JP4240929B2 - Access control method in file management system - Google Patents
Access control method in file management system Download PDFInfo
- Publication number
- JP4240929B2 JP4240929B2 JP2002201872A JP2002201872A JP4240929B2 JP 4240929 B2 JP4240929 B2 JP 4240929B2 JP 2002201872 A JP2002201872 A JP 2002201872A JP 2002201872 A JP2002201872 A JP 2002201872A JP 4240929 B2 JP4240929 B2 JP 4240929B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- file management
- access
- web server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明はファイル管理システムにおけるアクセス制御方式に関し、特にWebベースのファイル管理システムにおける社内・社外ログイン時のアクセス制御方式に関する。
【0002】
【従来の技術】
今日では、インターネット等の技術進歩により社内・社外を問わず、また会社間の垣根を越えた共通のワークスペース(コーポレートウェアなど)が提供されており、そのニーズも拡大している。このように、ファイル管理システムなどにおけるシームレス化が進む一方で、セキュリティ面での強化がますます要求されている。
【0003】
ところで、従来のファイル管理システムにおけるアクセス制御方法としては、端末グループによってアクセス権を異ならしめたり(特開平02−282842参照)、時間帯に応じてアクセスの妥当性を変化させたり(特開平02−285439参照)、プレゼンテーションの内容を使用者によって抑止させたり(特開平03−154969参照)する各種の方法が知られていた。
【0004】
【発明が解決しようとする課題】
しかし、従来の技術では、ユーザが、社内からキャビネット,フォルダ,文書(ドキュメント)などのオブジェクトにアクセスする場合でも、社外からオブジェクトにアクセスする場合でも、同じセキュリティのレベルであり、特に社外からオブジェクトにアクセスする場合には社内からオブジェクトにアクセスする場合に比べてセキュリティ面での強化を行いたいという要請があっても行えないという問題点があった。その理由は、ファイル管理サーバでは、キャビネット,フォルダ,文書などのオブジェクト単位で権利認証(Authorization)に利用されるアクセス権を設定可能であったが、同一ユーザが社内から同一オブジェクトにアクセスした場合でも、社外から同一オブジェクトにアクセスした場合でも、オブジェクトに設定されるアクセス権情報が同じであったからである。
【0005】
本発明の目的は、Webベースのファイル管理システムにおいて、同一ユーザからの同一オブジェクトへのアクセスについて、社内からのアクセスであるか社外からのアクセスであるかに応じて、異なるアクセス権を設定可能なファイル管理システムにおけるアクセス制御方式を提供することにある。
【0006】
また、本発明の他の目的は、Webベースのファイル管理システムにおいて、同一ユーザによる同一オブジェクトへのアクセスであっても、社内からのアクセスであるか社外からのアクセスであるかに応じて、権利認証を異ならしめるようにしたファイル管理システムにおけるアクセス制御方法を提供することにある。
【0007】
【課題を解決するための手段】
本発明のファイル管理システムにおけるアクセス制御方式は、Webベースのファイル管理システムにおいて、クライアントからファイル管理サーバへのログインの要求時に、クライアントから受け取ったユーザIDがユーザ情報一覧テーブルに登録されているかどうかをチェックし、ユーザIDが登録されていたならばクライアントから受け取ったパスワードが前記ユーザ情報一覧テーブルにユーザIDに対応して登録されているパスワードと一致するかどうかをチェックし、パスワードが一致した場合には前記ユーザ情報一覧テーブルから該当ユーザのユーザ情報を取得してクライアントに返却する認証サーバと、対象オブジェクトを示すインスタンスID,前記認証サーバから得られたユーザ情報,およびログイン時にアクセスし経由したWebサーバのIPアドレスを前記ファイル管理サーバに渡すクライアントと、オブジェクト,およびオブジェクト毎のアクセス権情報を登録するデータベースと、利用可能Webサーバ設置情報テーブルとを備え、クライアントからのオブジェクトへのアクセス要求があったときに、前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得し、ユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索してユーザの対象オブジェクトへのアクセス権の有無を判定し、ユーザが対象オブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果を前記クライアントに送信するファイル管理サーバとを有することを特徴とする。
【0008】
また、本発明のファイル管理システムにおけるアクセス制御方式は、前記アクセス権情報が、少なくとも、ユーザを示す要求元と、ログイン時にアクセスし経由したWebサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報と、ユーザのオブジェクトへのアクセス権の有無とを含むことを特徴とする。
【0009】
さらに、本発明のファイル管理システムにおけるアクセス制御方式は、前記利用可能Webサーバ設置情報テーブルが、WebサーバのIPアドレスと、Webサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報とを含むことを特徴とする。
【0010】
一方、本発明のファイル管理システムにおけるアクセス制御方法は、クライアントがファイル管理サーバへのログイン時に認証サーバから認証結果としてユーザ情報を取得する工程と、クライアントがオブジェクトへのアクセス要求時に前記ユーザ情報およびログイン時にアクセスし経由したWebサーバのIPアドレスをファイル管理サーバに渡す工程と、ファイル管理サーバが利用可能Webサーバ設置情報テーブルに前記IPアドレスが登録されているかどうかを判定する工程と、前記IPアドレスが登録されているときにファイル管理サーバが前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、ファイル管理サーバがユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、ユーザがオブジェクトへのアクセス権を有しているときにファイル管理サーバが対象オブジェクトにアクセスしてアクセス結果をクライアントに送信する工程と、クライアントがファイル管理サーバからオブジェクトのアクセス結果を受信する工程とを含むことを特徴とする。
【0011】
他方、本発明のプログラムは、コンピュータに、ファイル管理サーバへのログイン時に認証サーバのから認証結果としてユーザ情報を取得する工程と、オブジェクトへのアクセス要求時に前記ユーザ情報およびログイン時にアクセスし経由したWebサーバのIPアドレスをファイル管理サーバに渡す工程と、ファイル管理サーバからオブジェクトのアクセス結果を受信する工程とを実行させることを特徴とする。
【0012】
また、本発明のプログラムは、コンピュータに、利用可能Webサーバ設置情報テーブルを参照してクライアントがログイン時にアクセスし経由したWebサーバのIPアドレスが登録されているかどうかを判定する工程と、前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信する工程とを実行させることを特徴とする。
【0013】
本発明は、ファイル管理サーバへのログイン時に経由する社内Webサーバまたは社外Webサーバの設置情報(ファイアウォール内・外の情報)を、ファイル管理サーバで行う権利認証の中で利用することを特徴とするものである。ユーザがクライアントから社内Webサーバを経由してファイル管理サーバにログインした場合にはアクセス対象のオブジェクト(以下、対象オブジェクトという)にアクセスすることができる一方、クライアントから社外Webサーバを経由してファイル管理サーバにログインした場合には対象オブジェクトにアクセスすることができないようにすることができる。このため、Webサーバの設置情報を、そのままユーザからのファイル管理サーバへのアクセス権情報の一部として利用する。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0015】
[第1の実施の形態]
図2は、本発明の第1の実施の形態に係るアクセス制御方式が適用されるファイル管理システムのシステム構成図である。このファイル管理システムは、ローカルエリアネットワーク(LAN)等でなる社内ネットワーク10と、社内ネットワーク10に接続された認証サーバ20と、社内ネットワーク10に接続されたファイル管理サーバ30と、社内ネットワーク10に接続されたWebサーバ(以下、社内Webサーバという)40と、社内ネットワーク10に接続されたファイアウォール50と、ファイアウォール50およびインターネット等の外部回線に接続されたWebサーバ(以下、社外Webサーバという)60と、社内Webサーバ40または社外Webサーバ60を経由してファイル管理サーバ30にログインする複数のクライアント70とから構成されている。
【0016】
図1を参照すると、認証サーバ20は、認証手段21と、ユーザ情報一覧テーブル22とを含んで構成されている。
【0017】
図3は、認証サーバ20で管理しているユーザ情報一覧テーブル22のデータ構造図を示す。ユーザ情報一覧テーブル22には、ファイル管理サーバ30にログインを許可されているユーザのユーザID(IDentification),ユーザ名,パスワード,所属部署ID,所属部署名などからなるユーザ情報が登録されて一括管理されている。
【0018】
図1を参照すると、ファイル管理サーバ30は、データベース31と、利用可能Webサーバ設置情報テーブル32とを含んで構成されている。
【0019】
データベース31は、キャビネット,文書等のオブジェクトをツリー状に階層的に保持しており、各オブジェクトは、アクセス権情報(A*)(*はワイルドカードであることを表す)を属性として持っている。各オブジェクト(インスタンス)は、データベース31上で登録時に自動生成される一意なインスタンスIDを持っており、オブジェクトを指定するにはインスタンスIDが用いられる。インスタンスIDは、クライアント70からファイル管理サーバ30に、ユーザ情報(P1),および社内Webサーバ40または社外Webサーバ60のIPアドレス(IP1)とともに渡される。図1の例では、データベース31は、”キャビネット”およびその配下に”文書D1”,”文書D2”,”文書D3”を含む。また、”文書D1”には、アクセス権情報A1が属性として登録されている(他のオブジェクトも同様)。
【0020】
図4を参照すると、アクセス権情報(A*)は、オブジェクト毎に1つの表で管理されており、ユーザ情報(P*)を用いた条件式の組み合わせ(AND条件,OR条件など)の形で設定が可能である。アクセス権情報(A*)は、要求元と、役職範囲と、設置情報と、アクセス権(参照権,更新権および削除権)の有無とを含む。要求元は、ユーザ,所属部署等を表す文字列である。役職範囲には、例えば、名前,所属部署名,勤務地,役職等が格納される。設置情報は、社内Webサーバ40または社外Webサーバ60のどちらを経由してファイル管理サーバ30にログインしたかという条件(0で社内Webサーバ40、1で社外Webサーバ60)である。アクセス権(参照権,更新権および削除権)の有無は、理解しやすいように○や×として表記しているが、データベース31上では数値として管理されている。
【0021】
ファイル管理サーバ30では、キャビネット,文書などの各オブジェクトに対する設定可能なアクセス権の種類として、参照権,更新権,削除権等が定義されている。例えば、クライアント70からあるオブジェクトの参照が要求された場合、ファイル管理サーバ30は、要求元のユーザが対象オブジェクトに対して参照権を有するかどうかを権利認証する。
【0022】
ファイル管理サーバ30は、社内Webサーバ40または社外Webサーバ60の設置情報をアクセス権情報の1つのカテゴリとして組み込むことにより、ユーザの対象オブジェクトへのアクセス時の権利認証の際には、経由した社内Webサーバ40または社外Webサーバ60の設置情報と適合するアクセス権情報(A*)のみが権利認証の対象となる(に切り分けられて判定される)。
【0023】
図5は、利用可能Webサーバ設置情報テーブル32のデータ構造を示す図である。利用可能Webサーバ設置情報テーブル32は、IPアドレスと、Webサーバがファイアウォール50内外のどちらに設置されているかの設置情報(0でファイアウォール50内、1でファイアウォール50外)とがレコードとして、ファイル管理サーバ30にログインする上で経由可能な社内Webサーバ40および社外Webサーバ60の数分だけ登録されている。ファイル管理サーバ30は、ユーザ情報およびIPアドレスと、利用可能Webサーバ設置情報テーブル32とに基づいてユーザのオブジェクトに対する権利認証を行う。
【0024】
ファイル管理サーバ30は、クライアント70から渡される経由WebサーバのIPアドレス(IP1)のみでは、ファイアウォール50内外のどちらに設置されているWebサーバを経由してログインしたかは判断できないので、ファイル管理サーバ30の利用可能Webサーバ設置情報テーブル32に設置情報をあらかじめ登録しておく。
【0025】
図6を参照すると、認証サーバ20におけるユーザ認証(Authentication)処理は、ユーザID登録判定ステップS101と、パスワード正否判定ステップS102と、ユーザ情報返却ステップS103とからなる。
【0026】
図7を参照すると、ファイル管理サーバ30における権利認証(Authorization)処理は、IPアドレス登録判定ステップS201と、設置情報取得ステップS202と、オブジェクト存在判定ステップS203と、ユーザアクセス権有無判定ステップS204と、オブジェクト返却ステップS205とからなる。
【0027】
次に、このように構成された第1の実施の形態に係るファイル管理システムにおけるアクセス制御方式の動作について説明する。
【0028】
(1) 認証サーバ20によるユーザ認証(Authentication)について
【0029】
ユーザは、ファイル管理サーバ30のオブジェクトにアクセスする前に、クライアント70から社内Webサーバ40または社外Webサーバ60を経由してファイル管理サーバ30にログインする必要がある。ユーザは、通常、社内ネットワーク10に接続されているクライアント70からファイアウォール50内に設置されている社内Webサーバ40を経由してファイル管理サーバ30にログインする。しかし、出張先や家庭などのクライアント70からファイル管理サーバ30にログインする場合には、ユーザは、ファイアウォール50外に設置されている社外Webサーバ60を経由した場合に限りファイル管理サーバ30にログイン可能である。ただし、ユーザが社内から社外Webサーバ60を経由してオブジェクトにアクセスすることは、ファイアウォール50で制限されていない限りは可能である。
【0030】
ユーザがクライアント70から社内Webサーバ40または社外Webサーバ60を経由してファイル管理サーバ30にログインする際に、認証サーバ20によるユーザ認証が行われる。
【0031】
