JP4240929B2 - Access control method in file management system - Google Patents

Access control method in file management system Download PDF

Info

Publication number
JP4240929B2
JP4240929B2 JP2002201872A JP2002201872A JP4240929B2 JP 4240929 B2 JP4240929 B2 JP 4240929B2 JP 2002201872 A JP2002201872 A JP 2002201872A JP 2002201872 A JP2002201872 A JP 2002201872A JP 4240929 B2 JP4240929 B2 JP 4240929B2
Authority
JP
Japan
Prior art keywords
user
file management
access
web server
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002201872A
Other languages
Japanese (ja)
Other versions
JP2004046460A (en
Inventor
秀俊 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002201872A priority Critical patent/JP4240929B2/en
Publication of JP2004046460A publication Critical patent/JP2004046460A/en
Application granted granted Critical
Publication of JP4240929B2 publication Critical patent/JP4240929B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明はファイル管理システムにおけるアクセス制御方式に関し、特にWebベースのファイル管理システムにおける社内・社外ログイン時のアクセス制御方式に関する。
【0002】
【従来の技術】
今日では、インターネット等の技術進歩により社内・社外を問わず、また会社間の垣根を越えた共通のワークスペース(コーポレートウェアなど)が提供されており、そのニーズも拡大している。このように、ファイル管理システムなどにおけるシームレス化が進む一方で、セキュリティ面での強化がますます要求されている。
【0003】
ところで、従来のファイル管理システムにおけるアクセス制御方法としては、端末グループによってアクセス権を異ならしめたり(特開平02−282842参照)、時間帯に応じてアクセスの妥当性を変化させたり(特開平02−285439参照)、プレゼンテーションの内容を使用者によって抑止させたり(特開平03−154969参照)する各種の方法が知られていた。
【0004】
【発明が解決しようとする課題】
しかし、従来の技術では、ユーザが、社内からキャビネット,フォルダ,文書(ドキュメント)などのオブジェクトにアクセスする場合でも、社外からオブジェクトにアクセスする場合でも、同じセキュリティのレベルであり、特に社外からオブジェクトにアクセスする場合には社内からオブジェクトにアクセスする場合に比べてセキュリティ面での強化を行いたいという要請があっても行えないという問題点があった。その理由は、ファイル管理サーバでは、キャビネット,フォルダ,文書などのオブジェクト単位で権利認証(Authorization)に利用されるアクセス権を設定可能であったが、同一ユーザが社内から同一オブジェクトにアクセスした場合でも、社外から同一オブジェクトにアクセスした場合でも、オブジェクトに設定されるアクセス権情報が同じであったからである。
【0005】
本発明の目的は、Webベースのファイル管理システムにおいて、同一ユーザからの同一オブジェクトへのアクセスについて、社内からのアクセスであるか社外からのアクセスであるかに応じて、異なるアクセス権を設定可能なファイル管理システムにおけるアクセス制御方式を提供することにある。
【0006】
また、本発明の他の目的は、Webベースのファイル管理システムにおいて、同一ユーザによる同一オブジェクトへのアクセスであっても、社内からのアクセスであるか社外からのアクセスであるかに応じて、権利認証を異ならしめるようにしたファイル管理システムにおけるアクセス制御方法を提供することにある。
【0007】
【課題を解決するための手段】
本発明のファイル管理システムにおけるアクセス制御方式は、Webベースのファイル管理システムにおいて、クライアントからファイル管理サーバへのログインの要求時に、クライアントから受け取ったユーザIDがユーザ情報一覧テーブルに登録されているかどうかをチェックし、ユーザIDが登録されていたならばクライアントから受け取ったパスワードが前記ユーザ情報一覧テーブルにユーザIDに対応して登録されているパスワードと一致するかどうかをチェックし、パスワードが一致した場合には前記ユーザ情報一覧テーブルから該当ユーザのユーザ情報を取得してクライアントに返却する認証サーバと、対象オブジェクトを示すインスタンスID,前記認証サーバから得られたユーザ情報,およびログイン時にアクセスし経由したWebサーバのIPアドレスを前記ファイル管理サーバに渡すクライアントと、オブジェクト,およびオブジェクト毎のアクセス権情報を登録するデータベースと、利用可能Webサーバ設置情報テーブルとを備え、クライアントからのオブジェクトへのアクセス要求があったときに、前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得し、ユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索してユーザの対象オブジェクトへのアクセス権の有無を判定し、ユーザが対象オブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果を前記クライアントに送信するファイル管理サーバとを有することを特徴とする。
【0008】
また、本発明のファイル管理システムにおけるアクセス制御方式は、前記アクセス権情報が、少なくとも、ユーザを示す要求元と、ログイン時にアクセスし経由したWebサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報と、ユーザのオブジェクトへのアクセス権の有無とを含むことを特徴とする。
【0009】
さらに、本発明のファイル管理システムにおけるアクセス制御方式は、前記利用可能Webサーバ設置情報テーブルが、WebサーバのIPアドレスと、Webサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報とを含むことを特徴とする。
【0010】
一方、本発明のファイル管理システムにおけるアクセス制御方法は、クライアントがファイル管理サーバへのログイン時に認証サーバから認証結果としてユーザ情報を取得する工程と、クライアントがオブジェクトへのアクセス要求時に前記ユーザ情報およびログイン時にアクセスし経由したWebサーバのIPアドレスをファイル管理サーバに渡す工程と、ファイル管理サーバが利用可能Webサーバ設置情報テーブルに前記IPアドレスが登録されているかどうかを判定する工程と、前記IPアドレスが登録されているときにファイル管理サーバが前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、ファイル管理サーバがユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、ユーザがオブジェクトへのアクセス権を有しているときにファイル管理サーバが対象オブジェクトにアクセスしてアクセス結果をクライアントに送信する工程と、クライアントがファイル管理サーバからオブジェクトのアクセス結果を受信する工程とを含むことを特徴とする。
【0011】
他方、本発明のプログラムは、コンピュータに、ファイル管理サーバへのログイン時に認証サーバのから認証結果としてユーザ情報を取得する工程と、オブジェクトへのアクセス要求時に前記ユーザ情報およびログイン時にアクセスし経由したWebサーバのIPアドレスをファイル管理サーバに渡す工程と、ファイル管理サーバからオブジェクトのアクセス結果を受信する工程とを実行させることを特徴とする。
【0012】
また、本発明のプログラムは、コンピュータに、利用可能Webサーバ設置情報テーブルを参照してクライアントがログイン時にアクセスし経由したWebサーバのIPアドレスが登録されているかどうかを判定する工程と、前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信する工程とを実行させることを特徴とする。
【0013】
本発明は、ファイル管理サーバへのログイン時に経由する社内Webサーバまたは社外Webサーバの設置情報(ファイアウォール内・外の情報)を、ファイル管理サーバで行う権利認証の中で利用することを特徴とするものである。ユーザがクライアントから社内Webサーバを経由してファイル管理サーバにログインした場合にはアクセス対象のオブジェクト(以下、対象オブジェクトという)にアクセスすることができる一方、クライアントから社外Webサーバを経由してファイル管理サーバにログインした場合には対象オブジェクトにアクセスすることができないようにすることができる。このため、Webサーバの設置情報を、そのままユーザからのファイル管理サーバへのアクセス権情報の一部として利用する。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0015】
[第1の実施の形態]
図2は、本発明の第1の実施の形態に係るアクセス制御方式が適用されるファイル管理システムのシステム構成図である。このファイル管理システムは、ローカルエリアネットワーク(LAN)等でなる社内ネットワーク10と、社内ネットワーク10に接続された認証サーバ20と、社内ネットワーク10に接続されたファイル管理サーバ30と、社内ネットワーク10に接続されたWebサーバ(以下、社内Webサーバという)40と、社内ネットワーク10に接続されたファイアウォール50と、ファイアウォール50およびインターネット等の外部回線に接続されたWebサーバ(以下、社外Webサーバという)60と、社内Webサーバ40または社外Webサーバ60を経由してファイル管理サーバ30にログインする複数のクライアント70とから構成されている。
【0016】
図1を参照すると、認証サーバ20は、認証手段21と、ユーザ情報一覧テーブル22とを含んで構成されている。
【0017】
図3は、認証サーバ20で管理しているユーザ情報一覧テーブル22のデータ構造図を示す。ユーザ情報一覧テーブル22には、ファイル管理サーバ30にログインを許可されているユーザのユーザID(IDentification),ユーザ名,パスワード,所属部署ID,所属部署名などからなるユーザ情報が登録されて一括管理されている。
【0018】
図1を参照すると、ファイル管理サーバ30は、データベース31と、利用可能Webサーバ設置情報テーブル32とを含んで構成されている。
【0019】
データベース31は、キャビネット,文書等のオブジェクトをツリー状に階層的に保持しており、各オブジェクトは、アクセス権情報(A*)(*はワイルドカードであることを表す)を属性として持っている。各オブジェクト(インスタンス)は、データベース31上で登録時に自動生成される一意なインスタンスIDを持っており、オブジェクトを指定するにはインスタンスIDが用いられる。インスタンスIDは、クライアント70からファイル管理サーバ30に、ユーザ情報(P1),および社内Webサーバ40または社外Webサーバ60のIPアドレス(IP1)とともに渡される。図1の例では、データベース31は、”キャビネット”およびその配下に”文書D1”,”文書D2”,”文書D3”を含む。また、”文書D1”には、アクセス権情報A1が属性として登録されている(他のオブジェクトも同様)。
【0020】
図4を参照すると、アクセス権情報(A*)は、オブジェクト毎に1つの表で管理されており、ユーザ情報(P*)を用いた条件式の組み合わせ(AND条件,OR条件など)の形で設定が可能である。アクセス権情報(A*)は、要求元と、役職範囲と、設置情報と、アクセス権(参照権,更新権および削除権)の有無とを含む。要求元は、ユーザ,所属部署等を表す文字列である。役職範囲には、例えば、名前,所属部署名,勤務地,役職等が格納される。設置情報は、社内Webサーバ40または社外Webサーバ60のどちらを経由してファイル管理サーバ30にログインしたかという条件(0で社内Webサーバ40、1で社外Webサーバ60)である。アクセス権(参照権,更新権および削除権)の有無は、理解しやすいように○や×として表記しているが、データベース31上では数値として管理されている。
【0021】
ファイル管理サーバ30では、キャビネット,文書などの各オブジェクトに対する設定可能なアクセス権の種類として、参照権,更新権,削除権等が定義されている。例えば、クライアント70からあるオブジェクトの参照が要求された場合、ファイル管理サーバ30は、要求元のユーザが対象オブジェクトに対して参照権を有するかどうかを権利認証する。
【0022】
ファイル管理サーバ30は、社内Webサーバ40または社外Webサーバ60の設置情報をアクセス権情報の1つのカテゴリとして組み込むことにより、ユーザの対象オブジェクトへのアクセス時の権利認証の際には、経由した社内Webサーバ40または社外Webサーバ60の設置情報と適合するアクセス権情報(A*)のみが権利認証の対象となる(に切り分けられて判定される)。
【0023】
図5は、利用可能Webサーバ設置情報テーブル32のデータ構造を示す図である。利用可能Webサーバ設置情報テーブル32は、IPアドレスと、Webサーバがファイアウォール50内外のどちらに設置されているかの設置情報(0でファイアウォール50内、1でファイアウォール50外)とがレコードとして、ファイル管理サーバ30にログインする上で経由可能な社内Webサーバ40および社外Webサーバ60の数分だけ登録されている。ファイル管理サーバ30は、ユーザ情報およびIPアドレスと、利用可能Webサーバ設置情報テーブル32とに基づいてユーザのオブジェクトに対する権利認証を行う。
