアプリケーションが提供する処理を実行する。アプリケーション処理部150は、アプリケーション切替制御部132が指定したアプリケーションを実行し、テナント切替制御部131が指定したテナント180のデータを対象にして、ユーザが指示した処理を実行する。なお、1つのアプリケーションが実行する処理が複数ある場合、処理によって実行権限が異なる場合があるので、アプリケーション処理部150は、権限判定部144の判定結果に基づいて、そのユーザがその処理を実行させる権限を有するか否かを判定する。そのユーザにその処理の権限があると判定した場合、アプリケーション処理部150は、その処理を実行する。
図5は、この実施の形態における権限情報記憶部171が記憶する権限情報の一例を示す図である。
権限情報記憶部171は、1つ以上の権限情報を記憶する。それぞれの権限情報は、例えば、テナントID310と、権限ID311と、対象システム312と、権限内容313とを含む。
テナントID310は、テナント識別情報(グループ識別データ)の一例である。テナントID310は、その権限が属するテナント180を表わす。
権限ID311は、権限識別情報(権限識別データ)の一例である。権限ID311は、少なくとも同じテナント180に属する権限のなかで一意である。権限情報は、権限ID311、あるいは、テナントID310と権限ID311との組み合わせによって、一意に識別される。
対象システム312は、処理識別情報(処理識別データ)の一例である。対象システム312は、処理を実行するアプリケーションを表わす。対象システム312は、例えば、処理を実行するアプリケーションの名前や、そのアプリケーションによって操作される外部機器の名前などである。
権限内容313は、処理識別情報の一例である。権限内容313は、対象システム312によって表わされるアプリケーションが実行する処理のうち、その権限によって実行させることができる処理の範囲を表わす。
図6は、この実施の形態におけるロール情報記憶部172が記憶するロール情報の一例を示す図である。
ロール情報記憶部172は、1つ以上のロール情報を記憶する。それぞれのロール情報は、例えば、テナントID320と、ロールID321と、ロールタイプ322とを含む。
テナントID320は、テナント識別情報の一例である。テナントID320は、その役割が属するテナント180を表わす。
ロールID321は、役割識別情報(ロール識別データ)の一例である。ロールID321は、少なくとも同じテナント180のなかで一意である。ロール情報は、ロールID321、あるいは、テナント180とロールID321との組み合わせによって、一意に識別される。
ロールタイプ322は、その役割が、通常ロールであるか、権限ロールであるか、ユーザロールであるかを表わす。
図7は、この実施の形態におけるユーザ情報記憶部173が記憶するユーザ情報の一例を示す図である。
ユーザ情報記憶部173は、1つ以上のユーザ情報を記憶する。それぞれのユーザ情報は、例えば、テナントID330と、ユーザID331と、ユーザ名332と、パスワード333とを含む。
テナントID330は、テナント識別情報の一例である。テナントID330は、そのユーザが属するテナント180を表わす。
ユーザID331は、ユーザ識別情報(利用者識別データ)の一例である。ユーザID331は、少なくとも同じテナント180のなかで一意である。ユーザ情報は、ユーザID331、あるいは、テナントID330とユーザID331との組み合わせによって、一意に識別される。
ユーザ名332は、ユーザ属性情報(利用者属性データ)の一例である。ユーザ名332は、そのユーザの氏名を表わす。
パスワード333は、ユーザ認証情報(利用者認証データ)の一例である。例えば、ユーザ認証部145は、ユーザがログインするときに入力したパスワードと、パスワード333とを比較し、一致した場合に、そのユーザを認証する。
図8は、この実施の形態における権限ロール定義情報記憶部174が記憶する権限ロール定義情報の一例を示す図である。
権限ロール定義情報記憶部174は、1つ以上の権限ロール定義情報を記憶する。それぞれの権限ロール定義情報は、例えば、テナントID340と、ロールID341と、権限ID342とを含む。
テナントID340は、テナント識別情報の一例である。テナントID340は、その権限ロール定義情報が属するテナント180を表わす。
ロールID341は、役割識別情報の一例である。権限ID342は、権限識別情報の一例である。権限ロール定義情報は、ロールID341(あるいはテナントID340とロールID341との組み合わせ)によって識別されるロール情報と、権限ID342(あるいはテナントID340と権限ID342との組み合わせ)によって識別される権限情報とを関連付ける。これにより、ロール情報によって表わされる役割に、そのロール情報に関連付けられた権限情報によって表わされる権限が与えられる。
図9は、この実施の形態におけるユーザロール定義情報記憶部175が記憶するユーザロール定義情報の一例を示す図である。
ユーザロール定義情報記憶部175は、1つ以上のユーザロール定義情報を記憶する。それぞれのユーザロール定義情報は、例えば、テナントID350と、ロールID351と、ユーザID352とを含む。
テナントID350は、テナント識別情報の一例である。テナントID350は、そのユーザロール定義情報が属するテナント180を表わす。
ロールID351は、役割識別情報の一例である。ユーザID352は、ユーザ識別情報の一例である。ユーザロール定義情報は、ロールID351(あるいはテナントID350とロールID351との組み合わせ)によって識別されるロール情報と、ユーザID352(あるいはテナントID350とユーザID352との組み合わせ)によって識別されるユーザ情報とを関連付ける。これにより、ユーザ情報によって表わされるユーザに、そのユーザ情報に関連付けられたロール情報によって表わされる役割が与えられ、更に、そのロール情報に関連付けられた権限情報によって表わされる権限が与えられる。
図10は、この実施の形態におけるテナント間委譲定義情報記憶部161が記憶するテナント間委譲定義情報の一例を示す図である。
テナント間委譲定義情報記憶部161は、1つ以上のテナント間委譲定義情報を記憶する。それぞれのテナント間委譲定義情報は、例えば、委譲元テナントID301と、委譲先テナントID302と、委譲状態303と、ロールID304とを含む。
委譲元テナントID301は、委譲元識別情報(委譲元識別データ)の一例である。委譲元テナントID301は、委譲される権限によって実行される処理の対象となるデータが属するテナント180を表わす。
委譲先テナントID302は、委譲先識別情報(委譲先識別データ)の一例である。委譲先テナントID302は、委譲された権限に基づいて処理を実行させるユーザが属するテナント180を表わす。
委譲状態303は、権限委譲の有無を表わす。例えば、委譲状態303が「委譲中」である場合、委譲先のテナント180に属するユーザが、委譲された権限に基づいて、委譲元のテナント180に属するデータに対する処理を実行できる。委譲状態303が「未委譲」である場合、委譲先のテナント180に属するユーザは、委譲元のテナント180に属するデータに対する処理を実行できない。
