JP2017146717A - Access control device, information processing system and access control method, and computer program - Google Patents
Access control device, information processing system and access control method, and computer program Download PDFInfo
- Publication number
- JP2017146717A JP2017146717A JP2016026992A JP2016026992A JP2017146717A JP 2017146717 A JP2017146717 A JP 2017146717A JP 2016026992 A JP2016026992 A JP 2016026992A JP 2016026992 A JP2016026992 A JP 2016026992A JP 2017146717 A JP2017146717 A JP 2017146717A
- Authority
- JP
- Japan
- Prior art keywords
- user
- supervisor
- authentication
- information
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、アクセス制御装置、情報処理システムおよびアクセス制御方法、並びにコンピュータ・プログラムに関する。 The present invention relates to an access control device, an information processing system, an access control method, and a computer program.
会社などの組織における活動において、例えば、正社員と契約社員、上司と部下のように、特定の立場の人間(監督者)は、一人あるいは複数の配下の人間(作業者)の作業状況を管理および監督する必要がある。 In activities in an organization such as a company, for example, full-time employees and contract employees, supervisors and subordinates, a person (supervisor) in a specific position manages the work status of one or more subordinates (workers). It is necessary to supervise.
ただ、何らかの都合で、作業者が作業するときに監督者の管理が行き届かない状況(例えば、監督者が不在、あるいは、監督者と作業者が作業する場所が物理的に遠い)が発生することがある。 However, for some reason, there is a situation where the supervisor's management is inadequate when the worker works (for example, the supervisor is absent or the place where the supervisor and the worker work is physically distant). Sometimes.
そのような監督者不在の状況を作業者に与えた場合、社内の規定に反した行動、例えばシステムに登録されている機密情報を社外に持ち出すことなどのセキュリティ事故に発展する行動をされてしまう可能性がある。 If such an absence of supervisors is given to workers, actions that violate company regulations, such as taking out confidential information registered in the system outside the company, will result in security accidents. there is a possibility.
そのため、作業者に一時的にシステムの利用許可を与えたい場面において、利用者が申請を行い、その申請を受けて、システム管理者が作業者が作業を行う期間のみ、作業者の利用者識別子を有効にする運用を行うことがある。このように運用した場合、システム管理者と、監督者と、作業者のそれぞれに、デメリットがある。例えば、システム管理者は、申請が行われる都度、作業者のID(IDentification)を有効あるいは無効に設定し直す必要がある(作業負担が大きい)。監督者と作業者は、利用する都度、申請書を作成してシステム部門に提出する必要があり、申請が受理されるまでに時間を要する場合がある。よって、作業者が緊急に利用する必要があっても、迅速な対応が困難であるということがある。 Therefore, the user identifier of the worker is applied only during the period in which the user makes an application and receives the application and the system administrator performs the work in the scene where the system usage permission is to be given to the worker temporarily. There is a case to operate to enable. When operated in this way, each system administrator, supervisor, and worker has disadvantages. For example, each time an application is made, the system administrator needs to reset the worker ID (IDentification) to be valid or invalid (heavy work load). Supervisors and workers must create an application form and submit it to the system department each time they use it, and it may take some time for the application to be accepted. Therefore, even if an operator needs to use it urgently, it may be difficult to respond quickly.
ここで、関連技術としては、例えば以下の特許文献がある。 Here, as related technologies, for example, there are the following patent documents.
特許文献1は、クライアント端末ごとに、利用者情報を管理し、その情報を基に、クライアント端末をネットワークに接続するか判定する接続制御装置を開示している。
特許文献2は、エリア内の情報機器が記憶する情報を管理する管理者の入退室に基づいて、その情報に対する他の利用者のアクセス制御を行う利用者管理システムを開示している。 Patent Document 2 discloses a user management system that performs access control of other users on the information based on the entrance / exit of the administrator who manages the information stored in the information devices in the area.
特許文献3は、権限委譲者が権限非委譲者にパスワードを教えたり、システム管理者に権限非委譲者のための一時的なアカウントの作成を依頼することなく、認証チケットを作成し、そのチケットを譲渡するだけで、権限を委譲することができる権限委譲方法を開示している。
In
しかしながら、特許文献1乃至3に提案されている技術を用いても、作業者とその監督者の関係に基づいて、システムのアクセス制御を行うことはできない。
However, even if the techniques proposed in
そこで、本発明は、作業者のシステムに対するアクセス権限を、その作業者の監督者がコントロールすることが可能なアクセス制御装置等の提供を主たる目的とする。 SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide an access control device or the like that allows an operator's supervisor to control access authority to a worker's system.
上記の目的を達成すべく、本発明の一態様に係るアクセス制御装置は、以下の構成を備える。 In order to achieve the above object, an access control apparatus according to an aspect of the present invention has the following arrangement.
即ち、本発明の一態様に係るアクセス制御装置は、
システムの利用者による前記システムへのアクセスの要求を受け付けたときに、前記利用者の認証を行い、その認証結果を基に、前記利用者がログインしているか否かを表す認証状態情報を記憶部に登録する認証部と、
前記認証部による認証が成功した場合に、前記利用者に関連する情報と前記利用者の監督者を表す情報とを含む利用者情報を基に前記利用者の前記監督者を判定し、前記監督者が前記システムの利用者としてログインしているか否かを、前記認証状態情報を基に判定し、ログインしている場合には、前記利用者のアクセスを許可する判定部と
を備える。
That is, the access control apparatus according to one aspect of the present invention
When a request for access to the system is received by a system user, the user is authenticated, and authentication status information indicating whether the user is logged in is stored based on the authentication result An authentication part to be registered in the department,
When the authentication by the authentication unit is successful, the supervisor of the user is determined based on user information including information relating to the user and information representing the supervisor of the user, and the supervision A determination unit that determines whether or not a user is logged in as a user of the system based on the authentication status information. When the user is logged in, the determination unit permits access to the user.
同目的を達成する本発明の一態様に係る情報処理システムは、
システムの利用者による前記システムへのアクセスの要求を受け付ける端末と、
WebサーバソフトウェアのフィルタAPI(アプリケーションプログラムインターフェース)に設定するフィルタとして前記アクセス制御装置を備える前記Webサーバソフトウェアと、前記システムを実現するWebアプリケーションとが実行されるサーバと、
前記認証状態情報と前記利用者情報とを記憶する記憶装置と
を有する。
An information processing system according to an aspect of the present invention that achieves the same object,
A terminal that receives a request for access to the system by a user of the system;
A server on which the Web server software including the access control device as a filter to be set in a filter API (Application Program Interface) of Web server software and a Web application that implements the system are executed;
A storage device for storing the authentication status information and the user information;
同目的を達成する本発明の一態様に係るアクセス制御方法は、
システムの利用者による前記システムへのアクセスの要求を受け付けたときに、前記利用者の認証を行い、その認証結果を基に、前記利用者がログインしているか否かを表す認証状態情報を記憶部に登録し、
認証が成功した場合に、前記利用者に関連する情報と前記利用者の監督者を表す情報とを含む利用者情報を基に前記利用者の前記監督者を判定し、前記監督者が前記システムの利用者としてログインしているか否かを、前記認証状態情報を基に判定し、ログインしている場合には、前記利用者のアクセスを許可する。
An access control method according to an aspect of the present invention that achieves the same object,
When a request for access to the system is received by a system user, the user is authenticated, and authentication status information indicating whether the user is logged in is stored based on the authentication result Register to the department,
When the authentication is successful, the supervisor of the user is determined based on user information including information related to the user and information indicating the supervisor of the user, and the supervisor Whether or not the user is logged in is determined based on the authentication status information, and if the user is logged in, the user is permitted to access.
更に、同目的は、上記構成を有するアクセス制御装置、情報処理システム、或いは、アクセス制御方法を、コンピュータによって実現するためのコンピュータ・プログラム、及びそのコンピュータ・プログラムが格納されている、コンピュータ読み取り可能な記憶媒体によっても達成される。 Furthermore, the same object is achieved by a computer readable program storing a computer program for realizing the access control apparatus, information processing system, or access control method having the above-described configuration by a computer, and the computer program. This is also achieved by a storage medium.
上記の本発明によれば、作業者のシステムに対するアクセス権限を、その作業者の監督者がコントロールすることができるという効果がある。 According to the present invention described above, there is an effect that the supervisor of the worker can control the access authority to the worker's system.
次に、本発明を実施する形態について図面を参照して詳細に説明する。 Next, embodiments of the present invention will be described in detail with reference to the drawings.
<第1の実施形態>
図1は、本発明の第1の実施形態に係るアクセス制御装置の構成を示すブロック図である。
<First Embodiment>
FIG. 1 is a block diagram showing a configuration of an access control apparatus according to the first embodiment of the present invention.
本実施形態に係るアクセス制御装置10は、認証部11と、判定部12とを有する。
The
認証部11は、システムの利用者による前記システムへのアクセスの要求を受け付けたときに、前記利用者の認証を行い、その認証結果を基に、前記利用者がログインしているか否かを表す認証状態情報21を記憶部に登録する。
The authentication unit 11 authenticates the user when receiving a request for access to the system by a system user, and indicates whether the user is logged in based on the authentication result. The
判定部12は、認証部11による認証が成功した場合に、前記利用者に関連する情報と前記利用者の監督者を表す情報とを含む利用者情報22を基に前記利用者の前記監督者を判定し、前記監督者が前記システムの利用者としてログインしているか否かを、認証状態情報21を基に判定し、ログインしている場合には、前記利用者のアクセスを許可する。
When the authentication by the authentication unit 11 is successful, the
以上、説明したように、第1の実施形態には、作業者のシステムに対するアクセス権限を、その作業者の監督者がコントロールすることができるという効果がある。 As described above, the first embodiment has an effect that the supervisor of the worker can control the access authority to the worker's system.
その理由は、本実施形態に係るアクセス制御装置10は、判定部12により、作業者の監督者がログインしていることを確認したときに作業者にシステムに対するアクセス権限を与えるからである。
The reason is that the
<第2の実施形態>
次に上述した第1の実施形態に係るアクセス制御装置を基本とする第2の実施形態について説明する。図2は、本発明の第2の実施形態に係る情報処理システムの構成を示すブロック図である。ただし、図2に示す構成は、一例であって、本発明は、図2に示す情報処理システムに限定されない。
<Second Embodiment>
Next, a second embodiment based on the access control apparatus according to the first embodiment described above will be described. FIG. 2 is a block diagram showing a configuration of an information processing system according to the second embodiment of the present invention. However, the configuration shown in FIG. 2 is an example, and the present invention is not limited to the information processing system shown in FIG.
本実施形態に係る情報処理システムは、端末101と、サーバ103と、記憶装置112とを有する。
The information processing system according to the present embodiment includes a terminal 101, a
端末101は、パーソナルコンピュータ等の端末である。端末101は、Webブラウザを実行するWebブラウザ実行部102を備える。Webブラウザ実行部102は、後述するWebアプリケーションによる実行結果を表すWebページを表示するために使用するWebブラウザを実行する。
The terminal 101 is a terminal such as a personal computer. The terminal 101 includes a web
端末101のWebブラウザ実行部102は、サーバ103で動作するWebアプリケーションに対して、キーボード等の入力装置(図示せず)を利用して、HTTP(HyperText Transfer Protocol)プロトコル経由で処理要求(HTTPリクエスト)を行う。
The Web
それから、端末101は、処理要求に基づくWebアプリケーションによる実行結果を、応答(HTTPレスポンス)として受け取る。そして、端末101は、受け取ったHTML(HyperText Markup Language)コンテンツを基に、Webブラウザにその実行結果を表示する。 Then, the terminal 101 receives an execution result by the Web application based on the processing request as a response (HTTP response). Then, the terminal 101 displays the execution result on the Web browser based on the received HTML (HyperText Markup Language) content.
記憶装置112は、ディレクトリサービスシステムなどの外部システムからLDAP(Lightweight Directory Access Protocol)プロトコルによる認証を受け付ける。記憶装置112は、認証状態情報格納部113と、利用者情報格納部114とを備える。
The
認証状態情報格納部113は、認証状態情報、すなわち、利用者がWebアプリケーションにログイン状態にあるか否かを表す情報が格納される。
The authentication status
利用者情報格納部114は、利用者情報、すなわち、利用者がWebアプリケーションを利用するときに用いる利用者ID(Identification)およびパスワードと、その利用者の管理者を表す情報などが格納される。利用者IDおよびパスワードは、利用者に関連する情報の一例である。
The user
サーバ103は、WebブラウザからのHTTPリクエストに従って、HTMLコンテンツを生成し、返却する装置である。サーバ103は、例えば、サーバやワークステーション等のコンピュータである。サーバ103は、Webサーバ実行部104と、Webアプリケーション実行部105とを備える。
The
Webサーバ実行部104は、Webサーバソフトウェアを実行する。Webサーバソフトウェアは、端末101のWebブラウザ実行部102で実行されたWebブラウザからの要求に応えて、情報や機能を提供する。
The web
Webアプリケーション実行部105は、Webアプリケーションを実行する。Webアプリケーションは、作業者が実施する対象である処理を実現するプログラムである。
The web
なお、WebブラウザからのHTTPリクエストをWebサーバソフトウェアが一旦受け、それから、Webアプリケーションに転送する仕組みは、Webアプリケーションとして一般的な構成である。 Note that a mechanism in which Web server software once receives an HTTP request from a Web browser and then transfers the HTTP request to the Web application has a general configuration as a Web application.
Webサーバ実行部104は、フィルタAPI(Application Program Interface)部106を備える。フィルタAPI部106は、独自に開発したフィルタを設定可能である。例えば、WebサーバソフトウェアがMicrosoft社が提供するIIS(Internet Information Service)であれば、フィルタAPI部106は、ISAPI(Internet Server Application Program Interface)である。
The Web
また、フィルタAPI部106は、複数のフィルタを設定することが可能である。それらのフィルタのうちの1つとして、本実施形態では、システムの利用可否を制御するフィルタ107が設定されている。フィルタ107は、第1の実施形態のアクセス制御装置10の他の一例である。
The
フィルタ107は、認証部108と、判定部109と、コンテンツ生成部110と、接続情報格納部111とを有する。
The
認証部108は、利用者情報格納部114を参照して、利用者の認証を行う。
The
判定部109は、認証部108により認証に成功した利用者が利用可能であるか否かを判定する。
The
コンテンツ生成部110は、認証部108により認証に失敗したときにその利用者がアクセス不可であることを表すHTMLコンテンツを生成する。
The
接続情報格納部111は、Webアプリケーションに対するHTTPリクエストのうちで、判定対象となるURL(Uniform Resource Locator)を格納する。
The connection
図3は、本発明の第2の実施形態に係る情報処理システムを利用したシステム全体の概要図である。ただし、図3に示す構成は、一例であって、本発明は、図3に示すシステムに限定されない。 FIG. 3 is a schematic diagram of the entire system using the information processing system according to the second embodiment of the present invention. However, the configuration shown in FIG. 3 is an example, and the present invention is not limited to the system shown in FIG.
本実施形態に係るシステムは、端末201と、端末202と、サーバ203と、サーバ204と、記憶装置205とを有する。これらの装置は、図3に示すように、相互に通信可能に接続されている。
The system according to the present embodiment includes a terminal 201, a terminal 202, a
端末201と、端末202は、端末101と同様な構成を備える。すなわち、端末201と、端末202は、端末101と同様に、図2に示したWebブラウザ実行部102を備える。本実施形態では、端末201を監督者が利用し、端末202を作業者が利用することとする。
The terminal 201 and the terminal 202 have the same configuration as the
サーバ203と、サーバ204は、サーバ103と同様な構成を備える。すなわち、サーバ203と、サーバ204は、サーバ103と同様に、図2に示したWebサーバ実行部104と、Webアプリケーション実行部105とを備える。
The
また、サーバ203と、サーバ204は、端末201、端末202からWebアプリケーションへのHTTPリクエストに応じて、Webアプリケーションの処理結果を表すHTMLコンテンツを生成する。そして、サーバ203と、サーバ204は、生成したHTMLコンテンツを、HTTPリクエストを行った端末201あるいは端末202に返却する。
In addition, the
図3によれば、Webアプリケーションが稼働するサーバは、サーバ203とサーバ204の2台であり、それぞれ物理的に別の端末に接続する。すなわち、監督者が利用する端末201は、サーバ203に接続し、作業者が利用する端末202は、サーバ204に接続する。しかしながら、Webアプリケーションが稼働するサーバの台数は、2台に限定することなく、負荷分散等を考慮して、1台あるいは複数台のどちらでもよい。
According to FIG. 3, there are two servers on which the Web application operates, a
記憶装置205は、ディレクトリサーバ等、利用者の情報を格納する記憶装置を指している。記憶装置205は、図2に示した記憶装置112の一例であり、例えば、サーバ203およびサーバ204が利用者認証を行うときに使用される認証ディレクトリである。
The
ここで、利用者情報格納部114には、図4に示す情報が予め登録されているとする。
Here, it is assumed that the information shown in FIG. 4 is registered in the user
図4は、本発明の第2の実施形態に係る情報処理システムの利用者情報格納部114を示す図である。利用者情報格納部114は、利用者情報を格納するテーブルであり、利用者IDと、パスワードと、監督者フラグと、監督者IDとを含む。利用者IDと、パスワードと、監督者フラグと、監督者IDは、利用者情報格納部114において、図4に概念的に示すテーブルの如く関連付けされていることとする。
FIG. 4 is a diagram showing the user
利用者IDは、利用者を一意に識別する識別子である。 The user ID is an identifier that uniquely identifies the user.
パスワードは、利用者が本人であることを確認するために用いられる文字列である。 The password is a character string used to confirm that the user is the user.
監督者フラグは、利用者が監督者であるか否かを示す値である。監督者フラグは、その利用者が監督者であるとき、「true」であり、監督者でないとき、「false」である。 The supervisor flag is a value indicating whether or not the user is a supervisor. The supervisor flag is “true” when the user is a supervisor, and “false” when the user is not a supervisor.
監督者IDは、利用者の監督者が使用する利用者IDである。その利用者に監督者がいない場合、監督者IDは、「N/A」である。 The supervisor ID is a user ID used by the user's supervisor. When the user does not have a supervisor, the supervisor ID is “N / A”.
利用者情報格納部114は、図4に示すように、利用者IDが「ADMIN1」、「ADMIN2」、「WORKER1」、「WORKER2」である利用者に関する情報を格納している。ADMIN1とADMIN2は、監督者フラグが「true」であることから、監督者である。WORKER1とWORKER2は、監督者フラグが「false」であることから、作業者である(監督者でない)。例えば、WORKER1は、監督者IDが「ADMIN1」であることから、WORKER1の監督者は、ADMIN1である。
As shown in FIG. 4, the user
また、認証状態情報格納部113には、図5に示す情報が予め登録されているとする。
Further, it is assumed that the information shown in FIG. 5 is registered in the authentication state
図5は、本発明の第2の実施形態に係る情報処理システムの認証状態情報格納部113を示す図である。認証状態情報格納部113は、認証状態情報を格納するテーブルであり、利用者IDと、ログイン状態とを含む。利用者IDと、ログイン状態は、認証状態情報格納部113において、図5に概念的に示すテーブルの如く関連付けされていることとする。
FIG. 5 is a diagram showing the authentication state
利用者IDは、図4における利用者IDと同様に、利用者を一意に識別する識別子である。 The user ID is an identifier for uniquely identifying the user, similar to the user ID in FIG.
ログイン状態は、ある時刻(例えば、時刻t1)における、利用者のシステムへのログイン状態を表す情報である。図5によれば、時刻t1のとき、ADMIN1は、ログイン(login)状態にあり、ADMIN2、WORKER1およびWORKER2は、ログアウト(logout)状態にある。 The login state is information representing the login state of the user to the system at a certain time (for example, time t1). According to FIG. 5, at time t1, ADMIN1 is in a login state, and ADMIN2, WORKER1, and WORKER2 are in a logout state.
監督者(ADMIN1およびADMIN2)は、それぞれ端末201を使用しているとする。また、作業者(WORKER1およびWORKER2)は、それぞれ端末202を使用しているとする。
Assume that the supervisors (
図6は、本発明の第2の実施形態に係る情報処理システムの接続情報格納部111を示す図である。接続情報格納部111は、接続情報を格納するテーブルであり、操作種別と、接続URLとを含む。操作種別と、接続URLは、接続情報格納部111において、図6に概念的に示すテーブルの如く関連付けされていることとする。
FIG. 6 is a diagram showing the connection
操作種別は、端末を使用して要求される操作の種別を表す情報である。 The operation type is information representing the type of operation requested using the terminal.
接続URLは、端末を利用して行われる要求について、操作種別に対応する接続URLを表す情報である。図6によれば、接続URLが「/webapp/login」であるとき、サーバは、端末を使用する利用者が「認証」を要求していることを認識する。 The connection URL is information representing the connection URL corresponding to the operation type for a request made using the terminal. According to FIG. 6, when the connection URL is “/ webapp / login”, the server recognizes that the user who uses the terminal requests “authentication”.
次に、時刻t1以降に作業者(WORKER1、WORKER2)が端末202においてWebアプリケーションに対してログイン要求を行ったときの処理を説明する。 Next, processing when a worker (WORKER1, WORKER2) makes a login request to the Web application in the terminal 202 after time t1 will be described.
なお、この情報処理システムは、端末202からの要求がログインか、それとも一般的な操作であるかを、接続情報格納部111に登録されたURLと一致しているか否かで判定する。例えば、端末202からの要求が「/webapp/login」である場合、サーバ204は、接続情報格納部111の接続URLを検索し、これに一致するURLがあるか否かを検出する。図6によれば、接続URLが「/webapp/login」である場合、操作種別が「認証」であるため、サーバ204は、ログイン要求に対し図7に示す処理を実行する。図7は、本発明の第2の実施形態に係る情報処理システムにログイン要求があった場合の処理を説明するフローチャートである。
The information processing system determines whether the request from the terminal 202 is a login or a general operation based on whether or not the request matches the URL registered in the connection
利用者(ここでは、WORKER1およびWORKER2)による操作に基づき、端末202は、そのWebブラウザ実行部102が実行するWebブラウザを動作させ、サーバ204のWebアプリケーション実行部105が実行するべきWebアプリケーションに対する利用者IDとパスワードを、サーバ204に送信する。これにより、端末202は、Webアプリケーションへのログイン要求を行う(ステップS101)。
Based on the operation by the users (here,
フィルタ107の認証部108は、ステップS101で送信された利用者IDとパスワードに対応する利用者情報が登録されているか、利用者情報格納部114を参照して確認する(ステップS102)。
The
登録されている(ステップS102で「Yes」)場合、認証部108は、認証状態情報格納部113のその利用者IDに対応するログイン状態を「logout」から「login」に変更し、ステップS103に移る。
If registered (“Yes” in step S102), the
登録されていない(ステップS102で「No」)場合、コンテンツ生成部110は、認証失敗を表すHTMLコンテンツを生成し、生成したHTMLコンテンツを端末202に返却し(ステップS104)、処理を終了する。
If not registered (“No” in step S102), the
判定部109は、利用者情報格納部114を参照して、その利用者に対応する監督者フラグの値を確認する(ステップS103)。
The
監督者フラグが「true」である(ステップS103で「Yes」)場合、判定部109は、利用者が監督者であるので、ステップS110以降の処理を行う。
If the supervisor flag is “true” (“Yes” in step S103), the
監督者フラグが「false」である(ステップS103で「No」)場合、判定部109は、利用者が監督者でないので、ステップS107以降の処理を行う。WORKER1とWORKER2は後者なので、判定部109は、ステップS107に進む。
If the supervisor flag is “false” (“No” in step S103), the
次に、判定部109は、利用者情報格納部114を参照して、その利用者に対応する監督者IDを取得する(ステップS107)。これにより、判定部109は、WORKER1に対応する監督者IDとしてADMIN1を、WORKER2に対応する監督者IDとしてADMIN2を取得する。
Next, the
それから、判定部109は、認証状態情報格納部113を参照し、取得した監督者IDを利用者IDとする利用者がログインしているか否かを確認する(ステップS108)。これにより、判定部109は、WORKER1の監督者であるADMIN1のログイン状態が「login」であることより、WORKER1の監督者がログインしていると判定し、ステップS110に進む。また、判定部109は、WORKER2の監督者であるADMIN2のログイン状態が「logout」であることより、WORKER2の監督者がログインしていないと判定し、ステップS109に進む。
Then, the
監督者がログインしていない(ステップS108で「No」)場合、コンテンツ生成部110は、アクセス不可を表すHTMLコンテンツを生成し、生成したHTMLコンテンツを端末202に返却し(ステップS109)、処理を終了する。
If the supervisor is not logged in (“No” in step S108), the
監督者がログインしている(ステップS108で「Yes」)場合、判定部109は、ログイン要求した利用者の認証は成功であると判定する(ステップS110)。そして、判定部109は、端末202からのWebアプリケーションに対する要求をWebアプリケーション実行部105に送信する(ステップS111)。
When the supervisor is logged in (“Yes” in step S108), the
要求を受けたWebアプリケーション実行部105は、その要求に基づいてWebアプリケーションを実行した結果を表すHTMLコンテンツを生成し、生成したHTMLコンテンツを端末202に返却する(ステップS112)。
Upon receiving the request, the Web
次に、作業者が端末202においてWebアプリケーションに対して操作要求を行ったときの処理を説明する。 Next, processing when an operator makes an operation request to the Web application on the terminal 202 will be described.
上述したように、情報処理システムは、端末202からの要求がログインか、それとも一般的な操作であるかを、接続情報格納部111に登録されたURLと一致しているか否かで判定する。例えば、端末202からの要求が「/webapp/mail/send」である場合、サーバ204の判定部109は、接続情報格納部111の接続URLを検索し、これに一致するURLがあるか否かを検出する。図6によれば、接続URLが「/webapp/mail/send」である場合、操作種別が「操作」であるため、サーバ204は、操作要求に対し図8に示す処理を実行する。図8は、本発明の第2の実施形態に係る情報処理システムに操作要求があった場合の処理を説明するフローチャートである。
As described above, the information processing system determines whether the request from the terminal 202 is a login or a general operation based on whether the request matches the URL registered in the connection
利用者による操作に基づき、端末202は、そのWebブラウザ実行部102が実行するWebブラウザを動作させ、サーバ204のWebアプリケーション実行部105が実行するべきWebアプリケーションに対する操作要求を行う(ステップS201)。
Based on the operation by the user, the terminal 202 operates the Web browser executed by the Web
操作要求を受けて、サーバ204は、図7を用いて説明したステップS103以降の処理を行う。
In response to the operation request, the
これにより、利用者が端末202からWebアプリケーションへの操作要求の操作を行った場合にも、監督者がログインしているときにのみ、その要求された操作を実施するように制御することができる。 Accordingly, even when the user performs an operation request operation from the terminal 202 to the Web application, it is possible to control the requested operation only when the supervisor is logged in. .
サーバ204は、さらに、Webアプリケーションの操作ログを監視可能にして、利用者の作業状況をその利用者の監督者によりリアルタイムで監視しても良い。
Further, the
以上、説明したように、第2の実施形態には、作業者のシステムに対するアクセス権限を、その作業者の監督者がコントロールすることができるという効果がある。 As described above, the second embodiment has an effect that the supervisor of the worker can control the access authority to the worker's system.
その理由は、本実施形態に係る情報処理システムは、作業者を監督する監督者がシステムにログインしているときにのみ、その作業者がそのシステムを利用可能とするように制限するからである。 The reason is that the information processing system according to the present embodiment restricts the worker to use the system only when the supervisor who supervises the worker is logged in to the system. .
これにより、監督者は、作業者と別の場所に居ながら作業者の管理を行うことが可能になる。 As a result, the supervisor can manage the worker while being in a different place from the worker.
さらに、既存のWebアプリケーションを改造する必要がないという利点もある。これは、本実施形態を実現するためには、既存のWebアプリケーションが稼働するサーバ上のWebサーバ実行部104(フィルタAPI部106)に、フィルタ107と、記憶装置112(利用者情報格納部113および認証状態情報格納部114)を用意すれば良いからである。
Furthermore, there is an advantage that it is not necessary to modify an existing Web application. In order to implement this embodiment, the Web server execution unit 104 (filter API unit 106) on the server on which an existing Web application runs is added to the
さらに、作業者がシステムを利用する場合、監督者が常にシステムにログインしている状態であることが必要であるため、間接的に監督者に監視されていることになり、作業者に不正行為を思いとどまらせる抑止効果もある。
<第3の実施形態>
次に上述した第2の実施形態に係る情報処理システムを基本とする第3の実施形態について説明する。
In addition, when an operator uses the system, it is necessary that the supervisor is always logged in to the system, so that the supervisor is indirectly monitored by the supervisor, and the worker is illegal There is also a deterrent effect that discourages you.
<Third Embodiment>
Next, a third embodiment based on the information processing system according to the second embodiment described above will be described.
第2の実施形態は、監督者がWebアプリケーションに対してログイン状態にある場合に、作業者がWebアプリケーションに対してログインや以降のWebアプリケーションに対する操作が可能であった。 In the second embodiment, when the supervisor is in a login state with respect to the Web application, the operator can log in to the Web application and perform operations on the subsequent Web application.
本実施形態では、監督者がWebアプリケーションに対してではなく、OSに対してログイン状態にある場合に、作業者がWebアプリケーションに対してログインや以降のWebアプリケーションに対する操作を可能にする。 In this embodiment, when the supervisor is logged in to the OS, not to the Web application, the operator can log in to the Web application and perform subsequent operations on the Web application.
図9は、本発明の第3の実施形態に係る情報処理システムの構成を示すブロック図である。ただし、図9に示す構成は、一例であって、本発明は、図9に示す情報処理システムに限定されない。 FIG. 9 is a block diagram showing a configuration of an information processing system according to the third embodiment of the present invention. However, the configuration shown in FIG. 9 is an example, and the present invention is not limited to the information processing system shown in FIG.
本実施形態に係る情報処理システムは、図2に示した情報処理システムに、ディレクトリサービス記憶装置116と、認証情報取得部115が追加されている。
In the information processing system according to the present embodiment, a directory
ディレクトリサービス記憶装置116は、ネットワーク上のユーザ情報やコンピュータ情報などのさまざまな資源を記憶する。例えば、ディレクトリサービスの一つであるMicrosoft社が提供するActiveDirectoryは、ActiveDirectoryにドメイン参加しているクライアントOSにログインすると、ログインしたことを表す情報がディレクトリサービス記憶装置116に格納される。
The directory
認証情報取得部115は、あらかじめ定めた一定時間ごと(例えば5分ごと)に、ディレクトリサービス記憶装置116の情報を基に、認証状態情報格納部113のログイン状態を更新する。すなわち、認証情報取得部115は、以下の処理を行う。認証情報取得部115は、利用者情報格納部114に登録されている利用者IDを取得し、ディレクトリサービス記憶装置116に接続して、その利用者IDのOSに対するログイン状態を表す情報を取得する。そして、認証情報取得部115は、取得したログイン状態(「login」または「logout」)を基に、認証状態情報格納部113のログイン状態を更新する。すなわち、本実施形態では、認証状態情報格納部113のログイン状態は、OSにログインしているか否かを表す。
The authentication
図10は、本発明の第3の実施形態に係る情報処理システムを利用したシステム全体の概要図である。ただし、図10に示す構成は、一例であって、本発明は、図10に示すシステムに限定されない。 FIG. 10 is a schematic diagram of an entire system using an information processing system according to the third embodiment of the present invention. However, the configuration shown in FIG. 10 is an example, and the present invention is not limited to the system shown in FIG.
図10に示す端末201、202、サーバ204および記憶装置205は、それぞれ、図3に示した端末201、202、サーバ204および記憶装置205と同じであるので、説明を省略する。
ドメインコントローラ207は、ディレクトリサービス記憶装置206(図9のディレクトリサービス記憶装置116)に対する認証を行うためのコントローラである。ドメインコントローラ207は、サーバ204のOSに対する利用者による認証の試行により受信したユーザID及びパスワードを用いて、ディレクトリサービス記憶装置206に対して認証要求を行う。ディレクトリサービス記憶装置206から認証成功のステータスを返却するとき、ディレクトリサービス記憶装置206は、当該ユーザを認証したことを表す情報を記録する。さらに、ドメインコントローラ207は、端末201に対して成功のステータスを返却する。
The
ここまで、本実施形態は、認証状態情報格納部113のログイン状態にOSにログインしているか否かを格納することを説明した。その他の処理は、第2の実施形態からの変更はないので、説明を省略する。
Up to this point, this embodiment has explained that whether or not the OS is logged in is stored in the login state of the authentication state
以上、説明したように、第3の実施形態には、作業者のシステムに対するアクセス権限を、その作業者の監督者がコントロールすることができるという効果がある。 As described above, the third embodiment has an effect that the supervisor of the worker can control the access authority to the worker's system.
その理由は、本実施形態に係る情報処理システムは、作業者を監督する監督者がOSにログオンしているときにのみ、その作業者がそのシステムを利用可能とするように制限するからである。 The reason is that the information processing system according to the present embodiment restricts the worker to use the system only when the supervisor who supervises the worker is logged on to the OS. .
<第4の実施形態>
次に上述した第2の実施形態に係る情報処理システムを基本とする第4の実施形態について説明する。
<Fourth Embodiment>
Next, a fourth embodiment based on the information processing system according to the second embodiment described above will be described.
第2の実施形態において、図4に示した利用者情報格納部114は、作業者に対して、1名の監督者が登録されていた。
In the second embodiment, in the user
しかし、本実施形態は、監督者にさらに上位の監督者を登録し、監督者を階層構造にすることにより、一人の作業者に対して複数の監督者を登録することが可能である。 However, in the present embodiment, it is possible to register a plurality of supervisors for one worker by registering a supervisor at a higher level with the supervisor and making the supervisor a hierarchical structure.
本実施形態は、第2の実施形態で説明した利用者情報格納部114で管理する情報に新たな情報を追加する。
In the present embodiment, new information is added to the information managed by the user
図11は、本発明の第4の実施形態に係る情報処理システムの利用者情報格納部114を示す図である。図11は、図4に示した第2の実施形態の利用者情報格納部114と比較して、作業者フラグが追加されている。
FIG. 11 is a diagram showing the user
作業者フラグは、利用者が作業者であるか否かを示す値である。作業者フラグは、その利用者が作業者であるとき、「true」であり、作業者でないとき、「false」である。ここで、作業者は、その利用者に対応する監督者IDが登録されている人である。 The worker flag is a value indicating whether or not the user is a worker. The worker flag is “true” when the user is a worker, and “false” when the user is not a worker. Here, the worker is a person for whom a supervisor ID corresponding to the user is registered.
利用者情報格納部114は、図11に示すように、利用者IDが「ADMIN0」、「ADMIN1」、「ADMIN2」、「WORKER1」、「WORKER2」である利用者に関する情報を格納している。WORKER1とWORKER2は、作業者フラグが「true」であることから、作業者である(監督者でない)。例えば、WORKER1は、監督者IDが「ADMIN1」であることから、WORKER1の監督者は、ADMIN1である。ADMIN1とADMIN2は、監督者フラグが「true」であることから、監督者である。さらに、ADMIN1とADMIN2は、監督者IDが「ADMIN0」であることから、ADMIN0が監督者である。ADMIN0は、監督者フラグが「true」、且つ、監督者IDが「N/A」(無効)であることから、最上位の監督者として登録されている。
As shown in FIG. 11, the user
また、認証状態情報格納部113は、ある時刻t2において、図12に示す情報が予め登録されているとする。図12は、本発明の第4の実施形態に係る情報処理システムの認証状態情報格納部113を示す図である。図12に示す認証状態情報格納部113は、図11に示す利用者情報格納部114に定義した利用者IDと同じ利用者IDが登録されている。図12によれば、時刻t2のとき、ADMIN0は、ログイン状態にあり、ADMIN1、ADMIN2、WORKER1、WORKER2はログアウト状態にある。
Further, it is assumed that the information shown in FIG. 12 is registered in advance in the authentication state
次に、図13を参照して、時刻t2以降に利用者(WORKER1)が端末202においてWebアプリケーションに対してログイン要求を行った際の動きを説明する。図13は、本発明の第4の実施形態に係る情報処理システムにログイン要求があった場合の処理を説明するフローチャートである。 Next, with reference to FIG. 13, a description will be given of the movement when the user (WORKER 1) makes a login request to the Web application in the terminal 202 after time t2. FIG. 13 is a flowchart for explaining processing when there is a login request in the information processing system according to the fourth embodiment of the present invention.
利用者(WORKER1)による操作に基づき、端末202は、そのWebブラウザ実行部102が実行するWebブラウザを動作させ、サーバ204のWebアプリケーション実行部105が実行するべきWebアプリケーションに対する利用者IDとパスワードを、サーバ204に送信する。これにより、端末202は、Webアプリケーションへのログイン要求を行う(ステップS301)。
Based on the operation by the user (WORKER 1), the terminal 202 operates the Web browser executed by the Web
フィルタ107の認証部108は、ステップS301で送信された利用者IDとパスワードに対応する利用者情報が登録されている(登録されている利用者IDとパスワードに一致する)か、図11に示した利用者情報格納部114を参照して確認する(ステップS302)。
The
登録されている(ステップS302で「Yes」)場合、認証部108は、図12に示した認証状態情報格納部113のその利用者IDに対応するログイン状態を「logout」から「login」に変更し、ステップS303に移る。
If registered (“Yes” in step S302), the
登録されていない(ステップS302で「No」)場合、コンテンツ生成部110は、認証失敗を表すHTMLコンテンツを生成し、生成したHTMLコンテンツを端末202に返却し(ステップS304)、処理を終了する。
If not registered (“No” in step S302), the
それから、判定部109は、利用者情報格納部114を参照して、その利用者に対応する作業者フラグの値を確認する(ステップS303)。
Then, the
作業者フラグが「false」である(ステップS303で「No」)場合、判定部109は、利用者が最上位監督者であるので、ステップS310以降の処理を行う。最上位監督者は、監督者がいない利用者である。
When the worker flag is “false” (“No” in step S303), the
作業者フラグが「true」である(ステップS303で「Yes」)場合、判定部109は、利用者が作業者であるので、ステップS307以降の処理を行う。WORKER1は後者なので、判定部109は、ステップS307に進む。
When the worker flag is “true” (“Yes” in step S303), the
次に、判定部109は、利用者情報格納部114を参照して、その利用者に対応する監督者IDを取得する。取得した監督者IDを利用者IDとする利用者に監督者がいる場合は、判定部109は、その監督者IDも取得する。判定部109は、この処理を繰り返し、その利用者に監督者がいなくなるまで、すなわち最上位監督者の利用者IDを取得するまで行う(ステップS307)。これにより、判定部109は、WORKER1に対応する監督者IDとしてADMIN1とADMIN0を取得する。
Next, the
それから、判定部109は、認証状態情報格納部113を参照し、取得した監督者IDを利用者IDとする利用者にログインしている利用者がいるか否かを確認する(ステップS308)。これにより、判定部109は、WORKER1の監督者であるADMIN1のログイン状態が「login」であることより、WORKER1の監督者がログインしていると判定し、ステップS310に進む。
Then, the
監督者がログインしていない(ステップS308で「No」)場合、コンテンツ生成部110は、アクセス不可を表すHTMLコンテンツを生成し、生成したHTMLコンテンツを端末202に返却し(ステップS309)、処理を終了する。
If the supervisor is not logged in (“No” in step S308), the
監督者がログインしている(ステップS308で「Yes」)場合、判定部109は、ログイン要求した利用者の認証は成功であると判定する(ステップS310)。そして、判定部109は、端末202からのWebアプリケーションに対する要求をWebアプリケーション実行部105に送信する(ステップS311)。
When the supervisor is logged in (“Yes” in step S308), the
要求を受けたWebアプリケーション実行部105は、その要求に基づいてWebアプリケーションを実行した結果を表すHTMLコンテンツを生成し、生成したHTMLコンテンツを端末202に返却する(ステップS312)
本実施形態では、複数の監督者のうちで一人でもログイン状態にあれば、その作業者は、認証成功と判定された。しかしながら、これには限らず、システムの特性や重要性などにより、あらかじめ作業者が認定成功と判断される条件を決定しておけばよい。
Upon receiving the request, the Web
In this embodiment, if any one of a plurality of supervisors is in a login state, the worker is determined to be successful. However, the present invention is not limited to this, and it is sufficient to determine in advance conditions under which an operator is judged to be successful in recognition of the characteristics and importance of the system.
以上、説明したように、第4の実施形態には、作業者のシステムに対するアクセス権限を、その作業者の監督者がコントロールすることができるという効果がある。 As described above, the fourth embodiment has an effect that the supervisor of the worker can control the access authority to the worker's system.
その理由は、本実施形態に係る情報処理システムは、作業者を監督する監督者がシステムにログインしているときにのみ、その作業者がそのシステムを利用可能とするように制限するからである。 The reason is that the information processing system according to the present embodiment restricts the worker to use the system only when the supervisor who supervises the worker is logged in to the system. .
本実施形態は、さらに、ある作業者に複数の監督者を登録しておくことによって、システムの特性や重要性などを加味した的確なアクセス制御を行うことが可能である。 Furthermore, according to the present embodiment, by registering a plurality of supervisors to a certain worker, it is possible to perform accurate access control taking into consideration the characteristics and importance of the system.
(ハードウェア構成)
上述した実施形態において図1、図2および図9に示した各部は、専用の装置によって実践してもよいが、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。但し、これらの図面に示した各部の実装に際しては、様々な構成が想定され得る。このような場合のハードウェア環境の一例を、図14を参照して説明する。
(Hardware configuration)
1, 2, and 9 in the above-described embodiment may be practiced by a dedicated device, but can be regarded as a function (processing) unit (software module) of a software program. However, various configurations can be envisaged when mounting each part shown in these drawings. An example of the hardware environment in such a case will be described with reference to FIG.
図14は、本発明の第1乃至第4の実施形態を実現可能なコンピュータ(情報処理装置)のハードウェア構成を示す図である。即ち、図14は、図1に示したアクセス制御装置10、図2および図9に示したフィルタ107の全体または一部を実現可能なコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。
FIG. 14 is a diagram illustrating a hardware configuration of a computer (information processing apparatus) capable of realizing the first to fourth embodiments of the present invention. That is, FIG. 14 shows a configuration of a computer (information processing apparatus) capable of realizing all or part of the
図14に示した情報処理装置9000は、以下の装置を備え、これらがバス9007を介して接続された構成を有する。
・CPU(Central Processing Unit)9001、
・ディスプレイ9002、
・通信インタフェース(I/F)9003、
・ROM(Read Only Memory)9004、
・RAM(Random Access Memory)9005および
・ハードディスク装置(HD)9006。
An
CPU (Central Processing Unit) 9001
-
・ Communication interface (I / F) 9003,
・ ROM (Read Only Memory) 9004,
A RAM (Random Access Memory) 9005 and a hard disk device (HD) 9006.
ハードディスク装置(HD)9006には、プログラム群9006Aと、各種の記憶情報9006Bとが格納されている。プログラム群9006Aは、例えば、上述した図1に示したアクセス制御装置10、図2および図9に示したフィルタ107の各ブロック(各部)に対応する機能を実現するためのコンピュータ・プログラムである。各種の記憶情報9006Bは、例えば、図1に示した記録部20、図2および図9に示した記憶装置112である。通信インタフェース9003は、ネットワーク9100を介して外部装置と通信を実現する一般的な通信手段である。
The hard disk device (HD) 9006 stores a
そして、情報処理装置9000は、前述の実施形態の説明において参照したブロック図、あるいは、フローチャートの機能を実現可能なコンピュータ・プログラムを、当該ハードウェアのCPU9001が実行する。すなわち、CPU9001は、コンピュータ・プログラムを、図14に示す情報処理装置9000のハードウェア資源を用いて実行することによって本発明の実施形態の機能が達成される。具体的には、フィルタ107を、情報処理装置9000によって実現する場合、情報処理装置9000は、図7、図8および図13に示すフローチャートの処理ステップを実行するためのコンピュータ・プログラムをCPU9001が実行すればよい。また、情報処理装置9000内に供給されたコンピュータ・プログラムは、読み書き可能なRAM9005、またはハードディスク装置9006等の不揮発性の記憶デバイス(記憶媒体)に格納すればよい。
In the
また、上述の場合において、当該装置内へのコンピュータ・プログラムの供給方法は、現在では一般的な手順を採用することができる。供給方法は、例えば、CD−ROM等の各種記憶媒体を介して当該装置内にインストールする方法や、インターネット等のネットワーク9100を介して外部からダウンロードする方法がある。そして、このような場合において、本発明の実施形態は、係るコンピュータ・プログラムを構成するコード或いは、そのコードが記録されたところの、コンピュータ読み取り可能な記憶媒体によって構成されると捉えることができる。
In the above-described case, a general procedure can be adopted as a method for supplying a computer program into the apparatus. The supply method includes, for example, a method of installing in the apparatus via various storage media such as a CD-ROM, and a method of downloading from the outside via a
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。 While the present invention has been described with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.
10 アクセス制御装置
11 認証部
12 判定部
20 記憶装置
21 認証状態情報
22 利用者情報
101 端末
102 Webブラウザ実行部
103 サーバ
104 Webサーバ実行部
105 Webアプリケーション実行部
106 フィルタAPI部
107 フィルタ
108 認証部
109 判定部
110 コンテンツ生成部
111 接続情報格納部
112 記憶装置
113 認証状態情報格納部
114 利用者情報格納部
116 ディレクトリサービス記憶装置
201 端末
202 端末
203 サーバ
204 サーバ
205 記憶装置
206 ディレクトリサービス記憶装置
207 ドメインコントローラ
9000 情報処理装置
9001 CPU
9002 ディスプレイ
9003 通信インタフェース(I/F)
9004 ROM
9005 RAM
9006 ハードディスク装置(HD)
9006A プログラム群
9006B 各種の記憶情報
9007 バス
9100 ネットワーク
DESCRIPTION OF
9002
9004 ROM
9005 RAM
9006 Hard disk device (HD)
9006A Program group 9006B Various stored information 9007
Claims (9)
前記認証部による認証が成功した場合に、前記利用者に関連する情報と前記利用者の監督者を表す情報とを含む利用者情報を基に前記利用者の前記監督者を判定し、前記監督者が前記システムの利用者としてログインしているか否かを、前記認証状態情報を基に判定し、ログインしている場合には、前記利用者のアクセスを許可する判定部と
を備える
アクセス制御装置。 When a request for access to the system is received by a system user, the user is authenticated, and authentication status information indicating whether the user is logged in is stored based on the authentication result An authentication part to be registered in the department,
When the authentication by the authentication unit is successful, the supervisor of the user is determined based on user information including information relating to the user and information representing the supervisor of the user, and the supervision An access control device comprising: a determination unit that determines whether or not a user is logged in as a user of the system based on the authentication state information; and a determination unit that permits access of the user when logged in .
前記システムが動いているOS(オペレーティングシステム)にログインしているか否かを表す情報である
請求項1記載のアクセス制御装置。 The authentication status information is:
The access control apparatus according to claim 1, wherein the access control apparatus is information indicating whether or not the OS (operating system) on which the system is running is logged in.
請求項1または請求項2に記載のアクセス制御装置。 The access control apparatus according to claim 1, wherein the information representing the supervisor of the user is an identifier capable of identifying the user included in the information related to the user corresponding to the supervisor.
請求項1乃至請求項3の何れか一項に記載のアクセス制御装置。 The user information further includes information representing a supervisor who supervises a user who is a supervisor of the user, whereby a plurality of supervisors of the user are registered, and the determination unit 4. The access control apparatus according to claim 1, wherein whether or not to permit access is determined based on the authentication status information of a plurality of users who are supervisors of the user. 5. .
WebサーバソフトウェアのフィルタAPI(アプリケーションプログラムインターフェース)に設定するフィルタとして請求項1乃至4の何れか一項に記載のアクセス制御装置を備える前記Webサーバソフトウェアと、前記システムを実現するWebアプリケーションとが実行されるサーバと、
前記認証状態情報と前記利用者情報とを記憶する記憶装置と
を有する
情報処理システム。 A terminal that receives a request for access to the system by a user of the system;
The web server software including the access control device according to any one of claims 1 to 4 and a web application that realizes the system are executed as a filter set in a filter API (application program interface) of the web server software. Server
An information processing system comprising: a storage device that stores the authentication status information and the user information.
請求項5記載の情報処理システム。 The information processing system according to claim 5, wherein the server passes the request to the Web application when permitting the user access by the filter.
請求項5または請求項6記載の情報処理システム。 The information processing system according to claim 5 or 6, wherein when the server does not permit access by the filter, the server returns content representing the fact to the terminal.
認証が成功した場合に、前記利用者に関連する情報と前記利用者の監督者を表す情報とを含む利用者情報を基に前記利用者の前記監督者を判定し、前記監督者が前記システムの利用者としてログインしているか否かを、前記認証状態情報を基に判定し、ログインしている場合には、前記利用者のアクセスを許可する
アクセス制御方法。 When a request for access to the system is received by a system user, the user is authenticated, and authentication status information indicating whether the user is logged in is stored based on the authentication result Register to the department,
When the authentication is successful, the supervisor of the user is determined based on user information including information related to the user and information indicating the supervisor of the user, and the supervisor An access control method for determining whether or not the user is logged in based on the authentication status information and permitting the user access when logged in.
前記認証機能による認証が成功した場合に、前記利用者に関する情報と前記利用者の監督者を表す情報とを含む利用者情報を基に前記利用者の前記監督者を判定し、前記監督者が前記システムの利用者としてログインしているか否かを、前記認証状態情報を基に判定し、ログインしている場合には、前記利用者のアクセスを許可する判定機能と
を、コンピュータに実現させる
コンピュータ・プログラム。 When a request for access to the system is received by a system user, the user is authenticated, and authentication status information indicating whether the user is logged in is stored based on the authentication result Authentication function to be registered in the department,
When the authentication by the authentication function is successful, the supervisor of the user is determined based on user information including information on the user and information representing the supervisor of the user, and the supervisor A computer that determines whether or not a user of the system is logged in based on the authentication status information, and if the user is logged in, a computer that realizes a determination function that allows the user access ·program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016026992A JP2017146717A (en) | 2016-02-16 | 2016-02-16 | Access control device, information processing system and access control method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016026992A JP2017146717A (en) | 2016-02-16 | 2016-02-16 | Access control device, information processing system and access control method, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017146717A true JP2017146717A (en) | 2017-08-24 |
Family
ID=59682975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016026992A Pending JP2017146717A (en) | 2016-02-16 | 2016-02-16 | Access control device, information processing system and access control method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017146717A (en) |
-
2016
- 2016-02-16 JP JP2016026992A patent/JP2017146717A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10936078B2 (en) | Account management services for load balancers | |
US10951618B2 (en) | Refresh token for credential renewal | |
JP6245949B2 (en) | Authorization server system, control method thereof, and program thereof. | |
CN109474632B (en) | Method, apparatus, system, and medium for authenticating and managing rights of user | |
JP5743786B2 (en) | Server apparatus, information processing method, and program | |
CN112597472B (en) | Single sign-on method, device and storage medium | |
US9712536B2 (en) | Access control device, access control method, and program | |
US10326758B2 (en) | Service provision system, information processing system, information processing apparatus, and service provision method | |
JP6248641B2 (en) | Information processing system and authentication method | |
JP2013242808A (en) | Information processing apparatus, control method and program of the same, and image processing apparatus | |
JP2009258820A (en) | Account management system, account management device, and account management method | |
JP6572750B2 (en) | Authentication control program, authentication control device, and authentication control method | |
JP2007310512A (en) | Communication system, service providing server, and user authentication server | |
CN111314340A (en) | Authentication method and authentication platform | |
JP2005234729A (en) | Unauthorized access protection system and its method | |
JP5644565B2 (en) | Authentication system and authentication method | |
JP4375778B2 (en) | DIGITAL DATA INSTALLATION SYSTEM, DIGITAL DATA INSTALLATION METHOD, PROGRAM, AND RECORDING MEDIUM CONTAINING THE PROGRAM | |
JP5086024B2 (en) | User authentication system, apparatus, and method | |
JP5177505B2 (en) | Intra-group service authorization method using single sign-on, intra-group service providing system using the method, and each server constituting the intra-group service providing system | |
JP2012033042A (en) | Single sign-on system and single sign-on method | |
WO2009066858A1 (en) | Personal information management apparatus and personal information management method | |
JP4573559B2 (en) | Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program | |
JP5268785B2 (en) | Login restriction method for Web server system | |
JP2005107984A (en) | User authentication system | |
JP2013182436A (en) | Access authority delegation system |