【0024】
ファイル管理サーバ30は、クライアント70から渡される経由WebサーバのIPアドレス(IP1)のみでは、ファイアウォール50内外のどちらに設置されているWebサーバを経由してログインしたかは判断できないので、ファイル管理サーバ30の利用可能Webサーバ設置情報テーブル32に設置情報をあらかじめ登録しておく。
【0025】
図6を参照すると、認証サーバ20におけるユーザ認証(Authentication)処理は、ユーザID登録判定ステップS101と、パスワード正否判定ステップS102と、ユーザ情報返却ステップS103とからなる。
【0026】
図7を参照すると、ファイル管理サーバ30における権利認証(Authorization)処理は、IPアドレス登録判定ステップS201と、設置情報取得ステップS202と、オブジェクト存在判定ステップS203と、ユーザアクセス権有無判定ステップS204と、オブジェクト返却ステップS205とからなる。
【0027】
次に、このように構成された第1の実施の形態に係るファイル管理システムにおけるアクセス制御方式の動作について説明する。
【0028】
(1) 認証サーバ20によるユーザ認証(Authentication)について
【0029】
ユーザは、ファイル管理サーバ30のオブジェクトにアクセスする前に、クライアント70から社内Webサーバ40または社外Webサーバ60を経由してファイル管理サーバ30にログインする必要がある。ユーザは、通常、社内ネットワーク10に接続されているクライアント70からファイアウォール50内に設置されている社内Webサーバ40を経由してファイル管理サーバ30にログインする。しかし、出張先や家庭などのクライアント70からファイル管理サーバ30にログインする場合には、ユーザは、ファイアウォール50外に設置されている社外Webサーバ60を経由した場合に限りファイル管理サーバ30にログイン可能である。ただし、ユーザが社内から社外Webサーバ60を経由してオブジェクトにアクセスすることは、ファイアウォール50で制限されていない限りは可能である。
【0030】
ユーザがクライアント70から社内Webサーバ40または社外Webサーバ60を経由してファイル管理サーバ30にログインする際に、認証サーバ20によるユーザ認証が行われる。
【0031】
詳しくは、ユーザは、クライアント70のログイン画面からユーザIDおよびパスワードを入力し、ファイル管理サーバ30へのログインを要求する。この際、クライアント70と認証サーバ20との通信が行われ、認証サーバ20によるユーザ認証が行われる。なお、クライアント70とファイル管理サーバ30との通信が行われるのは、クライアント70で、属性一覧の取得,更新画面での更新確定,キャビネット,フォルダなどの配下一覧の取得,対象の削除などの操作ボタンが押下された時点である。
【0032】
認証サーバ20は、まず、クライアント70から受け取ったユーザIDがユーザ情報一覧テーブル22に登録されているかどうかをチェックする(ステップS101)。ユーザIDが登録されていなければ、認証サーバ20は、エラーをクライアント70に返却する。
【0033】
ユーザIDが登録されていたならば、認証サーバ20は、クライアント70から受け取ったパスワードがユーザ情報一覧テーブル22にユーザIDと対応して登録されているパスワードと一致するかどうかをチェックする(ステップS102)。パスワードが一致しなかった場合、認証サーバ20は、エラーをクライアント70に返却する。
【0034】
パスワードが一致した場合には、認証サーバ20は、ユーザ情報一覧テーブル22から該当ユーザのユーザ情報(P1)を取得してクライアント70に返却し(ステップS103)、処理を終了する。
【0035】
ファイル管理サーバ30へのログインと同時にキャビネット一覧テーブル(図示せず)の取得が行われ、クライアント70の画面には、通常、ユーザ固有のキャビネット一覧テーブルが表示される。キャビネット一覧テーブルに表示されているオブジェクトは、ログインしたユーザがアクセス権を有しているもののみであり、キャビネット一覧テーブルに表示されているのは各オブジェクトの一部の属性のみである。
【0036】
(2) ファイル管理サーバ30における権利認証(Authorization)
【0037】
クライアント70の画面にユーザ固有のキャビネット一覧テーブル(図示せず)が表示された後、ユーザがクライアント70からオブジェクトへのアクセスを要求した場合、ファイル管理サーバ30は、要求元のユーザがアクセス対象のオブジェクト(以下、対象オブジェクトという)のアクセス権を有するかどうかを権利認証する。
【0038】
まず、クライアント70は、対象オブジェクトを示すインスタンスIDを、認証サーバ20から得られたユーザ情報,および社内Webサーバ40または社外Webサーバ60のIPアドレス(IP1)とともに、ファイル管理サーバ30に渡す。
【0039】
ファイル管理サーバ30は、ユーザ認証で取得されたユーザ情報(P1)と、経由した社内Webサーバ40または社外Webサーバ60のIPアドレス(IP1)とを元に、対象オブジェクトに対するユーザの権利認証を行う。
【0040】
ここで、ユーザH(ユーザ情報P1)が”文書D1”の参照を要求する場合を考える(図5参照)。”文書D1”には、要求元であるユーザHに関して、図5に示すようなアクセス権情報(A1)が属性として設定されているものとする。
【0041】
クライアント70で”キャビネット”配下のオブジェクト一覧を表示中(”文書D1”は一部の属性のみしか表示されていない)に、ユーザHが”文書D1”の参照要求を行うと(参照ボタンを押下すると)、クライアント70は、ユーザ情報(P1),および経由Webサーバ(社内Webサーバ40または社外Webサーバ60)のIPアドレス(IP1)をファイル管理サーバ30に渡す。
【0042】
ファイル管理サーバ30は、まず、クライアント70から渡された経由WebサーバのIPアドレス(IP1)が、利用可能Webサーバ設置情報テーブル32に登録されているかどうかを判定する(ステップS201)。
【0043】
IPアドレス(IP1)が利用可能Webサーバ設置情報テーブル32に登録されていれば、ファイル管理サーバ30は、経由WebサーバのIPアドレスに対応する設置情報(0でファイアウォール50内、1でファイアウォール50外)を取得する(ステップS202)。
【0044】
次に、ファイル管理サーバ30は、インスタンスIDにより”文書D1”がデータベース31上に存在するか否かをチェックする(ステップS203)。ファイル管理サーバ30は、データベース31上に存在するオブジェクトに対応する一覧テーブルを一括管理しており、インスタンスIDと一覧テーブルのデータとの比較処理を行う。
【0045】
”文書D1”がデータベース31上に存在する場合、ファイル管理サーバ30は、要求元のユーザHが”文書D1”の参照権を有しているかどうかの権利認証を行う(ステップS204)。詳しくは、ファイル管理サーバ30は、まず、”文書D1”のアクセス権情報(A1)を取得する。このとき、経由WebサーバのIPアドレスが利用可能Webサーバ設置情報テーブル32に登録されており、当該IPアドレスに対応する設置情報が0と判定されたとすれば、ファイル管理サーバ30は、「ユーザHに対して参照および更新が可能」という条件のみが権利認証の対象となる。したがって、この場合、ファイル管理サーバ30は、ユーザHが”文書D1”の参照権および更新権を有することを判定する。
【0046】
次に、ファイル管理サーバ30は、データベース31から文書D1およびその属性を取得し、クライアント70へ返却する(ステップS205)。
【0047】
クライアント70は、ファイル管理サーバ30から文書D1およびその属性を受信すると、これらを参照することができる。
【0048】
なお、上記動作の説明では、アクセスが参照である場合を例にとって説明したが、アクセスが更新および削除の場合であっても、ほぼ同様の動作となることはいうまでもない。
【0049】
また、オブジェクトを文書とした場合を例にとって説明したが、オブジェクトへのアクセス制御を、文書単位のみではなく、フォルダ単位やキャビネット単位でも行うことが可能であることをいうまでもない。
【0050】
このように、第1の実施の形態によれば、ファイル管理サーバ30へのログイン時に経由したWebサーバが社内に存在するか社外に存在するかを加味して権利認証を行う仕組みを設けることにより、同一ユーザからの同一オブジェクトへのアクセスについても、社内からアクセスしたか社外からアクセスしたかに応じて権利認証を異ならしめることができる。例えば、同一ユーザからの同一オブジェクトへのアクセスに関して、参照は社内からでも社外からでも可能とする一方、更新は社内からでなければ許可しないようにすることが可能となる。
【0051】
[第2の実施の形態]
図8は、本発明の第2の実施の形態に係るファイル管理システムにおけるアクセス制御方式の構成を示すブロック図である。本実施の形態に係るファイル管理システムにおけるアクセス制御方式は、図1に示した第1の実施の形態に係るファイル管理システムにおけるアクセス制御方式に対して、認証サーバ20に認証サーバプログラム200を備え、ファイル管理サーバ30にファイル管理サーバプログラム300を備えている点だけが異なっている。
【0052】
認証サーバプログラム200は、コンピュータである認証サーバ20に読み込まれ、当該認証サーバ20の動作を認証手段21およびユーザ情報一覧テーブル22として制御する。認証サーバプログラム200の制御による認証サーバ20の動作は、第1の実施の形態における認証サーバ20の動作と全く同様になるので、その詳しい説明を割愛する。
【0053】
また、ファイル管理サーバプログラム300は、コンピュータであるファイル管理サーバ30に読み込まれ、当該ファイル管理サーバ30の動作をデータベース31および利用可能Webサーバ設置情報テーブル32として制御する。ファイル管理サーバプログラム300の制御によるファイル管理サーバ30の動作は、第1の実施の形態におけるファイル管理サーバ30の動作と全く同様になるので、その詳しい説明を割愛する。
【0054】
【発明の効果】
第1の効果は、アクセス権として設定可能な条件の幅を広げることにより、多様化するユーザの利用局面に対応したアクセス制御機能が提供できることである。その理由は、ファイル管理サーバへのログイン時に経由したWebサーバが社内に存在するか社外に存在するかを加味して権利認証を行う仕組みを設けるようにしたからである。
【0055】
第2の効果は、それに伴いセキュリティ面での強化も図ることが可能であることである。その理由は、例えば、同一ユーザからの同一オブジェクトへのアクセスに関して、参照は社内からでも社外からでも可能とする一方、更新は社内からでなければ許可しないようにすることが可能であるからである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るファイル管理システムにおけるアクセス制御方式の構成を示すブロック図である。
【図2】第1の実施の形態に係るアクセス制御方式が適用されるファイル管理システムのシステム構成図である。
【図3】図1中の認証サーバで管理されるユーザ情報一覧テーブルのデータ構造図である。
【図4】図1中のデータベースで管理されるアクセス権情報のデータ構造図である。
【図5】図1中の利用可能Webサーバ設置情報テーブルのデータ構造図である。
【図6】図1中の認証サーバにおけるユーザ認証処理を示すフローチャートである。
【図7】図1中のファイル管理サーバにおける権利認証処理を示すフローチャートである。
【図8】本発明の第2の実施の形態に係るファイル管理システムにおけるアクセス制御方式の構成を示すブロック図である。
【符号の説明】
10 社内ネットワーク
20 認証サーバ
21 認証手段
22 ユーザ情報一覧テーブル
30 ファイル管理サーバ
31 データベース
32 利用可能Webサーバ設置情報テーブル
40 社内Webサーバ
50 ファイアウォール
60 社外Webサーバ
70 クライアント
200 認証サーバプログラム
300 ファイル管理サーバプログラム
S101 ユーザID登録判定ステップ
S102 パスワード正否判定ステップ
S103 ユーザ情報返却ステップ
S201 IPアドレス登録判定ステップ
S202 設置情報取得ステップ
S203 オブジェクト存在判定ステップ
S204 ユーザアクセス権有無判定ステップ
S205 オブジェクト返却ステップ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an access control method in a file management system, and more particularly to an access control method at the time of internal / external login in a Web-based file management system.
[0002]
[Prior art]
Today, with the advancement of technology such as the Internet, a common workspace (corporate wear, etc.) is being provided, both inside and outside the company, and beyond the boundaries between companies, and its needs are expanding. As described above, while file management systems and the like are becoming more seamless, there is an increasing demand for security enhancement.
[0003]