ロールID304は、役割識別情報の一例である。この例では、委譲元のテナント180において、委譲される権限に関連付けられる役割(権限ロール)を表わすロール情報と、委譲先のテナント180において、委譲された処理を実行させるユーザに関連付けられる役割(ユーザロール)を表わすロール情報とで、同一のロールID321を用いることにより、権限ロールとユーザロールとを関連付ける。テナント間委譲定義情報は、委譲元テナントID301とロールID304との組み合わせによって識別されるロール情報と、委譲先テナントID302とロールID304との組み合わせによって識別されるロール情報とを関連付ける。これにより、委譲元のロール情報によって表わされる権限ロールと、委譲先のロール情報によって表わされるユーザロールとが関連付けられる。委譲先のテナント180においてそのユーザロールに関連付けられたユーザ情報によって表わされるユーザに、委譲元のテナント180においてその権限ロールに関連付けられた権限情報によって表わされる処理を実行する権限が与えられる。
このようなデータ構造とすることにより、委譲元のテナント180では、どのテナント180にどのような権限を委譲するかを自由に設定することができる。委譲先のテナント180では、委譲された権限に基づく処理をするユーザを自由に設定することができる。
委譲元のテナント180は、委譲先のテナント180でその権限を使うユーザが誰であるかなどの情報を知る必要はない。したがって、委譲先のテナント180に関する情報は、委譲元のテナント180から完全に保護される。
また、委譲先のテナント180は、委譲された権限の範囲でのみ、委譲元のテナント180のデータにアクセスすることができる。委譲元のテナント180に関して委譲された権限の範囲を超える情報は、委譲先のテナント180から完全に保護される。
次に、処理の流れについて、説明する。
図11は、この実施の形態におけるマルチテナント型アプリケーション実行処理S00の流れの一例を示すフロー図である。
マルチテナント型アプリケーション実行処理S00は、例えば、ログイン処理S01と、作業選択処理S02と、作業実行処理S03とを有する。
ログイン処理S01において、ユーザ認証部145は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、ユーザIDやパスワードなどを入力する。ユーザ認証部145は、処理装置911を用いて、ユーザが属するテナント180を判定する。例えば、ユーザ認証部145は、ユーザが操作しているクライアント端末装置181が属するテナント180を、ユーザが属するテナント180であると判定する。ユーザ認証部145は、入力したユーザIDと、判定したテナント180とに基づいて、ユーザ情報記憶部173が記憶したユーザ情報のなかから、テナントID330及びユーザID331が一致するユーザ情報を抽出する。ユーザ認証部145は、入力したパスワードと、抽出したユーザ情報に含まれるパスワード333とが一致するか否かを判定する。
パスワードが一致した場合、ユーザ認証部145は、認証に成功したと判定し、作業選択処理S02へ処理を進める。
パスワードが一致しない場合、ユーザ認証部145は、認証に失敗したと判定し、マルチテナント型アプリケーション実行処理S00を終了する。
作業選択処理S02において、APサーバ装置101は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、ユーザが実行しようとしている作業を入力する。
ユーザが作業を終了しログアウトすることを選択した場合、APサーバ装置101は、マルチテナント型アプリケーション実行処理S00を終了する。
ユーザが作業を選択した場合、APサーバ装置101は、作業実行処理S03へ処理を進める。
作業実行処理S03において、APサーバ装置101は、作業選択処理S02でユーザが選択した作業を実行する。
作業終了後、APサーバ装置101は、作業選択処理S02に処理を戻し、次の作業を入力する。
ユーザが選択できる作業には、様々な作業があるが、例えば、アプリケーション処理部150がアプリケーションを実行して処理する一般作業、テナント情報やマルチテナント管理情報を操作する管理作業などがある。
一般作業には、例えば、ユーザ自身が属するテナント180のデータを対象とする通常作業、委譲された権限に基づいて他のテナント180のデータを対象とする代行作業などがある。
管理作業には、例えば、ユーザ情報を設定するユーザ設定作業、ロール情報を設定する役割設定作業、権限情報を設定する権限設定作業、ユーザと役割とを関連付けるユーザ役割設定作業、権限と役割とを関連付ける権限役割設定作業、権限を委譲する権限委譲作業、ユーザと役割との関連付けを解除するユーザ役割解除作業、権限と役割との関連付けを解除する権限役割解除作業、権限委譲を解除する委譲解除作業などがある。
以下、作業実行処理S03における具体的な処理の流れについて、作業ごとに分けて説明する。
図12は、この実施の形態における権限委譲処理S10の流れの一例を示すフロー図である。
権限委譲処理S10(ロール間対応変更処理の一例。)において、実行環境システム100は、ユーザの指示にしたがって、権限委譲作業を実行する。権限委譲処理S10は、例えば、委譲先入力工程S11と、権限判定工程S12と、委譲定義生成工程S13と、権限ロール生成工程S14と、ユーザロール生成工程S15とを有する。
委譲先入力工程S11において、テナント間委譲設定部142は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、委譲先のテナント180を入力する。なお、委譲元のテナント180は、ユーザが属するテナント180であるから、入力する必要はない。
権限判定工程S12において、権限判定部144は、処理装置911を用いて、そのユーザが、委譲先入力工程S11で入力したテナント180に対して権限委譲をする権限を有するか否かを判定する。
例えば、権限判定部144は、ユーザロール定義情報記憶部175が記憶したユーザロール定義情報のなかから、テナントID350が、そのユーザが属するテナント180のテナントIDと一致し、ユーザID352が、そのユーザのユーザIDと一致するユーザロール定義情報を抽出する。権限判定部144は、抽出したユーザロール定義情報から、ロールID351を取得する。権限判定部144は、権限ロール定義情報記憶部174が記憶した権限ロール定義情報のなかから、テナントID340が、そのユーザが属するテナント180のテナントIDと一致し、ロールID341が、取得したロールID351のいずれかと一致する権限ロール定義情報を抽出する。権限判定部144は、抽出した権限ロール定義情報から、権限ID342を取得する。権限判定部144は、権限情報記憶部171が記憶した権限情報のなかから、テナントID310が、そのユーザが属するテナント180のテナントIDと一致し、権限ID311が、取得した権限ID342のいずれかと一致する権限情報を抽出する。権限判定部144は、抽出した権限情報に含まれる対象システム312及び権限内容313によって表わされる処理のなかに、そのテナント180に対する権限委譲処理が含まれるか否かを判定する。
権限委譲をする権限がそのユーザにあると判定した場合、権限判定部144は、委譲定義生成工程S13へ処理を進める。
権限委譲をする権限がそのユーザにないと判定した場合、権限判定部144は、権限委譲処理S10を終了する。
委譲定義生成工程S13において、テナントロール管理部112は、処理装置911を用いて、テナント間委譲定義情報を生成する。
テナントロール管理部112は、生成するテナント間委譲定義情報の委譲元テナントID301に、委譲先入力工程S11で操作を入力したユーザが属するテナント180のテナントIDを設定する。
テナントロール管理部112は、生成するテナント間委譲定義情報の委譲先テナントID302に、委譲先入力工程S11で入力した委譲先のテナント180のテナントIDを設定する。
テナントロール管理部112は、所定の規則にしたがって、あるいは、ランダムに、ロールIDを決定する。ロールIDには、委譲元のテナント180に属するいずれの役割情報のロールID321とも、委譲先のテナント180に属するいずれの役割情報のロールID321とも異なるものが選択される。例えば、テナントロール管理部112は、所定の固定文字列(例えば「ロール」)と、委譲元のテナント180を表わす文字列(例えば「A」)と、委譲先のテナント180を表わす文字列(例えば「B」)とを結合して、ロールID(例えば「ロールAB」)とする。なお、一つの委譲元のテナント180が、同じ委譲先のテナント180に対して複数の権限を委譲してもよい。その場合、テナントロール管理部112は、例えば、更に数字を付加するなど(例えば「ロールAB1」「ロールAB2」など)して、他のロールID321と異なるロールIDを生成する。
テナントロール管理部112は、生成するテナント間委譲定義情報のロールID304に、決定したロールIDを設定する。
また、テナントロール管理部112は、生成するテナント間委譲定義情報の委譲状態303に、「委譲中」を設定する。
テナント間委譲定義情報記憶部161は、記憶装置914を用いて、テナントロール管理部112が生成したテナント間委譲定義情報を記憶する。
権限ロール生成工程S14において、テナントロール管理部112は、処理装置911を用いて、権限ロールについてのロール情報を生成する。
テナントロール管理部112は、生成するロール情報のテナントID320に、委譲先入力工程S11で操作を入力したユーザが属するテナント180のテナントIDを設定する。
テナントロール管理部112は、生成するロール情報のロールID321に、委譲定義生成工程S13で決定したロールIDを設定する。
テナントロール管理部112は、生成するロール情報のロールタイプ322に、「権限ロール」を設定する。
ロール情報記憶部172は、記憶装置914を用いて、テナントロール管理部112が生成したロール情報を記憶する。
ユーザロール生成工程S15において、テナントロール管理部112は、処理装置911を用いて、ユーザロールについてのロール情報を生成する。
テナントロール管理部112は、生成するロール情報のテナントID320に、委譲先入力工程S11で入力した委譲先のテナント180のテナントIDを設定する。
テナントロール管理部112は、生成するロール情報のロールID321に、委譲定義生成工程S13で決定したロールIDを設定する。
テナントロール管理部112は、生成するロール情報のロールタイプ322に、「ユーザロール」を設定する。
ロール情報記憶部172は、記憶装置914を用いて、テナントロール管理部112が生成したロール情報を記憶する。
権限委譲処理S10では、権限を委譲する委譲先のテナント180を指定して委譲操作をするが、この時点では、委譲される権限の具体的な内容は、指定されない。すなわち、権限委譲の枠組みだけが設定される。
図13は、この実施の形態における権限役割設定処理S20の流れの一例を示すフロー図である。
権限役割設定処理S20において、実行環境システム100は、ユーザの指示にしたがって、権限役割設定作業を実行する。権限役割設定処理S20は、例えば、権限入力工程S21と、役割入力工程S22と、ロールタイプ判定工程S23と、権限判定工程S24と、権限ロール定義生成工程S25とを有する。
権限入力工程S21において、ロール管理部143は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、関連付けをする権限を入力する。
役割入力工程S22において、ロール管理部143は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、関連付けをする役割を入力する。
ロールタイプ判定工程S23において、ロールタイプ判定部146は、処理装置911を用いて、役割入力工程S22で入力した役割のロールタイプを判定する。例えば、ロールタイプ判定部146は、操作を入力したユーザが属するテナント180と、役割入力工程S22で入力した役割とに基づいて、ロール情報記憶部172が記憶したロール情報のなかから、テナントID320及びロールID321が一致するロール情報を抽出する。ロールタイプ判定部146は、抽出したロール情報からロールタイプ322を取得する。
ロールタイプがユーザロールである場合、権限と関連付けることはできない。ロールタイプ判定部146は、権限役割設定処理S20を終了する。
ロールタイプが通常ロールや権限ロールである場合、権限と関連付けることができる。ロールタイプ判定部146は、権限判定工程S24へ処理を進める。
権限判定工程S24において、権限判定部144は、処理装置911を用いて、操作を入力したユーザが、権限入力工程S21で入力した権限と、役割入力工程S22で入力した役割とを関連付ける権限を有するか否かを判定する。
ユーザに権限があると判定した場合、権限判定部144は、権限ロール定義生成工程S25へ処理を進める。
ユーザに権限がないと判定した場合、権限判定部144は、権限役割設定処理S20を終了する。
権限ロール定義生成工程S25において、ロール管理部143は、処理装置911を用いて、権限ロール定義情報を生成する。
ロール管理部143は、生成する権限ロール定義情報のテナントID340に、操作を入力したユーザが属するテナント180のテナントIDを設定する。
ロール管理部143は、生成する権限ロール定義情報のロールID341に、役割入力工程S22で入力した役割を識別するロールIDを設定する。
ロール管理部143は、生成する権限ロール定義情報の権限ID342に、権限入力工程S21で入力した権限を識別する権限IDを設定する。
権限ロール定義情報記憶部174は、記憶装置914を用いて、ロール管理部143が生成した権限ロール定義情報を記憶する。
権限を委譲する委譲元のテナント180では、まず、権限委譲処理S10によって、権限委譲用の役割である権限ロールを作成する。次に、権限役割設定処理S20によって、権限ロールと権限とを関連付ける。これにより、権限ロールに関連付けた権限を、委譲先のテナント180に委譲することができる。
なお、権限役割設定処理S20では、権限ロールではなく通常ロールを権限と関連付けることもできる。通常ロールと権限とを関連付けた場合、その権限は、同じテナント180内のユーザに与えられる。すなわち、権限を委譲するか否かに関わらず、同じ流れで処理をすることができる。
図14は、この実施の形態におけるユーザ役割設定処理S30の流れの一例を示すフロー図である。
ユーザ役割設定処理S30において、実行環境システム100は、ユーザによる操作にしたがって、ユーザ役割設定作業を実行する。ユーザ役割設定処理S30は、例えば、ユーザ入力工程S31と、役割入力工程S32と、ロールタイプ判定工程S33と、権限判定工程S34と、ユーザロール定義生成工程S35とを有する。
ユーザ入力工程S31において、ロール管理部143は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、関連付けをするユーザを入力する。
役割入力工程S32において、ロール管理部143は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、関連付けをする役割を入力する。
ロールタイプ判定工程S33において、ロールタイプ判定部146は、処理装置911を用いて、役割入力工程S32で入力した役割のロールタイプを判定する。
ロールタイプが権限ロールである場合、ユーザと関連付けることはできない。ロールタイプ判定部146は、ユーザ役割設定処理S30を終了する。
ロールタイプが通常ロールやユーザロールである場合、ユーザと関連付けることができる。ロールタイプ判定部146は、権限判定工程S34へ処理を進める。
権限判定工程S34において、権限判定部144は、処理装置911を用いて、操作を入力したユーザが、ユーザ入力工程S31で入力したユーザと、役割入力工程S32で入力した役割とを関連付ける権限を有するか否かを判定する。
ユーザに権限があると判定した場合、権限判定部144は、ユーザロール定義生成工程S35へ処理を進める。
ユーザに権限がないと判定した場合、権限判定部144は、ユーザ役割設定処理S30を終了する。
ユーザロール定義生成工程S35において、ロール管理部143は、処理装置911を用いて、ユーザロール定義情報を生成する。
ロール管理部143は、生成するユーザロール定義情報のテナントID350に、操作を入力したユーザが属するテナント180のテナントIDを設定する。
ロール管理部143は、生成するユーザロール定義情報のロールID351に、役割入力工程S32で入力した役割を識別するロールIDを設定する。
ロール管理部143は、生成するユーザロール定義情報のユーザID352に、ユーザ入力工程S31で入力したユーザを識別するユーザIDを設定する。
ユーザロール定義情報記憶部175は、記憶装置914を用いて、ロール管理部143が生成したユーザロール定義情報を記憶する。
権限を委譲される委譲先のテナント180では、ユーザ役割設定処理S30によって、委譲元のテナント180による権限委譲処理S10で作成された権限委譲用の役割であるユーザロールと、ユーザとを関連付ける。これにより、委譲元から委譲された権限を、テナント180のユーザに与えることができる。
なお、ユーザ役割設定処理S30では、ユーザロールではなく通常ロールをユーザと関連付けることもできる。通常ロールとユーザとを関連付けた場合、そのユーザは、同じテナント180内の権限を与えられる。すなわち、ユーザに与える権限が、委譲された権限であるか否かに関わらず、同じ流れで処理をすることができる。
図15は、この実施の形態における代行処理S40の流れの一例を示すフロー図である。
代行処理S40において、実行環境システム100は、ユーザによる操作にしたがって、代行作業を実行する。代行処理S40は、例えば、テナント入力工程S41と、処理入力工程S42と、権限判定工程S43と、処理実行工程S44とを有する。
テナント入力工程S41において、テナント切替制御部131は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、処理の対象となるデータが属するテナント180を入力する。
処理入力工程S42において、アプリケーション切替制御部132は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、実行する処理を入力する。
権限判定工程S43において、権限判定部144及びテナント間権限判定部111は、処理装置911を用いて、そのユーザが、テナント入力工程S41で入力したテナント180のデータに対して、処理入力工程S42で入力した処理をする権限を有するか否かを判定する。
例えば、権限判定部144は、ユーザロール定義情報記憶部175が記憶したユーザロール定義情報のなかから、テナントID350が、そのユーザが属するテナント180のテナントIDと一致し、ユーザID352が、そのユーザのユーザIDと一致するユーザロール定義情報を抽出する。権限判定部144は、抽出したユーザロール定義情報から、ロールID351を取得する。
テナント間権限判定部111は、ロール情報記憶部172が記憶したロール情報のなかから、テナントID320が、そのユーザが属するテナント180のテナントIDと一致し、ロールID321が、権限判定部144が取得したロールID351のいずれかと一致し、ロールタイプ322が「ユーザロール」であるロール情報を抽出する。抽出したロール情報がない場合、テナント間権限判定部111は、そのユーザに代行処理の権限がないと判定する。
抽出したロール情報がある場合、テナント間権限判定部111は、抽出したロール情報から、ロールID321を取得する。テナント間権限判定部111は、テナント間委譲定義情報記憶部161が記憶したテナント間委譲定義情報のなかから、委譲元テナントID301が、テナント入力工程S41でテナント切替制御部131が入力したテナント180のテナントIDと一致し、委譲先テナントID302が、そのユーザが属するテナント180のテナントIDと一致し、委譲状態303が「委譲中」であり、ロールID304が、取得したロールID321のいずれかと一致するテナント間委譲定義情報を抽出する。抽出したテナント間委譲定義情報がない場合、テナント間権限判定部111は、そのユーザに代行処理の権限がないと判定する。
抽出したテナント間委譲定義情報がある場合、テナント間権限判定部111は、抽出したテナント間委譲定義情報から、ロールID304を取得する。
権限判定部144は、権限ロール定義情報記憶部174が記憶した権限ロール定義情報のなかから、テナントID340が、テナント入力工程S41でテナント切替制御部131が入力したテナント180のテナントIDと一致し、ロールID341が、テナント間権限判定部111が取得したロールID304と一致する権限ロール定義情報を抽出する。権限判定部144は、抽出した権限ロール定義情報から、権限ID342を取得する。権限判定部144は、権限情報記憶部171が記憶した権限情報のなかから、テナントID310が、テナント入力工程S41でテナント切替制御部131が入力したテナント180のテナントIDと一致し、権限ID311が、取得した権限ID342と一致する権限情報を抽出する。権限判定部144は、抽出した権限情報に含まれる対象システム312及び権限内容313によって表わされる処理のなかに、処理入力工程S42でアプリケーション切替制御部132が入力した処理が含まれるか否かを判定する。
代行処理の権限がそのユーザにあると判定した場合、権限判定部144は、処理実行工程S44へ処理を進める。
代行処理の権限がそのユーザにないと判定した場合、権限判定部144は、代行処理S40を終了する。
処理実行工程S44において、テナント切替制御部131は、処理装置911を用いて、処理の対象となるデータが属するテナント180を、テナント入力工程S41で入力したテナント180に切り替える。アプリケーション切替制御部132は、処理装置911を用いて、処理入力工程S42で入力した処理をするアプリケーションを判定する。アプリケーション処理部150は、処理装置911を用いて、テナント切替制御部131が切り替えたテナント180のデータを対象として、アプリケーション切替制御部132が判定したアプリケーションを実行する。
図16は、この実施の形態における委譲解除処理S50の流れの一例を示すフロー図である。
委譲解除処理S50(ロール間対応変更処理の一例。)において、実行環境システム100は、ユーザの指示にしたがって、委譲解除作業を実行する。委譲解除処理S50は、例えば、委譲先入力工程S51と、役割入力工程S52と、権限判定工程S53と、委譲定義更新工程S54とを有する。
委譲先入力工程S51において、テナント間委譲設定部142は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、委譲先のテナント180を入力する。
役割入力工程S52において、テナント間委譲設定部142は、入力装置912を用いて、ユーザによる操作をクライアント端末装置181から入力することにより、権限委譲を解除する権限に関連付けられた役割を入力する。
権限判定工程S53において、権限判定部144は、処理装置911を用いて、そのユーザが、委譲先入力工程S11で入力したテナント180に対する権限委譲を解除する権限を有するか否かを判定する。
解除権限がそのユーザにあると判定した場合、権限判定部144は、委譲定義更新工程S54へ処理を進める。
解除権限がそのユーザにないと判定した場合、権限判定部144は、委譲解除処理S50を終了する。
委譲定義更新工程S54において、テナントロール管理部112は、処理装置911を用いて、テナント間委譲定義情報記憶部161が記憶したテナント間委譲定義情報を更新する。
例えば、テナントロール管理部112は、テナント間委譲定義情報記憶部161が記憶したテナント間委譲定義情報のなかから、委譲元テナントID301が、ユーザが属するテナント180のテナントIDと一致し、委譲先テナントID302が、委譲先入力工程S51で入力したテナント180のテナントIDと一致し、ロールID304が、役割入力工程S52で入力した役割のロールIDと一致するテナント間委譲定義情報を抽出する。テナントロール管理部112は、抽出したテナント間委譲定義情報の委譲状態303に、「未委譲」を設定する。テナント間委譲定義情報記憶部161は、テナントロール管理部112が抽出したテナント間委譲定義情報を、テナントロール管理部112が変更したテナント間委譲定義情報で置き換えて記憶する。
このように、テナント間委譲定義情報の委譲状態303を「未委譲」に変更するだけで、権限委譲を解除することができる。権限委譲を再開する場合は、テナント間委譲定義情報の委譲状態303を「委譲中」に戻せばよい。
なお、テナント間委譲定義情報の委譲状態303を「未委譲」に変更するだけでなく、権限ロール生成工程S14で生成した権限ロールやユーザロール生成工程S15で生成したユーザロールを表わすロール情報を、ロール情報記憶部172が記憶したロール情報のなかから削除する構成であってもよい。
委譲元のテナント180において、委譲する権限の内容を変更する場合は、権限役割解除作業をする権限役割解除処理によって、権限ロールと権限との関連付けを解除し、権限役割設定処理S20によって、権限ロールを別の権限と関連付ければよい。なお、権限役割解除処理では、通常ロールと権限との関連付けを解除することもできる。権限役割解除処理の詳細については、説明を省略する。
なお、権限委譲を解除する場合、委譲元のテナント180で委譲解除処理S50をするのではなく、権限役割解除処理によって、権限ロールと権限との関連付けを解除してもよい。しかし、委譲先のテナント180からは、委譲元のテナント180の権限ロール定義情報を見ることができないので、権限委譲そのものが解除されたのか、委譲された権限が変更されたのかを区別できない。このため、委譲解除処理S50によって、権限委譲を解除するほうが好ましい。
委譲先のテナント180において、委譲された権限を行使するユーザを変更する場合は、ユーザ役割解除作業をするユーザ役割解除処理によって、ユーザロールとユーザとの関連付けを解除し、ユーザ役割設定処理S30によって、ユーザロールを別のユーザと関連付ければよい。なお、ユーザ役割解除処理では、通常ロールとユーザとの関連付けを解除することもできる。ユーザ役割解除処理の詳細については、説明を省略する。
この実施の形態における実行環境システム100の権限管理方式は、ユーザと、そのユーザの有する権限の関係を判定する。
権限管理方式は、ユーザとロールの関係付けを管理する。
権限管理方式は、ロールと権限の関係付けを管理する。
権限管理方式は、前記2つの関係情報からロールを介して、権限を判定する上で、ロールを、
(1)ユーザと関係付けることのできるロール(ユーザロール)と、
(2)権限のみと関係付けることのできるロール(権限ロール)と
に分割し、その前記2つのロールを関係付けて管理することにより、ユーザの有する権限を判定する。
この実施の形態における実行環境システム100は、複数のテナントがアプリケーションを共用するマルチテナントアプリケーションを実行する。
マルチテナントアプリケーション上の他のテナントに権限を委譲するため、
(1)他テナントに、ユーザと関係付けることのできるロール(ユーザロール)を、
(2)自身のテナントに、権限と関係付けることのできるロール(権限ロール)を
それぞれ作成し、前記2つのロールを関係付けて管理することにより、他のテナントのユーザに対して自テナントの権限を委譲する。
これにより、マルチテナントアプリケーションにおいて、他テナントに対して不用意にユーザや権限を公開することなく、権限の委譲を行うことが可能となる。仮IDの発行やテナント間の役職の対応付けなどを行う必要はない。自身のテナント内のロールを用いたユーザ管理・権限管理のみで他テナントとの権限の連携が可能となる。また、ロールの割り当ては、権限委譲後も更新できるため、柔軟性が高い権限の割当てが可能となる。さらに、ユーザの操作履歴などにおいても、どのユーザが操作したかを記録可能であり、また、逆に履歴を記録していても他テナントからの参照時には詳細な情報を公開しないなどの制御をすることで、不用意な情報公開を避けることもできる。
なお、権限ロールと、対応するユーザロールとで、同一のロールIDを使うのではなく、異なるロールIDを使う構成であってもよい。例えば、テナント間委譲定義情報は、ロールID304の代わりに、委譲元ロールIDと、委譲先ロールIDとを含む。テナント間委譲定義情報は、委譲元テナントID301と委譲元ロールIDとの組み合わせによって識別されル権限ロールと、委譲先テナントID302と委譲先ロールIDとの組み合わせによって識別されるユーザロールとを関連付ける。
実施の形態2.
実施の形態2について、図17を用いて説明する。
なお、実施の形態1と共通する部分については、同一の符号を付し、説明を省略する。
この実施の形態における実行環境システム100の全体構成、APサーバ装置101やDBサーバ装置102などの機能ブロック構成は、実施の形態1と同様である。
この実施の形態では、1つの権限を複数のテナント180に対して委譲する。
権限委譲処理S10の流れは、実施の形態1と同様なので、図12を参照して、異なる点のみを説明する。
委譲先入力工程S11において、テナントロール管理部112は、委譲先のテナント180を複数入力する。
委譲定義生成工程S13において、テナントロール管理部112は、委譲先テナントID302に、委譲先入力工程S11で入力した複数の委譲先のテナント180のテナントIDからなるリストを設定したテナント間委譲定義情報を生成する。
なお、テナントロール管理部112は、委譲先テナントID302に、委譲先入力工程S11で入力した複数の委譲先のテナント180それぞれのテナントIDを設定した複数のテナント間委譲定義情報を生成する構成であってもよい。
ユーザロール生成工程S15において、テナントロール管理部112は、テナントID350に、委譲先入力工程S11で入力した複数の委譲先のテナント180それぞれのテナントIDを設定した複数のロール情報を生成する。
図17は、この実施の形態における権限委譲処理S10でテナントロール管理部112が生成する情報の一例を示す図である。
例えば、委譲先入力工程S11でテナントロール管理部112が委譲先のテナント180として2つのテナント180を入力した場合、テナントロール管理部112は、その2つのテナント180のテナントIDのリストを委譲先テナントID302としたテナント間委譲定義情報を生成する。また、テナントロール管理部112は、そのユーザが属するテナント180に属する1つの権限ロールを表わすロール情報と、委譲先の2つのテナント180にそれぞれ属する2つのユーザロールをそれぞれ表わす2つのロール情報とを生成する。
これにより、1つの権限ロールを使って、複数のテナント180に対して権限を委譲することができる。
この実施の形態における実行環境システム100は、複数のテナントがアプリケーションを共用するマルチテナントアプリケーションを実行する。
マルチテナントアプリケーション上で、複数のテナントに対して一括で権限を委譲するため、
(1)複数のテナントに、ユーザとの割当てを定義できるロール(ユーザロール)を、
(2)自身のテナントに、権限との割当てを定義できるロール(権限ロール)を
それぞれ作成し、前記2つのロールを1対多で関係付けて管理することにより、複数のテナントのユーザに対して自テナントの権限を一括で委譲する。
これにより、複数のテナントに対して、同一の権限を一括で委譲管理することが可能となる。
以上、各実施の形態で説明した構成は、一例であり、他の構成であってもよい。例えば、異なる実施の形態で説明した構成を組み合わせた構成であってもよいし、本質的でない部分の構成を、他の構成で置き換えた構成であってもよい。
以上説明した処理実行装置(実行環境システム100)は、データを記憶する記憶装置(914)と、データを処理する処理装置(911)と、利用者ロール記憶部(ユーザロール定義情報記憶部175)と、権限ロール記憶部(権限ロール定義情報記憶部174)と、ロール間対応記憶部(テナント間委譲定義情報記憶部161)と、利用者認証部(ユーザ認証部145)と、利用者ロール判定部(権限判定部144)と、権限ロール判定部(テナント間権限判定部111)と、実行権限判定部(権限判定部144)と、実行部(アプリケーション処理部150)とを有する。
上記利用者ロール記憶部は、上記記憶装置を用いて、複数のグループ(テナント180)のうちのいずれかに属する利用者(ユーザ)と、上記利用者が属するグループと同じグループに属する利用者ロール(ユーザロール)との対応関係を表わす利用者ロールデータ(ユーザロール定義情報)を記憶する。
上記権限ロール記憶部は、上記記憶装置を用いて、上記複数のグループのうちのいずれかに属する処理を実行する実行権限と、上記処理が属するグループと同じグループに属する権限ロールとの対応関係を表わす権限ロールデータ(権限ロール定義情報)を記憶する。
上記ロール間対応記憶部は、上記記憶装置を用いて、上記利用者ロールと、上記利用者ロールにかかるグループと異なるグループにかかる権限ロールとの対応関係を表わすロール間対応データ(テナント間委譲定義情報)を記憶する。
上記利用者認証部は、上記処理装置を用いて、利用者を認証する。
上記利用者ロール判定部は、上記処理装置を用いて、上記利用者ロール記憶部が記憶した利用者ロールデータに基づいて、上記利用者認証部が認証した利用者に対応づけられた利用者ロールを判定する。
上記権限ロール判定部は、上記処理装置を用いて、上記ロール間対応記憶部が記憶したロール間対応データに基づいて、上記利用者ロール判定部が判定した利用者ロールに対応づけられた権限ロールを判定する。
上記実行権限判定部は、上記処理装置を用いて、上記権限ロール記憶部が記憶した権限ロールデータに基づいて、上記権限ロール判定部が判定した権限ロールに対応づけられた実行権限を判定する。
上記実行部は、上記処理装置を用いて、上記実行権限判定部が判定した実行権限に基づいて、上記利用者認証部が認証した利用者が実行権限を有する処理を実行する。
これにより、委譲元のグループについての情報と、委譲先のグループについての情報との分離を確実にし、情報漏洩を防ぐことができる。
上記実行部は、更に、ロール間対応変更部(テナントロール管理部112)を有する。
上記ロール間対応変更部は、上記処理装置(911)を用いて、上記ロール間対応記憶部(テナント間委譲定義情報記憶部161)が記憶したロール間対応データ(テナント間委譲定義情報)について、上記ロール間対応データにかかる権限ロールが属するグループ(委譲元のテナント180)と、上記利用者認証部(ユーザ認証部145)が認証した利用者が属するグループ(テナント180)とが一致する場合に、上記ロール間対応データを変更するロール間対応変更処理を実行する。
これにより、権限の委譲や解除を容易に行なうことができるので、解除漏れなどによる情報漏洩を防ぐことができる。
上記利用者ロール記憶部(ユーザロール定義情報記憶部175)が記憶する利用者ロールデータ(ユーザロール定義情報)は、上記利用者ロール(ユーザロール)を識別するロール識別データ(ロールID)を含む。
上記権限ロール記憶部(権限ロール定義情報記憶部174)が記憶する権限ロールデータ(権限ロール定義情報)は、上記権限ロールを識別するロール識別データ(ロールID)を含む。
上記ロール間対応記憶部(テナント間委譲定義情報記憶部161)が記憶するロール間対応データ(テナント間委譲定義情報)は、上記利用者ロールと、上記利用者ロールを識別するロール識別データと同じロール識別データによって識別される権限ロールとが、対応づけられているか否かを表わす。
100 実行環境システム、101 APサーバ装置、102 DBサーバ装置、103 ゲートウェイ装置、104,105 ネットワーク、111 テナント間権限判定部、112 テナントロール管理部、130 ユーザアクセス制御部、131 テナント切替制御部、132 アプリケーション切替制御部、140 テナント権限処理部、141 アクセス制御部、142 テナント間委譲設定部、143 ロール管理部、144 権限判定部、145 ユーザ認証部、146 ロールタイプ判定部、150 アプリケーション処理部、160 マルチテナント管理情報記憶部、161 テナント間委譲定義情報記憶部、170 テナント情報記憶部、171 権限情報記憶部、172 ロール情報記憶部、173 ユーザ情報記憶部、174 権限ロール定義情報記憶部、175 ユーザロール定義情報記憶部、180 テナント、181 クライアント端末装置、301 委譲元テナントID、302 委譲先テナントID、303 委譲状態、304,321,341,351 ロールID、310,320,330,340,350 テナントID、311,342 権限ID、312 対象システム、313 権限内容、322 ロールタイプ、331,352 ユーザID、332 ユーザ名、333 パスワード、900 マルチテナント型アプリケーション実行システム、910 コンピュータ、911 処理装置、912 入力装置、913 出力装置、914 記憶装置、S00 マルチテナント型アプリケーション実行処理、S01 ログイン処理、S02 作業選択処理、S03 作業実行処理、S10 権限委譲処理、S11,S51 委譲先入力工程、S12,S24,S34,S43,S53 権限判定工程、S13 委譲定義生成工程、S14 権限ロール生成工程、S15 ユーザロール生成工程、S20 権限役割設定処理、S21 権限入力工程、S22,S32,S52 役割入力工程、S23,S33 ロールタイプ判定工程、S25 権限ロール定義生成工程、S30 ユーザ役割設定処理、S31 ユーザ入力工程、S35 ユーザロール定義生成工程、S40 代行処理、S41 テナント入力工程、S42 処理入力工程、S44 処理実行工程、S50 委譲解除処理、S54 委譲定義更新工程。

Claims (5)

  1. データを記憶する記憶装置と、データを処理する処理装置と、利用者ロール記憶部と、権限ロール記憶部と、ロール間対応記憶部と、利用者認証部と、利用者ロール判定部と、権限ロール判定部と、実行権限判定部と、実行部とを有し、
    上記利用者ロール記憶部は、上記記憶装置を用いて、複数のグループのうちのいずれかに属する利用者と、上記利用者が属するグループと同じグループに属する利用者ロールとの対応関係を表わす利用者ロールデータを記憶し、
    上記権限ロール記憶部は、上記記憶装置を用いて、上記複数のグループのうちのいずれかに属する処理を実行する実行権限と、上記処理が属するグループと同じグループに属する権限ロールとの対応関係を表わす権限ロールデータを記憶し、
    上記ロール間対応記憶部は、上記記憶装置を用いて、上記利用者ロールと、上記利用者ロールにかかるグループと異なるグループにかかる権限ロールとの対応関係を表わすロール間対応データを記憶し、
    上記利用者認証部は、上記処理装置を用いて、利用者を認証し、
    上記利用者ロール判定部は、上記処理装置を用いて、上記利用者ロール記憶部が記憶した利用者ロールデータに基づいて、上記利用者認証部が認証した利用者に対応づけられた利用者ロールを判定し、
    上記権限ロール判定部は、上記処理装置を用いて、上記ロール間対応記憶部が記憶したロール間対応データに基づいて、上記利用者ロール判定部が判定した利用者ロールに対応づけられた権限ロールを判定し、
    上記実行権限判定部は、上記処理装置を用いて、上記権限ロール記憶部が記憶した権限ロールデータに基づいて、上記権限ロール判定部が判定した権限ロールに対応づけられた実行権限を判定し、
    上記実行部は、上記処理装置を用いて、上記実行権限判定部が判定した実行権限に基づいて、上記利用者認証部が認証した利用者が実行権限を有する処理を実行する
    ことを特徴とする処理実行装置。
  2. 上記実行部は、更に、ロール間対応変更部を有し、
    上記ロール間対応変更部は、上記処理装置を用いて、上記ロール間対応記憶部が記憶したロール間対応データについて、上記ロール間対応データにかかる権限ロールが属するグループと、上記利用者認証部が認証した利用者が属するグループとが一致する場合に、上記ロール間対応データを変更するロール間対応変更処理を実行する
    ことを特徴とする請求項1に記載の処理実行装置。
  3. 上記利用者ロール記憶部が記憶する利用者ロールデータは、上記利用者ロールを識別するロール識別データを含み、
    上記権限ロール記憶部が記憶する権限ロールデータは、上記権限ロールを識別するロール識別データを含み、
    上記ロール間対応記憶部が記憶するロール間対応データは、上記利用者ロールと、上記利用者ロールを識別するロール識別データと同じロール識別データによって識別される権限ロールとが対応づけられているか否かを表わす
    ことを特徴とする請求項1または請求項2に記載の処理実行装置。
  4. データを記憶する記憶装置と、データを処理する処理装置と
    を有するコンピュータが実行するコンピュータプログラムであって、上記コンピュータを請求項1乃至請求項3に記載の処理実行装置として機能させることを特徴とするコンピュータプログラム。
  5. データを記憶する記憶装置と、データを処理する処理装置とを有する処理実行装置が、処理を実行する処理実行方法において、
    上記記憶装置が、複数のグループのうちのいずれかに属する利用者と、上記利用者が属するグループと同じグループに属する利用者ロールとの対応関係を表わす利用者ロールデータを記憶し、
    上記記憶装置が、上記複数のグループのうちのいずれかに属する処理を実行する実行権限と、上記処理が属するグループと同じグループに属する権限ロールとの対応関係を表わす権限ロールデータを記憶し、
    上記記憶装置が、上記利用者ロールと、上記利用者ロールにかかるグループと異なるグループにかかる権限ロールとの対応関係を表わすロール間対応データを記憶し、
    上記処理装置が、利用者を認証し、
    上記処理装置が、上記記憶装置が記憶した利用者ロールデータに基づいて、上記処理装置が認証した利用者に対応づけられた利用者ロールを判定し、
    上記処理装置が、上記記憶装置が記憶したロール間対応データに基づいて、上記処理装置が判定した利用者ロールに対応づけられた権限ロールを判定し、
    上記処理装置が、上記記憶装置が記憶した権限ロールデータに基づいて、上記処理装置が判定した権限ロールに対応づけられた実行権限を判定し、
    上記処理装置が、上記処理装置が判定した実行権限に基づいて、上記処理装置が認証した利用者が実行権限を有する処理を実行する
    ことを特徴とする処理実行方法。
JP2012043727A 2012-02-29 2012-02-29 処理実行装置及びコンピュータプログラム及び処理実行方法 Active JP5868221B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012043727A JP5868221B2 (ja) 2012-02-29 2012-02-29 処理実行装置及びコンピュータプログラム及び処理実行方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012043727A JP5868221B2 (ja) 2012-02-29 2012-02-29 処理実行装置及びコンピュータプログラム及び処理実行方法

Publications (2)

Publication Number Publication Date
JP2013182295A true JP2013182295A (ja) 2013-09-12
JP5868221B2 JP5868221B2 (ja) 2016-02-24

Family

ID=49272928

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012043727A Active JP5868221B2 (ja) 2012-02-29 2012-02-29 処理実行装置及びコンピュータプログラム及び処理実行方法

Country Status (1)

Country Link
JP (1) JP5868221B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104717651A (zh) * 2013-12-13 2015-06-17 华为技术有限公司 租户切换方法及装置
JP2017027459A (ja) * 2015-07-24 2017-02-02 キヤノン株式会社 権限委譲システム、その制御方法、認可サーバおよびプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132625A (ja) * 1998-10-23 2000-05-12 Ntt Communicationware Corp ワークフロー管理システム
JP2011128994A (ja) * 2009-12-18 2011-06-30 Canon It Solutions Inc 情報処理装置、情報処理方法、及びコンピュータプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132625A (ja) * 1998-10-23 2000-05-12 Ntt Communicationware Corp ワークフロー管理システム
JP2011128994A (ja) * 2009-12-18 2011-06-30 Canon It Solutions Inc 情報処理装置、情報処理方法、及びコンピュータプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104717651A (zh) * 2013-12-13 2015-06-17 华为技术有限公司 租户切换方法及装置
JP2017027459A (ja) * 2015-07-24 2017-02-02 キヤノン株式会社 権限委譲システム、その制御方法、認可サーバおよびプログラム

Also Published As

Publication number Publication date
JP5868221B2 (ja) 2016-02-24

Similar Documents

Publication Publication Date Title
US11777739B2 (en) Virtual network system, control apparatus, control method, and control program
US9418217B2 (en) Information processing system and information processing method
US11792182B2 (en) Virtual network system, virtual network control method, orchestration apparatus, control apparatus, and control method and control program of control apparatus
US20180048523A1 (en) Virtual network system, virtual network control method, virtual network function database, orchestration apparatus, control apparatus, and control method and control program of control apparatus
JP2019074994A (ja) 情報処理装置、情報処理システム及びプログラム
JP5868221B2 (ja) 処理実行装置及びコンピュータプログラム及び処理実行方法
JP5987021B2 (ja) 分散情報連携システム
JP6184316B2 (ja) ログイン中継サーバ装置、ログイン中継方法、及びプログラム
JP2015153260A (ja) 情報処理装置及び情報処理方法及びプログラム
JP5447005B2 (ja) 情報処理装置および情報処理システム
JP2019113996A (ja) 管理装置及び管理方法
JP6413628B2 (ja) 情報処理システム、情報処理装置、情報処理方法、及びプログラム
CN105659554A (zh) 基于普遍度的信誉
US10530812B2 (en) Methods and apparatuses for providing configurable security models
JP2006324994A (ja) ネットワークアクセス制御システム
JP2003323410A (ja) オペレータ権限管理システム
JP2018042165A (ja) 管理装置及び共用ネットワークシステム
JP2009053804A (ja) コミュニティ管理装置
JP2008299467A (ja) ユーザ認証情報管理装置及びユーザ認証プログラム
JP2004295711A (ja) パスワード管理方法
JP2017068415A (ja) システム、及び、システムの制御方法
JPH09305540A (ja) コンピュータシステムにおける利用者管理方式
JP2024060071A (ja) デバイス管理装置の制御方法及びプログラム
JP2021019330A (ja) 情報処理装置、ネットワーク管理方法及びプログラム
JP2023041471A (ja) 情報処理装置、情報処理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141003

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150825

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160105

R150 Certificate of patent or registration of utility model

Ref document number: 5868221

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250