JP3545573B2 - Authentication / authority control system - Google Patents
Authentication / authority control system Download PDFInfo
- Publication number
- JP3545573B2 JP3545573B2 JP20248897A JP20248897A JP3545573B2 JP 3545573 B2 JP3545573 B2 JP 3545573B2 JP 20248897 A JP20248897 A JP 20248897A JP 20248897 A JP20248897 A JP 20248897A JP 3545573 B2 JP3545573 B2 JP 3545573B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- external
- authentication
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000013475 authorization Methods 0.000 claims description 38
- 238000013507 mapping Methods 0.000 claims description 23
- 238000012545 processing Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 229920006395 saturated elastomer Polymers 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
【0001】
【発明の属する技術分野】
本発明は,認証/権限制御システムに係り,特に,インターネット上に広域分散された端末装置からのログインに対する認証を行うことにより,情報提供サーバ上の操作権限の制御を行う認証/権限制御システムに関するものである。
【0002】
【従来の技術】
従来,インターネット上に広域分散された任意の端末装置からユーザが所望の情報提供サーバにログインして,その情報提供サーバ内に格納された情報資源を取得したり,その情報資源に変更を加えたりする際には,ユーザが端末装置側から情報提供サーバ側にユーザ名やパスワードなどの認証情報を送信し,その認証情報に基づいて情報提供サーバ側がそのユーザのアクセス権限を評価し,ユーザは情報提供サーバに許可された範囲内で情報提供サーバの情報資源に対して所定のアクセスを行っていた。
【0003】
図6に,従来の認証/権限制御システムの概略構成を示す。図示のように,認証/権限制御システムは,広域分散された端末装置101−1,101−2,…101−nと,これらの端末装置と一般電話回線などで接続された情報提供サーバ110とから構成されている。
【0004】
端末装置(ユーザ)101は,情報提供サーバ110にログインし,ユーザが所望する情報資源を取得したり,情報提供サーバ110上での所定のプログラム実行を要求するための装置である。情報提供サーバ110は,単一の装置ではなく,情報提供部111,権限制御部112,ユーザ管理部113及び二次記憶装置114から構成されている。なお,各構成要素は,必ずしも単一の装置内に存在する必要はなく,それぞれ別の装置として構成し,所定のデータ伝送装置で相互接続することも可能である。
【0005】
まず,情報提供部111は,任意の端末装置101を利用してのユーザからのログイン要求や情報取得要求を受け付ける装置である。権限制御部112は,ユーザからのログイン要求に対して各ユーザ毎に許可されたアクセス権限を調査し,許可された情報資源に対してのみアクセスを可能とする装置である。ユーザ管理部113は,ユーザ管理情報,すなわち各ユーザに関する情報,認証用の情報(例えば,ユーザ名,パスワード等),権限情報(どの情報資源及びプログラムに対してアクセス可能かを記述した情報)などを登録して管理する装置である。さらに,二次記憶装置114は,情報提供サーバがユーザに提供する情報資源やプログラムを格納する記憶装置である。
【0006】
次に,上記のような認証/権限制御システムにおいて,ユーザが端末装置101から情報提供サーバ110にアクセスし,目的の情報を取得するまでの動作について説明する。
【0007】
(1)サーバログイン
ユーザは,自己の端末装置101からユーザ名やパスワードなどに代表される認証に必要な情報を,アクセスしたい情報提供サーバ110に送信してログインを行う。
【0008】
(2)認証要求
ユーザからのログインを受けて,情報提供サーバ110の情報提供部111は,ユーザから送信された認証情報を権限制御部112に送り,その認証を依頼する。
【0009】
(3)認証実行
権限制御部112は,送られた認証情報に基づいて,ユーザ管理部113にアクセスし,認証に必要なユーザ管理情報の取得を行い,ログインしてきたユーザが正規ユーザであるか否かを確認し,その結果を情報提供部111に戻す。
【0010】
(4)認証完了
情報提供部111は,権限制御部112から送られてきた認証結果を受け取り,その結果をユーザの端末装置110に返送する。
【0011】
(5)情報要求
ユーザは端末装置110において,アクセスが許可されたかどうかを確認し,アクセスが許可された場合には,取得したい情報資源を情報提供部111に対して要求する。
【0012】
(6)認可要求
情報提供部111は,ユーザの端末装置111からの情報取得要求を受け取り,その情報要求の内容を権限制御部112に送信する。
【0013】
(7)認可検証実行
権限制御部112は情報要求の内容を受け取り,ユーザ管理部113に再びアクセスし,そこに格納されているユーザ管理情報から,情報要求元のユーザがその情報資源を取得する権限を有するかどうか検証する。そして,ユーザが必要な権限を有していると判断した場合には,ユーザ要求してきた情報資源を二次記憶装置114から取得して,その情報資源を情報提供部111に提供する。
【0014】
(8)情報提供
情報提供部111は,権限制御部112からユーザが要求した情報資源を受け取り,ユーザ端末110に送信して,一連の処理を終了する。
【0015】
【発明が解決しようとする課題】
上記のように構成された従来の認証/権限制御方法では,ユーザの情報提供サーバへのアクセス権限は,ログイン時と情報要求時と少なくとも2回の検証を受ける必要があるため,大量のユーザを抱える情報提供サーバでは,ピーク時に権限制御部の処理能力が飽和し,ユーザへの情報提供速度が低下するという問題があった。
【0016】
また,大量のユーザへの情報提供速度を上げようとすれば,記憶装置の大容量化及び権限制御部などの演算装置の高速化や装置の多重化が避けられず,コスト増につながるという問題があった。
【0017】
さらに,情報提供サーバのコア部分へのアクセス権限を有するスーパーユーザが情報提供サーバにアクセスしようとした場合であっても,一般ユーザと同様の手順を踏まなければならないため,効率が悪く,特に緊急にメンテナンスが必要な場合には問題であった。
【0018】
本発明は,上記のような従来の認証/権限制御装置がかかえる問題点に鑑みて成されたものであり,大量のユーザを抱える情報提供サーバであっても,ユーザの認証/権限情報を効率よく管理することにより,必要な情報資源を各ユーザに効率的に提供することが可能な,新規かつ改良された認証/権限制御システムを提供することを目的としている。
【0019】
さらに本発明の別の目的は,従来のシステムのユーザ管理情報資源をそのまま利用し,また新たに必要となる設備を最小限に抑えて,大量のユーザへの情報提供システムを構築することが可能な,新規かつ改良された認証/権限制御システムを提供することである。
【0020】
さらにまた本発明の別の目的は,情報提供サーバへのアクセス権限のレベルに柔軟に対応し,例えばスーパーユーザが一般ユーザよりもアクセスし易い環境を整えることにより,メンテナンス作業などを容易に行うことが可能な,新規かつ改良された認証/権限制御システムを提供することである。
【0021】
【課題を解決するための手段】
上記課題を解決するために,本発明によれば,例えばインターネット上で広域分散された端末からの外部ユーザのアクセスに対して認証を行うことにより情報提供サーバ上での操作権限を制御する認証/権限制御システムが提供される。そして,この認証/権限制御システムは,請求項1によれば,外部ユーザに関する外部ユーザ情報を個別に登録し管理する外部ユーザ管理部と,アクセス権限に応じて内部で予め定義づけらる内部ユーザに関する内部ユーザ情報を登録し管理する内部ユーザ管理部と,外部ユーザ情報と内部ユーザ情報との写像を作成する権限写像部と,外部ユーザに提供される情報資源を格納する記憶装置と,外部ユーザからの情報取得要求を受けて権限写像部においてその外部ユーザを対応する内部ユーザに変換し変換された内部ユーザのアクセス権限に応じて記憶装置から情報資源を取得してその情報資源を外部ユーザに提供する情報提供部とを備えたことを特徴としている。
【0022】
かかる構成によれば,大量の外部ユーザを少数の内部ユーザに変換して処理を行うので,大量の外部ユーザがアクセスしてきた場合でも,システム内部の処理を効率化することができ,情報提供速度を向上させることができる。また,一旦,外部ユーザが内部ユーザに変換されれば,情報提供サーバ内では,その内部ユーザのアクセス権限に応じた処理が行われるので,外部ユーザ側にはログイン時の一次認証のみですべての処理が行われているように映り,ユーザインタフェースに優れた情報提供サービスシステムを提供することができる。さらにまた,一般ユーザからのアクセスとスーパーユーザからのアクセスとを区別して管理することが可能となるので,システムのメンテナンス時などの効率化を図ることができる。
【0023】
上記認証/権限制御システムにおいては,内部ユーザを,情報資源に対するアクセス権限に応じて段階的に作成すれば,大量の外部ユーザを少数の内部ユーザに効率的に変換することができる。
【0024】
上記認証/権限制御システムにおいて,外部ユーザの情報取得要求に応じてそのつど新規の内部ユーザを動的に作成し,権限写像において,その外部ユーザと新規の内部ユーザとの写像を作成し,情報提供部により,その新規の内部ユーザのアクセス権限に応じて記憶装置から情報資源を取得して,その情報資源を外部ユーザに提供するように構成しても良い。
【0025】
あるいはまた,上記認証/権限制御システムにおいて,新規の外部ユーザに関する外部ユーザ情報の登録時に,その外部ユーザの変換先の内部ユーザも登録し管理することにより,外部ユーザのアクセス時に自動的に予め登録された内部ユーザに変換するように構成しても良い。
【0026】
さらに,上記認証/権限制御システムにおいて,外部ユーザのログイン時に,外部ユーザ管理部で管理される外部ユーザ情報を参照して,外部ユーザのログインの一次認証を行う外部ユーザ認証部をさらに設け,その外部ユーザ認証部において大量の外部ユーザの一次認証を高速に処理することが可能となり,内部システムへの負担を軽減することが可能となり,さらに高速の情報提供サービスシステムを構築することができる。
【0027】
【発明の実施の形態】
以下に,添付図面を参照しながら,本発明にかかる認証/権限制御システムの好適な実施形態について詳細に説明することにする。
【0028】
(第1の実施形態)
まず図1を参照しながら,本発明の第1の実施形態にかかる認証/権限制御システムの概略構成について説明すると,この認証/権限制御システムは,例えばインターネット上で,広域分散された端末装置10−1,10−2,…10−nと,これらの端末と一般電話回線などで接続された情報提供サーバ15とから構成されている。
【0029】
端末装置10は,例えば通信機能付きのパーソナルコンピュータや携帯端末のように,情報提供サーバ15にログインし,ユーザが所望する情報を取得したり,情報提供サーバ15上での所定のプログラム実行を要求するための装置である。情報提供サーバ15は,本実施の形態によれば,外部情報提供サーバ20と内部情報提供サーバ30とから構成されている。
【0030】
まず,外部情報提供サーバ20は,広域分散された端末10からアクセスされるサーバであり,外部に公開されているものである。具体的には,外部情報提供サーバ20は,情報提供部21,外部ユーザ認証部22,外部ユーザ管理部23及び権限写像部24から構成されている。なお,各構成要素は,必ずしも単一の装置内に存在する必要はなく,それぞれ別の装置として構成し,所定のデータ伝送装置で相互接続することも可能である。
【0031】
情報提供部21は,外部ユーザがインターネット上に存在する任意の端末装置10を利用して送ってきた,ログイン要求や情報取得要求を受け付ける装置である。外部ユーザ管理部23は,外部ユーザに関する情報を登録し管理する装置であり,そこには外部ユーザ管理情報,すなわち各外部ユーザに関する個人情報,ログイン時の一次認証用の情報(例えば,ユーザ名,パスワード等),権限情報(どの情報及びプログラムに対してアクセス可能かを記述した情報)などが格納されて管理される。外部ユーザ認証部22は,外部ユーザからのログイン要求に対して,外部ユーザ管理部23において各外部ユーザ毎に管理されている外部ユーザ情報を参照して,ログインしてきた外部ユーザが正規ユーザか否かの一次認証を行う装置である。さらに,権限写像部24は,外部ユーザ管理部23において登録管理される外部ユーザ情報と後述する内部ユーザ管理部31において登録管理される内部ユーザ情報との写像を作成する装置である。
【0032】
次に,内部情報提供サーバ30は,既存の社内の情報システム内で独自システムによって管理されている情報提供サーバであり,本格的なユーザ管理やアクセス権の管理が可能なシステムから構築されている。具体的には,内部情報提供サーバ30は,段階的なアクセス権限に応じて内部で予め定義づけられる内部ユーザに関する内部ユーザ情報を登録し管理する内部ユーザ管理部31と,ログインしてきた正規の外部ユーザに対してそのアクセス権限に応じて提供される,各種コンテンツやプログラムなどの情報資源が格納されたハードディスクなどの大容量記憶装置から成る二次記憶装置32とから主に構成されている。
【0033】
本発明の第1の実施形態にかかる認証/権限制御システムは,上記のように構成されている。次に図2を参照しながら,この認証/権限制御システムの動作について説明するが,その前に,本発明の理解を容易にするために,本発明の基本的コンセプトについて説明する。
【0034】
昨今,インターネット上には様々な情報提供サービスが存在しており,各ユーザ(端末装置)は所望の情報提供サーバにアクセスして,そのアクセス権限に応じた情報資源を取得している。また,情報提供サーバ側では,ユーザのログインを受けると,そのユーザのログインを認証するとともにアクセス権限を調査し,許可されたアクセス権限に応じた情報をユーザに提供している。しかも,かかる認証/権限処理は各ユーザ(端末装置)ごとに個別に行う必要があるため,大量のユーザ(端末装置)を抱える場合には,情報提供サーバ側で認証/権限処理を実時間で処理できず,サービスの質が低下するという深刻な問題を抱えていた。
【0035】
しかしながら,発明者の知見によれば,大量のユーザ(端末装置)が存在していたとしても,各ユーザ(端末装置)ごとに権限制御が異なることは希であり,大多数の一般ユーザ(端末装置)に対しては同一の権限制御を行えば十分である。仮に各ユーザごとに異なる権限制御可能であっても,管理コストの面から大多数の一般ユーザ(端末装置)に対しては同一の権限制御を行っているのが実状である。
【0036】
本発明は,インターネットを利用した情報提供サービスが有する上記特質に鑑みて成されたものであり,大量の外部ユーザを権限写像部24において必要最低限の数の内部ユーザに変換することにより,どんなに大量の外部ユーザが存在していても,少数の内部ユーザが内部情報提供サーバ30にアクセスするという擬似的アクセス環境を作り出すことにより,認証/権限処理の効率化を図ることをその要旨としている。なお,外部ユーザを内部ユーザに変換する写像については,その写像規則を任意に設定することが可能であり,例えば,アクセス権限の段階(例えば,外部ユーザには,外部に解放されているコンテンツを利用するだけの一般ユーザや,内部のシステムプログラムの変更まで許可されたスーパーユーザなど各種段階のユーザが損z内する。)に応じた数の内部ユーザを作成することが可能である。
【0037】
上記のような本願発明の基本コンセプトを念頭において,図2を参照しながら,この認証/権限制御システムの動作について説明する。まず,外部ユーザは,インターネット上の端末装置10を用いて,必要な情報資源名(r01)と外部ユーザのユーザ名(u01)とパスワード(p01)を情報提供部21に送信して,情報提供サーバ15の外部情報提供サーバ20にログインする(ステップS101)。
【0038】
かかる外部ユーザのログインを受けて,外部情報提供サーバ20の情報提供部21は,ログインしてきた外部ユーザのユーザ名(u01)とパスワード(p01)を外部ユーザ認証部22に転送し,ユーザ認証を委託する(ステップS102)。
【0039】
外部ユーザ認証部22は,外部ユーザ管理部23において管理される外部ユーザ情報を参照して,ログインしてきた外部ユーザが正規ユーザかどうかの認証を行う(ステップS103)。外部ユーザ認証部22は,その認証が否定的である場合にはNG信号を情報提供部21に戻して,ログインしてきた外部ユーザのアクセスを拒否する(ステップS104)。これに対して,外部ユーザ認証部22は,その認証が肯定的である場合にはOK信号を情報提供部21に戻す。
【0040】
情報提供部21は,OK信号を受けて,権限写像部24に認証を受けた外部ユーザを内部ユーザに変換するように委託する。権限写像部24は,図3に示すようなユーザ対応表に基づいて,認証された外部ユーザに対応する内部ユーザに変換し,その内部ユーザ名(u02)及び内部ユーザパスワード(p02)を情報提供部21に戻す(ステップS105)。なお,本実施の形態においては,外部ユーザの登録時に,図3に示すように,その外部ユーザのアクセス権限に応じた変換先の内部ユーザに関する情報,すなわちその内部ユーザ名(u02)及び内部ユーザパスワード(p02)についても,外部ユーザ名(u01)と関連づけられて登録されているものとする。
【0041】
情報提供部21は,外部ユーザから変換された内部ユーザの内部ユーザ名(u02)及び内部ユーザパスワード(p02)により内部情報提供サーバ30の内部ユーザ管理部31に再ログインする。かかる再ログイン処理は,通常は,外部ユーザには隠蔽される。もちろん,必要に応じて(例えば,外部ユーザがスーパーユーザである場合),外部ユーザに透明になるように構成しても良い。
【0042】
内部ユーザによるログインを受けると,内部ユーザ管理部31は,その内部ユーザの内部ユーザ名(u02)及び内部ユーザパスワード(p02)が内部情報サーバ30にログイン可能なものであるかどうかを判定する(ステップS106)。そして,そのログインが認められないものである場合には,NG信号を情報提供部21に戻して,ログインしてきた外部ユーザのアクセスを拒否する(ステップS107)。これに対して,内部ユーザ管理部31は,そのログインが認められるものである場合には,OK信号を情報提供部21に戻す。
【0043】
情報提供部21は,OK信号を受けて,内部ユーザ管理部31に外部ユーザ(ただし,現在は内部ユーザに変換されている。)から要求された情報資源名(r01)を内部ユーザ管理部31に送る。内部ユーザ管理部31は,ログインしてきた内部ユーザがその情報資源(r01)にアクセス権限があるかどうかを判断する(ステップS108)。そして,その内部ユーザがその情報資源(r01)に対するアクセス権限が無い場合には,その旨を情報提供部21に戻すとともに,内部情報サーバ30からログオフし,外部ユーザからのアクセスを拒否する(ステップS109)。これに対して,その内部ユーザがその情報資源(r01)に対するアクセス権限を有している場合には,その情報資源(r01)から取得して,情報提供部21に送った後,内部情報サーバ30からログオフする(ステップS110)。
【0044】
情報提供部21は,以上のような認証/権限処理の結果,要求された情報資源を取得できた場合には,ログインしてきた外部ユーザに対して,その情報資源を戻し,一連の処理を終了する(ステップS111)。
【0045】
以上説明したように,本発明の第1の実施形態にかかる認証/権限制御システムにおいては,外部ユーザがログインしてくるごとに外部情報提供サーバ20において動的に内部ユーザが作成され,その内部ユーザに認められるアクセス権限に応じて内部情報提供サーバ30から必要な情報資源を取得できるように構成したので,大量の外部ユーザが少数の内部ユーザに変換され,アクセス権限の段階に応じた効率的な情報資源に対するアクセスが可能となり,高速の情報提供サービスシステムを構築することができる。
【0046】
また,一旦,外部ユーザが内部ユーザに変換されれば,内部情報提供サーバ内では,その内部ユーザのアクセス権限に応じた処理のみが行われるので,外部ユーザ側にはログイン時の一次認証のみですべての処理が行われているように映り,ユーザインタフェースに優れた情報提供サービスシステムを構築できる。
【0047】
(第2の実施形態)
次に,図4を参照しながら,本発明の第2の実施形態にかかる認証/権限制御システムについて詳細に説明する。なお,この第2の実施形態にかかる認証/権限制御システムの基本的構成については,図1に関連して説明した第1の実施形態にかかる認証/権限制御システムの構成と実質的に同一なので,実質的に同一な機能構成要素については,同一の参照番号を付することにより重複説明を省略する。
【0048】
この第2の実施形態に特徴的な点は,外部ユーザの登録時にその外部ユーザに対応する内部ユーザについての登録をも行っていた第1の実施形態の場合と異なり,外部ユーザがログインして来るたびに,動的に新規の内部ユーザを作成する点である。
【0049】
以下,図4を参照しながら,第2の実施形態にかかる認証/権限制御システムの動作について説明する。まず,外部ユーザは,インターネット上の端末装置10を用いて,必要な情報資源名(r01)と外部ユーザのユーザ名(u01)とパスワード(p01)を情報提供部21に送信して,情報提供サーバ15の外部情報提供サーバ20にログインする(ステップS201)。
【0050】
かかる外部ユーザのログインを受けて,外部情報提供サーバ20の情報提供部21は,ログインしてきた外部ユーザのユーザ名(u01)とパスワード(p01)を外部ユーザ認証部22に転送し,ユーザ認証を委託する(ステップS202)。
【0051】
外部ユーザ認証部22は,外部ユーザ管理部23において管理される外部ユーザ情報を参照して,ログインしてきた外部ユーザが正規ユーザかどうかの認証を行う(ステップS203)。外部ユーザ認証部22は,その認証が否定的である場合にはNG信号を情報提供部21に戻して,ログインしてきた外部ユーザのアクセスを拒否する(ステップS204)。これに対して,外部ユーザ認証部22は,その認証が肯定的である場合にはOK信号を情報提供部21に戻す。
【0052】
情報提供部21は,OK信号を受けて,権限写像部24に認証を受けた外部ユーザを内部ユーザに変換するように委託する。権限写像部24は,図5に示すようなユーザ対応表に基づいて,認証された外部ユーザ名(u01)から,その外部ユーザ名(u01)に対応する内部ユーザ名(u02)及び内部ユーザパスワード(p02)を取得する(ステップS205)。さらに,権限写像部24は,内部情報提供サーバ30に再ログインするための新規の内部ユーザを動的に作成し,その内部ユーザ名(u02),内部ユーザパスワード(p02)及び内部ユーザアクセス権(a02)を情報提供部21に戻す(ステップS206)。なお,本実施の形態においては,内部ユーザは,外部ユーザのログオンのたびに動的に作成される。したがって,先の実施形態の場合とは異なり,外部情報管理部23において,各外部ユーザに対応する内部ユーザを登録し管理する必要がないので,外部情報管理部23におけるデータ処理をより高速化することができる。
【0053】
ここで,ステップS206において,新規の内部ユーザの作成に失敗した場合には,その旨を情報提供部21に戻して,その外部ユーザのアクセスを拒否する(ステップS207)。これに対して,ステップS206において,新規の内部ユーザの作成に成功した場合には,情報提供部21は,内部情報提供サーバ30の内部ユーザ管理部31に対して,新規に作成された内部ユーザ名(u02)で再ログインする(ステップS208)。この再ログイン処理は,先の実施形態と同様に,外部ユーザに隠蔽するように構成しても良いし,外部ユーザに透明になるように構成しても良い。
【0054】
新規に作成された内部ユーザによるログインを受けると,内部ユーザ管理部31は,その内部ユーザのアクセス権限(a02)が内部情報サーバ30にログイン可能なものであるかどうかを判定する(ステップS208)。そして,そのログインが認められないものである場合には,NG信号を情報提供部21に戻して,ログインしてきた外部ユーザのアクセスを拒否するとともに,その内部ユーザ名(u02)を消去する(ステップS209)。これに対して,内部ユーザ管理部31は,そのログインが認められるものである場合には,OK信号を情報提供部21に戻す。
【0055】
情報提供部21は,OK信号を受けて,内部ユーザ管理部31に外部ユーザ(ただし,現在は新規の内部ユーザに変換されている。)から要求された情報資源名(r01)を内部ユーザ管理部31に送る。内部ユーザ管理部31は,ログインしてきた内部ユーザがその情報資源(r01)にアクセス権限があるかどうかを判断する(ステップS210)。そして,その内部ユーザがその情報資源(r01)に対するアクセス権限が無い場合には,その旨を情報提供部21に戻すとともに,内部情報サーバ30からログオフし,その内部ユーザ名(u02)を消去するとともに,外部ユーザからのアクセスを拒否する(ステップS211)。これに対して,その内部ユーザがその情報資源(r01)に対するアクセス権限を有している場合には,その情報資源(r01)から取得して,情報提供部21に送った後,内部情報サーバ30からログオフし,不要となった内部ユーザ名(u02)を消去する(ステップS212)。
【0056】
情報提供部21は,以上のような認証/権限処理の結果,要求された情報資源を取得できた場合には,ログインしてきた外部ユーザに対して,その情報資源を戻し,一連の処理を終了する(ステップS213)。
【0057】
以上説明したように,本発明の第2の実施形態にかかる認証/権限制御システムにおいては,先の第1の実施形態にかかる認証/権限制御システムと同様の効果を奏することが可能となるとともに,外部ユーザのログインのたびに動的に内部ユーザを作成し,不要となった内部ユーザを削除するので,外部ユーザ管理部23における登録データ量を大幅に削減することが可能となり,処理の高速化を図ることができる。
【0058】
以上,添付図面を参照しながら本発明にかかる認証/権限制御システムの好適な実施形態について説明したが,本発明はかかる例に限定されない。当業者であれば,特許請求の範囲に記載された技術的思想の範疇内において,各種の変更例又は修正例に想到し得ることは明らかであり,それらについても当然に本発明の技術的範囲に属するものと了解される。
【0059】
【発明の効果】
本発明によれば,大量の外部ユーザを少数の内部ユーザに変換して処理を行うので,大量の外部ユーザがアクセスしてきた場合でも,システム内部的には少数の内部ユーザがログインする擬似的環境で認証/権限制御を行うので,内部的な処理の効率化を図ることが可能となり,情報提供速度を向上させることができる。
【0060】
また,一旦,外部ユーザが内部ユーザに変換されれば,情報提供サーバ内では,その内部ユーザのアクセス権限に応じた処理が行われるので,外部ユーザ側にはログイン時の一次認証のみですべての処理が行われているように映り,外部ユーザはストレスを感ぜずに情報提供サービスシステムを利用することができる。
【0061】
さらにまた,本発明によれば,一般ユーザからのアクセスとスーパーユーザからのアクセスとを区別して管理することが可能となるので,システムのメンテナンス時などの効率化を図ることができる。
【図面の簡単な説明】
【図1】本発明にかかる認証/権限制御システムの概略的な構成を示すブロック図である。
【図2】本発明の第1の実施形態にかかる認証/権限制御システムの概略的動作を示すフローチャートである。
【図3】本発明の第1の実施形態にかかる認証/権限制御システムにおいて参照される外部ユーザと内部ユーザとの写像関係を示す説明図である。
【図4】本発明の第2の実施形態にかかる認証/権限制御システムの概略的動作を示すフローチャートである。
【図5】本発明の第2の実施形態にかかる認証/権限制御システムにおいて参照される外部ユーザと内部ユーザとの写像関係を示す説明図である。
【図6】従来の認証/権限制御システムの概略的な構成を示すブロック図である。
【符号の説明】
10 端末装置(外部ユーザ)
15 情報提供サーバ
20 外部情報提供サーバ
21 情報提供部
22 外部ユーザ認証部
23 外部ユーザ管理部
24 権限写像部
30 内部情報提供サーバ
31 内部ユーザ管理部
32 二次記憶装置[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication / authority control system, and more particularly, to an authentication / authority control system that controls operation authority on an information providing server by performing authentication for login from terminal devices widely distributed on the Internet. Things.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, a user logs in to a desired information providing server from an arbitrary terminal device widely distributed on the Internet, obtains information resources stored in the information providing server, and modifies the information resources. In doing so, the user sends authentication information such as a user name and password from the terminal device to the information providing server, and the information providing server evaluates the user's access authority based on the authentication information. A predetermined access has been made to the information resources of the information providing server within the range permitted by the providing server.
[0003]
FIG. 6 shows a schematic configuration of a conventional authentication / authorization control system. As shown in the figure, the authentication / authorization control system includes a terminal device 101-1, 101-2,... 101-n which is widely distributed, and an
[0004]
The terminal device (user) 101 is a device for logging in to the
[0005]
First, the
[0006]
Next, in the above-described authentication / authority control system, an operation from a user accessing the
[0007]
(1) Server login
The user transmits information necessary for authentication represented by a user name and a password from his / her
[0008]
(2) Authentication request
Upon receiving the login from the user, the
[0009]
(3) Execute authentication
The
[0010]
(4) Certification completed
The
[0011]
(5) Information request
The user checks at the
[0012]
(6) Authorization request
The
[0013]
(7) Authorization verification execution
The
[0014]
(8) Information provision
The
[0015]
[Problems to be solved by the invention]
In the conventional authentication / authority control method configured as described above, the access authority of the user to the information providing server must be verified at least twice at the time of login and at the time of requesting information. The information providing server has a problem in that the processing capability of the authority control unit is saturated during peak hours, and the speed of providing information to the user is reduced.
[0016]
In addition, if an attempt is made to increase the speed of providing information to a large number of users, it is unavoidable to increase the capacity of a storage device, increase the speed of arithmetic devices such as an authority control unit, and multiplex devices, which leads to an increase in cost. was there.
[0017]
Furthermore, even if a super user who has access to the core of the information providing server attempts to access the information providing server, the same procedure must be followed as for a general user, resulting in poor efficiency, especially in emergency situations. This was a problem if maintenance was required.
[0018]
The present invention has been made in view of the above-mentioned problems of the conventional authentication / authorization control device, and even if the information providing server has a large number of users, the authentication / authorization information of the user can be efficiently transmitted. An object of the present invention is to provide a new and improved authentication / authority control system capable of efficiently providing a necessary information resource to each user by well managing.
[0019]
Further, another object of the present invention is to construct a system for providing information to a large number of users by using the user management information resources of the conventional system as it is and minimizing newly required facilities. It is to provide a new and improved authentication / authorization control system.
[0020]
Still another object of the present invention is to easily perform maintenance work and the like by flexibly responding to the level of access authority to the information providing server, for example, by providing an environment in which a super user can easily access than an ordinary user. And a new and improved authentication / authorization control system.
[0021]
[Means for Solving the Problems]
In order to solve the above-mentioned problems, according to the present invention, for example, authentication / authentication for controlling operation authority on an information providing server by performing authentication for access of an external user from a terminal widely distributed on the Internet. An authority control system is provided. According to the first aspect, the authentication / authorization control system includes an external user management unit that individually registers and manages external user information regarding an external user, and an internal user that is internally defined in advance according to access authority. Internal user information that registers and manages internal user information, an authority mapping unit that creates a mapping between external user information and internal user information, a storage device that stores information resources provided to external users, and an external user The external user is converted into the corresponding internal user in the authority mapping unit in response to the information acquisition request from the user and the information resource is obtained from the storage device according to the converted internal user access authority, and the information resource is provided to the external user. And an information providing unit to be provided.
[0022]
According to this configuration, since a large number of external users are converted into a small number of internal users for processing, even if a large number of external users access the system, the internal processing of the system can be made more efficient and the information provision speed can be increased. Can be improved. Also, once an external user is converted to an internal user, the information providing server performs processing in accordance with the access authority of the internal user. It appears as if the processing is being performed, and an information providing service system having an excellent user interface can be provided. Furthermore, since access from a general user and access from a super user can be managed separately, efficiency can be improved at the time of system maintenance or the like.
[0023]
In the above authentication / authority control system, 、 In If a group user is created step by step according to the access authority to the information resource, a large number of external users can be efficiently converted to a small number of internal users.
[0024]
In the above authentication / authority control system , Outside A new internal user is dynamically created in response to the information acquisition request of the internal user, a mapping between the external user and the new internal user is created in the authority mapping, and the new internal user is created by the information providing unit. An information resource may be acquired from a storage device according to the access authority of the user, and the information resource may be provided to an external user.
[0025]
Alternatively, in the above authentication / authority control system, ,new By registering and managing the internal user to which the external user is to be converted when registering the external user information on the external user, the system is configured such that when the external user accesses, the internal user is automatically converted to the pre-registered internal user. May be.
[0026]
Furthermore, in the above authentication / authorization control system, , Outside When an external user logs in, an external user authentication unit that performs primary authentication of the external user login by referring to the external user information managed by the external user management unit is further provided. The primary authentication can be processed at high speed, the load on the internal system can be reduced, and a higher-speed information providing service system can be constructed.
[0027]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, preferred embodiments of an authentication / authorization control system according to the present invention will be described in detail with reference to the accompanying drawings.
[0028]
(1st Embodiment)
First, a schematic configuration of an authentication / authorization control system according to a first embodiment of the present invention will be described with reference to FIG. 1. This authentication / authorization control system is, for example, a
[0029]
The
[0030]
First, the external information providing server 20 is a server accessed from the
[0031]
The
[0032]
Next, the internal information providing server 30 is an information providing server managed by a unique system in an existing in-house information system, and is constructed from a system capable of full-scale user management and access right management. . Specifically, the internal information providing server 30 includes an internal
[0033]
The authentication / authorization control system according to the first embodiment of the present invention is configured as described above. Next, the operation of the authentication / authorization control system will be described with reference to FIG. 2, but before that, the basic concept of the present invention will be described to facilitate understanding of the present invention.
[0034]
Recently, various information providing services exist on the Internet, and each user (terminal device) accesses a desired information providing server and acquires information resources according to the access authority. In addition, upon receiving the user's login, the information providing server authenticates the user's login, checks the access right, and provides the user with information according to the permitted access right. Moreover, since such authentication / authorization processing needs to be performed individually for each user (terminal device), if there are a large number of users (terminal devices), the information providing server performs the authentication / authorization processing in real time. There was a serious problem that the service could not be processed and the quality of service deteriorated.
[0035]
However, according to the knowledge of the inventor, even if a large number of users (terminal devices) exist, it is rare that authority control differs for each user (terminal device). It is sufficient to perform the same authority control on (device). Even if different authority control can be performed for each user, in reality, the same authority control is performed for the majority of general users (terminal devices) in terms of management cost.
[0036]
The present invention has been made in view of the above-mentioned characteristics of the information providing service using the Internet, and by converting a large number of external users into the minimum necessary number of internal users in the
[0037]
With the above-described basic concept of the present invention in mind, the operation of the authentication / authorization control system will be described with reference to FIG. First, the external user transmits the necessary information resource name (r01), the user name (u01) of the external user, and the password (p01) to the
[0038]
In response to the login of the external user, the
[0039]
The external
[0040]
The
[0041]
The
[0042]
Upon receiving the login by the internal user, the internal
[0043]
Upon receiving the OK signal, the
[0044]
If the requested information resource can be obtained as a result of the above authentication / authorization processing, the
[0045]
As described above, in the authentication / authorization control system according to the first embodiment of the present invention, each time an external user logs in, an internal user is dynamically created in the external information providing server 20 and the internal user is created. Since the required information resources can be acquired from the internal information providing server 30 according to the access authority granted to the user, a large number of external users are converted into a small number of internal users, and the efficiency according to the access authority stage is improved. This makes it possible to access information resources and to construct a high-speed information provision service system.
[0046]
Also, once an external user is converted to an internal user, only processing in accordance with the access authority of the internal user is performed in the internal information providing server. It appears that all processing is being performed, and an information providing service system with an excellent user interface can be constructed.
[0047]
(Second embodiment)
Next, an authentication / authorization control system according to a second embodiment of the present invention will be described in detail with reference to FIG. The basic configuration of the authentication / authorization control system according to the second embodiment is substantially the same as the configuration of the authentication / authorization control system according to the first embodiment described with reference to FIG. , Substantially the same functional components are denoted by the same reference numerals, and redundant description is omitted.
[0048]
A feature of the second embodiment is that, unlike the first embodiment in which the registration of an internal user corresponding to the external user is also performed at the time of registration of the external user, the external user logs in. The point is that a new internal user is dynamically created each time it comes.
[0049]
Hereinafter, the operation of the authentication / authorization control system according to the second embodiment will be described with reference to FIG. First, the external user transmits the necessary information resource name (r01), the user name (u01) of the external user, and the password (p01) to the
[0050]
In response to the login of the external user, the
[0051]
The external
[0052]
The
[0053]
Here, if the creation of a new internal user has failed in step S206, the fact is returned to the
[0054]
Upon receiving the login by the newly created internal user, the internal
[0055]
Upon receiving the OK signal, the
[0056]
If the requested information resource can be obtained as a result of the above authentication / authorization processing, the
[0057]
As described above, in the authentication / authorization control system according to the second embodiment of the present invention, it is possible to achieve the same effects as those of the authentication / authorization control system according to the first embodiment. Since the internal user is dynamically created each time an external user logs in and the unnecessary internal user is deleted, the amount of registered data in the external
[0058]
Although the preferred embodiment of the authentication / authorization control system according to the present invention has been described with reference to the accompanying drawings, the present invention is not limited to such an example. It is obvious that those skilled in the art can conceive various changes or modifications within the scope of the technical idea described in the claims, and it is obvious that the technical scope of the present invention can be conceived. It is understood that it belongs to.
[0059]
【The invention's effect】
According to the present invention, since a large number of external users are converted into a small number of internal users for processing, a pseudo environment in which a small number of internal users log in internally even when a large number of external users access the system. Since the authentication / authorization control is performed by the, the efficiency of the internal processing can be improved, and the information providing speed can be improved.
[0060]
Also, once an external user is converted to an internal user, the information providing server performs processing in accordance with the access authority of the internal user. It appears that the processing is being performed, and the external user can use the information providing service system without feeling stress.
[0061]
Furthermore, according to the present invention, it is possible to separately manage access from a general user and access from a super user, so that efficiency can be improved during system maintenance.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a schematic configuration of an authentication / authorization control system according to the present invention.
FIG. 2 is a flowchart illustrating a schematic operation of the authentication / authorization control system according to the first embodiment of the present invention.
FIG. 3 is an explanatory diagram showing a mapping relationship between an external user and an internal user referred to in the authentication / authority control system according to the first embodiment of the present invention.
FIG. 4 is a flowchart illustrating a schematic operation of an authentication / authorization control system according to a second embodiment of the present invention.
FIG. 5 is an explanatory diagram showing a mapping relationship between an external user and an internal user referred to in the authentication / authority control system according to the second embodiment of the present invention.
FIG. 6 is a block diagram showing a schematic configuration of a conventional authentication / authorization control system.
[Explanation of symbols]
10 Terminal device (external user)
15 Information server
20 external information providing server
21 Information Provision Department
22 External User Authentication Department
23 External User Management Department
24 Authority Mapping Department
30 Internal information server
31 Internal User Management Department
32 Secondary storage device
Claims (3)
外部ユーザに関する外部ユーザ情報を個別に登録し管理する外部ユーザ管理部と;
アクセス権限に応じて内部で予め定義づけられる内部ユーザに関する内部ユーザ情報を登録し管理する内部ユーザ管理部と;
前記外部ユーザ情報と前記内部ユーザ情報との写像を作成する権限写像部と;
外部ユーザに提供される情報資源を格納する記憶装置と;
外部ユーザからの情報取得要求を受けて,前記権限写像部においてその外部ユーザを対応する内部ユーザに変換し,変換された内部ユーザのアクセス権限に応じて,前記記憶装置から情報資源を取得して,その情報資源を前記外部ユーザに提供する情報提供部と;
を備え,
外部ユーザの情報取得要求に応じて新規の内部ユーザが動的に作成され,前記権限写像は前記外部ユーザと前記新規の内部ユーザとの写像を作成し,前記情報提供部は前記新規の内部ユーザのアクセス権限に応じて前記記憶装置から情報を取得してその情報を前記外部ユーザに提供することを特徴とする,認証/権限制御システム。An authentication / authorization control system for controlling operation authority on an information providing server by authenticating an external user access from a widely distributed terminal, comprising:
An external user management unit for individually registering and managing external user information regarding external users;
An internal user management unit that registers and manages internal user information regarding an internal user defined internally according to access authority;
An authority mapping unit that creates a mapping between the external user information and the internal user information;
A storage device for storing information resources provided to external users;
In response to an information acquisition request from an external user, the authority mapping unit converts the external user into a corresponding internal user, and acquires information resources from the storage device according to the converted internal user's access authority. An information providing unit for providing the information resource to the external user;
Equipped with a,
A new internal user is dynamically created in response to an external user's information acquisition request, the authority mapping creates a mapping between the external user and the new internal user, and the information providing unit includes the new internal user. An authentication / authorization control system, wherein information is acquired from the storage device in accordance with the access authority and the information is provided to the external user .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20248897A JP3545573B2 (en) | 1997-07-11 | 1997-07-11 | Authentication / authority control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20248897A JP3545573B2 (en) | 1997-07-11 | 1997-07-11 | Authentication / authority control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1131132A JPH1131132A (en) | 1999-02-02 |
| JP3545573B2 true JP3545573B2 (en) | 2004-07-21 |
Family
ID=16458340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP20248897A Expired - Fee Related JP3545573B2 (en) | 1997-07-11 | 1997-07-11 | Authentication / authority control system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3545573B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8365275B2 (en) | 2007-09-13 | 2013-01-29 | Ricoh Company, Ltd. | Image processing apparatus, session managing method and session managing program |
| US12189795B2 (en) | 2021-01-13 | 2025-01-07 | Wingarc1St Inc. | Chatbot control device and chatbot control method |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003085147A (en) | 2001-09-14 | 2003-03-20 | Fujitsu Ltd | Information processing system |
| JP4613512B2 (en) * | 2004-04-23 | 2011-01-19 | 富士ゼロックス株式会社 | Image processing apparatus, image processing apparatus management program, image processing apparatus management method, and information processing apparatus |
| JP5256097B2 (en) * | 2009-03-31 | 2013-08-07 | 株式会社日立ソリューションズ | Login processing apparatus, login processing method and program |
| WO2012132012A1 (en) | 2011-03-31 | 2012-10-04 | 富士通株式会社 | Management device, management program, and management method |
| CN114510727B (en) * | 2020-11-16 | 2025-08-01 | 浙江宇视科技有限公司 | Authority management method, device, electronic equipment and medium |
-
1997
- 1997-07-11 JP JP20248897A patent/JP3545573B2/en not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8365275B2 (en) | 2007-09-13 | 2013-01-29 | Ricoh Company, Ltd. | Image processing apparatus, session managing method and session managing program |
| US12189795B2 (en) | 2021-01-13 | 2025-01-07 | Wingarc1St Inc. | Chatbot control device and chatbot control method |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH1131132A (en) | 1999-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637214B (en) | Resource access method and device and electronic equipment | |
| JP4298969B2 (en) | Method and system for controlling the scope of delegation of authentication credentials | |
| KR101496329B1 (en) | Method and apparatus for adjusting device security level of a network | |
| US6519647B1 (en) | Methods and apparatus for synchronizing access control in a web server | |
| CN111416822B (en) | Method for access control, electronic device and storage medium | |
| US7114076B2 (en) | Consolidated technique for authenticating a user to two or more applications | |
| AU2003203708B2 (en) | Persistent authorization context based on external authentication | |
| US6327658B1 (en) | Distributed object system and service supply method therein | |
| CN112580006A (en) | Access right control method and device of multi-cloud system and authentication server | |
| CN101952830A (en) | Method and system for user authorization | |
| EP2321760B1 (en) | Representing security identities using claims | |
| CN107786571A (en) | A kind of method of user's unified certification | |
| CA2516718A1 (en) | Secure object for convenient identification | |
| WO2007115209A2 (en) | Identity and access management framework | |
| JP2728033B2 (en) | Security method in computer network | |
| CN102571874B (en) | On-line audit method and device in distributed system | |
| US9674177B1 (en) | Dynamic knowledge-based user authentication without need for presentation of predetermined credential | |
| CN108881218B (en) | Data security enhancement method and system based on cloud storage management platform | |
| JP4558402B2 (en) | Principal moves across security boundaries without service interruption | |
| CN100574194C (en) | Method and device for equipment safety management and maintenance | |
| CN101552775A (en) | Business management system | |
| JP3545573B2 (en) | Authentication / authority control system | |
| JP5177505B2 (en) | Intra-group service authorization method using single sign-on, intra-group service providing system using the method, and each server constituting the intra-group service providing system | |
| CN114884728B (en) | Security access method based on role access control token | |
| US20080066158A1 (en) | Authorization Decisions with Principal Attributes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040406 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040408 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080416 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090416 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100416 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100416 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110416 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110416 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130416 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140416 Year of fee payment: 10 |
|
| LAPS | Cancellation because of no payment of annual fees |