Incidentally, as an access control method in the conventional file management system, the access right is made different depending on the terminal group (refer to Japanese Patent Laid-Open No. 02-282842), or the validity of the access is changed according to the time zone (Japanese Patent Laid-Open No. 02-2009). 285439) and various methods for suppressing the contents of a presentation by a user (see Japanese Patent Laid-Open No. 03-154969) have been known.
[0004]
[Problems to be solved by the invention]
However, in the conventional technology, whether the user accesses an object such as a cabinet, a folder, or a document (document) from inside the company or accesses the object from outside the company, the security level is the same. When accessing, there is a problem that it cannot be performed even if there is a request to enhance the security compared to accessing the object from within the company. The reason is that the file management server can set access rights used for rights authorization (Authorization) in units of objects such as cabinets, folders, and documents, but even if the same user accesses the same object from within the company This is because even when the same object is accessed from outside the company, the access right information set for the object is the same.
[0005]
It is an object of the present invention to set different access rights for access to the same object from the same user depending on whether access from the inside or outside the company in a Web-based file management system. An object is to provide an access control method in a file management system.
[0006]
Another object of the present invention is that in a Web-based file management system, even if the same user accesses the same object, the right depends on whether the access is from within the company or from outside the company. An object of the present invention is to provide an access control method in a file management system in which authentication is different.
[0007]
[Means for Solving the Problems]
The access control method in the file management system of the present invention is based on whether or not the user ID received from the client is registered in the user information list table when the client requests login to the file management server in the web-based file management system. If the user ID is registered, it is checked whether the password received from the client matches the password registered in the user information list table corresponding to the user ID. Obtains the user information of the user from the user information list table and returns it to the client, the instance ID indicating the target object, the user information obtained from the authentication server, and the login time Access A client that passes the IP address of the Web server that has been passed to the file management server, a database that registers objects and access rights information for each object, and an available Web server installation information table, and the client accesses the object When requested, the installation information corresponding to the IP address is acquired from the available Web server installation information table, and the access right information of the target object is searched using the user information and the installation information as a key, and the target object of the user A file management server that determines whether or not the user has an access right, accesses the object when the user has an access right to the target object, and transmits the access result to the client.
[0008]
Further, the access control method in the file management system of the present invention is characterized in that the access right information includes at least a request source indicating a user and a login time. Access It is characterized by including installation information indicating whether the Web server passed through is present inside or outside the firewall, and whether or not the user has an access right to the object.
[0009]
Furthermore, in the access control method in the file management system of the present invention, the usable Web server installation information table indicates the IP address of the Web server and the installation information indicating whether the Web server exists inside or outside the firewall. It is characterized by including.
[0010]
On the other hand, the access control method in the file management system of the present invention includes a step of acquiring user information as an authentication result from the authentication server when the client logs in to the file management server, and the user information and the client information when the client requests access to the object. Web server that was accessed and accessed during login A step of passing the IP address to the file management server, a step of determining whether or not the IP address is registered in an available Web server installation information table, and a file management when the IP address is registered The server acquires installation information corresponding to the IP address from the available Web server installation information table, and the file management server searches the access right information of the target object using the user information and installation information as a key to the user object. Determining whether there is an access right for the user, a step in which the file management server accesses the target object when the user has access right to the object, and transmits the access result to the client, and the client in the file management server From the object's Characterized in that it comprises the step of receiving the access result.
[0011]
On the other hand, the program of the present invention includes a step of acquiring user information as an authentication result from an authentication server when logging into a file management server, and the user information and Web server that was accessed and accessed during login The step of passing the IP address to the file management server and the step of receiving the access result of the object from the file management server are executed.
[0012]
Further, the program of the present invention refers to an available Web server installation information table on a computer when a client logs in. Access A step of determining whether or not the IP address of the Web server that has passed is registered, and a step of acquiring installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered And searching for access right information using user information and installation information as a key to determine whether or not the user has access to the object, accessing the object when the user has access to the object, And a step of transmitting the access result to the client.
[0013]
The present invention is characterized in that in-house Web server or external Web server installation information (information inside / outside the firewall) that is passed through when logging in to the file management server is used in right authentication performed by the file management server. Is. When a user logs in to a file management server from a client via an in-house Web server, an object to be accessed (hereinafter referred to as a target object) can be accessed, while file management from the client via an external Web server is possible. When logging in to the server, the target object cannot be accessed. For this reason, the installation information of the Web server is used as part of the access right information from the user to the file management server.
[0014]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0015]
[First Embodiment]
FIG. 2 is a system configuration diagram of a file management system to which the access control method according to the first embodiment of the present invention is applied. This file management system is connected to an internal network 10 such as a local area network (LAN), an authentication server 20 connected to the internal network 10, a file management server 30 connected to the internal network 10, and an internal network 10. Web server (hereinafter referred to as an internal Web server) 40, a firewall 50 connected to the internal network 10, and a Web server (hereinafter referred to as an external Web server) 60 connected to an external line such as the firewall 50 and the Internet. And a plurality of clients 70 that log in to the file management server 30 via the internal Web server 40 or the external Web server 60.
[0016]
Referring to FIG. 1, the authentication server 20 includes an authentication unit 21 and a user information list table 22.
[0017]
FIG. 3 shows a data structure diagram of the user information list table 22 managed by the authentication server 20. In the user information list table 22, user information including a user ID (IDentification), a user name, a password, a department ID, a department name, and the like of a user permitted to log in to the file management server 30 is registered and collectively managed. Has been.
[0018]
Referring to FIG. 1, the file management server 30 includes a database 31 and an available web server installation information table 32.
[0019]
The database 31 hierarchically holds objects such as cabinets and documents in a tree shape, and each object has access right information (A *) (* represents a wild card) as an attribute. . Each object (instance) has a unique instance ID that is automatically generated at the time of registration on the database 31, and the instance ID is used to specify the object. The instance ID is passed from the client 70 to the file management server 30 together with the user information (P1) and the IP address (IP1) of the internal Web server 40 or the external Web server 60. In the example of FIG. 1, the database 31 includes “cabinet” and its subordinates “document D1”, “document D2”, and “document D3”. Further, access right information A1 is registered as an attribute in “document D1” (the same applies to other objects).
[0020]
Referring to FIG. 4, access right information (A *) is managed in one table for each object, and forms of combinations (AND conditions, OR conditions, etc.) of conditional expressions using user information (P *). It is possible to set with. The access right information (A *) includes a request source, a job title range, installation information, and presence / absence of an access right (reference right, update right, and deletion right). The request source is a character string representing a user, a department to which the request belongs. The job title range stores, for example, a name, department name, work location, job title, and the like. The installation information is a condition indicating whether the user has logged in to the file management server 30 via the internal Web server 40 or the external Web server 60 (0 is the internal Web server 40 and 1 is the external Web server 60). The presence / absence of the access right (reference right, update right and deletion right) is indicated as ◯ or X for easy understanding, but is managed as a numerical value on the database 31.
[0021]
In the file management server 30, reference rights, update rights, deletion rights, etc. are defined as types of access rights that can be set for each object such as a cabinet and a document. For example, when a reference to an object is requested from the client 70, the file management server 30 authenticates whether the requesting user has a reference right for the target object.
[0022]
The file management server 30 incorporates the installation information of the internal Web server 40 or the external Web server 60 as one category of the access right information, so that the right internal authentication is performed when the user accesses the target object. Only the access right information (A *) that matches the installation information of the Web server 40 or the external Web server 60 is subject to right authentication (separated and determined).
[0023]
FIG. 5 is a diagram showing a data structure of the available Web server installation information table 32. The available Web server installation information table 32 is a file management in which the IP address and installation information indicating whether the Web server is installed inside or outside the firewall 50 (0 inside the firewall 50 and 1 outside the firewall 50) are records. The number of registered internal Web servers 40 and external Web servers 60 that can be used for logging in to the server 30 is registered. The file management server 30 performs right authentication on the user object based on the user information and the IP address and the available Web server installation information table 32.
[0024]
Since the file management server 30 cannot determine whether the user has logged in via the Web server installed inside or outside the firewall 50 only with the IP address (IP1) of the via Web server passed from the client 70, the file management server The installation information is registered in advance in the 30 available web server installation information tables 32.