詳しくは、ユーザは、クライアント70のログイン画面からユーザIDおよびパスワードを入力し、ファイル管理サーバ30へのログインを要求する。この際、クライアント70と認証サーバ20との通信が行われ、認証サーバ20によるユーザ認証が行われる。なお、クライアント70とファイル管理サーバ30との通信が行われるのは、クライアント70で、属性一覧の取得,更新画面での更新確定,キャビネット,フォルダなどの配下一覧の取得,対象の削除などの操作ボタンが押下された時点である。
【0032】
認証サーバ20は、まず、クライアント70から受け取ったユーザIDがユーザ情報一覧テーブル22に登録されているかどうかをチェックする(ステップS101)。ユーザIDが登録されていなければ、認証サーバ20は、エラーをクライアント70に返却する。
【0033】
ユーザIDが登録されていたならば、認証サーバ20は、クライアント70から受け取ったパスワードがユーザ情報一覧テーブル22にユーザIDと対応して登録されているパスワードと一致するかどうかをチェックする(ステップS102)。パスワードが一致しなかった場合、認証サーバ20は、エラーをクライアント70に返却する。
【0034】
パスワードが一致した場合には、認証サーバ20は、ユーザ情報一覧テーブル22から該当ユーザのユーザ情報(P1)を取得してクライアント70に返却し(ステップS103)、処理を終了する。
【0035】
ファイル管理サーバ30へのログインと同時にキャビネット一覧テーブル(図示せず)の取得が行われ、クライアント70の画面には、通常、ユーザ固有のキャビネット一覧テーブルが表示される。キャビネット一覧テーブルに表示されているオブジェクトは、ログインしたユーザがアクセス権を有しているもののみであり、キャビネット一覧テーブルに表示されているのは各オブジェクトの一部の属性のみである。
【0036】
(2) ファイル管理サーバ30における権利認証(Authorization)
【0037】
クライアント70の画面にユーザ固有のキャビネット一覧テーブル(図示せず)が表示された後、ユーザがクライアント70からオブジェクトへのアクセスを要求した場合、ファイル管理サーバ30は、要求元のユーザがアクセス対象のオブジェクト(以下、対象オブジェクトという)のアクセス権を有するかどうかを権利認証する。
【0038】
まず、クライアント70は、対象オブジェクトを示すインスタンスIDを、認証サーバ20から得られたユーザ情報,および社内Webサーバ40または社外Webサーバ60のIPアドレス(IP1)とともに、ファイル管理サーバ30に渡す。
【0039】
ファイル管理サーバ30は、ユーザ認証で取得されたユーザ情報(P1)と、経由した社内Webサーバ40または社外Webサーバ60のIPアドレス(IP1)とを元に、対象オブジェクトに対するユーザの権利認証を行う。
【0040】
ここで、ユーザH(ユーザ情報P1)が”文書D1”の参照を要求する場合を考える(図5参照)。”文書D1”には、要求元であるユーザHに関して、図5に示すようなアクセス権情報(A1)が属性として設定されているものとする。
【0041】
クライアント70で”キャビネット”配下のオブジェクト一覧を表示中(”文書D1”は一部の属性のみしか表示されていない)に、ユーザHが”文書D1”の参照要求を行うと(参照ボタンを押下すると)、クライアント70は、ユーザ情報(P1),および経由Webサーバ(社内Webサーバ40または社外Webサーバ60)のIPアドレス(IP1)をファイル管理サーバ30に渡す。
【0042】
ファイル管理サーバ30は、まず、クライアント70から渡された経由WebサーバのIPアドレス(IP1)が、利用可能Webサーバ設置情報テーブル32に登録されているかどうかを判定する(ステップS201)。
【0043】
IPアドレス(IP1)が利用可能Webサーバ設置情報テーブル32に登録されていれば、ファイル管理サーバ30は、経由WebサーバのIPアドレスに対応する設置情報(0でファイアウォール50内、1でファイアウォール50外)を取得する(ステップS202)。
【0044】
次に、ファイル管理サーバ30は、インスタンスIDにより”文書D1”がデータベース31上に存在するか否かをチェックする(ステップS203)。ファイル管理サーバ30は、データベース31上に存在するオブジェクトに対応する一覧テーブルを一括管理しており、インスタンスIDと一覧テーブルのデータとの比較処理を行う。
【0045】
”文書D1”がデータベース31上に存在する場合、ファイル管理サーバ30は、要求元のユーザHが”文書D1”の参照権を有しているかどうかの権利認証を行う(ステップS204)。詳しくは、ファイル管理サーバ30は、まず、”文書D1”のアクセス権情報(A1)を取得する。このとき、経由WebサーバのIPアドレスが利用可能Webサーバ設置情報テーブル32に登録されており、当該IPアドレスに対応する設置情報が0と判定されたとすれば、ファイル管理サーバ30は、「ユーザHに対して参照および更新が可能」という条件のみが権利認証の対象となる。したがって、この場合、ファイル管理サーバ30は、ユーザHが”文書D1”の参照権および更新権を有することを判定する。
【0046】
次に、ファイル管理サーバ30は、データベース31から文書D1およびその属性を取得し、クライアント70へ返却する(ステップS205)。
【0047】
クライアント70は、ファイル管理サーバ30から文書D1およびその属性を受信すると、これらを参照することができる。
【0048】
なお、上記動作の説明では、アクセスが参照である場合を例にとって説明したが、アクセスが更新および削除の場合であっても、ほぼ同様の動作となることはいうまでもない。
【0049】
また、オブジェクトを文書とした場合を例にとって説明したが、オブジェクトへのアクセス制御を、文書単位のみではなく、フォルダ単位やキャビネット単位でも行うことが可能であることをいうまでもない。
【0050】
このように、第1の実施の形態によれば、ファイル管理サーバ30へのログイン時に経由したWebサーバが社内に存在するか社外に存在するかを加味して権利認証を行う仕組みを設けることにより、同一ユーザからの同一オブジェクトへのアクセスについても、社内からアクセスしたか社外からアクセスしたかに応じて権利認証を異ならしめることができる。例えば、同一ユーザからの同一オブジェクトへのアクセスに関して、参照は社内からでも社外からでも可能とする一方、更新は社内からでなければ許可しないようにすることが可能となる。
【0051】
[第2の実施の形態]
図8は、本発明の第2の実施の形態に係るファイル管理システムにおけるアクセス制御方式の構成を示すブロック図である。本実施の形態に係るファイル管理システムにおけるアクセス制御方式は、図1に示した第1の実施の形態に係るファイル管理システムにおけるアクセス制御方式に対して、認証サーバ20に認証サーバプログラム200を備え、ファイル管理サーバ30にファイル管理サーバプログラム300を備えている点だけが異なっている。
【0052】
認証サーバプログラム200は、コンピュータである認証サーバ20に読み込まれ、当該認証サーバ20の動作を認証手段21およびユーザ情報一覧テーブル22として制御する。認証サーバプログラム200の制御による認証サーバ20の動作は、第1の実施の形態における認証サーバ20の動作と全く同様になるので、その詳しい説明を割愛する。
【0053】
また、ファイル管理サーバプログラム300は、コンピュータであるファイル管理サーバ30に読み込まれ、当該ファイル管理サーバ30の動作をデータベース31および利用可能Webサーバ設置情報テーブル32として制御する。ファイル管理サーバプログラム300の制御によるファイル管理サーバ30の動作は、第1の実施の形態におけるファイル管理サーバ30の動作と全く同様になるので、その詳しい説明を割愛する。
【0054】
【発明の効果】
第1の効果は、アクセス権として設定可能な条件の幅を広げることにより、多様化するユーザの利用局面に対応したアクセス制御機能が提供できることである。その理由は、ファイル管理サーバへのログイン時に経由したWebサーバが社内に存在するか社外に存在するかを加味して権利認証を行う仕組みを設けるようにしたからである。
【0055】
第2の効果は、それに伴いセキュリティ面での強化も図ることが可能であることである。その理由は、例えば、同一ユーザからの同一オブジェクトへのアクセスに関して、参照は社内からでも社外からでも可能とする一方、更新は社内からでなければ許可しないようにすることが可能であるからである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るファイル管理システムにおけるアクセス制御方式の構成を示すブロック図である。
【図2】第1の実施の形態に係るアクセス制御方式が適用されるファイル管理システムのシステム構成図である。
【図3】図1中の認証サーバで管理されるユーザ情報一覧テーブルのデータ構造図である。
【図4】図1中のデータベースで管理されるアクセス権情報のデータ構造図である。
【図5】図1中の利用可能Webサーバ設置情報テーブルのデータ構造図である。
【図6】図1中の認証サーバにおけるユーザ認証処理を示すフローチャートである。
【図7】図1中のファイル管理サーバにおける権利認証処理を示すフローチャートである。
【図8】本発明の第2の実施の形態に係るファイル管理システムにおけるアクセス制御方式の構成を示すブロック図である。
【符号の説明】
10 社内ネットワーク
20 認証サーバ
21 認証手段
22 ユーザ情報一覧テーブル
30 ファイル管理サーバ
31 データベース
32 利用可能Webサーバ設置情報テーブル
40 社内Webサーバ
50 ファイアウォール
60 社外Webサーバ
70 クライアント
200 認証サーバプログラム
300 ファイル管理サーバプログラム
S101 ユーザID登録判定ステップ
S102 パスワード正否判定ステップ
S103 ユーザ情報返却ステップ
S201 IPアドレス登録判定ステップ
S202 設置情報取得ステップ
S203 オブジェクト存在判定ステップ
S204 ユーザアクセス権有無判定ステップ
S205 オブジェクト返却ステップ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an access control method in a file management system, and more particularly to an access control method at the time of internal / external login in a Web-based file management system.
[0002]
[Prior art]
Today, with the advancement of technology such as the Internet, a common workspace (corporate wear, etc.) is being provided, both inside and outside the company, and beyond the boundaries between companies, and its needs are expanding. As described above, while file management systems and the like are becoming more seamless, there is an increasing demand for security enhancement.
[0003]
Incidentally, as an access control method in the conventional file management system, the access right is made different depending on the terminal group (refer to Japanese Patent Laid-Open No. 02-282842), or the validity of the access is changed according to the time zone (Japanese Patent Laid-Open No. 02-2009). 285439) and various methods for suppressing the contents of a presentation by a user (see Japanese Patent Laid-Open No. 03-154969) have been known.
[0004]
[Problems to be solved by the invention]
However, in the conventional technology, whether the user accesses an object such as a cabinet, a folder, or a document (document) from inside the company or accesses the object from outside the company, the security level is the same. When accessing, there is a problem that it cannot be performed even if there is a request to enhance the security compared to accessing the object from within the company. The reason is that the file management server can set access rights used for rights authorization (Authorization) in units of objects such as cabinets, folders, and documents, but even if the same user accesses the same object from within the company This is because even when the same object is accessed from outside the company, the access right information set for the object is the same.
[0005]
It is an object of the present invention to set different access rights for access to the same object from the same user depending on whether access from the inside or outside the company in a Web-based file management system. An object is to provide an access control method in a file management system.
[0006]
Another object of the present invention is that in a Web-based file management system, even if the same user accesses the same object, the right depends on whether the access is from within the company or from outside the company. An object of the present invention is to provide an access control method in a file management system in which authentication is different.
[0007]
[Means for Solving the Problems]
The access control method in the file management system of the present invention is based on whether or not the user ID received from the client is registered in the user information list table when the client requests login to the file management server in the web-based file management system. If the user ID is registered, it is checked whether the password received from the client matches the password registered in the user information list table corresponding to the user ID. Obtains the user information of the user from the user information list table and returns it to the client, the instance ID indicating the target object, the user information obtained from the authentication server, and the login time Access A client that passes the IP address of the Web server that has been passed to the file management server, a database that registers objects and access rights information for each object, and an available Web server installation information table, and the client accesses the object When requested, the installation information corresponding to the IP address is acquired from the available Web server installation information table, and the access right information of the target object is searched using the user information and the installation information as a key, and the target object of the user A file management server that determines whether or not the user has an access right, accesses the object when the user has an access right to the target object, and transmits the access result to the client.
[0008]
Further, the access control method in the file management system of the present invention is characterized in that the access right information includes at least a request source indicating a user and a login time. Access It is characterized by including installation information indicating whether the Web server passed through is present inside or outside the firewall, and whether or not the user has an access right to the object.
[0009]
Furthermore, in the access control method in the file management system of the present invention, the usable Web server installation information table indicates the IP address of the Web server and the installation information indicating whether the Web server exists inside or outside the firewall. It is characterized by including.
[0010]
On the other hand, the access control method in the file management system of the present invention includes a step of acquiring user information as an authentication result from the authentication server when the client logs in to the file management server, and the user information and the client information when the client requests access to the object. Web server that was accessed and accessed during login A step of passing the IP address to the file management server, a step of determining whether or not the IP address is registered in an available Web server installation information table, and a file management when the IP address is registered The server acquires installation information corresponding to the IP address from the available Web server installation information table, and the file management server searches the access right information of the target object using the user information and installation information as a key to the user object. Determining whether there is an access right for the user, a step in which the file management server accesses the target object when the user has access right to the object, and transmits the access result to the client, and the client in the file management server From the object's Characterized in that it comprises the step of receiving the access result.
[0011]
On the other hand, the program of the present invention includes a step of acquiring user information as an authentication result from an authentication server when logging into a file management server, and the user information and Web server that was accessed and accessed during login The step of passing the IP address to the file management server and the step of receiving the access result of the object from the file management server are executed.
[0012]
Further, the program of the present invention refers to an available Web server installation information table on a computer when a client logs in. Access A step of determining whether or not the IP address of the Web server that has passed is registered, and a step of acquiring installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered And searching for access right information using user information and installation information as a key to determine whether or not the user has access to the object, accessing the object when the user has access to the object, And a step of transmitting the access result to the client.
[0013]
The present invention is characterized in that in-house Web server or external Web server installation information (information inside / outside the firewall) that is passed through when logging in to the file management server is used in right authentication performed by the file management server. Is. When a user logs in to a file management server from a client via an in-house Web server, an object to be accessed (hereinafter referred to as a target object) can be accessed, while file management from the client via an external Web server is possible. When logging in to the server, the target object cannot be accessed. For this reason, the installation information of the Web server is used as part of the access right information from the user to the file management server.
[0014]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0015]
[First Embodiment]
FIG. 2 is a system configuration diagram of a file management system to which the access control method according to the first embodiment of the present invention is applied. This file management system is connected to an internal network 10 such as a local area network (LAN), an
[0016]
Referring to FIG. 1, the
[0017]
FIG. 3 shows a data structure diagram of the user information list table 22 managed by the
[0018]
Referring to FIG. 1, the
[0019]
The
[0020]
Referring to FIG. 4, access right information (A *) is managed in one table for each object, and forms of combinations (AND conditions, OR conditions, etc.) of conditional expressions using user information (P *). It is possible to set with. The access right information (A *) includes a request source, a job title range, installation information, and presence / absence of an access right (reference right, update right, and deletion right). The request source is a character string representing a user, a department to which the request belongs. The job title range stores, for example, a name, department name, work location, job title, and the like. The installation information is a condition indicating whether the user has logged in to the
[0021]
In the
[0022]
The
[0023]
FIG. 5 is a diagram showing a data structure of the available Web server installation information table 32. The available Web server installation information table 32 is a file management in which the IP address and installation information indicating whether the Web server is installed inside or outside the firewall 50 (0 inside the
[0024]
Since the
[0025]
Referring to FIG. 6, the user authentication (Authentication) process in the
[0026]
Referring to FIG. 7, the right authentication process in the
[0027]
Next, the operation of the access control method in the file management system according to the first embodiment configured as described above will be described.
[0028]
(1) About user authentication (Authentication) by the
[0029]
The user needs to log in to the
[0030]
When the user logs in to the
[0031]
Specifically, the user inputs a user ID and password from the login screen of the
[0032]
The
[0033]
If the user ID is registered, the
[0034]
If the passwords match, the
[0035]
A cabinet list table (not shown) is acquired simultaneously with login to the
[0036]
(2) Rights authentication in the file management server 30 (Authorization)
[0037]
After a user-specific cabinet list table (not shown) is displayed on the screen of the
[0038]
First, the
[0039]
The
[0040]
Here, consider a case where the user H (user information P1) requests reference to the “document D1” (see FIG. 5). It is assumed that access right information (A1) as shown in FIG. 5 is set as an attribute in “document D1” for user H who is the request source.
[0041]
When a list of objects under “cabinet” is displayed on the client 70 (only a part of attributes are displayed for “document D1”), the user H makes a reference request for “document D1” (presses the reference button). Then, the
[0042]
The
[0043]
If the IP address (IP1) is registered in the available Web server installation information table 32, the
[0044]
Next, the
[0045]
If “document D1” exists on the
[0046]
Next, the
[0047]
When the
[0048]
In the above description of the operation, the case where the access is a reference has been described as an example, but it goes without saying that the operation is almost the same even when the access is an update and deletion.
[0049]
Although the case where the object is a document has been described as an example, it goes without saying that the access control to the object can be performed not only in document units but also in folder units and cabinet units.
[0050]
As described above, according to the first embodiment, by providing a mechanism for performing right authentication in consideration of whether the Web server that has passed through when logging in to the
[0051]
[Second Embodiment]
FIG. 8 is a block diagram showing the configuration of the access control method in the file management system according to the second embodiment of the present invention. The access control method in the file management system according to the present embodiment is provided with an
[0052]
The
[0053]
The file
[0054]
【The invention's effect】
The first effect is that it is possible to provide an access control function corresponding to a diversified use situation of users by widening the range of conditions that can be set as access rights. The reason is that a mechanism is provided for performing right authentication taking into account whether the Web server through which the file management server is logged in exists in the company or outside the company.
[0055]
The second effect is that security can be strengthened accordingly. This is because, for example, regarding access to the same object from the same user, reference can be made from inside or outside the company, but update can be permitted only from inside the company. .
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of an access control method in a file management system according to a first embodiment of the present invention.
FIG. 2 is a system configuration diagram of a file management system to which the access control method according to the first embodiment is applied.
FIG. 3 is a data structure diagram of a user information list table managed by the authentication server in FIG. 1;
4 is a data structure diagram of access right information managed by the database in FIG. 1. FIG.
FIG. 5 is a data structure diagram of an available Web server installation information table in FIG. 1;
6 is a flowchart showing user authentication processing in the authentication server in FIG. 1. FIG.
7 is a flowchart showing a right authentication process in the file management server in FIG. 1. FIG.
FIG. 8 is a block diagram showing a configuration of an access control method in a file management system according to a second embodiment of the present invention.
[Explanation of symbols]
10 Internal network
20 Authentication server
21 Authentication means
22 User information list table
30 File management server
31 database
32 Available Web Server Installation Information Table
40 In-house Web server
50 Firewall
60 External Web server
70 clients
200 Authentication server program
300 File management server program
S101 User ID registration determination step
S102 Password correct / incorrect determination step
S103 User information return step
S201 IP address registration determination step
S202 Installation information acquisition step
S203 Object existence determination step
S204 User access right presence / absence determination step
S205 Object return step
Claims (7)
クライアントからファイル管理サーバへのログインの要求時に、クライアントから受け取ったユーザIDがユーザ情報一覧テーブルに登録されているかどうかをチェックし、ユーザIDが登録されていたならばクライアントから受け取ったパスワードが前記ユーザ情報一覧テーブルにユーザIDに対応して登録されているパスワードと一致するかどうかをチェックし、パスワードが一致した場合には前記ユーザ情報一覧テーブルから該当ユーザのユーザ情報を取得してクライアントに返却する認証サーバと、
対象オブジェクトを示すインスタンスID,前記認証サーバから得られたユーザ情報,およびログイン時にアクセスし経由したWebサーバのIPアドレスを前記ファイル管理サーバに渡すクライアントと、
オブジェクト,およびオブジェクト毎のアクセス権情報を登録するデータベースと、利用可能Webサーバ設置情報テーブルとを備え、クライアントからのオブジェクトへのアクセス要求があったときに、前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得し、ユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索してユーザの対象オブジェクトへのアクセス権の有無を判定し、ユーザが対象オブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果を前記クライアントに送信するファイル管理サーバと
を有することを特徴とするファイル管理システム。In a web-based file management system,
When a login request from the client to the file management server is requested, it is checked whether or not the user ID received from the client is registered in the user information list table. If the user ID is registered, the password received from the client is the user Check whether it matches the password registered corresponding to the user ID in the information list table, and if the password matches, obtain the user information of the corresponding user from the user information list table and return it to the client An authentication server;
A client that passes to the file management server an instance ID indicating a target object, user information obtained from the authentication server, and an IP address of a Web server that is accessed through login;
A database for registering objects and access rights information for each object, and an available Web server installation information table; when there is a request for access to an object from a client, the available Web server installation information table Obtains installation information corresponding to the IP address, searches the access right information of the target object using the user information and installation information as keys, determines whether the user has access rights to the target object, and the user accesses the target object A file management system comprising: a file management server that accesses an object when having the right and transmits an access result to the client.
ユーザを示す要求元と、
ログイン時にアクセスし経由したWebサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報と、
ユーザのオブジェクトへのアクセス権の有無と
を含むことを特徴とする請求項1記載のファイル管理システム。The access right information is at least
A requester indicating the user,
Installation information indicating whether the web server that was accessed via login exists inside or outside the firewall;
The file management system according to claim 1, further comprising: presence or absence of an access right to a user's object.
WebサーバのIPアドレスと、
Webサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報と
を含むことを特徴とする請求項1記載のファイル管理システム。The available web server installation information table is:
The IP address of the web server,
The file management system according to claim 1, further comprising: installation information indicating whether the Web server exists inside or outside the firewall.
クライアントがオブジェクトへのアクセス要求時に前記ユーザ情報およびログイン時にアクセスし経由したWebサーバのIPアドレスをファイル管理サーバに渡す工程と、ファイル管理サーバが利用可能Webサーバ設置情報テーブルに前記IPアドレスが登録されているかどうかを判定する工程と、
前記IPアドレスが登録されているときにファイル管理サーバが前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、
ファイル管理サーバがユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、
ユーザがオブジェクトへのアクセス権を有しているときにファイル管理サーバが対象オブジェクトにアクセスしてアクセス結果をクライアントに送信する工程と、
クライアントがファイル管理サーバからオブジェクトのアクセス結果を受信する工程と
を含むことを特徴とするファイル管理システムにおけるアクセス制御方法。A step of acquiring user information as an authentication result from the authentication server when the client logs in to the file management server;
When the client makes an access request to the object, the user information and the IP address of the Web server that was accessed via login are passed to the file management server, and the IP address is registered in the Web server installation information table available to the file management server. Determining whether or not
The file management server acquiring installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered;
A step in which the file management server searches the access right information of the target object using the user information and the installation information as a key and determines whether or not the user has access right to the object;
A step in which the file management server accesses the target object and sends the access result to the client when the user has access to the object;
A client receiving an object access result from the file management server; and an access control method in the file management system.
前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、
ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、
ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信する工程と
をファイル管理サーバが実行することを特徴とするアクセス制御方法。Determining whether or not the IP address of the Web server through which the client accessed and logged in is registered by referring to the available Web server installation information table;
Obtaining installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered;
Searching for access right information using user information and installation information as a key, and determining whether or not the user has access to the object;
A file management server executes a process of accessing an object when the user has access rights to the object and transmitting an access result to a client.
利用可能Webサーバ設置情報テーブルを参照してクライアントがログイン時にアクセスし経由したWebサーバのIPアドレスが登録されているかどうかを判定する工程と、
前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、
ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、
ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信する工程と
を実行させるためのプログラム。On the computer,
Determining whether or not the IP address of the Web server through which the client accessed and logged in is registered by referring to the available Web server installation information table;
Obtaining installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered;
Searching for access right information using user information and installation information as a key, and determining whether or not the user has access to the object;
A program for accessing an object when the user has access to the object and sending the access result to the client.
前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得し、
ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定し、
ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信するファイル管理サーバ。Determine whether the IP address of the Web server through which the client accessed and logged in is registered by referring to the available Web server installation information table,
Obtaining installation information corresponding to the IP address from the available web server installation information table when the IP address is registered;
Search the access right information using the user information and installation information as a key, determine whether the user has access to the object,
A file management server that accesses an object when the user has access rights to the object and sends the access result to the client.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002201872A JP4240929B2 (en) | 2002-07-10 | 2002-07-10 | Access control method in file management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002201872A JP4240929B2 (en) | 2002-07-10 | 2002-07-10 | Access control method in file management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004046460A JP2004046460A (en) | 2004-02-12 |
JP4240929B2 true JP4240929B2 (en) | 2009-03-18 |
Family
ID=31708271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002201872A Expired - Fee Related JP4240929B2 (en) | 2002-07-10 | 2002-07-10 | Access control method in file management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4240929B2 (en) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4250100B2 (en) * | 2004-02-23 | 2009-04-08 | 大日本印刷株式会社 | Computer system |
JP4532237B2 (en) | 2004-10-29 | 2010-08-25 | 株式会社日立製作所 | Computer and access control method in computer |
JP2006139353A (en) * | 2004-11-10 | 2006-06-01 | Yokogawa Electric Corp | Operation monitoring device |
JP2006318285A (en) * | 2005-05-13 | 2006-11-24 | Ricoh Co Ltd | Document management apparatus |
JP4718288B2 (en) | 2005-09-29 | 2011-07-06 | 株式会社日立製作所 | Diskless computer operation management system |
US8107100B2 (en) | 2006-07-20 | 2012-01-31 | International Business Machines Corporation | Post deployment electronic document management and security solution |
JP4675921B2 (en) * | 2007-03-20 | 2011-04-27 | 株式会社エヌ・ティ・ティ・データ | Information processing system and computer program |
JP5029701B2 (en) | 2008-01-09 | 2012-09-19 | 富士通株式会社 | Virtual machine execution program, user authentication program, and information processing apparatus |
JP5685158B2 (en) * | 2011-07-22 | 2015-03-18 | パナソニックIpマネジメント株式会社 | Authentication device |
JP2013089152A (en) * | 2011-10-21 | 2013-05-13 | Obic Business Consultants Ltd | Information system, server device and program |
JP6179434B2 (en) * | 2014-03-20 | 2017-08-16 | 富士ゼロックス株式会社 | Information processing apparatus, information processing system, and information processing program |
JP6409439B2 (en) * | 2014-09-19 | 2018-10-24 | 富士ゼロックス株式会社 | Image forming apparatus and program |
-
2002
- 2002-07-10 JP JP2002201872A patent/JP4240929B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004046460A (en) | 2004-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7756903B2 (en) | Configuring a search engine results page with environment-specific information | |
US7308709B1 (en) | System and method for managing and authenticating services via service principal names | |
US7428592B2 (en) | Securely persisting network resource identifiers | |
US8316049B2 (en) | Document management system, document producing apparatus, document use managing apparatus, and computer readable medium | |
JP4671332B2 (en) | File server that converts user identification information | |
US20050234859A1 (en) | Information processing apparatus, resource managing apparatus, attribute modifiability judging method, and computer-readable storage medium | |
US20060074894A1 (en) | Multi-language support for enterprise identity and access management | |
JP5320433B2 (en) | Integrated search device, integrated search system, and integrated search method | |
RU2453916C1 (en) | Information resource search method using readdressing | |
JP6323994B2 (en) | Content management apparatus, content management method and program | |
JP2005259112A (en) | Information processor, information processing method, information processing program, storage medium, and information management device | |
US8799321B2 (en) | License management apparatus, license management method, and computer readable medium | |
JP4240929B2 (en) | Access control method in file management system | |
JP2009054086A (en) | Information providing device | |
WO2013046336A1 (en) | Group definition management system | |
JP3698851B2 (en) | Database security management method and system | |
JP2007272518A (en) | Customer database management device and customer database management program | |
JP4944411B2 (en) | Menu generation system, menu generation method, and menu generation program | |
JP3137173B2 (en) | Authentication information management device | |
JP2019074994A (en) | Information processing device, information processing system, and program | |
JP2002117215A (en) | Patent management system | |
JP4757687B2 (en) | Authentication authorization server, authentication authorization system, authentication authorization method, and authentication authorization program | |
JP2020038438A (en) | Management device, management system and program | |
JP4634600B2 (en) | Proxy server | |
JP7119797B2 (en) | Information processing device and information processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040427 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050124 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050307 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070119 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070308 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070703 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070824 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080226 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080421 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080606 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080909 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081014 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081209 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081222 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120109 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |