JP2018160220A - Access control system, access control method, and access control program - Google Patents
Access control system, access control method, and access control program Download PDFInfo
- Publication number
- JP2018160220A JP2018160220A JP2017058530A JP2017058530A JP2018160220A JP 2018160220 A JP2018160220 A JP 2018160220A JP 2017058530 A JP2017058530 A JP 2017058530A JP 2017058530 A JP2017058530 A JP 2017058530A JP 2018160220 A JP2018160220 A JP 2018160220A
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- authorization
- access control
- approver
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、アクセス制御システム、アクセス制御方法およびアクセス制御プログラムに関する。 The present invention relates to an access control system, an access control method, and an access control program.
企業の従業員は、社内システムの他に外部のクラウドサービスを業務で利用する機会が増えている。利用者は、管理された社内のネットワーク上の端末からの利用だけではなく、顧客、取引先、出張宿泊ホテル、あるいは自宅といった様々な場所からインターネット網を介して社内システムあるいは外部のクラウドサービスを利用する場合がある。社外からの利用の場合、利用者の認証にトークンデバイスまたはスマートフォンアプリを使ったワンタイムパスワード、あるいは指紋といった生体認証による2要素認証で本人確認を強化している。このように利用できる場所が自由になる一方、他人による情報の盗み見、監視カメラによる情報の盗撮、あるいは社員単独による故意の重要情報の漏洩といったリスクが高まる。 Corporate employees have more opportunities to use external cloud services in business in addition to internal systems. Users can use internal systems or external cloud services via the Internet network from various locations such as customers, business partners, business hotels, and homes, as well as using devices on managed internal networks. There is a case. In the case of use from outside the company, identity verification is strengthened by two-factor authentication based on biometric authentication such as a one-time password using a token device or a smartphone application, or a fingerprint for user authentication. While the places where such information can be used are freed, there is an increased risk of snooping information by others, voyeuring information by surveillance cameras, or intentional leakage of important information by employees alone.
特許文献1では、不適切な場所からの管理文書へのアクセスを防止する技術が開示されている。
特許文献2では、情報の使用を、指定された地理的領域に制限できるアクセス制御方法が開示されている。
Patent Document 2 discloses an access control method capable of restricting the use of information to a designated geographical area.
特許文献1および特許文献2では、利用者の位置情報を認証に利用することで、予め決められた場所で、決められたアクセス権でのみサービスを利用できるように制御している。したがって、利用者がアクセスを許可されていない位置にいる場合には、いかなる場合でもアクセスが許可されず、業務の効率を下げてしまう虞がある。
In
本発明は、利用者がいる場所が、アクセスが許可されていない場所である場合でも、認可ポリシをクリアすることによりセキュリティの安全性を担保し、アクセスを許可することができるアクセス制御システムを提供することを目的とする。 The present invention provides an access control system capable of ensuring security safety and permitting access by clearing an authorization policy even when a user is in a place where access is not permitted. The purpose is to do.
本発明に係るアクセス制御システムは、利用者が携帯する情報端末装置と、アプリケーションを提供するサービス提供装置と、前記アプリケーションへのアクセスを制御するアクセス制御装置とを有するアクセス制御システムにおいて、
前記サービス提供装置は、
前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信する認証連携機能部を備え、
前記情報端末装置は、
前記認証連携機能部から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置は、
前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部と、
前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する認可判定部とを備えた。
An access control system according to the present invention includes an information terminal device carried by a user, a service providing device that provides an application, and an access control device that controls access to the application.
The service providing apparatus includes:
Upon receiving a usage request for requesting use of the application by the user from the information terminal device, an authentication authorization cooperation request for requesting authentication of the user and authorization for use of the application by the user is sent to the information terminal. It has an authentication cooperation function part that transmits to the device,
The information terminal device
Sending the authentication authorization cooperation request transmitted from the authentication cooperation function unit to the access control device,
The access control device
A storage unit that stores information of a user who uses the application as user information, and stores approval conditions of an approver who approves the use of the application as authorization policy information;
Based on the authorization policy information, an approver candidate is extracted from the user information as an approver candidate, and the approval is possible when any approver of the approver candidates satisfies the approval condition. And an authorization determination unit for determining that there is a device.
前記アクセス制御システムは、
前記利用者が携帯する携帯端末装置であって位置情報を取得可能な携帯端末装置を有し、
前記記憶部は、
前記アプリケーションを利用する利用者の位置情報を利用者位置情報として記憶し、
前記認可ポリシ情報は、前記利用者情報から承認者の候補を抽出する抽出条件として、前記携帯端末装置からの地理的範囲を含み、
前記認可判定部は、
前記利用者位置情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置する利用者を前記承認者候補として抽出する。
The access control system includes:
A mobile terminal device carried by the user and having a mobile terminal device capable of acquiring location information;
The storage unit
Stores the location information of the user who uses the application as the user location information,
The authorization policy information includes a geographical range from the mobile terminal device as an extraction condition for extracting an approver candidate from the user information,
The authorization determination unit
From the user location information, a user located in the geographical range included in the authorization policy information is extracted as the approver candidate.
前記利用者情報は、前記アプリケーションを利用する利用者の属性を含み、
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の属性を前記抽出条件として含み、
前記認可判定部は、
前記利用者情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置するとともに、前記認可ポリシ情報に含まれる属性を有する利用者を前記承認者候補として抽出する。
The user information includes an attribute of a user who uses the application,
The authorization policy information includes an attribute of a user who uses the application as the extraction condition,
The authorization determination unit
A user who is located in the geographical range included in the authorization policy information and has an attribute included in the authorization policy information is extracted as the approver candidate from the user information.
前記アクセス制御装置は、
前記承認者候補の一覧を前記利用者の前記携帯端末装置に表示し、前記利用者に前記承認者候補の一覧から前記アプリケーションの利用を承認する承認者を選択させ、前記利用者により選択された承認者を選択承認者として、前記選択承認者の前記携帯端末装置に承認を依頼する承認要求を送信する依頼部を備えた。
The access control device
The list of approver candidates is displayed on the user's mobile terminal device, and the user is allowed to select an approver who approves the use of the application from the list of approver candidates, and is selected by the user. An approver is used as a selection approver, and a request unit that transmits an approval request for requesting approval to the mobile terminal device of the selection approver is provided.
前記認可判定部は、
前記選択承認者からの承認結果が承認済みである場合に、前記認可が可能であると判定する。
The authorization determination unit
When the approval result from the selection approver is already approved, it is determined that the approval is possible.
前記利用者位置情報は、前記アプリケーションを利用する利用者の状態を含み、
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の状態を前記承認条件として含み、
前記認可判定部は、
前記承認者候補の一覧のなかで前記承認条件がログイン状態である承認者のうち前記承認条件を満たす承認者が存在するかを判定し、前記承認条件を満たす承認者について認可が可能であると判定する。
The user location information includes a status of a user who uses the application,
The authorization policy information includes a state of a user who uses the application as the approval condition,
The authorization determination unit
In the list of approver candidates, it is determined whether there is an approver satisfying the approval condition among the approvers whose approval condition is in the login state, and approval can be performed for the approver satisfying the approval condition. judge.
本発明に係るアクセス制御方法は、利用者が携帯する情報端末装置と、アプリケーションを提供するサービス提供装置と、前記アプリケーションへのアクセスを制御するアクセス制御装置であって前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部を備えたアクセス制御装置とを有するアクセス制御システムのアクセス制御方法において、
前記サービス提供装置は、前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信し、
前記情報端末装置は、前記サービス提供装置から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置は、前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する。
An access control method according to the present invention includes an information terminal device carried by a user, a service providing device that provides an application, and an access control device that controls access to the application. In an access control method of an access control system having an access control device including a storage unit that stores information as user information and stores an approval condition of an approver who approves use of the application as authorization policy information,
When the service providing device receives a usage request for requesting the use of the application by the user from the information terminal device, the service authorization device requests authentication of the user and authorization for use of the application by the user. Sending a cooperation request to the information terminal device;
The information terminal device transmits the authentication authorization cooperation request transmitted from the service providing device to the access control device;
The access control device extracts an approver candidate as an approver candidate from the user information based on the authorization policy information, and when any approver of the approver candidates satisfies the approval condition. , It is determined that the authorization is possible.
本発明に係るアクセス制御プログラムは、利用者が携帯する情報端末装置とアプリケーションを提供するサービス提供装置とに接続されたアクセス制御装置であって、前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部を備えたアクセス制御装置のアクセス制御プログラムにおいて、
前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を受信し、前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する認可判定処理をコンピュータである前記アクセス制御装置に実行させる。
An access control program according to the present invention is an access control device connected to an information terminal device carried by a user and a service providing device that provides an application, and information about a user who uses the application In the access control program of the access control device having a storage unit that stores the approval condition of the approver who approves the use of the application as the authorization policy information,
Upon receiving a usage request for requesting the use of the application by the user, an authentication / authorization cooperation request for requesting authentication of the user and authorization for use of the application by the user is received, and the authorization policy information Based on the above, the candidate of the approver is extracted as the approver candidate from the user information, and the approval is determined to be possible when any one of the approver candidates satisfies the approval condition The determination process is executed by the access control device which is a computer.
本発明に係るアクセス制御システムでは、利用者によるアプリケーションの利用を承認する承認条件を認可ポリシ情報に設定する。また、認可判定部が、承認者が承認条件を満たす場合に、認可が可能であると判定する。よって、利用者が利用を許可されていない場所にいる場合でも、承認者が承認条件を満たすことによりセキュリティの安全性を担保し、業務の効率化を図ることができる。 In the access control system according to the present invention, an approval condition for approving the use of an application by a user is set in the authorization policy information. The authorization determination unit determines that the authorization is possible when the approver satisfies the approval condition. Therefore, even when the user is in a place where the use is not permitted, the approver satisfies the approval condition, thereby ensuring security safety and improving business efficiency.
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In addition, the same code | symbol is attached | subjected to the part which is the same or it corresponds in each figure. In the description of the embodiments, the description of the same or corresponding parts will be omitted or simplified as appropriate.
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係るアクセス制御システム600の構成について説明する。
アクセス制御システム600は、利用者60が携帯する携帯端末装置100であって位置情報を取得可能な携帯端末装置100と、利用者60が携帯する情報端末装置200と、アプリケーションを提供するサービス提供装置500と、アプリケーションへのアクセスを制御するアクセス制御装置300とを有する。アクセス制御システム600では、携帯端末装置100、情報端末装置200、アクセス制御装置300、およびサービス提供装置500がネットワーク400を介して接続されている。なお、以下の説明において、アプリケーションをアプリともいう。
携帯端末装置100および情報端末装置200の各々は、利用者60が携帯している装置である。携帯端末装置100は、位置情報を、GPS(Global Positioning System)、Wi−Fi(登録商標)、あるいは携帯基地局から取得できるコンピュータである。携帯端末装置100は、具体的には、スマートフォンあるいはタブレット端末である。情報端末装置200は、具体的には、ブラウザ機能を有するノート型PC(Personal Computer)といったコンピュータである。
アクセス制御装置300は、具体的には、認証許可プロバイダが提供する認証サーバである。
サービス提供装置500は、利用者が情報端末装置200を用いて利用するサービスを提供する。サービス提供装置500は、社内システムあるいは外部のクラウドサービスであり、アプリケーションの利用を提供する。
*** Explanation of configuration ***
The configuration of the access control system 600 according to the present embodiment will be described using FIG.
The access control system 600 is a mobile
Each of the portable
Specifically, the
The service providing apparatus 500 provides a service that a user uses using the
図2を用いて、本実施の形態に係るアクセス制御システム600の各装置の構成について説明する。携帯端末装置100、情報端末装置200、アクセス制御装置300、およびサービス提供装置500の各々を、アクセス制御システム600の各装置ともいう。
The configuration of each device of access control system 600 according to the present embodiment will be described with reference to FIG. Each of the mobile
携帯端末装置100は、機能構成として、利用者認可部110を備える。利用者認可部110は、利用者認可アプリともいう。利用者認可部110は、位置取得部111、承認依頼部112、および利用者認証部113を有する。
情報端末装置200は、機能構成として、ブラウザ機能部210を有する。ブラウザ機能部210は、ブラウザを起動し、ブラウザ機能により各種処理を実行する。ブラウザの具体例としては、ChromeあるいはFireFoxといったソフトウェアである。
サービス提供装置500は、機能構成として、認証連携機能部510は、SAML(Security Assertion Markup Language)のSP(Service Provider)、OIDC(OpenID Connect)のRP(Relying Party)といった認証連携情報を要求・利用する機能を実行する。
アクセス制御装置300は、機能構成として、マスタ情報管理部310、位置情報受信部320、依頼部330、認可判定部340、記憶部350、認証部360、および認証認可連携機能部370を有する。記憶部350には、利用者情報351、利用者位置情報352、場所登録情報353、認可ポリシ情報354、アプリ認可情報355、アプリ情報356、検索条件情報357、および判定情報358が記憶されている。認証認可連携機能部370は、SAMLのIDP(Identity provider)、OIDCのOP(OpenID Provider)といった認証連携情報を提供する機能を実行する。
ここで、SAMLは、XMLをベースにした認証連携を行うための標準規格(プロトコル)である。IDPは、SAML規格に従って認証情報を提供する機能である。SPは、SAML規格に従って認証情報を要求・利用する機能である。OIDCは、JSON(JavaScript(登録商標) Object Notation)をベースにした認証連携を行うための標準規格(プロトコル)である。OPは、OpenID Connect規格に従って認証情報を提供する機能である。RPは、OpenID Connect規格に従って認証情報を要求・利用する機能である。
The mobile
The
As a functional configuration, the service providing apparatus 500 has a function configuration, and the authentication
The
Here, SAML is a standard (protocol) for performing authentication cooperation based on XML. IDP is a function that provides authentication information in accordance with the SAML standard. The SP is a function that requests and uses authentication information in accordance with the SAML standard. OIDC is a standard (protocol) for performing authentication cooperation based on JSON (Java Script (registered trademark) Object Notation). The OP is a function that provides authentication information in accordance with the OpenID Connect standard. The RP is a function that requests and uses authentication information in accordance with the OpenID Connect standard.
図3を用いて、本実施の形態に係るアクセス制御システム600の各装置のハードウェア構成について説明する。携帯端末装置100、情報端末装置200、アクセス制御装置300、およびサービス提供装置500の各々を、アクセス制御システム600の各装置ともいう。
アクセス制御システム600の各装置はコンピュータである。
アクセス制御システム600の各装置は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インタフェース905、ディスプレイインタフェース906といったハードウェアを備える。
プロセッサ901は、信号線910を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
入力インタフェース905は、入力装置907に接続されている。
ディスプレイインタフェース906は、表示装置908に接続されている。
The hardware configuration of each device of the access control system 600 according to the present embodiment will be described with reference to FIG. Each of the mobile
Each device of the access control system 600 is a computer.
Each device of the access control system 600 includes hardware such as a
The
The
The
プロセッサ901は、演算処理を行うIC(Integrated Circuit)である。
プロセッサ901は、具体的には、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
補助記憶装置902は、具体的には、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)である。
メモリ903は、具体的には、RAM(Random Access Memory)である。
通信装置904は、データを受信するレシーバー9041およびデータを送信するトランスミッター9042を含む。
通信装置904は、具体的には、通信チップまたはNIC(Network Interface Card)である。
入力インタフェース905は、入力装置907のケーブル911が接続されるポートである。
入力インタフェース905は、具体的には、USB(Universal Serial Bus)端子である。
ディスプレイインタフェース906は、表示装置908のケーブル912が接続されるポートである。
ディスプレイインタフェース906は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。
入力装置907は、具体的には、マウス、キーボードまたはタッチパネルである。
表示装置908は、具体的には、LCD(Liquid Crystal Display)である。
The
Specifically, the
Specifically, the
The
The
Specifically, the
The
Specifically, the
The
Specifically, the
Specifically, the
Specifically, the
アクセス制御システム600の各装置の機能を実現するプログラムを、アクセス制御プログラムともいう。アクセス制御プログラムは、通常は補助記憶装置902に記憶されており、メモリ903にロードされた状態で、順次プロセッサ901に読み込まれ、実行される。
更に、補助記憶装置902には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がメモリ903にロードされ、プロセッサ901はOSを実行しながら、アクセス制御システム600の各装置の機能を実現するプログラムを実行する。
図3では、1つのプロセッサ901が図示されているが、アクセス制御システム600の各装置が複数のプロセッサ901を備えていてもよい。
そして、複数のプロセッサ901がアクセス制御システム600の各装置の機能を実現するプログラムを連携して実行してもよい。
また、アクセス制御システム600の各装置の処理の結果を示す情報やデータや信号値や変数値が、メモリ903、補助記憶装置902、または、プロセッサ901内のレジスタまたはキャッシュメモリに記憶される。
また、アクセス制御システム600の各装置の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の記憶媒体に記憶される。
A program that realizes the functions of each device of the access control system 600 is also referred to as an access control program. The access control program is normally stored in the
Further, the
Then, at least a part of the OS is loaded into the
In FIG. 3, one
Then, a plurality of
Further, information, data, signal values, and variable values indicating the processing results of each device of the access control system 600 are stored in the
A program that realizes the functions of each device of the access control system 600 is stored in a storage medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a Blu-ray (registered trademark) disk, or a DVD.
アクセス制御システム600の各装置の機能を「プロセッシングサーキットリー」で提供してもよい。
また、「部」を「回路」または「工程」または「手順」または「処理」に読み替えてもよい。
「回路」および「プロセッシングサーキットリー」は、プロセッサ901だけでなく、ロジックICまたはGA(Gate Array)またはASIC(Application Specific Integrated Circuit)またはFPGA(Field−Programmable Gate Array)といった他の種類の処理回路をも包含する概念である。
The function of each device in the access control system 600 may be provided by a “processing circuit”.
Further, “part” may be read as “circuit”, “process”, “procedure”, or “processing”.
“Circuit” and “processing circuitry” are not only a
***動作の説明***
次に、本実施の形態に係るアクセス制御システム600のアクセス制御方法およびアクセス制御プログラムによるアクセス制御処理について説明する。
図4は、本実施の形態に係るアクセス制御処理が有する位置情報登録処理S10を表すシーケンス図である。位置情報登録処理S10は、利用者60が、外出先でサービス提供装置500にアクセスするための認証認可を得るために、アクセス制御装置300に位置情報を登録する処理である。
ステップS11において、利用者60は、携帯端末装置100の利用者認可部110にログインする。利用者認可部110は、利用者60から入力された利用者IDおよびクレデンシャル情報を取得し、アクセス制御装置300に送信する。クレデンシャル情報は、具体的には、パスワードである。なお、クレデンシャル情報は、パスワードの他に、指紋あるいは虹彩といった生体情報でもよい。
*** Explanation of operation ***
Next, an access control method of the access control system 600 according to the present embodiment and an access control process by the access control program will be described.
FIG. 4 is a sequence diagram showing the location information registration process S10 included in the access control process according to the present embodiment. The location information registration process S10 is a process for registering location information in the
In step S <b> 11, the
図5を用いて、本実施の形態に係る利用者情報351の構成について説明する。
利用者情報351には、アプリケーションを利用する利用者の情報が登録されている。すなわち、利用者情報351に登録している利用者がアクセス制御システム600を利用できる。利用者情報351は、利用者ID、利用者氏名、組織コード、属性(役職)、クレデンシャル情報すなわちパスワード、および利用者が携帯する携帯端末装置を識別する携帯端末識別子といった情報が登録される。
ステップS12において、アクセス制御装置300の認証部360は、利用者IDおよびパスワードを取得し、利用者IDおよびパスワードを用いて利用者情報351を参照し、利用者60の認証の可否を判定する。
ステップS13において、認証部360は、利用者60の認証の判定結果を携帯端末装置100の利用者認可部110に送信する。
The configuration of
In the
In step S12, the
In step S <b> 13, the
利用者認可部110は、アクセス制御装置300から送信された判定結果が認証不可の場合、携帯端末装置100の表示装置にログインが失敗であることを表すメッセージを表示する。利用者認可部110は、アクセス制御装置300から送信された判定結果が認証可の場合、ステップS14において、位置取得部111が携帯端末装置100の位置情報を取得する。位置取得部111は、位置情報の取得を許可するか否かを利用者60に入力させる表示を表示装置に表示し、位置情報取得の許可を利用者60から受け付ける。
ステップS15において、位置取得部111は、位置情報取得の許可を利用者60から受け付けると、GPS、Wi−Fi、あるいは携帯基地局により、携帯端末装置100の位置情報を取得する。
ステップS16において、位置取得部111は、利用者IDおよび位置情報をアクセス制御装置300に送信する。
ステップS17において、アクセス制御装置300の位置情報受信部320は、利用者IDおよび位置情報を受信する。位置情報受信部320は、受信した利用者IDおよび位置情報に基づいて、記憶部350の利用者位置情報352に利用者60の位置情報を登録あるいは更新する。
When the determination result transmitted from the
In step S <b> 15, when the
In step S <b> 16, the
In step S17, the location
図6を用いて、本実施の形態に係る利用者位置情報352の構成について説明する。
利用者位置情報352には、利用者IDと、位置情報と、最終状態更新日時と、状態とが設定される。位置情報は、具体的には、経度緯度である。最終状態更新日時は、利用者IDに関する位置情報が登録あるいは更新された最新の日時である。状態は、利用者IDに関する位置情報がログイン中であるか、有効であるか、無効であるかを表す。利用者IDに関する位置情報が有効であるとは、現在日時から遡って所定の時間以内に位置情報により表される位置でログインしていたことを表す。利用者IDに関する位置情報が無効であるとは、位置情報により表される位置でログインした直近の日時より、所定の時間以上経過したことを表す。
The configuration of the
In the
次に、図7を用いて、本実施の形態に係るアクセス制御処理が有する認証認可要求処理S20について説明する。認証認可要求処理S20は、利用者60が、外出先でサービス提供装置500にアクセスするための認証認可を要求する処理である。
ステップS21において、利用者60は、情報端末装置200のブラウザを起動し、アクセスしたいアプリケーションのURLを選択する。
ステップS22において、情報端末装置200のブラウザ、すなわちブラウザ機能部210は、選択されたアプリケーションのURLに基づいて、アプリケーション画面の要求をサービス提供装置500に送信する。アプリケーション画面の要求は、アプリケーションの利用要求61である。
ステップS23において、サービス提供装置500が利用要求61を受け付ける。サービス提供装置500の認証連携機能部510は、利用要求61を受信すると、利用者60の認証と利用者60によるアプリケーションの利用の認可とを要求する認証認可連携要求62を情報端末装置200に送信する。
認証認可連携要求62は、利用者60がアクセス制御システム600に登録された利用者であることを認証するとともに、サービス提供装置500のアプリケーションにアクセスすることを認可する要求である。
Next, the authentication authorization request process S20 included in the access control process according to the present embodiment will be described with reference to FIG. The authentication authorization request process S20 is a process in which the
In step S <b> 21, the
In step S22, the browser of the
In step S23, the service providing apparatus 500 accepts the usage request 61. Upon receiving the use request 61, the authentication
The authentication authorization cooperation request 62 is a request for authenticating that the
ステップS24において、情報端末装置200のブラウザ機能部210は、サービス提供装置500から認証認可連携要求62を受信すると、アクセス制御装置300に認証認可連携要求62を送信する。
ステップS25において、アクセス制御装置300の認証認可連携機能部370は、認証認可連携要求62を認証部360に渡す。
ステップS26において、認証部360は、利用者IDおよびクレデンシャル情報の取得要求を情報端末装置200に送信する。
ステップS27において、情報端末装置200のブラウザ機能部210は、利用者IDおよびクレデンシャル情報を入力させる利用者認証画面を表示装置に表示する。
ステップS28において、情報端末装置200のブラウザ機能部210は、利用者60から利用者IDおよびクレデンシャル情報を取得する。
ステップS29において、情報端末装置200のブラウザ機能部210は、利用者60から取得した利用者IDおよびクレデンシャル情報を、アクセス制御装置300に送信する。
ステップS210において、アクセス制御装置300の認証部360は、受信した利用者IDおよびクレデンシャル情報を用いて利用者情報351を参照し、利用者60の認証の可否を判定する。
ステップS211において、認証部360は、認証結果を認証認可連携機能部370に出力する。
ステップS212において、認証認可連携機能部370は、利用者IDにより表される利用者が、アプリケーションに対するアクセスが認可されているか否かを判定する認可判定部340に、認可要求63を出力する。認可要求63には、利用者IDとアプリケーションのURLとが含まれる。認可判定部340が認可要求63を受け取ると、認可判定処理S30が開始される。
In step S <b> 24, upon receiving the authentication / authorization cooperation request 62 from the service providing apparatus 500, the
In step S <b> 25, the authentication / authorization
In step S <b> 26, the
In step S27, the
In step S <b> 28, the
In step S <b> 29, the
In step S210, the
In step S <b> 211, the
In step S212, the authentication / authorization
次に、図8および図9を用いて、本実施の形態に係るアクセス制御処理が有する認可判定処理S30について説明する。図8および図9は、認可判定処理S30を表すフロー図である。
認可判定処理S30では、認可判定部340が利用者60の認証と利用者60によるアプリケーションの利用の認可とを要求する認証認可連携要求62を受信する。そして、認可判定部340が認可ポリシ情報354に基づいて、利用者情報351から承認者の候補を承認者候補として抽出し、承認者候補のうちいずれかの承認者が承認条件を満たす場合に、認可が可能であると判定する。
Next, the authorization determination process S30 included in the access control process according to the present embodiment will be described with reference to FIGS. 8 and 9 are flowcharts showing the authorization determination process S30.
In the authorization judgment process S30, the
ステップS31において、認可判定部340は、認可要求63に含まれる利用者IDをキーに、利用者位置情報352を参照し、利用者60の位置情報を取得する。
ステップS32において、認可判定部340は、位置情報をキーに、場所登録情報353を参照し、利用者60の位置に対応する場所情報を取得する。
In step S <b> 31, the
In step S <b> 32, the
図10を用いて、本実施の形態に係る場所登録情報353の構成について説明する。
場所登録情報353には、場所ID、場所名、場所区分、基準緯度、基準経度、経度範囲、緯度範囲、グループID、および住所といった情報が設定されている。
具体例としては、利用者本人が利用者ID「USR001」の「佐藤太郎」であるとする。認可要求63に含まれる利用者IDがUSR001の場合、認可判定部340は、USR001をキーに利用者位置情報352を参照し、USR001に対応する緯度および経度を取得する。そして、認可判定部340は、USR001に対応する緯度および経度をキーに場所登録情報353を参照し、USR001に対応する緯度および経度が含まれる行の情報を場所情報として取得する。
The configuration of the
In the
As a specific example, it is assumed that the user himself is “Taro Sato” with the user ID “USR001”. When the user ID included in the authorization request 63 is USR001, the
ステップS33において、認可判定部340は、認可要求63に含まれるアプリケーションのURLをキーに、アプリ情報356およびアプリ認可情報355を参照し、アプリケーションのURLに対応する行の情報を取得する。
In step S <b> 33, the
図11を用いて、アプリ情報356およびアプリ認可情報355の構成について説明する。アプリ情報356には、アプリケーションIDと、アプリケーションのURLと、アプリケーション名が対応付けられて設定されている。また、アプリ認可情報355には、アプリ認可IDと、アプリIDと、認可利用場所区分と、認可ポリシIDと、認可有効時間とが設定されている。
具体例としては、認可要求63に含まれるアプリケーションのURLが業務アプリAのURLの場合、認可判定部340は、このURLをキーにアプリ情報356を参照し、このURLに対応するアプリケーションID「APP001」を取得する。そして、認可判定部340は、このアプリケーションID「APP001」をキーに、アプリ認可情報355を参照し、「APP001」に対応する行の情報を取得する。具体的には、認可判定部340は、アプリケーションID「APP001」に対応する1行目の情報を取得する。このとき、認可ポリシIDは、PLC001である。
The configuration of the
As a specific example, when the URL of the application included in the authorization request 63 is the URL of the business application A, the
ステップS34において、認可判定部340は、利用者の利用者IDから得られた場所登録情報353の場所区分が、アプリケーションIDから得られたアプリ認可情報355の認可利用場所区分として登録されているかを判定する。利用者IDから得られた場所区分が、アプリケーションIDから得られた認可利用場所区分として登録されている場合、認可判定部340は、ステップS35に進む。
利用者IDから得られた場所区分が、アプリケーションIDから得られた認可利用場所区分として登録されていない場合、認可判定部340は、ステップS3401に進む。図7に示すように、ステップS3401において、認可判定部340は、認証認可連携機能部370に、場所が許可されて無いため認可できないことを表すエラー情報を送信する。そして、認証認可連携機能部370は、このエラー情報を情報端末装置200に送信する。情報端末装置200は、このエラー情報を表す画面をエラー画面として表示装置に表示する。表示装置に表示されたエラー画面により、利用者60は、サービス提供装置500にアクセスしている場所が許可されていないため、アプリケーションに対するアクセスが認可されなかったことがわかる。
In step S34, the
If the location classification obtained from the user ID is not registered as the authorized usage location classification obtained from the application ID, the
ステップS35において、認可判定部340は、ステップS33で取得した認可ポリシIDをキーに、認可ポリシ情報354を参照する。認可判定部340は、ステップS33で取得した認可ポリシIDに対応する行の情報を取得する。
In step S35, the
図12を用いて、本実施の形態に係る認可ポリシ情報354の構成について説明する。
認可ポリシ情報354では、各行に、認可ポリシID、近接利用者検索条件ID、認可ポリシ名、近接利用者範囲、近接利用者認可条件、近接利用者数、および説明が設定されている。近接利用者認可条件は、アプリケーションの利用を承認する承認者の承認条件の例である。また、近接利用者範囲は、携帯端末装置からの地理的範囲であり、利用者情報351から承認者の候補を抽出する抽出条件の例である。また、近接利用者検索条件IDも利用者情報351から承認者の候補を抽出する抽出条件の例である。近接利用者検索条件IDをキーに、後述する検索条件情報357を参照することにより、利用者情報351から承認者の候補を抽出する詳細な抽出条件を得ることができる。なお、ここでは、認可ポリシ情報354と検索条件情報357とは、1つのデータベースで構成してもよい。検索条件情報357は、近接利用者検索条件情報ともいう。
具体例としては、認可ポリシIDがPLC001の場合、認可判定部340は、認可ポリシID「PLC001」をキーに、認可ポリシ情報354を参照し、認可ポリシID「PLC001」に対応する1行目の情報を取得する。このとき、近接利用者検索条件IDは、CND001である。
The configuration of the
In the
As a specific example, when the authorization policy ID is PLC001, the
ステップS36において、認可判定部340は、ステップS35で取得した利用者認可ポリシ情報354の近接利用者検索条件IDをキーに、検索条件情報357を参照する。認可判定部340は、ステップS35で取得した利用者認可ポリシ情報354の近接利用者検索条件IDに対応する、検索条件情報357の行の情報を取得する。
In step S36, the
図13を用いて、本実施の形態に係る検索条件情報357の構成について説明する。
検索条件情報357では、各行に、近接利用者検索条件ID、利用者属性名、利用者属性値、組織条件、および説明が設定されている。利用者属性名および利用者属性値は、アプリケーションを利用する利用者の属性であり、利用者情報351から承認者の候補を抽出する抽出条件の例である。
具体例としては、近接利用者検索条件IDがCND001の場合、認可判定部340は、近接利用者検索条件ID「CND001」をキーに、検索条件情報357を参照し、近接利用者検索条件ID「CND001」に対応する1行目から3行目までの情報を取得する。このとき、近接利用者検索条件は、役職「上長」あるいは「代理上長」、組織コード「指定なし」、組織条件「有り」である。組織コード「指定なし」の場合は、利用者と同一の組織コードであるものとする。
The configuration of the
In the
As a specific example, when the proximity user search condition ID is CND001, the
ステップS37において、認可判定部340は、ステップS36で取得した近接利用者検索条件IDに対応する近接利用者検索条件に基づいて、利用者情報351を参照する。認可判定部340は、ステップS36で取得した近接利用者検索条件に基づいて、利用者情報351から近接利用者検索条件にマッチする利用者を近接利用者の候補として抽出する。認可判定部340は、利用者情報351から、認可ポリシ情報に含まれる属性である利用者属性名および利用者属性値にマッチする利用者を近接利用者の候補として抽出する。
具体例としては、近接利用者検索条件が、役職「上長」あるいは「代理上長」、組織コード「指定なし」、組織条件「有り」の場合、認可判定部340は、利用者情報351から、近接利用者検索条件にマッチするUSR002とUSR003とを取得する。認可判定部340は、USR002の「高橋次郎」とUSR003の「山田花子」が近接利用者の候補として抽出される。なお、近接利用者の候補は、アプリケーションの利用を承認する承認者候補73である。すなわち、USR002の「高橋次郎」とUSR003の「山田花子」が承認者候補73として抽出される。
In step S37, the
As a specific example, when the proximity user search condition is the title “superior” or “deputy supervisor”, the organization code “not specified”, and the organization condition “present”, the
ステップS38において、認可判定部340は、近接利用者の候補の利用者IDをキーに、利用者位置情報352を参照し、近接利用者の候補の位置情報を取得する。
具体例としては、USR002の「高橋次郎」とUSR003の「山田花子」が近接利用者の候補(承認者候補73)の場合、認可判定部340は、利用者位置情報352を参照し、USR002に対応する2行目と、USR003に対応する3行目とを取得する。
In step S <b> 38, the
As a specific example, when “Jiro Takahashi” in USR002 and “Hanako Yamada” in USR003 are candidates for proximity users (approver candidate 73), the
ステップS39において、認可判定部340は、「利用者本人の位置情報」と「近接利用者の候補の位置情報」の差が、利用者認可ポリシ情報354の近接利用者範囲内に含まれているかを計算する。すなわち、認可判定部340は、利用者位置情報352から、認可ポリシ情報354に含まれる地理的範囲である近接利用者範囲に位置する利用者をさらに承認者候補73として抽出する。そして、認可判定部340は、近接利用者の候補を、判定情報358に設定する。
ステップS37からステップS39により、認可判定部340は、利用者情報351から、認可ポリシ情報354に含まれる地理的範囲に位置するとともに、認可ポリシ情報354に含まれる属性を有する利用者を承認者候補73として抽出する。
In step S <b> 39, the
From step S37 to step S39, the
図14を用いて、本実施の形態に係る判定情報358の構成について説明する。
判定情報358には、一行に、判定ID、利用者本人ID、利用者本人氏名、近接利用者認可条件、近接利用者ID、近接利用者名、近接状態、近接者ログイン状態、依頼状態、判定結果、アプリケーション名、およびアプリケーションURLが設定される。
具体例としては、利用者本人がUSR001の「佐藤太郎」であり、USR002の「高橋次郎」とUSR003の「山田花子」が近接利用者の候補の場合、認可判定部340は、図13に示すように判定情報358に、各情報を設定する。このとき、近接利用者の候補の状態が無効である場合でも、判定情報358に設定する。
The configuration of the
The
As a specific example, when the user is “Taro Sato” of USR001, and “Jiro Takahashi” of USR002 and “Hanako Yamada” of USR003 are candidates for proximity users, the
ステップS310において、認可判定部340は、処理対象となる近接利用者の候補を判定情報358から取得する。
ステップS311において、認可判定部340は、処理対象となる近接利用者の候補について、判定情報358を参照し、近接利用者認可条件が「ログイン」で、かつ、ログイン状態が「ログイン」であるかを判定する。近接利用者認可条件が「ログイン」で、かつ、ログイン状態が「ログイン」である場合、近接利用者の認可条件が満たされていることを意味するので、認可処理を終了する。「近接利用者認可条件が「ログイン」で、かつ、ログイン状態が「ログイン」」以外の場合、ステップS312に進む。
すなわち、認可判定部340は、承認者候補73の一覧のなかで承認条件がログイン状態である承認者のうち承認条件を満たす承認者が存在するかを判定し、承認条件を満たす承認者について認可が可能であると判定する。なお、ここでは、承認者候補73の一覧を判定情報358に登録し、この判定情報358を用いてステップS311の判定を行っている。しかし、判定情報358に登録せずに、承認者候補73の利用者位置情報352の状態と、利用要求61に含まれるアプリケーションのURLから導かれる認可ポリシとから、ステップS311の判定を行ってもよい。
In step S <b> 310, the
In step S <b> 311, the
That is, the
ステップS312において、認可判定部340は、依頼部330を呼び出し(ステップS312a)、承認依頼選択処理S40を実行させる。
承認依頼選択処理S40は、利用者60の携帯端末装置100に近接利用者の候補の一覧を表示し、利用者60に承認をお願いする人を選択させる処理である。承認依頼選択処理S40は、アクセス制御装置300の依頼部330が、承認者候補73の一覧を利用者60の携帯端末装置100に表示し、利用者60に承認者候補73の一覧からアプリケーションの利用を承認する承認者を選択させる。
In step S312, the
The approval request selection process S40 is a process for displaying a list of candidates for nearby users on the mobile
図15は、図7に続くシーケンス図であり、認可判定部340が認可要求63を受け取った(ステップS121)以降に開始される処理のシーケンス図である。
図15のステップS312aにおいて、認可判定部340は、依頼部330に承認依頼選択処理S40を実行させる。
ステップS401において、依頼部330は、利用者60の携帯端末装置100に、近接利用者の候補の一覧を含む候補一覧画面の表示を要求する一覧画面表示要求を送信する。
ステップS402において、携帯端末装置100の承認依頼部112は、依頼部330から一覧画面表示要求を受信すると、携帯端末装置100の表示装置に近接利用者の候補の一覧である候補一覧画面を表示するプッシュ通知を実行する。
ステップS403において、承認依頼部112は、プッシュ通知を受け取った利用者60が利用者認可部110にログインすると、候補一覧画面を表示装置に表示し、利用者60に対し、候補一覧画面から承認を依頼する近接利用者の選択を促す。利用者60により選択された近接利用者を選択承認者60xともいう。
ステップS404において、承認依頼部112は、利用者60が選択した選択承認者60xの利用者IDと、利用者60の利用者IDとを含む近接利用者選択通知をアクセス制御装置300に送信する。
FIG. 15 is a sequence diagram subsequent to FIG. 7, and is a sequence diagram of processing started after the
In step S312a of FIG. 15, the
In step S <b> 401, the
In step S <b> 402, upon receiving the list screen display request from the
In step S403, when the
In step S <b> 404, the
図9のステップS312bにおいて、アクセス制御装置300の依頼部330は、近接利用者選択通知を受信する。なお、近接利用者選択通知には、承認者を選択せずに近接利用者への依頼をキャンセルするといった情報を含むことができるものとする。
ステップS313において、認可判定部340は、近接利用者選択通知に近接利用者への依頼をキャンセルする情報が含まれるか否かを判定する。近接利用者選択通知が近接利用者への依頼をキャンセルする情報である場合、ステップS3130に進む。ステップS3130において、認可判定部340は、認証認可連携機能部370に、近接利用者への依頼をキャンセルしたため、認可できないことを表すエラー情報を送信する。そして、認証認可連携機能部370は、このエラー情報を情報端末装置200に送信する。情報端末装置200は、このエラー情報を表す画面をエラー画面として表示装置に表示する。表示装置に表示されたエラー画面により、利用者60は、近接利用者への依頼をキャンセルしたため、アプリケーションに対するアクセスが認可されなかったことがわかる。近接利用者選択通知が近接利用者への依頼をキャンセルする情報でない場合、ステップS314に進む。
In step S312b of FIG. 9, the
In step S313, the
ステップS314において、認可判定部340は、依頼部330を呼び出し(ステップS314a)、承認依頼処理S50を実行させる。承認依頼処理S50は、アクセス制御装置300の依頼部330が、利用者60により選択された承認者を選択承認者60xとして、選択承認者60xの携帯端末装置100に承認を依頼する承認要求を送信する。承認依頼処理S50は、選択された近接利用者に承認を依頼する処理である。
In step S314, the
図15のステップS501において、依頼部330は、選択された近接利用者の携帯端末装置100に、利用者60のアプリケーションへのアクセスに対する承認を依頼する承認依頼画面の表示を要求する承認要求64を送信する。
ステップS502において、選択された近接利用者の携帯端末装置100の承認依頼部112は、依頼部330から承認要求64を受信すると、携帯端末装置100の表示装置に利用者60のアプリケーションへのアクセスに対する承認を依頼する承認依頼画面を表示するプッシュ通知を実行する。
ステップS503において、承認依頼部112は、プッシュ通知を受け取った近接利用者が利用者認可部110にログインすると、承認依頼画面を表示装置に表示する。プッシュ通知を受け取った近接利用者は、承認依頼画面を用いて、利用者60のアプリケーションへのアクセスに対する承認を行う。あるいは、プッシュ通知を受け取った近接利用者は、承認依頼画面を用いて、利用者60のアプリケーションへのアクセスを否認してもよい。
ステップS504において、承認依頼部112は、近接利用者の利用者IDと、利用者60の利用者IDと、承認の結果とを含む承認結果通知65をアクセス制御装置300に送信する。
In step S501 in FIG. 15, the
In step S <b> 502, upon receiving the approval request 64 from the
In step S503, when the proximity user who has received the push notification logs in to the user authorization unit 110, the
In step S <b> 504, the
図9のステップS314bにおいて、アクセス制御装置300の依頼部330は、承認結果通知65を受信する。
ステップS315において、認可判定部340は、承認結果通知65が承認か否認かについて判定する。承認結果通知65が否認の場合、ステップS3150に進む。ステップS3150において、認可判定部340は、認証認可連携機能部370に、近接利用者、すなわち選択承認者60xにより否認されたため、認可できないことを表すエラー情報を送信する。そして、認証認可連携機能部370は、このエラー情報を情報端末装置200に送信する。情報端末装置200は、このエラー情報を表す画面をエラー画面として表示装置に表示する。表示装置に表示されたエラー画面により、利用者60は、近接利用者により否認されたため、アプリケーションに対するアクセスが認可されなかったことがわかる。
承認結果通知65が承認の場合、近接利用者の認可条件が満たされていることを意味するので、認可処理を終了する。すなわち、認可判定部340は、選択承認者60xからの承認結果が承認済みである場合に、認可が可能であると判定する。
以上で、認可判定処理S30の説明を終了する。
In step S314b of FIG. 9, the
In step S315, the
If the approval result notification 65 is approval, it means that the authorization condition of the proximity user is satisfied, so the authorization process is terminated. That is, the
Above, description of authorization determination process S30 is complete | finished.
図15のステップS601において、認可判定部340は、認可判定処理S30による認可結果を認証認可連携機能部370に送信する。
ステップS602において、認証認可連携機能部370は、認可結果が認可か否かについて判定する。不認可の場合、ステップS603に進む。認可の場合、ステップS605に進む。
ステップS603において、認証認可連携機能部370は、認可結果が不認可であることを示す不認可通知を利用者60の情報端末装置200に送信する。
ステップS604において、情報端末装置200のブラウザ機能部210は、アプリケーションの利用が不可であることを表す利用不可画面を表示装置に表示する。このとき、アプリケーションの利用が不可であることの理由を合わせて表示してもよい。
In step S601 of FIG. 15, the
In step S602, the authentication authorization
In step S <b> 603, the authentication / authorization
In step S604, the
ステップS605において、認証認可連携機能部370は、認可結果が認可であることを示す認証認可メッセージを利用者60の情報端末装置200に送信する。
ステップS606において、情報端末装置200のブラウザ機能部210は、認証認可メッセージをサービス提供装置500に送信する。すなわち、ブラウザ機能部210は、認証認可メッセージをサービス提供装置500にリダイレクトする。
ステップS607において、サービス提供装置500の認証連携機能部510は、認証認可メッセージを受信すると、アプリケーション画面データと認証済セッション識別子とを情報端末装置200に送信する。
ステップS608において、情報端末装置200のブラウザ機能部210は、アプリケーション画面を表示装置に表示する。
以上により、利用者60は、アプリケーション画面を用いて、アプリケーションに対する処理を行うことができる。
In step S605, the authentication authorization
In step S <b> 606, the
In step S <b> 607, upon receiving the authentication authorization message, the authentication
In step S608, the
As described above, the
***本実施の形態の効果の説明***
本実施の形態に係るアクセス制御システム600では、利用者の位置情報を認証に利用することで、あらかじめ決められた場所で、決められたアクセス権でのみサービスを利用できるように制御し、情報漏洩のリスクを減らすことができる。また、本実施の形態に係るアクセス制御システム600では、利用場所が予め登録されていなくても、決められたポリシ定義を満たしていれば、予め決められたアクセス権でサービスを利用できるようにも制御する。また、本実施の形態に係るアクセス制御システム600では、「同じグループの他の利用者が、一定人数以上、近接でログイン状態の場合」といったポリシ定義を柔軟に設定することができる。よって、本実施の形態に係るアクセス制御システム600によれば、社員単独による故意の重要情報の漏洩リスクや深夜での単独就業による事故を予防することができる。
*** Explanation of effects of this embodiment ***
In the access control system 600 according to the present embodiment, by using the user location information for authentication, control is performed so that the service can be used only with a predetermined access right at a predetermined location, and information leakage occurs. Can reduce the risk. Further, in the access control system 600 according to the present embodiment, even if the usage location is not registered in advance, the service can be used with the predetermined access right as long as the predetermined policy definition is satisfied. Control. Further, in the access control system 600 according to the present embodiment, it is possible to flexibly set policy definitions such as “when other users in the same group are logged in close to a certain number of people”. Therefore, according to the access control system 600 according to the present embodiment, it is possible to prevent a risk of intentional leakage of important information by an employee alone or an accident due to a single job at midnight.
実施の形態1では、アクセス制御システム600の各装置の各部が独立した機能ブロックとしてアクセス制御システム600の各装置を構成している。しかし、上述した実施の形態のような構成でなくてもよく、アクセス制御システム600の各装置の構成は任意である。アクセス制御システム600の各装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、任意である。これらの機能ブロックを、他のどのような組み合わせ、あるいは任意のブロック構成で、アクセス制御システム600の各装置を構成しても構わない。
アクセス制御システム600の各装置は、1つの装置でなく、複数の装置から構成されたシステムでもよい。
In the first embodiment, each unit of each device of access control system 600 constitutes each device of access control system 600 as an independent functional block. However, the configuration of each device of the access control system 600 is not limited to the configuration described in the above embodiment. The functional blocks of each device of the access control system 600 are arbitrary as long as the functions described in the above-described embodiments can be realized. These functional blocks may be configured in any other combination or arbitrary block configuration to configure each device of the access control system 600.
Each device of the access control system 600 may be a system composed of a plurality of devices instead of a single device.
実施の形態1について説明したが、この実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、この実施の形態のうち、1つの部分を実施しても構わない。その他、この実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
Although
The above-described embodiment is essentially a preferable example, and is not intended to limit the scope of the present invention, the scope of the application of the present invention, and the scope of use of the present invention. The embodiment described above can be variously modified as necessary.
60 利用者、60x 選択承認者、61 利用要求、62 認証認可連携要求、63 認可要求、64 承認要求、65 承認結果通知、73 承認者候補、100 携帯端末装置、110 利用者認可部、111 位置取得部、112 承認依頼部、113 利用者認証部、200 情報端末装置、210 ブラウザ機能部、300 アクセス制御装置、310 マスタ情報管理部、320 位置情報受信部、330 依頼部、340 認可判定部、350 記憶部、351 利用者情報、352 利用者位置情報、353 場所登録情報、354 認可ポリシ情報、355 アプリ認可情報、356 アプリ情報、357 検索条件情報、358 判定情報、360 認証部、370 認証認可連携機能部、400 ネットワーク、500 サービス提供装置、510 認証連携機能部、520 実行部、600 アクセス制御システム、901 プロセッサ、902 補助記憶装置、903 メモリ、904 通信装置、9041 レシーバー、9042 トランスミッター、905 入力インタフェース、906 ディスプレイインタフェース、911,912 ケーブル、907 入力装置、908 表示装置、910 信号線、S10 位置情報登録処理、S20 認証認可要求処理、S30 認可判定処理、S40 承認依頼選択処理、S50 承認依頼処理。
60 users, 60x selection approver, 61 use request, 62 authentication authorization linkage request, 63 authorization request, 64 approval request, 65 approval result notification, 73 approver candidate, 100 mobile terminal device, 110 user authorization unit, 111 position Acquisition unit, 112 Approval request unit, 113 User authentication unit, 200 Information terminal device, 210 Browser function unit, 300 Access control device, 310 Master information management unit, 320 Location information receiving unit, 330 Request unit, 340 Authorization determination unit, 350 Storage Unit, 351 User Information, 352 User Location Information, 353 Location Registration Information, 354 Authorization Policy Information, 355 Application Authorization Information, 356 Application Information, 357 Search Condition Information, 358 Judgment Information, 360 Authentication Unit, 370 Authentication Authorization Cooperation function unit, 400 network, 500
Claims (8)
前記サービス提供装置は、
前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信する認証連携機能部を備え、
前記情報端末装置は、
前記認証連携機能部から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置は、
前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部と、
前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する認可判定部と
を備えたアクセス制御システム。 In an access control system having an information terminal device carried by a user, a service providing device for providing an application, and an access control device for controlling access to the application,
The service providing apparatus includes:
Upon receiving a usage request for requesting use of the application by the user from the information terminal device, an authentication authorization cooperation request for requesting authentication of the user and authorization for use of the application by the user is sent to the information terminal. It has an authentication cooperation function part that transmits to the device,
The information terminal device
Sending the authentication authorization cooperation request transmitted from the authentication cooperation function unit to the access control device,
The access control device
A storage unit that stores information of a user who uses the application as user information, and stores approval conditions of an approver who approves the use of the application as authorization policy information;
Based on the authorization policy information, an approver candidate is extracted from the user information as an approver candidate, and the approval is possible when any approver of the approver candidates satisfies the approval condition. An access control system including an authorization determination unit that determines that there is an access control system.
前記利用者が携帯する携帯端末装置であって位置情報を取得可能な携帯端末装置を有し、
前記記憶部は、
前記アプリケーションを利用する利用者の位置情報を利用者位置情報として記憶し、
前記認可ポリシ情報は、前記利用者情報から承認者の候補を抽出する抽出条件として、前記携帯端末装置からの地理的範囲を含み、
前記認可判定部は、
前記利用者位置情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置する利用者を前記承認者候補として抽出する請求項1に記載のアクセス制御システム。 The access control system includes:
A mobile terminal device carried by the user and having a mobile terminal device capable of acquiring location information;
The storage unit
Stores the location information of the user who uses the application as the user location information,
The authorization policy information includes a geographical range from the mobile terminal device as an extraction condition for extracting an approver candidate from the user information,
The authorization determination unit
The access control system according to claim 1, wherein a user who is located in the geographical range included in the authorization policy information is extracted as the authorizer candidate from the user position information.
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の属性を前記抽出条件として含み、
前記認可判定部は、
前記利用者情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置するとともに、前記認可ポリシ情報に含まれる属性を有する利用者を前記承認者候補として抽出する請求項2に記載のアクセス制御システム。 The user information includes an attribute of a user who uses the application,
The authorization policy information includes an attribute of a user who uses the application as the extraction condition,
The authorization determination unit
The access control according to claim 2, wherein a user who is located in the geographical range included in the authorization policy information and has an attribute included in the authorization policy information is extracted from the user information as the authorizer candidate. system.
前記承認者候補の一覧を前記利用者の前記携帯端末装置に表示し、前記利用者に前記承認者候補の一覧から前記アプリケーションの利用を承認する承認者を選択させ、前記利用者により選択された承認者を選択承認者として、前記選択承認者の前記携帯端末装置に承認を依頼する承認要求を送信する依頼部を備えた請求項2または3に記載のアクセス制御システム。 The access control device
The list of approver candidates is displayed on the user's mobile terminal device, and the user is allowed to select an approver who approves the use of the application from the list of approver candidates, and is selected by the user. 4. The access control system according to claim 2, further comprising: a request unit that transmits an approval request for requesting approval to the mobile terminal device of the selection approver with the approver as a selection approver. 5.
前記選択承認者からの承認結果が承認済みである場合に、前記認可が可能であると判定する請求項4に記載のアクセス制御システム。 The authorization determination unit
The access control system according to claim 4, wherein when the approval result from the selection approver is already approved, it is determined that the authorization is possible.
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の状態を前記承認条件として含み、
前記認可判定部は、
前記承認者候補の一覧のなかで前記承認条件がログイン状態である承認者のうち前記承認条件を満たす承認者が存在するかを判定し、前記承認条件を満たす承認者について認可が可能であると判定する請求項3に記載のアクセス制御システム。 The user location information includes a status of a user who uses the application,
The authorization policy information includes a state of a user who uses the application as the approval condition,
The authorization determination unit
In the list of approver candidates, it is determined whether there is an approver satisfying the approval condition among the approvers whose approval condition is in the login state, and approval can be performed for the approver satisfying the approval condition. The access control system according to claim 3 for determining.
前記サービス提供装置は、前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信し、
前記情報端末装置は、前記サービス提供装置から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置は、前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定するアクセス制御方法。 An information terminal device carried by a user, a service providing device that provides an application, and an access control device that controls access to the application, storing information about the user who uses the application as user information In an access control method for an access control system, the access control device includes a storage unit that stores approval conditions of an approver who approves the use of the application as authorization policy information.
When the service providing device receives a usage request for requesting the use of the application by the user from the information terminal device, the service authorization device requests authentication of the user and authorization for use of the application by the user. Sending a cooperation request to the information terminal device;
The information terminal device transmits the authentication authorization cooperation request transmitted from the service providing device to the access control device;
The access control device extracts an approver candidate as an approver candidate from the user information based on the authorization policy information, and when any approver of the approver candidates satisfies the approval condition. An access control method for determining that the authorization is possible.
前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を受信し、前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する認可判定処理をコンピュータである前記アクセス制御装置に実行させるアクセス制御プログラム。 An access control device connected to an information terminal device carried by a user and a service providing device that provides an application, storing information about the user who uses the application as user information, and using the application In the access control program of the access control device provided with a storage unit that stores the approval condition of the approver who approves as approval policy information,
Upon receiving a usage request for requesting the use of the application by the user, an authentication / authorization cooperation request for requesting authentication of the user and authorization for use of the application by the user is received, and the authorization policy information Based on the above, the candidate of the approver is extracted as the approver candidate from the user information, and the approval is determined to be possible when any one of the approver candidates satisfies the approval condition An access control program that causes the access control device that is a computer to execute a determination process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017058530A JP6795436B2 (en) | 2017-03-24 | 2017-03-24 | Access control system, access control method and access control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017058530A JP6795436B2 (en) | 2017-03-24 | 2017-03-24 | Access control system, access control method and access control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018160220A true JP2018160220A (en) | 2018-10-11 |
JP6795436B2 JP6795436B2 (en) | 2020-12-02 |
Family
ID=63795067
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017058530A Active JP6795436B2 (en) | 2017-03-24 | 2017-03-24 | Access control system, access control method and access control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6795436B2 (en) |
-
2017
- 2017-03-24 JP JP2017058530A patent/JP6795436B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP6795436B2 (en) | 2020-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10735196B2 (en) | Password-less authentication for access management | |
US20210226960A1 (en) | Framework for multi-level and multi-factor inline enrollment | |
US10462142B2 (en) | Techniques for implementing a data storage device as a security device for managing access to resources | |
US20190089698A1 (en) | End user initiated access server authenticity check | |
US10157275B1 (en) | Techniques for access management based on multi-factor authentication including knowledge-based authentication | |
US10225283B2 (en) | Protection against end user account locking denial of service (DOS) | |
US9756040B2 (en) | User authentication method with enhanced security | |
GB2569278A (en) | Methods and apparatus for verifying a user transaction | |
US10135810B2 (en) | Selective authentication system | |
US20170235936A1 (en) | Secure credential service for cloud platform applications | |
JP2013137588A (en) | Integrated authentication system and id provider device | |
US20200036525A1 (en) | Method for determining approval for access to gate through network, and server and computer-readable recording media using the same | |
JP2022144003A (en) | Information processing deice and information processing program | |
US9959398B1 (en) | Dynamic user authentication and authorization | |
US11886603B2 (en) | System and method for multi-party electronic signing of electronic documents | |
US20240039726A1 (en) | System and method for secure access to legacy data via a single sign-on infrastructure | |
US20180241745A1 (en) | Method and system for validating website login and online information processing | |
JP6795436B2 (en) | Access control system, access control method and access control program | |
US11483316B1 (en) | System and method for access using a circle of trust | |
Brousek | Multi-Factor Authentication in Large Scale | |
JP7232862B2 (en) | Information processing device, information processing method and information processing program | |
Coffie | MonitR: A mobile application for monitoring online accounts’ security | |
JP2022165317A (en) | Information processor, method for processing information, and information processing program | |
CA3011438A1 (en) | System and method for multi-party electronic signing of electronic documents | |
JP2009266156A (en) | Information providing device and information providing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191003 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200812 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200929 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201027 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201110 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201112 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6795436 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |