JP2023035086A - 情報処理システム、情報処理方法、及び、情報処理プログラム - Google Patents
情報処理システム、情報処理方法、及び、情報処理プログラム Download PDFInfo
- Publication number
- JP2023035086A JP2023035086A JP2021141697A JP2021141697A JP2023035086A JP 2023035086 A JP2023035086 A JP 2023035086A JP 2021141697 A JP2021141697 A JP 2021141697A JP 2021141697 A JP2021141697 A JP 2021141697A JP 2023035086 A JP2023035086 A JP 2023035086A
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- approval
- request
- information
- procedure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】情報処理システムのユーザ管理において管理者及びユーザの作業負荷を軽減する情報処理システム及び方法を提供する。【解決手段】情報処理システム100は、承認者端末101、ユーザ端末102及び管理サーバ103を有する。承認者端末は、権限付与の手続情報をユーザ端末へ通知する通知部及び管理サーバによる認証結果が成功の場合、権限付与のリクエストを承認するか否かの操作を要求する承認要求を受け付けて、承認要求を承認する承認結果を管理サーバへ送る承認部を備える。ユーザ端末は、手続情報を受取る受信部及び手続情報に基づき、リクエストを管理サーバへ送るリクエスト部を備える。管理サーバは、リクエストを受取ると認証結果を生成する認証部、認証結果が成功の場合、承認要求を承認者端末へ送る承認要求部、承認結果が得られたらトークンを保存する保存部及びトークンに基づき複数のリソースへの権限を付与する権限付与部とを備える。【選択図】図5
Description
本発明は、情報処理システム、情報処理方法、及び、情報処理プログラムに関する。
情報処理システムにおいて、情報処理システム等のリソースに対するユーザの権限を管理する技術が知られている。特に、ユーザが複数の情報処理システムを利用する場合において、複数の情報処理システムに対し、共通したユーザの権限を管理する技術が知られている。
具体的には、情報処理システムが、ネットワークを介して接続された複数のシステムに対し、ユーザのシステム権限情報をシステムごとに設定する。そのため、情報処理システムは、まず、ユーザ情報を取得する。次に、情報処理システムは、ユーザ属性に対し、関連付けられた権限ロールを付与する。続いて、情報処理システムは、システムごとのシステム権限情報を権限ロールが付与されたユーザのシステム権限情報として設定する。このようにして、システムの仕様に関わらず、システムごとに設定されるユーザのシステム権限情報を共通した処理で生成し、かつ、付与できる技術が知られている(例えば、特許文献1を参照)。
従来の技術は、システムの仕様に関わらず、システムごとに設定されるユーザの権限情報を共通した処理で生成、及び、付与する。そのため、従業員の入れ替わり等が多くなると、管理者は、ユーザ情報を会社、又は、業務ごとに生成、及び、管理する。このような管理では、管理する情報が多くなる等の作業負荷が増えやすい。また、ユーザは、リソースごとに申請等を行う。ゆえに、管理者、及び、ユーザの作業負荷が大きくなる課題がある。
本発明は、情報処理システムのユーザ管理において、管理者、及び、ユーザの作業負荷を軽減すること目的とする。
上記の課題を解決するため、本発明の一態様である、ユーザが用いるユーザ端末、前記ユーザ端末と接続する情報処理装置、及び、前記ユーザに付与する権限を承認する承認者が用いる承認者端末を有する情報処理システムにおいて、
前記承認者端末は、
前記権限を付与する手続に用いる手続情報を前記ユーザ端末に通知する通知部と、
前記情報処理装置による認証結果が成功であると、前記権限の付与を要求するリクエストを承認するか否かの操作を要求する承認要求を受け付けて、前記承認要求に対して承認する承認結果を前記情報処理装置に送る承認部とを備え、
前記ユーザ端末は、
前記手続情報を受け取る受信部と、
前記手続情報に基づき、前記リクエストを前記情報処理装置に送るリクエスト部とを備え、
前記情報処理装置は、
前記リクエストを受け取ると、前記認証結果を生成する認証部と、
前記認証結果が成功であると、前記承認要求を前記承認者端末に送る承認要求部と、
前記承認結果が得られると、トークンを保存する保存部と、
前記トークンに基づき、複数のリソースに対する前記権限を付与する権限付与部と
を備えることを特徴とする。
前記承認者端末は、
前記権限を付与する手続に用いる手続情報を前記ユーザ端末に通知する通知部と、
前記情報処理装置による認証結果が成功であると、前記権限の付与を要求するリクエストを承認するか否かの操作を要求する承認要求を受け付けて、前記承認要求に対して承認する承認結果を前記情報処理装置に送る承認部とを備え、
前記ユーザ端末は、
前記手続情報を受け取る受信部と、
前記手続情報に基づき、前記リクエストを前記情報処理装置に送るリクエスト部とを備え、
前記情報処理装置は、
前記リクエストを受け取ると、前記認証結果を生成する認証部と、
前記認証結果が成功であると、前記承認要求を前記承認者端末に送る承認要求部と、
前記承認結果が得られると、トークンを保存する保存部と、
前記トークンに基づき、複数のリソースに対する前記権限を付与する権限付与部と
を備えることを特徴とする。
本発明によれば、情報処理システムのユーザ管理において、管理者、及び、ユーザの作業負荷を軽減できる。
以下、添付する図面を参照し、具体例を説明する。なお、実施形態は、以下に説明する具体例に限られない。
[全体構成例]
図1は、情報処理システムの全体構成例を示す図である。例えば、情報処理システム100は、承認者端末101、ユーザ端末102、及び、管理サーバ103等を有する。図1に示すように、情報処理システム100は、管理サーバ103に対して、通信ネットワークを介して、承認者端末101とユーザ端末102が接続されて構成される。
図1は、情報処理システムの全体構成例を示す図である。例えば、情報処理システム100は、承認者端末101、ユーザ端末102、及び、管理サーバ103等を有する。図1に示すように、情報処理システム100は、管理サーバ103に対して、通信ネットワークを介して、承認者端末101とユーザ端末102が接続されて構成される。
承認者端末101は、例えば、ユーザ202の上司201等が用いる。なお、承認者は、ユーザ202に対して、権限を付与できる立場であればよい。したがって、承認者は、ユーザ202が使用を希望するシステム、プロジェクトのリーダ、又は、サービスの管理者等でもよい。
ここで、管理サーバ103を含む情報処理システム100が利用される状況の一例を説明する。以下の記載における「ユーザ202」と「上司201」は、それぞれが利用可能に構成されている上記の端末(ユーザ端末102、及び、承認者端末101である。)を操作する操作者に相当する。
また、ユーザ202と上司201は、情報処理システム100を利用する組織内に所属する人物であって、上司201は、ユーザ202に対して、業務の指揮監督をすべき立場の者を想定する。
なお、ユーザ202と上司201が、同一の組織に所属しない場合も想定されるが、いずれの状況においても、上司201は、ユーザ202に対して情報処理システム100の利用権限の付与に関し、許諾又は不許諾の権限を有する者を想定している。
ユーザ端末102は、ユーザ202が用いる。すなわち、ユーザ202は、ユーザ端末102が表示する画面に対し、入力の操作を行う。
管理サーバ103は、社内の情報等を管理する。例えば、管理サーバ103は、データベース等の形式で情報を管理する。
なお、承認者端末101、ユーザ端末102、及び、管理サーバ103等は、1台の情報処理装置でなくともよい。すなわち、情報処理システム100において、各装置は、複数の装置で実現されてもよい。
[情報処理装置のハードウェア構成例]
図2は、情報処理装置の例を示す図である。図1にて示した承認者端末101、ユーザ端末102、及び、管理サーバ103のハードウェア構成について説明する。
図2は、情報処理装置の例を示す図である。図1にて示した承認者端末101、ユーザ端末102、及び、管理サーバ103のハードウェア構成について説明する。
承認者端末101、ユーザ端末102、及び、管理サーバ103のいずれも、周知の情報処理装置と同様のハードウェア構成である。本実施形態における承認者端末101、ユーザ端末102、及び、管理サーバ103は、いずれも図2に例示したハードウェア構成とする例で以下説明する。
本実施形態に係る承認者端末101、ユーザ端末102、及び、管理サーバ103は、例えば、Central Processing Unit(以下「CPU501」という。)、Read Only Memory(以下「ROM502」という。)、Random Access Memory(以下「RAM503」という。)、Hard Disk(以下「HD504」という。)、Hard Disk Driveコントローラ(以下「HDDコントローラ505」という。)、ディスプレイ506、外部機器接続Interface(以下「外部機器接続I/F508」という。)、ネットワークI/F509、バスライン510、キーボード511、ポインティングデバイス512、Digital Versatile Disk Rewritableドライブ(以下「DVD-RWドライブ514」という。)、及び、メディアI/F516を備える。
CPU501は、情報処理装置としての承認者端末101、ユーザ端末102、及び、管理サーバ103のそれぞれにおける動作を制御する。
ROM502は、IPL等のCPU501の駆動に用いられるプログラムを記憶する。
RAM503は、CPU501のワークエリアとして使用される。
HD504は、承認者端末101、ユーザ端末102、及び、管理サーバ103において実行可能なコンピュータプログラムや、当該プログラムを実行するときに利用される設定情報などの各種データを記憶する。
HDDコントローラ505は、CPU501の制御にしたがってHD504に対する各種データの読み出し又は書き込みを制御する。
ディスプレイ506は、カーソル、メニュー、ウィンドウ、文字、又は、画像等の各種情報を表示する。
外部機器接続I/F508は、各種の外部機器を接続するためのインターフェースである。例えば、外部機器は、USB(Universal Serial Bus)メモリ、又は、プリンタ等である。
ネットワークI/F509は、通信ネットワークを利用してデータ通信をするためのインターフェースである。
バスライン510は、CPU501等の各構成要素を電気的に接続するためのアドレスバス、及び、データバス等である。
また、キーボード511は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。
ポインティングデバイス512は、各種指示の選択実行、処理対象の選択、カーソルの移動等を行う入力装置の一種である。
DVD-RWドライブ514は、着脱可能な記録媒体の例であるDVD-RW513に対する各種データの読み出し、又は、書き込みを制御する。なお、記録媒体は、DVD-RWに限らず、DVD-R等であってもよい。
メディアI/F516は、フラッシュメモリ等の記録メディア515に対するデータの読み出し又は書き込み(記憶)を制御する。
なお、情報処理装置は、図示する以外の装置を内部、又は、外部に備えてもよい。
[全体処理例]
図3は、情報処理システム100において実行される全体処理の例を示す図である。以下、管理サーバ103が管理するデータベース等の社内リソース(社内のネットワークからの接続によって利用できるリソースである。)に対するアクセス権限を、ユーザ202が上司201に付与してもらうために、ユーザ202が上司201に対して行う権限付与依頼の処理の流れを例に説明する。
図3は、情報処理システム100において実行される全体処理の例を示す図である。以下、管理サーバ103が管理するデータベース等の社内リソース(社内のネットワークからの接続によって利用できるリソースである。)に対するアクセス権限を、ユーザ202が上司201に付与してもらうために、ユーザ202が上司201に対して行う権限付与依頼の処理の流れを例に説明する。
以下に説明する全体処理により、ユーザ202に対し、社内リソースへのアクセス権限が付与される。なお、アクセス権限は、社内リソースに対してアクセスする権限に限られず、上司201の承認の下で付与可能な処理手続を行う権限であってもよい。すなわち、本実施形態におけるアクセス権限とは、秘密に管理されている情報(例えば、これらの情報を示すデータベース、又は、ファイル等である。)に対する読み込み(r)、書き込み(w)、実行(x)、及び、これらの組み合わせ等である。
なお、権限は、情報へのアクセス権限の他、上司201の承認によりユーザ202に対して付与する権限であれば、上司201が承認する処理手続(処理内容)の実行権限等も含まれてよい。
ステップS0301では、承認者端末101は、権限を付与する手続に用いる情報(以下「手続情報」という。)をユーザ端末102に通知する。
手続情報は、権限の付与する手続にユーザ202が操作を行うサイト、及び、手続において入力が要求される情報等を示す。具体的には、手続情報は、管理サーバ103へのアクセス情報(例えば、Uniform Resource Locator(URL)形式等である。)、承認者に関する情報、及び、ユーザ端末102からの管理サーバ103に対するアクセスの許可等を含む。
なお、アクセス情報は、2次元バーコード等の形式で表示されるのが望ましい。このように、2次元バーコードが用いられると、スマートフォン等で管理サーバ103にアクセスするのが容易にできる。
ただし、手続情報は、上記の内容、及び、形式に限られない。すなわち、手続情報は、ユーザ202が権限を付与してもらう手続に使う情報等であれば、他の情報が含まれてもよい。
ステップS0302では、ユーザ端末102は、手続情報を受け取る。例えば、手続情報は、承認者端末101が発信元となり、ユーザ端末102が発信先となるメール等で通知される。
また、手続情報の通知は、最終的にユーザ端末102が発信先となれば経路は問わない。すなわち、手続情報の通知は、近距離通信等で承認者端末101からユーザ端末102に送られてもよいし、他の装置、又は、ネットワーク等を介して送られてもよい。
なお、承認者端末101は、手続情報を通知する前に、ユーザ端末102を認証してもよい。このように認証を行うと、ユーザ202に「なりすまし」をして権限を不正に取得されるのを防ぐことができる。
ステップS0303では、ユーザ端末102は、手続情報に基づき、権限の付与を要求するリクエスト(以下、単に「リクエスト」という。)を管理サーバ103に送る。
リクエストは、手続情報に基づいて、権限の付与を要求するのに送られる情報である。例えば、リクエストは、手続情報が示すサイトにユーザ端末102がアクセスすると送られる。
ステップS0304では、管理サーバ103は、認証を開始する。具体的には、管理サーバ103は、ユーザ202を認証するため、ユーザ端末102に情報等を入力させる入力画面を表示する。
ステップS0305では、ユーザ端末102は、認証に用いる情報を入力画面等で受け付けて、受け付けた情報を管理サーバ103へ送る。すなわち、ユーザ202は、情報等を入力画面等へ入力する操作を行う。このような操作で入力された情報に基づき、管理サーバ103は、ユーザ202の認証を開始する。
例えば、ユーザ202は、identification(ID)及びパスワード等を入力する。
ステップS0306では、管理サーバ103は、認証して認証結果を生成する。例えば、ID及びパスワードを用いる認証は、事前に管理サーバ103等に登録され、ID及びパスワードが完全一致すると、認証結果は「成功」となる。一方で、ID及びパスワードのうち、どちらか一方でも、完全に一致しない場合には、認証結果は「失敗」となる。このように、認証結果は、「成功」又は「失敗」を示すように生成される。
なお、認証は、ID及びパスワードを用いる以外で行ってもよい。例えば、認証は、生体情報等を用いてもよい。ゆえに、認証方法により、管理サーバ103は、認証方法に合わせて様々な種類の情報を利用してもよい。
また、認証は、Open ID Providerを用いるのが望ましい。したがって、認証は、管理サーバ103を介して認証に用いる情報がOpen ID Provider等に送られ、その後、管理サーバ103がOpen ID Providerから認証結果を受け取ってもよい。
ステップS0307では、管理サーバ103は、認証結果が成功であると(図において[認証が成功]の場合である。)、承認要求を承認者端末101に送る。
一方で、認証結果が失敗であると(図において[認証が失敗]の場合である。)、管理サーバ103は、全体処理を終了する。なお、管理サーバ103は、認証が失敗した通知をユーザ端末102に送る等をしてもよい。
承認要求は、リクエスト、すなわち、ユーザ202に権限を付与する処理を承認するか否かの操作を要求する情報である。なお、承認要求は、事前に設定する承認者に対して送られる。
ステップS0308では、承認者端末101は、承認要求に対し、リクエストを承認する承認結果を管理サーバ103に送る。なお、リクエストを承認しない操作がされると、承認結果が送られず、全体処理は終了する。
ステップS0309では、管理サーバ103は、承認結果が得られると、トークンを保存する。まず、トークンは、アクセストークン、又は、IDトークン等である。次に、トークンは、以下のように保存される。
図4は、トークンの保存例を示す図である。例えば、トークンは、データベース300のような形式で保存される。このように、トークンは、Structured Query Language(SQL)データベース等で管理される。なお、トークンは、図示する以外の形式で保存されてもよい。
ステップS0307による承認が成功すると、管理サーバ103は、データベース300等のように、トークンを保存する。
「トークン名」は、保存中のトークンを示す名称である。
「第1リソース」、及び、「第2リソース」は、承認されたリソースの名称である。リソースは、例えば、所定の場所への入退場権限、サービス、又は、サーバ等である。このように、リソースは、設備、ソフトウェア、情報、サービス、又は、これらの組み合わせ等である。
データベース300に例示するように、リソースは、例えば、Uniform Resource Locator(URL)形式で、リソースを使用する際のアクセス先を示して特定される。
データベース300は、「管理者」等の情報を含んでもよい。「管理者」は、各々のリソースを管理する権限を有するアカウント等を示す。
また、トークンは、所属するグループごとの単位で保存、及び、管理されてもよい。例えば、図示するように、第1グループ301、第2グループ302、及び、第3グループ303という3つのグループが事前に設定されているとする。
図示する例は、3つのグループのうち、第1グループ301に、データベース300が示すトークンを紐づけた例である。また、リソースは、グループごとに設定されてもよい。具体的には、図示する例では、第1グループ301に紐づけされると、「第1リソース」、「第2リソース」、及び、「第3リソース」の利用が可能となる。一方で、第2グループ302、及び、第3グループ303に紐づけされると、「第1リソース」、「第2リソース」、及び、「第3リソース」以外のリソースが利用可能等となる。
ステップS0310では、管理サーバ103は、権限を付与する。以降、ユーザ202は、社内リソースのうち、権限に基づいて認められたアクセス権等の範囲内で社内リソースを利用できる。
ステップS0311では、ユーザ端末102は、トークンを使ってリソースにアクセスする。すなわち、ユーザ端末102は、様々なシステム、又は、サービスが利用できる。
なお、ステップS0311は、トークンが保存された後であれば、他のタイミングで実行されてもよい。
[機能構成例]
図5は、機能構成例を示す図である。例えば、承認者端末101は、通知部411、及び、承認部412を備える。ユーザ端末102は、受信部421、及び、リクエスト部422を備える。管理サーバ103は、認証部431、承認要求部432、保存部433、及び、権限付与部434を備える。
図5は、機能構成例を示す図である。例えば、承認者端末101は、通知部411、及び、承認部412を備える。ユーザ端末102は、受信部421、及び、リクエスト部422を備える。管理サーバ103は、認証部431、承認要求部432、保存部433、及び、権限付与部434を備える。
通知部411は、手続情報をユーザ端末102に通知する通知手順を行う。例えば、通知部411は、ネットワークI/F509等で実現する。
承認部412は、認証部431による認証結果が成功であると、承認要求部432が送る承認要求を受け付けて、承認要求に対して承認する承認結果を管理サーバ103に送る承認手順を行う。例えば、承認部412は、ネットワークI/F509等で実現する。
受信部421は、手続情報を受け取る受信手順を行う。例えば、受信部421は、ネットワークI/F509等で実現する。
リクエスト部422は、手続情報に基づき、リクエストを管理サーバ103に送るリクエスト手順を行う。例えば、リクエスト部422は、ネットワークI/F509等で実現する。
認証部431は、リクエストを受け取ると、認証結果を生成する認証手順を行う。例えば、認証部431は、CPU501等で実現する。
承認要求部432は、認証部431による認証結果が成功であると、承認要求を承認者端末101に送る承認要求手順を行う。例えば、承認要求部432は、ネットワークI/F509等で実現する。
保存部433は、承認結果が得られると、トークンを保存する保存手順を行う。例えば、保存部433は、HD504等で実現する。
権限付与部434は、トークンに基づき、複数のリソースに対する権限を付与する権限付与手順を行う。例えば、権限付与部434は、CPU501等で実現する。
上記のような構成であると、トークンが保存された後であれば、トークンに基づいて、権限が付与される。ゆえに、ユーザ202は、複数のリソースに対し、個別に権限を付与しなくとも複数のリソースを利用できる。
一方で、リソースごとに権限を付与する構成であると、従業員の入れ替わり等が多くなると、管理者は、ユーザ情報を会社、又は、業務ごとに生成、及び、管理するため、作業負荷が増えやすい。ゆえに、管理者の作業負荷が大きくなる。また、ユーザは、権限ごとに申請をする作業を行う。したがって、ユーザも作業負荷が大きくなる。
これに対し、上記のような構成であると、管理者、及び、ユーザの作業負荷を軽減できる。
[第1変形例]
権限は、リソースごとに異なる粒度で設定されてもよい。すなわち、複数のリソースがあり、ユーザ202に対して、各々のリソースに常に同一の粒度で権限を一律に付与しない場合等がある。このような場合に対し、管理者、又は、承認者は、ユーザ202に対して、リソースごとに粒度を設定して、設定に基づき、承認又は権限の付与がされるのが望ましい。このように、粒度が設定できると、情報処理システム100は、柔軟な運用ができる。
権限は、リソースごとに異なる粒度で設定されてもよい。すなわち、複数のリソースがあり、ユーザ202に対して、各々のリソースに常に同一の粒度で権限を一律に付与しない場合等がある。このような場合に対し、管理者、又は、承認者は、ユーザ202に対して、リソースごとに粒度を設定して、設定に基づき、承認又は権限の付与がされるのが望ましい。このように、粒度が設定できると、情報処理システム100は、柔軟な運用ができる。
なお、粒度は、権限の種類、権限の強さ、又は、利用可能なサービスの種類等を設定できれば名称は問わない。
[第2変形例]
手続情報は、メールで通知されるのが望ましい。メールであると、汎用的なツールであるため、ユーザ端末102が専用のソフトウェアをインストールする等を行わなくとも扱える場合が多い。
手続情報は、メールで通知されるのが望ましい。メールであると、汎用的なツールであるため、ユーザ端末102が専用のソフトウェアをインストールする等を行わなくとも扱える場合が多い。
したがって、手続情報は、メールで伝えられる情報に限るのが望ましい。ゆえに、手続情報は、管理サーバ103へのアクセス情報、承認者に関する情報、及び、ユーザ端末102からの管理サーバ103に対するアクセスの許可等を含むのが望ましい。
このように、手続情報がメールで通知されると、ユーザ202の作業負荷が軽減できる。
[第3変形例]
情報処理システム100は、承認者端末101とは異なる情報処理装置を更に有してもよい。すなわち、ステップS0308に示す承認の操作、及び、承認結果の送信を承認者端末101に代理して行う情報処理装置(以下「代理端末」という。)等があってもよい。
情報処理システム100は、承認者端末101とは異なる情報処理装置を更に有してもよい。すなわち、ステップS0308に示す承認の操作、及び、承認結果の送信を承認者端末101に代理して行う情報処理装置(以下「代理端末」という。)等があってもよい。
代理端末は、承認者端末101に代わって、承認部412を備える。具体的には、代理端末は、承認者端末101に代わって承認要求部432が送る承認要求を受け付けて、承認要求に対して承認する承認結果を管理サーバ103に送る。
このように、代理端末等があると、上司201以外の人物でも承認の作業ができ、承認等の権限を上司201から別の人物に権限委譲ができる。
なお、承認部412は、承認者端末101、及び、代理端末の両方が備えてもよい。すなわち、情報処理システム100は、複数の承認者のうち、いずれかの承認者で承認される、又は、複数の承認者の全員に承認されると、ユーザ202に権限が付与される等の構成でもよい。
[第4変形例]
認証部431は、複数の要素で認証するのが望ましい。例えば、認証部431は、ID、及び、パスワードを要素とする認証とは異なる要素で認証し、複数の要素ですべて認証できた場合に、認証結果を成功とするのが望ましい。
認証部431は、複数の要素で認証するのが望ましい。例えば、認証部431は、ID、及び、パスワードを要素とする認証とは異なる要素で認証し、複数の要素ですべて認証できた場合に、認証結果を成功とするのが望ましい。
このように複数の要素で認証すると、1つの要素だけで認証する場合と比較して、セキュリティを高くすることができる。
[第5変形例]
承認要求部432は、トークンを取得してから所定期限が経過すると、リクエストの再送信をユーザ端末102に要求するのが望ましい。なお、所定期限は、事前に設定される。すなわち、トークンは、所定期限を経過すると無効とする。このように、トークンは、一定の期限内でのみ有効であるのが望ましい。
承認要求部432は、トークンを取得してから所定期限が経過すると、リクエストの再送信をユーザ端末102に要求するのが望ましい。なお、所定期限は、事前に設定される。すなわち、トークンは、所定期限を経過すると無効とする。このように、トークンは、一定の期限内でのみ有効であるのが望ましい。
ゆえに、所定期限が経過した後では、情報処理システム100は、リクエストの再送信、すなわち、リクエストからの操作を再度行うようにユーザ端末102に要求する。
トークンに基づいて長期間権限付与ができると、不正にトークンを利用して権限を不正に付与される可能性がある。一方で、一定の期限内に限定すると、不正にトークンが利用される可能性を低くできる。このように、トークンを有効とする期限があると、セキュリティを高くすることができる。
[その他の実施形態]
装置は、複数の装置であってもよい。すなわち、各装置は、複数の装置で分散、冗長、又は、並列に処理を行う構成等でもよい。一方で、各装置は、一体であってもよい。すなわち、上記に説明した複数の装置が1台の装置で実現されてもよい。
装置は、複数の装置であってもよい。すなわち、各装置は、複数の装置で分散、冗長、又は、並列に処理を行う構成等でもよい。一方で、各装置は、一体であってもよい。すなわち、上記に説明した複数の装置が1台の装置で実現されてもよい。
上記のような情報処理方法は、情報処理プログラムによって実現されてもよい。すなわち、情報処理プログラムは、コンピュータが備える演算装置、制御装置、及び、記憶装置等の装置を協働して動作させて、情報処理方法を実現する。また、情報処理プログラムは、コンピュータが読取可能な記録媒体、又は、電気通信回線等を介して配布されてもよい。
上記の実施形態は、好適な例を示したものであるが、当業者であれば、開示した内容から様々な変形例を実現することが可能である。そのような変形例も、特許請求の範囲に記載された技術的範囲に含まれる。
100 :情報処理システム
101 :承認者端末
102 :ユーザ端末
103 :管理サーバ
201 :上司
202 :ユーザ
411 :通知部
412 :承認部
421 :受信部
422 :リクエスト部
431 :認証部
432 :承認要求部
433 :保存部
434 :権限付与部
101 :承認者端末
102 :ユーザ端末
103 :管理サーバ
201 :上司
202 :ユーザ
411 :通知部
412 :承認部
421 :受信部
422 :リクエスト部
431 :認証部
432 :承認要求部
433 :保存部
434 :権限付与部
Claims (10)
- ユーザが用いるユーザ端末、前記ユーザ端末と接続する情報処理装置、及び、前記ユーザに付与する権限を承認する承認者が用いる承認者端末を有する情報処理システムであって、
前記承認者端末は、
前記権限を付与する手続に用いる手続情報を前記ユーザ端末に通知する通知部と、
前記情報処理装置による認証結果が成功であると、前記権限の付与を要求するリクエストを承認するか否かの操作を要求する承認要求を受け付けて、前記承認要求に対して承認する承認結果を前記情報処理装置に送る承認部とを備え、
前記ユーザ端末は、
前記手続情報を受け取る受信部と、
前記手続情報に基づき、前記リクエストを前記情報処理装置に送るリクエスト部とを備え、
前記情報処理装置は、
前記リクエストを受け取ると、前記認証結果を生成する認証部と、
前記認証結果が成功であると、前記承認要求を前記承認者端末に送る承認要求部と、
前記承認結果が得られると、トークンを保存する保存部と、
前記トークンに基づき、複数のリソースに対する前記権限を付与する権限付与部と
を備える情報処理システム。 - 前記権限は、
前記リソースごとに異なる粒度で設定される
請求項1に記載の情報処理システム。 - 前記手続情報は、
前記承認者端末から前記ユーザ端末にメールで通知され、
前記情報処理装置へのアクセス情報、前記承認者に関する情報、及び、前記ユーザ端末からの前記情報処理装置に対するアクセスの許可を含む
請求項1又は2に記載の情報処理システム。 - 前記アクセス情報は、
2次元バーコードで示す
請求項3に記載の情報処理システム。 - 前記承認者端末とは異なる情報処理装置が前記承認部を備える
請求項1乃至4のいずれか1項に記載の情報処理システム。 - 前記認証部は、
複数の要素で認証する
請求項1乃至5のいずれか1項に記載の情報処理システム。 - 前記承認要求部は、
前記トークンを保存してから所定期限が経過すると、前記リクエストを前記情報処理装置に送る再送信を前記ユーザ端末に要求する
請求項1乃至6のいずれか1項に記載の情報処理システム。 - 前記承認部は、
前記認証部による前記認証結果が成功であり、かつ、前記承認者が前記リクエストを承認する操作を行った場合に、前記承認結果を前記情報処理装置に送り、
前記リソースは、
設備、ソフトウェア、情報、サービス、又は、これらの組み合わせであり、
前記認証部は、
前記ユーザが入力するID及びパスワードが完全一致すると、成功とする前記認証結果を生成する
請求項1乃至7のいずれか1項に記載の情報処理システム。 - ユーザが用いるユーザ端末、前記ユーザ端末と接続する情報処理装置、及び、前記ユーザに付与する権限を承認する承認者が用いる承認者端末を有する情報処理システムが行う情報処理方法であって、
前記承認者端末が、前記権限を付与する手続に用いる手続情報を前記ユーザ端末に通知する通知手順と、
前記承認者端末が、前記情報処理装置による認証結果が成功であると、前記権限の付与を要求するリクエストを承認するか否かの操作を要求する承認要求を受け付けて、前記承認要求に対して承認する承認結果を前記情報処理装置に送る承認手順と、
前記ユーザ端末が、前記手続情報を受け取る受信手順と、
前記ユーザ端末が、前記手続情報に基づき、前記リクエストを前記情報処理装置に送るリクエスト手順と、
前記情報処理装置が、前記リクエストを受け取ると、前記認証結果を生成する認証手順と、
前記情報処理装置が、前記認証結果が成功であると、前記承認要求を前記承認者端末に送る承認要求手順と、
前記情報処理装置が、前記承認結果が得られると、トークンを保存する保存手順と、
前記情報処理装置が、前記トークンに基づき、複数のリソースに対する前記権限を付与する権限付与手順と
を含む情報処理方法。 - 請求項9に記載の情報処理方法を実行させるための情報処理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021141697A JP2023035086A (ja) | 2021-08-31 | 2021-08-31 | 情報処理システム、情報処理方法、及び、情報処理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021141697A JP2023035086A (ja) | 2021-08-31 | 2021-08-31 | 情報処理システム、情報処理方法、及び、情報処理プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2023035086A true JP2023035086A (ja) | 2023-03-13 |
Family
ID=85504902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021141697A Pending JP2023035086A (ja) | 2021-08-31 | 2021-08-31 | 情報処理システム、情報処理方法、及び、情報処理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2023035086A (ja) |
-
2021
- 2021-08-31 JP JP2021141697A patent/JP2023035086A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9288213B2 (en) | System and service providing apparatus | |
| US11962593B2 (en) | Identity management connecting principal identities to alias identities having authorization scopes | |
| US9311469B2 (en) | Authorization server system, control method thereof, and non-transitory computer-readable medium | |
| US9059988B2 (en) | Printing device capable of authorizing printing limitedly according to user level, printing system using the same and printing method thereof | |
| US7356704B2 (en) | Aggregated authenticated identity apparatus for and method therefor | |
| US9608972B2 (en) | Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output | |
| US9065828B2 (en) | System for delegation of authority, access management service system, medium, and method for controlling the system for delegation of authority | |
| US8789152B2 (en) | Method for managing authentication procedures for a user | |
| US8990896B2 (en) | Extensible mechanism for securing objects using claims | |
| US20100299738A1 (en) | Claims-based authorization at an identity provider | |
| US20100251353A1 (en) | User-authorized information card delegation | |
| US8632003B2 (en) | Multiple persona information cards | |
| KR20170067660A (ko) | 인가 서버, 인증 제휴 시스템 및 프로그램을 저장한 저장 매체 | |
| JP2009258820A (ja) | アカウント管理システム、アカウント管理装置、アカウント管理方法 | |
| CN103825874A (zh) | 图像形成装置及图像形成装置的控制方法 | |
| EP2112613A1 (en) | Restricted use information cards | |
| JP2017033339A (ja) | サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法 | |
| JPH09293036A (ja) | プリント処理装置 | |
| CN115118444A (zh) | 信息处理装置以及存储介质 | |
| US20230262045A1 (en) | Secure management of a robotic process automation environment | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| US20070079116A1 (en) | Method, system and computer program product for access control | |
| JPH0779243A (ja) | ネットワーク接続装置およびネットワーク接続方法 | |
| JP2023035086A (ja) | 情報処理システム、情報処理方法、及び、情報処理プログラム |