[0025]
Referring to FIG. 6, the user authentication (Authentication) process in the authentication server 20 includes a user ID registration determination step S101, a password correctness determination step S102, and a user information return step S103.
[0026]
Referring to FIG. 7, the right authentication process in the file management server 30 includes an IP address registration determination step S201, an installation information acquisition step S202, an object presence determination step S203, and a user access right presence / absence determination step S204. It consists of object return step S205.
[0027]
Next, the operation of the access control method in the file management system according to the first embodiment configured as described above will be described.
[0028]
(1) About user authentication (Authentication) by the authentication server 20
[0029]
The user needs to log in to the file management server 30 from the client 70 via the internal Web server 40 or the external Web server 60 before accessing the object of the file management server 30. The user normally logs in to the file management server 30 from the client 70 connected to the internal network 10 via the internal Web server 40 installed in the firewall 50. However, when logging in to the file management server 30 from a client 70 such as a business trip destination or home, the user can log in to the file management server 30 only through the external Web server 60 installed outside the firewall 50. It is. However, it is possible for a user to access an object from inside the company via the external Web server 60 unless the firewall 50 restricts the object.
[0030]
When the user logs in to the file management server 30 from the client 70 via the internal Web server 40 or the external Web server 60, user authentication is performed by the authentication server 20.
[0031]
Specifically, the user inputs a user ID and password from the login screen of the client 70 and requests login to the file management server 30. At this time, communication between the client 70 and the authentication server 20 is performed, and user authentication by the authentication server 20 is performed. Communication between the client 70 and the file management server 30 is performed by the client 70 such as acquisition of an attribute list, confirmation of update on the update screen, acquisition of subordinate lists such as cabinets and folders, and deletion of targets. This is the point when the button is pressed.
[0032]
The authentication server 20 first checks whether the user ID received from the client 70 is registered in the user information list table 22 (step S101). If the user ID is not registered, the authentication server 20 returns an error to the client 70.
[0033]
If the user ID is registered, the authentication server 20 checks whether or not the password received from the client 70 matches the password registered in the user information list table 22 corresponding to the user ID (step S102). ). If the passwords do not match, the authentication server 20 returns an error to the client 70.
[0034]
If the passwords match, the authentication server 20 acquires the user information (P1) of the corresponding user from the user information list table 22, returns it to the client 70 (step S103), and ends the process.
[0035]
A cabinet list table (not shown) is acquired simultaneously with login to the file management server 30, and a user-specific cabinet list table is usually displayed on the screen of the client 70. The objects displayed in the cabinet list table are only those for which the logged-in user has access rights, and only some attributes of each object are displayed in the cabinet list table.
[0036]
(2) Rights authentication in the file management server 30 (Authorization)
[0037]
After a user-specific cabinet list table (not shown) is displayed on the screen of the client 70, when the user requests access to the object from the client 70, the file management server 30 indicates that the requesting user is the access target. Rights authentication is performed as to whether or not an object (hereinafter referred to as a target object) has access rights.
[0038]
First, the client 70 passes the instance ID indicating the target object to the file management server 30 together with the user information obtained from the authentication server 20 and the IP address (IP1) of the internal Web server 40 or external Web server 60.
[0039]
The file management server 30 performs user right authentication for the target object based on the user information (P1) acquired by the user authentication and the IP address (IP1) of the internal Web server 40 or the external Web server 60 via the user authentication. .
[0040]
Here, consider a case where the user H (user information P1) requests reference to the “document D1” (see FIG. 5). It is assumed that access right information (A1) as shown in FIG. 5 is set as an attribute in “document D1” for user H who is the request source.
[0041]
When a list of objects under “cabinet” is displayed on the client 70 (only a part of attributes are displayed for “document D1”), the user H makes a reference request for “document D1” (presses the reference button). Then, the client 70 passes the user information (P1) and the IP address (IP1) of the via Web server (internal Web server 40 or external Web server 60) to the file management server 30.
[0042]
The file management server 30 first determines whether or not the IP address (IP1) of the via Web server passed from the client 70 is registered in the available Web server installation information table 32 (Step S201).
[0043]
If the IP address (IP1) is registered in the available Web server installation information table 32, the file management server 30 sets the installation information corresponding to the IP address of the via Web server (0 is inside the firewall 50 and 1 is outside the firewall 50). ) Is acquired (step S202).
[0044]
Next, the file management server 30 checks whether or not “document D1” exists in the database 31 based on the instance ID (step S203). The file management server 30 collectively manages the list table corresponding to the objects existing on the database 31, and performs a comparison process between the instance ID and the data of the list table.
[0045]
If “document D1” exists on the database 31, the file management server 30 performs right authentication to determine whether the requesting user H has the right to refer to “document D1” (step S204). Specifically, the file management server 30 first acquires the access right information (A1) of “document D1”. At this time, if the IP address of the via Web server is registered in the available Web server installation information table 32, and the installation information corresponding to the IP address is determined to be 0, the file management server 30 specifies “user H Only the condition that “can be referred to and updated” is subject to right authentication. Therefore, in this case, the file management server 30 determines that the user H has the right to refer to and update the “document D1”.
[0046]
Next, the file management server 30 acquires the document D1 and its attributes from the database 31, and returns them to the client 70 (step S205).
[0047]
When the client 70 receives the document D1 and its attributes from the file management server 30, the client 70 can refer to them.
[0048]
In the above description of the operation, the case where the access is a reference has been described as an example, but it goes without saying that the operation is almost the same even when the access is an update and deletion.
[0049]
Although the case where the object is a document has been described as an example, it goes without saying that the access control to the object can be performed not only in document units but also in folder units and cabinet units.
[0050]
As described above, according to the first embodiment, by providing a mechanism for performing right authentication in consideration of whether the Web server that has passed through when logging in to the file management server 30 exists in the company or outside the company. As for access to the same object from the same user, the right authentication can be made different depending on whether the access is made from within the company or from outside the company. For example, regarding access to the same object from the same user, reference can be made from inside or outside the company, while updating can be permitted only from inside the company.
[0051]
[Second Embodiment]
FIG. 8 is a block diagram showing the configuration of the access control method in the file management system according to the second embodiment of the present invention. The access control method in the file management system according to the present embodiment is provided with an authentication server program 200 in the authentication server 20 compared to the access control method in the file management system according to the first embodiment shown in FIG. The only difference is that the file management server 30 includes a file management server program 300.
[0052]
The authentication server program 200 is read into the authentication server 20 that is a computer, and controls the operation of the authentication server 20 as the authentication unit 21 and the user information list table 22. Since the operation of the authentication server 20 under the control of the authentication server program 200 is exactly the same as the operation of the authentication server 20 in the first embodiment, a detailed description thereof will be omitted.
[0053]
The file management server program 300 is read into the file management server 30 that is a computer, and controls the operation of the file management server 30 as a database 31 and an available Web server installation information table 32. Since the operation of the file management server 30 under the control of the file management server program 300 is exactly the same as the operation of the file management server 30 in the first embodiment, its detailed description is omitted.
[0054]
【The invention's effect】
The first effect is that it is possible to provide an access control function corresponding to a diversified use situation of users by widening the range of conditions that can be set as access rights. The reason is that a mechanism is provided for performing right authentication taking into account whether the Web server through which the file management server is logged in exists in the company or outside the company.
[0055]
The second effect is that security can be strengthened accordingly. This is because, for example, regarding access to the same object from the same user, reference can be made from inside or outside the company, but update can be permitted only from inside the company. .
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of an access control method in a file management system according to a first embodiment of the present invention.
FIG. 2 is a system configuration diagram of a file management system to which the access control method according to the first embodiment is applied.
FIG. 3 is a data structure diagram of a user information list table managed by the authentication server in FIG. 1;
4 is a data structure diagram of access right information managed by the database in FIG. 1. FIG.
FIG. 5 is a data structure diagram of an available Web server installation information table in FIG. 1;
6 is a flowchart showing user authentication processing in the authentication server in FIG. 1. FIG.
7 is a flowchart showing a right authentication process in the file management server in FIG. 1. FIG.
FIG. 8 is a block diagram showing a configuration of an access control method in a file management system according to a second embodiment of the present invention.
[Explanation of symbols]
10 Internal network
20 Authentication server
21 Authentication means
22 User information list table
30 File management server
31 database
32 Available Web Server Installation Information Table
40 In-house Web server
50 Firewall
60 External Web server
70 clients
200 Authentication server program
300 File management server program
S101 User ID registration determination step
S102 Password correct / incorrect determination step
S103 User information return step
S201 IP address registration determination step
S202 Installation information acquisition step
S203 Object existence determination step
S204 User access right presence / absence determination step
S205 Object return step

Claims (7)

Webベースのファイル管理システムにおいて、
クライアントからファイル管理サーバへのログインの要求時に、クライアントから受け取ったユーザIDがユーザ情報一覧テーブルに登録されているかどうかをチェックし、ユーザIDが登録されていたならばクライアントから受け取ったパスワードが前記ユーザ情報一覧テーブルにユーザIDに対応して登録されているパスワードと一致するかどうかをチェックし、パスワードが一致した場合には前記ユーザ情報一覧テーブルから該当ユーザのユーザ情報を取得してクライアントに返却する認証サーバと、
対象オブジェクトを示すインスタンスID,前記認証サーバから得られたユーザ情報,およびログイン時にアクセスし経由したWebサーバのIPアドレスを前記ファイル管理サーバに渡すクライアントと、
オブジェクト,およびオブジェクト毎のアクセス権情報を登録するデータベースと、利用可能Webサーバ設置情報テーブルとを備え、クライアントからのオブジェクトへのアクセス要求があったときに、前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得し、ユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索してユーザの対象オブジェクトへのアクセス権の有無を判定し、ユーザが対象オブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果を前記クライアントに送信するファイル管理サーバと
を有することを特徴とするファイル管理システム。In a web-based file management system,
When a login request from the client to the file management server is requested, it is checked whether or not the user ID received from the client is registered in the user information list table. If the user ID is registered, the password received from the client is the user Check whether it matches the password registered corresponding to the user ID in the information list table, and if the password matches, obtain the user information of the corresponding user from the user information list table and return it to the client An authentication server;
A client that passes to the file management server an instance ID indicating a target object, user information obtained from the authentication server, and an IP address of a Web server that is accessed through login;
A database for registering objects and access rights information for each object, and an available Web server installation information table; when there is a request for access to an object from a client, the available Web server installation information table Obtains installation information corresponding to the IP address, searches the access right information of the target object using the user information and installation information as keys, determines whether the user has access rights to the target object, and the user accesses the target object A file management system comprising: a file management server that accesses an object when having the right and transmits an access result to the client. 前記アクセス権情報が、少なくとも、
ユーザを示す要求元と、
ログイン時にアクセスし経由したWebサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報と、
ユーザのオブジェクトへのアクセス権の有無と
を含むことを特徴とする請求項1記載のファイル管理システム。The access right information is at least
A requester indicating the user,
Installation information indicating whether the web server that was accessed via login exists inside or outside the firewall;
The file management system according to claim 1, further comprising: presence or absence of an access right to a user's object. 前記利用可能Webサーバ設置情報テーブルが、
WebサーバのIPアドレスと、
Webサーバがファイアウォールの内に存在するか外に存在するかを示す設置情報と
を含むことを特徴とする請求項1記載のファイル管理システム。The available web server installation information table is:
The IP address of the web server,
The file management system according to claim 1, further comprising: installation information indicating whether the Web server exists inside or outside the firewall. クライアントがファイル管理サーバへのログイン時に認証サーバから認証結果としてユーザ情報を取得する工程と、
クライアントがオブジェクトへのアクセス要求時に前記ユーザ情報およびログイン時にアクセスし経由したWebサーバのIPアドレスをファイル管理サーバに渡す工程と、ファイル管理サーバが利用可能Webサーバ設置情報テーブルに前記IPアドレスが登録されているかどうかを判定する工程と、
前記IPアドレスが登録されているときにファイル管理サーバが前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、
ファイル管理サーバがユーザ情報および設置情報をキーとして対象オブジェクトのアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、
ユーザがオブジェクトへのアクセス権を有しているときにファイル管理サーバが対象オブジェクトにアクセスしてアクセス結果をクライアントに送信する工程と、
クライアントがファイル管理サーバからオブジェクトのアクセス結果を受信する工程と
を含むことを特徴とするファイル管理システムにおけるアクセス制御方法。A step of acquiring user information as an authentication result from the authentication server when the client logs in to the file management server;
When the client makes an access request to the object, the user information and the IP address of the Web server that was accessed via login are passed to the file management server, and the IP address is registered in the Web server installation information table available to the file management server. Determining whether or not
The file management server acquiring installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered;
A step in which the file management server searches the access right information of the target object using the user information and the installation information as a key and determines whether or not the user has access right to the object;
A step in which the file management server accesses the target object and sends the access result to the client when the user has access to the object;
A client receiving an object access result from the file management server; and an access control method in the file management system. 利用可能Webサーバ設置情報テーブルを参照してクライアントがログイン時にアクセスし経由したWebサーバのIPアドレスが登録されているかどうかを判定する工程と、
前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、
ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、
ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信する工程と
ファイル管理サーバが実行することを特徴とするアクセス制御方法。Determining whether or not the IP address of the Web server through which the client accessed and logged in is registered by referring to the available Web server installation information table;
Obtaining installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered;
Searching for access right information using user information and installation information as a key, and determining whether or not the user has access to the object;
A file management server executes a process of accessing an object when the user has access rights to the object and transmitting an access result to a client. コンピュータに、
利用可能Webサーバ設置情報テーブルを参照してクライアントがログイン時にアクセスし経由したWebサーバのIPアドレスが登録されているかどうかを判定する工程と、
前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得する工程と、
ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定する工程と、
ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信する工程と
を実行させるためのプログラム。On the computer,
Determining whether or not the IP address of the Web server through which the client accessed and logged in is registered by referring to the available Web server installation information table;
Obtaining installation information corresponding to the IP address from the available Web server installation information table when the IP address is registered;
Searching for access right information using user information and installation information as a key, and determining whether or not the user has access to the object;
A program for accessing an object when the user has access to the object and sending the access result to the client. 利用可能Webサーバ設置情報テーブルを参照してクライアントがログイン時にアクセスし経由したWebサーバのIPアドレスが登録されているかどうかを判定し、
前記IPアドレスが登録されているときに前記利用可能Webサーバ設置情報テーブルから前記IPアドレスに対応する設置情報を取得し、
ユーザ情報および設置情報をキーとしてアクセス権情報を検索しユーザのオブジェクトへのアクセス権の有無を判定し、
ユーザがオブジェクトへのアクセス権を有しているときにオブジェクトにアクセスし、アクセス結果をクライアントに送信するファイル管理サーバ。Determine whether the IP address of the Web server through which the client accessed and logged in is registered by referring to the available Web server installation information table,
Obtaining installation information corresponding to the IP address from the available web server installation information table when the IP address is registered;
Search the access right information using the user information and installation information as a key, determine whether the user has access to the object,
A file management server that accesses an object when the user has access rights to the object and sends the access result to the client.
JP2002201872A 2002-07-10 2002-07-10 Access control method in file management system Expired - Fee Related JP4240929B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002201872A JP4240929B2 (en) 2002-07-10 2002-07-10 Access control method in file management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002201872A JP4240929B2 (en) 2002-07-10 2002-07-10 Access control method in file management system

Publications (2)

Publication Number Publication Date
JP2004046460A JP2004046460A (en) 2004-02-12
JP4240929B2 true JP4240929B2 (en) 2009-03-18

Family

ID=31708271

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002201872A Expired - Fee Related JP4240929B2 (en) 2002-07-10 2002-07-10 Access control method in file management system

Country Status (1)

Country Link
JP (1) JP4240929B2 (en)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4250100B2 (en) * 2004-02-23 2009-04-08 大日本印刷株式会社 Computer system
JP4532237B2 (en) 2004-10-29 2010-08-25 株式会社日立製作所 Computer and access control method in computer
JP2006139353A (en) * 2004-11-10 2006-06-01 Yokogawa Electric Corp Operation monitoring device
JP2006318285A (en) * 2005-05-13 2006-11-24 Ricoh Co Ltd Document management apparatus
JP4718288B2 (en) 2005-09-29 2011-07-06 株式会社日立製作所 Diskless computer operation management system
US8107100B2 (en) 2006-07-20 2012-01-31 International Business Machines Corporation Post deployment electronic document management and security solution
JP4675921B2 (en) * 2007-03-20 2011-04-27 株式会社エヌ・ティ・ティ・データ Information processing system and computer program
JP5029701B2 (en) 2008-01-09 2012-09-19 富士通株式会社 Virtual machine execution program, user authentication program, and information processing apparatus
JP5685158B2 (en) * 2011-07-22 2015-03-18 パナソニックIpマネジメント株式会社 Authentication device
JP2013089152A (en) * 2011-10-21 2013-05-13 Obic Business Consultants Ltd Information system, server device and program
JP6179434B2 (en) * 2014-03-20 2017-08-16 富士ゼロックス株式会社 Information processing apparatus, information processing system, and information processing program
JP6409439B2 (en) * 2014-09-19 2018-10-24 富士ゼロックス株式会社 Image forming apparatus and program

Also Published As

Publication number Publication date
JP2004046460A (en) 2004-02-12

Similar Documents

Publication Publication Date Title
US7756903B2 (en) Configuring a search engine results page with environment-specific information
US7308709B1 (en) System and method for managing and authenticating services via service principal names
US7428592B2 (en) Securely persisting network resource identifiers
US8316049B2 (en) Document management system, document producing apparatus, document use managing apparatus, and computer readable medium
JP4671332B2 (en) File server that converts user identification information
US20050234859A1 (en) Information processing apparatus, resource managing apparatus, attribute modifiability judging method, and computer-readable storage medium
US20060074894A1 (en) Multi-language support for enterprise identity and access management
JP5320433B2 (en) Integrated search device, integrated search system, and integrated search method
RU2453916C1 (en) Information resource search method using readdressing
JP6323994B2 (en) Content management apparatus, content management method and program
JP2005259112A (en) Information processor, information processing method, information processing program, storage medium, and information management device
US8799321B2 (en) License management apparatus, license management method, and computer readable medium
JP4240929B2 (en) Access control method in file management system
JP2009054086A (en) Information providing device
WO2013046336A1 (en) Group definition management system
JP3698851B2 (en) Database security management method and system
JP2007272518A (en) Customer database management device and customer database management program
JP4944411B2 (en) Menu generation system, menu generation method, and menu generation program
JP3137173B2 (en) Authentication information management device
JP2019074994A (en) Information processing device, information processing system, and program
JP2002117215A (en) Patent management system
JP4757687B2 (en) Authentication authorization server, authentication authorization system, authentication authorization method, and authentication authorization program
JP2020038438A (en) Management device, management system and program
JP4634600B2 (en) Proxy server
JP7119797B2 (en) Information processing device and information processing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040427

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050124

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050307

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070308

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070703

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080226

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080421

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080909

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081222

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120109

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees