JP2014182708A - 権限管理装置、方法、プログラム及びシステム - Google Patents
権限管理装置、方法、プログラム及びシステム Download PDFInfo
- Publication number
- JP2014182708A JP2014182708A JP2013057885A JP2013057885A JP2014182708A JP 2014182708 A JP2014182708 A JP 2014182708A JP 2013057885 A JP2013057885 A JP 2013057885A JP 2013057885 A JP2013057885 A JP 2013057885A JP 2014182708 A JP2014182708 A JP 2014182708A
- Authority
- JP
- Japan
- Prior art keywords
- organization
- information
- authority
- reorganization
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 26
- 230000008520 organization Effects 0.000 claims abstract description 375
- 238000013475 authorization Methods 0.000 claims abstract description 41
- 238000006243 chemical reaction Methods 0.000 claims abstract description 24
- 230000008521 reorganization Effects 0.000 claims description 98
- 238000007726 management method Methods 0.000 claims description 80
- 230000008569 process Effects 0.000 claims description 13
- 208000021005 inheritance pattern Diseases 0.000 claims description 10
- 238000010521 absorption reaction Methods 0.000 claims description 5
- 230000010354 integration Effects 0.000 claims description 5
- 230000008859 change Effects 0.000 abstract description 8
- 230000014509 gene expression Effects 0.000 description 19
- 238000007689 inspection Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 13
- 238000007596 consolidation process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000013070 change management Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】組織改編に伴う業務システムの権限変更の管理を容易にすること。
【解決手段】本発明にかかる権限管理装置は、業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、を記憶する記憶手段と、改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する特定手段と、改編前後の組織の対応関係に応じて、権限付与情報を改編後の組織に対応するように変換する変換手段と、を備える。
【選択図】図1
【解決手段】本発明にかかる権限管理装置は、業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、を記憶する記憶手段と、改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する特定手段と、改編前後の組織の対応関係に応じて、権限付与情報を改編後の組織に対応するように変換する変換手段と、を備える。
【選択図】図1
Description
本発明は、権限管理装置、方法、プログラム及びシステムに関し、特に、複数の業務システムの権限を組織単位で管理するための権限管理装置、方法、プログラム及びシステムに関する。
情報システムの普及に伴い、企業等では多数の業務システムが運用されている。ユーザは、シングルサインオン等の仕組みを介して複数の業務システムを利用する。その際、各業務システムに対するアクセス権限は、当該ユーザが所属する組織又は役職等に応じて一括して設定されることが一般的である。
ここで、所属組織等に合わせて権限を割り当てる方法の一つとして、所属組織情報や役職情報を用いて権限ごとに権限付与条件式を定義する方法がある。ユーザの人事属性に基づいた権限付与条件式を利用すれば、人事異動が発生する度に、権限付与のメンテナンスを手動で実施することなく、職務に合った新しい権限を自動的に割り当てることが可能になる。
例えば、特許文献1には、業務システムに対する権限の変更するための権限管理システムに関する技術が開示されている。特許文献1にかかる権限管理システムは、権限情報と組織情報又は役職情報とを対応付けて権限情報格納部に格納している。そして、「組織X(に所属するユーザ)」は、ある「権限情報」が設定されている業務アプリケーションを利用可能とするものである。そのため、例えば、ユーザに人事異動等があった場合であっても、権限情報格納部に格納されている情報は変更することなく対応することが可能となる。具体的には、ユーザが組織Xから組織Yに異動された場合には、当該ユーザの権限は組織Xから組織Yに付属するものに変更されるにもかかわらず、権限情報格納部においては組織を基準として権限情報が管理されているため当該権限情報格納部に格納されている情報を変更する必要はない。
しかしながら、特許文献1にかかる技術では、組織の統廃合といった組織改編を想定しておらず、組織改編時の管理者による権限変更管理の負荷が大きいという問題点がある。例えば、特許文献1にかかる技術では、組織改編が発生した場合、ユーザ属性の元となっている組織情報に変更が生じてしまうため、権限付与条件式に使用している値が実在しなくなる場合がある。例えば、組織改編により人事部が廃止されると、「所属組織が人事部」という権限付与条件式を定義していた権限には、その条件に合致するユーザが存在しなくなる。また、不正な権限付与条件式が残り続けてしまう。
本発明は、上述した問題点を考慮してなされたものであり、組織改編に伴う業務システムの権限変更の管理を容易にするための権限管理装置、方法、プログラム及びシステムを提供することを目的とする。
本発明の第1の態様にかかる権限管理装置は、
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶手段と、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する特定手段と、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する変換手段と、
を備える。
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶手段と、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する特定手段と、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する変換手段と、
を備える。
本発明の第2の態様にかかる権限管理方法は、
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶装置を備える権限管理装置が、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、
前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定し、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する。
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶装置を備える権限管理装置が、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、
前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定し、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する。
本発明の第3の態様にかかる権限管理プログラムは、
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶装置を備えるコンピュータに、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得する処理と、
前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する処理と、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する処理と、
を実行させる。
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶装置を備えるコンピュータに、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得する処理と、
前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する処理と、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する処理と、
を実行させる。
本発明の第4の態様にかかる権限管理システムは、
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
前記改編前の組織から改編後の組織へと前記権限を継承するための継承パターンを定義した権限継承ルールと、
前記ユーザと当該ユーザに付与される前記権限とを関連付けて定義したユーザ権限情報と、
を記憶する記憶装置と、
前記改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部システムから取得し、
前記前回組織情報に含まれる組織のうち前記現在組織情報に含まれない組織を廃止組織として検出し、
前記前回組織情報及び前記現在組織情報を参照し、前記検出された廃止組織に所属していたユーザが前記改編後に所属する組織を継承組織として検出し、
前記検出された廃止組織と前記検出された継承組織との関係から、前記権限継承ルールに定義された前記継承パターンを特定し、
前記検出された廃止組織と前記検出された継承組織と前記特定された継承パターンとを対応付けて改編前後の組織対照情報を生成し、
前記改編前後の組織対照情報を用いて前記権限付与情報を更新し、
前記更新された権限付与情報に基づいて前記ユーザ権限情報を更新する
権限管理装置と、
を備える。
業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
前記改編前の組織から改編後の組織へと前記権限を継承するための継承パターンを定義した権限継承ルールと、
前記ユーザと当該ユーザに付与される前記権限とを関連付けて定義したユーザ権限情報と、
を記憶する記憶装置と、
前記改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部システムから取得し、
前記前回組織情報に含まれる組織のうち前記現在組織情報に含まれない組織を廃止組織として検出し、
前記前回組織情報及び前記現在組織情報を参照し、前記検出された廃止組織に所属していたユーザが前記改編後に所属する組織を継承組織として検出し、
前記検出された廃止組織と前記検出された継承組織との関係から、前記権限継承ルールに定義された前記継承パターンを特定し、
前記検出された廃止組織と前記検出された継承組織と前記特定された継承パターンとを対応付けて改編前後の組織対照情報を生成し、
前記改編前後の組織対照情報を用いて前記権限付与情報を更新し、
前記更新された権限付与情報に基づいて前記ユーザ権限情報を更新する
権限管理装置と、
を備える。
本発明により、組織改編に伴う業務システムの権限変更の管理を容易にするための権限管理装置、方法、プログラム及びシステムを提供することができる。
以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略する。
<発明の実施の形態1>
図1は、本発明の実施の形態1にかかる権限管理装置100の構成を示すブロック図である。権限管理装置100は、記憶部110と、特定部120と、変換部130とを備える。記憶部110は、記憶手段の一例であり、前回組織情報111と、権限付与情報112とを記憶する記憶装置である。前回組織情報111は、改編前の組織と当該組織に所属していたユーザとを関連付けた情報である。権限付与情報112は、業務システム(不図示)にアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した情報である。
図1は、本発明の実施の形態1にかかる権限管理装置100の構成を示すブロック図である。権限管理装置100は、記憶部110と、特定部120と、変換部130とを備える。記憶部110は、記憶手段の一例であり、前回組織情報111と、権限付与情報112とを記憶する記憶装置である。前回組織情報111は、改編前の組織と当該組織に所属していたユーザとを関連付けた情報である。権限付与情報112は、業務システム(不図示)にアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した情報である。
特定部120は、特定手段の一例であり、改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報200を外部から取得し、前回組織情報111と現在組織情報200とに基づいて、改編前後の組織の対応関係を特定する。変換部130は、変換手段の一例であり、改編前後の組織の対応関係に応じて、権限付与情報112を改編後の組織に対応するように変換する。
図2は、本発明の実施の形態1にかかる権限管理方法の流れを示すフローチャートである。まず、権限管理装置100の特定部120は、現在組織情報200を外部から取得する(S11)。例えば、特定部120は、外部の情報システムから、又はユーザによる入力により現在組織情報200を取得する。
次に、特定部120は、前回組織情報111と現在組織情報200とに基づいて、改編前後の組織の対応関係を特定する(S12)。例えば、特定部120は、記憶部110から前回組織情報111を読出し、ステップS11にて取得された現在組織情報200と比較することにより、改編前後の組織の対応関係を特定し、変換部130へ出力する。
そして、権限管理装置100の変換部130は、改編前後の組織の対応関係に応じて、権限付与情報112を改編後の組織に対応するように変換する(S13)。例えば、変換部130は、記憶部110から権限付与情報112を読出し、特定部120から出力された対応関係に応じて権限付与情報112を変換し、変換後の権限付与情報112を記憶部110に格納して更新する。または、変換部130は、変換後の権限付与情報112を外部へ出力してもよい。
このように、本発明の実施の形態1により、組織改編に伴う業務システムの権限変更の管理を容易にすることができる。
<発明の実施の形態2>
図3は、本発明の実施の形態2にかかる権限管理システム3の構成を示すブロック図である。権限管理システム3は、複数の業務システム11〜13の権限情報を管理し、その情報を業務システム11〜13に提供するための情報システムである。権限管理システム3は、上記実施の形態1にかかる権限管理装置100の一実施例である。
図3は、本発明の実施の形態2にかかる権限管理システム3の構成を示すブロック図である。権限管理システム3は、複数の業務システム11〜13の権限情報を管理し、その情報を業務システム11〜13に提供するための情報システムである。権限管理システム3は、上記実施の形態1にかかる権限管理装置100の一実施例である。
ID管理システム2は、業務システム11〜13にアクセスする複数のユーザに発行されたユーザIDを管理する情報システムである。また、ID管理システム2は、上記の実施の形態1における外部(システム)の一例である。ID管理システム2は、ユーザ情報21と組織情報22とを保有している。
ここで、図4は、本発明の実施の形態2にかかるユーザ情報21の例を示す図である。ユーザ情報21は、ユーザIDと、ユーザの名前と、ユーザの所属組織の名称とを関連付けた情報である。ユーザ情報21は、組織の改編後の最新の情報である。尚、ユーザ情報21における所属組織の名称は、組織を識別する組織コードであってもよい。
図5は、本発明の実施の形態2にかかる組織情報22の例を示す図である。組織情報22は、組織コードと、所属組織の名称とを関連付けた情報である。組織情報22は、組織の改編後の最新の情報である。そのため、ユーザ情報21の一部、又は、ユーザ情報21及び組織情報22の組み合わせは、上記の現在組織情報200の一例といえる。尚、ID管理システム2のその他の構成は公知の技術で実現できるため詳細な説明を省略する。
権限管理システム3は、権限付与管理部31と、前ユーザ情報32と、前組織情報33と、ユーザ保有権限情報34と、組織新旧対照情報35と、権限継承ルール36と、権限付与条件情報37とを備える。権限管理システム3は、上記の権限管理装置100の一例である。尚、前ユーザ情報32、前組織情報33、ユーザ保有権限情報34、組織新旧対照情報35、権限継承ルール36及び権限付与条件情報37は、上記の記憶部110に相当する記憶装置(不図示)に格納されているものとする。
前ユーザ情報32は、権限管理システム3が前回の権限変換処理においてID管理システム2から読み込んだユーザ情報21を記録しておくデータベースである。そのため、ユーザ情報21と前ユーザ情報32とは構成が同一である。図6は、本発明の実施の形態2にかかる前ユーザ情報32の例を示す図である。
前組織情報33は、権限管理システム3が前回の権限変換処理においてID管理システム2から読み込んだ組織情報22を記録しておくデータベースである。そのため、組織情報22と前組織情報33とは構成が同一である。図7は、本発明の実施の形態2にかかる前組織情報33の例を示す図である。また、前ユーザ情報32の一部、又は、前ユーザ情報32及び前組織情報33の組み合わせは、上記の前回組織情報111の一例といえる。
ユーザ保有権限情報34は、ユーザとそのユーザに付与される権限とを関連付けて定義したユーザ権限情報を管理するデータベースである。図8は、本発明の実施の形態2にかかるユーザ保有権限情報34の例を示す図である。ユーザ保有権限情報34は、権限名(権限の種別又は識別情報)と所属組織の名称とを関連付けた情報である。
権限付与条件情報37は、個々の権限に対して、その権限を付与するユーザを特定するための権限付与条件式を管理するデータベースである。ここで、権限付与条件式とは、ユーザ情報で管理されるユーザ属性を用いた検索条件式である。権限付与条件情報37は、上記の権限付与情報112の一例である。図9は、本発明の実施の形態2にかかる権限付与条件情報37の例を示す図である。権限付与条件情報37は、権限名(権限の種別又は識別情報)と、権限付与条件とを関連付けた情報である。例えば、「権限1」が付与されるユーザの条件は、「所属組織が人事部」であることを示す。そのため、図8のユーザ保有権限情報34は、権限1〜6について、前回の組織改編後の所属組織(前ユーザ情報32)に基づく各ユーザが権限保持者として設定されていることを示す。
権限継承ルール36は、改編前の組織から改編後の組織へと権限を継承するための継承パターンを定義した情報である。言い換えると、権限継承ルール36は、組織改編によって廃止される組織に割り当てていた権限を他の組織に引き継がせるための情報である。図10は、本発明の実施の形態2にかかる権限継承ルール36例を示す図である。
ここで、組織の統廃合の種類が「統合」の場合、複数の廃止組織から共通の継承組織へ権限を継承する統合パターンとする。また、組織の統廃合の種類が「吸収」の場合、廃止組織から前回組織情報及び現在組織情報のいずれにも含まれる組織へ権限を継承する吸収パターンとする。そして、組織の統廃合の種類が「統合」又は「吸収」の場合、廃止組織に割り当てられていた権限は、1つの新組織に引き継がれる。これを、権限継承ルールのパターンXとする。つまり、パターンXは、統合パターンと吸収パターンとを含む。
また、組織の統廃合の種類が「分割」の場合、廃止組織から複数の前記継承組織へ権限を継承する分割パターンとする。この場合、廃止組織に割り当てられた権限は、複数の組織に引き継がれる。これを、権限継承ルールのパターンYとする。パターンYは、分割パターンを含む。
さらに、組織の統廃合の種類が「分離」の場合、廃止組織が存在しないため、権限継承は不要である。
組織新旧対照情報35は、改編前後の組織の対応関係の一例であり、廃止組織と継承組織と継承パターンとを対応付けた改編前後の組織対照情報である。図12は、本発明の実施の形態2にかかる新旧組織対象表の例を示す図である。尚、組織新旧対照情報35は、メモリに一時的に格納されたものであっても構わない。
権限付与管理部31は、権限情報生成部311と、組織改編検査部312と、権限付与条件式変換部313とを備える。権限情報生成部311は、権限付与条件情報37の権限付与条件式とID管理システム2から取得したユーザ情報21からユーザ保有権限情報34を生成する装置である。組織改編検査部312は、上記の特定部120の一例であり、組織情報22と前組織情報33を比較して組織改編を検知し、組織新旧対照情報35を生成する装置である。権限付与条件式変換部313は、上記の変換部130の一例であり、組織改編検査部312が出力する組織新旧対照情報35により権限付与条件情報37の権限付与条件式を変換する装置である。
管理端末4は、管理者であるユーザが操作し、権限付与条件情報37を登録するための装置である。尚、管理端末4の構成は公知の技術で実現できるため詳細な説明を省略する。
また、業務システム11〜13は、企業等の各種業務を実現するための情報システムである。業務システム11〜13は、社員又は職員が自己に割り当てられたユーザID(ユーザの識別子)を用いてクライアント端末等(不図示)を操作することによるアクセスを受け付ける。その際、業務システム11〜13は、各ユーザIDに付与されたアクセス権限に応じて利用できる機能に制限をかけた上で、要求元のクライアント端末等に応答する仕組みを持つ。そのため、業務システム11〜13には、利用者認証及び認可処理が実装されている。そして、業務システム11〜13は、認可処理の際に、権限管理システム3に対して、認可処理対象ユーザのユーザIDを渡し、当該ユーザの保有権限を問い合わせる。尚、業務システムの数は1以上であればよい。また、業務システム11〜13の構成は公知の技術で実現できるため詳細な説明を省略する。
権限管理システム3は、業務システム11〜13のいずれかからユーザの保有権限の問い合わせを受け付けた場合、ユーザ保有権限情報34を参照して、問合せ元の業務システムから受け付けたユーザIDが保有する権限を返信する。
また、本実施の形態2にかかる権限管理システム3は、実施の形態1にかかる権限管理装置100の構成に加え、次のような構成を有するものである。すなわち、組織改編検査部312は、前ユーザ情報32及び前組織情報33とユーザ情報21及び組織情報22とを参照して、改編により廃止された組織である廃止組織と、当該廃止組織に定義された権限を継承する継承組織とを選択する。そして、組織改編検査部312は、廃止組織と継承組織とを対応付けて改編前後の組織の対応関係として特定する。その後、権限付与条件式変換部313は、権限付与条件情報37に定義された廃止組織を、改編前後の組織の対応関係において廃止組織と対応付けられた継承組織へ変換する。
さらに、改編前後の組織の対応関係(組織新旧対照情報35)には、廃止組織と継承組織の少なくとも一方が複数として対応付けれた対応関係を含む。
さらにまた、組織改編検査部312は、廃止組織と継承組織との組み合わせから権限を継承するパターンをさらに特定する。そして、権限付与条件式変換部313は、改編前後の組織の対応関係における特定されたパターンに応じて、権限付与情報37に定義された廃止組織を、改編前後の組織の対応関係において当該廃止組織と対応付けられた継承組織へ変換する。
また、組織改編検査部312は、前組織情報33に含まれる組織のうち組織情報22に含まれない組織を廃止組織として検出する。そして、組織改編検査部312は、前ユーザ情報32及びユーザ情報21を参照し、検出された廃止組織に所属していたユーザが改編後に所属する組織を継承組織として検出する。そして、組織改編検査部312は、検出した廃止組織と検出した継承組織とを対応付けて改編前後の組織の対応関係(組織新旧対照情報35)として特定する。
または、権限付与管理部31は、前組織情報33に含まれる組織のうち組織情報22に含まれない組織を廃止組織として検出し、前ユーザ情報32及びユーザ情報21を参照し、検出された廃止組織に所属していたユーザが改編後に所属する組織を継承組織として検出し、検出された廃止組織と検出された継承組織との関係から、権限継承ルール36に定義された継承パターンを特定し、検出された廃止組織と検出された継承組織と特定された継承パターンとを対応付けて改編前後の組織対照情報(組織新旧対照情報35)を生成し、改編前後の組織対照情報を用いて権限付与条件情報37を更新し、更新された権限付与情報37に基づいてユーザ保有権限情報34を更新する。
図11は、本発明の実施の形態2にかかる権限変換処理の流れを示すフローチャートである。まず、権限付与管理部31は、組織情報と前組織情報を読み込む(S201)。具体的には、組織改編検査部312は、ID管理システム2から組織情報22を取得し、記憶装置から前組織情報33を読み込む。そして、権限付与管理部31は、廃止組織があるか否かを判定する(S202)。具体的には、組織改編検査部312は、組織情報22の全件と前組織情報33の全件とを比較し、前組織情報33に含まれているが組織情報22に含まれていない組織コード又は所属組織の名称を検出する。例えば、図5及び図7の場合、組織コードD1、D2、D4及びD5が廃止組織として検出される。
ステップS202で廃止組織がないと判定された場合、当該権限変換処理を終了する。一方、ステップS202で廃止組織があると判定された場合、権限付与管理部31は、廃止組織を1件読み込む(S203)。具体的には、組織改編検査部312は、メモリ上に保持された複数の廃止組織のうち未処理の1件を処理対象として選択する。そして、権限付与管理部31は、廃止組織に所属していたユーザの現在の所属情報を取得する(S204)。具体的には、組織改編検査部312は、前ユーザ情報32内の当該処理対象の廃止組織に関連付けられたユーザを特定する。このとき、複数のユーザが特定される場合がある。そして、組織改編検査部312は、ユーザ情報21内の当該特定されたユーザに関連付けられた所属組織の名称を特定する。複数のユーザが特定されている場合には、複数の所属組織が特定され得る。
そして、権限付与管理部31は、廃止組織に所属していたユーザ全員が、組織改編後も同じ組織に所属しているか否かを判定する(S205)。YESの場合、権限付与管理部31は、パターンXと判定する。取得した組織がひとつのとき、つまり、全員の新所属が同じ組織の場合、当該廃止組織の権限継承ルールをパターンXとする。また、NOの場合、権限付与管理部31は、パターンYと判定する。取得した組織が複数のとき、つまり、新所属が異なる組織の場合、当該廃止組織の権限継承ルールをパターンYとする。
その後、権限付与管理部31は、他に廃止組織があるか否かを判定する(S208)。すなわち、権限付与管理部31は、未処理の廃止組織が存在するか否かを判定する。未処理の廃止組織が存在すると判定した場合、ステップS203〜S207を実行する。未処理の廃止組織が存在しないと判定した場合、ステップS209へ進む。
権限付与管理部31は、組織新旧対照表を生成する(S209)。具体的には、組織改編検査部312は、図12に示すような組織新旧対照情報35を生成する。そして、権限付与管理部31は、組織新旧対照表を使って権限付与条件情報を更新する(S210)。具体的には、権限付与条件式変換部313は、組織新旧対照情報35におけるパターンに基づいて、権限付与条件情報37のうち廃止組織を継承組織へ変換することにより、更新する。図13は、本発明の実施の形態2にかかる変換後の権限付与条件情報の例を示す図である。
続いて、権限付与管理部31は、ユーザ情報21と権限付与条件情報37からユーザ保有権限情報34を更新する(S211)。図14は、本発明の実施の形態2にかかる更新後のユーザ保有権限情報の例を示す図である。
その後、権限付与管理部31は、今回読み込んだユーザ情報21と組織情報22で前ユーザ情報32と前組織情報33を置換する(S212)。
以上のように、本発明の実施の形態2によれば、権限付与条件式に存在しなくなった組織情報が残り続けるという問題を解消できる。また、組織改編時に権限付与条件をひとつずつ編集する必要がなくなり、編集漏れあるいは編集間違いを防止できるという効果がある。
本発明の実施の形態2にかかる権限管理システム3は、言い換えると、ユーザ情報を使って権限を自動付与するための権限付与条件式の自動メンテナンスを行う装置ともいえる。また、組織改編による組織の統廃合パターンの分析を行って権限付与条件を自動的に変換する装置ともいえる。
<その他の発明の実施の形態>
尚、上述した課題に加え、業務システム数やアクセス権限数の増加に伴い、権限付与のルールも複雑になっており、その管理は困難性を伴う問題点もある。そこで、本発明の実施の形態1及び2により、条件式を構成する人事属性のマスタ情報の変更、つまり組織改編を検知して、条件式をメンテナンスすることができる。また、ユーザ属性による権限付与条件式を用いて権限の割り当てを管理する機能を具備している。または、組織情報や役職情報を使って権限付与を行い、人事異動時の権限変更管理を容易にすることができる。また、組織改編に伴う権限の引継ぎも可能とする。また、条件式に用いられる情報、例えば組織マスタや役職マスタの情報を正確なものとすることができる。
尚、上述した課題に加え、業務システム数やアクセス権限数の増加に伴い、権限付与のルールも複雑になっており、その管理は困難性を伴う問題点もある。そこで、本発明の実施の形態1及び2により、条件式を構成する人事属性のマスタ情報の変更、つまり組織改編を検知して、条件式をメンテナンスすることができる。また、ユーザ属性による権限付与条件式を用いて権限の割り当てを管理する機能を具備している。または、組織情報や役職情報を使って権限付与を行い、人事異動時の権限変更管理を容易にすることができる。また、組織改編に伴う権限の引継ぎも可能とする。また、条件式に用いられる情報、例えば組織マスタや役職マスタの情報を正確なものとすることができる。
尚、本発明の実施の形態1及び2は、複数の業務システムの権限情報を統合して管理する権限管理システムに適用することができる。
さらに、本発明は上述した実施の形態のみに限定されるものではなく、既に述べた本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。例えば、上述の実施の形態では、本発明をハードウェアの構成として説明したが、本発明は、これに限定されるものではない。本発明は、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、DVD(Digital Versatile Disc)、BD(Blu-ray(登録商標) Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
100 権限管理装置
110 記憶部
111 前回組織情報
112 権限付与情報
120 特定部
130 変換部
200 現在組織情報
11 業務システム
12 業務システム
13 業務システム
2 ID管理システム
21 ユーザ情報
22 組織情報
3 権限管理システム
31 権限付与管理部
311 権限情報生成部
312 組織改編検査部
313 権限付与条件式変換部
32 前ユーザ情報
33 前組織情報
34 ユーザ保有権限情報
35 組織新旧対照情報
36 権限継承ルール
37 権限付与条件情報
4 管理端末
A 組織
B 組織
C 組織
D 組織
E 組織
F 組織
P 組織
Q 組織
R 組織
S 組織
110 記憶部
111 前回組織情報
112 権限付与情報
120 特定部
130 変換部
200 現在組織情報
11 業務システム
12 業務システム
13 業務システム
2 ID管理システム
21 ユーザ情報
22 組織情報
3 権限管理システム
31 権限付与管理部
311 権限情報生成部
312 組織改編検査部
313 権限付与条件式変換部
32 前ユーザ情報
33 前組織情報
34 ユーザ保有権限情報
35 組織新旧対照情報
36 権限継承ルール
37 権限付与条件情報
4 管理端末
A 組織
B 組織
C 組織
D 組織
E 組織
F 組織
P 組織
Q 組織
R 組織
S 組織
Claims (9)
- 業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶手段と、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する特定手段と、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する変換手段と、
を備える権限管理装置。 - 前記特定手段は、
前記前回組織情報と前記現在組織情報とを参照して、前記改編により廃止された組織である廃止組織と、当該廃止組織に定義された権限を継承する継承組織とを選択し、
前記廃止組織と前記継承組織とを対応付けて前記改編前後の組織の対応関係として特定し、
前記変換手段は、
前記権限付与情報に定義された前記廃止組織を、前記改編前後の組織の対応関係において当該廃止組織と対応付けられた前記継承組織へ変換する
請求項1に記載の権限管理装置。 - 前記改編前後の組織の対応関係には、
前記廃止組織と前記継承組織の少なくとも一方が複数として対応付けれた対応関係を含む
ことを特徴とする請求項2に記載の権限管理装置。 - 前記特定手段は、
前記廃止組織と前記継承組織との組み合わせから権限を継承するパターンをさらに特定し、
前記変換手段は、
前記改編前後の組織の対応関係における前記特定されたパターンに応じて、前記権限付与情報に定義された前記廃止組織を、前記改編前後の組織の対応関係において当該廃止組織と対応付けられた前記継承組織へ変換する
ことを特徴とする請求項2又は3に記載の権限管理装置。 - 前記パターンには、
複数の前記廃止組織から共通の前記継承組織へ権限を継承する統合パターンと、
前記廃止組織から前記前回組織情報及び前記現在組織情報のいずれにも含まれる組織へ権限を継承する吸収パターンと、
前記廃止組織から複数の前記継承組織へ権限を継承する分割パターンと、
が含まれることを特徴とする請求項4に記載の権限管理装置。 - 前記特定手段は、
前記前回組織情報に含まれる組織のうち前記現在組織情報に含まれない組織を前記廃止組織として検出し、
前記前回組織情報及び前記現在組織情報を参照し、前記検出された廃止組織に所属していたユーザが前記改編後に所属する組織を前記継承組織として検出し、
前記検出した廃止組織と前記検出した継承組織とを対応付けて前記改編前後の組織の対応関係として特定する
請求項2乃至5のいずれか1項に記載の権限管理装置。 - 業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶装置を備える権限管理装置が、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得し、
前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定し、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する
権限管理方法。 - 業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
を記憶する記憶装置を備えるコンピュータに、
改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部から取得する処理と、
前記前回組織情報と当該現在組織情報とに基づいて、改編前後の組織の対応関係を特定する処理と、
前記改編前後の組織の対応関係に応じて、前記権限付与情報を前記改編後の組織に対応するように変換する処理と、
を実行させる権限管理プログラム。 - 業務システムにアクセスするための権限と、当該権限を付与すべきユーザが所属する組織とを関連付けて定義した権限付与情報と、
改編前の組織と当該組織に所属していたユーザとを関連付けた前回組織情報と、
前記改編前の組織から改編後の組織へと前記権限を継承するための継承パターンを定義した権限継承ルールと、
前記ユーザと当該ユーザに付与される前記権限とを関連付けて定義したユーザ権限情報と、
を記憶する記憶装置と、
前記改編後の組織と当該組織に所属するユーザとを関連付けた現在組織情報を外部システムから取得し、
前記前回組織情報に含まれる組織のうち前記現在組織情報に含まれない組織を廃止組織として検出し、
前記前回組織情報及び前記現在組織情報を参照し、前記検出された廃止組織に所属していたユーザが前記改編後に所属する組織を継承組織として検出し、
前記検出された廃止組織と前記検出された継承組織との関係から、前記権限継承ルールに定義された前記継承パターンを特定し、
前記検出された廃止組織と前記検出された継承組織と前記特定された継承パターンとを対応付けて改編前後の組織対照情報を生成し、
前記改編前後の組織対照情報を用いて前記権限付与情報を更新し、
前記更新された権限付与情報に基づいて前記ユーザ権限情報を更新する
権限管理装置と、
を備える権限管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013057885A JP6102388B2 (ja) | 2013-03-21 | 2013-03-21 | 権限管理装置、方法、プログラム及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013057885A JP6102388B2 (ja) | 2013-03-21 | 2013-03-21 | 権限管理装置、方法、プログラム及びシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014182708A true JP2014182708A (ja) | 2014-09-29 |
| JP6102388B2 JP6102388B2 (ja) | 2017-03-29 |
Family
ID=51701332
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013057885A Active JP6102388B2 (ja) | 2013-03-21 | 2013-03-21 | 権限管理装置、方法、プログラム及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6102388B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017182122A (ja) * | 2016-03-28 | 2017-10-05 | コニカミノルタ株式会社 | データ提供システム、アクセス権管理装置、データ提供方法、およびコンピュータプログラム |
| JP2020038548A (ja) * | 2018-09-05 | 2020-03-12 | 富士ゼロックス株式会社 | 管理装置及びプログラム |
| JP2020154882A (ja) * | 2019-03-20 | 2020-09-24 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システムおよびプログラム |
| JP7118305B1 (ja) | 2022-04-26 | 2022-08-15 | ジョーシス株式会社 | 企業における複数のアプリケーションの利用を管理するための装置、方法及びそのためのプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007172280A (ja) * | 2005-12-21 | 2007-07-05 | Fuji Xerox Co Ltd | アクセス権管理方法、装置及びプログラム |
| JP2007310439A (ja) * | 2006-05-16 | 2007-11-29 | Ricoh Co Ltd | アクセス権管理システム |
| JP2008117327A (ja) * | 2006-11-08 | 2008-05-22 | Fuji Xerox Co Ltd | 情報処理システムおよび情報処理プログラム |
| JP2011076569A (ja) * | 2009-10-02 | 2011-04-14 | Ariel Networks Co Ltd | アクセス権管理装置およびアクセス権管理プログラム |
| JP2012094106A (ja) * | 2010-09-27 | 2012-05-17 | Mitsubishi Denki Information Technology Corp | 情報処理装置及びプログラム |
-
2013
- 2013-03-21 JP JP2013057885A patent/JP6102388B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007172280A (ja) * | 2005-12-21 | 2007-07-05 | Fuji Xerox Co Ltd | アクセス権管理方法、装置及びプログラム |
| JP2007310439A (ja) * | 2006-05-16 | 2007-11-29 | Ricoh Co Ltd | アクセス権管理システム |
| JP2008117327A (ja) * | 2006-11-08 | 2008-05-22 | Fuji Xerox Co Ltd | 情報処理システムおよび情報処理プログラム |
| JP2011076569A (ja) * | 2009-10-02 | 2011-04-14 | Ariel Networks Co Ltd | アクセス権管理装置およびアクセス権管理プログラム |
| JP2012094106A (ja) * | 2010-09-27 | 2012-05-17 | Mitsubishi Denki Information Technology Corp | 情報処理装置及びプログラム |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017182122A (ja) * | 2016-03-28 | 2017-10-05 | コニカミノルタ株式会社 | データ提供システム、アクセス権管理装置、データ提供方法、およびコンピュータプログラム |
| JP2020038548A (ja) * | 2018-09-05 | 2020-03-12 | 富士ゼロックス株式会社 | 管理装置及びプログラム |
| JP7155766B2 (ja) | 2018-09-05 | 2022-10-19 | 富士フイルムビジネスイノベーション株式会社 | 管理装置及びプログラム |
| JP2020154882A (ja) * | 2019-03-20 | 2020-09-24 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システムおよびプログラム |
| JP7118305B1 (ja) | 2022-04-26 | 2022-08-15 | ジョーシス株式会社 | 企業における複数のアプリケーションの利用を管理するための装置、方法及びそのためのプログラム |
| JP2023162073A (ja) * | 2022-04-26 | 2023-11-08 | ジョーシス株式会社 | 企業における複数のアプリケーションの利用を管理するための装置、方法及びそのためのプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6102388B2 (ja) | 2017-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9992068B2 (en) | Rule based mobile device management delegation | |
| US9330134B2 (en) | User identity mapping system and method of use | |
| US8769653B2 (en) | Unified access control system and method for composed services in a distributed environment | |
| JP6102388B2 (ja) | 権限管理装置、方法、プログラム及びシステム | |
| CN111080479B (zh) | 一种电网统一数据模型的创建方法及装置 | |
| US10204237B2 (en) | Sensitive data service access | |
| US20070101437A1 (en) | Document managing system, document managing apparatus and document managing method | |
| JP2014086083A (ja) | ネットワークアクセス及び受付制御のためのソーシャルグラフの利用 | |
| US9355270B2 (en) | Security configuration systems and methods for portal users in a multi-tenant database environment | |
| US20160092887A1 (en) | Application license distribution and management | |
| CN114726632B (zh) | 一种登录方法、设备及存储介质 | |
| CN104333553A (zh) | 一种基于黑白名单组合的海量数据权限控制策略 | |
| US9824227B2 (en) | Simulated control of a third-party database | |
| US20240007458A1 (en) | Computer user credentialing and verification system | |
| US20160028734A1 (en) | Granting collaboration permissions in a computerized system | |
| US20180007050A1 (en) | Sensitive data service storage | |
| JP2009086912A (ja) | 入退管理システム及び入退管理方法 | |
| US10320798B2 (en) | Systems and methodologies for controlling access to a file system | |
| CN108959910B (zh) | 参数设置方法及装置 | |
| JP2020027567A (ja) | 情報記憶装置、情報記憶方法および情報記憶プログラム | |
| JP2007072581A (ja) | ポリシ集合生成装置とその制御方法 | |
| WO2010106679A1 (ja) | アクセス制御装置、情報管理装置およびアクセス制御方法 | |
| JP2010160742A (ja) | 認証処理装置、認証処理システム、認証処理方法、及びプログラム | |
| JP2014130548A (ja) | 情報管理プログラム、情報管理方法及び情報管理装置 | |
| JP2012027691A (ja) | 情報管理システムおよび情報管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170131 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170213 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6102388 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |